核电站反应堆保护系统架构分析
时间:04-14
来源:互联网
点击:
引言
核电站仪控系统在高可靠性、高可用性和高安全性等方面的要求,使得核电站数字化控制保护技术成为当代控制系统发展的技术前沿。反应堆保护系统包括紧急停堆系统和专设安全设施驱动系统。反应堆保护系统监测与反应堆安全有关的参数。当这些参数超过预设的保护定值时,反应堆保护系统自动触发紧急停堆并启动相应的专设安全设施,以限制事故的发展,减轻事故后果,防止放射性物质向周围环境释放,保证设备和人员的安全。经过几年的发展和研究,国外科研机构和厂商在保护系统的架构设计方面也形成了不同的风格。本文以IEC-61508和IEC-61513标准为依据, 从安全完整性等级的角度描述并分析了不同的安全相关结构和保护系统架构的特点。
一、安全标准IEC-61508
IEC-1508是国际电工委员会于2000年颁布的《电气/电子/可编程电子安全相关系统的功能安全》 国际标准。该标准针对所有由电气/电子/可编程电子部件构成的安全相关系统,目的是避免和控制系统性错误和随机错误,对危险性的失效进行定量的分析,并针对系统和产品的错误避免、故障控制和文件给出有效的技术和措施。为了实现安全目标,标准提出了安全完整性的概念。安全完整性是指在规定的条件下、规定的时间内,安全相关系统成功实现所要求的安全功能的概率。IEC-61508规定了四个安全完整性等级SIL(safety integrity level) ,即在确定了被控装置可能存在的风险后,必须采用相应等级的安全系统,把风险降低到可接受的范围内。对于安全完整性等级的确定,IEC-61508标准分别给出了定量和定性的方法。
二、安全相关结构
根据上述标准,安全完整性分为硬件安全完整性和系统安全完整性两部分。
①硬件安全完整性:这部分安全完整性与在危险的失效模式下的随机硬件失效有关。硬件安全完整性规定等级可在一个合理的水平下估计,并将其要求用组合概率的通用法规在子系统中进行分配,一般需要使用冗余结构来达到足够的硬件安全完整性。
②系统安全完整性:这部分安全完整性与在危险的失效模式下的系统失效有关。尽管与系统失效有关的平均失效率可以估计,但从设计失效和共同原因失效获得的失效数据即失效的分布难以预计。这样便增加了特定情况下失效概率计算的不确定性,因此,需要做出选择最佳技术的判定,将不确定性最小化。
提高硬件安全完整性的手段包括冗余和诊断。根据冗余通道的介质情况,提高安全性的冗余又可分为同质冗余(homogenous redundancy)和多样性冗余(diverse redundancy)。
同质冗余可以控制随机性故障,但却不能控制系统性故障,冗余通道容易犯同样的错误。多样性冗余除了可以控制随机性故障外,还可以控制系统性故障。
多样性冗余在硬件上要求电路原理不同、器件和技术不同、制造过程和生产工厂不同,在软件上要求编程语言不同、算法和程序员不同等。通过功能多样性和设备多样性来避免共模故障是仪控设计的基本原则之一,如核电站常规岛排污坑水泵系统,通常根据需要采用一用二备、二用二备或者三用一备。当正在运行的设备出现故障时,备用设备会自动投入使用。这种方法主要针对设备失效而不关注设备的输出是否正常和安全,可认为这种冗余提高了系统的可靠性。在核电站常规岛高/低压加热器系统中,需实时监控高刃低压加热器的水位,对此往往采取在一个测点周围布置多个传感器的方法,此时关注水位的测量值是否属实,可认为这种冗余提高了系统的安全性。
总体上,常见的冗余结构包括单通道系统1oo1(KooN表示N个通道里面取K个)叫,双通道系统1OO2、2OO2和三通道系统1OO3、2OO3。在实际应用时,往往每个通道会附有自诊断措施。该措施可帮助系统自动识别故障部件、类型和原因,增加系统的安全性。附加了诊断措施后的每种类型又可衍生出一种新的“带诊断”的体系结构,即:IOO1D 、lOO2D、2oo2D 、loo3D、2oo3D和2oo4D。
目前,符合IEC-61508标准并获得TUV SIL3等级认证的安全相关结构有以下三种。
①双重冗余容错完全自诊断结构loo2D
