[0001] 本发明涉及核电站领域， 尤其涉及一种核电站反应堆保护系统及其中的 安全控 制方法。

背景技术

为了确保核电站反应堆安全运行， 需设置保护系统。 保护系统的结构设计与核 电站的总体设计、 安全分级、 核级 DCS (Digital Control System, 数字化计算机 控制系统） 平台设计密切相关。

[0003] 在核电站发生设计基准事故的情况下， 保护系统用于将反应堆带至安全停堆状 态。 其中， 设计基准事故是指， 核电站按确定的设计准则在设计中采取了针对 性措施的事故工况。 安全停堆状态是指反应堆以受控的方式停止的 状态。 此外 ， 在安全停堆状态之前， 反应堆先进入可控状态， 这里的可控状态是指， 反应 堆的裂变链式反应处于可控状态。

[0004] 在保护系统中， 从核电站发生设计基准事故后到反应堆达到可 控状态的过程， 以及反应堆从可控状态至安全停堆状态的过程 ， 除实现反应堆自动紧急停堆功 能外， 一方面， 需要根据保护参数进行对专设安全设施进行系 统级的自动控制 处理， 另一方面， 还需要对专设安全设施进行设备级的手动操作 处理。 其中， 专设安全设施是指， 核电厂在事故工况下投入使用并执行安全功能 ， 以控制事 故后果， 使反应堆在事故后达到稳定的、 可接受状态而专门设置的各种安全系 统的总称。

[0005] 在实现上述现有保护系统的过程中， 发明人发现现有技术中至少存在如下问题 ： 现有的保护系统中， 系统级专设驱动功能与设备级专设驱动功能被 混杂在同 一个子系统中实现， 这样的子系统中， 对于系统级专设驱动功能所使用的保护 参数的控制处理等， 以及对于设备级专设驱动功能所使用的用户输 入指令的控 制处理等， 很多由同一设备实现， 也即， 实现两种功能的系统之间重合度较高 ， 这导致保护系统维护、 定期试验的方案较为复杂。 技术问题

[0006] 本发明提供一种核电站反应堆保护系统及核电 站反应堆保护系统中的安全控制 方法， 能够降低保护系统维护、 定期试验的方案复杂程度。

问题的解决方案

技术解决方案

[0007] 为达到上述目的， 本发明的实施例采用如下技术方案：

[0008] 第一方面， 提供一种核电站反应堆保护系统， 具备：

[0009] 紧急停堆系统 RTS， 其分为 N个保护通道， N为偶数且N≥2， 每个保护通道均对 应连接一列信号预处理系统， 其中， 所述每个保护通道从对应的所述信号预处 理系统获取保护参数， 并根据所述保护参数进行阈值比较， 得到阈值比较结果

[0010] 专设驱动系统 ESFAS , 其与所述 N个保护通道连接， 用于接收每个保护通道的 阈值比较结果， 并根据所述阈值比较结果进行专设驱动逻辑处 理， 输出第一专 设驱动指令， 所述第一专设驱动指令用于驱动反应堆达到可 控状态前的执行机 构；

[0011] 安全自动化系统 SAS， 其通过安全级环网与所述专设驱动系统 ESFAS连接， 用 于产生第一设备级控制指令， 所述第一设备级控制指令用于对从反应堆达到 可 控状态到安全停堆状态的执行机构进行控制。

[0012] 结合第一方面， 在第一方面的第一种可能的实现方式中， 所述专设驱动系统 ES

FAS分为三个 ESFAS序列， 每个 ESFAS序列均与所述 N个保护通道通过点对点通 讯连接。

[0013] 结合第一方面的第一种可能的实现方式， 在第一方面的第二种可能的实现方式 中， 所述每个 ESFAS序列均配置并行的、 冗余的两个运算处理器。

[0014] 结合第一方面的第二种可能的实现方式， 在第一方面的第三种可能的实现方式 中， 所述运算处理器用于对所述每个 ESFAS序列接收的 N个所述阈值比较结果进 行符合逻辑处理， 并且在所述 N个保护通道中的部分保护通道失效吋， 按照符合 逻辑退化原则进行处理。

[0015] 结合第一方面的第二种或第三种可能的实现方 式， 在第一方面的第四种可能的 实现方式中， 还具备紧急控制盘 ECP， 其手动专设驱动按钮与所述专设驱动系统 ESFAS通过硬接线连接， 用于根据操作人员的操作指令输出第二专设驱 动指令

[0016] 所述运算处理器还用于对所述第一专设驱动指 令与所述第二专设驱动指令进行 或逻辑处理， 输出第三专设驱动指令， 所述第三专设驱动指令用于驱动反应堆 达到可控状态前需要操作的执行机构。

[0017] 结合第一方面的第一种可能的实现方式， 在第一方面的第五种可能的实现方式 中， 所述安全自动化系统 SAS分为三个 SAS序列， 所述安全级环网分为三组安全 级子环网， 每个 SAS序列通过一个所述安全级子环网与一个所述 ESFAS序列一一 对应连接。

[0018] 结合第一方面的第五种可能的实现方式， 在第一方面的第六种可能的实现方式 中， 还具备安全级控制显示设备 SCID， 其分为三组， 每组 SCID通过一个所述安 全级子环网与一个所述 ESFAS序列及一个所述 SAS序列一一对应连接；

