泳池式低溫供熱堆數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)研究

胡加永，尹 凱，劉興民，段天英，賈玉文，張占利

（中國原子能科學(xué)研究院，北京 102413）

0 引言

核能供熱與傳統(tǒng)供熱方式相比，具有良好的安全性和經(jīng)濟(jì)性，且是一種清潔能源，目前已有很多國家對(duì)核能供熱進(jìn)行了大量研究[1]。2017 年11 月28 日，中核集團(tuán)正式發(fā)布其自主研發(fā)可用來實(shí)現(xiàn)區(qū)域供熱的“燕龍”泳池式低溫供熱堆（簡稱燕龍供熱堆）[2]。燕龍供熱堆運(yùn)用深水池供熱堆的創(chuàng)新技術(shù)，合理地降低了反應(yīng)堆工作溫度，使反應(yīng)堆可以工作在常壓深水池內(nèi)，可使反應(yīng)堆系統(tǒng)及設(shè)備與加壓反應(yīng)堆相比進(jìn)行根本性的簡化，具有安全可靠，經(jīng)濟(jì)實(shí)用，又便于運(yùn)行管理的特點(diǎn)。

保護(hù)系統(tǒng)是燕龍供熱堆重要的安全系統(tǒng)，它對(duì)于限制事故的發(fā)展，減輕事故后果，保證反應(yīng)堆及設(shè)備和人員的安全，防止放射性物質(zhì)向周圍環(huán)境的釋放具有十分重要的作用。保護(hù)系統(tǒng)監(jiān)測重要的安全參數(shù)，對(duì)安全參數(shù)進(jìn)行必要的采集、計(jì)算、定值比較，符合邏輯處理，當(dāng)選定的參數(shù)超過安全閾值時(shí)，自動(dòng)地觸發(fā)反應(yīng)堆緊急停堆和驅(qū)動(dòng)專設(shè)安全設(shè)施動(dòng)作，以實(shí)現(xiàn)并維持供熱堆的安全停堆工況。本文結(jié)合核安全法規(guī)、導(dǎo)則和標(biāo)準(zhǔn)的相關(guān)要求，識(shí)別出保護(hù)系統(tǒng)的相關(guān)設(shè)計(jì)原則，并結(jié)合燕龍供熱堆的特點(diǎn)與核電廠保護(hù)系統(tǒng)數(shù)字化現(xiàn)狀，研究并提出了燕龍供熱堆保護(hù)系統(tǒng)設(shè)計(jì)方案。

1 保護(hù)系統(tǒng)設(shè)計(jì)準(zhǔn)則

核安全導(dǎo)則HAD 102/10-2021《核動(dòng)力廠儀表和控制系統(tǒng)設(shè)計(jì)》[3]作為國內(nèi)核電廠安全重要儀表和控制系統(tǒng)的頂層標(biāo)準(zhǔn)，對(duì)儀控系統(tǒng)的設(shè)計(jì)進(jìn)行指導(dǎo)，明確了保護(hù)系統(tǒng)所需遵循的設(shè)計(jì)準(zhǔn)則。此外，在GB、NB、IEC、IEEE 等系列標(biāo)準(zhǔn)中也對(duì)保護(hù)系統(tǒng)的設(shè)計(jì)提出了相關(guān)要求，如GB/T 13286《單一故障準(zhǔn)則應(yīng)用于核電廠安全系統(tǒng)》[4]規(guī)定了單一故障準(zhǔn)則的相關(guān)要求，GB/T 12727《核電廠安全級(jí)電氣設(shè)備鑒定》[5]對(duì)保護(hù)系統(tǒng)的設(shè)備鑒定提出了相關(guān)要求。燕龍供熱堆保護(hù)系統(tǒng)設(shè)計(jì)需要滿足核安全導(dǎo)則HAD 102/10 與相關(guān)標(biāo)準(zhǔn)的要求。經(jīng)過梳理歸納，燕龍供熱堆保護(hù)系統(tǒng)設(shè)計(jì)需要遵循的主要設(shè)計(jì)準(zhǔn)則如下：

1）獨(dú)立性

安全系統(tǒng)應(yīng)獨(dú)立于低安全等級(jí)的系統(tǒng)，安全系統(tǒng)內(nèi)的冗余序列間應(yīng)保持充分的獨(dú)立，以保證所有安全功能在需要時(shí)能夠完成。

