泳池式低溫供熱堆數(shù)字化保護(hù)系統(tǒng)設(shè)計研究

胡加永，尹 凱，劉興民，段天英，賈玉文，張占利

（中國原子能科學(xué)研究院，北京 102413）

0 引言

核能供熱與傳統(tǒng)供熱方式相比，具有良好的安全性和經(jīng)濟(jì)性，且是一種清潔能源，目前已有很多國家對核能供熱進(jìn)行了大量研究[1]。2017 年11 月28 日，中核集團(tuán)正式發(fā)布其自主研發(fā)可用來實現(xiàn)區(qū)域供熱的“燕龍”泳池式低溫供熱堆（簡稱燕龍供熱堆）[2]。燕龍供熱堆運用深水池供熱堆的創(chuàng)新技術(shù)，合理地降低了反應(yīng)堆工作溫度，使反應(yīng)堆可以工作在常壓深水池內(nèi)，可使反應(yīng)堆系統(tǒng)及設(shè)備與加壓反應(yīng)堆相比進(jìn)行根本性的簡化，具有安全可靠，經(jīng)濟(jì)實用，又便于運行管理的特點。

保護(hù)系統(tǒng)是燕龍供熱堆重要的安全系統(tǒng)，它對于限制事故的發(fā)展，減輕事故后果，保證反應(yīng)堆及設(shè)備和人員的安全，防止放射性物質(zhì)向周圍環(huán)境的釋放具有十分重要的作用。保護(hù)系統(tǒng)監(jiān)測重要的安全參數(shù)，對安全參數(shù)進(jìn)行必要的采集、計算、定值比較，符合邏輯處理，當(dāng)選定的參數(shù)超過安全閾值時，自動地觸發(fā)反應(yīng)堆緊急停堆和驅(qū)動專設(shè)安全設(shè)施動作，以實現(xiàn)并維持供熱堆的安全停堆工況。本文結(jié)合核安全法規(guī)、導(dǎo)則和標(biāo)準(zhǔn)的相關(guān)要求，識別出保護(hù)系統(tǒng)的相關(guān)設(shè)計原則，并結(jié)合燕龍供熱堆的特點與核電廠保護(hù)系統(tǒng)數(shù)字化現(xiàn)狀，研究并提出了燕龍供熱堆保護(hù)系統(tǒng)設(shè)計方案。

1 保護(hù)系統(tǒng)設(shè)計準(zhǔn)則

核安全導(dǎo)則HAD 102/10-2021《核動力廠儀表和控制系統(tǒng)設(shè)計》[3]作為國內(nèi)核電廠安全重要儀表和控制系統(tǒng)的頂層標(biāo)準(zhǔn)，對儀控系統(tǒng)的設(shè)計進(jìn)行指導(dǎo)，明確了保護(hù)系統(tǒng)所需遵循的設(shè)計準(zhǔn)則。此外，在GB、NB、IEC、IEEE 等系列標(biāo)準(zhǔn)中也對保護(hù)系統(tǒng)的設(shè)計提出了相關(guān)要求，如GB/T 13286《單一故障準(zhǔn)則應(yīng)用于核電廠安全系統(tǒng)》[4]規(guī)定了單一故障準(zhǔn)則的相關(guān)要求，GB/T 12727《核電廠安全級電氣設(shè)備鑒定》[5]對保護(hù)系統(tǒng)的設(shè)備鑒定提出了相關(guān)要求。燕龍供熱堆保護(hù)系統(tǒng)設(shè)計需要滿足核安全導(dǎo)則HAD 102/10 與相關(guān)標(biāo)準(zhǔn)的要求。經(jīng)過梳理歸納，燕龍供熱堆保護(hù)系統(tǒng)設(shè)計需要遵循的主要設(shè)計準(zhǔn)則如下：

1）獨立性

安全系統(tǒng)應(yīng)獨立于低安全等級的系統(tǒng)，安全系統(tǒng)內(nèi)的冗余序列間應(yīng)保持充分的獨立，以保證所有安全功能在需要時能夠完成。

