北京广利核系统工程有限公司 赵勇

1 引言

福岛事件体现出目前全球运行的核电机组不能完全排除发生严重事故的可能性，因为对于小概率但可能发生的一些事件(极端外部自然灾害、人为恶意行为等)的抵御能力不足。况且在役机组自身还存在着弱点(安全设计基准不够高、对堆芯熔化和严重事故缓解能力差、老化等)，很多事故处理要依靠人的因素，不能排除人为错误的可能性。因此，预防和缓解并重成为国际核电界的共识。阳江5、6号机组是在总结和吸取了福岛事件的经验和教训基础上，对CPR1000压水堆进行了大量的改进设计，增加了缓解严重事故的措施以达到防止堆芯熔化、熔化后的压力容器不损坏、容器损坏后安全壳的完整性不破坏的目的。阳江5、6号机组反应堆保护系统针对专设安全设施驱动系统进行改进设计，将1E级功能与SR级功能分离，增加1E级手动控制，提高了系统的可靠性。

2 功能分级

阳江5、6号机组控制保护系统的功能分类延续了CPR1000压水堆核电站仪控系统功能分级方法。仪表和控制系统所执行的功能根据对安全的重要性分为：

• 1E：为达到稳定状态在短期阶段所需的安全功能；

• SR：为达到安全状态在中、长期阶段（手动操作阶段）所需的安全功能；

• NC：除1E和SR之外的功能。

2.1 1E级功能

IEEE-603对1E级功能的定义为：安全级(简称1E级)的仪表系统及其供电设备，是完成反应堆安全停堆、安全壳隔离、堆芯冷却以及从安全壳和反应堆排出热量所必需的，或者是防止放射性物质向环境过量排放所必需的。系统设计中，1E功能定义为：为达到稳定状态在短期阶段所需的安全功能。反应堆保护系统由RTS、ESFAS、PAMS几个子系统构成，主要有如下功能：

（1）反应堆紧急停堆

（2）驱动专设安全设施

• 安全注入；

• 蒸汽管道隔离；

• 安全壳隔离A阶段；

• 主给水隔离；

• 辅助给水系统启动；• 安全喷淋；

• 安全壳隔离B阶段。

（3）驱动支持系统

• 启动柴油发电机，控制甩负荷和重启顺序；

• 高辐射情况下，启动通风等辅助设备。

（4）汽轮机自动跳机

（5）生成允许信号

（6）手动停堆及手动启动安全专设

（7）堆芯冷却监测

（8）蒸汽大气排放阀（GCT-a）的自动和手动控制

（9）事故后监视

2.2 SR级功能

SR级功能定义为：为达到安全状态在中、长期段（手动操作阶段）所需的安全功能。

2.3 NC级功能

NC级功能定义为非安全重要系统，即除1E、SR级以外功能，在实现或保持核电厂安全方面无明显作用。

3 安全功能的实现

反应堆保护系统是核电站中重要的安全系统，主要用于保护核电厂、环境及人员的安全，并且当核电厂出现事故时，保护核电厂的主要设备、人员的安全，控制放射性对环境的影响，属于核电厂1E级电气设备。阳江5、6号机组反应堆保护系统包括紧急停堆系统、专设安全设施驱动系统、事故后监视系统。

按照IEC-61513的要求，较低级别的安全功能可以采用更高安全级的设备实现。在阳江5、6号中主要执行1E和SR两种级别的安全功能，按照低级的功能可以在较高级的I&C系统中实现原则，在本方案中将SR功能升级到安全级DCS-FirmSys中实现。

阳江5、6号机组反应堆保护系统不同安全功能分级与DCS平台的对应关系如图1所示。

图1 功能分级与DCS平台对应关系

4 基于FirmSys保护系统架构及简介

图2 保护系统架构图

基于FirmSys的阳江5、6号机组反应堆安全级保护系统（以下简称保护系统）是一个分布式的、多通道的、冗余的计算机系统，能够执行反应堆紧急停堆、专设安全设施驱动、事故后监视等安全重要功能。保护系统分为Level1、Level2上下两层以及安全网络，Level1和Level2之间主要通过数据传输单元进行保护系统内部数据传递同时也有一部分硬接线连接，保护系统与其它系统之间是通过网关进行数据传递。如图2所示。

