核电厂棒电源系统停堆功能的接口设计

陈亚临，杨 锴

(1.国核自仪系统工程有限公司，上海 200241；2.上海仪器仪表自控系统检验测试所，上海 200233；3.国家能源核电站仪表研发(实验)中心，上海 200233)

0 引言

核电厂棒电源系统(rod drive power system,RDPS)是负责给控制棒驱动机构(control rod drive mechanism,CRDM)提供稳定、可靠电源，保证控制棒处于相应工况对应位置的重要设备，其可靠性直接影响核电厂机组的运行效率[1]。

在第三代核电堆型CAP1400仪控系统中有多种设计方式,可对棒电源系统发送停机指令，切断其对控制棒驱动机构的供电，以实现停堆功能。

为解决核电厂棒电源系统与其他实现停堆功能的系统之间的接口问题，CAP1400通过系统架构的多层级分配、远程与就地控制相结合、自动与手动控制相结合等措施,保证RDPS停堆功能的安全、可靠运行。

本文介绍了棒电源系统及仪控系统架构，详细描述了棒电源系统停堆接口设计的实现原理及技术，旨在为后续核电项目中棒电源系统相关的接口设计及管理提供参考。

1 棒电源系统概述

RDPS主要由两套电动机发电机组(M-G Set)和两台控制柜组成。当核电厂正常工作时，两套电动机发电机组并联同步运行[2]，并经260 V交流母线给控制棒驱动机构供电。当一套电动机发电机组不能正常工作或并网失败时，另一套机组可继续承担全部负载。每台控制柜控制一套电动机发电机组，能够给控制棒驱动机构满负荷供电，并具备并联运行时均分总负载(最大150 kW)的能力。

2 CAP1400数字化仪控系统总体结构

以实时数据网为界，整个CAP1400仪表控制系统划分为上下两个部分[3]。

①下半部分执行核电厂的保护、控制和监测功能，其分为第0层和第1层两层。

第0层(level 0)主要是执行部件和设备，包括：核电厂的执行部件(电机和控制柜、开关柜)、敏感元件、一次仪表、反应堆停堆断路器(reactor trip system,RTS)等。

第1层(level 1)，包括保护和安全监测系统(protection and safety monitoring system,PMS)、核电厂控制系统(plant control system,PLS)、多样化驱动系统(diverse actuation system,DAS)、地震自动停堆系统(earthquake scarm system,ESS)、特殊监测系统(special monitoring system,SMS)等。

②中间部分为非安全级的实时数据网。

③上半部分属于第二层，包括运行和控制中心系统(operation and control centers system,OCS)、数据显示和处理系统(data display and processing system,DDS)。

3 棒电源系统可实现停堆功能的接口设计

在核电厂仪控系统中，棒电源系统与多样化驱动系统、主交流电源电气控制系统(electrical control system,ECS)、电厂控制系统、地震自动停堆系统、停堆断路器等均有停堆接口。这些接口信号引发的动作均可断开电动发电机组对CRDM的供电，以实现安全停堆功能。棒电源系统停堆接口设计原理图如图1所示。

