|
引言 核電站儀控系統(tǒng)在高可靠性、高可用性和高安全性等方面的要求,使得核電站數(shù)字化控制保護(hù)技術(shù)成為當(dāng)代控制系統(tǒng)發(fā)展的技術(shù)前沿。反應(yīng)堆保護(hù)系統(tǒng)包括緊急停堆系統(tǒng)和專設(shè)安全設(shè)施驅(qū)動系統(tǒng)。反應(yīng)堆保護(hù)系統(tǒng)監(jiān)測與反應(yīng)堆安全有關(guān)的參數(shù)。當(dāng)這些參數(shù)超過預(yù)設(shè)的保護(hù)定值時,反應(yīng)堆保護(hù)系統(tǒng)自動觸發(fā)緊急停堆并啟動相應(yīng)的專設(shè)安全設(shè)施,以限制事故的發(fā)展,減輕事故后果,防止放射性物質(zhì)向周圍環(huán)境釋放,保證設(shè)備和人員的安全。經(jīng)過幾年的發(fā)展和研究,國外科研機(jī)構(gòu)和廠商在保護(hù)系統(tǒng)的架構(gòu)設(shè)計方面也形成了不同的風(fēng)格。本文以IEC-61508和IEC-61513標(biāo)準(zhǔn)為依據(jù), 從安全完整性等級的角度描述并分析了不同的安全相關(guān)結(jié)構(gòu)和保護(hù)系統(tǒng)架構(gòu)的特點。 一、安全標(biāo)準(zhǔn)IEC-61508 IEC-1508是國際電工委員會于2000年頒布的《電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全》 國際標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)針對所有由電氣/電子/可編程電子部件構(gòu)成的安全相關(guān)系統(tǒng),目的是避免和控制系統(tǒng)性錯誤和隨機(jī)錯誤,對危險性的失效進(jìn)行定量的分析,并針對系統(tǒng)和產(chǎn)品的錯誤避免、故障控制和文件給出有效的技術(shù)和措施。為了實現(xiàn)安全目標(biāo),標(biāo)準(zhǔn)提出了安全完整性的概念。安全完整性是指在規(guī)定的條件下、規(guī)定的時間內(nèi),安全相關(guān)系統(tǒng)成功實現(xiàn)所要求的安全功能的概率。IEC-61508規(guī)定了四個安全完整性等級SIL(safety integrity level) ,即在確定了被控裝置可能存在的風(fēng)險后,必須采用相應(yīng)等級的安全系統(tǒng),把風(fēng)險降低到可接受的范圍內(nèi)。對于安全完整性等級的確定,IEC-61508標(biāo)準(zhǔn)分別給出了定量和定性的方法。 二、安全相關(guān)結(jié)構(gòu) 根據(jù)上述標(biāo)準(zhǔn),安全完整性分為硬件安全完整性和系統(tǒng)安全完整性兩部分。 ①硬件安全完整性:這部分安全完整性與在危險的失效模式下的隨機(jī)硬件失效有關(guān)。硬件安全完整性規(guī)定等級可在一個合理的水平下估計,并將其要求用組合概率的通用法規(guī)在子系統(tǒng)中進(jìn)行分配,一般需要使用冗余結(jié)構(gòu)來達(dá)到足夠的硬件安全完整性。 ②系統(tǒng)安全完整性:這部分安全完整性與在危險的失效模式下的系統(tǒng)失效有關(guān)。盡管與系統(tǒng)失效有關(guān)的平均失效率可以估計,但從設(shè)計失效和共同原因失效獲得的失效數(shù)據(jù)即失效的分布難以預(yù)計。這樣便增加了特定情況下失效概率計算的不確定性,因此,需要做出選擇最佳技術(shù)的判定,將不確定性最小化。 