(三门核电有限公司 浙江台州 317112)
摘要:多样化驱动系统(DAS)作为保护和安全监控系统(PMS)的备用,为AP1000机组应对ATWS事故的一项重要措施,提高了机组的安全性。本文分析其设计特点,并通过与WWER机组在处理ATWS事故方面的比较,指出其优点和存在的不足。
关键词:多样化驱动系统;未能紧急停堆的预期瞬态
Abstract:Diverse Actuation System(DAS)is a diverse backup to the Protection and Safety Monitoring System(PMS).It is an important measure for AP1000 unit to deal with ATWS accident,and it increases the safety of the unit.This page analyzes the design feature of the DAS,and compares the manner of the WWER unit in the condition of the ATWS,gives us the advantage of the DAS and its weakness.
Key word:DAS,ATWS
1引言
AP1000的保护和安全监控系统(PMS)为电厂非正常状态提供监视,在必要时触发反应堆紧急停堆,并可以触发专设安全设施(ESF)动作,使电厂达到并维持安全停堆状态。另外保护和安全监控系统(PMS)也可以通过核级数据处理子系统(QDPS)为电厂提供安全级的参数显示。虽然AP1000的保护和安全监控系统在设计上采用了多种措施以避免PMS的四个序列同时失效,但是由于保护和安全监控系统的四个序列均采用数字化方式来进行实现,存在共模失效的风险。
另外,由于核安全监管机构要求核电厂必须具备应对未能紧急停堆的预期瞬态(ATWS)的能力,故西屋开发了应对ATWS的多样化系统AMSAC。由于PMS是基于微处理器的,故AP1000的AMSAC采用硬接线的方式,体现了实现方式上的多样性。
考虑到PMS的共模失效风险,AP1000在AMSAC的基础上增加了一些功能来减少堆芯熔化概率(CDF)和大量放射性释放概率(LRF),以满足PRA分析的要求。因为在增加功能后的系统中,应对ATWS的功能仅占了一部分,因此该系统最终命名为多样化驱动系统(DAS)。
2DAS系统功能
多样化驱动系统(DAS)是非安全相关系统,它为反应堆保护和安全监控系统提供多样化的备用,它可以降低严重事故的发生概率,从而保证AP1000的安全性。当保护和安全监控系统的小概率共模故障出现时,多样化的驱动系统能提供多样化的保护。DAS主要实现以下三个功能:
1)当电厂参数超过设定值时,提供自动的驱动信号来触发反应堆紧急停堆,并触发相应的专设安全设施动作;
2)通过独立的硬接线手动触发反应堆紧急停堆和相应的专设安全设施动作;
3)为选择的电厂参数提供一个专门的显示。
3DAS系统介绍
.png)
图1 DAS系统结构简图
DAS系统主要由16个仪表、2个数据处理机柜、1个爆破阀控制机柜和1个DAS专用控制盘等组成,自动触发功能包括以下五个信号:紧急停堆/紧急停机、PRHR HX启动/IRWST积水槽隔离、CMT启动/主泵停运、安全壳隔离、PCS启动。其结构简图见图1所示。
DAS专用仪表将工艺参数送到两个数据处理机柜中进行处理后,与预先设定的整定值进行比较。如果两个数据处理机柜中的同一个工艺参数均超过整定值,则可以在经过一定时间的延时后,自动触发执行机构动作。另外,1号数据处理机柜还可以就地显示DAS测量的工艺参数。
DAS的手动驱动功能通过硬接线开关来实现,这些开关正常运行时处于失电状态,在与其串联的控制开关均处于接通状态时允许操纵员在主控室内手动触发DAS信号,如图2所示。DAS手动功能除了上面描述的自动功能以外,还可以触发自动泄压系统ADS1,2,3,4级,安全壳内换料水箱IRWST注射,安全壳再循环注射,安全壳内换料水箱IRWST疏水至安全壳和安全壳内氢气点火器。
.png)
图2 DAS手动功能简图
4DAS系统特点
4.1多样性
