第28卷  第5期2021年5月仪器仪表用户INSTRUMENTATION
Vol.282021  No.5
快堆多样化驱动系统独立性分析
冯伟伟,段天英,尹 凯,徐启国
(中国原子能科学研究院,北京 102413)
摘    要:
多样化驱动系统是核电厂保护系统数字化以后,为了防止保护系统软件共因失效设置的,部分压水堆中,将多样化驱动系统与ATWS 系统合并,防止反应堆保护系统停堆功能失效。在多样化驱动系统的设计中,存在较大争议的问题是:多样化驱动系统是否要考虑与反应堆保护系统完全独立,包括仪表的独立、逻辑处理的独立、执行机构的独立。国内的核电站设计中,安全审查部门也经常关注这个问题。本文将从国内外核电厂多样化驱动系统的独立性设计方面分析,考虑多样化驱动系统的设计初衷,从核电厂的可靠性等角度说明多样化驱动系统并不需要在仪表设置上完全独立于反应堆保护系统。这样在保证可靠性的情况下,能提高核电厂的可运行性,也降低了系统的造价,简化系统设计和运行。
关键词:多样化驱动系统;快堆;DAS 系统;独立性
中图分类号:TL363              文献标志码:A
Independence Analysis of Fast Reactor Diversity Actuation System
Feng Weiwei ,Duan Tianying ,Yin Kai ,Xu Qiguo
(China Institute of Atomic Energy, Beijing 102413, China)
Abstract:The I&C system of nuclear power plant has entered the era of comprehensive digitization. In order to prevent the
common cause failure of protection system software, a diversity actuation system is added. In some PWRs, the diversity actuation system and ATWS system are combined to prevent the shutdown function failure of the reactor protection system. In the design of diversity actuation system, there is a big controversy whether the diversity actuation system should be completely independent from the reactor protection system, including the independence of instrument, logic processing and actuator. In the design of nuclear power plants in China, the safety review department often pays attention to this problem. This paper analyzes the independence design of diversity actuation system of nuclear power plants at home and abroad, considers the original design intention of diver-sity actuation system, and il
lustrates that the diversity actuation system does not need to be completely independent of the reactor protection system in terms of instrument setting. In this way, under the condition of ensuring the reliability, the operability of the nuclear power plant can be improved, the cost of the system can be reduced, and the design and operation of the system can be simplified.
