TCNEA-核電廠反應堆保護系統(tǒng)信號故障處理技術導則

ICS中國核能行業(yè)協(xié)會（ChinaNuclearEnergyAssociation，CNEA）是經(jīng)國務院同意、民政部批準設立的全國性非營利社會團體，成立于2007年4月18日。協(xié)會的中心任務是做好政府與會員單位之間、會員單位之間、國內(nèi)與國際之間的溝通與交流，維護全行業(yè)和會員的合法權益，向政府建言獻策，為企業(yè)排憂解難，努力發(fā)揮橋梁和紐帶作用。制定中國核能行業(yè)協(xié)會團體標準（以下簡稱：核協(xié)團標），以滿足我國核能行業(yè)標準化發(fā)展市場需求為導向，為核能行業(yè)和相關社會事業(yè)提供行業(yè)領先的標準化服務，是中國核能行業(yè)協(xié)會的工作內(nèi)容之一。中國境內(nèi)的團體和個人，均可提出制、修訂核協(xié)團標的建議并參與有關工作。核協(xié)團標按《中國標準化協(xié)會標準管理辦法》進行制定和管理。核協(xié)團標草案經(jīng)向社會公開征求意見，并得到參加審定會議的3/4以上的專家、成員的投票贊同，方可作為核協(xié)團標予以發(fā)布。在本標準實施過程中，如發(fā)現(xiàn)需要修改或補充之處，請將意見和有關資料寄給中國核能行業(yè)協(xié)會，以便修訂時參考。本標準版權為中國核能行業(yè)協(xié)會所有。除了用于國家法律或事先得到中國核能行業(yè)協(xié)會文字上的許可外，不許以任何形式復制該標準。本標準版權為中國核能行業(yè)協(xié)會所有。除了用于國家法律或事先得到中國核能行業(yè)協(xié)會文字上的許可外，不許以任何形式復制該標準。中國核能行業(yè)協(xié)會地址：北京市海淀區(qū)西三環(huán)北路72號世紀經(jīng)貿(mào)大廈B座28層。固話真址：電子信箱：cnea_standard@目??次TOC\o"1-2"\h\z\u目次 II前言 III引言 IV1范圍 12規(guī)范性引用文件 13術語和定義 14總體原則 25技術規(guī)格書的編制 36設計與實現(xiàn) 37系統(tǒng)集成 68系統(tǒng)確認 79安裝和調(diào)試 710運行和維護 711變更和修改 7前??言本標準依據(jù)GB/T1.1-2020的規(guī)則編寫。本標準起草單位：江蘇核電有限公司、生態(tài)環(huán)境部核與輻射安全中心等。本標準起草人：李偉、張云波、管運全、喬寧、穆海洋、劉景賓、謝國寶、鄭佳慷、管海飛、史東亮、支鳳春、段鵬、劉敏、孟祥山等。考慮到本標準中的某些條款可能涉及專利，中國核能行業(yè)協(xié)會不負責對任何該類專利的鑒別。本標準為首次發(fā)布。引??言核電廠安全重要儀表和控制系統(tǒng)越來越計算機化后，其設計和故障模式也呈現(xiàn)出一定的復雜化趨勢。根據(jù)IEC61513-2011中相關的要求，執(zhí)行安全功能的儀控系統(tǒng)檢測到故障時，仍然需要通過邏輯降級、故障安全和閉鎖輸出的方式使安全系統(tǒng)保持在備用模式安全運行，為了規(guī)范安全相關系統(tǒng)信號故障后的處理原則，特制定本導則。核電廠反應堆保護系統(tǒng)信號故障處理技術導則范圍本導則規(guī)定了核電廠執(zhí)行A類安全功能的計算機化的反應堆保護系統(tǒng)應對信號故障的基本要求。本導則適用于核電廠安全功能和反應堆保護系統(tǒng)的設計與改進。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20438電氣/電子/可編程電子安全相關系統(tǒng)的功能安全IEC61508Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystemsIEC61513Nuclearpowerplants–Instrumentationandcontrolimportanttosafety術語和定義IEC61508和IEC61513界定的以及下列術語和定義適用于本文件。