华龙一号保护系统架构研究

2020-01-06 08:27邳立鹏
仪器仪表用户 2020年1期
关键词:故障率反应堆逻辑

张 杰,孙 娜,邳立鹏,叶 琳

(华龙国际核电技术有限公司 电气仪控所,北京 100036)

反应堆保护系统是安全级的系统,是核电厂仪表控制系统的重要组成部分之一,其功能是保护3 道核安全屏障(即燃料包壳、一回路压力边界和安全壳)的完整性,防止或减轻放射性物质对周围环境的释放。当运行参数达到危及安全屏障完整性的阈值时,紧急停闭反应堆,必要时启动专设安全设施[1]。本文结合保护系统的相关设计原则,对保护通道逻辑进行了分析,提出了华龙一号的保护系统架构方案。

1 保护系统功能

保护系统包括:反应堆紧急停堆系统(RTS)和专设安全设施驱动系统(ESFAS)。执行FC1 级功能,采用F-SC1级DCS 设备实现,与控制系统具有设备多样性。

保护系统主要实现将核电厂从事故后带入可控状态所需的功能,如反应堆紧急停堆和专设安全设施驱动等保护功能,监测与反应堆安全有关的电厂变量,当变量达到或超过安全分析的相关阈值时,触发紧急停堆信号和专设安全设施动作,保护三大核安全屏障完整性,使电站达到可控状态。主要功能包括:

◇ 堆芯相关的保护。

◇ 二回路相关的保护。

◇ 保护功能的系统级手动触发。

◇ FC1 类的事故后参数采集(PAMS)。

2 保护系统设计原则分析

目前,有关数字化反应堆保护系统的国家和国际法规标准主要有:《HAD102/10 核电厂保护系统及有关设施》《GB/T 13284.1-2008 核电厂安全系统 第1 部分:设计准则》《GB/T 13629-2008 核电厂安全系统中数字计算机的适用准则》《GB/T 7163 核电厂安全系统的可靠性分析要求》《GB/T 9225 核电厂安全系统可靠性分析一般原则》等。归纳数字化保护系统设计遵循的主要设计原则如下:

1)单一故障准则

保护系统的设计应具有充分的冗余性,以满足系统的可靠性要求,确保在发生系统单一故障的情况下仍然可以执行安全功能。在具体的设计过程中,一般通过多重冗余序列的设计、相关的设备隔离等手段实现。

2)多样性

多样性原则主要考虑减少潜在共因故障发生的可能性,一般的多样性设计手段主要包括功能多样性、设备多样性、多样性手动控制等。

3)独立性

①安全系统内部各冗余部分之间应满足独立性要求。

②安全系统与设计基准事件影响之间,为缓解某一特定设计基准事件后果所需的安全系统设备,应与该设计基准事件的影响独立且实体隔离到必要程度,以满足该要求。设备质量鉴定是满足这一要求的一种可用方法。

③安全系统与其他系统之间应满足独立性要求[2]。

4)可靠性

保护系统的可靠性评价主要是参考安全故障率和非安全故障率两项指标。具体的可靠性分析要求和一般原则宜符合GB/T 7163、GB/T 9225 的规定。

5)试验和校准能力

定期试验是用来完成对系统安全功能的验证,严格来讲应在停堆和功率运行期间均可以进行试验,同时应满足在试验期间不妨碍保护系统正常地执行安全功能的能力。

6)可维护性

保护系统的设计应满足易于维护的要求,实现手段包括设计相关系统设备故障报警显示画面等,易于对故障设备和模块及时识别和定位。

3 保护通道N取M逻辑分析

为提高保护系统的安全可靠性,必须要对保护通道的传感器进行多冗余配置。参考保护系统设计原则分析章节中关于可靠性部分要求,主要考虑非安全故障率和安全故障率两个指标(其中,非安全故障率对应拒动率,安全故障率对应误动率)。假设单一通道的非安全故障率为P,安全故障率为Q,则N 取M 系统的非安全故障率约等于PN-M+1,安全故障率约等于,计算常见不同N 取M系统的故障概率,得N 取M 逻辑故障概率表见表1。

