反應(yīng)堆保護(hù)系統(tǒng)與汽輪機(jī)保護(hù)系統(tǒng)

李洪光

摘 ? 要：反應(yīng)堆保護(hù)系統(tǒng)（RPR）、汽輪機(jī)保護(hù)系統(tǒng)（GSE）是核電站最重要的兩套保護(hù)系統(tǒng)，為了提高系統(tǒng)可靠可用性，最大限度的降低拒動(dòng)率、誤動(dòng)率，兩套保護(hù)系統(tǒng)在設(shè)計(jì)上均做了保守考慮。但因各自系統(tǒng)失效后果或代價(jià)不同，系統(tǒng)設(shè)計(jì)考慮也有所不同。本文從某核電站兩大保護(hù)系統(tǒng)架構(gòu)及功能實(shí)現(xiàn)出發(fā)，結(jié)合各系統(tǒng)設(shè)計(jì)特點(diǎn)對(duì)其設(shè)計(jì)準(zhǔn)則進(jìn)行比對(duì)分析得出相應(yīng)的結(jié)論， 為核電站保護(hù)方案持續(xù)改進(jìn)做了有益的探討， 拓展了新的思路。

關(guān)鍵詞：反應(yīng)堆保護(hù)系統(tǒng)（RPR） ?汽輪機(jī)保護(hù)系統(tǒng)（GSE） ?停堆 ?停機(jī) ?保護(hù)組 ?安全列 ?縱深防御

中圖分類號(hào)：TM623 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? ? ? ? ? ? ? ? ? ? 文章編號(hào)：1674-098X（2019）07（b）-0090-03

安全是核電發(fā)展的生命線，設(shè)計(jì)安全是確保核電安全的根本基礎(chǔ)。反應(yīng)堆保護(hù)系統(tǒng)（RPR）、汽機(jī)保護(hù)系統(tǒng)（GSE）是核電站最重要的保護(hù)系統(tǒng)，核電安全相關(guān)法規(guī)對(duì)其設(shè)計(jì)提出了更高的要求，要求在事故發(fā)生時(shí)，必需能夠快速、準(zhǔn)確、可靠地實(shí)現(xiàn)停堆和停機(jī)，確保核電站安全、可靠、經(jīng)濟(jì)運(yùn)行。兩套保護(hù)系統(tǒng)在設(shè)計(jì)及實(shí)施過(guò)程中充分考慮了系統(tǒng)的可靠性、可用性，但因各自控制對(duì)象不同及失效后產(chǎn)生的后果不同，設(shè)計(jì)考慮也有所不同。本文結(jié)合某核電站在運(yùn)機(jī)組兩套保護(hù)系統(tǒng)架構(gòu)特點(diǎn)，闡述各自系統(tǒng)設(shè)計(jì)遵循的準(zhǔn)則，存在優(yōu)勢(shì)與不足，給出今后改進(jìn)的建議。

1 ?反應(yīng)堆保護(hù)系統(tǒng)（RPR）架構(gòu)及功能實(shí)現(xiàn)

反堆保護(hù)系統(tǒng)主要功能是監(jiān)視與反應(yīng)堆安全密切相關(guān)的保護(hù)參數(shù)，當(dāng)參數(shù)或工況超過(guò)保護(hù)定值時(shí)自動(dòng)觸發(fā)緊急停堆，或在極限事故等工況時(shí)觸發(fā)專設(shè)安全設(shè)施執(zhí)行機(jī)構(gòu)動(dòng)作，保護(hù)堆芯避免熔毀，以及保護(hù)安全殼的完整性，防止放射性物質(zhì)向環(huán)境大量釋放。同時(shí)提供事故后重要參數(shù)監(jiān)視功能。保護(hù)系統(tǒng)架構(gòu)如圖1所示。

系統(tǒng)架構(gòu)主要分為兩個(gè)層次。

1.1 上層為4重冗余架構(gòu)—安全停堆系統(tǒng)

