快堆多样化驱动系统独立性分析

冯伟伟，段天英，尹 凯，徐启国

（中国原子能科学研究院，北京 102413）

0 引言

多样化驱动（DAS）系统是从压水堆的ATWT/ATWS系统演变而来的。ATWT/ATWS是为克服或缓解没有停堆的预期瞬变过程（ATWT，Anticipated Transient Without Trip或称ATWS，Anticipated Transient Without Scram）而设置的。ATWT/ATWS系统提供反应堆保护系统之外的多样化驱动功能，在万一发生反应堆保护系统不能实现停堆（包括保护系统本身失效）时，附加保护系统进一步给出反应堆停堆信号，同时启动辅助给水系统，并使汽轮机停机，以减缓ATWT事故，保证电厂的安全。美国依据NRC Branch Technical Position BTP-7-19，Rev 5以及NUREG-0800的要求，对保护系统多样性的设计提出了更高的要求，即需提供多样化的保护措施以应对可能发生的整个安全级仪控系统的软件共模故障。

数字化技术进入反应堆仪控系统后，有了新的需求，需要考虑软件共模故障。相关工作人员发现软件共模失效的应对系统与ATWT的应对系统有很多共性，于是从AP1000的设计开始，把ATWT/ATWS系统逐步增加功能，逐渐演变成多样性驱动（DAS）系统，也有很多压水堆同时设置DAS系统（或者其他名称）和ATWT应对系统。

1 多样化驱动系统的功能[2]

反应堆保护系统的设计已考虑防止软件共模故障，可一旦这种概率很小的共因故障出现了，多样化驱动系统（DAS系统）就能提供多样化驱动。DAS系统包括：自动驱动功能、手动驱动功能以及显示和报警功能。DAS系统动作输出采用正电平触发信号，系统断电后不给出停堆或专设触发信号。具体功能如下：

1）自动驱动功能：DAS采用与保护系统共用探测器信号，当相关参数超过限值时，给出停堆、停机，触发专设安全设施动作。

2）手动驱动功能：DAS系统在控制室提供手动操作手段，使用硬接线连接，能完成停堆、停机、专设安全设施触发等动作信号（手动功能优先于自动功能，操作前需进行确认）。

3）显示和报警功能：主控室中显示传感器信号。这与保护系统的显示功能不同，也显示系统故障和系统内报警信号。

4）试验功能：DAS系统属于NC（S）的范围，为了提高系统的可靠性，具有定期试验的功能。定期试验由手动启动，并自动完成相关的试验内容。定期试验可以在停堆换料期间进行，且不会对核电厂的正常运行造成影响。

所以，DAS系统是保护系统的多样化后备，有时也称为多样化保护系统。

2 设置DAS系统的目的

从其诞生来源可知，压水堆多样性驱动（DAS）系统的设计目的是：减小设计中的“未能紧急停堆的预期瞬态（ATWT/ATWS）”和共模故障可能引起的严重事故的概率。

1）ATWT（Anticipated Transient Without Trip），未能紧急停堆的预期瞬态：在II类工况后，保护系统发生故障而未能紧急停堆，如：丧失正常给水、丧失厂外电源、反应堆系统误降压、控制棒误提升、甩负荷或汽机脱扣等。

2）共模故障：由共同原因引起的两个或者两个以上元件同时失效（主要是针对安全级仪控平台软件的共因失效Software Common Cause Failure（SWCCF））。

2.1 快堆严重事故与压水堆的区别及应对

池式钠冷快堆区别于普通压水堆，其严重事故分别为：失流事故、瞬态超功率、燃料破损迁移、失去热阱事故。设计基准事故和反应堆保护系统失效同时发生的事故，主要是以下3种：

1）失流事故

类似于压水堆丧失掉正常给水的（ATWT）事故，池式钠冷快堆最为接近的是无保护失流事故。紧急停堆失效下的无保护失流事故，可能导致冷却剂沸腾和堆芯上部形成钠空泡系数为正。大型反应堆可能导致反应堆超功率，并且使堆芯熔化。目前，快堆设计中设置了非能动停堆棒，应对可能发生的失流事故而迅速停堆。

2）瞬态超功率

通过对FFTF和CRBR反应堆瞬态超功率事故的分析表明：在包壳失效时，通道中冷却剂向上流动，导致燃料向上输运后，事故终止。试验中，事故的反应性引入速率是0.1$/s，该值是反应堆中控制棒抽出引入反应性速率的4倍。由于燃料包壳的失效，包壳内和包壳外燃料的运动均引入负的反应性反馈，净反应性很快成为负值，导致反应堆中子学停堆。

