1、ICS 27. 120. 991 35.240.50 F 82 备囊号:1354-1998E.J 中华人民共和国核行业标准EJ /T 1060-1998 eqv IEC 643: 1979 数字计算机在核电厂仪表和控制中的应用Application of digital computers to instrumentation and control in nuclear power plant a l a- Ea- | . l . . | . E EE-EE- E . . EEE - | EE-E l l - EE-a l -EE- l 060531000131 1998-03圃25发布19
2、98-09”。1实施中国核工业总公司发布EJ/T 1060-1998 前言1988年等效采用国际电工委员会IEC643(1979)编制了国家标准GB9232-88数字计算机在反应堆仪表和控制中的应用。1991年标准清理整顿时,国家技术监督局决定将该标准调整为行业标准。此次修订是将国家标准转化为核行业标准,在技术内容上与原GB9232-88等同,仅格式与少数文字作了修改,编写格式符合GB/T1. 1-1993的规定。本标准与下列标准结合使用,可以对计算机在核电厂中的应用提供一般指导:EJ/T 529-90(eqvlEC 987: 1989) 用于核电厂安全重要系统数字计算机FEJ/T 890-9
3、4 核电厂安全有关计算机软件质量保证细则;EJ/T1058-1998(eqvIEC 880:1986) 核电厂安全系统计算机软件。本标准从生效之日起,同时代替GB9232-88。本标准由全国核仪器仪表标准化技术委员会提出并归口。本标准起草单位z核工业第二研究设计院。本标准主要起草人z陶永如、蒋明瑜。本标准委托全国核仪器仪表标准化技术委员会负责解释。EJ /T 1060-1998 IEC前言1)由所有对该问题特别关切的国家委员会都参加的技术委员会所制订的IEC有关技术问题的正式决议或协议,尽可能地表达了对所涉及的问题在国际上的一致意见。2)这些决议或协议以推荐标准形式供国际使用,并在此意义上为各
4、国家委员会所承认。3)为了促进国际上的统一,IEC希望g各国家委员会,在其国内情况许可的范围内,应采用IEC推荐的内容作为他们的国家规定。IEC推荐标准与相应的国家规定之间,如有不一致处,应尽可能在国家规定中明确指出。I 中华人民共和国核行业标准数字计算机在核电厂仪表和控制中的应用Application of digital computers to instrumentation and control in nuclear power plant 1 范围EJ/T 1060-1998 eqv IEC 643: 1979 本标准规定了在核电厂中采用计算机作为报警、测量、记录、控制及设备保护等
5、目的时所应遵循的一般原则。本标准适用于所有数字过程计算机系统在核电厂中的在线应用,也适用于和在线应用直接有关的离线应用。本标准也适用于数字计算机在其他核反应堆装置上的应用。本标准不适用于计算机在核反应堆保护方面的应用。2 定义本标准采用下列定义。2. 1 (计算机)例行记录(computer) log 一种格式预先规定的,由计算机系统自动或按要求对核电厂工况所作的易读的永久记录。2.2 可用性availability 计算机系统能够执行全部功能或某一指定功能所占时间的比例。2.3 可靠性reliability 在规定的条件下和规定的时间内能够执行所要求的功能的概率。2.4 在线on-line
6、计算机系统的一种工作方式,在这种方式中,正在执行的程序所用的输入数据自动地从核电厂过程中获取,这些数据表示核电厂当前的状态。通常,当系统处于在线状态时具备输出功能。2.5 离线off-line 计算机系统的一种工作方式,在这种方式中,正在执行的程序所用的输入数据与核电厂过程的当前状态无关。中国幢工业总公司1998-03-25批准”8-09-01实施1 EJ/T 1060-1998 3应用3.1 应用级别赋予数字计算机系统的任务按核电厂的运行要求分为四级,这四个级别对相应的计算机系统的可用性、冗余和可靠性具有不同的要求,详见3.4。3. 1. 1 第一级系统执行与反应堆保护有关的安全功能(不属于