表1 N取M逻辑故障概率表Table 1 N takes the M logic failure probability table

表2 N取M逻辑故障概率量化分析表Table 2 N take M logic failure probability quantitative analysis table

实际计算中,因P、Q 均为远小于1 的系数,为便于比较分析结果此处令P=0.1,Q=0.1,代入公式整理后得量化分析表见表2。

根据表2 易知,当M 不变N 变大时,系统的非安全故障概率降低,安全故障概率升高;当N 不变M 变大时,非安全故障概率升高,安全故障概率降低。从工程经济学以及核电站维护检修的设计原则综合考虑,在保证安全性的前提下应尽可能提高系统的可用性。考虑在检修期间的保护通道逻辑降级(一般由N 取M 降级为N-1 取M),结合表2 的数据分析得出结论:在N=4 的判决系统中,M=2 的安全性(拒动率)优于M=3 的设计,同时在检修期间4 取2 的判决逻辑自动降级为3 取2,其安全性和可靠性依然良好可接受。本方案拟考虑采用N=4,M=2 的通道逻辑设计。

4 华龙一号保护系统架构方案

4.1 反应堆紧急停堆系统(RTS)

图1 RTS系统结构图Fig.1 RTS System structure

RTS 系统由四重冗余通道组成,每个独立通道均采集现场传感器信号,当一个通道测量信号超过设定值时,将产生用于进行局部逻辑表决的触发信号,同时通过点对点通信的通信方式将该局部触发信号送至其它3 个通道进行逻辑表决,当满足逻辑组合要求时发出停堆信号打开停堆断路器。保护系统共设计8 个共4 组停堆断路器,8 个停堆断路器组成2/4 逻辑,每个通道发出的停堆信号控制一组停堆断路器。

每个保护通道包含两个子系统Gr1 和Gr2,分别处理功能多样性的测量参数以防御共模故障,每个子系统均可触发反应堆紧急停堆,两个子系统通过硬接线逻辑“OR”连接。

4 个通道的DCS 设备位于不同防火分区的4 个房间,分别为安全厂房A、安全厂房B 和控制厂房中。系统结构图如图1 所示。

供电:4 个通道独立供电,分别由两路AC220V 供电。

◇ 单一故障准则

RTS 系统设计成为4 个冗余的独立通道,4 个冗余的独立通道电气上相互隔离,实体上是相互分隔。即使一个保护通道被维修或试验旁通,其他保护通道内部的任何单一故障都不会妨碍反应堆紧急停堆功能的触发和完成。

◇ 多样性

功能多样性:RTS 中针对每个设计基准事件的自动停堆功能尽量采用不同测量原理的变量进行触发,这些多样性的停堆功能分别在停堆通道的两个子系统中实现。实现功能多样性的两个子系统安装在不同的机柜,采用不同的控制器、I/O 模块和通讯组件,两者之间没有数据交换,保持独立性。

多样性手动停堆:通过主控制室紧急控制盘台(ECP)可以实现安全手动停堆。在ECP 上为各通道对应的停堆断路器设置一个停堆开关,并通过硬接线逻辑连接到停堆断路器的励磁线圈和失压线圈。另外,通过主控制室多样性控制盘台(DHP)可以实现多样性手动停堆。在DHP 上设置了一个停堆开关,并通过硬接线直接连接到棒控棒位系统(RGL)的棒电源柜,触发RGL 发出控制信号切断控制棒驱动机构的电源。即使停堆断路器出现故障不能打开,也可以实现停堆。

设备多样性:设计多样性驱动系统,用于应对RTS 软件共因故障叠加设计基准事故,采用多样化于RTS 系统的设备和技术。ATWT 缓解功能也在多样性驱动系统中实现。

◇ 独立性

实体分隔:4 个独立通道分别布置在不同防火分区的4个房间,满足实体分隔要求。

电气隔离:不同通道之间与非安全级系统之间的数据交换采用通讯和硬接线两种方式。对于通讯方式,采用光纤实现电气隔离;对于硬接线方式,可以采用继电器或隔离模块。

通信隔离:4 个通道间通信采用点对点通信方式,发送方与接收方的功能不会因对方异常而受到干扰,RTS 向非安全级系统传送的报警、监视等信息通过单向通信方式,实现安全级向非安全级的单向传输,定周期发送固定格式数据。另外,安全功能处理器与通信控制器独立,并异步工作,通信故障不会影响安全功能。

