“華龍一號”數(shù)字化儀控系統(tǒng)縱深防御設(shè)計

，　

(中國核電工程有限公司，北京　100840)

福島核事故后，國內(nèi)外對于新建核電廠縱深防御的設(shè)計理念有了進(jìn)一步的發(fā)展，在縱深防御層次設(shè)置，縱深防御層次獨立性等方面提出了更高的技術(shù)目標(biāo)。在HAF102—2016《核動力廠設(shè)計安全規(guī)定》中，就體現(xiàn)了這一設(shè)計理念的發(fā)展，首次引入了“設(shè)計擴(kuò)展工況”和“實際消除”的概念，將設(shè)置縱深防御第四層次的目的從2004版的“是針對設(shè)計基準(zhǔn)可能已被超過的嚴(yán)重事故的，并保證放射性釋放保持在盡可能的低”調(diào)整為“減輕第三層次縱深防御失效所導(dǎo)致的事故后果。這一目標(biāo)通過阻止這些事故進(jìn)程和緩解嚴(yán)重事故的后果得以實現(xiàn)”，并進(jìn)一步強(qiáng)調(diào)了縱深防御各個層次之間的獨立性要求。對于核電廠儀控系統(tǒng)而言，它的縱深防御設(shè)計有兩個方面的含義：一方面，作為支持系統(tǒng)，要為核電廠縱深防御各個層次的工藝系統(tǒng)提供監(jiān)測和控制手段；另一方面，儀控系統(tǒng)自身也應(yīng)滿足縱深防御的設(shè)計理念，保證某一層次的失效能為下一層次所補(bǔ)償。本文對國際上儀控系統(tǒng)縱深防御設(shè)計相關(guān)的最新法規(guī)要求進(jìn)行了梳理和總結(jié)，介紹了中核集團(tuán)“華龍一號”機(jī)組儀控系統(tǒng)設(shè)計實踐，并對核電儀控設(shè)計縱深防御設(shè)計后續(xù)應(yīng)關(guān)注的問題給出了建議。

1　儀控系統(tǒng)縱深防御設(shè)計的法規(guī)要求

1.1　國際原子能組織技術(shù)要求

國際原子能組織(IAEA)于2016年發(fā)布了安全標(biāo)準(zhǔn)SSR-2/1(Rev.1)[1],該標(biāo)準(zhǔn)總結(jié)了福島核事故的教訓(xùn)，在縱深防御層次的獨立性等方面提出了更高的要求，我國的HAF102-2016征求意見稿較大程度上參考了該標(biāo)準(zhǔn)。同年，IAEA出版技術(shù)文件IAEA-TECDOC-1791[2]，對SSR-2/1標(biāo)準(zhǔn)進(jìn)行了進(jìn)一步的解讀，為實際應(yīng)用該標(biāo)準(zhǔn)提供指導(dǎo)。SSG-39[3]是SSR-2/1在儀控設(shè)計領(lǐng)域的下層標(biāo)準(zhǔn)，相應(yīng)的，它對在儀控總體結(jié)構(gòu)設(shè)計上如何滿足核電廠系統(tǒng)和儀控自身的縱深防御要求提供了指導(dǎo)。表1對3份技術(shù)文件中的相關(guān)技術(shù)要求進(jìn)行詳細(xì)的梳理和分析。

表1　IAEA要求分析Table 1　IAEA requirement analysis

續(xù)表技術(shù)要點具體要求多樣化保護(hù)系統(tǒng)設(shè)計要求如果設(shè)置多樣化儀控系統(tǒng),則多樣化系統(tǒng)在規(guī)格、設(shè)計、制造和維護(hù)上不應(yīng)遭受與主保護(hù)系統(tǒng)同樣的錯誤;在概率分析中,安全重要系統(tǒng)只有滿足下列條件才能夠認(rèn)為他們是充分獨立的:滿足多樣性,功能獨立性,電氣隔離,通信獨立性,環(huán)境鑒定,抗震鑒定,電磁兼容鑒定,物理分隔以及防御內(nèi)部災(zāi)害;一個普遍的共識是多樣化保護(hù)系統(tǒng)能夠有效緩解PIE疊加保護(hù)系統(tǒng)共因失效的后果。但在安全分級,使用數(shù)字化的多樣化保護(hù)系統(tǒng)作為數(shù)字化保護(hù)系統(tǒng)的后備,手動控制的應(yīng)用等方面存在不同的方法和要求

