今日頭條
官方微信
官方抖音
案例頻道文獻(xiàn)標(biāo)識(shí)碼:B文章編號(hào):1003-0492(2024)09-084-04中圖分類號(hào):TP273
★杜德君,盛夢月(中國核電工程有限公司,北京100840)
關(guān)鍵詞:縱深防御;核安全;防御線;多樣化
縱深防御概念誕生于20世紀(jì)40年代第一批生產(chǎn)核武器材料钚的軍用生產(chǎn)堆的建造過程當(dāng)中。雖然物理學(xué)家們認(rèn)為無需在建造中再考慮其他影響安全的不利因素,但漢福特B生產(chǎn)堆承包商杜邦公司的化學(xué)工程師根據(jù)建造運(yùn)行化工廠積累的經(jīng)驗(yàn),堅(jiān)持認(rèn)為應(yīng)考慮必要的不確定性,為此將反應(yīng)堆分割成一個(gè)個(gè)更小且相對(duì)獨(dú)立的子系統(tǒng),防止一個(gè)子系統(tǒng)的故障波及到另外的子系統(tǒng),同時(shí)在重要系統(tǒng)和部件的建造和安裝過程中有意識(shí)地留有安全裕度。而漢福特B生產(chǎn)堆運(yùn)行過程中發(fā)生的意外自動(dòng)停堆事件進(jìn)一步證明了這種設(shè)計(jì)的重要性。這種經(jīng)驗(yàn)在后續(xù)的核電廠建設(shè)過程中被廣泛借鑒。
縱深防御概念延續(xù)至今,其已經(jīng)成為核安全理論中的重要基石,貫穿于安全有關(guān)全部活動(dòng)當(dāng)中,包括組織、行為、設(shè)計(jì)和設(shè)備等各方面,以保證這些活動(dòng)均置于重疊措施的防御之下。核電廠的縱深防御設(shè)計(jì)是防止和減輕事故后果的主要手段,縱深防御主要通過將一些連續(xù)和獨(dú)立的防護(hù)層結(jié)合起來加以實(shí)施,并且在人員或環(huán)境可能受到有害影響的時(shí)候,這些防護(hù)層必須不能失效。如果某一層防護(hù)或屏障失效,后續(xù)防護(hù)層或屏障就應(yīng)發(fā)揮作用。在實(shí)施的當(dāng)時(shí),縱深防御能夠確保任何單一的技術(shù)故障、人為或組織失誤都不會(huì)導(dǎo)致有害影響,并確保可能引起重要有害影響的疊加故障概率非常低。不同防護(hù)層的獨(dú)立效能是縱深防御的一個(gè)必要組成部分。
1 儀控縱深防御要求
HAD102/10-2021《核動(dòng)力廠儀表和控制系統(tǒng)設(shè)計(jì)》給出了縱深防御理念在儀控系統(tǒng)設(shè)計(jì)基準(zhǔn)中的要求,主要包括:
(1)2.3.5.4節(jié)(3),縱深防御和多樣化:縱深防御和多樣化分析是審查安全系統(tǒng)共因故障弱點(diǎn)的手段之一;
(2)3.1.6節(jié),分配到儀控系統(tǒng)的功能包括,在不同運(yùn)行狀態(tài)模式以及事故工況下,為運(yùn)行核動(dòng)力廠提供相關(guān)信息和控制的能力。這些功能的目標(biāo)與縱深防御理念相一致:
?防止偏離正常運(yùn)行;
?檢測故障并控制異常運(yùn)行;
?控制核動(dòng)力廠設(shè)計(jì)基準(zhǔn)以內(nèi)的事故;
?控制設(shè)計(jì)擴(kuò)展工況的后果;
?緩解事故的放射性后果。
(3)4.1.6節(jié),儀控系統(tǒng)的總體結(jié)構(gòu)不應(yīng)違背核動(dòng)力廠設(shè)計(jì)的縱深防御理念和多樣性策略;
(4)4.1.7節(jié),儀控系統(tǒng)的總體結(jié)構(gòu)應(yīng)明確自身的縱深防御理念和多樣性策略;
(5)4.1.8節(jié),在儀控總體結(jié)構(gòu)設(shè)計(jì)中,還應(yīng)確定支持核動(dòng)力廠縱深防御和多樣性不同層級(jí)的儀控系統(tǒng)間的獨(dú)立性水平;