有4個(gè)保護(hù)組（IP、IIP、IIIP、IVP），每個(gè)保護(hù)組（通道）又分為2個(gè)功能多樣性子組，并且4 個(gè)保護(hù)組被分別布置在不同的房間， 以實(shí)現(xiàn)物理隔離;每個(gè)保護(hù)組分別由4路獨(dú)立的UPS供電。每個(gè)子組接收對(duì)應(yīng)的模擬量信號(hào)，進(jìn)行閾值比較，并將比較信號(hào)送往其他通道對(duì)應(yīng)子組進(jìn)行邏輯表決，同時(shí)接收其他通道子組處理完畢的閾值比較信號(hào)，并進(jìn)行表決處理。同一保護(hù)組內(nèi)2個(gè)子組處理的結(jié)果再經(jīng)“硬或”邏輯處理后送往對(duì)應(yīng)通道控制的2個(gè)停堆斷路器，當(dāng)2/4個(gè)通道產(chǎn)生停堆信號(hào)時(shí)，停堆斷路器即可切斷棒電源機(jī)組至棒電源柜電源，控制棒靠重力落入堆芯，實(shí)現(xiàn)安全停堆。

1.2 下層為兩個(gè)冗余列—專設(shè)安全設(shè)施及其支持系統(tǒng)

分為A、B兩列，每列分為兩個(gè)功能多樣式子組及一個(gè)服務(wù)器組。A、B兩列機(jī)柜分布不同房間，分別由各自獨(dú)立電源供電。多樣性子組接收對(duì)應(yīng)的4個(gè)通道保護(hù)子組信號(hào)，對(duì)其進(jìn)行4取2表決產(chǎn)生相應(yīng)的專設(shè)安全設(shè)施驅(qū)動(dòng)信號(hào)。

2 ?汽輪機(jī)保護(hù)系統(tǒng)（GSE）架構(gòu)及功能實(shí)現(xiàn)

核電站汽輪機(jī)保護(hù)系統(tǒng)（見(jiàn)圖2）的功能是當(dāng)核反應(yīng)堆或是汽輪發(fā)電機(jī)組發(fā)生預(yù)期故障時(shí)，為汽輪發(fā)電機(jī)組提供安全停機(jī)手段，防止事故發(fā)生、擴(kuò)大和損壞設(shè)備。該保護(hù)系統(tǒng)設(shè)置了3個(gè)獨(dú)立的保護(hù)通道，每個(gè)通道控制對(duì)應(yīng)的高壓遮斷模塊上2個(gè)電磁閥，當(dāng)2/3個(gè)保護(hù)通道同時(shí)動(dòng)作，高壓遮斷模塊泄掉安全油，汽輪機(jī)所有進(jìn)汽閥快速關(guān)閉，汽輪機(jī)安全停機(jī)。

3 ?設(shè)計(jì)準(zhǔn)則比對(duì)分析

3.1 單一故障準(zhǔn)則

單一故障準(zhǔn)則是指系統(tǒng)內(nèi)任何部位發(fā)生可信的單一隨機(jī)故障時(shí)仍能執(zhí)行其正常功能，即系統(tǒng)內(nèi)的單一故障不會(huì)使系統(tǒng)拒動(dòng)，也不會(huì)使系統(tǒng)誤動(dòng)。

RPR停堆系統(tǒng)設(shè)計(jì)4個(gè)獨(dú)立通道，單一通道內(nèi)部故障只會(huì)影響系統(tǒng)部分功能，不會(huì)導(dǎo)致停堆，停堆功能由其余3個(gè)通道來(lái)保障。當(dāng)一個(gè)通道不可用期間，另一通道又出現(xiàn)故障未被及時(shí)發(fā)現(xiàn)處理時(shí)仍能執(zhí)行停堆功能，即滿足故障疊加。

RPR專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)設(shè)計(jì)是縱深防御理念體現(xiàn)，當(dāng)某些事件的升級(jí)，仍有可能未被前一層級(jí)的安全停堆系統(tǒng)所制止，進(jìn)而演變成一種設(shè)計(jì)基準(zhǔn)事故時(shí)啟動(dòng)專設(shè)安全設(shè)施，避免堆芯熔毀，保護(hù)安全殼的完整性，防止放射性物質(zhì)向環(huán)境大量釋放。根據(jù)概率安全分析，這種事故在壽期內(nèi)出現(xiàn)的可能性并不大，所以只設(shè)計(jì)了2個(gè)獨(dú)立列。當(dāng)一列設(shè)施故障或檢修時(shí)，另一列設(shè)施仍舊可用，保障安全。

GSE系統(tǒng)設(shè)計(jì)3個(gè)保護(hù)通道，單一通道內(nèi)部故障，不會(huì)導(dǎo)致安全油壓?jiǎn)适ВC(jī)功能可由其余2個(gè)通道來(lái)保障，同樣滿足單一故障準(zhǔn)則。

