作者;张毅
根据核反应堆保护与监测系统( PMS)的典型功能需求,设计了一种全新的、基于ALS平台的保护与监测系统(PMS),并对该系统进行了数据通信、完整性等方面的分析。本文依据NUREG/CR 6303的多样性与纵深防御( D3)要求,对全新设计的PMS进行分析,并按NUREG/CR 7007的方法计算了该系统的多样性量化值。分析表明,该方案基本满足NRC对系统多样性的定量要求,并给出了可不单独设置多样性驱动系统( DAS)的初步结论。
需要明确指出的是,本文进行的D3分析所针对的保护与监测系统( PMS)不是三代核电技术引进涉及的PMS系统方案,而是具有与其相同典型功能的全新设计的保护与监测系统。同时,为了方便叙述和理解,尽管本文中使用了许多与三代核电技术引进相同的缩略语(如DAS、DDS、PLS、PMS、QDPS等),但其原理同样适用于其他核电项目类似功能的系统。
1 基于ALS的PMS总体架构
文献[2]介绍了以文献[5]和文献[6]为基准、结合ALS平台的功能以及其在Wolf Creek、Diablo Canyon等核电厂安全系统部分技术改进工程中的实践,设计了一种可以替代文献[5]和文献[6]的仪控(I&C)总体结构的方案。该设计不考虑非安全级DCS平台的变更,而着重考虑安全级平台Comon Q的替代方案。其中,PMS采用独立、隔离、冗余的四序列设计。单序列的总体架构如图1所示,单序列的安全信号路径如图2、图3所示。
文献[2]指出,图2所示的基于ALS平台的架构设计考虑了文献[5]和文献[6]所有的信号接口,理论上是一个完整可行的方案,但需要根据有关的法规、导则、标准的要求对其符合性进行论证。本文在文献[1]对ALS平台D3要求评估的基础上,对于本设计采用ALS平台所搭建的PMS系统,依照NUREG/CR 6303对数字化I&C系统D3评估的导则进行一致性分析,并根据NUREG/CR 7007的方法计算该系统的多样性量化值。
2多样性与纵深防御( D3)概要分析
本文所关注的保护与监测系统不是基于较常见的微处理器架构的系统,而是基于FPGA逻辑的ALS平台所搭建的新型安全系统。由于没有专门的评估导则,NRC在对ALS平台进行安全评估时,采用了一系列针对微处理器平台评估导则的适用部分,明确了对ALS平台本身评估的有限范围,并要求对于基于ALS的安全系统整体,必须在ALS平台评估报告的基础上,就通信、完整性、多样性等方面进行评估。本文针对该PMS的纵深防御及多样性与NUREG/CR 6303的一致性进行研究。由于本文不是一个D3的报告,因此并不依据NUREG/CR 6303的要求,对每个安全功能进行详细的描述,而是关注整个I&C系统架构设计,特别是PMS的设计。
纵深防御是核电厂设计、建造和运行安全有关全部活动中必须贯彻的一个重要原则。核电厂一般设有五个层次的纵深防御措施,即:①防止偏离正常运行及系统失效;②检测和纠偏,防止预计运行事件升级为事故工况;③提供固有安全、故障安全、附加设备以控制预计事件之后达到稳定和可接受的状态;④应对严重事故,保证放射性释放在合理可行、尽可能低的水平;⑤减轻事故工况下可能的放射性物质释放后果。I&C系统作为核电厂的重要组成部分,其设计也应遵从上述原则。针对I&C系统的特点,NUREG/CR 6303确定了I&C系统的四个纵深防御等级。本设计I&C系统的四个等级如表1所示。表1中,*为各层级具有的特点。
2.1仪控系统
I&C系统的非1E级手动或自动设备,一般用于日常的发电运行管控操纵,其中纵深防御功能用于防止反应堆往不安全运行状态偏移,避免反应堆停堆或驱动专设安全设施( ESF)。本设计的I&C系统功能及实现方法与文献[5]、[6]、[9]-致。
