田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)故障模式與后果分析

1、第41卷第6期原子能科學(xué)技術(shù)Vol.41,No.62007年11月Atomic Energy Science and TechnologyNov.2007田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)故障模式與后果分析周海翔(哈爾濱工程大學(xué)核科學(xué)與技術(shù)學(xué)院,黑龍江哈爾濱150001摘要:從田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)的結(jié)構(gòu)出發(fā),對數(shù)字化保護系統(tǒng)可能出現(xiàn)的故障種類、影響區(qū)域和故障后果等進行了詳細分析,通過故障模式與后果分析(FM EA 方法,對田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)是否存在設(shè)計薄弱環(huán)節(jié)作出了判斷。本工作為國內(nèi)數(shù)字化反應(yīng)堆保護系統(tǒng)設(shè)計提供了一些新思路。關(guān)鍵詞:數(shù)字化反應(yīng)堆保護系統(tǒng);故障模式;后果分析;核

2、電廠中圖分類號:TP202文獻標識碼:A 文章編號:100026931(20070620702205F ailure Mode and E ffect Analysisfor Digital R eactor Protection System in Tian w an Nuclear Pow er PlantZHOU Hai 2xiang(I nstitute of N uclear S cience and Technolog y ,H arbin Engineering Universit y ,H arbin 150001,China Abstract :The paper descr

3、ibes t he struct ure of digital reactor protection system in Tian 2wan Nuclear Power Plant ,and gives t he analysis of t he failure mode ,effect area and t he measure against failure.According to t he analysis ,t he paper evaluates t he reliability of digital reactor p rotection system.At t he same

4、time ,t he paper supplies some new idea for t he design of digital reactor p rotection system.K ey w ords :digital reactor protectio n system ;failure mode ;effect analysis ;nuclear power plant收稿日期:2006207211;修回日期:2006210210作者簡介:周海翔(1972,男,江蘇淮安人,博士研究生,核能科學(xué)與工程專業(yè)田灣核電廠反應(yīng)堆保護系統(tǒng)采用了德國西門子公司TXS 數(shù)字化儀控系統(tǒng),是目前國內(nèi)

5、核電廠中唯一的數(shù)字化反應(yīng)堆保護系統(tǒng)。由于反應(yīng)堆保護系統(tǒng)對核電廠安全起到至關(guān)重要的作用,因此,系統(tǒng)設(shè)計中的可靠性分析就顯得尤為關(guān)鍵。文章將采用故障模式與后果分析(FM EA 的方法,詳細地對數(shù)字化反應(yīng)堆保護系統(tǒng)進行定性分析1。1結(jié)構(gòu)和功能簡述田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)(RPS 結(jié)構(gòu)示于圖1。該系統(tǒng)執(zhí)行反應(yīng)堆停堆功能和專設(shè)安全設(shè)施(ESFAS 功能。系統(tǒng)包括4個冗余通道,且每個冗余通道中含有2個多樣性組A和B,每個通道中的核心模塊為采集處理計算機和表決計算機(VO TER,用于進行信號采集、處理和表決輸出。來自4個獨立冗余通道的變送器信號、外系統(tǒng)的接口信號及主/輔控制室的指令信號在信號采集處理

6、機柜中進行采集分配后送至RPS系統(tǒng)。在運算過程中,首先通過總線設(shè)備實現(xiàn)4個通道輸入數(shù)據(jù)的通信,在每一通道中對4個輸入值取第二大或第二小,保證數(shù)據(jù)的可靠性,信號在RPS系統(tǒng)中進行采集計算和邏輯功能處理后,反應(yīng)堆停堆信號(Trip送反應(yīng)堆控制棒應(yīng)急控制機柜采用4取2邏輯表決后,切除控制棒電源,停閉反應(yīng)堆;專設(shè)安全設(shè)施驅(qū)動系統(tǒng)信號在TXS系統(tǒng)的表決計算機(VO TER中進行4取2邏輯表決后,經(jīng)輸出模件輸出至優(yōu)選功能模件,由優(yōu)選功能模塊對來自RPS系統(tǒng)、反應(yīng)堆限值系統(tǒng)(RL S、正常運行系統(tǒng)的控制指令和后備盤的操作命令信號進行優(yōu)選控制,選取最高優(yōu)先級的命令用于控制ESFAS功能。表決計算機采用主從對(