7、本标准范围。3.1. 2第二级系统执行与反应堆运行及可用性有关的重要功能。如果没有计算机系统在基本数据、报警、控制或设备保护等方面的连续可用性,则反应堆不可能有效地运行。3. 1.3第三级提供数据、报警、控制或设备保护,以辅助操纵员增强对全厂的运行控制。系统的故障可能导致机组的运行性能退化,或可能使反应堆在几天之内失去或降低运行的灵活性。3.1. 4第四级提供核电厂运行的日常数据及用于辅助常规测量与报警。通常,它所涉及的信号可以由其它方法来检查。计算机故障不致引起全厂性能的明显退化。3.2 应用级别的确定在考虑由计算机执行核电厂的运行功能时,必须首先确定其应用级别,以便确定所需设备的冗余和可靠
8、性。根据功能短期或长期不能执行时所造成的后果可以确定其应用级别。在确定应用级别时必须十分仔细,应考虑到所需设备的替代或备用,以及经济、技术和安全等方面的因素。还应考虑到不同的运行、维护和管理人员所要求的信息等。3.3 计算机功能核电厂在线计算机能够执行下列任务za)核电厂运行状态的例行记录zb)根据模拟信号和双态信号检测报警状态pc)记录报警状态;d)显示核电厂信号的状态和数值,以便操纵员执行或辅助操纵员执行正确的操作;e)显示巳探测到的报警和当前存在的报警,以便操纵员执行或辅助操纵员执行正确的操作pf)通过计算推导出核电厂的运行信息及有关设备运行的数据,这些数据用于测量、物理评价、记录或审批
9、目的pg)通过信号处理和分析导出重要的报警Fh)特殊的显示或记录方法,以指示出历史状态、变化趋势、反应堆状况、核电厂的综合状况或配置z2 i)对测量系统的程序控制,如燃料元件包壳破损检测、中子注量率扫描等;j)与启动、停堆等有关的核电厂程序控制pk)通过执行控制算法来控制核电厂的运行sEJ/T 1060-1998 I)监督核电厂状态,提供联锁功能及直接防止操纵员的有害操作;m)在线确定停堆裕度和核电厂状态,以供操纵员进行判断Fn)对控制系统或设备保护系统或反应堆保护系统功能的自动测试;o)监督核电厂状态,并为保证设备安全或可用性而采取各种措施,直至停闭核电厂。3.4可用性和可靠性3. 4.1
10、概述如果一个系统是这样设计的z在某个系统元件发生故障时会引起系统的性能下降,则每种功能的可用性可以根据该功能被执行或可供执行的总时间进行计算。一项功能的可用性取决于执行该功能的设备的可靠性。为提高可靠性可以利用冗余部件,但应注意z由于利用冗余部件而必须附加的监督、切换或其他设备不得最终降低该功能的总可用性。计算机系统电惊的可靠性必须与所执行功能的应用级别相适应。3.4.2 可靠性要求3.4.2. 1 第一级不属本标准范围3.4.2.2 第二级对第二级应用,单一故障不得导致丧失整个计算机系统功能。为满足这一要求,系统结构有必要采用冗余部件。例如,一个提供广泛的测量监督和记录,以及提供直接数字控制
11、而又没有备用自动控制装置的计算机系统,其可靠性要求可属于第二级。这样的系统可以为核电厂保护提供有限的联锁,其计算机可能是双重的。3.4.2.3 第三级对第三级应用,可以允许单一故障导致计算机系统失去部分功能,在某些特定故障下甚至可允许导致整个系统失去功能。对这些特殊的故障,系统应能在反应堆的运行受到限制之前恢复工作。一个提供报警与数据、提供广泛的记录、监督与显示,并具有有限的程序控制及极少量备用仪表的计算机系统,其可靠性要求可为第三级。3.4.2.4 第四级对第四级应用,可以允许单一故障导致计算机系统失去全部功能。但是在设计计算机系统时应考虑选用可靠的设备以保证适当的平均无故障时间,并考虑提供
12、一些快速检测故障的手段。一个提供例行记录、模拟信号监督、核电厂状态显示、作为运行辅助手段的计算机系统,其可靠性要求可为第四级。4应用原则4. 1 一般原则4. 1. 1 系统功能3 EJ/T 1060-1998 计算机系统可以向核电厂操纵员提供控制和信息两类功能。这些功能及显示设备、打印机以及计算机系统运行的控制等应在核电厂的控制室设计及运行设计中统一进行考虑。4. 1. 2 系统设备计算机系统设备的设计中应考虑到能适应不同类型的核电厂仪表及报警信号,应能承受可能存在的电气干扰,输入信号的采样速率应与核电厂的特性相适应,计算机的响应时间应与所执行的功能相适应。规划计算机系统应考虑其安装地点、工