在PMS本身具有足够的多样性前提下,控制系统也应该包括一些满足10 CFR 50. 62要求的专用设备( anticipated transient without scram,ATWS)。这些高质量的非1E级专用设备应可以减小1E级的PMS设备产生极为罕见的共模故障的影响。
反应堆紧急停堆用于快速减少堆芯反应性。紧急停堆系统采用能够探测潜在或实际偏移正常状态的仪表装置,在必要时快速完全地向堆芯插入反应堆控制棒。本设计的紧急停堆系统不包括中子慢化系统,如硼酸紧急注入。如图2所示,安全级PMS的输出信号驱动停堆断路器( RTCB)触发逻辑矩阵,实现RTCB的欠压( UV)线圈的断电和加电(ST)线圈的加电,进而导致RTCB打开断电,控制棒由重力作用跌落堆芯,实现反应堆紧急停堆。ATWS作为后备,也提供满足10 CFR 50. 62要求的多样化紧急停堆功能。
专设安全设施( ESF)是用于导出堆芯余热和维持放射性防护的三道实体屏障(燃料包壳、压力容器、安全壳)完整性的安全级设备。如图3所示,ALS输出驱动信号,通过设备接口模块( CIM)最终驱动各支持系统或装置(阀门、断路器等),以便满足紧急冷却、卸压或降压、隔离和控制ESF设备运行的需要。非安全级的电厂控制系统( PLS)也能发出ESF部件驱动/控制命令,但须经过设备接口模块( CIM)进行优选后执行。
如图1所示,监测和指示功能由非安全级的数据显示和处理系统( DDS)和安全级的PMS提供。每个ALS机箱的ALS - 102的TXB2端口在信号隔离后连接至非安全级网关,单向发送相关信息至非安全级DDS系统网络。经鉴定的数据处理系统(QDPS)主要用于处理RGl. 97要求的1E级变量等。
和控制级、紧急停堆级、ESF级一样,操纵员总是基于准确的传感器信息来完成任务。但操纵员能够通过监测和指示级给出的信息、时间和工具,执行预先未定的逻辑计算以响应意外事件。监测和指示级包括名义上分配给其他3个等级运行需要的1E级和非1E级的手动控制器、监视器和指示器。DDS的设备处理正常和应急运行工况可能产生的非安全级报警和显示的数据,同时产生数据显示和报警,并提供电厂数据分析、电厂数据日志和历史数据存储和恢复功能,给电厂运行人员提供操作支持。DDS是一个冗余的实时数据网络,连接仪表和控制系统的各单元。
2.2纵深防御特性
共因故障( CCF)有可能破坏纵深防御的多层防线,本I&C结构具有以下应对CCF的设计特性,用来满足执照申请、提高电厂可靠性和可用性等要求。
采用分布式处理结构将I&C系统的不同功能分配到多个不同的子系统,并采用了独立的序列,使得一定的CCF仅局限于一个单独的子系统,不会导致整个系统故障;冗余的子系统能探测包括存在足够时间间隔的CCF故障,只要故障之间存在足够时间可用于探测和修复,就能保证冗余子系统可响应事件;安全级PMS的四个冗余序列是实体隔离的,也与非安全级系统隔离。电源也采用相应的实体隔离。实体隔离都应满足IEEE - 384,防止由于物理现象引起的CCF;模块化设计提高了隔离和故障修复的快速性。只要CCF的故障之间存在足够时间可用于探测和修复,模块设计就能保证冗余子系统可响应事件;故障安全设计,如失能跳闸或驱动,提供了在单一故障和特定类型的多故障后,自动或手动将电厂带入安全工况的能力。功能多样性和冗余性的容错设计,能提供在单一故障和特定类型的多故障后,自动或手动将电厂带入安全工况的能力;电气隔离将I&C系统分段,以防止电气故障的传播。
