北京廣利核系統(tǒng)工程有限公司 梁中起

核電廠保護系統(tǒng)多樣性設(shè)計應(yīng)用研究

北京廣利核系統(tǒng)工程有限公司 梁中起

為保證核電廠可靠性和安全性，應(yīng)對數(shù)字化儀控系統(tǒng)的共因故障風(fēng)險，保護系統(tǒng)必須充分考慮多樣性的設(shè)計以滿足縱深防御的原則。本文介紹了中國核能發(fā)展的概況以及多樣性設(shè)計要求，并以保護系統(tǒng)架構(gòu)為基礎(chǔ)，詳細地對核電廠保護系統(tǒng)的多樣性分類和實現(xiàn)方法進行分析和研究。

保護系統(tǒng)；數(shù)字化；縱深防御；共因故障；多樣性

在地球溫室效應(yīng)、氣候變化的嚴(yán)峻形勢下，核能作為一種重要清潔能源，日益受到重視。根據(jù)2007年國務(wù)院的《核電中長期發(fā)展規(guī)劃（2005-2020年）》，我國計劃到2020年，核電運行裝機容量爭取達到7000萬千瓦（調(diào)整后）。但是核能又是一種非常特殊的能源，對安全有著極為嚴(yán)格的要求，一旦發(fā)生核事故，會對環(huán)境和社會公眾造成巨大的危害，后果不堪設(shè)想。在2011年3月11日發(fā)生的日本福島核事故之后，如何提高核電廠的可靠性，確保充分利用核能優(yōu)勢同時又能將潛在風(fēng)險降到最低，已成為核電發(fā)展面臨的關(guān)鍵問題。

反應(yīng)堆保護系統(tǒng)的功能是保護三大核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性。當(dāng)運行參數(shù)到達危及三大屏障完整性的閾值時，緊急停閉反應(yīng)堆，必要時啟動專設(shè)安全設(shè)施[1]。它可以在異?；蚴鹿使r下進行安全停堆停機，并在事故發(fā)生后緩解事故，將事故后果限制在可接受的范圍內(nèi)。

隨著微處理技術(shù)的日新月異，數(shù)字化儀控系統(tǒng)開始逐步取代傳統(tǒng)模擬控制和保護系統(tǒng)并全面應(yīng)用于核電廠反應(yīng)堆保護系統(tǒng)。數(shù)字化儀控系統(tǒng)具有以下優(yōu)點：提高了核電廠對事件或事故的響應(yīng)速度、降低了人因失誤的效率、組態(tài)設(shè)計更加方便靈活、能輕松實現(xiàn)復(fù)雜的控制算法，同時具有強大的自診斷功能。數(shù)字化儀控系統(tǒng)充分體現(xiàn)了數(shù)字化的優(yōu)勢，但它是基于軟件的，存在因共因故障導(dǎo)致控制及保護系統(tǒng)失效、喪失安全功能的潛在風(fēng)險。中國和國外的核安全法規(guī)導(dǎo)則標(biāo)準(zhǔn)均闡述了對共因故障的關(guān)注，并提出了保護系統(tǒng)應(yīng)防御軟件共因故障的要求。

1 保護系統(tǒng)多樣性設(shè)計要求

《核動力廠設(shè)計安全規(guī)定》HAF102[2]中明確提出，在不能論證所需系統(tǒng)的完整性具有高可信度時，必須具備保證執(zhí)行保護功能的其他不同的手段。要求核電廠保護系統(tǒng)必須采用多樣性設(shè)計，以降低共因故障導(dǎo)致保護系統(tǒng)失效的風(fēng)險，從而滿足核電廠縱深防御原則，實現(xiàn)安全核電廠的安全目標(biāo)。

共因故障是指由特定的單一事件或起因?qū)е聝蓚€或多個構(gòu)筑物、系統(tǒng)或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件，也可以是人為原因造成的事件。具體而言，共因故障可以由設(shè)計缺陷、制造缺陷、運行或維修差錯、自然現(xiàn)象、人為事件，或核動力廠內(nèi)任何其他操作或故障所引起的意外級聯(lián)效應(yīng)引起。

