馮薇，徐波

（中核核電運行管理有限公司，浙江 海鹽 314300）

0 引言

反應堆保護系統(tǒng)（RPR）用于保護3大核安全屏障（燃料包殼、一回路壓力邊界和安全殼）的完整性；監(jiān)督反應堆的異常狀態(tài)，在設備故障、誤操作或其它異常工況下，觸發(fā)執(zhí)行機構(gòu)動作；防止反應堆狀態(tài)超過安全極限或降低超過安全極限的后果。

1 保護系統(tǒng)的組成及概述

廣義上講，反應堆保護系統(tǒng)應包括模擬處理部分（KRG和RPN）和邏輯處理部分（RPR）以及所有的專設安全設施系統(tǒng)（如RIS、RCV、ETY等）。通常所說的反應堆保護系統(tǒng)僅指從傳感器到執(zhí)行機構(gòu)輸入端之間的，能產(chǎn)生保護信號的模擬與邏輯處理部分。

秦山二期的反應堆系統(tǒng)的結(jié)構(gòu)框圖如圖1所示。

4套冗余的且相互獨立的保護儀表組（IP、IIP、IIIP、IVP）接受本通道傳感器的測量信號，經(jīng)過模擬量處理后與安全分析確定的整定值比較，當參數(shù)越限時，定值繼電器向邏輯處理部分輸出保護動作的啟動信號。

邏輯處理部分由完全相同、在實體和電氣上相互隔離的A、B兩列（RPA、RPB）組成。在每一列中，儀表通道來的開關(guān)量信號經(jīng)隔離器后輸入到兩個相同的X、Y邏輯單元，邏輯處理后的信號經(jīng)功率放大驅(qū)動繼電器，由繼電器觸點的串聯(lián)實現(xiàn)X與Y的“與”運算（特別地，以失電動作的停堆繼電器采用觸點并聯(lián)的形式實現(xiàn)“與”邏輯），最后經(jīng)輸出繼電器擴展后，向停堆斷路器或?qū)ＴO安全設施驅(qū)動器輸出保護動作。

對應于邏輯線路的A、B列，電廠相應有兩套完全獨立、冗余的執(zhí)行機構(gòu)，如有兩個串聯(lián)的停堆斷路器、兩個串聯(lián)的安全殼隔離閥等。一般情況下，一個系列動作即能完成要求的保護任務。另外，在X、Y邏輯單元之間設有信號處理電路，用于向主控室及電廠計算機輸出邏輯關(guān)鍵點的狀態(tài)，同時通過信號比較來檢測X、Y邏輯運算的一致性。

反應堆保護系統(tǒng)A/B兩個系列的機柜基本相同，只是B系列無ATWT柜。每個系列的機柜按功能分為隔離柜、邏輯柜、信號柜、輸出柜和T3試驗柜（A系列還包括ATWT柜），兩個系列共用一個T2試驗柜。下面對各類機柜分別介紹。

1.1 隔離柜

每個系列有4個隔離機柜，每個機柜對應一個測量通道。機柜內(nèi)的隔離組件有MU24和MU48兩種，按其接收的信號不同（過程儀表和核儀表信號或直接來自電廠的開/關(guān)量信號），分層布置。上層隔離組件接收來自限位器、接觸器的48V開關(guān)信號；中、下層隔離組件接收來自過程儀表和核儀表的24V停堆和專設開關(guān)量信號。

圖1 反應堆保護系統(tǒng)結(jié)構(gòu)示意圖Fig.1 Structure of the PWR RPR system

1.2 邏輯柜

每個系列共有4個邏輯柜，其中兩個屬于緊急停堆系統(tǒng)，另兩個屬于專設安全設施驅(qū)動系統(tǒng)。邏輯柜接受來自去耦組件、控制室的信號，這些信號在邏輯柜中由2/3、2/4矩陣和“與”、“或”等邏輯單元進行處理，向輸出柜和信號柜提供信號，同時將報警信號、計算機輸入信號經(jīng)過信號柜輸出。X與Y邏輯放在不同的機柜中。

1.3 信號柜

每個系列的停堆系統(tǒng)和專設安全設施驅(qū)動系統(tǒng)各有兩個信號柜，接受的信號大部分來自邏輯柜。信號柜采集、處理各種功能信號、故障安全信號和試驗所需的信號。所謂功能信號是指為了監(jiān)測電廠運行工況所需的各種數(shù)據(jù)，這類信號送到控制室、應急停堆盤系統(tǒng)指示或報警，并送計算機。故障安全信號指由于安全故障使半邏輯X、Y對應信號之間不一致，在信號柜中，將X、Y來的對應信號相互比較，當它們不一致時給出“不符合”報警，這樣可以及早發(fā)現(xiàn)系統(tǒng)內(nèi)的故障?！安环稀毙盘査椭骺刂剖?。

