孙红芳

摘 要：AP1000的保护与安全监测系统能够根据电厂异常瞬态在事故情况下保证反应堆安全停堆，缓解事故后果。该文通过对反应堆停堆处理器、停堆逻辑矩阵以及停堆断路器等硬件的分析，详细研究了AP1000停堆触发的实现过程，并对其可靠性和先进性进行了深入的分析。

关键词：AP1000 停堆矩阵 停堆断路器 可靠性

中图分类号：TM58 文献标识码：A 文章编号：1674-098X（2017）05（c）-0051-02

AP1000反应堆保护系统在电厂工况达到安全限值时，触发自动反应堆停堆功能，同时驱动相应的安全设施动作，限制设计基准事故的后果。该文通过对停堆处理器、停堆逻辑矩阵和停堆断路器的分析，研究了反应堆停堆功能的触发过程，同时对停堆可靠性进行了分析。

1 安全停堆分析

AP1000核电厂设计了20种停堆信号，主要包括核启动停堆、超功率停堆、堆芯余热导出停堆、反应堆超压力保护停堆、失热阱以及给水隔离停堆等几大类，它们停堆的机制基本相同。总的来说，现场过程参数传感器（如一回路温度、压力、蒸汽发生器液位、主泵转速等）以及核探测器传感器的信号首先采集后送入保护与安全监测系统（PMS）冗余的4个序列；信号在PMS中与给定参数的设定值做比较，将比较结果通过相应的处理器进行逻辑判断与综合分析，最终产生的停堆信号使得停堆断路器断开，此时，棒控电动发电机组供往控制棒驱动机构的电源被切断，所有控制棒失电掉落堆芯，反应堆停堆。

1.1 安全停堆过程分析

下面将对AP1000核电厂安全停堆的实现过程进行详细分析。涉及到停堆的现场过程参数传感器有重要设备的压力、温度、液位，主泵转速以及监测核功率的核探测器等，其中每一类传感器一般设置为冗余的4个，信号采集后送往PMS对应A、B、C、D4个序列。传感器信号首先进入对应序列BCC机柜中的BPL处理器，每个序列有两个BCC机柜，标记为BCCX01和BCCX02（X代表ABCD），对应的BPL处理器标记为BPL-X1/X2，BPL处理器被称为双稳态逻辑处理器，也就是说此处理器输出0和1两种稳定状态。每个序列设置有两个冗余的BPL处理器。输入信号在BPL中的PM646处理器中与给定的设定值进行计算比较，超过技术规格书的设定值时，雙稳态逻辑处理器输出结果为1，否则输出为0。例如：如果送往A序列的主泵1A的轴承水温度传感器采集值大于85 ℃的设定值，则此序列A的两个BPL的输出为1，这也意味着该序列产生了部分停堆信号。由于冗余设置，同一序列的两个比较结果一般是相同的，不同则说明出现了软件和硬件方面的故障。

BPL产生的部分停堆信号将送往该序列的两个LCL处理器，标记为LCL-X1/X2，同时也通过高速数据链路HSL送往其他3个序列的LCL，也就是说，每一个LCL将接收到4个序列共8个BPL的输出信号。LCL为局部符合逻辑处理器，用于对BPL的输出信号进行表决、产生停堆信号和ESF系统级驱动信号，该文暂不分析ESF信号。LCL接收到BPL的信号后，将来自同一个序列的两个BPL输出经过或门处理融合成一个信号0或者1。

每个LCL将融合后的4个信号送入LCL中的两个冗余停堆处理器，标记为RTX1/X3，RTX2/X4。每一个停堆处理器接收到4个局部RT信号后进行四取二逻辑判断。如果4个局部RT信号中至少有两个为1，此停堆处理器就会输出高电平1，这个信号为该序列完整停堆信号。