（1）反应堆停堆子系统（RTS）

反应堆停堆子系统设置四个保护功能通道。为了实现保护功能的多样性，每个通道由两个功能完全独立的子组组成。同时每个子组内部又由两个主备冗余的控制器实现设备的冗余。每组控制器均可触发反应堆紧急停堆。对于大部分设计基准事件，至少有两个多样性的传感器信号用于触发反应堆紧急停堆。对于不具备两个多样性传感器信号的事件，将通过分配装置将相同的传感器信号同时分配到这两组功能多样性的控制器中。

（2）专设子系统（含：ESFAS、SRS）

专设安全驱动系统（ESFAS），主要负责1E级设备的状态监视与运行控制。由两个独立的A、B列组成，每列可独立完成安全保护功能，以实现保护功能的冗余。每个控制站配置结构设计为并行冗余的控制器实现设备的冗余。

安全相关控制系统（SRS），其安全重要性低于安全重要系统，但又与安全重要系统的实现密切相关，所以其重要性又高于非安全级系统。安全相关控制系统的主要实现报警管理、设备操作管理、对硬件或设备的状态监测以及支持安全重要系统正常运行的相关的系统或设备的控制。

（3）事故后监视子系统（PAMS）

PAMS系统包括常规的PAMS仪表及P-VDU显示，显示部分全部安置在主控室内的BUP上，分Train A和Train B两列，实现事故后参数监视功能和安全级设备的报警功能。主要完成参数监视、堆芯温度监视、棒位显示、记录和趋势组显示以及安全级设备报警。

5 系统功能分级及实现（如表1所示）

表1 系统功能分级与设备分级对应表

6 功能分配原则

（1）1E、SR功能分离

1E、SR功能虽然都采用安全级DCS实现，但由于安全级别不同，为了尽量避免1E功能受SR功能的影响，1E功能应与SR功能分布到不同的控制站中。

（2）功能多样性原则

在上游需求文件中，考虑了共因故障的影响，对某些安全功能进行了功能多样性的设计，这些实现多样性的功能应分别分配到不同的控制站中。

（3）功能分散原则

如果两个或多个工艺系统同时故障（如拒动或误动）会危及电站安全或产生经济损失，则应分配到不同的控制站中。

（4）负荷均衡原则

对于进行了分组设计的各控制站，为使其负荷率均能满足要求，尽量保证各个控制站的负荷相对均衡。

（5）接口最少原则

相互接口较多的两个工艺系统，如果没有其它要求必须分离，则应尽量分配到同一个控制站中，减少相互接口通信或硬接线连接，从而减小机柜内硬件数量和网络负荷，对减小系统响应时间和CPU运算负荷率有很大的意义。

7 功能分配流程

安全功能分配流程如图3所示。

图3 功能分配流程图

8 保护系统功能分配

8.1 RTS功能分配

（1）1E、SR功能分离

RTS功能全部在RPC中实现，RTS功能是实现以紧急停堆保护为主的1E级功能，没有SR级功能。

（2）功能多样性原则

RTS为了应对同一预期运行事件（AOO）进行了功能多样性设计，多样性功能分别分配到Gr1和Gr2中，上游设计需求对功能多样性分配给定了要求。另外，有些不具有功能多样性的重要信号，需要同时分配到两个子组中实现。

（3）功能分散原则

RTS不须进行功能分散设计。

（4）负荷均衡原则

按功能多样性原则对各保护功能进行Gr1、Gr2分配完毕后，剩余的功能根据这两个子组的负荷情况，分配到两个子组中，最终使两个子组的负荷达到均衡，从而都满足负荷率的要求。

（5）接口最少原则

RTS的各通道以及通道的子组均相互独立不存在接口，因此不应用接口最少原则。

8.2 ESFAS功能分配

（1）1E、SR功能分离

ESFAS功能即专设安全设施驱动的1E级功能均在ESFAC中实现，ESFAC中不实现SR级功能。专设安全设施驱动的手动控制多属于SR级功能，分布在SR功能机柜SRC中实现。

（2）功能多样性原则

ESFAS不存在功能多样性，因此不适用功能多样性原则。原因如下：

ESFAS应对的是事故工况（PA），RTS应对的是预期运行事件（AOO），AOO的发生概率约为0.1次/年，而PA（如LOCA）发生的概率约为10～3次/年，远远小于AOO发生概率。

保护参数的探测有多样性（如稳压器压力和安全壳压力），并分配到两个独立子组中，在RPC中已实现。但对于系统级逻辑（如SI逻辑）则没有功能多样性，因此不必进行分组设计。

