《核电站安全级DCS系统多样性分析》由会员分享,可在线阅读,更多相关《核电站安全级DCS系统多样性分析(7页珍藏版)》请在金锄头文库上搜索。
1、核电站安全级DCS系统多样性分析孙凯【摘 要】共因故障是核电站安全级 DCS 系统失效,导致安全功能丧失的原因之一. 多样性可以有效地降低因共因故障导致安全功能丧失的风险.本文对在核电站安全 级 DCS 的设计及实施中所涉及到的设备多样性(保护系统多样性、停堆系统多样性 显示和操作系统多样性)、功能多样性、人员(设计人员、验证和确认人员)多样性 进行了系统的分析,详细论述了每种多样性的工作原理、实现的功能及效果.期刊名称】自动化博览年(卷),期】2012(000)005【总页数】4页(P62-64,90)关键词】 核电站;安全级 DCS 系统;多样性;共因故障作 者】 孙凯作者单位】 上海福克
2、斯波罗有限公司北京分公司正文语种】 中 文1 引言作为一种清洁能源,核能日益受到重视,我国计划到2020年,核电运行装机容量达到7000万千瓦。但是核能又是一种非常特殊的能源,对安全有特殊的要求,一旦发生事故,会对环境和社会公众造成巨大的危害,后果不堪设想。在福岛核事故之后,如何提高核电站可靠性,确保充分利用核能优势,又能将潜在风险降到最低, 已成为业内普遍关注的问题。DCS系统是核电站的神经中枢,可以确保核电站的 正常运行;其中的安全级 DCS 系统则可在异常工况下为核电站提供保护功能,即: 在事故工况下能够安全停机,并在事故发生后,能够缓解事故,将事故后果限制在 可接受的范围内。随着技术的
3、进步,数字化DCS系统开始取代传统模拟控制和保护系统。数字化仪 控系统具有以下优点:设计更加灵活; 能实现更加复杂的控制功能; 控制逻辑实现简化;具有更强大的自诊断功能。但是在具有以上优点的同时,数字化DCS系统也存在 因共因故障导致控制及保护系统失效、丧失安全功能的潜在风险。因此在核电站安 全级DCS系统设计及实施过程中,必须采取针对性措施,以确保在共因故障导致 控制及保护系统失效时,核电站的安全功能能得以执行。2核电站安全级DCS系统多样性设计原则 核动力厂设计安全规定(以下简称标准)中明确要求:核电站保护系统必 须采用多样性设计,降低共因故障导致保护系统失效的风险,以满足核电站纵深防 御
4、原则,实现安全核电站的安全目标。共因故障指的是由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效 的故障。这里的单一事件或起因既可以是由外部客观原因造成的事件,也可以是人 为原因造成的事件。具体而言,共因故障可以由设计缺陷、制造缺陷、运行或维护 差错、自然事件、人为事件、环境条件的变化引起。多样性,是针对共因故障设置的预防措施。多样性在标准中的定义为:为执行 某一确定功能设置两个或多个多重部件或系统,这些不同部件或系统具有不同属性, 从而可以减少发生共因故障的可能性。对比标准中多样性的定义,我们不妨定 义人员及组织多样性为“为完成某一确定任务而设置两个或多个人员或组织,这些 人员或组织
5、隶属于不同的部门,相互独立,从而可以减少共因故障的可能性”。多 样性原则是核电站DCS系统设计的基本原则,在设计中必须予以考虑,以提高核 电站的安全性和可靠性。3 安全级 DCS 系统多样性分类及实现方法针对共因故障产生的原因,在安全级DCS设计及实施过程中可以采取以下应对措 施,来降低共因故障导致的风险,提高核电站的可靠性和安全性。3.1 人员多样性在DCS设计和实施过程中,人是最重要的因素,也是最不确定的因素。在所有的 人为故障中,最容易被忽视的就是人员的共因故障导致的设计缺陷。人员导致的共 因故障是由于相同的工作背景、相同的培训或者设计人员之间的相互技术交流等因 素,导致某种错误的观点或
