田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)故障模式與后果分析

1、第41卷第6期原子能科學(xué)技術(shù)Vol.41,No.62007年11月Atomic Energy Science and TechnologyNov.2007田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)故障模式與后果分析周海翔(哈爾濱工程大學(xué)核科學(xué)與技術(shù)學(xué)院,黑龍江哈爾濱150001摘要:從田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的結(jié)構(gòu)出發(fā),對數(shù)字化保護(hù)系統(tǒng)可能出現(xiàn)的故障種類、影響區(qū)域和故障后果等進(jìn)行了詳細(xì)分析,通過故障模式與后果分析(FM EA 方法,對田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)是否存在設(shè)計(jì)薄弱環(huán)節(jié)作出了判斷。本工作為國內(nèi)數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)提供了一些新思路。關(guān)鍵詞:數(shù)字化反應(yīng)堆保護(hù)系統(tǒng);故障模式;后果分析;核

2、電廠中圖分類號(hào):TP202文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):100026931(20070620702205F ailure Mode and E ffect Analysisfor Digital R eactor Protection System in Tian w an Nuclear Pow er PlantZHOU Hai 2xiang(I nstitute of N uclear S cience and Technolog y ,H arbin Engineering Universit y ,H arbin 150001,China Abstract :The paper descr

3、ibes t he struct ure of digital reactor protection system in Tian 2wan Nuclear Power Plant ,and gives t he analysis of t he failure mode ,effect area and t he measure against failure.According to t he analysis ,t he paper evaluates t he reliability of digital reactor p rotection system.At t he same

4、time ,t he paper supplies some new idea for t he design of digital reactor p rotection system.K ey w ords :digital reactor protectio n system ;failure mode ;effect analysis ;nuclear power plant收稿日期:2006207211;修回日期:2006210210作者簡介:周海翔(1972,男,江蘇淮安人,博士研究生,核能科學(xué)與工程專業(yè)田灣核電廠反應(yīng)堆保護(hù)系統(tǒng)采用了德國西門子公司TXS 數(shù)字化儀控系統(tǒng),是目前國內(nèi)

5、核電廠中唯一的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)。由于反應(yīng)堆保護(hù)系統(tǒng)對核電廠安全起到至關(guān)重要的作用,因此,系統(tǒng)設(shè)計(jì)中的可靠性分析就顯得尤為關(guān)鍵。文章將采用故障模式與后果分析(FM EA 的方法,詳細(xì)地對數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)進(jìn)行定性分析1。1結(jié)構(gòu)和功能簡述田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)(RPS 結(jié)構(gòu)示于圖1。該系統(tǒng)執(zhí)行反應(yīng)堆停堆功能和專設(shè)安全設(shè)施(ESFAS 功能。系統(tǒng)包括4個(gè)冗余通道,且每個(gè)冗余通道中含有2個(gè)多樣性組A和B,每個(gè)通道中的核心模塊為采集處理計(jì)算機(jī)和表決計(jì)算機(jī)(VO TER,用于進(jìn)行信號(hào)采集、處理和表決輸出。來自4個(gè)獨(dú)立冗余通道的變送器信號(hào)、外系統(tǒng)的接口信號(hào)及主/輔控制室的指令信號(hào)在信號(hào)采集處理

6、機(jī)柜中進(jìn)行采集分配后送至RPS系統(tǒng)。在運(yùn)算過程中,首先通過總線設(shè)備實(shí)現(xiàn)4個(gè)通道輸入數(shù)據(jù)的通信,在每一通道中對4個(gè)輸入值取第二大或第二小,保證數(shù)據(jù)的可靠性,信號(hào)在RPS系統(tǒng)中進(jìn)行采集計(jì)算和邏輯功能處理后,反應(yīng)堆停堆信號(hào)(Trip送反應(yīng)堆控制棒應(yīng)急控制機(jī)柜采用4取2邏輯表決后,切除控制棒電源,停閉反應(yīng)堆;專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)信號(hào)在TXS系統(tǒng)的表決計(jì)算機(jī)(VO TER中進(jìn)行4取2邏輯表決后,經(jīng)輸出模件輸出至優(yōu)選功能模件,由優(yōu)選功能模塊對來自RPS系統(tǒng)、反應(yīng)堆限值系統(tǒng)(RL S、正常運(yùn)行系統(tǒng)的控制指令和后備盤的操作命令信號(hào)進(jìn)行優(yōu)選控制,選取最高優(yōu)先級的命令用于控制ESFAS功能。表決計(jì)算機(jī)采用主從對(