PLS采用信号选择器算法防止来自PMS传感器信号的故障,如果冗余传感器的输出信号的差异超过限值,信号选择器会报警。I&C的设备应按其安全分级和应用采用相应的准则,对环境要求,包括对温度、湿度、震动/地震、电磁干扰( EMI)/射频干扰(RFI),以及防浪涌等进行鉴定,确保了只要不超过设计要求就不会发生CCF。I&C具有保护和滤波的AC供电线路、EMI/RFI设计、防浪涌的信号调理输入卡件等,能防止特定的故障,因此只有超过了设计和鉴定测试极限,才会导致多重故障。
报警系统能够将I&C本身的故障包括多重故障通知操纵员。主报警系统是DDS的一部分,使用不同于PMS的硬件和软件。由于DDS系统是有人值守的,因此报警系统本身的故障可由操纵员及时发现。
I&C各子系统不间断地执行自诊断程序。回读和看门狗等不间断地监测重要子系统的运行。这些自诊断特性用于探测并报告硬件故障,便于操纵员及时采取措施;测试子系统能快速而不间断地验证系统运行,不但提高了及时探测故障的能力,也提高了电厂人员快速诊断并修复这些故障的能力。
设计也考虑了人因故障问题,如I&C对整定值和调节参数的调整实行多级权限的实体和行政的管控,防止维护失误导致输入错误常量引发的CCF;I&C的整定值和整定常数的输入值采用工程单位量而不是刻度值,减少由于刻度变化而产生的CCF。
设计全过程的验证和确认。这些设计特性提高了仪控系统应对各种故障的能力,符合核电厂设计的纵深防御理念。
2.3与NUREG/CR - 6303 -致性的评估
NUREG/CR - 6303提供了14条用于进行多样性和纵深防御分析的导则。本文针对所设计的I&C系统,特别是基于ALS的PMS,对这些导则的一致性进行了初步的评估。
①导则1和5。
PMS分为4个冗余序列。非安全级PLS使用冗余的传感器和冗余的子系统来提供纵深防御功能。由于ALS特有的多样性能力和PMS的特别设计,假设CCF引起相似的或者相同的设备都发生故障,则不认为PMS功能同时完全丧失。
②导则2。
本文第3.2节给出了基于NUREG/CR - 7007的多样性详细分析,包含了NUREG/CR - 6303多样性内容。
③导则3。
NUREG/CR - 6303描述了3种不同仪表装置故障类型。第一类故障是某等级中的假想故障,该故障导致需要一个保护功能去缓解电厂瞬态;第二类故障是不可探测的故障,只有在要求驱动一个部件或系统时才能发现该故障;第三类故障是由于电厂过程不以一个可预期的方式响应或者测量电厂过程的传感器以异常的方式响应而引起。本设计存在上述故障类型。
对于PLS来说,PMS是多样性的系统。因此PLS的第一类故障不会导致多层防御失效。
本设计的4个等级内和等级之间存在多样性,因此整个I&C不易受到第二类故障影响。
对于第三类故障,本设计采用多样性的传感器来测量电厂对一个初始事件的响应。例如,使用汽轮机冲动级压力和堆外中子探测来测量反应堆功率;采用反应堆冷却剂系统的过冷度和堆芯出口热电偶温度来测量堆芯冷却等。
④导则4。
I&C结构有4个防御的等级。控制等级是由PLS提供的,PLS通过隔离的数据链接,从保护系统获得特定的输入。PMS和ATWS提供反应堆紧急停堆级。在PMS中的反应堆保护子系统、表决逻辑、专用的数据链接、反应堆停堆断路器接口和反应堆停堆断路器提供反应堆紧急停堆功能。非安全级的ATWS和控制棒驱动电动发电机组断路器提供一个多样性的反应堆紧急停堆功能。另外,PLS通过维持电厂在可接受的限值内,避免紧急停堆。
PMS提供ESF驱动级。在电厂保护子系统中的ESF子系统、ESF符合逻辑、ESF驱动子系统、专用的数据链接在PMS中提供ESF功能。PLS的纵深防御功能避免非能动安全系统不必要的驱动。ATWS提供少量的ESF功能,如非能动余热排除系统的启动等。
⑤导则6。