得到序列停堆信号后，这4个数字量输出分别控制各自对应的4个继电器，通过继电器控制该序列对应的反应堆停堆触发和接口逻辑矩阵中的开关触点。以A序列为例，RTA1处理器四取二后的输出会将改变DO1CH0触点的状态。如果RTA1输出为1，SIR1线圈上游的DO1CH1触点会闭合使线圈得电，同时UIR1线圈上游的DO1CH0触点断开，使线圈断电。SIR1线圈得电后，ST线圈（并联跳闸线圈）停堆触发逻辑矩阵中SIR1触点就会闭合，同理UV线圈（低压跳闸线圈）停堆触发逻辑矩阵中UIR1触点就会断开，其他RT处理控制的触点也会发生状态改变，即UIR1/2/3/4触点全部断开以及SIR1/2/3/4触点全部闭合。为了确保可靠动作，UIR1和UIR3串联、UIR2和UIR4串联；SIR1和SIR3并联、SIR2和SIR4并联。产生的结果使得控制反应堆停堆断路器开关的线圈RTCBA1UV/2UV线圈失电，而RTCBA1ST/2ST线圈得电。

A序列的两个UV线圈失电，两个ST线圈得电，使得反应堆停堆断路器A1和A2断开。如果4个序列均发生上述动作，则8个停堆断路器均断开，此时，棒控电动发电机组供往控制棒驱动机构的电源就会切断，导致所有控制棒掉落堆芯，反应堆停堆。

1.2 安全停堆可靠性分析

通过上述对AP1000反应堆停堆触发过程的分析，总的来说，反应堆停堆系统的设计结构，首先保证了过程参数传感器、各个处理器、停堆断路器等硬件没有故障时，均能够实现四取二停堆；其次，当某一硬件发生故障时，通过冗余设计也能够保证反应堆实现四取二停堆。具体而言，确保反应堆安全可靠停堆主要体现在以下几个方面。

（1）看门狗计时器WDT的作用是当RT处理器出现硬件故障时，相应的触点WDT1/2/3/4会发生状态改变，使其下游对应的线圈得电或者失电，从而使ST线圈得电，UV线圈失电，最终停堆断路器断开。

（2）每个停堆断路器都受到UV线圈（低压跳闸线圈，线圈失电对应停堆断路器断开）和ST线圈（并联跳闸线圈，线圈得电对应停堆断路器断开）控制。这种冗余多样化的设置，能够避免共因故障和共模故障，满足单一故障准则。

（3）如果某一序列一个LCL内部的两个RT处理器在正常运行时同时失效，它们对应的触点状态改变后并不能使得该序列的UV线圈和ST线圈状态发生改变，从而不能断开该序列的停堆断路器，因此，降低了误停堆的可能性。

（4）对于停堆断路器而言，只要有两个或两个以上PMS序列对应的断路器跳闸反应堆就会停堆，而不必使所有的8个断路器全部跳闸。停堆断路器的冗余设置也保证了断路器本身故障时不误触发停堆。

（5）另外，停堆信号中还包括主控室硬操盘台上手动反应堆停堆信号、手动ADS、S、CMT信号，手动触发时会直接断开UV线圈停堆触发逻辑矩阵下游对应触点，通过断开UV线圈直接使反应堆停堆，不经过任何停堆逻辑判断。

从以上分析中可以看出，保护系统的冗余设计是保证其可靠停堆的关键。同一参数仪表、PMS4个序列、序列内BPL与LCL处理器、停堆逻辑矩阵以及停堆断路器均为冗余设置。采用大量的冗余偏安全、偏保守的决策，不论是自动停堆还是手动停堆都具有很高的可靠性。

2 结语

该文主要从AP1000保护系统中的反应堆停堆处理器、停堆触发矩阵、停堆断路器等硬件方面详细分析了AP1000核电站如何实现安全停堆，并对其实现的可靠性进行了分析，旨在让读者加深对AP1000核电技术保护功能的理解以及为PMS系统工程师提供技术参考。

参考文献

[1] 顾军，缪亚民，王秀启.AP1000核电厂系统与设备[M].北京：原子能出版社，2010.

[2] 张丰平，刘强，何飞军.AP1000核电站基础培训教材——Common Q平台介绍[Z].

[3] 张思成，许江.AP1000电站保护和安全监测系统预运行测试分析[J].华电技术，2013（4）：72-75.