TCNEA-核電廠反應(yīng)堆保護(hù)系統(tǒng)信號故障處理技術(shù)導(dǎo)則

ICS中國核能行業(yè)協(xié)會（ChinaNuclearEnergyAssociation，CNEA）是經(jīng)國務(wù)院同意、民政部批準(zhǔn)設(shè)立的全國性非營利社會團(tuán)體，成立于2007年4月18日。協(xié)會的中心任務(wù)是做好政府與會員單位之間、會員單位之間、國內(nèi)與國際之間的溝通與交流，維護(hù)全行業(yè)和會員的合法權(quán)益，向政府建言獻(xiàn)策，為企業(yè)排憂解難，努力發(fā)揮橋梁和紐帶作用。制定中國核能行業(yè)協(xié)會團(tuán)體標(biāo)準(zhǔn)（以下簡稱：核協(xié)團(tuán)標(biāo)），以滿足我國核能行業(yè)標(biāo)準(zhǔn)化發(fā)展市場需求為導(dǎo)向，為核能行業(yè)和相關(guān)社會事業(yè)提供行業(yè)領(lǐng)先的標(biāo)準(zhǔn)化服務(wù)，是中國核能行業(yè)協(xié)會的工作內(nèi)容之一。中國境內(nèi)的團(tuán)體和個人，均可提出制、修訂核協(xié)團(tuán)標(biāo)的建議并參與有關(guān)工作。核協(xié)團(tuán)標(biāo)按《中國標(biāo)準(zhǔn)化協(xié)會標(biāo)準(zhǔn)管理辦法》進(jìn)行制定和管理。核協(xié)團(tuán)標(biāo)草案經(jīng)向社會公開征求意見，并得到參加審定會議的3/4以上的專家、成員的投票贊同，方可作為核協(xié)團(tuán)標(biāo)予以發(fā)布。在本標(biāo)準(zhǔn)實(shí)施過程中，如發(fā)現(xiàn)需要修改或補(bǔ)充之處，請將意見和有關(guān)資料寄給中國核能行業(yè)協(xié)會，以便修訂時參考。本標(biāo)準(zhǔn)版權(quán)為中國核能行業(yè)協(xié)會所有。除了用于國家法律或事先得到中國核能行業(yè)協(xié)會文字上的許可外，不許以任何形式復(fù)制該標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)版權(quán)為中國核能行業(yè)協(xié)會所有。除了用于國家法律或事先得到中國核能行業(yè)協(xié)會文字上的許可外，不許以任何形式復(fù)制該標(biāo)準(zhǔn)。中國核能行業(yè)協(xié)會地址：北京市海淀區(qū)西三環(huán)北路72號世紀(jì)經(jīng)貿(mào)大廈B座28層。固話真址：電子信箱：cnea_standard@目??次TOC\o"1-2"\h\z\u目次 II前言 III引言 IV1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14總體原則 25技術(shù)規(guī)格書的編制 36設(shè)計與實(shí)現(xiàn) 37系統(tǒng)集成 68系統(tǒng)確認(rèn) 79安裝和調(diào)試 710運(yùn)行和維護(hù) 711變更和修改 7前??言本標(biāo)準(zhǔn)依據(jù)GB/T1.1-2020的規(guī)則編寫。本標(biāo)準(zhǔn)起草單位：江蘇核電有限公司、生態(tài)環(huán)境部核與輻射安全中心等。本標(biāo)準(zhǔn)起草人：李偉、張云波、管運(yùn)全、喬寧、穆海洋、劉景賓、謝國寶、鄭佳慷、管海飛、史東亮、支鳳春、段鵬、劉敏、孟祥山等?？紤]到本標(biāo)準(zhǔn)中的某些條款可能涉及專利，中國核能行業(yè)協(xié)會不負(fù)責(zé)對任何該類專利的鑒別。本標(biāo)準(zhǔn)為首次發(fā)布。引??言核電廠安全重要儀表和控制系統(tǒng)越來越計算機(jī)化后，其設(shè)計和故障模式也呈現(xiàn)出一定的復(fù)雜化趨勢。