提高硬件安全完整性的手段包括冗余和診斷。根據(jù)冗余通道的介質(zhì)情況,提高安全性的冗余又可分為同質(zhì)冗余(homogenous redundancy)和多樣性冗余(diverse redundancy)。 同質(zhì)冗余可以控制隨機(jī)性故障,但卻不能控制系統(tǒng)性故障,冗余通道容易犯同樣的錯誤。多樣性冗余除了可以控制隨機(jī)性故障外,還可以控制系統(tǒng)性故障。 多樣性冗余在硬件上要求電路原理不同、器件和技術(shù)不同、制造過程和生產(chǎn)工廠不同,在軟件上要求編程語言不同、算法和程序員不同等。通過功能多樣性和設(shè)備多樣性來避免共模故障是儀控設(shè)計的基本原則之一,如核電站常規(guī)島排污坑水泵系統(tǒng),通常根據(jù)需要采用一用二備、二用二備或者三用一備。當(dāng)正在運行的設(shè)備出現(xiàn)故障時,備用設(shè)備會自動投入使用。這種方法主要針對設(shè)備失效而不關(guān)注設(shè)備的輸出是否正常和安全,可認(rèn)為這種冗余提高了系統(tǒng)的可靠性。在核電站常規(guī)島高/低壓加熱器系統(tǒng)中,需實時監(jiān)控高刃低壓加熱器的水位,對此往往采取在一個測點周圍布置多個傳感器的方法,此時關(guān)注水位的測量值是否屬實,可認(rèn)為這種冗余提高了系統(tǒng)的安全性。 總體上,常見的冗余結(jié)構(gòu)包括單通道系統(tǒng)1oo1(KooN表示N個通道里面取K個)叫,雙通道系統(tǒng)1OO2、2OO2和三通道系統(tǒng)1OO3、2OO3。在實際應(yīng)用時,往往每個通道會附有自診斷措施。該措施可幫助系統(tǒng)自動識別故障部件、類型和原因,增加系統(tǒng)的安全性。附加了診斷措施后的每種類型又可衍生出一種新的“帶診斷”的體系結(jié)構(gòu),即:IOO1D 、lOO2D、2oo2D 、loo3D、2oo3D和2oo4D。 目前,符合IEC-61508標(biāo)準(zhǔn)并獲得TUV SIL3等級認(rèn)證的安全相關(guān)結(jié)構(gòu)有以下三種。 ①雙重冗余容錯完全自診斷結(jié)構(gòu)loo2D 雙通道系統(tǒng)有兩種:1oo2和2oo2 。1oo2提供更好的可靠性,兩個輸出邏輯中任意一個有輸出,則系統(tǒng)就有輸出。相比1oo2,2oo2結(jié)構(gòu)可提供更好的安全性,其輸出被同時考慮,即只有兩個輸出相同時才會產(chǎn)生有效的輸出。1oo2D 是改進(jìn)的雙通道系統(tǒng),其診斷電路可以發(fā)現(xiàn)故障和錯誤,將危險失效轉(zhuǎn)化為安全失效,所以 loo2D具備更高的安全性。該結(jié)構(gòu)可應(yīng)用于系統(tǒng)的硬件結(jié)構(gòu)設(shè)計。 ②三重化表決結(jié)構(gòu)2oo3 2oo3模式采用三取二表決方式,如三個CPU中若有一個運算結(jié)果與其他兩個不同,即表示該 CPU 故障,然后進(jìn)行切除,其他兩個繼續(xù)工作。當(dāng)其他兩個CPU運算結(jié)果再出現(xiàn)不同時,則無法表決出哪一個正確,系統(tǒng)停運。該結(jié)構(gòu)常應(yīng)用于邏輯符合,三個通道中至少有兩個通道邏輯判斷為真時,最后的邏輯運算結(jié)果才為真。 ③四重化冗余容錯完全自診斷結(jié)構(gòu)2oo4D 四個通道分成兩對,即同時工作又相對獨立。當(dāng)其中一對通道診斷出故障時,則該對通道切除,剩下的一對通道以1oo2D繼續(xù)工作,這對獨立通道仍滿足安全等級SIL3要求,當(dāng)這對通道其中一個出現(xiàn)故障時,系統(tǒng)停運。