百万千瓦级数字化核电站反应堆保护退出的方法

技术领域

本发明属于百万千瓦级数字化核电站反应堆中的关键技术，尤其涉及一种 百万千瓦级核电站在大修之前，数字化核电站反应堆保护退出的方法。

背景技术

岭澳二期反应堆保护系统(即RPS系统)采用了DCS集成技术，所有的反 应堆保护逻辑都在软件中实现，通过软件运算后直接输出到硬件设备，驱动现 场执行机构动作。由于在设计时，岭澳二期的RPS系统采用了DCS集成技术， 一旦断电那么将会导致一些必要设备的停运且并未提出RPS系统退出和投运 的需求，因此岭澳二期RPS系统没有一个正式的退出和投运的方案。由于RPS 系统的在线，将导致在大修期间大量维修工作无法同时展开，所有的大修工作 需要重新排计划并重新进行风险评估，并且引入了大量的设备误动作风险，将 大大延长维修工期。另外，对于水压试验和安全壳打压试验，若RPS系统不退 出则试验无法进行。

发明内容

本发明要解决的技术问题在于，针对的采用DCS集成技术的RPS系统由于 在设计时没有一个正式的退出和投运方案，导致大修期间大量维修工作无法同 时展开，大大延长了维修工期的缺陷，提供一种百万千瓦级数字化核电站反应 堆保护退出的方法。

本发明解决其技术问题所采用的技术方案是：提供一种百万千瓦级数字化 核电站反应堆保护退出的方法，

所述反应堆保护系统包括数据采集处理单元和逻辑运算单元；所述数据采 集处理单元对信号进行线性转换、滤波和阈值计算，然后将处理完的信号传送 至所述逻辑运算单元进行表决逻辑运算，所述逻辑运算单元与执行机构相连， 并负责所述执行机构的动作逻辑管理，在对核电站进行大修之前，先对所述逻 辑运算单元产生的信号进行隔离，在大修完毕之后对所述隔离进行解除。

