蔡 軍，徐 杰，黃文博，王建華，李長(zhǎng)園

（中國(guó)科學(xué)院上海應(yīng)用物理研究所，上海 201800）

電子輻照實(shí)驗(yàn)裝置是中國(guó)科學(xué)院上海應(yīng)用物理研究所釷基熔鹽堆核能系統(tǒng)（Thoriumbased Molten Salt Reactor Nuclear Energy System，簡(jiǎn)稱(chēng)TMSR）戰(zhàn)略性先導(dǎo)科技專(zhuān)項(xiàng)建設(shè)的一臺(tái)用于反應(yīng)堆設(shè)備及電纜材料β輻照實(shí)驗(yàn)研究的電子輻照加速器，由地那米電子加速器及束下系統(tǒng)組成，最大電子能量1.5 MeV，流強(qiáng)10 mA［1］。當(dāng)實(shí)驗(yàn)裝置進(jìn)行β輻照實(shí)驗(yàn)時(shí)，輻照大廳內(nèi)電子與物質(zhì)相互作用產(chǎn)生電離輻射，如果此時(shí)人員誤入該高輻射區(qū)域，將對(duì)人員造成輻照傷害。因此，有必要根據(jù)國(guó)家核與輻射安全相關(guān)標(biāo)準(zhǔn)規(guī)范建立輻射安全聯(lián)鎖系統(tǒng)，以保護(hù)人員的輻射安全。

隨著工業(yè)自動(dòng)化的發(fā)展，輻射安全聯(lián)鎖系統(tǒng)從繼電器和計(jì)算機(jī)控制發(fā)展為更穩(wěn)定、可靠的可編程邏輯控制器（Programmable Logic Controller，簡(jiǎn)稱(chēng)PLC）技術(shù)［2-7］。近年來(lái)，上海光源、中子物理實(shí)驗(yàn)裝置及高能同步輻射光源等輻射安全聯(lián)鎖系統(tǒng)采用了冗余的PLC控制器，提高了系統(tǒng)的安全性和可靠性［8-10］。本文結(jié)合已有設(shè)計(jì)與實(shí)踐經(jīng)驗(yàn)，采用高可靠的冗余PLC控制器技術(shù)完成電子輻照實(shí)驗(yàn)裝置輻射安全聯(lián)鎖系統(tǒng)設(shè)計(jì)，避免在實(shí)驗(yàn)裝置運(yùn)行時(shí)發(fā)生人員輻照事故，確保人身輻射安全。

1 設(shè)計(jì)依據(jù)

輻射安全聯(lián)鎖系統(tǒng)不僅需要遵守弱電系統(tǒng)的設(shè)計(jì)規(guī)范，還需滿(mǎn)足國(guó)家輻射安全相關(guān)標(biāo)準(zhǔn)規(guī)范的要求。進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)，必須考慮最優(yōu)切斷、失效安全、硬件可靠、縱深防御、自我巡檢及以人為本等設(shè)計(jì)原則［11,12］。

（1）最優(yōu)切斷：輻射安全聯(lián)鎖系統(tǒng)在加速器的控制系統(tǒng)中具有最高權(quán)力，能優(yōu)先切斷加速器束流。

（2）失效安全：當(dāng)系統(tǒng)的關(guān)鍵設(shè)備、連接線(xiàn)路發(fā)生故障或失效時(shí)，輻射安全聯(lián)鎖系統(tǒng)能避免出現(xiàn)失控性后果，可以采取措施保障預(yù)定的安全狀態(tài)。