該結(jié)構(gòu)常應(yīng)用于邏輯符合,四個邏輯通道中至少有兩個通道邏輯判斷為真時,最后的邏輯運算結(jié)果才為真。 2oo4D考慮安全性的同時也保證了可靠性,與1oo2D相比,2oo4D并未提高安全性,而只是提高了可靠性。 不同于1oo2D, 2oo3主要使用比較技術(shù)來保障安全性,其本身的可靠性并不高,因為只有三個通道同時有效才能保證系統(tǒng)安全性,一旦有通道故障,系統(tǒng)的安全性自動降級。從可靠性角度上講,2oo3系統(tǒng)不如2oo4D系統(tǒng),而兩者所能達(dá)到的安全性基本相同。可以彌補(bǔ) 2oo3系統(tǒng)可靠性不足的措施是在線替換,即三個主控制器相互獨立,如果有一個出錯則在規(guī)定時間內(nèi)在線替換掉(限時修改),系統(tǒng)不必停機(jī),從而提高了系統(tǒng)的可靠性。 loo2D、2oo3、2oo4D的性能比較如表l所示,其中,非安全故障概率為拒動率,安全故障概率為誤動率,Q(t)和P(t)代表t時間內(nèi)單一故障發(fā)生的概率。 
三、IEC-61513 和保護(hù)系統(tǒng)架構(gòu) IEC-61508屬于基礎(chǔ)標(biāo)準(zhǔn),它明確規(guī)范了功能安全實現(xiàn)的總體框架和一般方法,近幾年已經(jīng)被廣泛應(yīng)用在機(jī)械、化工和核電等各個領(lǐng)域,如IEC-61513,它以IEC-508為指導(dǎo)標(biāo)準(zhǔn),屬于應(yīng)用標(biāo)準(zhǔn),是針對核電廠頒布的國際標(biāo)準(zhǔn),名稱為 《 核電廠-對安全很重要的系統(tǒng)用儀器儀表和控制 ― 系統(tǒng)的一般要求》。IEC-1508 針對的是任意一個電氣/電子/可編程電子安全相關(guān)的系統(tǒng),而IEC-61513則是針對安全很重要的且基于計算機(jī)的系統(tǒng);IEC-508基于降低風(fēng)險的理念設(shè)計各種安全相關(guān)系統(tǒng),而IEC-61513基于重要性認(rèn)定的方法設(shè)計相關(guān)系統(tǒng)。雖然兩個標(biāo)準(zhǔn)對系統(tǒng)設(shè)計的指導(dǎo)方法不同,但I(xiàn)EC-61513中很多基礎(chǔ)性的概念如上文提到的各種安全相關(guān)結(jié)構(gòu)與IEC-1508相同,下文將從上述安全相關(guān)結(jié)構(gòu)的角度分析保護(hù)系統(tǒng)的架構(gòu)。 保護(hù)系統(tǒng)的架構(gòu)往往是上述安全相關(guān)結(jié)構(gòu)和各種基本邏輯符合的復(fù)雜組合。反應(yīng)堆保護(hù)系統(tǒng)設(shè)計應(yīng)遵循如下準(zhǔn)則:自動保護(hù)、單一故障準(zhǔn)則、多樣性、可試驗性以及獨立性原則等,其中“單一故障準(zhǔn)則”是指單一保護(hù)系統(tǒng)通道或系統(tǒng)部件故障都不得妨礙保護(hù)系統(tǒng)的正常動作,要滿足單一故障準(zhǔn)則,反應(yīng)堆保護(hù)系統(tǒng)應(yīng)具有足夠的冗余度;“故障安全準(zhǔn)則”是指在失去能源條件下能夠發(fā)生停堆,系統(tǒng)通道或部件發(fā)生故障時,不需要采取任何操作而使保護(hù)系統(tǒng)的功能處于安全狀態(tài)。典型的保護(hù)系統(tǒng)架構(gòu)如圖1所示。