DAS系统是非安全相关系统,它是保护和安全监控系统(PMS)的多样化后备。DAS系统在系统结构、测量仪表等方面实现了与PMS的多样性或部分多样性,消除了PMS系统的共模故障给电站带来的危害,从而提高了电站的安全性和可靠性。
4.1.1DAS系统结构的多样性
与PMS系统采用数字化仪控结构不同,DAS系统的硬件结构及与驱动机构的连接并未采用微处理器,也未采用网络进行信号传输,而是采用了最简单的硬件电路来实现。这一方面可以保证在PMS发生共模故障时DAS系统能够可靠动作,另一方面也提高了DAS系统本身的可靠性。
4.1.2测量仪表的多样性
在监视同一设备或系统的状态时,DAS系统部分采用了不同于PMS系统的参数,以实现测量仪表的多样性。以事故情况下触发安全壳隔离为例,PMS系统利用安全壳内设置的压力仪表来监测事故情况下安全壳的状态,而DAS系统利用安全壳内设置的温度仪表来监测事故情况下安全壳的状态。当PMS测得安全壳内压力超过42.75kPa时,或者DAS系统测得安全壳内温度超过81.4℃时,均将触发安全壳隔离动作。
4.2独立性
DAS系统有专用的传感器,独立的信号处理器和逻辑处理器,独立的控制盘柜,最终控制设备动作的接口模块也与PMS系统相互独立。
4.2.1专用传感器
DAS专用传感器测量16个电厂工艺参数,用于DAS逻辑判断和显示。DAS系统的仪表全部为专用,不和PMS和PLS共用。
4.2.2专用控制盘
DAS专用控制盘位于主控室,其上部用于显示,帮助操纵员判断电厂状态。下部由13组控制开关组成,如表2所示。每组包含两个开关,用于实现13项系统级的手动控制功能。DAS专用控制盘与PMS系统独立,可以在事故后提供多样化的参数显示,也可以在PMS系统手动触发功能丧失后触发部分安全系统动作。
4.2.3独立的驱动机构
1)气动阀门的先导阀
对于气动阀门的动作,PMS系统和DAS有各自的执行机构,如图1所示。DAS系统控制2#电磁先导阀,而PMS系统控制1#电磁先导阀,两者相互独立,互不干扰,但均可实现气动阀门由正常位置到安全位置的转变。
2)独立的停堆断路器
反应堆停堆断路器用于触发反应堆停堆,它的电源来自棒控系统电动发电机组。只要电源可用,棒控系统即可维持控制棒在合适的位置。
.png)
图3 PMS的停堆断路器
a)PMS系统的停堆方式
当电厂参数超过PMS系统设定的运行限值时,将产生停堆信号,打开如图3所示的停堆断路器。图中所示的8个断路器,按下表所示,组成4个序列,当任意两个序列断开时,将触发反应堆紧急停堆。
.png)
表3 PMS系统的停堆断路器分类
b)DAS系统的停堆方式
当电厂的参数超过DAS系统设定的运行限值时,将产生停堆信号,断开电动发电机组的励磁断路器,使电动发电机组的出口电压降为零,使得控制棒驱动机构失电。同时,一个4-20mA的电压将送到DAS系统,用以反馈电动发电机组的出口电压,确认控制棒可靠下落。
3)主泵跳闸方式
AP1000机组的四台主泵分别由汽轮机厂房的四段中压母线供电,每台主泵供电母线上串联了两台1E级的断路器和一台非1E级的断路器。当PMS系统断开主泵时,同时断开上、下游两台1E级断路器。而对于DAS断开主泵时,则是通过断开变频器上游的一台非1E级断路器,与PMS系统控制的两台断路器完全独立。
4)爆破阀动作方式
AP1000使用了12个爆破阀,以实现第四级ADS动作、IRWST注射和安全壳再循环功能。在触发爆破阀动作时,PMS系统发出的保护信号使爆破阀的一个或两个点火器动作,而DAS系统发出的信号使爆破阀的另一个点火器动作,与作为PMS系统驱动机构的点火器完全独立。
4.3防止误动作的设计特点
4.3.1得电动作
为了防止DAS系统误动作,DAS系统的驱动机构采用得电动作的设计,下面以非能动余热排出热交换器(PRHR HX)的气动阀门V108A为例进行说明,如图5所示:
.png)
图5 电磁先导阀驱动气动阀简图
a.图中所示的电磁先导阀门均为失电状态,2#先导阀(DAS系统控制)失电后保持原位。
b.1#电磁先导阀由PMS系统控制,正常运行时电磁先导阀得电,处于气源投入、排气关闭状态,使得主阀门关闭;接到PMS保护信号后电磁先导阀失电,处于气源关闭、排气开启状态,使得主阀门打开;
c.2#电磁先导阀由DAS系统控制。正常运行时电磁先导阀失电,处于气源投入、排气关闭状态,使得主阀门受PMS信号控制;事故情况下,DAS系统使得电磁先导阀得电,处于气源关闭、排气开启状态,使得主阀门打开。