13、作环境及电源情况,还应考虑运行与维护人员、备件及故障修复等因素。4.1. 3 系统状态指示应向核电厂操纵员提供计算机运行状态的直接指示。计算机的重大故障应给出报警,同时计算机本身还应显示其设备中的故障信息。4. 1. 4 操纵员对计算机功能的控制操纵员对计算机的在线运行应能进行简单而直接的控制。可以通过按钮、键盘等方式进行。当操纵员请求某一功能时,计算机应能在ls内给出一个确认信号。在一项功能完成时则应提供一个完成信号。对涉及监督、控制或设备保护的功能,为运行所用的或保护所用的整定值及控制必须采取措施防止随意变动,如加“锁”或采取适当的行政控制。4. 1. s 显示控制对报警显示和数据显示的控
14、制应采用靠近显示装置的按钮、开关或其他交互式的方法执行。应有一个关于显示内容的索引供操纵员使用。对显示请求的响应时间应与其应用相适应。显示应包含有交替的或变化的标志,以指示下述状态zu计算机运行Fb)数据更新周期Fc)计算机循环操作Fd)被确认的操纵员请求。4. 1. 6 系统运行系统运行的具体方式应与其应用级别相适应。为了装入、初始化、启动、停止及重新启动计算机系统的程序,需要有一些相应的设备与软件。为使系统功能在切换时能保持连续,需要有一定的程序。还需要有一些在线故障检测程序与自监督程序以便检测系统设备性能是否失效并提供这类故障的指示与记录,以及自动切换到某个备用设备上。程序、用于确定记录
15、和显示内容的系统数据、报警水平、系统参考数据、控制与设备保护整定值等可能需要修改,修改的方法应具有一定的安全性,其程序根据该修改对反应堆运行、控制及设备保护所产生的影响大小而定。还应考虑一些行政管理手段、正确性检查以及对程序与数据变更的记录。4 EJ/T 1060-1998 4.1. 7 系统程序计算机程序中,不希望的或不正确的程序运行方式常是由于程序技术要求的错误、逻辑错误,以及执行和编码中的错误而引起的。应特别注意程序结构的清晰和简明、程序模块文件的编制。程序要分为一个个带有确定接口的独立模块。应考虑程序模块之间的相互影响,还应考虑在出现不正确的或不希望的程序模块时及出现硬件故障情况下系统
16、的行为。需要有合适的自监督程序。为保证系统能满足要求的功能,应对其性能进行分析。应根据所要求的总的系统特性,对不同的运行环境估计程序的执行与响应时间。这种分析包括z考虑每个程序模块在每种极端输入数据下的性能,及考虑许多程序模块一起工作时的性能。可能的话,这种分析应在程序的具体细节完成之前就进行。程序模块和整个计算程序应投入在线运行之前全部经过测试并形成文件。程序模块需经过单独运行及与其他程序共同运行以进行检验测试,性能分析的结果需要通过实际测试来核实。各程序模块的测试结果与整个程序的测试都应记录下来。4.2 例行记录和记录的应用4.2. 1 概述计算机系统可用于提供核电厂各种状态的记录。这些记
17、录可用打印输出、磁盘或其他方式提供。例行打印的记录用于辅助核电厂特性的即时分析与核电厂特性的长期分析。所有例行记录应包括核电厂标志、机组标志、日期与时间,由计算机直接打印在规定的位置上。对每种记录应提供手动启动方法。例行记录的打印格式应容易理解。对于快速瞬变过程(例如电气故障需要有专用设备以便记忆瞬变发生的顺序。4.2.2 例行记录例行记录可供管理和运行使用。它们为每天的运行分析、换班情况、报警与历程记录提供信息。一个合适的计算机系统,例行记录可包括长期与短期的热平衡、事件历程、趋势,以及主要参数平均值的自动累计等内容。为进行离线分析及性能评价还需要有所有输入量的记录。在计算机系统用于核电厂控
18、制时,对被选择的控制操作与控制状态的变化,要求能自动启动记录。在计算机用于设备保护时,自动记录应由引起保护动作的各种状态构成。可以提供一种记录,能指示在被选择的事件发生之前、发生过程中及发生之后核电厂各重要参数的测量值。应仔细、精确地确定这种记录的起始条件。应避免过量的输出信息。记录应清晰地表示事件的时间顺序。对某一重要事件发生前后的模拟趋势应记录一段有意义的时间,这要由事件本身及每个有关变量的采样间隔而定4.2.4 报警记录5 EJ/T 1060-1998 报警记录应按时间先后表示由计算机探测到的所有报警,应列出探测到的时间和报警的名称。对于模拟倍号的报警,应有相应的模拟信号值或该信号的报警
