華龍一號(hào)保護(hù)系統(tǒng)架構(gòu)研究

張 杰，孫 娜，邳立鵬，葉 琳

（華龍國際核電技術(shù)有限公司 電氣儀控所，北京 100036）

反應(yīng)堆保護(hù)系統(tǒng)是安全級(jí)的系統(tǒng)，是核電廠儀表控制系統(tǒng)的重要組成部分之一，其功能是保護(hù)3 道核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性，防止或減輕放射性物質(zhì)對(duì)周圍環(huán)境的釋放。當(dāng)運(yùn)行參數(shù)達(dá)到危及安全屏障完整性的閾值時(shí)，緊急停閉反應(yīng)堆，必要時(shí)啟動(dòng)專設(shè)安全設(shè)施[1]。本文結(jié)合保護(hù)系統(tǒng)的相關(guān)設(shè)計(jì)原則，對(duì)保護(hù)通道邏輯進(jìn)行了分析，提出了華龍一號(hào)的保護(hù)系統(tǒng)架構(gòu)方案。

1 保護(hù)系統(tǒng)功能

保護(hù)系統(tǒng)包括：反應(yīng)堆緊急停堆系統(tǒng)（RTS）和專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)（ESFAS）。執(zhí)行FC1 級(jí)功能，采用F-SC1級(jí)DCS 設(shè)備實(shí)現(xiàn)，與控制系統(tǒng)具有設(shè)備多樣性。

保護(hù)系統(tǒng)主要實(shí)現(xiàn)將核電廠從事故后帶入可控狀態(tài)所需的功能，如反應(yīng)堆緊急停堆和專設(shè)安全設(shè)施驅(qū)動(dòng)等保護(hù)功能，監(jiān)測與反應(yīng)堆安全有關(guān)的電廠變量，當(dāng)變量達(dá)到或超過安全分析的相關(guān)閾值時(shí)，觸發(fā)緊急停堆信號(hào)和專設(shè)安全設(shè)施動(dòng)作，保護(hù)三大核安全屏障完整性，使電站達(dá)到可控狀態(tài)。主要功能包括：

◇ 堆芯相關(guān)的保護(hù)。

◇ 二回路相關(guān)的保護(hù)。

◇ 保護(hù)功能的系統(tǒng)級(jí)手動(dòng)觸發(fā)。

◇ FC1 類的事故后參數(shù)采集（PAMS）。

2 保護(hù)系統(tǒng)設(shè)計(jì)原則分析

目前，有關(guān)數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的國家和國際法規(guī)標(biāo)準(zhǔn)主要有：《HAD102/10 核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施》《GB/T 13284.1-2008 核電廠安全系統(tǒng) 第1 部分：設(shè)計(jì)準(zhǔn)則》《GB/T 13629-2008 核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》《GB/T 7163 核電廠安全系統(tǒng)的可靠性分析要求》《GB/T 9225 核電廠安全系統(tǒng)可靠性分析一般原則》等。歸納數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)遵循的主要設(shè)計(jì)原則如下：

1）單一故障準(zhǔn)則

保護(hù)系統(tǒng)的設(shè)計(jì)應(yīng)具有充分的冗余性，以滿足系統(tǒng)的可靠性要求，確保在發(fā)生系統(tǒng)單一故障的情況下仍然可以執(zhí)行安全功能。在具體的設(shè)計(jì)過程中，一般通過多重冗余序列的設(shè)計(jì)、相關(guān)的設(shè)備隔離等手段實(shí)現(xiàn)。

2）多樣性

多樣性原則主要考慮減少潛在共因故障發(fā)生的可能性，一般的多樣性設(shè)計(jì)手段主要包括功能多樣性、設(shè)備多樣性、多樣性手動(dòng)控制等。

