一種基于FirmSys產品的陽江5、6號機組安全級保護系統功能分配設計方法

北京廣利核系統工程有限公司 趙勇

1 引言

福島事件體現出目前全球運行的核電機組不能完全排除發生嚴重事故的可能性，因為對于小概率但可能發生的一些事件(極端外部自然災害、人為惡意行為等)的抵御能力不足。況且在役機組自身還存在著弱點(安全設計基準不夠高、對堆芯熔化和嚴重事故緩解能力差、老化等)，很多事故處理要依靠人的因素，不能排除人為錯誤的可能性。因此，預防和緩解并重成為國際核電界的共識。陽江5、6號機組是在總結和吸取了福島事件的經驗和教訓基礎上，對CPR1000壓水堆進行了大量的改進設計，增加了緩解嚴重事故的措施以達到防止堆芯熔化、熔化后的壓力容器不損壞、容器損壞后安全殼的完整性不破壞的目的。陽江5、6號機組反應堆保護系統針對專設安全設施驅動系統進行改進設計，將1E級功能與SR級功能分離，增加1E級手動控制，提高了系統的可靠性。

2 功能分級

陽江5、6號機組控制保護系統的功能分類延續了CPR1000壓水堆核電站儀控系統功能分級方法。儀表和控制系統所執行的功能根據對安全的重要性分為：

? 1E：為達到穩定狀態在短期階段所需的安全功能；

? SR：為達到安全狀態在中、長期階段（手動操作階段）所需的安全功能；

? NC：除1E和SR之外的功能。

2.1 1E級功能

IEEE-603對1E級功能的定義為：安全級(簡稱1E級)的儀表系統及其供電設備，是完成反應堆安全停堆、安全殼隔離、堆芯冷卻以及從安全殼和反應堆排出熱量所必需的，或者是防止放射性物質向環境過量排放所必需的。系統設計中，1E功能定義為：為達到穩定狀態在短期階段所需的安全功能。反應堆保護系統由RTS、ESFAS、PAMS幾個子系統構成，主要有如下功能：

（1）反應堆緊急停堆

（2）驅動專設安全設施

? 安全注入；

? 蒸汽管道隔離；

? 安全殼隔離A階段；

? 主給水隔離；

? 輔助給水系統啟動；? 安全噴淋；

? 安全殼隔離B階段。

（3）驅動支持系統

? 啟動柴油發電機，控制甩負荷和重啟順序；

? 高輻射情況下，啟動通風等輔助設備。

（4）汽輪機自動跳機

（5）生成允許信號

（6）手動停堆及手動啟動安全專設

（7）堆芯冷卻監測

（8）蒸汽大氣排放閥（GCT-a）的自動和手動控制

（9）事故后監視

2.2 SR級功能

SR級功能定義為：為達到安全狀態在中、長期段（手動操作階段）所需的安全功能。

2.3 NC級功能

NC級功能定義為非安全重要系統，即除1E、SR級以外功能，在實現或保持核電廠安全方面無明顯作用。

3 安全功能的實現

反應堆保護系統是核電站中重要的安全系統，主要用于保護核電廠、環境及人員的安全，并且當核電廠出現事故時，保護核電廠的主要設備、人員的安全，控制放射性對環境的影響，屬于核電廠1E級電氣設備。陽江5、6號機組反應堆保護系統包括緊急停堆系統、專設安全設施驅動系統、事故后監視系統。

按照IEC-61513的要求，較低級別的安全功能可以采用更高安全級的設備實現。在陽江5、6號中主要執行1E和SR兩種級別的安全功能，按照低級的功能可以在較高級的I&C系統中實現原則，在本方案中將SR功能升級到安全級DCS-FirmSys中實現。

陽江5、6號機組反應堆保護系統不同安全功能分級與DCS平臺的對應關系如圖1所示。

圖1 功能分級與DCS平臺對應關系

4 基于FirmSys保護系統架構及簡介

圖2 保護系統架構圖

基于FirmSys的陽江5、6號機組反應堆安全級保護系統（以下簡稱保護系統）是一個分布式的、多通道的、冗余的計算機系統，能夠執行反應堆緊急停堆、專設安全設施驅動、事故后監視等安全重要功能。保護系統分為Level1、Level2上下兩層以及安全網絡，Level1和Level2之間主要通過數據傳輸單元進行保護系統內部數據傳遞同時也有一部分硬接線連接，保護系統與其它系統之間是通過網關進行數據傳遞。如圖2所示。

