今日頭條
官方微信
官方抖音
案例頻道在地球溫室效應、氣候變化的嚴峻形勢下,核能作為一種重要清潔能源,日益受到重視。根據(jù)2007年國務院的《核電中長期發(fā)展規(guī)劃(2005-2020年)》,我國計劃到2020年,核電運行裝機容量爭取達到7000萬千瓦(調(diào)整后)。但是核能又是一種非常特殊的能源,對安全有著極為嚴格的要求,一旦發(fā)生核事故,會對環(huán)境和社會公眾造成巨大的危害,后果不堪設想。在2011年3月11日發(fā)生的日本福島核事故之后,如何提高核電廠的可靠性,確保充分利用核能優(yōu)勢同時又能將潛在風險降到最低,已成為核電發(fā)展面臨的關(guān)鍵問題。
反應堆保護系統(tǒng)的功能是保護三大核安全屏障(即燃料包殼、一回路壓力邊界和安全殼)的完整性。當運行參數(shù)到達危及三大屏障完整性的閾值時,緊急停閉反應堆,必要時啟動專設安全設施[1]。它可以在異常或事故工況下進行安全停堆停機,并在事故發(fā)生后緩解事故,將事故后果限制在可接受的范圍內(nèi)。
隨著微處理技術(shù)的日新月異,數(shù)字化儀控系統(tǒng)開始逐步取代傳統(tǒng)模擬控制和保護系統(tǒng)并全面應用于核電廠反應堆保護系統(tǒng)。數(shù)字化儀控系統(tǒng)具有以下優(yōu)點:提高了核電廠對事件或事故的響應速度、降低了人因失誤的效率、組態(tài)設計更加方便靈活、能輕松實現(xiàn)復雜的控制算法,同時具有強大的自診斷功能。數(shù)字化儀控系統(tǒng)充分體現(xiàn)了數(shù)字化的優(yōu)勢,但它是基于軟件的,存在因共因故障導致控制及保護系統(tǒng)失效、喪失安全功能的潛在風險。中國和國外的核安全法規(guī)導則標準均闡述了對共因故障的關(guān)注,并提出了保護系統(tǒng)應防御軟件共因故障的要求。
1 保護系統(tǒng)多樣性設計要求
《核動力廠設計安全規(guī)定》HAF102[2]中明確提出,在不能論證所需系統(tǒng)的完整性具有高可信度時,必須具備保證執(zhí)行保護功能的其他不同的手段。要求核電廠保護系統(tǒng)必須采用多樣性設計,以降低共因故障導致保護系統(tǒng)失效的風險,從而滿足核電廠縱深防御原則,實現(xiàn)安全核電廠的安全目標。
共因故障是指由特定的單一事件或起因?qū)е聝蓚€或多個構(gòu)筑物、系統(tǒng)或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件,也可以是人為原因造成的事件。具體而言,共因故障可以由設計缺陷、制造缺陷、運行或維修差錯、自然現(xiàn)象、人為事件,或核動力廠內(nèi)任何其他操作或故障所引起的意外級聯(lián)效應引起。
多樣性是針對共因故障設置的預防措施。多樣性在HAF102中的定義為:為執(zhí)行某一確定功能設置兩個或多個多重部件或系統(tǒng),這些不同部件或系統(tǒng)具有不同屬性,從而可以減少發(fā)生共因故障的可能性。通過不同儀控系統(tǒng)、結(jié)構(gòu)和部件的多樣化設計,來降低共因故障的風險,以滿足核電廠安全縱深防御原則。當數(shù)字化系統(tǒng)出現(xiàn)共因故障時,由多樣性系統(tǒng)實施控制。多樣性系統(tǒng)的硬件平臺必須和數(shù)字化系統(tǒng)是不同的。核安全級多樣性驅(qū)動設備就是為了防止數(shù)字化DCS系統(tǒng)共因故障而設置的實現(xiàn)保護保護功能的裝置。
IEEE 603[3]和IEEE 7-4.3.2[4]均規(guī)定在核電廠保護系統(tǒng)設計及實施過程中,必須采取針對性措施,以確保在系統(tǒng)發(fā)生共因故障而導致控制及保護系統(tǒng)失效時,核電廠的安全功能仍然能夠得以有效執(zhí)行。
2 保護系統(tǒng)架構(gòu)
核電廠保護系統(tǒng)功能是探測核電廠的運行狀態(tài),當其偏離可接受的狀態(tài)時,發(fā)出保護指令執(zhí)行安全動作。它主要包括安全停堆系統(tǒng)、安全專設系統(tǒng)、多樣性驅(qū)動系統(tǒng)以及人機接口等幾個組成部分。其設計要求遵循安全系統(tǒng)設計準則,以保證保護系統(tǒng)的可靠性與可用性。圖1為保護系統(tǒng)的基本架構(gòu)。