所述逻辑运算单元产生的信号包括安全注入信号、安全壳喷淋信号、A阶 段安全壳隔离信号、B阶段安全壳隔离信号、未能紧急停堆的预期瞬态信号和 主泵转速低+P7信号。

所述隔离包括以下步骤：

1)将安全注入信号对应的闭锁钥匙转到闭锁位置，然后拔除连接所述安 全注入信号对应执行机构的光耦；

2)拔除所述逻辑运算单元和安全壳喷淋信号对应执行机构之间的光耦；

3)拔除所述逻辑运算单元和安全壳隔离A阶段信号对应执行机构之间的 光耦；

4)拔除所述逻辑运算单元和安全壳隔离B阶段信号对应执行机构之间的 光耦；

5)将所述未能紧急停堆的预期瞬态信号对应的闭锁钥匙转到闭锁位置；

6)断开所述逻辑运算单元和主泵转速低+P7信号对应执行机构之间的连 接线。

所述安全注入信号对应的闭锁钥匙包括A列安注闭锁开关、和B列安注闭 锁开关。

所述安全注入信号对应的执行机构包括安全注入系统、化学和容积控制系 统、以及辅助供给系统中的相关执行机构。

所述安全壳喷淋信号对应的执行机构包括：安全壳淋系统和设备冷却水系 统中的相关执行机构。

所述A阶段安全壳隔离信号对应的执行机构包括：核取样系统、核岛排气 和疏水系统、以及化学和容积控制系统中的相关执行机构。

所述B阶段安全壳隔离信号对应的执行机构包括：核岛冷却水系统、核取 样系统和设备冷却水系统中的相关执行机构。

所述未能紧急停堆的预期瞬态信号对应的执行机构包括停堆断路器、汽轮 机、汽动辅助给水泵、蒸汽发生器排污阀和电动和汽动给水流量控制阀。

所述主泵转速低+P7信号对应的执行机构包括超高压负荷开关。

所述反应堆保护系统还包括服务器单元和网关。

所述网关一端与安全数字化仪控系统中的传输单元连接，另一端与分散控 制系统的电厂总线连接，从而实现所述安全数字化仪控系统与分散控制系统之 间的数据通讯。

所述服务器单元与所述安全数字化仪控系统中的传输单元连接。

实施本发明的数字化核电站反应堆保护退出的方法，具有以下有益效果： 该百万千瓦级数字化核反应堆保护退出的方法缩短了至少5到10天地大修工 期，尽可能降低了大修期间设备误动作的风险。另外，该方案经过反复验证和 多次优化并在现场使用，整体上攻克了RPS保护退出和投运的技术难题，提升 了岭澳二期机组的安全性和可用性，这对数字化核电站的反应堆保护退出和投 运都有一定的借鉴意义。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1是本发明一种数字化核电站反应堆保护退出的方法中RPS系统的结构 原理图；

图2是本发明一种数字化核电站反应堆保护退出的方法中安全注入信号 触发的逻辑原理图；

图3是本发明一种数字化核电站反应堆保护退出的方法图2中冗余3取2 的逻辑运算真值表；

图4是本发明一种数字化核电站反应堆保护退出的方法中安全注入信号 与其对应执行机构的连接结构图；

图5是本发明一种数字化核电站反应堆保护退出的方法中安全壳喷淋信 号与其对应执行机构的连接结构图。

具体实施方式

RPS保护退出的原理：

RPS系统是由各种执行不同任务的功能计算机来实现对现场设备的监控 功能，概括如图1。从图1可以看出，RPS系统包括：

数据采集和处理单元(Acquisition and Processing Unit简称APU)： 主要进行1E级模拟量传感器的数据采集和对采集后的数据进行相关的处理， 如：信号的线性转换(电气量转换为物理量)、滤波、阈值计算等。然后将处 理完的信号传送至逻辑运算单元。每个子系统有两个APU单元，实现冗余功能。

逻辑运算单元(Actuator Logic Unit简称ALU)：逻辑运算单元主要对 APU产生的“Partial Order”进行表决逻辑运算(如：2/3、2/4的Voter) 和执行机构的动作逻辑管理(如：工程专设系统、反应堆解列、柴油发电机启 停等)。ALU采取了冗余的结构来实现其主要的功能。

网关(Gateways简称GW)：实现TXS系统与TXP系统之间的数据通讯。 一端与TXS系统A、B两列的TU1和TU2连接，两一端与TXP系统的电厂总线 连接。实现100％冗余。

服务器单元(Service Unit简称SU)：服务器单元与TXS中两列的TU1 相连接。对每列的监视和维护可使用SU通过TU实现。另外，SU还可以与两 个QDS连接。

控制面板(Panel Interface简称PI)：用于数据显示和用户操作。

正常大修期间，MCS(维修冷停堆)/RCD(换料冷停堆)模式时，对RPR 系统无要求。为避免MCS/RCD模式大规模的现场检修工作而误触发RPR控制设 备动作，按照计划在MCS/RCD模式时，会要求RPS保护退出。在RPS保护退出 后，则可安排大量维修工作同时开展，可缩短大修工期。

由于岭澳二期RPS系统采用DCS集成技术，与大亚湾和岭澳一期的RPS 系统存在较大不同，在MCS模式时，虽然对RPS系统无要求，但是对DVC、DVD、 LHP/Q、GCTa等系统都有要求，因此该对A/B列的ALUx1/y1/x2/y2/z要求可 用，在RCS模式时，虽然对RPS系统无要求，但是DVC、DVD、DVL系统必须可 用，并保持相关厂房温度在规定范围内，另外，要求LHP/Q一列可用，总结起 来，在这个模式要求A/B列的ALUx1/y1/y2/z可用，只有A/B列的ALUx2具备 停电条件，且ALUx1/x2在同一个机柜，所以在这个模式下停电意义不大。在 RCD模式时，对LHP或LHQ，虽然只要求一列可用，但大修过程中可能会切换 柴油机，因此要求A/B列的ALUx1/y1/y2/z可用，结果与RCS模式一样，另外 在这个模式已经是堆池上行满水阶段，不适合停电。因此在这个模式也不可以 对ALU机柜停电。因此，岭澳二期无法按照大亚湾和岭澳一期的方式对机柜进 行停电使RPS保护退出。