（1）反應堆停堆子系統（RTS）

反應堆停堆子系統設置四個保護功能通道。為了實現保護功能的多樣性，每個通道由兩個功能完全獨立的子組組成。同時每個子組內部又由兩個主備冗余的控制器實現設備的冗余。每組控制器均可觸發反應堆緊急停堆。對于大部分設計基準事件，至少有兩個多樣性的傳感器信號用于觸發反應堆緊急停堆。對于不具備兩個多樣性傳感器信號的事件，將通過分配裝置將相同的傳感器信號同時分配到這兩組功能多樣性的控制器中。

（2）專設子系統（含：ESFAS、SRS）

專設安全驅動系統（ESFAS），主要負責1E級設備的狀態監視與運行控制。由兩個獨立的A、B列組成，每列可獨立完成安全保護功能，以實現保護功能的冗余。每個控制站配置結構設計為并行冗余的控制器實現設備的冗余。

安全相關控制系統（SRS），其安全重要性低于安全重要系統，但又與安全重要系統的實現密切相關，所以其重要性又高于非安全級系統。安全相關控制系統的主要實現報警管理、設備操作管理、對硬件或設備的狀態監測以及支持安全重要系統正常運行的相關的系統或設備的控制。

（3）事故后監視子系統（PAMS）

PAMS系統包括常規的PAMS儀表及P-VDU顯示，顯示部分全部安置在主控室內的BUP上，分Train A和Train B兩列，實現事故后參數監視功能和安全級設備的報警功能。主要完成參數監視、堆芯溫度監視、棒位顯示、記錄和趨勢組顯示以及安全級設備報警。

5 系統功能分級及實現（如表1所示）

表1 系統功能分級與設備分級對應表

6 功能分配原則

（1）1E、SR功能分離

1E、SR功能雖然都采用安全級DCS實現，但由于安全級別不同，為了盡量避免1E功能受SR功能的影響，1E功能應與SR功能分布到不同的控制站中。

（2）功能多樣性原則

在上游需求文件中，考慮了共因故障的影響，對某些安全功能進行了功能多樣性的設計，這些實現多樣性的功能應分別分配到不同的控制站中。

（3）功能分散原則

如果兩個或多個工藝系統同時故障（如拒動或誤動）會危及電站安全或產生經濟損失，則應分配到不同的控制站中。

（4）負荷均衡原則

對于進行了分組設計的各控制站，為使其負荷率均能滿足要求，盡量保證各個控制站的負荷相對均衡。

（5）接口最少原則

相互接口較多的兩個工藝系統，如果沒有其它要求必須分離，則應盡量分配到同一個控制站中，減少相互接口通信或硬接線連接，從而減小機柜內硬件數量和網絡負荷，對減小系統響應時間和CPU運算負荷率有很大的意義。

7 功能分配流程

安全功能分配流程如圖3所示。

圖3 功能分配流程圖

8 保護系統功能分配

8.1 RTS功能分配

（1）1E、SR功能分離

RTS功能全部在RPC中實現，RTS功能是實現以緊急停堆保護為主的1E級功能，沒有SR級功能。

（2）功能多樣性原則

RTS為了應對同一預期運行事件（AOO）進行了功能多樣性設計，多樣性功能分別分配到Gr1和Gr2中，上游設計需求對功能多樣性分配給定了要求。另外，有些不具有功能多樣性的重要信號，需要同時分配到兩個子組中實現。

（3）功能分散原則

RTS不須進行功能分散設計。

（4）負荷均衡原則

按功能多樣性原則對各保護功能進行Gr1、Gr2分配完畢后，剩余的功能根據這兩個子組的負荷情況，分配到兩個子組中，最終使兩個子組的負荷達到均衡，從而都滿足負荷率的要求。

（5）接口最少原則

RTS的各通道以及通道的子組均相互獨立不存在接口，因此不應用接口最少原則。

8.2 ESFAS功能分配

（1）1E、SR功能分離

ESFAS功能即專設安全設施驅動的1E級功能均在ESFAC中實現，ESFAC中不實現SR級功能。專設安全設施驅動的手動控制多屬于SR級功能，分布在SR功能機柜SRC中實現。

（2）功能多樣性原則

ESFAS不存在功能多樣性，因此不適用功能多樣性原則。原因如下：

ESFAS應對的是事故工況（PA），RTS應對的是預期運行事件（AOO），AOO的發生概率約為0.1次/年，而PA（如LOCA）發生的概率約為10～3次/年，遠遠小于AOO發生概率。