图1 棒电源系统停堆接口设计原理图

根据仪控系统层级，设备划分如下。

①位于第0层的执行设备有主交流电源系统、棒电源系统、停堆断路器。

②位于第1层的系统有多样化驱动系统、电厂控制系统、地震自动停堆系统、保护和安全监测系统。

③另外，PLS的软操指令从位于仪控系统第2层的工程师站(位于DDS)或主控制室(位于OCS)发送。

根据就地/远程控制方式，设备划分如下。

①可实现就地控制的有ECS可就地停断电动机(一般只在维修时使用)、RDPS控制柜可就地停断电动机和发电机、RTS可就地分闸。

②可实现远程控制的有DAS可远程跳闸发电机励磁回路、PLS软操可远程断开发电机出口断路器、ESS可远程断开出口断路器、PMS可远程断开停堆断路器。

根据手动/自动控制方式，控制方式划分如下。

①可实现手动控制的有ECS可手动分闸、DAS可手动分闸发电机励磁回路、RDPS控制柜可手动断开电动机和发电机、PLS软操控制、RTS可手动分闸。

②可实现自动控制的有DAS的自动励磁跳闸控制、PLS的“RDPS就地停止”控制、ESS地震停堆触发、PMS对RTS的分励或欠压脱扣控制。

3.1 RDPS与DAS的停堆接口

DAS是非1E级的仪控系统，与PMS相隔离。

RDPS与DAS之间的接口为硬接线，传输模拟量和开关量。

①DAS可通过48 VDC开关量传输“DAS跳闸”信号给棒电源机组，断开发电机励磁回路以实现停堆。由DAS向RDPS控制柜提供48 VDC电压。

②DAS可通过4～20 mA模拟量信号监测机组公共母线上的AB和BC线电压，以确保反应堆停堆。4～20 mA信号电源由DAS机柜提供。

RDPS-DAS停堆接口设计原理图如图2所示。

图2 RDPS-DAS停堆接口设计原理图

DAS的励磁脱扣电路包含两个48 VDC有源触点：一个用于自动跳闸，另一个用于手动跳闸。

①DAS机柜内的K1、K2为常开有源触点，当接收“DAS跳闸”信号时，触点闭合。

②当K1闭合后，励磁脱扣电路中位于RDPS控制柜内的接触器KM1右侧线圈将得电，并通过机械线圈将左侧的常闭触点断开，最终实现发电机励磁回路跳闸。

3.2 RDPS与ECS、PLS的停堆接口

主交流电源系统是一个不执行任何安全功能的非1E级系统，从核岛动力中心经ECS断路器给棒电源机组提供380 V交流电。

核电厂控制系统为非1E级，执行核电站从冷停堆到满功率的正常运行所必需的功能。通过建立并维持核电站的运行条件在规定的限制之内，减少触发保护动作工况的出现和减轻操纵员日常工作负担，从而提高核电厂的安全性。

RDPS与PLS之间的接口应为硬接线，传输开关量。

RDPS-PLS/ECS停堆接口设计原理图如图3所示。

图3 RDPS-PLS/ECS停堆接口设计原理图

①ECS可就地切断对电动机的380 VAC供电，但一般只在维修时使用。

②PLS软操可对RDPS控制柜发送“停止”命令，断开发电机出口断路器，以切断供电。

③PLS软操可对ECS发送“停止”命令，断开ECS出口断路器，以切断ECS对电动机的供电。

④PLS可接收RDPS控制柜发送的停机命令，经运行模式和优先逻辑判断后，发送“停止”命令给ECS。ECS切断对电动机的供电。此工作方式可完成MCR和就地控制柜控制的同步交换。

⑤RDPS控制柜PLC监测机组的振动和温度等信息，并通过无源触点将“电动机跳闸”信号传输给PLS。PLS接收到此信号后，应立即使ECS断路器跳闸。

3.3 RDPS与ESS的停堆接口

地震自动停堆系统独立于保护和安全监测系统及多样化驱动系统，通过连续监测地震动并当监测到地震动加速度超过预先设定的整定值时，产生离散停堆信号驱动棒电源机组出口断路器跳闸，以触发反应堆停堆系统。

