核电站安全级DCS系统多样性分析
发布时间:2013-12-12
来源:中国自动化网
类型:
技术前沿
人浏览
关键字:
DCS系统
核电站安全
导读:
DCS系统是核电站安全的神经中枢,可以确保核电站的正常运行;其中的安全级DCS系统则可在异常工况下为核电站提供保护功能,即:在事故工况下能够安全停机,并在事故发生后,能够缓解事故,将事故后果限制在可接受的范围内。
一、引言
作为一种清洁能源,核能日益受到重视,我国计划到2020年,核电运行装机容量达到7000万千瓦。但是核能又是一种非常特殊的能源,对安全有特殊的要求,一旦发生事故,会对环境和社会公众造成巨大的危害,后果不堪设想。在福岛核事故之后,如何提高核电站可靠性,确保充分利用核能优势,又能将潜在风险降到最低,已成为业内普遍关注的问题。DCS系统是核电站的神经中枢,可以确保核电站的正常运行;其中的安全级DCS系统则可在异常工况下为核电站提供保护功能,即:在事故工况下能够安全停机,并在事故发生后,能够缓解事故,将事故后果限制在可接受的范围内。
随着技术的进步,数字化DCS系统开始取代传统模拟控制和保护系统。数字化仪控系统具有以下优点:
设计更加灵活;
能实现更加复杂的控制功能;
控制逻辑实现简化;
具有更强大的自诊断功能。
但是在具有以上优点的同时,数字化DCS系统也存在因共因故障导致控制及保护系统失效、丧失安全功能的潜在风险。因此在核电站安全级DCS系统设计及实施过程中,必须采取针对性措施,以确保在共因故障导致控制及保护系统失效时,核电站的安全功能能得以执行。
二、核电站安全级DCS系统多样性设计原则
《核动力厂设计安全规定》 (以下简称《标准》)中明确要求:核电站保护系统必须采用多样性设计,降低共因故障导致保护系统失效的风险,以满足核电站纵深防御原则,实现安全核电站的安全目标。
共因故障指的是由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障。这里的单一事件或起因既可以是由外部客观原因造成的事件,也可以是人为原因造成的事件。具体而言,共因故障可以由设计缺陷、制造缺陷、运行或维护差错、自然事件、人为事件、环境条件的变化引起。
多样性,是针对共因故障设置的预防措施。多样性在《标准 》 中的定义为:为执行某一确定功能设置两个或多个多重部件或系统,这些不同部件或系统具有不同属性,从而可以减少发生共因故障的可能性。对比《标准》中多样性的定义,我们不妨定义人员及组织多样性为“为完成某一确定任务而设置两个或多个人员或组织,这些人员或组织隶属于不同的部门,相互独立,从而可以减少共因故障的可能性”。多样性原则是核电站DCS系统设计的基本原则,在设计中必须予以考虑,以提高核电站的安全性和可靠性。
三、安全级DCS系统多样性分类及实现方法
针对共因故障产生的原因,在安全级DCS设计及实施过程中可以采取以下应对措施,来降低共因故障导致的风险,提高核电站的可靠性和安全性。
3.1人员多样性
在DCS设计和实施过程中,人是最重要的因素,也是最不确定的因素。在所有的人为故障中,最容易被忽视的就是人员的共因故障导致的设计缺陷。人员导致的共因故障是由于相同的工作背景、相同的培训或者设计人员之间的相互技术交流等因素,导致某种错误的观点或者是错误的方法在设计人员之间传递。很难通过设计人员之间的相互检查来发现由于“人员的共因故障”造成的设计缺陷。为了防止“人员的共因故障”对安全级DCS系统的影响,在设计及实施中,采取以下措施来降低共因故障的潜在影响。
3.1.1 设计人员多样性
核电站保护系统,可以分为两部分:安全级DCS系统和多样性保护系统。多样性保护系统(参见3.2)利用和安全级DCS系统不同的信号、系统平台、设计逻辑来实现不同于安全级DCS系统的保护功能,在安全级DCS系统因共因故障导致失效,不能完成安全停堆或安全专设功能时,由多样性保护系统完成安全停堆或安全专设功能。因此为了防止“人员共因故障”的影响,多样性保护系统的设计人员必须多样性于安全级 DCS系统设计人员,即由相互独立的设计人员完成安全级DCS系统和多样性保护系统的设计、实施工作。
3.1.2 验证和确认人员多样性为了确保安全级DCS系统设计的质量,除了进行设计组织内部之间的相互检查之外,还必须进行确认与验证(Verification&Validation简称V&V)工作。在 《标准》 中规定,V&V 人员必须具有和设计人员相同的工作能力,但又不能是从事设计的人员,并且在组织、管理、财务上独立于设计人员或组织,防止由于领导的行政指令,或者是组织的利益导致V&V工作人员不能独立的去执行检查工作,在某种程度上造成共因故障。V&V人员和设计人员之间的交流也必须加以限制,技术交流应以书面的形式保存。V&V人员可以独立的对设计结果进行审查,针对设计中存在的问题给出相应的评价,但是V&V人员不能对设计中存在的问题提出具体的解决方案,以避免共因故障的影响。
3.2 设备多样性
设备多样性指采用不同的工作原理由不同的厂家生产的,或者是相同的厂家根据不同的需求规范书生产的设备,防止由于单一的设备故障导致全部功能的丧失。但是需要注意的是,同一个产品的不同版本不能作为多样性系统来使用。