通道Train系統(tǒng)內(nèi)相互連接的幾個部件發(fā)出單一輸出信號的配置，在單一輸出信號與來自其他通道（例如監(jiān)測通道或安全驅(qū)動通道）的信號結合在一起的地方，通道就告終止。[GB/T4960.6—2008，定義4.1.30]多樣性Diversity為執(zhí)行某一確定功能設置兩個或多個獨立（或冗余）的系統(tǒng)或部件，這些不同系統(tǒng)或部件具有不同屬性，從而減少共因故障（包括共模故障）的可能性。[HAF102（2016）]安全系統(tǒng)safetysystem安全上重要的系統(tǒng)，用于保證反應堆安全停堆、從堆芯排出余熱或限制預計運行事件和事故工況的后果。[HAF102（2016）]保護系統(tǒng)Protectionsystem監(jiān)測反應堆的運行，并根據(jù)接收到的異常工況信號，自動觸發(fā)動作以防止發(fā)生不安全或潛在的不安全工況的系統(tǒng)。[HAF102（2016）]儀控（I&C）功能I&Cfunction對工藝過程指定部分實施控制、操作和（或）監(jiān)督的功能。儀控系統(tǒng)I&Csystem基于電氣和（或）電子和（或）可編程電子技術的系統(tǒng)，它執(zhí)行儀控功能以及與系統(tǒng)自身運行有關的服務和監(jiān)督功能。冗余redundance除本身外，設置另外一個或多個（相同的或不同的）構筑物、系統(tǒng)或部件，以便其中一個都能執(zhí)行所要求的功能，不管任何其他的是處于運行狀態(tài)還是故障狀態(tài)。[GB/T4960.6—2008，定義4.1.10]故障failure使功能單元執(zhí)行要求的功能的能力降低或失去其能力的異常狀況。單一故障singlefailure導致某一系統(tǒng)或部件不能執(zhí)行其預定安全功能的一種故障，以及由此引起的各種繼發(fā)故障。[HAF102（2016）]單一故障準則singlefailurecriterion要求系統(tǒng)或設備組合在其任何部件發(fā)生可信的單一隨機故障時仍能執(zhí)行其正常功能的設計準則。[GB/T4960.6—2008，定義4.1.4]質(zhì)量位quality表征信號品質(zhì)優(yōu)劣或信號是否故障的開關量信號。安全生命周期SafetyLifecycle安全相關系統(tǒng)實現(xiàn)過程中所必需的生命活動，這些活動發(fā)生在從一項工程的概念階段開始，直至所有的安全相關系統(tǒng)停止使用為止的一段時間內(nèi)。總體原則通用原則應對A類安全功能信號故障的功能應滿足與A類安全功能一致的安全等級要求，實現(xiàn)該功能的系統(tǒng)軟件和硬件平臺應與A類安全功能相同。為了保證信號故障功能滿足電廠安全要求得以確定、實現(xiàn)和保持，應采用系統(tǒng)性的方法。應把與信號故障功能的設計、實現(xiàn)和運行相關的活動置于儀控系統(tǒng)的安全生命周期的框架內(nèi)。典型的儀控系統(tǒng)生命周期包括下列階段：1）系統(tǒng)技術規(guī)格書；2）系統(tǒng)設計和實現(xiàn)；3）系統(tǒng)集成；4）系統(tǒng)確認；5）系統(tǒng)安裝和調(diào)試；6）系統(tǒng)運行和維護；7）系統(tǒng)設計修改。技術規(guī)格書的編制安全要求應清晰、準確、可驗證、可測試以及可維護，應切實可行，生命周期任一階段應能方便理解。針對所有安全功能的描述，應提供充分的、可理解的詳細要求。對于系統(tǒng)及其部件的失效模式（包括應對失效的響應，應對失效的措施等）應當明確要求。對于系統(tǒng)信號故障后的系統(tǒng)提示要求（報警等）應當詳細說明。設計與實現(xiàn)故障假設研究和設計核電廠安全重要儀表和控制系統(tǒng)時，應對可能發(fā)生的信號故障進行假設，并根據(jù)其假設采取具體的防護措施。故障假設的基礎應是對安全級信號回路已發(fā)生的故障的總結和正確估計。