ESS是非1E级仪控系统，不执行安全有关功能。

①ESS A通道逻辑触发机柜通过无源、常开触点，发送“ESS A通道地震停堆触发信号”至RDPS控制柜A。

②ESS B通道逻辑触发机柜通过无源、常开触点，发送“ESS B通道地震停堆触发信号”至RDPS控制柜B。

③仅当A、B两个通道均有效输出停堆信号，并将两台棒电源机组出口断路器均断开时，才能完全切断对机组对CRDM的供电，最终实现停堆。

RDPS控制柜与ESS之间的接口应为硬接线，传输开关量信号。RDPS-ESS停堆接口设计原理图如图4所示。

图4 RDPS-ESS停堆接口设计原理图

RDPS仅接收来自ESS的停堆触发信号，并不向ESS发送出口断路器状态反馈信号。

①ESS发送的脉冲型触点信号的脉冲宽度至少应为1 s(可上下浮动5%)。

②当ESS A/B通道逻辑触发柜的地震停堆触发信号处于触发状态时，应闭合RDPS控制柜的常开触点。

3.4 RDPS与RTS的停堆接口

反应堆停堆系统接收来自保护和安全监测系统发送的脱扣信号(分励或欠压)，并触发动作切断RDPS对CRDM的供电，以实现反应堆停堆。

①每个停堆断路器设有额定电压为48 VDC的欠压(UV)脱扣装置和额定电压为220 VDC的励磁脱扣(SHTR)装置。发生自动或手动反应堆紧急停堆时，PMS通过对欠压脱扣装置和励磁脱扣装置发送信号，使停堆断路器分闸。

②每个停堆断路器都会提供分闸状态给保护与安全监测系统、电厂控制系统以及落棒试验子系统(rod drop test system,RDTS)，以确保反应堆已停堆。

RDPS-RTS停堆接口设计原理图如图5所示。

图5 RDPS-RTS停堆接口设计原理图

4 多样性和冗余性

CAP1400棒电源系统在自身结构以及与其他系统接口的设计上，均充分遵循了多样性和冗余性的原则，提高了核电机组运行的稳定性和安全性。

4.1 多样性

基于计算机的数字化仪控系统具有可靠性高、应用灵活的特点，但由于数字化的弊端，软件共因故障的问题也较突出。引入多样性可较大程度避免或减缓软件共因故障的影响[4]。

HAF102-2004明确指出：采用多样性原则能减少某些共因故障的可能性，从而提高某些系统的可靠性[5]。

多样性是仪控系统设计的一项原则，是指通过探测不同参数，使用不同技术、不同算法、不同驱动手段响应电站工况。

NUREG/CR-6303把多样性分为6种重要的类型：人员多样性、设计多样性、软件多样性、功能多样性、信号多样性以及设备多样性。CAP1400仪控系统总体结构遵从NUREG/CR-6303，其在多样性的设计上和功能上充分考虑并满足NUREG/CR-6303中第三章“分析导则”的要求[6]。

与棒电源系统停堆功能相关的多样性表现如下。

(1)设计多样性。

在CAP1400数字化仪控系统设计中，与RDPS有停堆接口的PLS、DAS、PMS均采用了不同的架构方式或处理芯片，保证了设计的多样性。

(2)设备多样性。

①传感器多样性。DAS采用独立于PMS的现场传感器采集过程参数，因此即使PMS因为传感器故障失效时，DAS仍可正常执行其功能。

②处理器多样性。DAS、PMS分别采用不同技术原理、体系架构和开发验证平台的芯片。

③执行机构多样性。DAS、ESS通过切断发电机出口断路器，而PMS则通过切断停堆断路器，实现停堆。PLS既可通过切断ECS断路器，也可通过切断发电机出口断路器，实现停堆。其执行手段具有多样性。

④显示系统的多样性。PMS、PLS和DAS均采用了不同的显示系统，因此不会出现因共模故障导致所有显示丢失的情况，为电站操作员提供了充足、可靠的电站信息。

(3)功能多样性。

PMS是一套具有4个独立序列的1E级系统，采用4取2表决实现紧急停堆驱动；而DAS具有2个序列，采用2取2表决实现紧急停堆驱动。此外，DAS与PMS还采用不同的触发整定值、不同的延时时间和不同的控制逻辑来实现驱动功能。两者采集不同传感器的信号，采用不同的方式驱动专设安全设备来缓解事故后果。