19、限值。记录可以按例行时间间隔或按要求进行打印。报警记录应清晰,适于进行即时分析。应能提供单独的报警记录,指出所存在的所有报警以及那些被消除或抑制掉的报警或输入信号。4.2.S 核电厂状态记录计算机可提供核电厂中各种无报警指示的状态及有关这些状态变化的记录。4.3 核电厂监督4.3. 1 模拟报警状态监督应采取措施使模拟信号和数字信号以例行时间间隔进行检查,该时间间隔依据核电厂中重要的瞬变过程来选择。要求对任一模拟信号均可设定报警极限。在报警信号是由其他信号导出的情况下,要求进行特殊的检查。在要求对变化率设定报警极限时应注意避免发生假报警。在有滞后逻辑或确认逻辑时,应注意避免不正确地抑制某些报警
20、。模拟信号的报警检查应简单、直接,使核电厂操纵员能直接了解所测到的故障的性质。报警信号的处理方法应与计算机测到的双态信号报警的处理方法相同。希望具有探测输入信号故障的设备。对报警信号电平可设置一个死区,以减少报警状态变化的次数。应能从报警监督中将某些已知是错发的独立信号除去。4.3.2 双态报警状态监督应采取措施监督双态输入信号的状态以检测出报警状态。对表示报警的双态信号,全厂应建立统一的规定。有些双态输入信号,只是指示核电厂各种状态,不具有报警意义,应与报警有明确区别。4.3.3 核电厂报警状况核电厂可以直接根据模拟信号或双态信号报警,也可以间接根据这些信号经过逻辑处理后报警。报警的现有状态
21、应保存下来以便为报警记录、显示和分析所用。4.3.4报警分析在计算机系统检测到许多报警时,希望能从中检出造成核电厂故障的最重要报警,并显示给操纵员。检出最重要报警的分析方法应快速而简单。不希望为检出这种报警而要求对其他报警状况进行大量的程序搜索,或要求大量的与外存储器之间的数据传迭。报警分析的步骤为za)按预先规定的级别,确定紧急报警或非紧急报警Fb)动态检查,在检测到一个报警时,要将它与已有的报警比较,根据预先确定的准则判断它的重要性F况F6 c)利用预先确定的报警逻辑处理方法进行逻辑运算,以将报警分类或推导出报警状EJ/T 1060-1998 d)根据其他输入信号与报警进行逻辐运算,以确定
22、一个报警的显示。对某些未曾预料到的核电厂情况,操纵员应能使计算机显示出检测到的、未经处理的核电厂状态原始信息。这特别适用于有报警自动抑制的情况。4.4 显示系统4. 4.1 概述屏幕显示器为字符和图形信息提供了一种快速而灵活的输出方法,可供操纵员及有关专家所用。所有显示应设计清晰,显示配置应遵循人因工程原则。核电厂状况的模拟数据应以能满意地反映出核电厂状况变化的速率更新,报警数据则应在测出有变化时刷新。应能按请求永久记录任何显示。应考虑显示的修改方法。4.4.2 数据显示数据显示应清晰地显示出每个信号的名称及其数值(采用适当的单位)或状态。应通过研究核电厂的各种物项的运行、日常的或标准的运行方
23、式及特殊的参数监视要求来进行显示的设计。可能有益的显示内容有ga)各模拟信号输入;b)各双态信号输入;c)自动于动状态或控制系统状态Fd)从采样中删除的输入Fe)各输出状态;f)各储存信息。4.4.3 趋势显示应用图形形式显示某些被选定信号的过去值。按照人因工程的原则,应能稳定地显示过去的趋势,最新的值则加到图形的右边。对过去的值的累积时间应按核电厂的性能进行选择,典型的累积时间为30min。对被选择的可进行趋势显示的参数,应考虑能够将计算机所记录的过去值进行打印或其他方式的永久记录。.4.4 核电厂模拟图显示核电厂的各种状态与测量值可以显示在模拟图中。核电厂中各部分之间的关系以模拟图表示,各
24、种状态则以彩色和符号指示。应考虑被显示的信息的记录方法。4.4.5报警显示提供给操纵员的报警显示必须快速而简单,显示过程应尽可能接近于常规报警显示系统已有的工作过程。报警信息可用一组顺序排列在页面显示,操纵员通过简单的控制操作能够从一页转到相邻的一页。操纵员应能得到任一报警显示的永久记录。报警显示的设计应能保证在突然检出大量报警时不会反过来影响系统的性能或导致报警信息的丢失。在核电厂出现任何数量的报警时,报警显示系统应正常工作。7 EJ/T 1060-1998 一个报警的显示形式可由一个参考代码(如输入地址和一个清楚而不会混淆的名称组成z采用缩写应符合金厂专门术语的规定。4.S 计算4. S.
