杨宗昊,马 权,金兴连,穆兰芬,姜 静,李 俊
(中国核动力研究设计院 核反应堆系统设计技术重点实验室,成都 610213)
图1 CommonQ平台的CIMFig.1 CIM of CommonQ platform
核反应堆数字化控制系统(DCS,Digital Control System)是核反应堆的中枢神经系统,肩负着控制核反应堆正常运行的重要功能,确保在任何工况下核反应堆能够安全可靠地运行。其中,安全级核反应堆数字化控制系统(1E DCS)是与核反应堆安全相关的重要控制系统,主要用来应对设计基准事故工况和部分严重事故工况,保证能够在事故情况下启动安全系统,将电站带至安全状态并持续监测关键参数。
核反应堆控制系统随工业技术的发展也在不断发展进步,如在20 世纪中后期建造的核电站主要采用模拟式仪表实现对模拟量的控制,采用继电器机架实现对逻辑量的控制。随着数字化控制系统DCS 技术在常规工业控制领域的普及,核能控制系统也开始逐渐使用DCS 控制技术。21 世纪以来,国内外新建核电厂普遍采用数字化仪控系统,国内从岭澳二期(LAII)开始,均采用了全范围的数字化仪控系统。DCS 相对于前代仪控技术(模拟式仪表+继电器)存在很多优势,如处理能力强,能够自诊断,可靠性高,设计与配置灵活性强等,但其也存在着一些需要关注的方面,如功能过于集中,可能产生的软件共因故障等,尤其是日本福岛事故以后,国家对新建核电的设计提出更高更严的标准。例如,为了应对数字化安全级仪控系统共因故障,设计了多样化的停堆手段;为了应对福岛核事故类似的严重事故,还设计了严重事故控制系统。然而,新增的系统与原系统的执行设备大部分公用,因此需要设计满足要求的优先级逻辑控制模块,解决不同系统对同一执行机构的控制问题。目前,为解决对于同一执行机构的控制问题,较为普遍采用的是通过优先级逻辑控制模块接受来自上游系统的多种控制命令,并进行优先级管理,并最终输出控制指令,下游设备对控制指令进行执行动作。本文介绍了国外4 种不同优先级逻辑模块,包括CommonQ 的CIM、MLETAC 的PIF、Tricon 的PLM、Txs 的AV42。
AP1000 是中国从美国西屋公司引进第三代核电站堆型,其CommonQ 平台配置了接口设备模块(CIM,Component Interface Module)。AP1000 的CIM 作为中间设备,接受来自保护与安全监测系统(PMS,Protection and safety Monitoring System)与电厂逻辑控制系统(PLS,Plant Logic Control System)的指令,进行优先级判断,将仪控系统的指令传递给现场设备,实现触发功能。
CIM 是一个安全级DCS 设备接口模块,它是基于现场可编程门阵列(FPGA,Field-Programmable Gate Array)实现的硬件逻辑模块,CIM 模块主要完成三大功能:
1)集成来自不同安全级系统的设备指令,作为驱动控制的接口,接收来自仪控设备的驱动指令,同时将执行器和设备开关状态反馈给安全级DCS 系统。
2)对设备指令进行优先级判定,可以接收来自自动泄压系统(ADS,Automatic Depressurization System)触发器闭锁模块、PMS 和PLS 的指令,将优先级最高的发送至现场设备。
3)提供就地设备控制。通过CIM 模块上的切换按钮将设备的控制功能由远程切换至就地,为逻辑测试提供信号隔离,紧急情况下提供就地设备控制的能力。CIM 的实物图见图1。