根據(jù)IEC61513-2011中相關(guān)的要求，執(zhí)行安全功能的儀控系統(tǒng)檢測到故障時，仍然需要通過邏輯降級、故障安全和閉鎖輸出的方式使安全系統(tǒng)保持在備用模式安全運(yùn)行，為了規(guī)范安全相關(guān)系統(tǒng)信號故障后的處理原則，特制定本導(dǎo)則。核電廠反應(yīng)堆保護(hù)系統(tǒng)信號故障處理技術(shù)導(dǎo)則范圍本導(dǎo)則規(guī)定了核電廠執(zhí)行A類安全功能的計算機(jī)化的反應(yīng)堆保護(hù)系統(tǒng)應(yīng)對信號故障的基本要求。本導(dǎo)則適用于核電廠安全功能和反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計與改進(jìn)。規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20438電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全I(xiàn)EC61508Functionalsafetyofelectrical/electronic/programmableelectronicsafety-relatedSystemsIEC61513Nuclearpowerplants–Instrumentationandcontrolimportanttosafety術(shù)語和定義IEC61508和IEC61513界定的以及下列術(shù)語和定義適用于本文件。通道Train系統(tǒng)內(nèi)相互連接的幾個部件發(fā)出單一輸出信號的配置，在單一輸出信號與來自其他通道（例如監(jiān)測通道或安全驅(qū)動通道）的信號結(jié)合在一起的地方，通道就告終止。[GB/T4960.6—2008，定義4.1.30]多樣性Diversity為執(zhí)行某一確定功能設(shè)置兩個或多個獨(dú)立（或冗余）的系統(tǒng)或部件，這些不同系統(tǒng)或部件具有不同屬性，從而減少共因故障（包括共模故障）的可能性。[HAF102（2016）]安全系統(tǒng)safetysystem安全上重要的系統(tǒng)，用于保證反應(yīng)堆安全停堆、從堆芯排出余熱或限制預(yù)計運(yùn)行事件和事故工況的后果。[HAF102（2016）]保護(hù)系統(tǒng)Protectionsystem監(jiān)測反應(yīng)堆的運(yùn)行，并根據(jù)接收到的異常工況信號，自動觸發(fā)動作以防止發(fā)生不安全或潛在的不安全工況的系統(tǒng)。[HAF102（2016）]儀控（I&C）功能I&Cfunction對工藝過程指定部分實(shí)施控制、操作和（或）監(jiān)督的功能。儀控系統(tǒng)I&Csystem基于電氣和（或）電子和（或）可編程電子技術(shù)的系統(tǒng)，它執(zhí)行儀控功能以及與系統(tǒng)自身運(yùn)行有關(guān)的服務(wù)和監(jiān)督功能。冗余redundance除本身外，設(shè)置另外一個或多個（相同的或不同的）構(gòu)筑物、系統(tǒng)或部件，以便其中一個都能執(zhí)行所要求的功能，不管任何其他的是處于運(yùn)行狀態(tài)還是故障狀態(tài)。[GB/T4960.6—2008，定義4.1.10]故障failure使功能單元執(zhí)行要求的功能的能力降低或失去其能力的異常狀況。單一故障singlefailure導(dǎo)致某一系統(tǒng)或部件不能執(zhí)行其預(yù)定安全功能的一種故障，以及由此引起的各種繼發(fā)故障。[HAF102（2016）]單一故障準(zhǔn)則singlefailurecriterion要求系統(tǒng)或設(shè)備組合在其任何部件發(fā)生可信的單一隨機(jī)故障時仍能執(zhí)行其正常功能的設(shè)計準(zhǔn)則。[GB/T4960.6—2008，定義4.1.4]質(zhì)量位quality表征信號品質(zhì)優(yōu)劣或信號是否故障的開關(guān)量信號。