核电厂仪表和控制系统纵深防御与多样性分析

陈辉峰

(深圳中广核工程设计有限公司上海分公司，上海 200241)

0 引言

在核电厂中，纵深防御与多样性(depth-in-defense and diversity，D3)准则贯彻于安全有关的所有活动中，包括与组织、人员行为或设计有关的各个方面，以确保这些活动均置于重叠措施的防御之下，即使有一种故障发生，它将由适当的措施探测、补偿或纠正。在整个核电厂设计和运行中始终贯彻纵深防御，以便对由厂内设备故障或人员活动及厂外事件等引起的各种瞬变、预计运行事件及事故提供多层次的保护。作为核电厂重要组成部分的仪表和控制(instrumentation and control，I＆C)系统，在设计和运行过程中也需要遵守D3 设计准则。本文将基于NUREG/CR 6303(反应堆保护系统执行多样性和纵深防御分析方法)中对于D3 的相关规定，并结合核电厂I＆C 系统的结构，对D3 在I＆C 系统中的应用进行分析和总结。

1 D3 技术分析

D3 存在两层概念，即纵深防御和多样性，NUREG/CR 6303 将纵深防御定义为保护屏障或手段的同心布置，仅当这些屏障或手段遭到破坏时，有害的物质或危险的能量才会对人类或环境造成不利的影响。对于I＆C 系统而言，纵深防御的理念贯穿于整个I＆C 系统，包括控制系统、停堆系统、专设安全设施系统(engineered safety feature，ESF)和监测指示系统。当控制系统发生失效事件时，那么反应堆停堆系统就需要启动紧急停堆;当控制系统和反应堆停堆系统失效时，那么ESF 作为实体屏障通过冷却堆芯和相应的辅助设备来继续支持和阻止放射性的释放。在上述三道屏障相继失效之后，第四道屏障监测和指示系统进行事故后的监测和全厂的应急指挥。执行上述四道屏障所需的信息来自于各防御层次的传感器测量参数以及反馈信息，然后才能根据具体的参数来确定执行相关预期功能的时机。在纵深防御层次的设计和实现过程中，需要特别关注的是相同的传感器故障或其直接后果会导致多道屏障完整性破坏的风险，因此需要在核电厂的纵深防御层次之间和层次内的设计中引入多样性的设计原则［1］。

多样性作为纵深防御原则的补充，增加了在需要启动特定纵深防御层时的几率。多样性一般分为六种类型，即人员多样性、设计多样性、软件多样性、功能多样性、信号多样性和设备多样性。多样性原则通常体现在不同技术、逻辑或算法，或者使用不同驱动手段来提供检测和响应重要事件等方面。多样性是防止潜在的故障发生的一个有效的手段，它一般体现在冗余或独立设备之间［2-3］。

2 I＆C 系统结构分析

图1 核电厂I＆C 系统结构简图Fig.1 Simplified diagram of the structure of I＆C system in nuclear power plant

核电厂I＆C 系统结构如图1 所示，其由两个主要部分组成，这两部分由数据通信网络分隔开。数据通信网络上方包括控制室和电厂控制、运行所需要的服务器等人机接口系统设备。控制室主要提供安全级和非安全级的控制和显示设备，以实现必要的操作、显示和报警功能。服务器主要提供数据的处理、存储和记录等功能。数据通信网络下方主要包括控制设备和工艺接口设备，中间是反应堆保护系统，其执行反应堆停堆(reactor trip，RT)、ESF 和安全级数据显示功能。I＆C 系统执行的RT 和ESF 功能以及与它们相关的传感器和RT 开关设备大部分都设置为四路冗余，其使用的传感器和执行器为安全级，在图1 中用虚线框表示。反应堆保护系统的右侧和左侧分别为电厂控制系统和多样化驱动系统，电厂控制系统主要实现正常的反应性控制和反应堆的正常启停，其使用的传感器和执行器为非安全级，在图1 中用实线框表示。多样化驱动系统是一个独立于DCS 平台的系统，其主要承担因反应堆保护系统发生共因故障(common cause failure，CCF)而失效后的RT 和选定的ESF 功能，其通常使用专用的、与全厂I＆C 系统存在差异的平台技术并设置专用的传感器(在图1 中用双点画线框表示)［4］。反应堆保护系统与电厂控制系统之间存在少量的数据交换，而多样化驱动系统与这两个系统之间不存在直接的数据交换。