(6)4.1.9節(jié),儀控總體結(jié)構(gòu)內(nèi)的縱深防御通過各條獨(dú)立的防御線來實(shí)現(xiàn),一條防御線的失效可以由下一條防御線彌補(bǔ);(7)9.4.19節(jié),應(yīng)采取預(yù)防措施以避免因使用相同的軟件(例如操作系統(tǒng)、網(wǎng)絡(luò)通信軟件或其他運(yùn)行支持軟件)導(dǎo)致各層縱深防御所需系統(tǒng)之間的獨(dú)立性破壞。
2 先進(jìn)核電廠儀控系統(tǒng)縱深防御設(shè)計(jì)
基于HAD102/10-2021的相關(guān)要求,同時(shí)滿足本堆型依據(jù)HAF102-2016《動(dòng)力廠設(shè)計(jì)安全規(guī)定》確定的核電廠總體縱深防御策略,本研究制定了先進(jìn)核電廠儀控系統(tǒng)的縱深防御方案:
(1)儀控系統(tǒng)縱深防御第1層次,由電廠運(yùn)行控制系統(tǒng)在正常運(yùn)行工況完成電廠主要監(jiān)控任務(wù);
(2)儀控系統(tǒng)縱深防御第2層次,應(yīng)對(duì)預(yù)計(jì)運(yùn)行事件(AOO)。由保護(hù)和安全監(jiān)測系統(tǒng)中的緊急停堆子系統(tǒng)保證相關(guān)重要參數(shù)的偏離達(dá)到設(shè)定的閾值時(shí)停堆,將機(jī)組帶入安全狀態(tài);
(3)儀控系統(tǒng)縱深防御第3層次,應(yīng)對(duì)設(shè)計(jì)基準(zhǔn)事故(DBA)。由保護(hù)和安全監(jiān)測系統(tǒng)中的專設(shè)驅(qū)動(dòng)子系統(tǒng)觸發(fā)執(zhí)行安全功能,防止事故進(jìn)一步發(fā)展造成堆芯損傷或需要采取場外干預(yù)措施的放射性釋放,并保證機(jī)組重回安全狀態(tài);
(4)儀控系統(tǒng)縱深防御第4層次,應(yīng)對(duì)設(shè)計(jì)擴(kuò)展工況(DEC)。由多樣化驅(qū)動(dòng)系統(tǒng)(DAS)應(yīng)對(duì)保護(hù)和安全監(jiān)測系統(tǒng)共因故障,由嚴(yán)重事故監(jiān)測和控制系統(tǒng)實(shí)現(xiàn)嚴(yán)重事故預(yù)防和緩解功能;
(5)儀控系統(tǒng)縱深防御第5層次,由應(yīng)急輔助決策系統(tǒng)提供事故數(shù)據(jù)分析及評(píng)價(jià),為應(yīng)急指揮人員提供輔助決策。
相較于M310機(jī)型,先進(jìn)核電廠儀控系統(tǒng)的5層縱深防御設(shè)計(jì)準(zhǔn)則,僅第4層次的設(shè)計(jì)要求變化較大。本文將主要介紹此防御層次的設(shè)計(jì)過程及方案。
3 多樣化驅(qū)動(dòng)系統(tǒng)設(shè)計(jì)
3.1 多樣化驅(qū)動(dòng)系統(tǒng)功能需求
美國核管會(huì)安全評(píng)審技術(shù)見解BTP7-19,明確提出了核電廠建造和運(yùn)行申請(qǐng)者應(yīng)對(duì)核電廠儀控系統(tǒng)進(jìn)行完整的縱深防御評(píng)估,對(duì)安全分析報(bào)告中的每個(gè)事件進(jìn)行分析(最佳估算方法),當(dāng)某一故障模式會(huì)導(dǎo)致主保護(hù)系統(tǒng)安全功能喪失時(shí),必須提供適當(dāng)?shù)膫溆每刂剖侄巍_@種控制手段包括自動(dòng)控制和手段控制,且必須與主保護(hù)系統(tǒng)具有充分的多樣性。根據(jù)這一基于確定論的原則,通過如下流程確定先進(jìn)核電廠的DAS功能需求:
(1)根據(jù)多樣性和縱深防御(D3)原則,采用“最佳估算”的方法對(duì)先進(jìn)核電廠安全分析報(bào)告第15章中列出的不同的事故進(jìn)行分析,假定數(shù)字化的保護(hù)和安全監(jiān)測系統(tǒng)由于軟件共模故障不能執(zhí)行相應(yīng)的安全功能,確定儀控系統(tǒng)應(yīng)具備的、能夠使反應(yīng)堆達(dá)到安全停堆狀態(tài)的后備保護(hù)功能。