1.2　西歐核監(jiān)管聯(lián)合會技術(shù)要求

西歐核監(jiān)管聯(lián)合會(WENRA)下屬的反應(yīng)堆協(xié)調(diào)工作組(RHWG)于2013年發(fā)布技術(shù)報告《Safety of new NPP designs》[4]，闡明了西歐核電監(jiān)管部門對于核電廠關(guān)鍵安全問題的技術(shù)見解，包括新建核電廠縱深防御設(shè)計方法，縱深防御層次之間的獨立性，多重失效應(yīng)對措施等。表2對WENRA要求進(jìn)行了分析。

表2　WENRA要求分析Table 2　WENRA requirement analysis

1.3　美國核管會技術(shù)要求

美國核管會(NRC)在其核電廠安全分析報告標(biāo)準(zhǔn)審查大綱NUREG0800中，通過BTP 7-19[5]，DI&C-ISG-02[6]闡明了其對于儀控系統(tǒng)縱深防御設(shè)計的技術(shù)要求。NRC對于儀控系統(tǒng)縱深防御層次的劃分與上述IAEA和WENRA要求略有不同，對于防止數(shù)字化主保護(hù)系統(tǒng)共模故障的設(shè)計要求則更加明確具體。詳見表3。

表3　NRC要求分析Table 3　NRC requirement analysis

1.4　小結(jié)

從上面的分析可以看出，各法規(guī)標(biāo)準(zhǔn)體系對于儀控系統(tǒng)縱深防御的要求略有差別，但基本要求還是一直的，綜合分析其要點如下：

1)在縱深防御第3b層次[4](或第4層次[1-2])中，考慮安全系統(tǒng)的多重共模失效的擴(kuò)展工況，包括反應(yīng)堆保護(hù)系統(tǒng)的多重共模失效。

2)各縱深防御層次系統(tǒng)之間應(yīng)盡可能做到獨立，但考慮到與系統(tǒng)復(fù)雜性的平衡，可接受的做法是：控制系統(tǒng)與限值系統(tǒng)可以合并，反應(yīng)堆緊急停堆系統(tǒng)與專設(shè)系統(tǒng)可以合并(反應(yīng)堆保護(hù)系統(tǒng))，反應(yīng)堆保護(hù)系統(tǒng)與其他縱深防御層次系統(tǒng)獨立，嚴(yán)重事故儀控系統(tǒng)應(yīng)獨立并使用獨立電源。上述標(biāo)準(zhǔn)中均沒有明確提出承擔(dān)3b層次工藝系統(tǒng)和設(shè)備的監(jiān)控功能的儀控系統(tǒng)的獨立性要求，但提出儀控系統(tǒng)不能影響所監(jiān)控的電廠縱深防御層次之間的獨立性。

3)IAEA-TECDOC-1791提出了對于儀表的獨立性和多樣性要求：包括用于監(jiān)視和用于DBA/DEC-A自動保護(hù)儀表宜具有多樣性；堆芯融化事故盡可能采用專用儀表和獨立電源；對于保護(hù)系統(tǒng)自動保護(hù)和監(jiān)視儀表宜監(jiān)測不同的物理參數(shù)；在有足夠的冗余度，并且滿足隔離和獨立性的前提下，縱深防御層次1,2,3a的儀表可以共用；沒有明確要求RPS和DAS用儀表必須具有多樣性，但提出儀表的設(shè)置應(yīng)盡可能不影響RPS和DAS之間的獨立性和多樣性。

4)設(shè)置多樣化保護(hù)系統(tǒng)成為公認(rèn)的緩解反應(yīng)堆保護(hù)系統(tǒng)共模故障疊加PIE的有效手段；多樣化保護(hù)系統(tǒng)采用的技術(shù)應(yīng)與數(shù)字化保護(hù)系統(tǒng)有充分的多樣性；反應(yīng)堆保護(hù)系統(tǒng)多重故障疊加PIE的分析范圍，接受準(zhǔn)則與3a層次沒有區(qū)別，但可以采用偏不保守的分析方法，如最佳估算方法；一個普遍認(rèn)可的共識是操縱員手動可以作為保護(hù)系統(tǒng)的多樣化后備，最嚴(yán)格的要求是在保護(hù)系統(tǒng)共模疊加PIE發(fā)生30 min后的操縱員手動才是可信的。

