引言
　　
　　核電站儀控系統(tǒng)在高可靠性、高可用性和高安全性等方面的要求，使得核電站數(shù)字化控制保護技術(shù)成為當代控制系統(tǒng)發(fā)展的技術(shù)前沿。反應堆保護系統(tǒng)包括緊急停堆系統(tǒng)和專設(shè)安全設(shè)施驅(qū)動系統(tǒng)。反應堆保護系統(tǒng)監(jiān)測與反應堆安全有關(guān)的參數(shù)。當這些參數(shù)超過預設(shè)的保護定值時，反應堆保護系統(tǒng)自動觸發(fā)緊急停堆并啟動相應的專設(shè)安全設(shè)施，以限制事故的發(fā)展，減輕事故后果，防止放射性物質(zhì)向周圍環(huán)境釋放，保證設(shè)備和人員的安全。經(jīng)過幾年的發(fā)展和研究，國外科研機構(gòu)和廠商在保護系統(tǒng)的架構(gòu)設(shè)計方面也形成了不同的風格。本文以IEC-61508和IEC-61513標準為依據(jù),從安全完整性等級的角度描述并分析了不同的安全相關(guān)結(jié)構(gòu)和保護系統(tǒng)架構(gòu)的特點。
　　
　　一、安全標準IEC-61508
　　
　　IEC-1508是電工委員會于2000年頒布的《電氣／電子／可編程電子安全相關(guān)系統(tǒng)的功能安全》標準。該標準針對所有由電氣／電子／可編程電子部件構(gòu)成的安全相關(guān)系統(tǒng)，目的是避免和控制系統(tǒng)性錯誤和隨機錯誤，對危險性的失效進行定量的分析，并針對系統(tǒng)和產(chǎn)品的錯誤避免、故障控制和文件給出有效的技術(shù)和措施。為了實現(xiàn)安全目標，標準提出了安全完整性的概念。安全完整性是指在規(guī)定的條件下、規(guī)定的時間內(nèi)，安全相關(guān)系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。IEC-61508規(guī)定了四個安全完整性等級SIL（safetyintegritylevel），即在確定了被控裝置可能存在的風險后，必須采用相應等級的安全系統(tǒng)，把風險降低到可接受的范圍內(nèi)。對于安全完整性等級的確定，IEC-61508標準分別給出了定量和定性的方法。
　　
　　二、安全相關(guān)結(jié)構(gòu)
　　
　　根據(jù)上述標準，安全完整性分為硬件安全完整性和系統(tǒng)安全完整性兩部分。
　　
　?、儆布踩暾裕哼@部分安全完整性與在危險的失效模式下的隨機硬件失效有關(guān)。硬件安全完整性規(guī)定等級可在一個合理的水平下估計，并將其要求用組合概率的通用法規(guī)在子系統(tǒng)中進行分配，一般需要使用冗余結(jié)構(gòu)來達到足夠的硬件安全完整性。
　　
　　②系統(tǒng)安全完整性：這部分安全完整性與在危險的失效模式下的系統(tǒng)失效有關(guān)。盡管與系統(tǒng)失效有關(guān)的平均失效率可以估計，但從設(shè)計失效和共同原因失效獲得的失效數(shù)據(jù)即失效的分布難以預計。這樣便增加了特定情況下失效概率計算的不確定性，因此，需要做出選擇*技術(shù)的判定，將不確定性zui小化。
　　
　　提高硬件安全完整性的手段包括冗余和診斷。根據(jù)冗余通道的介質(zhì)情況，提高安全性的冗余又可分為同質(zhì)冗余（homogenousredundancy）和多樣性冗余（diverseredundancy）。
　　
　　同質(zhì)冗余可以控制隨機性故障，但卻不能控制系統(tǒng)性故障，冗余通道容易犯同樣的錯誤。多樣性冗余除了可以控制隨機性故障外，還可以控制系統(tǒng)性故障。
　　
　　多樣性冗余在硬件上要求電路原理不同、器件和技術(shù)不同、制造過程和生產(chǎn)工廠不同，在軟件上要求編程語言不同、算法和程序員不同等。通過功能多樣性和設(shè)備多樣性來避免共模故障是儀控設(shè)計的基本原則之一，如核電站常規(guī)島排污坑水泵系統(tǒng)，通常根據(jù)需要采用一用二備、二用二備或者三用一備。當正在運行的設(shè)備出現(xiàn)故障時，備用設(shè)備會自動投入使用。這種方法主要針對設(shè)備失效而不關(guān)注設(shè)備的輸出是否正常和安全，可認為這種冗余提高了系統(tǒng)的可靠性。在核電站常規(guī)島高／低壓加熱器系統(tǒng)中，需實時監(jiān)控高刃低壓加熱器的水位，對此往往采取在一個測點周圍布置多個傳感器的方法，此時關(guān)注水位的測量值是否屬實，可認為這種冗余提高了系統(tǒng)的安全性。