例如：a)信號源故障，比如取樣管線故障、變送器故障等；b)信號回路故障，比如供電保險、信號保險熔斷或者線路故障等；c)通道間信號交換故障，比如信號分配通道錯誤、通道間通訊故障等；d) 系統(tǒng)軟件故障，比如堆內(nèi)核測系統(tǒng)、堆外核測系統(tǒng)、輻射儀表系統(tǒng)等智能化儀表系統(tǒng)的軟件故障；e) 系統(tǒng)硬件故障，比如控制機柜供電模件、信號模件、通訊模件、邏輯處理模件等硬件故障等。組成安全相關信號回路的元器件性能和環(huán)境條件應根據(jù)產(chǎn)品標準或生產(chǎn)廠家的規(guī)定，結合信號回路的安全要求正確選用，并應考慮故障后果，例如：a）超量程；b)板卡故障；c)通道故障；d)CPU故障等。故障監(jiān)測安全級信號回路應具備必要的自診斷功能及必要的檢(監(jiān))測設備。檢(監(jiān))測設備工作或故障時，不能影響其他安全功能的正常工作。比如部分核電廠安全重要儀表信號可分為模擬量信號和開關量信號兩類。其中，模擬量信號輸入為4~20mA電流，開關量信號輸入為0或24V電壓，這兩類信號故障監(jiān)測采用如下手段：a) 模擬量信號當輸入的電流數(shù)值偏差超過設計量程的偏差百分比時則判定信號為故障狀態(tài)；b)開關量信號通過設置常開（常閉）雙反饋回路的監(jiān)視，當雙反饋回路的電壓數(shù)值不在設計范圍內(nèi)則判定信號為故障狀態(tài)。假設故障一般應以很高的概率發(fā)現(xiàn)，發(fā)現(xiàn)故障不應引起危險狀態(tài)或?qū)е逻\行的危險狀態(tài)。當信號被識別為發(fā)生故障后，反應堆保護系統(tǒng)應有效標識故障的信號，使其與正常信號區(qū)別開來。信號的故障狀態(tài)在系統(tǒng)的傳輸流程中應是能被識別且可以被提取出來，用于信號后續(xù)傳輸流程中該信號的隔離、標識、邏輯降級以及觸發(fā)默認值輸出等作用。信號發(fā)生故障時，應能向核電廠運行人員及時發(fā)出警報或報警，以利于及時采取相應的行動。功能獨立性和隔離不同安全等級的系統(tǒng)和功能之間應相互獨立。主要體現(xiàn)在相互間的數(shù)據(jù)通信隔離和屏障要求。高等級系統(tǒng)相對較低等級系統(tǒng)的單向通信設計。安全級系統(tǒng)內(nèi)部不同安全組或系列之間也應充分的獨立性。故障失效應對信號故障應對策略應涵蓋冗余信號故障的全部組合A類安全功能的設計者應明確反應堆保護系統(tǒng)應對信號故障的策略，策略應涵蓋冗余信號故障的全部組合：單個冗余信號故障、多個冗余信號故障、所有冗余信號故障。信號故障應對的常用策略通常，信號故障應對策略包括：a)降級運行：當冗余的信號中有數(shù)量較少（通常是1個或者2個）的信號發(fā)生故障時，剔除發(fā)生故障的信號、剩余冗余信號參與下一步功能計算；例如，四個冗余通道的降級運行方案：序號信號故障情況模擬量降級運行方案開關量降級運行方案1無冗余信號故障4取次大（?。?取22單個冗余信號故障3取次大（小）3取23*兩個冗余信號故障2取次大（?。┗蛴|發(fā)2取1或觸發(fā)4三個冗余信號故障觸發(fā)觸發(fā)5四個冗余信號故障默認值或最后有效值觸發(fā)*根據(jù)安全功能設計者對功能的要求選擇2取1或觸發(fā)三個冗余通道的降級運行方案：序號信號故障情況模擬量降級運行方案開關量降級運行方案1無冗余信號故障3取次大（?。?取22*一個冗余信號故障2取次大（小）2取2或2取13兩個冗余信號故障觸發(fā)觸發(fā)4三個冗余信號故障觸發(fā)觸發(fā)*根據(jù)安全功能設計者對功能的要求選擇2取1或觸發(fā)b)輸出默認值，根據(jù)安全分析的要求，當冗余信號中有多個或者全部（通常超過3個）發(fā)生故障時，輸出事先設定的默認值；例如：信號故障狀態(tài)值信號故障狀態(tài)值表決（4取3）信號值默認值切換輸出c)閉鎖輸出，當參與一個功能的冗余信號中有多個或者全部發(fā)生故障時，閉鎖該功能的輸出。功能完整性故障狀態(tài)邏輯設置的閉鎖/排除的總體要求是當出現(xiàn)內(nèi)外部信號故障或條件劣化且可能會造成安全功能失效的情況下，系統(tǒng)仍有能力完成其規(guī)定的安全功能。