1.4 輸出柜

停堆系統(tǒng)有一個輸出柜，專設安全設施驅(qū)動系統(tǒng)有兩個輸出柜。輸出柜有8種組件（SC01～SC08），接受X、Y兩個邏輯通道送來的信號，分別經(jīng)功率放大后驅(qū)動各自對應的輸出繼電器，將輸出繼電器的接點進行組合(串聯(lián)或并聯(lián))，實現(xiàn)X、Y兩個邏輯通道的“與”運算，其輸出去控制停堆斷路器或安全驅(qū)動器的動作。

1.5 試驗柜

反應堆保護系統(tǒng)的兩個系列共用一個T2試驗柜，編號為RPR900AR。

停堆系統(tǒng)和專設安全設施驅(qū)動系統(tǒng)各有一個T3試驗柜，完成有關(guān)輸出功能的試驗。

1.6 ATWT柜

ATWT系統(tǒng)是為了解決預期瞬態(tài)不停堆而增設的一套系統(tǒng)（ATWT是預期瞬態(tài)不停堆的英文縮寫：Anticipated Transient Without Trip）。它不完全屬于保護系統(tǒng)，也不必完全遵守保護系統(tǒng)必須遵守的設計原則（如冗余原則）[1]。

ATWT系統(tǒng)與緊急停堆系統(tǒng)在設備上體現(xiàn)了多樣性。緊急停堆系統(tǒng)采用CMOS器件作為主要的邏輯處理器件，而ATWT系統(tǒng)則采用繼電器構(gòu)成多種邏輯線路。ATWT（Anticipated Transients Without Trip--預期瞬態(tài)不停堆,亦稱ATWS）緩解系統(tǒng)作為緊急停堆系統(tǒng)的后援，是在反應堆運行期間，如果預計的瞬發(fā)事件要求緊急停堆，而同時保護系統(tǒng)因共模故障而完全喪失停堆能力時，執(zhí)行最后的安全功能。它監(jiān)測的過程參數(shù)是蒸汽發(fā)生器（SG）的主給水流量。在中間量程的核功率（2/2）大于30%FP時，若每臺SG的主給水流量（2/3）均低于6%NF（117t/h），則ATWT動作：停堆、停汽輪機及啟動電動、汽動輔助給水泵等。

ATWT系統(tǒng)在結(jié)構(gòu)上可分為模擬通道與邏輯電路兩部分，其中前者又可分為監(jiān)測參數(shù)和功率允許兩個通道，它們分別位于保護模擬組ⅣP的KRG043AR機柜（占用兩個機箱位置，稱之為ATWT小機箱）和堆外核測系統(tǒng)的控制柜RPN005AR；后者則安置于反應堆保護系統(tǒng)A系列一側(cè)的獨立的RPA700AR機柜中。為了滿足“多樣性”的設計要求，ATWT采用了不同于反應堆保護系統(tǒng)的元器件和電路模式，監(jiān)測參數(shù)通道主要采用了Foxboro—spec200 MICRO控制組件，邏輯處理和驅(qū)動輸出則通過繼電器來實現(xiàn)。

2 故障分析

通過上述設備介紹可知，電子元器件的功能是否良好、保護單元是否穩(wěn)定、配電是否正常與保護系統(tǒng)的正常運行息息相關(guān)。在本節(jié)對這3類常規(guī)故障進行分析討論。

2.1 元器件故障

反應堆保護系統(tǒng)設備屬于1E級，列為抗震I類，對設備的可靠性有很高的要求。KRG過程儀表采用Foxboro—spec200組裝型卡件；核儀表RPN采取軟硬件結(jié)合的集成數(shù)字模塊化設計，由法國特有的Nevia網(wǎng)絡傳輸協(xié)議技術(shù)實現(xiàn)系統(tǒng)內(nèi)部的統(tǒng)一管理；在RPR系統(tǒng)中，隔離器采用光電耦合管、邏輯組件采用CMOS集成器件、功率驅(qū)動元件采用晶體三極管、輸出部件采用電磁繼電器。對于系統(tǒng)內(nèi)部故障報警主要介紹兩類：電源柜故障報警和棒位測量故障報警。綜上所述，根據(jù)二期保護系統(tǒng)電路上的特點，對電路上常出現(xiàn)的元器件失效模式進行分析。