[0019] 每组 SCID根据操作人员的操作指令输出第二设备级� �制指令， 所述 SAS序列接 收所述第二设备级控制指令， 并对所述第一设备级控制指令与所述第二设备 级 控制指令进行或逻辑处理， 输出第三设备级控制指令， 所述第三设备级控制指 令用于对反应堆从可控状态到安全停堆状态需 要操作的执行机构进行控制。

[0020] 结合第一方面， 在第一方面的第七种可能的实现方式中， 所述 N个保护通道之 间点对点连接， 所述每个保护通道从另外 N-1个保护通道获取所述阈值比较结果

[0021] 所述每个保护通道均具备热备冗余处理器， 所述热备冗余处理器根据来自所述 N个保护通道的所述 N个所述阈值比较结果得到第三局部停堆信号� �

[0022] 所述每个保护通道均连接停堆断路器， 所述停堆断路器从所述每个保护通道获 取所述第三局部停堆信号， 并执行所述第三局部停堆信号控制核电站停堆 。

[0023] 结合第一方面的第七种可能的实现方式， 在第一方面的第八种可能的实现方式 中，

[0024] 所述每个保护通道均分为第一子组与第二子组 ， 所分得的 N个所述第一子组之 间点对点连接， 所分得的 N个所述第二子组之间点对点连接； [0025] 每个第一子组均从另外 N-l个第一子组获取所述阈值比较结果， 每个第一子组 均具备第一热备冗余处理器， 所述第一热备冗余处理器用于对来自所述 N个第一 子组的 N个所述阈值比较结果进行符合逻辑处理， 并且在 N个保护通道中的部分 保护通道失效吋， 按照退化原则进行符合逻辑处理， 输出第一局部停堆信号；

[0026] 每个第二子组均从另外 N-1个第二子组获取所述阈值比较结果， 每个第二子组 均具备第二热备冗余处理器， 所述第二热备冗余处理器用于对来自所述 N个第二 子组的 N个所述阈值比较结果进行符合逻辑处理， 并且在 N个保护通道中的部分 保护通道失效吋， 按照退化原则进行符合逻辑处理， 输出第二局部停堆信号；

[0027] 所述紧急停堆系统 RTS的每个保护通道还均具备 RTS或逻辑处理电路， 所述 RT S或逻辑处理电路与所述第一子组及所述第二� �组连接， 用于对所述第一局部停 堆信号与所述第二局部停堆信号进行或逻辑处 理， 输出所述第三局部停堆信号

[0028] 结合第一方面的第七种可能的实现方式， 在第一方面的第九种可能的实现方式 中， 还具备紧急控制盘 ECP， 所述紧急控制盘的手动停堆控制按钮通过硬接 线直 接连接所述停堆断路器， 并向所述停堆断路器输出第四局部停堆信号， 所述停 堆断路器获取并执行所述第四局部停堆信号控 制核电站停堆。

[0029] 结合第一方面， 在第一方面的第十种可能的实现方式中， 还具备多样化驱动系 统 KDS， 其实现预期瞬态不停堆系统的系统 ATWS的功能， 用于在所述保护系统 发生共模失效的情况下， 从所述信号预处理系统或现场仪表或第三方监 测系统 获取保护参数， 并根据所述保护参数输出停堆控制指令，

[0030] 所述多样化驱动系统与棒控系统连接， 所述棒控系统从所述多样化驱动系统接 收所述停堆控制指令， 并执行所述停堆控制指令控制核电站停堆。

[0031] 结合第一方面的第十种可能的实现方式， 在第一方面的第十一种可能的实现方 式中， 所述多样化驱动系统还用于根据所述保护参数 输出第三专设驱动指令， 所述第三专设驱动指令用于驱动反应堆达到可 控状态前需要操作的执行机构。

[0032] 结合第一方面的第十一种可能的实现方式， 在第一方面的第十二种可能的实现 方式中， 还具备设备接口及优先级模块 CIM， 其与所述安全自动化系统 SAS及所 述多样化驱动系统连接， 用于获取所述第一设备级控制指令及所述第三 专设驱 动指令， 还通过所述安全级环网及所述安全自动化系统 SAS获取所述专设驱动系 统 ESFAS输出的所述第一专设驱动指令， 并对获取到的多个指令进行优先级处 理。

[0033] 结合第一方面的第十种可能的实现方式， 在第一方面的第十三种可能的实现方 式中， 当所述紧急停堆系统 RTS、 所述专设驱动系统 ESFAS正常吋， 所述多样化 驱动系统的自动逻辑功能正常运行， 手动操作指令闭锁。

[0034] 第二方面， 提供一种核电站反应堆保护系统中的安全控制 方法， 包括如下步骤

[0035] 阈值比较步骤， 其中， 紧急停堆系统 RTS的多个保护通道均从对应的信号预处 理系统获取保护参数， 并对所述保护参数进行阈值比较， 得到阈值比较结果；

[0036] 专设驱动步骤， 其中， 专设驱动系统 ESFAS接收每个保护通道的阈值比较结果 ， 并根据所述阈值比较结果进行专设驱动逻辑处 理， 输出第一专设驱动指令， 所述第一专设驱动指令用于驱动反应堆达到可 控状态前需要操作的执行机构；

