快堆多樣化驅動系統獨立性分析

馮偉偉，段天英，尹 凱，徐啟國

（中國原子能科學研究院，北京 102413）

0 引言

多樣化驅動（DAS）系統是從壓水堆的ATWT/ATWS系統演變而來的。ATWT/ATWS是為克服或緩解沒有停堆的預期瞬變過程（ATWT，Anticipated Transient Without Trip或稱ATWS，Anticipated Transient Without Scram）而設置的。ATWT/ATWS系統提供反應堆保護系統之外的多樣化驅動功能，在萬一發生反應堆保護系統不能實現停堆（包括保護系統本身失效）時，附加保護系統進一步給出反應堆停堆信號，同時啟動輔助給水系統，并使汽輪機停機，以減緩ATWT事故，保證電廠的安全。美國依據NRC Branch Technical Position BTP-7-19，Rev 5以及NUREG-0800的要求，對保護系統多樣性的設計提出了更高的要求，即需提供多樣化的保護措施以應對可能發生的整個安全級儀控系統的軟件共模故障。

數字化技術進入反應堆儀控系統后，有了新的需求，需要考慮軟件共模故障。相關工作人員發現軟件共模失效的應對系統與ATWT的應對系統有很多共性，于是從AP1000的設計開始，把ATWT/ATWS系統逐步增加功能，逐漸演變成多樣性驅動（DAS）系統，也有很多壓水堆同時設置DAS系統（或者其他名稱）和ATWT應對系統。

1 多樣化驅動系統的功能[2]

反應堆保護系統的設計已考慮防止軟件共模故障，可一旦這種概率很小的共因故障出現了，多樣化驅動系統（DAS系統）就能提供多樣化驅動。DAS系統包括：自動驅動功能、手動驅動功能以及顯示和報警功能。DAS系統動作輸出采用正電平觸發信號，系統斷電后不給出停堆或專設觸發信號。具體功能如下：

1）自動驅動功能：DAS采用與保護系統共用探測器信號，當相關參數超過限值時，給出停堆、停機，觸發專設安全設施動作。

2）手動驅動功能：DAS系統在控制室提供手動操作手段，使用硬接線連接，能完成停堆、停機、專設安全設施觸發等動作信號（手動功能優先于自動功能，操作前需進行確認）。

3）顯示和報警功能：主控室中顯示傳感器信號。這與保護系統的顯示功能不同，也顯示系統故障和系統內報警信號。

4）試驗功能：DAS系統屬于NC（S）的范圍，為了提高系統的可靠性，具有定期試驗的功能。定期試驗由手動啟動，并自動完成相關的試驗內容。定期試驗可以在停堆換料期間進行，且不會對核電廠的正常運行造成影響。

所以，DAS系統是保護系統的多樣化后備，有時也稱為多樣化保護系統。

2 設置DAS系統的目的

從其誕生來源可知，壓水堆多樣性驅動（DAS）系統的設計目的是：減小設計中的“未能緊急停堆的預期瞬態（ATWT/ATWS）”和共模故障可能引起的嚴重事故的概率。

1）ATWT（Anticipated Transient Without Trip），未能緊急停堆的預期瞬態：在II類工況后，保護系統發生故障而未能緊急停堆，如：喪失正常給水、喪失廠外電源、反應堆系統誤降壓、控制棒誤提升、甩負荷或汽機脫扣等。

2）共模故障：由共同原因引起的兩個或者兩個以上元件同時失效（主要是針對安全級儀控平臺軟件的共因失效Software Common Cause Failure（SWCCF））。

2.1 快堆嚴重事故與壓水堆的區別及應對

池式鈉冷快堆區別于普通壓水堆，其嚴重事故分別為：失流事故、瞬態超功率、燃料破損遷移、失去熱阱事故。設計基準事故和反應堆保護系統失效同時發生的事故，主要是以下3種：

1）失流事故

類似于壓水堆喪失掉正常給水的（ATWT）事故，池式鈉冷快堆最為接近的是無保護失流事故。緊急停堆失效下的無保護失流事故，可能導致冷卻劑沸騰和堆芯上部形成鈉空泡系數為正。大型反應堆可能導致反應堆超功率，并且使堆芯熔化。目前，快堆設計中設置了非能動停堆棒，應對可能發生的失流事故而迅速停堆。

2）瞬態超功率

通過對FFTF和CRBR反應堆瞬態超功率事故的分析表明：在包殼失效時，通道中冷卻劑向上流動，導致燃料向上輸運后，事故終止。試驗中，事故的反應性引入速率是0.1$/s，該值是反應堆中控制棒抽出引入反應性速率的4倍。由于燃料包殼的失效，包殼內和包殼外燃料的運動均引入負的反應性反饋，凈反應性很快成為負值，導致反應堆中子學停堆。

