APP下载

DAS实施关键技术问题分析研究

2017-03-23王振营

自动化仪表 2017年3期
关键词:核电厂事故软件

王振营,孙 钢

(1.中广核工程有限公司,广东 深圳 518049;2.河南职业技术学院信息工程系,河南 郑州 450046)

DAS实施关键技术问题分析研究

王振营1,孙 钢2

(1.中广核工程有限公司,广东 深圳 518049;2.河南职业技术学院信息工程系,河南 郑州 450046)

设置多样化驱动系统(DAS)是应对数字化反应堆保护系统软件共因故障的有效手段。通过对在役核电厂的仪控系统实施DAS改造,可显著提升核电厂应对软件共因故障的能力,进而提高核电厂的安全水平。从DAS的基本功能需求出发,提出了在役核电厂实施DAS改造的可行方案。该方案共用反应堆保护系统的仪表和优选模块,因而具有较好的经济性和可实施性。对基于该方案的一些关键技术问题,如DAS规模的确定、优选模块的技术要求、人机接口管理以及DAS事故处理程序的开发等,进行了深入分析;对该方案实施过程中需满足的技术要求,包括仪控设计的通用技术要求,如防误动、信号解耦和隔离以及其他要求如供电要求等,进行了简要探讨,并给出建议措施。这些建议措施可为在役核电厂的DAS改造提供有益指导,对在建核电厂的DAS设计也具有参考意义。

核电厂; 多样化驱动系统; 反应堆保护; 软件共因故障; 未能紧急停堆的预期瞬态; 人机接口; 纵深防御

0 引言

未能紧急停堆的预期瞬态(anticipated transient without scream,ATWS)是核电厂设计必须考虑的事故之一。从导致ATWS的原因来看,ATWS有两类:一类是因控制棒、机械卡棒导致的,这类ATWS一般靠紧急硼化功能缓解;另一类是因保护系统或停堆断路器本身故障导致停堆断路器未能及时打开,这类ATWS需要设计多样化驱动系统(diversified actuation system,DAS)进行缓解。目前,国内核电厂大多采用数字化仪控系统(digital control system,DCS)、数字化反应堆保护系统(reactor protection system,RPS)作为DCS的重要组成部分,在设计时需考虑软件共因故障的影响及应对软件共因故障的措施。DAS被认为是应对软件共因故障最有效的方法之一。本文主要分析了在役核电厂实施DAS改造的可行性,指出实施过程中的一些关键问题,并给出建议措施。

1 DAS需求分析

传统CPR1000核电厂针对ATWS的考虑仅限于两个典型的II类事故:失去厂外电和失去主给水。对这两个事故设计的自动保护逻辑可以在RPS失效时触发反应堆停堆和启动相应的专设安全设施。同时,为了实现停堆功能的多样性,ATWS对棒控系统的电源开关进行动作,控制棒在断电后靠重力插入堆芯,而RPS则直接对停堆断路器进行动作。传统CPR1000核电厂针对ATWS的考虑是不全面的。其不足之处表现在:功能逻辑过于简单,与RPS共用供电电源,并未提供相应的人机接口等。

为了缓解ATWS造成的后果,美国联邦法规10CFR50明确要求核电厂应“具备相对于停堆系统多样化的系统(从仪表采集至最终的驱动设备),用以自动触发应急给水系统和触发停堆”[1]。国内安全评审也越来越强调核电厂仪表和控制系统的多样性和纵深防御[2]问题。国内已采用DCS的核电厂,如果能够按照多样性和纵深防御相关的最新法规标准设计DAS,可以更好地满足仪控系统纵深防御方面的要求,提高核电站的安全性。

同时,福岛核事故使人们认识到核电厂也可能发生概率极低的超设计基准事故,这促使核电厂采取一系列针对性措施,以提升核电厂本身缓解超设计基准事故的能力。ATWS的设计基准事故包括安全分析报告中的II类、III类和IV类工况,而不仅仅局限于失去厂外电和失去主给水事故[3-4]。在福岛核事故后,国内开工建设的核电机组,如阳江、方家山、福清等机组,均按照该要求实施DAS。对于在役核电厂而言,实施DAS改造可以为RPS本身提供一种全面而多样化的保护。当RPS发生软件共因故障时,可为机组提供另外一种触发反应堆紧急停堆和专设安全设施动作的方式。这对降低RPS发生共因故障引起的风险,提高核电站安全水平具有重要意义。

