基于dcs的核电保护系统的设计与应用

基于dcs的核电保护系统的设计与应用

利用能核发电是人类科技的进步。然而，由于核物质的隐性，原子能发电的安全是人类社会最重要的事件。美国的三里岛事件、前苏联的切尔诺-贝利核事故以及日本最近发生的岛岛核事故给我们留下了深刻的教训。核电站的保护系统担负着保证核电站安全的重要使命,随着数字化控制技术在核电站保护系统中的应用,使核电站运行的效率和可用性得到了很大提高。因为保护系统是保证核安全的关键环节,保护系统的设计须满足相关法规、标准要求。本文分析了法规、标准提出的设计要求,并对国内常用的M310堆型设计了一套保护系统的原型系统。1安全设施驱动系统核电站仪控系统的整体结构如图1所示,在现场控制层主要由保护系统和控制系统(包括反应堆控制系统、汽机控制系统、电气控制系统)组成。保护系统主要包括,紧急停堆系统(RTS)和专设安全设施驱动系统(ESFAS)。核电站正常运行时,是由控制系统进行控制,使电站工况均保持在运行限值内。一旦电厂工况超越了运行限值,则需要由保护系统中的RTS触发执行机构使反应堆紧急停堆,以避免电厂工况再超越安全限值。当出现事故工况时,则需要保护系统中的ESFAS驱动电站专设安全设施减轻事故后果,排出反应堆堆芯热量,并防止放射性物质向环境大量排放。2设计原则2.1单一故障单一故障准则,即要求保护系统中任何部分发生单一故障及由单一故障引起的所有故障,都不能影响保护系统实现安全功能。在单一故障分析中,不考虑发生一个以上的随机故障。2.2不同部件或系统的功能差异冗余性,即设置另外一个或多个(相同的或不同的)部件或系统,其中任何一个都能执行所要求的功能。它是为满足单一故障准则的必要条件,也是提高系统可靠性的一个重要手段。2.3独立性独立性是防止故障影响进行传播的有效方法。在安全系统内部各冗余部分之间、安全系统与其他系统之间,均须满足独立性要求。2.4纵向防御和多样性设计为了防止发生共因故障(CCF)而造成保护系统功能丧失,需要进行纵深防御和多样性设计。例如基于微处理器的数字化系统,有发生软件CCF的风险。2.4.1自动停堆系统和安全设施驱动系统在美国NRC用于核安全审查的详细技术见解BTP7-19中提出了四层防御梯度:(1)控制系统-控制电站保持在安全运行范围内,避免产生触发保护系统的工况。(2)反应堆停堆系统(RTS)-当电站发生不可控的工况偏移时,进行自动紧急停堆以快速降低反应堆的反应性。(3)专设安全设施驱动系统(ESFAS)-当电站出现事故工况时,驱动专设安全设施,包括余热排出、维持三道物理屏障的完整性(燃料包壳,压力容器,安全壳)防止放射性泄露等功能。(4)监视和显示系统-监视和显示系统包括传感器,数据通信系统,和操作员手动控制需要的反应堆工况显示。2.4.2减少ccf的设计多样性是为实现同一个保护功能而采用不同的原理、方式、方法或设备进行设计,以消除或减少共有属性而避免CCF或降低发生CCF的概率。常用的多样性手段有,信号多样性、功能多样性和设备多样性等。2.5返回障碍安全故障安全,即系统发生任何故障时仍能使之保持在安全状态。例如停堆断路器正常为带电保持状态,失电便会触发停堆。3原型系统的设计以M310堆型作为应用对象,基于上述设计准则,并力争实现更高的可靠性,设计了如图2所示的保护系统的原型系统架构。3.1智能控制系统(1)RTS设计为四重冗余保护通道(IP~IVP),每个保护通道有2个功能多样性子系统(Gr1、Gr2)。因为停堆断路器为“带电保持”,两个子系统的停堆用继电器触点进行串联后控制停堆断路器,所以任一个子系统都能独立控制反应堆停堆;各子系统控制器均为热、备冗余配置,正常由主控制器控制,故障后能无扰切换到备控制器控制;四个保护通道及不同子系统都分布在不同的机柜,实现实体分隔;每个保护通道都独立控制一组停堆断路器,四组停堆断路器构成2oo4结构控制控制棒的电源通断。(2)ESFAS设计为冗余A、B两列,每列有自动控制站和手动控制站。自动控制站主要接收RTS的专设安全设施系统级驱动信号(如“安全注入”)并进行2oo4表决后实现对一组专设安全设施的自动驱动控制。手动控制站,主要由触摸屏式安全操作显示单元(S-VDU)进行对单个专设安全设备进行手动控制。自动和手动控制站的控制器均采用热、备冗余配置,控制输出连接到优选驱动模块实现设备的驱动。(3)DAS作为数字化保护系统的多样性驱动系统,可以是非安全级,不须满足单一故障准则,所以只设计有一套控制装置,为了有效防止DCS软件CCF,DAS系统不基于微处理器,而是采用传统的模拟技术来实现控制功能。为了提高可靠性,尤其是防止误动作,控制器采用并行冗余设计,控制结果进行2oo2表决产生驱动信号。DAS主要用于执行ATWT(AnticipatedTransientsWithoutTrip)的功能,它的输出连接CRDM(ControlRodDriveMechanism)控制反应堆停堆,与优选驱动模块连接驱动部分专设安全设施(启动辅助给水系统、关停汽机等)。(4)优选驱动模块,作为保护系统控制现场设备的终端接口,设计安装在独立机柜,且A、B列分布在不同的机柜。它除接收自动、手动ESFAS(DCS)的控制信号外,还接收系统级、设备级手操器及DAS的控制信号,对接收的所有信号进行优先级处理后,驱动现场设备。