圖1 保護系統(tǒng)基本架構(gòu)
3 保護系統(tǒng)多樣性分類及實現(xiàn)方法
根據(jù)共因故障產(chǎn)生的原因,在保護系統(tǒng)設計及實施過程中可以采取以下應對措施,來降低共因故障導致的風險,提高核電廠的可靠性和安全性。
3.1 設備多樣性
設備多樣性指由不同的廠家生產(chǎn)或者是相同的廠家根據(jù)不同的需求規(guī)范書并采用不同的工作原理生產(chǎn)的設備,防止由于單一的設備故障導致全部功能的喪失。
3.1.1 保護系統(tǒng)多樣性
核電廠保護系統(tǒng)一般可以分為兩個部分:安全級DCS保護系統(tǒng)和多樣性驅(qū)動保護系統(tǒng)。多樣性驅(qū)動保護系統(tǒng)利用與安全級DCS保護系統(tǒng)不同的系統(tǒng)平臺和設計邏輯來實現(xiàn)不同于安全級DCS保護系統(tǒng)的保護功能。例如,在遼寧紅沿河核電廠中,安全級DCS保護系統(tǒng)采用三菱電機的MELTAC數(shù)字化控制平臺,多樣性保護系統(tǒng)則是三菱電機的MELNAC模擬式控制平臺。雖然均是三菱電機的產(chǎn)品,但是他們基于不同的工作原理,依據(jù)不同的需求規(guī)格書各自獨立完成。因此,該設計方案滿足HAF102中關(guān)于多樣性的要求。
3.1.2 停堆系統(tǒng)多樣性
核電廠停堆系統(tǒng)包括停堆斷路器和控制棒驅(qū)動機構(gòu)CRDM。在事故工況時,安全級DCS系統(tǒng)動作,觸發(fā)停堆斷路器動作,使控制棒驅(qū)動機構(gòu)失電,控制棒靠重力作用下插,引入負的反應性,從而使反應堆安全停堆。多樣性保護系統(tǒng)則與CRDM對應,在安全級DCS保護系統(tǒng)因共因故障失效,或者是安全級系統(tǒng)動作發(fā)出停堆指令后,停堆斷路器因故障不能動作,導致無法切斷電源時,過程參數(shù)持續(xù)上升,達到多樣性保護系統(tǒng)設置的限值后,多樣性保護系統(tǒng)動作,向棒控系統(tǒng)RGL發(fā)出停堆指令使反應堆安全停堆。兩種停堆方式的原理和機制均不同,保證了停堆系統(tǒng)的多樣性。
3.1.3 監(jiān)視和操作系統(tǒng)多樣性
核電廠的操作絕大部分都是在主控制室(MCR)內(nèi)完成的。主控室內(nèi)設置了計算機化的操作員站以及基于硬接線原理的常規(guī)儀表的后備盤、緊急停堆盤等操作平臺。通常情況下,核電廠的信息顯示和手動控制是通過計算機化的工作站來進行。后備盤由常規(guī)儀表組成,是針對計算機化工作站的多樣化人機接口設備。當操作員站出現(xiàn)故障,不能對核電實施有效的監(jiān)視、控制和保護時,操作員可以利用后備盤獲取與保護動作相關(guān)的重要報警與指示,并能手動觸發(fā)與安全保護動作相關(guān)的指令。
3.1.4 操作場所多樣性
除上述在主控室中設置后備盤等多樣性的監(jiān)視和操作系統(tǒng)外,在核電廠還設置了多樣性的操作場所即遠程停堆站(RSS) 。遠程停堆站中設置了簡化的操作員站。當主控室因火災、水災或地震等原因不可用時,操作員轉(zhuǎn)移到RSS,完成對核電廠的監(jiān)視和控制,將核反應堆維持在穩(wěn)定工況下或?qū)⑵鋷氚踩6褷顟B(tài)。
3.2 功能多樣性
核電廠安全停堆保護系統(tǒng),由四個冗余的保護通道組成,每個通道都進行獨立的運算,輸出部分停堆信號,四個通道的部分停堆信號進行四取二符合邏輯運算,以實現(xiàn)停堆保護功能。為了提高保護系統(tǒng)的可靠性,防止因共因故障導致保護系統(tǒng)失效,每個通道的設計都充分考慮保護系統(tǒng)功能的多樣性,將執(zhí)行同一保護功能的多樣性保護參數(shù)和邏輯分配在不同的子組實現(xiàn)控制,從而減小共因故障的影響。當任何一個子組因共因故障而失去保護功能時,另一個子組仍可以提供保護功能。
以三個環(huán)路反應堆的冷卻劑泵為例。冷卻劑泵負責向反應堆傳送冷卻劑,一旦冷卻劑泵出現(xiàn)故障或者停止運行,反應堆就無法獲得足夠的冷卻劑,不能及時將反應熱導出,輕則會導致反應堆停堆,重則會使堆芯溫度急劇升高導致融化,釀成放射性物質(zhì)外泄的嚴重事故。因此,從現(xiàn)場傳感器到停堆保護系統(tǒng),都應采用多樣性設計。安全級DCS保護系統(tǒng)采集了兩種不同類型的參數(shù):泵轉(zhuǎn)速以及泵斷路器的開、合狀態(tài)來確定冷卻劑的運行狀態(tài),在兩個子組中分別進行處理。如果因電源、傳感器故障等原因?qū)е乱粋€子組喪失保護功能,另外一個子組則可以繼續(xù)完成邏輯運算,觸發(fā)停堆信號,完成安全保護功能。
