压水堆核电站RPR系统故障处理及缺陷分析

2015-12-17冯薇徐波

仪器仪表用户 2015年2期

关键词：机柜反应堆断路器

冯薇，徐波

（中核核电运行管理有限公司，浙江海盐 314300）

0 引言

反应堆保护系统（RPR）用于保护3大核安全屏障（燃料包壳、一回路压力边界和安全壳）的完整性；监督反应堆的异常状态，在设备故障、误操作或其它异常工况下，触发执行机构动作；防止反应堆状态超过安全极限或降低超过安全极限的后果。

1 保护系统的组成及概述

广义上讲，反应堆保护系统应包括模拟处理部分（KRG和RPN）和逻辑处理部分（RPR）以及所有的专设安全设施系统（如RIS、RCV、ETY等）。通常所说的反应堆保护系统仅指从传感器到执行机构输入端之间的，能产生保护信号的模拟与逻辑处理部分。

秦山二期的反应堆系统的结构框图如图1所示。

4套冗余的且相互独立的保护仪表组（IP、IIP、IIIP、IVP）接受本通道传感器的测量信号，经过模拟量处理后与安全分析确定的整定值比较，当参数越限时，定值继电器向逻辑处理部分输出保护动作的启动信号。

逻辑处理部分由完全相同、在实体和电气上相互隔离的A、B两列（RPA、RPB）组成。在每一列中，仪表通道来的开关量信号经隔离器后输入到两个相同的X、Y逻辑单元，逻辑处理后的信号经功率放大驱动继电器，由继电器触点的串联实现X与Y的“与”运算（特别地，以失电动作的停堆继电器采用触点并联的形式实现“与”逻辑），最后经输出继电器扩展后，向停堆断路器或专设安全设施驱动器输出保护动作。

对应于逻辑线路的A、B列，电厂相应有两套完全独立、冗余的执行机构，如有两个串联的停堆断路器、两个串联的安全壳隔离阀等。一般情况下，一个系列动作即能完成要求的保护任务。另外，在X、Y逻辑单元之间设有信号处理电路，用于向主控室及电厂计算机输出逻辑关键点的状态，同时通过信号比较来检测X、Y逻辑运算的一致性。

反应堆保护系统A/B两个系列的机柜基本相同，只是B系列无ATWT柜。每个系列的机柜按功能分为隔离柜、逻辑柜、信号柜、输出柜和T3试验柜（A系列还包括ATWT柜），两个系列共用一个T2试验柜。下面对各类机柜分别介绍。

1.1 隔离柜

每个系列有4个隔离机柜，每个机柜对应一个测量通道。机柜内的隔离组件有MU24和MU48两种，按其接收的信号不同（过程仪表和核仪表信号或直接来自电厂的开/关量信号），分层布置。上层隔离组件接收来自限位器、接触器的48V开关信号；中、下层隔离组件接收来自过程仪表和核仪表的24V停堆和专设开关量信号。

图1 反应堆保护系统结构示意图Fig.1 Structure of the PWR RPR system

1.2 逻辑柜

每个系列共有4个逻辑柜，其中两个属于紧急停堆系统，另两个属于专设安全设施驱动系统。逻辑柜接受来自去耦组件、控制室的信号，这些信号在逻辑柜中由2/3、2/4矩阵和“与”、“或”等逻辑单元进行处理，向输出柜和信号柜提供信号，同时将报警信号、计算机输入信号经过信号柜输出。X与Y逻辑放在不同的机柜中。

1.3 信号柜

每个系列的停堆系统和专设安全设施驱动系统各有两个信号柜，接受的信号大部分来自逻辑柜。信号柜采集、处理各种功能信号、故障安全信号和试验所需的信号。所谓功能信号是指为了监测电厂运行工况所需的各种数据，这类信号送到控制室、应急停堆盘系统指示或报警，并送计算机。故障安全信号指由于安全故障使半逻辑X、Y对应信号之间不一致，在信号柜中，将X、Y来的对应信号相互比较，当它们不一致时给出“不符合”报警，这样可以及早发现系统内的故障。“不符合”信号送主控制室。

1.4 输出柜

停堆系统有一个输出柜，专设安全设施驱动系统有两个输出柜。输出柜有8种组件（SC01～SC08），接受X、Y两个逻辑通道送来的信号，分别经功率放大后驱动各自对应的输出继电器，将输出继电器的接点进行组合(串联或并联)，实现X、Y两个逻辑通道的“与”运算，其输出去控制停堆断路器或安全驱动器的动作。