　　
　　總體上，常見的冗余結(jié)構(gòu)包括單通道系統(tǒng)1oo1（KooN表示N個通道里面取K個）叫，雙通道系統(tǒng)1OO2、2OO2和三通道系統(tǒng)1OO3、2OO3。在實際應用時，往往每個通道會附有自診斷措施。該措施可幫助系統(tǒng)自動識別故障部件、類型和原因，增加系統(tǒng)的安全性。附加了診斷措施后的每種類型又可衍生出一種新的“帶診斷”的體系結(jié)構(gòu)，即：IOO1D、lOO2D、2oo2D、loo3D、2oo3D和2oo4D。
　　
　　目前，符合IEC-61508標準并獲得TUVSIL3等級認證的安全相關(guān)結(jié)構(gòu)有以下三種。
　　
　?、匐p重冗余容錯*自診斷結(jié)構(gòu)loo2D
　　
　　雙通道系統(tǒng)有兩種：1oo2和2oo2。1oo2提供更好的可靠性，兩個輸出邏輯中任意一個有輸出，則系統(tǒng)就有輸出。相比1oo2,2oo2結(jié)構(gòu)可提供更好的安全性，其輸出被同時考慮，即只有兩個輸出相同時才會產(chǎn)生有效的輸出。1oo2D是改進的雙通道系統(tǒng)，其診斷電路可以發(fā)現(xiàn)故障和錯誤，將危險失效轉(zhuǎn)化為安全失效，所以loo2D具備更高的安全性。該結(jié)構(gòu)可應用于系統(tǒng)的硬件結(jié)構(gòu)設(shè)計。
　　
　　②三重化表決結(jié)構(gòu)2oo3
　　
　　2oo3模式采用三取二表決方式，如三個CPU中若有一個運算結(jié)果與其他兩個不同，即表示該CPU故障，然后進行切除，其他兩個繼續(xù)工作。當其他兩個CPU運算結(jié)果再出現(xiàn)不同時，則無法表決出哪一個正確，系統(tǒng)停運。該結(jié)構(gòu)常應用于邏輯符合，三個通道中至少有兩個通道邏輯判斷為真時，zui后的邏輯運算結(jié)果才為真。
　　
　?、鬯闹鼗哂嗳蒎e*自診斷結(jié)構(gòu)2oo4D
　　
　　四個通道分成兩對，即同時工作又相對獨立。當其中一對通道診斷出故障時，則該對通道切除，剩下的一對通道以1oo2D繼續(xù)工作，這對獨立通道仍滿足安全等級SIL3要求，當這對通道其中一個出現(xiàn)故障時，系統(tǒng)停運。該結(jié)構(gòu)常應用于邏輯符合，四個邏輯通道中至少有兩個通道邏輯判斷為真時，zui后的邏輯運算結(jié)果才為真。2oo4D考慮安全性的同時也保證了可靠性，與1oo2D相比，2oo4D并未提高安全性，而只是提高了可靠性。
　　
　　不同于1oo2D,2oo3主要使用比較技術(shù)來保障安全性，其本身的可靠性并不高，因為只有三個通道同時有效才能保證系統(tǒng)安全性，一旦有通道故障，系統(tǒng)的安全性自動降級。從可靠性角度上講，2oo3系統(tǒng)不如2oo4D系統(tǒng)，而兩者所能達到的安全性基本相同。可以彌補2oo3系統(tǒng)可靠性不足的措施是在線替換，即三個主控制器相互獨立，如果有一個出錯則在規(guī)定時間內(nèi)在線替換掉（*修改），系統(tǒng)不必停機，從而提高了系統(tǒng)的可靠性。
　　
　　loo2D、2oo3、2oo4D的性能比較如表l所示，其中，非安全故障概率為拒動率，安全故障概率為誤動率，Q（t）和P（t）代表t時間內(nèi)單一故障發(fā)生的概率。
　　
　　三、IEC-61513和保護系統(tǒng)架構(gòu)
　　
　　IEC-61508屬于基礎(chǔ)標準，它明確規(guī)范了功能安全實現(xiàn)的總體框架和一般方法，近幾年已經(jīng)被廣泛應用在機械、化工和核電等各個領(lǐng)域，如IEC-61513，它以IEC-508為指導標準，屬于應用標準，是針對核電廠頒布的標準，名稱為《核電廠-對安全很重要的系統(tǒng)用儀器儀表和控制―系統(tǒng)的一般要求》。IEC-1508針對的是任意一個電氣／電子／可編程電子安全相關(guān)的系統(tǒng)，而IEC-61513則是針對安全很重要的且基于計算機的系統(tǒng)；IEC-508基于降低風險的理念設(shè)計各種安全相關(guān)系統(tǒng)，而IEC-61513基于重要性認定的方法設(shè)計相關(guān)系統(tǒng)。雖然兩個標準對系統(tǒng)設(shè)計的指導方法不同，但IEC-61513中很多基礎(chǔ)性的概念如上文提到的各種安全相關(guān)結(jié)構(gòu)與IEC-1508相同，下文將從上述安全相關(guān)結(jié)構(gòu)的角度分析保護系統(tǒng)的架構(gòu)。
