表决，并为应对共因故障也采用两个多样性控 制平台，可以设计出如图３所示的保护系统架 构。 ３．４表决逻辑降级规律
考虑到保护系统中Ｒ鸭与ＥｓＦＡＳ对故障
安全模式的要求不同，娜应偏于驱动，而ＥＳ—
ＦＡＳ应偏于不驱动。因此，在参与表决逻辑的 控制器出现可探测故障而发生失效时，对应的
图ｌ ３．２
ＲＴｓ系统架构
表决逻辑，以最终使得保护系统的可靠性满足 法规、标准的要求。
Ｏ嘣弘ｔ
图４
Ｒ髑表决逻辑降级设计
万方数据
ｌｎｐ｜１ｔ１
罩耐ｔ辱瓤暾
ｈｌｄｕｌ２
ｂｌ邮
．Ｆ埘ｌｔ
ｈ舛ｃ４
谭蜘“
抛ｎ
ｌｎｐｕｔｌ
ｌ叩Ｉ以
・ＦａＯｎ
删ｌ
ｈｐｕＯ
图５
ＥＳＦＡＳ表决逻辑降级设计
［４］ＮｕＲＥｃ／ｃＲ一６３０３，Ｍｅｔｌｌｏｄ 参考文献 ［１］１ＡＥＡ—Ｎｓ—Ｇ—１．３，ｉｎｓ协ｌｍｅｎｔａｌｉｏｎ明ｄ
安全级系统故障不仅应该产生可预测的故障模
式，丽且所产生的故障模式应将系统置于安全 状态…。数字化保护系统故障一般可分为单
一故障和共因故障两种类型，本文主要针对这 两种故障类型对保护系统故障的影响分别进行 分析，并研究故障时可保证系统安全的对策，进
而设计出更为合理的保护系统架构。
１
时变为带电闭合状态，故障或失电后则恢复断
组采用多样性控制器（平台２）的系统进行冗余
配置，并进行１００２表决，如图２所示。 ３．３保护系统整体架构设计 根据上述分析结果，可为我国主要建设的
二代改进型反应堆保护系统设计出更为合理的
保护系统架构。（１）将ＲＴｓ设计为４个保护通 道Ｒ髑一ＩＰ—ｌＶＰ，每个保护通道分成两个功能 多样性子系统，可分别应用两个互为多样性的 数字化平台（一套应用ＤＣＳ，一套应用基于ＦＰ一
降低，尤其可得到更低的拒动率，所以更适合应
用到要求频率较高的保护中。在进行保护系统 架构设计时，须根据具体要求选择适合的表决
逻辑。
３．１
图２
ＥｓＦＡＳ系统架构
ＧＡ的控制装置）实现，每个保护通道控制一组
停堆断路器，四组停堆断路器相互连接而又构
Ｒ’ｒｓ表决逻辑选择 成２００４结构后控制紧急停堆。（２）ＥＳＦＡＳ设
２保护系统故障对策分析
２．１单一故障对策分析 根据核安全相关法规、标准规定，保护系统 的设计须满足单一故障准则，即要求保护系统 中任何部件发生单一随机故障包括由此故障引
的冗余配置是避免共因故障的有效手段¨Ｊ。
因为共因故障难以通过ＤｃＳ平台自身的 自诊断功能进行探测，如果对共因故障造成 “误动”和“拒动”进行兼顾设计，则须至少采用 三套不同原理的控制装置进行２００３表决，这样
当核电站发生预期运行事件（ＡＯＯ）时，为
避免安全参数（如压力、水位）超越安全限值而
出现事故工况，而由Ｒ稻驱动执行机构实现反 应堆紧急停堆，从而快速降低反应堆的反应性。
对于ＲＴｓ，当其任何系统或部件发生故障而无
法正常进行保护控制时，其故障安全模式应是
触发紧急停堆，即使丧失了电源，也必须要保证 停堆功能的执行，所以ＲＴＳ控制停堆的输出控 制模块（Ｄ０）应采用常开触点类型，在正常运行
故障）、Ｄｕ（Ｄａｎｇｅｒｏｕｓ ｕｎｄｅｔｅｃｔｅｄ，危险的不可 探测故障）、ＤＤ（Ｄａｎｇｅｒｏｕｓ Ｄｅｔｅｃｔｅｄ，危险的可 探测故障）。安全故障即故障导致的结果是安
