核電廠儀表和控制系統(tǒng)縱深防御與多樣性分析

陳輝峰

(深圳中廣核工程設(shè)計有限公司上海分公司，上海 200241)

0 引言

在核電廠中，縱深防御與多樣性(depth-in-defense and diversity，D3)準(zhǔn)則貫徹于安全有關(guān)的所有活動中，包括與組織、人員行為或設(shè)計有關(guān)的各個方面，以確保這些活動均置于重疊措施的防御之下，即使有一種故障發(fā)生，它將由適當(dāng)?shù)拇胧┨綔y、補(bǔ)償或糾正。在整個核電廠設(shè)計和運(yùn)行中始終貫徹縱深防御，以便對由廠內(nèi)設(shè)備故障或人員活動及廠外事件等引起的各種瞬變、預(yù)計運(yùn)行事件及事故提供多層次的保護(hù)。作為核電廠重要組成部分的儀表和控制(instrumentation and control，I＆C)系統(tǒng)，在設(shè)計和運(yùn)行過程中也需要遵守D3 設(shè)計準(zhǔn)則。本文將基于NUREG/CR 6303(反應(yīng)堆保護(hù)系統(tǒng)執(zhí)行多樣性和縱深防御分析方法)中對于D3 的相關(guān)規(guī)定，并結(jié)合核電廠I＆C 系統(tǒng)的結(jié)構(gòu)，對D3 在I＆C 系統(tǒng)中的應(yīng)用進(jìn)行分析和總結(jié)。

1 D3 技術(shù)分析

D3 存在兩層概念，即縱深防御和多樣性，NUREG/CR 6303 將縱深防御定義為保護(hù)屏障或手段的同心布置，僅當(dāng)這些屏障或手段遭到破壞時，有害的物質(zhì)或危險的能量才會對人類或環(huán)境造成不利的影響。對于I＆C 系統(tǒng)而言，縱深防御的理念貫穿于整個I＆C 系統(tǒng)，包括控制系統(tǒng)、停堆系統(tǒng)、專設(shè)安全設(shè)施系統(tǒng)(engineered safety feature，ESF)和監(jiān)測指示系統(tǒng)。當(dāng)控制系統(tǒng)發(fā)生失效事件時，那么反應(yīng)堆停堆系統(tǒng)就需要啟動緊急停堆;當(dāng)控制系統(tǒng)和反應(yīng)堆停堆系統(tǒng)失效時，那么ESF 作為實(shí)體屏障通過冷卻堆芯和相應(yīng)的輔助設(shè)備來繼續(xù)支持和阻止放射性的釋放。在上述三道屏障相繼失效之后，第四道屏障監(jiān)測和指示系統(tǒng)進(jìn)行事故后的監(jiān)測和全廠的應(yīng)急指揮。執(zhí)行上述四道屏障所需的信息來自于各防御層次的傳感器測量參數(shù)以及反饋信息，然后才能根據(jù)具體的參數(shù)來確定執(zhí)行相關(guān)預(yù)期功能的時機(jī)。在縱深防御層次的設(shè)計和實(shí)現(xiàn)過程中，需要特別關(guān)注的是相同的傳感器故障或其直接后果會導(dǎo)致多道屏障完整性破壞的風(fēng)險，因此需要在核電廠的縱深防御層次之間和層次內(nèi)的設(shè)計中引入多樣性的設(shè)計原則［1］。

多樣性作為縱深防御原則的補(bǔ)充，增加了在需要啟動特定縱深防御層時的幾率。多樣性一般分為六種類型，即人員多樣性、設(shè)計多樣性、軟件多樣性、功能多樣性、信號多樣性和設(shè)備多樣性。多樣性原則通常體現(xiàn)在不同技術(shù)、邏輯或算法，或者使用不同驅(qū)動手段來提供檢測和響應(yīng)重要事件等方面。多樣性是防止?jié)撛诘墓收习l(fā)生的一個有效的手段，它一般體現(xiàn)在冗余或獨(dú)立設(shè)備之間［2-3］。