[0037] 安全自动化步骤， 其中， 安全自动化系统 SAS产生第一设备级控制指令， 所述 第一设备级控制指令用于对反应堆从可控状态 到安全停堆状态需要操作的执行 机构进行控制。

[0038] 结合第二方面， 在第二方面的第一种可能的实现方式中， 所述专设驱动系统 ES FAS分为三个 ESFAS序列， 每个 ESFAS序列均与多个保护通道通过点对点通讯连 接；

[0039] 所述每个 ESFAS序列均配置并行的、 冗余的两个运算处理器；

[0040] 在所述专设驱动步骤中， 所述运算处理器对所述每个 ESFAS序列接收的多个所 述阈值比较结果进行符合逻辑处理， 并且在所述多个保护通道中的部分保护通 道失效吋， 按照符合逻辑退化原则进行处理。

[0041] 结合第二方面的第一种可能的实现方式， 在第二方面的第二种可能的实现方式 中， 所述核电站反应堆保护系统还具备紧急控制盘 ECP， 所述紧急控制盘 ECP的 手动专设驱动按钮与所述专设驱动系统 ESFAS连接， 根据操作人员的操作指令 输出第二专设驱动指令；

[0042] 在所述专设驱动步骤中， 所述运算处理器对所述第一专设驱动指令与所 述第二 专设驱动指令进行或逻辑处理， 输出第三专设驱动指令， 所述第三专设驱动指 令用于驱动反应堆达到可控状态前需要操作的 执行机构。

[0043] 结合第二方面的第一种可能的实现方式， 在第二方面的第三种可能的实现方式 中， 所述安全自动化系统 SAS分为三个 SAS序列， 所述安全级环网分为三组安全 级子环网， 每个 SAS序列通过一个所述安全级子环网与一个所述 ESFAS序列一一 对应连接；

[0044] 所述核电站反应堆保护系统还具备安全级控制 显示设备 SCID， 其分为三组， 每组通过一个所述安全级子环网与一个所述 ESFAS序列及一个所述 SAS序列一一 对应连接， 每组 SCID根据操作人员的操作指令输出第二设备级� �制指令；

[0045] 在所述安全自动化步骤中， 所述 SAS序列接收所述第二设备级控制指令， 并对 所述第一设备级控制指令与所述第二设备级控 制指令进行或逻辑处理， 输出第 三设备级控制指令， 所述第三设备级控制指令用于对反应堆从可控 状态到安全 停堆状态需要操作的执行机构进行控制。

发明的有益效果

有益效果

[0046] 在本发明提供的核电站反应堆保护系统及其安 全控制方法中， 对反应堆达到可 控状态前与达到可控状态至安全停堆状态的保 护功能进行区分处理， 具体地， 通过安全级环网， 对用于实现重要的系统级自动控制功能的专设 驱动系统， 以 及用于实现设备级安全辅助、 支持功能的安全自动化系统分幵实现， 相对于现 有技术中没有区分专设驱动系统与安全自动化 系统而降两者的功能混杂在同一 个子系统中， 本发明能够降低保护系统维护、 定期试验的方案复杂程度。

对附图的简要说明

附图说明

[0047] 为了更清楚的说明本发明实施例或现有技术中 的技术方案， 下面将对实施例或 现有技术中所需要使用的附图作简单地介绍， 显而易见地， 下面描述中的附图 仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性 劳动的前提下， 还可以根据这些附图获得其他的附图。

[0048] 图 1为本发明提供的核电站反应堆保护系统的结� �示意图； [0049] 图 2为本发明提供的核电站反应堆保护系统中的� �全控制方法的流程图。

实施该发明的最佳实施例

本发明的最佳实施方式

[0050] 下面结合附图对本发明实施例的技术方案进行 清楚、 完整地描述， 显然， 所描 述的实施例仅仅是本发明的一部分实施例， 而不是全部的实施例。 基于本发明 中的实施例， 本领域普通技术人员在没有做出创造性劳动的 前提下所获得的所 有其他实施例， 都属于本发明保护的范围。

[0051] 实施例一

[0052] 以下， 结合附图对本实施例提供的核电站反应堆保护 系统进行说明。 图 1为本 发明实施例一提供的核电站反应堆保护系统的 结构示意图。

[0053] 如图 1所示， 核电站反应堆保护系统 100主要具备紧急停堆系统 （Reactor Trip System, RTS) 10、 专设驱云力系统 (Engineering Safety Features Actuation System ， ESFAS) 20、 安全自动化系统 (Safety Automation System, SAS) 30及安全级 环网 SB (Safety System Bus) 40。

[0054] 紧急停堆系统 10具有如下功能： 当反应堆运行中出现设计基准事故吋， 触发反 应堆停堆， 以实现对反应堆反应性的控制， 一回路余热排出， 反应堆放射性包 容等保护功能。

[0055] 紧急停堆系统 10分为冗余的 N个保护通道， 每个保护通道内具有相同的结构。

其中， N为偶数且N≥2。 在本实施例中， 以 N=4为例进行说明。 4个保护通道分别 为 RTS IP、 RTS IIP、 RTS ΠΙΡ及 RTS IVP。 如后文所述， 每个保护通道主要由停 堆保护控制柜 （Reactor Protection Cabinet, RPC) 组成， 如图 1所示， 4个保护通 道分别对应 RPC-I、 RPC-II、 RPC-III、 RPC-IV。