3）破损的燃料扩散

对于氧化物燃料反应堆，由于氧化物燃料可以与钠发生反应，并且在破损局部形成沉淀产物。实验证明，沉淀增长得比较缓慢，有足够的时间通过缓发中子探测器探测到燃料包壳失效。因此，燃料包壳失效后，很容易实现反应堆停堆和清除失效燃料组件。对于金属燃料反应堆，由于金属燃料不与钠发生反应，因而事故后果只有燃料逸散到主容器中。实验表明，包壳失效的结果可以接受。假如发生部分入口阻塞，将通过冷却剂温度升高和缓发中子信号测得，因此有足够的时间来实现停堆和清除失效组件。

在目前的快堆的设计中，有缓发中子监测信号，对此严重事故可有效进行控制。

2.2 针对设计预期瞬态不停堆（ATWT）事件的缓解

在压水堆机组中，Westinghouse，EDF，Framatome和CEA各公司均对各ATWT进行了研究，并得出一致结论：丧失掉正常给水和失掉厂外电源这两个ATWT最为严重，前者使一回路超压，后者使DNBR降低。而压水堆中多样性驱动（DAS）系统（包含ATWT部分）中，针对丧失掉正常给水的措施是汽机跳闸，启动辅助给水系统等措施来防止蒸汽发生器烧干，利用紧急停堆保护系统来保护反应堆。

图1 US-EPR中DAS系统与SICS系统接口Fig.1 Interface between DAS system and SICS system in US-EPR

针对于快堆来说，由于是常压系统，不存在一回路超压工况。相对于压水堆相似工况，快堆比较担心的是无保护的失流。在保护系统不能起作用的情况下，目前快堆设计中设置了非能动停堆棒，应对可发生的失流事故，无需多样性驱动（DAS）系统起相应作用。对于快堆而言，冷却剂是液态金属，故不存在偏离泡核沸腾问题（DNBR降低）。

2.3 针对共模故障的应对

美国依据NRC Branch Technical Position BTP-7-19，Rev 5，2007以及NUREG-0800的要求，对保护系统多样性的设计提出了更高的要求，即需提供多样化的保护措施以应对可能发生的整个安全级仪控系统的软件共模故障。

但是，在NRC Branch Technical Position BTP-7-19，Rev 6，2012中，针对共模故障的概念又有了新的解释。

2.4 小结

由上面分析可知，快堆的设计中需要考虑软件的共模故障，而设置DAS系统。换句话说，DAS系统在快堆中只需要用来应对保护系统软件失效。

3 压水堆DAS系统独立性分析

3.1 AP1000和US-EPR[4]

在US-EPR中，没有设置专门的DAS监测参数。这是因为设计人员认为其仪控系统中，参数监测显示相关的内容是旁通了任何基于计算机微处理器进行数据处理的，系统本身具有适度的多样性。因此，不需要在DAS系统中设置多样性参数监视。而在AP1000中，DAS系统使用独立于保护系统的传感器。

图2 AP1000 DAS系统总体结构Fig.2 AP1000 DAS System overall structure

3.2 VVERAES91机组（田湾核电站）

田湾在开始并未考虑针对软件共模失效的DAS系统，后来根据新的安全要求，增加了MASS系统。

MASS为操纵员提供安全系统手动驱动方式，同时通过正常运行仪控系统为操纵员提供电站重要事件的监视。出现反应堆保护系统失效时，操纵员可以通过监视画面提供的信息，判断人工干预的必要性，确定是否操作数字化专设安全设施驱动多样性系统设备，驱动必要的安全系统设备，应对或缓解事故的后果，维持电站各项参数处于安全范围以内。

田湾3、4号机组反应堆保护系统（ESFAS部分）在测量和逻辑运算部分已经实现了多样性，没有必要再设置一套同样的控制系统。但由于原安全仪控系统采用了相同的软件，可设置1套基于硬件的MASS系统，提供手动触发旁通计算机软件的手段。MASS可简洁地与TXS系统集成到一起，而不影响系统原有架构，所以MASS系统没有设置独立的探测器。

3.3 EPR机组（台山核电站）

同样作为第3代堆型的EPR，它采取的是针对严重事故特别设置新的仪控系统，即严重事故仪控系统（SAI&C）和严重事故仪控系统（SAS DEC-B）。根据概率安全分析得到的可靠性数据，EPR的仪控设计方案满足相关的安全所要求的概率目标。