安全生命周期SafetyLifecycle安全相關(guān)系統(tǒng)實(shí)現(xiàn)過程中所必需的生命活動，這些活動發(fā)生在從一項工程的概念階段開始，直至所有的安全相關(guān)系統(tǒng)停止使用為止的一段時間內(nèi)?？傮w原則通用原則應(yīng)對A類安全功能信號故障的功能應(yīng)滿足與A類安全功能一致的安全等級要求，實(shí)現(xiàn)該功能的系統(tǒng)軟件和硬件平臺應(yīng)與A類安全功能相同。為了保證信號故障功能滿足電廠安全要求得以確定、實(shí)現(xiàn)和保持，應(yīng)采用系統(tǒng)性的方法。應(yīng)把與信號故障功能的設(shè)計、實(shí)現(xiàn)和運(yùn)行相關(guān)的活動置于儀控系統(tǒng)的安全生命周期的框架內(nèi)。典型的儀控系統(tǒng)生命周期包括下列階段：1）系統(tǒng)技術(shù)規(guī)格書；2）系統(tǒng)設(shè)計和實(shí)現(xiàn)；3）系統(tǒng)集成；4）系統(tǒng)確認(rèn)；5）系統(tǒng)安裝和調(diào)試；6）系統(tǒng)運(yùn)行和維護(hù)；7）系統(tǒng)設(shè)計修改。技術(shù)規(guī)格書的編制安全要求應(yīng)清晰、準(zhǔn)確、可驗證、可測試以及可維護(hù)，應(yīng)切實(shí)可行，生命周期任一階段應(yīng)能方便理解。針對所有安全功能的描述，應(yīng)提供充分的、可理解的詳細(xì)要求。對于系統(tǒng)及其部件的失效模式（包括應(yīng)對失效的響應(yīng)，應(yīng)對失效的措施等）應(yīng)當(dāng)明確要求。對于系統(tǒng)信號故障后的系統(tǒng)提示要求（報警等）應(yīng)當(dāng)詳細(xì)說明。設(shè)計與實(shí)現(xiàn)故障假設(shè)研究和設(shè)計核電廠安全重要儀表和控制系統(tǒng)時，應(yīng)對可能發(fā)生的信號故障進(jìn)行假設(shè)，并根據(jù)其假設(shè)采取具體的防護(hù)措施。故障假設(shè)的基礎(chǔ)應(yīng)是對安全級信號回路已發(fā)生的故障的總結(jié)和正確估計。例如：a)信號源故障，比如取樣管線故障、變送器故障等；b)信號回路故障，比如供電保險、信號保險熔斷或者線路故障等；c)通道間信號交換故障，比如信號分配通道錯誤、通道間通訊故障等；d) 系統(tǒng)軟件故障，比如堆內(nèi)核測系統(tǒng)、堆外核測系統(tǒng)、輻射儀表系統(tǒng)等智能化儀表系統(tǒng)的軟件故障；e) 系統(tǒng)硬件故障，比如控制機(jī)柜供電模件、信號模件、通訊模件、邏輯處理模件等硬件故障等。組成安全相關(guān)信號回路的元器件性能和環(huán)境條件應(yīng)根據(jù)產(chǎn)品標(biāo)準(zhǔn)或生產(chǎn)廠家的規(guī)定，結(jié)合信號回路的安全要求正確選用，并應(yīng)考慮故障后果，例如：a）超量程；b)板卡故障；c)通道故障；d)CPU故障等。故障監(jiān)測安全級信號回路應(yīng)具備必要的自診斷功能及必要的檢(監(jiān))測設(shè)備。檢(監(jiān))測設(shè)備工作或故障時，不能影響其他安全功能的正常工作。比如部分核電廠安全重要儀表信號可分為模擬量信號和開關(guān)量信號兩類。其中，模擬量信號輸入為4~20mA電流，開關(guān)量信號輸入為0或24V電壓，這兩類信號故障監(jiān)測采用如下手段：a) 模擬量信號當(dāng)輸入的電流數(shù)值偏差超過設(shè)計量程的偏差百分比時則判定信號為故障狀態(tài)；b)開關(guān)量信號通過設(shè)置常開（常閉）雙反饋回路的監(jiān)視，當(dāng)雙反饋回路的電壓數(shù)值不在設(shè)計范圍內(nèi)則判定信號為故障狀態(tài)。假設(shè)故障一般應(yīng)以很高的概率發(fā)現(xiàn)，發(fā)現(xiàn)故障不應(yīng)引起危險狀態(tài)或?qū)е逻\(yùn)行的危險狀態(tài)。