|
引言 核電站儀控系統在高可靠性、高可用性和高安全性等方面的要求,使得核電站數字化控制保護技術成為當代控制系統發展的技術前沿。反應堆保護系統包括緊急停堆系統和專設安全設施驅動系統。反應堆保護系統監測與反應堆安全有關的參數。當這些參數超過預設的保護定值時,反應堆保護系統自動觸發緊急停堆并啟動相應的專設安全設施,以限制事故的發展,減輕事故后果,防止放射性物質向周圍環境釋放,保證設備和人員的安全。經過幾年的發展和研究,國外科研機構和廠商在保護系統的架構設計方面也形成了不同的風格。本文以IEC-61508和IEC-61513標準為依據, 從安全完整性等級的角度描述并分析了不同的安全相關結構和保護系統架構的特點。 一、安全標準IEC-61508 IEC-1508是國際電工委員會于2000年頒布的《電氣/電子/可編程電子安全相關系統的功能安全》 國際標準。該標準針對所有由電氣/電子/可編程電子部件構成的安全相關系統,目的是避免和控制系統性錯誤和隨機錯誤,對危險性的失效進行定量的分析,并針對系統和產品的錯誤避免、故障控制和文件給出有效的技術和措施。為了實現安全目標,標準提出了安全完整性的概念。安全完整性是指在規定的條件下、規定的時間內,安全相關系統成功實現所要求的安全功能的概率。IEC-61508規定了四個安全完整性等級SIL(safety integrity level) ,即在確定了被控裝置可能存在的風險后,必須采用相應等級的安全系統,把風險降低到可接受的范圍內。對于安全完整性等級的確定,IEC-61508標準分別給出了定量和定性的方法。 二、安全相關結構 根據上述標準,安全完整性分為硬件安全完整性和系統安全完整性兩部分。 ①硬件安全完整性:這部分安全完整性與在危險的失效模式下的隨機硬件失效有關。硬件安全完整性規定等級可在一個合理的水平下估計,并將其要求用組合概率的通用法規在子系統中進行分配,一般需要使用冗余結構來達到足夠的硬件安全完整性。 ②系統安全完整性:這部分安全完整性與在危險的失效模式下的系統失效有關。盡管與系統失效有關的平均失效率可以估計,但從設計失效和共同原因失效獲得的失效數據即失效的分布難以預計。這樣便增加了特定情況下失效概率計算的不確定性,因此,需要做出選擇最佳技術的判定,將不確定性最小化。 提高硬件安全完整性的手段包括冗余和診斷。根據冗余通道的介質情況,提高安全性的冗余又可分為同質冗余(homogenous redundancy)和多樣性冗余(diverse redundancy)。 同質冗余可以控制隨機性故障,但卻不能控制系統性故障,冗余通道容易犯同樣的錯誤。多樣性冗余除了可以控制隨機性故障外,還可以控制系統性故障。 多樣性冗余在硬件上要求電路原理不同、器件和技術不同、制造過程和生產工廠不同,在軟件上要求編程語言不同、算法和程序員不同等。通過功能多樣性和設備多樣性來避免共模故障是儀控設計的基本原則之一,如核電站常規島排污坑水泵系統,通常根據需要采用一用二備、二用二備或者三用一備。當正在運行的設備出現故障時,備用設備會自動投入使用。這種方法主要針對設備失效而不關注設備的輸出是否正常和安全,可認為這種冗余提高了系統的可靠性。在核電站常規島高/低壓加熱器系統中,需實時監控高刃低壓加熱器的水位,對此往往采取在一個測點周圍布置多個傳感器的方法,此時關注水位的測量值是否屬實,可認為這種冗余提高了系統的安全性。 總體上,常見的冗余結構包括單通道系統1oo1(KooN表示N個通道里面取K個)叫,雙通道系統1OO2、2OO2和三通道系統1OO3、2OO3。在實際應用時,往往每個通道會附有自診斷措施。該措施可幫助系統自動識別故障部件、類型和原因,增加系統的安全性。附加了診斷措施后的每種類型又可衍生出一種新的“帶診斷”的體系結構,即:IOO1D 、lOO2D、2oo2D 、loo3D、2oo3D和2oo4D。 目前,符合IEC-61508標準并獲得TUV SIL3等級認證的安全相關結構有以下三種。 ①雙重冗余容錯完全自診斷結構loo2D 雙通道系統有兩種:1oo2和2oo2 。1oo2提供更好的可靠性,兩個輸出邏輯中任意一個有輸出,則系統就有輸出。相比1oo2,2oo2結構可提供更好的安全性,其輸出被同時考慮,即只有兩個輸出相同時才會產生有效的輸出。1oo2D 是改進的雙通道系統,其診斷電路可以發現故障和錯誤,將危險失效轉化為安全失效,所以 loo2D具備更高的安全性。該結構可應用于系統的硬件結構設計。 ②三重化表決結構2oo3 2oo3模式采用三取二表決方式,如三個CPU中若有一個運算結果與其他兩個不同,即表示該 CPU 故障,然后進行切除,其他兩個繼續工作。當其他兩個CPU運算結果再出現不同時,則無法表決出哪一個正確,系統停運。該結構常應用于邏輯符合,三個通道中至少有兩個通道邏輯判斷為真時,最后的邏輯運算結果才為真。 ③四重化冗余容錯完全自診斷結構2oo4D 四個通道分成兩對,即同時工作又相對獨立。當其中一對通道診斷出故障時,則該對通道切除,剩下的一對通道以1oo2D繼續工作,這對獨立通道仍滿足安全等級SIL3要求,當這對通道其中一個出現故障時,系統停運。