论文部分内容阅读
摘 要:反应堆保护系统(RPR)、汽轮机保护系统(GSE)是核电站最重要的两套保护系统,为了提高系统可靠可用性,最大限度的降低拒动率、误动率,两套保护系统在设计上均做了保守考虑。但因各自系统失效后果或代价不同,系统设计考虑也有所不同。本文从某核电站两大保护系统架构及功能实现出发,结合各系统设计特点对其设计准则进行比对分析得出相应的结论, 为核电站保护方案持续改进做了有益的探讨, 拓展了新的思路。
关键词:反应堆保护系统(RPR) 汽轮机保护系统(GSE) 停堆 停機 保护组 安全列 纵深防御
中图分类号:TM623 文献标识码:A 文章编号:1674-098X(2019)07(b)-0090-03
安全是核电发展的生命线,设计安全是确保核电安全的根本基础。反应堆保护系统(RPR)、汽机保护系统(GSE)是核电站最重要的保护系统,核电安全相关法规对其设计提出了更高的要求,要求在事故发生时,必需能够快速、准确、可靠地实现停堆和停机,确保核电站安全、可靠、经济运行。两套保护系统在设计及实施过程中充分考虑了系统的可靠性、可用性,但因各自控制对象不同及失效后产生的后果不同,设计考虑也有所不同。本文结合某核电站在运机组两套保护系统架构特点,阐述各自系统设计遵循的准则,存在优势与不足,给出今后改进的建议。
1 反应堆保护系统(RPR)架构及功能实现
反堆保护系统主要功能是监视与反应堆安全密切相关的保护参数,当参数或工况超过保护定值时自动触发紧急停堆,或在极限事故等工况时触发专设安全设施执行机构动作,保护堆芯避免熔毁,以及保护安全壳的完整性,防止放射性物质向环境大量释放。同时提供事故后重要参数监视功能。保护系统架构如图1所示。
系统架构主要分为两个层次。
1.1 上层为4重冗余架构—安全停堆系统
有4个保护组(IP、IIP、IIIP、IVP),每个保护组(通道)又分为2个功能多样性子组,并且4 个保护组被分别布置在不同的房间, 以实现物理隔离;每个保护组分别由4路独立的UPS供电。每个子组接收对应的模拟量信号,进行阈值比较,并将比较信号送往其他通道对应子组进行逻辑表决,同时接收其他通道子组处理完毕的阈值比较信号,并进行表决处理。同一保护组内2个子组处理的结果再经“硬或”逻辑处理后送往对应通道控制的2个停堆断路器,当2/4个通道产生停堆信号时,停堆断路器即可切断棒电源机组至棒电源柜电源,控制棒靠重力落入堆芯,实现安全停堆。
1.2 下层为两个冗余列—专设安全设施及其支持系统
分为A、B两列,每列分为两个功能多样式子组及一个服务器组。A、B两列机柜分布不同房间,分别由各自独立电源供电。多样性子组接收对应的4个通道保护子组信号,对其进行4取2表决产生相应的专设安全设施驱动信号。
2 汽轮机保护系统(GSE)架构及功能实现
核电站汽轮机保护系统(见图2)的功能是当核反应堆或是汽轮发电机组发生预期故障时,为汽轮发电机组提供安全停机手段,防止事故发生、扩大和损坏设备。该保护系统设置了3个独立的保护通道,每个通道控制对应的高压遮断模块上2个电磁阀,当2/3个保护通道同时动作,高压遮断模块泄掉安全油,汽轮机所有进汽阀快速关闭,汽轮机安全停机。
3 设计准则比对分析
3.1 单一故障准则
单一故障准则是指系统内任何部位发生可信的单一随机故障时仍能执行其正常功能,即系统内的单一故障不会使系统拒动,也不会使系统误动。
RPR停堆系统设计4个独立通道,单一通道内部故障只会影响系统部分功能,不会导致停堆,停堆功能由其余3个通道来保障。当一个通道不可用期间,另一通道又出现故障未被及时发现处理时仍能执行停堆功能,即满足故障叠加。