多樣性是針對共因故障設(shè)置的預(yù)防措施。多樣性在HAF102中的定義為：為執(zhí)行某一確定功能設(shè)置兩個或多個多重部件或系統(tǒng)，這些不同部件或系統(tǒng)具有不同屬性，從而可以減少發(fā)生共因故障的可能性。通過不同儀控系統(tǒng)、結(jié)構(gòu)和部件的多樣化設(shè)計，來降低共因故障的風(fēng)險，以滿足核電廠安全縱深防御原則。當(dāng)數(shù)字化系統(tǒng)出現(xiàn)共因故障時，由多樣性系統(tǒng)實施控制。多樣性系統(tǒng)的硬件平臺必須和數(shù)字化系統(tǒng)是不同的。核安全級多樣性驅(qū)動設(shè)備就是為了防止數(shù)字化DCS系統(tǒng)共因故障而設(shè)置的實現(xiàn)保護保護功能的裝置。

IEEE 603[3]和IEEE 7-4.3.2[4]均規(guī)定在核電廠保護系統(tǒng)設(shè)計及實施過程中，必須采取針對性措施，以確保在系統(tǒng)發(fā)生共因故障而導(dǎo)致控制及保護系統(tǒng)失效時，核電廠的安全功能仍然能夠得以有效執(zhí)行。

2 保護系統(tǒng)架構(gòu)

核電廠保護系統(tǒng)功能是探測核電廠的運行狀態(tài)，當(dāng)其偏離可接受的狀態(tài)時，發(fā)出保護指令執(zhí)行安全動作。它主要包括安全停堆系統(tǒng)、安全專設(shè)系統(tǒng)、多樣性驅(qū)動系統(tǒng)以及人機接口等幾個組成部分。其設(shè)計要求遵循安全系統(tǒng)設(shè)計準(zhǔn)則，以保證保護系統(tǒng)的

可靠性與可用性。圖1為保護系統(tǒng)的基本架構(gòu)。

圖1 保護系統(tǒng)基本架構(gòu)

3 保護系統(tǒng)多樣性分類及實現(xiàn)方法

根據(jù)共因故障產(chǎn)生的原因，在保護系統(tǒng)設(shè)計及實施過程中可以采取以下應(yīng)對措施，來降低共因故障導(dǎo)致的風(fēng)險，提高核電廠的可靠性和安全性。

3.1 設(shè)備多樣性

設(shè)備多樣性指由不同的廠家生產(chǎn)或者是相同的廠家根據(jù)不同的需求規(guī)范書并采用不同的工作原理生產(chǎn)的設(shè)備，防止由于單一的設(shè)備故障導(dǎo)致全部功能的喪失。

3.1.1 保護系統(tǒng)多樣性

核電廠保護系統(tǒng)一般可以分為兩個部分：安全級DCS保護系統(tǒng)和多樣性驅(qū)動保護系統(tǒng)。多樣性驅(qū)動保護系統(tǒng)利用與安全級DCS保護系統(tǒng)不同的系統(tǒng)平臺和設(shè)計邏輯來實現(xiàn)不同于安全級DCS保護系統(tǒng)的保護功能。例如，在遼寧紅沿河核電廠中，安全級DCS保護系統(tǒng)采用三菱電機的MELTAC數(shù)字化控制平臺，多樣性保護系統(tǒng)則是三菱電機的MELNAC模擬式控制平臺。雖然均是三菱電機的產(chǎn)品，但是他們基于不同的工作原理，依據(jù)不同的需求規(guī)格書各自獨立完成。因此，該設(shè)計方案滿足HAF102中關(guān)于多樣性的要求。

3.1.2 停堆系統(tǒng)多樣性

核電廠停堆系統(tǒng)包括停堆斷路器和控制棒驅(qū)動機構(gòu)CRDM。在事故工況時，安全級DCS系統(tǒng)動作，觸發(fā)停堆斷路器動作，使控制棒驅(qū)動機構(gòu)失電，控制棒靠重力作用下插，引入負的反應(yīng)性，從而使反應(yīng)堆安全停堆。多樣性保護系統(tǒng)則與CRDM對應(yīng)，在安全級DCS保護系統(tǒng)因共因故障失效，或者是安全級系統(tǒng)動作發(fā)出停堆指令后，停堆斷路器因故障不能動作，導(dǎo)致無法切斷電源時，過程參數(shù)持續(xù)上升，達到多樣性保護系統(tǒng)設(shè)置的限值后，多樣性保護系統(tǒng)動作，向棒控系統(tǒng)RGL發(fā)出停堆指令使反應(yīng)堆安全停堆。兩種停堆方式的原理和機制均不同，保證了停堆系統(tǒng)的多樣性。

