阅读说明：本技术 一种用于执行核电站安全功能的安全自动化系统及方法 (safety automation system and method for executing safety function of nuclear power station ) 是由 周叶翔 王巧燕 梁玲 程琴 任立永 杨震 田亚杰 江辉 邓天 彭华清 刘光明 于 2019-09-04 设计创作，主要内容包括：本发明公开了一种用于执行核电站安全功能的安全自动化系统及方法,该安全自动化系统包括：SPC子系统、SAC子系统和CIC子系统,SPC子系统包括多个独立的SPC控制列,每个SPC控制列与一个对应的核电工艺设备列连接；SAC子系统包括多个独立的SAC控制列,每个SAC控制列均与一个对应的SPC控制列连接；CIC子系统包括多个独立的CIC控制列,每个CIC控制列均分别与一个对应的SAC控制列和一个对应的核电工艺设备列的执行机构连接,用于实现在对应的SAC控制列的控制下,对所对应的核电工艺设备列的执行机构进行安全控制。本发明实现了安全自动化系统与保护系统控制路径的独立性设计,满足国际标准中有关不同安全级仪控系统间的独立性要求,安全功能满足单一故障原则。(The invention discloses a safety automation system and a method for executing the safety function of a nuclear power station, wherein the safety automation system comprises: the system comprises an SPC subsystem, an SAC subsystem and a CIC subsystem, wherein the SPC subsystem comprises a plurality of independent SPC control columns, and each SPC control column is connected with one corresponding nuclear power process equipment column; the SAC subsystem comprises a plurality of independent SAC control columns, and each SAC control column is connected with one corresponding SPC control column; the CIC subsystem comprises a plurality of independent CIC control columns, each CIC control column is respectively connected with a corresponding SAC control column and an actuating mechanism of a corresponding nuclear power process equipment column, and the CIC control columns are used for safely controlling the actuating mechanisms of the corresponding nuclear power process equipment columns under the control of the corresponding SAC control columns. The invention realizes the independence design of the control paths of the safety automation system and the protection system, meets the independence requirements among instrument control systems with different safety levels in international standards, and has the safety function meeting the single failure principle.)

一种用于执行核电站安全功能的安全自动化系统及方法

技术领域

本发明涉及核电站仪控系统设计技术领域，特别涉及一种用于执行核电站安全功能的安全自动化系统及方法。

背景技术

核电站反应堆安全自动化系统(Safety Automation System，简称“SAS”)，是核电站的关键仪控系统(Instrument&control，简称“I&C”)之一，其结构设计与核电站的总体设计，安全分级，核级或非核级集散控制系统(Distributed Control System，简称“DCS”)平台设计密切相关。

但是现有的核电站安全自动化系统执行安全级及安全相关级的自动控制，核电站保护功能与较低等级的安全功能共用控制路径，安全自动化系统与保护系统之间没有独立设计，导致保护系统的可靠性无法保证，也无法满足国际法规中不同安全级别的仪控系统独立性设计要求。

发明内容

为了解决现有技术的问题，本发明提供了一种用于执行核电站安全功能的安全自动化系统及方法。

本发明用于解决以上技术问题的技术方案为：

一方面，提供了一种用于执行核电站安全功能的安全自动化系统，包括：

SPC子系统，包括多个独立的SPC控制列，每个所述SPC控制列与一个对应的核电工艺设备列连接，用于现场独立采集对应的核电工艺设备列的测量信号；

SAC子系统，包括多个独立的SAC控制列，每个所述SAC控制列均与一个对应的SPC控制列连接，用于获取所对应的SPC控制列现场采集的测量信号；

CIC子系统，包括多个独立的CIC控制列，每个所述CIC控制列均分别与一个对应的SAC控制列和一个对应的核电工艺设备列的执行机构连接，用于实现在对应的SAC控制列的控制下，对所对应的核电工艺设备列的执行机构进行安全控制。

