1  AP1000及其仪控系统简介 

    AP1000是西屋公司开发的1 000MWe非能动压水堆核电站。采用非能动方式，简化了专设安全设施，减少了人员干预，提高了核电站的安全性。 

    AP1000仪控系统是一个先进的分散式计算机控制系统(即DCS)，它在已获美国NRC许可证的AP600仪控系统基础上又作了一些改进，主要体现在反应堆保护系统的设计上，AP600采用的是西屋已很成熟的Eagle系统，AP1000则有2套方案，一套是沿用AP600的Eagle21+Ovation方案，另一套是在此基础上改进的Common Q+ Ovation系统。由于AP600已获得许可证，所以Common Q在很大程度上都维持了原AP600关于仪控系统的功能要求，以使两者在硬件和软件方面能最大限度地兼容。 

2  AP1000数字化仪控系统对维持AP1000安全的分析与评价 

2.1  系统构成 

    按系统的功能，整个系统可分为2大部分7大系统。第一部分是与控制室相关的系统，第二部分是执行保护、控制、数据处理与监测功能的系统。 

2.1.1  与控制室相关的系统 

2.1.1.1  运行与控制中心系统(OCS) 

    由主控室、远程停堆站、应急控制设施、技术支持中心、就地控制站组成。 

    主控室是运行与控制中心最重要的部分之一，它由操纵员台、值长台、大屏幕显示器、控制与显示设备等组成。采用分散式计算机仪控系统以后，主控室内不再有几十个控制盘(台)、数百个控制开关、按钮及显示记录仪表等，所有的控制将由操纵员在控制台上通过软操作方式执行。 

    操纵员控制台是主控室的核心，配置有一组彩色图形显示器及软操作装置(如键盘、鼠标、触摸屏等)。操纵员台还配置有先进的报警信息系统，显示电厂的异常状态以及与报警信号相关的信息。 

2.1.1.2  数据显示与处理系统(DDS) 

    数据显示与处理系统包括主控室显示与数据处理设备、远程停堆站、技术支持中心的显示与处理设备，包括核电站报警系统显示与处理系统、计算机化的运行与事故处理规程系统，以及分散式电厂计算机系统所执行的各种运行日志记录、历史记录、软件文档的显示与处理。 

    主控室中还包括有安全级数据显示设备，它的数据处理系统属于保护与安全系统，用于显示保护系统与核电站重要的安全状态与参数。 

2.1.2  执行保护、控制、数据处理与监测功能的系统 

2.1.2.1  保护与安全监督系统(PMS) 

    保护与安全监督系统属于核安全级系统，执行反应堆停堆、专设安全设施的启动等功能。系统中的设备(包括传感器、停堆开关装置等)大都采用四重冗余，按四取二逻辑工作，具有很高的可靠性。当其中某个冗余分段或独立通道故障时能自动由四取二逻辑转为三取二逻辑，便于维修与定期试验。系统中包含的每个子系统都接在一个独立的计算机母线上，以防止故障传播并增强高可用性。 

2.1.2.2  电厂控制系统(PLS) 

    电厂控制系统为电厂提供从冷停堆到满功率正常运行所必需的各种功能，它通过主控室或远程停堆站对非安全有关设备执行控制来实现上述功能。系统由非安全有关级仪表与控制设备组成，可执行改变反应堆功率、控制稳压器压力与水位、控制主给水流量等与发电相关的各种功能，也提供停堆期间非安全相关的衰变热排出系统。系统既有自动控制方式，也可执行手动控制方式。 

    电厂控制系统中的实时数据通讯网是一个高速冗余通讯网络，它把对操纵员有重要意义的各个系统链接起来，此通讯网属于非安全级。安全级系统与此通讯网络的联系需通过网关及核级隔离器件执行，使安全级系统的功能不会因非安全级系统的故障而受影响。 

2.1.2.3  多样性驱动系统(DAS) 

