今日頭條
官方微信
官方抖音
案例頻道在地球溫室效應(yīng)、氣候變化的嚴峻形勢下,核能作為一種重要清潔能源,日益受到重視。根據(jù)2007年國務(wù)院的《核電中長期發(fā)展規(guī)劃(2005-2020年)》,我國計劃到2020年,核電運行裝機容量爭取達到7000萬千瓦(調(diào)整后)。但是核能又是一種非常特殊的能源,對安全有著極為嚴格的要求,一旦發(fā)生核事故,會對環(huán)境和社會公眾造成巨大的危害,后果不堪設(shè)想。在2011年3月11日發(fā)生的日本福島核事故之后,如何提高核電廠的可靠性,確保充分利用核能優(yōu)勢同時又能將潛在風(fēng)險降到最低,已成為核電發(fā)展面臨的關(guān)鍵問題。
反應(yīng)堆保護系統(tǒng)的功能是保護三大核安全屏障(即燃料包殼、一回路壓力邊界和安全殼)的完整性。當運行參數(shù)到達危及三大屏障完整性的閾值時,緊急停閉反應(yīng)堆,必要時啟動專設(shè)安全設(shè)施[1]。它可以在異常或事故工況下進行安全停堆停機,并在事故發(fā)生后緩解事故,將事故后果限制在可接受的范圍內(nèi)。
隨著微處理技術(shù)的日新月異,數(shù)字化儀控系統(tǒng)開始逐步取代傳統(tǒng)模擬控制和保護系統(tǒng)并全面應(yīng)用于核電廠反應(yīng)堆保護系統(tǒng)。數(shù)字化儀控系統(tǒng)具有以下優(yōu)點:提高了核電廠對事件或事故的響應(yīng)速度、降低了人因失誤的效率、組態(tài)設(shè)計更加方便靈活、能輕松實現(xiàn)復(fù)雜的控制算法,同時具有強大的自診斷功能。數(shù)字化儀控系統(tǒng)充分體現(xiàn)了數(shù)字化的優(yōu)勢,但它是基于軟件的,存在因共因故障導(dǎo)致控制及保護系統(tǒng)失效、喪失安全功能的潛在風(fēng)險。中國和國外的核安全法規(guī)導(dǎo)則標準均闡述了對共因故障的關(guān)注,并提出了保護系統(tǒng)應(yīng)防御軟件共因故障的要求。
1 保護系統(tǒng)多樣性設(shè)計要求
《核動力廠設(shè)計安全規(guī)定》HAF102[2]中明確提出,在不能論證所需系統(tǒng)的完整性具有高可信度時,必須具備保證執(zhí)行保護功能的其他不同的手段。要求核電廠保護系統(tǒng)必須采用多樣性設(shè)計,以降低共因故障導(dǎo)致保護系統(tǒng)失效的風(fēng)險,從而滿足核電廠縱深防御原則,實現(xiàn)安全核電廠的安全目標。
共因故障是指由特定的單一事件或起因?qū)е聝蓚€或多個構(gòu)筑物、系統(tǒng)或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件,也可以是人為原因造成的事件。具體而言,共因故障可以由設(shè)計缺陷、制造缺陷、運行或維修差錯、自然現(xiàn)象、人為事件,或核動力廠內(nèi)任何其他操作或故障所引起的意外級聯(lián)效應(yīng)引起。
多樣性是針對共因故障設(shè)置的預(yù)防措施。多樣性在HAF102中的定義為:為執(zhí)行某一確定功能設(shè)置兩個或多個多重部件或系統(tǒng),這些不同部件或系統(tǒng)具有不同屬性,從而可以減少發(fā)生共因故障的可能性。通過不同儀控系統(tǒng)、結(jié)構(gòu)和部件的多樣化設(shè)計,來降低共因故障的風(fēng)險,以滿足核電廠安全縱深防御原則。當數(shù)字化系統(tǒng)出現(xiàn)共因故障時,由多樣性系統(tǒng)實施控制。多樣性系統(tǒng)的硬件平臺必須和數(shù)字化系統(tǒng)是不同的。核安全級多樣性驅(qū)動設(shè)備就是為了防止數(shù)字化DCS系統(tǒng)共因故障而設(shè)置的實現(xiàn)保護保護功能的裝置。