6、者是错误的方法在设计人员之间传递。很难通过设计人 员之间的相互检查来发现由于“人员的共因故障”造成的设计缺陷。为了防止“人 员的共因故障”对安全级DCS系统的影响,在设计及实施中,采取以下措施来降 低共因故障的潜在影响。3.1.1 设计人员多样性核电站保护系统,可以分为两部分:安全级DCS系统和多样性保护系统。多样性 保护系统(参见3.2 )利用和安全级DCS系统不同的信号、系统平台、设计逻辑 来实现不同于安全级DCS系统的保护功能,在安全级DCS系统因共因故障导致 失效,不能完成安全停堆或安全专设功能时,由多样性保护系统完成安全停堆或安 全专设功能。因此为了防止“人员共因故障”的影响,多样性
7、保护系统的设计人员 必须多样性于安全级DCS系统设计人员,即由相互独立的设计人员完成安全级 DCS 系统和多样性保护系统的设计、实施工作。3.1.2 验证和确认人员多样性为了确保安全级DCS系统设计的质量,除了进行设计组织内部之间的相互检查之 外,还必须进行确认与验证(Verification&Validation简称V&V )工作。在标 准中规定,V&V人员必须具有和设计人员相同的工作能力,但又不能是从事设 计的人员,并且在组织、管理、财务上独立于设计人员或组织,防止由于领导的行 政指令,或者是组织的利益导致V&V工作人员不能独立的去执行检查工作,在某 种程度上造成共因故障。V&V人员和设计
8、人员之间的交流也必须加以限制,技术 交流应以书面的形式保存。V&V人员可以独立的对设计结果进行审查,针对设计 中存在的问题给出相应的评价,但是V&V人员不能对设计中存在的问题提出具体 的解决方案,以避免共因故障的影响。3.2 设备多样性设备多样性指采用不同的工作原理由不同的厂家生产的,或者是相同的厂家根据不 同的需求规范书生产的设备,防止由于单一的设备故障导致全部功能的丧失。但是 需要注意的是,同一个产品的不同版本不能作为多样性系统来使用。3.2.1 保护系统多样性 保护系统的多样性可以从两个方面来考虑,一是系统平台的多样性,二是控制逻辑 的多样性。在辽宁红沿河核电站,安全级DCS系统采用三菱
9、电机的Meltac数字 化控制平台,多样性保护系统则是三菱电机的Melnac模拟式控制平台。虽然均是 三菱电机的产品,但是他们基于不同的工作原理,依据不同的需求规格书各自独立 完成,因此该方案满足标准中关于多样性的要求。在福建福清核电站,安全级 DCS系统和多样性保护系统分别采用英维斯运营管理旗下的Triconex系统平台和 I/A系统平台。虽为同一集团下的数字化DCS系统,但是它们是由独立核算的厂 家依据不同的需求规范书各自独立完成的,因此该设计方案也满足规范标准的要求 除了采用多样性的控制平台,DCS控制逻辑也采用了多样性的设计。设计输入不同:控制逻辑和设定值不同,一般情况下,多样性系统的
10、设定值要高于 保护系统的设定值; 由不同的工程团队实施完成;因此,从控制逻辑方面来讲,也满足标准关于多 样性的的要求。3.2.2 停堆系统多样性核电站停堆系统包括停堆断路器和控制棒驱动机构(简称CRDM )。在事故工况 时,安全级DCS系统动作,触发停堆断路器动作,切断电源,控制棒驱动机构失 电动作,靠重力作用下插,引入负的反应性,从而使反应堆安全停堆。多样性保护 系统则与CRDM对应,在安全级DCS系统因共因故障失效,或者是安全级系统 动作发出停堆指令后,停堆断路器因故障不能动作,导致无法切断电源时,过程参 数持续上升,达到多样性保护系统设置的限值后,多样性保护系统动作,通过控制 棒机构切断
