核电厂反应堆保护系统设计准则

【摘 要】反应堆保护系统是核电厂重要的安全系统。它对于限制核电厂事故的发展、减轻事故后果，保证反应堆及核电厂设备和人员的安全、防止放射性物质向周围环境的释放具有十分重要的作用。本文将阐明反应堆保护系统需满足的设计准则。

【关键词】反应堆保护系统；设计准则；释放

0 引言

反应堆保护系统是核电厂重要的安全系统。它对于限制核电厂事故的发展、减轻事故后果，保证反应堆及核电厂设备和人员的安全、防止放射性物质向周围环境的释放具有十分重要的作用。它监测电厂重要的参数，对安全信号进行必要的采集、计算、定值比较、符合逻辑处理，当选定的电厂参数达到安全系统整定值时，自动地触发反应堆紧急停堆和/或驱动专设安全设施动作，以实现并维持电厂的安全停堆工况。

1 设计准则

反应堆保护系统的设计须满足以下设计准则：

1.1 自动保护

除非出现危险工况到要求保护动作之间有足够长的时间允许操纵员手动操作，否则所有保护动作都应是自动的。保护动作一旦触发就应进行到底。除非操纵员有意识地操作逐个部件来终止专设安全设施动作。只有系统级驱动信号被复位后，才允许操纵员进行部件级手动复位。部件复位的一个原因是如果发生安全功能的误驱动，可通过部件复位来终止安全功能。

1.2 单一故障准则

反应堆保护系统具有足够的冗余度，保证不会因为单一故障而丧失保护功能。应考虑发生在系统内部的、发生在辅助系统中的以及由外部原因引起的故障。

即使在一个通道旁通用于试验或维护的情况下，安全系统内一个可信的单一故障不会阻止系统级保护功能的触发或完成。即使在安全系统因单一故障退化的情况下，系统也包含足够的冗余以满足性能要求。安全系统内的单一故障不会导致II类工况事件发展成为III类工况事件或III类工况事件发展成为IV类工况事件。

冗余序列间的连接或与非安全系统间的信号连接包含隔离装置。隔离装置是经过测试的，以确保如物理损坏、短路、开路、输出终端电压故障等可信的故障不会反向传播到隔离装置的输入端。隔离装置确保非安全系统内的可信单一故障不会降低安全系统的性能。

为防止共模故障，采用了诸如功能多样性、物理隔离、试验以及在设计、生产、安装和运行过程中采取行政控制等附加方法。

保护系统的另一个设计目标是将误停堆和专设安全设施误驱动的概率降至最低。对那些故障后会产生错误的停堆或专设安全设施触发信号的重要电路提供了冗余。停堆四取二的驱动逻辑以及停堆断路器的设置防止了单一故障触发停堆。对于专设安全设施触发，每个部件的驱动逻辑在符合逻辑内部都是冗余执行的。冗余的逻辑极大降低了了随机单一故障导致误驱动的概率，也使得在定期试验期间专设驱动逻辑同样满足单一故障准则。用于触发系统级专设安全设施的专用开关利用激励触发的方式，极大降低了误驱动概率。

1.3 故障检测

为了能检测系统内部的故障，并核实系统的性能参数与功能要求相一致，要求能够对反应堆保护系统进行定期试验。

对于从来自不同通道信号得到最终系统输出信号所需的通道和装置，提供了试验及校准的能力。从保护系统传感器输入到被驱动设备的试验通过一系列重叠连续的试验完成，大部分的试验可以在电厂满功率期间进行。当满功率情况下试验会扰乱电厂运行或损坏设备时，这类设备的试验将在低功率或反应堆停堆时进行。

1.4 控制与保护的接口

控制系统与保护系统共用探测器时，为了防止控制系统的故障延伸到保护系统，信号传输通过隔离装置。

来自保护通道的部分信息用于电厂控制。这样设计的优点在于：

1）控制采用与保护相同的测量信号。这样使得控制系统的功能能够维持运行状态和安全限值之间的裕度，减少误停堆的可能性。

2）减少单个过程参数重复测量数量能够减少全厂关键压力边界（如反应堆冷却剂回路，稳压器和蒸汽发生器）贯穿件的数量和复杂度。这样也降低了电厂成本和维护要求，节省了空间，并提高了隔离性。

