多样化保护系统在核电站中的应用及运行分析

周炳鉴

(中核核电运行管理有限公司，浙江海盐 314300)

在方家山核电项目的纵深防御设计中，基于TRICON 平台的反应堆保护系统(RPS)实现了紧急停堆系统和专设安全设施驱动系统的功能。RPS 系统采用了基于功能多样性的应用软件多样性设计，即对于紧急停堆系统，针对同一事故的不同保护参数分配在两个不同的多样性子组中。而对于专设安全设施驱动系统，将所有的专设保护功能分成两部分，分别由两个不同的多样性子组实现。由于一个子组的应用软件共因故障导致其变为不可用时，另一个不受影响的子组还能提供相同或类似的保护功能，从而提供了应对RPS 应用软件共因故障的手段。

由于某些假象的、不可预知的软件错误或者系统层面的故障导致整个RPS 系统发生软件共因故障时，上述两个多样性子组的功能均将失去，这时由多样化保护系统(DAS)提供必要的保护。多样化保护系统(DAS)设计在发生设计基准事故时叠加RPS 系统软件故障投入保护功能，因此，DAS 系统的使用必然对核电站的正常运行、事故处理产生一定的影响。本文从DAS 系统的功能及设计特点着手，分析DAS 系统在正常运行时相关监视、操作、试验及事故后的响应及处理，提出电厂正常运行规程及事故规程的修改建议。

1 DAS 系统功能及设计特点

DAS 系统是一个自动的逻辑保护系统，它包括一套装置，根据核电厂一些物理参数的变化，通过向控制棒驱动机构电源柜发出反应堆紧急停堆指令以及向安全驱动器发出专设驱动指令，从而在RPR 系统发生软件共因故障而无法提供所需的保护功能时，与有关的手动保护功能一起将反应堆维持在安全状态。

1.1 DAS 系统保护功能

(1)通过驱动控制棒驱动机构电源柜切断控制棒动力电源，使控制棒插入堆芯;(2)汽机刹车;(3)安全注入;(4)蒸汽管道隔离。

1.2 设计特点

1.2.1 系统采用冗余设计

通过双路UPS 电源供电、双处理器配置、配置卡件配置的冗余度、接收和发出信号的冗余等设计手段，提供系统的可靠性及性能，防止部件故障影响到系统的功能。

1.2.2 不需要满足单一故障准则

由于不考虑DAS 系统与主保护系统同时失效，因此，系统设计不要求DAS 满足单一故障准则，意味着即使DAS 系统发生了故障不能提供保护功能时，主保护系统也可以提供相应的保护。

(1)DAS 系统所发出的所有动作信号均设计成得电动作，机柜或者卡件失电不会触发紧急停堆。DAS 系统送出四路紧急停堆信号到控制棒驱动机构电源柜，在电源柜中，经2/4 处理后，产生触发控制棒保持勾爪线圈失电的“零电流”后，从而使保持勾爪打开，导致控制棒插入堆芯触发紧急停堆;(2)DAS 系统输出到专设安全设施驱动器的控制信号与反应堆保护系统相同，采用的是有电动作的原则。采用有电动作的原则是因为专设安全设施驱动器的动作通常是有源的，同时也考虑到误动的风险;(3)DAS 系统逻辑表决设计成最终退化为不发出动作信号;(4)当处理器与输出卡件之间的通讯中断时，输出卡件不输出动作信号。

1.2.3 降低DAS 系统误动作以及提高可靠性

(1)对应来自不同传感器的输入信号，DAS 系统采用不同的输入卡件采集。从而单个卡件的故障不会导致全部输入信号的故障，也不会导致系统误动作;(2)DAS 系统输出的4 路紧急停堆信号分别从不同的4 块输出模块送出;(3)DAS 系统输出用于启动安注的信号从不同的卡件输出，单个输出信号的故障不会启动整个安注系统。

1.2.4 与反应堆保护系统的隔离

DAS 系统设计成与反应堆保护系统之间保证最大限度的实体分隔与电气隔离。DAS 系统不接收经反应堆保护系统软件处理后的信号，同时也不送出信号参与反应堆保护系统软件的处理。