本发明上述的安全自动化系统中，还包括：

DTC子系统，包括多个独立的DTC控制列，每个所述DTC控制列均与一个对应的SAC控制列连接，且多个独立的DTC控制列之间通过安全级点对点通讯连接，用于实现多个所述SAC控制列之间的相互通讯；

所述DTC子系统还与其他仪控系统连接，用于实现所述安全自动化系统与其他仪控系统之间的信号传递。

本发明上述的安全自动化系统中，所述SAC子系统包括：3个独立的SAC控制列，每个所述SAC控制列均通过硬接线与一个对应的SPC控制列连接，通过安全级IO总线与一个对应的CIC控制列连接，还通过安全级通讯环网与一个对应的DTC控制列连接，用于实现核电厂设计基准事故中可控至安全停堆阶段的控制功能。

本发明上述的安全自动化系统中，所述DTC子系统包括：3个独立的DTC控制列，每个所述DTC控制列均通过安全级通讯环网与一个对应的SAC控制列连接，还通过点对点通讯分别与另外两个DTC控制列连接。

本发明上述的安全自动化系统中，所述CIC子系统包括：3个独立的CIC控制列，每个所述CIC控制列均通过安全级IO总线与一个对应的SAC控制列连接，还通过硬接线与其他仪控系统连接。

本发明上述的安全自动化系统中，所述SPC子系统包括：3个独立的SPC控制列，每个所述SPC控制列均通过硬接线与一个对应的SAC控制列连接，还通过硬接线与其他仪控系统连接。

本发明上述的安全自动化系统中，还包括：

CCMC子系统,包括多个独立的CCMC控制列，每个所述CCMC控制列与一个对应的SAC控制列和一个对应的DTC控制列连接，用于复杂事故后监测参数的计算。

本发明上述的安全自动化系统中，所述CCMC子系统包括：两个冗余设置的CCMC控制列，两个所述CCMC控制列通过安全级点对点通讯相互连接，每个CCMC控制列通过安全级通讯环网分别与一个对应的SAC控制列和DTC控制列连接。

本发明上述的安全自动化系统中，还包括：

HMI，所述HMI包括：

安全级控制与信息显示模块，分别与SAC子系统和DTC子系统连接，用于实现安全自动化系统的手操与信息显示功能；

事故后监测显示模块，与所述CCMC子系统连接，用于事故后监测参数的显示。

本发明上述的安全自动化系统中，所述安全级控制与信息显示模块包括：3个独立的安全级控制与信息显示控制列，每个所述安全级控制与信息显示控制列分别与一个对应的SAC控制列和一个对应的DTC控制列连接；

所述事故后监测显示模块包括：2个独立的事故后监测显示控制列，每个所述事故后监测显示控制列分别与一个对应的CCMC控制列连接。

另一方面，还提供了一种用于执行核电站安全功能的安全自动化方法，包括步骤：

现场独立采集对应的核电工艺设备列的测量信号；

获取所对应的SPC控制列现场采集的测量信号；

在对应的SAC控制列的控制下，对所对应的核电工艺设备列的执行机构进行安全控制。

本发明上述的安全自动化方法中，所述现场独立采集对应的核电工艺设备列的测量信号、获取所对应的SPC控制列现场采集的测量信号，在对应的SAC控制列的控制下，对所对应的核电工艺设备列的执行机构进行安全控制通过如下方式进行：

建立SPC子系统、SAC子系统和CIC子系统，所述SPC子系统包括多个独立的SPC控制列，每个所述SPC控制列与一个对应的核电工艺设备列连接；所述SAC子系统包括多个独立的SAC控制列，每个所述SAC控制列均与一个对应的SPC控制列连接；所述CIC子系统包括多个独立的CIC控制列，每个所述CIC控制列均分别与一个对应的SAC控制列和一个对应的核电工艺设备列的执行机构连接；

