核電站安全級DCS系統(tǒng)多樣性分析

上海福克斯波羅有限公司北京分公司 孫凱

1 引言

作為一種清潔能源，核能日益受到重視，我國計劃到2020年，核電運行裝機(jī)容量達(dá)到7000萬千瓦。但是核能又是一種非常特殊的能源，對安全有特殊的要求，一旦發(fā)生事故，會對環(huán)境和社會公眾造成巨大的危害，后果不堪設(shè)想。在福島核事故之后，如何提高核電站可靠性，確保充分利用核能優(yōu)勢，又能將潛在風(fēng)險降到最低，已成為業(yè)內(nèi)普遍關(guān)注的問題。DCS系統(tǒng)是核電站的神經(jīng)中樞，可以確保核電站的正常運行；其中的安全級DCS系統(tǒng)則可在異常工況下為核電站提供保護(hù)功能，即：在事故工況下能夠安全停機(jī)，并在事故發(fā)生后，能夠緩解事故，將事故后果限制在可接受的范圍內(nèi)。

隨著技術(shù)的進(jìn)步，數(shù)字化DCS系統(tǒng)開始取代傳統(tǒng)模擬控制和保護(hù)系統(tǒng)。數(shù)字化儀控系統(tǒng)具有以下優(yōu)點：

設(shè)計更加靈活；

能實現(xiàn)更加復(fù)雜的控制功能；

控制邏輯實現(xiàn)簡化；

具有更強(qiáng)大的自診斷功能。但是在具有以上優(yōu)點的同時，數(shù)字化DCS系統(tǒng)也存在因共因故障導(dǎo)致控制及保護(hù)系統(tǒng)失效、喪失安全功能的潛在風(fēng)險。因此在核電站安全級DCS系統(tǒng)設(shè)計及實施過程中，必須采取針對性措施，以確保在共因故障導(dǎo)致控制及保護(hù)系統(tǒng)失效時，核電站的安全功能能得以執(zhí)行。

2 核電站安全級DCS系統(tǒng)多樣性設(shè)計原則

《核動力廠設(shè)計安全規(guī)定》（以下簡稱《標(biāo)準(zhǔn)》）中明確要求：核電站保護(hù)系統(tǒng)必須采用多樣性設(shè)計，降低共因故障導(dǎo)致保護(hù)系統(tǒng)失效的風(fēng)險，以滿足核電站縱深防御原則，實現(xiàn)安全核電站的安全目標(biāo)。

共因故障指的是由特定的單一事件或起因?qū)е聝蓚€或多個構(gòu)筑物、系統(tǒng)或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件，也可以是人為原因造成的事件。具體而言，共因故障可以由設(shè)計缺陷、制造缺陷、運行或維護(hù)差錯、自然事件、人為事件、環(huán)境條件的變化引起。

多樣性，是針對共因故障設(shè)置的預(yù)防措施。多樣性在《標(biāo)準(zhǔn)》中的定義為：為執(zhí)行某一確定功能設(shè)置兩個或多個多重部件或系統(tǒng)，這些不同部件或系統(tǒng)具有不同屬性，從而可以減少發(fā)生共因故障的可能性。對比《標(biāo)準(zhǔn)》中多樣性的定義，我們不妨定義人員及組織多樣性為“為完成某一確定任務(wù)而設(shè)置兩個或多個人員或組織，這些人員或組織隸屬于不同的部門，相互獨立，從而可以減少共因故障的可能性”。多樣性原則是核電站DCS系統(tǒng)設(shè)計的基本原則，在設(shè)計中必須予以考慮，以提高核電站的安全性和可靠性。

3 安全級DCS系統(tǒng)多樣性分類及實現(xiàn)方法

針對共因故障產(chǎn)生的原因，在安全級DCS設(shè)計及實施過程中可以采取以下應(yīng)對措施，來降低共因故障導(dǎo)致的風(fēng)險，提高核電站的可靠性和安全性。