1.2.5 DAS 系统具备定期试验能力

逻辑部分及处理模块应具备系统自检的能力。输出通道应进行定期试验。

2 DAS 系统流程

DAS 上端接收仪表组的信号，进行逻辑处理，负荷逻辑组合的要求时给出保护动作触发信号。DAS 下端连接控制棒驱动机构电源柜和优先逻辑处理模块进而连接到安全驱动器，它们接收保护动作触发信号，完成保护功能。

3 DAS 系统运行分析

3.1 机组正常工况下DAS 系统运行分析

机组正常运行工况下，应确认DAS 系统无报警出现，闭锁及复位开关状态正确。为保证DAS 系统的功能满足要求，应定期对系统进行试验(每两个月)。由于DAS 系统在设计时，考虑了独立于RPS 系统的P4、P7、P13、P10、P11 等允许信号，以保证完整的保护功能，这就需要在不同的功率阶段，对上述信号的正确性进行确认，确保相关的保护功能已经投入，上述信号的检查应体现在机组的正常启停规程中。对于DAS 的稳压器低压安注功能，在P11 信号出现后，应当对安注功能进行闭锁，防止继续降压导致的误安注，上述操作同样应增加至机组的正常启停规程中。

3.2 事故工况下DAS 系统运行分析

3.2.1 事故工况下RPS 系统动作正常

(1)机组停堆和汽机停机工况。这种情况下，RPS 系统动作正常，反应堆停堆和汽机停机。由于DAS 系统的动作定值相对于RPS 偏保守，对于功率量程中子注量率高、环路流量低、稳压器压力低和稳压器流量高等会触发DAS 停堆停机信号的情况，如果保护参数进一步恶化，则DAS 系统保护启动，但之前RPS 保护已启动，DAS 的保护启动无影响。使用事故诊断通用规程(DEC)可以引导处理这类工况。

(2)安全注入工况。RPS 动作正常，安全注入启动，进入安注后的事故诊断规程(A0)，进行安注后的自动动作确认，如果安注是因为稳压器压力低引起，并且压力进一步降低，则DAS 系统发出安注信号，是A 列的专设设施动作，但RPS 的信号优先于DAS 的动作信号(在优先逻辑模块PLM 中实现)，实际上DAS 信号不起作用，但5 分钟后，随着RPS 系统的安注复位，应及时对DAS 系统进行安注复位，以允许手动控制A 列的专设设施。在A0 规程中应增加DAS 系统的安注复位操作和安注状态指示等内容。

3.2.2 事故工况下RPS 系统动作不正常(软件共因故障)

(1)机组停堆和汽机停机工况。反应堆保护系统由于软件共因故障未能正常动作时，功率量程中子注量率高、环路流量低、稳压器压力低和稳压器流量高等保护信号会触发DAS 系统的停堆停机动作，驱动控制棒驱动机构电源柜切断控制棒动力电源，使控制棒插入堆芯。由于DAS 不会触发停堆断路器断开，应及时手动停堆，以断开停堆断路器，触发P4 信号，使相关的联锁保护生效。手动停堆的操作在DEC 规程中应明确。

(2)安全注入工况。反应堆保护系统由于软件共因故障未能正常动作时，稳压器压力低信号使DAS 系统触发安注，A 系列专设安全设施启动，操纵员应根据实际情况，判断是否需要手动启动安注，以投入两列专设安全设施。

3.3 DAS 系统误动分析

尽管DAS 系统在设计中已经采取了一系列防止误动的措施，但不可避免地会发生系统误动的情况。实际在系统动作后，不管是否误触发，首先应确认动作序列正常，及时使用A0 及DEC 规程，稳定机组状态，防止因误干预导致安全功能的不可用，影响反应堆安全，待机组状态稳定后，再判断DAS 是否误动，采取进一步的措施。

4 总结

采用DAS 系统后，可以在反应堆保护系统软件共因故障的情况下，提供反应堆保护功能。但DAS 系统的使用，增加了很多控制逻辑和信号，不可避免地增加了很多运行及事故处理时的问题。本文通过上述分析，给出在事故后的处理建议及对运行规程的修改建议。

［1］田露.核电安全系统软件共因故障的纵深防御［J］.中国核电，2012(3).