全的，所以对于Ｒ玛而言，触发停堆的故障为 安全故障，造成停堆拒动的故障为危险故障；对
于ＥｓＦＡＳ而言，则是保持当前输出状态不变的 故障为安全故障，造成误动作的故障为危险故
系统一ＥｓＦＡＳ宜采用２００３逻辑及多样性冗余 系统结构型式，并由此设计了保护系统的基本 架构，在对具体核电站进行设计时，可基于此基 本架构再进行详细结构设计，并且须根据所应 用的ＤｃＳ平台各部件的可靠性指标，对保护系 统进行具体的可靠性定量分析计算。在进行可
靠性分析时，可能会受Ｄｃｓ平台可靠性指标的 影响，而需要再修正保护系统中的冗余配置或
表决逻辑应按表２所示的降级规律实现降级。
表２表决逻辑降级规律
ＥＳＦＡＳ表决逻辑选择 根据核电站工况的不同，对ＥＳＦＡｓ动作的
要求不同，而事故工况出现的概率极低，可能在
电厂整个生命周期内一次都不会发生¨Ｊ，为了
兼顾正常工况和事故工况，可采用２００３表决逻 辑。同时考虑到对共因故障的防范，应增加一 ＲＴｓ的２００４表决逻辑的设计，如图４所 示。 ＥＳＦＡＳ的２００４、２００３表决逻辑的设计，如 图５所示。
４结语
核电站保护系统故障安全设计是保证核电 站运行安全的重要环节，通过上述对保护系统
单一故障及共因故障两种故障形式进行分析，
３３９
万方数据
图３保护系统架构
ｈｌｐｍｌ
－Ｆ删眦．Ｆ粗Ｃ
Ｉ掣ｕｔ２坤ｕｔ３
－Ｆ硼ｈ
ｂ平ｕ蚪
－Ｆａ｜ｌ】ｔ
可知对于停堆系统一ＲｒＩｓ宜采用２００４逻辑及
多样性冗余系统结构，对于专设安全设施驱动
开状态，使停堆断路器的电源中断而触发停堆。
１．２
ＥＳＦＡＳ故障安全模式 当出现假定事故（ＰＡ）时，如一回路破站保护系统主要由紧急停堆系统
故，为减轻事故后果，由ＥｓＦＡｓ驱动专用安全
设施进行堆芯紧急冷却以及防止放射性物质向 外部环境大量排放。但是在正常工况下，如果 专设安全设施误动作（如安全壳误喷淋）则会 对反应堆设备产生损害或不良影响，所以此时
万方数据
误动率可得到有效降低，而拒动率则增加了一 倍，所以这两种表决很难兼顾“误动率”和“拒 动率”的要求。如果采用三重冗余控制器，并 进行２００３表决，误动率和拒动率都能得到有效 降低，但降低拒动率效果尚不如１００２表决，所 以可应用于对驱动要求频率比较低的情况。
２００４表决也能使误动率和拒动率都得到有效
性，并进行定量分析，使拒动率和误动率均达到 标准要求。假设单一控制站的故障误动率为
儿拒动率为ｇ，对于采用多重冗余控制器进行 逻辑表决而获得的误动率、拒动率如表ｌ所示。
表ｌ表决逻辑的误动率、拒动率
塞壅墨墨耋型
１００２ ２００２ ２００３
堡塑圣
２Ｐ
ｐ２
堑塑空
ｑ２
２ｑ ３
动降级为２００２；当一个系统出现误动故障时， 表决逻辑则会自动降级为ｌ００２，这样便可保证
第３２卷第３期 ２０１２年３月
Ｎｕｃｌｅａｒ
核电子学与探测技术 Ｅｌｅｃ叻ｎｉｃｓ＆Ｄｅｔｅｃｔｉｏｎ Ｔｅｃｈｎｏｌｏｇｙ
Ｖ０１．３２ Ｍ＂．
Ｎｏ．３ ２０１２
核电站反应堆保护系统故障对策分析与应用
郑伟智
（北京广利核系统工程有限公司，北京１０００９４）