1.5 试验柜

反应堆保护系统的两个系列共用一个T2试验柜，编号为RPR900AR。

停堆系统和专设安全设施驱动系统各有一个T3试验柜，完成有关输出功能的试验。

1.6 ATWT柜

ATWT系统是为了解决预期瞬态不停堆而增设的一套系统（ATWT是预期瞬态不停堆的英文缩写：Anticipated Transient Without Trip）。它不完全属于保护系统，也不必完全遵守保护系统必须遵守的设计原则（如冗余原则）[1]。

ATWT系统与紧急停堆系统在设备上体现了多样性。紧急停堆系统采用CMOS器件作为主要的逻辑处理器件，而ATWT系统则采用继电器构成多种逻辑线路。ATWT（Anticipated Transients Without Trip--预期瞬态不停堆,亦称ATWS）缓解系统作为紧急停堆系统的后援，是在反应堆运行期间，如果预计的瞬发事件要求紧急停堆，而同时保护系统因共模故障而完全丧失停堆能力时，执行最后的安全功能。它监测的过程参数是蒸汽发生器（SG）的主给水流量。在中间量程的核功率（2/2）大于30%FP时，若每台SG的主给水流量（2/3）均低于6%NF（117t/h），则ATWT动作：停堆、停汽轮机及启动电动、汽动辅助给水泵等。

ATWT系统在结构上可分为模拟通道与逻辑电路两部分，其中前者又可分为监测参数和功率允许两个通道，它们分别位于保护模拟组ⅣP的KRG043AR机柜（占用两个机箱位置，称之为ATWT小机箱）和堆外核测系统的控制柜RPN005AR；后者则安置于反应堆保护系统A系列一侧的独立的RPA700AR机柜中。为了满足“多样性”的设计要求，ATWT采用了不同于反应堆保护系统的元器件和电路模式，监测参数通道主要采用了Foxboro—spec200 MICRO控制组件，逻辑处理和驱动输出则通过继电器来实现。

2 故障分析

通过上述设备介绍可知，电子元器件的功能是否良好、保护单元是否稳定、配电是否正常与保护系统的正常运行息息相关。在本节对这3类常规故障进行分析讨论。

2.1 元器件故障

反应堆保护系统设备属于1E级，列为抗震I类，对设备的可靠性有很高的要求。KRG过程仪表采用Foxboro—spec200组装型卡件；核仪表RPN采取软硬件结合的集成数字模块化设计，由法国特有的Nevia网络传输协议技术实现系统内部的统一管理；在RPR系统中，隔离器采用光电耦合管、逻辑组件采用CMOS集成器件、功率驱动元件采用晶体三极管、输出部件采用电磁继电器。对于系统内部故障报警主要介绍两类：电源柜故障报警和棒位测量故障报警。综上所述，根据二期保护系统电路上的特点，对电路上常出现的元器件失效模式进行分析。

图2 模拟通道与逻辑单元的接口电路Fig.2 Interface circuit of analog channel and logic unit

模拟通道与逻辑单元的接口电路的元气件故障：对于模拟通道与逻辑单元的接口电路（见图2），在正常状态下定值继电器的触点闭合（激励报警的参数除外），光耦输入级构成回路而使光耦导通。当触点不能可靠闭合，例如错误的测量方式（用电阻档测量），都可能造成隔离卡件的MU+~MU-之间短接。如果MU+与MU-短接，那么R04上就有2.3W，而实际选用的是1W，很可能造成短接，损坏隔离卡件甚至上游设备。

逻辑单元中CMOS片子及输出卡件继电器故障：逻辑单元中CMOS片子故障而输出恒为低电平，或功率驱动单元中后级功放管失效导通（停堆为失效截止），都能对系统产生一安全故障。反之，若定值继电器的触点粘连（失效率40%）、或光耦输出级短路（失效率75%）、或CMOS片子故障输出恒为高电平、或后级功放管失效截止（停堆为失效导通）时，则对系统产生了一个非安全故障。输出继电器自身的故障只影响它对应的输出。

2.2 单元故障分析

首先任一模拟通道出现故障，在很大程度上，将同时影响逻辑部分的A、B两列（具体地说，定值器及其以前部分的故障，会同时影响A、B两列；接口电路的故障只影响相关的一列）。若是安全故障，则使逻辑符合度降低，1/2符合逻辑的保护参数可能会因此而误动。若是非安全故障，则会造成系统级的安全性降低。当RPR一列中的X或Y逻辑单元出现安全故障时，虽不会导致系统级的输出，但系统的可靠性大大降低；当出现非安全故障时，会造成本系列输出级的拒动，对于保护系统来说，这将是致命的。