岭澳二期的ESFAS(专设安全设施驱动系统，包括安全注入系统、安全壳 隔离系统、安全壳喷淋系统以及辅助给水系统等)功能硬件逻辑部分与大亚湾 和岭澳一期完全不同。在岭澳一期和大亚湾，对于同一列的执行机构，只有 XY半逻辑一致时才能够动作。岭澳二期为了提高其可靠性，ESFAS执行机构被 同一个子系统中的任意一个ALU产生的信号驱动，同时为了降低误动的风险， 每一个ALU只输出唯一个信号去驱动同一功能的执行机构。

在岭澳二期保护系统的设计中，把跟通风相关的系统、应急柴油机划分为 支持系统。对于该功能的逻辑处理被分配在三个处理器单元执行(ALUx1、 ALUy2、ALUz)。所以其硬件输出的逻辑与反应堆跳堆、ESFAS等不同，为了降 低误动的风险，采用的是三取二的逻辑。

下面通过举例来说明什么是三取二的逻辑：

1、安全注入信号(SI信号)的触发：

以三环路蒸汽管线之间差压高信号为例，该信号涉及主蒸汽系统(VVP) 的多个压力变送器(MP)，包括：VVP007/008/009/010/011/012/013/014/015MP (分别代表主蒸汽系统中的007MP号变送器、008MP号变送器、009MP号变送 器、010MP号变送器、011MP号变送器、012MP号变送器、013MP号变送器、014MP 号变送器和015MP号变送器)，当两两之差大于0.7Mpa时触发阈值信号动作， 3取2触发安全注入信号(以下称安注)，就是3条蒸汽管线中出现“2高1 低”触发安注。如图2所示，以其中一个蒸汽管线为例。

其中VVP007/010/013MP属于第一环路的蒸汽管线压力， VVP008/011/014MP属于第二环路的蒸汽管线压力，VVP009/012/015MP属于第 三环路的蒸汽管线压力。在岭澳二期RPS实现中，VVP的这些MP分别由两个 APU单元采集然后在其中进行阈值计算，之后分别将阈值信号送至ALU单元中 进行冗余3取2逻辑运算，之后经过“与”逻辑后触发安注信号，如上图所示。

在RPS系统中，所有的数字量信号存在值和质量两个属性，其中值的属性 表征该数字量信号的当前值，而质量属性则表征该数字量信号是否为故障信 号。数字量信号的值和质量两个属性都会影响最终的逻辑运算结果。冗余3 取2逻辑的运算真值表如图3所示。

从上表可以看出，冗余3取2模块有以下5种运算模式：

模式1：当没有信号存在故障时，运算逻辑为6取3动作，即有3个输入 信号为1；

模式2：当1个信号存在故障时，运算逻辑为5取3动作，即有3个无故 障的输入信号为1；

模式3：当2个信号存在故障时，运算逻辑为4取2动作，即有2个无故 障的输入信号为1；

模式4：当3个信号存在故障时，运算逻辑为3取1动作，当3个故障信 号分别来自VVP的MP的运算结果时，冗余3取2模块直接输出1；

模式5：当4、5或6个信号存在故障时，冗余3取2模块直接输出1；

在大修过程中，由于现场仪表检修的需要，VVP的多个MP中的一个会由 于检修使其相应的信号处于故障状态，例如，当VVP008MP故障时，若由于现 场工作，同时VVP011MP也故障，那么左右两个冗余3取2模块就都处于模式 3，即2路信号故障，触发安注信号。

出现以下情况时将会导致安注信号误发：

当VVP008MP和VVP011MP出现故障，若此时VVP013MP由于校验或其他工 作，使测量值出现漂移，超过阈值，则4取2逻辑动作，安注信号触发。

当VVP008MP故障，VVP011MP或者VVP013MP中的一个出现断线故障时， 其相应的信号也将处于故障状态，也会安注信号触发。

当信号传输网络出现故障时，也有可能造成另外两个仪表相应的信号变成 故障状态并造成安注信号触发。

当VVP008MP、VVP011MP、VVP013MP同时有工作，导致相互的差值大于阈 值时，造成安注信号(SI信号)的触发。

RPS系统保护退出的实施方法：

根据DCS的技术不同点，我们可以通过其它手段来减少大修期间对安全信 号的误触发。本发明采取先对RPS系统中逻辑运算单元产生的信号进行隔离的 方法来减少大修期间对安全信号的误触发，在大修完毕之后在对隔离进行解 除。

