国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

文獻標識碼：B文章編號：1003-0492（2024）09-084-04中圖分類號：TP273

★杜德君，盛夢月（中國核電工程有限公司，北京100840）

關鍵詞：縱深防御；核安全；防御線；多樣化

縱深防御概念誕生于20世紀40年代第一批生產核武器材料钚的軍用生產堆的建造過程當中。雖然物理學家們認為無需在建造中再考慮其他影響安全的不利因素，但漢福特B生產堆承包商杜邦公司的化學工程師根據建造運行化工廠積累的經驗，堅持認為應考慮必要的不確定性，為此將反應堆分割成一個個更小且相對獨立的子系統，防止一個子系統的故障波及到另外的子系統，同時在重要系統和部件的建造和安裝過程中有意識地留有安全裕度。而漢福特B生產堆運行過程中發生的意外自動停堆事件進一步證明了這種設計的重要性。這種經驗在后續的核電廠建設過程中被廣泛借鑒。

縱深防御概念延續至今，其已經成為核安全理論中的重要基石，貫穿于安全有關全部活動當中，包括組織、行為、設計和設備等各方面，以保證這些活動均置于重疊措施的防御之下。核電廠的縱深防御設計是防止和減輕事故后果的主要手段，縱深防御主要通過將一些連續和獨立的防護層結合起來加以實施，并且在人員或環境可能受到有害影響的時候，這些防護層必須不能失效。如果某一層防護或屏障失效，后續防護層或屏障就應發揮作用。在實施的當時，縱深防御能夠確保任何單一的技術故障、人為或組織失誤都不會導致有害影響，并確?？赡芤鹬匾泻τ绊懙寞B加故障概率非常低。不同防護層的獨立效能是縱深防御的一個必要組成部分。

1  儀控縱深防御要求

HAD102/10-2021《核動力廠儀表和控制系統設計》給出了縱深防御理念在儀控系統設計基準中的要求，主要包括：

（1）2.3.5.4節（3），縱深防御和多樣化：縱深防御和多樣化分析是審查安全系統共因故障弱點的手段之一；

（2）3.1.6節，分配到儀控系統的功能包括，在不同運行狀態模式以及事故工況下，為運行核動力廠提供相關信息和控制的能力。這些功能的目標與縱深防御理念相一致：

?防止偏離正常運行；

?檢測故障并控制異常運行；

?控制核動力廠設計基準以內的事故；

?控制設計擴展工況的后果；

?緩解事故的放射性后果。

（3）4.1.6節，儀控系統的總體結構不應違背核動力廠設計的縱深防御理念和多樣性策略；

（4）4.1.7節，儀控系統的總體結構應明確自身的縱深防御理念和多樣性策略；

（5）4.1.8節，在儀控總體結構設計中，還應確定支持核動力廠縱深防御和多樣性不同層級的儀控系統間的獨立性水平；

（6）4.1.9節，儀控總體結構內的縱深防御通過各條獨立的防御線來實現，一條防御線的失效可以由下一條防御線彌補；（7）9.4.19節，應采取預防措施以避免因使用相同的軟件（例如操作系統、網絡通信軟件或其他運行支持軟件）導致各層縱深防御所需系統之間的獨立性破壞。

2　先進核電廠儀控系統縱深防御設計

基于HAD102/10-2021的相關要求，同時滿足本堆型依據HAF102-2016《動力廠設計安全規定》確定的核電廠總體縱深防御策略，本研究制定了先進核電廠儀控系統的縱深防御方案：

（1）儀控系統縱深防御第1層次，由電廠運行控制系統在正常運行工況完成電廠主要監控任務；

（2）儀控系統縱深防御第2層次，應對預計運行事件（AOO）。由保護和安全監測系統中的緊急停堆子系統保證相關重要參數的偏離達到設定的閾值時停堆，將機組帶入安全狀態；

（3）儀控系統縱深防御第3層次，應對設計基準事故（DBA）。由保護和安全監測系統中的專設驅動子系統觸發執行安全功能，防止事故進一步發展造成堆芯損傷或需要采取場外干預措施的放射性釋放，并保證機組重回安全狀態；

（4）儀控系統縱深防御第4層次，應對設計擴展工況（DEC）。由多樣化驅動系統（DAS）應對保護和安全監測系統共因故障，由嚴重事故監測和控制系統實現嚴重事故預防和緩解功能；