双通道系统有两种:1oo2和2oo2 。1oo2提供更好的可靠性,两个输出逻辑中任意一个有输出,则系统就有输出。相比1oo2,2oo2结构可提供更好的安全性,其输出被同时考虑,即只有两个输出相同时才会产生有效的输出。1oo2D 是改进的双通道系统,其诊断电路可以发现故障和错误,将危险失效转化为安全失效,所以 loo2D具备更高的安全性。该结构可应用于系统的硬件结构设计。
②三重化表决结构2oo3
2oo3模式采用三取二表决方式,如三个CPU中若有一个运算结果与其他两个不同,即表示该 CPU 故障,然后进行切除,其他两个继续工作。当其他两个CPU运算结果再出现不同时,则无法表决出哪一个正确,系统停运。该结构常应用于逻辑符合,三个通道中至少有两个通道逻辑判断为真时,最后的逻辑运算结果才为真。
③四重化冗余容错完全自诊断结构2oo4D
四个通道分成两对,即同时工作又相对独立。当其中一对通道诊断出故障时,则该对通道切除,剩下的一对通道以1oo2D继续工作,这对独立通道仍满足安全等级SIL3要求,当这对通道其中一个出现故障时,系统停运。该结构常应用于逻辑符合,四个逻辑通道中至少有两个通道逻辑判断为真时,最后的逻辑运算结果才为真。 2oo4D考虑安全性的同时也保证了可靠性,与1oo2D相比,2oo4D并未提高安全性,而只是提高了可靠性。
不同于1oo2D, 2oo3主要使用比较技术来保障安全性,其本身的可靠性并不高,因为只有三个通道同时有效才能保证系统安全性,一旦有通道故障,系统的安全性自动降级。从可靠性角度上讲,2oo3系统不如2oo4D系统,而两者所能达到的安全性基本相同。可以弥补 2oo3系统可靠性不足的措施是在线替换,即三个主控制器相互独立,如果有一个出错则在规定时间内在线替换掉(限时修改),系统不必停机,从而提高了系统的可靠性。
loo2D、2oo3、2oo4D的性能比较如表l所示,其中,非安全故障概率为拒动率,安全故障概率为误动率,Q(t)和P(t)代表t时间内单一故障发生的概率。
核电站仪控系统在高可靠性、高可用性和高安全性等方面的要求,使得核电站数字化控制保护技术成为当代控制系统发展的技术前沿。反应堆保护系统包括紧急停堆系统和专设安全设施驱动系统。反应堆保护系统监测与反应堆安全有关的参数。当这些参数超过预设的保护定值时,反应堆保护系统自动触发紧急停堆并启动相应的专设安全设施,以限制事故的发展,减轻事故后果,防止放射性物质向周围环境释放,保证设备和人员的安全。经过几年的发展和研究,国外科研机构和厂商在保护系统的架构设计方面也形成了不同的风格。本文以IEC-61508和IEC-61513标准为依据, 从安全完整性等级的角度描述并分析了不同的安全相关结构和保护系统架构的特点。
一、安全标准IEC-61508
IEC-1508是国际电工委员会于2000年颁布的《电气/电子/可编程电子安全相关系统的功能安全》 国际标准。该标准针对所有由电气/电子/可编程电子部件构成的安全相关系统,目的是避免和控制系统性错误和随机错误,对危险性的失效进行定量的分析,并针对系统和产品的错误避免、故障控制和文件给出有效的技术和措施。为了实现安全目标,标准提出了安全完整性的概念。安全完整性是指在规定的条件下、规定的时间内,安全相关系统成功实现所要求的安全功能的概率。IEC-61508规定了四个安全完整性等级SIL(safety integrity level) ,即在确定了被控装置可能存在的风险后,必须采用相应等级的安全系统,把风险降低到可接受的范围内。对于安全完整性等级的确定,IEC-61508标准分别给出了定量和定性的方法。
二、安全相关结构
根据上述标准,安全完整性分为硬件安全完整性和系统安全完整性两部分。
①硬件安全完整性:这部分安全完整性与在危险的失效模式下的随机硬件失效有关。硬件安全完整性规定等级可在一个合理的水平下估计,并将其要求用组合概率的通用法规在子系统中进行分配,一般需要使用冗余结构来达到足够的硬件安全完整性。
②系统安全完整性:这部分安全完整性与在危险的失效模式下的系统失效有关。尽管与系统失效有关的平均失效率可以估计,但从设计失效和共同原因失效获得的失效数据即失效的分布难以预计。这样便增加了特定情况下失效概率计算的不确定性,因此,需要做出选择最佳技术的判定,将不确定性最小化。