Key words:diversity actuation system;fast reactor;DAS system;independent
DOI:10.3969/j.issn.1671-1041.2021.05.008
文章编号:1671-1041(2021)05-0031-04
0  引言
多样化驱动(DAS)系统是从压水堆的ATWT/ATWS 系统演变而来的。ATWT/ATWS 是为克服或缓解没有停堆
的预期瞬变过程(ATWT,Anticipated Transient Without Trip 或称ATWS,Anticipated Transient Without Scram)而设置的。ATWT/ATWS 系统提供反应堆保护系统之外的多样化驱动
ac reactor收稿日期:2021-03-22
作者简介:冯伟伟(1982-),男,陕西韩城人,硕士,高级工程师,研究方向:反应堆仪表与控制(I&C)技术研究与应用。
第28卷32仪器仪表用户INSTRUMENTATION
功能,在万一发生反应堆保护系统不能实现停堆(包括保护系统本身失效)时,附加保护系统进一步给出反应堆停堆信号,同时启动辅助给水系统,并使汽轮机停机,以减缓ATWT事故,保证电厂的安全。美国依据NRC Branch Technical Position BTP-7-19,Rev 5以及NUREG-0800的要求,对保护系统多样性的设计提出了更高的要求,即需提供多样化的保护措施以应对可能发生的整个安全级仪控系统的软件共模故障。
数字化技术进入反应堆仪控系统后,有了新的需求,需要考虑软件共模故障。相关工作人员发现软件共模失效的应对系统与ATWT的应对系统有很多共性,于是从AP1000的设计开始,把ATWT/ATWS系统逐步增加功能,逐渐演变成多样性驱动(DAS)系统,也有很多压水堆同时设置DAS系统(或者其他名称)和ATWT应对系统。
1  多样化驱动系统的功能[2]
反应堆保护系统的设计已考虑防止软件共模故障,可一旦这种概率很小的共因故障出现了,多样化驱动
系统(DAS系统)就能提供多样化驱动。DAS系统包括:自动驱动功能、手动驱动功能以及显示和报警功能。DAS系统动作输出采用正电平触发信号,系统断电后不给出停堆或专设触发信号。具体功能如下:
1)自动驱动功能:DAS采用与保护系统共用探测器信号,当相关参数超过限值时,给出停堆、停机,触发专设安全设施动作。
2)手动驱动功能:DAS系统在控制室提供手动操作手段,使用硬接线连接,能完成停堆、停机、专设安全设施触发等动作信号(手动功能优先于自动功能,操作前需进行确认)。
3)显示和报警功能:主控室中显示传感器信号。这与保护系统的显示功能不同,也显示系统故障和系统内报警信号。
4)试验功能:DAS系统属于NC(S)的范围,为了提高系统的可靠性,具有定期试验的功能。定期试验由手动启动,并自动完成相关的试验内容。定期试验可以在停堆换料期间进行,且不会对核电厂的正常运行造成影响。
所以,DAS系统是保护系统的多样化后备,有时也称为多样化保护系统。
2  设置DAS系统的目的
从其诞生来源可知,压水堆多样性驱动(DAS)系统的设计目的是:减小设计中的“未能紧急停堆的预期瞬态(ATWT/ATWS)”和共模故障可能引起的严重事故的概率。
1)ATWT(Anticipated Transient Without Trip),未能紧急停堆的预期瞬态:在II类工况后,保护系统发生故障而未能紧急停堆,如:丧失正常给水、丧失厂外电源、反应堆系统误降压、控制棒误提升、甩负荷或汽机脱扣等。
2)共模故障:由共同原因引起的两个或者两个以上元件同时失效(主要是针对安全级仪控平台软件的共因失效Software Common Cause Failure(SWCCF))。
2.1  快堆严重事故与压水堆的区别及应对
