本文将基于NUREG/CR 630B(反应堆保护系统执行多样性和纵深防御分析方法)中对于lB的相关规定,并结合核电厂I&C系统的结构,对IB在I&C系统中的应用进行分析和总结。
1 D3技术分析
D3存在两层概念,即纵深防御和多样性,NUREC/CR 6303将纵深防御定义为保护屏障或手段的同心布置,仅当这些屏障或手段遭到破坏时,有害的物质或危险的能量才会对人类或环境造成不利的影响。对于I&C系统而言,纵深防御的理念贯穿于整个I&C系统,包括控制系统、停堆系统、专设安全设施系统( engineered safety feature,ESF)和监测指示系统。当控制系统发生失效事件时,那么反应堆停堆系统就需要启动紧急停堆;当控制系统和反应堆停堆系统失效时,那么ESF作为实体屏障通过冷却堆芯和相应的辅助设备来继续支持和阻止放射性的释放。在上述三道屏障相继失效之后,第四道屏障监测和指示系统进行事故后的监测和全厂的应急指挥。执行上述四道屏障所需的信息来自于各防御层次的传感器测量参数以及反馈信息,然后才能根据具体的参数来确定执行相关预期功能的时机。在纵深防御层次的设计和实现过程中,需要特别关注的是相同的传感器故障或其直接后果会导致多道屏障完整性破坏的风险,因此需要在核电厂的纵深防御层次之间和层次内的设计中引人多样性的设计原则。
多样性作为纵深防御原则的补充,增加了在需要启动特定纵深防御层时的几率。多样性一般分为六种类型,即人员多样性、设计多样性、软件多样性、功能多样性、信号多样性设备多样性。多样性原则通常体现在不同技术、逻辑或算法,或者使用不同驱动手段来提供检测和响应重要事件等方面。多样性是防止潜在的故障发生的一个有效的手段,它一般体现在冗余或独立设备之间。
2 I&C系统结构分析
核电厂I&C系统结构如图1所示,其由两个主要部分组成,这两部分由数据通信网络分隔开。
数据通信网络上方包括控制室和电厂控制、运行所需要的服务器等人机接口系统设备。控制室主要提供安全级和非安全级的控制和显示设备,以实现必要的操作、显示和报警功能。服务器主要提供数据的处理、存储和记录等功能。数据通信网络下方主要包括控制设备和工艺接口设备,中间是反应堆保护系统,其执行反应堆停堆(reactor trip,RT)、ESF和安全级数据显示功能。I&C系统执行的RT和ESF功能以及与它们相关的传感器和RT开关设备大部分都设置为四路冗余,其使用的传感器和执行器为安全级,在图l中用虚线框表示。反应堆保护系统的右侧和左侧分别为电厂控制系统和多样化驱动系统,电厂控制系统主要实现正常的反应性控制和反应堆的正常启停,其使用的传感器和执行器为非安全级,在图1中用实线框表示。多样化驱动系统是一个独立于DCS平台的系统,其主要承担因反应堆保护系统发生共因故障( commoncause failure,CCF)而失效后的RT和选定的ESF功能,其通常使用专用的、与全厂I&C系统存在差异的平台技术并设置专用的传感器(在图1中用双点画线框表示)。反应堆保护系统与电厂控制系统之间存在少量的数据交换,而多样化驱动系统与这两个系统之间不存在直接的数据交换。
3 D3在I&C系统中的应用分析
3.1纵深防御应用分析
控制系统层的功能主要由非安全级的电厂控制系统来实现。电厂控制系统主要是在电厂正常工况下维持电厂在正常运行限值内,并且对电厂状态保持持续的检测。如果电厂的运行偏离了正常运行限值,控制系统在它的控制范围内进行控制调节并予以纠正,以避免触发RT和ESF等安全设施。反应堆停堆层的功能主要由安全级的反应堆停堆系统中的RT功能来实现;同时,非安全级的多样化驱动系统也提供自动的RT功能。在该防御层中,虽然反应堆保护系统和多样化驱动系统都可以实现该层的功能,但它们实现RT功能的手段存在差异,这体现了多样性原则,这里主要采用了设计多样性、信号多样性和设备多样性等。专设安全设施驱动系统层主要由安全级的反应堆停堆系统中的ESF自动驱动功能来实现;同时,非安全级的多样化驱动系统也为部分指定的ESF部件驱动子设备提供自动驱动能力,这同样体现了多样性的原则。监测与指示层由非安全级的服务器和安全级的反应堆保护系统数据显示设备提供。由监测和指示层执行的安全手动RT和手动ESF驱动功能包括在反应堆保护系统中,非安全级的多样化驱动系统也提供手动RT和手动ESF驱动能力,这同样也体现了多样性的原则。表1给出了核电厂I&C系统与四个纵深防御分层之间的对应关系。