其他輔助性功能、支持性功能都不能對系統(tǒng)執(zhí)行安全功能的產(chǎn)生有害影響，也不應使安全系統(tǒng)產(chǎn)生誤動作。應考慮工藝狀態(tài)對核電廠安全重要儀表和控制系統(tǒng)信號的影響對工藝狀態(tài)影響了反應堆保護識別信號故障功能的情況，可結合安全功能設計者對于參數(shù)監(jiān)測的要求，根據(jù)工藝參數(shù)條件排除受影響信號的部分或全部故障應對策略。當機組不在功率運行、處于檢修或者檢修前的冷卻或者檢修后的加熱狀態(tài)時，部分就地儀表或傳感器可能受到工藝狀態(tài)的影響，導致反應堆保護系統(tǒng)錯誤地識別信號出現(xiàn)故障，從而錯誤地根據(jù)信號故障應對策略響應或觸發(fā)安全功能。應考慮這種可能性，并考慮設置閉鎖條件。其他一般要求核電廠安全重要儀表和控制系統(tǒng)中的信號傳輸（包括硬件和軟件），應具有必要的安全性和可靠性。核電廠安全重要儀表和控制系統(tǒng)的所有硬件和軟件應滿足所有核級設備鑒定、設計、測試等標準。核電廠安全重要儀表和控制系統(tǒng)信號故障的應對策略應貫穿系統(tǒng)的整個生命周期，并按照系統(tǒng)的安全功能級別執(zhí)行各階段的質(zhì)量控制。對故障安全的要求，應是從技術上能夠?qū)崿F(xiàn)的，研究和設計各種安全級信號回路，均應滿足故障安全的原則。信號故障功能應根據(jù)冗余信號故障的程度，涵蓋全部組合：單個冗余信號故障、多個冗余信號故障、所有冗余信號故障。信號故障的識別從參與A類安全功能的工藝信號的生成，到儀控系統(tǒng)安全功能的觸發(fā)，整個信號鏈路發(fā)生的信號故障均應被有效識別。模擬量信號發(fā)生的就地儀表、傳感器故障和信號傳輸路徑故障，通?？稍趦x控系統(tǒng)邏輯單元中根據(jù)信號電流是否處于正常工作區(qū)間判斷。此方法需要充分考慮儀表特性，在特定工況下存在誤判的可能性。模擬量信號如傳感器故障和信號傳輸路徑故障可通過單獨的質(zhì)量位信號判斷。開關量信號的信號觸點故障和信號傳輸路徑故障，通常應配置雙觸點，在儀控系統(tǒng)邏輯單元中通過雙觸點信號互異的特點判斷。系統(tǒng)數(shù)據(jù)傳輸故障、系統(tǒng)軟件故障、系統(tǒng)硬件故障產(chǎn)生的信號故障是由儀控系統(tǒng)本身引起，可通過系統(tǒng)自檢有效監(jiān)視和識別故障。信號故障的標識信號在儀控系統(tǒng)邏輯單元的處理中，應包含信號值和質(zhì)量位兩個方面的信息。質(zhì)量位表征該信號是否故障的狀態(tài)。當信號被識別為故障時，該信號的質(zhì)量位應標識此狀態(tài)。質(zhì)量位信號應能被儀控系統(tǒng)邏輯單元提取，以便用于信號后續(xù)傳輸流程中該信號的隔離、標識、邏輯降級以及觸發(fā)默認值輸出等作用。在儀控系統(tǒng)的人機接口或可視化界面中，應通過有效的標識方法使工程師、管理員、運行人員能夠辨識信號是否處于故障狀態(tài)。對于信號故障的標識，應防止多個通道同時故障后，因為標識對系統(tǒng)多個通道產(chǎn)生影響，導致安全功能不可用。信號故障的報警信號發(fā)生故障時，應能向核電廠運行人員及時發(fā)出警報或報警，以利于及時采取相應的行動。信號故障的報警應根據(jù)信號冗余故障程度和信號類別分等級設置，既充分引起運行人員注意，又不會不必要地分散運行人員注意力。系統(tǒng)集成通用要求信號故障功能的集成應與儀控系統(tǒng)的集成同步進行。如有可能，應集成系統(tǒng)設計中所有的功能模塊，以驗證這些模塊在測試過程中的相互影響和作用。一般要求測試前應選擇測試用例，測試用例應考慮：1)覆蓋信號故障功能相關的所有信號；2)覆蓋故障假設中設定的所有故障類型；3)對同一類別的信號，應覆蓋此類信號涉及的所有應對策略；4)應驗證信號故障功能不會引起A類安全功能的執(zhí)行。通過靜態(tài)和動態(tài)模擬輸入信號，應測試驗證信號故障功能在正常運行工況、預期運行事件、事故工況的響應。測試中應關注信號故障時，儀控系統(tǒng)的響應。在集成測試中，應對集成系統(tǒng)的任何修改或改變進行影響