2 “華龍一號”儀控系統(tǒng)縱深防御設(shè)計

在“華龍一號”儀控設(shè)計中，一方面儀控系統(tǒng)針對不同的電廠工況和始發(fā)事件，提供正常運行監(jiān)控，緊急停堆，專設(shè)安全設(shè)施驅(qū)動，嚴(yán)重事故預(yù)防緩解設(shè)施監(jiān)控四個縱深防御層次的功能；另一方面，在儀控系統(tǒng)設(shè)計上，通過適當(dāng)?shù)墓δ芊峙洌瑪?shù)字、模擬等不同技術(shù)措施的合理應(yīng)用，充分的獨立性設(shè)計等手段，提高系統(tǒng)整體的可靠性，避免或限制單個或局部儀控系統(tǒng)故障對核電廠整體縱深防御屏障的影響。圖1給出了“華龍一號”儀控系統(tǒng)總體縱深防御結(jié)構(gòu)的示意。

圖1　儀控系統(tǒng)縱深防御結(jié)構(gòu)示意圖Fig.1　I&C system defense in depth structure

基于上述縱深防御的思想，儀控系統(tǒng)設(shè)計和設(shè)備選型考慮了下列多樣性原則：

1)多樣化的人機(jī)接口：以計算機(jī)化操縱員工作站站為主要人機(jī)接口手段，同時提供以常規(guī)技術(shù)為主的后備盤(BUP)，并與計算機(jī)化操縱員工作站采用完全獨立的信號傳輸路徑和接口方式；

2)多樣化的保護(hù)功能：在保護(hù)和安全監(jiān)測系統(tǒng)內(nèi)對針對同一始發(fā)事件的不同保護(hù)參數(shù)進(jìn)行功能分組；在自動保護(hù)功能之外，通過緊急操作盤可實現(xiàn)系統(tǒng)級手動緊急停堆和專設(shè)驅(qū)動；

3)多樣化或獨立的處理系統(tǒng)：保護(hù)和安全監(jiān)測系統(tǒng)、多樣化保護(hù)系統(tǒng)采用不同的控制平臺，避免共模故障；緊急操縱盤指令通過繼電器，固態(tài)電路等技術(shù)，旁通數(shù)字化主保護(hù)系統(tǒng)；

4)多樣化保護(hù)系統(tǒng)的設(shè)計滿足NUREG0800 BTP7-19的要求，采用D3分析的方法對安全分析報告15章的事故進(jìn)行分析，執(zhí)行保護(hù)系統(tǒng)失效30 min內(nèi)需要的后備動作，30 min后依靠與保護(hù)系統(tǒng)多樣化的手動控制和監(jiān)視設(shè)備繼續(xù)處理事故或?qū)⒎磻?yīng)堆帶入安全停堆狀態(tài)；

5)設(shè)置專用的嚴(yán)重事故儀控系統(tǒng)，包括采集處理機(jī)柜、位于后備盤專門區(qū)域的監(jiān)測控制設(shè)備；

6)對于優(yōu)選模件，信號隔離分配模件采用盡可能簡單可靠的硬件電路技術(shù)，降低共模故障風(fēng)險。

通過上述設(shè)計措施，能夠?qū)崿F(xiàn)：

1)在正常運行工況下，通過非安全級操縱員工作站和控制系統(tǒng)能夠完成核電廠主要監(jiān)控任務(wù)，在非安全級操縱員工作站不可用的情況下，通過后備盤可以維持電廠一段時間的穩(wěn)定運行或?qū)㈦姀S帶入安全停堆狀態(tài)；

2)在發(fā)生預(yù)計始發(fā)事件或事故工況下，通過保護(hù)和安全監(jiān)測系統(tǒng)自動動作將機(jī)組帶入安全停堆狀態(tài)；

