多樣化保護系統在核電站中的應用及運行分析

周炳鑒

(中核核電運行管理有限公司，浙江海鹽 314300)

在方家山核電項目的縱深防御設計中，基于TRICON 平臺的反應堆保護系統(RPS)實現了緊急停堆系統和專設安全設施驅動系統的功能。RPS 系統采用了基于功能多樣性的應用軟件多樣性設計，即對于緊急停堆系統，針對同一事故的不同保護參數分配在兩個不同的多樣性子組中。而對于專設安全設施驅動系統，將所有的專設保護功能分成兩部分，分別由兩個不同的多樣性子組實現。由于一個子組的應用軟件共因故障導致其變為不可用時，另一個不受影響的子組還能提供相同或類似的保護功能，從而提供了應對RPS 應用軟件共因故障的手段。

由于某些假象的、不可預知的軟件錯誤或者系統層面的故障導致整個RPS 系統發生軟件共因故障時，上述兩個多樣性子組的功能均將失去，這時由多樣化保護系統(DAS)提供必要的保護。多樣化保護系統(DAS)設計在發生設計基準事故時疊加RPS 系統軟件故障投入保護功能，因此，DAS 系統的使用必然對核電站的正常運行、事故處理產生一定的影響。本文從DAS 系統的功能及設計特點著手，分析DAS 系統在正常運行時相關監視、操作、試驗及事故后的響應及處理，提出電廠正常運行規程及事故規程的修改建議。

1 DAS 系統功能及設計特點

DAS 系統是一個自動的邏輯保護系統，它包括一套裝置，根據核電廠一些物理參數的變化，通過向控制棒驅動機構電源柜發出反應堆緊急停堆指令以及向安全驅動器發出專設驅動指令，從而在RPR 系統發生軟件共因故障而無法提供所需的保護功能時，與有關的手動保護功能一起將反應堆維持在安全狀態。

1.1 DAS 系統保護功能

(1)通過驅動控制棒驅動機構電源柜切斷控制棒動力電源，使控制棒插入堆芯;(2)汽機剎車;(3)安全注入;(4)蒸汽管道隔離。

1.2 設計特點

1.2.1 系統采用冗余設計

通過雙路UPS 電源供電、雙處理器配置、配置卡件配置的冗余度、接收和發出信號的冗余等設計手段，提供系統的可靠性及性能，防止部件故障影響到系統的功能。

1.2.2 不需要滿足單一故障準則

由于不考慮DAS 系統與主保護系統同時失效，因此，系統設計不要求DAS 滿足單一故障準則，意味著即使DAS 系統發生了故障不能提供保護功能時，主保護系統也可以提供相應的保護。

(1)DAS 系統所發出的所有動作信號均設計成得電動作，機柜或者卡件失電不會觸發緊急停堆。DAS 系統送出四路緊急停堆信號到控制棒驅動機構電源柜，在電源柜中，經2/4 處理后，產生觸發控制棒保持勾爪線圈失電的“零電流”后，從而使保持勾爪打開，導致控制棒插入堆芯觸發緊急停堆;(2)DAS 系統輸出到專設安全設施驅動器的控制信號與反應堆保護系統相同，采用的是有電動作的原則。采用有電動作的原則是因為專設安全設施驅動器的動作通常是有源的，同時也考慮到誤動的風險;(3)DAS 系統邏輯表決設計成最終退化為不發出動作信號;(4)當處理器與輸出卡件之間的通訊中斷時，輸出卡件不輸出動作信號。

1.2.3 降低DAS 系統誤動作以及提高可靠性

(1)對應來自不同傳感器的輸入信號，DAS 系統采用不同的輸入卡件采集。從而單個卡件的故障不會導致全部輸入信號的故障，也不會導致系統誤動作;(2)DAS 系統輸出的4 路緊急停堆信號分別從不同的4 塊輸出模塊送出;(3)DAS 系統輸出用于啟動安注的信號從不同的卡件輸出，單個輸出信號的故障不會啟動整個安注系統。

1.2.4 與反應堆保護系統的隔離

DAS 系統設計成與反應堆保護系統之間保證最大限度的實體分隔與電氣隔離。DAS 系統不接收經反應堆保護系統軟件處理后的信號，同時也不送出信號參與反應堆保護系統軟件的處理。

