核電廠反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)準(zhǔn)則

馮威 羅煒 俞赟 尤愷

（中國(guó)核動(dòng)力研究設(shè)計(jì)院核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川成都610041）

0 引言

反應(yīng)堆保護(hù)系統(tǒng)是核電廠重要的安全系統(tǒng)。它對(duì)于限制核電廠事故的發(fā)展、減輕事故后果，保證反應(yīng)堆及核電廠設(shè)備和人員的安全、防止放射性物質(zhì)向周?chē)h(huán)境的釋放具有十分重要的作用。它監(jiān)測(cè)電廠重要的參數(shù)，對(duì)安全信號(hào)進(jìn)行必要的采集、計(jì)算、定值比較、符合邏輯處理，當(dāng)選定的電廠參數(shù)達(dá)到安全系統(tǒng)整定值時(shí)，自動(dòng)地觸發(fā)反應(yīng)堆緊急停堆和/或驅(qū)動(dòng)專設(shè)安全設(shè)施動(dòng)作，以實(shí)現(xiàn)并維持電廠的安全停堆工況。

1 設(shè)計(jì)準(zhǔn)則

反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計(jì)須滿足以下設(shè)計(jì)準(zhǔn)則：

1.1 自動(dòng)保護(hù)

除非出現(xiàn)危險(xiǎn)工況到要求保護(hù)動(dòng)作之間有足夠長(zhǎng)的時(shí)間允許操縱員手動(dòng)操作，否則所有保護(hù)動(dòng)作都應(yīng)是自動(dòng)的。保護(hù)動(dòng)作一旦觸發(fā)就應(yīng)進(jìn)行到底。除非操縱員有意識(shí)地操作逐個(gè)部件來(lái)終止專設(shè)安全設(shè)施動(dòng)作。只有系統(tǒng)級(jí)驅(qū)動(dòng)信號(hào)被復(fù)位后，才允許操縱員進(jìn)行部件級(jí)手動(dòng)復(fù)位。部件復(fù)位的一個(gè)原因是如果發(fā)生安全功能的誤驅(qū)動(dòng)，可通過(guò)部件復(fù)位來(lái)終止安全功能。

1.2 單一故障準(zhǔn)則

反應(yīng)堆保護(hù)系統(tǒng)具有足夠的冗余度，保證不會(huì)因?yàn)閱我还收隙鴨适ПＷo(hù)功能。應(yīng)考慮發(fā)生在系統(tǒng)內(nèi)部的、發(fā)生在輔助系統(tǒng)中的以及由外部原因引起的故障。

即使在一個(gè)通道旁通用于試驗(yàn)或維護(hù)的情況下，安全系統(tǒng)內(nèi)一個(gè)可信的單一故障不會(huì)阻止系統(tǒng)級(jí)保護(hù)功能的觸發(fā)或完成。即使在安全系統(tǒng)因單一故障退化的情況下，系統(tǒng)也包含足夠的冗余以滿足性能要求。安全系統(tǒng)內(nèi)的單一故障不會(huì)導(dǎo)致II類工況事件發(fā)展成為III類工況事件或III類工況事件發(fā)展成為IV類工況事件。

冗余序列間的連接或與非安全系統(tǒng)間的信號(hào)連接包含隔離裝置。隔離裝置是經(jīng)過(guò)測(cè)試的，以確保如物理?yè)p壞、短路、開(kāi)路、輸出終端電壓故障等可信的故障不會(huì)反向傳播到隔離裝置的輸入端。隔離裝置確保非安全系統(tǒng)內(nèi)的可信單一故障不會(huì)降低安全系統(tǒng)的性能。

為防止共模故障，采用了諸如功能多樣性、物理隔離、試驗(yàn)以及在設(shè)計(jì)、生產(chǎn)、安裝和運(yùn)行過(guò)程中采取行政控制等附加方法。

保護(hù)系統(tǒng)的另一個(gè)設(shè)計(jì)目標(biāo)是將誤停堆和專設(shè)安全設(shè)施誤驅(qū)動(dòng)的概率降至最低。對(duì)那些故障后會(huì)產(chǎn)生錯(cuò)誤的停堆或?qū)ＴO(shè)安全設(shè)施觸發(fā)信號(hào)的重要電路提供了冗余。停堆四取二的驅(qū)動(dòng)邏輯以及停堆斷路器的設(shè)置防止了單一故障觸發(fā)停堆。對(duì)于專設(shè)安全設(shè)施觸發(fā)，每個(gè)部件的驅(qū)動(dòng)邏輯在符合邏輯內(nèi)部都是冗余執(zhí)行的。冗余的邏輯極大降低了了隨機(jī)單一故障導(dǎo)致誤驅(qū)動(dòng)的概率，也使得在定期試驗(yàn)期間專設(shè)驅(qū)動(dòng)邏輯同樣滿足單一故障準(zhǔn)則。用于觸發(fā)系統(tǒng)級(jí)專設(shè)安全設(shè)施的專用開(kāi)關(guān)利用激勵(lì)觸發(fā)的方式，極大降低了誤驅(qū)動(dòng)概率。

