反應爐保護系統

壹. 概述
貳. 設計條件
參. 反應爐跳脫
肆. 特殊安全設施
伍. 反應爐保護系統的元件
陸. 反應爐保護邏輯控道

壹. 概述

反應爐是核能電廠的重心,為了確保反應爐一次系統之完整性及避免危害附近民眾的健康和安全,反應爐保護系統是核能電廠不可缺少的設備。此系統在必要時能使反應爐跳脫及起動特殊安全設施,以保護反應爐 。
反應爐保護系統有兩串,每串由一個輸入櫃、一個邏輯櫃和兩個輸出電驛櫃所組成。本系統訊號控制以固態電子元件處理,故稱為固態保護系統。

貳. 設計條件

為了確保反應爐保護系統動作正常,必須遵照下列基本設計原則:

  1. 多重性:
    採用多重測定系統,任何重要參數均有多個儀器測定,故單一故障訊號發生時,不致引起或閉鎖反應爐跳脫(Single failure should not prevent or cause Reactor Trip)以及特殊安全設施之起動。保護邏輯有兩串,任何一串均有能力去動作保護系統。
  2. 獨立性 :
    測定的每個控道及保護的每個邏輯串,其所在位置及電氣設備均相互獨立,用以確保單一故障時,只能中斷或影響相關一個控道或邏輯串,不致影響整個保護系統功能。
  3. 多樣性:
    利用數種不同方法執行同一目的或保護功能。例如爐水流量一定,欲測定反應爐熱功率,可用核子儀器測定反應爐爐外之中子通量;也可用流程儀器測定反應爐進出口溫度差(△T)。
  4. 故障時趨向安全之動作性:
    保護系統的設計,故障時會發出一安全訊號。例如,雙穩態電路斷電時,送出一跳脫訊號至保護邏輯電路去跳脫反應爐跳脫斷路器。控制棒控制系統斷電時,整個控制棒元件會插入爐心,以達到安全停機之目的。
  5. 可測試性:
    反應爐保護系統在不影響保護功能的情形下,能夠在功率運轉中做校正或試驗。
  6. 控制系統不致影響保護系統之可靠性:
    控制系統之設計,主要在維持機組穩定運轉,以確保有足夠餘裕才達到跳脫設定值。同時可在保護系統動作跳脫前,能抑制系統運轉暫態的劇變。因此需要儀器來量測核能電廠各流程變動參數。這些變動參數事實上與保護系統所需之參數相同。所以用在保護系統的主要感測元件和訊號傳送設備也用在控制系統上。
    1. 控制系統藉實體上之完全分開與電氣上之隔離來與保護系統保持明顯的分離。保護系統藉隔離放大器接收控制系統送來的流程訊號,目的在確保控制系統訊號故障時不致回授至保護系統。
    2. 因為控制系統設備,必須能夠制止劇烈變化。如果有假訊號出現,控制系統也會引起劇烈的變化。控制系統故障時,不論是該動作而不動作或不該動作而動作,都會降低安全可靠度。因此,當控制系統故障引起劇變,這時需要保護系統動作,保護系統在設計上容許單一故障不致喪失保護功能;故安排有四選二邏輯電路以補償上述的不足。重複的控制設備和控制連鎖,也用來確保控制作用只在必要時才動作。
    3. 為符合單一故障準則,又能提供運轉中測試和高度可靠性。反應爐保護系統,依照控道觀念劃分;由不同的電源分別供給四個分離的控道。每個跳脫功能邏輯電路以安排至少為三選二邏輯(源階和中程階高中子通量跳脫例外);意思即至少有三個獨立的跳脫控道中,只需兩個控道動作即可跳脫反應爐,兩個例外情形係因源階與中程階跳脫只用在反應爐起動階段,並且尚有功率階之低設定高中子通量跳脫作為其後衛保護。
    4. 運轉中執行測試時,規定必須把試驗之控道置于跳脫情況,三選二邏輯將降低為二選一邏輯。此時若再有一控道發生故障,則邏輯電路剩下為一選一邏輯,容許剩下的控道去跳脫反應爐。
    5. 由於相同參數同時提供控制與保護訊號時須採用四選二邏輯。這種情形,必須假設控制之控道有問題時,會引起控制系統在不安全可靠度狀況。例如,有調壓槽壓力控道故障偏低,則會產生一控制訊號去賦能調壓槽加熱器,以提高實際壓力。在這種情況下故障之控制控道所感測者比實際壓力低,不適宜用作實際高壓力之保護跳脫。其他三只壓力控道開關,則可確保所需三選二邏輯之保護。