2 DAS实施方案分析

目前,世界范围内的三代核电厂均按照相关要求实施了DAS,如典型的AP1000和EPR。AP1000提供了从仪表到执行机构的、完全独立于RPS的DAS系统[5-6];而在建的EPR机组则采用第二套基于多样性软件的保护系统,这两套软件不会同时发生共因故障,不过该方案并未得到广泛认同。对在役核电厂实施DAS改造,建议考虑采用基于成熟硬件逻辑的技术,如现场可编程门阵列等[7]。

对在役核电厂实施DAS改造,需要从经济性和可实施性等方面进行考虑。如果完全参照AP1000的方案,则需要安装配置大量DAS专用的仪表和专用的设备执行机构,如断路器、阀门等,这显然是不现实的。考虑到DAS主要应对RPS软件共因故障,RPS软件共因故障并不会导致RPS仪表不可用,DAS共用RPS仪表在原则上是可以接受的。对执行机构,考虑将DAS信号也送往RPS的优选模块,由优选模块统一进行设备命令的优先级管理,并驱动执行机构。DAS改造方案如图1所示。

图1 DAS改造方案示意图

这种改造方案的好处在于其可实施性。其尽可能地利用机组已有的设备资源,节省改造费用。

3 关键问题分析

3.1 DAS规模的确定

DAS规模的确定主要基于对ATWS瞬态重新分析的结果,分析的范围应包括安全分析报告中所有可能导致反应堆紧急停堆或触发专设安全设施的II、III和IV类工况。对这些工况均叠加考虑RPS的软件共因失效。从限制DAS规模的角度考虑,在分析时可采用基于最佳估算的分析方法,而不必采用安全分析中针对设计基准事故的保守假设和保守计算模型。这是因为如果采用保守的分析方法,可能会低估不同系统(特别是非安全级系统)响应始发事件的能力,而忽视某些有用的恢复策略。DAS自动保护逻辑的规模及相关的整定值应依据瞬态分析确定。为了避免DAS先于RPS触发停堆和专设安全设施,DAS中使用的整定值应稍高于或低于RPS保护逻辑中设定的整定值,使DAS的自动动作延后于RPS保护动作[8]。

考虑到RPS软件共因故障也会导致在RPS软件平台实现的控制调节功能失效,如大气释放阀开度控制、应急给水系统流量控制、主泵轴封流量调节等,需要机组在分析事故之后仍具有安全停堆状态所需的控制和调节功能。

另外,对于RPS输出的一些监测机组状态的物理参数显示,需要分析RPS软件共因失效后这些参数显示是否可信。如果这些参数为执行事故运行程序所需,则需要考虑在DAS中实现相应参数的显示功能(包括其计算过程),如典型的堆芯出口冷却剂的过冷度参数等[9]。

3.2 优选模块的技术要求

图1所示的改造方案中,由于DAS和RPS共用优选模块,这对优选模块本身提出了新的技术要求。若要使DAS不受RPS软件共因故障的影响,则需排除优选模块发生软件共因故障的可能性。在此,有两种技术方案可以选择。①在优选模块中设置软件逻辑和硬件逻辑两部分,两者相互分离,在硬件逻辑部分实现DAS信号、RPS信号和手动信号等的优先级管理,这需要对RPS机柜进行改造,在RPS机柜中添加必要的继电器回路(或添加专门的继电器柜)实现信号优先级管理的要求,可实施性相对较差。②通过“严格”测试,证明优选模块中的软件逻辑发生软件共因故障的可能性极低,排除优选模块发生软件共因故障的可能性。这种方案几乎不涉及硬件改造,可实施性相对较好,这里主要对这种方案的技术要点进行分析。

一些法规要求必须对数字化仪控设备进行“穷举测试”,以证明其不存在软件共因故障[4,10]。“穷举测试”意味着要对所有可能的输入组合以及所有可能的序列组合进行测试分析。如果有100个输入数据,则共需要测试2 100种组合,这对实际的电厂DCS设备而言是较难实现的。对于优选模块,建议使用“组合测试”的方法,鉴于多数程序错误往往都是由少数几个输入共同作用导致的[11-13],使用“组合测试”可以大大减少所需测试的输入组合数,降低测试的复杂程度,因而具有较好的实施性。该方法已在核工业界得到应用[14]。对优选模块,可依照如下方法进行组合测试。①执行“2组合测试”,并逐步递增,直到执行“n组合测试”且未检出故障。②继续执行“n+1组合测试”,如果检出故障,就继续递增执行测试;如果未检出故障,则认为该软件具有较高的可信度,不会发生共因故障[15]。

