摘要:目前我国经济建设发展迅速,核电厂也在逐渐扩大建设规模。纵深防御是核电厂防止发生事故和减轻事故后果的主要手段,主要是通过一系列连续和独立的防御层次的结合,防止事故对人员和环境造成危害。在核电厂仪控系统设计中,需满足核电厂总的纵深防御要求。通过对国外纵深防御相关的标准导则及技术文件进行调研与分析,总结出核电厂仪控系统纵深防御体系以及相关的设计要求,为核电厂仪控系统的设计提供参考。
关键词:核电厂;仪控系统;纵深防御体系
引言
核电厂所用燃料是放射性物质,如果直接接触或泄漏,将对人和环境造成严重危害。以及工业控制系统对核电厂的安全、可靠、高效、经济运行起着关键作用。随着现场总线的数字化控制系统在核电厂中的应用,以及工业控制系统软件平台的开放,必须建设和完善工业控制系统的信息安全防护体系。
1防御层级定义
BTP7-19中,关于仪控系统的纵深防御层级引用了NUREG/CR-6303(核电保护系统执行纵深防御和多样化分析方法)中对核电保护系统纵深防御层级的定义:
(1)控制系统———控制系统级通常由非安全相关设备组成,用于日常核电站的运行控制和缓解事故的常规操作;
(2)反应堆停堆系统———反应堆停堆系统级由安全相关设备组成,在事故发生时,快速降低堆内反应性,紧急停堆;
(3)专设安全设施———专设安全设施级由安全相关设备组成,在事故发生时,通过驱动安全相关设备,完成堆内热量排出,保护和维持阻止放射性释放的三道物理边界的完整(燃料包壳、压力容器和一回路冷却系统、安全壳)。专设安全设施级通常指专设安全设施驱动系统;
(4)监测和指示系统———监测和指示系统级由传感器,安全参数显示,数据通讯系统,独立手动控制(用于操作员对核电站运行时间的响应)。
在实际的核电站数字化仪控系统中,反应堆停堆系统与专设安全设施驱动系统通常是耦合在一起的(如共享传感器,处理器等),以一个整体整合成反应堆保护系统。BTP7-19对于此种情况也是认可的,并不一定要求将反应堆停堆系统和专设安全设施驱动系统完全分开。但是如果出现单一或共因故障危害到反应堆停堆系统和专设安全设施驱动系统,可能使二者同时失去某些功能,则要求采用应对措施可分别或同时解决该故障带来的危害。
2基本原则
(1)纵深防御准则
基于分级分区域的防御理念,对区域之间采取纵深防御策略确保关键数字资产不受网络攻击的侵害。实现这一目标方法是结合防御性架构,在安全区域的边界部署防御措施来检测、预防和减缓网络攻击。NRC的RG5.71中提出了这种防御架构的一个典型案例,案例包括一系列增强安全性的同心防御级别(例如重要区域、保护区、所有者控制区域、公司可访问区域以及公共场所的现有物理安全区域区)。案例中阐述的防御性架构包括诸如防火墙或网闸实现的安全边界所隔离开的五个同心网络安全防御级别,使得区域之间的数字通信得到监控和限制。需要最大程度安全性的系统位于防御范围的最内侧。
而IEC62645-2014中所阐述的安全分级方法是分为S1至S3三个级别,但正如其他SC45A所提出的标准一样,其讨论范围是安全重要或安全相关的仪控系统,是较为简单的分级方法,也是推荐的划分方式。将S1安全等级区域等价与leve4,S2安全等级区域等价与leve3,S3安全等级区域等价与leve2,而与仪控系统相连接的其他系统依照其安全程度划分为leve1到leve0。
应用纵深防御方法需要注意以下问题。
期刊文章分类查询,尽在期刊图书馆第一,RG5.71仅仅提出了一个可行的5级防御的架构,真实的工程设计中并不限制安全级别的其他分级方式,但基于IEC62645-2014安全区域S1到S3等级的划分方法,要求核电站仪控系统的安全等级至少应达到3个级别,即S1等级区域到S3等级区域每个等级一个纵深防御级别。第二,S1区域所属的安全级别与S2区域所属的安全级别之间应保证数据的单向流动特性,只允许从S1流向S2。
