CN109597393B - 一种核电厂事故处理策略中关键安全功能的设计实施方法 - Google Patents

Abstract

本发明属于核电厂事故处理策略设计领域，具体涉及一种核电厂事故处理策略中关键安全功能的设计实施方法包括:步骤S1，对全部的关键安全功能采用两层分级管理，第一层是对全部的关键安全功能根据其对机组安全的影响程度的高低进行排序，当对关键安全功能进行关键安全功能诊断时将依序对全部的关键安全功能进行核实；第二层是对关键安全功能的降级工况进行分级，并产生相应提示信息提醒操作员；步骤S2，设计关键安全功能逻辑实施方案，在核电厂的总体控制系统中设置独立的关键安全功能诊断系统；步骤S3，实施人机交互，对每一项关键安全功能的降级严重程度的级别情况设置对应的报警指示；对关键安全功能诊断设置使能按钮。

Description

一种核电厂事故处理策略中关键安全功能的设计实施方法

技术领域

本发明属于核电厂事故处理策略设计领域，具体涉及一种核电厂事故处理策略中关键安全功能的设计实施方法。

背景技术

为了应对事故工况，核电站在事故后有一套完整的事故处理策略来缓解事故后果，在发生三里岛严重事故后，核电站普遍开发并实施了包含基于功能诊断的事故运行规程，功能诊断导向的事故运行规程体系也成为了近年来的发展和应用趋势。在功能导向事故运行规程体系中，对关键安全功能的诊断导向是其中重要一个环节。

目前不同于使用传统主控室的核电厂，新建核电厂在全数字化仪控技术(DigitalControl System，DCS系统)基础上采用实施数字化事故程序。科学合理的数字化事故程序人机接口有助于操作员正确、高效地处理事故规程。

数字化的关键安全功能诊断，对其正确性、信息的完整性、友好的人机交互性等多方面有较高的要求。为了使数字化的关键安全功能诊断更契合实际运行要求，提出一种事故处理策略关键安全功能的设计实施方法，以可以提供充分的信息，减少人因失误，从一定程度上提高电厂事故的缓解能力。

事故工况下操作员在意图判断是什么原因造成了事故的同时，也需要通过依据对机组关键安全功能的诊断，判断机组目前恶化到何种程度，关键安全功能的诊断包含了表征关键安全功能的参数与表征其恶化程度的判断准则(如具体定值或系统与设备的状态等)两个主要要素。在发生事故后的操作员实际运行操作时，是可能由于人员原因、系统原因等产生各类问题，而导致最终没有采用最合适的处理手段。存在的问题包含但不限于以下所列出来的内容：

-由于环境压力造成的人员判断失误；

-当存在多种状态降级征兆时，操作员选择失误；

-在部分事故工况条件下(如失电事故等)的仪表准确性丧失；

-由共因失效等情况造成的仪表信息不准确。

在实施功能数字化以后，同时还会出现关键安全功能诊断误报警而干扰操作员正常运行、报警设置原则与事故处理存在冲突，而导致产生混淆等缺陷。

发明内容

为了更好的避免出现以上提及的各类潜在的技术问题，提出了关键安全功能的设计与实施方法。从根本意义上来讲，关键安全功能的设计与实施是以减少人因失误和提供更方便的处理手段。

本发明采用的技术方案是一种核电厂事故处理策略中关键安全功能的设计实施方法包括：

步骤S1，对全部的关键安全功能采用两层分级管理，

第一层是对全部的所述关键安全功能根据其对机组安全的影响程度的高低进行排序，当对所述关键安全功能进行关键安全功能诊断时将依序对全部的所述关键安全功能进行核实；当若干个所述关键安全功能同时出现同样程度的恶化情况下，将优先执行恢复排序高的关键安全功能；

第二层是对所述关键安全功能的降级工况进行分级，不同的降级工况的级别用于指示所述关键安全功能对应缓解操作的执行优先程度与即时性，并产生相应的报警的提示信息提醒操作员；