　　
　　保護系統(tǒng)的架構(gòu)往往是上述安全相關(guān)結(jié)構(gòu)和各種基本邏輯符合的復雜組合。反應堆保護系統(tǒng)設(shè)計應遵循如下準則：自動保護、單一故障準則、多樣性、可試驗性以及獨立性原則等，其中“單一故障準則”是指單一保護系統(tǒng)通道或系統(tǒng)部件故障都不得妨礙保護系統(tǒng)的正常動作，要滿足單一故障準則，反應堆保護系統(tǒng)應具有足夠的冗余度；“故障安全準則”是指在失去能源條件下能夠發(fā)生停堆，系統(tǒng)通道或部件發(fā)生故障時，不需要采取任何操作而使保護系統(tǒng)的功能處于安全狀態(tài)。典型的保護系統(tǒng)架構(gòu)如圖1所示。
　　　　圖1中：采用三個傳感器測量相關(guān)參數(shù)，三個測量參數(shù)進行閡值比較后利用不同的2oo3邏輯符合單元進行邏輯判斷，再對這三個邏輯符合的輸出進行2oo3邏輯符合后觸發(fā)保護動作。該結(jié)構(gòu)可以避免單個邏輯符合單元的故障導致的系統(tǒng)保護功能喪失，即減少非安全故障概率。但在測量某個保護參數(shù)時，兩個及兩個以上的傳感器故障或信號波動，系統(tǒng)會觸發(fā)保護動作信號，因此，系統(tǒng)的安全故障概率大。
　　
　　國內(nèi)實際運行的核電站反應堆保護系統(tǒng)架構(gòu)在上述典型架構(gòu)基礎(chǔ)上做了調(diào)整，主流架構(gòu)如圖2所示。　　圖2中：兩種保護架構(gòu)分別利用四個獨立的通道（A,B,C和D）測量多個保護變量（當四個通道之間采取隔離技術(shù)實現(xiàn)獨立性的要求后，且每個通道采用不同的硬件技術(shù)和軟件技術(shù)時，此架構(gòu)即可實現(xiàn)獨立性和多樣性目標）。每個保護變量進行闌值比較后有四個輸出，每一個獨立通道分別先對同一個保護變量進行邏輯符合（2oo4），再對不同的保護變量進行l(wèi)ooN邏輯運算，稱為X/Y半邏輯。在圖2（a）中，A、B通道的兩個半邏輯進行2oo2的邏輯運算，即邏輯“與”,C、D通道進行相同的邏輯運算，A、B通道的zui后邏輯輸出與C、D通道的zui后邏輯輸出任意一個有輸出時，觸發(fā)保護動作信號。與圖2（a）不同，圖2（b）保護系統(tǒng)架構(gòu)的四個X/Y半邏輯后緊跟四個斷路器，zui后對四個斷路器進行2oo4表決，再觸發(fā)保護動作信號。
　　
　　與圖1所示的保護系統(tǒng)架構(gòu)相比，圖2所示的保護系統(tǒng)架構(gòu)可以很好地滿足單一故障準則，有效降低系統(tǒng)的非安全故障概率和安全故障概率。圖2（b）中保護系統(tǒng)架構(gòu)可很方便地對斷路器進行在線檢測或定期試驗或在線更換，在一套設(shè)備故障或設(shè)備試驗的情況下，其余設(shè)備中所有表決處理的方案將自動地被轉(zhuǎn)換為三取二邏輯，而不影響反應堆的正常運行，其在應用中比圖2（a）所示的系統(tǒng)架構(gòu)更加方便。
　　
　　四、結(jié)束語
　　
　　綜上可知，在安全性方面，安全基本回路loo2D、2oo3和2oo4D相當；在可靠性方面，2oo4D性能更優(yōu)，但成本高。在對可靠性要求不高或者系統(tǒng)為可修復系統(tǒng)時，從可靠性、安全性和成本考慮，2oo3體系結(jié)構(gòu)是較理想的選擇；在保護系統(tǒng)的架構(gòu)設(shè)計方面，圖2所示的架構(gòu)兼具高可靠性和高安全性，不同的保護參數(shù)之間的邏輯符合具有較低的安全故障概率和非安全故障概率。
　　
　　與圖2（a）架構(gòu)相比，圖2（b）保護系統(tǒng)架構(gòu)采用了斷路器，其成本相對較高，但該架構(gòu)具備在線檢測和在線更換的優(yōu)勢，因此，其將成為新一代反應堆保護系統(tǒng)的主要參考對象。實際運行的核電站都能做到保護系統(tǒng)的獨立性原則的要求，但在多樣性方面有所欠缺，真正做到多樣性的要求，將會大量增加建設(shè)成本以及后期的評審、驗收工作量。因此，在設(shè)計新的保護系統(tǒng)架構(gòu)時，兼顧成本和多樣性（功能多樣性和設(shè)備多樣性）的要求也將會是重點研究對象。