參. 反應爐跳脫

由儀器偵測反應爐運轉狀況到達某一限值時,反應爐保護系統即自動把機組跳脫。此系統也會預先提供警報,俾供值班員採取必要的行動,以避免機組不必要之跳脫。當保護系統邏輯櫃接到來自儀器的跳脫訊號,經訊號處理後即送一訊號使反應爐跳脫斷路器之低電壓線圈及併激跳脫線圈動作使跳脫斷路器斷電,此訊號亦同時送至計算機及控制盤供做警報之用。每個邏輯串送出一個跳脫斷路器之跳脫訊號,因兩個跳脫斷路器為相互串聯,故任一跳脫斷路器開啟,都能中斷控制棒驅動控制系統之電源。一旦CRDM電源中斷,偶合機構靜止夾鉤自動桿處鬆開,使爪形控制棒元件依其本身重量插入爐心。
安全限制是防止安全參數超出限值,而威脅到系統的完整性,譬如導致反應爐冷卻水系統斷管、燃料護套破裂或燃料熔損。壓力限值是在確保反應爐冷卻水系統的完整,限制燃料的線性熱功率密度(KW/FT ),使熱量產生率低於熱移除率,故燃料熔損得以避免;避免爐心達到DNB狀況,則可防止燃料護套破裂。

  1. 源階高通量跳脫
    1. 源階高中子通量跳脫設定值是105cps,防止不明原因的反應度突然增加及高起動率造成之功率劇升,同時亦用以保護停爐時在圍阻體內進行控制棒驅動試驗的工作人員安全。
      共有兩個源階控道,分別裝在爐心位置外部周圍下半部相互對稱的兩端以感測反應爐功率,跳脫邏輯安排是二選一。
    2. 當在源階較高功率運轉時,利用P-6允許訊號以手動閉鎖源階高功率反應爐跳脫訊號。通常達到P-6設定值(中程階控道10-10Amps)時,必須手動操作控制盤兩只 閉鎖開關,閉鎖訊號才有作用。另有P-10允許訊號(即功率階反應爐功率達到10%)亦可自動閉鎖該跳脫訊號,並切斷源階中子偵測儀器之高壓電源。
    3. 源階跳脫僅有兩個控道,因為只用在反應爐起動及停機期間,又有中程階高通量及功率階高通量跳脫作為其後衛保護。

  2. 中程階高通量跳脫
    1. 中程階高中子通量跳脫設定值是相當於25%功率之電流訊號,防止在中程階突然異常增加反應度或高起動率引起的功率劇升。
    2. 共有兩個中程階偵檢器控道,分別裝在爐心位置外部周圍中下半部(SR偵檢器之上)對稱的兩端以感測反應爐功率,跳脫邏輯安排是二選一。
    3. 當在中程階高功率運轉時,利用P-10允許訊號來手動閉鎖(Block)中程階高通量跳脫(操作兩只閉鎖開關)。
    4. 在到達反應爐跳脫點(相當於25%功率之電流)前,有兩個控道之一到達相當於20%功率電流時,將會產生一阻棒訊號(C-1),以 閉鎖手動或自動控制棒抽出動作。
    5. 中程階跳脫僅有兩個保護控道,因為只用在起動與停機期間,又有功率階高通量跳脫做為其後衛保護。 