保守地假设CCF会导致一种类型的所有模块会失效。由于ALS的并行、简单、高确定性的“硬件”架构以及高冗余的设计,ALS的无软件、无操作系统等使得系统运行时不存在一般的软件CCF,PMS的并行运行特性可参照模拟系统,因此这些受影响的模块不会同时失效。此外ATWS因为多样性的设计,不会丧失其功能。
⑥导则7。
应结合随机故障假定仪表和控制结构中的CCF情况进行概率安全分析( PRA),对于I&C的CCF导致堆芯损坏方面的评估尚未进行PRA。基于ALS的特性以及不单独设置多样性驱动系统( DAS)的考虑,在PRA中应保守地假设一种类型的所有模块会失效,但不是同时失效。
⑦导则8。
ATWS的输入信号与其他系统不共享。
对于PMS中的CCF,假设受影响的部分没有按时驱动需要的保护动作。
⑧导则9。
在子系统之间提供光纤的或者阻抗隔离,来阻止电气故障的传播。PMS的4个序列,包括1E的供电系统,是实体隔离的。此外,I&C硬件的设计保证了信号调制设备的故障对传感器性能影响最小。
⑨导则10和11。
一个假想事故与PMS的CCF -起发生,同时ATWS也失效的概率应在PRA中计算。如果计算的结果不能满足核电厂的总体目标,应作相应的调整,如增加DAS等。
⑩导则12。
对于一个反应堆紧急停堆事件与一个PMS中假想CCF -起发生这种低概率情况,ATWS以一个多样性的方式触发反应堆紧急停堆。另外,PMS提供手动紧急停堆方式。为了支持手动停堆,PMS提供电厂信息给操纵员,同时提供1E级QDPS指示。
对于一个或者多个ESF驱动事件与一个PMS中CCF -起发生这种低概率情况、不同时发生故障的假设,使得冗余通道的驱动成为可能。连接至PMS驱动路径下游的系统级手动驱动,提高了驱动能力。此外具有最高权限的CIM现场手动操作进一步提高了驱动的能力。为了支持手动ESF驱动,PMS给操纵员提供电厂信息,同时提供1E级QDPS指示。
反应堆紧急停堆和ESF驱动功能由ALS一102执行,它们之间是隔离、独立的。ALS - 102的并行、独立的FPGA逻辑分别处理反应堆紧急停堆和ESF驱动,它们之间不存在共用的资源,如存储器、处理器等,因此反应堆紧急停堆功能故障不会阻止ESF驱动功能响应其他输入,ESF驱动功能故障也不会阻止反应堆停堆功能响应其他输入。
⑩导则13。
I&C结构的3个层次提供了支持手动操作的指示。这些手动操作具有将核电厂维持在运行限值范围内、停闭反应堆以及驱动ESF的功能。DDS通过实时数据网络向操纵员提供非安全级的电厂显示和报警数据,而PMS的QDPS提供安全级的显示,ATWS可提供极少量的相关显示。
如图1所示,PMS通过隔离装置单向发送数据到DDS。用于和PLS或DDS连接的隔离装置防止PLS或者DDS中的故障影响到PMS的运行。与这些信号有关的信号调制和数据处理功能是由PMS中的独立的子系统执行的,不与反应堆紧急停堆或者ESF驱动功能相关联。一旦信号通过隔离装置离开PMS,就不再是安全相关的,也不用于任何安全功能。连接DDS与PMS的单向网关,用于电厂状态的监视,包括PMS系统的状态。
⑥导则14。
PMS中提供监测和指示级的手动停堆和手动ESF驱动功能。非安全级ATWS也提供手动反应堆紧急停堆能力和有限的ESF驱动。如图2所示,PMS通过一个硬接线直接控制反应堆停堆断路器的线圈通路。ATWS提供一个多样性的硬接线停堆到控制棒驱动电动发电机组断路器。PMS提供系统级和部件级驱动ESF功能的手动措施。
除了PRA相关的工作没有完成外,本设计满足NUREG/CR 6303的14条导则要求。
3 系统多样性量化值计算
3.1 基于NUREG/CR - 7007的计算方法