1.3 故障檢測(cè)

為了能檢測(cè)系統(tǒng)內(nèi)部的故障，并核實(shí)系統(tǒng)的性能參數(shù)與功能要求相一致，要求能夠?qū)Ψ磻?yīng)堆保護(hù)系統(tǒng)進(jìn)行定期試驗(yàn)。

對(duì)于從來(lái)自不同通道信號(hào)得到最終系統(tǒng)輸出信號(hào)所需的通道和裝置，提供了試驗(yàn)及校準(zhǔn)的能力。從保護(hù)系統(tǒng)傳感器輸入到被驅(qū)動(dòng)設(shè)備的試驗(yàn)通過(guò)一系列重疊連續(xù)的試驗(yàn)完成，大部分的試驗(yàn)可以在電廠滿功率期間進(jìn)行。當(dāng)滿功率情況下試驗(yàn)會(huì)擾亂電廠運(yùn)行或損壞設(shè)備時(shí)，這類設(shè)備的試驗(yàn)將在低功率或反應(yīng)堆停堆時(shí)進(jìn)行。

1.4 控制與保護(hù)的接口

控制系統(tǒng)與保護(hù)系統(tǒng)共用探測(cè)器時(shí)，為了防止控制系統(tǒng)的故障延伸到保護(hù)系統(tǒng)，信號(hào)傳輸通過(guò)隔離裝置。

來(lái)自保護(hù)通道的部分信息用于電廠控制。這樣設(shè)計(jì)的優(yōu)點(diǎn)在于：

1）控制采用與保護(hù)相同的測(cè)量信號(hào)。這樣使得控制系統(tǒng)的功能能夠維持運(yùn)行狀態(tài)和安全限值之間的裕度，減少誤停堆的可能性。

2）減少單個(gè)過(guò)程參數(shù)重復(fù)測(cè)量數(shù)量能夠減少全廠關(guān)鍵壓力邊界(如反應(yīng)堆冷卻劑回路，穩(wěn)壓器和蒸汽發(fā)生器)貫穿件的數(shù)量和復(fù)雜度。這樣也降低了電廠成本和維護(hù)要求，節(jié)省了空間，并提高了隔離性。

1.5 對(duì)共因故障的保護(hù)

提供使反應(yīng)堆保護(hù)系統(tǒng)免受共因故障影響的措施，減小這類同時(shí)影響冗余通道的故障的幾率。采用冗余裝置間的實(shí)體分隔和電氣隔離來(lái)限制外部事件的后果，考慮到共因故障可能起源于系統(tǒng)內(nèi)部，設(shè)計(jì)中采用功能多樣性原理。各冗余部分由獨(dú)立的電源供電。

為了防止反應(yīng)堆保護(hù)系統(tǒng)可能出現(xiàn)的共模故障對(duì)核電廠安全的影響，需設(shè)計(jì)獨(dú)立于反應(yīng)堆保護(hù)系統(tǒng)的多樣性驅(qū)動(dòng)系統(tǒng)，多樣性驅(qū)動(dòng)系統(tǒng)可以是非安全級(jí)的。

1.6 保護(hù)功能的手動(dòng)啟動(dòng)

系統(tǒng)級(jí)的每個(gè)保護(hù)動(dòng)作，可以在控制室手動(dòng)啟動(dòng)。手動(dòng)啟動(dòng)所用設(shè)備的數(shù)量必須盡量少，手動(dòng)啟動(dòng)與自動(dòng)動(dòng)作的共用設(shè)備應(yīng)盡量少。

1.7 旁通

只有當(dāng)余下的通道仍滿足單一故障準(zhǔn)則時(shí)，才允許為了試驗(yàn)或維修的目的將一個(gè)通道退出運(yùn)行（維修旁通）。如果這一原則不能滿足，只要通道不可用的時(shí)間足夠短，在這一時(shí)間內(nèi)仍在工作的通道的故障率與1/2系統(tǒng)在正常運(yùn)行中的故障率相當(dāng)，則允許一個(gè)通道旁通。根據(jù)反應(yīng)堆運(yùn)行工況的需要，允許閉鎖某些保護(hù)功能，稱為運(yùn)行旁通；當(dāng)允許條件不滿足時(shí)，運(yùn)行旁通自動(dòng)取消。