3）獨(dú)立性

①安全系統(tǒng)內(nèi)部各冗余部分之間應(yīng)滿足獨(dú)立性要求。

②安全系統(tǒng)與設(shè)計(jì)基準(zhǔn)事件影響之間，為緩解某一特定設(shè)計(jì)基準(zhǔn)事件后果所需的安全系統(tǒng)設(shè)備，應(yīng)與該設(shè)計(jì)基準(zhǔn)事件的影響?yīng)毩⑶覍?shí)體隔離到必要程度，以滿足該要求。設(shè)備質(zhì)量鑒定是滿足這一要求的一種可用方法。

③安全系統(tǒng)與其他系統(tǒng)之間應(yīng)滿足獨(dú)立性要求[2]。

4）可靠性

保護(hù)系統(tǒng)的可靠性評(píng)價(jià)主要是參考安全故障率和非安全故障率兩項(xiàng)指標(biāo)。具體的可靠性分析要求和一般原則宜符合GB/T 7163、GB/T 9225 的規(guī)定。

5）試驗(yàn)和校準(zhǔn)能力

定期試驗(yàn)是用來完成對(duì)系統(tǒng)安全功能的驗(yàn)證，嚴(yán)格來講應(yīng)在停堆和功率運(yùn)行期間均可以進(jìn)行試驗(yàn)，同時(shí)應(yīng)滿足在試驗(yàn)期間不妨礙保護(hù)系統(tǒng)正常地執(zhí)行安全功能的能力。

6）可維護(hù)性

保護(hù)系統(tǒng)的設(shè)計(jì)應(yīng)滿足易于維護(hù)的要求，實(shí)現(xiàn)手段包括設(shè)計(jì)相關(guān)系統(tǒng)設(shè)備故障報(bào)警顯示畫面等，易于對(duì)故障設(shè)備和模塊及時(shí)識(shí)別和定位。

3 保護(hù)通道N取M邏輯分析

為提高保護(hù)系統(tǒng)的安全可靠性，必須要對(duì)保護(hù)通道的傳感器進(jìn)行多冗余配置。參考保護(hù)系統(tǒng)設(shè)計(jì)原則分析章節(jié)中關(guān)于可靠性部分要求，主要考慮非安全故障率和安全故障率兩個(gè)指標(biāo)（其中，非安全故障率對(duì)應(yīng)拒動(dòng)率，安全故障率對(duì)應(yīng)誤動(dòng)率）。假設(shè)單一通道的非安全故障率為P，安全故障率為Q，則N 取M 系統(tǒng)的非安全故障率約等于PN-M+1，安全故障率約等于，計(jì)算常見不同N 取M系統(tǒng)的故障概率，得N 取M 邏輯故障概率表見表1。

表1 N取M邏輯故障概率表Table 1 N takes the M logic failure probability table

表2 N取M邏輯故障概率量化分析表Table 2 N take M logic failure probability quantitative analysis table

實(shí)際計(jì)算中，因P、Q 均為遠(yuǎn)小于1 的系數(shù)，為便于比較分析結(jié)果此處令P=0.1，Q=0.1，代入公式整理后得量化分析表見表2。

根據(jù)表2 易知，當(dāng)M 不變N 變大時(shí)，系統(tǒng)的非安全故障概率降低，安全故障概率升高；當(dāng)N 不變M 變大時(shí)，非安全故障概率升高，安全故障概率降低。從工程經(jīng)濟(jì)學(xué)以及核電站維護(hù)檢修的設(shè)計(jì)原則綜合考慮，在保證安全性的前提下應(yīng)盡可能提高系統(tǒng)的可用性。考慮在檢修期間的保護(hù)通道邏輯降級(jí)（一般由N 取M 降級(jí)為N-1 取M），結(jié)合表2 的數(shù)據(jù)分析得出結(jié)論：在N=4 的判決系統(tǒng)中，M=2 的安全性（拒動(dòng)率）優(yōu)于M=3 的設(shè)計(jì)，同時(shí)在檢修期間4 取2 的判決邏輯自動(dòng)降級(jí)為3 取2，其安全性和可靠性依然良好可接受。本方案擬考慮采用N=4，M=2 的通道邏輯設(shè)計(jì)。

