CN107924723B

CN107924723B - 核电站安全管理系统

Info

Publication number: CN107924723B
Application number: CN201680038115.7A
Authority: CN
Inventors: V·L·基什金; A·D·纳里茨; M·I·莫伊谢耶夫; A·I·诺维科夫; P·S·卡尔波夫; D·S·季莫欣; S·Y·格里岑科; A·L·梅伊拉赫什; A·A·诺维科夫
Original assignee: Federal State Unitary Enterprise All Russian Research Institute Of Automatics
Current assignee: Federal State Unitary Enterprise All Russian Research Institute Of Automatics
Priority date: 2015-06-25
Filing date: 2016-06-10
Publication date: 2021-01-22
Anticipated expiration: 2036-06-10
Also published as: KR20180032532A; EP3316260A4; EP3316260A1; WO2016209113A9; CN107924723A; KR102278287B1; RU2582875C1; WO2016209113A1

Abstract

本发明涉及计算机工程，可用于核电站(NPP)安全管理系统。系统括多个相同的安全通道，每个通道都有技术进程信号的输入输出站_1‑n、优先执行控制站_1‑m，与单元控制室和备用控制室相连接、自动安全调节器、安全设备输入输出流，使自动安全调节器与输入输出站和优先控制站交换数据、以及通过交叉双工光纤链路与其他安全通道连接起来的设备。此外，两套独立的软件和硬件形成子通道A和B，用于执行安全通道的功能，每个通道都包含各子通道的自动安全调节器，每个子通道的输入输出流具有树状结构，上部的根源节点是自动安全调节器的自动化信息处理模块，下部节点是输入输出站_1‑n的通讯信息处理模块以及优先控制站_1‑m的优先执行模块，中间的节点是通信模块。

Description

核电站安全管理系统

技术领域

本发明涉及自动化和计算机技术，能够适用于核电站自动控制(电站自动控制)和管理系统，其目的在于建立核电站安全管理系统(核电站安全管理系统)。

背景技术

已知的核电站数字化保护系统(美国专利号No.6049578，国际专利等级G21C7/36，MPK G21C 7/36专利公开日期2000年4月11日，模拟装置)由四个相同的处理和管理通道组成，通过对比可测参数和指定设定值的参数以及在参数超出设定范围时执行用户设定的保护措施，来识别是否出现紧急情况。安全通道之间相互独立，通过光纤线路相互交叉连接。每条通道由模拟传感器、离散传感器(这些传感器同时与通道相连)，数字模拟转换器(确保可测模拟信号在输出端转换成数字模式)、双稳态触发器，逻辑对应处理器、执行机制控制程序启动逻辑处理器以及核反应堆自动保护装置组成。双稳态触发器将自身通道的可测数字信号转换成工艺参数，检查可测参数是否超出设定范围，根据每个参数形成二进制误差记号，把这些记号通过光纤线路传递到其他的处理和管理通道中。逻辑对应处理器接收到来自该通道双稳态触发器的二进制误差记号的信号参数，根据相应的参数从其他通道通过光纤线路传输接收误差信号。按照每一个参数逻辑对应处理器对输出的记号是否达到第4通道的2个零界值。如果逻辑对应处理器发现第4通道中2个零界参数值发生误差，逻辑启动处理器将做出必要的指令关闭反应堆、激活数字化安全装置。

防护系统存在着明显的缺陷，安全通道建立在相同的数字硬件处理和管理基础上，基本和系统软件相同。这可能会导致所有的安全通道由于同样的原因出现故障，这些故障是由可编程硬件中的隐藏故障和基本和系统软件中的隐藏错误引起。

已知的核电站数字化管理系统和安全参数保障措施(俄罗斯专利号2356111，MPKG21C 7/36专利公开日期2009年，原型机)由三个完全一样的单独安全通道组成，通过分析来自传感过程的参数数值对设备进行评估，在突发紧急情况时采取控制保护措施。每个安全通道包括输出端信号输出装置，比较器，控制形成装置，联锁装置和执行机制控制装置。输出装置是用于输出模拟信号和使其转换成数字模式的一种装置。比较器是用于比较计算出的参数值和先前设定好的参数值和启动控制信号装置的一种装置。联锁装置正是按照该种信号生成执行机制控制信号。

本控制系统存在着明显的缺陷，安全通道结构相同，用相同的硬件软件上构成，数字设备中隐藏的故障以及基本和系统软件中的隐藏错误可能导致出现共同原因的故障。

发明内容

本发明能够避免以上不足。

本发明的技术结果在于排除了所有安全通道由于同一原因出现故障，这是因为每一条安全通道都有两套独立的软件硬件，建立在不同的软件硬件平台上，完成安全通道的所有功能，每条通道的双重设备冗余提高多通道安全控制系统的可靠性。

