北京广利核系统工程有限公司 孙洪涛
核电站安全级数字化保护系统是核电站的信息神经和控制中枢,对于保证核电站能否安全、可靠、稳定和经济运行以及提升核电站生产管理水平都起着至关重要的作用。核电站安全级数字化保护系统属于核电厂1E级电气设备,用以保护三大核安全屏障(即燃料包壳、一回路压力边界和安全壳)的完整性。在核电站正常运行时,数字化保护系统监测与反应堆安全有关的参数,当这些参数超过预设的保护定值时,自动触发紧急停堆及启动相应专设安全设施,以限制事故的发展和减轻事故后果,防止放射性物质向周围环境释放,保证核电站设备和人员的安全。同时数字化保护系统还向操作人员提供手动控制手段以及相关系统和设备状态信息。
目前我国正处于核电快速发展时期,在建和拟建的核电机组超过30台套,核电站安全级数字化保护系统是核电站必需的关键系统之一,实现数字化保护系统自主设计不仅符合国家加紧推进核电国产化的战略性要求,也是实施“以高起点起步、以高标准的安全可靠性要求和将高技术含量主设备作为重点”的国产化策略的必由之路。目前国内所有在建核电站的核安全级数字化保护系统全部依靠国外引进,已经形成了由国外厂商寡头垄断的局面。加强核电站安全级自主设计能力对于中国核电产业发展和核电站的安全运行具有重大意义,同时可大幅度降低数字化仪控系统设备的设计和运行维护费用。功能分配设计作为核电站安全级数字化保护系统设计的核心内容,我国尚未形成成熟的功能分配设计原则和方法。本文依据相关标准要求,给出了核电站安全级数字化保护系统功能设计的原则和方法,并结合一种典型的安全级数字化保护系统做了相关分析。
根据标准IEC61513要求,为了缓解故障发生时的影响,安全级数字化保护系统设计须充分考虑多样性及纵深防御设计,采用功能多样性和设备多样性,并综合考虑冗余配置及负荷均衡相关因素。
(1)功能多样性
• 停堆功能的多样性
为了确保停堆安全,符合单一故障准则,停堆保护系统重要保护功能需具有多样性,即同一保护功能对应多种监测方式,在数字化保护系统设计中,要将其分散到停堆保护通道不同的子系统中实现。
根据上述原则,对M310堆型中的停堆保护条件分配到反应堆停堆保护系统的两个不同的子系统中,分配示例如表1所示。
表1 停堆保护功能分配示例
• 专设功能的多样性
对于系统级的专设驱动功能严格按照上游文件的需求分配到停堆保护系统的两个功能子系统中,并分别通过独立的、隔离的点对点通信传输到专设安全驱动系统。
由于核电站安全级保护系统设计中,专设安全驱动系统A序列、B序列的结构已经考虑了功能分配的设计,且任一列均有自动和手动控制。分配到任一列的设备控制,在保证系统级专设驱动限制前提下,也做了必要的功能分配考虑,主要是从工艺系统故障安全角度考虑,将部分系统功能分散,尽量将功能相同的设备分开到不同的专设驱动功能子系统中,如主给水系统ARE和辅助给水系统ASG,需分配在两个不同的子系统中实现,以保证当一个子系统出现故障时,另一个子系统仍可以正常执行保护功能,保证给水的安全性等。
(2)设备多样性
设备多样性主要包括在后备控制盘台BUP、紧急控制盘台ECP上设置的部分硬手操器、硬开关以及停堆保护系统拒动ATWT系统。其中ATWT系统作为数字化保护系统的设备多样性,采用继电器影逻辑实现,在设备上保证了数字化保护系统停堆和专设驱动的多样性。
(3)重要功能的冗余配置
对于一些重要的但又不具有功能多样性的信号,要在两个子系统中同时实现。如反应堆手动停堆功能。同样,两个子系统都需要的反应堆停堆“允许信号”(即“P信号”)也要分别在两个子系统中实现。
(4)负荷均衡
不具有功能多样性的参数,原则上放入任何一个子系统均可,但考虑到停堆保护通道两个子系统的CPU负荷均衡,应该尽量均匀配置到两个子系统中。
安全级数字化保护系统的功能分配设计,除了满足核电站安全级的分配原则和要求外,还要从系统负荷率、系统响应时间、工艺接口优化、功能分散等几方面综合考虑。
(1)系统负荷率