建议开发专用的测试工具对优选模块进行“组合测试”。测试工具简图如图2所示。

图2 测试工具简图

测试工具采用成熟的算法自动生成“测试向量组合”[16]。首先,由独立的开发人员使用不同于优选模块的编程语言开发逻辑软件模型;然后,采用测试工具,自动将优选模块的实际输出与预期输出进行对比,生成测试日志并自动标志偏差;最后,由测试人员对这些结果进行分析和确认。使用测试工具可有效节省“组合测试”所花费的时间,并能达到预期效果。

3.3 人机接口管理

采用DCS的核电机组一般需提供多层次的人机接口,包括主控室内的数字化人机接口KIC、后备盘BUP(包括应急控制盘ECP),以及位于主控室之外的远程停堆站(remote shutdown station,RSS)等。原则上,一般不允许同时通过两个人机接口对机组进行控制,不同的人机接口之间设置有切换开关,用以允许或闭锁这些人机接口的控制信号[17]。从限制规模的角度考虑,DAS专用的人机接口仅实现了少量设备的控制,而RPS软件共因故障时仍可以通过KIC或BUP实现一些非安全级功能或设备的控制。这些非安全级功能或设备可能有益于事故后机组状态的控制(如RPS软件共因失效并不会导致正常喷淋功能丧失,在一些事故情形下可以使用正常喷淋对一回路进行快速降压)。因此,在特定情形下,应允许同时使用KIC(或BUP)与DAS专用人机接口。在事故处理程序开发和DAS人机接口设计过程中,尤其要考虑这种情况,并对操纵员实施必要的专项培训,以明确事故后机组的控制原则。

3.4 DAS事故处理程序开发

事故处理程序用于在事故后指导操纵员控制机组,引导机组后撤至安全停堆状态。在实施DAS改造后,需要对原事故处理程序在DAS上的可执行性进行分析和验证,如果执行困难,则需要修改原DAS设计,或开发一套DAS专用的事故处理程序。对采用状态导向法事故处理程序(state oriented procedure,SOP)的机组,在DAS上较难实现堆芯冷却监测系统压力容器水位参数的计算过程。该参数作为状态功能参数之一,是SOP监测堆芯冷却状态的重要依据,其缺失会增加在DAS上执行SOP的难度。因此,有必要开发DAS专用的事故处理程序。

4 实施要求

4.1 技术要求

DAS的实施需要遵循仪控设计的通用技术要求[8],主要包括以下四个方面。

①防误动要求。在DAS的表决逻辑部分,建议采用“2取2”或“3取2”等逻辑,以降低DAS误动的风险。

②缺省值。缺省值是信号故障时参与逻辑计算的替代值,对DAS,可通过合理设置“低电平触发”或“高电平触发”逻辑,以降低信号故障时DAS误动的风险[18]。

③信号的解耦和隔离。需要对DAS与RPS之间的信号进行隔离,对DAS中AB列间的信号进行解耦,以限制仪控故障的影响范围。

④定期试验和可维修性。应提供定期试验的工具和接口,采用冗余设计以确保在维修期间不丧失DAS功能等。

4.2 其他要求

在实施DAS时,还需满足其他一些要求,以尽量降低某些外界因素导致DAS和RPS同时失去的风险。如DAS的供电应尽量独立于RPS,并设置独立的不间断电源;DAS机柜房间的通风系统应尽量独立于RPS机柜房间的通风系统;DAS机柜与RPS机柜应布置在不同的防火分区等。

5 结束语

本文从DAS需求出发,提出在役核电厂实施DAS改造的技术方案,并对DAS实施的关键技术问题进行分析。通过本文分析,可得到如下结论:①在役核电厂

实施DAS改造可有效降低RPS共因故障的风险;②采用共用RPS仪表和优选模块的DAS改造方案,具有较好的可实施性;③DAS规模应尽量精简,对优选模块建议进行“组合测试”,以证明其存在软件共因故障的概率极低;④DAS的实施应遵照仪控设计的通用技术要求,如防误动、信号解耦和隔离等。

[1] US NRC.10 CFR 50.62 Requirements for reduction of risk from anticipated transients without scream (ATWS) events for light-water cooled nuclear power plant[S].2007.

[2] 毛从吉,毋琦.从安全评审角度看核电站数字化仪控设计[J].自动化仪表,2012,33(7):39-42.

[3] EUR organization.European utility requirements for LWR nuclear power plants[S].2012.