2）冗余

儀控系統(tǒng)冗余度應(yīng)滿足其可靠性要求和單一故障準(zhǔn)則。冗余部件應(yīng)相互獨(dú)立，否則冗余就不能完全有效。

3）單一故障準(zhǔn)則

必須對(duì)每個(gè)安全組合都應(yīng)用單一故障準(zhǔn)則。可采用冗余、獨(dú)立性、可試驗(yàn)性、連續(xù)監(jiān)測、環(huán)境鑒定和可維護(hù)性等方面的措施來滿足單一故障準(zhǔn)則。安全系統(tǒng)由于試驗(yàn)或維護(hù)原因，任一部件或冗余序列退出運(yùn)行或旁通時(shí)，仍應(yīng)滿足單一故障準(zhǔn)則，不應(yīng)導(dǎo)致要求的最小冗余度的喪失。

4）故障安全

應(yīng)將安全重要系統(tǒng)和部件設(shè)計(jì)為故障安全，使其自身的故障或支持設(shè)施的故障不妨礙預(yù)定安全功能的執(zhí)行。當(dāng)某個(gè)儀控部件失電或出現(xiàn)故障時(shí)，系統(tǒng)應(yīng)被置于一個(gè)預(yù)定狀態(tài)下，這個(gè)狀態(tài)應(yīng)已被證明對(duì)于安全是可接受的。

5）保護(hù)動(dòng)作的完成

安全系統(tǒng)應(yīng)設(shè)計(jì)成一旦被自動(dòng)或手動(dòng)觸發(fā)，執(zhí)行裝置就能按預(yù)定程序完成全部安全動(dòng)作，只有操縱員有意識(shí)地操作才能使安全系統(tǒng)恢復(fù)到正常狀態(tài)。

6）試驗(yàn)和校準(zhǔn)

安全系統(tǒng)必須具有可在核動(dòng)力廠運(yùn)行時(shí)對(duì)其功能進(jìn)行定期試驗(yàn)的條件，包括各通道分別進(jìn)行試驗(yàn)的可能性，以查明可能發(fā)生的故障和多重性的喪失。設(shè)計(jì)必須允許對(duì)包括從傳感器到最終的觸發(fā)驅(qū)動(dòng)器和顯示單元所有環(huán)節(jié)的定期試驗(yàn)。

7）手動(dòng)觸發(fā)

保護(hù)系統(tǒng)除自動(dòng)觸發(fā)外還應(yīng)設(shè)置手動(dòng)觸發(fā)。手動(dòng)觸發(fā)應(yīng)操作簡單，手動(dòng)觸發(fā)和自動(dòng)觸發(fā)共用的設(shè)備應(yīng)盡可能的少。

8）多樣性

應(yīng)采用多樣性的手段減少或消除保護(hù)系統(tǒng)共因故障的概率，多樣性類型包括設(shè)備多樣性、功能多樣性、設(shè)計(jì)多樣性等。

2 保護(hù)系統(tǒng)功能

燕龍供熱堆保護(hù)系統(tǒng)的目的是保證反應(yīng)堆及核電廠設(shè)備和人員的安全，防止放射性物質(zhì)向周圍環(huán)境的釋放，限制反應(yīng)堆在允許范圍內(nèi)運(yùn)行或是緩解事故后果，保護(hù)反應(yīng)堆、環(huán)境、人員的安全。其具備以下功能：

1）當(dāng)保護(hù)參數(shù)達(dá)到或超過系統(tǒng)動(dòng)作的設(shè)計(jì)限值時(shí)，自動(dòng)觸發(fā)緊急停堆動(dòng)作，使控制棒插入堆芯完成停堆；同時(shí)，在某些需要的運(yùn)行工況下，啟動(dòng)相應(yīng)的專設(shè)安全設(shè)施動(dòng)作，將事故后果降低到最小。

2）允許和聯(lián)鎖，用來在某些工況下允許或閉鎖某些保護(hù)功能，防止因操作員誤操作而造成事故工況。

3）通過網(wǎng)絡(luò)等方式將保護(hù)參數(shù)越限報(bào)警和保護(hù)系統(tǒng)通道故障報(bào)警，傳輸至監(jiān)控系統(tǒng)在主控室進(jìn)行顯示報(bào)警。

4）事故后參數(shù)監(jiān)測。

5）保護(hù)功能手動(dòng)觸發(fā)。

3 保護(hù)系統(tǒng)設(shè)計(jì)

3.1 系統(tǒng)架構(gòu)