通过所述SPC子系统现场独立采集对应的核电工艺设备列的测量信号；

通过所述SAC子系统获取所对应的SPC控制列现场采集的测量信号；

在对应的SAC控制列的控制下，所述CIC子系统对所对应的核电工艺设备列的执行机构进行安全控制。

本发明上述的安全自动化方法中，还包括步骤：

建立DTC子系统，所述DTC子系统包括多个独立的DTC控制列，每个所述DTC控制列均与一个对应的SAC控制列连接，且多个独立的DTC控制列之间通过安全级点对点通讯连接，所述DTC子系统还与其他仪控系统连接；

通过每个所述DTC控制列实现多个所述SAC控制列之间的相互通讯；

通过所述DTC子系统实现与其他仪控系统之间的信号传递。

本发明上述的安全自动化方法中，所述SAC子系统包括：3个独立的SAC控制列，每个所述SAC控制列均通过硬接线与一个对应的SPC控制列连接，通过安全级IO总线与一个对应的CIC控制列连接，还通过安全级通讯环网与一个对应的DTC控制列连接，以实现核电厂设计基准事故中可控至安全停堆阶段的控制功能。

本发明上述的安全自动化方法中，所述DTC子系统包括：3个独立的DTC控制列，每个所述DTC控制列均通过安全级通讯环网与一个对应的SAC控制列连接，还通过点对点通讯分别与另外两个DTC控制列连接。

本发明上述的安全自动化方法中，所述CIC子系统包括：3个独立的CIC控制列，每个所述CIC控制列均通过安全级IO总线与一个对应的SAC控制列连接，还通过硬接线与其他仪控系统连接。

本发明上述的安全自动化方法中，所述SPC子系统包括：3个独立的SPC控制列，每个所述SPC控制列均通过硬接线与一个对应的SAC控制列连接，还通过硬接线与其他仪控系统连接。

本发明上述的安全自动化方法中，还包括步骤：

建立CCMC子系统,所述CCMC子系统包括多个独立的CCMC控制列，每个所述CCMC控制列与一个对应的SAC控制列和一个对应的DTC控制列连接；

通过每个所述CCMC控制列进行复杂事故后监测参数的计算。

本发明上述的安全自动化方法中，所述CCMC子系统包括：两个冗余设置的CCMC控制列，两个所述CCMC控制列通过安全级点对点通讯相互连接，每个CCMC控制列通过安全级通讯环网分别与一个对应的SAC控制列和DTC控制列连接。

本发明上述的安全自动化方法中，还包括步骤：

建立HMI，所述HMI包括安全级控制与信息显示模块和事故后监测显示模块，所述安全级控制与信息显示模块分别与SAC子系统和DTC子系统连接，所述事故后监测显示模块与CCMC子系统连接；

通过所述安全级控制与信息显示模块实现安全自动化系统的手操与信息显示功能；

通过所述事故后监测显示模块实现事故后监测参数的显示。

本发明上述的安全自动化方法中，所述安全级控制与信息显示模块包括：3个独立的安全级控制与信息显示控制列，每个所述安全级控制与信息显示控制列分别与一个对应的SAC控制列和一个对应的DTC控制列连接；

所述事故后监测显示模块包括：2个独立的事故后监测显示控制列，每个所述事故后监测显示控制列分别与一个对应的CCMC控制列连接。

本发明实施例提供的技术方案带来的有益效果是：

本发明通过核电站反应堆安全自动化系统中各个控制路径的独立性设计，互不影响，可以实现安全自动化仪控系统与保护系统控制路径的独立性设计，满足国际标准中有关不同安全级仪控系统间的独立性要求；三列控制与三列工艺系统对应，使可控至安全停堆期间的安全功能满足单一故障原则；还可以实现安全自动化系统之间的列间通讯具备实现不同列设备的成组控制与不同列间冗余衰减显示设计的能力，同时也可显著减少不同列之间的硬接线规模；此外，安全自动化系统集成实现事故后监测功能，简化核电厂DCS平台结构和控制路径。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种用于执行核电站安全功能的安全自动化系统的结构示意图；

