压水堆核电站反应堆保护系统投运与退出方案论述

白杰，王博，姚兴瑞 （辽宁红沿河核电有限公司， 辽宁 大连 116001）

压水堆核电站反应堆保护系统投运与退出方案论述

白杰，王博，姚兴瑞 （辽宁红沿河核电有限公司， 辽宁 大连 116001）

核电厂每个换料周期，机组需要下行进行换料和大修，结束后再重新上行至正常运行，这期间反应堆保护系统需要投运和退出。本文结合某压水堆核电站反应堆保护系统的设计原理和实现方式，介绍了压水堆核电站反应堆保护系统投运与退出的方案。

压水堆；反应堆保护系统

为了保证核安全与机组安全，核电厂设计有一套安全可靠的反应堆保护系统（以下简称RPR系统）。在每一个换料周期，机组状态将由正常运行模式下行至换料停堆模式来进行换料和大修，这期间为了避免保护误动，RPR系统需要退出。换料和大修结束后，机组再次上行，为了保证核安全和机组安全，RPR系统又需要投运。保护系统的投运和退出必须结合保护系统的设计原理和实现方式制定合理的方案。

1 压水堆核电站反应堆保护系统的设计和实现方式

某压水堆核电站RPR系统采用数字化控制系统，由三菱电机公司的MELTAC技术平台实现，ATWT为保持与DCS的多样化设计采用MELNAC模拟技术平台实现。

RPR系统不仅包含了TT/RT/SI/CS/CIA/CIB等保护信号，其它如：LHA/B、DVK、堆芯饱和裕度计算、DVW、甩负荷/重带载等的逻辑也在RPR系统实现。

体现在三菱电机的DCS中，MELTAC平台实现的RPR保护功能，主要有以下两个途径：

手动硬件路径：应急停堆盘（ECP）—继电器机柜（ARC）—SLC(优选卡PIF)；自动软件路径：RPC—ESFAC—SLC。图1为某压水堆核电站反应堆保护系统的结构图。

图1 某压水堆核电站反应堆保护系统结构图

2 某压水堆核电站反应堆保护系统投退方案

根据该电站RPR系统的实现方式，确定RPR系统投退方案需要通过实施临时控制变更（TCA）方式来完成，包括了软/硬件的隔离与恢复。

机组下行时，根据机组下行的状态与技术规范的要求确定RPR退出窗口，如果需要退出RPR保护功能，利用仪控专业制定的4个RPR-TCA进行管理，即RPR-TCA-01/02/03/04。