3.1.3 監(jiān)視和操作系統(tǒng)多樣性

核電廠的操作絕大部分都是在主控制室（MCR）內(nèi)完成的。主控室內(nèi)設(shè)置了計算機化的操作員站以及基于硬接線原理的常規(guī)儀表的后備盤、緊急停堆盤等操作平臺。通常情況下，核電廠的信息顯示和手動控制是通過計算機化的工作站來進行。后備盤由常規(guī)儀表組成，是針對計算機化工作站的多樣化人機接口設(shè)備。當(dāng)操作員站出現(xiàn)故障，不能對核電實施有效的監(jiān)視、控制和保護時，操作員可以利用后備盤獲取與保護動作相關(guān)的重要報警與指示，并能手動觸發(fā)與安全保護動作相關(guān)的指令。

3.1.4 操作場所多樣性

除上述在主控室中設(shè)置后備盤等多樣性的監(jiān)視和操作系統(tǒng)外，在核電廠還設(shè)置了多樣性的操作場所即遠程停堆站（RSS) 。遠程停堆站中設(shè)置了簡化的操作員站。當(dāng)主控室因火災(zāi)、水災(zāi)或地震等原因不可用時，操作員轉(zhuǎn)移到RSS，完成對核電廠的監(jiān)視和控制，將核反應(yīng)堆維持在穩(wěn)定工況下或?qū)⑵鋷氚踩６褷顟B(tài)。

3.2 功能多樣性

核電廠安全停堆保護系統(tǒng)，由四個冗余的保護通道組成，每個通道都進行獨立的運算，輸出部分停堆信號，四個通道的部分停堆信號進行四取二符合邏輯運算，以實現(xiàn)停堆保護功能。為了提高保護系統(tǒng)的可靠性，防止因共因故障導(dǎo)致保護系統(tǒng)失效，每個通道的設(shè)計都充分考慮保護系統(tǒng)功能的多樣性，將執(zhí)行同一保護功能的多樣性保護參數(shù)和邏輯分配在不同的子組實現(xiàn)控制，從而減小共因故障的影響。當(dāng)任何一個子組因共因故障而失去保護功能時，另一個子組仍可以提供保護功能。

以三個環(huán)路反應(yīng)堆的冷卻劑泵為例。冷卻劑泵負責(zé)向反應(yīng)堆傳送冷卻劑，一旦冷卻劑泵出現(xiàn)故障或者停止運行，反應(yīng)堆就無法獲得足夠的冷卻劑，不能及時將反應(yīng)熱導(dǎo)出，輕則會導(dǎo)致反應(yīng)堆停堆，重則會使堆芯溫度急劇升高導(dǎo)致融化，釀成放射性物質(zhì)外泄的嚴(yán)重事故。因此，從現(xiàn)場傳感器到停堆保護系統(tǒng)，都應(yīng)采用多樣性設(shè)計。安全級DCS保護系統(tǒng)采集了兩種不同類型的參數(shù)：泵轉(zhuǎn)速以及泵斷路器的開、合狀態(tài)來確定冷卻劑的運行狀態(tài)，在兩個子組中分別進行處理。如果因電源、傳感器故障等原因?qū)е乱粋€子組喪失保護功能，另外一個子組則可以繼續(xù)完成邏輯運算，觸發(fā)停堆信號，完成安全保護功能。

在安全專設(shè)系統(tǒng)的設(shè)計中，也需要考慮相關(guān)的專設(shè)功能分配，其主要是從工藝系統(tǒng)故障安全角度考慮，將部分系統(tǒng)功能分散，盡量將功能相同的設(shè)備分開到不同的專設(shè)驅(qū)動功能子系統(tǒng)中，如主給水系統(tǒng)ARE和輔助給水系統(tǒng)ASG，需分配在兩個不同的專設(shè)子系統(tǒng)中實現(xiàn)，以保證當(dāng)一個子系統(tǒng)出現(xiàn)故障時，另一個子系統(tǒng)仍可以正常地執(zhí)行該項專設(shè)功能。