图2是本发明实施例一提供的一种用于执行核电站安全功能的安全自动化系统的结构示例图；

图3是本发明实施例二提供的一种用于执行核电站安全功能的安全自动化方法的流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

实施例一

本发明实施例一提供了一种用于执行核电站安全功能的安全自动化系统，主要用于实现核电厂设计基准事故中可控至安全停堆阶段的控制功能以及事故后参数显示功能，参见图1所示，该系统可以包括：

SPC子系统100(Signal Pre-processing Cabinet，信号预处理机柜)，包括多个独立的SPC控制列，每个SPC控制列与一个对应的核电工艺设备列800连接，用于现场独立采集对应的核电工艺设备列800的测量信号。

在本实施例中，SPC子系统100属于信号采集处理分配部分，主要用于现场采集信号的预处理以及向其他仪控系统700分配测量信号；SPC子系统100包括3个独立的SPC控制列(如图2中的SPC A列，SPC B列和SPC C列)，分别独立采集处理现场对应的核电工艺设备列800的测量信号；每个SPC控制列均通过硬接线与一个对应的SAC控制列，还通过硬接线与其他仪控系统700连接，用于向本列SAC和其他仪控系统700传送测量信号。

SAC子系统200(Safety Automation Cabinet，安全自动化机柜)，包括多个独立的SAC控制列，每个SAC控制列均与一个对应的SPC控制列连接，用于获取所对应的SPC控制列现场采集的测量信号。

在本实施例中，SAC子系统200属于安全自动化功能逻辑处理部分，主要用于实现核电厂设计基准事故中可控至安全停堆阶段的控制功能；SAC子系统200包括3个独立的SAC控制列(如图2中的SAC A列，SAC B列，SAC C列)，分别控制现场的3列核电工艺系统设备列，任何一列丧失，其他两列安全自动化系统设备仍能满足可控至安全停堆阶段的控制功能投用要求；

每个SAC控制列均通过硬接线与一个对应的SPC控制列连接，用于从SPC控制列获取现场仪表的测量信号；每个SAC控制列还通过安全级IO总线与一个对应的CIC控制列连接，以将SAC控制列的控制指令通过安全级IO总线送至CIC控制列，驱动现场的执行机构；每个SAC控制列还通过安全级通讯环网与本列的DTC控制列连接，从而实现核电厂设计基准事故中可控至安全停堆阶段的控制功能；

SAC控制列还通过本列的安全级通讯环网和本列的CCMC控制列通讯；SAC控制列还通过安全级通讯环网接收本列安全级控制与显示模块的控制指令，也通过本列安全级通讯环网向本列安全级控制与显示模块传输显示信号。

CIC子系统300(Component Interface Cabinet，设备接口机柜)，包括多个独立的CIC控制列，每个所述CIC控制列均分别与一个对应的SAC控制列和一个对应的核电工艺设备列800的执行机构连接，用于实现在对应的SAC控制列的控制下，对所对应的核电工艺设备列800的执行机构进行安全控制。

在本实施例中，CIC子系统300属于设备控制接口部分，主要用于实现安全自动化系统与现场执行机构之间的控制输出接口，并实现安全自动化系统控制指令与其他仪控系统700控制令的优先级管理功能；CIC子系统300包括3个独立的CIC控制列(如图2中的CIC A列，CIC B列，CIC C列)，分别驱动现场对应列的执行机构；每个CIC控制列均通过安全级IO总线与一个对应的SAC控制列连接，用于从SAC控制列接收控制指令，还通过硬接线与其他仪控系统700连接，用于从其他仪控系统700接收控制指令；CIC控制列还通过安全级IO总线向SAC控制列传送执行机构的状态监测信号。

进一步地，该系统还包括：

DTC子系统400(Data Transmission Cabinet，堆芯冷却监视机柜)，包括多个独立的DTC控制列，每个所述DTC控制列均与一个对应的SAC控制列连接，且多个独立的DTC控制列之间通过安全级点对点通讯连接，用于实现多个所述SAC控制列之间的相互通讯。