上述逻辑运算单元产生的信号包括安全注入信号(简称SI信号)、安全壳 喷淋信号(简称CS信号)、A阶段安全壳隔离信号(简称CIA信号)、B阶段安 全壳隔离信号(简称CIB信号)、未能紧急停堆的预期瞬态信号(简称ATWT 信号)和主泵转速低+P7信号即孤岛运行信号，其中主泵转速低+P7信号为主 泵运行过程中的一个特定信号。

对上述信号的隔离包括以下六个步骤：

1)将SI信号对应的闭锁钥匙转到闭锁位置，然后拔除连接所述SI信号 对应执行机构的光耦；

2)拔除逻辑运算单元和CS信号对应执行机构之间的光耦；

3)拔除逻辑运算单元和CIA信号对应执行机构之间的光耦；

4)拔除逻辑运算单元和CIB信号对应执行机构之间的光耦；

5)将ATWT对应的闭锁钥匙转到闭锁位置；

6)断开逻辑运算单元和主泵转速低+P7对应执行机构之间的连接线。

其中，SI信号对应的闭锁钥匙包括A列安注闭锁开关(包括216CC号A 列安注闭锁开关简称RPA216CC、和217CC号A列安注闭锁开关简称RPA217CC)、 B列安注闭锁开关(包括216CC号B列安注闭锁开关简称RPB216CC、和217 号B列安注闭锁开关简称RPB217CC)，这些闭锁开关均可以通过软件来实现， 硬件方面，如图4所示，通过解除PACS机柜(优先执行控制系统，用于提供 有关设备和安全系统工艺设备之间的接口)与SI信号对应的执行机构之间的 光耦连接，将会闭锁SI信号启动安全注入系统中的001PO号安全注入执行机 构(简称RIS001PO)、002PO号安全注入执行机构(简称RIS002PO)和003PO 号安全注入执行机构(简称RIS003PO)等执行机构、化学和容积控制系统中 的001PO号化学和容积控制执行机构(简称RCV001PO)和002PO号化学和容 积控制执行机构(简称RCV002PO)等执行机构、以及辅助供给系统中的001PO 号辅助供给执行机构(简称ASG001PO)和002PO号辅助供给执行机构(简称 ASG002PO)等重要设备。SI信号的触发会引起诸如安全注入系统中的 RIS001/002/003PO、电动主给水系统中的101MO号电动主给水执行机构(简称 APA102MO)，202MO号电动主给水执行机构(简称APA202MO)，302MO号电动主 给水执行机构(简称APA302MO)、蒸汽发生器排污系统中的004VL号蒸汽机发 生器(简称APG004VL)，005VL号蒸汽发生器(简称APG005VL)，006VL号蒸汽 机发生器(简称APG006VL)和核燃料厂房通风系统(简称DVK)的大量阀门的 工作。也就是说，在大修期间由于现场大量工作展开，许多设备上都有维修工 作，若SI信号触发，将会导致现场大量设备动作，此时这些设备动作将会对 其上的工作人员、核安全和设备安全造成伤害。另外如果这些设备动作，大量 的介质都会运作起来，由于维修工作时，一回路可能处于开口状态，则一回路 的水会流出管道对人员造成伤害，因此通过将SI信号对应的闭锁钥匙打到闭 锁状态能够有效避免上述危险的发生。其次，由于SI信号被隔离，使得这些 设备上的工作人员能够不受SI信号的影响，使得这些设备的维护工作能够与 可能触发SI信号设备的维护工作同时进行，因此大大缩短了维修工期。

值得注意的是，以下执行机构的代号为了简便起见均用“/”隔开，例如 EAS008/010/132/134VB分别代表EAS008VB、EAS010VB、EAS132VB和EAS134VB， 其他与该例类似。