2 I＆C 系統(tǒng)結(jié)構(gòu)分析

圖1 核電廠I＆C 系統(tǒng)結(jié)構(gòu)簡圖Fig.1 Simplified diagram of the structure of I＆C system in nuclear power plant

核電廠I＆C 系統(tǒng)結(jié)構(gòu)如圖1 所示，其由兩個主要部分組成，這兩部分由數(shù)據(jù)通信網(wǎng)絡(luò)分隔開。數(shù)據(jù)通信網(wǎng)絡(luò)上方包括控制室和電廠控制、運(yùn)行所需要的服務(wù)器等人機(jī)接口系統(tǒng)設(shè)備?？刂剖抑饕峁┌踩壓头前踩壍目刂坪惋@示設(shè)備，以實(shí)現(xiàn)必要的操作、顯示和報警功能。服務(wù)器主要提供數(shù)據(jù)的處理、存儲和記錄等功能。數(shù)據(jù)通信網(wǎng)絡(luò)下方主要包括控制設(shè)備和工藝接口設(shè)備，中間是反應(yīng)堆保護(hù)系統(tǒng)，其執(zhí)行反應(yīng)堆停堆(reactor trip，RT)、ESF 和安全級數(shù)據(jù)顯示功能。I＆C 系統(tǒng)執(zhí)行的RT 和ESF 功能以及與它們相關(guān)的傳感器和RT 開關(guān)設(shè)備大部分都設(shè)置為四路冗余，其使用的傳感器和執(zhí)行器為安全級，在圖1 中用虛線框表示。反應(yīng)堆保護(hù)系統(tǒng)的右側(cè)和左側(cè)分別為電廠控制系統(tǒng)和多樣化驅(qū)動系統(tǒng)，電廠控制系統(tǒng)主要實(shí)現(xiàn)正常的反應(yīng)性控制和反應(yīng)堆的正常啟停，其使用的傳感器和執(zhí)行器為非安全級，在圖1 中用實(shí)線框表示。多樣化驅(qū)動系統(tǒng)是一個獨(dú)立于DCS 平臺的系統(tǒng)，其主要承擔(dān)因反應(yīng)堆保護(hù)系統(tǒng)發(fā)生共因故障(common cause failure，CCF)而失效后的RT 和選定的ESF 功能，其通常使用專用的、與全廠I＆C 系統(tǒng)存在差異的平臺技術(shù)并設(shè)置專用的傳感器(在圖1 中用雙點(diǎn)畫線框表示)［4］。反應(yīng)堆保護(hù)系統(tǒng)與電廠控制系統(tǒng)之間存在少量的數(shù)據(jù)交換，而多樣化驅(qū)動系統(tǒng)與這兩個系統(tǒng)之間不存在直接的數(shù)據(jù)交換。