[0056] 核电站反应堆保护系统 100还包括 N列信号预处理系统 SPS (Signal Processing System) 11。 信号预处理系统 11主要具备用于采集保护参数的传感器 S及对传感 器 S采集的保护参数进行隔离、 调理、 分配等预处理的信号预处理柜 （Signal Processing Cabinet, SPC) 。 保护参数是指核电站中与安全状态相关的各种 参数 ， 例如， 稳压器的水位、 稳压器的压力等。

[0057] 信号预处理系统 11与保护通道一一对应。 在本实施例中， 对应于保护通道分为 4个， 信号预处理系统 11同样分为 4列， 对应的 4个信号预处理柜为 SPC-I、 SPC-II 、 SPC-III、 SPC-IV。 每个保护通道均对应连接一列信号预处理系统 11。 例如， 保护通道 RTS IP连接信号预处理柜 SPC-I对应的信号预处理系统， 保护通道 RTS IIP连接信号预处理柜 SPC-II对应的信号预处理系统。

[0058] 每个保护通道 （RTS IP、 RTS IIP、 RTS ΠΙΡ及 RTS IVP) 从对应的信号预处理 系统 11获取被预处理之后的保护参数。 为了判断保护参数是否满足安全状态的 要求， 可设置相应的阈值。 保护通道可将保护参数与阈值进行比较， 得到阈值 比较结果。 举例而言， 对于一回路中稳压器 （未图示） 的水位， 设置一个阈值 为安全水位， 当稳压器的水位高于安全水位吋， 得到阈值比较结果 "1"， 用于表 征稳压器的水位处于非安全状态； 当稳压器的水位低于安全水位吋， 得到阈值 比较结果 "0"， 用于表征稳压器的水位处于安全状态。 如后文所述， 阈值比较结 果一方面供专设驱动系统 20处理， 另一方面供紧急停堆系统 10处理。

[0059] 专设驱动系统 20用于在核电站发生设计基准事故后将核电站� ��至可控状态， 具 体地， 其可触发与设计基准事故相应的专设安全设施 动作， 例如安全注入、 启 动应急给水等。

[0060] 专设驱动系统 20可分为冗余的多个序列， 即 ESFAS序列。 每个 ESFAS序列具有 相同的结构， 主要由专设驱动柜 (Engineering Safety Features Actuation

Cabinet, ESFAC) 构成， ESFAC用于实现专设驱动系统 20的功能， 其中可配置 并行的、 冗余的两个运算处理器。 在此， 以 3个 ESFAS序列 ESFAS A、 ESFAS B 、 ESFAS

C为例。 如图 1所示， 3个 ESFAS序列分别对应 ESFAC-A、 ESFAC-B、 ESFAC-C 。 ESFAC-A配置有两个运算处理器 Al、 A2， ESFAC- B配置有两个运算处理器 B 1、 B 2， ESFAC-C配置有两个运算处理器 CI、 C2。

[0061] 专设驱动系统 20与紧急停堆系统 10的 N个保护通道连接， 更具体地， 每个 ESFA S序列均与 N个保护通道通过点对点通讯连接。 例如， ESFAC-A对应的 ESFAS A 与 4个 RPC-I、 RPC-II、 RPC-III、 RPC-IV各自对应的 RTS IP、 RTS IIP、 RTS HIP 、 RTS IVP均连接。 专设驱动系统 20可接收每个保护通道各自得到的阈值比较结 果， 即 N个阈值比较结果。 在此， 专设驱动系统 20对 N个阈值比较结果进行专设 驱动逻辑处理， 输出第一专设驱动指令， 第一专设驱动指令用于在可控状态前 驱动与设计基准事故相应的专设安全设施 （执行机构的一种） ， 使得反应堆达 到可控状态。 因此， 专设驱动逻辑处理是指， 根据阈值比较结果确定需驱动的 专设安全设施及其驱动方式。 如后文所述， 第一专设驱动指令将通过安全级环 网 40传输。

[0062] 区别于专设驱动系统 20， 安全自动化系统 30用于将反应堆从可控状态带至安全 停堆状态。 而且， 专设驱动系统 20基于保护参数进行对专设安全设施进行系统 级的驱动控制， 而安全自动化系统 30基于操作人员的手动输入操作对专设安全 设施进行设备级的驱动控制。

[0063] 安全自动化系统 30同样可分为多个序列， 即 SAS序列。 每个 SAS序列具有相同 的结构， 主要由安全自动化柜 （Safety Automation Cabinet, SAC) 构成， SAC用 于实现安全自动化系统 30的功能， 每个 SAS序列可配置热备冗余运算处理器 （未 图示） 。 如图 1所示， 以 3个 SAS序歹 ijSAS A、 SAS B、 SAS C为例。 在此， 安全 自动化系统 30根据操作人员输入的指令， 输出第一设备级控制指令， 第一设备 级控制指令是针对单个设备的控制指令， 用于对反应堆从可控状态到安全停堆 状态需要操作的执行机构进行控制。