安全系統(tǒng)允許在維護(hù)、試驗(yàn)或維修時(shí)對(duì)監(jiān)測(cè)選定變量的保護(hù)通道進(jìn)行旁通。該旁通可在功率運(yùn)行期間進(jìn)行，并不會(huì)引起保護(hù)動(dòng)作的觸發(fā)。當(dāng)在功率運(yùn)行期間允許選定變量的一個(gè)通道被旁通一段時(shí)間時(shí)，系統(tǒng)仍滿足單一故障準(zhǔn)則。如果系統(tǒng)的某部分被行政旁通或退出運(yùn)行，在主控制室會(huì)有相應(yīng)的顯示。

在一個(gè)通道旁通時(shí)，保護(hù)系統(tǒng)不允許監(jiān)測(cè)同一變量的第二個(gè)通道被旁通。試圖旁通多個(gè)通道的操作是被閉鎖的。對(duì)于每個(gè)驅(qū)動(dòng)功能，運(yùn)行技術(shù)規(guī)范限制了一個(gè)通道允許被旁通或退出運(yùn)行的時(shí)間間隔。技術(shù)規(guī)格書(shū)中列出的時(shí)間是考慮了功能的冗余性和重要性確定的。

1.8 信息

與電廠狀態(tài)和反應(yīng)堆保護(hù)系統(tǒng)狀態(tài)有關(guān)的數(shù)據(jù)應(yīng)明確地、完整地并及時(shí)地顯示在控制室。這些顯示使操縱員能跟蹤保護(hù)系統(tǒng)的運(yùn)行，在需要的時(shí)候啟用手動(dòng)控制。

對(duì)于沒(méi)有自動(dòng)控制又是安全系統(tǒng)完成其安全功能所必需的手動(dòng)控制操作，為其提供信息的顯示儀表應(yīng)是安全系統(tǒng)的一部分，并且應(yīng)滿足對(duì)核電廠事故監(jiān)測(cè)儀表的要求。顯示儀表的設(shè)計(jì)應(yīng)使可能引起操縱員混淆的不明確顯示減到最少。

報(bào)警也能夠提醒操縱員電廠工況與正常運(yùn)行工況的偏離，使其能采取適當(dāng)?shù)膭?dòng)作以避免對(duì)安全系統(tǒng)的挑戰(zhàn)。

保護(hù)系統(tǒng)提供給操縱員持續(xù)旁通狀態(tài)的指示。狀態(tài)信息的顯示允許操縱員識(shí)別特定的旁通功能，并判斷邏輯是否已經(jīng)退化。除狀態(tài)指示外，對(duì)于一個(gè)給定的保護(hù)功能，如果試圖旁通一個(gè)以上的保護(hù)通道，主控室中將會(huì)產(chǎn)生報(bào)警。

1.9 獨(dú)立性

安全系統(tǒng)的靈活性使得冗余序列之間是實(shí)體分隔的。通道的獨(dú)立性貫穿整個(gè)系統(tǒng)，從傳感器一直到驅(qū)動(dòng)保護(hù)功能的裝置。冗余變送器之間也是實(shí)體分隔的。冗余通道的配線通過(guò)使用實(shí)體分隔、分析、隔離、試驗(yàn)或屏障的方式提供電路的獨(dú)立性。

設(shè)計(jì)的理念是最大化地利用測(cè)量?jī)x表的多樣性，因此保護(hù)系統(tǒng)持續(xù)監(jiān)測(cè)大量多樣化的系統(tǒng)變量。一般地，兩個(gè)或兩個(gè)以上多樣化的保護(hù)功能能夠在嚴(yán)重后果發(fā)生前結(jié)束一個(gè)事件。

對(duì)于保護(hù)系統(tǒng)冗余設(shè)備間的通訊，采用了隔離裝置以保持不同序列間的電氣隔離。同時(shí)隔離裝置也保證了安全設(shè)備和那些使用保護(hù)信號(hào)的非安全系統(tǒng)間的隔離。

2 結(jié)束語(yǔ)

反應(yīng)堆保護(hù)系統(tǒng)對(duì)電廠安全起到了至關(guān)重要的作用，在工程設(shè)計(jì)中應(yīng)遵循其各類設(shè)計(jì)準(zhǔn)則，以確保反應(yīng)堆的安全。

［1］GB 4083-2005核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則[S].