7、Master2Checker形式,要求Master和Checker計(jì)算機(jī)模塊在運(yùn)算周期同步進(jìn)行功能處理,并比較相互的最終輸出值,只有相互的運(yùn)算結(jié)果一致時(shí),輸出值才有效。一旦運(yùn)算結(jié)果不同,Master和Checker 計(jì)算機(jī)模塊都將不允許輸出運(yùn)算結(jié)果,并由Checker計(jì)算機(jī)模塊根據(jù)故障安全原理直接輸出“1”信號(hào)(反應(yīng)堆停堆系統(tǒng)或“0”信號(hào)(ESFAS系統(tǒng)。在網(wǎng)絡(luò)通信方面,采用1E級SIN EC L2總線進(jìn)行通道內(nèi)部或冗余通道之間的數(shù)據(jù)交換,有效地保證了數(shù)據(jù)在TXS系統(tǒng)內(nèi)的可靠通信。2FMEA分析FMEA分析的實(shí)質(zhì)和目的是評估系統(tǒng)在假定故障條件下的動(dòng)作和響應(yīng),即用于證明系統(tǒng)的硬件結(jié)構(gòu)及其安全功能

8、是否能夠在事故工況下限制事件的發(fā)展和嚴(yán)重程度的加深。其首要任務(wù)是分析作為系統(tǒng)基本單元的獨(dú)立模塊和總線設(shè)備及其之間的接口可能出現(xiàn)的故障形式。圖1田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)圖Fig.1Structure of digital reactor protection system in Tianwan Nuclear Power Plant 307第6期周海翔:田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)故障模式與后果分析211故障的分類在數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)中,有2種故障形式:1單一信號(hào)故障(如測量的輸入信號(hào)或邏輯運(yùn)算后的輸出信號(hào),它是故障表征的最小單元;2硬件模塊、計(jì)算機(jī)設(shè)備或數(shù)據(jù)信息的故障,這類故障可

9、能會(huì)產(chǎn)生多個(gè)單一信號(hào)故障。在進(jìn)行故障分析時(shí),需要將單一信號(hào)故障和計(jì)算機(jī)模塊故障(一般為系統(tǒng)的硬件故障區(qū)分開2。1單一信號(hào)故障對于系統(tǒng)中的每個(gè)單一信號(hào),除信號(hào)的實(shí)際值外,還包括信號(hào)的狀態(tài)信息。狀態(tài)信息用于區(qū)分正常信號(hào)、故障信號(hào)和測試信號(hào),它們在所有的信號(hào)操作過程中具有繼承性,即如輸入1個(gè)故障信號(hào),隨之而進(jìn)行的操作和運(yùn)算結(jié)果通常也視為故障信號(hào)。然而,在表決器進(jìn)行表決運(yùn)算時(shí)例外。例如,表決器的冗余輸入中出現(xiàn)故障信號(hào),那么,這些信號(hào)將被排除在運(yùn)算操作之外,只將剩下的有效信號(hào)進(jìn)行表決運(yùn)算,表決結(jié)果仍然為有效信號(hào)。當(dāng)出現(xiàn)以下幾種情況時(shí),信號(hào)的狀態(tài)需設(shè)定為故障狀態(tài):(1輸入/輸出模塊檢測存在故障或輸入/輸出