IEEE 603[3]和IEEE 7-4.3.2[4]均規(guī)定在核電廠保護系統(tǒng)設(shè)計及實施過程中,必須采取針對性措施,以確保在系統(tǒng)發(fā)生共因故障而導(dǎo)致控制及保護系統(tǒng)失效時,核電廠的安全功能仍然能夠得以有效執(zhí)行。
2 保護系統(tǒng)架構(gòu)
核電廠保護系統(tǒng)功能是探測核電廠的運行狀態(tài),當其偏離可接受的狀態(tài)時,發(fā)出保護指令執(zhí)行安全動作。它主要包括安全停堆系統(tǒng)、安全專設(shè)系統(tǒng)、多樣性驅(qū)動系統(tǒng)以及人機接口等幾個組成部分。其設(shè)計要求遵循安全系統(tǒng)設(shè)計準則,以保證保護系統(tǒng)的可靠性與可用性。圖1為保護系統(tǒng)的基本架構(gòu)。
圖1 保護系統(tǒng)基本架構(gòu)
3 保護系統(tǒng)多樣性分類及實現(xiàn)方法
根據(jù)共因故障產(chǎn)生的原因,在保護系統(tǒng)設(shè)計及實施過程中可以采取以下應(yīng)對措施,來降低共因故障導(dǎo)致的風(fēng)險,提高核電廠的可靠性和安全性。
3.1 設(shè)備多樣性
設(shè)備多樣性指由不同的廠家生產(chǎn)或者是相同的廠家根據(jù)不同的需求規(guī)范書并采用不同的工作原理生產(chǎn)的設(shè)備,防止由于單一的設(shè)備故障導(dǎo)致全部功能的喪失。
3.1.1 保護系統(tǒng)多樣性
核電廠保護系統(tǒng)一般可以分為兩個部分:安全級DCS保護系統(tǒng)和多樣性驅(qū)動保護系統(tǒng)。多樣性驅(qū)動保護系統(tǒng)利用與安全級DCS保護系統(tǒng)不同的系統(tǒng)平臺和設(shè)計邏輯來實現(xiàn)不同于安全級DCS保護系統(tǒng)的保護功能。例如,在遼寧紅沿河核電廠中,安全級DCS保護系統(tǒng)采用三菱電機的MELTAC數(shù)字化控制平臺,多樣性保護系統(tǒng)則是三菱電機的MELNAC模擬式控制平臺。雖然均是三菱電機的產(chǎn)品,但是他們基于不同的工作原理,依據(jù)不同的需求規(guī)格書各自獨立完成。因此,該設(shè)計方案滿足HAF102中關(guān)于多樣性的要求。
3.1.2 停堆系統(tǒng)多樣性
核電廠停堆系統(tǒng)包括停堆斷路器和控制棒驅(qū)動機構(gòu)CRDM。在事故工況時,安全級DCS系統(tǒng)動作,觸發(fā)停堆斷路器動作,使控制棒驅(qū)動機構(gòu)失電,控制棒靠重力作用下插,引入負的反應(yīng)性,從而使反應(yīng)堆安全停堆。多樣性保護系統(tǒng)則與CRDM對應(yīng),在安全級DCS保護系統(tǒng)因共因故障失效,或者是安全級系統(tǒng)動作發(fā)出停堆指令后,停堆斷路器因故障不能動作,導(dǎo)致無法切斷電源時,過程參數(shù)持續(xù)上升,達到多樣性保護系統(tǒng)設(shè)置的限值后,多樣性保護系統(tǒng)動作,向棒控系統(tǒng)RGL發(fā)出停堆指令使反應(yīng)堆安全停堆。兩種停堆方式的原理和機制均不同,保證了停堆系統(tǒng)的多樣性。
3.1.3 監(jiān)視和操作系統(tǒng)多樣性