  3. 功率階高通量跳脫
    1. 低設定點之功率階高通量跳脫,設定值為25%功率,四選二(2/4)邏輯,此與中程階高中子通量跳脫重複。當反應爐運轉高於P-10設定點,此跳脫訊號可手動 閉鎖。
    2. 高設定點之功率階高通量跳脫,設定值為109%功率,四選二(2/4)邏輯,防止在功率階反應度突然增加,致使過量的熱通量導致偏離汽泡沸騰(DNB)現象;例如控制棒異常連續抽出事故 。
    3. 在跳脫之前,四個功率控道中任一控道達103%功率,將產生一阻棒訊號(C-2);以 閉鎖自動或手動控制棒抽出動作。
    4. 四個功率階高中子通量跳脫控道,分別佈置在爐心位置外部周圍,相互成90°的四個角落,邏輯安排是四選二(two-out-of-four Logic)。
  4. 功率階高通量正變化率跳脫
    設定值是+5%/2sec,四選二(2/4)邏輯,用以保護射棒造成瞬間加入正反應度變化率之事故(Rod Eject Accident)。  
  5. 功率階高通量負變化率跳脫
    設定值是–35%/2sec,四選二(2/4)邏輯,用以保護掉棒造成瞬間加入負反應度變化率之事故。

  6. 過溫△T跳脫
    1. OT△T跳脫設計,在防止發生偏離汽泡沸騰(DNB),而引起燃料棒與冷卻水間熱傳導係數的降低,導致燃料護套溫度升高。
    2. 在保護系統中,各迴路△T(Loop △T)指示值用作衡量反應爐的功率與自動改變設定點的參數(包括Tavg,調壓槽壓力和軸向通量差)比較,如果△T訊號高於設定點(由核工用伺服器之電腦計算而得),則該相關控道即動作。若兩個以上保護控道動作,即跳脫反應爐。

  7. 過載△T跳脫
    1. 過載△T(OP△T)跳脫設計目的,在防止燃料棒熱功率密度(KW/FT)過高,導致燃料護套損傷和燃料熔損。
    2. △T指示值用作衡量反應爐的功率,與自動改變設定點的參數(包括Tavg和軸向通量差)比較。如果△T訊號高於設定點(由核工用伺服器之電腦計算而得)則該相關控道即動作,若兩個以上保護控道動作;即跳脫反應爐。 

  8. 調壓槽高壓力跳脫
    1. 調壓槽高壓力跳脫設計目的,在保護反應爐冷卻水系統及其附屬設備之壓力過高。用三個壓力控道分別感測調壓槽之實際壓力訊號,採用三選二邏輯。
    2. 調壓槽高壓力跳脫設定值是167.7kg/㎝2比動力操作釋壓閥設定值164.2kg/㎝2高。目的為了避免反應爐不必要的跳脫,必要時可用手動在控制盤操作各釋壓閥。

  9. 調壓槽低壓力跳脫
    1. 調壓槽低壓力跳脫設定值是136.8kg/cm2,目的在防止反應爐冷卻水系統,因低壓力形成過多汽泡,以確保爐心的DNB在限制以內,保持燃料的完整。低壓力跳脫亦用來限制過溫△T跳脫之範圍;共有三個壓力控道,分別感測調壓槽實際壓力,邏輯安排是三選二。
  10. 調壓槽高水位跳脫
    1. 調壓槽高水位跳脫設定值是水位92%,水位太高表示調壓槽汽泡空間太小,如果剛好發生100%負載跳脫,則因一次系統高溫之影響會使壓力升高。此功能做為調壓槽高壓力跳脫之後衛保護,以防止損壞調壓槽安全閥閥座和釋放管路。若因安全閥開啟所釋放排出為水,則會引起水鎚作用。高速蒸氣釋放突然變為水的釋放,將致損害安全閥、釋放管路和調壓槽釋放槽。有三個水位控道,分別感測調壓槽實際水位,依三選二邏輯安排。
    2. 雖然調壓槽的高水位保護控道也用作水位控制,但仍僅用此三個控道作為保護。因為調壓槽高壓力跳脫設定點低於安全閥開啟設定點,故調壓槽水位控制失效時,反應爐會先跳脫而不致使安全閥動作開啟。
    3. 調壓槽高水位跳脫電路在反應爐熱功率10%以下時,由P-7允許訊號自動旁路,俾以容許在冷爐(常溫下)做測試,譬如控制棒掉落試驗等。