（3）縱深防御：充分考慮并合理設(shè)置聯(lián)鎖措施，實(shí)現(xiàn)多重冗余保護(hù)，具有相互獨(dú)立性。

（4）硬件可靠：關(guān)鍵聯(lián)鎖信號(hào)盡可能采用硬件設(shè)備提供，盡量減少規(guī)章制度等管理措施。

（5）自我巡檢：關(guān)鍵設(shè)備具有可自檢性和可測(cè)試性，對(duì)故障問(wèn)題進(jìn)行自動(dòng)記錄。

（6）以人為本：聯(lián)鎖控制邏輯簡(jiǎn)潔合理，人機(jī)交互性好，便于運(yùn)行操作及檢修維護(hù)。

2 系統(tǒng)組成

輻射安全聯(lián)鎖系統(tǒng)由PLC控制器、搜索清場(chǎng)按鈕、緊急停機(jī)按鈕、警燈警鈴和鑰匙裝置等現(xiàn)場(chǎng)設(shè)備及監(jiān)控主機(jī)組成，以冗余PLC控制器為核心，通過(guò)邏輯控制程序的設(shè)計(jì)實(shí)現(xiàn)對(duì)搜索清場(chǎng)按鈕、緊急停機(jī)按鈕、警燈警鈴、鑰匙裝置、門(mén)限位開(kāi)關(guān)及加速器機(jī)器聯(lián)鎖控制器、高頻高壓和電子槍高壓觸發(fā)控制器等的聯(lián)鎖控制，如圖1所示。當(dāng)輻射安全聯(lián)鎖系統(tǒng)建立完成后，將向機(jī)器聯(lián)鎖控制器發(fā)送允許開(kāi)機(jī)信號(hào)，此時(shí)實(shí)驗(yàn)裝置可以開(kāi)機(jī)運(yùn)行，同時(shí)機(jī)器聯(lián)鎖控制器將實(shí)驗(yàn)裝置的運(yùn)行狀態(tài)反饋給輻射安全聯(lián)鎖系統(tǒng)。輻射安全聯(lián)鎖系統(tǒng)建立后，如果發(fā)生緊急停機(jī)按鈕被按下、門(mén)限位開(kāi)關(guān)被打開(kāi)等聯(lián)鎖事件，輻射安全聯(lián)鎖系統(tǒng)會(huì)切斷高頻高壓和電子槍高壓觸發(fā)控制器，并向機(jī)器聯(lián)鎖控制器發(fā)送切斷運(yùn)行的信號(hào)，從而優(yōu)先切斷輻射源。

圖1 系統(tǒng)組成示意圖Fig.1 System composition diagram

根據(jù)電子輻照實(shí)驗(yàn)裝置的布局情況，按照國(guó)家輻射安全相關(guān)標(biāo)準(zhǔn)規(guī)范，將輻照大廳內(nèi)劃分為控制區(qū)，在實(shí)驗(yàn)裝置運(yùn)行時(shí)禁止人員進(jìn)入。電子輻照實(shí)驗(yàn)裝置輻射安全聯(lián)鎖設(shè)備的分布情況如圖2所示。PLC控制器位于控制室的控制機(jī)柜內(nèi)，負(fù)責(zé)對(duì)所有輻射安全聯(lián)鎖設(shè)備的信號(hào)進(jìn)行控制。鑰匙裝置位于控制室的控制臺(tái)上，采用電磁控制方式，當(dāng)加速器停機(jī)時(shí)才可以釋放聯(lián)鎖鑰匙，是聯(lián)鎖建立及加速器開(kāi)機(jī)的必要設(shè)備。搜索清場(chǎng)按鈕和緊急停機(jī)按鈕位于輻照大廳內(nèi)，分別用于聯(lián)鎖建立前對(duì)滯留大廳內(nèi)人員的搜索清場(chǎng)及緊急情況下切斷加速器束流，這些按鈕帶有指示燈，便于滯留在輻照大廳內(nèi)的人員快速找到。門(mén)限位開(kāi)關(guān)是防護(hù)門(mén)關(guān)閉狀態(tài)的信號(hào)確認(rèn)設(shè)備，警燈警鈴以聲光報(bào)警的方式提醒人員注意輻射安全聯(lián)鎖狀態(tài)。

圖2 輻射安全聯(lián)鎖設(shè)備分布圖Fig.2 Distribution of radiation safety interlocking device

PLC控制器所采用的SIEMENS公司CPU模塊、IO模塊和通信接口模塊等，均是雙重設(shè)計(jì)的S7-412-5H熱備硬冗余系統(tǒng)，并采用冗余的通訊專(zhuān)用電纜與現(xiàn)場(chǎng)聯(lián)鎖設(shè)備、加速器機(jī)器聯(lián)鎖系統(tǒng)、高頻高壓和電子槍高壓觸發(fā)控制器進(jìn)行聯(lián)鎖連接，如圖3所示。CPU模塊配置成主、備CPU，可以確保設(shè)備在發(fā)生故障時(shí)可以無(wú)擾動(dòng)自動(dòng)切換。PLC控制器的工作模式為冗余模式，主、備CPU同時(shí)處于RUN狀態(tài)，二者間采用專(zhuān)用電纜通信，保持事件同步程序執(zhí)行并互相檢查。主CPU發(fā)生故障或進(jìn)入STOP狀態(tài)時(shí)，主、備CPU之間進(jìn)行切換，切換時(shí)不會(huì)出現(xiàn)數(shù)據(jù)信息丟失的問(wèn)題，保證了系統(tǒng)的可靠性。此外，PLC控制器對(duì)所有聯(lián)鎖設(shè)備進(jìn)行信號(hào)監(jiān)控，當(dāng)任何聯(lián)鎖設(shè)備信號(hào)狀態(tài)出現(xiàn)異常時(shí)，都不能建立聯(lián)鎖或聯(lián)鎖建立時(shí)觸發(fā)聯(lián)鎖信號(hào)切斷實(shí)驗(yàn)裝置的運(yùn)行，這樣既確保了輻射安全聯(lián)鎖系統(tǒng)的有效性，又提高了系統(tǒng)的安全性。