4 華龍一號(hào)保護(hù)系統(tǒng)架構(gòu)方案

4.1 反應(yīng)堆緊急停堆系統(tǒng)（RTS）

圖1 RTS系統(tǒng)結(jié)構(gòu)圖Fig.1 RTS System structure

RTS 系統(tǒng)由四重冗余通道組成，每個(gè)獨(dú)立通道均采集現(xiàn)場傳感器信號(hào)，當(dāng)一個(gè)通道測量信號(hào)超過設(shè)定值時(shí)，將產(chǎn)生用于進(jìn)行局部邏輯表決的觸發(fā)信號(hào)，同時(shí)通過點(diǎn)對(duì)點(diǎn)通信的通信方式將該局部觸發(fā)信號(hào)送至其它3 個(gè)通道進(jìn)行邏輯表決，當(dāng)滿足邏輯組合要求時(shí)發(fā)出停堆信號(hào)打開停堆斷路器。保護(hù)系統(tǒng)共設(shè)計(jì)8 個(gè)共4 組停堆斷路器，8 個(gè)停堆斷路器組成2/4 邏輯，每個(gè)通道發(fā)出的停堆信號(hào)控制一組停堆斷路器。

每個(gè)保護(hù)通道包含兩個(gè)子系統(tǒng)Gr1 和Gr2，分別處理功能多樣性的測量參數(shù)以防御共模故障，每個(gè)子系統(tǒng)均可觸發(fā)反應(yīng)堆緊急停堆，兩個(gè)子系統(tǒng)通過硬接線邏輯“OR”連接。

4 個(gè)通道的DCS 設(shè)備位于不同防火分區(qū)的4 個(gè)房間，分別為安全廠房A、安全廠房B 和控制廠房中。系統(tǒng)結(jié)構(gòu)圖如圖1 所示。

供電：4 個(gè)通道獨(dú)立供電，分別由兩路AC220V 供電。

◇ 單一故障準(zhǔn)則

RTS 系統(tǒng)設(shè)計(jì)成為4 個(gè)冗余的獨(dú)立通道，4 個(gè)冗余的獨(dú)立通道電氣上相互隔離，實(shí)體上是相互分隔。即使一個(gè)保護(hù)通道被維修或試驗(yàn)旁通，其他保護(hù)通道內(nèi)部的任何單一故障都不會(huì)妨礙反應(yīng)堆緊急停堆功能的觸發(fā)和完成。

◇ 多樣性

功能多樣性：RTS 中針對(duì)每個(gè)設(shè)計(jì)基準(zhǔn)事件的自動(dòng)停堆功能盡量采用不同測量原理的變量進(jìn)行觸發(fā)，這些多樣性的停堆功能分別在停堆通道的兩個(gè)子系統(tǒng)中實(shí)現(xiàn)。實(shí)現(xiàn)功能多樣性的兩個(gè)子系統(tǒng)安裝在不同的機(jī)柜，采用不同的控制器、I/O 模塊和通訊組件，兩者之間沒有數(shù)據(jù)交換，保持獨(dú)立性。

多樣性手動(dòng)停堆：通過主控制室緊急控制盤臺(tái)（ECP）可以實(shí)現(xiàn)安全手動(dòng)停堆。在ECP 上為各通道對(duì)應(yīng)的停堆斷路器設(shè)置一個(gè)停堆開關(guān)，并通過硬接線邏輯連接到停堆斷路器的勵(lì)磁線圈和失壓線圈。另外，通過主控制室多樣性控制盤臺(tái)（DHP）可以實(shí)現(xiàn)多樣性手動(dòng)停堆。在DHP 上設(shè)置了一個(gè)停堆開關(guān)，并通過硬接線直接連接到棒控棒位系統(tǒng)（RGL）的棒電源柜，觸發(fā)RGL 發(fā)出控制信號(hào)切斷控制棒驅(qū)動(dòng)機(jī)構(gòu)的電源。即使停堆斷路器出現(xiàn)故障不能打開，也可以實(shí)現(xiàn)停堆。