图1 为设备接口模块图。在CIM 的前端,有一个就地逻辑控制接口,由1 个拨动开关和3 个按钮开关所组成,其中拨动开关是就地与远程的切换开关,3 个按钮开关用于就地设备的控制(OPEN、STOP 和CLOSE)。其中,X 端口是来自于PMS(安全级)的指令,Y 端口是来自于PLS(非安全级)的指令,而Z 端口是来自于独立于计算机系统的指令(手动控制),用于ADS 触发的闭锁。优先级的顺序从高到低依次为就地、Z、X、Y。其中,X 栏下的1 与2表示两列冗余逻辑表决模块,在信号质量都为好时取2 取2 逻辑,一个信号质量为坏时取1 取1 逻辑,否则安全级信号不能成功被CIM 输出到现场设备。而INPUT 栏下的指示灯表示着现场设备的反馈,例如O 灯亮了,即表示现场设备已开。在LOCAL 栏中有4 个指示灯,其中当拨动开关拨到LOCAL 时,就地指示灯LM 便会亮,而其中的STOP灯是对按钮STOP 的指示,一般在进行下一项命令前,会先按STOP 按钮对前一项命令进行清除,防止本次命令消失以后设备会变化到自动控制命令的状态,防止误触发。
CommonQ 平台的CIM 还有一些特点,AP1000 的部分现场设备通过冗余的CIM 来进行控制,冗余的CIM 位于不同的机柜中,防止由于单一CIM 故障导致就地设备失效。这种备用CIM 的应用之一便是对爆破阀的控制,爆破阀是AP1000 中使用的一种不可逆的一次性阀门。每一个爆破阀的驱动需要两个独立的控制信号,一个为ARM 信号,另一个为FIRE 信号,这两个信号各配置了专用的设备接口模块,CIMA 以及CIMF,保证爆破阀控制的可靠性。其中,爆破阀的一种用途就是ADS 的触发,即它的动作将导致反应堆冷却剂向安全壳的释放,为进一步避免由共因故障导致的ADS 误触发,西屋还设计了ADS 手动闭锁功能,即Z端口的信号,优先级仅次于就地指令,可以闭锁X、Y 通道的指令。
图2 MELTAC平台的PIF卡示意图Fig.2 PIF card of MLETAC platform
MELTAC 是日本三菱集团旗下的一款核级平台产品,其安全级优选模块使用PIF 卡,目前广东阳江核电1-4 号机组的仪控系统采用的是这一款产品。
PIF 卡放置在SLC(Safety Logic Cabinet)中,SLC 接收ESFAC、ECP、BUP、SVDU 等输入的控制信号。几乎所有的安全级DCS 设备的软硬件控制都必须通过PIF 卡的逻辑运算后才能向现场执行机构输出。其中,PIF 卡的示意图如图2 所示。
其中,DIS 以及EN 是作为一个拨码器。当拨码处于EN 位置时,电源指示灯点亮,板卡处于正常工作状态;当拨码处于DIS 位置时,电源指示灯熄灭,板卡处于非正常工作状态。LINE-1 灯用来指示与1 系CPU 通讯正常,卡件正常工作时常亮;PS0/1 灯用来监视现场驱动电源回路是否工作正常;BLOCK0-1 灯用来指示1 系CPU 的OUT0 输出被闭锁,正常状态为常灭。BYP0/1 指的是OUT0/1 被旁路。如图3 所示,BLOCK0-1 灯亮即表示①列信号被阻断,而BYP0 则表示①、③列信号均被阻断。
PIF 卡作为安全级DCS 优选模块,其完成的功能主要有:接收Level1 的自动命令和Level2 层的操作命令,并向现场执行机构输出驱动命令;接收从现场硬接线来的执行机构状态反馈信号,并向Level 2 层设备输出;进行优选功能逻辑运算。PIF 卡所接收的信号可以分成三类:
图3 PIF卡中CPU的输出逻辑Fig.3 CPU’s output logic of PIF card
1)第一类是通过CPU 进行传输的控制指令信号——从ESFAC 以及S-VDU 中向SLC-CPU 传输的逻辑指令,例如安注信号(ESFAC),或是通过安全显示站(S-VDU,Safety Video Display Unit)直接发出控制现场执行机构开关指令。这些命令通过软件运算后,经PIF 卡送往现场执行机构。
2)第二类则是硬接线信号。这类信号不通过SLCCPU 的处理,而直接通过继电器柜的继电器逻辑判断后,将控制指令硬接线送往PIF 卡去驱动现场执行机构。例如,ECP 盘的安注硬手操器指令在经过继电器柜(ARC,Auxiliary Relay Logic Cabinet)的逻辑运算后,直接硬接线连至PIF 卡进行现场执行机构的控制。
3)第三类则是接收从现场反馈回来的执行机构状态信号,由PIF 卡的IN4/5 输入的。