3.2 冗余性

冗余性是滿足單一故障準(zhǔn)則的手段，保證保護(hù)系統(tǒng)不會(huì)因?yàn)閱我还收隙ケＷo(hù)功能。冗余性主要包括系統(tǒng)架構(gòu)冗余、應(yīng)用平臺(tái)冗余技術(shù)與配置。

RPR停堆系統(tǒng)架構(gòu)設(shè)計(jì)成4重冗余，專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)架構(gòu)設(shè)計(jì)成2重冗余。RPR系統(tǒng)采用TRICON平臺(tái)，TRICON平臺(tái)本身采用了3重冗余技術(shù)，對(duì)于模擬量輸入、輸出信號(hào)均采取3取中處理，對(duì)于開(kāi)關(guān)量輸入、輸出采取3取2表決。系統(tǒng)架構(gòu)設(shè)計(jì)加上產(chǎn)品平臺(tái)冗余技術(shù)大大提高了系統(tǒng)的可靠性。

GSE系統(tǒng)采用P320平臺(tái)，產(chǎn)品成熟度、可靠性已得到工程廣泛驗(yàn)證。GSE在系統(tǒng)架構(gòu)上采用了完全3重冗余技術(shù)，在信號(hào)輸入采集、邏輯處理、輸出驅(qū)動(dòng)各部分均為3冗余配置。但每個(gè)保護(hù)通道只配置一塊主處理器卡件，就單獨(dú)保護(hù)通道而言，未進(jìn)行必要的冗余配置。

就系統(tǒng)架構(gòu)可靠性設(shè)計(jì)而言GSE 3通道設(shè)計(jì)不如RPR 4通道設(shè)計(jì)，但RPN源量程中子注量率探測(cè)器及中間量程中子注量率探測(cè)器各只有2路，信號(hào)2重冗余與系統(tǒng)通道4重冗余不相匹配，而GSE系統(tǒng)采用了完全3冗余技術(shù)。某核電站在建機(jī)組RPR系統(tǒng)設(shè)計(jì)對(duì)此進(jìn)行了改進(jìn)提高，將源量程測(cè)量通道與中間量測(cè)量通道都增至4路。

3.3 獨(dú)立性

獨(dú)立性是采用冗余技術(shù)的前提，是克服由單一故障引起的繼發(fā)性故障、實(shí)現(xiàn)在線檢修和維修的重要措施。獨(dú)立性包括電氣隔離和實(shí)體隔離。

RPR系統(tǒng)各保護(hù)組間、各安全列間信號(hào)電纜路徑均完全獨(dú)立，互不影響。各保護(hù)、各安全列機(jī)柜分別布置在不同房間，保護(hù)組與列間設(shè)備處于不同樓層，一個(gè)房間設(shè)備發(fā)生故障不會(huì)影響到另一個(gè)房間的設(shè)備。

GSE系統(tǒng)3個(gè)獨(dú)立通道機(jī)架處于同一房間同一機(jī)柜內(nèi)，保護(hù)通道機(jī)架間彼此未進(jìn)行實(shí)體隔離，且保護(hù)信號(hào)電纜路徑相同，易出現(xiàn)相干故障，影響系統(tǒng)的總體可用性。為了提高系統(tǒng)可靠可用性，可以考慮將保護(hù)通道機(jī)架布置在不同的機(jī)柜，同時(shí)增加信號(hào)電纜路徑的獨(dú)立性。

3.4 多樣性

多樣性是克服共因故障的手段。多樣性包括功能多樣性和設(shè)備多樣性。

RPR系統(tǒng)每個(gè)通道包含2個(gè)功能多樣性子組，對(duì)于特別重要的保護(hù)功能，在2個(gè)子組都進(jìn)行處理運(yùn)算，其余各保護(hù)功能被分配到不同子組執(zhí)行。對(duì)于冷卻劑流量監(jiān)測(cè)，RPR系統(tǒng)采取了監(jiān)測(cè)主泵斷路器開(kāi)關(guān)狀態(tài)、及主泵出口冷卻劑流量2種設(shè)備多樣性方法。對(duì)于停機(jī)判斷，采用了監(jiān)測(cè)主汽門關(guān)閉及安全油壓低2種手段。