設(shè)備多樣性：設(shè)計(jì)多樣性驅(qū)動(dòng)系統(tǒng)，用于應(yīng)對(duì)RTS 軟件共因故障疊加設(shè)計(jì)基準(zhǔn)事故，采用多樣化于RTS 系統(tǒng)的設(shè)備和技術(shù)。ATWT 緩解功能也在多樣性驅(qū)動(dòng)系統(tǒng)中實(shí)現(xiàn)。

◇ 獨(dú)立性

實(shí)體分隔：4 個(gè)獨(dú)立通道分別布置在不同防火分區(qū)的4個(gè)房間，滿足實(shí)體分隔要求。

電氣隔離：不同通道之間與非安全級(jí)系統(tǒng)之間的數(shù)據(jù)交換采用通訊和硬接線兩種方式。對(duì)于通訊方式，采用光纖實(shí)現(xiàn)電氣隔離；對(duì)于硬接線方式，可以采用繼電器或隔離模塊。

通信隔離：4 個(gè)通道間通信采用點(diǎn)對(duì)點(diǎn)通信方式，發(fā)送方與接收方的功能不會(huì)因?qū)Ψ疆惓６艿礁蓴_，RTS 向非安全級(jí)系統(tǒng)傳送的報(bào)警、監(jiān)視等信息通過單向通信方式，實(shí)現(xiàn)安全級(jí)向非安全級(jí)的單向傳輸，定周期發(fā)送固定格式數(shù)據(jù)。另外，安全功能處理器與通信控制器獨(dú)立，并異步工作，通信故障不會(huì)影響安全功能。

4.2 專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)（ESFAS）

ESFAS 系統(tǒng)根據(jù)工藝系統(tǒng)配置由兩個(gè)序列TRAIN A 和TRAIN B 組成，接收RTS 系統(tǒng)發(fā)出的專設(shè)驅(qū)動(dòng)信號(hào)，實(shí)現(xiàn)專設(shè)安全設(shè)施驅(qū)動(dòng)及支持性系統(tǒng)的控制，并將相關(guān)參數(shù)、報(bào)警信號(hào)等通過網(wǎng)絡(luò)傳送至主控室進(jìn)行指示。

專設(shè)自動(dòng)控制指令與ECP 的系統(tǒng)級(jí)手動(dòng)指令進(jìn)行或邏輯，產(chǎn)生用于控制專設(shè)安全設(shè)施的系統(tǒng)級(jí)控制指令，通過硬接線輸出到優(yōu)先級(jí)邏輯處理機(jī)柜進(jìn)行輸出驅(qū)動(dòng)。

OWP 中SVDU 通過FC1 級(jí)網(wǎng)絡(luò)通信與ESFAS 進(jìn)行數(shù)據(jù)交互。

優(yōu)選邏輯處理模塊（PPL）作為保護(hù)系統(tǒng)與驅(qū)動(dòng)器的接口，主要完成的功能為指令優(yōu)先級(jí)管理，接收來自不同系統(tǒng)的控制指令，完成優(yōu)先級(jí)處理后傳遞給現(xiàn)場設(shè)備。這些指令來自于保護(hù)系統(tǒng)、控制系統(tǒng)、安全自動(dòng)化系統(tǒng)、多樣性驅(qū)動(dòng)系統(tǒng)、嚴(yán)重事故處理系統(tǒng)等。與ESFAS 一樣為AB 列配置，完成FC1 級(jí)功能，采用F-SC1 級(jí)設(shè)備實(shí)現(xiàn)，為避免PPL 受軟件共因故障影響，采用多樣化與保護(hù)系統(tǒng)的技術(shù)實(shí)現(xiàn)。

ESFAS 和PPL 由DCS 實(shí)現(xiàn)，通常設(shè)計(jì)為得電動(dòng)作以防誤動(dòng)作。兩個(gè)序列設(shè)備位于不同防火分區(qū)的房間，分別位于安全廠房A 和B。系統(tǒng)結(jié)構(gòu)圖如圖2 所示。