圖1中:采用三個傳感器測量相關(guān)參數(shù),三個測量參數(shù)進(jìn)行閡值比較后利用不同的2oo3邏輯符合單元進(jìn)行邏輯判斷,再對這三個邏輯符合的輸出進(jìn)行2oo3邏輯符合后觸發(fā)保護(hù)動作。該結(jié)構(gòu)可以避免單個邏輯符合單元的故障導(dǎo)致的系統(tǒng)保護(hù)功能喪失,即減少非安全故障概率。但在測量某個保護(hù)參數(shù)時,兩個及兩個以上的傳感器故障或信號波動,系統(tǒng)會觸發(fā)保護(hù)動作信號,因此,系統(tǒng)的安全故障概率大。 國內(nèi)實際運行的核電站反應(yīng)堆保護(hù)系統(tǒng)架構(gòu)在上述典型架構(gòu)基礎(chǔ)上做了調(diào)整,主流架構(gòu)如圖2所示。
圖2中:兩種保護(hù)架構(gòu)分別利用四個獨立的通道 (A,B,C和D)測量多個保護(hù)變量(當(dāng)四個通道之間采取隔離技術(shù)實現(xiàn)獨立性的要求后,且每個通道采用不同的硬件技術(shù)和軟件技術(shù)時,此架構(gòu)即可實現(xiàn)獨立性和多樣性目標(biāo))。每個保護(hù)變量進(jìn)行闌值比較后有四個輸出,每一個獨立通道分別先對同一個保護(hù)變量進(jìn)行邏輯符合(2oo4),再對不同的保護(hù)變量進(jìn)行l(wèi)ooN邏輯運算,稱為X/Y半邏輯。在圖2(a)中,A、B通道的兩個半邏輯進(jìn)行2oo2的邏輯運算,即邏輯“與” ,C、D通道進(jìn)行相同的邏輯運算,A、B通道的最后邏輯輸出與C、D通道的最后邏輯輸出任意一個有輸出時,觸發(fā)保護(hù)動作信號。與圖2(a)不同,圖2(b)保護(hù)系統(tǒng)架構(gòu)的四個X/Y半邏輯后緊跟四個斷路器,最后對四個斷路器進(jìn)行2oo4表決,再觸發(fā)保護(hù)動作信號。 與圖1所示的保護(hù)系統(tǒng)架構(gòu)相比,圖2所示的保護(hù)系統(tǒng)架構(gòu)可以很好地滿足單一故障準(zhǔn)則,有效降低系統(tǒng)的非安全故障概率和安全故障概率。圖2(b)中保護(hù)系統(tǒng)架構(gòu)可很方便地對斷路器進(jìn)行在線檢測或定期試驗或在線更換,在一套設(shè)備故障或設(shè)備試驗的情況下,其余設(shè)備中所有表決處理的方案將自動地被轉(zhuǎn)換為三取二邏輯,而不影響反應(yīng)堆的正常運行,其在應(yīng)用中比圖2(a)所示的系統(tǒng)架構(gòu)更加方便。 四、結(jié)束語 綜上可知,在安全性方面,安全基本回路loo2D、2oo3和2oo4D相當(dāng);在可靠性方面,2oo4D性能更優(yōu),但成本高。在對可靠性要求不高或者系統(tǒng)為可修復(fù)系統(tǒng)時,從可靠性、安全性和成本考慮,2oo3體系結(jié)構(gòu)是較理想的選擇;在保護(hù)系統(tǒng)的架構(gòu)設(shè)計方面,圖2所示的架構(gòu)兼具高可靠性和高安全性,不同的保護(hù)參數(shù)之間的邏輯符合具有較低的安全故障概率和非安全故障概率。 與圖2(a)架構(gòu)相比,圖2(b)保護(hù)系統(tǒng)架構(gòu)采用了斷路器,其成本相對較高,但該架構(gòu)具備在線檢測和在線更換的優(yōu)勢,因此,其將成為新一代反應(yīng)堆保護(hù)系統(tǒng)的主要參考對象。實際運行的核電站都能做到保護(hù)系統(tǒng)的獨立性原則的要求,但在多樣性方面有所欠缺,真正做到多樣性的要求,將會大量增加建設(shè)成本以及后期的評審、驗收工作量。因此,在設(shè)計新的保護(hù)系統(tǒng)架構(gòu)時,兼顧成本和多樣性(功能多樣性和設(shè)備多樣性)的要求也將會是重點研究對象。 |