(2)后備保護(hù)功能包括自動(dòng)保護(hù)、系統(tǒng)級(jí)手動(dòng)保護(hù)和監(jiān)視、部件級(jí)手動(dòng)控制和監(jiān)視。其中系統(tǒng)級(jí)自動(dòng)后備保護(hù)功能由DAS系統(tǒng)實(shí)現(xiàn),系統(tǒng)級(jí)手動(dòng)保護(hù)功能由旁通數(shù)字化保護(hù)和安全監(jiān)測的緊急操作盤(ECP)實(shí)現(xiàn),部件級(jí)手動(dòng)控制功能由非安全級(jí)DCS操縱員工作站實(shí)現(xiàn)。自動(dòng)和手動(dòng)后備保護(hù)功能的劃分以操縱員能夠做出正確的判定并進(jìn)行人為干預(yù)的時(shí)間(緊急停堆為10分鐘,專設(shè)安全動(dòng)作為30分鐘)為界。
(3)ATWT功能用于應(yīng)對(duì)由于共因故障引起的控制棒不能插入堆芯未能實(shí)現(xiàn)緊急停堆的預(yù)期瞬變。ATWT功能的分析雖然與針對(duì)數(shù)字化保護(hù)和安全監(jiān)測軟件共模所采用的D3分析方法不同,但對(duì)于系統(tǒng)設(shè)計(jì)、設(shè)備設(shè)計(jì)的要求一致,因此統(tǒng)一納入DAS系統(tǒng)實(shí)現(xiàn)。
先進(jìn)核電廠的DAS系統(tǒng)設(shè)計(jì)基本流程如圖1所示。
圖1 DAS系統(tǒng)設(shè)計(jì)基本流程
基于此流程,確定多樣化驅(qū)動(dòng)系統(tǒng)的功能需求,并完成功能分配:
(1)脫扣功能:緊急停堆、汽機(jī)剎車;
(2)啟動(dòng)輔助給水;
(3)停閉反應(yīng)堆冷卻劑泵;
(4)啟動(dòng)應(yīng)急硼注入;
(5)主給水隔離;
(6)主蒸汽管線隔離;
(7)啟動(dòng)安注等。
3.2 多樣化驅(qū)動(dòng)系統(tǒng)設(shè)計(jì)
按照NUREG/CR6303的要求,從設(shè)計(jì)多樣性、設(shè)備多樣性、軟件多樣化、功能多樣化、信號(hào)多樣化和人員多樣化六個(gè)方面出發(fā),確保DAS系統(tǒng)與主保護(hù)系統(tǒng)(不包括優(yōu)先級(jí)控制模塊PLM部分)的多樣性。針對(duì)每一個(gè)多樣化要求,可以采用多個(gè)方法來實(shí)現(xiàn):
(1)設(shè)計(jì)多樣性方法
?不同的技術(shù);
?同一技術(shù)的不同方法;
?不同的架構(gòu)。
(2)設(shè)備多樣化方法
?不同設(shè)計(jì)原理的不同制造商;
?不同設(shè)計(jì)原理的同一制造商;
?采用相同設(shè)計(jì)的不同制造商。
(3)軟件多樣性方法
?不同的算法、邏輯和程序架構(gòu);
?不同的時(shí)序、執(zhí)行順序;
?不同的操作系統(tǒng);
?不同的計(jì)算機(jī)語言。
(4)功能多樣化方法
?不同的基本機(jī)制(插棒與硼化);
?不同的目標(biāo)、功能、控制邏輯或驅(qū)動(dòng)方法。
(5)信號(hào)多樣化方法
?不同物理感應(yīng)原理測量不同的反應(yīng)堆或工藝參數(shù);
?同一物理感應(yīng)原理測量不同的反應(yīng)堆或工藝參數(shù);
?一組冗余的相似傳感器測量相同的反應(yīng)堆或工藝參數(shù)。
(6)人員多樣化方法
?不同的設(shè)計(jì)公司;
?同一公司內(nèi)不同的工程管理團(tuán)隊(duì);
?不同的設(shè)計(jì)師、工程師或程序員。
基于多樣化驅(qū)動(dòng)系統(tǒng)的工藝條件輸入,以及電氣隔離、通信獨(dú)立性、多樣化的要求,明確其與其他儀控間的接口,包括:
(1)硬接線接口:DAS系統(tǒng)從堆外核測系統(tǒng)接收模擬量信號(hào)和開關(guān)量信號(hào);從保護(hù)和安全監(jiān)測系統(tǒng)的隔離分配機(jī)柜接收工藝測量信號(hào),以及系統(tǒng)生成的緊急停堆信號(hào)和汽機(jī)剎車信號(hào),并通過硬接線反向回送用于“緊急停堆信號(hào)”試驗(yàn)的試驗(yàn)反饋信號(hào);DAS系統(tǒng)的控制輸出信號(hào)送往PLM,用于控制相關(guān)系統(tǒng)的驅(qū)動(dòng)器;DAS系統(tǒng)采集來自停堆斷路器盤(RTB)的停堆斷路器狀態(tài)信號(hào)以產(chǎn)生P4信號(hào);DAS系統(tǒng)產(chǎn)生的停堆信號(hào),送往棒控棒位系統(tǒng)的棒控電源柜以實(shí)現(xiàn)與保護(hù)和安全監(jiān)測系統(tǒng)的多樣化停堆功能;汽輪機(jī)跳閘信號(hào),通過硬接線送到汽輪機(jī)保護(hù)系統(tǒng);汽輪機(jī)旁路系統(tǒng)第3組閥門關(guān)閉信號(hào)、應(yīng)急硼注入系統(tǒng)的觸發(fā)信號(hào),DAS通過硬接線送往對(duì)應(yīng)的系統(tǒng);來自后備盤(BUP)的閉鎖信號(hào)和復(fù)位信號(hào)以及送往BUP的信號(hào)指示燈均通過硬接線傳輸。
(2)網(wǎng)絡(luò)接口:DAS系統(tǒng)通過網(wǎng)絡(luò)將用于顯示和報(bào)警的信號(hào)送到電廠計(jì)算機(jī)信息和控制系統(tǒng)(IIC),并通過網(wǎng)絡(luò)接收來自IIC的閉鎖和復(fù)位信號(hào)。
3.3 多樣化驅(qū)動(dòng)系統(tǒng)架構(gòu)
基于多樣化驅(qū)動(dòng)系統(tǒng)的功能需求,與其他儀控系統(tǒng)的接口,以及人機(jī)接口的設(shè)計(jì),完成多樣化驅(qū)動(dòng)系統(tǒng)的架構(gòu)設(shè)計(jì),如圖2所示。
圖2 多樣化驅(qū)動(dòng)系統(tǒng)構(gòu)架
為了驗(yàn)證系統(tǒng)的性能要求,建立多樣化驅(qū)動(dòng)系統(tǒng)的仿真驗(yàn)證模型,其與堆芯物理模型建立接口,用以驗(yàn)證基于制造商平臺(tái)的設(shè)備特性確定的系統(tǒng)精度、響應(yīng)時(shí)間是否滿足設(shè)計(jì)基準(zhǔn)事故疊加保護(hù)和安全監(jiān)測系統(tǒng)共因故障后,事故緩解及處理后果要求。
針對(duì)多樣化自動(dòng)保護(hù)整定值的設(shè)定,既要考慮核電廠事故的干預(yù)及時(shí)性,又要保證保護(hù)和安全監(jiān)測系統(tǒng)在功能正常的情況下可以先動(dòng)作,且多樣化驅(qū)動(dòng)系統(tǒng)不再重復(fù)保護(hù)動(dòng)作的驅(qū)動(dòng)。基于此要求,本研究在初步設(shè)計(jì)階段采用了兩種方案:一種是與保護(hù)和安全監(jiān)測系統(tǒng)的保護(hù)整定值一致,在驅(qū)動(dòng)指令發(fā)出前加一定的時(shí)間延遲;另一種是在保護(hù)和安全監(jiān)測系統(tǒng)的保護(hù)定值基礎(chǔ)上增加一定安全裕度,并考慮儀表和控制系統(tǒng)的精度和響應(yīng)時(shí)間。將兩種方案的設(shè)計(jì)結(jié)果帶入到仿真模型開展驗(yàn)證工作后,確定最終的整定值方案。
4 嚴(yán)重事故監(jiān)測和控制系統(tǒng)設(shè)計(jì)
先進(jìn)核電廠采用能動(dòng)和非能動(dòng)相結(jié)合的安全系統(tǒng)設(shè)計(jì)理念,對(duì)于全廠斷電等設(shè)計(jì)擴(kuò)展工況(包括嚴(yán)重事故)的預(yù)防和緩解方面進(jìn)行了較為完善的考慮,設(shè)置了能動(dòng)與非能動(dòng)相結(jié)合的堆腔注水冷卻方案、非能動(dòng)安全殼熱量導(dǎo)出系統(tǒng)、二次側(cè)非能動(dòng)余熱排出系統(tǒng)、非能動(dòng)氫氣復(fù)合系統(tǒng)、用于嚴(yán)重事故的安全殼氫氣監(jiān)測系統(tǒng)等。嚴(yán)重事故監(jiān)測和控制系統(tǒng)用以實(shí)現(xiàn)嚴(yán)重事故預(yù)防和緩解功能的監(jiān)測和控制。
