華龍一號保護系統架構研究

張 杰，孫 娜，邳立鵬，葉 琳

（華龍國際核電技術有限公司 電氣儀控所，北京 100036）

反應堆保護系統是安全級的系統，是核電廠儀表控制系統的重要組成部分之一，其功能是保護3 道核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性，防止或減輕放射性物質對周圍環境的釋放。當運行參數達到危及安全屏障完整性的閾值時，緊急停閉反應堆，必要時啟動專設安全設施[1]。本文結合保護系統的相關設計原則，對保護通道邏輯進行了分析，提出了華龍一號的保護系統架構方案。

1 保護系統功能

保護系統包括：反應堆緊急停堆系統（RTS）和專設安全設施驅動系統（ESFAS）。執行FC1 級功能，采用F-SC1級DCS 設備實現，與控制系統具有設備多樣性。

保護系統主要實現將核電廠從事故后帶入可控狀態所需的功能，如反應堆緊急停堆和專設安全設施驅動等保護功能，監測與反應堆安全有關的電廠變量，當變量達到或超過安全分析的相關閾值時，觸發緊急停堆信號和專設安全設施動作，保護三大核安全屏障完整性，使電站達到可控狀態。主要功能包括：

◇ 堆芯相關的保護。

◇ 二回路相關的保護。

◇ 保護功能的系統級手動觸發。

◇ FC1 類的事故后參數采集（PAMS）。

2 保護系統設計原則分析

目前，有關數字化反應堆保護系統的國家和國際法規標準主要有：《HAD102/10 核電廠保護系統及有關設施》《GB/T 13284.1-2008 核電廠安全系統 第1 部分：設計準則》《GB/T 13629-2008 核電廠安全系統中數字計算機的適用準則》《GB/T 7163 核電廠安全系統的可靠性分析要求》《GB/T 9225 核電廠安全系統可靠性分析一般原則》等。歸納數字化保護系統設計遵循的主要設計原則如下：

1）單一故障準則

保護系統的設計應具有充分的冗余性，以滿足系統的可靠性要求，確保在發生系統單一故障的情況下仍然可以執行安全功能。在具體的設計過程中，一般通過多重冗余序列的設計、相關的設備隔離等手段實現。

2）多樣性

多樣性原則主要考慮減少潛在共因故障發生的可能性，一般的多樣性設計手段主要包括功能多樣性、設備多樣性、多樣性手動控制等。

3）獨立性

①安全系統內部各冗余部分之間應滿足獨立性要求。

②安全系統與設計基準事件影響之間，為緩解某一特定設計基準事件后果所需的安全系統設備，應與該設計基準事件的影響獨立且實體隔離到必要程度，以滿足該要求。設備質量鑒定是滿足這一要求的一種可用方法。

③安全系統與其他系統之間應滿足獨立性要求[2]。

4）可靠性

保護系統的可靠性評價主要是參考安全故障率和非安全故障率兩項指標。具體的可靠性分析要求和一般原則宜符合GB/T 7163、GB/T 9225 的規定。

5）試驗和校準能力

定期試驗是用來完成對系統安全功能的驗證，嚴格來講應在停堆和功率運行期間均可以進行試驗，同時應滿足在試驗期間不妨礙保護系統正常地執行安全功能的能力。

6）可維護性

保護系統的設計應滿足易于維護的要求，實現手段包括設計相關系統設備故障報警顯示畫面等，易于對故障設備和模塊及時識別和定位。

3 保護通道N取M邏輯分析

為提高保護系統的安全可靠性，必須要對保護通道的傳感器進行多冗余配置。參考保護系統設計原則分析章節中關于可靠性部分要求，主要考慮非安全故障率和安全故障率兩個指標（其中，非安全故障率對應拒動率，安全故障率對應誤動率）。假設單一通道的非安全故障率為P，安全故障率為Q，則N 取M 系統的非安全故障率約等于PN-M+1，安全故障率約等于，計算常見不同N 取M系統的故障概率，得N 取M 邏輯故障概率表見表1。