供電：兩個(gè)序列獨(dú)立供電，由兩路AC220 供電，且與RTS 供電電源保持獨(dú)立。

圖2 ESFAS系統(tǒng)結(jié)構(gòu)圖Fig.2 ESFAS system structure

◇ 單一故障準(zhǔn)則

ESFAS 系統(tǒng)根據(jù)工藝系統(tǒng)配置設(shè)計(jì)成兩個(gè)獨(dú)立序列，兩個(gè)獨(dú)立的序列在電氣上相互隔離，在實(shí)體上相互分隔，任何單一故障都不會(huì)妨礙專設(shè)功能的觸發(fā)和完成。

◇ 多樣性

功能多樣性：盡量采用不同測量原理的變量進(jìn)行觸發(fā)，這些多樣性的停堆功能分別在停堆通道的兩個(gè)子系統(tǒng)中實(shí)現(xiàn)。實(shí)現(xiàn)功能多樣性的兩個(gè)子系統(tǒng)安裝在不同的機(jī)柜，采用不同的控制器、I/O 模塊和通訊組件，兩者之間沒有數(shù)據(jù)交換，保持獨(dú)立性。

多樣性手動(dòng)驅(qū)動(dòng)：主控室DHP 盤臺(tái)上設(shè)置有系統(tǒng)級(jí)專設(shè)驅(qū)動(dòng)開關(guān)，可通過多樣性驅(qū)動(dòng)系統(tǒng)DAS 系統(tǒng)實(shí)現(xiàn)多樣化手動(dòng)專設(shè)觸發(fā)。

設(shè)備多樣性：DAS 系統(tǒng)內(nèi)具有應(yīng)對(duì)ESFAS 軟件共因故障的功能。

◇ 獨(dú)立性

實(shí)體分隔：兩個(gè)序列分別布置在不同防火分區(qū)的兩個(gè)房間，滿足實(shí)體分隔要求。

電氣隔離：與非安全級(jí)系統(tǒng)之間的數(shù)據(jù)交換采用通訊和硬接線兩種方式。對(duì)于通訊方式，采用光纖實(shí)現(xiàn)電氣隔離；對(duì)于硬接線方式，可以采用繼電器或隔離模塊。

通信隔離：RTS 發(fā)送到ESFAS 的驅(qū)動(dòng)信號(hào)采用點(diǎn)對(duì)點(diǎn)通信方式，發(fā)送方與接收方的功能不會(huì)因?qū)Ψ疆惓６艿礁蓴_，ESFAS 向非安全級(jí)系統(tǒng)傳送的報(bào)警、監(jiān)視等信息通過單向通信方式，實(shí)現(xiàn)安全級(jí)向非安全級(jí)的單向傳輸，定周期發(fā)送固定格式數(shù)據(jù)。另外，安全功能處理器與通信控制器獨(dú)立，并異步工作，通信故障不會(huì)影響安全功能。

5 結(jié)束語

本文以反應(yīng)堆保護(hù)系統(tǒng)的相關(guān)法規(guī)標(biāo)準(zhǔn)為基礎(chǔ)，歸納總結(jié)了反應(yīng)堆保護(hù)系統(tǒng)的相關(guān)重要設(shè)計(jì)原則，對(duì)保護(hù)系統(tǒng)的功能和系統(tǒng)分級(jí)進(jìn)行了概括，并簡要比較分析了保護(hù)系統(tǒng)通道邏輯的不同N 取M 情況下，安全故障率和非安全故障率的可靠性指標(biāo)，提出了華龍一號(hào)保護(hù)系統(tǒng)的架構(gòu)方案。后續(xù)針對(duì)華龍一號(hào)的保護(hù)系統(tǒng)的架構(gòu)設(shè)計(jì)進(jìn)行進(jìn)一步的可靠性定性和定量的分析計(jì)算。本文對(duì)國內(nèi)三代核電站保護(hù)系統(tǒng)的設(shè)計(jì)具有一定參考意義。