先进核电厂仪控系统纵深防御设计研究

纵深防御概念诞生于20世纪40年代第一批生产核武器材料钚的军用生产堆的建造过程当中。虽然物理学家们认为无需在建造中再考虑其他影响安全的不利因素，但汉福特B生产堆承包商杜邦公司的化学工程师根据建造运行化工厂积累的经验，坚持认为应考虑必要的不确定性，为此将反应堆分割成一个个更小且相对独立的子系统，防止一个子系统的故障波及到另外的子系统，同时在重要系统和部件的建造和安装过程中有意识地留有安全裕度。而汉福特B生产堆运行过程中发生的意外自动停堆事件进一步证明了这种设计的重要性。这种经验在后续的核电厂建设过程中被广泛借鉴。

纵深防御概念延续至今，其已经成为核安全理论中的重要基石，贯穿于安全有关全部活动当中，包括组织、行为、设计和设备等各方面，以保证这些活动均置于重叠措施的防御之下。核电厂的纵深防御设计是防止和减轻事故后果的主要手段，纵深防御主要通过将一些连续和独立的防护层结合起来加以实施，并且在人员或环境可能受到有害影响的时候，这些防护层必须不能失效。如果某一层防护或屏障失效，后续防护层或屏障就应发挥作用。在实施的当时，纵深防御能够确保任何单一的技术故障、人为或组织失误都不会导致有害影响，并确保可能引起重要有害影响的叠加故障概率非常低。不同防护层的独立效能是纵深防御的一个必要组成部分。

1 仪控纵深防御要求

HAD102/10-2021《核动力厂仪表和控制系统设计》给出了纵深防御理念在仪控系统设计基准中的要求，主要包括：

(1)2.3.5.4节(3)，纵深防御和多样化：纵深防御和多样化分析是审查安全系统共因故障弱点的手段之一;

(2)3.1.6节，分配到仪控系统的功能包括，在不同运行状态模式以及事故工况下，为运行核动力厂提供相关信息和控制的能力。这些功能的目标与纵深防御理念相一致：

防止偏离正常运行;

检测故障并控制异常运行;

控制核动力厂设计基准以内的事故。

控制设计扩展工况的后果;

缓解事故的放射性后果。

(3)4.1.6节，仪控系统的总体结构不应违背核动力厂设计的纵深防御理念和多样性策略;

(4)4.1.7节，仪控系统的总体结构应明确自身的纵深防御理念和多样性策略;

(5)4.1.8节，在仪控总体结构设计中，还应确定支持核动力厂纵深防御和多样性不同层级的仪控系统间的独立性水平;

(6)4.1.9节，仪控总体结构内的纵深防御通过各条独立的防御线来实现，一条防御线的失效可以由下一条防御线弥补;(7)9.4.19节，应采取预防措施以避免因使用相同的软件(例如操作系统、网络通信软件或其他运行支持软件)导致各层纵深防御所需系统之间的独立性破坏。

2　先进核电厂仪控系统纵深防御设计

基于HAD102/10-2021的相关要求，同时满足本堆型依据HAF102-2016《动力厂设计安全规定》确定的核电厂总体纵深防御策略，本研究制定了先进核电厂仪控系统的纵深防御方案：

(1)仪控系统纵深防御第1层次，由电厂运行控制系统在正常运行工况完成电厂主要监控任务;

(2)仪控系统纵深防御第2层次，应对预计运行事件(AOO)。由保护和安全监测系统中的紧急停堆子系统保证相关重要参数的偏离达到设定的阈值时停堆，将机组带入安全状态;

(3)仪控系统纵深防御第3层次，应对设计基准事故(DBA)。由保护和安全监测系统中的专设驱动子系统触发执行安全功能，防止事故进一步发展造成堆芯损伤或需要采取场外干预措施的放射性释放，并保证机组重回安全状态;

(4)仪控系统纵深防御第4层次，应对设计扩展工况(DEC)。由多样化驱动系统(DAS)应对保护和安全监测系统共因故障，由严重事故监测和控制系统实现严重事故预防和缓解功能;