核電廠的操作絕大部分都是在主控制室(MCR)內(nèi)完成的。主控室內(nèi)設(shè)置了計算機化的操作員站以及基于硬接線原理的常規(guī)儀表的后備盤、緊急停堆盤等操作平臺。通常情況下,核電廠的信息顯示和手動控制是通過計算機化的工作站來進行。后備盤由常規(guī)儀表組成,是針對計算機化工作站的多樣化人機接口設(shè)備。當操作員站出現(xiàn)故障,不能對核電實施有效的監(jiān)視、控制和保護時,操作員可以利用后備盤獲取與保護動作相關(guān)的重要報警與指示,并能手動觸發(fā)與安全保護動作相關(guān)的指令。
3.1.4 操作場所多樣性
除上述在主控室中設(shè)置后備盤等多樣性的監(jiān)視和操作系統(tǒng)外,在核電廠還設(shè)置了多樣性的操作場所即遠程停堆站(RSS) 。遠程停堆站中設(shè)置了簡化的操作員站。當主控室因火災(zāi)、水災(zāi)或地震等原因不可用時,操作員轉(zhuǎn)移到RSS,完成對核電廠的監(jiān)視和控制,將核反應(yīng)堆維持在穩(wěn)定工況下或?qū)⑵鋷氚踩6褷顟B(tài)。
3.2 功能多樣性
核電廠安全停堆保護系統(tǒng),由四個冗余的保護通道組成,每個通道都進行獨立的運算,輸出部分停堆信號,四個通道的部分停堆信號進行四取二符合邏輯運算,以實現(xiàn)停堆保護功能。為了提高保護系統(tǒng)的可靠性,防止因共因故障導(dǎo)致保護系統(tǒng)失效,每個通道的設(shè)計都充分考慮保護系統(tǒng)功能的多樣性,將執(zhí)行同一保護功能的多樣性保護參數(shù)和邏輯分配在不同的子組實現(xiàn)控制,從而減小共因故障的影響。當任何一個子組因共因故障而失去保護功能時,另一個子組仍可以提供保護功能。
以三個環(huán)路反應(yīng)堆的冷卻劑泵為例。冷卻劑泵負責(zé)向反應(yīng)堆傳送冷卻劑,一旦冷卻劑泵出現(xiàn)故障或者停止運行,反應(yīng)堆就無法獲得足夠的冷卻劑,不能及時將反應(yīng)熱導(dǎo)出,輕則會導(dǎo)致反應(yīng)堆停堆,重則會使堆芯溫度急劇升高導(dǎo)致融化,釀成放射性物質(zhì)外泄的嚴重事故。因此,從現(xiàn)場傳感器到停堆保護系統(tǒng),都應(yīng)采用多樣性設(shè)計。安全級DCS保護系統(tǒng)采集了兩種不同類型的參數(shù):泵轉(zhuǎn)速以及泵斷路器的開、合狀態(tài)來確定冷卻劑的運行狀態(tài),在兩個子組中分別進行處理。如果因電源、傳感器故障等原因?qū)е乱粋€子組喪失保護功能,另外一個子組則可以繼續(xù)完成邏輯運算,觸發(fā)停堆信號,完成安全保護功能。
在安全專設(shè)系統(tǒng)的設(shè)計中,也需要考慮相關(guān)的專設(shè)功能分配,其主要是從工藝系統(tǒng)故障安全角度考慮,將部分系統(tǒng)功能分散,盡量將功能相同的設(shè)備分開到不同的專設(shè)驅(qū)動功能子系統(tǒng)中,如主給水系統(tǒng)ARE和輔助給水系統(tǒng)ASG,需分配在兩個不同的專設(shè)子系統(tǒng)中實現(xiàn),以保證當一個子系統(tǒng)出現(xiàn)故障時,另一個子系統(tǒng)仍可以正常地執(zhí)行該項專設(shè)功能。
3.3 人員多樣性
在人為故障中,最容易被忽視的就是設(shè)計人員的共因故障所導(dǎo)致的設(shè)計缺陷。人員導(dǎo)致的共因故障主要是由于相同的工作背景、相同的培訓(xùn)或者設(shè)計人員之間的相互技術(shù)交流等因素,導(dǎo)致某種錯誤的觀點或者錯誤的方法在設(shè)計人員之間繼承或傳遞。這種缺陷很難通過設(shè)計人員之間的相互檢查來發(fā)現(xiàn)。為了防止“人員的共因故障”對保護系統(tǒng)的影響,在設(shè)計及實施中,有必要采取以下措施來降低共因故障的潛在影響。
