Технологические защиты автоматически производят различного рода переключения в технологической схеме, отключение механизмов собственных нужд, останов или снижение мощности блока. Технологические защиты являются последней ступенью управления оборудованием и вступают в работу, когда другие способы управления (регулирование, дистанционное управление, предупредительная сигнализация, блокировки) не справились с поддержанием нормального режима работы агрегата или блока в целом.
Защиты блока АЭС могут быть разделены на две основные группы:
- общеблочные защиты, приводящие к останову или снижению мощности блока в целом,
- локальные защиты, приводящие к отключениям отдельных агрегатов блока.
Очевидно, что защиты первой группы способствуют повышению безопасности работы АЭС. При этом введение в данную группу защит, уменьшающих мощность блока, приводит к увеличению надежности. Защиты второй группы способствуют сохранению только данного агрегата, и должны быть приняты меры для обеспечения надежности или, в крайней случае, безопасности блока в целом при срабатывании локальных защит (например, при отключении ГЦН его защитами).
Технологические защиты срабатывают как от дискретных сигналов (концевые выключатели запорных органов, блок-контакты пусковых устройств механизмов собственных нужд), так и от аналоговых сигналов, поступающих от контрольно-измерительных приборов. Для использования в подсистеме технологических защит аналоговые сигналы преобразуются в дискретные (с помощью контактных устройств вторичных приборов или аналого-дискретных преобразователей). Первичные преобразователи и вторичные приборы могут быть теми же, что и используемые для целей контроля и других функций АСУ ТП, или же могут быть установлены специально для нужд аварийной защиты. В последнем случае вторичные приборы обычно располагаются на неоперативных панелях БЩУ. Выбор того или иного решения зависит от степени ответственности защиты (вариант с независимыми источниками сигналов более надежен) и надежности применяемых приборов.
Выполнение программ действия защит осуществляется логическими устройствами, выполняемыми, как правило, на релейно-контактных схемах, хотя в отдельных случаях используются бесконтактные полупроводниковые логические устройства. На некоторых зарубежных АЭС функции защит по массовым параметрам передаются УВМ.
Расчетная оценка надежности логических схем, а также статистическая обработка эксплуатационных данных показывают, что надежность релейных схем технологических защит значительно выше, чем надежность первичных преобразователей, получающих исходную информацию Поэтому надежность защит определяется в основном надежностью первичных преобразователей. Причина, по которой релейно-контактные схемы широко используется в устройствах защит, в то время как в других подсистемах в основном используются бесконтактные логические элементы, заключается в том, что электромеханические реле рассчитываются на определенное число срабатываний. Аварийные защиты срабатывают крайне редко (несколько раз в год), и поэтому они медленно вырабатывают свой ресурс. Надежность бесконтактных элементов определяется общим временем их работы, и они выходят из строя через определенное число часов вне зависимости от того, часто или редко срабатывала защита.
Так как надежность защиты зависит в основном от каналов аналоговой информации, для повышения надежности ответственных защит используются несколько первичных преобразователей. С помощью релейных схем организуется срабатывание выходных цепей по принципу «один из двух», «два из двух», «два из трех» и т. д. Сравнительные характеристики таких схем по отношению к ложным срабатываниям и к отказам рассмотрены в гл. 7. Усложнение релейных цепей при применении таких схем, как уже отмечалось, практически не сказывается на надежности системы.
При срабатывании защит необходимо, чтобы их воздействие на оборудование — отключение или снижение нагрузки, открытие или закрытие запорных органов — было односторонним. Перевод всех агрегатов и устройств в состояние, которое они имели перед действием защиты, должно производиться персоналом после устранения причин, вызвавших срабатывание. Выполнение этого требования позволяет предотвратить повторное включение оборудования в результате того, что с действием защиты может исчезнуть и причина (импульс), вызвавшая ее срабатывание. Такое повторное включение (возможно, неисправного) оборудования в работу без надлежащего контроля со стороны персонала может усугубить аварийную ситуацию. Исключение составляет срабатывание предохранительных клапанов при повышении давления, которые должны возвращаться в исходное состояние («садиться») при снижении давления ниже уставки срабатывания. Имеющие место отказы клапанов, заключающиеся в том, что они остаются открытыми при снижении давления, как правило, усугубляют аварию, так как приводят к быстрому снижению давления, что может повлечь за собой ряд технологических нарушений.