(5)仪控系统纵深防御第5层次，由应急辅助决策系统提供事故数据分析及评价，为应急指挥人员提供辅助决策。

相较于M310机型，先进核电厂仪控系统的5层纵深防御设计准则，仅第4层次的设计要求变化较大。本文将主要介绍此防御层次的设计过程及方案。

3　多样化驱动系统设计

3.1　多样化驱动系统功能需求

美国核管会安全评审技术见解BTP7-19，明确提出了核电厂建造和运行申请者应对核电厂仪控系统进行完整的纵深防御评估，对安全分析报告中的每个事件进行分析(最佳估算方法)，当某一故障模式会导致主保护系统安全功能丧失时，必须提供适当的备用控制手段。这种控制手段包括自动控制和手段控制，且必须与主保护系统具有充分的多样性。根据这一基于确定论的原则，通过如下流程确定先进核电厂的DAS功能需求：

(1)根据多样性和纵深防御(D3)原则，采用“最佳估算”的方法对先进核电厂安全分析报告第15章中列出的不同的事故进行分析，假定数字化的保护和安全监测系统由于软件共模故障不能执行相应的安全功能，确定仪控系统应具备的、能够使反应堆达到安全停堆状态的后备保护功能。

(2)后备保护功能包括自动保护、系统级手动保护和监视、部件级手动控制和监视。其中系统级自动后备保护功能由DAS系统实现，系统级手动保护功能由旁通数字化保护和安全监测的紧急操作盘(ECP)实现，部件级手动控制功能由非安全级DCS操纵员工作站实现。自动和手动后备保护功能的划分以操纵员能够做出正确的判定并进行人为干预的时间(紧急停堆为10分钟，专设安全动作为30分钟)为界。

(3)ATWT功能用于应对由于共因故障引起的控制棒不能插入堆芯未能实现紧急停堆的预期瞬变。ATWT功能的分析虽然与针对数字化保护和安全监测软件共模所采用的D3分析方法不同，但对于系统设计、设备设计的要求一致，因此统一纳入DAS系统实现。

先进核电厂的DAS系统设计基本流程如图1所示。

图1 DAS系统设计基本流程

基于此流程，确定多样化驱动系统的功能需求，并完成功能分配:

(1)脱扣功能：紧急停堆、汽机刹车;

(2)启动辅助给水;

(3)停闭反应堆冷却剂泵;

(4)启动应急硼注入;

(5)主给水隔离;

(6)主蒸汽管线隔离;

(7)启动安注等。

3.2　多样化驱动系统设计

按照NUREG/CR 6303的要求，从设计多样性、设备多样性、软件多样化、功能多样化、信号多样化和人员多样化六个方面出发，确保DAS系统与主保护系统(不包括优先级控制模块PLM部分)的多样性。针对每一个多样化要求，可以采用多个方法来实现：

(1)设计多样性方法

不同的技术;

同一技术的不同方法;

不同的架构。

(2)设备多样化方法

不同设计原理的不同制造商;

不同设计原理的同一制造商;

采用相同设计的不同制造商。

(3)软件多样性方法

不同的算法、逻辑和程序架构;

不同的时序、执行顺序;

不同的操作系统;

不同的计算机语言。

(4)功能多样化方法

不同的基本机制(插棒与硼化);

不同的目标、功能、控制逻辑或驱动方法。

(5)信号多样化方法

不同物理感应原理测量不同的反应堆或工艺参数;

同一物理感应原理测量不同的反应堆或工艺参数;

一组冗余的相似传感器测量相同的反应堆或工艺参数。

(6)人员多样化方法

不同的设计公司;

同一公司内不同的工程管理团队;