圖3 冗余PLC控制器的線(xiàn)路連接示意圖Fig.3 Line connection of redundant PLC

3 聯(lián)鎖控制

3.1 控制流程

輻射安全聯(lián)鎖系統(tǒng)的建立是電子輻照實(shí)驗(yàn)裝置開(kāi)機(jī)的必備條件。在實(shí)驗(yàn)裝置運(yùn)行時(shí)，任何違反輻射安全的行為都會(huì)產(chǎn)生聯(lián)鎖信號(hào)，以切斷實(shí)驗(yàn)裝置的運(yùn)行，其控制流程圖如圖4所示。實(shí)驗(yàn)裝置開(kāi)機(jī)準(zhǔn)備就緒時(shí)，值班運(yùn)行人員進(jìn)入實(shí)驗(yàn)裝置輻照大廳內(nèi)，在規(guī)定時(shí)間內(nèi)按照設(shè)定的路線(xiàn)對(duì)滯留人員進(jìn)行搜索清場(chǎng)。搜索清場(chǎng)過(guò)程中，緊急停機(jī)按鈕和緊急出門(mén)按鈕如被按下，都會(huì)引起搜索清場(chǎng)中斷，需要重新進(jìn)行搜索清場(chǎng)。搜索清場(chǎng)完成后，關(guān)閉防護(hù)門(mén)，將聯(lián)鎖鑰匙在鑰匙盒上就位，并轉(zhuǎn)動(dòng)聯(lián)鎖鑰匙，建立輻射安全聯(lián)鎖系統(tǒng)。輻射安全聯(lián)鎖系統(tǒng)將向機(jī)器聯(lián)鎖控制器輸出允許開(kāi)機(jī)信號(hào)，禁止人員進(jìn)入實(shí)驗(yàn)裝置輻照大廳。在輻射安全聯(lián)鎖建立的過(guò)程中，警燈警鈴會(huì)持續(xù)報(bào)警，提醒滯留人員通過(guò)緊急停機(jī)按鈕或緊急出門(mén)按鈕阻止實(shí)驗(yàn)裝置開(kāi)機(jī)。在實(shí)驗(yàn)裝置的運(yùn)行期間，任何緊急停機(jī)按鈕及緊急出門(mén)按鈕被按下或防護(hù)門(mén)被打開(kāi)等聯(lián)鎖事件的發(fā)生，都會(huì)切斷實(shí)驗(yàn)裝置的運(yùn)行，引起實(shí)驗(yàn)裝置停機(jī)。

3.2 聯(lián)鎖程序

根據(jù)聯(lián)鎖控制信號(hào)的類(lèi)型及其執(zhí)行功能，輻射安全聯(lián)鎖程序采用SIEMENS公司自帶的STEP 7 V5.5標(biāo)準(zhǔn)程序進(jìn)行編寫(xiě)。電子輻照實(shí)驗(yàn)裝置聯(lián)鎖控制信號(hào)主要為輸入及輸出信號(hào)，見(jiàn)表1。在冗余PLC控制器中所有的輸入及輸出信號(hào)都是一致的，為了確保防護(hù)門(mén)的關(guān)閉狀態(tài)，對(duì)于防護(hù)門(mén)的兩個(gè)限位開(kāi)關(guān)分別取常開(kāi)和常閉信號(hào)。

表1 輻射安全聯(lián)鎖主要輸入及輸出信號(hào)Table 1 Radiation safety interlocking input and out signal

圖4 輻射安全聯(lián)鎖系統(tǒng)控制流程圖Fig.4 Radiation safety interlocking system control flow chart