依據(jù)保護(hù)系統(tǒng)設(shè)計(jì)準(zhǔn)則，同時(shí)結(jié)合燕龍供熱堆特點(diǎn)及數(shù)字化產(chǎn)品現(xiàn)狀，燕龍供熱堆保護(hù)系統(tǒng)架構(gòu)設(shè)計(jì)如圖1 所示。

圖1 保護(hù)系統(tǒng)架構(gòu)Fig.1 Protection system framework

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)分為Level1、Level2 上下兩層。Level1 層為自動(dòng)邏輯處理層，主要完成停堆、專設(shè)驅(qū)動(dòng)功能的觸發(fā)；Level2 層為人機(jī)接口層，主要完成報(bào)警顯示、事故后監(jiān)測、手動(dòng)觸發(fā)等功能。

3.2 反應(yīng)堆停堆

當(dāng)燕龍供熱堆保護(hù)參數(shù)超過安全閾值時(shí)，由反應(yīng)堆停堆系統(tǒng)（RTS）完成緊急停堆功能。RTS 由3 個(gè)冗余的保護(hù)通道組成，每個(gè)通道均獨(dú)立地采集現(xiàn)場傳感器信號(hào)。當(dāng)傳感器信號(hào)超過安全閾值時(shí)，產(chǎn)生用于局部表決邏輯的觸發(fā)信號(hào)。同時(shí)，通過點(diǎn)對(duì)點(diǎn)的通訊方式將觸發(fā)信號(hào)傳遞給另外兩個(gè)保護(hù)通道進(jìn)行三取二表決邏輯處理。當(dāng)滿足表決邏輯要求時(shí)，產(chǎn)生本通道的停堆信號(hào)，本通道對(duì)應(yīng)的停堆斷路器打開。反應(yīng)堆停堆系統(tǒng)共設(shè)置兩組停堆斷路器，每組停堆斷路器以硬件的方式搭接成“三取二”的表決邏輯。當(dāng)兩個(gè)及以上保護(hù)通道產(chǎn)生停堆信號(hào)時(shí)，則可以使對(duì)應(yīng)的停堆斷路器失電脫扣，從而切斷第一停堆系統(tǒng)補(bǔ)償-調(diào)節(jié)棒的電源和第二停堆系統(tǒng)安全棒的電源，使兩套停堆系統(tǒng)的控制棒均在重力的作用下迅速插入堆芯，快速停閉反應(yīng)堆。

燕龍供熱堆自動(dòng)停堆功能部分參數(shù)見表1。

表1 保護(hù)參數(shù)Table1 Protection parameters

圖2 停堆斷路器連接圖Fig.2 Reactor trip breaker connection diagram

3.3 安全專設(shè)驅(qū)動(dòng)

當(dāng)所監(jiān)測的保護(hù)變量超過專設(shè)觸發(fā)整定值時(shí)，由安全專設(shè)驅(qū)動(dòng)系統(tǒng)（ESFAS）給出專設(shè)動(dòng)作信號(hào)，觸發(fā)相應(yīng)的專設(shè)安全設(shè)施，以限制事故的發(fā)展或緩解事故的后果。ESFAS 系統(tǒng)由兩個(gè)冗余序列Train A、Train B 組成，接收來自RTS 系統(tǒng)發(fā)出的觸發(fā)信號(hào)，經(jīng)過三取二表決邏輯，將專設(shè)驅(qū)動(dòng)信號(hào)發(fā)送至優(yōu)選板卡，實(shí)現(xiàn)對(duì)專設(shè)安全設(shè)施的自動(dòng)驅(qū)動(dòng)功能。

燕龍供熱堆能動(dòng)安全專設(shè)設(shè)施為自然循環(huán)電磁閥。自然循環(huán)電磁閥主要的功能是在反應(yīng)堆停止主熱傳輸回路熱量導(dǎo)出后，通過自然循環(huán)流量導(dǎo)出堆芯余熱。當(dāng)反應(yīng)堆發(fā)生假設(shè)始發(fā)事件使一回路總流量下降至額定流量以下時(shí)，由ESFAS 兩個(gè)冗余序列自動(dòng)打開兩組自然循環(huán)電磁閥，建立反應(yīng)堆冷卻劑的自然循環(huán)，將反應(yīng)堆余熱持續(xù)導(dǎo)出至反應(yīng)堆水池?zé)嶷逯小?/p>

