基于FPGA安全级PLM在核电DCS中应用.docVIP

基于FPGA安全级PLM在核电DCS中应用 　　摘要：优先逻辑模块PLM是用于核电厂DCS不同安全等级之间控制命令优先权判断的一种底层逻辑判断设备，其性能直接影响核电厂的安全性。基于FPGA技术的PLM模块能够高速稳定的实现逻辑功能，成本较低，可扩展能力强，可靠性高。FPGA是一种实现核电厂0层接口优先级运算处理的最为合适的硬件平台。 　　关键词：PLM FPGA；安全级；核电厂DCS 　　中图分类号：TL361 文献标识码：A 文章编号：1009-3044（2013）11-2718-04 　　核电厂DCS控制系统是融合了多个安全级要求，通过不同的硬件实现方式，采用多种操作手段，构成的复杂庞大的控制系统。当不同安全级控制系统的输出信号控制同一设备时，如信息输入不对等，或控制逻辑所采用的判断依据不同，异或是自动命令与手动命令意愿相悖，设备接到的不同安全等级的命令就可能不一致[1]。此时，在设备前端加入PLM模块可以有效地分析各个命令的重要性，从而对高优先级的命令做出响应。PLM需要有极高的实时响应能力，简单高效的判断逻辑，高可用性，安全可靠。除此之外，作为安全级设备，还要具备良好的电磁兼容性和抗震能力[2]。FPGA强大的数字逻辑处理功能和优越的“硬逻辑”本质，能将PLM的功能提高到一个新的水平。 　　1 核电厂安全级PLM的需求分析 　　核电厂DCS控制系统一般有两个安全等级，由低到高依次是非安全级（NC），安全级（1E）[3]。但由于有些非安全级的设备要执行相对比较重要的功能，因此又针对此类设备添加了相关抗震等功能需求，称为有特殊要求的非安全级（NC+）。有些对核电厂过程控制安全直接相关的设备同时被多个安全级的逻辑控制，如安全专用设备（ESFAS，Engineered Safety Features Actuation System）。为了保证控制系统的多样化要求，并增加防御纵深[4]，且减少共模故障引起的故障[5]，在DCS命令接入0层设备前必须使用PLM模块进行优先级判断选择。但是由于PLM本身不是一个多样化元件，PLM本身发生故障会直接导致设备无法正确安全的运行。因此，PLM的设计理念和安全性能是尤为重要的。 　　 　　图1 核电厂控制系统整体结构图 　　如图1，当一个设备受不同安全级的信号共同操作时，不同安全级有可能施加不同的信号，原因可以概括为以下四种工况： 　　1）多样化系统（DAS，Diverse Actuation System）产生的不一致； 　　2）ATWT（Anticipated Transient Without Trip）产生的不一致 　　3）NC控制系统自动动作与ECP手动操作发出的命令不一致； 　　4）安全级的控制命令与非安全级的命令不一致； 　　PLM模块是在安全专设控制回路上游使用的能够综合、客观的分析各种瞬态工况的高速响应元件。 　　2 核电厂DCS控制系统架构 　　核电厂的DCS系统在架构设计过程中最重要的原则是保证系统的安全性[7]，可用性、可靠性，而且同时尽量使用统一的品牌或系列产品来搭建控制系统，减少系统融合产生的底层不可控风险[8]；减小不同控制系统设计流程，设计风格，操作画面风格等的区别在设计，实施，运行等各个环节产生的负面作用，消耗大量的人力物力。但由于多样化需求和不同的安全级别有不同的性能要求，而且不同安全的等级的DCS控制产品在价格和功能上相差悬殊，在核电DCS控制系统中，必然会出现不同品牌或系列的设备。 　　2.1 不同安全级的系统需求的差别 　　核电厂DCS系统的安全级控制系统具有下述要求， 　　1）满足RCC-E 规则 　　2）冗余 　　3）失去厂外电时仍运行 　　4）环境和抗震（1 类）鉴定 　　5）计算机部件的硬件鉴定 IEC60780 　　6）软件鉴定 IEC60880 　　7）在役检查和定期试验 　　8）质保等级：Q1 　　非安全级控制系统无安全要求，质保等级为Q3/NC。 　　有特殊功能要求的非安全级设备需完全或部分满足下列要求： 　　1）适当的功能冗余 　　2）失去厂外电时仍运行 　　3）环境和抗震（1 类）鉴定 　　4）计算机部件的硬件鉴定 IEC60780 　　5）软件鉴定参考 IEC62138 　　6）在役检查和定期试验 　　7）质保等级：Q1/Q2 　　2.2 PLM输入信号的分级关系 　　PLM的输入信号可分为四大类：安全级系统控制命令，ECP，DAS系统，非安全级系统。其中ECP属于安全级设备，DAS为有特殊要求的非安全级设备。 　　四类控制命令的优先级应考虑到控制系统的整体设计意图，安全性，可靠性，进行全面分析再做判断。 　　首先，从设计意图的角度分析，安全级系