反應堆保護系統與汽輪機保護系統

李洪光

摘 ? 要：反應堆保護系統（RPR）、汽輪機保護系統（GSE）是核電站最重要的兩套保護系統，為了提高系統可靠可用性，最大限度的降低拒動率、誤動率，兩套保護系統在設計上均做了保守考慮。但因各自系統失效后果或代價不同，系統設計考慮也有所不同。本文從某核電站兩大保護系統架構及功能實現出發，結合各系統設計特點對其設計準則進行比對分析得出相應的結論， 為核電站保護方案持續改進做了有益的探討， 拓展了新的思路。

關鍵詞：反應堆保護系統（RPR） ?汽輪機保護系統（GSE） ?停堆 ?停機 ?保護組 ?安全列 ?縱深防御

中圖分類號：TM623 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? 文章編號：1674-098X（2019）07（b）-0090-03

安全是核電發展的生命線，設計安全是確保核電安全的根本基礎。反應堆保護系統（RPR）、汽機保護系統（GSE）是核電站最重要的保護系統，核電安全相關法規對其設計提出了更高的要求，要求在事故發生時，必需能夠快速、準確、可靠地實現停堆和停機，確保核電站安全、可靠、經濟運行。兩套保護系統在設計及實施過程中充分考慮了系統的可靠性、可用性，但因各自控制對象不同及失效后產生的后果不同，設計考慮也有所不同。本文結合某核電站在運機組兩套保護系統架構特點，闡述各自系統設計遵循的準則，存在優勢與不足，給出今后改進的建議。

1 ?反應堆保護系統（RPR）架構及功能實現

反堆保護系統主要功能是監視與反應堆安全密切相關的保護參數，當參數或工況超過保護定值時自動觸發緊急停堆，或在極限事故等工況時觸發專設安全設施執行機構動作，保護堆芯避免熔毀，以及保護安全殼的完整性，防止放射性物質向環境大量釋放。同時提供事故后重要參數監視功能。保護系統架構如圖1所示。

系統架構主要分為兩個層次。

1.1 上層為4重冗余架構—安全停堆系統

有4個保護組（IP、IIP、IIIP、IVP），每個保護組（通道）又分為2個功能多樣性子組，并且4 個保護組被分別布置在不同的房間， 以實現物理隔離;每個保護組分別由4路獨立的UPS供電。每個子組接收對應的模擬量信號，進行閾值比較，并將比較信號送往其他通道對應子組進行邏輯表決，同時接收其他通道子組處理完畢的閾值比較信號，并進行表決處理。同一保護組內2個子組處理的結果再經“硬或”邏輯處理后送往對應通道控制的2個停堆斷路器，當2/4個通道產生停堆信號時，停堆斷路器即可切斷棒電源機組至棒電源柜電源，控制棒靠重力落入堆芯，實現安全停堆。

1.2 下層為兩個冗余列—專設安全設施及其支持系統

分為A、B兩列，每列分為兩個功能多樣式子組及一個服務器組。A、B兩列機柜分布不同房間，分別由各自獨立電源供電。多樣性子組接收對應的4個通道保護子組信號，對其進行4取2表決產生相應的專設安全設施驅動信號。

2 ?汽輪機保護系統（GSE）架構及功能實現

核電站汽輪機保護系統（見圖2）的功能是當核反應堆或是汽輪發電機組發生預期故障時，為汽輪發電機組提供安全停機手段，防止事故發生、擴大和損壞設備。該保護系統設置了3個獨立的保護通道，每個通道控制對應的高壓遮斷模塊上2個電磁閥，當2/3個保護通道同時動作，高壓遮斷模塊泄掉安全油，汽輪機所有進汽閥快速關閉，汽輪機安全停機。

3 ?設計準則比對分析

3.1 單一故障準則

單一故障準則是指系統內任何部位發生可信的單一隨機故障時仍能執行其正常功能，即系統內的單一故障不會使系統拒動，也不會使系統誤動。

RPR停堆系統設計4個獨立通道，單一通道內部故障只會影響系統部分功能，不會導致停堆，停堆功能由其余3個通道來保障。當一個通道不可用期間，另一通道又出現故障未被及時發現處理時仍能執行停堆功能，即滿足故障疊加。