3）破損的燃料擴散

對于氧化物燃料反應堆，由于氧化物燃料可以與鈉發生反應，并且在破損局部形成沉淀產物。實驗證明，沉淀增長得比較緩慢，有足夠的時間通過緩發中子探測器探測到燃料包殼失效。因此，燃料包殼失效后，很容易實現反應堆停堆和清除失效燃料組件。對于金屬燃料反應堆，由于金屬燃料不與鈉發生反應，因而事故后果只有燃料逸散到主容器中。實驗表明，包殼失效的結果可以接受。假如發生部分入口阻塞，將通過冷卻劑溫度升高和緩發中子信號測得，因此有足夠的時間來實現停堆和清除失效組件。

在目前的快堆的設計中，有緩發中子監測信號，對此嚴重事故可有效進行控制。

2.2 針對設計預期瞬態不停堆（ATWT）事件的緩解

在壓水堆機組中，Westinghouse，EDF，Framatome和CEA各公司均對各ATWT進行了研究，并得出一致結論：喪失掉正常給水和失掉廠外電源這兩個ATWT最為嚴重，前者使一回路超壓，后者使DNBR降低。而壓水堆中多樣性驅動（DAS）系統（包含ATWT部分）中，針對喪失掉正常給水的措施是汽機跳閘，啟動輔助給水系統等措施來防止蒸汽發生器燒干，利用緊急停堆保護系統來保護反應堆。

圖1 US-EPR中DAS系統與SICS系統接口Fig.1 Interface between DAS system and SICS system in US-EPR

針對于快堆來說，由于是常壓系統，不存在一回路超壓工況。相對于壓水堆相似工況，快堆比較擔心的是無保護的失流。在保護系統不能起作用的情況下，目前快堆設計中設置了非能動停堆棒，應對可發生的失流事故，無需多樣性驅動（DAS）系統起相應作用。對于快堆而言，冷卻劑是液態金屬，故不存在偏離泡核沸騰問題（DNBR降低）。

2.3 針對共模故障的應對

美國依據NRC Branch Technical Position BTP-7-19，Rev 5，2007以及NUREG-0800的要求，對保護系統多樣性的設計提出了更高的要求，即需提供多樣化的保護措施以應對可能發生的整個安全級儀控系統的軟件共模故障。

但是，在NRC Branch Technical Position BTP-7-19，Rev 6，2012中，針對共模故障的概念又有了新的解釋。

2.4 小結

由上面分析可知，快堆的設計中需要考慮軟件的共模故障，而設置DAS系統。換句話說，DAS系統在快堆中只需要用來應對保護系統軟件失效。

3 壓水堆DAS系統獨立性分析

3.1 AP1000和US-EPR[4]

在US-EPR中，沒有設置專門的DAS監測參數。這是因為設計人員認為其儀控系統中，參數監測顯示相關的內容是旁通了任何基于計算機微處理器進行數據處理的，系統本身具有適度的多樣性。因此，不需要在DAS系統中設置多樣性參數監視。而在AP1000中，DAS系統使用獨立于保護系統的傳感器。

圖2 AP1000 DAS系統總體結構Fig.2 AP1000 DAS System overall structure

3.2 VVERAES91機組（田灣核電站）

田灣在開始并未考慮針對軟件共模失效的DAS系統，后來根據新的安全要求，增加了MASS系統。

MASS為操縱員提供安全系統手動驅動方式，同時通過正常運行儀控系統為操縱員提供電站重要事件的監視。出現反應堆保護系統失效時，操縱員可以通過監視畫面提供的信息，判斷人工干預的必要性，確定是否操作數字化專設安全設施驅動多樣性系統設備，驅動必要的安全系統設備，應對或緩解事故的后果，維持電站各項參數處于安全范圍以內。

田灣3、4號機組反應堆保護系統（ESFAS部分）在測量和邏輯運算部分已經實現了多樣性，沒有必要再設置一套同樣的控制系統。但由于原安全儀控系統采用了相同的軟件，可設置1套基于硬件的MASS系統，提供手動觸發旁通計算機軟件的手段。MASS可簡潔地與TXS系統集成到一起，而不影響系統原有架構，所以MASS系統沒有設置獨立的探測器。

3.3 EPR機組（臺山核電站）

同樣作為第3代堆型的EPR，它采取的是針對嚴重事故特別設置新的儀控系統，即嚴重事故儀控系統（SAI&C）和嚴重事故儀控系統（SAS DEC-B）。根據概率安全分析得到的可靠性數據，EPR的儀控設計方案滿足相關的安全所要求的概率目標。