(2)横向隔离准则
核电厂或其他采用数字化仪控系统的核工厂,其网络拓扑通常较为复杂,同一安全等级的设备或子系统有很多。但是,这些位于相同安全等级的设备或子系统之间可能并不存在必要的通信或者其有限的通信可以通过功能设计改进实现最大限度的减少。对于这类情况,将尽可能考虑在简化全工控网络区域划分条件下,将同一等级的安全区域划分为若干子区域,不同子区域之间采用物理隔离手段严格限制数据交互,从而避免恶意代码或DDos攻击的蔓延,最大限度把网络威胁隔离在有限的区域。
3仪控系统多样性设计
多样性设计是防御共因故障的重要手段,然而多样性设计不能抛开独立性,甚至多样性设计更宜视作对独立性的补充以提高系统抵御不确定的共因故障的能力,不具有独立性的多样性设计将因为系统间的相互作用导致系统同时故障。
多样性设计主要考虑6个方面:人因多样性、设计多样性、软件多样性、功能多样性、信号多样性和设备多样性:
(1)设计多样性:设计多样性主要指设计时需要考虑采用不同的技术(如采用模拟技术和数字技术),或在某种技术中采用不同的设计方案(如采用交流电和直流电的仪表),或者采用不同的结构。
(2)设备多样性:设备多样性主要指设备是基于不同设计由不同或相同的厂家制造的,或采用相同设计但由不同的厂家制造的,或相同的设计但版本不同的设备。对于数字化设备多样性更体现于不同的CPU结构、不同的CPU芯片版本、不同的印刷电路板设计、不同的总线结构。
(3)功能多样性:功能多样性主要指设计时考虑采用不同的机理(如插入控制棒和硼稀释),或达到不同的目的(如正常的棒控运行和紧急停堆),或针对某个事故工况在发展过程中的不同响应。
(4)人因多样性:人因多样性主要指设计由不同的公司,或同一个公司但是不同的团队,或者不同的设计者,或者不同测试、安装人员完成。
(5)信号多样性:信号多样性主要指通过感应不同的物理效应测量参数变量(如压力和中子注量率),或通过感应相同的物理效应测量参数变量(如不同压力传感器测量时的压力和水位参数),或通过几组相似的冗余探测器测量参数变量(如分别用于驱动多样性保护设备的2组冗余的水位探测器)。在核电厂仪控系统设计中,应对一个事件设置多样性的保护参数,用于触发紧急停堆和驱动专设安全设施,这些信号使用不同类型的传感器。
(6)软件多样性:软件多样性主要指设计中采用不同的算法、逻辑和程序,或不同的操作系统、不同的计算机语言。
结语
针对事件发生时用于保护堆芯和限制放射性扩散的功能,核电厂设计有多层次的防御,仪控系统的设计支持这一理念,通过纵深防御和多样性设计,保证保护屏障和措施的完整性和有效性,抵御潜在的共因故障的影响,有利于限制核电厂事故的发展,减轻事故后果,保证反应堆及核电厂设备和人员的安全,防止放射性物质向周围环境的释放。西屋公司仪控系统纵深防御和多样性设计在国内新堆型仪控系统设计中应加以借鉴。
参考文献:
[1]国家能源局.NB/T20063—2012,核电厂仪表和控制术语[S].北京:国家能源局,2012.
[2]国家核安全局.HAF102—2016,核动力厂设计安全规定[S].北京:国家核安全局,2016.
[3]国家能源局.NB/T20026—2014,核电厂安全重要仪表和控制系统总体要求[S].北京:国家能源局,2014.
论文作者:邵乾坤,金扬扬
论文发表刊物:《基层建设》2019年第30期
论文发表时间:2020/3/16
标签:多样性论文; 核电厂论文; 系统论文; 纵深论文; 区域论文; 设备论文; 反应堆论文; 《基层建设》2019年第30期论文;