3.4 事故后監(jiān)測

在反應(yīng)堆事故期間和事故后，需要對(duì)反應(yīng)堆的安全重要參數(shù)進(jìn)行監(jiān)督。燕龍供熱堆事故后監(jiān)測系統(tǒng)（PAMS）包括Train A、Train B 兩個(gè)冗余系列，在主控室和輔助控制室分別設(shè)置冗余的安全參數(shù)顯示單元（SVDU），用來監(jiān)測反應(yīng)堆事故期間和事故后安全重要參數(shù)的變化，使運(yùn)行人員了解和跟蹤事故的進(jìn)程，為分析事故和評(píng)價(jià)事故后果提供依據(jù)。

燕龍供熱堆事故后監(jiān)測系統(tǒng)在選取監(jiān)測變量時(shí)，考慮了為防止對(duì)公眾健康和安全生產(chǎn)造成直接、即時(shí)危害所必需的安全功能，包括實(shí)現(xiàn)安全停堆，實(shí)現(xiàn)反應(yīng)堆堆芯冷卻，保持反應(yīng)堆冷卻系統(tǒng)的完整性，保持密閉廠房的完整性，實(shí)現(xiàn)放射性釋放物控制等。事故后監(jiān)測參數(shù)包括反應(yīng)堆功率、反應(yīng)堆進(jìn)/出堆流量、反應(yīng)堆出口溫度、一回路冷卻劑γ 劑量率、堆水池上方總γ 劑量、堆水池液位等。

3.5 允許和聯(lián)鎖

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)中設(shè)置了部分允許和聯(lián)鎖信號(hào)。允許信號(hào)用來在某些工況下允許或閉鎖某些保護(hù)功能，聯(lián)鎖信號(hào)用來保證反應(yīng)堆的運(yùn)行安全和設(shè)備安全。如允許信號(hào)P6，在反應(yīng)堆啟動(dòng)過程中總流量值低于10%額定流量時(shí)，允許操作員手動(dòng)旁通自然循環(huán)電磁閥開啟功能，以確保自然循環(huán)電磁閥在一回路流量建立之前處于關(guān)閉狀態(tài)，防止自然循環(huán)電磁閥誤打開。

3.6 手動(dòng)觸發(fā)

除自動(dòng)觸發(fā)功能外，燕龍供熱堆保護(hù)系統(tǒng)還設(shè)置手動(dòng)觸發(fā)功能，手動(dòng)觸發(fā)使用硬邏輯實(shí)現(xiàn)。在燕龍供熱堆主控室的專用安全盤和輔助控制室控制臺(tái)上各設(shè)有兩個(gè)互為冗余的“手動(dòng)緊急停堆”按鈕和“手動(dòng)觸發(fā)專設(shè)安全設(shè)施”按鈕，可手動(dòng)觸發(fā)停堆和自然循環(huán)電磁閥打開功能。手動(dòng)觸發(fā)功能可旁路數(shù)字化保護(hù)系統(tǒng)，防止軟件共因故障。

3.7 自診斷和定期試驗(yàn)

燕龍供熱堆保護(hù)系統(tǒng)采用數(shù)字化技術(shù)，由數(shù)字化保護(hù)系統(tǒng)的自診斷功能完成保護(hù)系統(tǒng)的故障檢測，以保證系統(tǒng)的正常運(yùn)行。當(dāng)系統(tǒng)診斷到故障時(shí)，系統(tǒng)將觸發(fā)處理和報(bào)警機(jī)制，通知儀控人員，避免故障擴(kuò)散，維持保護(hù)系統(tǒng)在故障狀態(tài)下的自身安全功能。

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)定期試驗(yàn)包括測量通道試驗(yàn)、邏輯功能試驗(yàn)、輸出通道及相關(guān)驅(qū)動(dòng)器試驗(yàn)，完成對(duì)保護(hù)系統(tǒng)安全功能的驗(yàn)證。定期試驗(yàn)分段進(jìn)行，每段試驗(yàn)的范圍相互重疊，保證試驗(yàn)完整性。定期試驗(yàn)期間，不會(huì)妨礙保護(hù)系統(tǒng)安全功能的執(zhí)行。

4 設(shè)計(jì)準(zhǔn)則符合性分析

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)作為安全級(jí)系統(tǒng)，在設(shè)計(jì)過程中嚴(yán)格遵循了法規(guī)標(biāo)準(zhǔn)中規(guī)定的各項(xiàng)設(shè)計(jì)準(zhǔn)則，設(shè)計(jì)準(zhǔn)則符合性分析如下：

1）獨(dú)立性和冗余

燕龍供熱堆保護(hù)系統(tǒng)采用3 個(gè)保護(hù)通道、兩個(gè)專設(shè)序列的冗余設(shè)置，分別布置在不同的房間，滿足實(shí)體隔離要求。系統(tǒng)間通訊采用光纖實(shí)現(xiàn)電氣隔離，硬接線采用繼電器或隔離模塊實(shí)現(xiàn)電氣隔離。