3 D3 在I＆C 系統(tǒng)中的應(yīng)用分析

3.1 縱深防御應(yīng)用分析

控制系統(tǒng)層的功能主要由非安全級的電廠控制系統(tǒng)來實(shí)現(xiàn)。電廠控制系統(tǒng)主要是在電廠正常工況下維持電廠在正常運(yùn)行限值內(nèi)，并且對電廠狀態(tài)保持持續(xù)的檢測。如果電廠的運(yùn)行偏離了正常運(yùn)行限值，控制系統(tǒng)在它的控制范圍內(nèi)進(jìn)行控制調(diào)節(jié)并予以糾正，以避免觸發(fā)RT 和ESF 等安全設(shè)施。反應(yīng)堆停堆層的功能主要由安全級的反應(yīng)堆停堆系統(tǒng)中的RT 功能來實(shí)現(xiàn);同時，非安全級的多樣化驅(qū)動系統(tǒng)也提供自動的RT 功能。在該防御層中，雖然反應(yīng)堆保護(hù)系統(tǒng)和多樣化驅(qū)動系統(tǒng)都可以實(shí)現(xiàn)該層的功能，但它們實(shí)現(xiàn)RT功能的手段存在差異，這體現(xiàn)了多樣性原則，這里主要采用了設(shè)計多樣性、信號多樣性和設(shè)備多樣性等。專設(shè)安全設(shè)施驅(qū)動系統(tǒng)層主要由安全級的反應(yīng)堆停堆系統(tǒng)中的ESF 自動驅(qū)動功能來實(shí)現(xiàn);同時，非安全級的多樣化驅(qū)動系統(tǒng)也為部分指定的ESF 部件驅(qū)動子設(shè)備提供自動驅(qū)動能力，這同樣體現(xiàn)了多樣性的原則。監(jiān)測與指示層由非安全級的服務(wù)器和安全級的反應(yīng)堆保護(hù)系統(tǒng)數(shù)據(jù)顯示設(shè)備提供。由監(jiān)測和指示層執(zhí)行的安全手動RT 和手動ESF 驅(qū)動功能包括在反應(yīng)堆保護(hù)系統(tǒng)中，非安全級的多樣化驅(qū)動系統(tǒng)也提供手動RT和手動ESF 驅(qū)動能力，這同樣也體現(xiàn)了多樣性的原則。表1 給出了核電廠I＆C 系統(tǒng)與四個縱深防御分層之間的對應(yīng)關(guān)系［5］。

表1 核電廠I＆C 系統(tǒng)與四個縱深防御分層之間的關(guān)系Tab. 1 Relationship between I＆C system and four layereddepth-in-defense in nuclear power plant

3.2 多樣性應(yīng)用分析

3.2.1 系統(tǒng)間多樣性應(yīng)用分析

系統(tǒng)間多樣性特性如圖2 所示。圖2 給出了電廠控制系統(tǒng)、反應(yīng)堆保護(hù)系統(tǒng)和多樣化驅(qū)動系統(tǒng)之間的關(guān)系以及實(shí)現(xiàn)自動和手動功能的多樣性手段。同時，圖2 也給出了自動RT 和ESF 驅(qū)動的多樣性信號源以及操縱員顯示，以及手動控制和操縱員動作所需的顯示。電廠控制系統(tǒng)、反應(yīng)堆保護(hù)系統(tǒng)和多樣化驅(qū)動系統(tǒng)分別采用各自專用的傳感器進(jìn)行信號采集，并將信號送到自動邏輯單元進(jìn)行處理，然后進(jìn)行執(zhí)行器的控制，并將必要的信號送到主控室進(jìn)行顯示。電廠控制系統(tǒng)的所有數(shù)據(jù)和反應(yīng)堆保護(hù)系統(tǒng)的部分?jǐn)?shù)據(jù)(在實(shí)際的核電廠中設(shè)置有單向的網(wǎng)關(guān)，其通過網(wǎng)關(guān)再到數(shù)據(jù)通信網(wǎng))均通過數(shù)據(jù)通信網(wǎng)進(jìn)行傳輸，然后在控制室進(jìn)行非安全級的顯示。在主控室設(shè)置有安全級的顯示設(shè)備，用于反應(yīng)堆保護(hù)系統(tǒng)在控制室內(nèi)的安全級顯示，安全級顯示使用反應(yīng)堆保護(hù)系統(tǒng)內(nèi)部的專用網(wǎng)絡(luò)進(jìn)行傳輸。為了充分利用現(xiàn)有的設(shè)備，電廠控制系統(tǒng)需要的安全級傳感器信號來自于反應(yīng)堆保護(hù)系統(tǒng)進(jìn)行采集和處理之后的數(shù)據(jù)。多樣化驅(qū)動系統(tǒng)則是一套獨(dú)立的系統(tǒng)，其從傳感器的數(shù)據(jù)采集、數(shù)據(jù)處理到最終的主控室顯示和對執(zhí)行器的操作均獨(dú)立于其他系統(tǒng)。