该技术成果如下：在有许多相同安全通道的核电站数字化安全管理系统中，每条安全通道包括信号输入输出站_1–n，优先控制站_1–m与单元控制室，备用控制室相连接，自动安全调节器与信号输入输出站，优先控制站交换关于自动安全调节器数据的安全设备输入输出流，通过光纤线路与其他安全通道相连，信号输入输出站，优先控制站和每条安全通道的自动安全控制器的自动安全控制设备都有两套相互独立的软件硬件，形成分流道A和分流道B，建立在不同的软件硬件平台上。每条分流道完成安全通道的所有功能，安全管理系统的每条通道包括流道A自动安全控制器A和分流道B的自动安全控制器B，每条分流道相应地通过建立在Ethernet接口和专门的数据通信协议的基础上“点对点”类型的处理器间接口А，处理器间接口与其它安全通道的自动安全控制器A和自动安全控制器B的控制器连接，通过正常运行的系统冗余转换流与正常运行系统连接，正常运行建立在Ethernet转化接口的基础上，环形结构将网络交换机和特殊的数据通信协议联系起来，通过处理器间接口₁А的通信流的线路和处理器间接口1B的通信流线路与单元控制室和冗余控制点连接，处理器间接口А和处理器间接口₁B建立在“点对点”类型的Ethernet接口和专门的数据通信协议的基础上，与安全通道的_1-n输入输出站_1-m执行控制站连接，通过专门的安全设备输入输出流，分流道А的安全设备输入输出流А，分流道B的安全设备输入输出流B与其它安全通道的_1-m执行控制站连接，在这种情况下安全设备输入输出流A的每一条流。安全设备输入输出流呈“树状”结构，其最高节点是自动化控制器А的安全设备自动化信息处理模块А，自动化控制器B的安全设备自动化信息处理模块B，最低节点是信号输入输出站_1-n的通讯信息处理模块和其他安全通道的优先控制站_1-m，而中间节点是通信模块，在这种情况下安全设备输入输出流А的节点和安全设备输入输出流B的节点之间的联系通过《点对点》类型的双工串连接口线路完成。输入输出站包括有连接通讯信息处理模块_1-k的处理器的信息模块，还有2个通讯模块—接口转换器：安全设备输入输出流А的通讯接口转换器А和安全设备输入输出流B的通讯接口转换器B，在这种情况下通讯接口转换器А的模块，通讯接口转换器B的模块通过单独的模块信息线路与自动安全调节器А和自动安全调节器B的自动控制器连接，通过单独的信息线路与通讯信息处理模块_1–k的每一个模块连接，与输入输出站的_1-k通讯信息处理模块的处理器连接的信息模块包括分流道A的处理器和分流道B的处理器，这两个处理器通过安全设备输入输出流A和安全设备输入输出流B的站内线路与通讯接口转换器А和通讯接口转换器B的通讯模块相连，并相应地接入分流道А的通讯接口转换器А和分流道B的通讯接口转换器B。每优先控制站包括优先控制模块_1-e，安全设备输入输出流А分流道A与安全设备输入输出流B分流道B的通信模块：表决转换模块A，表决转换模块B和表决模块A，表决模块B，入口道N《N选2》。优先控制站的安全通道的每一条分流道都由N个站组成，优先控制站的数量由安全通道的数量决定，在每一条安全通道的分流道А中优先控制站组₁的第一个站通过安全设备输入输出流А的信息线路与该安全通道的自动安全控制器А的控制器连接，其他的优先控制站_2-N与其它安全通道N-1的自动安全控制器А的控制器连接，每个优先控制站的表决通讯模块А的通讯模块与该优先控制站的表决模块А和优先控制站组的其它站的通讯模块А连接，每个优先控制站的通讯模块А通过安全设备输入输出流А的信息线路与优先控制模块连接_1-e，在每一条安全通道的分流道B中优先控制站组的优先控制模块与每一条安全通道的自动安全控制器B的自动控制器的联系实现方式与分流道A相似。优先控制站的每一个优先控制模块_1-e包括安全设备的输出驱动器的逻辑优先级控制—分流道A的安全设备的优先级控制和分流道B的安全设备的优先级控制，他们通过安全设备输入输出流A和安全设备输入输出流B的内部站间线路与分流道A的通讯模块A和分流道B的通讯模块B连接，通过安全设备输入输出流A和安全设备输入输出流B的总流相应地接入分流道A的自动安全控制器А和分流道B自动安全控制器B。每条安全通道的分流道A的自动安全控制器А包括自动化信息处理模块А和А通讯模块MP-4，安全设备输入输出流A的分支模块4通过安全设备输入输出流A的信息线路与安全设备自动化信息处理模块A的自动处理模块连接，与输入输出站_1-n的通讯接口转换器А的通讯模块连接，与该安全通道优先控制站的表决通讯模块A的通讯模块连接，与其它安全通道的优先控制站_1-m的表决通讯模块A的通讯模块连接，每条安全通道的分流道B的自动安全控制器B在组成和联系上与分流道A类似。