10、模塊沒有響應(yīng)(此類故障通過輸入/輸出模塊的驅(qū)動(dòng)程序來設(shè)定;(2數(shù)據(jù)信息失去完整性或數(shù)據(jù)信息沒有更新(此類故障通過系統(tǒng)實(shí)時(shí)運(yùn)行環(huán)境中的軟件來設(shè)定;(3系統(tǒng)在儀控功能運(yùn)算過程所產(chǎn)生的故障(此類故障通過軟件模塊功能圖來設(shè)定。信號(hào)的狀態(tài)通常在信號(hào)采集(通過I/O模塊或網(wǎng)絡(luò)通信時(shí)業(yè)已確定,然后根據(jù)相應(yīng)的運(yùn)算方法進(jìn)行處理。2計(jì)算機(jī)模塊故障系統(tǒng)中的計(jì)算機(jī)模塊等硬件模塊故障通常由系統(tǒng)的自診斷軟件或系統(tǒng)硬件設(shè)備(如看門狗等進(jìn)行檢測。當(dāng)系統(tǒng)中的計(jì)算機(jī)等硬件模塊被檢測出故障,故障處理(Exception Han2 dler程序?qū)⒘⒓粗袛嘣撃K的在系統(tǒng)中的運(yùn)行,確保模塊在此情況下按照系統(tǒng)要求輸出相應(yīng)的信號(hào),禁止其在總

11、線的通信。此時(shí),根據(jù)故障的情況,計(jì)算機(jī)模塊將重新啟動(dòng)或徹底關(guān)機(jī)。這種計(jì)算機(jī)模塊故障導(dǎo)致的重新啟動(dòng)或按定義關(guān)機(jī),能夠被與其通信的其他計(jì)算機(jī)模塊檢測和標(biāo)識(shí)。212故障的標(biāo)識(shí)單一信號(hào)故障主要是由于系統(tǒng)功能運(yùn)算過程中信號(hào)值與實(shí)際工程設(shè)定值相比較時(shí)出現(xiàn)超限值或與設(shè)定值不一致造成的,因此,主要體現(xiàn)為測量信號(hào)檢測過程中的信號(hào)故障、冗余通道運(yùn)算結(jié)果的一致性判斷過程中的信號(hào)故障及執(zhí)行機(jī)構(gòu)的反饋所產(chǎn)生的故障信號(hào)。單一信號(hào)故障檢測的結(jié)果將在軟件模塊功能圖中標(biāo)識(shí)出,并將其傳送至監(jiān)視服務(wù)接口計(jì)算機(jī)(MSI,用于信息系統(tǒng)的顯示。計(jì)算機(jī)等模塊故障主要是系統(tǒng)本身的硬件故障,同樣也在功能圖中用特殊的功能塊標(biāo)識(shí)出來,并將其通過監(jiān)

12、視服務(wù)接口計(jì)算機(jī)(MSI傳至服務(wù)單元(SU儲(chǔ)存起來,或通過MSI傳至主控室,用于后備盤的顯示。213FMEA分析的假定FM EA分析前須嚴(yán)格區(qū)分系統(tǒng)外部事件和系統(tǒng)內(nèi)部事件所引起的系統(tǒng)故障。例如,火災(zāi)、洪水或地震等事件是通過土建設(shè)計(jì)或其它設(shè)計(jì)措施來防范其對系統(tǒng)的不利影響,因此,在FM EA分析中不包括此類事件的故障分析。在FM EA分析中,數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)內(nèi)潛在的故障對系統(tǒng)的影響是FM EA分析的起點(diǎn),必須找出那些對保護(hù)系統(tǒng)功能具有消極影響的子系統(tǒng)或模塊故障。通過分析,要求隨機(jī)故障及其后續(xù)故障或假定故障的發(fā)生不會(huì)導(dǎo)致設(shè)計(jì)基準(zhǔn)事故處于失控狀態(tài)。為方便進(jìn)行FM EA分析,將獨(dú)立的計(jì)算機(jī)模塊和總線

13、設(shè)備作為系統(tǒng)分析的最小元件(盡管計(jì)算機(jī)模塊內(nèi)部也可能出現(xiàn)很多故障,但這些故障最終的影響均體現(xiàn)在計(jì)算機(jī)模塊及其接口中。在此基礎(chǔ)上,分析研究它們或與它們相連的接口模塊的故障。在分析過程中,通常分析的是故障所影響的區(qū)域或模塊而不是故障發(fā)生的區(qū)域或模塊。根據(jù)故障的不同將其影響的區(qū)域分為以下幾部分。1隨機(jī)故障影響的單一計(jì)算機(jī)模塊對隨機(jī)故障所導(dǎo)致的單一計(jì)算機(jī)模塊故障進(jìn)一步的分析可知,這種故障通常分為硬接線通信的信號(hào)故障和串口通信的數(shù)據(jù)信息故障。硬接線通信的信號(hào)故障一般輸出值為無效信號(hào)407原子能科學(xué)技術(shù)第41卷值或“凍結(jié)”信號(hào)狀態(tài),凍結(jié)狀態(tài)直到新的有效值出現(xiàn)才能被檢測出來;串口通信的信息故障如能被系統(tǒng)的自