在本实施例中，DTC子系统400属于通讯传输处理部分，主要用于各个DTC控制列间的信号传递，以及SAS系统与其他仪控系统700的信号传递。即DTC子系统400用作安全自动化系统不同控制列之间以及安全自动化系统与其他仪控系统700或设备的独立性屏障；

DTC子系统400包括3个独立的DTC控制列(如图2中的DTC A列，DTC B列，DTC C列)，任何一列丧失，其他两列安全自动化系统设备仍能满足可控至安全停堆阶段的控制功能投用要求；每个DTC控制列均通过安全级点对点通讯与另外两个DTC控制列连接，用于分别从另外两列DTC控制列接收或传输信号，满足电气隔离和通讯隔离需求；

每个DTC控制列还通过安全级通讯环网与一个对应的SAC控制列连接，DTC控制列可以通过本列安全级通讯环网从本列SAC和本列HMI获取信号传输到其他DTC控制列，同样DTC控制列也可以从其他DTC控制列获取信号再通过本列安全级通讯环网传输给本列SAC和本列HMI；DTC内部可进行简单的逻辑处理，比如将从不同DTC控制列获取的冗余信号进行冗余衰减(如2/3,1/2等)处理。

上述DTC子系统可以实现安全自动化系统三个控制列之间的安全级网络通讯，具备实现不同设备的成组控制与不同列间冗余衰减显示设计的能力，同时也可显著减小不同列之间的硬接线规模。

进一步地，安全自动化系统还包括：CCMC子系统500(Core Cooling MonitoringCabinet，堆芯冷却监视机柜)，包括多个独立的CCMC控制列，每个CCMC控制列与一个对应的SAC控制列和一个对应的DTC控制列连接，用于复杂事故后监测参数的计算。

在本实施例中，CCMC子系统500属于事故后检测部分，主要用于复杂事故后监测参数的计算；CCMC子系统500包括两个独立的CCMC控制列(如图2中的CCMC A列，CCMC B列)，两个独立的CCMC控制列冗余实现，任何一列丧失，余下的一列仍能满足事故后监测参数的显示要求；两个CCMC控制列之间通过安全级点对点通讯相互连接，用于互相传递信号；每个CCMC控制列还通过安全级通讯环网分别一个对应的SAC控制列和DTC控制列连接，用于通过本列安全级通讯环网从SAC控制列或DTC控制列获取事故后监测参数所需的过程信号；每个CCMC控制列还通过本列安全级通讯环网向本列事故后监测显示模块传输显示信号，还通过硬接线从RIC系统获取必要的事故后监测参数计算的输入信号。

进一步地，安全自动化系统还包括：HMI 600(Human Machine Interface，人机接口)，HMI包括安全级控制与信息显示模块610和事故后监测显示模块620，安全级控制与信息显示模块610分别与SAC子系统200和DTC子系统300连接，用于实现安全自动化系统的手操与信息显示功能；事故后监测显示模块620与CCMC子系统500连接，用于事故后监测参数的显示；上述安全自动化系统集成实现事故后监测功能，简化了核电厂DCS平台结构和控制路径。

在本实施例中，HMI属于人机接口部分，主要用于实现安全自动化系统的手操与信息显示功能。HMI采用数字化人机接口，分为安全级控制与信息显示和事故后监测显示两部分。安全级控制与信息显示模块用于实现可控至安全停堆阶段的手动控制功能以及必要的显示功能，事故后监测显示模块用于事故后监测参数的显示，包括有固定显示要求的事故后监测参数。

安全级控制与信息显示模块610包括3个独立的安全级控制与信息显示控制列(如图2中的安全级控制与信息显示A列，安全级控制与信息显示B列，安全级控制与信息显示C列)，每个安全级控制与信息显示控制列分别与一个对应的SAC控制列和一个对应的DTC控制列连接，用于通过本列安全级通讯环网向SAC控制列传输信号，跨列控制信号通过DTC控制列传输到其他控制列；