對影響保護系統共因故障的預防和緩解是EPR設計的一個重要特征，這一原則體現在其它儀控系統（獨立于保護系統）中的后備功能實現上。

圖3 EPR儀控系統總體結構圖Fig.3 Overall structure of EPR I & C system

EPR原始方案中設置了一個硬核系統（HKS），后來根據這個思路設計了DAS系統。DAS系統并沒有設置完全獨立的探測器，也沒有設置獨立的斷路器。

保護系統通過失電線圈控制停堆斷路器，而DAS系統通過分勵線圈（得電動作）控制停堆斷路器。由DAS系統產生的停堆信號會觸發停堆，反應堆停堆信號會直接觸發汽機跳閘，同時該信號會送到保護系統以保持一致性(每個序列內經過四取二表決邏輯處理)。

獨立于保護系統的汽輪機的停機功能，DAS系統可通過冷段溫度低信號觸發跳機信號。

3.4 CPR1000機組

CPR1000是以中廣核集團從法國引進的M310機組為基礎，結合技術改進形成的中國大型商用壓水堆技術方案。CPR1000機組的DAS系統是保護系統的多樣性配置，傳感器的多樣性已經在保護系統中考慮，故DAS系統從支持驅動的多樣性考慮，沒有設置完全獨立于保護系統的儀表。

3.5 CNP1000機組

福清、方家山核電站機組型號為CNP1000，其儀控系統也進行了數字化升級。

DAS系統與反應堆保護系統共用測量儀表，來自傳感器或者變送器的信號在反應堆保護系統側進行隔離后，再通過硬接線分配到DAS機柜。經必要的處理后，再進行閾值比較。當超過閾值則產生“局部脫扣（partial trip）”信號，然后進行相應的邏輯處理，產生觸發緊急停堆、汽輪機剎車、安全注入以及蒸汽管道隔離等功能的信號。

3.6 小結

1）壓水堆的DAS系統主要作為保護軟件部分的多樣性設計，并未采用完全獨立于保護系統的探測儀表，但是要求探測信號不能進入DCS網絡或者數據處理單元。

2）壓水堆設置了ATWT應對系統，但是這個系統也沒有設置完全獨立于保護系統的儀表。

3）DAS系統設置獨立的探測器是更好的選擇，但不是必須這樣做。

4 快堆DAS系統獨立性分析

4.1 平臺的獨立性

DAS系統選用與反應堆保護系統不同的安全級DCS平臺產品，兩個平臺其設備及軟件架構都是不同的。其技術與制造工藝均不同，如保護系統選擇CPU架構的平臺，那么DAS系統可選用FPGA技術實現或者使用模擬技術。當然，另一種CPU架構的平臺也是可以的。

且DAS系統采用一般考慮造價和可用性，采用2/2符合邏輯，主動信號驅動（斷路器得電斷開），不同于保護系統2/4的符合邏輯及故障安全設計（斷路器失電斷開），降低了誤動概率。

4.2 設備布置及供電的獨立性

DAS系統的兩個機柜獨立于保護系統機柜，可以確保與保護系統的設備實體分隔。

DAS系統供電為兩路獨立的（分別來自于應急A列和應急B列）應急不間斷交流電源，與保護系統設備電氣隔離。

4.3 保護參數的獨立性與多樣性

DAS系統的保護參數選擇，應是對所有始發事件的保護參數的最小割集，保證在發生任意需要停堆的始發事件時，如果保護系統未能停堆，則DAS系統能觸發停堆或專設。

DAS系統與保護系統有部分信號共用，DAS系統取信號是在信號進入安全級DCS之前，通過隔離模塊進行隔離分配。其中，溫度信號需要軟件進行溫度計算，故DAS系統設置了獨立的溫度傳感器。

當保護系統軟件故障時，不會對探測器的信號產生影響。

4.4 驅動設備的獨立性

DAS系統在主控室和遠程停堆站設置了停堆及專設觸發的手動按鈕，與保護系統不同；后備盤設置了專門的DAS操作區。

DAS系統的斷路器設置了與保護系統不同的斷路器，采用2/2的符合邏輯。

5 總結

通過對壓水堆和快堆DAS系統的設計和獨立性分析，認為目前快堆DAS系統與保護系統之間滿足實體分隔、功能隔離、電氣隔離等獨立性設計要求，并且對比壓水堆DAS系統以及相關法律法規的要求，快堆DAS系統作為反應堆保護系統的多樣性手段之一，其平臺、軟件架構、設備、驅動機構、驅動方式等均滿足獨立性原則，保證在保護系統平臺失效時，提供既定的保護功能。