  11. 反應爐冷卻水低流量
    反應爐冷卻水低流量跳脫的目的,係防止爐心喪失冷卻水事故時,因冷卻水量不足無法移走燃料產生之熱量,致爐心燃料發生DNB現象。因為OT△T或OP△T跳脫反應遲緩,無法很快動作保護爐心,故有低流量跳脫保護之設計。
    1. 低流量跳脫
      每個反應爐冷卻水封閉迴路中,如果發生二個迴路以上冷卻水低流量,同時熱功率在10%以上(P-7賦能)時,即跳脫反應爐。若反應爐熱功率在30%以上時(P-8賦能),即使發生一個冷卻水迴路低流量時,也會使反應爐跳脫。
    2. 反應爐冷卻水泵(RCP)馬達電源低電壓跳脫
      冷卻水泵完全喪失電源時,直接跳脫反應爐,以防止DNB。反應爐熱功率10%以下時,此項跳脫由P-7自動旁路。  
    3. 反應爐冷卻水泵(RCP)低頻率跳脫
      在電力系統頻率受到干擾時,提供做反應爐保護。 因為低頻率時,爐水泵馬達轉速減低,一旦爐水泵跳脫必會縮短減速時間,適當的延長減速時間相當重要,用作繼續移除反應爐跳脫後當時爐心熱量。

  12. 蒸汽產生器過低水位跳脫:
    蒸汽產生器過低水位跳脫的目的,在於保護蒸汽產生器有相當的熱沈,俾能長期移除餘熱。如果飼水完全喪失,又無保護連鎖設計,蒸汽產生器水將蒸發乾掉,必引起反應爐冷卻水系統過溫與過壓暫態。在爐心燃料受損之前,一次側之溫度壓力和調壓槽水位訊號都會致使機組跳脫,然而,跳脫後餘熱會引起熱膨脹,致使爐水經由調壓槽釋壓閥開啟排放。用雙重的輔助飼水泵,主要功用就是為了顧慮輔助飼水泵起動時間,及限制反應爐冷卻水和蒸汽產生器熱暫態的發生,在蒸汽產生器蒸乾前,蒸汽產生器低水位及時跳脫,以減少水量消耗。
    蒸汽產生器過低(Low-Low)水位,反應器即跳脫用來保護因蒸汽流量與飼水流量不平衡;導致反應爐喪失熱沈。  
  13. 主蒸汽管低壓力
    蒸汽管路破裂事故時蒸汽壓力急遽下降,因此利用蒸汽管低壓力訊號跳脫反應爐、主蒸汽隔離及飼水隔離。
  14. 安全注水訊號
    安全注水用作偵測一次或二次系統管路破裂,並起動相關特殊安全設施,以確保爐心燃料之完整性。保護系統接受安全注水訊號後,亦引動跳脫反應爐,以避免事故擴大。但當蒸汽管路低壓力時,會同時造成反應爐跳脫及安全注水訊號動作。

  15. 汽機跳脫訊號
    汽機跳脫造成反應爐跳脫設計目的,在防止反應爐發生瞬間變化而引起熱暫態問題。汽機跳脫之偵測訊號來自主汽機緊急跳脫油壓系統(ETS)之油壓開關(2/3邏輯)或四只因蒸汽斷止閥(MSV)關閉(4/4)。

  16. 手動跳脫
    提供運轉人員手動跳脫反應爐。運轉人員依照機組運轉情況判斷,必需時及時手動跳機以防患於未然。

  17. 強震急停
    強震急停系統為2/3邏輯,必須要有3組監視儀器(每組含X、Y、Z方向各一個SENSOR),分別輸入RPS之A、B、C控道,A、B、C控道再分別輸入RPS的A串及B串,經三選二邏輯後執行強震急停功能。

肆. 特殊安全設施動作訊號

  1. 反應爐保護系統亦能自動起動相關的特殊安全設施,以避免非尋常事故發生後的影響及減少大量放射性物質外洩之潛在威脅,當保護系統邏輯櫃感測到需要起動特殊安全設施的條件訊號時,邏輯電路輸出去動作主電驛的訊號,每個主電驛再去動作四個子電驛 。後者(子電驛)能承受較大電流,其電驛接點可同時供給四種安全設備動作。萬一爐水流失或蒸汽管斷裂時,特殊安全設施動作以防止放射性物質的外洩,特殊安全設施各系統可維持反應爐在安全停機狀態,並提供足夠的爐心冷卻,以避免燃料與燃料護套破損,及可確保圍阻體的完整性。   
  2. 特殊安全設施的功能:
    1. 安全注水
    2. Phase A圍阻體隔離,功用是防止分裂產物外洩(將通至圍阻體與反應爐保護無關的的管路一律隔離)。
    3. Phase B圍阻體隔離,功用是發生爐水流失事故(LOCA)或圍阻體內蒸汽或飼水高能管路斷裂時,防止放射性物質外洩。
    4. 主蒸汽管路隔離為防止一個以上蒸汽產生器連續或無法控制的蒸汽沖放(Blowdown),如此而導致反應爐冷卻水系統無法控制之冷卻效應。
    5. 飼水管路隔離,為防止或緩和過份冷卻的不良影響。
    6. 圍阻體噴灑動作,一旦圍阻體內發生爐水流失事故(LOCA)或蒸汽管斷裂後,藉噴水方式降低圍阻體內壓力和溫度。