4.3.22V2逻辑
1)自动动作方式
以PRHR的热交换器触发动作逻辑为例,如图7所示,RCS系统的两个热段温度分别由DAS系统的两个独立的探测器监测,每个测量信号都分别送到各自的DAS处理机柜。当两个热段温度的测量值都超过339℃时,1#DAS处理机柜将触发动作信号。为触发PRHR的热交换器的动作,需要两个处理机柜的高温信号(2V2逻辑)。
.png)
图7 DAS系统启动PRHR的逻辑图
2)手动触发方式
只有用于触发某个DAS信号的两个驱动开关都置于动作位置时,才能手动触发DAS信号,即DAS系统采用了2V2的手动触发逻辑,以避免手动触发DAS信号时误动作。
5DAS系统与PMS系统的配合
PMS系统在电厂的正常状态提供监视,在必要时触发合适的安全相关功能,使得电厂达到并维持安全停堆状态。DAS系统作为PMS系统的备用,在PMS系统发生极小概率的共模故障时,为电厂提供多样化的保护。为保证PMS先于DAS动作,主要采用了两类措施,一是在保护定值的设定上,DAS设定值更加靠近安全限值;另外一个是DAS触发信号的延时。
5.1保护值的设定
以PRHR的热交换器触发动作逻辑为例,当两个蒸汽发生器宽量程液位的测量值都低于26%时,DAS系统将触发动作信号,触发PRHR的热交换器动作。
PMS系统触发PRHR动作的设定值为35%,高于DAS系统设定的26%,可以保证在DAS信号触发前触发。同样,对于热段温度高和稳压器液位低等信号,也可以保证在事故情况下PMS系统的设定值先于DAS系统的设定值出现。
5.2延时
在DAS处理机柜上有ASU模块,可以在0-60s之间设置DAS的动作延时时间,最小单位为0.1s,这个延时是为确保PMS系统在DAS系统动作之前,有足够的时间完成专设安全设施的动作。
6WWER机组及AP1000机组的比较
6.1田湾数字化仪控系统介绍
田湾核电的WWER机组为国内首台使用全数字化仪控系统的核电机组,主要由正常运行仪控系统Teleperm XP(TXP)、安全仪控系统Teleperm XS(TXS)、堆本体仪控系统和BOP仪控系统四部分组成。田湾核电采用OM690系统来对生产过程进行控制和监视,所有安全系统的操作也都可以在该系统上实现。当自动控制系统或者OM690系统发生共因故障的情况下,主控室配置有1E级后备盘,实现主要功能区设备的控制功能后备,可维持4小时运行或者安全停堆。
6.2WWER机组应对ATWS的方式
当电站参数超过反应堆停堆保护系统的设定值时,将产生停堆信号。如果停堆4s后,ΔN>2%Nnom,则认为出现未能紧急停堆的预期瞬态,如图8所示。当反应堆功率低于2.174%Nnom时,ATWS不会被触发。
当出现未能紧急停堆的预期瞬态时,立即启动应急注硼系统(JDH)和与其相关的核岛设备冷却水系统(KAA)等,采取向堆芯注入浓硼水的方式来确保反应堆可靠停堆。
WWER机组针对机组超设计事故,编制了相应机组的超设计事故管理导则。按照该导则,ATWS作为超设计事故的一类,要求操纵员在出现各种未能紧急停堆的工况下,检查控制棒驱动机构电源开关,JDH系统动作情况,针对各种初因采取相应措施。
6.3AP1000机组应对ATWS的方式
当出现以下信号时,自动断开控制棒驱动机构电动发电机励磁开关,紧急停机,打开PRHR出口阀门并关闭PRHR集水槽气动隔离阀。
(1)蒸汽发生器宽量程液位低
(2)热段温度高
针对ATWS这一工况,AP1000机组也有相应的规程。在未能正常停堆时,通过入口条件,进入ATWS响应规程,引导操纵员检查和触发安全设施的动作。
6.4WWER机组与AP1000机组的对比
AP1000的DAS系统主要实现作为PMS的多样化后备和应对ATWS事故两个功能,而田湾WWER未设置多样化系统,而是设置了后备盘来作为安全级仪控系统的备用,采用安全级仪控系统和应急注硼系统来应对ATWS。
田湾WWER机组的后备盘上布置了传统的控制按钮和用于报警或显示的指示灯、报警灯、显示仪、记录仪等,可以实现对所有安全系统和部分非安全重要系统的控制。田湾WWER机组后备盘的功能性强于AP1000的DAS系统,也具备与数字化仪控系统的独立性和多样性,但投资大,占用主控室空间也大。