7、Master2Checker形式,要求Master和Checker計算機模塊在運算周期同步進行功能處理,并比較相互的最終輸出值,只有相互的運算結(jié)果一致時,輸出值才有效。一旦運算結(jié)果不同,Master和Checker 計算機模塊都將不允許輸出運算結(jié)果,并由Checker計算機模塊根據(jù)故障安全原理直接輸出“1”信號(反應(yīng)堆停堆系統(tǒng)或“0”信號(ESFAS系統(tǒng)。在網(wǎng)絡(luò)通信方面,采用1E級SIN EC L2總線進行通道內(nèi)部或冗余通道之間的數(shù)據(jù)交換,有效地保證了數(shù)據(jù)在TXS系統(tǒng)內(nèi)的可靠通信。2FMEA分析FMEA分析的實質(zhì)和目的是評估系統(tǒng)在假定故障條件下的動作和響應(yīng),即用于證明系統(tǒng)的硬件結(jié)構(gòu)及其安全功能

8、是否能夠在事故工況下限制事件的發(fā)展和嚴重程度的加深。其首要任務(wù)是分析作為系統(tǒng)基本單元的獨立模塊和總線設(shè)備及其之間的接口可能出現(xiàn)的故障形式。圖1田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)結(jié)構(gòu)圖Fig.1Structure of digital reactor protection system in Tianwan Nuclear Power Plant 307第6期周海翔:田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)故障模式與后果分析211故障的分類在數(shù)字化反應(yīng)堆保護系統(tǒng)中,有2種故障形式:1單一信號故障(如測量的輸入信號或邏輯運算后的輸出信號,它是故障表征的最小單元;2硬件模塊、計算機設(shè)備或數(shù)據(jù)信息的故障,這類故障可

9、能會產(chǎn)生多個單一信號故障。在進行故障分析時,需要將單一信號故障和計算機模塊故障(一般為系統(tǒng)的硬件故障區(qū)分開2。1單一信號故障對于系統(tǒng)中的每個單一信號,除信號的實際值外,還包括信號的狀態(tài)信息。狀態(tài)信息用于區(qū)分正常信號、故障信號和測試信號,它們在所有的信號操作過程中具有繼承性,即如輸入1個故障信號,隨之而進行的操作和運算結(jié)果通常也視為故障信號。然而,在表決器進行表決運算時例外。例如,表決器的冗余輸入中出現(xiàn)故障信號,那么,這些信號將被排除在運算操作之外,只將剩下的有效信號進行表決運算,表決結(jié)果仍然為有效信號。當(dāng)出現(xiàn)以下幾種情況時,信號的狀態(tài)需設(shè)定為故障狀態(tài):(1輸入/輸出模塊檢測存在故障或輸入/輸出

10、模塊沒有響應(yīng)(此類故障通過輸入/輸出模塊的驅(qū)動程序來設(shè)定;(2數(shù)據(jù)信息失去完整性或數(shù)據(jù)信息沒有更新(此類故障通過系統(tǒng)實時運行環(huán)境中的軟件來設(shè)定;(3系統(tǒng)在儀控功能運算過程所產(chǎn)生的故障(此類故障通過軟件模塊功能圖來設(shè)定。信號的狀態(tài)通常在信號采集(通過I/O模塊或網(wǎng)絡(luò)通信時業(yè)已確定,然后根據(jù)相應(yīng)的運算方法進行處理。2計算機模塊故障系統(tǒng)中的計算機模塊等硬件模塊故障通常由系統(tǒng)的自診斷軟件或系統(tǒng)硬件設(shè)備(如看門狗等進行檢測。當(dāng)系統(tǒng)中的計算機等硬件模塊被檢測出故障,故障處理(Exception Han2 dler程序?qū)⒘⒓粗袛嘣撃K的在系統(tǒng)中的運行,確保模塊在此情況下按照系統(tǒng)要求輸出相應(yīng)的信號,禁止其在總

11、線的通信。此時,根據(jù)故障的情況,計算機模塊將重新啟動或徹底關(guān)機。這種計算機模塊故障導(dǎo)致的重新啟動或按定義關(guān)機,能夠被與其通信的其他計算機模塊檢測和標識。212故障的標識單一信號故障主要是由于系統(tǒng)功能運算過程中信號值與實際工程設(shè)定值相比較時出現(xiàn)超限值或與設(shè)定值不一致造成的,因此,主要體現(xiàn)為測量信號檢測過程中的信號故障、冗余通道運算結(jié)果的一致性判斷過程中的信號故障及執(zhí)行機構(gòu)的反饋所產(chǎn)生的故障信號。單一信號故障檢測的結(jié)果將在軟件模塊功能圖中標識出,并將其傳送至監(jiān)視服務(wù)接口計算機(MSI,用于信息系統(tǒng)的顯示。計算機等模塊故障主要是系統(tǒng)本身的硬件故障,同樣也在功能圖中用特殊的功能塊標識出來,并將其通過監(jiān)