RPR专设安全设施驱动系统设计是纵深防御理念体现,当某些事件的升级,仍有可能未被前一层级的安全停堆系统所制止,进而演变成一种设计基准事故时启动专设安全设施,避免堆芯熔毁,保护安全壳的完整性,防止放射性物质向环境大量释放。根据概率安全分析,这种事故在寿期内出现的可能性并不大,所以只设计了2个独立列。当一列设施故障或检修时,另一列设施仍旧可用,保障安全。
GSE系统设计3个保护通道,单一通道内部故障,不会导致安全油压丧失,停机功能可由其余2个通道来保障,同样满足单一故障准则。
3.2 冗余性
冗余性是满足单一故障准则的手段,保证保护系统不会因为单一故障而失去保护功能。冗余性主要包括系统架构冗余、应用平台冗余技术与配置。
RPR停堆系统架构设计成4重冗余,专设安全设施驱动系统架构设计成2重冗余。RPR系统采用TRICON平台,TRICON平台本身采用了3重冗余技术,对于模拟量输入、输出信号均采取3取中处理,对于开关量输入、输出采取3取2表决。系统架构设计加上产品平台冗余技术大大提高了系统的可靠性。
GSE系统采用P320平台,产品成熟度、可靠性已得到工程广泛验证。GSE在系统架构上采用了完全3重冗余技术,在信号输入采集、逻辑处理、输出驱动各部分均为3冗余配置。但每个保护通道只配置一块主处理器卡件,就单独保护通道而言,未进行必要的冗余配置。 就系统架构可靠性设计而言GSE 3通道设计不如RPR 4通道设计,但RPN源量程中子注量率探测器及中间量程中子注量率探测器各只有2路,信号2重冗余与系统通道4重冗余不相匹配,而GSE系统采用了完全3冗余技术。某核电站在建机组RPR系统设计对此进行了改进提高,将源量程测量通道与中间量测量通道都增至4路。
3.3 独立性
独立性是采用冗余技术的前提,是克服由单一故障引起的继发性故障、实现在线检修和维修的重要措施。独立性包括电气隔离和实体隔离。
RPR系统各保护组间、各安全列间信号电缆路径均完全独立,互不影响。各保护、各安全列机柜分别布置在不同房间,保护组与列间设备处于不同楼层,一个房间设备发生故障不会影响到另一个房间的设备。
GSE系统3个独立通道机架处于同一房间同一机柜内,保护通道机架间彼此未进行实体隔离,且保护信号电缆路径相同,易出现相干故障,影响系统的总体可用性。为了提高系统可靠可用性,可以考虑将保护通道机架布置在不同的机柜,同时增加信号电缆路径的独立性。
3.4 多样性
多样性是克服共因故障的手段。多样性包括功能多样性和设备多样性。
RPR系统每个通道包含2个功能多样性子组,对于特别重要的保护功能,在2个子组都进行处理运算,其余各保护功能被分配到不同子组执行。对于冷却剂流量监测,RPR系统采取了监测主泵断路器开关状态、及主泵出口冷却剂流量2种设备多样性方法。对于停机判断,采用了监测主汽门关闭及安全油压低2种手段。
GSE系统每个保护通道未设置多样性子组。但为了满足响应时间要求,GSE系统对于保护信号进行了分级,将保护信号分为主遮断保护、次遮断保护。主遮断保护信号采取了分级处理机制,信号由专门处理卡处理,处理卡对模拟信号第一级阈值直接进行判断,同时还将模拟信号送到保护通道控制器进行第二级阈值判断(软判断)。正常保护触发情况下处理卡输出继电器使相应遮断电磁阀失电。当信号达到跳机阀值,且处理卡件控制的继电器失效时,保护信号再由通道处理器控制的继电器使相应通道的电磁阀失电,最终执行2/3失电硬逻辑跳机表决,遮断汽轮机。对于最重要的超速保护,GSE系统采用了磁阻式探头、电涡流转速探头2种转速测量、判断方式。
