辽宁红沿河核电有限公司 辽宁 大连116000
摘要:反应堆保护系统是核电站的重要安全系统,压水堆核电反应堆保护系统是基于三菱的数字化分布式控制系统平台MELTAC,本文结合该平台的设计特点,对该压水堆核电项目数字化反应堆保护系统的总体结构和设计特点进行了简要介绍。
关键词:反应堆保护 MELTAC 结构
0引言:
反应堆保护系统是核电站重要的安全系统。反应堆保护系统的设计和实现须满足独立性和多样性,并遵守单一故障准则。反应堆保护系统在探测到异常情况时,通过冗余的表决逻辑产生保护信号,送至反应堆紧急停堆系统或其它安全系统,触发紧急停堆或专设安全设施动作,以限制事故的扩大和减轻事故后果,保证人员、设备和环境的安全。三菱的数字化分布式控制系统平台MELTAC在国内多压水堆核电项目有广泛运用实现。本文对该反应堆保护系统的总体结构、冗余方式、定期试验以及故障监测等内容进行介绍。
一、总体结构
国内压水堆核电项目数字化反应堆保护系统的总体结构如图1所示。包含反应堆保护机柜(RPC单元)、专设安全驱动机柜(ESFAC)、安全逻辑处理机柜(SLC)等。为了满足单一故障准则,系统采用了多重性的设计。整个系统由4个保护组(IP、IIP、IIIP、IVP)和2个逻辑系列(A、B)组成,示例图如下:
二、设计框架介绍
1、RPC功能介绍
反应堆保护机柜功能由4个保护通道的反应堆保护机柜RPC实现。为了满足独立性要求,4个保护组的RPC机柜分布在4个隔离的电气厂房内,其供电分别来自安全级配电盘LNA、LNB、LNC、LND。为了应对共模故障,系统采用了功能多样性设计,即将保护参数分成2个子系统(子系统1和子系统2),分别由不同的CPU单元进行处理。两个独立的子系统分别执行各自的保护功能。每个子系统都包含两个主备冗余的CPU单元,执行相同的功能。
1E级传感器或核仪表系统RPN的信号由RPC机柜内的智能型模拟量或开关量信号IO卡件采集,采集的数据信号在CPU组态里进行逻辑判断,产生“局部脱扣”的信号。一个子系统产生的“局部脱扣”信号同时通过光纤传送到其他三个保护通道的同组子系统中。每个子系统对四个保护通道送来的“局部脱扣”信号进行逻辑表决处理,最终产生触发停堆断路器动作的信号。
为了便于对保护系统的试验和维修,亦提供了手动进行“通道旁通”和“参数旁通”的手段。例如:当需对某个通道进行试验或维修时,可通过设置在现场机柜上的旁通开关,将该通道置于“旁通”状态,置于“旁通”状态后,该通道对应的一对停堆断路器保持闭合,同时通过ESFAC送往SLC或NCDCS参与设备控制的信号被闭锁,以避免可能的设备误动作。
二、设计特点
该压水堆核电项目数字化反应堆保护系统实现了旁通功能、保护参数的功能多样性分组等设计,同时还采取了一些多样性的设计。这些设计特点保证了保护系统本身的可靠性,进而提高电厂的可利用率和经济性。
(一)旁通功能实现
IEEE(603-1998)规定,当一个保护通道或保护通道仪表因故障或试验而退出运行时,安全系统必须保持完成其安全功能的能力,剩余的保护通道仍然要满足单一故障准则,该压水堆核电项目反应堆保护系统设计了旁通功能,包括通道旁通和参数旁通等,在实现上述要求的同时,最大程度地保证电厂的可用性。
(二)故障安全设计
故障安全设计是指在控制系统设备或系统发生故障后,系统本身依靠固有特性,自动导向安全一方,防止出现灾难性后果,该压水堆核电项目反应堆保护系统的故障安全设计主要体现在以下几个方面:
第一,停堆断路器:停堆断路器设计有两组跳闸线圈,即“失电跳闸线圈”和“得电跳闸线圈”。反应堆保护系统产生的自动停堆信号动作“失电跳闸线圈”,停堆信号经输出模件作用于“失电跳闸线圈”的供电回路,机组正常运行时输出高电平使“失电跳闸线圈”的供电回路闭合,当CPU单元至输出模件的通讯故障或者通讯模件本身出现失电故障,“失电跳闸线圈”的供电回路将断开,使停堆断路器动作跳闸。
第二,接口模块(PIF卡):对安全级设备的控制命令通过PIF卡送至设备的执行机构,当PIF卡出现失电故障时,控制命令不再发送至设备执行机构,以防止安全级设备的误动作。同时,当CPU单元与PIF卡之间的通讯出现故障时,PIF卡将保持上一有效输出值,使设备维持在当前状态。
第三,DCS缺省值:缺省值是指DCS在监测到信号失效后,DCS内部对该失效信号采取的替代值。对于反应堆保护系统所涉及的信号,信号失效后保护逻辑自动降级,该部分信号一般不需设置缺省值。但是,对于同时参与机组控制的保护通道仪表信号,需进行缺省值设置,使得在信号失效时,预先设定的缺省值参与机组控制,弱化失效信号对控制系统的影响,提升控制系统的可靠性。