在安全级数字化保护系统功能分配设计过程中,必须考虑数字化保护系统主控制器(CPU)周期运算处理过程中的负荷率。
在安全级数字化保护系统运算周期内,规定系统CPU的实际处理时间占用系统CPU设定运算周期的百分比,称为CPU负荷率。为了降低CPU负荷率,可通过降低系统CPU实际处理时间或提高CPU设定运算周期时间设定值实现。
安全级数字化保护系统执行功能越多,逻辑越复杂,则CPU实际处理时间相应增长,CPU负荷率相应提高。在保护系统实现逻辑功能确定的情况下,必须优化保护算法和数字化平台设置以减少CPU实际处理时间,从而降低CPU负荷率。在功能分配设计时,必须充分重视负荷率因素,合理进行功能分配设计,确保各个系统控制站负荷率均衡,保证系统单站负荷率满足客户提出的要求。
(2)系统响应时间
系统响应时间,是从现场传感器产生信号到数字化保护系统输出信号给停堆断路器或专设保护驱动设备所用的时间。在(1)中,为了保证系统负荷率符合要求,除了尽量降低CPU周期实际处理时间外,也可以通过提高CPU运行周期来降低负荷率。但从系统响应时间角度考虑,提高CPU运行周期必须限制在一定的范围内。对于单个数字化保护系统控制站,执行安全功能越多,逻辑越复杂,对应I/O点越多,则系统响应时间相应增长。在系统功能分配设计中,必须充分考虑系统响应时间因素,确保满足客户和标准要求。
(3)工艺接口优化原则
在安全级数字化保护系统功能分配设计过程中,必须遵循数字化保护系统站与站之间的接口优化原则,尽量减少保护站间的信号交换数量,以减小机柜内硬件数量和网络负荷,对减小系统响应时间和CPU运算负荷率有很大的意义。
例如对于ASG系统,由于系统内逻辑较为复杂,如果把ASG系统放在两个不同的控制站中实现,则必然会增加信号交换数量,因此在设计时,应将ASG系统逻辑在一个站内实现。
(4)功能分散原则
对于安全级数字化保护系统,在功能分配设计时,需要遵循功能分散原则。即不同但实现同一功能的参数或设备分配到不同的保护站内,当一个保护站发生故障时不会影响保护系统的保护和控制功能,从而增加数字化保护系统的可靠性,有效防御单一故障。例如专设系统保护设备的安全壳喷淋泵和喷淋阀分散在不同的专设安全驱动系统中,当一个保护站故障时不会导致喷淋系统误动。
核电站安全级数字化保护系统功能分配设计时,需要综合考虑以上因素。
本文以一种典型安全级系统架构为例,给出核电站安全级数字化保护系统功能分配设计过程依据和方法。
图1为一种典型的核电站安全级数字化保护系统架构,主要完成核电站安全级系统保护和设备控制功能,如反应堆停堆保护、专设安全设施驱动、事故后监测等。
由图1可知,核电站安全级数字化保护系统由以下几部分构成:
(1)反应堆停堆保护系统RTC:RTC由Ⅰ、Ⅱ、Ⅲ、Ⅳ 4组通道保护柜组成,通过“2/4”表决逻辑,完成反应堆紧急停堆功能;
图1 典型的安全级系统架构图
(2)专设安全驱动系统分为系统级专设保护驱动单元SAC和设备级专设保护驱动单元SMC,分别由A序列、B序列两列组成。SAC接受RTC发送来的信号进行“2/4”表决逻辑运算,生成系统级安全专设保护信号,SAC逻辑功能不是针对某一个具体的设备或系统,而是一批设备或系统。SMC是执行设备级专设功能,其逻辑功能是针对某一个具体的设备,而不是一批设备。SMC接收SAC来的系统级专设驱动信号并在SMC内部分配给相应的机柜,同时,SMC从其他系统接收驱动信号,包括安全操作显示单元SGC的手动安全操作信号,然后通过优先管理逻辑,由专用优选管理模块输出驱动信号至现场设备;
(3)堆芯冷却监视系统CCS分成A和B两列,其主要功能是对堆芯热电偶温度等信号的数据采集、处理、显示和数字计算机接口功能;
(4)模拟安全级相关单元SRC实现A序列安全相关模拟功能(B序列的安全相关模拟功能在堆芯冷却监视系统CCS的B序列机柜实现);
(5)安全操作显示单元SGC实现安全级功能的手动控制,同时,安全级设备状态在SGC显示。