不同的设计师、工程师或程序员。

基于多样化驱动系统的工艺条件输入，以及电气隔离、通信独立性、多样化的要求，明确其与其他仪控间的接口，包括：

(1)硬接线接口：DAS系统从堆外核测系统接收模拟量信号和开关量信号;从保护和安全监测系统的隔离分配机柜接收工艺测量信号，以及系统生成的紧急停堆信号和汽机刹车信号，并通过硬接线反向回送用于“紧急停堆信号”试验的试验反馈信号;DAS系统的控制输出信号送往PLM，用于控制相关系统的驱动器;DAS系统采集来自停堆断路器盘(RTB)的停堆断路器状态信号以产生P4信号;DAS系统产生的停堆信号，送往棒控棒位系统的棒控电源柜以实现与保护和安全监测系统的多样化停堆功能;汽轮机跳闸信号，通过硬接线送到汽轮机保护系统;汽轮机旁路系统第3组阀门关闭信号、应急硼注入系统的触发信号，DAS通过硬接线送往对应的系统;来自后备盘(BUP)的闭锁信号和复位信号以及送往BUP的信号指示灯均通过硬接线传输。

(2)网络接口：DAS系统通过网络将用于显示和报警的信号送到电厂计算机信息和控制系统(IIC)，并通过网络接收来自IIC的闭锁和复位信号。

3.3　多样化驱动系统架构

基于多样化驱动系统的功能需求，与其他仪控系统的接口，以及人机接口的设计，完成多样化驱动系统的架构设计，如图2所示。

图2 多样化驱动系统构架

为了验证系统的性能要求，建立多样化驱动系统的仿真验证模型，其与堆芯物理模型建立接口，用以验证基于制造商平台的设备特性确定的系统精度、响应时间是否满足设计基准事故叠加保护和安全监测系统共因故障后，事故缓解及处理后果要求。

针对多样化自动保护整定值的设定，既要考虑核电厂事故的干预及时性，又要保证保护和安全监测系统在功能正常的情况下可以先动作，且多样化驱动系统不再重复保护动作的驱动。基于此要求，本研究在初步设计阶段采用了两种方案：一种是与保护和安全监测系统的保护整定值一致，在驱动指令发出前加一定的时间延迟;另一种是在保护和安全监测系统的保护定值基础上增加一定安全裕度，并考虑仪表和控制系统的精度和响应时间。将两种方案的设计结果带入到仿真模型开展验证工作后，确定最终的整定值方案。

4　严重事故监测和控制系统设计

先进核电厂采用能动和非能动相结合的安全系统设计理念，对于全厂断电等设计扩展工况(包括严重事故)的预防和缓解方面进行了较为完善的考虑，设置了能动与非能动相结合的堆腔注水冷却方案、非能动安全壳热量导出系统、二次侧非能动余热排出系统、非能动氢气复合系统、用于严重事故的安全壳氢气监测系统等。严重事故监测和控制系统用以实现严重事故预防和缓解功能的监测和控制。

基于严重事故监测和控制系统的工艺条件输入，以及电气隔离、通信独立性的要求，明确其与其他仪控间的接口。同时，基于其72小时不间断供电要求，以及蓄电池容量有限的条件，确定了传感器信号采集路径、部分优先级控制模块，以及后备盘设置专门区域进行监测和控制功能的供电方案，完成严重事故监测和控制系统的架构设计，如图3所示。

图3 严重事故监测和控制系统架构图

通过设置能动与非能动相结合的工艺系统和严重事故监测和控制系统，先进核电厂提供了严重事故监测和控制功能，降低了堆芯损坏的概率，并实现了可能导致早期放射性释放或者大量放射性释放的事件序列被实际消除的目标。

5　结论

先进核电厂的仪控系统设计，在保证其他纵深防御层次完整性的前提下，针对第4层开展了完整的功能分析和结构设计工作，保证在第3层次纵深防御失效的情况下，能够控制事故进展和减轻事故后果，实现了设置该防御层的目的。另外，多样化驱动系统、严重事故监测和控制系统的设计覆盖了上游专业对设计扩展工况下工艺设备的监控需求，且满足标准法规的要求。