GSE系統(tǒng)每個(gè)保護(hù)通道未設(shè)置多樣性子組。但為了滿足響應(yīng)時(shí)間要求，GSE系統(tǒng)對(duì)于保護(hù)信號(hào)進(jìn)行了分級(jí)，將保護(hù)信號(hào)分為主遮斷保護(hù)、次遮斷保護(hù)。主遮斷保護(hù)信號(hào)采取了分級(jí)處理機(jī)制，信號(hào)由專門處理卡處理，處理卡對(duì)模擬信號(hào)第一級(jí)閾值直接進(jìn)行判斷，同時(shí)還將模擬信號(hào)送到保護(hù)通道控制器進(jìn)行第二級(jí)閾值判斷（軟判斷）。正常保護(hù)觸發(fā)情況下處理卡輸出繼電器使相應(yīng)遮斷電磁閥失電。當(dāng)信號(hào)達(dá)到跳機(jī)閥值，且處理卡件控制的繼電器失效時(shí)，保護(hù)信號(hào)再由通道處理器控制的繼電器使相應(yīng)通道的電磁閥失電，最終執(zhí)行2/3失電硬邏輯跳機(jī)表決，遮斷汽輪機(jī)。對(duì)于最重要的超速保護(hù)，GSE系統(tǒng)采用了磁阻式探頭、電渦流轉(zhuǎn)速探頭2種轉(zhuǎn)速測(cè)量、判斷方式。

3.5 符合邏輯（邏輯矩陣）

符合邏輯是指，在保護(hù)系統(tǒng)動(dòng)作之前必須有2個(gè)或2個(gè)以上的冗余信號(hào)相符合，以防止誤觸發(fā)保護(hù)系統(tǒng)動(dòng)作。采用符合邏輯后也便于對(duì)保護(hù)系統(tǒng)進(jìn)行在線測(cè)試，而通道的可試驗(yàn)?zāi)芰τ衷黾恿讼到y(tǒng)的安全性。

RPR系統(tǒng)根據(jù)信號(hào)的不同冗余度以及該信號(hào)是否直接參與保護(hù)設(shè)計(jì)了不同的符合邏輯，在信號(hào)壞質(zhì)量或是保護(hù)通道旁通時(shí)采取相應(yīng)符合邏輯退防處理。

GSE系統(tǒng)普遍采用3取2表決處理邏輯。對(duì)于模擬量信號(hào)，在壞質(zhì)量情況下，采取了信號(hào)觸發(fā)處理，2/3邏輯相當(dāng)于自動(dòng)退防為1/2表決邏輯。對(duì)于開(kāi)關(guān)量，由于采用了負(fù)邏輯方式處理，當(dāng)信號(hào)回路斷線時(shí)，信號(hào)觸發(fā)，即2/3邏輯相當(dāng)于自動(dòng)退防為1/2表決邏輯。

3.6 故障安全準(zhǔn)則

故障安全準(zhǔn)則是指在某個(gè)系統(tǒng)中發(fā)生任何故障時(shí)仍能使該系統(tǒng)保持在安全狀態(tài)的設(shè)計(jì)準(zhǔn)則。

RPR系統(tǒng)停堆保護(hù)功能設(shè)計(jì)遵循故障安全準(zhǔn)則，反應(yīng)堆無(wú)保護(hù)信號(hào)觸發(fā)情況下，各通道控制的停堆斷路器失壓線圈帶電，停堆斷路器處于合閘狀態(tài)。當(dāng)保護(hù)系統(tǒng)失效或失電時(shí)失壓線圈回路斷開(kāi)，相應(yīng)的停堆斷路器打開(kāi)?？紤]到故障安全準(zhǔn)則會(huì)增加專設(shè)安全設(shè)施誤動(dòng)的風(fēng)險(xiǎn)，專設(shè)安全設(shè)施系統(tǒng)未采用故障安全準(zhǔn)則。

GSE系統(tǒng)設(shè)計(jì)同樣遵循故障安全準(zhǔn)則，機(jī)組正常運(yùn)行期間，高壓遮斷模塊上的3個(gè)電磁閥帶電，安全油壓建立，當(dāng)控制系統(tǒng)失電或電磁閥失電時(shí)，安全油卸壓回路導(dǎo)通，安全油卸壓，高、中壓缸進(jìn)汽閥關(guān)閉，汽輪機(jī)停機(jī)。

3.7 可試驗(yàn)性和可維護(hù)性

為了能發(fā)現(xiàn)和維修有故障的元器件，以防止故障的積累而產(chǎn)生保護(hù)系統(tǒng)故障，需要對(duì)保護(hù)系統(tǒng)進(jìn)行定期試驗(yàn)。對(duì)試驗(yàn)過(guò)程中發(fā)現(xiàn)的故障元件，及時(shí)進(jìn)行維修或更換，確保保護(hù)系統(tǒng)功能的完整性。