  3. 特殊安全設施動作條件
    1. 圍阻體高壓力
      爐水流失事故(LOCA)或主蒸汽管路在圍組体內破管,均能引起圍阻體內壓力升高,藉安全注水系統動作使事故後果降至最低。同時藉圍阻體噴灑功能使圍阻體保持完整性。若圍阻體內任一蒸汽管路破管,必須隔離相關蒸汽管路,以免導致三個蒸汽產生器經由破管處沖放,故採用圍阻體高壓力訊號動作保護功能。 
    2. 蒸汽產生器過高水位
      任一蒸汽產生器,若有2/3水位偵檢器感測78.1%水位以上時,跳脫汽機和隔離飼水管路,以防止水位繼續增加而造成騰帶(Carry over)現象;確保影響汽機安全。
    3. 調壓槽低壓力
      蒸汽管路破管或爐水流失事故,都能致使調壓槽壓力低下,係由於調壓槽之水量湧出(Outsurge),湧出乃因爐水流失事故(LOCA)水量減少或因蒸汽管破管急速冷卻所致,調壓槽壓力降低至129.75kg/㎝2三選二邏輯時,安全注水(SI)動作。

    4. 主蒸汽管低壓力
      蒸汽管路破裂事故時蒸汽壓力急遽下降,任一 蒸汽產生器之蒸汽管路上之壓力低於41.1kg/㎝2即動作跳脫反應爐、主蒸汽隔離及飼水隔離。  
    5. 蒸汽壓力降低率過高
      在停機冷爐過程中,若蒸汽管路發生破管事故,任一蒸汽管路上之三個壓力傳送器中有兩個以上偵測到高降壓率訊號-7.03kg/㎝2/sec,即產生主蒸汽管隔離。

伍. 反應爐保護系統的元件

  1. 類比控道供作反應爐保護系統訊號輸入部份。共有四個控道用來偵測RCS及二次系統之壓力、溫度、流量及圍阻體壓力,控道元件分別安裝在四個不同保護櫃架的盤上,從流程感測元件經現場接線及圍阻體穿越管線到保護櫃架均是分開的,此外供給控道用的電源也來自不同匯流排。一般典型的類比控道包括有下列主要元件:
    1. 感測元件與傳送器
      1. 用以量測實際流程參數,如溫度、壓力、水位和流量等。
      2. 把量測得的流程參數訊號,轉換為電壓或電流的訊號送至保護櫃架上之控道組件。
      3. 正常訊號電流的4∼20mA與所測得的參數訊號成比例。
    2. 電源供給執行下列功能:
      1. 將穩定的24VDC電源供給感測元件及傳送器。
      2. 將傳送器的訊號電流4∼20mA,轉換成比例的0∼10VDC。
      3. 非隔離訊號作保護用。
    3. 訊號處理模組:作放大、開方根、積分或微分,加和處理和隔離功用。
    4. PID控制器用作:
      1. 比例-依流程訊號對設定點之偏移多少,提供較大或較小的控制訊號輸出。
      2. 積分器-依流程訊號遠離設定點時間長短,提供給較大或較小的控制訊號輸出。
      3. 微分器-依流程訊號趨近或遠離設定點之速率,提供給較大或較小的控制訊號輸出。
    5. 訊號比較器
      1. 相當一只雙穩態裝置。
      2. 以預定設定值與輸入訊號比較,若輸入訊號電壓大於設定值時,則雙穩態裝電路裝置輸出訊號供作高低警報用。
      3. 每個雙穩態電路控制兩只電驛,一只供給作反應爐跳脫邏輯串A,另一只供給反應爐跳脫邏輯串B。
      4. 偵測之流程參數在正常範圍時,比較器之正常輸出訊號電壓為24VDC,若比較器輸出訊號電壓為OVDC,則接點打開,產生跳脫訊號。
    6. 電腦隔離墊:是介於流程控制輸出訊號與電腦本體之間,用以增加兩者之阻隔電阻。在隔離墊之輸出端串聯一電阻,用以避免線路故障或電腦本身誤動作時,回饋進入至流程控制電路系統。
    7. 隔離卡片
      它會動作一訊號,以防止電路失效或故障時,影響母電路。依輸入或輸出需要,以下列任一方式給予隔離之。
      1. 電源供給將隔離卡片輸出訊號,依輸入和輸出所需,用來轉換4∼20mA傳送訊號為:
        1. 0-10VDC隔離訊號。
        2. 0-10VDC非隔離訊號。
      2. 接受且轉換0∼10VDC電壓訊號,為隔離的0∼10VDC電壓訊號。
      3. 接受且轉換0∼10VDC電壓訊號,為隔離的4∼20mA電流訊號。