摘要：核电站反应堆保护系统应设计为当其任何部分出现故障均能保证反应堆的安全。根据反应 堆停堆系统及专设安全设施驱动系统对故障安全的设计要求，研究了应对单一故障及共因故障的对策， 并根据二代反应堆堆型的特点，设计了保护系统的基本架构。该架构的停堆系统采用２００隼表决逻辑， 专设安全设施驱动系统采用２００３表决逻辑，并提出了在输人发生失效时，表决逻辑的降级规则。 关键词：核电站；保护系统；故障安全；单一故障；共因故障；表决逻辑 中图分类号：ＴＰ ２０６＋．３；吼３６２文献标识码：Ａ文章编号：０２５８毋９３４（２０１２）０３ＪＤ３３７－０５
［５］中国国家标准化管理委员会．ＧＢ／Ｔ ４０８３．核反应 堆保护系统安全准则［ｓ］．北京：中国标准出版社，
［２］ＩＥＥＥ
ｔｅｒｎｓ
ｓｔｄ．６０３，ＩＥＥＥ ｓｔａｎｄａｌｄ ｃｒｉｔｅｄａ ｆｏｒ ｓａｆｅｔｙ ｓｙｓ・ ｆｏｒ Ｎｕｃｌｅａｒ Ｐ０Ⅵｅｒ
（Ｒ瞄）和专设安全设施驱动系统（ＥＳＦＡＳ）两大 部分组成，因实现的功能不同，所以两个系统的 故障安全模式也有很大差异。
ＥｓＦＡｓ的系统或部件出现故障时，不驱动执行
机构是其安全模式；而在事故工况下，为了确保 能保持正常驱动持续减轻事故后果，ＥＳＦＡＳ出 现故障时，其故障安全模式是驱动保持；因此在
收稿日期：２０ｌＯ一０２—０７ 作者简介：郑伟智（１９７８一），男，河北人，工程师，，硕 士，负责核电站反应堆保护系统安全级ＤＣｓ设计。
ｔｅｒ璐ｉ珊ｐｏｒｔ皿ｔ
２００２．
ｔｏ
ｆｏｒ
Ｐｅ由珊ｉｎｇ Ｄｉｖｅ商‘ｙ
ａｎｄ Ｄｅ如ｎｓｅ—ｉｎ—ＤｅＰｔｌｌ Ａｎａｄｙｓｅｓ ｏｆ Ｒ—ｅａｃｔｏｒ Ｐ珊ｆｅｃ— ｃｏｎｔＴｏｌ ｓｙ８一 ｔｉｏｎ
ｓｙｓｔｅｍｓ［ｓ］．Ｄｅｃｅｍｂｅｒ
１９９４．
ｓａ鲫ｉＢ
ｎｕｃｌｅ盯ｐｏｗｅｒ
ｐｌａｎｔ８［ｓ］．
保反应堆安全，Ｒ鸭必须具有更低的拒动率，所
以最好采用２００４表决进行设计。同时考虑到 对共因故障的防御，应增加一组采用多样性控 制器（平台２）的系统进行冗余配置，并进行 １００２表决，如图１所示。
直接控制紧急停堆，并将计算结果传递到Ｅｓ—
ＦＡｓ实现专设安全设施的驱动。结合上述分析
的结论，Ｒ髑采用２００４表决，ＥＳＦＡｓ采用２００３
Ｒ，１１Ｓ主要用于应对Ａ００的发生，根据ＮＲＣ 在１０ＣＦＲ５０附录Ａ中的定义，Ａ００在整个电 站生命周期中会出现一次或多次怕－。为了确
计为Ａ、Ｂ列冗余，并分别对应控制一组专设安 全设备（阀或泵），任何一组设备驱动便能完成
专设安全功能。一般处理过程为，由ＲＴＳ采集 现场传感器的信号，进行阈值处理后，判断是否 应触发反应堆停堆或驱动专设安全设施，ＲＴＳ
发的其它故障，都不能影响保护系统实现安全
功能的能力旧。ｏ。数字化仪控系统一般都具有 一定的自诊断功能，对于通过自诊断可以探测 到的故障可以按预先的设置使输出保持故障安 全状态。根据故障影响是安全的还是危险的以 及故障是否具有可探测性，可将单一随机故障
分为４种类型：ｓｕ（Ｓ出ｕｎｄｅｔｅｃｔｅｄ，安全的不 可探测故障）、ｓＤ（ｓ也Ｄｅｔｅｃｔｅｄ，安全的可探测