4.2 专设安全设施驱动系统(ESFAS)

ESFAS 系统根据工艺系统配置由两个序列TRAIN A 和TRAIN B 组成,接收RTS 系统发出的专设驱动信号,实现专设安全设施驱动及支持性系统的控制,并将相关参数、报警信号等通过网络传送至主控室进行指示。

专设自动控制指令与ECP 的系统级手动指令进行或逻辑,产生用于控制专设安全设施的系统级控制指令,通过硬接线输出到优先级逻辑处理机柜进行输出驱动。

OWP 中SVDU 通过FC1 级网络通信与ESFAS 进行数据交互。

优选逻辑处理模块(PPL)作为保护系统与驱动器的接口,主要完成的功能为指令优先级管理,接收来自不同系统的控制指令,完成优先级处理后传递给现场设备。这些指令来自于保护系统、控制系统、安全自动化系统、多样性驱动系统、严重事故处理系统等。与ESFAS 一样为AB 列配置,完成FC1 级功能,采用F-SC1 级设备实现,为避免PPL 受软件共因故障影响,采用多样化与保护系统的技术实现。

ESFAS 和PPL 由DCS 实现,通常设计为得电动作以防误动作。两个序列设备位于不同防火分区的房间,分别位于安全厂房A 和B。系统结构图如图2 所示。

供电:两个序列独立供电,由两路AC220 供电,且与RTS 供电电源保持独立。

图2 ESFAS系统结构图Fig.2 ESFAS system structure

◇ 单一故障准则

ESFAS 系统根据工艺系统配置设计成两个独立序列,两个独立的序列在电气上相互隔离,在实体上相互分隔,任何单一故障都不会妨碍专设功能的触发和完成。

◇ 多样性

功能多样性:尽量采用不同测量原理的变量进行触发,这些多样性的停堆功能分别在停堆通道的两个子系统中实现。实现功能多样性的两个子系统安装在不同的机柜,采用不同的控制器、I/O 模块和通讯组件,两者之间没有数据交换,保持独立性。

多样性手动驱动:主控室DHP 盘台上设置有系统级专设驱动开关,可通过多样性驱动系统DAS 系统实现多样化手动专设触发。

设备多样性:DAS 系统内具有应对ESFAS 软件共因故障的功能。

◇ 独立性

实体分隔:两个序列分别布置在不同防火分区的两个房间,满足实体分隔要求。

电气隔离:与非安全级系统之间的数据交换采用通讯和硬接线两种方式。对于通讯方式,采用光纤实现电气隔离;对于硬接线方式,可以采用继电器或隔离模块。

通信隔离:RTS 发送到ESFAS 的驱动信号采用点对点通信方式,发送方与接收方的功能不会因对方异常而受到干扰,ESFAS 向非安全级系统传送的报警、监视等信息通过单向通信方式,实现安全级向非安全级的单向传输,定周期发送固定格式数据。另外,安全功能处理器与通信控制器独立,并异步工作,通信故障不会影响安全功能。

5 结束语

本文以反应堆保护系统的相关法规标准为基础,归纳总结了反应堆保护系统的相关重要设计原则,对保护系统的功能和系统分级进行了概括,并简要比较分析了保护系统通道逻辑的不同N 取M 情况下,安全故障率和非安全故障率的可靠性指标,提出了华龙一号保护系统的架构方案。后续针对华龙一号的保护系统的架构设计进行进一步的可靠性定性和定量的分析计算。本文对国内三代核电站保护系统的设计具有一定参考意义。

猜你喜欢
故障率反应堆逻辑
刑事印证证明准确达成的逻辑反思
VVER机组反应堆压力容器中子输运计算程序系统的验证
逻辑
创新的逻辑
通过控制策略的改进降低广五直线电机的故障率
虚拟反应堆
——数字反应堆
女人买买买的神逻辑
探索零故障率的LED智能显示终端
反应堆压力容器螺栓预紧数据智能化处理系统的设计
浅析如何提高TEG发电机运行效率以降低设备故障率