14、診斷程序檢測出來,它則僅影響信息的傳輸過程,如信息故障不能被檢測出來,它的影響范圍將擴(kuò)大到接收數(shù)據(jù)信息的所有計(jì)算機(jī)模塊,但這些影響也只發(fā)生在故障所在的多樣性組中。當(dāng)然,還有些不能被檢測出的故障,如測量信號(hào)的故障,由于在表決器運(yùn)算過程中能夠被有效的屏蔽,因此,也不會(huì)將其影響范圍擴(kuò)大。2隨機(jī)故障影響的單一總線設(shè)備對于總線故障,其等同于信號(hào)丟失或信號(hào)無效的情況。3產(chǎn)品質(zhì)量等共因故障所影響的某一通道所有計(jì)算機(jī)模塊對于影響某一通道的所有計(jì)算機(jī)模塊的故障,無論是來自環(huán)境影響還是計(jì)算機(jī)本身都將影響到整個(gè)通道功能的實(shí)現(xiàn)。這其中也包括了共因故障。由于1E 級設(shè)備的高可靠性要求,所以,這些故障發(fā)生的可能性較小。4

15、產(chǎn)品質(zhì)量等共因故障所影響的某一多樣性組的所有計(jì)算機(jī)模塊對于影響多樣性組中所有計(jì)算機(jī)的故障,多為產(chǎn)品質(zhì)量所導(dǎo)致,同樣這種故障也包括共因故障。由于1E 級設(shè)備的高可靠性要求,所以,這種故障發(fā)生的概率很小,一般,這種故障是可控的,例如,可將故障計(jì)算機(jī)模塊的外部響應(yīng)設(shè)定為“no 2voltage ”的安全模式。5與初始故障進(jìn)行通信所影響的計(jì)算機(jī)模塊在數(shù)據(jù)校驗(yàn)中不能被檢測出來的信息故障會(huì)導(dǎo)致隨后接受此數(shù)據(jù)的計(jì)算機(jī)出現(xiàn)故障并影響到數(shù)據(jù)通信鏈上的所有計(jì)算機(jī),這種故障同樣被限制在同一多樣性組中。綜上所述,被假定的故障種類列于表1。214FMEA 分析過程當(dāng)進(jìn)行FM EA 分析時(shí),由于結(jié)構(gòu)或功能對稱和相似等因素

16、,可對系統(tǒng)中假定故障的計(jì)算機(jī)模塊數(shù)量進(jìn)行簡化,所有多樣性組中結(jié)構(gòu)對稱的計(jì)算機(jī)模塊及對稱的多樣性組間功能相似的計(jì)算機(jī)模塊均可參照在某個(gè)計(jì)算機(jī)模塊上的故障進(jìn)行分析。這樣,整個(gè)系統(tǒng)中24個(gè)功能計(jì)算機(jī)模塊都可簡化成1個(gè)計(jì)算機(jī)模塊來分析其故障模式。4個(gè)監(jiān)視服務(wù)接口計(jì)算機(jī)(MSI 同樣具有這樣的對稱結(jié)構(gòu),因此,同樣可以簡化成1個(gè)計(jì)算機(jī)模塊進(jìn)行分析。表1田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)故障種類T able 1F ailure mode of digital reactor protection system in Tianw an Nuclear Pow er Plant編號(hào)檢測單元功能種類故障模式1獨(dú)立的計(jì)

