核电厂数字化仪控系统质量位设计原则研究

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

核电厂数字化仪控系统质量位设计原则

研究

摘要:近年来,我国的核电厂建设越来越多,核电厂的数字化仪控系统也越来越完善。近年来核电厂因数字化仪控系统质量位设计问题导致多起核电厂误停堆、停机事件,严重影响核电厂的安全性和经济性。目前数字化仪控系统质量位设计并未形成统一的设计原则,电厂、机组、系统间的相关设计准则没有采用统一的准则,导致电厂技术人员对质量位设计的认识不足,对质量位变更改造工作也未能形成有效的设计指导,同时给机组的隐患排查带来诸多困难。本文就核电厂数字化仪控质量位设计原则进行研究,以供参考。

关键词:质量位;原则;设计

引言

核电厂仪表和控制系统(简称“仪控系统”)与核电站操作人员共同构成了核电厂的“中枢神经系统”。通过各种组成要素(如设备、模块、子系统、冗余系统等)。仪控系统可感知基本参数、监控性能、整合信息,并根据需要对电厂运行进行自动调整。随着信息时代的到来,计算机技术、网络通信技术等信息技术与核电厂数字化仪控系统相结合,使得基于计算机和联网技术的数字化仪控系统逐步被采用。

1总体设计

典型的数字化仪控系统具有操作员站(OPS)、服务器、工程师站和现场控制站,其中现场控制站包括主控模块、通信模块和I/O模块。全厂对时信号通过服务器接入系统,服务器在系统网中通过NTP对时协议对所有操作员站和所有主控模块进行对时,主控模块通过控制网给通信模块对时,通信模块给本站内的

I/O模块进行通信对时和脉冲对时,并且系统中所有站的通信模块组成站间对时总线(TBUS)。站间对时总线的设计是保证系统范围内所有I/O模块相对时间误

差的关键。事件由仪控系统中的不同设备产生,主要包括服务器、主控制器和

I/O模块,对事件的识别和打时间戳等操作,只能由产生事件的设备或者在通信的上行链路中处于上方的设备进行处理。控制网2的通信周期为20ms,所以对于开关量信号50ms分辨率的要求,只要保证站间I/O模块的时间精度小于30ms,就可以由主控制器处理开关量的时间戳;对于SOE的1ms分辨率要求,识别变位和打时间戳必须由I/O模块承担,I/O模块传输的不仅是当前的通道状态,还包括变位的事件和时间。

2质量位设计原则

核电厂物项分为安全级(1E)和非安全级(N1E)两大等级。承担或者支持反应性控制、堆芯热量排除、放射性物质及控制运行排放和限制故障排放包容三项基本安全功能的物项、其损坏会导致事故的物项及其他具有防止或缓解事故功能的物项应列为安全级;其余为非安全级。目前中核旗下电厂设备根据电厂的核安全、稳定发电、放射性控制等大小,分为三个等级。(1)关键设备,指对核电厂的核安全和机组发电具有关键作用的设备。其中关键设备又分为关键1级和关键2级设备。关键1级设备(CC1)又称为单点敏感设备(SPV),识别条件主要包括机组手自动停机/停堆、功率波动≥10%FP、设备无法在线检修等,其主要考虑核电机组的经济性。关键2级设备(CC2),识别条件主要包括单通道的停堆/停机脱扣、安全冗余功能失去、影响余热排除和放射性功能释放等。(2)重要设备,指对电站的核安全和机组发电具有重要作用,或通过维修可避免重大设备损失、降低成本的设备。(3)一般设备,指除关键和重要设备之外的其他设备。设备分级的原则主要是考虑设备失效后引起的失效后果。质量位的设计中考虑相关逻辑引起的设备动作是否能引起相关的后果。比如以CC1-a设备为例,CC1-a分级的相关定义为:设备失效后引起自动或手动停堆、停机。那么在考虑该相关质量位设置时需将能引起相关逻辑动作后引起自动或手动停堆、停机的信号罗列出来。再通过对物项分级中罗列的逻辑进行1E/NC+/NC逻辑识别和分类。若属于1E级逻辑,由于该部分内容执行核安全功能,计上最大限度的防止设备拒动,因此在质量位的设计上采取逻辑降级动作的响应原则;若属于NC级逻辑,由于该部分内容不执行核安全功能,将给电厂带来巨大的经济损失,设计上应最大限度防止设备误动,因此在质量位的设计上采取不

参与、不动作或者是缺省值的控制方式;若属于NC+级逻辑,由于该逻辑并未

达到1E级,但是相关逻辑可能同样执行安全功能,该部分内容考虑采用报警+

质量位逻辑降级但最终以不动作的方式来执行。

3核电厂数字化仪控系统质量位设计

3.1可靠性框图(RBD)

对于非安全级运行控制系统,通过分析仪控系统架构模型中部件间的功能关系,采用RBD方法对仪控系统功能建模,分析系统是否能成功完成指定工作。RBD模型应包括控制系统的基本模块(如处理器、I/O模块、电源模块、通信模

块等)、电厂计算机信息和控制系统的基本设备(工作站、服务器、网络设备)

的失效,FMECA中识别的能导致系统特定功能失效的所有模块失效必须包含在

RBD模型中。因为仪控系统的I/O模块功能分配、设备冗余、网络架构、维修策

略对系统整体可用性的影响,所以在RBD模型中必须考虑这些因素。

3.2数据来源

在对核电数字化仪控系统网络安全进行风险评估时,需要对一定的数据进行

计算,以实现风险评级或给出风险分数。所采用的数据来源包括历史数据、实际

数据和专家意见。采用历史和实际数据通常可进行定量分析,比如在使用概率进

行分析的方法中,方法的准确度依赖于概率的质量。而在理想状态下,概率应来

自客观的经验数据。核电仪控领域遭受网络攻击数据极少,且复杂系统可遭受攻

击的薄弱环节可能存在于系统的方方面面,因此威胁很可能是未知的。这使得该

类数据无法对某些风险进行准确分析。采用专家意见进行风险评级可实现定性分析,但这又使得风险分析结果变得相对主观,且相应方法中缺少专家评定的细节。这会对风险评价的准确性造成影响,导致无法反映风险的真实情况。因此,对于

核电数字化仪控系统而言,将历史和实际数据与专家意见相结合的方法可以在一

定程度上克服两种数据来源各自的局限性,有利于对网络攻击所造成的真实风险

水平进行分析。

3.3通信对时

相关文档
最新文档