步骤S2，设计关键安全功能逻辑实施方案，包括在核电厂的总体控制系统中设置独立的关键安全功能诊断系统，所述关键安全功能诊断系统的计算机柜能够保证在事故工况下保持可用，所述关键安全功能诊断系统的系统内部的所有信号处理与存储全部在逻辑层完成；

步骤S3，实施人机交互，所述关键安全功能诊断系统针对所述关键安全功能做出的诊断结果在核电厂的正常运行操作系统平台与事故后运行与监视平台上均有信息输出，显示内容包含诊断流程中的必要信息，对每一项所述关键安全功能的降级严重程度的级别情况设置对应的报警指示；

对所述关键安全功能诊断设置使能按钮，用于触发或闭锁所述关键安全功能诊断系统；

对于部分判准则模糊，需要引入操作员人为判断的关键安全功能诊断，设置具有针对性的开关按钮与复位按钮，用于点亮相应的报警。

进一步，所述关键安全功能包括：次临界度、堆芯冷却、反应堆二次侧热阱、一回路完整性、安全壳完整性、主系统水装量。

进一步，在所述步骤S1中，诊断所需要的所述关键安全功能的安全关键参数全部从其它相关安全相关系统索取关键安全功能信号，对所述关键安全功能信号的筛选与索取设置以下要求：

第一，所述关键安全功能信号为具有保障安全功能级别的信号，即在事故工况下能够保证信号通道可用；

第二，所述关键安全功能信号应选取足够的冗余信号，为确保所述关键安全功能信号能够表征各个所述关键安全功能及其降级严重程度的特征，各个所述关键安全功能分别选取的所述冗余信号包括：

所述次临界度：功率量程中子注量率、中间量程中子倍增时间、源量程中子倍增时间；

所述堆芯冷却：堆芯出口温度、堆芯出口过冷度；

所述反应堆二次侧热阱：蒸发器水位、蒸发器压力、给水流量；

所述一回路完整性：一回路温度、一回路温度变化梯度、一回路压力；

所述安全壳完整性：安全壳温度、安全壳压力、安全壳放射性、安全壳液位；

所述主系统水装量：稳压器液位、压力容器液位。

进一步，筛选出的具有所述冗余信号的所述关键安全功能信号在所述关键安全功能诊断系统中进行所述关键安全功能诊断，所述关键安全功能诊断按照保守性原则设置，并在存在某一个所述冗余信号错误的情况下设置相应的退化原则。

进一步，在所述步骤S3中，同一时刻，全部所述关键安全功能中有且只有一个报警被显示，该报警指示的为该关键安全功能中所述降级严重程度中最为恶化的工况。

进一步，当某一个所述关键安全功能对其恢复操作的响应时间较长，不完全满足所述步骤S3中所要求的情况，则允许同时显示该关键安全功能下的多种降级状态报警。

进一步，在所述步骤S1中，用于提醒操作员的所述提示信息包括采用不同的颜色进行提示。

本发明的有益效果在于：

1、本发明步骤S1的作用在于通过该方法建立完整的关键安全功能诊断过程，及有效的管理方式。这一方法的优势包括如下方面：

对关键安全功能进行优先排序管理，可以明确操作员在事故后对多个关键安全功能的诊断顺序，并在同时出现多种工况降级的情况下，明确所需要优先执行的恢复操作；

对各关键安全功能的每一个降级工况采用分层管理，并对每一层确定其处理要求，可以有效的区分出每一降级工况是否需要立即进行处理亦或可以稍候处理。并且在出现不同关键安全功能同时发生不同层级的降级时，可以明确需要优先执行的缓解措施；

