上海?？怂共_有限公司北京分公司 孫凱

1 引言

作為一種清潔能源，核能日益受到重視，我國(guó)計(jì)劃到2020年，核電運(yùn)行裝機(jī)容量達(dá)到7000萬千瓦。但是核能又是一種非常特殊的能源，對(duì)安全有特殊的要求，一旦發(fā)生事故，會(huì)對(duì)環(huán)境和社會(huì)公眾造成巨大的危害，后果不堪設(shè)想。在福島核事故之后，如何提高核電站可靠性，確保充分利用核能優(yōu)勢(shì)，又能將潛在風(fēng)險(xiǎn)降到最低，已成為業(yè)內(nèi)普遍關(guān)注的問題。DCS系統(tǒng)是核電站的神經(jīng)中樞，可以確保核電站的正常運(yùn)行；其中的安全級(jí)DCS系統(tǒng)則可在異常工況下為核電站提供保護(hù)功能，即：在事故工況下能夠安全停機(jī)，并在事故發(fā)生后，能夠緩解事故，將事故后果限制在可接受的范圍內(nèi)。

隨著技術(shù)的進(jìn)步，數(shù)字化DCS系統(tǒng)開始取代傳統(tǒng)模擬控制和保護(hù)系統(tǒng)。數(shù)字化儀控系統(tǒng)具有以下優(yōu)點(diǎn)：

設(shè)計(jì)更加靈活；

能實(shí)現(xiàn)更加復(fù)雜的控制功能；

控制邏輯實(shí)現(xiàn)簡(jiǎn)化；

具有更強(qiáng)大的自診斷功能。但是在具有以上優(yōu)點(diǎn)的同時(shí)，數(shù)字化DCS系統(tǒng)也存在因共因故障導(dǎo)致控制及保護(hù)系統(tǒng)失效、喪失安全功能的潛在風(fēng)險(xiǎn)。因此在核電站安全級(jí)DCS系統(tǒng)設(shè)計(jì)及實(shí)施過程中，必須采取針對(duì)性措施，以確保在共因故障導(dǎo)致控制及保護(hù)系統(tǒng)失效時(shí)，核電站的安全功能能得以執(zhí)行。

2 核電站安全級(jí)DCS系統(tǒng)多樣性設(shè)計(jì)原則

《核動(dòng)力廠設(shè)計(jì)安全規(guī)定》（以下簡(jiǎn)稱《標(biāo)準(zhǔn)》）中明確要求：核電站保護(hù)系統(tǒng)必須采用多樣性設(shè)計(jì)，降低共因故障導(dǎo)致保護(hù)系統(tǒng)失效的風(fēng)險(xiǎn)，以滿足核電站縱深防御原則，實(shí)現(xiàn)安全核電站的安全目標(biāo)。

共因故障指的是由特定的單一事件或起因?qū)е聝蓚€(gè)或多個(gè)構(gòu)筑物、系統(tǒng)或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件，也可以是人為原因造成的事件。具體而言，共因故障可以由設(shè)計(jì)缺陷、制造缺陷、運(yùn)行或維護(hù)差錯(cuò)、自然事件、人為事件、環(huán)境條件的變化引起。

多樣性，是針對(duì)共因故障設(shè)置的預(yù)防措施。多樣性在《標(biāo)準(zhǔn)》中的定義為：為執(zhí)行某一確定功能設(shè)置兩個(gè)或多個(gè)多重部件或系統(tǒng)，這些不同部件或系統(tǒng)具有不同屬性，從而可以減少發(fā)生共因故障的可能性。對(duì)比《標(biāo)準(zhǔn)》中多樣性的定義，我們不妨定義人員及組織多樣性為“為完成某一確定任務(wù)而設(shè)置兩個(gè)或多個(gè)人員或組織，這些人員或組織隸屬于不同的部門，相互獨(dú)立，從而可以減少共因故障的可能性”。多樣性原則是核電站DCS系統(tǒng)設(shè)計(jì)的基本原則，在設(shè)計(jì)中必須予以考慮，以提高核電站的安全性和可靠性。

3 安全級(jí)DCS系統(tǒng)多樣性分類及實(shí)現(xiàn)方法

針對(duì)共因故障產(chǎn)生的原因，在安全級(jí)DCS設(shè)計(jì)及實(shí)施過程中可以采取以下應(yīng)對(duì)措施，來降低共因故障導(dǎo)致的風(fēng)險(xiǎn)，提高核電站的可靠性和安全性。