3.5 符合逻辑(逻辑矩阵)
符合逻辑是指,在保护系统动作之前必须有2个或2个以上的冗余信号相符合,以防止误触发保护系统动作。采用符合逻辑后也便于对保护系统进行在线测试,而通道的可试验能力又增加了系统的安全性。
RPR系统根据信号的不同冗余度以及该信号是否直接参与保护设计了不同的符合逻辑,在信号坏质量或是保护通道旁通时采取相应符合逻辑退防处理。
GSE系统普遍采用3取2表决处理逻辑。对于模拟量信号,在坏质量情况下,采取了信号触发处理,2/3逻辑相当于自动退防为1/2表决逻辑。对于开关量,由于采用了负逻辑方式处理,当信号回路断线时,信号触发,即2/3逻辑相当于自动退防为1/2表决逻辑。
3.6 故障安全准则
故障安全准则是指在某个系统中发生任何故障时仍能使该系统保持在安全状态的设计准则。
RPR系统停堆保护功能设计遵循故障安全准则,反应堆无保护信号触发情况下,各通道控制的停堆断路器失压线圈带电,停堆断路器处于合闸状态。当保护系统失效或失电时失压线圈回路断开,相应的停堆断路器打开。考虑到故障安全准则会增加专设安全设施误动的风险,专设安全设施系统未采用故障安全准则。
GSE系统设计同样遵循故障安全准则,机组正常运行期间,高压遮断模块上的3个电磁阀带电,安全油压建立,当控制系统失电或电磁阀失电时,安全油卸压回路导通,安全油卸压,高、中压缸进汽阀关闭,汽轮机停机。
3.7 可试验性和可维护性
为了能发现和维修有故障的元器件,以防止故障的积累而产生保护系统故障,需要对保护系统进行定期试验。对试验过程中发现的故障元件,及时进行维修或更换,确保保护系统功能的完整性。
RPR保护系统定期试要主要有T1试验(测量通道试验)、T2试验(逻辑处理单元试验)T3试验(输出通道及驱动单元试验)。保护通各试验分段进行,各试验间保持了一定的重叠度,最终保证整个保护通道功能都得到有效验证。
GSE系统定期试验主要有高压遮断模块电磁阀试验,安全油通过高压遮断模块内部3个并行的、冗余的支路排油。每一个支路可在汽轮机正常运行时做试验,其他的支路(非试验模式)确保汽轮机的保护,每一个安全卸荷阀配备了一个位置传感器,用于检查试验是否成功。
4 结语
反应堆保护系统(RPR)、汽轮机保护系统是核電站最重要保护系统,各自控制对象不同及失效后产生的后果不同,设计考虑也有所不同,后续机组设计或改造可考虑以下几点建议:
(1)某核电站在运机组RPR安全停堆逻辑系统架构上设计了4重冗余,但源量程信号、中间量程信号只有双重冗余,保护信号与系统架构冗余度并不匹配。而GSE系统设计采用完全3冗余技术,保护信号与系统架构冗余度完全匹配,所以建议RPR系统在后续再建机组设计时可考虑增加信号冗余度,使信号通道与系统架构完全匹配,从而提升系统整体可靠性。
(2)汽轮机保护系统(GSE)系统3个保护通道处于一个机柜内,信号路径也未进行有效隔离,独立性偏弱,后续计设可考虑将通道布置在不同机柜内、同时提高信号路径独立性,进而增加系统可靠性。为了提高系统可靠性,在选择成熟稳定的数字化平台时,也可以在系统架构上重新考虑,再增加一个保护通道。
(3)GSE系统将信号进行了分级处理,对于主遮断保护信号采取的先卡件阈值处理,再经过保护通道处理器软阈值处理方式提高了系统的快速响应,这是系统设计一大亮点。PRP系统采用了CPU技术,同时通道间进行信号交换,增了响应时间,为了减少CPU描扫方式带来的影响,也可优先考虑可编程门阵列(FPGA)技术。
参考文献
[1] 王哲.RPR反应堆保护系统手册.FQY-RPR-SDM-001[Z].