該結構常應用于邏輯符合,四個邏輯通道中至少有兩個通道邏輯判斷為真時,最后的邏輯運算結果才為真。 2oo4D考慮安全性的同時也保證了可靠性,與1oo2D相比,2oo4D并未提高安全性,而只是提高了可靠性。 不同于1oo2D, 2oo3主要使用比較技術來保障安全性,其本身的可靠性并不高,因為只有三個通道同時有效才能保證系統安全性,一旦有通道故障,系統的安全性自動降級。從可靠性角度上講,2oo3系統不如2oo4D系統,而兩者所能達到的安全性基本相同。可以彌補 2oo3系統可靠性不足的措施是在線替換,即三個主控制器相互獨立,如果有一個出錯則在規定時間內在線替換掉(限時修改),系統不必停機,從而提高了系統的可靠性。 loo2D、2oo3、2oo4D的性能比較如表l所示,其中,非安全故障概率為拒動率,安全故障概率為誤動率,Q(t)和P(t)代表t時間內單一故障發生的概率。 
三、IEC-61513 和保護系統架構 IEC-61508屬于基礎標準,它明確規范了功能安全實現的總體框架和一般方法,近幾年已經被廣泛應用在機械、化工和核電等各個領域,如IEC-61513,它以IEC-508為指導標準,屬于應用標準,是針對核電廠頒布的國際標準,名稱為 《 核電廠-對安全很重要的系統用儀器儀表和控制 ― 系統的一般要求》。IEC-1508 針對的是任意一個電氣/電子/可編程電子安全相關的系統,而IEC-61513則是針對安全很重要的且基于計算機的系統;IEC-508基于降低風險的理念設計各種安全相關系統,而IEC-61513基于重要性認定的方法設計相關系統。雖然兩個標準對系統設計的指導方法不同,但IEC-61513中很多基礎性的概念如上文提到的各種安全相關結構與IEC-1508相同,下文將從上述安全相關結構的角度分析保護系統的架構。 保護系統的架構往往是上述安全相關結構和各種基本邏輯符合的復雜組合。反應堆保護系統設計應遵循如下準則:自動保護、單一故障準則、多樣性、可試驗性以及獨立性原則等,其中“單一故障準則”是指單一保護系統通道或系統部件故障都不得妨礙保護系統的正常動作,要滿足單一故障準則,反應堆保護系統應具有足夠的冗余度;“故障安全準則”是指在失去能源條件下能夠發生停堆,系統通道或部件發生故障時,不需要采取任何操作而使保護系統的功能處于安全狀態。典型的保護系統架構如圖1所示。
圖1中:采用三個傳感器測量相關參數,三個測量參數進行閡值比較后利用不同的2oo3邏輯符合單元進行邏輯判斷,再對這三個邏輯符合的輸出進行2oo3邏輯符合后觸發保護動作。該結構可以避免單個邏輯符合單元的故障導致的系統保護功能喪失,即減少非安全故障概率。但在測量某個保護參數時,兩個及兩個以上的傳感器故障或信號波動,系統會觸發保護動作信號,因此,系統的安全故障概率大。 國內實際運行的核電站反應堆保護系統架構在上述典型架構基礎上做了調整,主流架構如圖2所示。
圖2中:兩種保護架構分別利用四個獨立的通道 (A,B,C和D)測量多個保護變量(當四個通道之間采取隔離技術實現獨立性的要求后,且每個通道采用不同的硬件技術和軟件技術時,此架構即可實現獨立性和多樣性目標)。每個保護變量進行闌值比較后有四個輸出,每一個獨立通道分別先對同一個保護變量進行邏輯符合(2oo4),再對不同的保護變量進行looN邏輯運算,稱為X/Y半邏輯。在圖2(a)中,A、B通道的兩個半邏輯進行2oo2的邏輯運算,即邏輯“與” ,C、D通道進行相同的邏輯運算,A、B通道的最后邏輯輸出與C、D通道的最后邏輯輸出任意一個有輸出時,觸發保護動作信號。與圖2(a)不同,圖2(b)保護系統架構的四個X/Y半邏輯后緊跟四個斷路器,最后對四個斷路器進行2oo4表決,再觸發保護動作信號。 與圖1所示的保護系統架構相比,圖2所示的保護系統架構可以很好地滿足單一故障準則,有效降低系統的非安全故障概率和安全故障概率。圖2(b)中保護系統架構可很方便地對斷路器進行在線檢測或定期試驗或在線更換,在一套設備故障或設備試驗的情況下,其余設備中所有表決處理的方案將自動地被轉換為三取二邏輯,而不影響反應堆的正常運行,其在應用中比圖2(a)所示的系統架構更加方便。 四、結束語 綜上可知,在安全性方面,安全基本回路loo2D、2oo3和2oo4D相當;在可靠性方面,2oo4D性能更優,但成本高。在對可靠性要求不高或者系統為可修復系統時,從可靠性、安全性和成本考慮,2oo3體系結構是較理想的選擇;在保護系統的架構設計方面,圖2所示的架構兼具高可靠性和高安全性,不同的保護參數之間的邏輯符合具有較低的安全故障概率和非安全故障概率。 與圖2(a)架構相比,圖2(b)保護系統架構采用了斷路器,其成本相對較高,但該架構具備在線檢測和在線更換的優勢,因此,其將成為新一代反應堆保護系統的主要參考對象。實際運行的核電站都能做到保護系統的獨立性原則的要求,但在多樣性方面有所欠缺,真正做到多樣性的要求,將會大量增加建設成本以及后期的評審、驗收工作量。因此,在設計新的保護系統架構時,兼顧成本和多樣性(功能多樣性和設備多樣性)的要求也將會是重點研究對象。 |