3.2.1 保护系统多样性
保护系统的多样性可以从两个方面来考虑,一是系统平台的多样性,二是控制逻辑的多样性。在辽宁红沿河核电站,安全级 DCS系统采用三菱电机的Meltac数字化控制平台,多样性保护系统则是三菱电机的Melnac模拟式控制平台。虽然均是三菱电机的产品,但是他们基于不同的工作原理,依据不同的需求规格书各自独立完成,因此该方案满足《标准》中关于多样性的要求。在福建福清核电站,安全级DCS系统和多样性保护系统分别采用英维斯运营管理旗下的Triconex系统平台和I/A系统平台。虽为同一集团下的数字化DCS系统,但是它们是由独立核算的厂家依据不同的需求规范书各自独立完成的,因此该设计方案也满足规范标准的要求。
除了采用多样性的控制平台,DCS控制逻辑也采用了多样性的设计。
设计输入不同:控制逻辑和设定值不同,一般情况下,多样性系统的设定值要高于保护系统的设定值;
由不同的工程团队实施完成;因此,从控制逻辑方面来讲,也满足《标准》关于多样性的的要求。
3.2.2 停堆系统多样性
核电站停堆系统包括停堆断路器和控制棒驱动机构(简称CRDM)。在事故工况时,安全级DCS系统动作,触发停堆断路器动作,切断电源,控制棒驱动机构失电动作,靠重力作用下插,引入负的反应性,从而使反应堆安全停堆。多样性保护系统则与 CRDM对应,在安全级DCS系统因共因故障失效,或者是安全级系统动作发出停堆指令后,停堆断路器因故障不能动作,导致无法切断电源时,过程参数持续上升,达到多样性保护系统设置的限值后,多样性保护系统动作,通过控制棒机构切断供电源,控制棒在重力作用下下插,引入负的反应性,从而使反应堆安全停堆。如图1所示。
3.2.3 监视和操作系统多样性核电站DCS系统的操作绝大部分都是在主控制室(MCR)内完成的。主控室内设置了计算机化的操作员站、常规仪表的后备盘(Backup Panel,简称BUP)和应急控制盘(Emergency Control Panel简称ECP)。通常情况下,核电站的信息显示和手动控制是通过计算机化的工作站进行的。后备盘是由常规仪表组成,是针对计算机化的工作站的多样化人机接口设备。当死机等不可控的因素导致操作员站不可用,不能对核电实施有效的监视、控制和保护时,操作员可以利用后备盘,获取与保护动作相关的重要报警与指示,并能手动触发与安全保护动作相关的动作指令。在工作站故障的情况下,利用后备盘可以维持电站稳态运行4小时,并在需要时,将电厂带入安全停堆状态。
应急控制盘是相对于安全级DCS系统的多样手动操作设备(设置停堆、专设等紧急启动保护动作的手动常规按钮)。在整个安全级DCS系统因共因故障失效时,可以利用ECP上的按钮,不经DCS系统处理,直接通过硬接线将触发信号送至执行器,实现安全停堆或触发专设安全动作。
3.2.4 操作场所多样性
除了上述在主控室中设置BUP和ECP等多样性的显示和操作系统外,在核电站DCS系统中,还设置了多样性的操作场所:远程停堆站(RSS) ,在远程停堆站中设置了精简的操作员站。当主控室因火灾、水灾或地震等原因不可用时,操作人员转移到RSS,完成对核电站的监视和控制,将核反应堆维持在稳定工况下或者是将其带入安全停堆状态。
3.3 功能多样性
核电站安全级停堆保护系统,由四个冗余的保护通道组成,每个通道进行独立的运算,输出部分停堆信号,四个通道的部分停堆信号进行四取二符合逻辑运算,如果有两个以上的信号为真,则触发停堆信号,实现停堆保护功能。为了提高保护系统的可靠性,防止因共因故障导致保护系统失效,每个通道的设计都需要充分考虑保护系统功能的多样性,即将执行同一保护功能的多样性保护参数和逻辑分配在不同的子组:多样性子组1和多样性子组2,并将两个子组在不同的计算机单元实现,从而减轻共因故障的影响。对于一些特殊的公共参数,需要在两个子组中同时处理,以满足逻辑处理的要求。同一个保护通道的两个多样性子组输出的保护信号经过门运算后送至停堆断路器执行停堆功能,当任何一个子组因敌障而失去保护功能时,另一个子组仍可以提供保护功能。
我们以三环路反应堆的冷却剂泵为例。冷却剂泵负责向反应堆传送冷却剂,一旦冷却剂泵出现故障或者停止运行,反应堆就无法获得足够的冷却剂,不能及时将反应热导出,轻则会导致反应堆停堆,重则会导致堆芯融化,放射性物质外泄的严重事故。因此从现场传感器到停堆保护系统,都采用了多样性设计。安全级DCS采集了两种不同类型的参数:泵转速以及泵断路器的开、合状态来确定冷却剂的运行状态(设备多样性),在子组1和子组2中分别处理(功能多样性)。如果因电源、传感器故障等原因导致一个子组丧失保护功能,另外一个子组则可以继续完成逻辑运算,触发停堆信号,完成安全保护功能,如图2所示。
图2 核电站保护系统通道及子组
四、结论
从以上分析可以看出,核电站安全级别DCS系统的设计及实施中,充分考虑了人员、设备及功能的多样性,降低了DCS系统运行过程中因共因故障导致保护功能丧失的风险,大大提高了核电站DCS系统的可用性可靠性、和安全性,能够确保核电站的安全运行,保证公众和环境的安全。
版权声明:版权归中国自动化网所有,转载请注明出处!