池式钠冷快堆区别于普通压水堆,其严重事故分别为:失流事故、瞬态超功率、燃料破损迁移、失去热阱事故。设计基准事故和反应堆保护系统失效同时发生的事故,主要是以下3种:
1)失流事故
类似于压水堆丧失掉正常给水的(ATWT)事故,池式钠冷快堆最为接近的是无保护失流事故。紧急停堆失效下的无保护失流事故,可能导致冷却剂沸腾和堆芯上部形成钠空泡系数为正。大型反应堆可能导致反应堆超功率,并且使堆芯熔化。目前,快堆设计中设置了非能动停堆棒,应对可能发生的失流事故
而迅速停堆。
2)瞬态超功率
通过对FFTF和CRBR反应堆瞬态超功率事故的分析表明:在包壳失效时,通道中冷却剂向上流动,导致燃料向上输运后,事故终止。试验中,事故的反应性引入速率是0.1$/s,该值是反应堆中控制棒抽出引入反应性速率的4倍。由于燃料包壳的失效,包壳内和包壳外燃料的运动均引入负的反应性反馈,净反应性很快成为负值,导致反应堆中子学停堆。
3)破损的燃料扩散
对于氧化物燃料反应堆,由于氧化物燃料可以与钠发生反应,并且在破损局部形成沉淀产物。实验证明,沉淀增长得比较缓慢,有足够的时间通过缓发中子探测器探测到燃料包壳失效。因此,燃料包壳失效后,很容易实现反应堆停堆和清除失效燃料组件。对于金属燃料反应堆,由于金属燃料不与钠发生反应,因而事故后果只有燃料逸散到主容器中。实验表明,包壳失效的结果可以接受。假如发生部分入口阻塞,将通过冷却剂温度升高和缓发中子信号测得,因此有足够的时间来实现停堆和清除失效组件。
在目前的快堆的设计中,有缓发中子监测信号,对此严重事故可有效进行控制。
2.2  针对设计预期瞬态不停堆(ATWT)事件的缓解
在压水堆机组中,Westinghouse,EDF,Framatome和CEA各公司均对各ATWT进行了研究,并得出一致结论:丧失掉正常给水和失掉厂外电源这两个ATWT最为严重,前者使一回路超压,后者使DNBR降低。而压水堆中多样性驱动(DAS)系统(包含ATWT部分)中,针对丧失掉正常给水的措施是汽机跳闸,启动辅助给水系统等措施来防止蒸汽发生器烧干,利用紧急停堆保护系统来保护反应堆。
针对于快堆来说,由于是常压系统,不存在一回路超压工况。相对于压水堆相似工况,快堆比较担心的是无保护的失流。在保护系统不能起作用的情况下,目前快堆设
冯伟伟·快堆多样化驱动系统独立性分析
第5期33
计中设置了非能动停堆棒,应对可发生的失流事故,无需多样性驱动(DAS)系统起相应作用。对于快堆而言,冷却剂是液态金属,故不存在偏离泡核沸腾问题(DNBR 降低)。
2.3  针对共模故障的应对
美国依据NRC Branch Technical Position BTP-7-19,Rev 5,2007以及NUREG-0800的要求,对保护系统多样性的设计提出了更高的要求,即需提供多样化的保护措施以应对可能发生的整个安全级仪控系统的软件共模故障。
但是,在NRC Branch Technical Position BTP-7-19,Rev 6,2012中,针对共模故障的概念又有了新的解释。
2.4  小结
由上面分析可知,快堆的设计中需要考虑软件的共模故障,而设置DAS 系统。换句话说,DAS 系统在快堆中只需要用来应对保护系统软件失效。
3  压水堆DAS系统独立性分析
3.1  AP1000和US-EPR [4]
在US-EPR 中,没有设置专门的DAS 监测参数。这是因为设计人员认为其仪控系统中,参数监测显示相关的内容是旁通了任何基于计算机微处理器进行数据处理的,系统本身具有适度的多样性。因此,不需要在DAS 系统中设置多样性参数监视。而在AP1000中,DAS 系统使用独立于保护系统的传感器。
3.2  VVERAES91机组(田湾核电站)
田湾在开始并未考虑针对软件共模失效的DAS 系统,后来根据新的安全要求,增加了MASS 系统。
MASS 为操纵员提供安全系统手动驱动方式,同时通过正常运行仪控系统为操纵员提供电站重要事件的监视。出现反应堆保护系统失效时,操纵员可以通过监视画面提供的信息,判断人工干预的必要性,确定是否操作数字化专设安全设施驱动多样性系统设备,驱动必要的安全系统设备,应对或缓解事故的后果,维持电站各项参数处于安全范围以内。
