周炳鑒

(中核核電運(yùn)行管理有限公司，浙江海鹽 314300)

在方家山核電項(xiàng)目的縱深防御設(shè)計中，基于TRICON 平臺的反應(yīng)堆保護(hù)系統(tǒng)(RPS)實(shí)現(xiàn)了緊急停堆系統(tǒng)和專設(shè)安全設(shè)施驅(qū)動系統(tǒng)的功能。RPS 系統(tǒng)采用了基于功能多樣性的應(yīng)用軟件多樣性設(shè)計，即對于緊急停堆系統(tǒng)，針對同一事故的不同保護(hù)參數(shù)分配在兩個不同的多樣性子組中。而對于專設(shè)安全設(shè)施驅(qū)動系統(tǒng)，將所有的專設(shè)保護(hù)功能分成兩部分，分別由兩個不同的多樣性子組實(shí)現(xiàn)。由于一個子組的應(yīng)用軟件共因故障導(dǎo)致其變?yōu)椴豢捎脮r，另一個不受影響的子組還能提供相同或類似的保護(hù)功能，從而提供了應(yīng)對RPS 應(yīng)用軟件共因故障的手段。

由于某些假象的、不可預(yù)知的軟件錯誤或者系統(tǒng)層面的故障導(dǎo)致整個RPS 系統(tǒng)發(fā)生軟件共因故障時，上述兩個多樣性子組的功能均將失去，這時由多樣化保護(hù)系統(tǒng)(DAS)提供必要的保護(hù)。多樣化保護(hù)系統(tǒng)(DAS)設(shè)計在發(fā)生設(shè)計基準(zhǔn)事故時疊加RPS 系統(tǒng)軟件故障投入保護(hù)功能，因此，DAS 系統(tǒng)的使用必然對核電站的正常運(yùn)行、事故處理產(chǎn)生一定的影響。本文從DAS 系統(tǒng)的功能及設(shè)計特點(diǎn)著手，分析DAS 系統(tǒng)在正常運(yùn)行時相關(guān)監(jiān)視、操作、試驗(yàn)及事故后的響應(yīng)及處理，提出電廠正常運(yùn)行規(guī)程及事故規(guī)程的修改建議。

1 DAS 系統(tǒng)功能及設(shè)計特點(diǎn)

DAS 系統(tǒng)是一個自動的邏輯保護(hù)系統(tǒng)，它包括一套裝置，根據(jù)核電廠一些物理參數(shù)的變化，通過向控制棒驅(qū)動機(jī)構(gòu)電源柜發(fā)出反應(yīng)堆緊急停堆指令以及向安全驅(qū)動器發(fā)出專設(shè)驅(qū)動指令，從而在RPR 系統(tǒng)發(fā)生軟件共因故障而無法提供所需的保護(hù)功能時，與有關(guān)的手動保護(hù)功能一起將反應(yīng)堆維持在安全狀態(tài)。

1.1 DAS 系統(tǒng)保護(hù)功能

(1)通過驅(qū)動控制棒驅(qū)動機(jī)構(gòu)電源柜切斷控制棒動力電源，使控制棒插入堆芯;(2)汽機(jī)剎車;(3)安全注入;(4)蒸汽管道隔離。

1.2 設(shè)計特點(diǎn)

1.2.1 系統(tǒng)采用冗余設(shè)計

通過雙路UPS 電源供電、雙處理器配置、配置卡件配置的冗余度、接收和發(fā)出信號的冗余等設(shè)計手段，提供系統(tǒng)的可靠性及性能，防止部件故障影響到系統(tǒng)的功能。

1.2.2 不需要滿足單一故障準(zhǔn)則

由于不考慮DAS 系統(tǒng)與主保護(hù)系統(tǒng)同時失效，因此，系統(tǒng)設(shè)計不要求DAS 滿足單一故障準(zhǔn)則，意味著即使DAS 系統(tǒng)發(fā)生了故障不能提供保護(hù)功能時，主保護(hù)系統(tǒng)也可以提供相應(yīng)的保護(hù)。