11、供电源,控制棒在重力作用下下插,引入负的反应性,从而使反应堆安 全停堆。如图1所示。图1 核电站停堆系统3.2.3 监视和操作系统多样性核电站DCS系统的操作绝大部分都是在主控制室(MCR )内完成的。主控室内设 置了计算机化的操作员站、常规仪表的后备盘(Backup Panel,简称BUP )和应 急控制盘(Emergency Control Panel简称ECP )。通常情况下,核电站的信息 显示和手动控制是通过计算机化的工作站进行的。后备盘是由常规仪表组成,是针 对计算机化的工作站的多样化人机接口设备。当死机等不可控的因素导致操作员站 不可用,不能对核电实施有效的监视、控制和保护时,操作
12、员可以利用后备盘,获 取与保护动作相关的重要报警与指示,并能手动触发与安全保护动作相关的动作指 令。在工作站故障的情况下,利用后备盘可以维持电站稳态运行4小时,并在需 要时,将电厂带入安全停堆状态。应急控制盘是相对于安全级DCS系统的多样手动操作设备(设置停堆、专设等紧 急启动保护动作的手动常规按钮)。在整个安全级 DCS 系统因共因故障失效时, 可以利用ECP上的按钮,不经DCS系统处理,直接通过硬接线将触发信号送至执 行器,实现安全停堆或触发专设安全动作。3.2.4 操作场所多样性除了上述在主控室中设置BUP和ECP等多样性的显示和操作系统外,在核电站DCS系统中,还设置了多样性的操作场所
13、:远程停堆站(RSS),在远程停堆站 中设置了精简的操作员站。当主控室因火灾、水灾或地震等原因不可用时,操作人 员转移到RSS,完成对核电站的监视和控制,将核反应堆维持在稳定工况下或者 是将其带入安全停堆状态。3.3 功能多样性 核电站安全级停堆保护系统,由四个冗余的保护通道组成,每个通道进行独立的运 算,输出部分停堆信号,四个通道的部分停堆信号进行四取二符合逻辑运算,如果 有两个以上的信号为真,则触发停堆信号,实现停堆保护功能。为了提高保护系统 的可靠性,防止因共因故障导致保护系统失效,每个通道的设计都需要充分考虑保 护系统功能的多样性,即将执行同一保护功能的多样性保护参数和逻辑分配在不同
14、的子组:多样性子组 1 和多样性子组2,并将两个子组在不同的计算机单元实现, 从而减轻共因故障的影响。对于一些特殊的公共参数,需要在两个子组中同时处理, 以满足逻辑处理的要求。同一个保护通道的两个多样性子组输出的保护信号经过门 运算后送至停堆断路器执行停堆功能,当任何一个子组因故障而失去保护功能时, 另一个子组仍可以提供保护功能。我们以三环路反应堆的冷却剂泵为例。冷却剂泵负责向反应堆传送冷却剂,一旦冷 却剂泵出现故障或者停止运行,反应堆就无法获得足够的冷却剂,不能及时将反应 热导出,轻则会导致反应堆停堆,重则会导致堆芯融化,放射性物质外泄的严重事 故。因此从现场传感器到停堆保护系统,都采用了多
15、样性设计。安全级DCS采集 了两种不同类型的参数:泵转速以及泵断路器的开、合状态来确定冷却剂的运行状 态(设备多样性),在子组 1 和子组 2 中分别处理(功能多样性)。如果因电源 传感器故障等原因导致一个子组丧失保护功能,另外一个子组则可以继续完成逻辑 运算,触发停堆信号,完成安全保护功能,如图2所示。图2 核电站保护系统通道及子组4 结论从以上分析可以看出,核电站安全级 DCS 系统的设计及实施中,充分考虑了人员 设备及功能的多样性,降低了 DCS系统运行过程中因共因故障导致保护功能丧失 的风险,大大提高了核电站DCS系统的可用性可靠性、和安全性,能够确保核电 站的安全运行,保证公众和环境的安全。相关文献】1 国家核安全局HAFI02,核动力厂设计安全规定S.2 濮继龙等大亚湾核电站运行教程M.北京:原子能出版社,1999.3 广东核电培训中心.900MW压水堆核电站系统与设备M.北京:原子能出版社,2006.