对影响保护系统共因故障的预防和缓解是EPR设计的一个重要特征，这一原则体现在其它仪控系统（独立于保护系统）中的后备功能实现上。

图3 EPR仪控系统总体结构图Fig.3 Overall structure of EPR I & C system

EPR原始方案中设置了一个硬核系统（HKS），后来根据这个思路设计了DAS系统。DAS系统并没有设置完全独立的探测器，也没有设置独立的断路器。

保护系统通过失电线圈控制停堆断路器，而DAS系统通过分励线圈（得电动作）控制停堆断路器。由DAS系统产生的停堆信号会触发停堆，反应堆停堆信号会直接触发汽机跳闸，同时该信号会送到保护系统以保持一致性(每个序列内经过四取二表决逻辑处理)。

独立于保护系统的汽轮机的停机功能，DAS系统可通过冷段温度低信号触发跳机信号。

3.4 CPR1000机组

CPR1000是以中广核集团从法国引进的M310机组为基础，结合技术改进形成的中国大型商用压水堆技术方案。CPR1000机组的DAS系统是保护系统的多样性配置，传感器的多样性已经在保护系统中考虑，故DAS系统从支持驱动的多样性考虑，没有设置完全独立于保护系统的仪表。

3.5 CNP1000机组

福清、方家山核电站机组型号为CNP1000，其仪控系统也进行了数字化升级。

DAS系统与反应堆保护系统共用测量仪表，来自传感器或者变送器的信号在反应堆保护系统侧进行隔离后，再通过硬接线分配到DAS机柜。经必要的处理后，再进行阈值比较。当超过阈值则产生“局部脱扣（partial trip）”信号，然后进行相应的逻辑处理，产生触发紧急停堆、汽轮机刹车、安全注入以及蒸汽管道隔离等功能的信号。

3.6 小结

1）压水堆的DAS系统主要作为保护软件部分的多样性设计，并未采用完全独立于保护系统的探测仪表，但是要求探测信号不能进入DCS网络或者数据处理单元。

2）压水堆设置了ATWT应对系统，但是这个系统也没有设置完全独立于保护系统的仪表。

3）DAS系统设置独立的探测器是更好的选择，但不是必须这样做。

4 快堆DAS系统独立性分析

4.1 平台的独立性

DAS系统选用与反应堆保护系统不同的安全级DCS平台产品，两个平台其设备及软件架构都是不同的。其技术与制造工艺均不同，如保护系统选择CPU架构的平台，那么DAS系统可选用FPGA技术实现或者使用模拟技术。当然，另一种CPU架构的平台也是可以的。

且DAS系统采用一般考虑造价和可用性，采用2/2符合逻辑，主动信号驱动（断路器得电断开），不同于保护系统2/4的符合逻辑及故障安全设计（断路器失电断开），降低了误动概率。

4.2 设备布置及供电的独立性

DAS系统的两个机柜独立于保护系统机柜，可以确保与保护系统的设备实体分隔。

DAS系统供电为两路独立的（分别来自于应急A列和应急B列）应急不间断交流电源，与保护系统设备电气隔离。

4.3 保护参数的独立性与多样性

DAS系统的保护参数选择，应是对所有始发事件的保护参数的最小割集，保证在发生任意需要停堆的始发事件时，如果保护系统未能停堆，则DAS系统能触发停堆或专设。

DAS系统与保护系统有部分信号共用，DAS系统取信号是在信号进入安全级DCS之前，通过隔离模块进行隔离分配。其中，温度信号需要软件进行温度计算，故DAS系统设置了独立的温度传感器。

当保护系统软件故障时，不会对探测器的信号产生影响。

4.4 驱动设备的独立性

DAS系统在主控室和远程停堆站设置了停堆及专设触发的手动按钮，与保护系统不同；后备盘设置了专门的DAS操作区。

DAS系统的断路器设置了与保护系统不同的断路器，采用2/2的符合逻辑。

5 总结

通过对压水堆和快堆DAS系统的设计和独立性分析，认为目前快堆DAS系统与保护系统之间满足实体分隔、功能隔离、电气隔离等独立性设计要求，并且对比压水堆DAS系统以及相关法律法规的要求，快堆DAS系统作为反应堆保护系统的多样性手段之一，其平台、软件架构、设备、驱动机构、驱动方式等均满足独立性原则，保证在保护系统平台失效时，提供既定的保护功能。