[发明专利]一种核电站优先级管理系统

说明书

技术领域

本发明属于核电站安全控制技术领域，特别涉及一种核电站优先级管理系统。

背景技术

优先级管理系统是核电站DCS控制系统(分散控制系统)和现场设备的接口模块，是DCS控制系统的最后输出管理的部分，属于安全级DCS控制保护系统的一部分。核电站现场设备的驱动装置(如电气开关盘、电磁阀)需要多个系统(如保护系统、多样性系统、严重事故后系统、电厂标准自动化系统等)进行控制，为了保证驱动装置处于偏向安全的状态，就需要优先级管理系统对来自不同系统的驱动指令进行管理，并定义这些指令的优先级关系，针对驱动指令之间的优先级关系，标准DI&C-ISG-04(U.S.NRC)(Digital Instrumentation and Controls–Interim Staff Guidance–Task Working Group#4)有如下要求：

1)优先级模块安全等级为安全级1E级(核电站设备分为安全级—1E级、安全相关级—SR级及非安全级—NC级，这三个级别)；

2)优先级模块设计应不同于数字化系统，避免软件共因故障(CCF)；共因故障指的是由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障。软件共因故障是指一个软件设计错误可能同时出现在安全系统的冗余通道内，可能引起安全系统的共因故障，同时冗余的数字化仪控系统设计，会共享数据库(软件)和处理器(硬件)，因此软件设计错误或软件编程错误可以引起共模或冗余设备的共因故障。

3)优先级模块应独立于数字化系统，其功能不能受数字化系统的影响；

4)直接控制设备到安全状态的指令(保护指令)必须一致保持最高的优先级；

5)如果一个优先级模块控制多个设备，这些规定都适用于每个设备；

6)若优先级模块设计有通信，通信隔离需符合ISG-04中对序列间通信隔离的规定；

7)优先级模块可编程软件需要进行100％测试，100％测试是指任何连接的输入和任何可能的设备状态都要经过测试，并且所有情况下的输出都要经过验证，测试不包括所用工具本身；

8)优先级模块内应用的任何支持安全功能的软件程序都必须是安全级软件。所有安全级软件的要求也适用于优先级模块的软件。设计应保证存储和可编程的逻辑在下装到模块时不会被改变。现场可编程存储器中的内容和配置应当做软件，因此必须进行相应的开发、维护和控制。

9)优先级模块设计必须有充分的测试。测试应包括每个可能的输入组合，以及每个组合输入导致输出的评估。如果输入包括基于状态的逻辑(时序逻辑)，那么测试应包括可能存在的顺序。

10)优先级模块的定期试验和自诊断都不能以任何方式抑制模块的安全功能。

11)优先级模块必须确保完成保护驱动，不被指令、工况或模块自身序列之外的故障中断。

同时，优先级管理系统还要求具备自诊断和支持电站定期试验的功能。

目前，日本三菱电机公司MELTAC系统的PIF卡和法国阿海珐TXS系统的AV42板卡也实现了对不同系统发出的驱动指令进行管理，使核电站相关设备的驱动装置处于偏向安全的状态。而PIF卡和AV42板卡的设计均采用处理器和可编程逻辑器件PLD的设计形式，虽然优先级管理模块采用PLD实现(硬件方式)，但接收DCS指令的功能采用通信的形式，为处理器软件功能，并不能说明有效的避免和DCS系统之间的软件共因故障；同时，AV42板卡自诊断覆盖率较低，同时，对安全级系统的定期试验功能的支持程度不高；PIF卡对安全系统定期试验支持程度较高，但对于响应时间较快的智能执行器，试验期间会造成智能执行器的扰动，即对执行器的选择有特殊要求。

发明内容

为了克服上述缺点，本发明提供一种核电站优先级管理系统，依据标准要求和核电站数字化仪控系统的设计要求，实现以下功能：

1)驱动指令的优先级管理模块；

2)支持定期试验功能和自诊断功能；

3)反馈信号的处理功能；

4)人机接口功能。

同时，本设计要求满足DI&C-ISG-04的要求，特别是要求采用不同于数字化系统的设计方式，避免软件共因故障。

本发明解决其技术问题所采用的技术方案是：一种核电站优先级管理系统，设于核电站各控制系统与现场执行器的驱动装置之间；

所述优先级管理系统包括：至少一个优先级管理模块和与所述优先级管理模块连接的驱动控制模块；