3.1 人員多樣性

在DCS設(shè)計和實施過程中，人是最重要的因素，也是最不確定的因素。在所有的人為故障中，最容易被忽視的就是人員的共因故障導(dǎo)致的設(shè)計缺陷。人員導(dǎo)致的共因故障是由于相同的工作背景、相同的培訓(xùn)或者設(shè)計人員之間的相互技術(shù)交流等因素，導(dǎo)致某種錯誤的觀點或者是錯誤的方法在設(shè)計人員之間傳遞。很難通過設(shè)計人員之間的相互檢查來發(fā)現(xiàn)由于“人員的共因故障”造成的設(shè)計缺陷。為了防止“人員的共因故障”對安全級DCS系統(tǒng)的影響，在設(shè)計及實施中，采取以下措施來降低共因故障的潛在影響。

3.1.1 設(shè)計人員多樣性

核電站保護(hù)系統(tǒng)，可以分為兩部分：安全級DCS 系統(tǒng)和多樣性保護(hù)系統(tǒng)。多樣性保護(hù)系統(tǒng)（參見3.2）利用和安全級DCS 系統(tǒng)不同的信號、系統(tǒng)平臺、設(shè)計邏輯來實現(xiàn)不同于安全級DCS系統(tǒng)的保護(hù)功能，在安全級DCS系統(tǒng)因共因故障導(dǎo)致失效，不能完成安全停堆或安全專設(shè)功能時，由多樣性保護(hù)系統(tǒng)完成安全停堆或安全專設(shè)功能。因此為了防止“人員共因故障”的影響，多樣性保護(hù)系統(tǒng)的設(shè)計人員必須多樣性于安全級DCS系統(tǒng)設(shè)計人員，即由相互獨立的設(shè)計人員完成安全級DCS系統(tǒng)和多樣性保護(hù)系統(tǒng)的設(shè)計、實施工作。

3.1.2 驗證和確認(rèn)人員多樣性

為了確保安全級DCS系統(tǒng)設(shè)計的質(zhì)量，除了進(jìn)行設(shè)計組織內(nèi)部之間的相互檢查之外，還必須進(jìn)行確認(rèn)與驗證（Verification&Validation簡稱 V&V）工作。在《標(biāo)準(zhǔn)》中規(guī)定，V&V 人員必須具有和設(shè)計人員相同的工作能力，但又不能是從事設(shè)計的人員，并且在組織、管理、財務(wù)上獨立于設(shè)計人員或組織，防止由于領(lǐng)導(dǎo)的行政指令，或者是組織的利益導(dǎo)致V&V 工作人員不能獨立的去執(zhí)行檢查工作，在某種程度上造成共因故障。V&V人員和設(shè)計人員之間的交流也必須加以限制，技術(shù)交流應(yīng)以書面的形式保存。V&V人員可以獨立的對設(shè)計結(jié)果進(jìn)行審查，針對設(shè)計中存在的問題給出相應(yīng)的評價，但是V&V人員不能對設(shè)計中存在的問題提出具體的解決方案，以避免共因故障的影響。

3.2 設(shè)備多樣性

設(shè)備多樣性指采用不同的工作原理由不同的廠家生產(chǎn)的，或者是相同的廠家根據(jù)不同的需求規(guī)范書生產(chǎn)的設(shè)備，防止由于單一的設(shè)備故障導(dǎo)致全部功能的喪失。但是需要注意的是，同一個產(chǎn)品的不同版本不能作為多樣性系統(tǒng)來使用。

3.2.1 保護(hù)系統(tǒng)多樣性

保護(hù)系統(tǒng)的多樣性可以從兩個方面來考慮，一是系統(tǒng)平臺的多樣性，二是控制邏輯的多樣性。在遼寧紅沿河核電站，安全級DCS系統(tǒng)采用三菱電機(jī)的Meltac數(shù)字化控制平臺，多樣性保護(hù)系統(tǒng)則是三菱電機(jī)的Melnac模擬式控制平臺。雖然均是三菱電機(jī)的產(chǎn)品，但是他們基于不同的工作原理，依據(jù)不同的需求規(guī)格書各自獨立完成，因此該方案滿足《標(biāo)準(zhǔn)》中關(guān)于多樣性的要求。在福建福清核電站，安全級DCS系統(tǒng)和多樣性保護(hù)系統(tǒng)分別采用英維斯運營管理旗下的Triconex系統(tǒng)平臺和I/A系統(tǒng)平臺。雖為同一集團(tuán)下的數(shù)字化DCS系統(tǒng)，但是它們是由獨立核算的廠家依據(jù)不同的需求規(guī)范書各自獨立完成的，因此該設(shè)計方案也滿足規(guī)范標(biāo)準(zhǔn)的要求。