[0064] 安全级环网 40是保护系统 100中为连接专设驱动系统 20及安全自动化系统 30而 设置的， 用于将第一专设驱动指令与第一设备级控制指 令输送至相应的执行机 构。 对应于专设驱动系统 20与安全自动化系统 30的冗余化设置， 安全级环网 40 同样可以进行冗余化设置， 即， 安全级环网 40分为多组。 如图 1所示， 安全级环 网 40分为三组安全级子环网， 分别为 Train A、 Train B、 Train C。 每组安全级子 环网用于连接一个 ESFAS序列及一个 SAS序列， 即， 每个 SAS序列通过一个安全 级子环网与一个 ESFAS序列一一对应连接。 例如， SAS序列 SAS A通过安全级子 环网 Train A与 ESFAS序歹 ijESFAS A连接， SAS序歹 ijSAS B通过安全级子环网 Train B与 ESFAS序歹 IjESFAS B连接。

[0065] 由以上可知， 在本实施例提供的核电站反应堆保护系统 100中， 对反应堆达到 可控状态前与达到可控状态至安全停堆状态的 保护功能进行区分处理， 具体地 ， 通过安全级环网 40， 对用于实现重要的系统级自动控制功能的专设 驱动系统 2 0， 以及用于实现设备级安全辅助、 支持功能的安全自动化系统 30分幵实现， 相 对于现有技术中没有区分专设驱动系统与安全 自动化系统而降两者的功能混杂 在同一个子系统中， 本发明能够降低保护系统维护、 定期试验的方案复杂程度

[0066] 实施例二

[0067] 本实施例在实施例一的基础上， 对现有技术中的核电站反应堆保护系统进行进 一步改进。

[0068] 现有技术中， 针对二代压水堆核电站控制序列一般只分为 、 B两列， 核级 DC S平台相应地做 A、 B两列的结构设计。 然而， 随着三代压水堆核电站的引入， 而 三代压水堆核电站分为三个控制序列， 因此， 现有技术中的核电站反应堆保护 系统的两列控制序列设计无法满足三代压水堆 核电站的要求。

[0069] 为此， 本实施例提供的专设驱动系统 20分为三个以上的 ESFAS序列， 优选为三 个 ESFAS序列。 如实施例一所述， 每个 ESFAS序列均与 N个保护通道连接。

[0070] 在本实施例中， 通过将专设驱动系统 20设计为三个 ESFAS序列， 能够满足核电 站的工艺控制需求。 而且， 三个控制序列相比两个控制序列能够进一步优 化核 电站控制功能的冗余性及独立性， 进而提高保护系统仪控实现的可靠性。

[0071] 如上所述， 每个 ESFAS序列主要由 ESFAC构成。 ESFAC中的运算处理器除了用 于实现专设驱动逻辑处理外， 还可用于对每个 ESFAS序列接收的 N个阈值比较结 果进行符合逻辑处理。 符合逻辑处理包括 N取一符合逻辑、 N取二符合逻辑等。 以 _N= 4为例， 每个 ESFAS符合逻辑电路可对来自 4个保护通道的 4个阈值比较结果 进行四取二符合逻辑处理。 符合逻辑处理的输出结果供专设驱动逻辑电路 进行 专设驱动逻辑处理。

[0072] 并且， 当 N个保护通道中的部分保护通道失效吋， 按照符合逻辑退化原则进行 处理。 所谓符合逻辑退化原则是指， 当 N个保护通道中的某个保护通道失效吋， 符合逻辑处理退化为 N-1取一符合逻辑、 N-1取二符合逻辑等； 当 N-1个保护通道 中的某个保护通道失效吋， 符合逻辑处理进一步退化为 N-2取一符合逻辑、 N-2 取二符合逻辑等。 举例而言， ESFAS符合逻辑电路初始吋对从来自 4个保护通道 的 4个阈值比较结果进行四取二符合逻辑处理， 当某个保护通道失效吋， 退化为 三取二符合逻辑处理， 当又有一个保护通道失效吋， 进一步退化为二取一符合 逻辑处理。

[0073] 另外， 虽然在上述说明中初始吋以 N取二符合逻辑为例进行说明， 但初始吋也 可进行 N取一符合逻辑或 N-1取二等。

[0074] 另外， 在本实施例中， 通过设置 ESFAS符合逻辑电路， 使得在保护通道部分失 效的情况下也能够确保专设驱动系统 20功能的正常实现。

[0075] 实施例三

[0076] 在上述实施例一或实施例二的基础上， 本实施例用于对紧急停堆系统 10进行进 一步说明。

[0077] 紧急停堆系统 10的 N个保护通道之间点对点连接， 每个保护通道从另外 N-1个 保护通道获取阈值比较结果。 如图 1所示， RPC-I从 RPC-II~RPC-IV获取阈值比较 结果。

[0078] 每个保护通道均具备热备冗余处理器 （未图示） ， 热备冗余处理器根据来自 N 个保护通道的 N个阈值比较结果得到第三局部停堆信号。 每个保护通道均连接停 堆断路器， 停堆断路器从每个保护通道获取第三局部停堆 信号， 并执行第三局 部停堆信号控制核电站停堆。

[0079] 更具体地， 紧急停堆系统 10的每个保护通道均分为第一子组与第二子组� �� 还包 括与第一子组、 第二子组连接的 RTS或逻辑处理电路。 每个子组内配热备冗余处 理器 （未图示） ， 第一子组内的称为第一热备冗余处理器， 第二子组内的称为 第二热备冗余处理器。