[4] US NRC.BTP 7-19 guidance for evaluation of diversity and defense-in-depth in digital computer-based instrumentation and control system[S].2007.

[5] 张淑慧,任永忠.AP1000核电厂仪控系统介绍[J].自动化仪表,2010,31(10):48-51.

[6] 李宗.AP1000多样化驱动系统在ATWS缓解中的作用[J].核电工程与技术,2011,16(4):26-31.

[7] 尹宝娟,毛从吉,张宓,等.FPGA技术在核安全级仪控系统中的应用探讨[J].自动化仪表,2013,34(11):53-55.

[8] 周卫华,江辉,彭华清,等.压水堆DAS仪控设计思路探讨[J].原子能科学技术,2014,48(11):930-934.

[9] 国家技术监督局.GB13627核电厂事故监测仪表准则[S].1993.

[10]US NRC.DI&C ISG-04 Highly Integrated Control Rooms & Digital Communication Systems[S].2009.

[11]NIST.SP800-142 Practical Combinatorial Testing[R].2010.

[12]BACH J, SCHROEDER P J.Pairwise testing[C]//Proceedings of the 22nd Pacific Northwest Software Quality Conference, 2004:180-196.

[13]RICK K, YU L, RAGHU K.Practical combinatorial testing:beyond pairwise[J].IT Professional, 2008, 10(3):19-23.

[14]WEC.WCAP 15413 Westinghouse 7300A ASIC-Based Replacement Module Licensing Summary Report[R].2001.

[15]KUHN D R, REILLY M J.An investigation of the applicability of design of experiments to software testing[C]//Proceedings of the Annual NASA/IEEE Software Engineering Workshop (SEW).Los Alamitos: IEEE Press, 2002:91-95.

[16]严俊,张健.组合测试:原理与方法[J].软件学报,2009,20(6):1393-1405.

[17]孙永滨,蒋晓华.压水堆核电站先进主控室布置设计[J].核动力工程,2008,29(3):73-77.

[18]王振营,李红林,郑文波.核电站数字化仪控系统缺省值分析研究[J].自动化仪表,2011,32(5):24-27.

Analysis Research on the Critical Technical Issues in Implementation of DAS

WANG Zhenying1,SUN Gang2

(1.China Nuclear Power Engineering Co., Ltd.,Shenzhen 518049,China;2.Department of Information Engineering, Henan Polytechnic, Zhengzhou 450046,China)

Setting up diversified actuation system (DAS) is an effective means to dealing with the common cause failure (CCF) of software for digital reactor protection system (RPS).The retrofit of implementing DAS in the instrument and control (I&C) system for in-service nuclear power plants (NPP) can significantly improve the capability of mitigating the consequence of software CCF, and the safety level of the NPPs.Based on the basic functional requirements of DAS, the feasible scheme for implementing DAS for in-service NPPs is proposed.This scheme shares the instruments and priority management modules of RPS, thus it possesses better economic benefit and feasibility.The critical technical issues related to this scheme resolution, such as the determination of the scale of DAS;the technical requirements of the modules;the management of the human-machine interfaces and the development of accident handling program of DAS, etc., are thoroughly analyzed.The technical requirements related to DAS implementation, including the general requirement of I&C design such as the anti-spurious actuation, signal de-coupling and isolation, and power supply, etc., are briefly discussed;and the suggestions and solutions are also provided.These suggestions and solutions are beneficial to guiding the DAS implementation on in-service NPPs, and can be referenced by the DAS design for NPPs in-built.

Nuclear power plant; Diversified actuation system; Reactor protection; Software common cause failure; Anticipated transient without scream(ATWS); Human-machine interface; Defense-in-depth

王振营(1980—),男,硕士,高级工程师,主要从事核电站事故分析及事故处理程序开发方向的研究。 E-mail:wangzhenying@cgnpc.com.cn。 孙钢(通信作者),男,硕士,讲师,主要从事计算机应用相关专业方向的教学及研究工作。E-mail:sungang0@163.com。

TH86;TP273

A

10.16086/j.cnki.issn1000-0380.201703003

修改稿收到日期:2016-10-12

猜你喜欢

核电厂事故软件
重水堆核电厂压力管泄漏的识别与处理
核电厂起重机安全监控管理系统的应用
禅宗软件
学中文
我国运行核电厂WANO 业绩指标
废弃泄漏事故
软件对对碰
小恍惚 大事故
核电厂主给水系统调试
即时通讯软件WhatsApp