分流道A和分流道B的成套软件硬件完成安全通道的所有功能，建立在处理器和输出驱动器的逻辑优先级控制的基础上，处理器和输出驱动器的逻辑优先级控制的结构，基本和系统安全硬件与软件开发工具和硬件逻辑不同，满足了多样性要求，排除了安全管理系统的所有通道由于安全软件硬件的隐藏错误出现故障的可能性。

每条安全通道中的两套软件硬件通过每条通道的双重设备冗余提高系统的可靠性。

附图说明

图1–8解释了本发明的本质。

图1和图2示意性地表示出了四通道安全管理系统的结构，其中，1-输入输出站CBB_1-n，n一条核电站安全管理系统通道中站的数量；2_a-安全系统自动调节器，分流道А；2_b-安全系统自动调节器，分流道B；3-优先控制站_1-m；m–核电站安全管理系统内优先控制站数量，4_a–处理器间接口A的自动安全调节器A与自动安全调节器A和其他安全安全保护通道连接；4_B–处理器间接口B的自动安全调节器B与自动安全调节器B和其他安全安全保护通道连接；5-正常运行的EN备用总线；6-EN总线的网路交换器；7_a–安全设备输入输出流А分流道А；7_B–安全设备输入输出流B分流道B；8–执行结构控制信号；9-控制与保护系统；10₁–核电站数字化管理系统每通道的通信线与单元控制室的优先控制站；10₂–核电站数字化管理系统每通道的通信线与备用控制室的优先控制站；11_a1-处理器间接口₁A自动安全调节器A每安全保护通道与单元控制室连接；11_a2-处理器间接口₂A自动安全调节器B每安全保护通道与备用控制室连接；11_B1–处理器间接口₁B自动安全调节器B每安全保护通道与单元控制室连接；11_B2-处理器间接口₂B自动安全调节器B每安全保护通道与备用控制室连接。

图3中给出了输入输出站的结构示意图(以通道1的输入输出站₁为例)，其中：7_a-输入输出流碎片，分流道A，7_b-输入输出流碎片，分流道B，12₁-12_k–通讯信息处理模块和通信模块，k-输入输出站内通讯信息处理模块数量，13-通讯接口转换器的通信模块，分流道A，14-通讯接口转换器分流道A和安全设备输入输出流А 7_a的通讯信息处理模块12₁-12_k通信线；15₁–输入输出站₁的通讯接口转换器A 13和安全设备输入输出流А 7_a的自动安全调节器A；16-通讯接口转换器的通信模块，分流道B，17-通讯信息处理模块12₁-12_k的通讯接口转换器A 13和安全设备输入输出流А 7_b的自动安全调节器A；18₁-输入输出站₁的通讯接口转换器B 16和安全设备输入输出流А 7_b的自动安全调节器B。

图4中给出了优先控制站结构示意图的方案：安全设备自动化信息处理模块21分流道A与通讯接口转换器的安全设备输入输出流A通信线；17-安全设备自动化信息处理模块22分流道A与通讯接口转换器的安全设备输入输出流B通信线；19-通讯信息处理模块；20-模数转换器；21-安全设备自动化信息处理模块A分流道A；22-安全设备自动化信息处理模块B分流道B。

图5示出了通过由4个优先控制_1-4组成的自动安全调节器组，安全通道4与自己的调节器和另外4个安全通道自动安全调节器的通信结构，其中7_a-分流道A的安全设备输入输出流A的碎片；7_b-分流道B的安全设备输入输出流B的碎片；23₁–23_e-优先控制模块，e-优先控制站中优先控制模块的数量；24–分流道А的表决模块А中按照"4选2"原则的表决模块；25–分流道А表决转换模块А中的表决转换模块；26–表决转换模块А 25与本安全通道或其它的安全通道的自动安全调节器А的调节器通过安全设备输入输出流А 7_a联系的信息线路；27–站组的优先控制站的表决转换模块А(通信模块А)的模块与站组的其它3个站的通信模块А(表决转换模块А)的模块通过安全设备输入输出流А联系的站间信息线路；28–分流道B的表决模块B的表决模块；29–分流道B的表决转换模块B的表决转换模块；30–表决转换模块B 29与本安全通道或其它安全通道的自动安全调节器B的调节器通过安全设备输入输出流B 7_b联系的信息线路；31–站组的优先控制站的表决转换模块B(通信模块B)与站组的其它3个站的通信模块B(表决转换模块B)通过安全设备输入输出流B联系的站间信息线路；32-表决模块A 24的模块与优先控制模块23₁–23_e通过安全设备输入输出流А 7_a联系的信息线路；33-表决模块B 28的模块与优先控制模块23₁–23_e通过安全设备输入输出流B7_b联系的信息线路；34-表决转换模块А 25与本站的优先控制站的通信模块А联系的信息线路；35-表决模块B28与本站的优先控制站的通信模块B联系的信息线路。