[0080] 所分得的 N个第一子组之间点对点连接， 所分得的 N个第二子组之间点对点连 接。 如图 1所示， 保护通道 RTS IP的停堆保护控制柜 RPC-I分为第一子组 Subl与 第二子组 Sub2。 其他保护通道 RTS IIP-RTS IVP同样分为第一子组 Subl与第二子 组 Sub2。 4个第一子组 Subl之间两两连接， 4个第二子组 Sub2之间两两连接。

[0081] 根据两两连接的关系， 每个第一子组均从另外 N-1个第一子组获取阈值比较结 果。 第一热备冗余处理器用于对来自 N个第一子组的 N个阈值比较结果进行符合 逻辑处理， 即对该第一 RTS符合逻辑电路所在的第一子组的 1个阈值比较结果及 另外 N-1个第一子组的 N-1个阈值比较结果进行符合逻辑处理。 并且， 在 N个保护 通道中的部分保护通道失效吋， 按照符合逻辑退化原则进行处理， 输出第一局 部停堆信号。 类似于第三局部停堆信号， 第一局部停堆信号同样用于控制核电 站停堆， 但是， 第一局部停堆信号属于中间信号。

[0082] 同样地， 根据两两连接的关系， 每个第二子组均从另外 N-1个第二子组获取阈 值比较结果。 第二热备冗余处理器用于对来自 N个第二子组的 N个阈值比较结果 进行符合逻辑处理， 并且在 N个保护通道中的部分保护通道失效吋， 按照符合逻 辑退化原则进行处理， 输出第二局部停堆信号。 第二局部停堆信号属于中间信 号。

[0083] 需要说明的是， 在本实施例中， 根据多样化设计需求， 第一子组 Subl及第二子 组 Sub2可分别处理不同类型的保护参数及其阈值� �较结果， 执行不同的保护功 能。

[0084] 紧急停堆系统 10的每个保护通道还均具备 RTS或逻辑处理电路， 在图 1中用符 号"≥1"表示。 RTS或逻辑处理电路与第一子组 Subl及第二子组 Sub2连接。 根据 与第一子组及第二子组的连接关系， RTS或逻辑处理电路对第一局部停堆信号与 第二局部停堆信号进行或逻辑处理， 输出第三局部停堆信号。

[0085] 如上所述， 紧急停堆系统 10用于当反应堆运行中出现设计基准事故吋触� ��紧急 停堆。 在此， 第三局部停堆信号可通过硬接线传输至停堆断 路器 RTB， 从而触发 紧急停堆。 需要说明的是， 与 N个第三局部停堆信号相对应， 停堆断路器 RTB同 样可设置为 N对， N对停堆断路器可通过硬接线实现 N取二符合逻辑等， 即至少 两对停堆断路器打幵才可实现紧急停堆。 如有保护通道故障或失效， 则停堆断 路器硬接线符合逻辑依次退化为三取二、 二取一。

[0086] 在本实施例中， 通过第一子组 Subl及第二子组 Sub2的设置， 使得在保护通道部 分失效的情况下也能够确保紧急停堆系统 10功能的正常实现。

[0087] 在实施例二及三的一个更具体的实施方式中， 核电站反应堆保护系统 100还可 设置紧急控制盘 ECP (Emergency Control Panel) 70。 紧急控制盘 70的手动专设 驱动按钮与专设驱动系统 20通过硬接线连接， 用于根据操作人员的操作指令输 出第二专设驱动指令。 类似于第一专设驱动指令， 第二专设驱动指令同样用于 驱动反应堆达到可控状态前需要操作的执行机 构。 [0088] 专设驱动系统 20可接收紧急控制盘 70输出的第二专设驱动指令， 其中的运算处 理器还可用于对第一专设驱动指令与第二专设 驱动指令进行或逻辑处理， 输出 第三专设驱动指令。 类似地， 第三专设驱动指令用于驱动反应堆达到可控状 态 前需要操作的执行机构。 可以理解的是， 在设置紧急控制盘 70的情况下， 在运 算处理器的或逻辑处理的控制下， 第一专设驱动指令与第二专设驱动指令转换 为第三专设驱动指令， 仅第三专设驱动指令输送至执行机构。

[0089] 在该更具体的实施方式中， 通过紧急控制盘 70的设置， 能够代替专设驱动系统 20实现对专设安全设施的紧急驱动。 通过运算处理器的或逻辑处理， 能够协调 专设驱动系统 20与紧急控制盘 70对专设安全设施的驱动。

[0090] 除了代替专设驱动系统 20实现对专设安全设施的紧急驱动外， 紧急控制盘 70还 可直接手动实现紧急控制核电站停堆。 在此， 紧急控制盘 70通过硬接线直接连 接停堆断路器 RTB， 并向停堆断路器 RTB输出第四局部停堆信号。 停堆断路器 R TB可获取并执行第四局部停堆信号控制核电站� ��堆。

[0091] 与紧急控制盘 70相对， 核电站反应堆保护系统 100还可设置可视化的安全级控 制显示设备 SCID (Safety Control and Information Device) 80， 其用于代替安全自 动化系统 30紧急驱动执行机构。 在此， 安全级控制显示设备 80分为三组， 每组 通过一个安全级子环网与一个 ESFAS序列及一个 SAS序列一一对应连接。 例如， 组 SCID A通过 Train A与 ESFAC-A及 SAS A连接。 并且， 安全级控制显示设备 80 与安全自动化系统 30连接， 用于根据操作人员的操作指令输出第二设备级 控制 指令。

