郭 城

（大亚湾核电运营管理责任有限公司，广东 518124）

1 高压缸调节级压力仪表的作用

核电站汽轮机一般采取喷嘴调节，喷嘴分为几组，每组各由一只调节阀控制，运行时通过依次启闭这些调节阀来调节进汽量。由于高压缸调节级喷嘴后的压力与汽机功率之间有很好的线性关系，因此喷嘴后的高压缸入口压力，可以用来表征核电机组汽机功率。其中大亚湾／岭澳核电站采用GRE023／024MP表征，岭澳二期采用GRE022／023／024／MP表征，两种表征方法在相关控制保护实现方式上存在一些差异。

1.1 汽机旁路排冷凝器系统的逻辑与控制

大亚湾／岭澳核电站采用GRE023MP产生汽机旁路排冷凝器允许信号（C7A、C7B）及短电网故障信号（GCT406XU）。

岭澳二期核电站采用GRE022／023／024MP，通过表决器或手动选择其一产生C7A、C7B及GCT406XU信号。

大亚湾／岭澳核电站的GRE024MP把高压缸的入口压力作为汽机负荷的表征，与最终功率整定值高选生成汽机旁路排冷凝器系统（GCTC）在温度模式下用于控制其开度的参考温度（Tref），与一回路最高温度（Tavgmax）进行比较产生温差ΔT，然后与GRE024MP和最终功率整定值比较，形成一二回路功率偏差产生的温度偏差信号相加，用于控制GCT－C排放阀的开启（快开或调制开启）和开度。

岭澳二期核电站采用GRE022／023／024MP，通过表决器或手动选择其一作为高压缸入口压力，代表汽机负荷，与最终功率整定值高选生成GCT－C在温度模式下用于控制其开度的Tref，与一回路Tavgmax相比较，产生温差ΔT，最终功率整定值比较形成一二回路功率偏差产生的温度偏差信号相加以控制GCT－C排放阀的开启方式（快开或调制开启）和开度。

1.2 蒸发器水位、控制棒及稳压器水位控制

大亚湾／岭澳核电站通过选择开关（402CC）高选或二者之一后参与控制汽机负荷，与除氧器排放（ADG）及冷凝器排放（GCT）的有效信号相加后，作为总的二回路负荷，生成形成蒸汽发生器（SG）水位控制中的水位整定值（Lref）。作为二回路负荷，先与最终功率整定值选大后送往控制棒控制（RGL）系统生成Tref，与Tavg比较产生温度偏差，控制温度控制棒的动作。作为二回路负荷，还与最终功率整定值选大后送往RGL系统生成Tref，与Tavg比较后作为前馈信号，对稳压器（PZR）水位整定值进行修正。

岭澳二期核电站GRE022／023／024MP通过表决器或手动选择其一参与控制，实现SG水位控制中的Lref，控制温度控制棒的动作及对PZR水位整定值进行修正。

1.3 反应堆停堆保护信号

大亚湾／岭澳核电站GRE023／024MP用于2取1生成P13（汽机功率大于12%Pn），进而产生P7（核功率大于10%Pn）。P7参与稳压器（86%水位，13MPa）、蒸发器（75%水位）、主泵（1 365r／min，88.8%Qn，主泵断路器跳闸）6个停堆信号保护。

岭澳二期核电站GRE022／023／024MP用于3取2生成P13（汽机功率大于12%Pn），进而产生P7（核功率大于10%Pn）。P7参与稳压器（86%水位，13MPa）、蒸发器（75%水位）、主泵（1 365r／min，88.8%Qn，主泵断路器跳闸）6个停堆信号保护。

1.4 安全注入信号

大亚湾／岭澳核电站及岭澳二期核电站均为GRE023／024MP分别经函数发生器（GRE401／402GD）形成蒸汽流量高整定值，与蒸汽发生器的蒸汽流量（VVP004／005／006MD）或VVP001／002／003MD比较，决定是否发出蒸汽流量高20%信号，或者产生蒸汽发生器蒸汽流量高信号。在一回路温度低低及蒸汽发生器压力低低的情况下，触发安全注入信号。

通过上面的分析，可以看到在生成蒸汽流量高的安全注入保护信号方面，岭澳二期与大亚湾／岭澳相同，由此导致相应的保护触发的可能性增大，甚至发生事故。事实上，大亚湾／岭澳及岭澳二期核电站发生的几起高压缸入口压力表故障的事件，分析结果都表明触发安注信号或存在着安注风险。

2 大亚湾核电站的故障及处理

2004年8月的某日，大亚湾2号机主控发现GRE023MP缓慢下漂，立即执行核蒸汽供应系统控制装置和安全设施故障处理（IRRC／RPR）规程进行处理，将相关控制切至备用仪表GRE024MP位置。不久GRE023MP阶跃下漂至8%，现场报告其仪表的下游管道断裂。事故发生后立即采取措施，将GRE023MP置安全位置，将所有调节系统的供电由控制电源第三组（SIP3）切换到SIP4。由于GRE023MP置于安全位置，因此触发的是P13（汽机功率大于10%Pn，1／2）和三台SG的蒸汽流量高信号（高于定值20%）。其中P13进而产生P7，P7参与稳压器（86%水位，13MPa）、蒸汽发生器（75%水位）、主泵（1 365r／min，88.8%Qn，主泵断路器跳闸）6个停堆信号保护。正常情况下，GRE023／024MP分别经GRE401／402GD形成蒸汽流量高整定值，与VVP004／005／006MD或VVP001／002／003MD比较，决定是否发出蒸汽流量高20%信号。GRE023MP置安全位置后，触发每台SG各一列蒸汽流量高信号，输送至反应堆保护系统（RPR）。