3 D3 在I＆C 系统中的应用分析

3.1 纵深防御应用分析

控制系统层的功能主要由非安全级的电厂控制系统来实现。电厂控制系统主要是在电厂正常工况下维持电厂在正常运行限值内，并且对电厂状态保持持续的检测。如果电厂的运行偏离了正常运行限值，控制系统在它的控制范围内进行控制调节并予以纠正，以避免触发RT 和ESF 等安全设施。反应堆停堆层的功能主要由安全级的反应堆停堆系统中的RT 功能来实现;同时，非安全级的多样化驱动系统也提供自动的RT 功能。在该防御层中，虽然反应堆保护系统和多样化驱动系统都可以实现该层的功能，但它们实现RT功能的手段存在差异，这体现了多样性原则，这里主要采用了设计多样性、信号多样性和设备多样性等。专设安全设施驱动系统层主要由安全级的反应堆停堆系统中的ESF 自动驱动功能来实现;同时，非安全级的多样化驱动系统也为部分指定的ESF 部件驱动子设备提供自动驱动能力，这同样体现了多样性的原则。监测与指示层由非安全级的服务器和安全级的反应堆保护系统数据显示设备提供。由监测和指示层执行的安全手动RT 和手动ESF 驱动功能包括在反应堆保护系统中，非安全级的多样化驱动系统也提供手动RT和手动ESF 驱动能力，这同样也体现了多样性的原则。表1 给出了核电厂I＆C 系统与四个纵深防御分层之间的对应关系［5］。

表1 核电厂I＆C 系统与四个纵深防御分层之间的关系Tab. 1 Relationship between I＆C system and four layereddepth-in-defense in nuclear power plant

3.2 多样性应用分析

3.2.1 系统间多样性应用分析

系统间多样性特性如图2 所示。图2 给出了电厂控制系统、反应堆保护系统和多样化驱动系统之间的关系以及实现自动和手动功能的多样性手段。同时，图2 也给出了自动RT 和ESF 驱动的多样性信号源以及操纵员显示，以及手动控制和操纵员动作所需的显示。电厂控制系统、反应堆保护系统和多样化驱动系统分别采用各自专用的传感器进行信号采集，并将信号送到自动逻辑单元进行处理，然后进行执行器的控制，并将必要的信号送到主控室进行显示。电厂控制系统的所有数据和反应堆保护系统的部分数据(在实际的核电厂中设置有单向的网关，其通过网关再到数据通信网)均通过数据通信网进行传输，然后在控制室进行非安全级的显示。在主控室设置有安全级的显示设备，用于反应堆保护系统在控制室内的安全级显示，安全级显示使用反应堆保护系统内部的专用网络进行传输。为了充分利用现有的设备，电厂控制系统需要的安全级传感器信号来自于反应堆保护系统进行采集和处理之后的数据。多样化驱动系统则是一套独立的系统，其从传感器的数据采集、数据处理到最终的主控室显示和对执行器的操作均独立于其他系统。

图2 系统间多样性特性Fig.2 Diversity feature among systems

3.2.2 功能中多样性应用分析

多样性主要存在于安全级功能中，且在RT 功能中应用的最为典型。RT 的主要功能是将反应堆及时地引入次临界状态，并维持足够的RT 裕量。RT 功能通常是通过控制棒的步进方式或自由落体的落棒方式将控制棒插入堆芯。

①电厂控制系统采用自动模式以控制棒步进方式插入堆芯，实现正常的RT 功能。电厂控制系统也提供手动插入控制棒的RT 功能。电厂控制系统的自动、手动RT 功能均直接通过控制棒驱动机构(control rod drive mechanism，CRDM)来实现。

②反应堆保护系统通过反应堆停堆断路器实现落棒，从而实现自动RT 功能。当反应堆停堆断路器打开时，CRDM 失电且控制棒通过重力产生的自由落体插入堆芯。反应堆保护系统还提供手动RT 功能，其直接与反应堆停堆断路器接口。

③多样化驱动系统通过给CRDM 供电的控制棒驱动电动/发电机组断电来实现自动RT 功能。这种间接通过CRDM 停堆与前述的直接通过CRDM 来实现停堆的方式之间存在多样性，与直接打开停堆断路器使CRDM 失电的方式具有相同的作用。多样化驱动系统也具有通过使控制棒驱动电动/发电机组断电的手动停堆功能［6］。

图3 给出了触发RT 的多样性系统设备之间的关系。

图3 触发RT 的多样性系统设备Fig.3 The diversity systematic equipment trigging RT

4 结束语

基于NUREG/CR 6303 中的相关规定，对核电厂I＆C 系统纵深防御与多样性的应用进行分析和研究，认为在设计过程中引入D3 的设计是非常有必要的。核电厂I＆C 系统通过设置多重屏障和多样化的系统设备和功能，可以有效地提高核电厂的安全性能，并防止潜在故障的发生。同时，系统提高了核电厂的可用性和经济性，增加了核电厂的安全性，从而减少核电厂事故的发生概率，降低了其对人类和环境的威胁。

［1］ NUREG/CR 6303 - 1994 Method for performing diversity and defense-in-depth analysis of reactor systems［S］.1994.

［2］ HAF 102 -2004 核动力厂设计安全规定［S］.2004.

［3］ HAD 102. 14 - 1988 核电厂安全有关仪表和控制系统［S］.1988.

［4］ 林诚格. 非能动安全先进核电厂AP1000［M］. 北京:原子能出版社，2008:375 -379.

［5］ 林诚格. 非能动安全先进压水堆核电技术［M］. 北京:原子能出版社，2010:756 -762.

［6］ 陈辉峰，黄勇成，吕方，等. 各时期核电厂ATWT 缓解系统比较与分析［J］. 原子能科学技术，2014，48(11):1064 -1067.