事故后监测显示模块620包括两个独立的事故后监测显示控制列(如图2中的事故后监测显示A列，事故后监测显示B列)，每个事故后监测显示控制列分别与一个对应的CCMC控制列连接，用于通过本列安全级通讯环网从CCMC控制列获取事故后显示信号。

下面简要介绍一下用于执行核电站安全功能的安全自动化系统的控制流程包括如下：

1，执行机构控制

a)，测量信号由对应列的SPC控制列采集并分配传输至SAC控制列，SPC控制列同样可以分配测量信号至其他仪控系统，并满足电气隔离要求；

b)，SAC控制列根据SPC控制列采集到的信号进行逻辑判断，如逻辑判断需要除本列采集或产生的信号，还需要其他仪控列的控制信号，则通过本列DTC控制列的点对点通讯从其他列的DTC采集所需信号，本列DTC控制列收到其他列DTC送出的信号后，将信号通过本列安全级通讯环网传输给SAC控制列，信号传输接口满足电气隔离和通讯隔离要求；

c)，SAC控制列产生的控制指令通过安全级IO总线传输给CIC控制列，CIC控制列最终驱动执行机构动作；

d)，CIC控制列同样也可以接受其他仪控系统的控制指令，并进行隔离和控制指令的优先级处理。

2，安全级手操

a)，安全级手操指令从HMI中的安全级控制与信息显示模块发出；

b)，安全级手操指令发出后通过本列安全级通讯环网送到本列SAC，再参考第1项的c)d)路径控制执行机构；

c)，如本列安全级手操指令控制其他列的执行机构，则手操指令通过本列安全级通讯环网送到本列DTC之后，送其他列的DTC，其他列的DTC接受到控制信号后，通过对应列的安全级通讯环网送到对应的SAC控制列，完成控制逻辑处理后，再通过相应列的CIC控制列控制执行机构。

3，信息显示

a)，SAC控制列中的处理信息通过本列的安全级通讯环网送本列的安全级控制与信息显示模块显示；

b)，数字化事故后处理所需的监测信号，由SAC控制列或CCMC控制或保护系统通过本列安全级通讯环网送本列的事故后监测显示模块显示；

c)，CCMC子系统仅配置A、B两列，CCMC控制列中的监测信号处理逻辑所需输入通过本列的安全级通讯环网从SAC控制列和保护系统获取，也通过硬接线从RIC系统获取；

d)，CCMC子系统的A、B两列配置点对点通讯，可用于A、B两列的显示功能互校信息传输。

本实施例中，安全自动化系统的控制路径独立设计，不接收保护系统的控制指令，实现了安全自动化系统与保护系统控制路径的独立性设计，互不影响，满足国际标准中有关不同安全级仪控系统间的独立性要求；同时，该安全自动化系统与三代核电技术的工艺系统特征相匹配，三列控制与三列工艺系统对应使可控制安全停堆期间的安全功能满足单一故障原则。

实施例二

本发明实施例二提供了一种用于执行核电站安全功能的安全自动化方法的流程图，主要用于实现核电厂设计基准事故中可控至安全停堆阶段的控制功能以及事故后参数显示功能，如图3所示，该方法包括步骤：

S11、现场独立采集对应的核电工艺设备列的测量信号；

S12、获取所对应的SPC控制列现场采集的测量信号；

S13、在对应的SAC控制列的控制下，对所对应的核电工艺设备列的执行机构进行安全控制。

具体的，结合图1-2所示，该步骤S11、S12、S13通过如下方式进行：

建立SPC子系统100、SAC子系统200和CIC子系统300，SPC子系统100包括多个独立的SPC控制列，每个SPC控制列与一个对应的核电工艺设备列800连接；SAC子系统200包括多个独立的SAC控制列，每个SAC控制列均与一个对应的SPC控制列连接；CIC子系统300包括多个独立的CIC控制列，每个CIC控制列均分别与一个对应的SAC控制列和一个对应的核电工艺设备列800的执行机构连接；