（5）儀控系統縱深防御第5層次，由應急輔助決策系統提供事故數據分析及評價，為應急指揮人員提供輔助決策。

相較于M310機型，先進核電廠儀控系統的5層縱深防御設計準則，僅第4層次的設計要求變化較大。本文將主要介紹此防御層次的設計過程及方案。

3　多樣化驅動系統設計

3.1　多樣化驅動系統功能需求

美國核管會安全評審技術見解BTP7-19，明確提出了核電廠建造和運行申請者應對核電廠儀控系統進行完整的縱深防御評估，對安全分析報告中的每個事件進行分析（最佳估算方法），當某一故障模式會導致主保護系統安全功能喪失時，必須提供適當的備用控制手段。這種控制手段包括自動控制和手段控制，且必須與主保護系統具有充分的多樣性。根據這一基于確定論的原則，通過如下流程確定先進核電廠的DAS功能需求：

（1）根據多樣性和縱深防御（D3）原則，采用“最佳估算”的方法對先進核電廠安全分析報告第15章中列出的不同的事故進行分析，假定數字化的保護和安全監測系統由于軟件共模故障不能執行相應的安全功能，確定儀控系統應具備的、能夠使反應堆達到安全停堆狀態的后備保護功能。

（2）后備保護功能包括自動保護、系統級手動保護和監視、部件級手動控制和監視。其中系統級自動后備保護功能由DAS系統實現，系統級手動保護功能由旁通數字化保護和安全監測的緊急操作盤（ECP）實現，部件級手動控制功能由非安全級DCS操縱員工作站實現。自動和手動后備保護功能的劃分以操縱員能夠做出正確的判定并進行人為干預的時間（緊急停堆為10分鐘，專設安全動作為30分鐘）為界。

（3）ATWT功能用于應對由于共因故障引起的控制棒不能插入堆芯未能實現緊急停堆的預期瞬變。ATWT功能的分析雖然與針對數字化保護和安全監測軟件共模所采用的D3分析方法不同，但對于系統設計、設備設計的要求一致，因此統一納入DAS系統實現。

先進核電廠的DAS系統設計基本流程如圖1所示。

圖1 DAS系統設計基本流程

基于此流程，確定多樣化驅動系統的功能需求，并完成功能分配:

（1）脫扣功能：緊急停堆、汽機剎車；

（2）啟動輔助給水；

（3）停閉反應堆冷卻劑泵；

（4）啟動應急硼注入；

（5）主給水隔離；

（6）主蒸汽管線隔離；

（7）啟動安注等。

3.2　多樣化驅動系統設計

按照NUREG/CR6303的要求，從設計多樣性、設備多樣性、軟件多樣化、功能多樣化、信號多樣化和人員多樣化六個方面出發，確保DAS系統與主保護系統（不包括優先級控制模塊PLM部分）的多樣性。針對每一個多樣化要求，可以采用多個方法來實現：

（1）設計多樣性方法

?不同的技術；

?同一技術的不同方法；

?不同的架構。

（2）設備多樣化方法

?不同設計原理的不同制造商；

?不同設計原理的同一制造商；

?采用相同設計的不同制造商。

（3）軟件多樣性方法

?不同的算法、邏輯和程序架構；

?不同的時序、執行順序；

?不同的操作系統；

?不同的計算機語言。

（4）功能多樣化方法

?不同的基本機制（插棒與硼化）；

?不同的目標、功能、控制邏輯或驅動方法。

（5）信號多樣化方法

?不同物理感應原理測量不同的反應堆或工藝參數；

?同一物理感應原理測量不同的反應堆或工藝參數；

?一組冗余的相似傳感器測量相同的反應堆或工藝參數。

（6）人員多樣化方法

?不同的設計公司；

?同一公司內不同的工程管理團隊；

?不同的設計師、工程師或程序員。

基于多樣化驅動系統的工藝條件輸入，以及電氣隔離、通信獨立性、多樣化的要求，明確其與其他儀控間的接口，包括：

（1）硬接線接口：DAS系統從堆外核測系統接收模擬量信號和開關量信號；從保護和安全監測系統的隔離分配機柜接收工藝測量信號，以及系統生成的緊急停堆信號和汽機剎車信號，并通過硬接線反向回送用于“緊急停堆信號”試驗的試驗反饋信號；DAS系統的控制輸出信號送往PLM，用于控制相關系統的驅動器；DAS系統采集來自停堆斷路器盤（RTB）的停堆斷路器狀態信號以產生P4信號；DAS系統產生的停堆信號，送往棒控棒位系統的棒控電源柜以實現與保護和安全監測系統的多樣化停堆功能；汽輪機跳閘信號，通過硬接線送到汽輪機保護系統；汽輪機旁路系統第3組閥門關閉信號、應急硼注入系統的觸發信號，DAS通過硬接線送往對應的系統；來自后備盤（BUP）的閉鎖信號和復位信號以及送往BUP的信號指示燈均通過硬接線傳輸。