提高硬件安全完整性的手段包括冗余和诊断。根据冗余通道的介质情况,提高安全性的冗余又可分为同质冗余(homogenous redundancy)和多样性冗余(diverse redundancy)。
同质冗余可以控制随机性故障,但却不能控制系统性故障,冗余通道容易犯同样的错误。多样性冗余除了可以控制随机性故障外,还可以控制系统性故障。
多样性冗余在硬件上要求电路原理不同、器件和技术不同、制造过程和生产工厂不同,在软件上要求编程语言不同、算法和程序员不同等。通过功能多样性和设备多样性来避免共模故障是仪控设计的基本原则之一,如核电站常规岛排污坑水泵系统,通常根据需要采用一用二备、二用二备或者三用一备。当正在运行的设备出现故障时,备用设备会自动投入使用。这种方法主要针对设备失效而不关注设备的输出是否正常和安全,可认为这种冗余提高了系统的可靠性。在核电站常规岛高/低压加热器系统中,需实时监控高刃低压加热器的水位,对此往往采取在一个测点周围布置多个传感器的方法,此时关注水位的测量值是否属实,可认为这种冗余提高了系统的安全性。
总体上,常见的冗余结构包括单通道系统1oo1(KooN表示N个通道里面取K个)叫,双通道系统1OO2、2OO2和三通道系统1OO3、2OO3。在实际应用时,往往每个通道会附有自诊断措施。该措施可帮助系统自动识别故障部件、类型和原因,增加系统的安全性。附加了诊断措施后的每种类型又可衍生出一种新的“带诊断”的体系结构,即:IOO1D 、lOO2D、2oo2D 、loo3D、2oo3D和2oo4D。
目前,符合IEC-61508标准并获得TUV SIL3等级认证的安全相关结构有以下三种。
①双重冗余容错完全自诊断结构loo2D
双通道系统有两种:1oo2和2oo2 。1oo2提供更好的可靠性,两个输出逻辑中任意一个有输出,则系统就有输出。相比1oo2,2oo2结构可提供更好的安全性,其输出被同时考虑,即只有两个输出相同时才会产生有效的输出。1oo2D 是改进的双通道系统,其诊断电路可以发现故障和错误,将危险失效转化为安全失效,所以 loo2D具备更高的安全性。该结构可应用于系统的硬件结构设计。
②三重化表决结构2oo3
2oo3模式采用三取二表决方式,如三个CPU中若有一个运算结果与其他两个不同,即表示该 CPU 故障,然后进行切除,其他两个继续工作。当其他两个CPU运算结果再出现不同时,则无法表决出哪一个正确,系统停运。该结构常应用于逻辑符合,三个通道中至少有两个通道逻辑判断为真时,最后的逻辑运算结果才为真。
③四重化冗余容错完全自诊断结构2oo4D
四个通道分成两对,即同时工作又相对独立。当其中一对通道诊断出故障时,则该对通道切除,剩下的一对通道以1oo2D继续工作,这对独立通道仍满足安全等级SIL3要求,当这对通道其中一个出现故障时,系统停运。该结构常应用于逻辑符合,四个逻辑通道中至少有两个通道逻辑判断为真时,最后的逻辑运算结果才为真。 2oo4D考虑安全性的同时也保证了可靠性,与1oo2D相比,2oo4D并未提高安全性,而只是提高了可靠性。
不同于1oo2D, 2oo3主要使用比较技术来保障安全性,其本身的可靠性并不高,因为只有三个通道同时有效才能保证系统安全性,一旦有通道故障,系统的安全性自动降级。从可靠性角度上讲,2oo3系统不如2oo4D系统,而两者所能达到的安全性基本相同。可以弥补 2oo3系统可靠性不足的措施是在线替换,即三个主控制器相互独立,如果有一个出错则在规定时间内在线替换掉(限时修改),系统不必停机,从而提高了系统的可靠性。
loo2D、2oo3、2oo4D的性能比较如表l所示,其中,非安全故障概率为拒动率,安全故障概率为误动率,Q(t)和P(t)代表t时间内单一故障发生的概率。
- 超低静态电流电源管理IC延长便携应用工作时间(04-14)
- 负载点降压稳压器及其稳定性检查方法(07-19)
- 高效地驱动LED(04-23)
- 适合高效能模拟应用的线性电压稳压器(07-19)
- 低功耗嵌入式实现的方方面面(04-30)
- 电源设计小贴士5:降压-升压电源设计中降压控制器的使用(03-18)