图6示出了通过由安全设备输入输出流A，分流道A 4个优先控制站_1-4组成的正常运行的自动化控制器A和其他自动化控制器A组，安全通道1与自己的调节器和另外3个安全通道调节器的通信结构，其中24–表决模块，分流道A；25–表决转换模块A，分流道A；26(26₁₁，26₂₂，26₃₃，26₄₄)–通过安全设备输入输出流A将通道1站的表决转换模块A与正常运行的自动化控制器A自己(通道1)的调节器和其它3条安全通道联系起来的通信线路；27(27₁₂，27₁₃，27₁₄，27₂₁，27₂₃，27₂₄，27₃₁，27₃₂，27₃₄，27₄₁，27₄₂，27₄₃)–通过输入输出流A将每一个优先控制站_1-4站的表决转换模块A块与该组其它3个站的模块联系起来的站间通信线路A；32-通过输入输出流А7_a表决模块A 24与优先控制23₁–23_e模块联系起来的通信线路；34-将优先控制站中的模块A 25与模块A 24联系起来的通讯线路。

图7给出了优先处理模块的结构示意图，其中：10₁-来自单元控制室的遥控线的执行结构；10₂-来自备用控制室的遥控线；32-安全设备输入输出流A，分流道A的通信线路；33-安全设备输入输出流B，分流道B的通信线路；36-输出驱动器的逻辑优先级控制A，分流道A可编程逻辑示意图；37-输出驱动器的逻辑优先级控制B，分流道B可编程逻辑示意图；38-输出驱动器的逻辑优先级控制；39-执行结构的通信线路；40-向执行结构发出的控制命令状态的调查反馈。

图8中给出了自动调节器А的自动调节器A道1的结构示意图，其中7_a-信号输入输出站部分A分流道A；4₁₂，4₁₃，-自动调节器A通道1与自动调节器A通道2，3，4联系的处理器间接口A分流道A；5₁，5₂-正常运行的冗余流EN；11₁₁，11₂₁-通过接口处理器间接口₁A分流道A，处理器间接口₂A分流道A将通道1安全设备自动化信息处理模块的自动处理器与优先控制和备用控制其联系起来的接口；15₁，15₂，15₃，15₄-通过安全设备输入输出流A将通讯模块AMP-4 41_р-1与通道1的信号输入输出站₁，信号输入输出站₂，信号输入输出站₃，信号输入输出站₄联系起来的通讯线路；26₁₁，26₁₂，26₁₃，26₁₄-通过安全设备输入输出流A将通道1，2，3，4的优先控制站A_1-4站与MP-4 41₂模块联系A起来的通讯线路；41₁-41_p-通讯模块A MP-4，分流道A；42-安全设备自动化信息处理模块A分流道A，43_1-p-安全设备自动化信息处理模块与通信模块A MP-4 41_1-p的通信线路。

具体实施方式

例子中是第4条通道安全控制系统图1和图2中给出了核电站安全管理系统成套软件硬件的工作示意图。

每个安全通道的输入输出站接收模拟过程和二进制信号，把它们数字化，然后通过安全输入输出流A 7_a分流道A，安全输入输出流B 7_a分流道B传达到安全自动通道调节器就是安全自动通道调节器2_a分流道A，安全自动通道调节器2_b分流道B。按照输入输出站安全自动通道调节器2_a分流道A，安全自动通道调节器2_b分流道B的命令生成并输出控制与保护系统的信号。

安全自动通道调节器2_a，安全自动通道调节器2_b将接收到的模拟和二进制信号的数字值转换成工艺处理参数，通过处理器间接口6将它们发送到其他安全通道的安全自动通道调节器A 2_a，安全自动通道调节器B 2_b从这些安全通道中获取处理参数，并产生参数的程序选择用于进一步处理按照《4选2》的规则在第一级的通道间的交换和多数冗余。安全自动通道调节器A2_a，安全自动通道调节器B 2_b将按照多数规则选择的过程参数与核电厂安全运行的限制进行比较。在完成保护算法和处理结果中间变换的几个阶段将所获得的过程参数的进一步处理，通过处理器间接口A 4_a，处理器间接口A 4_b进行通道间交换，在每个阶段进行大部分处理。

如果安全自动通道调节器2_a，安全自动通道调节器2_b通过分析处理的输入参数检测到紧急情况，它通过安全设备输入输出流7_a，安全设备输入输出流7_b生成和发出用于在其安全通道的优先级控制站_1-m 3中启动保护动作的命令，以及在第二级通道交换中的其他安全通道站优先控制站3中发起保护动作的命令。

如果紧急情况需要停止发应堆，那么安全自动通道调节器2_a，安全自动通道调节器B 2通过安全设备输入输出流7_a，安全设备输入输出流7_b向输入输出站发出控制控制与保护系统的命令。