12、視服務(wù)接口計算機(MSI傳至服務(wù)單元(SU儲存起來,或通過MSI傳至主控室,用于后備盤的顯示。213FMEA分析的假定FM EA分析前須嚴格區(qū)分系統(tǒng)外部事件和系統(tǒng)內(nèi)部事件所引起的系統(tǒng)故障。例如,火災(zāi)、洪水或地震等事件是通過土建設(shè)計或其它設(shè)計措施來防范其對系統(tǒng)的不利影響,因此,在FM EA分析中不包括此類事件的故障分析。在FM EA分析中,數(shù)字化反應(yīng)堆保護系統(tǒng)內(nèi)潛在的故障對系統(tǒng)的影響是FM EA分析的起點,必須找出那些對保護系統(tǒng)功能具有消極影響的子系統(tǒng)或模塊故障。通過分析,要求隨機故障及其后續(xù)故障或假定故障的發(fā)生不會導(dǎo)致設(shè)計基準事故處于失控狀態(tài)。為方便進行FM EA分析,將獨立的計算機模塊和總線

13、設(shè)備作為系統(tǒng)分析的最小元件(盡管計算機模塊內(nèi)部也可能出現(xiàn)很多故障,但這些故障最終的影響均體現(xiàn)在計算機模塊及其接口中。在此基礎(chǔ)上,分析研究它們或與它們相連的接口模塊的故障。在分析過程中,通常分析的是故障所影響的區(qū)域或模塊而不是故障發(fā)生的區(qū)域或模塊。根據(jù)故障的不同將其影響的區(qū)域分為以下幾部分。1隨機故障影響的單一計算機模塊對隨機故障所導(dǎo)致的單一計算機模塊故障進一步的分析可知,這種故障通常分為硬接線通信的信號故障和串口通信的數(shù)據(jù)信息故障。硬接線通信的信號故障一般輸出值為無效信號407原子能科學(xué)技術(shù)第41卷值或“凍結(jié)”信號狀態(tài),凍結(jié)狀態(tài)直到新的有效值出現(xiàn)才能被檢測出來;串口通信的信息故障如能被系統(tǒng)的自

14、診斷程序檢測出來,它則僅影響信息的傳輸過程,如信息故障不能被檢測出來,它的影響范圍將擴大到接收數(shù)據(jù)信息的所有計算機模塊,但這些影響也只發(fā)生在故障所在的多樣性組中。當(dāng)然,還有些不能被檢測出的故障,如測量信號的故障,由于在表決器運算過程中能夠被有效的屏蔽,因此,也不會將其影響范圍擴大。2隨機故障影響的單一總線設(shè)備對于總線故障,其等同于信號丟失或信號無效的情況。3產(chǎn)品質(zhì)量等共因故障所影響的某一通道所有計算機模塊對于影響某一通道的所有計算機模塊的故障,無論是來自環(huán)境影響還是計算機本身都將影響到整個通道功能的實現(xiàn)。這其中也包括了共因故障。由于1E 級設(shè)備的高可靠性要求,所以,這些故障發(fā)生的可能性較小。4

15、產(chǎn)品質(zhì)量等共因故障所影響的某一多樣性組的所有計算機模塊對于影響多樣性組中所有計算機的故障,多為產(chǎn)品質(zhì)量所導(dǎo)致,同樣這種故障也包括共因故障。由于1E 級設(shè)備的高可靠性要求,所以,這種故障發(fā)生的概率很小,一般,這種故障是可控的,例如,可將故障計算機模塊的外部響應(yīng)設(shè)定為“no 2voltage ”的安全模式。5與初始故障進行通信所影響的計算機模塊在數(shù)據(jù)校驗中不能被檢測出來的信息故障會導(dǎo)致隨后接受此數(shù)據(jù)的計算機出現(xiàn)故障并影響到數(shù)據(jù)通信鏈上的所有計算機,這種故障同樣被限制在同一多樣性組中。綜上所述,被假定的故障種類列于表1。214FMEA 分析過程當(dāng)進行FM EA 分析時,由于結(jié)構(gòu)或功能對稱和相似等因素