(5)监督控制层按A、B列进行冗余设计,RTS的IP、IIIP对应A列,IIP、IVP对应B列。在监督控制层的A、B列各有一个手动紧急停堆控制开关可不经由DCS,直接控制停堆断路器断开,A列开关控制IP、IIIP的停堆断路器,B列开关控制IIP、IVP的停堆断路器,因为现场停堆断路器是2oo4结构,所以任何一个开关都能实现停堆;系统级手操器,可进行系统级专设安全设施的驱动,各系统级控制—安全注入、安全喷淋、安全壳隔离等分别对应有独立的操作开关;设备级手操器,可对单个专设安全设施进行驱动,为了避免数量过大造成控制复杂,主要设计了用于反应堆停堆后,可将反应堆带向稳定冷停堆状态的必要操作。S-VDU是通过DCS实现设备的手动控制,可对所有专设安全设施进行控制,操作界面采用最简捷设计,只有现场设备状态反馈、启停控制和操作时必要的参数指示。P-VDU用于显示所有PAMS参数、安全相关报警以及对现场工况监视。另外设计有PAMS-I类信号模拟仪表和硬接线安全状态指示灯,是直接从现场传感器接入,而不经由DCS处理。3.2通信设计3.2.1接收侧隔离isoRTS四个保护通道间,以及RTS与ESFAS间设计采用单向“点对点”光纤通信,且不需要“握手信号”,以提高通信可靠性。图3为RTS四个保护通道间的“点对点”通信连接示意图。另外,保护通道的两个功能多样性子系统间(Gr1、Gr2)没有通信连接;RTS向ESFAS单向传递数据,而不能从ESFAS向RTS传递数据,以保证更可靠的实现自动保护功能。为了防止通信时故障的传递,在接收侧进行隔离(ISO)设计,如图4所示,利用光纤通信的特性,可以实现实体分隔和电气隔离;在信号接收侧设计一个独立于控制器的通信模块,其内部设置双口存储器实现数据接收和由CPU读取,并且采用异步通信方式,以实现CPU与外部的通信隔离。3.2.2ip及esfas-a应用环网a系统自动化层与监督控制层间,通过A、B两个环网进行通信,RTS-IP、IIIP及ESFAS-A应用环网A;RTS-IIP、IVP及ESFAS-B应用环网B。环网结构如图5所示,采用弹性分组环(RPR)技术的双环(内环和外环)结构:每对节点之间都有两条路径,实现通信冗余,保证了高可用性。3.2.3保护系统的安全隔离(1)保护系统信号参与控制系统的设备控制时,为了保证更高的可靠性不应用通信,采用硬接线进行连接,并在保护系统一侧通过隔离模块(模拟量信号用)或继电器(开关量信号用)进行电气隔离处理。(2)保护系统信号只是在控制系统中用于显示或报警处理时,通过A、B列安全级环网经由网关(GW)隔离后,再传递到控制系统(NC-DCS)。为了保证保护系统安全可靠,不能从控制系统向保护系统进行通信传递。4设计与分析4.1深度防御和多样性分析4.1.1深度防御分析关于纵深防御的防御梯形及其对应的控制装置的矩阵关系如表1所示。表1I&C防御梯形(1)自动停堆和自动驱动控制系统用于阻止反应堆向不安全运行状态偏移,由非安全级DCS实现,与保护系统通过网关隔离。由安全级DCS实现,另外非安全级模拟系统的DAS也能实现自动紧急停堆。硬接线手操器可实现手动停堆。由安全级DCS实现,另外DAS也能实现对部分专设安全设施自动驱动。硬接线手操器可实现系统级和设备级手动驱动。(4)cs单向传递信号非安全级DCS的监视和显示系统可显示整个电站所有的运行参数。保护系统通过网关向非安全级DCS单向传递信号,可在非安全级的监视和显示系统显示安全级参数或报警。另外,保护系统的参数和报警可在P-VDU显示,设备状态可在S-VDU显示,PAMS-I类信号及一些重要的安全参数可通过硬接线模拟仪表直接从现场获取,可用于操作员进行手动保护控制时的参照。4.1.2传感器探测信号的影响信号多样性是指为了应对同一个预期运行事件(AOO),应用两个多样性的信号,例如基于不同物理效应的传感器探测信号,来实现反应堆停堆保护。例:一回路超压保护,可通过探测稳压器压力(高)或水位(高)来进行判断。RTS各保护通道的两个子系统可分别对应实现信号多样性。(2)功能特点及逻辑采用信号多样性设计的同时,基本都对应了功能多样性的实现,例如压力信号的处理与水位信号的处理须采用不同的功能算法及逻辑实现。所以RTS两个子系统可对应实现功能多样性。(3)ccf风险的消除RTS和ESFAS的控制站均是基于DCS系统,是基于微处理器并运行软件的设计,所以有发生软件CCF的风险,即使有严格的质保程序和V&V手段,也只能降低而不可能完全消除这种风险。而DAS是基于模拟技术设计的,另外模拟显示仪表、硬接线手操器以及优选驱动模块均与软件无关,也可实现所有的保护功能,所以是相对于DCS的多样性设计方案。(4)土-vd/硬焊接手操器所有保护功能除可由DCS进行自动控制实现外,还均可以通过S-VDU或硬接线手操器进行手动控制,并且是应用与自动控制DCS所不同的控制器和信号路径实现。所以,手动操作可作为自动控制的多样性。(5)das对crdas停堆保护四个保护通道通过控制停堆断路器实现反应堆停堆,而DAS通过控制CRDM实现停堆,体现了对停堆保护的设备多样性。在监督控制层,有S-VDU和硬接线手操器两种操作装置,是手动驱动的设备多样性。4.2共因故障是满足单一故障准则的情况对原型系统进行的FM