表1 N取M邏輯故障概率表Table 1 N takes the M logic failure probability table

表2 N取M邏輯故障概率量化分析表Table 2 N take M logic failure probability quantitative analysis table

實際計算中，因P、Q 均為遠小于1 的系數，為便于比較分析結果此處令P=0.1，Q=0.1，代入公式整理后得量化分析表見表2。

根據表2 易知，當M 不變N 變大時，系統的非安全故障概率降低，安全故障概率升高；當N 不變M 變大時，非安全故障概率升高，安全故障概率降低。從工程經濟學以及核電站維護檢修的設計原則綜合考慮，在保證安全性的前提下應盡可能提高系統的可用性。考慮在檢修期間的保護通道邏輯降級（一般由N 取M 降級為N-1 取M），結合表2 的數據分析得出結論：在N=4 的判決系統中，M=2 的安全性（拒動率）優于M=3 的設計，同時在檢修期間4 取2 的判決邏輯自動降級為3 取2，其安全性和可靠性依然良好可接受。本方案擬考慮采用N=4，M=2 的通道邏輯設計。

4 華龍一號保護系統架構方案

4.1 反應堆緊急停堆系統（RTS）

圖1 RTS系統結構圖Fig.1 RTS System structure

RTS 系統由四重冗余通道組成，每個獨立通道均采集現場傳感器信號，當一個通道測量信號超過設定值時，將產生用于進行局部邏輯表決的觸發信號，同時通過點對點通信的通信方式將該局部觸發信號送至其它3 個通道進行邏輯表決，當滿足邏輯組合要求時發出停堆信號打開停堆斷路器。保護系統共設計8 個共4 組停堆斷路器，8 個停堆斷路器組成2/4 邏輯，每個通道發出的停堆信號控制一組停堆斷路器。

每個保護通道包含兩個子系統Gr1 和Gr2，分別處理功能多樣性的測量參數以防御共模故障，每個子系統均可觸發反應堆緊急停堆，兩個子系統通過硬接線邏輯“OR”連接。

4 個通道的DCS 設備位于不同防火分區的4 個房間，分別為安全廠房A、安全廠房B 和控制廠房中。系統結構圖如圖1 所示。

供電：4 個通道獨立供電，分別由兩路AC220V 供電。

◇ 單一故障準則

RTS 系統設計成為4 個冗余的獨立通道，4 個冗余的獨立通道電氣上相互隔離，實體上是相互分隔。即使一個保護通道被維修或試驗旁通，其他保護通道內部的任何單一故障都不會妨礙反應堆緊急停堆功能的觸發和完成。

◇ 多樣性

功能多樣性：RTS 中針對每個設計基準事件的自動停堆功能盡量采用不同測量原理的變量進行觸發，這些多樣性的停堆功能分別在停堆通道的兩個子系統中實現。實現功能多樣性的兩個子系統安裝在不同的機柜，采用不同的控制器、I/O 模塊和通訊組件，兩者之間沒有數據交換，保持獨立性。

多樣性手動停堆：通過主控制室緊急控制盤臺（ECP）可以實現安全手動停堆。在ECP 上為各通道對應的停堆斷路器設置一個停堆開關，并通過硬接線邏輯連接到停堆斷路器的勵磁線圈和失壓線圈。另外，通過主控制室多樣性控制盤臺（DHP）可以實現多樣性手動停堆。在DHP 上設置了一個停堆開關，并通過硬接線直接連接到棒控棒位系統（RGL）的棒電源柜，觸發RGL 發出控制信號切斷控制棒驅動機構的電源。即使停堆斷路器出現故障不能打開，也可以實現停堆。

設備多樣性：設計多樣性驅動系統，用于應對RTS 軟件共因故障疊加設計基準事故，采用多樣化于RTS 系統的設備和技術。ATWT 緩解功能也在多樣性驅動系統中實現。

◇ 獨立性

實體分隔：4 個獨立通道分別布置在不同防火分區的4個房間，滿足實體分隔要求。

電氣隔離：不同通道之間與非安全級系統之間的數據交換采用通訊和硬接線兩種方式。對于通訊方式，采用光纖實現電氣隔離；對于硬接線方式，可以采用繼電器或隔離模塊。

通信隔離：4 個通道間通信采用點對點通信方式，發送方與接收方的功能不會因對方異常而受到干擾，RTS 向非安全級系統傳送的報警、監視等信息通過單向通信方式，實現安全級向非安全級的單向傳輸，定周期發送固定格式數據。另外，安全功能處理器與通信控制器獨立，并異步工作，通信故障不會影響安全功能。