2）冗余

儀控系統(tǒng)冗余度應(yīng)滿足其可靠性要求和單一故障準(zhǔn)則。冗余部件應(yīng)相互獨立，否則冗余就不能完全有效。

3）單一故障準(zhǔn)則

必須對每個安全組合都應(yīng)用單一故障準(zhǔn)則?？刹捎萌哂?、獨立性、可試驗性、連續(xù)監(jiān)測、環(huán)境鑒定和可維護(hù)性等方面的措施來滿足單一故障準(zhǔn)則。安全系統(tǒng)由于試驗或維護(hù)原因，任一部件或冗余序列退出運行或旁通時，仍應(yīng)滿足單一故障準(zhǔn)則，不應(yīng)導(dǎo)致要求的最小冗余度的喪失。

4）故障安全

應(yīng)將安全重要系統(tǒng)和部件設(shè)計為故障安全，使其自身的故障或支持設(shè)施的故障不妨礙預(yù)定安全功能的執(zhí)行。當(dāng)某個儀控部件失電或出現(xiàn)故障時，系統(tǒng)應(yīng)被置于一個預(yù)定狀態(tài)下，這個狀態(tài)應(yīng)已被證明對于安全是可接受的。

5）保護(hù)動作的完成

安全系統(tǒng)應(yīng)設(shè)計成一旦被自動或手動觸發(fā)，執(zhí)行裝置就能按預(yù)定程序完成全部安全動作，只有操縱員有意識地操作才能使安全系統(tǒng)恢復(fù)到正常狀態(tài)。

6）試驗和校準(zhǔn)

安全系統(tǒng)必須具有可在核動力廠運行時對其功能進(jìn)行定期試驗的條件，包括各通道分別進(jìn)行試驗的可能性，以查明可能發(fā)生的故障和多重性的喪失。設(shè)計必須允許對包括從傳感器到最終的觸發(fā)驅(qū)動器和顯示單元所有環(huán)節(jié)的定期試驗。

7）手動觸發(fā)

保護(hù)系統(tǒng)除自動觸發(fā)外還應(yīng)設(shè)置手動觸發(fā)。手動觸發(fā)應(yīng)操作簡單，手動觸發(fā)和自動觸發(fā)共用的設(shè)備應(yīng)盡可能的少。

8）多樣性

應(yīng)采用多樣性的手段減少或消除保護(hù)系統(tǒng)共因故障的概率，多樣性類型包括設(shè)備多樣性、功能多樣性、設(shè)計多樣性等。

2 保護(hù)系統(tǒng)功能

燕龍供熱堆保護(hù)系統(tǒng)的目的是保證反應(yīng)堆及核電廠設(shè)備和人員的安全，防止放射性物質(zhì)向周圍環(huán)境的釋放，限制反應(yīng)堆在允許范圍內(nèi)運行或是緩解事故后果，保護(hù)反應(yīng)堆、環(huán)境、人員的安全。其具備以下功能：

1）當(dāng)保護(hù)參數(shù)達(dá)到或超過系統(tǒng)動作的設(shè)計限值時，自動觸發(fā)緊急停堆動作，使控制棒插入堆芯完成停堆；同時，在某些需要的運行工況下，啟動相應(yīng)的專設(shè)安全設(shè)施動作，將事故后果降低到最小。

2）允許和聯(lián)鎖，用來在某些工況下允許或閉鎖某些保護(hù)功能，防止因操作員誤操作而造成事故工況。

3）通過網(wǎng)絡(luò)等方式將保護(hù)參數(shù)越限報警和保護(hù)系統(tǒng)通道故障報警，傳輸至監(jiān)控系統(tǒng)在主控室進(jìn)行顯示報警。

4）事故后參數(shù)監(jiān)測。

5）保護(hù)功能手動觸發(fā)。

3 保護(hù)系統(tǒng)設(shè)計

3.1 系統(tǒng)架構(gòu)

