岭澳二期核电站数字化反应堆保护系统

核电站控制保护

第29卷 第1 期 2 0 0 8 年2月

文章编号：0258-0926(2008)01-0001-05

核 动 力 工 程

Nuclear Power Engineering

Vol. 29. No.1 Feb. 2 0 0 8

岭澳二期核电站数字化反应堆保护系统

刘宏春，王涛涛，王华金，周继翔1，刘光明3，许东方1

（1. 中国核动力研究设计院核反应堆系统设计技术国家级重点实验室，成都，610041； 2. 中国核动力研究设计院，成都，610041；3. 中广核工程设计有限公司，广东深圳，518000）

121

摘要：岭澳二期核电站反应堆保护系统是我国自主设计的第一个数字化反应堆保护系统。本文介绍了岭澳二期核电站数字化反应堆保护系统的总体结构、设计特点、定期试验以及自检等方面的内容。

关键词：核电站；数字化反应堆保护系统；定期试验 中图分类号：TL36 文献标识码：A

1 前 言

反应堆保护系统是核电站重要的安全系统，它监测与反应堆安全有关的重要参数，当这些参数达到安全分析确定的整定值时自动触发紧急停堆和/或启动专设安全设施，以限制事故的发展和减轻事故后果，保证反应堆及核电站设备和人员的安全，防止放射性物质向周围环境释放。

岭澳二期核电站反应堆保护系统采用AREVA NP数字化仪表控制平台TXS。与模拟技术相比，数字技术在改善核电厂可用性、可靠性、可维修性、经济性、抗过时性以及灵活性方面具有较大的优势。本文介绍了岭澳二期核电站数字化反应堆保护系统的总体结构、设计特点、定期试验以及自检等方面的内容。

2 总体结构

岭澳二期核电站数字化反应堆保护系统的总体结构如图1所示。为了满足单一故障准则，系统采用了多重性的设计。整个系统由4个保护仪表组(ⅠP、ⅡP、ⅢP、ⅣP)和2个逻辑系列(A、B)组成。为了应对共模故障，系统采用了功能多样性设计，即将保护参数分成2个多样性子组(多样性子组1和2)，分别在不同的计算机单元进行处理。

2.1 保护仪表组

反应堆保护系统的上游为4重冗余的保护仪表组。为了满足独立性要求，4个保护仪表组

分布在4个隔离的连接厂房内。每个保护仪表组主要包括以下单元。

2.1.1 保护仪表预处理单元(PIPS) PIPS用于向过程测量仪表进行供电并采集过程测量仪表送来的模拟量信号，将这些信号隔离后分配到需要的地方。如：保护系统的采集处理单元APU、过程控制系统、反应堆功率调节系统或者去后备盘指示。

2.1.2 核测量单元 用于采集和调理核中子探测器送来的表征核功率的信号，包括源量程探测器送来的脉冲信号、中间量程探测器和功率量程探测器送来的电流信号。

2.1.3 采集处理单元(APU) 其中，APU1和APU2对应多样性保护子组1，APU3和APU4对应多样性保护子组2。APU主要执行以下功能：采集PIPS和核测量单元送出的模拟量信号，将这些信号转换为数字量，经过定值比较运算后产生表决所需的“局部脱扣信号”，并通过光纤通讯网络把这些“脱扣信号”送到下游对应子系统的驱动逻辑单元(ALU)。

2.1.4 传输单元(TU) 主要执行监测及信号传输功能，如：采集所在保护组内的APU机柜门打开、供电故障、通风故障及每个CPU的看门狗电路的运行等信号，并传输报警和信息到位于逻辑系列A和B中的传输单元TU1。

2.2 逻辑系列

反应堆保护系统的下游为两个冗余的逻辑

收稿日期：2007-01-15；修回日期：2007-04-20

核电站控制保护

2核 动 力 工 程 Vol. 29. No. 1. 2008

图1 岭澳二期核电站数字化反应堆保护系统结构简图

Fig. 1 Architecture of Digital Reactor Protection System for Ling’ao Phase II NPP