[2] 张亚平.汽轮机保护系统(GSE)设计手册.FQX17GSE003101B45GN.B版[Z].
[3] 朱继洲.核反应堆安全分析[M].西安:西安交通大学出版社,2004.
关键词:反应堆保护系统(RPR) 汽轮机保护系统(GSE) 停堆 停機 保护组 安全列 纵深防御
中图分类号:TM623 文献标识码:A 文章编号:1674-098X(2019)07(b)-0090-03
安全是核电发展的生命线,设计安全是确保核电安全的根本基础。反应堆保护系统(RPR)、汽机保护系统(GSE)是核电站最重要的保护系统,核电安全相关法规对其设计提出了更高的要求,要求在事故发生时,必需能够快速、准确、可靠地实现停堆和停机,确保核电站安全、可靠、经济运行。两套保护系统在设计及实施过程中充分考虑了系统的可靠性、可用性,但因各自控制对象不同及失效后产生的后果不同,设计考虑也有所不同。本文结合某核电站在运机组两套保护系统架构特点,阐述各自系统设计遵循的准则,存在优势与不足,给出今后改进的建议。
1 反应堆保护系统(RPR)架构及功能实现
反堆保护系统主要功能是监视与反应堆安全密切相关的保护参数,当参数或工况超过保护定值时自动触发紧急停堆,或在极限事故等工况时触发专设安全设施执行机构动作,保护堆芯避免熔毁,以及保护安全壳的完整性,防止放射性物质向环境大量释放。同时提供事故后重要参数监视功能。保护系统架构如图1所示。
系统架构主要分为两个层次。
1.1 上层为4重冗余架构—安全停堆系统
有4个保护组(IP、IIP、IIIP、IVP),每个保护组(通道)又分为2个功能多样性子组,并且4 个保护组被分别布置在不同的房间, 以实现物理隔离;每个保护组分别由4路独立的UPS供电。每个子组接收对应的模拟量信号,进行阈值比较,并将比较信号送往其他通道对应子组进行逻辑表决,同时接收其他通道子组处理完毕的阈值比较信号,并进行表决处理。同一保护组内2个子组处理的结果再经“硬或”逻辑处理后送往对应通道控制的2个停堆断路器,当2/4个通道产生停堆信号时,停堆断路器即可切断棒电源机组至棒电源柜电源,控制棒靠重力落入堆芯,实现安全停堆。
1.2 下层为两个冗余列—专设安全设施及其支持系统
分为A、B两列,每列分为两个功能多样式子组及一个服务器组。A、B两列机柜分布不同房间,分别由各自独立电源供电。多样性子组接收对应的4个通道保护子组信号,对其进行4取2表决产生相应的专设安全设施驱动信号。
2 汽轮机保护系统(GSE)架构及功能实现
核电站汽轮机保护系统(见图2)的功能是当核反应堆或是汽轮发电机组发生预期故障时,为汽轮发电机组提供安全停机手段,防止事故发生、扩大和损坏设备。该保护系统设置了3个独立的保护通道,每个通道控制对应的高压遮断模块上2个电磁阀,当2/3个保护通道同时动作,高压遮断模块泄掉安全油,汽轮机所有进汽阀快速关闭,汽轮机安全停机。
3 设计准则比对分析
3.1 单一故障准则
单一故障准则是指系统内任何部位发生可信的单一随机故障时仍能执行其正常功能,即系统内的单一故障不会使系统拒动,也不会使系统误动。
RPR停堆系统设计4个独立通道,单一通道内部故障只会影响系统部分功能,不会导致停堆,停堆功能由其余3个通道来保障。当一个通道不可用期间,另一通道又出现故障未被及时发现处理时仍能执行停堆功能,即满足故障叠加。