核电站安全级数字化保护系统功能分配的依据是逻辑图(简称LD)、模拟图(简称AD)及数字化保护系统平台及其系统架构。其中上游LD、AD输入文件规定了数字化保护系统系统所要完成的功能,所有的功能分配设计都是在LD、AD等上游输入文件的基础上,参考具体的数字化保护系统平台及其系统架构来完成。
由图1典型的安全级系统结构图及其相应功能可知。
• AD中ASG系统、核仪表系统RPN、汽机旁路系统GCT等工艺系统中完成停堆功能的1E级模拟量传感器信号进入停堆保护系统RTC中作阈值处理,并进行“2/4”表决逻辑,根据表决逻辑的结果判断是否执行停堆动作;
• LD中与安全专设驱动相关的信号,根据其功能分配,其中系统级功能进入SAC,设备级功能进入SMC;
• 堆芯冷却监视系统CCS的数据来源主要有堆芯热电偶数据、冷端箱电阻温度计数据、一回路的压力信号、稳压器压力信号、主泵运行状态等,通过以上信息完成堆芯冷却监视功能。
• AD中安全相关功能信号,根据AD图纸信息,判断信号和逻辑所在序列,分别进入SRC和CCS系统B序列机柜;
由上可以得出反应堆数字化保护系统中核心的三个部分RTC、SAC、SMC三者之间的关系,即停堆保护与专设驱动保护之间的功能分配及信号流,如图2所示。
图2反映了停堆保护系统与专设驱动保护之间的的基本功能分配及安全级信号流关系:
• 安全级停堆相关的传感器信号进入停堆保护系统RTC相应的通道,并作阈值处理。处理后将本通道及其他通道中的运算结果,进行最终表决逻辑(“2/3”或“2/4”)运算,运算结果用于停堆保护输出动作,同时将结果通过点对点通信传送给SAC。另外需要进行PID控制的1E驱动设备在停堆保护系统RTC中控制;
• 各系统级的专设驱动保护顺序运算在SAC中实现,经逻辑处理后发出系统级设备保护驱动信号;根据LD可知,交流应急电源系统LHA、反应堆保护系统RPR为系统级保护驱动逻辑,所以在SAC中实现;
• 紧急控制盘ECP发出的紧急控制指令为系统级保护信号,其中停堆保护指令进入RTC,专设保护驱动指令进入SAC,如安全注入信号SI等。
• 对于数字化控制盘台、后备控制盘台、远程操作盘台之间的切换逻辑,由于切换结果将作用于所有安全级设备,所以切换逻辑在系统级专设保护单元SAC中实现。
• LD中除LHA、RPR以外的系统都是针对具体设备的系统驱动逻辑,在SMC中实现;
• 安全操作显示单元SGC发出的手动控制命令进入SMC执行设备级逻辑运算,最后通过优选管理板卡输出驱动现场设备。
图2 停堆保护与专设驱动保护功能分配及信号流
我国核电站安全级数字化保护系统设计处于起步阶段,其功能分配需求尚不完善,所以在进行安全级数字化仪控系统功能分配设计时,必须遵循安全级数字化保护系统设计原则,严格依据标准及客户需求,在保证满足功能分散及多样性设计基础上,优化功能分配设计,减少系统间耦合,保证各个子系统响应时间和负荷率满足要求,以取得更好的设计经济效益和运行效益,为我国核电建设创造良好的环境并积累丰富的设计经验。
[1]国家核安全局. HAF102: 核动力厂设计安全规定[S]. 2004.
[2]国家核安全局.HAD102: 核动力厂设计总的安全原则[S]. 1989.
[3]广东核电培训中心. 900MW压水堆核电站系统与设备(上册)[M]. 北京:原子能出版社, 2005, 286.
[4]IEC 61513 Nuclear Power Plant-Instrumentation and Control for System Important To Safety-General Requirement for System[S]. 2001.
[5]IEEE 603 IEEE Standard Criteria for Safety Systems for Nuclear Power Generating Stations[S]. 1998.