核电厂保护系统多样性设计应用研究
2015-03-15北京广利核系统工程有限公司梁中起
北京广利核系统工程有限公司 梁中起
核电厂保护系统多样性设计应用研究
北京广利核系统工程有限公司 梁中起
为保证核电厂可靠性和安全性,应对数字化仪控系统的共因故障风险,保护系统必须充分考虑多样性的设计以满足纵深防御的原则。本文介绍了中国核能发展的概况以及多样性设计要求,并以保护系统架构为基础,详细地对核电厂保护系统的多样性分类和实现方法进行分析和研究。
保护系统;数字化;纵深防御;共因故障;多样性
在地球温室效应、气候变化的严峻形势下,核能作为一种重要清洁能源,日益受到重视。根据2007年国务院的《核电中长期发展规划(2005-2020年)》,我国计划到2020年,核电运行装机容量争取达到7000万千瓦(调整后)。但是核能又是一种非常特殊的能源,对安全有着极为严格的要求,一旦发生核事故,会对环境和社会公众造成巨大的危害,后果不堪设想。在2011年3月11日发生的日本福岛核事故之后,如何提高核电厂的可靠性,确保充分利用核能优势同时又能将潜在风险降到最低,已成为核电发展面临的关键问题。
反应堆保护系统的功能是保护三大核安全屏障(即燃料包壳、一回路压力边界和安全壳)的完整性。当运行参数到达危及三大屏障完整性的阈值时,紧急停闭反应堆,必要时启动专设安全设施[1]。它可以在异常或事故工况下进行安全停堆停机,并在事故发生后缓解事故,将事故后果限制在可接受的范围内。
随着微处理技术的日新月异,数字化仪控系统开始逐步取代传统模拟控制和保护系统并全面应用于核电厂反应堆保护系统。数字化仪控系统具有以下优点:提高了核电厂对事件或事故的响应速度、降低了人因失误的效率、组态设计更加方便灵活、能轻松实现复杂的控制算法,同时具有强大的自诊断功能。数字化仪控系统充分体现了数字化的优势,但它是基于软件的,存在因共因故障导致控制及保护系统失效、丧失安全功能的潜在风险。中国和国外的核安全法规导则标准均阐述了对共因故障的关注,并提出了保护系统应防御软件共因故障的要求。
1 保护系统多样性设计要求
《核动力厂设计安全规定》HAF102[2]中明确提出,在不能论证所需系统的完整性具有高可信度时,必须具备保证执行保护功能的其他不同的手段。要求核电厂保护系统必须采用多样性设计,以降低共因故障导致保护系统失效的风险,从而满足核电厂纵深防御原则,实现安全核电厂的安全目标。
共因故障是指由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障。这里的单一事件或起因既可以是由外部客观原因造成的事件,也可以是人为原因造成的事件。具体而言,共因故障可以由设计缺陷、制造缺陷、运行或维修差错、自然现象、人为事件,或核动力厂内任何其他操作或故障所引起的意外级联效应引起。
多样性是针对共因故障设置的预防措施。多样性在HAF102中的定义为:为执行某一确定功能设置两个或多个多重部件或系统,这些不同部件或系统具有不同属性,从而可以减少发生共因故障的可能性。通过不同仪控系统、结构和部件的多样化设计,来降低共因故障的风险,以满足核电厂安全纵深防御原则。当数字化系统出现共因故障时,由多样性系统实施控制。多样性系统的硬件平台必须和数字化系统是不同的。核安全级多样性驱动设备就是为了防止数字化DCS系统共因故障而设置的实现保护保护功能的装置。
IEEE 603[3]和IEEE 7-4.3.2[4]均规定在核电厂保护系统设计及实施过程中,必须采取针对性措施,以确保在系统发生共因故障而导致控制及保护系统失效时,核电厂的安全功能仍然能够得以有效执行。
2 保护系统架构
核电厂保护系统功能是探测核电厂的运行状态,当其偏离可接受的状态时,发出保护指令执行安全动作。它主要包括安全停堆系统、安全专设系统、多样性驱动系统以及人机接口等几个组成部分。其设计要求遵循安全系统设计准则,以保证保护系统的
可靠性与可用性。图1为保护系统的基本架构。
图1 保护系统基本架构
3 保护系统多样性分类及实现方法
根据共因故障产生的原因,在保护系统设计及实施过程中可以采取以下应对措施,来降低共因故障导致的风险,提高核电厂的可靠性和安全性。