(4)人员多样性。

DAS的设计、验证和确认、实施过程由不同的开发人员完成。

(5)信号多样性。

在紧急停堆中，针对特定事件的信号，在PMS内来自不同类型传感器，而在DAS内则来自专用传感器。

(6)软件多样性。

PMS、DAS执行的自动及硬手操保护功能不依赖于软件的运行，且PMS、PLS和DAS均采用了不同的设计工具软件。

4.2 冗余性

冗余是提高安全重要系统可靠性的重要方法[7]。在核安全级数字化仪控系统的设计中，冗余设计是降低因共模失效(common mode failure,CMF)导致部分CAP1400仪控总体结构无法响应瞬态或核电站故障概率的有效手段之一。冗余设计本身并不能预防CMF，但在各个失效间隔时间足够大的情况下，使用冗余子系统可以使电站发现并响应包括CMF在内的失效。棒电源系统停堆功能设计中采用的冗余设计介绍如下。

①棒电源系统本身采用了两套电动机、发电机组并联同步运行的结构，在系统设计上保证了单个元件的故障不会影响负荷的持续供电。

②在仪控系统的第0层～第2层均有可发送或执行停堆指令的系统，体现了停堆操作主体的冗余性。

③在遵循执行优先级原则的前提下，既可在仪控系统第0层实现对ECS、RDPS控制柜、RTS的就地停堆控制，也可在位于仪控系统第2层的主控室或工程师站实现远程停堆控制。

④DAS对发电机励磁线圈的手动分闸及自动跳闸的冗余控制、PLS对机组的软操停机及经检测信号自动停机的冗余控制、ECS对电动机入口电压手动切断及经PLS指令自动切断的冗余控制，均体现了棒电源系统停堆操作方式的冗余性。

5 结束语

在第三代核电堆型CAP1400数字化仪控系统中，

棒电源系统与多样化驱动系统、电厂控制系统、地震自动停堆系统、主交流电源系统、停堆断路器等接口均能实现不同方式的安全停堆，具有就地控制与远程控制相配合、手动控制与自动控制相结合的特点。

此外，在棒电源系统整体结构设计上，两套电动机、发电机组并联同步运行，体现了核电冗余设计的理念，保证了单个元件的故障不会影响负荷的持续供电。同时，在仪控系统总体结构设计上，与棒电源系统有停堆接口或功能相关的PLS、DAS、ESS、ECS、RTS以及PMS等系统，均充分遵循了多样性和冗余性的设计原则，提高了CAP1400核电堆型的稳定性和安全性。系统接口的设计和管理往往是核电项目工程建设的难点及运行维护阶段中的风险项[8]，因此系统设计必须严格遵循核电厂基本安全原则、充分贯彻纵深防御理念[9]。

[1] 陶果,李虎,张东生.核电站棒电源机组设计研究[J].电工技术,2016,8(A):33-34.

[2] 尹小龙,赵海江,张前平,等.基于电动机发电机组的核电站棒电源系统设计[J].新能源与风力发电,2015,42(7):67-70.

[3] 张淑慧,任永忠.AP1000核电厂仪控系统介绍[J].自动化仪表,2010,31(10):48-51.

[4] 淮小利,张雷,李朝历.核电站仪控系统的多样性评估方法及应用[J].核电子学与探测技术,2016,36(1):38-42.

[5] 国家核安全局.HAF 102 核动力厂设计安全规定[S].北京：中国法制出版社,2004.

[6] NUREG/CR-6303 Method for Performing Diversity and Defense-in-Depth Analyses of Reactor Protection Systems[S].NRC,1994.

[7] 王鼎,王晓伟,徐晓冬.一种核安全级数字化仪控系统现场控制站的冗余设计[J].原子能科学技术,2013,47(1):105-108.

[8] 程东平，孙汉虹.核电工程项目管理[M].北京：中国电力出版社，2006.

[9] 童争光.AP1000核电项目的设计接口管理研究[J].新能源建设,2014,101(2):78-80.