RPR專設安全設施驅動系統設計是縱深防御理念體現，當某些事件的升級，仍有可能未被前一層級的安全停堆系統所制止，進而演變成一種設計基準事故時啟動專設安全設施，避免堆芯熔毀，保護安全殼的完整性，防止放射性物質向環境大量釋放。根據概率安全分析，這種事故在壽期內出現的可能性并不大，所以只設計了2個獨立列。當一列設施故障或檢修時，另一列設施仍舊可用，保障安全。

GSE系統設計3個保護通道，單一通道內部故障，不會導致安全油壓喪失，停機功能可由其余2個通道來保障，同樣滿足單一故障準則。

3.2 冗余性

冗余性是滿足單一故障準則的手段，保證保護系統不會因為單一故障而失去保護功能。冗余性主要包括系統架構冗余、應用平臺冗余技術與配置。

RPR停堆系統架構設計成4重冗余，專設安全設施驅動系統架構設計成2重冗余。RPR系統采用TRICON平臺，TRICON平臺本身采用了3重冗余技術，對于模擬量輸入、輸出信號均采取3取中處理，對于開關量輸入、輸出采取3取2表決。系統架構設計加上產品平臺冗余技術大大提高了系統的可靠性。

GSE系統采用P320平臺，產品成熟度、可靠性已得到工程廣泛驗證。GSE在系統架構上采用了完全3重冗余技術，在信號輸入采集、邏輯處理、輸出驅動各部分均為3冗余配置。但每個保護通道只配置一塊主處理器卡件，就單獨保護通道而言，未進行必要的冗余配置。

就系統架構可靠性設計而言GSE 3通道設計不如RPR 4通道設計，但RPN源量程中子注量率探測器及中間量程中子注量率探測器各只有2路，信號2重冗余與系統通道4重冗余不相匹配，而GSE系統采用了完全3冗余技術。某核電站在建機組RPR系統設計對此進行了改進提高，將源量程測量通道與中間量測量通道都增至4路。

3.3 獨立性

獨立性是采用冗余技術的前提，是克服由單一故障引起的繼發性故障、實現在線檢修和維修的重要措施。獨立性包括電氣隔離和實體隔離。

RPR系統各保護組間、各安全列間信號電纜路徑均完全獨立，互不影響。各保護、各安全列機柜分別布置在不同房間，保護組與列間設備處于不同樓層，一個房間設備發生故障不會影響到另一個房間的設備。

GSE系統3個獨立通道機架處于同一房間同一機柜內，保護通道機架間彼此未進行實體隔離，且保護信號電纜路徑相同，易出現相干故障，影響系統的總體可用性。為了提高系統可靠可用性，可以考慮將保護通道機架布置在不同的機柜，同時增加信號電纜路徑的獨立性。

3.4 多樣性

多樣性是克服共因故障的手段。多樣性包括功能多樣性和設備多樣性。

RPR系統每個通道包含2個功能多樣性子組，對于特別重要的保護功能，在2個子組都進行處理運算，其余各保護功能被分配到不同子組執行。對于冷卻劑流量監測，RPR系統采取了監測主泵斷路器開關狀態、及主泵出口冷卻劑流量2種設備多樣性方法。對于停機判斷，采用了監測主汽門關閉及安全油壓低2種手段。

GSE系統每個保護通道未設置多樣性子組。但為了滿足響應時間要求，GSE系統對于保護信號進行了分級，將保護信號分為主遮斷保護、次遮斷保護。主遮斷保護信號采取了分級處理機制，信號由專門處理卡處理，處理卡對模擬信號第一級閾值直接進行判斷，同時還將模擬信號送到保護通道控制器進行第二級閾值判斷（軟判斷）。正常保護觸發情況下處理卡輸出繼電器使相應遮斷電磁閥失電。當信號達到跳機閥值，且處理卡件控制的繼電器失效時，保護信號再由通道處理器控制的繼電器使相應通道的電磁閥失電，最終執行2/3失電硬邏輯跳機表決，遮斷汽輪機。對于最重要的超速保護，GSE系統采用了磁阻式探頭、電渦流轉速探頭2種轉速測量、判斷方式。

3.5 符合邏輯（邏輯矩陣）

符合邏輯是指，在保護系統動作之前必須有2個或2個以上的冗余信號相符合，以防止誤觸發保護系統動作。采用符合邏輯后也便于對保護系統進行在線測試，而通道的可試驗能力又增加了系統的安全性。

