今日頭條
官方微信
官方抖音
案例頻道文獻(xiàn)標(biāo)識碼:B文章編號:1003-0492(2024)09-084-04中圖分類號:TP273
★杜德君,盛夢月(中國核電工程有限公司,北京100840)
關(guān)鍵詞:縱深防御;核安全;防御線;多樣化
縱深防御概念誕生于20世紀(jì)40年代第一批生產(chǎn)核武器材料钚的軍用生產(chǎn)堆的建造過程當(dāng)中。雖然物理學(xué)家們認(rèn)為無需在建造中再考慮其他影響安全的不利因素,但漢福特B生產(chǎn)堆承包商杜邦公司的化學(xué)工程師根據(jù)建造運(yùn)行化工廠積累的經(jīng)驗,堅持認(rèn)為應(yīng)考慮必要的不確定性,為此將反應(yīng)堆分割成一個個更小且相對獨立的子系統(tǒng),防止一個子系統(tǒng)的故障波及到另外的子系統(tǒng),同時在重要系統(tǒng)和部件的建造和安裝過程中有意識地留有安全裕度。而漢福特B生產(chǎn)堆運(yùn)行過程中發(fā)生的意外自動停堆事件進(jìn)一步證明了這種設(shè)計的重要性。這種經(jīng)驗在后續(xù)的核電廠建設(shè)過程中被廣泛借鑒。
縱深防御概念延續(xù)至今,其已經(jīng)成為核安全理論中的重要基石,貫穿于安全有關(guān)全部活動當(dāng)中,包括組織、行為、設(shè)計和設(shè)備等各方面,以保證這些活動均置于重疊措施的防御之下。核電廠的縱深防御設(shè)計是防止和減輕事故后果的主要手段,縱深防御主要通過將一些連續(xù)和獨立的防護(hù)層結(jié)合起來加以實施,并且在人員或環(huán)境可能受到有害影響的時候,這些防護(hù)層必須不能失效。如果某一層防護(hù)或屏障失效,后續(xù)防護(hù)層或屏障就應(yīng)發(fā)揮作用。在實施的當(dāng)時,縱深防御能夠確保任何單一的技術(shù)故障、人為或組織失誤都不會導(dǎo)致有害影響,并確保可能引起重要有害影響的疊加故障概率非常低。不同防護(hù)層的獨立效能是縱深防御的一個必要組成部分。
1 儀控縱深防御要求
HAD102/10-2021《核動力廠儀表和控制系統(tǒng)設(shè)計》給出了縱深防御理念在儀控系統(tǒng)設(shè)計基準(zhǔn)中的要求,主要包括:
(1)2.3.5.4節(jié)(3),縱深防御和多樣化:縱深防御和多樣化分析是審查安全系統(tǒng)共因故障弱點的手段之一;
(2)3.1.6節(jié),分配到儀控系統(tǒng)的功能包括,在不同運(yùn)行狀態(tài)模式以及事故工況下,為運(yùn)行核動力廠提供相關(guān)信息和控制的能力。這些功能的目標(biāo)與縱深防御理念相一致:
?防止偏離正常運(yùn)行;
?檢測故障并控制異常運(yùn)行;
?控制核動力廠設(shè)計基準(zhǔn)以內(nèi)的事故;
?控制設(shè)計擴(kuò)展工況的后果;
?緩解事故的放射性后果。
(3)4.1.6節(jié),儀控系統(tǒng)的總體結(jié)構(gòu)不應(yīng)違背核動力廠設(shè)計的縱深防御理念和多樣性策略;
(4)4.1.7節(jié),儀控系統(tǒng)的總體結(jié)構(gòu)應(yīng)明確自身的縱深防御理念和多樣性策略;
(5)4.1.8節(jié),在儀控總體結(jié)構(gòu)設(shè)計中,還應(yīng)確定支持核動力廠縱深防御和多樣性不同層級的儀控系統(tǒng)間的獨立性水平;