(三)多样性设计
采用多样性设计,通过不同仪控系统、结构、部件多样化设计,可以减缓共模故障可能带来的后果,该压水堆核电项目反应堆保护系统广泛采用了多样性的设计,如设备的多样性和功能的多样性。该压水堆核电项目反应堆保护系统的多样性设计主要体现在以下几个方面:
第一,功能多样性分组:功能多样性是降低软件共因故障风险的有效措施。所谓的功能多样性指的是对每个反应堆假设始发事件采用不同的物理效应或不同的变量来检测。例如:针对正常给水流量丧失事件,可采用“蒸汽发生器低低水位”和“蒸汽发生器低水位”+“汽水失配”两个不同的保护逻辑来触发停堆。功能多样性实际带来了应用软件的多样性(如温度、水位信号的处理要用到不同的软件模块处理)。将执行同一保护功能的多样性保护参数分配在不同的多样性子组中,并分别在不同的CPU中进行处理。任何一个子组由于应用软件的共模故障而失去保护功能,另一个子组仍然可以提供保护功能。
第二,DAC设计:多样化驱动机柜DAC用于实现ATWT保护逻辑,ATWT主要是为了应对可能出现的未能紧急停堆的预期瞬态而设计的一种保护功能,可以看作为反应堆保护系统失效时的后备保护手段。该压水堆核电项目的DAC设计完全由传统的模拟电路器件构建,不涉及软件逻辑。这种设计多样性从根本上杜绝了保护系统和ATWT保护发生共模故障的可能性。
第三,辅助继电器机柜:依靠继电器、触发器等常规器件搭建,同时考虑了信号的隔离和优先级管理等因素。保护系统安全保护动作的复位/闭锁指令和安全级设备的手动控制通过SVDU实现,主控室还设置有应急控制盘ECP,提供了包括停堆在内的手动触发紧急保护动作的手段,以作为自动保护动作拒动的后备。ECP和后备盘产生的安全级设备的控制命令最终送往SLC机柜进行软件逻辑处理的同时,亦送往辅助继电器机柜。当SLC机柜发生软件共模故障时,主控室的控制命令仍可通过辅助继电器机柜使执行机构动作。
第四,为了防止停堆断路器发生共模故障而无法实现停堆,系统还设计了另一种多样性停堆方式,即4个RPC机柜送4个经2s延时的停堆信号到控制棒驱动电源柜(RDU),RDU接收到这4个信号后,进行“2/4”表决处理,产生一个控制信号切断控制棒线圈供电,从而实现掉棒停堆。
由于DCS系统的功能实现基于软件,不会存在信号漂移和因器件老化引起的功能退化,同时软件本身具备自检功能,DCS的系统功能可通过自检进行持续地验证,同时,也设计了专门的定期试验装置进行定值校验和逻辑试验。
三、保护系统KCS定期试验介绍
为了保证整个保护通道可用,设有T1、T2、T3试验,T1试验用于检查和验证传感器与输入卡件的精度,T2试验验证安全级DCS的逻辑处理部分(包括RPC和ESF的软件部分和ATWT的硬件部分),T3试验检查保护系统输出部分,包括与其他系统的硬接线,T1、T2、T3试验均可在线进行,并且有一定的重叠度。在压水堆核电项目中,安全级DCS中设置有RPC的T1、T2、T3试验,RPS(ESF)的T2、T3试验(由于ESFAC和SLC接受来自RPC的阈值判断结果进行安全专设逻辑运算,所以RPS无T1试验)和ATWT的T1、T2、T3试验。下边对上述试验进行简单介绍,具体如下:
1、T1试验
2、T2试验
3、反应堆保护系统T3试验
第一,停堆断路器试验:包括“失电跳闸线圈”和“得电跳闸线圈”的动作试验,8个停堆断路器采取“2/4”的连接方式,分成4组,每次试验一组停堆断路器,一组断路器的打开不会引起停堆。
第二,RPC与与外部功能接口试验:连接试验用于验证保护系统与其他系统之间的硬接线连接,包括保护系统与专用系统之间的连接以及保护系统与非安全级DCS之间的连接等。
第三,RPS(ESF)与其它系统的接口试验
第四,电气连续性试验:连续性试验用于试验执行机构驱动装置,某些设备的动作与电厂的正常运行不相容,通过电气连续性试验可以检查驱动装置以及驱动装置与执行机构之间的电气连接。
三、结语
DCS在核电站中得到越来越多的应用,我国在建和待建的核电机组都将采用DCS。反应堆保护系统作为仪控系统中重要安全系统,其本身的可靠性对电厂的安全和经济运行有重要意义。
本文对该压水堆核电项目数字化保护系统设计特点进行了简要介绍,可以看到,该压水堆核电项目数字化保护系统采取了冗余和多样性设计,采用了先进而成熟的产品和技术,具有高可靠性。
论文作者: 王海华 李运良
论文发表刊物:《当代电力文化》2019年第02期
论文发表时间:2019/6/17
标签:系统论文; 反应堆论文; 多样性论文; 核电论文; 信号论文; 机柜论文; 故障论文; 《当代电力文化》2019年第02期论文;