聯(lián)鎖程序主要包括了OB1主程序循環(huán)模塊以及帶有錯(cuò)誤診斷的OB組織模塊。OB1主程序循環(huán)模塊通過(guò)調(diào)用設(shè)備狀態(tài)監(jiān)控、搜索清場(chǎng)、聯(lián)鎖建立、緊急停機(jī)及報(bào)警復(fù)位等5個(gè)FC功能模塊實(shí)現(xiàn)輻射安全聯(lián)鎖的控制流程。其中，搜索清場(chǎng)模塊主要依照搜索清場(chǎng)流程執(zhí)行搜索清場(chǎng)程序，在防護(hù)門(mén)關(guān)閉后采用保持型接通延時(shí)定時(shí)器S_ODTS實(shí)現(xiàn)對(duì)警燈警鈴的持續(xù)報(bào)警，在緊急停機(jī)按鈕、緊急出門(mén)按鈕被按下等中斷搜索清場(chǎng)過(guò)程的情形下，都會(huì)形成搜索復(fù)位信號(hào)，只有搜索復(fù)位完成后才能重新進(jìn)行，其程序段如圖5所示。OB組織模塊主要是對(duì)PLC控制器中的CPU冗余故障、I/O冗余故障、定時(shí)錯(cuò)誤、通訊錯(cuò)誤、診斷中斷和編程錯(cuò)誤等故障進(jìn)行診斷，及時(shí)反饋故障診斷信息。

圖5 搜索清場(chǎng)程序段圖Fig.5 Logic diagram of searching procedure

3.3 監(jiān)控軟件

監(jiān)控軟件根據(jù)電子輻照實(shí)驗(yàn)裝置輻射安全聯(lián)鎖系統(tǒng)設(shè)備現(xiàn)場(chǎng)布局及聯(lián)鎖信號(hào)情況，采用WinCC V7.0進(jìn)行設(shè)計(jì)與開(kāi)發(fā)，運(yùn)行在控制室的工業(yè)級(jí)計(jì)算機(jī)上。在監(jiān)控軟件上可以實(shí)時(shí)監(jiān)控輻射安全聯(lián)鎖系統(tǒng)的設(shè)備狀態(tài)、聯(lián)鎖狀態(tài)、搜索清場(chǎng)狀態(tài)及加速器運(yùn)行狀態(tài)等狀態(tài)信息，并且可以記錄與儲(chǔ)存聯(lián)鎖信息、急停事件和搜索清場(chǎng)等狀態(tài)信息，如圖6所示。在聯(lián)鎖設(shè)備發(fā)生故障時(shí)，監(jiān)控軟件還可以通過(guò)彈窗形式提醒工作人員，便于及時(shí)發(fā)現(xiàn)設(shè)備異常狀態(tài)。此外，還采用C語(yǔ)言以腳本形式編寫(xiě)聯(lián)鎖狀態(tài)轉(zhuǎn)換的動(dòng)態(tài)鏈接，可以根據(jù)輻射安全聯(lián)鎖系統(tǒng)的狀態(tài)實(shí)現(xiàn)LED顯示屏狀態(tài)顯示信息的轉(zhuǎn)化。

4 結(jié)論

為了避免在電子輻照實(shí)驗(yàn)裝置運(yùn)行時(shí)發(fā)生人員輻照事故，根據(jù)國(guó)家核與輻射安全相關(guān)標(biāo)準(zhǔn)規(guī)范，需要建立一套可靠、穩(wěn)定的輻射安全聯(lián)鎖系統(tǒng)。本文采用了冗余的PLC控制器技術(shù)，增加了系統(tǒng)的可靠性，減少了故障的發(fā)生，并通過(guò)邏輯控制程序的設(shè)計(jì)實(shí)現(xiàn)了輻射安全聯(lián)鎖現(xiàn)場(chǎng)設(shè)備及機(jī)器聯(lián)鎖控制器、高頻高壓和電子槍高壓觸發(fā)控制器等設(shè)備的聯(lián)鎖控制，具備設(shè)備狀態(tài)監(jiān)控、搜索清場(chǎng)、聯(lián)鎖建立、緊急停機(jī)及報(bào)警復(fù)位等功能，滿(mǎn)足輻射安全的設(shè)計(jì)要求，確保了人身輻射安全。

圖6 上位機(jī)監(jiān)控軟件圖Fig.6 Upper computer monitoring software diagram