靳亚伟 韦金良 李占东
福建宁德核电有限公司
摘要:本文从CPR1000机组反应堆保护系统结构入手,通过对整体符合逻辑和局部符合逻辑的分析,梳理出各种类型的符合逻辑退化原理以及因此导致的可靠性问题,以期为核电站反应堆保护系统的改进和电站日常运行中保护旁通管理提供参考。
关键词:反应堆保护系统 单一故障准则 符合逻辑
0引言
反应堆保护系统是核电站重要的安全系统,其作用是当运行参数达到危及三大屏障完整性阈值时,保护系统触发反应堆紧急停堆,必要时启动专设安全设施,从而保护三大核安全屏障(即燃料包壳、一回路压力边界和安全壳)的完整性。
GB/T 13284.1(核电厂安全系统第1部分:设计准则)规定安全系统需要满足单一故障准则。反应堆保护系统主要通过旁通功能和符合逻辑来实现单一故障准则,即故障发生时,保护系统能自动把故障设备从符合逻辑中剔除,从而保证系统整体的安全性和可靠性。对于被剔除的设备来说叫做设备旁通,对于保护系统的“符合逻辑”来说叫做逻辑退化。此外,为了完成设备更换、检修、检验或校准操作,保护系统需要设置人为地取消某个(或几个)设备功能的旁通按钮。本文将详细探讨CPR1000机组反应堆保护系统符合逻辑的实现方式和存在的问题。
1、反应堆保护系统结构
CPR1000机组反应堆保护系统包括三层冗余,即测量信号的参数冗余;逻辑运算单元的通道冗余和停堆断路器的执行机构冗余。系统配置4个冗余通道(CH I- CH IV) ,每个通道包括2个子组, 每个子组采用主备冗余的CPU结构,每个通道的2个子组,分别接收不同的物理信号。同一物理量的不同信号在不同保护通道内进行阈值计算, 并结合其他通道的计算结果经逻辑表决(四取二、三取二或二取一)产生紧急停堆信号。同一个通道内的2个子组产生的停堆信号经硬逻辑 “或”后送往停堆断路器,用来切断控制棒的电源,实现停堆。CPR1000机组共配置8个停堆断路器,分为四组,每组的两个停堆断路器接受相同的停堆信号,来自于同一保护通道。反应堆保护系统结构如下图1所示:
.png)
图1: 反应堆保护系统结构简图
2、符合逻辑
根据影响范围,可将反应堆保护系统符合逻辑可分为整体符合逻辑和局部符合逻辑,分别对应通道旁通和参数旁通。
2.1、整体符合逻辑
CPR1000机组反应堆保护系统整体符合逻辑为四取二逻辑,由4组与保护通道对应的停堆断路器电路实现。正常运行时,任意两个通道的停堆信号触发可断开对应的停堆断路器,实现四取二停堆;当一个通道旁通时,强制该通道对应断路器闭合可将符合逻辑退化为三取二;当第二个通道旁通时,强制对应断路器断开可将符合逻辑退化为三取二;当第三个通道旁通时,强制对应断路器断开触发停堆。
通道旁通触发对应停堆断路器闭合或断开功能由保护系统逻辑实现,当只有一个通道旁通时,旁通逻辑闭锁本通道停堆信号,使对应停堆断路器的失电线圈带电保持停堆断路器闭合;当第二个通道旁通时,旁通逻辑直接触发该通道发出跳堆信号,使对应停堆断路断开。旁通逻辑简图如下图2所示:
.png)
图2:通道旁通逻辑简图
2.2、局部符合逻辑
2.2.1、局部符合逻辑的类型
根据保护信号的参数冗余数量,局部符合逻辑又分为:四取二逻辑、三取二逻辑和二取一逻辑。以四取二符合逻辑为例:同一物理量的4个测量信号分别被四个通道采集,并在各自的通道内进行逻辑计算,生成4个阈值判断结果; 4个阈值判断结果在每个通道内均进行四取二计算,生成本通道停堆信号;通道停堆信号控制对应的停堆断路器断开实现紧急停堆。对于三取二或二取一符合逻辑,无测量信号的保护通道不进行阈值判断,仅接受其他通道的阈值判断结果进行三取二或二取一符合逻辑计算。