16、,可對系統(tǒng)中假定故障的計算機模塊數(shù)量進行簡化,所有多樣性組中結(jié)構(gòu)對稱的計算機模塊及對稱的多樣性組間功能相似的計算機模塊均可參照在某個計算機模塊上的故障進行分析。這樣,整個系統(tǒng)中24個功能計算機模塊都可簡化成1個計算機模塊來分析其故障模式。4個監(jiān)視服務(wù)接口計算機(MSI 同樣具有這樣的對稱結(jié)構(gòu),因此,同樣可以簡化成1個計算機模塊進行分析。表1田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)故障種類T able 1F ailure mode of digital reactor protection system in Tianw an Nuclear Pow er Plant編號檢測單元功能種類故障模式1獨立的計

17、算機模塊硬接線信號單一故障1故障信號輸出2“凍結(jié)”信號串口通信單一故障1被檢測出的信息故障2未被檢測出的信息故障,但無嚴重后果共因故障未被檢測出的信息故障,有嚴重后果2總線設(shè)備串口通信單一故障被檢測出的信息故障3通道中所有計算機模塊硬接線信號共因故障1故障信號輸出2“凍結(jié)”信號串口通信共因故障1被檢測出的信息故障2未被檢測出的信息故障,但無嚴重后果4多樣性組中所有計算機模塊硬接線信號共因故障所有信號的輸出為“no 2voltage ”狀態(tài)總線通信共因故障信息故障5數(shù)據(jù)鏈接中的計算機模塊硬接線信號后續(xù)故障故障信號輸出總線通信后續(xù)故障被檢測出的信息故障507第6期周海翔:田灣核電廠數(shù)字化反應(yīng)堆保護

18、系統(tǒng)故障模式與后果分析2個冗余的網(wǎng)關(guān)計算機(GA TEWA Y將保護系統(tǒng)中的數(shù)據(jù)傳送至外部系統(tǒng),對于反應(yīng)堆保護系統(tǒng),與它們接口的設(shè)備是MSI計算機, MSI計算機模塊可保證G ATEW A Y計算機的任何故障均不會影響到反應(yīng)堆保護系統(tǒng)功能實現(xiàn)。因此,G ATEW A Y計算機故障在FMEA分析中僅視為MSI計算機模塊的一部分。由于2個多樣性組的網(wǎng)絡(luò)結(jié)構(gòu)一致,因此,對于網(wǎng)絡(luò)數(shù)據(jù)鏈接過程中的故障只要分析1個多樣性組即可。同樣,由于各通道的結(jié)構(gòu)也基本相似,因此,都在FM EA分析中只考慮某一通道和多樣性組。對于與MSI計算機模塊連接的SIN EC H1總線,由于其在網(wǎng)絡(luò)結(jié)構(gòu)上屬于反應(yīng)堆保護系統(tǒng)安全功

19、能通道以外的部分,其故障對于完成反應(yīng)堆停堆功能或者ESFAS功能沒有影響,因此,這部分的故障只在系統(tǒng)測試或系統(tǒng)維護時進行檢測。215FMEA分析結(jié)果通過分析可看出,田灣核電廠數(shù)字化反應(yīng)堆保護系統(tǒng)的4冗余通道采用4取2的表決邏輯,保證了計算機模塊單一信號故障不會對反應(yīng)堆保護系統(tǒng)的安全功能產(chǎn)生嚴重的影響。這些故障信號既不可能產(chǎn)生虛假的驅(qū)動信號,也不可能對正常的保護指令的執(zhí)行產(chǎn)生影響。同樣,在反應(yīng)堆保護系統(tǒng)冗余通道之間進行數(shù)據(jù)交換后,軟件的信號有效性選擇防止了數(shù)據(jù)傳輸過程中產(chǎn)生的故障影響后續(xù)的安全功能。只有多樣性組中或數(shù)據(jù)通信鏈中的所有計算機的共因故障才有可能影響到反應(yīng)堆保護系統(tǒng)某個多樣性組的安全功能。因此,避免此類故障的發(fā)生的唯一途徑是通過不斷提高產(chǎn)品質(zhì)量,減少模塊的故障率。對于反應(yīng)堆停堆系統(tǒng),正常運行時控制棒的驅(qū)動回路處于閉合狀態(tài),在信號故障情況下為故障安全模式,“0”信號輸出,結(jié)果將導(dǎo)致控制棒落棒,保證了堆芯安全。而ESFAS系統(tǒng)的驅(qū)動回路在正常運行時處于斷開狀態(tài),只有采用多樣性的方法才能保證多樣性組內(nèi)的共因故障不會影響到ESFAS系統(tǒng)安全功能的執(zhí)行。由于GA TEWA Y計算機是冗余的,因此