依據(jù)保護(hù)系統(tǒng)設(shè)計準(zhǔn)則，同時結(jié)合燕龍供熱堆特點及數(shù)字化產(chǎn)品現(xiàn)狀，燕龍供熱堆保護(hù)系統(tǒng)架構(gòu)設(shè)計如圖1 所示。

圖1 保護(hù)系統(tǒng)架構(gòu)Fig.1 Protection system framework

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)分為Level1、Level2 上下兩層。Level1 層為自動邏輯處理層，主要完成停堆、專設(shè)驅(qū)動功能的觸發(fā)；Level2 層為人機接口層，主要完成報警顯示、事故后監(jiān)測、手動觸發(fā)等功能。

3.2 反應(yīng)堆停堆

當(dāng)燕龍供熱堆保護(hù)參數(shù)超過安全閾值時，由反應(yīng)堆停堆系統(tǒng)（RTS）完成緊急停堆功能。RTS 由3 個冗余的保護(hù)通道組成，每個通道均獨立地采集現(xiàn)場傳感器信號。當(dāng)傳感器信號超過安全閾值時，產(chǎn)生用于局部表決邏輯的觸發(fā)信號。同時，通過點對點的通訊方式將觸發(fā)信號傳遞給另外兩個保護(hù)通道進(jìn)行三取二表決邏輯處理。當(dāng)滿足表決邏輯要求時，產(chǎn)生本通道的停堆信號，本通道對應(yīng)的停堆斷路器打開。反應(yīng)堆停堆系統(tǒng)共設(shè)置兩組停堆斷路器，每組停堆斷路器以硬件的方式搭接成“三取二”的表決邏輯。當(dāng)兩個及以上保護(hù)通道產(chǎn)生停堆信號時，則可以使對應(yīng)的停堆斷路器失電脫扣，從而切斷第一停堆系統(tǒng)補償-調(diào)節(jié)棒的電源和第二停堆系統(tǒng)安全棒的電源，使兩套停堆系統(tǒng)的控制棒均在重力的作用下迅速插入堆芯，快速停閉反應(yīng)堆。

燕龍供熱堆自動停堆功能部分參數(shù)見表1。

表1 保護(hù)參數(shù)Table1 Protection parameters

圖2 停堆斷路器連接圖Fig.2 Reactor trip breaker connection diagram

3.3 安全專設(shè)驅(qū)動

當(dāng)所監(jiān)測的保護(hù)變量超過專設(shè)觸發(fā)整定值時，由安全專設(shè)驅(qū)動系統(tǒng)（ESFAS）給出專設(shè)動作信號，觸發(fā)相應(yīng)的專設(shè)安全設(shè)施，以限制事故的發(fā)展或緩解事故的后果。ESFAS 系統(tǒng)由兩個冗余序列Train A、Train B 組成，接收來自RTS 系統(tǒng)發(fā)出的觸發(fā)信號，經(jīng)過三取二表決邏輯，將專設(shè)驅(qū)動信號發(fā)送至優(yōu)選板卡，實現(xiàn)對專設(shè)安全設(shè)施的自動驅(qū)動功能。

燕龍供熱堆能動安全專設(shè)設(shè)施為自然循環(huán)電磁閥。自然循環(huán)電磁閥主要的功能是在反應(yīng)堆停止主熱傳輸回路熱量導(dǎo)出后，通過自然循環(huán)流量導(dǎo)出堆芯余熱。當(dāng)反應(yīng)堆發(fā)生假設(shè)始發(fā)事件使一回路總流量下降至額定流量以下時，由ESFAS 兩個冗余序列自動打開兩組自然循環(huán)電磁閥，建立反應(yīng)堆冷卻劑的自然循環(huán)，將反應(yīng)堆余熱持續(xù)導(dǎo)出至反應(yīng)堆水池?zé)嶷逯小?/p>

