蔡 军，徐 杰，黄文博，王建华，李长园

（中国科学院上海应用物理研究所，上海 201800）

电子辐照实验装置是中国科学院上海应用物理研究所钍基熔盐堆核能系统（Thoriumbased Molten Salt Reactor Nuclear Energy System，简称TMSR）战略性先导科技专项建设的一台用于反应堆设备及电缆材料β辐照实验研究的电子辐照加速器，由地那米电子加速器及束下系统组成，最大电子能量1.5 MeV，流强10 mA［1］。当实验装置进行β辐照实验时，辐照大厅内电子与物质相互作用产生电离辐射，如果此时人员误入该高辐射区域，将对人员造成辐照伤害。因此，有必要根据国家核与辐射安全相关标准规范建立辐射安全联锁系统，以保护人员的辐射安全。

随着工业自动化的发展，辐射安全联锁系统从继电器和计算机控制发展为更稳定、可靠的可编程逻辑控制器（Programmable Logic Controller，简称PLC）技术［2-7］。近年来，上海光源、中子物理实验装置及高能同步辐射光源等辐射安全联锁系统采用了冗余的PLC控制器，提高了系统的安全性和可靠性［8-10］。本文结合已有设计与实践经验，采用高可靠的冗余PLC控制器技术完成电子辐照实验装置辐射安全联锁系统设计，避免在实验装置运行时发生人员辐照事故，确保人身辐射安全。

1 设计依据

辐射安全联锁系统不仅需要遵守弱电系统的设计规范，还需满足国家辐射安全相关标准规范的要求。进行系统设计时，必须考虑最优切断、失效安全、硬件可靠、纵深防御、自我巡检及以人为本等设计原则［11,12］。

（1）最优切断：辐射安全联锁系统在加速器的控制系统中具有最高权力，能优先切断加速器束流。

（2）失效安全：当系统的关键设备、连接线路发生故障或失效时，辐射安全联锁系统能避免出现失控性后果，可以采取措施保障预定的安全状态。

（3）纵深防御：充分考虑并合理设置联锁措施，实现多重冗余保护，具有相互独立性。

（4）硬件可靠：关键联锁信号尽可能采用硬件设备提供，尽量减少规章制度等管理措施。

（5）自我巡检：关键设备具有可自检性和可测试性，对故障问题进行自动记录。

（6）以人为本：联锁控制逻辑简洁合理，人机交互性好，便于运行操作及检修维护。

2 系统组成

辐射安全联锁系统由PLC控制器、搜索清场按钮、紧急停机按钮、警灯警铃和钥匙装置等现场设备及监控主机组成，以冗余PLC控制器为核心，通过逻辑控制程序的设计实现对搜索清场按钮、紧急停机按钮、警灯警铃、钥匙装置、门限位开关及加速器机器联锁控制器、高频高压和电子枪高压触发控制器等的联锁控制，如图1所示。当辐射安全联锁系统建立完成后，将向机器联锁控制器发送允许开机信号，此时实验装置可以开机运行，同时机器联锁控制器将实验装置的运行状态反馈给辐射安全联锁系统。辐射安全联锁系统建立后，如果发生紧急停机按钮被按下、门限位开关被打开等联锁事件，辐射安全联锁系统会切断高频高压和电子枪高压触发控制器，并向机器联锁控制器发送切断运行的信号，从而优先切断辐射源。

图1 系统组成示意图Fig.1 System composition diagram

根据电子辐照实验装置的布局情况，按照国家辐射安全相关标准规范，将辐照大厅内划分为控制区，在实验装置运行时禁止人员进入。电子辐照实验装置辐射安全联锁设备的分布情况如图2所示。PLC控制器位于控制室的控制机柜内，负责对所有辐射安全联锁设备的信号进行控制。钥匙装置位于控制室的控制台上，采用电磁控制方式，当加速器停机时才可以释放联锁钥匙，是联锁建立及加速器开机的必要设备。搜索清场按钮和紧急停机按钮位于辐照大厅内，分别用于联锁建立前对滞留大厅内人员的搜索清场及紧急情况下切断加速器束流，这些按钮带有指示灯，便于滞留在辐照大厅内的人员快速找到。门限位开关是防护门关闭状态的信号确认设备，警灯警铃以声光报警的方式提醒人员注意辐射安全联锁状态。