NUREG/CR - 7007在NUREG/CR 6303的基础上给出了多样性的7大属性25条准则/措施,典型的应对方案详见表2。在对系统的多样性进行量化计算时,先确定所评估的系统是否满足某项准则/措施,再根据公式进行计算,得出系统的多样性量化目标值。当量化目标值大于1时,NRC则认可其满足多样性要求。文献[4]基于全球范围内的航天、航空、轨道运输等非核行业及核行业大量的多样性实际应用情况的处理和分析,给出了措施的多样性准则的有效性(diversity criterion effectiveness.DCE)权重和每一项多样性属性的有效性(diversity attribute effectiveness,DAE)权重值。
根据NUREG/CR - 7007,有如下多样性量化目标值计算公式:
式中:A为系统的多样性量化目标值;xi为取决于表2中的7个多样性属性的第i多样性属性中的第_『个措施的存在与否,存在该措施,x。=1,未采用此措施,xi =O;w。为第i多样性属性的DAE权重;wi为第i多样性属性中的第_『个措施的DCE权重;C为归一化基准常数;i EI={l ,2,3 ,4,5,6,7};jEJ,={1,2,3,4};X,jEx={0,l}。
3.2 PMS多样性措施值的确定
3. 2.1设计多样性
除了PC Node Box及ASU等用于人机界面部分功能采用了基于微处理器的计算机系统以外,PMS的其他功能均采用ALS平台实现。所有安全级的自动控制均通过基于FPGA的ALS平台实现。虽然PMS所有的ALS卡件均采用了多样双核(core diversity),以及图2、图3的ALS机柜额外采用了内置式多样性设计(embedded design diversity),但它们均基于WEC的FPGA技术。因此,根据NRC的评估准则,认为基于ALS的PMS不具备设计属性多样性,本计算将其相关的措施值x1,取0。
3.2.2设备制造商多样性
PMS所采用的ALS平台为WEC的产品,因此PMS不具有表2中设备制造商的多样性属性的前三项的多样性。由于PMS采用了多样双核和内置式多样性设计,相应的逻辑实现途径不同,因此本文认为PMS具有“相同的制造商、不同的版本”的多样性措施,措施值X24取1。
3.2.3逻辑处理设备多样性
由于ALS平台不采用软件实现PMS功能,因此采用不同的逻辑处理架构、不同的部件集成架构、不同的数据流架构等可以提高基于微处理器架构系统多样性的措施均不适用。本计算将相关的措施值x3i取0。
3.2.4功能多样性
功能的多样性是一种重要的多样性措施,故本设计中充分利用了功能多样性的措施。如D3分析所示,PMS采用的传感器、整定值、执行机构等均与非安全I&C系统不同,表2的“不同的机理”、“不同的目的、功能、控制逻辑或驱动方式”、“不同的响应时间域”等诸多措施得到充分的应用。控制系统采用了控制棒位置调节、硼酸浓度调节,而PMS采用控制棒驱动机构失电快速插入的方式,这既是对GDC25、26、27要求的响应,也提供了所需的多样性。就PMS本身来说,它是一个4序列隔离的1E级系统,能对每个预期运行事件和事故进行多级防御。反应堆紧急停堆功能和大多数ESF驱动功能采用了不同的传感器并采用四取二表决,为每一个预期运行事件和事故提供多样性的反应堆紧急停堆功能和/或ESF驱动。此外,多种保护功能的后备保护也是一种功能多样性的措施,如超功率AT为功率量程高中子注量率提供后备保护,稳压器的高液位停堆作为稳压器高压力停堆的后备保护等。基于这样的设计,本计算将相关的措施值X4j取1。
3.2.5全寿命周期多样性
由于PMS的ALS平台均由同一公司供货,因此X51取0。为了能够提高多样性,规定PMS的平台应由“不同的管理团队”、“不同的设计/开发团队”以及“不同的实施/验证团队”来实现。因此,本计算将相关的措施值X52、X53、X54取1。