(1)DAS 系統(tǒng)所發(fā)出的所有動作信號均設(shè)計成得電動作，機(jī)柜或者卡件失電不會觸發(fā)緊急停堆。DAS 系統(tǒng)送出四路緊急停堆信號到控制棒驅(qū)動機(jī)構(gòu)電源柜，在電源柜中，經(jīng)2/4 處理后，產(chǎn)生觸發(fā)控制棒保持勾爪線圈失電的“零電流”后，從而使保持勾爪打開，導(dǎo)致控制棒插入堆芯觸發(fā)緊急停堆;(2)DAS 系統(tǒng)輸出到專設(shè)安全設(shè)施驅(qū)動器的控制信號與反應(yīng)堆保護(hù)系統(tǒng)相同，采用的是有電動作的原則。采用有電動作的原則是因?yàn)閷ＴO(shè)安全設(shè)施驅(qū)動器的動作通常是有源的，同時也考慮到誤動的風(fēng)險;(3)DAS 系統(tǒng)邏輯表決設(shè)計成最終退化為不發(fā)出動作信號;(4)當(dāng)處理器與輸出卡件之間的通訊中斷時，輸出卡件不輸出動作信號。

1.2.3 降低DAS 系統(tǒng)誤動作以及提高可靠性

(1)對應(yīng)來自不同傳感器的輸入信號，DAS 系統(tǒng)采用不同的輸入卡件采集。從而單個卡件的故障不會導(dǎo)致全部輸入信號的故障，也不會導(dǎo)致系統(tǒng)誤動作;(2)DAS 系統(tǒng)輸出的4 路緊急停堆信號分別從不同的4 塊輸出模塊送出;(3)DAS 系統(tǒng)輸出用于啟動安注的信號從不同的卡件輸出，單個輸出信號的故障不會啟動整個安注系統(tǒng)。

1.2.4 與反應(yīng)堆保護(hù)系統(tǒng)的隔離

DAS 系統(tǒng)設(shè)計成與反應(yīng)堆保護(hù)系統(tǒng)之間保證最大限度的實(shí)體分隔與電氣隔離。DAS 系統(tǒng)不接收經(jīng)反應(yīng)堆保護(hù)系統(tǒng)軟件處理后的信號，同時也不送出信號參與反應(yīng)堆保護(hù)系統(tǒng)軟件的處理。

1.2.5 DAS 系統(tǒng)具備定期試驗(yàn)?zāi)芰?/p>

邏輯部分及處理模塊應(yīng)具備系統(tǒng)自檢的能力。輸出通道應(yīng)進(jìn)行定期試驗(yàn)。

2 DAS 系統(tǒng)流程

DAS 上端接收儀表組的信號，進(jìn)行邏輯處理，負(fù)荷邏輯組合的要求時給出保護(hù)動作觸發(fā)信號。DAS 下端連接控制棒驅(qū)動機(jī)構(gòu)電源柜和優(yōu)先邏輯處理模塊進(jìn)而連接到安全驅(qū)動器，它們接收保護(hù)動作觸發(fā)信號，完成保護(hù)功能。

3 DAS 系統(tǒng)運(yùn)行分析

3.1 機(jī)組正常工況下DAS 系統(tǒng)運(yùn)行分析

機(jī)組正常運(yùn)行工況下，應(yīng)確認(rèn)DAS 系統(tǒng)無報警出現(xiàn)，閉鎖及復(fù)位開關(guān)狀態(tài)正確。為保證DAS 系統(tǒng)的功能滿足要求，應(yīng)定期對系統(tǒng)進(jìn)行試驗(yàn)(每兩個月)。由于DAS 系統(tǒng)在設(shè)計時，考慮了獨(dú)立于RPS 系統(tǒng)的P4、P7、P13、P10、P11 等允許信號，以保證完整的保護(hù)功能，這就需要在不同的功率階段，對上述信號的正確性進(jìn)行確認(rèn)，確保相關(guān)的保護(hù)功能已經(jīng)投入，上述信號的檢查應(yīng)體現(xiàn)在機(jī)組的正常啟停規(guī)程中。對于DAS 的穩(wěn)壓器低壓安注功能，在P11 信號出現(xiàn)后，應(yīng)當(dāng)對安注功能進(jìn)行閉鎖，防止繼續(xù)降壓導(dǎo)致的誤安注，上述操作同樣應(yīng)增加至機(jī)組的正常啟停規(guī)程中。