4.2 專設安全設施驅動系統（ESFAS）

ESFAS 系統根據工藝系統配置由兩個序列TRAIN A 和TRAIN B 組成，接收RTS 系統發出的專設驅動信號，實現專設安全設施驅動及支持性系統的控制，并將相關參數、報警信號等通過網絡傳送至主控室進行指示。

專設自動控制指令與ECP 的系統級手動指令進行或邏輯，產生用于控制專設安全設施的系統級控制指令，通過硬接線輸出到優先級邏輯處理機柜進行輸出驅動。

OWP 中SVDU 通過FC1 級網絡通信與ESFAS 進行數據交互。

優選邏輯處理模塊（PPL）作為保護系統與驅動器的接口，主要完成的功能為指令優先級管理，接收來自不同系統的控制指令，完成優先級處理后傳遞給現場設備。這些指令來自于保護系統、控制系統、安全自動化系統、多樣性驅動系統、嚴重事故處理系統等。與ESFAS 一樣為AB 列配置，完成FC1 級功能，采用F-SC1 級設備實現，為避免PPL 受軟件共因故障影響，采用多樣化與保護系統的技術實現。

ESFAS 和PPL 由DCS 實現，通常設計為得電動作以防誤動作。兩個序列設備位于不同防火分區的房間，分別位于安全廠房A 和B。系統結構圖如圖2 所示。

供電：兩個序列獨立供電，由兩路AC220 供電，且與RTS 供電電源保持獨立。

圖2 ESFAS系統結構圖Fig.2 ESFAS system structure

◇ 單一故障準則

ESFAS 系統根據工藝系統配置設計成兩個獨立序列，兩個獨立的序列在電氣上相互隔離，在實體上相互分隔，任何單一故障都不會妨礙專設功能的觸發和完成。

◇ 多樣性

功能多樣性：盡量采用不同測量原理的變量進行觸發，這些多樣性的停堆功能分別在停堆通道的兩個子系統中實現。實現功能多樣性的兩個子系統安裝在不同的機柜，采用不同的控制器、I/O 模塊和通訊組件，兩者之間沒有數據交換，保持獨立性。

多樣性手動驅動：主控室DHP 盤臺上設置有系統級專設驅動開關，可通過多樣性驅動系統DAS 系統實現多樣化手動專設觸發。

設備多樣性：DAS 系統內具有應對ESFAS 軟件共因故障的功能。

◇ 獨立性

實體分隔：兩個序列分別布置在不同防火分區的兩個房間，滿足實體分隔要求。

電氣隔離：與非安全級系統之間的數據交換采用通訊和硬接線兩種方式。對于通訊方式，采用光纖實現電氣隔離；對于硬接線方式，可以采用繼電器或隔離模塊。

通信隔離：RTS 發送到ESFAS 的驅動信號采用點對點通信方式，發送方與接收方的功能不會因對方異常而受到干擾，ESFAS 向非安全級系統傳送的報警、監視等信息通過單向通信方式，實現安全級向非安全級的單向傳輸，定周期發送固定格式數據。另外，安全功能處理器與通信控制器獨立，并異步工作，通信故障不會影響安全功能。

5 結束語

本文以反應堆保護系統的相關法規標準為基礎，歸納總結了反應堆保護系統的相關重要設計原則，對保護系統的功能和系統分級進行了概括，并簡要比較分析了保護系統通道邏輯的不同N 取M 情況下，安全故障率和非安全故障率的可靠性指標，提出了華龍一號保護系統的架構方案。后續針對華龍一號的保護系統的架構設計進行進一步的可靠性定性和定量的分析計算。本文對國內三代核電站保護系統的設計具有一定參考意義。