3.1 设备多样性
设备多样性指由不同的厂家生产或者是相同的厂家根据不同的需求规范书并采用不同的工作原理生产的设备,防止由于单一的设备故障导致全部功能的丧失。
3.1.1 保护系统多样性
核电厂保护系统一般可以分为两个部分:安全级DCS保护系统和多样性驱动保护系统。多样性驱动保护系统利用与安全级DCS保护系统不同的系统平台和设计逻辑来实现不同于安全级DCS保护系统的保护功能。例如,在辽宁红沿河核电厂中,安全级DCS保护系统采用三菱电机的MELTAC数字化控制平台,多样性保护系统则是三菱电机的MELNAC模拟式控制平台。虽然均是三菱电机的产品,但是他们基于不同的工作原理,依据不同的需求规格书各自独立完成。因此,该设计方案满足HAF102中关于多样性的要求。
3.1.2 停堆系统多样性
核电厂停堆系统包括停堆断路器和控制棒驱动机构CRDM。在事故工况时,安全级DCS系统动作,触发停堆断路器动作,使控制棒驱动机构失电,控制棒靠重力作用下插,引入负的反应性,从而使反应堆安全停堆。多样性保护系统则与CRDM对应,在安全级DCS保护系统因共因故障失效,或者是安全级系统动作发出停堆指令后,停堆断路器因故障不能动作,导致无法切断电源时,过程参数持续上升,达到多样性保护系统设置的限值后,多样性保护系统动作,向棒控系统RGL发出停堆指令使反应堆安全停堆。两种停堆方式的原理和机制均不同,保证了停堆系统的多样性。
3.1.3 监视和操作系统多样性
核电厂的操作绝大部分都是在主控制室(MCR)内完成的。主控室内设置了计算机化的操作员站以及基于硬接线原理的常规仪表的后备盘、紧急停堆盘等操作平台。通常情况下,核电厂的信息显示和手动控制是通过计算机化的工作站来进行。后备盘由常规仪表组成,是针对计算机化工作站的多样化人机接口设备。当操作员站出现故障,不能对核电实施有效的监视、控制和保护时,操作员可以利用后备盘获取与保护动作相关的重要报警与指示,并能手动触发与安全保护动作相关的指令。
3.1.4 操作场所多样性
除上述在主控室中设置后备盘等多样性的监视和操作系统外,在核电厂还设置了多样性的操作场所即远程停堆站(RSS) 。远程停堆站中设置了简化的操作员站。当主控室因火灾、水灾或地震等原因不可用时,操作员转移到RSS,完成对核电厂的监视和控制,将核反应堆维持在稳定工况下或将其带入安全停堆状态。
3.2 功能多样性
核电厂安全停堆保护系统,由四个冗余的保护通道组成,每个通道都进行独立的运算,输出部分停堆信号,四个通道的部分停堆信号进行四取二符合逻辑运算,以实现停堆保护功能。为了提高保护系统的可靠性,防止因共因故障导致保护系统失效,每个通道的设计都充分考虑保护系统功能的多样性,将执行同一保护功能的多样性保护参数和逻辑分配在不同的子组实现控制,从而减小共因故障的影响。当任何一个子组因共因故障而失去保护功能时,另一个子组仍可以提供保护功能。
以三个环路反应堆的冷却剂泵为例。冷却剂泵负责向反应堆传送冷却剂,一旦冷却剂泵出现故障或者停止运行,反应堆就无法获得足够的冷却剂,不能及时将反应热导出,轻则会导致反应堆停堆,重则会使堆芯温度急剧升高导致融化,酿成放射性物质外泄的严重事故。因此,从现场传感器到停堆保护系统,都应采用多样性设计。安全级DCS保护系统采集了两种不同类型的参数:泵转速以及泵断路器的开、合状态来确定冷却剂的运行状态,在两个子组中分别进行处理。如果因电源、传感器故障等原因导致一个子组丧失保护功能,另外一个子组则可以继续完成逻辑运算,触发停堆信号,完成安全保护功能。
在安全专设系统的设计中,也需要考虑相关的专设功能分配,其主要是从工艺系统故障安全角度考虑,将部分系统功能分散,尽量将功能相同的设备分开到不同的专设驱动功能子系统中,如主给水系统ARE和辅助给水系统ASG,需分配在两个不同的专设子系统中实现,以保证当一个子系统出现故障时,另一个子系统仍可以正常地执行该项专设功能。
3.3 人员多样性
