技术文章

核电站反应堆保护系统架构分析

来源:仪表网

2011/4/15 8:57:04 2722
  引言
  
  核电站仪控系统在高可靠性、高可用性和高安全性等方面的要求,使得核电站数字化控制保护技术成为当代控制系统发展的技术前沿。反应堆保护系统包括紧急停堆系统和专设安全设施驱动系统。反应堆保护系统监测与反应堆安全有关的参数。当这些参数超过预设的保护定值时,反应堆保护系统自动触发紧急停堆并启动相应的专设安全设施,以限制事故的发展,减轻事故后果,防止放射性物质向周围环境释放,保证设备和人员的安全。经过几年的发展和研究,国外科研机构和厂商在保护系统的架构设计方面也形成了不同的风格。本文以IEC-61508和IEC-61513标准为依据,从安全完整性等级的角度描述并分析了不同的安全相关结构和保护系统架构的特点。
  
  一、安全标准IEC-61508
  
  IEC-1508是电工委员会于2000年颁布的《电气/电子/可编程电子安全相关系统的功能安全》标准。该标准针对所有由电气/电子/可编程电子部件构成的安全相关系统,目的是避免和控制系统性错误和随机错误,对危险性的失效进行定量的分析,并针对系统和产品的错误避免、故障控制和文件给出有效的技术和措施。为了实现安全目标,标准提出了安全完整性的概念。安全完整性是指在规定的条件下、规定的时间内,安全相关系统成功实现所要求的安全功能的概率。IEC-61508规定了四个安全完整性等级SIL(safetyintegritylevel),即在确定了被控装置可能存在的风险后,必须采用相应等级的安全系统,把风险降低到可接受的范围内。对于安全完整性等级的确定,IEC-61508标准分别给出了定量和定性的方法。
  
  二、安全相关结构
  
  根据上述标准,安全完整性分为硬件安全完整性和系统安全完整性两部分。
  
  ①硬件安全完整性:这部分安全完整性与在危险的失效模式下的随机硬件失效有关。硬件安全完整性规定等级可在一个合理的水平下估计,并将其要求用组合概率的通用法规在子系统中进行分配,一般需要使用冗余结构来达到足够的硬件安全完整性。
  
  ②系统安全完整性:这部分安全完整性与在危险的失效模式下的系统失效有关。尽管与系统失效有关的平均失效率可以估计,但从设计失效和共同原因失效获得的失效数据即失效的分布难以预计。这样便增加了特定情况下失效概率计算的不确定性,因此,需要做出选择*技术的判定,将不确定性zui小化。
  
  提高硬件安全完整性的手段包括冗余和诊断。根据冗余通道的介质情况,提高安全性的冗余又可分为同质冗余(homogenousredundancy)和多样性冗余(diverseredundancy)。
  
  同质冗余可以控制随机性故障,但却不能控制系统性故障,冗余通道容易犯同样的错误。多样性冗余除了可以控制随机性故障外,还可以控制系统性故障。
  
  多样性冗余在硬件上要求电路原理不同、器件和技术不同、制造过程和生产工厂不同,在软件上要求编程语言不同、算法和程序员不同等。通过功能多样性和设备多样性来避免共模故障是仪控设计的基本原则之一,如核电站常规岛排污坑水泵系统,通常根据需要采用一用二备、二用二备或者三用一备。当正在运行的设备出现故障时,备用设备会自动投入使用。这种方法主要针对设备失效而不关注设备的输出是否正常和安全,可认为这种冗余提高了系统的可靠性。在核电站常规岛高/低压加热器系统中,需实时监控高刃低压加热器的水位,对此往往采取在一个测点周围布置多个传感器的方法,此时关注水位的测量值是否属实,可认为这种冗余提高了系统的安全性。
  
  总体上,常见的冗余结构包括单通道系统1oo1(KooN表示N个通道里面取K个)叫,双通道系统1OO2、2OO2和三通道系统1OO3、2OO3。在实际应用时,往往每个通道会附有自诊断措施。该措施可帮助系统自动识别故障部件、类型和原因,增加系统的安全性。附加了诊断措施后的每种类型又可衍生出一种新的“带诊断”的体系结构,即:IOO1D、lOO2D、2oo2D、loo3D、2oo3D和2oo4D。
  
  目前,符合IEC-61508标准并获得TUVSIL3等级认证的安全相关结构有以下三种。
  
  ①双重冗余容错*自诊断结构loo2D
  
  双通道系统有两种:1oo2和2oo2。1oo2提供更好的可靠性,两个输出逻辑中任意一个有输出,则系统就有输出。相比1oo2,2oo2结构可提供更好的安全性,其输出被同时考虑,即只有两个输出相同时才会产生有效的输出。1oo2D是改进的双通道系统,其诊断电路可以发现故障和错误,将危险失效转化为安全失效,所以loo2D具备更高的安全性。该结构可应用于系统的硬件结构设计。
  
  ②三重化表决结构2oo3
  
  2oo3模式采用三取二表决方式,如三个CPU中若有一个运算结果与其他两个不同,即表示该CPU故障,然后进行切除,其他两个继续工作。当其他两个CPU运算结果再出现不同时,则无法表决出哪一个正确,系统停运。该结构常应用于逻辑符合,三个通道中至少有两个通道逻辑判断为真时,zui后的逻辑运算结果才为真。
  
  ③四重化冗余容错*自诊断结构2oo4D
  
  四个通道分成两对,即同时工作又相对独立。当其中一对通道诊断出故障时,则该对通道切除,剩下的一对通道以1oo2D继续工作,这对独立通道仍满足安全等级SIL3要求,当这对通道其中一个出现故障时,系统停运。该结构常应用于逻辑符合,四个逻辑通道中至少有两个通道逻辑判断为真时,zui后的逻辑运算结果才为真。2oo4D考虑安全性的同时也保证了可靠性,与1oo2D相比,2oo4D并未提高安全性,而只是提高了可靠性。
  