3)在發(fā)生預(yù)計始發(fā)事件或事故同時保護(hù)和安全監(jiān)測系統(tǒng)共模故障時，由多樣化保護(hù)系統(tǒng)提供事故后30 min內(nèi)必須的自動保護(hù)功能將機(jī)組帶入安全停堆狀態(tài)，之后操縱員可以通過緊急操作臺，非安全級操縱員工作站等繼續(xù)處理事故；

4)在發(fā)生多重安全系統(tǒng)失效的工況下，如全廠失電，失去輔助給水，失去安全殼噴淋等，后備功能根據(jù)安全分級，供電要求等，分配在不同的儀控系統(tǒng)中處理。如二次側(cè)非能動余熱導(dǎo)出系統(tǒng)，安全殼熱量導(dǎo)出系統(tǒng)監(jiān)控主要由嚴(yán)重事故儀控系統(tǒng)實現(xiàn)，應(yīng)對全廠失電事故相關(guān)功能均分配到帶有SBO電源的儀控機(jī)柜中實現(xiàn)。

5)在發(fā)生全廠斷電后72 h內(nèi)，部分監(jiān)測和控制回路可以通過SBO柴油機(jī)供電持續(xù)運行，提供必要的監(jiān)測控制功能；嚴(yán)重事故儀控系統(tǒng)可以通過蓄電池供電持續(xù)運行，提供嚴(yán)重事故監(jiān)測和控制功能。

3　結(jié)論

根據(jù)前文的分析，“華龍一號”現(xiàn)有設(shè)計基本滿足國際上關(guān)于儀控系統(tǒng)縱深防御層次設(shè)置，以及獨立性和多樣性的要求，但在下列領(lǐng)域可以繼續(xù)優(yōu)化：

1)進(jìn)一步提高多樣化保護(hù)系統(tǒng)的獨立性：考慮設(shè)置與控制系統(tǒng)，主保護(hù)系統(tǒng)均采用不同平臺的多樣化保護(hù)系統(tǒng)。

2)進(jìn)一步提供提高嚴(yán)重事故儀控系統(tǒng)的獨立性：在合理可行的前提下盡可能設(shè)置獨立的嚴(yán)重事故用測量儀表。

3)對于現(xiàn)場儀表，優(yōu)選模件等多重縱深防御層次共用的設(shè)備，密切關(guān)注國際最新法規(guī)標(biāo)準(zhǔn)的要求，國際上良好的經(jīng)驗反饋實踐，研究共因失效機(jī)理，采取適當(dāng)?shù)母倪M(jìn)措施。

儀控系統(tǒng)設(shè)計應(yīng)與核電廠整體縱深防御理念保持一致。但是儀控系統(tǒng)又存在著一定的特殊性，如：它跨越多個縱深防御層次，從人因設(shè)計的角度上應(yīng)提供統(tǒng)一和一致的人機(jī)接口，系統(tǒng)之間存在著信號接口等。在強(qiáng)調(diào)縱深防御層次的獨立性和多樣性的同時，應(yīng)考慮避免系統(tǒng)的過度復(fù)雜，考慮系統(tǒng)的投資成本，后續(xù)的可維護(hù)性。

在新的法規(guī)標(biāo)準(zhǔn)要求中對于核電廠整體縱深防御策略，各個層次的設(shè)計要求有比較詳細(xì)的闡述，但是對于儀控系統(tǒng)的要求比較籠統(tǒng)，各國要求也不盡相同，下面幾個問題需要在后續(xù)持續(xù)關(guān)注：

1)對于縱深防御層次3b或應(yīng)對DEC-A工況的工藝系統(tǒng)，其監(jiān)控系統(tǒng)的設(shè)計準(zhǔn)則，獨立性要求應(yīng)明確。

2)應(yīng)明確設(shè)計中是否需要考慮控制系統(tǒng)與保護(hù)系統(tǒng)均共因失效的情況，此時的設(shè)計準(zhǔn)則和接受準(zhǔn)則。

3)對于儀表，優(yōu)選模件等多個縱深防御層次共用設(shè)備的設(shè)計準(zhǔn)則，應(yīng)如何考慮共因故障。