关键安全功能及其降级程度准则的选取与其恢复措施有直接关联性，这一点可以有效的将诊断过程与恢复措施合理的连接起来，避免出现在执行完恢复措施并退出相关操作步骤后。

2、步骤2的作用在于通过该方法搭建正确且安全性较高的关键安全功能诊断的控制系统。这一方法的优势包括如下方面：

关键安全功能诊断系统的计算控制与其他计算控制相对独立设计，可以有效的避免由于软硬件的共因失效而造成的信息错误；

关键安全功能信号的筛选原则及在特定工况下的可用性要求，可以确保在事故工况下系统的可用性，保障关键安全功能的诊断可以有效执行；

3、步骤3的作用在于通过该方法设计符合操作员在实际情况下运行操作要求的人机交互需求。这一方法的优势包括如下方面：

在多个运行操作及监视平台都实施人机交互界面，可以保障系统的多样性，确保操作员得到的信息准确完整；

设置操作员按钮用以触发或闭锁诊断功能及某一确定功能降级工况，可以让关键安全功能诊断系统可以更好的与操作员实际操作相协调，避免发生诊断的误报警干扰操作员的诊断。并且可以结合操作员的经验与控制逻辑的诊断结果，得出更准确的诊断结论。

报警显示原则与关键安全功能的分层管理要求相匹配应用，可以减少同时发生各种恶化工况对操作员带来的干扰，快速准确的帮助操作员找到正确的缓解操作。同时可以确保在执行完毕恢复操作后的再诊断过程符合实际情况，减少由于缓解措施滞后性带来的失误。

附图说明

图1是本发明具体实施方式中所述的核电厂事故处理策略中关键安全功能的设计实施方法的流程图。

具体实施方式

下面结合附图和实施例对本发明作进一步描述。

关键安全功能诊断的设计与数字化实施的根本目的在于减少在事故工况下由于人因失误而造成的误判断或误操作，在此基础上，更进一步方便于操作员的事故后运行操作。关键安全功能的诊断过程中可能出现的人因失误的原因有多种，包括完全由于人员失误造成的、由信息完整性或正确性缺陷造成的以及由于诊断过程的设计要求或设计逻辑缺陷造成的。为解决以上潜在的问题，关键安全功能的设计与实施应能够具备信息完整准确、逻辑清晰明确的要求。

针对上述要求提出了以下三点主要原则：

1)对关键安全功能采用不同级别来划分，能够满足采用不同的处理即时性、人员分配等各方面要求对其进行管理。关键安全功能的处理策略与关键安全功能的诊断有明确的针对性，对关键安全功能的实施逻辑满足实际运行的要求；

2)关键安全功能的实施具有较高的可靠性，具备在各种工况下运行的能力。为达到这一要求，应保证信号的可用性以及系统的独立性，并在系统的设计中需要始终确保其保守性；

3)关键安全功能的实施能够准确、及时的提供所需要的信息，与操作员之间有良好的交互功能。

如图1所示，本发明提供的一种核电厂事故处理策略中关键安全功能的设计实施方法包括：

步骤S1，针对第一条准则：设计关键安全功能诊断体系及功能要求，选择关键安全功能及降级诊断依据，设计分层管理体系；对全部的关键安全功能采用两层分级管理，关键安全功能包括：次临界度、堆芯冷却、反应堆二次侧热阱、一回路完整性、安全壳完整性、主系统水装量。

第一层是对全部的关键安全功能根据其对机组安全的影响程度的高低进行排序，当对关键安全功能进行关键安全功能诊断时将依序对全部的关键安全功能进行核实；当若干个关键安全功能同时出现同样程度的恶化情况下，将优先执行恢复排序高的关键安全功能；

第二层是对关键安全功能的降级工况进行分级(降级工况代表了所述关键安全功能的降级严重程度)，不同的降级工况的级别用于指示关键安全功能对应缓解操作的执行优先程度与即时性，并产生相应的报警的提示信息提醒操作员；用于提醒操作员的提示信息包括采用不同的颜色进行提示。

步骤S1中还包括判断关键安全功能诊断体系合理性，提出改进方向。

步骤S2，针对第二条准则：设计关键安全功能逻辑实施方案，包括在核电厂的总体控制系统(例如分布式控制系统Distribution Control System,简称DCS)中设置独立的关键安全功能诊断系统(也就是设计关键安全功能诊断控制系统)，关键安全功能诊断系统的计算机柜能够保证在事故工况(如失电、地震等)下保持可用，关键安全功能诊断系统的系统内部的所有信号处理与存储全部在逻辑层完成；这一步骤还包含确定系统软硬件及网络结构以及确定关键安全功能信号筛选原则、分级原则、供电要求；