每台SG蒸汽流量高信号2取1，然后3台SG蒸汽流量高信号3取2。两台以上SG蒸汽流量高加主蒸汽压力低低（3.55MPa，2／3）或一回路平均温度低低（P12）时会导致安注信号触发。

从事件本身分析，GRE023MP下游管道泄漏进而断裂，导致GRE023MP阶跃下降至8%，触发C7A／C7B信号。C7A／C7B信号一直存在，增加了一回路温度下降，P12信号出现风险。GRE023MP置于安全位置后，触发P13和蒸汽流量高信号，增加了停堆保护信号和安注信号触发的可能性。

3 岭澳二期核电站的故障及处理

2010年1月的某日，岭澳二期3号机主控室应急停堆（ECP）盘上出现安注／安全壳隔离A阶段／停堆信号，操纵员确认安注信号已触发，并确认安注动作对机组状态无影响。原因是由于GRE024MP上的录波工作导致VVP001／002／003MD产生蒸汽流量高信号，再叠加蒸汽压力低低与无一回路P12闭锁，最终产生安注信号以及安注后相应系统的保护动作。

再从信号源头查得，由于GRE024MP的信号采集回路显示坏点（之后查得是由于GRE024MP卡件保险烧毁引起），即数据为FAULT状态，该信号去SF019功能组的sheet2来生成VVP001／002／003MD的整定值，使得VVP流量整定值为FAULT状态。因为先前无P4（停堆）或C8（跳机）信号，如果此时有P4或C8信号存在，则选择模块SWS将VVP001／002／003MD整定值选为40%FFR不变，就不会触发VVP流量整定值故障信号。所以，由安注引发P4立即导致VVP流量高信号消失，故安注信号闪发后立即消失。

VVP流量整定值信号进入SF019的sheet6，由于VVP001／002／003MD的蒸汽流量整定值为FAULT状态，不与SI022采集的VVP001／002／003MD实际值作差也不进行阈值判断，直接输出FAULT状态的开关量进入ALU；1／2表决模块12Y的4路输入信号中的2路信号来自SIP IV中的APU3和APU4均为FAULT，导致3个1／2表决模块12Y都输出FAULT状态的开关量去表决模块23V表决。根据表决模块23V的说明书，3个输入量都为FAULT时输出为1，则降级驱动，故最终产生安注（SI）信号。

4 改进建议

大亚湾／岭澳和岭澳二期核电站都曾出现过因GRE压力仪表故障可能及触发安注动作的事件。由于大亚湾／岭澳核电站仅有两个仪表（GRE023MP／024MP），必须有一个作为蒸汽流量的参考值参与反应堆保护。但是由于设计中考虑到独立性及冗余性，采用了GRE023／024MP分别对应单个蒸汽发生器一个蒸汽流量表，结果造成了安注风险。大亚湾／岭澳核电站采取模拟控制保护，较难避免单个GRE仪表故障可能出现安注动作的现象，必须通过培训及规程强调防止事件发生。

岭澳二期采用DCS控制技术，增加了仪表的GRE022MP，而且在其他的控制保护中广泛采用表决器，防止出现单一仪表故障造成保护动作，但是高蒸汽流量保护部分没有采取相应的设计。为了降低此类事件的风险是否需要改进，如何改进都是值得进一步探讨的。GRE仪表在参与高蒸汽流量保护中仅提供参考值，而且仪表取自汽轮机同一部分，因此在满足相应保护设计准则的前提下可以改造，改造的关键是利用三个GRE压力表对蒸汽发生器流量计进行比较。

保护系统设计准则包括单一故障准则、冗余性和独立性、多样性、故障安全、逻辑符合、可试验性和可维修性，其中冗余性和独立性是仪表设计中必须考虑的。在把冗余性的原则应用到逻辑系统、执行器和电源时，为了排除由于环境因素和电气物理现象的相关影响，要求具有相同保护功能的重复通道之间应彼此独立，保持物理上的分离和电气上的隔离，以免丧失冗余性。独立性是采用冗余技术的前提，也是克服由单一故障引起故障，实现在线检验和维修的重要措施，因此也要求在保护系统与控制乃至与其他系统之间，保持电气上和结构上的相互独立。

根据前面的讨论，为防止单个仪表故障的安注风险，可以将GRE022／023／024MP经过表决器产生一个压力值作为二回路负荷的参考值，对每一个蒸发器的蒸汽流量进行比较。但是这样又会造成不同电源的仪表间信号传递问题，违反电源的独立性和冗余性。

为了避免单一仪表故障触发安注，同时保证电源的独立性和冗余性，可以将GRE022MP加入对蒸汽发生器流量计的校正，由其供电为SIP I保证独立性要求。根据供电电源对蒸汽流量及GRE压力，可以采用表1的设置。

表1 改造后仪表供电分布

由于岭澳二期采用DCS技术，因此相应的修改只要在对应的机柜上修改程序，并对仪表的供电（包括对蒸汽流量表的供电）稍作修改即可。仪表的电源如表2。

表2 蒸汽流量表的供电变更

如果按照表2配置，可以防止出现单一GRE仪表故障触发保护动作的可能性。

5 结论

由于设计的缺陷，岭澳二期核电站GRE023／024MP一旦发生故障有触发安注误动作的风险。建议采取改造的方式，将GRE022MP引入蒸汽流量高的保护，并对GRE各仪表的供电及相应的对蒸汽发生器蒸汽流量的比较作修改，保证单个GRE仪表的故障不再有安注误动作的风险，提高机组的安全可靠性。