田湾3、4号机组反应堆保护系统(ESFAS 部分)在测量和逻辑运算部分已经实现了多样性,没有必要再设置一套同样的控制系统。但由于原安全仪控系统采用了相同的软件,可设置1套基于硬件的MASS 系统,提供手动触发旁通计算机软件的手段。MASS 可简洁地与TXS 系统集成到一起,而不影响系统原有架构,所以MASS 系统没有设置独立的探测器。
3.3  EPR机组(台山核电站)
同样作为第3代堆型的EPR,它采取的是针对严重事故特别设置新的仪控系统,即严重事故仪控系统(SAI&C)和严重事故仪控系统(SAS DEC-B)。根据概率安全分析得到的可靠性数据,EPR 的仪控设计方案满足相关的安全所要求的概率目标。
对影响保护系统共因故障的预防和缓解是EPR 设计的一个重要特征,这一原则体现在其它仪控系统(独立于保护系统)中的后备功能实现上。
EPR 原始方案中设置了一个硬核系统(HKS),后来根
图2  AP1000 DAS系统总体结构
Fig.2  AP1000 DAS System overall structure
图1  US-EPR中DAS系统与SICS系统接口
Fig.1  Interface between DAS system and SICS system in US-EPR
图3  EPR仪控系统总体结构图
Fig.3  Overall structure of EPR I & C system
据这个思路设计了DAS系统。DAS系统并没有设置完全独立的探测器,也没有设置独立的断路器。
保护系统通过失电线圈控制停堆断路器,而DAS系统通过分励线圈(得电动作)控制停堆断路器。由DAS系统产生的停堆信号会触发停堆,反应堆停堆信号会直接触发汽机跳闸,同时该信号会送到保护系统以保持一致性(每个序列内经过四取二表决逻辑处理)。
独立于保护系统的汽轮机的停机功能,DAS系统可通过冷段温度低信号触发跳机信号。
3.4  CPR1000机组
CPR1000是以中广核集团从法国引进的M310机组为基础,结合技术改进形成的中国大型商用压水堆技术方案。
CPR1000机组的DAS系统是保护系统的多样性配置,传感器的多样性已经在保护系统中考虑,故DAS系统从支持驱动的多样性考虑,没有设置完全独立于保护系统的仪表。
3.5  CNP1000机组
福清、方家山核电站机组型号为CNP1000,其仪控系统也进行了数字化升级。
DAS系统与反应堆保护系统共用测量仪表,来自传感器或者变送器的信号在反应堆保护系统侧进行隔离后,再通过硬接线分配到DAS机柜。经必要的处理后,再进行阈值比较。当超过阈值则产生“局部脱扣(partial trip)”信号,然后进行相应的逻辑处理,产生触发紧急停堆、汽轮机刹车、安全注入以及蒸汽管道隔离等功能的信号。
3.6  小结
1)压水堆的DAS系统主要作为保护软件部分的多样性设计,并未采用完全独立于保护系统的探测仪表,但是要求探测信号不能进入DCS网络或者数据处理单元。
2)压水堆设置了ATWT应对系统,但是这个系统也没有设置完全独立于保护系统的仪表。
3)DAS系统设置独立的探测器是更好的选择,但不是必须这样做。
4  快堆DAS系统独立性分析
4.1  平台的独立性
DAS系统选用与反应堆保护系统不同的安全级DCS平台产品,两个平台其设备及软件架构都是不同的。其技术与制造工艺均不同,如保护系统选择CPU架构的平台,那么DAS系统可选用FPGA技术实现或者使用模拟技术。当然,另一种CPU架构的平台也是可以的。
且DAS系统采用一般考虑造价和可用性,采用2/2符合逻辑,主动信号驱动(断路器得电断开),不同于保护系统2/4的符合逻辑及故障安全设计(断路器失电断开),降低了误动概率。
4.2  设备布置及供电的独立性
DAS系统的两个机柜独立于保护系统机柜,可以确保与保护系统的设备实体分隔。
DAS系统供电为两路独立的(分别来自于应急A列和应急B列)应急不间断交流电源,与保护系统设备电气隔离。
4.3  保护参数的独立性与多样性
DAS系统的保护参数选择,应是对所有始发事件的保护参数的最小割集,保证在发生任意需要停堆的始发事件时,如果保护系统未能停堆,则DAS系统能触发停堆或专设。
DAS系统与保护系统有部分信号共用,DAS系统取信号是在信号进入安全级DCS之前,通过隔离模块进行隔离分配。其中,温度信号需要软件进行温度计算,故DAS系统设置了独立的温度传感器。