圖2 模擬通道與邏輯單元的接口電路Fig.2 Interface circuit of analog channel and logic unit

模擬通道與邏輯單元的接口電路的元氣件故障：對于模擬通道與邏輯單元的接口電路（見圖2），在正常狀態(tài)下定值繼電器的觸點閉合（激勵報警的參數(shù)除外），光耦輸入級構(gòu)成回路而使光耦導通。當觸點不能可靠閉合，例如錯誤的測量方式（用電阻檔測量），都可能造成隔離卡件的MU+~MU-之間短接。如果MU+與MU-短接，那么R04上就有2.3W，而實際選用的是1W，很可能造成短接，損壞隔離卡件甚至上游設備。

邏輯單元中CMOS片子及輸出卡件繼電器故障：邏輯單元中CMOS片子故障而輸出恒為低電平，或功率驅(qū)動單元中后級功放管失效導通（停堆為失效截止），都能對系統(tǒng)產(chǎn)生一安全故障。反之，若定值繼電器的觸點粘連（失效率40%）、或光耦輸出級短路（失效率75%）、或CMOS片子故障輸出恒為高電平、或后級功放管失效截止（停堆為失效導通）時，則對系統(tǒng)產(chǎn)生了一個非安全故障。輸出繼電器自身的故障只影響它對應的輸出。

2.2 單元故障分析

首先任一模擬通道出現(xiàn)故障，在很大程度上，將同時影響邏輯部分的A、B兩列（具體地說，定值器及其以前部分的故障，會同時影響A、B兩列；接口電路的故障只影響相關(guān)的一列）。若是安全故障，則使邏輯符合度降低，1/2符合邏輯的保護參數(shù)可能會因此而誤動。若是非安全故障，則會造成系統(tǒng)級的安全性降低。當RPR一列中的X或Y邏輯單元出現(xiàn)安全故障時，雖不會導致系統(tǒng)級的輸出，但系統(tǒng)的可靠性大大降低；當出現(xiàn)非安全故障時，會造成本系列輸出級的拒動，對于保護系統(tǒng)來說，這將是致命的。

2.3 電源故障分析

在保護系統(tǒng)的電源故障分析中，應當區(qū)分是局部失電（如一個組件，一個機柜）還是總體失電（如整個LNC與LCA失電），它們導致的結(jié)果是不同的。對于局部失電，由于系統(tǒng)設計中廣泛采用了故障安全準則，故障安全準則是指當系統(tǒng)的一個部件或子系統(tǒng)發(fā)生故障時，它們的輸出端應處于觸發(fā)保護動作的狀態(tài)。緊急停堆系統(tǒng)的設計應當盡量保證當元件故障或失去動力源時，都能使系統(tǒng)趨于保護動作的狀態(tài)，但安全故障率要限制在最低水平。而專設安全設施驅(qū)動系統(tǒng)失去動力電源時，很可能造成拒動。目前二期保護3/4#機組系統(tǒng)AC220V不間斷電源的供電模式為：LNA、LNC并聯(lián)供給RPR A列；LNB、LND并聯(lián)供給RPR B列；整流后的DC12V供給邏輯電路、DC24V向功率驅(qū)動電路和繼電器供電。一路AC220V不間斷電源故障是不會觸發(fā)保護動作的。由于兩路母線共同失電的可能性很小，因此，不再具體分析LNA、LNC、LNB、LND兩路母線共同失電后可能產(chǎn)生的后果。下面，分別闡述LCC、LCA、LCB、LNE失電后與保護系統(tǒng)安全功能造成的后果。

2.3.1 LCC失電

RPR的48VDC電源LCC分別送緊急停堆系統(tǒng)（對應RPA/B 004UD、005UD、006UD）以及專設安全設施驅(qū)動系統(tǒng)（對應RPA/B 005UD）。004UD、006UD任意一路失電，不會產(chǎn)生停堆信號。對005UD失電進行分析：在3、4#機組中，005UD用于P4/主泵斷路器脫扣/冷凝器故障/GCT手動閉鎖。當RPR 005UD失電時，首先會由于誤發(fā)P4信號而導致汽機停機，但因“主泵斷路器脫扣停堆”的邏輯由“1取1”修改為“3取2”（其三路輸入信號分別由004UD、005UD、006UD配電），故不會由該參數(shù)來觸發(fā)停堆。在主蒸汽安全閥改型后的汽機停機停堆邏輯中，“冷凝器無故障”、“冷凝器可用”、“GCT手動閉鎖”等輸入信號也是由RPR 005UD配電的，隨著005UD的喪失，這些信號也均處于觸發(fā)狀態(tài)。在核功率大于10%FP的工況下，當汽機停機完畢其狀態(tài)反饋形成C8信號后，滿足了停堆條件——“C8& P10 &（冷凝器故障+冷凝器不可用+GCT手動閉鎖）”，這時將由該邏輯觸發(fā)停堆。綜上所述，在機組滿功率運行期間，RPR 005UD失電而雖然會誤發(fā)P4信號，但也滿足停機信號觸發(fā)后隨即產(chǎn)生停堆信號的安全故障準則。