3.1 人員多樣性

在DCS設(shè)計(jì)和實(shí)施過程中，人是最重要的因素，也是最不確定的因素。在所有的人為故障中，最容易被忽視的就是人員的共因故障導(dǎo)致的設(shè)計(jì)缺陷。人員導(dǎo)致的共因故障是由于相同的工作背景、相同的培訓(xùn)或者設(shè)計(jì)人員之間的相互技術(shù)交流等因素，導(dǎo)致某種錯(cuò)誤的觀點(diǎn)或者是錯(cuò)誤的方法在設(shè)計(jì)人員之間傳遞。很難通過設(shè)計(jì)人員之間的相互檢查來發(fā)現(xiàn)由于“人員的共因故障”造成的設(shè)計(jì)缺陷。為了防止“人員的共因故障”對(duì)安全級(jí)DCS系統(tǒng)的影響，在設(shè)計(jì)及實(shí)施中，采取以下措施來降低共因故障的潛在影響。

3.1.1 設(shè)計(jì)人員多樣性

核電站保護(hù)系統(tǒng)，可以分為兩部分：安全級(jí)DCS 系統(tǒng)和多樣性保護(hù)系統(tǒng)。多樣性保護(hù)系統(tǒng)（參見3.2）利用和安全級(jí)DCS 系統(tǒng)不同的信號(hào)、系統(tǒng)平臺(tái)、設(shè)計(jì)邏輯來實(shí)現(xiàn)不同于安全級(jí)DCS系統(tǒng)的保護(hù)功能，在安全級(jí)DCS系統(tǒng)因共因故障導(dǎo)致失效，不能完成安全停堆或安全專設(shè)功能時(shí)，由多樣性保護(hù)系統(tǒng)完成安全停堆或安全專設(shè)功能。因此為了防止“人員共因故障”的影響，多樣性保護(hù)系統(tǒng)的設(shè)計(jì)人員必須多樣性于安全級(jí)DCS系統(tǒng)設(shè)計(jì)人員，即由相互獨(dú)立的設(shè)計(jì)人員完成安全級(jí)DCS系統(tǒng)和多樣性保護(hù)系統(tǒng)的設(shè)計(jì)、實(shí)施工作。

3.1.2 驗(yàn)證和確認(rèn)人員多樣性

為了確保安全級(jí)DCS系統(tǒng)設(shè)計(jì)的質(zhì)量，除了進(jìn)行設(shè)計(jì)組織內(nèi)部之間的相互檢查之外，還必須進(jìn)行確認(rèn)與驗(yàn)證（Verification&Validation簡(jiǎn)稱 V&V）工作。在《標(biāo)準(zhǔn)》中規(guī)定，V&V 人員必須具有和設(shè)計(jì)人員相同的工作能力，但又不能是從事設(shè)計(jì)的人員，并且在組織、管理、財(cái)務(wù)上獨(dú)立于設(shè)計(jì)人員或組織，防止由于領(lǐng)導(dǎo)的行政指令，或者是組織的利益導(dǎo)致V&V 工作人員不能獨(dú)立的去執(zhí)行檢查工作，在某種程度上造成共因故障。V&V人員和設(shè)計(jì)人員之間的交流也必須加以限制，技術(shù)交流應(yīng)以書面的形式保存。V&V人員可以獨(dú)立的對(duì)設(shè)計(jì)結(jié)果進(jìn)行審查，針對(duì)設(shè)計(jì)中存在的問題給出相應(yīng)的評(píng)價(jià)，但是V&V人員不能對(duì)設(shè)計(jì)中存在的問題提出具體的解決方案，以避免共因故障的影響。

3.2 設(shè)備多樣性

設(shè)備多樣性指采用不同的工作原理由不同的廠家生產(chǎn)的，或者是相同的廠家根據(jù)不同的需求規(guī)范書生產(chǎn)的設(shè)備，防止由于單一的設(shè)備故障導(dǎo)致全部功能的喪失。但是需要注意的是，同一個(gè)產(chǎn)品的不同版本不能作為多樣性系統(tǒng)來使用。

3.2.1 保護(hù)系統(tǒng)多樣性

保護(hù)系統(tǒng)的多樣性可以從兩個(gè)方面來考慮，一是系統(tǒng)平臺(tái)的多樣性，二是控制邏輯的多樣性。在遼寧紅沿河核電站，安全級(jí)DCS系統(tǒng)采用三菱電機(jī)的Meltac數(shù)字化控制平臺(tái)，多樣性保護(hù)系統(tǒng)則是三菱電機(jī)的Melnac模擬式控制平臺(tái)。雖然均是三菱電機(jī)的產(chǎn)品，但是他們基于不同的工作原理，依據(jù)不同的需求規(guī)格書各自獨(dú)立完成，因此該方案滿足《標(biāo)準(zhǔn)》中關(guān)于多樣性的要求。在福建福清核電站，安全級(jí)DCS系統(tǒng)和多樣性保護(hù)系統(tǒng)分別采用英維斯運(yùn)營(yíng)管理旗下的Triconex系統(tǒng)平臺(tái)和I/A系統(tǒng)平臺(tái)。雖為同一集團(tuán)下的數(shù)字化DCS系統(tǒng)，但是它們是由獨(dú)立核算的廠家依據(jù)不同的需求規(guī)范書各自獨(dú)立完成的，因此該設(shè)計(jì)方案也滿足規(guī)范標(biāo)準(zhǔn)的要求。