机组上行时投运RPR保护功能，通过拆除机组上存在的标准【RPR-TCA】，恢复保护系统的在线功能。利用同上的4个RPRTCA进行管理。

2.1 RPR标准TCA

2.1.1 RPR-TCA-01

闭锁主泵转速低+P7跳GEW开关信号。

目的：防止主泵解列后，出现主泵转速低+P7跳GEW开关信号，触发孤岛运行。

实现方式：采用拆线方式。

2.1.2 RPR-TCA-02

（1） 通过自动SI闭锁钥匙，闭锁SI信号。

（2） 通过DAC机柜试验闭锁开关闭锁ATWT信号。

（3）退出SI、CS、CIA、CIB等保护信号。

目的：机组下行阶段退出RPR保护信号，即闭锁SI、CIA、CIB、CS、ATWT等相关信号，防止保护误触发。

实现方式：

（1）在1KCS101AR将RPA216/217CC置闭锁位置；在1KCS102AR将RPB216/217CC置闭锁位置。

（2）在1KCS301AR中，将试验开关置TEST位置。

（3）通过软件内强制信号，退出SI、CS、CIA、CIB等保护信号。

2.1.3 RPR-TCA-03

机组进入MCS模式后，闭锁SI启动RCV001/002/003PO和RIS001/002PO信号

目的：防止RCV泵和RIS泵误启动。

实现方式：通过软件内强制信号实现。

2.1.4 RPR-TCA-04

退出防误稀释保护和闭锁强迫循环丧失信号。

目的：机组下行阶段，防止ADP（防误稀释保护）保护和强迫循环丧失保护误动。

实现方式：通过软件内强制信号实现。

2.2 RPR系统投运步骤

2.2.1 RPR系统投运的窗口

机组一回路满水结束，稳压器人孔关闭后投运。

2.2.2 投运步骤

（1）反应堆保护系统投运前提条件确认

· RPR保护投运前，相关系统的TCA已经清理，RPR保护投运后存在的TCA不会造成设备误动或拒动；

· 运行检查RPR没有异常报警，否则通知仪控人员确认；

· EAS125VR的实体隔离（根据实际机组状态考虑是否实体隔离）；

· 确认CIB信号不触发，投保护不影响硼表；

· 运行确认GRE系统上没有GRE022/023/024MP的工作，RPR投运对GRE系统没有影响；

· ETY101/102/103/104MP无检修维护等工作票，且已经工作正常；

· PTR水箱液位水位正常，满足要求；

· 确认RPR保护投运条件已经具备；

· 确认无P7、P10和P16信号；

· 请运行人员确认ADT RCP 001已经实施；

· 请运行人员确认TYPE B/C/G已经实施；

· 请运行人员确认TCA-ASG-002已经实施或者ASG001/002PO已经实体隔离；

· 请运行人员确认安注信号已通过主控XRPR054KC/ XRPR254KC/XRPR354KC/XRPR454KC、XRPR056KC/ XRPR256KC/XRPR356KC/XRPR456KC闭锁；

· 请运行人员确认没有RPR/RPN/RCP系统相关工作；

· 请运行人员确认GSE（汽车保护系统）系统上没有工作对RPR系统产生影响；

· 工作前与运行操纵员确认当前机组状态满足RPR投运条件，并须由值长、STA签字确认。

（2）下游实体隔离确认

· 确认工艺/电气需要隔离的设备已经实施实体隔离；

· GPA系统：通过TCA隔离主泵转速低+P7信号跳GEW断路器的指令；

· RGL（控制棒位和棒控系统）系统：与RGL系统负责人联系确认，RPR投运不会对RGL产生影响，如果存在影响，则在RGL侧进行隔离；

· GSE系统：与GSE系统负责人联系确认，RPR投运不会对GSE产生影响，如果存在影响，则在GSE侧进行隔离；

· GCT系统： 与GCT系统负责人联系确认，RPR投运不会对GCT产生影响，如果存在影响，则在GCT侧进行隔离。

（3）上游保护信号核实与检查

· 仪控人员逐个通道检查RPR相关工艺系统的输入信号，确认现场传感器信号的可用性。

（4）上游模拟量通道投运后由操作员手动闭锁P11、P12相应的安注信号。

（5）仪控人员隔离的RPR保护指令

· 通过TCA隔离主泵转速低+P7信号跳主泵的安全级信号；

· 通过TCA隔离主泵转速低+P7信号跳GEW断路器的安全级信号（仪控DCS侧隔离）；

· 确认由仪控人员负责隔离的仪表TCA清单已经正确实施。

（6）仪控人员恢复的RPR保护指令

· 核查甩负荷、带载逻辑指令通道已全部投运，保证柴油机为可靠备用电源；

· 恢复RPR保护输出的安全级指令通道，恢复ESF内TCA后核对相关的RPR报警，确认无误后恢复SLC内TCA，RPR系统投运连接。

RPR投运后，运行人员向相关部门发通告，相关人员在工作时要对风险充分认识。涉及到RPR系统相关的工作，必须经过安工、RPR系统负责人签字。

2.2.3 RPR投运的风险分析及防范措施

2.2.3.1 停堆误触发风险

RPR保护方案投入前，停堆断路器实际处于断开位置，P4信号已经存在，RPR保护方案投入后，不存在RTB断开的风险，即不存在该跳堆风险。

2.2.3.2 CPU断电对RPR保护的TCA的影响

CPU断电，将导致被强制的CPU内的强制数据丢失，ESFAC、SLC内的XDO、XDI点失去跟踪，上电瞬间，XDO点通信会立即输出。

（1）ESF、SLC单系断电

单系失电后不影响正常功能。

（2）ESF双系断电

ESF双系断电后，下游SLC保持上一个状态，断电不会引起设备的误动。恢复上电前需要在SLC内进行设备级隔离，隔离之后恢复ESF的送电。恢复送电后确认ESF内SI（安全注入）、CIA、CS（安全喷淋）、CIB信号状态，确认与下游一致后，解除下游SLC内隔离。