3.2 事故工況下DAS 系統(tǒng)運(yùn)行分析

3.2.1 事故工況下RPS 系統(tǒng)動作正常

(1)機(jī)組停堆和汽機(jī)停機(jī)工況。這種情況下，RPS 系統(tǒng)動作正常，反應(yīng)堆停堆和汽機(jī)停機(jī)。由于DAS 系統(tǒng)的動作定值相對于RPS 偏保守，對于功率量程中子注量率高、環(huán)路流量低、穩(wěn)壓器壓力低和穩(wěn)壓器流量高等會觸發(fā)DAS 停堆停機(jī)信號的情況，如果保護(hù)參數(shù)進(jìn)一步惡化，則DAS 系統(tǒng)保護(hù)啟動，但之前RPS 保護(hù)已啟動，DAS 的保護(hù)啟動無影響。使用事故診斷通用規(guī)程(DEC)可以引導(dǎo)處理這類工況。

(2)安全注入工況。RPS 動作正常，安全注入啟動，進(jìn)入安注后的事故診斷規(guī)程(A0)，進(jìn)行安注后的自動動作確認(rèn)，如果安注是因?yàn)榉€(wěn)壓器壓力低引起，并且壓力進(jìn)一步降低，則DAS 系統(tǒng)發(fā)出安注信號，是A 列的專設(shè)設(shè)施動作，但RPS 的信號優(yōu)先于DAS 的動作信號(在優(yōu)先邏輯模塊PLM 中實(shí)現(xiàn))，實(shí)際上DAS 信號不起作用，但5 分鐘后，隨著RPS 系統(tǒng)的安注復(fù)位，應(yīng)及時對DAS 系統(tǒng)進(jìn)行安注復(fù)位，以允許手動控制A 列的專設(shè)設(shè)施。在A0 規(guī)程中應(yīng)增加DAS 系統(tǒng)的安注復(fù)位操作和安注狀態(tài)指示等內(nèi)容。

3.2.2 事故工況下RPS 系統(tǒng)動作不正常(軟件共因故障)

(1)機(jī)組停堆和汽機(jī)停機(jī)工況。反應(yīng)堆保護(hù)系統(tǒng)由于軟件共因故障未能正常動作時，功率量程中子注量率高、環(huán)路流量低、穩(wěn)壓器壓力低和穩(wěn)壓器流量高等保護(hù)信號會觸發(fā)DAS 系統(tǒng)的停堆停機(jī)動作，驅(qū)動控制棒驅(qū)動機(jī)構(gòu)電源柜切斷控制棒動力電源，使控制棒插入堆芯。由于DAS 不會觸發(fā)停堆斷路器斷開，應(yīng)及時手動停堆，以斷開停堆斷路器，觸發(fā)P4 信號，使相關(guān)的聯(lián)鎖保護(hù)生效。手動停堆的操作在DEC 規(guī)程中應(yīng)明確。

(2)安全注入工況。反應(yīng)堆保護(hù)系統(tǒng)由于軟件共因故障未能正常動作時，穩(wěn)壓器壓力低信號使DAS 系統(tǒng)觸發(fā)安注，A 系列專設(shè)安全設(shè)施啟動，操縱員應(yīng)根據(jù)實(shí)際情況，判斷是否需要手動啟動安注，以投入兩列專設(shè)安全設(shè)施。

3.3 DAS 系統(tǒng)誤動分析

盡管DAS 系統(tǒng)在設(shè)計中已經(jīng)采取了一系列防止誤動的措施，但不可避免地會發(fā)生系統(tǒng)誤動的情況。實(shí)際在系統(tǒng)動作后，不管是否誤觸發(fā)，首先應(yīng)確認(rèn)動作序列正常，及時使用A0 及DEC 規(guī)程，穩(wěn)定機(jī)組狀態(tài)，防止因誤干預(yù)導(dǎo)致安全功能的不可用，影響反應(yīng)堆安全，待機(jī)組狀態(tài)穩(wěn)定后，再判斷DAS 是否誤動，采取進(jìn)一步的措施。

4 總結(jié)

采用DAS 系統(tǒng)后，可以在反應(yīng)堆保護(hù)系統(tǒng)軟件共因故障的情況下，提供反應(yīng)堆保護(hù)功能。但DAS 系統(tǒng)的使用，增加了很多控制邏輯和信號，不可避免地增加了很多運(yùn)行及事故處理時的問題。本文通過上述分析，給出在事故后的處理建議及對運(yùn)行規(guī)程的修改建議。

［1］田露.核電安全系統(tǒng)軟件共因故障的縱深防御［J］.中國核電，2012(3).