3.3.1 設(shè)計人員多樣性
保護系統(tǒng)設(shè)計包括安全DCS保護系統(tǒng)設(shè)計和多樣性保護系統(tǒng)設(shè)計。為了防止“人員共因故障”的影響,多樣性保護系統(tǒng)的設(shè)計人員需要多樣性于安全級DCS系統(tǒng)設(shè)計人員,即由相互獨立的設(shè)計人員完成安全級DCS保護系統(tǒng)和多樣性保護系統(tǒng)的設(shè)計、實施工作。另外,設(shè)計初步完成后由其它團隊擔(dān)任審核工作也是設(shè)計人員多樣性的一種體現(xiàn)。
3.3.2 驗證和確認人員多樣性
為了保證保護系統(tǒng)設(shè)計的質(zhì)量,除了進行設(shè)計組織內(nèi)部之間的相互檢查之外,還必須進行驗證與確認Verification & Validation(V&V)工作。在HAF102中規(guī)定,V&V人員必須具有和設(shè)計人員相同或更高的設(shè)計能力,并且在組織、管理、財務(wù)上獨立于設(shè)計人員,防止由于領(lǐng)導(dǎo)的行政指令,或者是組織的利益導(dǎo)致V&V工作人員不能獨立地去執(zhí)行檢查工作而導(dǎo)致共因故障的發(fā)生。V&V人員可以獨立地對設(shè)計結(jié)果進行審查,針對設(shè)計中存在的問題給出相應(yīng)的評價,但V&V人員不能對設(shè)計中存在的問題提出具體的解決方案,以避免共因故障的影響。
4 結(jié)語
數(shù)字化在核電廠保護系統(tǒng)的全面應(yīng)用是科技發(fā)展的必然結(jié)果,軟件共因故障亦不可避免。本文通過針對數(shù)字化保護系統(tǒng)應(yīng)對軟件共因故障設(shè)置多樣化方案的分析和研究,基于多臺現(xiàn)役CPR1000項目機組的實際應(yīng)用,舉例論述了設(shè)備、功能及人員多樣性的具體實現(xiàn)方案,對后續(xù)新建或現(xiàn)役改造的核電機組保護系統(tǒng)設(shè)計具有一定的參考意義。
參考文獻:
[1] 廣東核電培訓(xùn)中心. 900MW壓水堆核電廠系統(tǒng)與設(shè)備[M]. 北京: 原子能出版社. 2007.
[2] HAF 102, 核動力廠設(shè)計安全規(guī)定[S]. 2004.
[3] IEEE 603. IEEE Standard Criteria for Safety Systems for Nuclear PowerGenerating Stations[S], 2009.
[4] IEEE 7 - 4. 3. 2. IEEE Standard Criteria for Digital Computers in SafetySystems of Nuclear Power Generating Stations[S], 2010.
作者簡介
梁中起(1968-),男,河北人,高級工程師,1992年畢業(yè)于沈陽化工學(xué)院生產(chǎn)過程自動化專業(yè),獲工程學(xué)士學(xué)位,現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司,主要從事核電廠DCS系統(tǒng)工程實施方面的工作。
摘自《自動化博覽》2015年12月刊
北京市公安局海淀分局備案號:11010802023656號