25、 I 核电厂性能计算按照反应堆类型可能有下列计算任务za)反应堆热功率输出:b)中子注量率(通量分布zc)功率密度分布Fd)烧毁比(DNBR);的临界热通量比3f)核电厂性能的电力计算、热力学计算和流量计算EU汽轮机与核电厂其他设备性能ph)控制棒燃耗zi)燃料管理;j)单个燃料元件的燃耗FU堆芯燃耗;l)铀平衡zm)坏平衡pn)堆芯反应性po)缸典中毒预报Fp)控制棒位置;q)为装料预测计划提供控制方案;r)放射性排放物Fs)能谱分析;t)燃料元件包壳破损;等等。4.S.2 计算说明不论是在线还是离线进行的核电厂性能计算都应考虑到仪表的限制。对性能计算应作出明确的定义,指明有关公式、核电厂运
26、行状态参数、所用的信号与常数及计算的目的等。8 在编制核电厂性能计算说明书时,必须考虑zu结果是可复现的zb)核电厂仪表的精度;c)指明计算时所对应的核电厂状态zd)明确规定计算的目的pe)规定所用的公式Ff)对常数(不变量)和参数变量应加以区别zg)明确规定对测值的合理性检查FEJ/T 1060-1998 h)明确规定定时要求。在确定一项计算是在线执行、离线执行或是在另外的计算机上执行时,应考虑所要求的信息对核电厂运行的及时性。如果一项计算每天都要频繁进行以保持满意的运行,或者这项计算要利用核电厂当前的数据,则应该在线执行。如果计算不频繁,是为核电厂长期运行所用,或者应用级别许可,则可由离线
27、计算机系统执行如果计算时需要大量的、通常没有保存或不易保存在核电厂计算机中的数据,则应在另外的计算机上执行。4.6 核电厂控制4. 6.1 程序控制计算机系统可用于核电厂启动、停闭和备用选择的自动程序控制,也可用于采样或顺序扫描测量系统的控制及换料操作控制。应许可手动控制将核电厂与计算机隔离。需要有一个控制接口系统,以使计算机的输出与控制室及整个核电厂的控制功能相匹配。计算机程序应组成一些直接与程序控制任务有关的功能组。这些功能组应许可每项控制任务独立投入核电厂试运行,并应许可更改,以适应核电厂特性的变化。对受到控制的核电厂的状态应由计算机进行检查,以便发现不正确的控制输出或核电厂执行机构的误
28、动作。4. 6. 2 闭环控制计算机可用于核电厂正常运行的直接数字控制DDC)。其优点是改善了控制的灵活性及提供了自适应控制的可能性。应按照所要求的控制系统可靠性十分仔细地确定计算机的应用级别。闭环控制计算机可以工作在两种水平上:a)输出整定值给常规运行的控制l装置Fb)直接输出控制信号。应特别考虑计算机为获取、处理数据及输出控制信号所需的时间。关于控制传输设备、敏感元件或执行机构等故障后的措施及计算机设备故障后的措施等问题,应遵循控制系统设计准则。这些原则不属本标准范围。计算机系统应许可在正常运行状况下更改所有的控制参数。这些参数可以是整定值、控制常数及偏离值等。所有使用中的参数值应可输出给
29、操纵员。4.7设备保护计算机系统可用于设备保护及联锁,特别适用于涉及大量数据的复杂逻辑运算与计算的设备保护。计算机保护系统可以包括数据采集、信号测定、计算、逻辑运算、启动设备保护动作或防止不正确的操作等在采用计算执行设备保护之前,应规定故障检测的准则,并确定系统或设备的行为及从故障发生到采取校正动作时间对用于设备保护的计算机系统,应仔细确定其应用级别。计算机系统可以通过联锁、紧急停堆、停堆及降负荷等手段保护设备免遭损坏。这些功EJ/T 1060-1998 能所要求的可靠性,连同所配备的独立保护设备一起,决定了系统的应用级别。当某一设备保护功能在核电厂的一些特殊状况下(如启动或改变运行方式时仅由计算机来承担时,则系统的设计应使这时的计算机故障能启动联锁或保护功能。但在核电厂另一些运行状况下,则应防止由于计算机故障而启动联锁或保护功能。对第三级应用,计算机系统对设备保护,只具有辅助功能,它隔离独立的保护设备以免在计算机系统故障时限制了电厂的运行。对第二级应用,则必须具有冗余系统,使单个计算机系统故障时仍能提供保护。10 gsle嚼。闸咬吕