保護參數的探測有多樣性（如穩壓器壓力和安全殼壓力），并分配到兩個獨立子組中，在RPC中已實現。但對于系統級邏輯（如SI邏輯）則沒有功能多樣性，因此不必進行分組設計。

（3）功能分散原則

ESFAS中，ESFAC用于執行專設安全設施驅動的系統級功能邏輯，且CPU及通訊部分均有故障自診斷功能，可抑制誤發驅動信號，因此不須進行功能分散。但考慮提高其可靠性而配置冗余控制站，執行相同的功能邏輯。而對于直接與現場設備接口的設備接口機柜CIC，考慮到如火災等事故引起的某一機柜故障，造成安全設備誤動或安全功能喪失，因此須進行功能分散設計。

ESFAS執行的功能主要分為輔助給水系統、緊急堆芯冷卻系統、一回路冷卻系統、二回路排熱系統四類，如表2所示。根據功能分散原則應盡量將此四類功能分散在不同的控制站中實現，本方案在結合可靠性要求以及現場布置空間等因素下考慮分配成三個子組。另外，對這些系統起支持作用的相關系統也要隨之分配到同一個子組中，不宜進行分散。

表2 工藝系統分類表

（4）負荷均衡原則

ESFAS因為只執行專設安全設施驅動的系統級功能邏輯，邏輯量較小，初步判定不須分站負荷率也能滿足要求，因此不適用負荷均衡原則。

（5）接口最少原則

ESFAS未分配子組，因此不適用接口最少原則。

8.3 PAMS功能分配

（1）1E、SR功能分離

由FirmSys產品實現的PAMS功能均為1E級，沒有SR級功能，因此均在PAMS機柜中實現，不需考慮1E、SR功能分離。

（2）功能多樣性原則

PAMS執行的是事故后監視功能，不執行安全保護功能沒有功能多樣性要求，因此不需要考慮功能多樣性原則。

（3）功能分散原則

PAMS只是對安全重要信號的監測，沒有設備的控制，并已按A、B列進行劃分，因此不再進行功能分散。

（4）負荷均衡原則

PAMS只是安全重要信號的監測，沒有設備的控制，初步判定不須分站負荷率也能滿足要求，因此不適用負荷均衡原則。

（5）接口最少原則

PAMS未分配子組，因此不適用接口最少原則。

8.4 SR功能分配

（1）1E、SR功能分離

SR功能除全部在SR控制站SRC中實現。SRC中沒有1E功能，故不涉及1E、SR功能分離。

（2）功能多樣性原則

在ASG系統中有電動給水泵回路和汽動給水泵回路，為多樣性設計，任何一個回路都可獨立完成蒸汽發生器的補水，因此應分配到兩個不同的控制站。因二者都屬于Train A，初步考慮將電動給水回路的控制放到SRCA4中實現，而汽動給水回路的控制放到Train A其它SRC中實現，初步確定將該功能分配到SRCA3中實現。

（3）功能分散原則

SR模擬控制部分除上述功能多樣性原則進行分組外，無其它功能分散要求。SR邏輯控制部分，因需要通過CIC接口對現場設備進行控制，因此應依據CIC的功能分散情況進行相應設計，即SR-1、2、3控制站與CIC1、2、3組進行對應分組。

（4）負荷均衡原則

除了考慮功能分散必須相分離的系統及其支持系統外，其余系統可根據各個控制站的負荷情況進行分配，盡量均衡以確保最終均能滿足負荷率的要求，此部分CIC的分組要和SR分組情況相對應。

（5）接口最少原則

為了保證接口最少，一般將一個工藝系統整體分布在一個控制站中，除非有特殊要求外（如EAS）不將一個工藝系統拆分到兩個SR控制站中。另外，相互接口較多的相關系統在沒有其它分離要求的情況下，也要分配到同一個控制站中。

9 結語

基于FirmSys平臺的反應堆保護系統，在滿足安全級系統設計準則同時還考慮了針對福島事件提出的增加緩解嚴重事故措施的改進方案，具備一部分三代壓水堆的設計特點，因此功能分配方案上也有相應的調整：

? 將專設安全設施的1E級功能（自動驅動功能）與SR級功能（手動驅動功能）分開實現，分別在ESFAC控制站和SRC控制站中完成，使自動驅動功能和手動驅動能獨立而不會相互影響；

? 將一類PAMS的參數顯示改進為數字化顯示，使用安全級S-VDU代替原BUP上的大部分硬接線光字牌，簡化盤臺設計，改進操作方式。

[1] 廣東核電培訓中心. 900MW壓水堆核電站系統與設備[M]. 北京: 原子能出版社, 2005.