(6)4.1.9節(jié),儀控總體結(jié)構(gòu)內(nèi)的縱深防御通過各條獨立的防御線來實現(xiàn),一條防御線的失效可以由下一條防御線彌補(bǔ);(7)9.4.19節(jié),應(yīng)采取預(yù)防措施以避免因使用相同的軟件(例如操作系統(tǒng)、網(wǎng)絡(luò)通信軟件或其他運(yùn)行支持軟件)導(dǎo)致各層縱深防御所需系統(tǒng)之間的獨立性破壞。
2 先進(jìn)核電廠儀控系統(tǒng)縱深防御設(shè)計
基于HAD102/10-2021的相關(guān)要求,同時滿足本堆型依據(jù)HAF102-2016《動力廠設(shè)計安全規(guī)定》確定的核電廠總體縱深防御策略,本研究制定了先進(jìn)核電廠儀控系統(tǒng)的縱深防御方案:
(1)儀控系統(tǒng)縱深防御第1層次,由電廠運(yùn)行控制系統(tǒng)在正常運(yùn)行工況完成電廠主要監(jiān)控任務(wù);
(2)儀控系統(tǒng)縱深防御第2層次,應(yīng)對預(yù)計運(yùn)行事件(AOO)。由保護(hù)和安全監(jiān)測系統(tǒng)中的緊急停堆子系統(tǒng)保證相關(guān)重要參數(shù)的偏離達(dá)到設(shè)定的閾值時停堆,將機(jī)組帶入安全狀態(tài);
(3)儀控系統(tǒng)縱深防御第3層次,應(yīng)對設(shè)計基準(zhǔn)事故(DBA)。由保護(hù)和安全監(jiān)測系統(tǒng)中的專設(shè)驅(qū)動子系統(tǒng)觸發(fā)執(zhí)行安全功能,防止事故進(jìn)一步發(fā)展造成堆芯損傷或需要采取場外干預(yù)措施的放射性釋放,并保證機(jī)組重回安全狀態(tài);
(4)儀控系統(tǒng)縱深防御第4層次,應(yīng)對設(shè)計擴(kuò)展工況(DEC)。由多樣化驅(qū)動系統(tǒng)(DAS)應(yīng)對保護(hù)和安全監(jiān)測系統(tǒng)共因故障,由嚴(yán)重事故監(jiān)測和控制系統(tǒng)實現(xiàn)嚴(yán)重事故預(yù)防和緩解功能;
(5)儀控系統(tǒng)縱深防御第5層次,由應(yīng)急輔助決策系統(tǒng)提供事故數(shù)據(jù)分析及評價,為應(yīng)急指揮人員提供輔助決策。
相較于M310機(jī)型,先進(jìn)核電廠儀控系統(tǒng)的5層縱深防御設(shè)計準(zhǔn)則,僅第4層次的設(shè)計要求變化較大。本文將主要介紹此防御層次的設(shè)計過程及方案。
3 多樣化驅(qū)動系統(tǒng)設(shè)計
3.1 多樣化驅(qū)動系統(tǒng)功能需求
美國核管會安全評審技術(shù)見解BTP7-19,明確提出了核電廠建造和運(yùn)行申請者應(yīng)對核電廠儀控系統(tǒng)進(jìn)行完整的縱深防御評估,對安全分析報告中的每個事件進(jìn)行分析(最佳估算方法),當(dāng)某一故障模式會導(dǎo)致主保護(hù)系統(tǒng)安全功能喪失時,必須提供適當(dāng)?shù)膫溆每刂剖侄巍_@種控制手段包括自動控制和手段控制,且必須與主保護(hù)系統(tǒng)具有充分的多樣性。根據(jù)這一基于確定論的原則,通過如下流程確定先進(jìn)核電廠的DAS功能需求:
(1)根據(jù)多樣性和縱深防御(D3)原則,采用“最佳估算”的方法對先進(jìn)核電廠安全分析報告第15章中列出的不同的事故進(jìn)行分析,假定數(shù)字化的保護(hù)和安全監(jiān)測系統(tǒng)由于軟件共模故障不能執(zhí)行相應(yīng)的安全功能,確定儀控系統(tǒng)應(yīng)具備的、能夠使反應(yīng)堆達(dá)到安全停堆狀態(tài)的后備保護(hù)功能。