2.3 电源故障分析

在保护系统的电源故障分析中，应当区分是局部失电（如一个组件，一个机柜）还是总体失电（如整个LNC与LCA失电），它们导致的结果是不同的。对于局部失电，由于系统设计中广泛采用了故障安全准则，故障安全准则是指当系统的一个部件或子系统发生故障时，它们的输出端应处于触发保护动作的状态。紧急停堆系统的设计应当尽量保证当元件故障或失去动力源时，都能使系统趋于保护动作的状态，但安全故障率要限制在最低水平。而专设安全设施驱动系统失去动力电源时，很可能造成拒动。目前二期保护3/4#机组系统AC220V不间断电源的供电模式为：LNA、LNC并联供给RPR A列；LNB、LND并联供给RPR B列；整流后的DC12V供给逻辑电路、DC24V向功率驱动电路和继电器供电。一路AC220V不间断电源故障是不会触发保护动作的。由于两路母线共同失电的可能性很小，因此，不再具体分析LNA、LNC、LNB、LND两路母线共同失电后可能产生的后果。下面，分别阐述LCC、LCA、LCB、LNE失电后与保护系统安全功能造成的后果。

2.3.1 LCC失电

RPR的48VDC电源LCC分别送紧急停堆系统（对应RPA/B 004UD、005UD、006UD）以及专设安全设施驱动系统（对应RPA/B 005UD）。004UD、006UD任意一路失电，不会产生停堆信号。对005UD失电进行分析：在3、4#机组中，005UD用于P4/主泵断路器脱扣/冷凝器故障/GCT手动闭锁。当RPR 005UD失电时，首先会由于误发P4信号而导致汽机停机，但因“主泵断路器脱扣停堆”的逻辑由“1取1”修改为“3取2”（其三路输入信号分别由004UD、005UD、006UD配电），故不会由该参数来触发停堆。在主蒸汽安全阀改型后的汽机停机停堆逻辑中，“冷凝器无故障”、“冷凝器可用”、“GCT手动闭锁”等输入信号也是由RPR 005UD配电的，随着005UD的丧失，这些信号也均处于触发状态。在核功率大于10%FP的工况下，当汽机停机完毕其状态反馈形成C8信号后，满足了停堆条件——“C8& P10 &（冷凝器故障+冷凝器不可用+GCT手动闭锁）”，这时将由该逻辑触发停堆。综上所述，在机组满功率运行期间，RPR 005UD失电而虽然会误发P4信号，但也满足停机信号触发后随即产生停堆信号的安全故障准则。

2.3.2 LCA、LCB失电

DC48V电源LCA、LCB以多路进线的方式分别供电给RPR的A、B两列，作为手动控制（手动触发、手动复位和闭锁及KSC/KPR切换等）、自保持的专设输出继电器（SI、CS、CIA、CIB信号）、T3试验及报警信号的电源；此外LCA、LCB还分别是A、B两列的停堆断路器和专设安全设施的控制电源，失去它，将引起本列的停堆断路器脱扣和专设安全设施不能自动启动。

2.3.3 LNE/LCC失电与ATWT

ATWT系统的仪表部分（KRG机柜）由LNE供电，逻辑处理和输出部分（ATWT机柜）由LCC供电。监测参数通道向逻辑电路的触发信号为有源触点，所串电源亦是LCC。LCC在ATWT机柜中分为多路UD电源。其中724UD为中间量程继电器供电，当724UD故障。且主给水流量低信号存在，则可能引起ATWT误动作。当LCC电源故障时，ATWT丧失保护功能。

图3 ATWT系统原理图Fig.3 The principle diagram of ATWT

LNE母线电压经过一个电气开关送到KRG机柜中的端子排上，再经过两个保险管后，并联送往两个ATWT小机箱的电源组件，经降压整流处理后，为ATWT小机箱提供±15V的工作电源。排除设备故障如开关接触不良等原因后，两个ATWT小机箱同时失电的最大可能来自于它们的220V工作电源丧失。由于设置了闭锁电路，因此不会引起ATWT误动作。只有当LNE母线失电时，才会引起ATWT误动作。

3 保护系统缺陷分析及建议方案

秦山地区反应堆保护系统已有多年的运行经验，且掌握了常规故障处理与风险分析的方法，是否已经完全规避了可能出现的安全隐患，保护系统是否存在固有缺陷，下面就反应堆保护系统停堆断路器脱扣信号进行分析。