當(dāng)信號被識別為發(fā)生故障后，反應(yīng)堆保護(hù)系統(tǒng)應(yīng)有效標(biāo)識故障的信號，使其與正常信號區(qū)別開來。信號的故障狀態(tài)在系統(tǒng)的傳輸流程中應(yīng)是能被識別且可以被提取出來，用于信號后續(xù)傳輸流程中該信號的隔離、標(biāo)識、邏輯降級以及觸發(fā)默認(rèn)值輸出等作用。信號發(fā)生故障時，應(yīng)能向核電廠運(yùn)行人員及時發(fā)出警報或報警，以利于及時采取相應(yīng)的行動。功能獨(dú)立性和隔離不同安全等級的系統(tǒng)和功能之間應(yīng)相互獨(dú)立。主要體現(xiàn)在相互間的數(shù)據(jù)通信隔離和屏障要求。高等級系統(tǒng)相對較低等級系統(tǒng)的單向通信設(shè)計。安全級系統(tǒng)內(nèi)部不同安全組或系列之間也應(yīng)充分的獨(dú)立性。故障失效應(yīng)對信號故障應(yīng)對策略應(yīng)涵蓋冗余信號故障的全部組合A類安全功能的設(shè)計者應(yīng)明確反應(yīng)堆保護(hù)系統(tǒng)應(yīng)對信號故障的策略，策略應(yīng)涵蓋冗余信號故障的全部組合：單個冗余信號故障、多個冗余信號故障、所有冗余信號故障。信號故障應(yīng)對的常用策略通常，信號故障應(yīng)對策略包括：a)降級運(yùn)行：當(dāng)冗余的信號中有數(shù)量較少（通常是1個或者2個）的信號發(fā)生故障時，剔除發(fā)生故障的信號、剩余冗余信號參與下一步功能計算；例如，四個冗余通道的降級運(yùn)行方案：序號信號故障情況模擬量降級運(yùn)行方案開關(guān)量降級運(yùn)行方案1無冗余信號故障4取次大（?。?取22單個冗余信號故障3取次大（小）3取23*兩個冗余信號故障2取次大（?。┗蛴|發(fā)2取1或觸發(fā)4三個冗余信號故障觸發(fā)觸發(fā)5四個冗余信號故障默認(rèn)值或最后有效值觸發(fā)*根據(jù)安全功能設(shè)計者對功能的要求選擇2取1或觸發(fā)三個冗余通道的降級運(yùn)行方案：序號信號故障情況模擬量降級運(yùn)行方案開關(guān)量降級運(yùn)行方案1無冗余信號故障3取次大（小）3取22*一個冗余信號故障2取次大（?。?取2或2取13兩個冗余信號故障觸發(fā)觸發(fā)4三個冗余信號故障觸發(fā)觸發(fā)*根據(jù)安全功能設(shè)計者對功能的要求選擇2取1或觸發(fā)b)輸出默認(rèn)值，根據(jù)安全分析的要求，當(dāng)冗余信號中有多個或者全部（通常超過3個）發(fā)生故障時，輸出事先設(shè)定的默認(rèn)值；例如：信號故障狀態(tài)值信號故障狀態(tài)值表決（4取3）信號值默認(rèn)值切換輸出c)閉鎖輸出，當(dāng)參與一個功能的冗余信號中有多個或者全部發(fā)生故障時，閉鎖該功能的輸出。功能完整性故障狀態(tài)邏輯設(shè)置的閉鎖/排除的總體要求是當(dāng)出現(xiàn)內(nèi)外部信號故障或條件劣化且可能會造成安全功能失效的情況下，系統(tǒng)仍有能力完成其規(guī)定的安全功能。其他輔助性功能、支持性功能都不能對系統(tǒng)執(zhí)行安全功能的產(chǎn)生有害影響，也不應(yīng)使安全系統(tǒng)產(chǎn)生誤動作。應(yīng)考慮工藝狀態(tài)對核電廠安全重要儀表和控制系統(tǒng)信號的影響對工藝狀態(tài)影響了反應(yīng)堆保護(hù)識別信號故障功能的情況，可結(jié)合安全功能設(shè)計者對于參數(shù)監(jiān)測的要求，根據(jù)工藝參數(shù)條件排除受影響信號的部分或全部故障應(yīng)對策略。當(dāng)機(jī)組不在功率運(yùn)行、處于檢修或者檢修前的冷卻或者檢修后的加熱狀態(tài)時，部分就地儀表或傳感器可能受到工藝狀態(tài)的影響，導(dǎo)致反應(yīng)堆保護(hù)系統(tǒng)錯誤地識別信號出現(xiàn)故障，從而錯誤地根據(jù)信號故障應(yīng)對策略響應(yīng)或觸發(fā)安全功能。應(yīng)考慮這種可能性，并考慮設(shè)置閉鎖條件。