在完成正常的逻辑控制功能之外,PIF 卡所完成的最主要的功能还有AT(Automation Test)试验的测试功能以及逻辑信号的优选功能。AT 试验即为反应堆保护系统T1/T2/T3 试验,PIF 卡所完成的测试主要有:T2 部分的专设逻辑测试,称之为Sequence Test;T3 的专设设备的驱动测试,称之为PIF Test。而PIF 卡的逻辑信号优选功能可分为两个部分:PIF 卡内的硬逻辑优选,以及PIF 与SLC/ARC 逻辑组合形成的系统逻辑优选。其中,安全级DCS 的系统逻辑优选信号的顺序从高到低为:非预期瞬态信号(ATWT,Anticipated Transient Without Trip);保护机柜传输到专设机柜的自动控制命令;紧急控制盘上的手动控制命令;后备盘上的手动控制命令;非安全级命令。
Tricon 平台是美国Invensys 公司旗下Triconex 公司的一款安全级DCS 产品,其优先级逻辑模块如图4 所示。该平台目前在中国福建福清核电站、方家山核电项目中均得到应用。
图4 Tricon平台的PLM卡示意图Fig.4 PLM of Tricon platform
Tricon 的PLM 拥有两组互为备用的24V 直流电源,4对输入信号(A/B),一对试验输入信号(1A/1B),一对驱动输出信号(1A/1B),一对试验反馈信号(1A/1B)。其中,每对信号中的A 组为关闭命令,B 组为启动命令,每对中A 组的优先级要高于B 组。4 对信号将在下面详细叙述。
1) 第一优先级为来自Tricon 安全级反应堆保护系统(RPS,Reactor Protection System)的ESFAC 信号,反应堆保护系统中含有4 组通道,输出到两列专设驱动设备中。
2)第二优先级为ECP 的自动转换信号,在ECP 盘上,将允许操作员通过硬线对DCS 关键安全系统实现逻辑复制。但并不是所有PLM 都应该预期有一个ECP 输入,因为并非每一个从PLM 进行操作的设备都是手动从ECP 系统进行操作的。
3)第三优先级为DAS 以及ATWT,实际上对于安全级TRICON 来说,DAS 与ATWT 系统实际上是非安全级的后备系统,而且与安全级TRICON 相比优先级低一些,1E TRICON 正常运行时,DAS 与ATWT 信号不会对1E TRICON 系统产生影响,而1E TRICON 无法启动时,可以通过DAS 与ATWT 对就地设备进行管理。
4)第四优先级为非安全级命令,其在输入到PLM 之前需要通过隔离器进行隔离。
Tricon 的PLM 还提供了测试功能模式,即PLM 提供了一种阻止设备启动的同时,验证测试使能信号在PLM 输出结果之前即被监测的方法。具体而言,PLM 具有两个测试使能输入。第一个是位于PLM 正下方底板上的手动开关,该开关的状态反馈也提供给Tricon 的1E 级平台;第二个测试使能信号连接到在SVDU 上操作的 1E Tricon。当两个测试使能输入都处于激活状态时,PLM 的输出驱动将被闭锁。单独的SVDU 上的1E Tricon 或手动测试开关的启用将确保不会有单个测试启用输入失败或者无意的操作会闭锁PLM。
图5 TXS平台的AV42板卡示意图Fig.5 AV42 of TXS platform
一旦PLM 进入测试模式,设备驱动信号即可被阻止。但是,TEST OUT 1A 和TEST OUT 1B 输出的信号就是在PLM 没有被闭锁之前的OUT 1A 以及OUT 1B 信号,也就是说,TEST OUT 1A 和TEST OUT 1B 信号是OUT 1A 以及OUT 1B 信号,但是它们在OUT 1A 以及OUT 1B 信号被闭锁之前就被监视起来。此外,在测试模式下,输入1、2、3 将被闭锁掉,但非安全级命令依然可以对就地设备执行相关逻辑。
德国西门子公司的TXS 平台,由AV42 模块执行优先级控制功能。该平台已在田湾、岭澳核电项目中得到应用。