在人为故障中,最容易被忽视的就是设计人员的共因故障所导致的设计缺陷。人员导致的共因故障主要是由于相同的工作背景、相同的培训或者设计人员之间的相互技术交流等因素,导致某种错误的观点或者错误的方法在设计人员之间继承或传递。这种缺陷很难通过设计人员之间的相互检查来发现。为了防止“人员的共因故障”对保护系统的影响,在设计及实施中,有必要采取以下措施来降低共因故障的潜在影响。
3.3.1 设计人员多样性
保护系统设计包括安全DCS保护系统设计和多样性保护系统设计。为了防止“人员共因故障”的影响,多样性保护系统的设计人员需要多样性于安全级DCS系统设计人员,即由相互独立的设计人员完成安全级DCS保护系统和多样性保护系统的设计、实施工作。另外,设计初步完成后由其它团队担任审核工作也是设计人员多样性的一种体现。
3.3.2 验证和确认人员多样性
为了保证保护系统设计的质量,除了进行设计组织内部之间的相互检查之外,还必须进行验证与确认Verification & Validation(V&V)工作。在HAF102中规定,V&V人员必须具有和设计人员相同或更高的设计能力,并且在组织、管理、财务上独立于设计人员,防止由于领导的行政指令,或者是组织的利益导致V&V工作人员不能独立地去执行检查工作而导致共因故障的发生。V&V人员可以独立地对设计结果进行审查,针对设计中存在的问题给出相应的评价,但V&V人员不能对设计中存在的问题提出具体的解决方案,以避免共因故障的影响。
4 结语
数字化在核电厂保护系统的全面应用是科技发展的必然结果,软件共因故障亦不可避免。本文通过针对数字化保护系统应对软件共因故障设置多样化方案的分析和研究,基于多台现役CPR1000项目机组的实际应用,举例论述了设备、功能及人员多样性的具体实现方案,对后续新建或现役改造的核电机组保护系统设计具有一定的参考意义。
[1] 广东核电培训中心. 900MW压水堆核电厂系统与设备[M]. 北京: 原子能出版社. 2007.
[2] HAF 102, 核动力厂设计安全规定[S]. 2004.
[3] IEEE 603. IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations[S], 2009.
[4] IEEE 7 - 4. 3. 2. IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations[S], 2010.
Research on the Application of Protection System Diversity Design in Nuclear Power Plant
In order to ensure reliability and security of nuclear power plant, and cope with the common cause failure of digital I&C system, protection system design must consider diversity design to meet requirements of Defense-Depth principle adequately. This article addresses the development of China nuclear power and diversity design requirement. Based on protection system architecture, this paper analyzes and studies in detail the classification and realization methods of diversity in protection system of nuclear power plant.
Protection system; Digital; Defense-Depth; Common cause failure; Diversity
梁中起(1968-),男,河北人,高级工程师,1992年毕业于沈阳化工学院生产过程自动化专业,获工程学士学位,现就职于北京广利核系统工程有限公司,主要从事核电厂DCS系统工程实施方面的工作。