（3）SLC双系断电

SLC双系失电，设备动作到安全位。恢复送电后在SLC内逐个确认指令状态与设备状态的一致性，不一致的KIC操作消除偏差，之后方可确认输出按钮。

2.2.3.3 平行冗余的CPU强制不一致的风险

（1）ESF/SLC并行冗余，强制的时候需要强制两系CPU，如未同时强制，可能导致强制输出不一致。

（2）强制的时候严格按照两系均要强制的原则进行，监护人应该认真负责进行监护；

（3）强制完成后，在MELENS的TAG NO监视画面检查两个CPU的强制列表的状态点的个数与状态是否一致。

2.2.3.4 保护信号误触发造成损坏设备的风险

（1）明确需要工艺/电气实体隔离的设备清单，由运行人员明确设备，运行人员实施隔离

（2）明确需要仪控人员通过隔离保护信号通道实现隔离的信号/设备清单，由运行人员明确设备，仪控人员实施隔离

（3）确认工艺/电气实体隔离的设备清单和仪控隔离保护指令的清单，RPR保护投运时完成设备、信号状态确认和签字。

2.2.3.5 释放下游保护通道，取消各RPR系统的TCA过程中保护误动作的风险

（1）在释放下游保护通道、取消隔离之前，需要在线进行检查RPC中工艺参数的状态，保证保护不触发，同时在MELENS ESFAC上逐个核查保护信号状态，确认相关的RPR保护信号未触发，确认重要设备按照运行人员需求已经处于隔离状态

（2）根据DCS平台特性，由ESF至SLC由上至下的恢复TCA投运保护

（3）执行恢复隔离措施的工作期间，一人确认、一人执行、一人监护。遵循TCA隔离操作单逐个信号进行双系恢复，确保相关隔离信号得到正确的恢复

（4）恢复TCA后，根据需要让仪控人员通过隔离保护信号通道实现隔离的信号/设备清单在MELENS内检查投运下的TCA隔离，确保两系一致性。

2.2.3.6 上游信号误动引发的RPR系统误动作的风险及预防措施

（1）为保证RPR投运期间上游信号的可靠性，在RPR保护投运后由计划部门发布RPR投运的通知，相关信号通道上严禁作业；

（2）保护投运期间禁止对RPR相关现场变送器和仪控机柜的各种工作。如必须检查相关传感器或控机柜相关工作，需要征得RPR负责人、安工、值长的同意，做好风险分析和隔离措施后方可进行；

（3）由仪控人员每天定期检查上游输入信号和下游保护逻辑触发信号的状态，发现异常及时通知当班值长、安工、RPR负责人处理。

2.3 RPR系统退出步骤

2.3.1 RPR系统退出的窗口

机组MCS模式，稳压器开人孔后。

2.3.2 退出步骤

仪控人员重新提出TCA，按照仪控人员制定的RPR-TCA-01，RPR-TCA-02，RPR-TCA-03，RPR-TCA-04隔离RPR保护指令。

[1] Reactor Protection Cabinet Equipment Specification G_CFC. 安全级DCS设计文件[M]. 三菱电机株式会社. 2011, 3.

Discussion for the Scheme of Run and Stop of Reactor Protect System in Pressurized Water Reactor Nuclear Power Station

During every fuel cycle, the unit of nuclear power plant need back up for maintenance and fuel replacing. And then up and running again. In this phase, the reactor protect system need run and stop. The article discusses the scheme of run and stop of reactor protect system in one pressurized water reactor.

Pressurized water reactor; Reactor protect system

B

1003-0492(2015)12-0106-03

TP273

白杰（1983-）, 男, 四川射洪人，工程师，本科，2005年毕业于哈尔滨工程大学核工程与核动力专业，现就职于辽宁红沿河核电有限公司，从事安全级DCS控制系统维保工作。