3.3 人員多樣性

在人為故障中，最容易被忽視的就是設(shè)計人員的共因故障所導(dǎo)致的設(shè)計缺陷。人員導(dǎo)致的共因故障主要是由于相同的工作背景、相同的培訓(xùn)或者設(shè)計人員之間的相互技術(shù)交流等因素，導(dǎo)致某種錯誤的觀點或者錯誤的方法在設(shè)計人員之間繼承或傳遞。這種缺陷很難通過設(shè)計人員之間的相互檢查來發(fā)現(xiàn)。為了防止“人員的共因故障”對保護系統(tǒng)的影響，在設(shè)計及實施中，有必要采取以下措施來降低共因故障的潛在影響。

3.3.1 設(shè)計人員多樣性

保護系統(tǒng)設(shè)計包括安全DCS保護系統(tǒng)設(shè)計和多樣性保護系統(tǒng)設(shè)計。為了防止“人員共因故障”的影響，多樣性保護系統(tǒng)的設(shè)計人員需要多樣性于安全級DCS系統(tǒng)設(shè)計人員，即由相互獨立的設(shè)計人員完成安全級DCS保護系統(tǒng)和多樣性保護系統(tǒng)的設(shè)計、實施工作。另外，設(shè)計初步完成后由其它團隊擔(dān)任審核工作也是設(shè)計人員多樣性的一種體現(xiàn)。

3.3.2 驗證和確認(rèn)人員多樣性

為了保證保護系統(tǒng)設(shè)計的質(zhì)量，除了進行設(shè)計組織內(nèi)部之間的相互檢查之外，還必須進行驗證與確認(rèn)Verification & Validation（V&V）工作。在HAF102中規(guī)定，V&V人員必須具有和設(shè)計人員相同或更高的設(shè)計能力，并且在組織、管理、財務(wù)上獨立于設(shè)計人員，防止由于領(lǐng)導(dǎo)的行政指令，或者是組織的利益導(dǎo)致V&V工作人員不能獨立地去執(zhí)行檢查工作而導(dǎo)致共因故障的發(fā)生。V&V人員可以獨立地對設(shè)計結(jié)果進行審查，針對設(shè)計中存在的問題給出相應(yīng)的評價，但V&V人員不能對設(shè)計中存在的問題提出具體的解決方案，以避免共因故障的影響。

4 結(jié)語

數(shù)字化在核電廠保護系統(tǒng)的全面應(yīng)用是科技發(fā)展的必然結(jié)果，軟件共因故障亦不可避免。本文通過針對數(shù)字化保護系統(tǒng)應(yīng)對軟件共因故障設(shè)置多樣化方案的分析和研究，基于多臺現(xiàn)役CPR1000項目機組的實際應(yīng)用，舉例論述了設(shè)備、功能及人員多樣性的具體實現(xiàn)方案，對后續(xù)新建或現(xiàn)役改造的核電機組保護系統(tǒng)設(shè)計具有一定的參考意義。

[1] 廣東核電培訓(xùn)中心. 900MW壓水堆核電廠系統(tǒng)與設(shè)備[M]. 北京: 原子能出版社. 2007.

[2] HAF 102, 核動力廠設(shè)計安全規(guī)定[S]. 2004.

[3] IEEE 603. IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations[S], 2009.

[4] IEEE 7 - 4. 3. 2. IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations[S], 2010.

Research on the Application of Protection System Diversity Design in Nuclear Power Plant

In order to ensure reliability and security of nuclear power plant, and cope with the common cause failure of digital I&C system, protection system design must consider diversity design to meet requirements of Defense-Depth principle adequately. This article addresses the development of China nuclear power and diversity design requirement. Based on protection system architecture, this paper analyzes and studies in detail the classification and realization methods of diversity in protection system of nuclear power plant.

Protection system; Digital; Defense-Depth; Common cause failure; Diversity

梁中起（1968-），男，河北人，高級工程師，1992年畢業(yè)于沈陽化工學(xué)院生產(chǎn)過程自動化專業(yè)，獲工程學(xué)士學(xué)位，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核電廠DCS系統(tǒng)工程實施方面的工作。