除了采用多樣性的控制平臺，DCS控制邏輯也采用了多樣性的設(shè)計。

設(shè)計輸入不同：控制邏輯和設(shè)定值不同，一般情況下，多樣性系統(tǒng)的設(shè)定值要高于保護(hù)系統(tǒng)的設(shè)定值；

由不同的工程團(tuán)隊實施完成；因此，從控制邏輯方面來講，也滿足《標(biāo)準(zhǔn)》關(guān)于多樣性的的要求。

3.2.2 停堆系統(tǒng)多樣性

核電站停堆系統(tǒng)包括停堆斷路器和控制棒驅(qū)動機(jī)構(gòu)（簡稱CRDM）。在事故工況時，安全級DCS系統(tǒng)動作，觸發(fā)停堆斷路器動作，切斷電源，控制棒驅(qū)動機(jī)構(gòu)失電動作，靠重力作用下插，引入負(fù)的反應(yīng)性，從而使反應(yīng)堆安全停堆。多樣性保護(hù)系統(tǒng)則與CRDM對應(yīng)，在安全級DCS系統(tǒng)因共因故障失效，或者是安全級系統(tǒng)動作發(fā)出停堆指令后，停堆斷路器因故障不能動作，導(dǎo)致無法切斷電源時，過程參數(shù)持續(xù)上升，達(dá)到多樣性保護(hù)系統(tǒng)設(shè)置的限值后，多樣性保護(hù)系統(tǒng)動作，通過控制棒機(jī)構(gòu)切斷供電源，控制棒在重力作用下下插，引入負(fù)的反應(yīng)性，從而使反應(yīng)堆安全停堆。如圖1所示。

圖1 核電站停堆系統(tǒng)

3.2.3 監(jiān)視和操作系統(tǒng)多樣性

核電站DCS系統(tǒng)的操作絕大部分都是在主控制室（MCR）內(nèi)完成的。主控室內(nèi)設(shè)置了計算機(jī)化的操作員站、常規(guī)儀表的后備盤（Backup Panel，簡稱BUP）和應(yīng)急控制盤（Emergency Control Panel簡稱ECP）。通常情況下，核電站的信息顯示和手動控制是通過計算機(jī)化的工作站進(jìn)行的。后備盤是由常規(guī)儀表組成，是針對計算機(jī)化的工作站的多樣化人機(jī)接口設(shè)備。當(dāng)死機(jī)等不可控的因素導(dǎo)致操作員站不可用，不能對核電實施有效的監(jiān)視、控制和保護(hù)時，操作員可以利用后備盤，獲取與保護(hù)動作相關(guān)的重要報警與指示，并能手動觸發(fā)與安全保護(hù)動作相關(guān)的動作指令。在工作站故障的情況下，利用后備盤可以維持電站穩(wěn)態(tài)運行4小時，并在需要時，將電廠帶入安全停堆狀態(tài)。

應(yīng)急控制盤是相對于安全級DCS系統(tǒng)的多樣手動操作設(shè)備（設(shè)置停堆、專設(shè)等緊急啟動保護(hù)動作的手動常規(guī)按鈕）。在整個安全級DCS系統(tǒng)因共因故障失效時，可以利用ECP上的按鈕，不經(jīng)DCS系統(tǒng)處理，直接通過硬接線將觸發(fā)信號送至執(zhí)行器，實現(xiàn)安全停堆或觸發(fā)專設(shè)安全動作。