  不同于1oo2D,2oo3主要使用比较技术来保障安全性,其本身的可靠性并不高,因为只有三个通道同时有效才能保证系统安全性,一旦有通道故障,系统的安全性自动降级。从可靠性角度上讲,2oo3系统不如2oo4D系统,而两者所能达到的安全性基本相同。可以弥补2oo3系统可靠性不足的措施是在线替换,即三个主控制器相互独立,如果有一个出错则在规定时间内在线替换掉(*修改),系统不必停机,从而提高了系统的可靠性。
  
  loo2D、2oo3、2oo4D的性能比较如表l所示,其中,非安全故障概率为拒动率,安全故障概率为误动率,Q(t)和P(t)代表t时间内单一故障发生的概率。
  
  三、IEC-61513和保护系统架构
  
  IEC-61508属于基础标准,它明确规范了功能安全实现的总体框架和一般方法,近几年已经被广泛应用在机械、化工和核电等各个领域,如IEC-61513,它以IEC-508为指导标准,属于应用标准,是针对核电厂颁布的标准,名称为《核电厂-对安全很重要的系统用仪器仪表和控制―系统的一般要求》。IEC-1508针对的是任意一个电气/电子/可编程电子安全相关的系统,而IEC-61513则是针对安全很重要的且基于计算机的系统;IEC-508基于降低风险的理念设计各种安全相关系统,而IEC-61513基于重要性认定的方法设计相关系统。虽然两个标准对系统设计的指导方法不同,但IEC-61513中很多基础性的概念如上文提到的各种安全相关结构与IEC-1508相同,下文将从上述安全相关结构的角度分析保护系统的架构。
  
  保护系统的架构往往是上述安全相关结构和各种基本逻辑符合的复杂组合。反应堆保护系统设计应遵循如下准则:自动保护、单一故障准则、多样性、可试验性以及独立性原则等,其中“单一故障准则”是指单一保护系统通道或系统部件故障都不得妨碍保护系统的正常动作,要满足单一故障准则,反应堆保护系统应具有足够的冗余度;“故障安全准则”是指在失去能源条件下能够发生停堆,系统通道或部件发生故障时,不需要采取任何操作而使保护系统的功能处于安全状态。典型的保护系统架构如图1所示。
  
  图1中:采用三个传感器测量相关参数,三个测量参数进行阂值比较后利用不同的2oo3逻辑符合单元进行逻辑判断,再对这三个逻辑符合的输出进行2oo3逻辑符合后触发保护动作。该结构可以避免单个逻辑符合单元的故障导致的系统保护功能丧失,即减少非安全故障概率。但在测量某个保护参数时,两个及两个以上的传感器故障或信号波动,系统会触发保护动作信号,因此,系统的安全故障概率大。
  
  国内实际运行的核电站反应堆保护系统架构在上述典型架构基础上做了调整,主流架构如图2所示。
  
  图2中:两种保护架构分别利用四个独立的通道(A,B,C和D)测量多个保护变量(当四个通道之间采取隔离技术实现独立性的要求后,且每个通道采用不同的硬件技术和软件技术时,此架构即可实现独立性和多样性目标)。每个保护变量进行阑值比较后有四个输出,每一个独立通道分别先对同一个保护变量进行逻辑符合(2oo4),再对不同的保护变量进行looN逻辑运算,称为X/Y半逻辑。在图2(a)中,A、B通道的两个半逻辑进行2oo2的逻辑运算,即逻辑“与”,C、D通道进行相同的逻辑运算,A、B通道的zui后逻辑输出与C、D通道的zui后逻辑输出任意一个有输出时,触发保护动作信号。与图2(a)不同,图2(b)保护系统架构的四个X/Y半逻辑后紧跟四个断路器,zui后对四个断路器进行2oo4表决,再触发保护动作信号。
  
  与图1所示的保护系统架构相比,图2所示的保护系统架构可以很好地满足单一故障准则,有效降低系统的非安全故障概率和安全故障概率。图2(b)中保护系统架构可很方便地对断路器进行在线检测或定期试验或在线更换,在一套设备故障或设备试验的情况下,其余设备中所有表决处理的方案将自动地被转换为三取二逻辑,而不影响反应堆的正常运行,其在应用中比图2(a)所示的系统架构更加方便。
  
  四、结束语
  
  综上可知,在安全性方面,安全基本回路loo2D、2oo3和2oo4D相当;在可靠性方面,2oo4D性能更优,但成本高。在对可靠性要求不高或者系统为可修复系统时,从可靠性、安全性和成本考虑,2oo3体系结构是较理想的选择;在保护系统的架构设计方面,图2所示的架构兼具高可靠性和高安全性,不同的保护参数之间的逻辑符合具有较低的安全故障概率和非安全故障概率。
  
  与图2(a)架构相比,图2(b)保护系统架构采用了断路器,其成本相对较高,但该架构具备在线检测和在线更换的优势,因此,其将成为新一代反应堆保护系统的主要参考对象。实际运行的核电站都能做到保护系统的独立性原则的要求,但在多样性方面有所欠缺,真正做到多样性的要求,将会大量增加建设成本以及后期的评审、验收工作量。因此,在设计新的保护系统架构时,兼顾成本和多样性(功能多样性和设备多样性)的要求也将会是重点研究对象。

猜你喜欢

您的留言已提交成功~

采购或询价产品,请直接拨打电话联系

联系人:

联系方式:
当前客户在线交流已关闭
请电话联系他 :