3.2多样性应用分析
3.2.1 系统间多样性应用分析
系统间多样性特性如图2所示。图2给出了电厂控制系统、反应堆保护系统和多样化驱动系统之间的关系以及实现自动和手动功能的多样性手段。同时,图2也给出了自动RT和ESF驱动的多样性信号源以及操纵员显示,以及手动控制和操纵员动作所需的显示。电厂控制系统、反应堆保护系统和多样化驱动系统分别采用各自专用的传感器进行信号采集,并将信号送到自动逻辑单元进行处理,然后进行执行器的控制,并将必要的信号送到主控室进行显示。电厂控制系统的所有数据和反应堆保护系统的部分数据(在实际的核电厂中设置有单向的网关,其通过网关再到数据通信网)均通过数据通信网进行传输,然后在控制室行非安全级的显示。在主控室设置有安全级的显示设备,用于反应堆保护系统在控制室内的安全级显示,安全级显示使用反应堆保护系统内部的专用网络进行传输。为了充分利用现有的设备,电厂控制系统需要的安全级传感器信号来自于反应堆保护系统进行采集和处理之后的数据。多样化驱动系统则是一套独立的系统,其从传感器的数据采集、数据处理到最终的主控室显示和对执行器的操作均独立于其他系统。
3.2.2功能中多样性应用分析
多样性主要存在于安全级功能中,且在RT功能中应用的最为典型。RT的主要功能是将反应堆及时地引入次临界状态,并维持足够的RT裕量。RT功能通常是通过控制棒的步进方式或自由落体的落棒方式将控制棒插入堆芯。
①电厂控制系统采用自动模式以控制棒步进方式插入堆芯,实现正常的RT功能。电厂控制系统也提供手动插入控制棒的RT功能。电厂控制系统的自动、手动RT功能均直接通过控制棒驱动机构(control rod drive mechanism,CRDM)来实现。
②反应堆保护系统通过反应堆停堆断路器实现落棒,从而实现自动RT功能。当反应堆停堆断路器打开时,CRDM失电且控制棒通过重力产生的自由落体插入堆芯。反应堆保护系统还提供手动RT功能,其直接与反应堆停堆断路器接口。
③多样化驱动系统通过给CRDM供电的控制棒驱动电动/发电机组断电来实现自动RT功能。这种间接通过CRDM停堆与前述的直接通过CRDM来实现停堆的方式之间存在多样性,与直接打开停堆断路器使CRDM失电的方式具有相同的作用。多样化驱动系统也具有通过使控制棒驱动电动/发电机组断电的手动停堆功能。
图3给出了触发RT的多样性系统设备之间的关系。
4结束语
基于NUREG/CR 6303中的相关规定,对核电厂I&C系统纵深防御与多样性的应用进行分析和研究,认为在设计过程中引入D3的设计是非常有必要的。核电厂I&C系统通过设置多重屏障和多样化的系统设备和功能,可以有效地提高核电厂的安全性能,并防止潜在故障的发生。同时,系统提高了核电厂的可用性和经济性,增加了核电厂的安全性,从而减少核电厂事故的发生概率,降低了其对人类和环境的威胁。
5摘 要:
纵深防御与多样性准则贯穿于核电厂安全有关的所有活动中,仪表和控制系统作为核电厂的重要组成部分也不例外。基于NUREC/CR 6303对纵深防御和多样性的技术要求,研究和总结了两者之间的关系,并结合核电厂仪表和控制系统结构,分别从纵深防御应用以及多样性在系统间和系统功能中的应用等方面进行分析,认为在设计过程中引入纵深防御与多样性准则是非常必要的。通过在功能和系统设备中设置多重屏障和多样化,可以有效地提高核电厂的安全性能,并且防止潜在故障的发生。