3.1 安全隐患分析

反应堆保护系统停堆断路器由两台主断路器和两台旁通断路器组成，如图4所示。两台主断路器串联连接，按二取一方式动作，每台主断路器对应保护系统的一个系列。反应堆正常运行时，它们是闭合的，当A列和B列中的任何一列动作时，对应的主断路器断开。只要主断路器有极短时间的释放，控制棒就能下落，从而引起反应堆停堆。而旁通断路器在反应堆正常运行时是断开的，只有在主断路器进行定期试验时是闭合的，在试验结束后要把旁通断路器断开并抽出。这4个断路器的结构完全一样，它们有通电释放线圈、失电释放线圈和手动复位线圈。

自动停堆信号作用于主断路器和旁通断路器的失电释放线圈。手动停堆信号同时作用于主断路器和旁通断路器的通电释放线圈和失电释放线圈。发电机组送出的三相交流电源通过两个串联的主断路器送到控制棒驱动机构的配电机柜。只要有一个断路器打开，控制棒驱动机构就失去电源，控制棒靠重力落入堆芯使反应堆停闭。与此同时，停堆断路器跳闸，P4信号产生。

图4 停堆断路器原理图Fig.4 The principle diagram of shutdown circuit breaker

图5 1/2#机组P4逻辑图Fig.5 The principle diagram of P4 in unit 1 and 2

P4信号主要作用于停堆信号产生后连锁产生停机信号。目前秦山地区1/2#机组的P4信号采用电流测量法。即P4并不直接反映主断路器的状态，而是通过阈值继电器检测中性线电流（其简要逻辑见图5），即采用阈值继电器来产生P4信号。通常情况下旁通断路器是打开的，此时P4信号仅由主断路器的状态决定，其符合逻辑已降至“1取1”。阈值继电器组件利用霍尔元件检测流过断路器机柜的260V棒控电源的中线电流，正常情况下阈值继电器动作，当中线电流小于设定的阈值时触发阈值继电器从动作到返回状态，便产生了P4动作信号。而阈值继电器组件有许多电路器件组成，包含电路板、继电器、熔丝等，任何一个元器件的损坏或不完善，都有可能误发P4信号。此外，该阈值继电器组件回路在正常运行期间无法通过试验来验证其可靠性，所以也不能实现及时发现问题并及时解决。因此，对于阈值继电器故障而引发的P4信号提前较难做出预防。

扩建机组在原有机组的基础上增加了多路配电。目的是提高P4信号的可靠性，但是否还存在一定的安全隐患，由接线图可以分析出：主断路器的1/2 P4信号302MUX/Y是经过断路器同一副触点的两个并联信号。旁通断路器的1/2 P4信号323MUX/Y连接方式与主断路器相同。且302MUX/Y，323MUX/Y均由005UD配电。通常情况下旁通断路器是打开的，此时P4信号仅由主断路器的状态决定，其符合逻辑已降至“1取1”。尽管停堆断路器自身的可靠性较高，其辅助触点的状态可直接反映断路器的闭合或断开，但由于RPR采用了“零电平触发有效”的负逻辑体系，只要主断路器信号输入通道发生任何形式的“安全故障”（如接触不良、端子松动、或信号电源005UD丧失等），都将误发P4信号。

3.2 建议方案

扩建机组RPR系统内可作为信号配电的电源有004UD、005UD、006UD 3路，而主断路器和旁通断路器的信号均采用了005UD，这看起来可靠性似乎并不算高。事实上，正因为旁通断路器通常情况下是打开的（其辅助触点也相应打开），不论采用哪一路UD，信号回路总是处于开路状态，故没有区别。为了体现多样性，可以对主断路器的信号采用004UD或006UD配电。但是当004UD或006UD失电时，由于“冷凝器无故障”、“冷凝器可用”、“GCT手动闭锁”等信号采用005UD配电而未触发，不满足汽机停机停堆逻辑条件，因此不能实现紧急停堆，不符合保护系统所要求的故障安全准则。

综上所述，按照目前的设计，仅仅依靠配电的多样性，不但不能提高P4信号的可靠性，反而无法实现停堆。由于主断路器以及旁通断路器的1/2 P4信号302MUX/Y是经过断路器同一副触点的两个并联信号，那么，一旦触点误动作，将不可避免地产生P4信号。但若将并联的X/Y逻辑通过增加停堆断路器触点的方式分开，且采用不同的UD电源配电的模式（主泵断路器脱扣信号已经进行类似技改），可大大降低接触不良或电源意外丧失误发的P4信号，降低人因失误的概率。