2.2.2、局部符合逻辑的退化
参数旁通时,符合逻辑的退化功能通过逻辑实现。对于四取二符合逻辑:当一个参数旁通时,退化逻辑强制该参数阈值输出为零,符合逻辑退化为三取二;当两个参数旁通时,退化逻辑由未旁通的参数触发,符合逻辑退化为二取一;当三个参数旁通时,直接触发跳堆信号。四取二符合逻辑的退化如图3所示。
.png)
图3:四取二符合逻辑的退化
对于三取二符合逻辑:当一个参数旁通时,退化逻辑强制该参数阈值输出为1,符合逻辑退化为二取一;当两个参数旁通时,退化逻辑强制两个参数阈值输出为1,触发跳堆信号。
二取一符合逻辑分为两种:一是当一个参数旁通时,触发动作,如SG水位、蒸汽流量和汽水失配信号等需要叠加其他条件引发跳堆的信号;二是当一个参数旁通时退化为一取一,当两个参数旁通时,触发动作,如源量程和中间量程跳堆信号。
纵上,局部符合逻辑的退化情况如表1所示:
.png)
表1:局部符合逻辑退化类型
2.3、通道旁通对局部符合逻辑的影响
测量信号是通过通道采集并进行阈值判断的,当设备故障或其他原因引发通道旁通时,该通道内的所有信息均不可信,测量信号也应该被旁路出逻辑计算。即通道旁通不仅使该通道的“整体符合逻辑”退化,还会造成该通道内的所有测量信号参与的“局部符合逻辑”退化。故叠加通道旁通对局部符合逻辑的影响后,当一个通道旁通时,对应的停堆断路器强制闭合,该通道内所以测量信号参与的局部符合逻辑自动退化;当两个通道旁通时,由于三取二和二取一局部符合逻辑退化为动作触发会导致反应堆停堆或安注。
3、CPR1000机组反应堆保护系统存在的问题
3.1、二取一逻辑对可靠性的影响
保护系统的可靠性通常通过拒动概率和误动概率来衡量。拒动概率是指保护系统不能正常动作的概率,与保护信号或通道的数量成反比;误动概率是指保护系统误触发的概率,与保护信号或通道的数量成正比,在保护系统的可靠性设计中需折衷考虑两者的影响。根据概率论二项式分布公式推算可知,采用三取二和四取二逻辑可使综合故障率降低。概率论二项式分布公式推算的符合逻辑故障概率如表4所示。
.png)
表4:符合逻辑故障概率一览表
CPR1000机组反应堆保护系统中的二取一局部符合逻辑增加了系统拒动概率和误动概率,降低了系统的整体可靠性。
3.2、三取二逻辑对可靠性的影响
国标GB/T 13284.1-2008规定“在监测指令设备处于维修旁通状态时,安全系统应保持完成其安全功能的能力。在维修旁通期间,监测指令设备应继续单一故障准则。注:在维修旁通期间,对于不能满足单一故障准则,应证明设备运行具有可接受的可靠性(例如,为了维修旁通而允许退出运行的时间足够短,或者采取附加措施,或者两种兼备,从而对整个检测指令设备的可用性没有明显的有害影响,)”由3.3节分析可知当某通道维修旁通时,该通道参与的三取二符合逻辑退化为二取一。此时如果任意保护信号发生仪表故障,反应堆保护系统将直接停堆,无法满足单一故障准则。另外,在参数旁通按钮和通道旁通按钮的设计上,未从设计闭锁参数旁通和通道旁通的同时投入,仅通过行政管理手段不能从根本上避免误停堆的风险。
4、结论
CPR1000机组反应堆保护系统通过整体符合逻辑和局部符合逻辑的设置,提升了系统的整体可靠性,使系统在正常运行工况满足法规要求的单一故障准则和事故安全准则。但由于三取二符合逻辑和二取一符合逻辑的存在,当某一通道维修旁通导致符合逻辑退化时系统无法满足单一故障准则,另外无闭锁逻辑的旁通按钮设计也增加了误操作引入多通道旁通的风险。只能通过行政管理手段如行政授权、缩短通道旁通时间等方法,满足国标GB/T 13284.1-2008对维修旁通下保护系统可靠性的要求。