操作过程中，安全自动通道调节器2_a，安全自动通道调节器2_b通过正常操作的冗余流EN 5将输入输出站和优先控制站安全自动通道调节器2_a，安全自动通道调节器2_b的情况反馈信息形成和传送到正常操作系统的上层。通过EN流从正常操作系统接收中的安全自动通道调节器2_a，安全自动通道调节器2_b信息被阻止。

优先控制站_1-m接收来自自己通道安全自动通道调节器2_a，安全自动通道调节器2_b和其他安全通道的安全自动通道调节器发出的控制执行装置的指令通过安全设备输入输出流7_a，安全设备输入输出流7_b，并且在通道间交换和有表决电路的重量备用装置第二级别上按照“4选2”冗余原则来处理。

按照“4-x选2”的多数原则选出来的控制命令由按照自动安全控制器А2_a，自动安全控制器B 2_b优先控制站_1-m 3形成执行设备13的控制信号。执行设备13的控制命令通过1-m优先控制站的关键流程图进入到执行设备中，从自动安全控制器А2_a.自动安全控制器B2_b打开命令。自动控制器读出生成的传送给执行设备8的命令，通过优先控制站_1-m的逻辑反馈信息发出执行设备8的控制信号，检查准备发给执行设备8的命令和数据是否相符，排除由于优先控制站的故障导致发给执行设备8错误控制信号的可能性。

安全通道的站点优先控制站_1-m3也获取来自其他控制中心的控制指令：单元控制室，备用控制室并按照控制中心的优先考量形成执行装置8的控制信号。

单元控制室和备用控制室按照图2所示，以导电连接方式直接接入到每个安全通道的CПy_1-m3站点，还通过处理器间接口₁A 11₁，处理器间接口₁B处理器间接口₂A 11₂处理器间接口₂B 11_b2接口的有线连接接入到安全自动通道调节器2_a，安全自动通道调节器2_b，以太网类型Ethernet为《点对点》，具有数据级别的特殊通信协议。

在有线连接10₁，10₂上，将二进制控制信号从单元控制室和备用控制室传输到优先控制站_1-m 3，从优先控制站_1-m 3传到优先控制和备用控制室的是——信号，能反映优先控制站点的状态和执行装置8到安全面板的输出。

通过处理器间接口A₁ 11_a1，处理器间接口₁B 11_b1и处理器间接口₂А11_a2，处理器间接口₂B 11_b2接口的有线连接，从自动安全调节器А2_a，自动安全调节器B 2_b传送到优先控制和备用控制室的有完成保护算法的诊断信息，以及关于执行机制状态和优先控制模块状态的拓展诊断信息。

每一个输入输出站_1-n1和每一个优先控制站_1-m3包括两套相互独立的分流道A和分流道B软件硬件，符合多样性的要求，通过单独的安全系统通道与分流道A的自动安全控制器А 2_a和分流道B的自动安全控制器B 2_b一起完成安全通道的所有功能。

输入输出站点的结构如图3所示，在通道1的输入输出站₁分流道A和B上有：通信模块：通讯接口转换器A 13安全设备输入输出流7_a，和通讯信息处理模块B 16安全设备输入输出流7_b有关的模块，还是通过通讯信息处理模块12₁-12_k分流道A和B的软件。模块通讯信息处理模块A和B通过安全设备输入输出A13，安全设备输入输出B 17的独立线路连接而联合在一起，串列腔室双联接口以《点对点》的方式跟每个通讯信息处理模块12₁-12_k模块连接，在安全设备输入输出A 15₁流的有线连接上—与自动化调节器A分流道A和自动化调节器A分流道B连接。

通讯接口转换器A 13，通讯接口转换器B 16分配指令和来自调节器A和B经15₁18₁线路进入的数据，到和通讯信息处理模块相连的有线连接14，17上，并集中来自通讯信息处理模块经线路14，17进入的数据，到输入输出站和自动安全调节器的15₁，18₁有线连接上。通过有线连接15₁，18₁可以实现在通讯信息处理模块点的每个模块上引入输出器用于传输和接收来自自动安全调节器的数据。

模块与通讯信息处理模块12₁-12_k进程相关，执行接收和再现的功能，再现的是过程的模拟和二进制信号，模块将过程的输入信号转换成数字形式，并且将输出信号的数字值转换成模拟形式，对输入信号进行初步处理，与经由安全设备输入输出流7_a和安全设备输入输出流7_b和自动安全调节器A和B的有线连接14，15₁，17，18₁自动安全调节器相连。

通讯信息处理模块中分流道A和B的设备组成在模拟输入信号的通讯信息处理模块的框图中表示，如图4所示。内置通道设备包括分流道A安全设备A 21的处理器和分流道B安全设备B 22的处理器，相应地，通过安全设备输入输出流А 14和安全设备输入输出流B17与通讯接口转换器А 13和通讯接口转换器B 16连接(如图3所示)，穿过通讯接口转换器A 13和通讯接口转换器B 16，通过信息线路15，18进入自动安全控制器A和自动安全控制器B的处理器21，22，实现数据交换。