在判断ATWS的方式上,WWER机组是在正常的停堆逻辑基础上,叠加一个当前功率水平与预期功率水平比较的判定条件,所用仪表和信号未完全与安全级仪控系统独立;而AP1000机组通过设置DAS系统并配备了专用传感器、专用控制盘和独立判断机组状态的逻辑,当机组状态超过限值并经过设定的延时后,即认为PMS系统未能正常动作,判断机组进入ATWS,自动触发相关安全设施动作,将机组引入安全状态,增加了使机组安全停堆的多样性手段,提高了机组安全性。
7分析比较
7.1DAS系统优点
7.1.1独立性
独立性为DAS系统的主要特点,该系统配置了独立的探测器、控制机柜和操作盘柜、驱动机构等,可以在PMS系统失效时,提供了有效的多样化后备,从而提高机组的安全性能。
7.1.2防止误动作的设计
DAS系统采用得电动作和二取二的符合逻辑,以减少DAS误动作的可能性;通过整定值和延时的设置,保证PMS先于DAS动作。这样的设计可以避免DAS系统干扰PMS系统的正常动作,也可以有效地避免DAS误动作。
7.1.3多样性
DAS系统通过结构多样性和部分仪表多样性的设计,有效避免了与PMS系统同时失效的可能性,为PMS系统提供了有效的多样化备用。
7.1.4方便的人机接口
DAS系统虽然未采用微处理器结构和网络架构,但是通过使用现场可编辑的门阵列(FPGA),DAS系统提供了方便的人机接口,可以通过外接设备来修改DAS系统的整定值和延时数值,也可以用来对DAS系统进行故障诊断。
7.2DAS系统存在的不足
7.2.1独立性的欠缺
独立性为DAS系统的重要特点,但是对于电动阀和气动阀,并未实现完全的独立。以非能动余热排出热交换器(PRHR HX)的气动阀门V108A为例,只是实现了其电磁先导阀与PMS系统的独立,而主阀门作为最终的执行机构,还是与PMS系统共用,并未实现真正意义上的完全独立,故在阀门本体出现故障时,DAS系统也无法使阀门动作至安全位置。
7.2.2操作性能
AP1000机组主要安全设备的设备级控制可以在PLS软操上进行,安全设备的系统级控制可以在主控室的PDSP盘柜和DAS系统的控制盘柜上操作。WWER机组的安全系统和非安全系统都可以在软操上进行监控和操作,在软操不可用的情况下,还可以在使用硬接线的后备盘上进行相应的监控和操作。AP1000机组主要安全设备的设备级控制不能在PDSP上操作,如果出现PMS的小概率故障,DAS系统作为PMS系统的系统级后备,不能进行安全设备的设备级控制,其操作性能无法与WWER机组的后备盘相比。
7.2.3与PMS的配合存在的问题
DAS系统作为PMS系统的后备,通过其触发定值和延时时间的设置,来保证PMS系统先触发相关安全设施动作。DAS系统使用的仪表是与PMS系统的测量仪表相互独立的,尤其是对于安全壳内的压力和温度监测。PMS系统监测安全壳内的压力,触发PMS系统动作的安全壳压力为42.75kPa;DAS系统监测安全壳内的温度,触发DAS系统动作的安全壳温度为81.4℃。然而,压力为42.75kPa的蒸汽饱和温度为81.1℃,与DAS系统的温度参数极为接近。为了避免因仪表误差导致DAS系统先于PMS动作,建议修改安全壳温度高触发DAS系统动作的设定值。
7.2.4仪表多样性的问题
虽然DAS系统在对电站的监测中,实现了部分监测参数的多样化,以及测量仪表的独立性,而对于测量仪表本身,则未能实现多样化,DAS系统使用的多数仪表与PMS系统使用的仪表具有相同的工作原理。如果事故情况下同类型的测量仪表发生共模故障,可能造成该工况下PMS系统和DAS系统同时丧失对该参数的监测。
8结论
AP1000机组在采用数字化仪控系统的同时,为应对ATWS事故和PMS共模失效事故而增加了多样化驱动系统。通过设置独立的探测器、逻辑机柜和执行机构,采用多样化的系统结构,采用通电动作、二取二逻辑等防误操作的设计,使得DAS系统即可以作为PMS系统的多样化后备,提高了机组的安全性和可靠性,又降低了DAS系统误动的风险。相比于同为数字化仪控的WWER机组,AP1000的DAS系统在判断ATWS事故的方式上,不依赖于PMS系统,通过自身多样化的判断条件进行判断后自动将机组引入安全状态;但是在作为PMS系统备用的功能性方面,DAS与WWER机组的后备盘相比,尚有欠缺。另外,DAS系统在执行机构的独立性、测量仪表的多样性方面还存在一定的局限性,在与PMS系统相互配合方面也存在一些问题。