2）單一故障準(zhǔn)則

燕龍供熱堆保護(hù)系統(tǒng)采用3 個(gè)保護(hù)通道、兩個(gè)專設(shè)序列的冗余設(shè)置，設(shè)備之間彼此獨(dú)立，保證實(shí)體隔離和電氣隔離。任一保護(hù)通道發(fā)生故障，剩余的兩個(gè)保護(hù)通道中的驅(qū)動(dòng)邏輯由2/3 退化為1/2，仍然滿足單一故障設(shè)計(jì)準(zhǔn)則。對(duì)于專設(shè)安全設(shè)施驅(qū)動(dòng)功能，保護(hù)系統(tǒng)設(shè)計(jì)了冗余的兩個(gè)專設(shè)驅(qū)動(dòng)系列，任一系列內(nèi)的單一故障都不會(huì)導(dǎo)致安全功能的喪失。

3）故障安全

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)具有故障安全設(shè)置功能，在系統(tǒng)發(fā)生故障時(shí)，系統(tǒng)輸出偏向安全狀態(tài)。如RTS 采用“0”觸發(fā)停堆的設(shè)計(jì)方式，當(dāng)保護(hù)系統(tǒng)失電或故障時(shí)，能夠觸發(fā)停堆斷路器打開，進(jìn)而實(shí)現(xiàn)反應(yīng)堆停堆。

4）試驗(yàn)和校準(zhǔn)

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)通過自診斷和定期試驗(yàn)結(jié)合的方式實(shí)現(xiàn)系統(tǒng)的試驗(yàn)和校準(zhǔn)功能，保護(hù)系統(tǒng)通過看門狗、奇偶校驗(yàn)等功能，能夠?qū)ο到y(tǒng)中的智能板卡進(jìn)行診斷及診斷信息上報(bào)。定期試驗(yàn)范圍覆蓋信號(hào)采集至系統(tǒng)輸出至現(xiàn)場設(shè)備的整個(gè)路徑。

5）手動(dòng)觸發(fā)

燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)在主控室專用安全盤和輔助控制室控制臺(tái)設(shè)置了停堆和專設(shè)驅(qū)動(dòng)手動(dòng)按鈕，可以手動(dòng)觸發(fā)停堆和專設(shè)驅(qū)動(dòng)功能。手動(dòng)觸發(fā)指令直達(dá)停堆斷路器和優(yōu)選模塊，可旁路數(shù)字化保護(hù)系統(tǒng)。

6）多樣性

對(duì)于緊急停堆和專設(shè)安全設(shè)施驅(qū)動(dòng)，燕龍供熱堆保護(hù)系統(tǒng)均提供了自動(dòng)觸發(fā)和手動(dòng)觸發(fā)兩種驅(qū)動(dòng)方式，實(shí)現(xiàn)安全功能驅(qū)動(dòng)方式的多樣性。為應(yīng)對(duì)軟件共因故障，燕龍供熱堆還設(shè)置了多樣化驅(qū)動(dòng)系統(tǒng)，與數(shù)字化保護(hù)系統(tǒng)構(gòu)成設(shè)備多樣性。多樣化驅(qū)動(dòng)系統(tǒng)基于FPGA 技術(shù)實(shí)現(xiàn)，在數(shù)字化保護(hù)系統(tǒng)發(fā)生軟件共因故障時(shí)，也可完成緊急停堆和專設(shè)安全設(shè)施的驅(qū)動(dòng)功能。

5 結(jié)語

本文基于核電廠保護(hù)系統(tǒng)相關(guān)法規(guī)標(biāo)準(zhǔn)，歸納總結(jié)出了燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)所需遵循的主要設(shè)計(jì)準(zhǔn)則，并結(jié)合燕龍供熱堆固有安全性高的特點(diǎn)，完成了保護(hù)系統(tǒng)方案的設(shè)計(jì)及設(shè)計(jì)準(zhǔn)則的符合性分析工作。本文提出的燕龍供熱堆數(shù)字化保護(hù)系統(tǒng)方案具有可靠性高、架構(gòu)簡單等特點(diǎn)，在滿足安全要求的同時(shí)兼顧了經(jīng)濟(jì)性，對(duì)于核電廠數(shù)字化保護(hù)系統(tǒng)的設(shè)計(jì)具有一定的借鑒和參考意義。