（3）功能分散原则

ESFAS中，ESFAC用于执行专设安全设施驱动的系统级功能逻辑，且CPU及通讯部分均有故障自诊断功能，可抑制误发驱动信号，因此不须进行功能分散。但考虑提高其可靠性而配置冗余控制站，执行相同的功能逻辑。而对于直接与现场设备接口的设备接口机柜CIC，考虑到如火灾等事故引起的某一机柜故障，造成安全设备误动或安全功能丧失，因此须进行功能分散设计。

ESFAS执行的功能主要分为辅助给水系统、紧急堆芯冷却系统、一回路冷却系统、二回路排热系统四类，如表2所示。根据功能分散原则应尽量将此四类功能分散在不同的控制站中实现，本方案在结合可靠性要求以及现场布置空间等因素下考虑分配成三个子组。另外，对这些系统起支持作用的相关系统也要随之分配到同一个子组中，不宜进行分散。

表2 工艺系统分类表

（4）负荷均衡原则

ESFAS因为只执行专设安全设施驱动的系统级功能逻辑，逻辑量较小，初步判定不须分站负荷率也能满足要求，因此不适用负荷均衡原则。

（5）接口最少原则

ESFAS未分配子组，因此不适用接口最少原则。

8.3 PAMS功能分配

（1）1E、SR功能分离

由FirmSys产品实现的PAMS功能均为1E级，没有SR级功能，因此均在PAMS机柜中实现，不需考虑1E、SR功能分离。

（2）功能多样性原则

PAMS执行的是事故后监视功能，不执行安全保护功能没有功能多样性要求，因此不需要考虑功能多样性原则。

（3）功能分散原则

PAMS只是对安全重要信号的监测，没有设备的控制，并已按A、B列进行划分，因此不再进行功能分散。

（4）负荷均衡原则

PAMS只是安全重要信号的监测，没有设备的控制，初步判定不须分站负荷率也能满足要求，因此不适用负荷均衡原则。

（5）接口最少原则

PAMS未分配子组，因此不适用接口最少原则。

8.4 SR功能分配

（1）1E、SR功能分离

SR功能除全部在SR控制站SRC中实现。SRC中没有1E功能，故不涉及1E、SR功能分离。

（2）功能多样性原则

在ASG系统中有电动给水泵回路和汽动给水泵回路，为多样性设计，任何一个回路都可独立完成蒸汽发生器的补水，因此应分配到两个不同的控制站。因二者都属于Train A，初步考虑将电动给水回路的控制放到SRCA4中实现，而汽动给水回路的控制放到Train A其它SRC中实现，初步确定将该功能分配到SRCA3中实现。

（3）功能分散原则

SR模拟控制部分除上述功能多样性原则进行分组外，无其它功能分散要求。SR逻辑控制部分，因需要通过CIC接口对现场设备进行控制，因此应依据CIC的功能分散情况进行相应设计，即SR-1、2、3控制站与CIC1、2、3组进行对应分组。

（4）负荷均衡原则

除了考虑功能分散必须相分离的系统及其支持系统外，其余系统可根据各个控制站的负荷情况进行分配，尽量均衡以确保最终均能满足负荷率的要求，此部分CIC的分组要和SR分组情况相对应。

（5）接口最少原则

为了保证接口最少，一般将一个工艺系统整体分布在一个控制站中，除非有特殊要求外（如EAS）不将一个工艺系统拆分到两个SR控制站中。另外，相互接口较多的相关系统在没有其它分离要求的情况下，也要分配到同一个控制站中。

9 结语

基于FirmSys平台的反应堆保护系统，在满足安全级系统设计准则同时还考虑了针对福岛事件提出的增加缓解严重事故措施的改进方案，具备一部分三代压水堆的设计特点，因此功能分配方案上也有相应的调整：

• 将专设安全设施的1E级功能（自动驱动功能）与SR级功能（手动驱动功能）分开实现，分别在ESFAC控制站和SRC控制站中完成，使自动驱动功能和手动驱动能独立而不会相互影响；

• 将一类PAMS的参数显示改进为数字化显示，使用安全级S-VDU代替原BUP上的大部分硬接线光字牌，简化盘台设计，改进操作方式。

[1] 广东核电培训中心. 900MW压水堆核电站系统与设备[M]. 北京: 原子能出版社, 2005.