2.3.2 LCA、LCB失電

DC48V電源LCA、LCB以多路進線的方式分別供電給RPR的A、B兩列，作為手動控制（手動觸發(fā)、手動復位和閉鎖及KSC/KPR切換等）、自保持的專設輸出繼電器（SI、CS、CIA、CIB信號）、T3試驗及報警信號的電源；此外LCA、LCB還分別是A、B兩列的停堆斷路器和專設安全設施的控制電源，失去它，將引起本列的停堆斷路器脫扣和專設安全設施不能自動啟動。

2.3.3 LNE/LCC失電與ATWT

ATWT系統(tǒng)的儀表部分（KRG機柜）由LNE供電，邏輯處理和輸出部分（ATWT機柜）由LCC供電。監(jiān)測參數(shù)通道向邏輯電路的觸發(fā)信號為有源觸點，所串電源亦是LCC。LCC在ATWT機柜中分為多路UD電源。其中724UD為中間量程繼電器供電，當724UD故障。且主給水流量低信號存在，則可能引起ATWT誤動作。當LCC電源故障時，ATWT喪失保護功能。

圖3 ATWT系統(tǒng)原理圖Fig.3 The principle diagram of ATWT

LNE母線電壓經(jīng)過一個電氣開關(guān)送到KRG機柜中的端子排上，再經(jīng)過兩個保險管后，并聯(lián)送往兩個ATWT小機箱的電源組件，經(jīng)降壓整流處理后，為ATWT小機箱提供±15V的工作電源。排除設備故障如開關(guān)接觸不良等原因后，兩個ATWT小機箱同時失電的最大可能來自于它們的220V工作電源喪失。由于設置了閉鎖電路，因此不會引起ATWT誤動作。只有當LNE母線失電時，才會引起ATWT誤動作。

3 保護系統(tǒng)缺陷分析及建議方案

秦山地區(qū)反應堆保護系統(tǒng)已有多年的運行經(jīng)驗，且掌握了常規(guī)故障處理與風險分析的方法，是否已經(jīng)完全規(guī)避了可能出現(xiàn)的安全隱患，保護系統(tǒng)是否存在固有缺陷，下面就反應堆保護系統(tǒng)停堆斷路器脫扣信號進行分析。

3.1 安全隱患分析

反應堆保護系統(tǒng)停堆斷路器由兩臺主斷路器和兩臺旁通斷路器組成，如圖4所示。兩臺主斷路器串聯(lián)連接，按二取一方式動作，每臺主斷路器對應保護系統(tǒng)的一個系列。反應堆正常運行時，它們是閉合的，當A列和B列中的任何一列動作時，對應的主斷路器斷開。只要主斷路器有極短時間的釋放，控制棒就能下落，從而引起反應堆停堆。而旁通斷路器在反應堆正常運行時是斷開的，只有在主斷路器進行定期試驗時是閉合的，在試驗結(jié)束后要把旁通斷路器斷開并抽出。這4個斷路器的結(jié)構(gòu)完全一樣，它們有通電釋放線圈、失電釋放線圈和手動復位線圈。

自動停堆信號作用于主斷路器和旁通斷路器的失電釋放線圈。手動停堆信號同時作用于主斷路器和旁通斷路器的通電釋放線圈和失電釋放線圈。發(fā)電機組送出的三相交流電源通過兩個串聯(lián)的主斷路器送到控制棒驅(qū)動機構(gòu)的配電機柜。只要有一個斷路器打開，控制棒驅(qū)動機構(gòu)就失去電源，控制棒靠重力落入堆芯使反應堆停閉。與此同時，停堆斷路器跳閘，P4信號產(chǎn)生。