AV42 接收处理5 种来源的命令信号:1)通过前面板的就地控制塞输入的命令(一般在维护模式下启动);2)从安全级仪控系统输入来的命令;3)从控制室1 引入的手动命令;4)从控制室2 引入的手动命令;5)从现场总线引入的非安全级命令。其中,控制室1 为主控制室,控制室2 为辅助控制室或者叫远程停堆室。这5 种信号的优先级按从高到低依次为:就地控制按钮,安全级仪控系统引入的信号,控制室引入的信号,非安全级信号。
其中,在就地控制塞上的ON/OPEN,OFF/CLOSE 分别是用来控制两种类型的就地设备,ON/OFF 是用来控制电动机、电磁阀等驱动设备;OPEN/CLOSE 是用来控制开环控制以及闭环控制驱动器(对于隔离阀、塞阀、控制阀等)。而DIAGNOSIS 的两个按钮分别是代表“诊断”以及“停止诊断”。其中OFF/CLOSE 拥有最高的优先级,DIAGNOSIS →STOP 的优先级最低,这3 种命令通常都用于支持维护模式。由于就地信号拥有最高的优先级,因而即使在没有上游仪控信号输入的情况下,就地信号也能用于启动或者停止下游的就地设备,即使上游的仪控设备不可用的话,由于这些命令的优先级最高,它们可以被用于控制或者停止驱动器。
表1 优先级逻辑模块的对比Table 1 Comparison of priority logic modules
AV42 的主要控制任务有:接受来自不同区域的控制输入信号,进行优先级比较,并产生驱动控制命令,控制多个区域的驱动器;产生安全级以及非安全级的反馈回传命令;在发生卡顿事件时产生终止命令(对开环控制驱动器的力矩保护)。其中,安全级信号以及供电是通过硬线的方式连接在AV42 的背板上,而非安全级设备通过现场总线的方式连接在AV42 前面板的连接头上,而就地信号是通过AV42 面板上的就地控制塞来进行控制。
AV42 模块送给驱动设备的信号为3 个:CMDOFF(关闭信号)、CMDON(开信号)、CONTROL(Check Command)阻塞信号,即此输出为高时,OFF、ON 无效;为低时,OFF、ON 有效。
此外,AV42 模块还提供硬件自我检测能力:其中与PLD 连接的看门狗,可以检测微处理器与PLD 的基本逻辑功能,看门狗发现故障后将使微处理器复位;低压检测。当供给模块的电压低于额定值时,低压检测将会把驱动电路的输出置为0;开路和短路检测,出现开路、短路以及超载时,PLD 可将信号反馈给微处理器。
本文共对比了国外4 款核级优先级逻辑模块,通过对比,总结出以下几点。
基于实现的功能程度来说,应该是CommonQ 平台的CIM 最为复杂,不仅可以接受上游输入的指令,还可以将下游设备的状态信号反馈给上游仪控设备;对下游就地设备进行了具体划分,对有无力矩的设备进行了分别控制;提供了就地闭锁功能,为防止误触发,增添了STOP 按钮;进行了电源冗余设置;对重要设备实行冗余控制,使用两个CIM 卡对同一设备进行控制;为防止共因故障对重要设备的影响,还设置了单独的闭锁功能。
其他几家公司的产品也有很多特点,例如西门子的板卡将现场总线连接口设置在了前面板上。三菱与Tricon 的板卡的前面板上几乎没有需要操作的按钮,面板上都是指示灯,其他几款产品都在板卡的面板上设置了就地闭锁开关或按键。西门子TXS 平台的AV42 板卡也要复杂一些,对就地设备分为开环控制与闭环控制,就不同的就地设备分类很细,并且还会对AV42 板卡进行初始化;板卡中即含有微处理器,又含有PLD 等部件,而且还根据安全级别对其划分了不同的功能;在就地控制中,增添了诊断功能;可以将就地设备的状态反馈给控制系统,还增加了对卡顿事件的处理机制。三菱的卡件使用两个CPU 并含有两个输出控制端口作为冗余。
优先级逻辑控制模块是安全级仪控平台的重要组成部分,主要功能是收集上游的控制信号,进行优先级判断后发送给下游设备进行动作,其安全可靠性直接影响反应堆的安全。本文分析了国外4 种优选模块,介绍了每种优选模块的功能与特点,并对比相互之间的优势与不足,可以为未来核电厂的优选模块的功能设计与安全性分析提供一定的参考。