3.4 事故后監(jiān)測

在反應(yīng)堆事故期間和事故后，需要對反應(yīng)堆的安全重要參數(shù)進(jìn)行監(jiān)督。燕龍供熱堆事故后監(jiān)測系統(tǒng)（PAMS）包括Train A、Train B 兩個冗余系列，在主控室和輔助控制室分別設(shè)置冗余的安全參數(shù)顯示單元（SVDU），用來監(jiān)測反應(yīng)堆事故期間和事故后安全重要參數(shù)的變化，使運行人員了解和跟蹤事故的進(jìn)程，為分析事故和評價事故后果提供依據(jù)。

燕龍供熱堆事故后監(jiān)測系統(tǒng)在選取監(jiān)測變量時，考慮了為防止對公眾健康和安全生產(chǎn)造成直接、即時危害所必需的安全功能，包括實現(xiàn)安全停堆，實現(xiàn)反應(yīng)堆堆芯冷卻，保持反應(yīng)堆冷卻系統(tǒng)的完整性，保持密閉廠房的完整性，實現(xiàn)放射性釋放物控制等。事故后監(jiān)測參數(shù)包括反應(yīng)堆功率、反應(yīng)堆進(jìn)/出堆流量、反應(yīng)堆出口溫度、一回路冷卻劑γ 劑量率、堆水池上方總γ 劑量、堆水池液位等。

3.5 允許和聯(lián)鎖

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)中設(shè)置了部分允許和聯(lián)鎖信號。允許信號用來在某些工況下允許或閉鎖某些保護(hù)功能，聯(lián)鎖信號用來保證反應(yīng)堆的運行安全和設(shè)備安全。如允許信號P6，在反應(yīng)堆啟動過程中總流量值低于10%額定流量時，允許操作員手動旁通自然循環(huán)電磁閥開啟功能，以確保自然循環(huán)電磁閥在一回路流量建立之前處于關(guān)閉狀態(tài)，防止自然循環(huán)電磁閥誤打開。

3.6 手動觸發(fā)

除自動觸發(fā)功能外，燕龍供熱堆保護(hù)系統(tǒng)還設(shè)置手動觸發(fā)功能，手動觸發(fā)使用硬邏輯實現(xiàn)。在燕龍供熱堆主控室的專用安全盤和輔助控制室控制臺上各設(shè)有兩個互為冗余的“手動緊急停堆”按鈕和“手動觸發(fā)專設(shè)安全設(shè)施”按鈕，可手動觸發(fā)停堆和自然循環(huán)電磁閥打開功能。手動觸發(fā)功能可旁路數(shù)字化保護(hù)系統(tǒng)，防止軟件共因故障。

3.7 自診斷和定期試驗

燕龍供熱堆保護(hù)系統(tǒng)采用數(shù)字化技術(shù)，由數(shù)字化保護(hù)系統(tǒng)的自診斷功能完成保護(hù)系統(tǒng)的故障檢測，以保證系統(tǒng)的正常運行。當(dāng)系統(tǒng)診斷到故障時，系統(tǒng)將觸發(fā)處理和報警機制，通知儀控人員，避免故障擴(kuò)散，維持保護(hù)系統(tǒng)在故障狀態(tài)下的自身安全功能。

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)定期試驗包括測量通道試驗、邏輯功能試驗、輸出通道及相關(guān)驅(qū)動器試驗，完成對保護(hù)系統(tǒng)安全功能的驗證。定期試驗分段進(jìn)行，每段試驗的范圍相互重疊，保證試驗完整性。定期試驗期間，不會妨礙保護(hù)系統(tǒng)安全功能的執(zhí)行。

4 設(shè)計準(zhǔn)則符合性分析

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)作為安全級系統(tǒng)，在設(shè)計過程中嚴(yán)格遵循了法規(guī)標(biāo)準(zhǔn)中規(guī)定的各項設(shè)計準(zhǔn)則，設(shè)計準(zhǔn)則符合性分析如下：