陸. 反應爐保護邏輯控道

  1. 保護系統邏輯訊號輸入電驛接點,提供偶合電路邏輯的輸入。另外亦可由控制盤的開關或按鈕手動操作把訊號直接輸入到邏輯電路。跳脫斷路器之低電壓線圈之電源,是由邏輯迴路所控制。若低電壓線圈失電時,則Rod Control M-G Sets所供給兩串到棒控制系統之電源會被中斷,控制棒的驅動機構失能,控制棒靠它本身重力插入爐心跳脫反應爐。

  2. 每個跳脫斷路器各併聯一只旁路斷路器,用來測試跳脫斷路器週期性線上跳脫功能。若是跳脫斷路器被旁通,則可認為該急停斷路器失效不動作。兩只串聯的旁通斷路器具有連鎖作用,一次僅允許關入一只,以防止兩串保護串聯回路同時被旁路。保護串A動作時,將使串A的反應器跳脫斷路器和串B的旁通跳脫斷路器低電壓線圈〝失能〞,以及串A的併激跳脫線圈〝賦能〞,而保護串B動作時,將使串B的反應器跳脫斷路器和串A的旁通跳脫斷路器低電壓線圈〝失能〞以及串B的併激跳脫線圈〝賦能〞。

  3. 固態邏輯用以動作主電驛,再由主電驛之輸出訊號去動作子電驛,以起動特殊安全設施。子電驛是一多接點裝置,可依電廠各種情況去動作特殊安全設施。傳送器之資訊系統 送到控制盤前,先經控制盤之多工解訊器,再接到指示燈及警示窗。送到電腦以前亦必需經電腦之多工解訊器。

  4. 多工系統之目的,是利用小數目量之導體來傳送大量的資訊,使接線簡單化,減少現場複雜的接線。

  5. 固態邏輯之資訊,經隔離裝置傳送到多工器,此隔離裝置之目的,用以隔離非保護用監視系統。以免多工解訊線路因開路、短路或產生高壓現象而影響到保護系統。 

  6. 普通邏輯控道,每串由三種箱櫃組成,這三種箱櫃是輸入櫃、邏輯櫃和輸出櫃。控制盤之多工解訊器(Demultiplexer)是裝在另一個箱櫃裡,而電腦之多工解訊器則裝在電腦輸出和輸入櫃內。
    1. 輸入櫃
      輸入櫃分為四組獨立開關箱,每一箱櫃裡包括有核儀及流程儀器,五十個雙穩態電驛及接線等。把電驛線圈與接點之使用電源分開,其目的是使保護串與外部系統隔離。
    2. 邏輯櫃
      大約有四十五只印刷電路卡,分別固定在邏輯櫃之五層卡片檻裡。整個保護系統有八種不同形式之印刷電路卡片。   
    3. 輸出櫃
      輸出櫃包括有20只主電驛及40只子電驛,這些電驛固定在輸出櫃之前盤。另裝有子電驛測試盤,是位於輸出櫃前之下面部份。