核电站反应堆保护系统架构分析

　　引言

　　核电站仪控系统在高可靠性、高可用性和高安全性等方面的要求，使得核电站数字化控制保护技术成为当代控制系统发展的技术前沿。反应堆保护系统包括紧急停堆系统和专设安全设施驱动系统。反应堆保护系统监测与反应堆安全有关的参数。当这些参数超过预设的保护定值时，反应堆保护系统自动触发紧急停堆并启动相应的专设安全设施，以限制事故的发展，减轻事故后果，防止放射性物质向周围环境释放，保证设备和人员的安全。经过几年的发展和研究，国外科研机构和厂商在保护系统的架构设计方面也形成了不同的风格。本文以IEC-61508和IEC-61513标准为依据, 从安全完整性等级的角度描述并分析了不同的安全相关结构和保护系统架构的特点。

　　一、安全标准IEC-61508

　　IEC-1508是国际电工委员会于2000年颁布的《电气/电子/可编程电子安全相关系统的功能安全》 国际标准。该标准针对所有由电气/电子/可编程电子部件构成的安全相关系统，目的是避免和控制系统性错误和随机错误，对危险性的失效进行定量的分析，并针对系统和产品的错误避免、故障控制和文件给出有效的技术和措施。为了实现安全目标，标准提出了安全完整性的概念。安全完整性是指在规定的条件下、规定的时间内，安全相关系统成功实现所要求的安全功能的概率。IEC-61508规定了四个安全完整性等级SIL(safety integrity level) ，即在确定了被控装置可能存在的风险后，必须采用相应等级的安全系统，把风险降低到可接受的范围内。对于安全完整性等级的确定，IEC-61508标准分别给出了定量和定性的方法。

　　二、安全相关结构

　　根据上述标准，安全完整性分为硬件安全完整性和系统安全完整性两部分。

　　①硬件安全完整性：这部分安全完整性与在危险的失效模式下的随机硬件失效有关。硬件安全完整性规定等级可在一个合理的水平下估计，并将其要求用组合概率的通用法规在子系统中进行分配，一般需要使用冗余结构来达到足够的硬件安全完整性。

　　②系统安全完整性：这部分安全完整性与在危险的失效模式下的系统失效有关。尽管与系统失效有关的平均失效率可以估计，但从设计失效和共同原因失效获得的失效数据即失效的分布难以预计。这样便增加了特定情况下失效概率计算的不确定性，因此，需要做出选择最佳技术的判定，将不确定性最小化。

　　提高硬件安全完整性的手段包括冗余和诊断。根据冗余通道的介质情况，提高安全性的冗余又可分为同质冗余(homogenous redundancy)和多样性冗余(diverse redundancy)。