其他一般要求核電廠安全重要儀表和控制系統(tǒng)中的信號傳輸（包括硬件和軟件），應(yīng)具有必要的安全性和可靠性。核電廠安全重要儀表和控制系統(tǒng)的所有硬件和軟件應(yīng)滿足所有核級設(shè)備鑒定、設(shè)計、測試等標(biāo)準(zhǔn)。核電廠安全重要儀表和控制系統(tǒng)信號故障的應(yīng)對策略應(yīng)貫穿系統(tǒng)的整個生命周期，并按照系統(tǒng)的安全功能級別執(zhí)行各階段的質(zhì)量控制。對故障安全的要求，應(yīng)是從技術(shù)上能夠?qū)崿F(xiàn)的，研究和設(shè)計各種安全級信號回路，均應(yīng)滿足故障安全的原則。信號故障功能應(yīng)根據(jù)冗余信號故障的程度，涵蓋全部組合：單個冗余信號故障、多個冗余信號故障、所有冗余信號故障。信號故障的識別從參與A類安全功能的工藝信號的生成，到儀控系統(tǒng)安全功能的觸發(fā)，整個信號鏈路發(fā)生的信號故障均應(yīng)被有效識別。模擬量信號發(fā)生的就地儀表、傳感器故障和信號傳輸路徑故障，通?？稍趦x控系統(tǒng)邏輯單元中根據(jù)信號電流是否處于正常工作區(qū)間判斷。此方法需要充分考慮儀表特性，在特定工況下存在誤判的可能性。模擬量信號如傳感器故障和信號傳輸路徑故障可通過單獨(dú)的質(zhì)量位信號判斷。開關(guān)量信號的信號觸點(diǎn)故障和信號傳輸路徑故障，通常應(yīng)配置雙觸點(diǎn)，在儀控系統(tǒng)邏輯單元中通過雙觸點(diǎn)信號互異的特點(diǎn)判斷。系統(tǒng)數(shù)據(jù)傳輸故障、系統(tǒng)軟件故障、系統(tǒng)硬件故障產(chǎn)生的信號故障是由儀控系統(tǒng)本身引起，可通過系統(tǒng)自檢有效監(jiān)視和識別故障。信號故障的標(biāo)識信號在儀控系統(tǒng)邏輯單元的處理中，應(yīng)包含信號值和質(zhì)量位兩個方面的信息。質(zhì)量位表征該信號是否故障的狀態(tài)。當(dāng)信號被識別為故障時，該信號的質(zhì)量位應(yīng)標(biāo)識此狀態(tài)。質(zhì)量位信號應(yīng)能被儀控系統(tǒng)邏輯單元提取，以便用于信號后續(xù)傳輸流程中該信號的隔離、標(biāo)識、邏輯降級以及觸發(fā)默認(rèn)值輸出等作用。在儀控系統(tǒng)的人機(jī)接口或可視化界面中，應(yīng)通過有效的標(biāo)識方法使工程師、管理員、運(yùn)行人員能夠辨識信號是否處于故障狀態(tài)。對于信號故障的標(biāo)識，應(yīng)防止多個通道同時故障后，因為標(biāo)識對系統(tǒng)多個通道產(chǎn)生影響，導(dǎo)致安全功能不可用。信號故障的報警信號發(fā)生故障時，應(yīng)能向核電廠運(yùn)行人員及時發(fā)出警報或報警，以利于及時采取相應(yīng)的行動。信號故障的報警應(yīng)根據(jù)信號冗余故障程度和信號類別分等級設(shè)置，既充分引起運(yùn)行人員注意，又不會不必要地分散運(yùn)行人員注意力。系統(tǒng)集成通用要求信號故障功能的集成應(yīng)與儀控系統(tǒng)的集成同步進(jìn)行。如有可能，應(yīng)集成系統(tǒng)設(shè)計中所有的功能模塊，以驗證這些模塊在測試過程中的相互影響和作用。一般要求測試前應(yīng)選擇測試用例，測試用例應(yīng)考慮：1)覆蓋信號故障功能相關(guān)的所有信號；2)覆蓋故障假設(shè)中設(shè)定的所有故障類型；3)對同一類別的信號，應(yīng)覆蓋此類信號涉及的所有應(yīng)對策略；4)應(yīng)驗證信號故障功能不會引起A類安全功能的執(zhí)行。通過靜態(tài)和動態(tài)模擬輸入信號，應(yīng)測試驗證信號故障功能在正常運(yùn)行工況、預(yù)期運(yùn)行事件、事故工況的響應(yīng)。測試中應(yīng)關(guān)注信號故障時，儀控系統(tǒng)的響應(yīng)。在集成測試中，應(yīng)對集成系統(tǒng)的任何修改或改變進(jìn)行影響