1.2.5 DAS 系統具備定期試驗能力

邏輯部分及處理模塊應具備系統自檢的能力。輸出通道應進行定期試驗。

2 DAS 系統流程

DAS 上端接收儀表組的信號，進行邏輯處理，負荷邏輯組合的要求時給出保護動作觸發信號。DAS 下端連接控制棒驅動機構電源柜和優先邏輯處理模塊進而連接到安全驅動器，它們接收保護動作觸發信號，完成保護功能。

3 DAS 系統運行分析

3.1 機組正常工況下DAS 系統運行分析

機組正常運行工況下，應確認DAS 系統無報警出現，閉鎖及復位開關狀態正確。為保證DAS 系統的功能滿足要求，應定期對系統進行試驗(每兩個月)。由于DAS 系統在設計時，考慮了獨立于RPS 系統的P4、P7、P13、P10、P11 等允許信號，以保證完整的保護功能，這就需要在不同的功率階段，對上述信號的正確性進行確認，確保相關的保護功能已經投入，上述信號的檢查應體現在機組的正常啟停規程中。對于DAS 的穩壓器低壓安注功能，在P11 信號出現后，應當對安注功能進行閉鎖，防止繼續降壓導致的誤安注，上述操作同樣應增加至機組的正常啟停規程中。

3.2 事故工況下DAS 系統運行分析

3.2.1 事故工況下RPS 系統動作正常

(1)機組停堆和汽機停機工況。這種情況下，RPS 系統動作正常，反應堆停堆和汽機停機。由于DAS 系統的動作定值相對于RPS 偏保守，對于功率量程中子注量率高、環路流量低、穩壓器壓力低和穩壓器流量高等會觸發DAS 停堆停機信號的情況，如果保護參數進一步惡化，則DAS 系統保護啟動，但之前RPS 保護已啟動，DAS 的保護啟動無影響。使用事故診斷通用規程(DEC)可以引導處理這類工況。

(2)安全注入工況。RPS 動作正常，安全注入啟動，進入安注后的事故診斷規程(A0)，進行安注后的自動動作確認，如果安注是因為穩壓器壓力低引起，并且壓力進一步降低，則DAS 系統發出安注信號，是A 列的專設設施動作，但RPS 的信號優先于DAS 的動作信號(在優先邏輯模塊PLM 中實現)，實際上DAS 信號不起作用，但5 分鐘后，隨著RPS 系統的安注復位，應及時對DAS 系統進行安注復位，以允許手動控制A 列的專設設施。在A0 規程中應增加DAS 系統的安注復位操作和安注狀態指示等內容。

3.2.2 事故工況下RPS 系統動作不正常(軟件共因故障)

(1)機組停堆和汽機停機工況。反應堆保護系統由于軟件共因故障未能正常動作時，功率量程中子注量率高、環路流量低、穩壓器壓力低和穩壓器流量高等保護信號會觸發DAS 系統的停堆停機動作，驅動控制棒驅動機構電源柜切斷控制棒動力電源，使控制棒插入堆芯。由于DAS 不會觸發停堆斷路器斷開，應及時手動停堆，以斷開停堆斷路器，觸發P4 信號，使相關的聯鎖保護生效。手動停堆的操作在DEC 規程中應明確。

(2)安全注入工況。反應堆保護系統由于軟件共因故障未能正常動作時，穩壓器壓力低信號使DAS 系統觸發安注，A 系列專設安全設施啟動，操縱員應根據實際情況，判斷是否需要手動啟動安注，以投入兩列專設安全設施。

3.3 DAS 系統誤動分析

盡管DAS 系統在設計中已經采取了一系列防止誤動的措施，但不可避免地會發生系統誤動的情況。實際在系統動作后，不管是否誤觸發，首先應確認動作序列正常，及時使用A0 及DEC 規程，穩定機組狀態，防止因誤干預導致安全功能的不可用，影響反應堆安全，待機組狀態穩定后，再判斷DAS 是否誤動，采取進一步的措施。

4 總結

采用DAS 系統后，可以在反應堆保護系統軟件共因故障的情況下，提供反應堆保護功能。但DAS 系統的使用，增加了很多控制邏輯和信號，不可避免地增加了很多運行及事故處理時的問題。本文通過上述分析，給出在事故后的處理建議及對運行規程的修改建議。

［1］田露.核電安全系統軟件共因故障的縱深防御［J］.中國核電，2012(3).