[0092] 每组根据操作人员的操作指令输出第二设备级 控制指令， 对应的 SAS序列接收 该第二设备级控制指令， 并对自身的第一设备级控制指令与该第二设备 级控制 指令进行或逻辑处理， 输出第三设备级控制指令。 类似地， 第三设备级控制指 令用于对反应堆从可控状态到安全停堆状态需 要操作的执行机构进行控制。

[0093] 通过安全级控制显示设备 80的设置， 同样能够实现对专设安全设施的紧急驱动 。 通过 SAS或逻辑处理电路的设置， 能够协调安全自动化系统 30与安全级控制显 示设备 80对专设安全设施的驱动。

[0094] 实施例四 [0095] 在上述实施例一至实施例三中任一实施例的基 础上， 本实施例对现有技术中的 核电站反应堆保护系统 100进行进一步改进。

[0096] 本实施例涉及预期瞬态不停堆系统 (Anticipated Transient Without Trip

System, ATWS), ATWS对应通过多样化停堆控制及跳机， 启动应急给水等功能 缓解保护系统未能实现紧急停堆情况下的后果 。

[0097] 在本实施例中， 还设置多样化驱动系统 KDS (Diversity Actuation System) 50， 其用于实现 ATWS系统的功能。 多样化驱动系统 50可与每列信号预处理系统 11连 接， 用于在紧急停堆系统 10与专设驱动系统 20发生共模失效的情况下， 从信号 预处理系统 11获取保护参数， 并根据所述保护参数输出停堆控制指令。

[0098] 多样化驱动系统 50还与棒控系统 （Full Length Rod Control System, RGL) 连接

， 棒控系统从多样化驱动系统 50接收该停堆控制指令， 并执行该停堆控制指令 控制核电站停堆。 因此， 多样化驱动系统 50能够在核电站反应堆保护系统 100共 模失效情况下， 保证关键的保护功能实现。

[0099] 并且， 由于 ATWT的功能被放在多样化驱动系统 50中实现， 因而不需要再单独 设计一套 ATWT实体机柜来实现该多样化功能， 从而精简了核电站反应堆保护系 统 100。

[0100] 在上述说明中， 多样化驱动系统 50与每列信号预处理系统 11连接， 从信号预处 理系统 11获取保护参数， 但本发明不仅限于此， 多样化驱动系统 50可通过硬接 线与第三方系统 （未图示） 连接， 直接通过硬接线从第三方系统获取保护参数 ， 或者， 从现场仪表获取保护参数。

[0101] 另外， 多样化驱动系统 50还可用于根据保护参数输出第三专设驱动指� ��， 第三 专设驱动指令同样用于驱动反应堆达到可控状 态前需要操作的执行机构。 第三 专设驱动指令可传输至后述的接口及优先级模 块 CIM 60。

[0102] 另外， 当紧急停堆系统 10、 专设驱动系统 20正常吋， 多样化驱动系统 50的自动 逻辑功能正常运行， 但手动操作指令闭锁。

[0103] 需要说明的是， 多样化驱动系统 50中实现的功能一般不属于核电站反应堆保护 系统 100中实现的保护功能， 但是， 在本发明中， 鉴于核电站反应堆保护系统 10 0与多样化驱动系统 ₅₀ 的设置具有密切的关系， 且 ATWS系统功能在多样化驱动 系统 50中实现， 因此， 可将多样化驱动系统 50看作核电站反应堆保护系统 100的 一部分。

[0104] 另外， 在现有技术中， 没有对专设驱动系统 20与安全自动化系统 30进行区分设 计， 因此， 第一专设驱动指令与第一设备级控制指令也没 有被区分幵来。 然而 ， 第一专设驱动指令相对于保护系统 100而言更为重要， 若不对两种指令进行优 先级划分， 将无法高效地实现保护系统 100的功能。

[0105] 为此， 核电站反应堆保护系统 100还设置设备接口及优先级模块 CIM 60。 设备 接口及优先级模块 60与安全自动化系统 30及多样化驱动系统 50连接。 设备接口 及优先级模块 60可分为三个序列， 每个序列主要由设备接口及优先级柜 CIC构成 。 如图 1所示， CIM分为 CIC A、 CIC B、 CIC

C这 3个序列。 并且， 3个序列与 3个 SAS序歹 ijSAS A、 SAS B、 SAS C——对应连 接。 设备接口及优先级模块 60用于获取第一设备级控制指令及第三专设驱� ��指 令。 此外， 设备接口及优先级模块 60还获取专设驱动系统 20。 输出的第一专设 驱动指令， 其中第一专设驱动指令通过安全级环网 40及安全自动化系统 30。

[0106] 可以理解的是， 虽然在上述说明中， 第一设备级控制指令、 第三专设驱动指令 及第一专设驱动指令直接送至对应的执行机构 ， 但是， 在设置设备接口及优先 级模块 60的情况下， 这些指令可先经过设置设备接口及优先级模块 60的优先级 处理之后再送至执行机构。 也即， 设备接口及优先级模块 60可对接收到的多个 指令进行优先级处理， 确定优先级最高的指令， 使得执行机构优先执行优先级 最高的指令， 因此， 能够高效地实现保护系统的功能。

[0107] 另外， 通过图 1可以看出， 本实施例提供的核电站反应堆保护系统 100中不需要 针对保护系统多样化设计要求另外设计一套冗 余继电器硬逻辑， 也即， 不在需 要大规模的功能冗余继电器机柜。