1）獨立性和冗余

燕龍供熱堆保護(hù)系統(tǒng)采用3 個保護(hù)通道、兩個專設(shè)序列的冗余設(shè)置，分別布置在不同的房間，滿足實體隔離要求。系統(tǒng)間通訊采用光纖實現(xiàn)電氣隔離，硬接線采用繼電器或隔離模塊實現(xiàn)電氣隔離。

2）單一故障準(zhǔn)則

燕龍供熱堆保護(hù)系統(tǒng)采用3 個保護(hù)通道、兩個專設(shè)序列的冗余設(shè)置，設(shè)備之間彼此獨立，保證實體隔離和電氣隔離。任一保護(hù)通道發(fā)生故障，剩余的兩個保護(hù)通道中的驅(qū)動邏輯由2/3 退化為1/2，仍然滿足單一故障設(shè)計準(zhǔn)則。對于專設(shè)安全設(shè)施驅(qū)動功能，保護(hù)系統(tǒng)設(shè)計了冗余的兩個專設(shè)驅(qū)動系列，任一系列內(nèi)的單一故障都不會導(dǎo)致安全功能的喪失。

3）故障安全

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)具有故障安全設(shè)置功能，在系統(tǒng)發(fā)生故障時，系統(tǒng)輸出偏向安全狀態(tài)。如RTS 采用“0”觸發(fā)停堆的設(shè)計方式，當(dāng)保護(hù)系統(tǒng)失電或故障時，能夠觸發(fā)停堆斷路器打開，進(jìn)而實現(xiàn)反應(yīng)堆停堆。

4）試驗和校準(zhǔn)

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)通過自診斷和定期試驗結(jié)合的方式實現(xiàn)系統(tǒng)的試驗和校準(zhǔn)功能，保護(hù)系統(tǒng)通過看門狗、奇偶校驗等功能，能夠?qū)ο到y(tǒng)中的智能板卡進(jìn)行診斷及診斷信息上報。定期試驗范圍覆蓋信號采集至系統(tǒng)輸出至現(xiàn)場設(shè)備的整個路徑。

5）手動觸發(fā)

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)在主控室專用安全盤和輔助控制室控制臺設(shè)置了停堆和專設(shè)驅(qū)動手動按鈕，可以手動觸發(fā)停堆和專設(shè)驅(qū)動功能。手動觸發(fā)指令直達(dá)停堆斷路器和優(yōu)選模塊，可旁路數(shù)字化保護(hù)系統(tǒng)。

6）多樣性

對于緊急停堆和專設(shè)安全設(shè)施驅(qū)動，燕龍供熱堆保護(hù)系統(tǒng)均提供了自動觸發(fā)和手動觸發(fā)兩種驅(qū)動方式，實現(xiàn)安全功能驅(qū)動方式的多樣性。為應(yīng)對軟件共因故障，燕龍供熱堆還設(shè)置了多樣化驅(qū)動系統(tǒng)，與數(shù)字化保護(hù)系統(tǒng)構(gòu)成設(shè)備多樣性。多樣化驅(qū)動系統(tǒng)基于FPGA 技術(shù)實現(xiàn)，在數(shù)字化保護(hù)系統(tǒng)發(fā)生軟件共因故障時，也可完成緊急停堆和專設(shè)安全設(shè)施的驅(qū)動功能。

5 結(jié)語

本文基于核電廠保護(hù)系統(tǒng)相關(guān)法規(guī)標(biāo)準(zhǔn)，歸納總結(jié)出了燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)設(shè)計所需遵循的主要設(shè)計準(zhǔn)則，并結(jié)合燕龍供熱堆固有安全性高的特點，完成了保護(hù)系統(tǒng)方案的設(shè)計及設(shè)計準(zhǔn)則的符合性分析工作。本文提出的燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)方案具有可靠性高、架構(gòu)簡單等特點，在滿足安全要求的同時兼顧了經(jīng)濟(jì)性，對于核電廠數(shù)字化保護(hù)系統(tǒng)的設(shè)計具有一定的借鑒和參考意義。