输入模拟信号的通讯信息处理模块中的过程信号通过输入线路19进入模拟信号处理器20中，实现信号转换成数字形式。分流道А的安全设备А 21的优先控制站的处理器和分流道B的安全设备B 22的优先控制站的处理器收到来自模拟信号处理器20出口的数字信号，完成前期处理，并相应地通过安全设备输入输出流A 14，安全设备输入输出流B 17的信息线路将数字信号传送给通讯接口转换器А 13和通讯接口转换器B 16的通讯模块(如图3，图4所示)。

通过类似方案(图4)构建出二进制信号输入模块及二进制信号输出模块。

优先控制站的分流道A和分流道B的安全设备组成在优先控制站的结构中显示，如图5所示，包括在1-4优先控制站组成的4个站组中，每一条通道的自动安全控制器与4个站组通过安全设备输入输出流的一条信息线路实现数据交换。优先控制站的分流道A和分流道B的安全设备包括按"4-x选2"的多数表决原则的分流道A表决模块А 24和分流道B的表决模块B 28两个通讯模块，分流道A的表决转换模块А 25和分流道B的表决转换模块B 29的两个通讯模块，还有分流道A和分流道B优先控制模块23₁-23_e中内置的软件硬件。表决模块А和表决模块B通过"e"条信息线路连接，相应地，点对点类型的串联双工接口32安全设备输入输出流А 7_a和33安全设备输入输出流B 7_b与优先控制模块23₁-23_e的每一个模块连接；通过分流道А的安全设备输入输出流А 7_a和分流道B的安全设备输入输出流B 7_b的信息线路与其它3个站的表决转换模块A和表决转换模块B的通讯模块连接。

表决模块A 24，表决模块A 28其功能是将来自自动安全调节器A，动安全调节器B的信号源和数据发送到模块23₁-23_E中，并将优先控制模块23₁-23_e输出的信号源和数据集中到自动安全调节器A，自动安全调节器B中，以及将来自34和27条通信线上的安全设备输入输出流А 7_a以《4选2》的形式进行处理后，发送到优先控制模块23₁-23e中。

表决转换模块A25和表决转换模块B 29相关：在29条分流道B安全设备输入输出流A和35安全设备输入输出流B上与表决模块A 24和表决模块B28基站进行通信；每通信线上的27安全设备输入输出流A和31安全设备输入输出流B与模块A和B及其他三个安全频道1相连；26，30条通信线的安全设备输入输出流А 7_a和分流道B的安全设备输入输出流B7_b优先控制站₁与自动安全调节器A和B相连保障频道1的安全，在其他3个基站上优先控制站与自动安全调节器A和B相连保障另外3个频道的安全。

图6中所示的是安全通道1的优先控制站的4个站通过分流道A的安全设备输入输出流与该安全通道的自动安全控制的控制器A和另外3条安全通道的自动安全控制的控制器А的信息结构。优先控制站₁的表决转换模块的模块А通过信息线路26₁₁与该通道1的自动安全控制的控制器А连接，优先控制站2的表决转换模块的模块А通过信息线路26₂₂与通道2的自动安全控制的控制器А连接，优先控制站₃的表决转换模块的模块А通过信息线路26₃₃与通道3的自动安全控制的控制器А连接，优先控制站4的表决转换模块的模块А通过信息线路26₄₄与通道4的自动安全控制的控制器А连。每一个优先控制器_1-4中的表决转换模块的模块通过优先控制站₁的信息线路27₁₂，27₁₃，27₁₄，通过优先控制站2的信息线路27₂₁，27₂₃，27₂₄，通过优先控制站₃的信息线路27₃₁，27₃₂，27₃₄，通过先执行控制站₄的信息线路27₄₁，27₄₂，27₄₃与另外优先控制站₃的表决转换模块的模块连接

根据指定的安全设备输入输出流A，来自从4个通道之一上调节器A的指令和数据进每个站点组的通信模块，按照《4选2”规则来完成多数处理，对通过在优先控制模块中表决模块A 24分支线上得到的已选择的指令和数据进行传输。

图7中在优先控制模块示意图中显示的是正常运行的硬件分流道A和B，安全硬件设备组织和执行装置中央控制的联系。

优先控制模块通过从一些控制中心获取到的起爆指令对执行装置进行控制：来自调节器A分流道A，通过通信模块A安全设备输入输出流A的线路32；自调节器B分流道B安全设备输入输出流B的线路，图5，7；来自备用控制室，通过有线连接10₁，以及来自备用控制室，通过有线连接10₂。也可将优先控制模块和执行装置的状态传输到自动安全调节器A和B，单元控制室和备用控制室。