RPR专设安全设施驱动系统设计是纵深防御理念体现,当某些事件的升级,仍有可能未被前一层级的安全停堆系统所制止,进而演变成一种设计基准事故时启动专设安全设施,避免堆芯熔毁,保护安全壳的完整性,防止放射性物质向环境大量释放。根据概率安全分析,这种事故在寿期内出现的可能性并不大,所以只设计了2个独立列。当一列设施故障或检修时,另一列设施仍旧可用,保障安全。
GSE系统设计3个保护通道,单一通道内部故障,不会导致安全油压丧失,停机功能可由其余2个通道来保障,同样满足单一故障准则。
3.2 冗余性
冗余性是满足单一故障准则的手段,保证保护系统不会因为单一故障而失去保护功能。冗余性主要包括系统架构冗余、应用平台冗余技术与配置。
RPR停堆系统架构设计成4重冗余,专设安全设施驱动系统架构设计成2重冗余。RPR系统采用TRICON平台,TRICON平台本身采用了3重冗余技术,对于模拟量输入、输出信号均采取3取中处理,对于开关量输入、输出采取3取2表决。系统架构设计加上产品平台冗余技术大大提高了系统的可靠性。
GSE系统采用P320平台,产品成熟度、可靠性已得到工程广泛验证。GSE在系统架构上采用了完全3重冗余技术,在信号输入采集、逻辑处理、输出驱动各部分均为3冗余配置。但每个保护通道只配置一块主处理器卡件,就单独保护通道而言,未进行必要的冗余配置。 就系统架构可靠性设计而言GSE 3通道设计不如RPR 4通道设计,但RPN源量程中子注量率探测器及中间量程中子注量率探测器各只有2路,信号2重冗余与系统通道4重冗余不相匹配,而GSE系统采用了完全3冗余技术。某核电站在建机组RPR系统设计对此进行了改进提高,将源量程测量通道与中间量测量通道都增至4路。
3.3 独立性
独立性是采用冗余技术的前提,是克服由单一故障引起的继发性故障、实现在线检修和维修的重要措施。独立性包括电气隔离和实体隔离。
RPR系统各保护组间、各安全列间信号电缆路径均完全独立,互不影响。各保护、各安全列机柜分别布置在不同房间,保护组与列间设备处于不同楼层,一个房间设备发生故障不会影响到另一个房间的设备。
GSE系统3个独立通道机架处于同一房间同一机柜内,保护通道机架间彼此未进行实体隔离,且保护信号电缆路径相同,易出现相干故障,影响系统的总体可用性。为了提高系统可靠可用性,可以考虑将保护通道机架布置在不同的机柜,同时增加信号电缆路径的独立性。
3.4 多样性
多样性是克服共因故障的手段。多样性包括功能多样性和设备多样性。
RPR系统每个通道包含2个功能多样性子组,对于特别重要的保护功能,在2个子组都进行处理运算,其余各保护功能被分配到不同子组执行。对于冷却剂流量监测,RPR系统采取了监测主泵断路器开关状态、及主泵出口冷却剂流量2种设备多样性方法。对于停机判断,采用了监测主汽门关闭及安全油压低2种手段。
GSE系统每个保护通道未设置多样性子组。但为了满足响应时间要求,GSE系统对于保护信号进行了分级,将保护信号分为主遮断保护、次遮断保护。主遮断保护信号采取了分级处理机制,信号由专门处理卡处理,处理卡对模拟信号第一级阈值直接进行判断,同时还将模拟信号送到保护通道控制器进行第二级阈值判断(软判断)。正常保护触发情况下处理卡输出继电器使相应遮断电磁阀失电。当信号达到跳机阀值,且处理卡件控制的继电器失效时,保护信号再由通道处理器控制的继电器使相应通道的电磁阀失电,最终执行2/3失电硬逻辑跳机表决,遮断汽轮机。对于最重要的超速保护,GSE系统采用了磁阻式探头、电涡流转速探头2种转速测量、判断方式。
3.5 符合逻辑(逻辑矩阵)
符合逻辑是指,在保护系统动作之前必须有2个或2个以上的冗余信号相符合,以防止误触发保护系统动作。采用符合逻辑后也便于对保护系统进行在线测试,而通道的可试验能力又增加了系统的安全性。