3.2.4 操作場所多樣性

除了上述在主控室中設(shè)置BUP和ECP等多樣性的顯示和操作系統(tǒng)外，在核電站DCS系統(tǒng)中，還設(shè)置了多樣性的操作場所：遠(yuǎn)程停堆站（RSS），在遠(yuǎn)程停堆站中設(shè)置了精簡的操作員站。當(dāng)主控室因火災(zāi)、水災(zāi)或地震等原因不可用時，操作人員轉(zhuǎn)移到RSS，完成對核電站的監(jiān)視和控制，將核反應(yīng)堆維持在穩(wěn)定工況下或者是將其帶入安全停堆狀態(tài)。

3.3 功能多樣性

核電站安全級停堆保護(hù)系統(tǒng)，由四個冗余的保護(hù)通道組成，每個通道進(jìn)行獨立的運算，輸出部分停堆信號，四個通道的部分停堆信號進(jìn)行四取二符合邏輯運算，如果有兩個以上的信號為真，則觸發(fā)停堆信號，實現(xiàn)停堆保護(hù)功能。為了提高保護(hù)系統(tǒng)的可靠性，防止因共因故障導(dǎo)致保護(hù)系統(tǒng)失效，每個通道的設(shè)計都需要充分考慮保護(hù)系統(tǒng)功能的多樣性，即將執(zhí)行同一保護(hù)功能的多樣性保護(hù)參數(shù)和邏輯分配在不同的子組：多樣性子組1和多樣性子組2，并將兩個子組在不同的計算機(jī)單元實現(xiàn)，從而減輕共因故障的影響。對于一些特殊的公共參數(shù)，需要在兩個子組中同時處理，以滿足邏輯處理的要求。同一個保護(hù)通道的兩個多樣性子組輸出的保護(hù)信號經(jīng)過門運算后送至停堆斷路器執(zhí)行停堆功能，當(dāng)任何一個子組因故障而失去保護(hù)功能時，另一個子組仍可以提供保護(hù)功能。

我們以三環(huán)路反應(yīng)堆的冷卻劑泵為例。冷卻劑泵負(fù)責(zé)向反應(yīng)堆傳送冷卻劑，一旦冷卻劑泵出現(xiàn)故障或者停止運行，反應(yīng)堆就無法獲得足夠的冷卻劑，不能及時將反應(yīng)熱導(dǎo)出，輕則會導(dǎo)致反應(yīng)堆停堆，重則會導(dǎo)致堆芯融化，放射性物質(zhì)外泄的嚴(yán)重事故。因此從現(xiàn)場傳感器到停堆保護(hù)系統(tǒng)，都采用了多樣性設(shè)計。安全級DCS采集了兩種不同類型的參數(shù)：泵轉(zhuǎn)速以及泵斷路器的開、合狀態(tài)來確定冷卻劑的運行狀態(tài)（設(shè)備多樣性），在子組1和子組2中分別處理（功能多樣性）。如果因電源、傳感器故障等原因?qū)е乱粋€子組喪失保護(hù)功能，另外一個子組則可以繼續(xù)完成邏輯運算，觸發(fā)停堆信號，完成安全保護(hù)功能，如圖2所示。

圖2 核電站保護(hù)系統(tǒng)通道及子組

4 結(jié)論

從以上分析可以看出，核電站安全級DCS系統(tǒng)的設(shè)計及實施中，充分考慮了人員、設(shè)備及功能的多樣性，降低了DCS系統(tǒng)運行過程中因共因故障導(dǎo)致保護(hù)功能喪失的風(fēng)險，大大提高了核電站DCS系統(tǒng)的可用性可靠性、和安全性，能夠確保核電站的安全運行，保證公眾和環(huán)境的安全。

[1] 國家核安全局 HAFl02,核動力廠設(shè)計安全規(guī)定[S].

[2] 濮繼龍等.大亞灣核電站運行教程[M].北京:原子能出版社,1999.

[3] 廣東核電培訓(xùn)中心.900MW壓水堆核電站系統(tǒng)與設(shè)備[M].北京:原子能出版社,2006.