控制指令的形成过程如下：借助来自在编程逻辑A分流道A示意图36中的自动安全调节器A，优先控制和备用控制室的起爆指令，还是编程逻辑B 37分流道B中的自动安全调节器B，优先控制和备用控制室。来自编程逻辑A 36，输出驱动器的逻辑优先级控制B 37的执行装置控制指令进入到优先控制逻辑38，在其中形成指令，下达到执行装置指令与控制中心的优先考量相符40。通过与输出驱动器的逻辑优先级控制相连的信息反馈线路40和安全设备输入输出流А，安全设备输入输出流B，图中5，7所示，自动安全控制器A和自动安全控制器B对执行设备发出的命令的状态产生询问，与之前来自控制器对执行设备发出的命令进行比较以控制该通道。通过输入线路39和安全设备输入输出流A，安全设备输入输出流B，安全设备输入输出流A和安全设备输入输出流B的控制器读取执行设备的状态信号。

每一条安全通道包括包括2个相互独立的分流道A的自动安全控制器A和分流道B的自动安全控制器B图所示为第一条安全通道的分流道A的自动安全控制器A的结构图。自动安全控制器B的结构与此相同。

自动安全调节器A的安全设备自动化信息处理模块42接收通过安全设备输入输出流7_a的流程参数数值，来自自己的通道-输入输出站备用控制室_1-n站点的模块通讯信息处理模块，对它们进行处理，并在发现事故时按照安全算法形成并下达到自己或其他安全通道(控制保护作用的指令)上优先控制站_1-m站点的模块上的安全设备输入输出流7_a。在执行安全算法过程中安全设备自动化信息处理模块42和安全通道上的安全设备自动化信息处理模块第2，3，4进行数据交换，相应地通过进程间接口4_a12，_a13，4_a14并对来自所有安全通道的数据按照《4选2》规则进行多数处理。通过安全通道1上的安全设备自动化信息处理模块接口与单元控制室–处理器间接口_1aА 11_a1和备用控制室-处理器间接口_2aА 11_a2，连接，信息处理模块接收来自优先控制和备用控制室的远程控制指令，并将执行保护算法的诊断信息传到优先控制和备用控制室。通过EN 5_a1，5_a2冗余流模块安全设备自动化信息处理模块A42将安全系统的诊断信息传输到正常使用系统中。

信息安全设备自动化信息处理模块А42接收来自输入输出站和优先控制站的信息并将指令和数据传输到优先控制站的方式如下：通过安全设备输入输出流А 43₁-43_р输入输出流线路与通信模块А MP-428₁-28_р相连，之后通过模块MP-4的线路15与输入输出站相连，以及通过线路А13与优先控制站(图3)和表决转换模块A 25(图5)相连。每一个通信模块MP-4(图8)都通过第4线路可以连接到自己安全通道的4个输入输出站，比如输入输出站_1-4，或者与4个站点中的4个组相连，比如自身或其他3个安全通道的优先控制站_1-4。如图8所示的例子，自己通道的4个站点输入输出站_1-4上的第一安全通道，连接了模块MP-4 41_p-1，还把第一安全通道A 42上的模块MP-4 41₂连接到了自己通道的优先控制站_1-4站组上以及其他3个安全通道的优先控制站_1-4站组上。

通信模块MP-4 41_p-1通过线路15₁连接到输入输出站₁，通过线路15₂-连接到输入输出站₂，通过线路15₃-连接到输入输出站₃，通过线路15₄-连接到输入输出站₄，上述站点都在自己(第一)安全通道中。

通信模块MP-4 41₂通过线路26₁₁连接到优先控制站_1–4 4个站点上，站点在自己的，也就是第一安全通道上，通过第二线路26₁₂连接到优先控制站_1–4 4个站点上，站点在第二安全通道上，通过线路26₁₃连接到连接到优先控制站_1-4四个站点上，站点在第三安全通道上，通过线路26₁₄连接到优先控制站_1–4 4个站点上，站点在第4安全通道上。

Claims

1.核电站安全管理系统，包括：

多个相同的安全通道，每个通道包括技术进程信号的输入输出站1-n、与单元控制室和备用控制室相连接的优先控制站1-m、自动安全调节器、使自动安全调节器与输入输出站和优先控制站交换数据的安全设备输入输出流，并且每个通道通过交叉双工光纤链路与其他安全通道相连接，

其特征在于：每个安全通道的输入输出站，优先控制站和自动安全调节器包括两套独立的软件和硬件，以形成子通道A和子通道B，它们建立在不同的硬件和软件平台上，每个子通道执行安全通道的所有功能，