RPR系統根據信號的不同冗余度以及該信號是否直接參與保護設計了不同的符合邏輯，在信號壞質量或是保護通道旁通時采取相應符合邏輯退防處理。

GSE系統普遍采用3取2表決處理邏輯。對于模擬量信號，在壞質量情況下，采取了信號觸發處理，2/3邏輯相當于自動退防為1/2表決邏輯。對于開關量，由于采用了負邏輯方式處理，當信號回路斷線時，信號觸發，即2/3邏輯相當于自動退防為1/2表決邏輯。

3.6 故障安全準則

故障安全準則是指在某個系統中發生任何故障時仍能使該系統保持在安全狀態的設計準則。

RPR系統停堆保護功能設計遵循故障安全準則，反應堆無保護信號觸發情況下，各通道控制的停堆斷路器失壓線圈帶電，停堆斷路器處于合閘狀態。當保護系統失效或失電時失壓線圈回路斷開，相應的停堆斷路器打開。考慮到故障安全準則會增加專設安全設施誤動的風險，專設安全設施系統未采用故障安全準則。

GSE系統設計同樣遵循故障安全準則，機組正常運行期間，高壓遮斷模塊上的3個電磁閥帶電，安全油壓建立，當控制系統失電或電磁閥失電時，安全油卸壓回路導通，安全油卸壓，高、中壓缸進汽閥關閉，汽輪機停機。

3.7 可試驗性和可維護性

為了能發現和維修有故障的元器件，以防止故障的積累而產生保護系統故障，需要對保護系統進行定期試驗。對試驗過程中發現的故障元件，及時進行維修或更換，確保保護系統功能的完整性。

RPR保護系統定期試要主要有T1試驗（測量通道試驗）、T2試驗（邏輯處理單元試驗）T3試驗（輸出通道及驅動單元試驗）。保護通各試驗分段進行，各試驗間保持了一定的重疊度，最終保證整個保護通道功能都得到有效驗證。

GSE系統定期試驗主要有高壓遮斷模塊電磁閥試驗，安全油通過高壓遮斷模塊內部3個并行的、冗余的支路排油。每一個支路可在汽輪機正常運行時做試驗，其他的支路（非試驗模式）確保汽輪機的保護，每一個安全卸荷閥配備了一個位置傳感器，用于檢查試驗是否成功。

4 ?結語

反應堆保護系統（RPR）、汽輪機保護系統是核電站最重要保護系統，各自控制對象不同及失效后產生的后果不同，設計考慮也有所不同，后續機組設計或改造可考慮以下幾點建議：

（1）某核電站在運機組RPR安全停堆邏輯系統架構上設計了4重冗余，但源量程信號、中間量程信號只有雙重冗余，保護信號與系統架構冗余度并不匹配。而GSE系統設計采用完全3冗余技術，保護信號與系統架構冗余度完全匹配，所以建議RPR系統在后續再建機組設計時可考慮增加信號冗余度，使信號通道與系統架構完全匹配，從而提升系統整體可靠性。

（2）汽輪機保護系統（GSE）系統3個保護通道處于一個機柜內，信號路徑也未進行有效隔離，獨立性偏弱，后續計設可考慮將通道布置在不同機柜內、同時提高信號路徑獨立性，進而增加系統可靠性。為了提高系統可靠性，在選擇成熟穩定的數字化平臺時，也可以在系統架構上重新考慮，再增加一個保護通道。

（3）GSE系統將信號進行了分級處理，對于主遮斷保護信號采取的先卡件閾值處理，再經過保護通道處理器軟閾值處理方式提高了系統的快速響應，這是系統設計一大亮點。PRP系統采用了CPU技術，同時通道間進行信號交換，增了響應時間，為了減少CPU描掃方式帶來的影響，也可優先考慮可編程門陣列（FPGA）技術。

參考文獻

[1] 王哲.RPR反應堆保護系統手冊.FQY-RPR-SDM-001[Z].

[2] 張亞平.汽輪機保護系統（GSE）設計手冊.FQX17GSE003101B45GN.B版[Z].

[3] 朱繼洲.核反應堆安全分析[M].西安：西安交通大學出版社，2004.