3.2.6逻辑多样性
PMS采用了多样双核以及内置式多样性设计,ALS -102逻辑的开发,遵从和标准卡件开发一致的标准。安全功能是由不同的算法、逻辑,不同的时序和执行顺序来实现,因此,本计算将相关的措施值X6j取1。
3.2.7信号多样性
信号多样性属性和逻辑实现平台并无直接关系。该属性为提高多样性的常见办法,本设计充分利用多样性的信号来提高系统多样性。使用不同的参数去触发保护动作,这些参数中的任何一个都是独立的,它们中的任何一个出现故障都不会影响其他参数的保护功能。对于特定事件,为反应堆紧急停堆和ESF驱动提供多样性信号,PMS中用于产生反应堆紧急停堆和ESF驱动的信号来自于不同类型的传感器,如多种不同的信号用于停堆,采用堆芯补水箱液位低、稳压器压力低、蓄电池电压低、手动开关等不同类型的信号来驱动自动降压系统。基于这样的设计,本计算将相关的措施值x7j取1。
3.3计算与分析
将第3.2节确定的这些xij值代人式(1),DAE、DCE、C均取NUREG/CR - 7007的标准值,计算结果为0. 972,略微小于可接受值l。值得注意的是,在本计算中保守的将逻辑处理设备多样性的4个措施均置为0。如果将NUREG/CR - 7007中表6.4的对应项也置为0,则A策略基准方案的多样性值将降低0. 451;而B策略基准方案的多样性值至少降低0. 258,B策略基准方案的多样性值最多可降低0.386;C策略基准方案的多样性值最多可降低0. 258。根据文献[11],A、B、C、D策略方案最大可能归一化多样性的值分别为1. 400、1.315、1.235、1.192。将逻辑处理设备多样性的措施置为0可极大地影响评价值。因此,在对基于FPGA的保护系统进行评估时,NRC很有可能修正NUREG/CR - 7007中DAE和DCE系数,从而提高基于ALS平台系统的多样性量化值。
鉴于PMS的多样性值已经接近可接受的范围,因此作为初步的方案,可认为PMS已经具有足够的多样性,不必再单独设置多样性驱动系统。
对于10CFR50. 62所要求的停堆、停机及启动余热排出等功能可由非安全级平台实现。这样的工程应用在岭澳核电厂已有先例,且可以简化I&C系统及主控制室等设计。
4结束语
本文依据NUREG/CR - 6303的相关要求,对基于ALS平台的优良特性而设计的PMS进行了多样性和纵深防御要求分析,并按NUREG/CR 7007的方法和标准参数计算了该系统的多样性量化值。尽管由于ALS平台不采用软件实现逻辑,而将NUREG/CR 7007中7大评估属性之一的“逻辑处理设备多样性”的4条措施不计人多样性贡献的计算,但该PMS的多样性量化仍接近于NRC的接受准则,表明该方案整体上有较高的多样性属性,基本满足NRC对系统多样性的定量要求。因此,原则上得出可以不单独设置多样性系统的初步结论。
由于目前世界上没有将ALS平台开发作为PMS的工程实践,因此本设计是一个全新方案。论证方案的可行性需进行大量的研究工作,这些工作对于PMS的自主开发,甚至是平台本身的国产化都具有重要的参考意义。
5摘要:2013年美国核管会通过了对西屋公司开发的新一代基于现场可编程门阵列技术的1E级先进逻辑系统平台的认证。针对基于该平台所设计的保护与监测系统,依据NUREG/CR 6303的相关要求,进行了多样性和纵深防御要求分析,并按NUREG/CR 7007的方法计算了保护与监测系统的多样性量化值。分析结果表明,新设计的保护与监测系统方案基本满足美国核管会对系统多样性的定量要求,并得出可以不单独设置多样性驱动系统的初步结论。