    多样性驱动系统的作用是为保护系统提供一种额外的多样性后备，减小由于保护与控制系统中不太容易出现的假定瞬态和共模故障可能引起的严重事故概率。系统是一个基于微处理器构成的冗余结构，是独立的计算机系统。它采用不同于保护与安全系统的结构、硬件和软件，这也是AP1000在提高安全性措施方面除了非能动设计以外的一项重要措施。多样性驱动系统虽然执行的是安全功能，但它本身仍属于非安全级。 

2.1.2.4  专用监测系统(SMS) 

    专用监测系统包含有一个金属撞击监测系统，用于监测反应堆冷却剂系统中的金属碎片对系统内部构件的撞击。该系统由数字电路板、控制器、指示器、电源、信号处理器以及探测器组成，其中探测器和信号处理器是冗余的，以保证单个探头或处理器故障时仍能保持监测功能。  

2.1.2.5  堆芯测量系统(IIS) 

    堆芯测量系统包括堆芯通量测量和堆芯出口温度监测2个系统：堆芯通量测量系统提供堆芯三维通量分布图，用于标定保护系统的中子探测器以及支持堆芯特性最佳化功能。堆芯测量采用的是固定式通量探测器；堆芯出口温度监测系统向保护与安全监测系统提供信号，用于监测事故后堆芯冷却不当状况。 

2.2  安全评价 

    核电安全的最终目标是建立并保持对辐射危害的有效防御，保护厂区成员、公众和环境。 

    AP1000是在传统PWR技术基础上发展而来的。传统的PWR在纵深防御原则下，采用冗余和多样化的设计，安全系统实体隔离，严格的质保体系，火灾、地震和洪水的防范和缓解措施，以及运行经验反馈等一系列措施，使得PWR具有良好的安全特性。在此基础上，AP1000采用非能动的安全系统，使得AP1000的系统配置大大简化，通过减少保护系统的触发，使操纵员的干预大大减少，系统可靠性得到提高，同时AP1000在设计中严格遵循7大原则，即(1) 故障安全原则；(2) 单一故障原则；(3) 多样性原则；(4) 独立性原则；(5) 冗余性原则；(6) 共模故障最小原则；(7) 经济性原则。充分利用风险导向型的设计方法，对AP1000的系统设计和事故处理规程进行优化，降低过度保守之处，并对风险薄弱环节加强防护，使AP1000的设计根据风险重要度的不同而达到一种平衡。同时，AP1000的控制系统采取了一体化硬件的思路，功能集合，可以在电厂瞬态时快速反应，采用了一些特殊的设计要求，从而限制了单一设备故障的影响。因此，AP1000是在传统的成熟可靠技术之上的发展和优化，其安全特性比传统PWR技术有明显的提高。 

3  对新版HAF102要求的满足情况 

    国家核安全 局以IAEA发布的安全标准Safety of Nuclear Power Plants: Design Requirements No.NS-R-1,2000为蓝本，对我国的核安全法规《核动力厂设计安全规定》进行了修订，于2004-04-18正式颁布实施。其中对于严重事故的管理提出了明确要求，必须采用工程判断和PSA相结合的方法来考虑严重事故序列，确定合理可行的预防或缓解措施。规定中有关“仪表和控制”严重事故的系统设计要求有： 

    (1) 必须设置能在正常运行、预计运行事故、设计基准事故和严重事故下对核动力厂变量和系统进行全程监测的仪表，以保证获取核动力厂状态的充分信息。 

    (2) 仪表和记录装置必须足以为严重事故期间确定核动力厂状态和为事故管理期间作出决策提供实际可能的信息。 

    AP1000对此的响应：一个与过程信息和控制系统关联的大屏幕显示，以显示电站的总体状态和主要参数；一个基于安全信息和控制系统常规显示设备或计算机显示屏的安全控制区，在安全信息和控制系统不可用的情况下作为后备。