在安全專設系統(tǒng)的設計中,也需要考慮相關(guān)的專設功能分配,其主要是從工藝系統(tǒng)故障安全角度考慮,將部分系統(tǒng)功能分散,盡量將功能相同的設備分開到不同的專設驅(qū)動功能子系統(tǒng)中,如主給水系統(tǒng)ARE和輔助給水系統(tǒng)ASG,需分配在兩個不同的專設子系統(tǒng)中實現(xiàn),以保證當一個子系統(tǒng)出現(xiàn)故障時,另一個子系統(tǒng)仍可以正常地執(zhí)行該項專設功能。
3.3 人員多樣性
在人為故障中,最容易被忽視的就是設計人員的共因故障所導致的設計缺陷。人員導致的共因故障主要是由于相同的工作背景、相同的培訓或者設計人員之間的相互技術(shù)交流等因素,導致某種錯誤的觀點或者錯誤的方法在設計人員之間繼承或傳遞。這種缺陷很難通過設計人員之間的相互檢查來發(fā)現(xiàn)。為了防止“人員的共因故障”對保護系統(tǒng)的影響,在設計及實施中,有必要采取以下措施來降低共因故障的潛在影響。
3.3.1 設計人員多樣性
保護系統(tǒng)設計包括安全DCS保護系統(tǒng)設計和多樣性保護系統(tǒng)設計。為了防止“人員共因故障”的影響,多樣性保護系統(tǒng)的設計人員需要多樣性于安全級DCS系統(tǒng)設計人員,即由相互獨立的設計人員完成安全級DCS保護系統(tǒng)和多樣性保護系統(tǒng)的設計、實施工作。另外,設計初步完成后由其它團隊擔任審核工作也是設計人員多樣性的一種體現(xiàn)。
3.3.2 驗證和確認人員多樣性
為了保證保護系統(tǒng)設計的質(zhì)量,除了進行設計組織內(nèi)部之間的相互檢查之外,還必須進行驗證與確認Verification & Validation(V&V)工作。在HAF102中規(guī)定,V&V人員必須具有和設計人員相同或更高的設計能力,并且在組織、管理、財務上獨立于設計人員,防止由于領導的行政指令,或者是組織的利益導致V&V工作人員不能獨立地去執(zhí)行檢查工作而導致共因故障的發(fā)生。V&V人員可以獨立地對設計結(jié)果進行審查,針對設計中存在的問題給出相應的評價,但V&V人員不能對設計中存在的問題提出具體的解決方案,以避免共因故障的影響。
4 結(jié)語
數(shù)字化在核電廠保護系統(tǒng)的全面應用是科技發(fā)展的必然結(jié)果,軟件共因故障亦不可避免。本文通過針對數(shù)字化保護系統(tǒng)應對軟件共因故障設置多樣化方案的分析和研究,基于多臺現(xiàn)役CPR1000項目機組的實際應用,舉例論述了設備、功能及人員多樣性的具體實現(xiàn)方案,對后續(xù)新建或現(xiàn)役改造的核電機組保護系統(tǒng)設計具有一定的參考意義。
參考文獻:
[1] 廣東核電培訓中心. 900MW壓水堆核電廠系統(tǒng)與設備[M]. 北京: 原子能出版社. 2007.
[2] HAF 102, 核動力廠設計安全規(guī)定[S]. 2004.
[3] IEEE 603. IEEE Standard Criteria for Safety Systems for Nuclear PowerGenerating Stations[S], 2009.
[4] IEEE 7 - 4. 3. 2. IEEE Standard Criteria for Digital Computers in SafetySystems of Nuclear Power Generating Stations[S], 2010.
作者簡介
梁中起(1968-),男,河北人,高級工程師,1992年畢業(yè)于沈陽化工學院生產(chǎn)過程自動化專業(yè),獲工程學士學位,現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司,主要從事核電廠DCS系統(tǒng)工程實施方面的工作。
摘自《自動化博覽》2015年12月刊
北京市公安局海淀分局備案號:11010802023656號