[0108] 与此相对， 在现有的核电站反应堆保护系统中， 为了满足保护系统多样化设计 要求， 除采用数字化技术实 ¾A、 B两列监控功能外， 另外设计一套继电器硬接 线逻辑设计， 实现数字化平台中重要的系统级控制功能的多 样化冗余设计。

[0109] 本实施例提供的核电站反应堆保护系统 100中由于采用了多样化驱动系统， 因 此， 保护系统 100不需针对重要保护功能增配一套继电器逻辑 ， 大量减少了安全 级继电器机柜数量， 精简了电缆数量， 同吋给电气厂房的布置降低了难度。 另 夕卜， 继电器逻辑的减少大大简化了电厂定期试验的 要求， 也降低了设备老化造 成的故障风险。

[0110] 实施例五

[0111] 本实施例提供一种核电站反应堆保护系统中的 安全控制方法， 应用于对应于上 述实施例一至实施例四所提供的任一核电站反 应堆保护系统 100中。 如图 2所示

， 所述方法包括如下步骤：

[0112] 阈值比较步骤 Sl， 其由紧急停堆系统 RTS执行， 紧急停堆系统分为 N个保护通 道， N为偶数且N≥2， 每个保护通道均对应连接一列信号预处理系统 ， 其中， 每 个保护通道从对应的信号预处理系统获取保护 参数， 并根据保护参数进行阈值 比较， 得到阈值比较结果；

[0113] 专设驱动步骤 S2， 其由专设驱动系统 ESFAS执行， 专设驱动系统与 N个保护通 道连接， 用于接收每个保护通道的阈值比较结果， 并根据阈值比较结果进行专 设驱动逻辑处理， 输出第一专设驱动指令， 第一专设驱动指令用于驱动反应堆 达到可控状态前需要操作的执行机构；

[0114] 安全自动化步骤 S3， 其由安全自动化系统 SAS执行， 安全自动化系统通过安全 级环网与专设驱动系统连接， 产生第一设备级控制指令， 第一设备级控制指令 用于对反应堆从可控状态到安全停堆状态需要 操作的执行机构进行控制。

[0115] 关于各步骤的具体说明， 可参照实施例一至实施例四的说明， 在此不再赘述。

根据本实施例提供的核电站反应堆保护系统中 的安全控制方法， 能够降低保护 系统维护、 定期试验的方案复杂程度。

[0116] 在实施例五的一个更具体实施例中， 专设驱动系统分为三个 ESFAS序列， 每个

ESFAS序列均与 N个保护通道通过点对点通讯连接；

[0117] 每个 ESFAS序列均配置并行的、 冗余的两个运算处理器；

[0118] 在专设驱动步骤 S2中， 运算处理器对每个 ESFAS序列接收的 N个阈值比较结果 进行符合逻辑处理， 并且在 N个保护通道中的部分保护通道失效吋， 按照符合逻 辑退化原则进行处理。

[0119] 在实施例五的另一个更具体实施例中， 核电站反应堆保护系统还具备紧急控制 盘 ECP， 紧急控制盘 ECP的手动专设驱动按钮与专设驱动系统连接， 根据操作人 员的操作指令输出第二专设驱动指令；

[0120] 在专设驱动步骤 S2中， 运算处理器对第一专设驱动指令与第二专设驱 动指令进 行或逻辑处理， 输出第三专设驱动指令， 第三专设驱动指令用于驱动反应堆达 到可控状态前需要操作的执行机构。

[0121] 在实施例五的又一个更具体实施例中， 安全自动化系统分为三个 SAS序列， 安 全级环网分为三组安全级子环网， 每个 SAS序列通过一个安全级子环网与一个 E

SFAS序列 对应连接；

[0122] 核电站反应堆保护系统还具备安全级控制显示 设备 SCID， 其分为三组， 每组 通过一个安全级子环网与一个 ESFAS序列及一个 SAS序列一一对应连接， 每组 S

CID根据操作人员的操作指令输出第二设备级 控制指令；

[0123] 在安全自动化步骤 S3中， SAS序列接收第二设备级控制指令， 并对第一设备级 控制指令与第二设备级控制指令进行或逻辑处 理， 输出第三设备级控制指令， 第三设备级控制指令用于对反应堆从可控状态 到安全停堆状态需要操作的执行 机构进行控制。

[0124] 在实施例五的又一个更具体实施例中， N个保护通道之间点对点连接， 每个保 护通道均具备热备冗余处理器， 每个保护通道均连接停堆断路器，

[0125] 方法还包括停堆控制步骤 S4， 在停堆控制步骤 S4中， 每个保护通道从另外 N-1 个保护通道获取阈值比较结果， 热备冗余处理器根据来自 N个保护通道的 N个阈 值比较结果得到第三局部停堆信号， 停堆断路器从每个保护通道获取第三局部 停堆信号， 并执行第三局部停堆信号控制核电站停堆。

[0126] 关于实施例五的各个更具体实施例中各步骤的 具体说明， 同样可参照实施例一 至实施例四的说明， 在此不再赘述。

[0127] 以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局限于此， 任何熟悉本技术领域的技术人员在本发明揭露 的技术范围内， 可轻易想到变化 或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保护范围应以权 利要求的保护范围为准。