步骤S3，实施人机交互，关键安全功能诊断系统针对关键安全功能做出的诊断结果在核电厂的正常运行操作系统平台与事故后运行与监视平台上均有信息输出，显示内容包含诊断流程中的必要信息，对每一项关键安全功能的降级严重程度的级别情况(也就是各降级工况)设置对应的报警指示；

对关键安全功能诊断设置使能按钮，用于触发或闭锁关键安全功能诊断系统；

对于部分判准则模糊，需要引入操作员人为判断的关键安全功能诊断，设置具有针对性的开关按钮与复位按钮，用于点亮相应的报警。

同一时刻，全部关键安全功能中有且只有一个报警被显示，该报警指示的为该关键安全功能中降级严重程度中最为恶化的工况。

当某一个关键安全功能对其恢复操作的响应时间较长，不完全满足步骤S3中所要求的情况，则允许同时显示该关键安全功能下的多种降级状态报警。

在步骤S1中，诊断所需要的关键安全功能的安全关键参数全部从其它相关安全相关系统索取关键安全功能信号，对关键安全功能信号的筛选与索取设置以下要求：

第一，关键安全功能信号为具有保障安全功能级别的信号，即在事故工况下能够保证信号通道可用；

第二，关键安全功能信号应选取足够的冗余信号，为确保关键安全功能信号能够表征各个关键安全功能及其降级严重程度的特征，各个关键安全功能分别选取的冗余信号包括：

次临界度：功率量程中子注量率、中间量程中子倍增时间、源量程中子倍增时间；

堆芯冷却：堆芯出口温度、堆芯出口过冷度；

反应堆二次侧热阱：蒸发器水位、蒸发器压力、给水流量；

一回路完整性：一回路温度、一回路温度变化梯度、一回路压力；

安全壳完整性：安全壳温度、安全壳压力、安全壳放射性、安全壳液位；

主系统水装量：稳压器液位、压力容器液位。

冗余信号不限于以上所列出的信号，还可以根据实际需要增加其他相关信号。

筛选出的具有冗余信号的关键安全功能信号在关键安全功能诊断系统中进行关键安全功能诊断，关键安全功能诊断按照保守性原则设置，并在存在某一个冗余信号错误的情况下设置相应的退化原则。保守性原则是指在无法准确得知信号通道的不确定性的前提下诊断结论应趋于更为恶化的结果；退化原则是指当出现一个信号错误的时候冗余信号选择从四取三退化至三取二或三取一。

实施例

为了使本发明的目的、技术方案及优点更加清楚明白，以采用数字化控制的M310机组事故处理策略中关键安全功能设计过程为例，对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

选择次临界度、堆芯冷却等六个功能作为需要在事故处理过程中的关键安全功能，并确定各功能的诊断顺序、表征参数以及降级工况的判断准则。降级工况分为四种级别管理，依序的管理要求为：一级，需要操纵员立即停止正在执行的操作，开始执行相应的功能恢复操作；二级，需要操纵员监视其他关键安全功能状态，在确认没有其它一级工况的情况下，停止正在执行的操作，开始执行相应的功能恢复操作；三级，不需要操纵员立即动作，经过判断后由协调员决策是否需要停止正在执行的操作，开始执行相应的功能恢复操作；四级，该关键安全功能处于正常状态。各级别采用颜色进行区分。

在分布式控制系统(DCS)的一层中设置独立机柜，设置为抗震等级，增加应急供电系统供电。引入其它系统信号全部为1E级，模拟信号由硬接线连接，数字信号由网路连接。

信号同时送核电厂计算机信息控制系统和后备盘(Back-up Panel(BUP))，相关内容显示不受KIC/BUP切换开关控制。对系统设置操作员的使能按钮与闭锁按钮，仅当操作员确认其可用时才生效。对需要结合操作员判断的降级工况，设置单独的操作员触发按钮，对降级工况的诊断按照保守的原则设置。

本发明所述的装置并不限于具体实施方式中所述的实施例，本领域技术人员根据本发明的技术方案得出其他的实施方式，同样属于本发明的技术创新范围。

Claims (6)

