核電站安全級DCS系統多樣性分析

上海?？怂共_有限公司北京分公司 孫凱

1 引言

作為一種清潔能源，核能日益受到重視，我國計劃到2020年，核電運行裝機容量達到7000萬千瓦。但是核能又是一種非常特殊的能源，對安全有特殊的要求，一旦發生事故，會對環境和社會公眾造成巨大的危害，后果不堪設想。在福島核事故之后，如何提高核電站可靠性，確保充分利用核能優勢，又能將潛在風險降到最低，已成為業內普遍關注的問題。DCS系統是核電站的神經中樞，可以確保核電站的正常運行；其中的安全級DCS系統則可在異常工況下為核電站提供保護功能，即：在事故工況下能夠安全停機，并在事故發生后，能夠緩解事故，將事故后果限制在可接受的范圍內。

隨著技術的進步，數字化DCS系統開始取代傳統模擬控制和保護系統。數字化儀控系統具有以下優點：

設計更加靈活；

能實現更加復雜的控制功能；

控制邏輯實現簡化；

具有更強大的自診斷功能。但是在具有以上優點的同時，數字化DCS系統也存在因共因故障導致控制及保護系統失效、喪失安全功能的潛在風險。因此在核電站安全級DCS系統設計及實施過程中，必須采取針對性措施，以確保在共因故障導致控制及保護系統失效時，核電站的安全功能能得以執行。

2 核電站安全級DCS系統多樣性設計原則

《核動力廠設計安全規定》（以下簡稱《標準》）中明確要求：核電站保護系統必須采用多樣性設計，降低共因故障導致保護系統失效的風險，以滿足核電站縱深防御原則，實現安全核電站的安全目標。

共因故障指的是由特定的單一事件或起因導致兩個或多個構筑物、系統或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件，也可以是人為原因造成的事件。具體而言，共因故障可以由設計缺陷、制造缺陷、運行或維護差錯、自然事件、人為事件、環境條件的變化引起。

多樣性，是針對共因故障設置的預防措施。多樣性在《標準》中的定義為：為執行某一確定功能設置兩個或多個多重部件或系統，這些不同部件或系統具有不同屬性，從而可以減少發生共因故障的可能性。對比《標準》中多樣性的定義，我們不妨定義人員及組織多樣性為“為完成某一確定任務而設置兩個或多個人員或組織，這些人員或組織隸屬于不同的部門，相互獨立，從而可以減少共因故障的可能性”。多樣性原則是核電站DCS系統設計的基本原則，在設計中必須予以考慮，以提高核電站的安全性和可靠性。

3 安全級DCS系統多樣性分類及實現方法

針對共因故障產生的原因，在安全級DCS設計及實施過程中可以采取以下應對措施，來降低共因故障導致的風險，提高核電站的可靠性和安全性。

3.1 人員多樣性

在DCS設計和實施過程中，人是最重要的因素，也是最不確定的因素。在所有的人為故障中，最容易被忽視的就是人員的共因故障導致的設計缺陷。人員導致的共因故障是由于相同的工作背景、相同的培訓或者設計人員之間的相互技術交流等因素，導致某種錯誤的觀點或者是錯誤的方法在設計人員之間傳遞。很難通過設計人員之間的相互檢查來發現由于“人員的共因故障”造成的設計缺陷。為了防止“人員的共因故障”對安全級DCS系統的影響，在設計及實施中，采取以下措施來降低共因故障的潛在影響。

3.1.1 設計人員多樣性

核電站保護系統，可以分為兩部分：安全級DCS 系統和多樣性保護系統。多樣性保護系統（參見3.2）利用和安全級DCS 系統不同的信號、系統平臺、設計邏輯來實現不同于安全級DCS系統的保護功能，在安全級DCS系統因共因故障導致失效，不能完成安全停堆或安全專設功能時，由多樣性保護系統完成安全停堆或安全專設功能。因此為了防止“人員共因故障”的影響，多樣性保護系統的設計人員必須多樣性于安全級DCS系統設計人員，即由相互獨立的設計人員完成安全級DCS系統和多樣性保護系統的設計、實施工作。

3.1.2 驗證和確認人員多樣性

為了確保安全級DCS系統設計的質量，除了進行設計組織內部之間的相互檢查之外，還必須進行確認與驗證（Verification&Validation簡稱 V&V）工作。在《標準》中規定，V&V 人員必須具有和設計人員相同的工作能力，但又不能是從事設計的人員，并且在組織、管理、財務上獨立于設計人員或組織，防止由于領導的行政指令，或者是組織的利益導致V&V 工作人員不能獨立的去執行檢查工作，在某種程度上造成共因故障。V&V人員和設計人員之間的交流也必須加以限制，技術交流應以書面的形式保存。V&V人員可以獨立的對設計結果進行審查，針對設計中存在的問題給出相應的評價，但是V&V人員不能對設計中存在的問題提出具體的解決方案，以避免共因故障的影響。

3.2 設備多樣性

設備多樣性指采用不同的工作原理由不同的廠家生產的，或者是相同的廠家根據不同的需求規范書生產的設備，防止由于單一的設備故障導致全部功能的喪失。但是需要注意的是，同一個產品的不同版本不能作為多樣性系統來使用。

3.2.1 保護系統多樣性

保護系統的多樣性可以從兩個方面來考慮，一是系統平臺的多樣性，二是控制邏輯的多樣性。在遼寧紅沿河核電站，安全級DCS系統采用三菱電機的Meltac數字化控制平臺，多樣性保護系統則是三菱電機的Melnac模擬式控制平臺。雖然均是三菱電機的產品，但是他們基于不同的工作原理，依據不同的需求規格書各自獨立完成，因此該方案滿足《標準》中關于多樣性的要求。在福建福清核電站，安全級DCS系統和多樣性保護系統分別采用英維斯運營管理旗下的Triconex系統平臺和I/A系統平臺。雖為同一集團下的數字化DCS系統，但是它們是由獨立核算的廠家依據不同的需求規范書各自獨立完成的，因此該設計方案也滿足規范標準的要求。