1.5 对共因故障的保护

提供使反应堆保护系统免受共因故障影响的措施，减小这类同时影响冗余通道的故障的几率。采用冗余装置间的实体分隔和电气隔离来限制外部事件的后果，考虑到共因故障可能起源于系统内部，设计中采用功能多样性原理。各冗余部分由独立的电源供电。

为了防止反应堆保护系统可能出现的共模故障对核电厂安全的影响，需设计独立于反应堆保护系统的多样性驱动系统，多样性驱动系统可以是非安全级的。

1.6 保护功能的手动启动

系统级的每个保护动作，可以在控制室手动启动。手动启动所用设备的数量必须尽量少，手动启动与自动动作的共用设备应尽量少。

1.7 旁通

只有当余下的通道仍满足单一故障准则时，才允许为了试验或维修的目的将一个通道退出运行（维修旁通）。如果这一原则不能满足，只要通道不可用的时间足够短，在这一时间内仍在工作的通道的故障率与1/2系统在正常运行中的故障率相当，则允许一个通道旁通。根据反应堆运行工况的需要，允许闭锁某些保护功能，称为运行旁通；当允许条件不满足时，运行旁通自动取消。

安全系统允许在维护、试验或维修时对监测选定变量的保护通道进行旁通。该旁通可在功率运行期间进行，并不会引起保护动作的触发。当在功率运行期间允许选定变量的一个通道被旁通一段时间时，系统仍满足单一故障准则。如果系统的某部分被行政旁通或退出运行，在主控制室会有相应的显示。

在一个通道旁通时，保护系统不允许监测同一变量的第二个通道被旁通。试图旁通多个通道的操作是被闭锁的。对于每个驱动功能，运行技术规范限制了一个通道允许被旁通或退出运行的时间间隔。技术规格书中列出的时间是考虑了功能的冗余性和重要性确定的。

1.8 信息

与电厂状态和反应堆保护系统状态有关的数据应明确地、完整地并及时地显示在控制室。这些显示使操纵员能跟踪保护系统的运行，在需要的时候启用手动控制。

对于没有自动控制又是安全系统完成其安全功能所必需的手动控制操作，为其提供信息的显示仪表应是安全系统的一部分，并且应满足对核电厂事故监测仪表的要求。显示仪表的设计应使可能引起操纵员混淆的不明确显示减到最少。

报警也能够提醒操纵员电厂工况与正常运行工况的偏离，使其能采取适当的动作以避免对安全系统的挑战。

保护系统提供给操纵员持续旁通状态的指示。状态信息的显示允许操纵员识别特定的旁通功能，并判断逻辑是否已经退化。除状态指示外，对于一个给定的保护功能，如果试图旁通一个以上的保护通道，主控室中将会产生报警。

1.9 独立性（下转第314页）

（上接第292页）安全系统的灵活性使得冗余序列之间是实体分隔的。通道的独立性贯穿整个系统，从传感器一直到驱动保护功能的装置。冗余变送器之间也是实体分隔的。冗余通道的配线通过使用实体分隔、分析、隔离、试验或屏障的方式提供电路的独立性。

设计的理念是最大化地利用测量仪表的多样性，因此保护系统持续监测大量多样化的系统变量。一般地，两个或两个以上多样化的保护功能能够在严重后果发生前结束一个事件。

对于保护系统冗余设备间的通讯，采用了隔离装置以保持不同序列间的电气隔离。同时隔离装置也保证了安全设备和那些使用保护信号的非安全系统间的隔离。

2 结束语

反应堆保护系统对电厂安全起到了至关重要的作用，在工程设计中应遵循其各类设计准则，以确保反应堆的安全。

【参考文献】

[1]GB 4083-2005 核反应堆保护系统安全准则[S].

[责任编辑：刘展]