安全管理系统的每个通道包括子通道A的自动安全调节器A和子通道B的自动安全调节器B，它们中的每一个分别通过基于Ethernet接口和数据级别的通信协议建立的“点对点”类型的处理器间接口A和B与其他安全通道的自动安全调节器A和B相连接，通过基于Ethernet接口、网络交换机连接的环形结构和数据级别的通信协议建立的正常运行的冗余交换系统总线EN与正常运行系统相连接，通过分别基于“点对点”类型的Ethernet接口和数据级别的通信协议建立的处理器间接口1A，1B和处理器间接口2A，2B通信总线与单元控制室和备用控制室相连，通过输入输出流与安全通道的输入输出站1-n和优先控制站1-m以及其他安全通道的优先控制站1-m相连，该输入输出流分别是子通道A上的安全设备输入输出流A和子通道B上的安全设备输入输出流B，

子通道A上的安全设备输入输出流A和子通道B上的安全设备输入输出流B中的每一个具有“树状”结构，其相应的上层根节点是自动安全调节器A上的安全设备自动化信息处理模块A和自动安全调节器B上的安全设备自动化信息处理模块B，下层节点是输入输出站1-n上的通讯信息处理模块以及优先控制站1-m上的优先控制模块，中间节点是通信模块，以及

在安全设备输入输出流A之间的连接和在安全设备输入输出流B之间的连接是采用双工串行“点对点”类型的接口线路实现的。

2.根据权利要求1所述的核电站安全管理系统，其特征在于，

输入输出站包括：通讯信息处理模块1-k和两个通信接口转换器模块，该两个通信接口转换器模块包括安全设备输入输出流A上的通讯接口转换器A和安全设备输入输出流B上的通讯接口转换器B,

通讯接口转换器A和通讯接口转换器B分别通过模块的一条连接线与其自己的自动安全调节器A和自动安全调节器B相连接，以及通过单独的连接线与每个通讯信息处理模块1-k相连接，

输入输出站上的通讯信息处理模块1-k包括子通道A的处理器和子通道B的处理器，其相应地通过安全设备输入输出流A与安全设备输入输出流B的站点间线路与通讯接口转换器A和通讯接口转换器B相连接，以及通过输入输出流A与安全设备输入输出流B相应地与子通道A的自动安全调节器A和子通道B的自动安全调节器B相连接。

3.根据权利要求1所述的核电站安全管理系统，其特征在于，

每个优先控制站包括优先控制模块1-e，子通道A的安全设备输入输出流A和子通道B的安全设备输入输出流B的通信模块，所述通信模块包括表决转换模块A、表决转换模块B、表决模块A和表决模块B，所述表决转换模块A和表决转换模块B分别将来自自动安全调节器A和自动安全调节器B的输入指令转换到本站和其它安全通道的表决模块A和表决模块B，所述表决模块A和表决模块B根据“N选2”规则将来自N个安全通道的输入指令转换，

在每个安全通道内，优先控制站被结合到N个站，优先控制站的数量由安全通道的数量决定，

在每个安全通道的子通道A上，第一组优先控制站通过安全设备输入输出流A的线路与其本站的安全通道的自动安全调节器A连接，其他的优先控制站组2-n与其他安全通道n-1的自动安全调节器A连接，组内的每个优先控制站的表决转换模块A与其本站的优先控制站的表决模块A和其他优先控制站的表决模块A连接，每个优先控制站的表决模块A通过安全设备输入输出流A的线路与优先控制模块1-e连接，

在每个安全通道的子通道B上，第一组优先控制站通过安全设备输入输出流B的线路与其本站的安全通道的自动安全调节器B连接，其他的优先控制站组2-n与其他安全通道n-1的自动安全调节器B连接，组内的每个优先控制站的表决转换模块B与其本站的优先控制站的表决模块B和其他优先控制站的表决模块B连接，每个优先控制站的表决模块B通过安全设备输入输出流B的线路与优先控制模块1-e连接，

优先控制站的优先控制模块1-e包括输出驱动器，其包括子通道A的输出驱动器的安全设备输入输出流A和子通道B的输出驱动器的安全设备输入输出流B，其连接相应地按照站点内线路，即安全设备输入输出流A和安全设备输入输出流B，与子通道A上的表决模块A和子通道B上的表决模块B的连接，并且通过安全设备输入输出流A和安全设备输入输出流B与子通道A上的自动安全调节器A和子通道B上的自动安全调节器B相应地连接。

4.根据权利要求1所述的核电站安全管理系统，其特征在于，

每个安全通道的子通道A上的自动安全调节器A包括自动化信息处理模块A和安全设备输入输出流A的p通信模块BM-4A，其通过安全设备输入输出流A和以下设备连接：自动化信息处理模块A、在输入输出站1-n上的通信模块A、本安全通道上的优先控制站上的表决模块A、其他安全通道上的优先控制站上1-m的表决模块A，

每个安全通道的子通道B上的自动安全调节器B包括自动化信息处理模块A和安全设备输入输出流B的p通信模块BM-4B，其通过安全设备输入输出流B和以下设备连接：自动化信息处理模块B、在输入输出站1-n上的通信模块B、本安全通道上的优先控制站上的表决模块B、其他安全通道上的优先控制站上1-m的表决模块B。