基于嚴(yán)重事故監(jiān)測和控制系統(tǒng)的工藝條件輸入,以及電氣隔離、通信獨(dú)立性的要求,明確其與其他儀控間的接口。同時(shí),基于其72小時(shí)不間斷供電要求,以及蓄電池容量有限的條件,確定了傳感器信號(hào)采集路徑、部分優(yōu)先級(jí)控制模塊,以及后備盤設(shè)置專門區(qū)域進(jìn)行監(jiān)測和控制功能的供電方案,完成嚴(yán)重事故監(jiān)測和控制系統(tǒng)的架構(gòu)設(shè)計(jì),如圖3所示。
圖3 嚴(yán)重事故監(jiān)測和控制系統(tǒng)架構(gòu)圖
通過設(shè)置能動(dòng)與非能動(dòng)相結(jié)合的工藝系統(tǒng)和嚴(yán)重事故監(jiān)測和控制系統(tǒng),先進(jìn)核電廠提供了嚴(yán)重事故監(jiān)測和控制功能,降低了堆芯損壞的概率,并實(shí)現(xiàn)了可能導(dǎo)致早期放射性釋放或者大量放射性釋放的事件序列被實(shí)際消除的目標(biāo)。
5 結(jié)論
先進(jìn)核電廠的儀控系統(tǒng)設(shè)計(jì),在保證其他縱深防御層次完整性的前提下,針對(duì)第4層開展了完整的功能分析和結(jié)構(gòu)設(shè)計(jì)工作,保證在第3層次縱深防御失效的情況下,能夠控制事故進(jìn)展和減輕事故后果,實(shí)現(xiàn)了設(shè)置該防御層的目的。另外,多樣化驅(qū)動(dòng)系統(tǒng)、嚴(yán)重事故監(jiān)測和控制系統(tǒng)的設(shè)計(jì)覆蓋了上游專業(yè)對(duì)設(shè)計(jì)擴(kuò)展工況下工藝設(shè)備的監(jiān)控需求,且滿足標(biāo)準(zhǔn)法規(guī)的要求。
作者簡介:
杜德君(1977-),男,吉林公主嶺人,高級(jí)工程師,碩士,現(xiàn)就職于中國核電工程有限公司,主要從事核電廠儀表和控制系統(tǒng)方面的研究。
參考文獻(xiàn):
[1] HAF 102-2016, 核動(dòng)力廠設(shè)計(jì)安全規(guī)定[S].
[2] HAD 102/10-2021, 核動(dòng)力廠儀表和控制系統(tǒng)設(shè)計(jì)[S].
[3] GB/T 13284.1-2008, 核電廠安全系統(tǒng) 第一部分: 設(shè)計(jì)準(zhǔn)則[S].
[4] NB/T 20068-2021, 核電廠安全重要儀表和控制系統(tǒng)應(yīng)對(duì)共因故障的要求[S].
[5] U.S NUCLEAR REGULATORY COMMISSION. Guidance for Evaluation of Defense In Depth and Diversity to Address Common-Cause Failure Due to Latent Design Defects In Digital Safety System: Branch Technical Position 7-19 Revision 8 – 2021.
[6] U.S. NUCLEAR REGULATORY COMMISSION. Guidance for Evaluation of Defense In Depth and Diversity to Address Common-Cause Failure Due to Latent Design Defects In Digital Safety System: Branch Technical Position 7-19 Revision 8 – 2021.
[7] U.S. NUCLEAR REGULATORY COMMISSION. Method for Performing Diversity and Defense-in-Depth Analyses of Reactor Protection Systems: NUREG/CR-6303. G.G.Preckshot.1994.
摘自《自動(dòng)化博覽》2024年9月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)