17、算機(jī)模塊硬接線信號(hào)單一故障1故障信號(hào)輸出2“凍結(jié)”信號(hào)串口通信單一故障1被檢測出的信息故障2未被檢測出的信息故障,但無嚴(yán)重后果共因故障未被檢測出的信息故障,有嚴(yán)重后果2總線設(shè)備串口通信單一故障被檢測出的信息故障3通道中所有計(jì)算機(jī)模塊硬接線信號(hào)共因故障1故障信號(hào)輸出2“凍結(jié)”信號(hào)串口通信共因故障1被檢測出的信息故障2未被檢測出的信息故障,但無嚴(yán)重后果4多樣性組中所有計(jì)算機(jī)模塊硬接線信號(hào)共因故障所有信號(hào)的輸出為“no 2voltage ”狀態(tài)總線通信共因故障信息故障5數(shù)據(jù)鏈接中的計(jì)算機(jī)模塊硬接線信號(hào)后續(xù)故障故障信號(hào)輸出總線通信后續(xù)故障被檢測出的信息故障507第6期周海翔:田灣核電廠數(shù)字化反應(yīng)堆保護(hù)

18、系統(tǒng)故障模式與后果分析2個(gè)冗余的網(wǎng)關(guān)計(jì)算機(jī)(GA TEWA Y將保護(hù)系統(tǒng)中的數(shù)據(jù)傳送至外部系統(tǒng),對于反應(yīng)堆保護(hù)系統(tǒng),與它們接口的設(shè)備是MSI計(jì)算機(jī), MSI計(jì)算機(jī)模塊可保證G ATEW A Y計(jì)算機(jī)的任何故障均不會(huì)影響到反應(yīng)堆保護(hù)系統(tǒng)功能實(shí)現(xiàn)。因此,G ATEW A Y計(jì)算機(jī)故障在FMEA分析中僅視為MSI計(jì)算機(jī)模塊的一部分。由于2個(gè)多樣性組的網(wǎng)絡(luò)結(jié)構(gòu)一致,因此,對于網(wǎng)絡(luò)數(shù)據(jù)鏈接過程中的故障只要分析1個(gè)多樣性組即可。同樣,由于各通道的結(jié)構(gòu)也基本相似,因此,都在FM EA分析中只考慮某一通道和多樣性組。對于與MSI計(jì)算機(jī)模塊連接的SIN EC H1總線,由于其在網(wǎng)絡(luò)結(jié)構(gòu)上屬于反應(yīng)堆保護(hù)系統(tǒng)安全功

19、能通道以外的部分,其故障對于完成反應(yīng)堆停堆功能或者ESFAS功能沒有影響,因此,這部分的故障只在系統(tǒng)測試或系統(tǒng)維護(hù)時(shí)進(jìn)行檢測。215FMEA分析結(jié)果通過分析可看出,田灣核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的4冗余通道采用4取2的表決邏輯,保證了計(jì)算機(jī)模塊單一信號(hào)故障不會(huì)對反應(yīng)堆保護(hù)系統(tǒng)的安全功能產(chǎn)生嚴(yán)重的影響。這些故障信號(hào)既不可能產(chǎn)生虛假的驅(qū)動(dòng)信號(hào),也不可能對正常的保護(hù)指令的執(zhí)行產(chǎn)生影響。同樣,在反應(yīng)堆保護(hù)系統(tǒng)冗余通道之間進(jìn)行數(shù)據(jù)交換后,軟件的信號(hào)有效性選擇防止了數(shù)據(jù)傳輸過程中產(chǎn)生的故障影響后續(xù)的安全功能。只有多樣性組中或數(shù)據(jù)通信鏈中的所有計(jì)算機(jī)的共因故障才有可能影響到反應(yīng)堆保護(hù)系統(tǒng)某個(gè)多樣性組的安全功能。因此,避免此類故障的發(fā)生的唯一途徑是通過不斷提高產(chǎn)品質(zhì)量,減少模塊的故障率。對于反應(yīng)堆停堆系統(tǒng),正常運(yùn)行時(shí)控制棒的驅(qū)動(dòng)回路處于閉合狀態(tài),在信號(hào)故障情況下為故障安全模式,“0”信號(hào)輸出,結(jié)果將導(dǎo)致控制棒落棒,保證了堆芯安全。而ESFAS系統(tǒng)的驅(qū)動(dòng)回路在正常運(yùn)行時(shí)處于斷開狀態(tài),只有采用多樣性的方法才能保證多樣性組內(nèi)的共因故障不會(huì)影響到ESFAS系統(tǒng)安全功能的執(zhí)行。由于GA TEWA Y計(jì)算機(jī)是冗余的,因此