除了采用多樣性的控制平臺(tái)，DCS控制邏輯也采用了多樣性的設(shè)計(jì)。

設(shè)計(jì)輸入不同：控制邏輯和設(shè)定值不同，一般情況下，多樣性系統(tǒng)的設(shè)定值要高于保護(hù)系統(tǒng)的設(shè)定值；

由不同的工程團(tuán)隊(duì)實(shí)施完成；因此，從控制邏輯方面來講，也滿足《標(biāo)準(zhǔn)》關(guān)于多樣性的的要求。

3.2.2 停堆系統(tǒng)多樣性

核電站停堆系統(tǒng)包括停堆斷路器和控制棒驅(qū)動(dòng)機(jī)構(gòu)（簡(jiǎn)稱CRDM）。在事故工況時(shí)，安全級(jí)DCS系統(tǒng)動(dòng)作，觸發(fā)停堆斷路器動(dòng)作，切斷電源，控制棒驅(qū)動(dòng)機(jī)構(gòu)失電動(dòng)作，靠重力作用下插，引入負(fù)的反應(yīng)性，從而使反應(yīng)堆安全停堆。多樣性保護(hù)系統(tǒng)則與CRDM對(duì)應(yīng)，在安全級(jí)DCS系統(tǒng)因共因故障失效，或者是安全級(jí)系統(tǒng)動(dòng)作發(fā)出停堆指令后，停堆斷路器因故障不能動(dòng)作，導(dǎo)致無法切斷電源時(shí)，過程參數(shù)持續(xù)上升，達(dá)到多樣性保護(hù)系統(tǒng)設(shè)置的限值后，多樣性保護(hù)系統(tǒng)動(dòng)作，通過控制棒機(jī)構(gòu)切斷供電源，控制棒在重力作用下下插，引入負(fù)的反應(yīng)性，從而使反應(yīng)堆安全停堆。如圖1所示。

圖1 核電站停堆系統(tǒng)

3.2.3 監(jiān)視和操作系統(tǒng)多樣性

核電站DCS系統(tǒng)的操作絕大部分都是在主控制室（MCR）內(nèi)完成的。主控室內(nèi)設(shè)置了計(jì)算機(jī)化的操作員站、常規(guī)儀表的后備盤（Backup Panel，簡(jiǎn)稱BUP）和應(yīng)急控制盤（Emergency Control Panel簡(jiǎn)稱ECP）。通常情況下，核電站的信息顯示和手動(dòng)控制是通過計(jì)算機(jī)化的工作站進(jìn)行的。后備盤是由常規(guī)儀表組成，是針對(duì)計(jì)算機(jī)化的工作站的多樣化人機(jī)接口設(shè)備。當(dāng)死機(jī)等不可控的因素導(dǎo)致操作員站不可用，不能對(duì)核電實(shí)施有效的監(jiān)視、控制和保護(hù)時(shí)，操作員可以利用后備盤，獲取與保護(hù)動(dòng)作相關(guān)的重要報(bào)警與指示，并能手動(dòng)觸發(fā)與安全保護(hù)動(dòng)作相關(guān)的動(dòng)作指令。在工作站故障的情況下，利用后備盤可以維持電站穩(wěn)態(tài)運(yùn)行4小時(shí)，并在需要時(shí)，將電廠帶入安全停堆狀態(tài)。

應(yīng)急控制盤是相對(duì)于安全級(jí)DCS系統(tǒng)的多樣手動(dòng)操作設(shè)備（設(shè)置停堆、專設(shè)等緊急啟動(dòng)保護(hù)動(dòng)作的手動(dòng)常規(guī)按鈕）。在整個(gè)安全級(jí)DCS系統(tǒng)因共因故障失效時(shí)，可以利用ECP上的按鈕，不經(jīng)DCS系統(tǒng)處理，直接通過硬接線將觸發(fā)信號(hào)送至執(zhí)行器，實(shí)現(xiàn)安全停堆或觸發(fā)專設(shè)安全動(dòng)作。