При одновременном срабатывании защит, вызывающих разную степень разгрузки оборудования, должны выполняться только те операции, которые предусмотрены защитой, вызывающей наибольшую степень разгрузки. Это исключает возможность подачи противоречивых команд Действие защиты должно сохраняться до полного выполнения самой длительной операции, что исключает ошибочные действия персонала в случае его вмешательства в работу защит. При этом защиты должны иметь приоритет по отношению к действиям персонала, т. е. при одновременной подаче команд должна выполняться команда защиты. В некоторых, наиболее тяжелых ситуациях автоматически осуществляется запрет на дистанционное управление как тем оборудованием, на которое непосредственно действует защита, так и оборудованием, связанным с ним по технологической цепочке. Так, например, выполнены защиты в реакторе ВВЭР-1000, действующие при локализации последствий большой течи первого контура.
При срабатывании любой из защит на щит управления должны подаваться звуковой и световой сигналы.
Действие защиты должно сопровождаться специальным световым сигналом (зажигается табло с соответствующей надписью), определяющим программу действия защит (останов, перевод на холостой ход, снижение нагрузки). Должно также зажигаться табло, фиксирующее причину срабатывания защиты.
Часто следствием срабатывания какой-либо защиты является появление целого ряда импульсов на срабатывание других защит. Например, срабатывание на реакторах ВВЭР аварийных защит 1-го, 2-го и 3-го рода приводит к падению уровня и давления в компенсаторе объема, что в свою очередь может служить причиной срабатывания защиты. Поэтому наряду с сигналами, вызывающими срабатывание защиты, возможно появление ряда вторичных сигналов. Так как оперативному персоналу необходимо знать первопричину срабатывания защиты с целью скорейшего нахождения и устранения неисправности, применяются схемы сигнализации первопричины срабатывания защиты. Эти схемы фиксируют «первый» сигнал, отображают его на световом табло и блокируют работу устройств сигнализации от «вторичных» сигналов. В последнее время функции фиксации первопричины аварии параллельно поручаются УВМ, которая одновременно производит регистрацию изменения аналоговых параметров и действий персонала до и в период аварии (см. гл. 12). Это позволяет оперативнее принимать меры по ликвидации причин аварии и предотвращать ее повторения.
При пуске и останове блока многие параметры выходят за пределы, являющиеся аварийными уставками при нормальной работе. Во избежание ложного срабатывания защиты в этих режимах должны быть отключены. Применяются схемы как ручного, так и автоматического отключения защит. Для ручного отключения на щите управления устанавливаются переключатели с тремя фиксированными положениями. «включено», «отключено», «переведено на сигнал». В последнем положении действие защит должно быть отключено, а сигнализация их срабатывания сохранена. Одновременно с отключением защиты блокируется работа устройств, фиксирующих срабатывание защит. При проведении перегрузки запрещается проведение многих операций (например, у некоторых реакторов во избежание всплытия кассет запрещается включение ГЦН). Для ввода в действие этих защит обычно устанавливается один переключатель, имеющий два положения: «работа» и «перегрузка». В положении «перегрузка» осуществляются все необходимые запреты. Так как возможность отключения защит таит в себе опасность, что они могут оказаться невключенными в нужный момент, операции с вышеуказанными переключателями должны сопровождаться организационными мероприятиями: обязательной фиксацией переключений в оперативном журнале, допуском к ним только строго определенных лиц и т. п.
Стремление избежать опасности невключения защит при ручном управлении ими привело к разработке схем, осуществляющих автоматический ввод защит при достижении параметром, по которому действует защита, заданного значения. Однако наличие схемы автоматического ввода усложняет и снижает надежность работы защит.
Устройства аварийной защиты при нормальной работе блока находятся в бездействии. Поэтому неисправность в их цепях может длительное время оставаться незамеченной и проявить себя отказом в момент, когда необходимо срабатывание защиты. Для снижения вероятности таких скрытых отказов проводится периодическая проверка защиты. Проверка проводится путем подачи сигнала, имитирующего импульс об отклонении параметра, вызывающего срабатывание защиты. При этом выход цепей блокируется или отключается от исполнительного устройства. В некоторых случаях проверяется вся цепь, вплоть до исполнительного устройства, если его срабатывание не вызывает останов блока (предохранительные клапаны). Схемы «два из двух», «два из трех» и т. п. могут проверяться поканально без опасности срабатывания защиты. В полном объеме проверка защит проводится перед пуском реактора после длительной остановки на ремонт (см. гл 14).
Надежная работа аварийной защиты требует организации бесперебойного электропитания всех ее устройств. Это достигается подключением цепей защиты к сети собственных нужд первой категории (см. гл 13), исчезновение напряжения в которой практически исключено при любых реальных авариях.