由于每一种信号对应的执行机构很多，因此在本发明的优选实施例中，选 取一些重要的设备来作说明。CS信号对应的执行机构包括安全壳喷淋系统中 的001PO号喷淋执行机构(简称EAS001PO)，003PO号喷淋执行机构(简称 EAS003PO)、126VR号喷淋执行机构(简称EAS126VR)、002PO喷淋执行机构(简 称EAS002PO)、007VB号喷淋执行机构(简称EAS007VB)，009VB号喷淋执行 机构(简称EAS009PO)，131VB号喷淋执行机构(简称EAS131VB)，133VB号喷 淋执行机构(简称EAS133VB)和008VB号、010VB号、132VB号、134VB号喷 淋执行机构(简称EAS008/010/132/134VB)、和设备冷却水系统中的035VN号、 041VN号、058VN号设备冷却执行机构(简称RRI035/041/058VN)；CIA信号对 应的执行机构包括核取样系统中的161VB号、162VB号、163VB号核取样执行 机构(简称REN161/162/163VB)、123VP号和124VP号核取样执行机构(简称 REN123/124VP)和231VY号和235VY号核取样执行机构(简称REN231/235VY)、 核岛排气和疏水系统中的002VY号排气和疏水执行机构(简称RPE002VY)、 017VP号和027VP号排气和疏水执行机构(简称RPE017/027VP)、055VE号排 气和疏水执行机构(简称RPE055VE)和001PO号、002PO号、003PO号、004PO 号、014PO号排气和疏水执行机构(简称RPE001/002/003/004/014PO)、以及 化学和容积控制系统中的003VP号和088VP号化学和容积控制执行机构(简称 RCV003/088VP)；CIB信号对应的执行机构包括核取样系统中的101VP号、102VP 号、121VP号、122VP号核取样执行机构(简称REN101/102/121/122VP)、核 岛冷冻水系统中的013VD号和045VD号冷冻水执行机构(简称DEG013/045VD)、 和设备冷却水系统中的170VN号、177VN号、210VN号、211VN号、212VN号、 285VN号、283VN号、284VN号、012VN号、020VN号、021VN号冷却水执行机 构(简称RRI170/177/210/211/212/285/283/284/012/020/021VN)；ATWT信号 对应的执行机构包括停堆断路器、汽轮机、汽动辅助给水泵、蒸汽发生器排污 阀和电动和汽动给水流量控制阀；其中，停堆断路器会触发ATWT触发跳堆保 护，汽轮机会触发ATWT跳机保护，气动辅助给水泵启动，蒸汽发生器排污阀 关闭，开启辅助给水系统中的电动和气动给水流量控制阀；主泵转速低+P7对 应的执行机构包括GEW520/530JA号超高压负荷开关。

与SI信号的隔离同理，通过依次拔除逻辑运算单元和CS信号对应执行机 构之间的光耦(如图5所示)、拔除逻辑运算单元和CIA信号对应执行机构之 间的光耦、拔除逻辑运算单元和CIB信号对应执行机构之间的光耦、将ATWT 对应的闭锁钥匙转到闭锁位置、以及断开逻辑运算单元和主泵转速低+P7对应 执行机构之间的连接线，能够避免不同信号对应的执行机构动作，从而避免人 员伤害，同时也可以让这些设备的维修工作同步进行，大大缩短维修工期。

该数字化核反应堆保护退出的方法缩短了至少5到10天地大修工期，尽 可能降低了大修期间设备误动作的风险。另外，该方案经过反复验证和多次优 化并在现场使用，整体上攻克了RPS保护退出和投运的技术难题，提升了岭澳 二期机组的安全性和可用性，这对数字化核电站的反应堆保护退出和投运都有 一定的借鉴意义。

以上实施例只为说明本发明的技术构思及特点，其目的在于让熟悉此项技 术的人士能够了解本发明的内容并据此实施，并不能限制本发明的保护范围。 凡跟本发明权利要求范围所做的均等变化与修饰，均应属于本发明权利要求的 涵盖范围。