系列，即逻辑系列A和逻辑系列B。为了满足独立性的要求，两个系列分别布置在两个隔离的电气厂房内。每个逻辑系列主要包括以下5个单元。 2.2.1 驱动逻辑单元(ALU) 对于每一个多样性子组，设计了两个半逻辑X和Y，进行相同的逻辑处理。对于停堆保护功能，为了减少系统的误动作，它们的输出设计成“与”的关系，即只有X和Y同时输出信号时才产生紧急停堆信号。而对于专设系统驱动功能，为了提高系统的可用率，输出设计成“或”的关系，即只要X或Y输出信号时便产生启动专设安全设施的信号。ALUX1和ALUY1对应于多样性保护子组1的两个半逻辑，ALUX2和ALUY2对应于多样性保护子组2的两个半逻辑。ALU单元接收上游保护仪表组中与之位于同一多样性子组的APU送来的“局部脱扣信号”，对这些信号进行“2/3”、“2/4”等保护逻辑运算，处理的结果被送到停堆断路器屏，用于打开停堆断路器或/和送往优先级驱动控制单元PAC进行优先级处理，用于控制专设安全设施驱动器。

2.2.2 优先级驱动控制单元(PAC) PAC执行优先级驱动控制功能，针对每一个安全驱动器，来自反应堆保护系统、电厂标准自动系统、安全信息控制系统(SICS)的驱动信号在此进行优先级判别，最终产生一个信号用于驱动专设安全设施驱

动器。

2.2.3 传输单元TU1和TU2 主要功能包括采集所在逻辑系列内的ALU处理的一致性、ALU机柜门打开、供电故障、通风故障及每个CPU的看门狗电路的运行状态等信号，并通过网关传输报警、指示等信号到电厂总线网络。

2.2.4 网关 用于信息的传输和网络协议的转换。

2.2.5 盘接口PI PI为保护系统与后备盘(BUP)的接口。保护系统内部的部分重要信号作为失去计算机化的控制方式(MCM)后的指示和报警都经由PI送往后备盘，从后备盘发出的保护动作的复位/闭锁指令也经PI送到保护系统。

3 设计特点

岭澳二期核电站数字化反应堆保护系统的设计不仅充分考虑了数字化技术的特点，采取了诸如“表决逻辑退化处理”、“保护参数的功能多样性分组”等设计，同时还设计了多样性的停堆方式。因此，不仅使该系统能更可靠地提供保护功能，而且又能提高电厂的可利用率。 3.1 表决逻辑退化处理

为了保证在一个或多个保护仪表通道因故障或试验而退出运行时，剩余的保护通道仍然满

足单一故障准则，同时为了最大程度地保证电厂

核电站控制保护

刘宏春等：岭澳二期核电站数字化反应堆保护系统 3

的可用性，岭澳二期核电站反应堆保护系统设计了表决逻辑退化处理功能。

岭澳二期核电站数字化技术的一个重要特点就是引入了软件，在软件中设置诸如对保护输入变量进行量程校验、对4个冗余的输入变量(或者是3个，根据仪表冗余度而定)进行互相比较等功能，能够方便地检测出保护仪表通道是否处于故障状态。另外，如果APU上游的某个仪表通道正处于试验状态，将由其送出一个表征通道试验的状态信号到相应的信号采集处理单元APU。

APU在获悉某个测量仪表通道处于故障或者试验状态之后，将对由此通道送出的保护信号附上一个“试验或故障状态”的属性，送往下游的逻辑处理单元ALU。

如果故障发生在某个采集处理单元APU内，那么通过自检，系统将识别出该APU单元。

当ALU获悉上游的保护仪表通道由于故障或者试验而不可用时，将自动进行表决逻辑的退化处理。例如，对于“2/4”表决逻辑，如果4个保护通道中某一个通道不可用，那么表决逻辑将自动地从“2/4”退化到“2/3”，如果两个通道处于不可用状态，表决逻辑将退化到“1/2”，此时，如果再出现一个通道不可用，“1/2”表决条件将满足，系统将发出保护信号。

考虑到“2/3”退化到“1/2”之后可能会在一定程度上增加系统的误动概率，在设计上考虑了尽量避免由“2/3”直接退化到“1/2”。因此，对用于“2/3”表决逻辑的保护信号，每个多样性子组的两个APU单元将同时采集。如果是某一通道内同一子组中的某个APU由于故障或维护而变得不可用，该子组内的另一个APU将继续执行信号采集处理功能，表决逻辑不进行退化。只有当某一通道内的某个子组全部不可用时，例如，APU的上游处于故障或者试验或者该子组的两个APU单元都不可用，表决逻辑才从“2/3”退化到“1/2”。