圖4 停堆斷路器原理圖Fig.4 The principle diagram of shutdown circuit breaker

圖5 1/2#機組P4邏輯圖Fig.5 The principle diagram of P4 in unit 1 and 2

P4信號主要作用于停堆信號產(chǎn)生后連鎖產(chǎn)生停機信號。目前秦山地區(qū)1/2#機組的P4信號采用電流測量法。即P4并不直接反映主斷路器的狀態(tài)，而是通過閾值繼電器檢測中性線電流（其簡要邏輯見圖5），即采用閾值繼電器來產(chǎn)生P4信號。通常情況下旁通斷路器是打開的，此時P4信號僅由主斷路器的狀態(tài)決定，其符合邏輯已降至“1取1”。閾值繼電器組件利用霍爾元件檢測流過斷路器機柜的260V棒控電源的中線電流，正常情況下閾值繼電器動作，當中線電流小于設定的閾值時觸發(fā)閾值繼電器從動作到返回狀態(tài)，便產(chǎn)生了P4動作信號。而閾值繼電器組件有許多電路器件組成，包含電路板、繼電器、熔絲等，任何一個元器件的損壞或不完善，都有可能誤發(fā)P4信號。此外，該閾值繼電器組件回路在正常運行期間無法通過試驗來驗證其可靠性，所以也不能實現(xiàn)及時發(fā)現(xiàn)問題并及時解決。因此，對于閾值繼電器故障而引發(fā)的P4信號提前較難做出預防。

擴建機組在原有機組的基礎上增加了多路配電。目的是提高P4信號的可靠性，但是否還存在一定的安全隱患，由接線圖可以分析出：主斷路器的1/2 P4信號302MUX/Y是經(jīng)過斷路器同一副觸點的兩個并聯(lián)信號。旁通斷路器的1/2 P4信號323MUX/Y連接方式與主斷路器相同。且302MUX/Y，323MUX/Y均由005UD配電。通常情況下旁通斷路器是打開的，此時P4信號僅由主斷路器的狀態(tài)決定，其符合邏輯已降至“1取1”。盡管停堆斷路器自身的可靠性較高，其輔助觸點的狀態(tài)可直接反映斷路器的閉合或斷開，但由于RPR采用了“零電平觸發(fā)有效”的負邏輯體系，只要主斷路器信號輸入通道發(fā)生任何形式的“安全故障”（如接觸不良、端子松動、或信號電源005UD喪失等），都將誤發(fā)P4信號。

3.2 建議方案

擴建機組RPR系統(tǒng)內(nèi)可作為信號配電的電源有004UD、005UD、006UD 3路，而主斷路器和旁通斷路器的信號均采用了005UD，這看起來可靠性似乎并不算高。事實上，正因為旁通斷路器通常情況下是打開的（其輔助觸點也相應打開），不論采用哪一路UD，信號回路總是處于開路狀態(tài)，故沒有區(qū)別。為了體現(xiàn)多樣性，可以對主斷路器的信號采用004UD或006UD配電。但是當004UD或006UD失電時，由于“冷凝器無故障”、“冷凝器可用”、“GCT手動閉鎖”等信號采用005UD配電而未觸發(fā)，不滿足汽機停機停堆邏輯條件，因此不能實現(xiàn)緊急停堆，不符合保護系統(tǒng)所要求的故障安全準則。

綜上所述，按照目前的設計，僅僅依靠配電的多樣性，不但不能提高P4信號的可靠性，反而無法實現(xiàn)停堆。由于主斷路器以及旁通斷路器的1/2 P4信號302MUX/Y是經(jīng)過斷路器同一副觸點的兩個并聯(lián)信號，那么，一旦觸點誤動作，將不可避免地產(chǎn)生P4信號。但若將并聯(lián)的X/Y邏輯通過增加停堆斷路器觸點的方式分開，且采用不同的UD電源配電的模式（主泵斷路器脫扣信號已經(jīng)進行類似技改），可大大降低接觸不良或電源意外喪失誤發(fā)的P4信號，降低人因失誤的概率。

4 結(jié)論

反應堆保護系統(tǒng)的不正常工作直接影響核電站的安全穩(wěn)定運行，這就要求系統(tǒng)工作人員對保護系統(tǒng)有一個充分地認識，并且在遇到系統(tǒng)故障時，要有正確的響應措施。因此，在工作過程中工作負責人必須重視該系統(tǒng)的任何故障，熟悉改進項的意義，實驗前后做好風險分析，以提高機組的安全穩(wěn)定運行。

[1]戚屯鋒,王奇文,洪源平,等.儀控培訓之系統(tǒng)功能篇(上冊)[Z].中核集團核電秦山聯(lián)營有限公司,2007,1:38-39.