1.一种核电厂事故处理策略中关键安全功能的设计实施方法，其特征是：

步骤S1，对全部的关键安全功能采用两层分级管理，

第一层是对全部的所述关键安全功能根据其对机组安全的影响程度的高低进行排序，当对所述关键安全功能进行关键安全功能诊断时将依序对全部的所述关键安全功能进行核实；当若干个所述关键安全功能同时出现同样程度的恶化情况下，将优先执行恢复排序高的关键安全功能；

第二层是对所述关键安全功能的降级工况进行分级，不同的降级工况的级别用于指示所述关键安全功能对应缓解操作的执行优先程度与即时性，并产生相应的报警的提示信息提醒操作员；

步骤S2，设计关键安全功能逻辑实施方案，包括在核电厂的总体控制系统中设置独立的关键安全功能诊断系统，所述关键安全功能诊断系统的计算机柜能够保证在事故工况下保持可用，所述关键安全功能诊断系统的系统内部的所有信号处理与存储全部在逻辑层完成；

步骤S3，实施人机交互，所述关键安全功能诊断系统针对所述关键安全功能做出的诊断结果在核电厂的正常运行操作系统平台与事故后运行与监视平台上均有信息输出，显示内容包含诊断流程中的必要信息，对每一项所述关键安全功能的降级严重程度的级别情况设置对应的报警指示；

对所述关键安全功能诊断设置使能按钮，用于触发或闭锁所述关键安全功能诊断系统；

对于部分判准则模糊，需要引入操作员人为判断的关键安全功能诊断，设置具有针对性的开关按钮与复位按钮，用于点亮相应的报警；

所述关键安全功能包括：次临界度、堆芯冷却、反应堆二次侧热阱、一回路完整性、安全壳完整性、主系统水装量。

2.如权利要求1所述的方法，其特征是：

在所述步骤S1中，诊断所需要的所述关键安全功能的安全关键参数全部从其它相关安全相关系统索取关键安全功能信号，对所述关键安全功能信号的筛选与索取设置以下要求：

第一，所述关键安全功能信号为具有保障安全功能级别的信号，即在事故工况下能够保证信号通道可用；

第二，所述关键安全功能信号应选取足够的冗余信号，为确保所述关键安全功能信号能够表征各个所述关键安全功能及其降级严重程度的特征，各个所述关键安全功能分别选取的所述冗余信号包括：

所述次临界度：功率量程中子注量率、中间量程中子倍增时间、源量程中子倍增时间；

所述堆芯冷却：堆芯出口温度、堆芯出口过冷度；

所述反应堆二次侧热阱：蒸发器水位、蒸发器压力、给水流量；

所述一回路完整性：一回路温度、一回路温度变化梯度、一回路压力；

所述安全壳完整性：安全壳温度、安全壳压力、安全壳放射性、安全壳液位；

所述主系统水装量：稳压器液位、压力容器液位。

3.如权利要求2所述的方法，其特征是：筛选出的具有所述冗余信号的所述关键安全功能信号在所述关键安全功能诊断系统中进行所述关键安全功能诊断，所述关键安全功能诊断按照保守性原则设置，并在存在某一个所述冗余信号错误的情况下设置相应的退化原则；

所述保守性原则是指在无法准确得知信号通道的不确定性的前提下诊断结论应趋于更为恶化的结果；所述退化原则是指当出现一个信号错误的时候所述冗余信号选择从四取三退化至三取二或三取一。

4.如权利要求1所述的方法，其特征是：在所述步骤S1中，同一时刻，全部所述关键安全功能中有且只有一个报警被显示，该报警指示的为该关键安全功能中所述降级严重程度中最为恶化的工况。

5.如权利要求3所述的方法，其特征是：当某一个所述关键安全功能对其恢复操作的响应时间较长，不完全满足所述步骤S3中所要求的情况，则允许同时显示该关键安全功能下的多种降级状态报警。

6.如权利要求1所述的方法，其特征是：在所述步骤S1中，用于提醒操作员的所述提示信息包括采用不同的颜色进行提示。

Images