当保护系统软件故障时,不会对探测器的信号产生影响。
4.4  驱动设备的独立性
DAS系统在主控室和远程停堆站设置了停堆及专设触发的手动按钮,与保护系统不同;后备盘设置了专门的DAS操作区。
DAS系统的断路器设置了与保护系统不同的断路器,采用2/2的符合逻辑。
5  总结
通过对压水堆和快堆DAS系统的设计和独立性分析,认为目前快堆DAS系统与保护系统之间满足实体分隔、功能隔离、电气隔离等独立性设计要求,并且对比压水堆DAS系统以及相关法律法规的要求,快堆DAS系统作为反
(下转第10页)
6-4-2007电磁兼容性标准中给出的规定[3],MBC 控制柜应与周围机柜保持3m ~5m 的距离。对电磁干扰因素进行评估,采用大间距设计,可有效避免设备间产生电磁干扰。
6  结束语
在乙烯装置膨胀机再压缩机的仪表工程设计过程中,需要注意以下几点:
1)在满足机组工艺流程对仪表控制要求的基础上,结合用户实际需求选择控制系统架构,可优先采用CCS+MBC。
2)当用户(业主)有要求时,可采用DCS+SIS+MBC 作为控制系统,将原有集成在CCS 的联锁逻辑进行逻辑拆解是仪表工程设计的重点。要保证逻辑拆解后,逻联锁辑输入条件和输出动作不受影响。设计中,应优化联锁逻辑设计和仪表接线工作,减少各系统间非关键联锁信号往来。
3)关键控制回路的设计,应满足工艺操作的需要,并严格遵循机组对设定值的要求,进行精准控制。联锁逻辑设计时,应与机组制造商共同完善联锁逻辑设计方案,将功能控制与联锁报警进行细化和拆分,并进行优化。
4)MBC 机柜布置应符合规范的要求,结合成功的工程经验,合理布置机柜,避免设备间的电磁干扰。
参考文献:
王松汉.乙烯工艺与技术:第1版[M].北京:中国石化出版社,2012.邹余敏,王淇汶,孙晶磊,等.乙烯装置中尾气膨胀制冷及对深冷
分离的影响[J].石油化工,2000,29(9):686-688.
CENELEC.EN 61000-6-4(2007)电磁兼容性EMC通用标准
[S].2007.
轴承系统MBC 控制柜的安装位置进行评估。MBC 柜内包含有电源放大器、备用电磁、PID 控制器、电流电压调整器,应安装在非防爆区。根据机组控制需求,MBC 和仪表控制系统之间有硬线信号和通讯信号连接,同时MBC 还需要由MCC 供电。因此,在乙烯装置现场通常将MBC 放置在仪表现场机柜室FAR,或者马达控制中心MCC。在进行机柜间布置设计时,应特别注意避免MBC 柜和其他机柜因距离过近产生电磁干扰现象,如前期设计忽视了这一点,由此带来的现场整改工程问题将不可小觑。根据EN61000
[1][2][3]表2  机组允许启动联锁因果表
Table 2  Cause and effect table of unit allowable start interlock
(上接第34页)
应堆保护系统的多样性手段之一,其平台、软件架构、设备、驱动机构、驱动方式等均满足独立性原则,保证在保护系统平台失效时,提供既定的保护功能。
参考文献:
周卫华,王巧燕,彭锦,等.各堆型DAS系统功能设计对比研究[J].
核科学与工程,2012,32(S2):111-117.
冯伟伟,俞霄,盛静,等.快堆DAS系统设置分析[J].仪器仪表用
户,2016,24(07):52-55.
黎国民.ACPR1000多样化驱动系统的研究与实现[J].测试工具
与解决方案,2015(03):101-104.
俞金波.AP1000的多样性驱动系统(DAS)分析[J].黑龙江科技信
息,2008,33:53-54.
张艳婷,周赟,贾伟志.多样化驱动系统设计特点和多样性分析
[J].能源与节能,2014(05):65-68.
王银丽,罗炜,朱攀,等.福清核电厂一期数字化核仪表系统设计[J].核动力工程,2015,36(2):72-76.
张云波,张宓,黄伟杰,等.核电厂ATWT缓解系统的多样性与独
立性分析[J].2014,35(6):77-79.
张冬冬,蒙海军.红沿河核电站安全级DCS控制系统设计[J].电力
建设,2009,30(6):66-68.
[3][4][5][6][7][8][1]
[2]

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。