（2）網絡接口：DAS系統通過網絡將用于顯示和報警的信號送到電廠計算機信息和控制系統（IIC），并通過網絡接收來自IIC的閉鎖和復位信號。

3.3　多樣化驅動系統架構

基于多樣化驅動系統的功能需求，與其他儀控系統的接口，以及人機接口的設計，完成多樣化驅動系統的架構設計，如圖2所示。

圖2 多樣化驅動系統構架

為了驗證系統的性能要求，建立多樣化驅動系統的仿真驗證模型，其與堆芯物理模型建立接口，用以驗證基于制造商平臺的設備特性確定的系統精度、響應時間是否滿足設計基準事故疊加保護和安全監測系統共因故障后，事故緩解及處理后果要求。

針對多樣化自動保護整定值的設定，既要考慮核電廠事故的干預及時性，又要保證保護和安全監測系統在功能正常的情況下可以先動作，且多樣化驅動系統不再重復保護動作的驅動。基于此要求，本研究在初步設計階段采用了兩種方案：一種是與保護和安全監測系統的保護整定值一致，在驅動指令發出前加一定的時間延遲；另一種是在保護和安全監測系統的保護定值基礎上增加一定安全裕度，并考慮儀表和控制系統的精度和響應時間。將兩種方案的設計結果帶入到仿真模型開展驗證工作后，確定最終的整定值方案。

4　嚴重事故監測和控制系統設計

先進核電廠采用能動和非能動相結合的安全系統設計理念，對于全廠斷電等設計擴展工況（包括嚴重事故）的預防和緩解方面進行了較為完善的考慮，設置了能動與非能動相結合的堆腔注水冷卻方案、非能動安全殼熱量導出系統、二次側非能動余熱排出系統、非能動氫氣復合系統、用于嚴重事故的安全殼氫氣監測系統等。嚴重事故監測和控制系統用以實現嚴重事故預防和緩解功能的監測和控制。

基于嚴重事故監測和控制系統的工藝條件輸入，以及電氣隔離、通信獨立性的要求，明確其與其他儀控間的接口。同時，基于其72小時不間斷供電要求，以及蓄電池容量有限的條件，確定了傳感器信號采集路徑、部分優先級控制模塊，以及后備盤設置專門區域進行監測和控制功能的供電方案，完成嚴重事故監測和控制系統的架構設計，如圖3所示。

圖3 嚴重事故監測和控制系統架構圖

通過設置能動與非能動相結合的工藝系統和嚴重事故監測和控制系統，先進核電廠提供了嚴重事故監測和控制功能，降低了堆芯損壞的概率，并實現了可能導致早期放射性釋放或者大量放射性釋放的事件序列被實際消除的目標。

5　結論

先進核電廠的儀控系統設計，在保證其他縱深防御層次完整性的前提下，針對第4層開展了完整的功能分析和結構設計工作，保證在第3層次縱深防御失效的情況下，能夠控制事故進展和減輕事故后果，實現了設置該防御層的目的。另外，多樣化驅動系統、嚴重事故監測和控制系統的設計覆蓋了上游專業對設計擴展工況下工藝設備的監控需求，且滿足標準法規的要求。

作者簡介：

杜德君（1977-），男，吉林公主嶺人，高級工程師，碩士，現就職于中國核電工程有限公司，主要從事核電廠儀表和控制系統方面的研究。

參考文獻：

 [1] HAF 102-2016, 核動力廠設計安全規定[S].

[2] HAD 102/10-2021, 核動力廠儀表和控制系統設計[S].

 [3] GB/T 13284.1-2008, 核電廠安全系統 第一部分: 設計準則[S].

[4] NB/T 20068-2021, 核電廠安全重要儀表和控制系統應對共因故障的要求[S].

[5] U.S NUCLEAR REGULATORY COMMISSION. Guidance for Evaluation of Defense In Depth and Diversity to Address Common-Cause Failure Due to Latent Design Defects In Digital Safety System: Branch Technical Position 7-19 Revision 8 – 2021.

[6] U.S. NUCLEAR REGULATORY COMMISSION. Guidance for Evaluation of Defense In Depth and Diversity to Address Common-Cause Failure Due to Latent Design Defects In Digital Safety System: Branch Technical Position 7-19 Revision 8 – 2021.

[7] U.S. NUCLEAR REGULATORY COMMISSION. Method for Performing Diversity and Defense-in-Depth Analyses of Reactor Protection Systems: NUREG/CR-6303. G.G.Preckshot.1994.

摘自《自動化博覽》2024年9月刊