圖2 系統(tǒng)間多樣性特性Fig.2 Diversity feature among systems

3.2.2 功能中多樣性應(yīng)用分析

多樣性主要存在于安全級功能中，且在RT 功能中應(yīng)用的最為典型。RT 的主要功能是將反應(yīng)堆及時地引入次臨界狀態(tài)，并維持足夠的RT 裕量。RT 功能通常是通過控制棒的步進(jìn)方式或自由落體的落棒方式將控制棒插入堆芯。

①電廠控制系統(tǒng)采用自動模式以控制棒步進(jìn)方式插入堆芯，實(shí)現(xiàn)正常的RT 功能。電廠控制系統(tǒng)也提供手動插入控制棒的RT 功能。電廠控制系統(tǒng)的自動、手動RT 功能均直接通過控制棒驅(qū)動機(jī)構(gòu)(control rod drive mechanism，CRDM)來實(shí)現(xiàn)。

②反應(yīng)堆保護(hù)系統(tǒng)通過反應(yīng)堆停堆斷路器實(shí)現(xiàn)落棒，從而實(shí)現(xiàn)自動RT 功能。當(dāng)反應(yīng)堆停堆斷路器打開時，CRDM 失電且控制棒通過重力產(chǎn)生的自由落體插入堆芯。反應(yīng)堆保護(hù)系統(tǒng)還提供手動RT 功能，其直接與反應(yīng)堆停堆斷路器接口。

③多樣化驅(qū)動系統(tǒng)通過給CRDM 供電的控制棒驅(qū)動電動/發(fā)電機(jī)組斷電來實(shí)現(xiàn)自動RT 功能。這種間接通過CRDM 停堆與前述的直接通過CRDM 來實(shí)現(xiàn)停堆的方式之間存在多樣性，與直接打開停堆斷路器使CRDM 失電的方式具有相同的作用。多樣化驅(qū)動系統(tǒng)也具有通過使控制棒驅(qū)動電動/發(fā)電機(jī)組斷電的手動停堆功能［6］。

圖3 給出了觸發(fā)RT 的多樣性系統(tǒng)設(shè)備之間的關(guān)系。

圖3 觸發(fā)RT 的多樣性系統(tǒng)設(shè)備Fig.3 The diversity systematic equipment trigging RT

4 結(jié)束語

基于NUREG/CR 6303 中的相關(guān)規(guī)定，對核電廠I＆C 系統(tǒng)縱深防御與多樣性的應(yīng)用進(jìn)行分析和研究，認(rèn)為在設(shè)計過程中引入D3 的設(shè)計是非常有必要的。核電廠I＆C 系統(tǒng)通過設(shè)置多重屏障和多樣化的系統(tǒng)設(shè)備和功能，可以有效地提高核電廠的安全性能，并防止?jié)撛诠收系陌l(fā)生。同時，系統(tǒng)提高了核電廠的可用性和經(jīng)濟(jì)性，增加了核電廠的安全性，從而減少核電廠事故的發(fā)生概率，降低了其對人類和環(huán)境的威脅。

［1］ NUREG/CR 6303 - 1994 Method for performing diversity and defense-in-depth analysis of reactor systems［S］.1994.

［2］ HAF 102 -2004 核動力廠設(shè)計安全規(guī)定［S］.2004.

［3］ HAD 102. 14 - 1988 核電廠安全有關(guān)儀表和控制系統(tǒng)［S］.1988.

［4］ 林誠格. 非能動安全先進(jìn)核電廠AP1000［M］. 北京:原子能出版社，2008:375 -379.

［5］ 林誠格. 非能動安全先進(jìn)壓水堆核電技術(shù)［M］. 北京:原子能出版社，2010:756 -762.

［6］ 陳輝峰，黃勇成，呂方，等. 各時期核電廠ATWT 緩解系統(tǒng)比較與分析［J］. 原子能科學(xué)技術(shù)，2014，48(11):1064 -1067.