RPR保護(hù)系統(tǒng)定期試要主要有T1試驗(yàn)（測(cè)量通道試驗(yàn)）、T2試驗(yàn)（邏輯處理單元試驗(yàn)）T3試驗(yàn)（輸出通道及驅(qū)動(dòng)單元試驗(yàn)）。保護(hù)通各試驗(yàn)分段進(jìn)行，各試驗(yàn)間保持了一定的重疊度，最終保證整個(gè)保護(hù)通道功能都得到有效驗(yàn)證。

GSE系統(tǒng)定期試驗(yàn)主要有高壓遮斷模塊電磁閥試驗(yàn)，安全油通過(guò)高壓遮斷模塊內(nèi)部3個(gè)并行的、冗余的支路排油。每一個(gè)支路可在汽輪機(jī)正常運(yùn)行時(shí)做試驗(yàn)，其他的支路（非試驗(yàn)?zāi)Ｊ剑┐_保汽輪機(jī)的保護(hù)，每一個(gè)安全卸荷閥配備了一個(gè)位置傳感器，用于檢查試驗(yàn)是否成功。

4 ?結(jié)語(yǔ)

反應(yīng)堆保護(hù)系統(tǒng)（RPR）、汽輪機(jī)保護(hù)系統(tǒng)是核電站最重要保護(hù)系統(tǒng)，各自控制對(duì)象不同及失效后產(chǎn)生的后果不同，設(shè)計(jì)考慮也有所不同，后續(xù)機(jī)組設(shè)計(jì)或改造可考慮以下幾點(diǎn)建議：

（1）某核電站在運(yùn)機(jī)組RPR安全停堆邏輯系統(tǒng)架構(gòu)上設(shè)計(jì)了4重冗余，但源量程信號(hào)、中間量程信號(hào)只有雙重冗余，保護(hù)信號(hào)與系統(tǒng)架構(gòu)冗余度并不匹配。而GSE系統(tǒng)設(shè)計(jì)采用完全3冗余技術(shù)，保護(hù)信號(hào)與系統(tǒng)架構(gòu)冗余度完全匹配，所以建議RPR系統(tǒng)在后續(xù)再建機(jī)組設(shè)計(jì)時(shí)可考慮增加信號(hào)冗余度，使信號(hào)通道與系統(tǒng)架構(gòu)完全匹配，從而提升系統(tǒng)整體可靠性。

（2）汽輪機(jī)保護(hù)系統(tǒng)（GSE）系統(tǒng)3個(gè)保護(hù)通道處于一個(gè)機(jī)柜內(nèi)，信號(hào)路徑也未進(jìn)行有效隔離，獨(dú)立性偏弱，后續(xù)計(jì)設(shè)可考慮將通道布置在不同機(jī)柜內(nèi)、同時(shí)提高信號(hào)路徑獨(dú)立性，進(jìn)而增加系統(tǒng)可靠性。為了提高系統(tǒng)可靠性，在選擇成熟穩(wěn)定的數(shù)字化平臺(tái)時(shí)，也可以在系統(tǒng)架構(gòu)上重新考慮，再增加一個(gè)保護(hù)通道。

（3）GSE系統(tǒng)將信號(hào)進(jìn)行了分級(jí)處理，對(duì)于主遮斷保護(hù)信號(hào)采取的先卡件閾值處理，再經(jīng)過(guò)保護(hù)通道處理器軟閾值處理方式提高了系統(tǒng)的快速響應(yīng)，這是系統(tǒng)設(shè)計(jì)一大亮點(diǎn)。PRP系統(tǒng)采用了CPU技術(shù)，同時(shí)通道間進(jìn)行信號(hào)交換，增了響應(yīng)時(shí)間，為了減少CPU描掃方式帶來(lái)的影響，也可優(yōu)先考慮可編程門陣列（FPGA）技術(shù)。

參考文獻(xiàn)

[1] 王哲.RPR反應(yīng)堆保護(hù)系統(tǒng)手冊(cè).FQY-RPR-SDM-001[Z].

[2] 張亞平.汽輪機(jī)保護(hù)系統(tǒng)（GSE）設(shè)計(jì)手冊(cè).FQX17GSE003101B45GN.B版[Z].

[3] 朱繼洲.核反應(yīng)堆安全分析[M].西安：西安交通大學(xué)出版社，2004.