RPR系统根据信号的不同冗余度以及该信号是否直接参与保护设计了不同的符合逻辑,在信号坏质量或是保护通道旁通时采取相应符合逻辑退防处理。
GSE系统普遍采用3取2表决处理逻辑。对于模拟量信号,在坏质量情况下,采取了信号触发处理,2/3逻辑相当于自动退防为1/2表决逻辑。对于开关量,由于采用了负逻辑方式处理,当信号回路断线时,信号触发,即2/3逻辑相当于自动退防为1/2表决逻辑。
3.6 故障安全准则
故障安全准则是指在某个系统中发生任何故障时仍能使该系统保持在安全状态的设计准则。
RPR系统停堆保护功能设计遵循故障安全准则,反应堆无保护信号触发情况下,各通道控制的停堆断路器失压线圈带电,停堆断路器处于合闸状态。当保护系统失效或失电时失压线圈回路断开,相应的停堆断路器打开。考虑到故障安全准则会增加专设安全设施误动的风险,专设安全设施系统未采用故障安全准则。
GSE系统设计同样遵循故障安全准则,机组正常运行期间,高压遮断模块上的3个电磁阀带电,安全油压建立,当控制系统失电或电磁阀失电时,安全油卸压回路导通,安全油卸压,高、中压缸进汽阀关闭,汽轮机停机。
3.7 可试验性和可维护性
为了能发现和维修有故障的元器件,以防止故障的积累而产生保护系统故障,需要对保护系统进行定期试验。对试验过程中发现的故障元件,及时进行维修或更换,确保保护系统功能的完整性。
RPR保护系统定期试要主要有T1试验(测量通道试验)、T2试验(逻辑处理单元试验)T3试验(输出通道及驱动单元试验)。保护通各试验分段进行,各试验间保持了一定的重叠度,最终保证整个保护通道功能都得到有效验证。
GSE系统定期试验主要有高压遮断模块电磁阀试验,安全油通过高压遮断模块内部3个并行的、冗余的支路排油。每一个支路可在汽轮机正常运行时做试验,其他的支路(非试验模式)确保汽轮机的保护,每一个安全卸荷阀配备了一个位置传感器,用于检查试验是否成功。
4 结语
反应堆保护系统(RPR)、汽轮机保护系统是核電站最重要保护系统,各自控制对象不同及失效后产生的后果不同,设计考虑也有所不同,后续机组设计或改造可考虑以下几点建议:
(1)某核电站在运机组RPR安全停堆逻辑系统架构上设计了4重冗余,但源量程信号、中间量程信号只有双重冗余,保护信号与系统架构冗余度并不匹配。而GSE系统设计采用完全3冗余技术,保护信号与系统架构冗余度完全匹配,所以建议RPR系统在后续再建机组设计时可考虑增加信号冗余度,使信号通道与系统架构完全匹配,从而提升系统整体可靠性。
(2)汽轮机保护系统(GSE)系统3个保护通道处于一个机柜内,信号路径也未进行有效隔离,独立性偏弱,后续计设可考虑将通道布置在不同机柜内、同时提高信号路径独立性,进而增加系统可靠性。为了提高系统可靠性,在选择成熟稳定的数字化平台时,也可以在系统架构上重新考虑,再增加一个保护通道。
(3)GSE系统将信号进行了分级处理,对于主遮断保护信号采取的先卡件阈值处理,再经过保护通道处理器软阈值处理方式提高了系统的快速响应,这是系统设计一大亮点。PRP系统采用了CPU技术,同时通道间进行信号交换,增了响应时间,为了减少CPU描扫方式带来的影响,也可优先考虑可编程门阵列(FPGA)技术。
参考文献
[1] 王哲.RPR反应堆保护系统手册.FQY-RPR-SDM-001[Z].
[2] 张亚平.汽轮机保护系统(GSE)设计手册.FQX17GSE003101B45GN.B版[Z].
[3] 朱继洲.核反应堆安全分析[M].西安:西安交通大学出版社,2004.