除了采用多樣性的控制平臺，DCS控制邏輯也采用了多樣性的設計。

設計輸入不同：控制邏輯和設定值不同，一般情況下，多樣性系統的設定值要高于保護系統的設定值；

由不同的工程團隊實施完成；因此，從控制邏輯方面來講，也滿足《標準》關于多樣性的的要求。

3.2.2 停堆系統多樣性

核電站停堆系統包括停堆斷路器和控制棒驅動機構（簡稱CRDM）。在事故工況時，安全級DCS系統動作，觸發停堆斷路器動作，切斷電源，控制棒驅動機構失電動作，靠重力作用下插，引入負的反應性，從而使反應堆安全停堆。多樣性保護系統則與CRDM對應，在安全級DCS系統因共因故障失效，或者是安全級系統動作發出停堆指令后，停堆斷路器因故障不能動作，導致無法切斷電源時，過程參數持續上升，達到多樣性保護系統設置的限值后，多樣性保護系統動作，通過控制棒機構切斷供電源，控制棒在重力作用下下插，引入負的反應性，從而使反應堆安全停堆。如圖1所示。

圖1 核電站停堆系統

3.2.3 監視和操作系統多樣性

核電站DCS系統的操作絕大部分都是在主控制室（MCR）內完成的。主控室內設置了計算機化的操作員站、常規儀表的后備盤（Backup Panel，簡稱BUP）和應急控制盤（Emergency Control Panel簡稱ECP）。通常情況下，核電站的信息顯示和手動控制是通過計算機化的工作站進行的。后備盤是由常規儀表組成，是針對計算機化的工作站的多樣化人機接口設備。當死機等不可控的因素導致操作員站不可用，不能對核電實施有效的監視、控制和保護時，操作員可以利用后備盤，獲取與保護動作相關的重要報警與指示，并能手動觸發與安全保護動作相關的動作指令。在工作站故障的情況下，利用后備盤可以維持電站穩態運行4小時，并在需要時，將電廠帶入安全停堆狀態。

應急控制盤是相對于安全級DCS系統的多樣手動操作設備（設置停堆、專設等緊急啟動保護動作的手動常規按鈕）。在整個安全級DCS系統因共因故障失效時，可以利用ECP上的按鈕，不經DCS系統處理，直接通過硬接線將觸發信號送至執行器，實現安全停堆或觸發專設安全動作。

3.2.4 操作場所多樣性

除了上述在主控室中設置BUP和ECP等多樣性的顯示和操作系統外，在核電站DCS系統中，還設置了多樣性的操作場所：遠程停堆站（RSS），在遠程停堆站中設置了精簡的操作員站。當主控室因火災、水災或地震等原因不可用時，操作人員轉移到RSS，完成對核電站的監視和控制，將核反應堆維持在穩定工況下或者是將其帶入安全停堆狀態。

3.3 功能多樣性

核電站安全級停堆保護系統，由四個冗余的保護通道組成，每個通道進行獨立的運算，輸出部分停堆信號，四個通道的部分停堆信號進行四取二符合邏輯運算，如果有兩個以上的信號為真，則觸發停堆信號，實現停堆保護功能。為了提高保護系統的可靠性，防止因共因故障導致保護系統失效，每個通道的設計都需要充分考慮保護系統功能的多樣性，即將執行同一保護功能的多樣性保護參數和邏輯分配在不同的子組：多樣性子組1和多樣性子組2，并將兩個子組在不同的計算機單元實現，從而減輕共因故障的影響。對于一些特殊的公共參數，需要在兩個子組中同時處理，以滿足邏輯處理的要求。同一個保護通道的兩個多樣性子組輸出的保護信號經過門運算后送至停堆斷路器執行停堆功能，當任何一個子組因故障而失去保護功能時，另一個子組仍可以提供保護功能。

我們以三環路反應堆的冷卻劑泵為例。冷卻劑泵負責向反應堆傳送冷卻劑，一旦冷卻劑泵出現故障或者停止運行，反應堆就無法獲得足夠的冷卻劑，不能及時將反應熱導出，輕則會導致反應堆停堆，重則會導致堆芯融化，放射性物質外泄的嚴重事故。因此從現場傳感器到停堆保護系統，都采用了多樣性設計。安全級DCS采集了兩種不同類型的參數：泵轉速以及泵斷路器的開、合狀態來確定冷卻劑的運行狀態（設備多樣性），在子組1和子組2中分別處理（功能多樣性）。如果因電源、傳感器故障等原因導致一個子組喪失保護功能，另外一個子組則可以繼續完成邏輯運算，觸發停堆信號，完成安全保護功能，如圖2所示。

圖2 核電站保護系統通道及子組

4 結論

從以上分析可以看出，核電站安全級DCS系統的設計及實施中，充分考慮了人員、設備及功能的多樣性，降低了DCS系統運行過程中因共因故障導致保護功能喪失的風險，大大提高了核電站DCS系統的可用性可靠性、和安全性，能夠確保核電站的安全運行，保證公眾和環境的安全。

[1] 國家核安全局 HAFl02,核動力廠設計安全規定[S].

[2] 濮繼龍等.大亞灣核電站運行教程[M].北京:原子能出版社,1999.

[3] 廣東核電培訓中心.900MW壓水堆核電站系統與設備[M].北京:原子能出版社,2006.