(2)后備保護(hù)功能包括自動保護(hù)、系統(tǒng)級手動保護(hù)和監(jiān)視、部件級手動控制和監(jiān)視。其中系統(tǒng)級自動后備保護(hù)功能由DAS系統(tǒng)實現(xiàn),系統(tǒng)級手動保護(hù)功能由旁通數(shù)字化保護(hù)和安全監(jiān)測的緊急操作盤(ECP)實現(xiàn),部件級手動控制功能由非安全級DCS操縱員工作站實現(xiàn)。自動和手動后備保護(hù)功能的劃分以操縱員能夠做出正確的判定并進(jìn)行人為干預(yù)的時間(緊急停堆為10分鐘,專設(shè)安全動作為30分鐘)為界。
(3)ATWT功能用于應(yīng)對由于共因故障引起的控制棒不能插入堆芯未能實現(xiàn)緊急停堆的預(yù)期瞬變。ATWT功能的分析雖然與針對數(shù)字化保護(hù)和安全監(jiān)測軟件共模所采用的D3分析方法不同,但對于系統(tǒng)設(shè)計、設(shè)備設(shè)計的要求一致,因此統(tǒng)一納入DAS系統(tǒng)實現(xiàn)。
先進(jìn)核電廠的DAS系統(tǒng)設(shè)計基本流程如圖1所示。
圖1 DAS系統(tǒng)設(shè)計基本流程
基于此流程,確定多樣化驅(qū)動系統(tǒng)的功能需求,并完成功能分配:
(1)脫扣功能:緊急停堆、汽機(jī)剎車;
(2)啟動輔助給水;
(3)停閉反應(yīng)堆冷卻劑泵;
(4)啟動應(yīng)急硼注入;
(5)主給水隔離;
(6)主蒸汽管線隔離;
(7)啟動安注等。
3.2 多樣化驅(qū)動系統(tǒng)設(shè)計
按照NUREG/CR6303的要求,從設(shè)計多樣性、設(shè)備多樣性、軟件多樣化、功能多樣化、信號多樣化和人員多樣化六個方面出發(fā),確保DAS系統(tǒng)與主保護(hù)系統(tǒng)(不包括優(yōu)先級控制模塊PLM部分)的多樣性。針對每一個多樣化要求,可以采用多個方法來實現(xiàn):
(1)設(shè)計多樣性方法
?不同的技術(shù);
?同一技術(shù)的不同方法;
?不同的架構(gòu)。
(2)設(shè)備多樣化方法
?不同設(shè)計原理的不同制造商;
?不同設(shè)計原理的同一制造商;
?采用相同設(shè)計的不同制造商。
(3)軟件多樣性方法
?不同的算法、邏輯和程序架構(gòu);
?不同的時序、執(zhí)行順序;
?不同的操作系統(tǒng);
?不同的計算機(jī)語言。
(4)功能多樣化方法
?不同的基本機(jī)制(插棒與硼化);
?不同的目標(biāo)、功能、控制邏輯或驅(qū)動方法。
(5)信號多樣化方法
?不同物理感應(yīng)原理測量不同的反應(yīng)堆或工藝參數(shù);
?同一物理感應(yīng)原理測量不同的反應(yīng)堆或工藝參數(shù);
?一組冗余的相似傳感器測量相同的反應(yīng)堆或工藝參數(shù)。
(6)人員多樣化方法
?不同的設(shè)計公司;
?同一公司內(nèi)不同的工程管理團(tuán)隊;
?不同的設(shè)計師、工程師或程序員。
基于多樣化驅(qū)動系統(tǒng)的工藝條件輸入,以及電氣隔離、通信獨立性、多樣化的要求,明確其與其他儀控間的接口,包括:
(1)硬接線接口:DAS系統(tǒng)從堆外核測系統(tǒng)接收模擬量信號和開關(guān)量信號;從保護(hù)和安全監(jiān)測系統(tǒng)的隔離分配機(jī)柜接收工藝測量信號,以及系統(tǒng)生成的緊急停堆信號和汽機(jī)剎車信號,并通過硬接線反向回送用于“緊急停堆信號”試驗的試驗反饋信號;DAS系統(tǒng)的控制輸出信號送往PLM,用于控制相關(guān)系統(tǒng)的驅(qū)動器;DAS系統(tǒng)采集來自停堆斷路器盤(RTB)的停堆斷路器狀態(tài)信號以產(chǎn)生P4信號;DAS系統(tǒng)產(chǎn)生的停堆信號,送往棒控棒位系統(tǒng)的棒控電源柜以實現(xiàn)與保護(hù)和安全監(jiān)測系統(tǒng)的多樣化停堆功能;汽輪機(jī)跳閘信號,通過硬接線送到汽輪機(jī)保護(hù)系統(tǒng);汽輪機(jī)旁路系統(tǒng)第3組閥門關(guān)閉信號、應(yīng)急硼注入系統(tǒng)的觸發(fā)信號,DAS通過硬接線送往對應(yīng)的系統(tǒng);來自后備盤(BUP)的閉鎖信號和復(fù)位信號以及送往BUP的信號指示燈均通過硬接線傳輸。
(2)網(wǎng)絡(luò)接口:DAS系統(tǒng)通過網(wǎng)絡(luò)將用于顯示和報警的信號送到電廠計算機(jī)信息和控制系統(tǒng)(IIC),并通過網(wǎng)絡(luò)接收來自IIC的閉鎖和復(fù)位信號。
3.3 多樣化驅(qū)動系統(tǒng)架構(gòu)
基于多樣化驅(qū)動系統(tǒng)的功能需求,與其他儀控系統(tǒng)的接口,以及人機(jī)接口的設(shè)計,完成多樣化驅(qū)動系統(tǒng)的架構(gòu)設(shè)計,如圖2所示。
圖2 多樣化驅(qū)動系統(tǒng)構(gòu)架
為了驗證系統(tǒng)的性能要求,建立多樣化驅(qū)動系統(tǒng)的仿真驗證模型,其與堆芯物理模型建立接口,用以驗證基于制造商平臺的設(shè)備特性確定的系統(tǒng)精度、響應(yīng)時間是否滿足設(shè)計基準(zhǔn)事故疊加保護(hù)和安全監(jiān)測系統(tǒng)共因故障后,事故緩解及處理后果要求。
針對多樣化自動保護(hù)整定值的設(shè)定,既要考慮核電廠事故的干預(yù)及時性,又要保證保護(hù)和安全監(jiān)測系統(tǒng)在功能正常的情況下可以先動作,且多樣化驅(qū)動系統(tǒng)不再重復(fù)保護(hù)動作的驅(qū)動。基于此要求,本研究在初步設(shè)計階段采用了兩種方案:一種是與保護(hù)和安全監(jiān)測系統(tǒng)的保護(hù)整定值一致,在驅(qū)動指令發(fā)出前加一定的時間延遲;另一種是在保護(hù)和安全監(jiān)測系統(tǒng)的保護(hù)定值基礎(chǔ)上增加一定安全裕度,并考慮儀表和控制系統(tǒng)的精度和響應(yīng)時間。將兩種方案的設(shè)計結(jié)果帶入到仿真模型開展驗證工作后,確定最終的整定值方案。
4 嚴(yán)重事故監(jiān)測和控制系統(tǒng)設(shè)計
先進(jìn)核電廠采用能動和非能動相結(jié)合的安全系統(tǒng)設(shè)計理念,對于全廠斷電等設(shè)計擴(kuò)展工況(包括嚴(yán)重事故)的預(yù)防和緩解方面進(jìn)行了較為完善的考慮,設(shè)置了能動與非能動相結(jié)合的堆腔注水冷卻方案、非能動安全殼熱量導(dǎo)出系統(tǒng)、二次側(cè)非能動余熱排出系統(tǒng)、非能動氫氣復(fù)合系統(tǒng)、用于嚴(yán)重事故的安全殼氫氣監(jiān)測系統(tǒng)等。嚴(yán)重事故監(jiān)測和控制系統(tǒng)用以實現(xiàn)嚴(yán)重事故預(yù)防和緩解功能的監(jiān)測和控制。