3.2.4 操作場(chǎng)所多樣性

除了上述在主控室中設(shè)置BUP和ECP等多樣性的顯示和操作系統(tǒng)外，在核電站DCS系統(tǒng)中，還設(shè)置了多樣性的操作場(chǎng)所：遠(yuǎn)程停堆站（RSS），在遠(yuǎn)程停堆站中設(shè)置了精簡(jiǎn)的操作員站。當(dāng)主控室因火災(zāi)、水災(zāi)或地震等原因不可用時(shí)，操作人員轉(zhuǎn)移到RSS，完成對(duì)核電站的監(jiān)視和控制，將核反應(yīng)堆維持在穩(wěn)定工況下或者是將其帶入安全停堆狀態(tài)。

3.3 功能多樣性

核電站安全級(jí)停堆保護(hù)系統(tǒng)，由四個(gè)冗余的保護(hù)通道組成，每個(gè)通道進(jìn)行獨(dú)立的運(yùn)算，輸出部分停堆信號(hào)，四個(gè)通道的部分停堆信號(hào)進(jìn)行四取二符合邏輯運(yùn)算，如果有兩個(gè)以上的信號(hào)為真，則觸發(fā)停堆信號(hào)，實(shí)現(xiàn)停堆保護(hù)功能。為了提高保護(hù)系統(tǒng)的可靠性，防止因共因故障導(dǎo)致保護(hù)系統(tǒng)失效，每個(gè)通道的設(shè)計(jì)都需要充分考慮保護(hù)系統(tǒng)功能的多樣性，即將執(zhí)行同一保護(hù)功能的多樣性保護(hù)參數(shù)和邏輯分配在不同的子組：多樣性子組1和多樣性子組2，并將兩個(gè)子組在不同的計(jì)算機(jī)單元實(shí)現(xiàn)，從而減輕共因故障的影響。對(duì)于一些特殊的公共參數(shù)，需要在兩個(gè)子組中同時(shí)處理，以滿足邏輯處理的要求。同一個(gè)保護(hù)通道的兩個(gè)多樣性子組輸出的保護(hù)信號(hào)經(jīng)過門運(yùn)算后送至停堆斷路器執(zhí)行停堆功能，當(dāng)任何一個(gè)子組因故障而失去保護(hù)功能時(shí)，另一個(gè)子組仍可以提供保護(hù)功能。

我們以三環(huán)路反應(yīng)堆的冷卻劑泵為例。冷卻劑泵負(fù)責(zé)向反應(yīng)堆傳送冷卻劑，一旦冷卻劑泵出現(xiàn)故障或者停止運(yùn)行，反應(yīng)堆就無法獲得足夠的冷卻劑，不能及時(shí)將反應(yīng)熱導(dǎo)出，輕則會(huì)導(dǎo)致反應(yīng)堆停堆，重則會(huì)導(dǎo)致堆芯融化，放射性物質(zhì)外泄的嚴(yán)重事故。因此從現(xiàn)場(chǎng)傳感器到停堆保護(hù)系統(tǒng)，都采用了多樣性設(shè)計(jì)。安全級(jí)DCS采集了兩種不同類型的參數(shù)：泵轉(zhuǎn)速以及泵斷路器的開、合狀態(tài)來確定冷卻劑的運(yùn)行狀態(tài)（設(shè)備多樣性），在子組1和子組2中分別處理（功能多樣性）。如果因電源、傳感器故障等原因?qū)е乱粋€(gè)子組喪失保護(hù)功能，另外一個(gè)子組則可以繼續(xù)完成邏輯運(yùn)算，觸發(fā)停堆信號(hào)，完成安全保護(hù)功能，如圖2所示。

圖2 核電站保護(hù)系統(tǒng)通道及子組

4 結(jié)論

從以上分析可以看出，核電站安全級(jí)DCS系統(tǒng)的設(shè)計(jì)及實(shí)施中，充分考慮了人員、設(shè)備及功能的多樣性，降低了DCS系統(tǒng)運(yùn)行過程中因共因故障導(dǎo)致保護(hù)功能喪失的風(fēng)險(xiǎn)，大大提高了核電站DCS系統(tǒng)的可用性可靠性、和安全性，能夠確保核電站的安全運(yùn)行，保證公眾和環(huán)境的安全。

[1] 國(guó)家核安全局 HAFl02,核動(dòng)力廠設(shè)計(jì)安全規(guī)定[S].

[2] 濮繼龍等.大亞灣核電站運(yùn)行教程[M].北京:原子能出版社,1999.

[3] 廣東核電培訓(xùn)中心.900MW壓水堆核電站系統(tǒng)與設(shè)備[M].北京:原子能出版社,2006.