通过每个所述SPC控制列现场独立采集对应的核电工艺设备列的测量信号；

通过每个所述SAC控制列获取所对应的SPC控制列现场采集的测量信号；

在对应的SAC控制列的控制下，CIC子系统300对所对应的核电工艺设备列800的执行机构进行安全控制。

在本实施例中，SPC子系统100属于信号采集处理分配部分，主要用于现场采集信号的预处理以及向其他仪控系统分配测量信号；SPC子系统100包括3个独立的SPC控制列(如图2中的SPC A列，SPC B列和SPC C列)，每个SPC控制列均通过硬接线与一个对应的SAC控制列连接，还通过硬接线与其他仪控系统连接，用于向本列SAC和其他仪控系统700传送测量信号。

SAC子系统200属于安全自动化功能逻辑处理部分，主要用于实现核电厂设计基准事故中可控至安全停堆阶段的控制功能；SAC子系统200包括3个独立的SAC控制列(如图2中的SAC A列，SAC B列，SAC C列)，分别控制现场的3列核电工艺系统设备列，任何一列丧失，其他两列安全自动化系统设备仍能满足可控至安全停堆阶段的控制功能投用要求；每个SAC控制列均通过硬接线与一个对应的SPC控制列连接，用于从SPC控制列获取现场仪表的测量信号；每个SAC控制列还通过安全级IO总线与一个对应的CIC控制列连接，以将SAC控制列的控制指令通过安全级IO总线送至CIC控制列，驱动现场的执行机构；每个SAC控制列还通过安全级通讯环网与一个对应的DTC控制列连接，以实现核电厂设计基准事故中可控至安全停堆阶段的控制功能。

CIC子系统300属于设备控制接口部分，主要用于实现安全自动化系统与现场执行机构之间的控制输出接口，并实现安全自动化系统控制指令与其他仪控系统700控制令的优先级管理功能；CIC子系统300包括3个独立的CIC控制列(如图2中的CIC A列，CIC B列，CIC C列)，分别驱动现场对应列的执行机构；每个所述CIC控制列均通过安全级IO总线与一个对应的SAC控制列连接，用于从SAC控制列接收控制指令，还通过硬接线与其他仪控系统700连接，用于从其他仪控系统700接收控制指令；CIC控制列还通过安全级IO总线向SAC控制列传送执行机构的状态监测信号。

进一步地，该方法还包括步骤：

S21、建立DTC子系统400，DTC子系统400包括多个独立的DTC控制列，每个所述DTC控制列均与一个对应的SAC控制列连接，且多个独立的DTC控制列之间通过安全级点对点通讯连接，所述DTC子系统还与其他仪控系统连接；

S22、通过每个所述DTC控制列实现多个所述SAC控制列之间的相互通讯；

S23、通过所述DTC子系统实现与其他仪控系统之间的信号传递。

在本实施例中，DTC子系统400属于通讯传输处理部分，主要用于各个DTC控制列间的信号传递，以及SAS系统与其他仪控系统的信号传递。即DTC子系统400用作安全自动化系统不同控制列之间以及安全自动化系统与其他仪控系统700或设备的独立性屏障；

DTC子系统400包括3个独立的DTC控制列(如图2中的DTC A列，DTC B列，DTC C列)，任何一列丧失，其他两列安全自动化系统设备仍能满足可控至安全停堆阶段的控制功能投用要求；每个DTC控制列均通过安全级通讯环网与一个对应的SAC控制列连接，DTC控制列可以通过本列安全级通讯环网从本列SAC和本列HMI获取信号传输到其他DTC控制列，同样DTC控制列也可以从其他DTC控制列获取信号再通过本列安全级通讯环网传输给本列SAC和本列HMI；DTC内部可进行简单的逻辑处理，比如将从不同DTC控制列获取的冗余信号进行冗余衰减(如2/3,1/2等)处理。每个DTC控制列通过点对点通讯分别与另外两个DTC控制列连接，用于分别从另外两列DTC控制列接收或传输信号，满足电气隔离和通讯隔离需求。