3.2 接口方式的设计

数字化设备的引入使得保护系统的内、外部接口不再只采用单一的硬接线技术，而同时选用了目前被广泛用于计算机通讯的网络通讯技术。保护系统内部信号的连接采用光纤通讯网络SINEC L2、SINEC H1及硬接线3种形式；保护

系统与外部系统的接口采用光纤网络和硬接线两种方式实现。

(1)光纤网络：即将外部系统所需数据通过传输单元(TU)、网关经SINEC H1网络送到电厂总线网络，目标系统将从电厂总线网上获取其所需的信息。这主要是针对信号的接收方对信号的响应时间要求不高、同时又与保护系统可以进行网络通讯的情况，如送到主控制室进行报警和显示的信号。

(2)硬接线：这主要是针对那些对响应时间要求高，或者信号接收方无法与保护系统进行网络通讯的情况。例如，由于响应时间的要求，保护系统送到蒸汽排放(GCTc)系统，参与GCTc控制的信号采用了硬接线。

虽然光纤通讯处理器的处理时间会在一定程度上增加保护系统的响应时间，但是光纤网络增强了信号隔离功能，降低了信号衰减，延长了信号的传输距离，减少了电磁干扰，极大地减少了电缆的数量。

3.3 停堆断路器

考虑到“2/4”表决逻辑在减少误动和拒动的概率方面优于“1/2”表决逻辑，因此，为了增加紧急停堆的可靠性和减少误停堆概率，设计了8个停堆断路器的结构用于控制停堆(图2)。8个停堆断路器平均分配在4个组中，即AX、AY、BX、BY。 A系列控制AX、AY两组断路器，B系列控制BX、BY两组断路器。4组断路器采取“2/4”的方式控制停堆。即AX、AY、BX、BY中有两组或者两组以上断路器打开，控制棒线圈将失去供电，保持钩爪打开，靠自重插入堆芯，从而实现安全停堆。

图2 停堆断路器的组合连接图

Fig. 2 Connection of Reactor Trip Breakers

3.4 保护系统的多样性设计

为了减缓共模故障可能带来的后果，岭澳二期核电站反应堆保护系统广泛采用了多样性的设计，如设备的多样性、功能的多样性和软件多样性。岭澳二期核电站反应堆保护系统的多样性设

核电站控制保护

4核 动 力 工 程 Vol. 29. No. 1. 2008

计主要体现在以下几个方面：

(1)由于维护或者死机等因素将导致计算机化的操作员工作站不可用。为了保证在主计算机化的控制方式计划或非计划不可用期间，操作员能够发出保护系统安全保护动作的复位/闭锁指令，并且与保护动作相关的重要报警与指示能被操作员获悉，在主控制室的常规后备盘上设置了与保护系统有关的操作和重要信息显示。除此之外，在主控室的两台操作员工作站之间还设置有紧急控制盘 (ECP)。作为自动保护动作的后备，在ECP上设置了用于紧急启动保护动作(例如：停堆、安注等)的手动常规按钮。

(2)为了应对应用软件的共模故障，设计了保护参数的功能多样性分组，尽可能地将执行同一保护功能的多样性保护参数分配在不同的多样性子组中，并分别在不同的计算机单元进行处理。整个系统分为多样性子组1和多样性子组2，由于保护参数的功能多样性带来了应用软件的多样性，因此，任何一个子组由于应用软件的共模故障而失去保护功能，另一个子组仍然可以提供保护功能。

(3)为了防止停堆断路器发生共模故障而无法实现停堆，系统还设计了另一种多样性停堆方式，即系列A和B各送出两个信号到控制棒驱动电源柜(RDU)，这些信号由保护系统本身的停堆信号延时2 s产生，RDU接收到反应堆保护系统A、B列共4个信号后，对这4个信号进行“2/4”表决处理，产生一个控制信号切断控制棒线圈供电，从而实现掉棒停堆。

3.5 系统的在线自检及定期试验

在电厂正常运行期间，反应堆保护系统是不会触发保护动作的。为了检验整个系统的可用性，必须对保护系统的性能和功能进行检查。

数字化设备中软件的引入使设备的自检更加容易。操作系统具有对基本的输入/输出模块和

网络通讯连接进行循环在线自检的功能。通过设

计自检程序对来自4重冗余的仪表通道的信号进行比较或者对同一子组中的冗余的采集处理单元送出的信号进行比较等方式，可以监测设备的运行；系统还设计了看门狗电路用于监测软件的运行。因此，保护仪表通道和逻辑处理部分的试验主要依靠上述方式完成。对于循环自检不能覆盖的部分的试验，系统还设计了定期试验的方式。主要包括：