基于嚴(yán)重事故監(jiān)測和控制系統(tǒng)的工藝條件輸入,以及電氣隔離、通信獨立性的要求,明確其與其他儀控間的接口。同時,基于其72小時不間斷供電要求,以及蓄電池容量有限的條件,確定了傳感器信號采集路徑、部分優(yōu)先級控制模塊,以及后備盤設(shè)置專門區(qū)域進(jìn)行監(jiān)測和控制功能的供電方案,完成嚴(yán)重事故監(jiān)測和控制系統(tǒng)的架構(gòu)設(shè)計,如圖3所示。
圖3 嚴(yán)重事故監(jiān)測和控制系統(tǒng)架構(gòu)圖
通過設(shè)置能動與非能動相結(jié)合的工藝系統(tǒng)和嚴(yán)重事故監(jiān)測和控制系統(tǒng),先進(jìn)核電廠提供了嚴(yán)重事故監(jiān)測和控制功能,降低了堆芯損壞的概率,并實現(xiàn)了可能導(dǎo)致早期放射性釋放或者大量放射性釋放的事件序列被實際消除的目標(biāo)。
5 結(jié)論
先進(jìn)核電廠的儀控系統(tǒng)設(shè)計,在保證其他縱深防御層次完整性的前提下,針對第4層開展了完整的功能分析和結(jié)構(gòu)設(shè)計工作,保證在第3層次縱深防御失效的情況下,能夠控制事故進(jìn)展和減輕事故后果,實現(xiàn)了設(shè)置該防御層的目的。另外,多樣化驅(qū)動系統(tǒng)、嚴(yán)重事故監(jiān)測和控制系統(tǒng)的設(shè)計覆蓋了上游專業(yè)對設(shè)計擴(kuò)展工況下工藝設(shè)備的監(jiān)控需求,且滿足標(biāo)準(zhǔn)法規(guī)的要求。
作者簡介:
杜德君(1977-),男,吉林公主嶺人,高級工程師,碩士,現(xiàn)就職于中國核電工程有限公司,主要從事核電廠儀表和控制系統(tǒng)方面的研究。
參考文獻(xiàn):
[1] HAF 102-2016, 核動力廠設(shè)計安全規(guī)定[S].
[2] HAD 102/10-2021, 核動力廠儀表和控制系統(tǒng)設(shè)計[S].
[3] GB/T 13284.1-2008, 核電廠安全系統(tǒng) 第一部分: 設(shè)計準(zhǔn)則[S].
[4] NB/T 20068-2021, 核電廠安全重要儀表和控制系統(tǒng)應(yīng)對共因故障的要求[S].
[5] U.S NUCLEAR REGULATORY COMMISSION. Guidance for Evaluation of Defense In Depth and Diversity to Address Common-Cause Failure Due to Latent Design Defects In Digital Safety System: Branch Technical Position 7-19 Revision 8 – 2021.
[6] U.S. NUCLEAR REGULATORY COMMISSION. Guidance for Evaluation of Defense In Depth and Diversity to Address Common-Cause Failure Due to Latent Design Defects In Digital Safety System: Branch Technical Position 7-19 Revision 8 – 2021.
[7] U.S. NUCLEAR REGULATORY COMMISSION. Method for Performing Diversity and Defense-in-Depth Analyses of Reactor Protection Systems: NUREG/CR-6303. G.G.Preckshot.1994.
摘自《自動化博覽》2024年9月刊
北京市公安局海淀分局備案號:11010802023656號