图2 辐射安全联锁设备分布图Fig.2 Distribution of radiation safety interlocking device

PLC控制器所采用的SIEMENS公司CPU模块、IO模块和通信接口模块等，均是双重设计的S7-412-5H热备硬冗余系统，并采用冗余的通讯专用电缆与现场联锁设备、加速器机器联锁系统、高频高压和电子枪高压触发控制器进行联锁连接，如图3所示。CPU模块配置成主、备CPU，可以确保设备在发生故障时可以无扰动自动切换。PLC控制器的工作模式为冗余模式，主、备CPU同时处于RUN状态，二者间采用专用电缆通信，保持事件同步程序执行并互相检查。主CPU发生故障或进入STOP状态时，主、备CPU之间进行切换，切换时不会出现数据信息丢失的问题，保证了系统的可靠性。此外，PLC控制器对所有联锁设备进行信号监控，当任何联锁设备信号状态出现异常时，都不能建立联锁或联锁建立时触发联锁信号切断实验装置的运行，这样既确保了辐射安全联锁系统的有效性，又提高了系统的安全性。

图3 冗余PLC控制器的线路连接示意图Fig.3 Line connection of redundant PLC

3 联锁控制

3.1 控制流程

辐射安全联锁系统的建立是电子辐照实验装置开机的必备条件。在实验装置运行时，任何违反辐射安全的行为都会产生联锁信号，以切断实验装置的运行，其控制流程图如图4所示。实验装置开机准备就绪时，值班运行人员进入实验装置辐照大厅内，在规定时间内按照设定的路线对滞留人员进行搜索清场。搜索清场过程中，紧急停机按钮和紧急出门按钮如被按下，都会引起搜索清场中断，需要重新进行搜索清场。搜索清场完成后，关闭防护门，将联锁钥匙在钥匙盒上就位，并转动联锁钥匙，建立辐射安全联锁系统。辐射安全联锁系统将向机器联锁控制器输出允许开机信号，禁止人员进入实验装置辐照大厅。在辐射安全联锁建立的过程中，警灯警铃会持续报警，提醒滞留人员通过紧急停机按钮或紧急出门按钮阻止实验装置开机。在实验装置的运行期间，任何紧急停机按钮及紧急出门按钮被按下或防护门被打开等联锁事件的发生，都会切断实验装置的运行，引起实验装置停机。

3.2 联锁程序

根据联锁控制信号的类型及其执行功能，辐射安全联锁程序采用SIEMENS公司自带的STEP 7 V5.5标准程序进行编写。电子辐照实验装置联锁控制信号主要为输入及输出信号，见表1。在冗余PLC控制器中所有的输入及输出信号都是一致的，为了确保防护门的关闭状态，对于防护门的两个限位开关分别取常开和常闭信号。

表1 辐射安全联锁主要输入及输出信号Table 1 Radiation safety interlocking input and out signal

图4 辐射安全联锁系统控制流程图Fig.4 Radiation safety interlocking system control flow chart

联锁程序主要包括了OB1主程序循环模块以及带有错误诊断的OB组织模块。OB1主程序循环模块通过调用设备状态监控、搜索清场、联锁建立、紧急停机及报警复位等5个FC功能模块实现辐射安全联锁的控制流程。其中，搜索清场模块主要依照搜索清场流程执行搜索清场程序，在防护门关闭后采用保持型接通延时定时器S_ODTS实现对警灯警铃的持续报警，在紧急停机按钮、紧急出门按钮被按下等中断搜索清场过程的情形下，都会形成搜索复位信号，只有搜索复位完成后才能重新进行，其程序段如图5所示。OB组织模块主要是对PLC控制器中的CPU冗余故障、I/O冗余故障、定时错误、通讯错误、诊断中断和编程错误等故障进行诊断，及时反馈故障诊断信息。

图5 搜索清场程序段图Fig.5 Logic diagram of searching procedure

3.3 监控软件

监控软件根据电子辐照实验装置辐射安全联锁系统设备现场布局及联锁信号情况，采用WinCC V7.0进行设计与开发，运行在控制室的工业级计算机上。在监控软件上可以实时监控辐射安全联锁系统的设备状态、联锁状态、搜索清场状态及加速器运行状态等状态信息，并且可以记录与储存联锁信息、急停事件和搜索清场等状态信息，如图6所示。在联锁设备发生故障时，监控软件还可以通过弹窗形式提醒工作人员，便于及时发现设备异常状态。此外，还采用C语言以脚本形式编写联锁状态转换的动态链接，可以根据辐射安全联锁系统的状态实现LED显示屏状态显示信息的转化。

4 结论

为了避免在电子辐照实验装置运行时发生人员辐照事故，根据国家核与辐射安全相关标准规范，需要建立一套可靠、稳定的辐射安全联锁系统。本文采用了冗余的PLC控制器技术，增加了系统的可靠性，减少了故障的发生，并通过逻辑控制程序的设计实现了辐射安全联锁现场设备及机器联锁控制器、高频高压和电子枪高压触发控制器等设备的联锁控制，具备设备状态监控、搜索清场、联锁建立、紧急停机及报警复位等功能，满足辐射安全的设计要求，确保了人身辐射安全。

图6 上位机监控软件图Fig.6 Upper computer monitoring software diagram