(1)通过设计合理的连接方式，使保护系统与外部系统的硬接线连接测试变得简单，操作员只要在服务单元(SU)上启动测试程序，测试将自动进行。

(2)采用8个停堆断路器的连接方式使停堆断路器的试验变得简化。停堆断路器的试验按AX、AY、BX、BY分组进行，每次试验一组停堆断路器，由于断路器采用“2/4”逻辑组合，因而一组断路器的打开不会引起停堆。停堆断路器的试验在服务单元和操作员工作站上进行。

(3)在电厂运行期间，专设驱动器的试验在控制室的操作员工作站上进行。通过分析将专设驱动器进行合理的分组，操作员只需操作相应的试验开关，发出信号到对应的驱动器组驱动最终设备动作；余下的少数驱动器(它们的动作与电厂运行不相容)将通过电气连续性试验进行检查。

4 结束语

岭澳二期核电站反应堆保护系统设计充分利用了数字化技术所带来的优势，使整个电厂在安全性和经济性上都有所提高。岭澳二期核电站数字化保护系统作为我国自主设计的第一个数字化反应堆保护系统，为我国数字化核电技术的自主设计树立了一个良好的开端，并为我国数字化核电技术的自主研发打下了坚实的基础。

(下转第9页)

核电站控制保护

何正熙等：秦山核电二期扩建工程堆芯冷却监测系统设计 9

Design of Inadequate Core Cooling Monitoring System in

Qinshan Phase II Extension Project

HE Zheng-xi, LI Bai, WU Jun, ZHANG Fan

（National Key Laboratory of Reactor System Design Technology, Nuclear Power Institute of China, Chengdu, 610041, China）

Abstract: Since the equipment of Inadequate Core Cooling Monitoring System (ICCMS) applied in Qinshan phase II project has not been produced any longer, TXS will be applied in ICCMS as an alternative choice in Qinshan phase II extension project. This paper gives a generally description of the structure and theory of ICCMS in the extension project.

Key words: Inadequate Core Cooling Monitoring System (ICCMS), TXS, Decentralization control system

作者简介：

何正熙(1983—)，男。2004年毕业于哈尔滨工程大学核工程与和技术专业，获学士学位。现主要从事仪表与控制专业的研究与设计工作。

李 白(1977—)，男。1999年毕业于天津大学自动化仪表专业，获学士学位。现主要从事仪表与控制专业的研究与设计工作。

吴 峻(1971—)，男。1993年毕业于重庆大学自动化专业，获学士学位。现主要从事控制设备的采购、监造工作。

(责任编辑：孙华平)

(上接第4页)

Design of Digital Reactor Protection System of

Ling’ao Phase II NPP

LIU Hong-chun, WANG Tao-tao, WANG Hua-jin1, ZHOU Ji-xiang1,

LIU Guang-ming3, XU Dong-fang1

（1. National Key Laboratory of Reactor System Design Technology, Nuclear Power Institute of China,

Chengdu, 610041, China; 2. Nuclear Power Institute of China, Chengdu, 610041, China; 3. China Nuclear Power Design Co. Ltd, Guangdong, Shenzhen, 518000, China）

12

Abstract: The Reactor Protection System of Ling’ao Phase II NPP is the first digital reactor protection system which is designed by China. In this paper, the general architecture, the design characteristics, the periodic test and the self-monitoring of the Reactor Protection System are introduced.

Key words: Nuclear power plant, Digital Reactor Protection System, Periodic test

作者简介：

刘宏春(1979—)，男，助理工程师。2004年毕业于哈尔滨工程大学核能科学与工程专业，获硕士学位。现从事反应堆保护系统设计研究工作。

王涛涛(1981—)，男，助理工程师。2002年毕业于西安交通大学核工程与核技术应用专业。现从事反应堆控制系统设计研究工作。

王华金(1969—)，男，高级工程师。1992年毕业于华东化工学院应用电子技术专业。现从事反应堆仪表控制及电气系统的主持设计及研究工作。

(责任编辑：张明军)

本文来源：https://www.bwwdw.com/article/5mf1.html