进一步地，该方法还包括步骤：

S31、建立CCMC子系统500,CCMC子系统500包括多个独立的CCMC控制列，每个CCMC控制列与一个对应的SAC控制列和一个对应的DTC控制列连接；

S32、通过每个所述CCMC控制列进行复杂事故后监测参数的计算。

在本实施例中，CCMC子系统500属于事故后检测部分，主要用于复杂事故后监测参数的计算；CCMC子系统500包括两个独立的CCMC控制列(如图2中的CCMC A列，CCMC B列)，两个独立的CCMC控制列冗余实现，任何一列丧失，余下的一列仍能满足事故后监测参数的显示要求；两个CCMC控制列通过安全级点对点通讯相互连接，用于互相传递信号；每个CCMC控制列通过安全级通讯环网分别与一个对应的SAC控制列和DTC控制列连接，用于通过本列安全级通讯环网从SAC控制列或DTC控制列获取事故后监测参数所需的过程信号；每个CCMC控制列还通过本列安全级通讯环网向本列事故后监测显示模块传输显示信号，还通过硬接线从RIC系统获取必要的事故后监测参数计算的输入信号。

进一步地，该方法还包括步骤：

S41、建立HMI 600，HMI 600包括安全级控制与信息显示模块610和事故后监测显示模块620，安全级控制与信息显示模块610分别与SAC子系统200和DTC子系统300连接，事故后监测显示模块620与CCMC子系统500连接；

S42、通过安全级控制与信息显示模块610实现安全自动化系统的手操与信息显示功能；

S43、通过事故后监测显示模块620实现事故后监测参数的显示。

本实施例中，HMI 600属于人机接口部分，主要用于实现安全自动化系统的手操与信息显示功能。HMI采用数字化人机接口，分为安全级控制与信息显示和事故后监测显示两部分，安全级控制与信息显示模块用于实现可控至安全停堆阶段的手动控制功能以及必要的显示功能，事故后监测显示模块用于事故后监测参数的显示，包括有固定显示要求的事故后监测参数。

其中，安全级控制与信息显示模块610包括3个独立的安全级控制与信息显示控制列(如图2中的安全级控制与信息显示A列，安全级控制与信息显示B列，安全级控制与信息显示C列)，每个安全级控制与信息显示控制列分别与一个对应的SAC控制列和一个对应的DTC控制列连接，用于通过本列安全级通讯环网向SAC控制列传输信号，跨列控制信号通过DTC控制列传输到其他控制列；

事故后监测显示模块620包括两个独立的事故后监测显示控制列(如图2中的事故后监测显示A列，事故后监测显示B列)，每个所述事故后监测显示控制列分别与一个对应的CCMC控制列连接，用于通过本列安全级通讯环网从CCMC控制列获取事故后显示信号。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，本实施例中的安全自动化方法的其他实施细节可以参考上述实施例一中的安全自动化系统中提供的对应的实施过程进行实现，本实施例在此不再赘述。

综上所述，本发明实施例提供了一种用于执行核电站安全功能的安全自动化系统及方法，通过核电站反应堆安全自动化系统中各个控制路径的独立性设计，可以实现安全自动化仪控系统与保护系统控制路径的独立性设计，满足国际标准中有关不同安全级仪控系统间的独立性要求；安全自动化系统内部冗余子系统间采用独立性设计，避免故障扩散到非故障列；还可以实现安全自动化系统之间的列间通讯具备实现不同列设备的成组控制与不同列间冗余衰减显示设计的能力，同时也可显著减少不同列之间的硬接线规模；此外，安全自动化系统集成实现事故后监测功能，简化核电厂DCS平台结构和控制路径。

本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。