北京廣利核系統(tǒng)工程有限公司 姚芝強

1 引言

IAEA-NS-G-1.3-2005將旁通定義為“一種裝置，例如使繼電器的接點短路，有意地但是暫時地，使一個回路或系統(tǒng)停止起作用”[1]。通俗說來，旁通指在核電站運行、維護和試驗期間，為了確保相關(guān)操作不影響電站的正常運行，并能保證保護系統(tǒng)執(zhí)行安全功能的能力，而采用一系列特殊手段將系統(tǒng)某部分安全功能閉鎖或置于不工作狀態(tài)，以阻止不需要或不希望的保護動作觸發(fā)。

旁通作為數(shù)字化反應(yīng)堆保護系統(tǒng)的組成部分，貫穿核電站的運行、試驗和維護過程，雖然不直接執(zhí)行系統(tǒng)的安全功能，但保證了系統(tǒng)滿足單一故障準則和可靠性要求，直接影響核電站的安全運行和經(jīng)濟效益。

根據(jù)功能不同，一般將旁通分為運行旁通和維修旁通。GB/T4083-2005 3.12節(jié)將運行旁通定義為“根據(jù)運行的需要，抑制保護系統(tǒng)中一部分特定功能的行為和措施”[3]。運行旁通針對正常運行和操作的瞬變過程而設(shè)立。為了保證核電廠的正常啟動和運行，當反應(yīng)堆在某一種工況下，保護功能可能不需要執(zhí)行或者會帶來危害，需要將其閉鎖。GB/T 4083-2005 3.13節(jié)將維修旁通定義為“為了設(shè)備更換、檢修、檢驗或校準，人為地取消保護系統(tǒng)中一個或幾個設(shè)備功能的行為和措施”[3]。維修旁通主要用于系統(tǒng)的維護和測試，可對整個保護通道或列進行旁通，也可對某個預(yù)定的工藝參數(shù)進行旁通，實現(xiàn)設(shè)備維修、邏輯測試以及故障時符合邏輯降級等功能。

2 法規(guī)標準要求

法規(guī)和標準是反應(yīng)堆保護系統(tǒng)設(shè)計的重要依據(jù)，由于國內(nèi)核電法規(guī)標準體系尚不完善，也未能及時進行更新。因此，對法規(guī)和標準的研究除涉及國內(nèi)標準，還選取國外最新標準或?qū)t作為參考。與旁通功能相關(guān)的法規(guī)和標準主要如表1所示。

表1 旁通設(shè)計參考標準

3 設(shè)計分析

3.1 運行旁通

運行旁通是一種通過禁止一個不必要或不希望的保護動作觸發(fā)，以解決正常運行模式下保護停堆可能妨礙反應(yīng)堆轉(zhuǎn)換到另一種運行工況的方法，范圍涉及停堆和啟動專設(shè)安全設(shè)施功能。

根據(jù)法規(guī)標準分析結(jié)果，運行旁通邏輯應(yīng)納入保護系統(tǒng)，不論以何種方法啟動運行旁通，用來啟動運行旁通的手段認為是保護系統(tǒng)的一部分，并應(yīng)滿足與保護系統(tǒng)相同的要求。運行旁通需要滿足相應(yīng)允許條件才能進行操作，如果核電廠工況的變化使已實施的運行旁通不再滿足允許條件，安全系統(tǒng)應(yīng)自動完成下述任務(wù)之一：（1）撤銷已啟動的運行旁通；（2）將核電廠恢復(fù)原來的工況；（3）觸發(fā)適宜的安全功能。

運行旁通包括旁通邏輯和允許信號兩部分，設(shè)計關(guān)鍵在于允許信號與手、自動閉鎖和動作信號的邏輯處理。旁通邏輯設(shè)計應(yīng)該在滿足標準法規(guī)要求的前提下，以輸入Analog Diagram/Logic Diagram為基礎(chǔ)開展，允許信號則按照反應(yīng)堆保護系統(tǒng)需求規(guī)格書以及輸入Analog Diagram/Logic Diagram的要求進行設(shè)計。因此，基于不同的堆型和工藝，運行旁通設(shè)計方案各不相同。本文以CPR1000堆型數(shù)字化反應(yīng)堆保護系統(tǒng)運行旁通的設(shè)計方案為例進行分析，如圖1所示。

圖1 基于CPR1000堆型的數(shù)字化反應(yīng)堆保護系統(tǒng)運行旁通設(shè)計方案

由圖1可知，當允許閉鎖信號未觸發(fā)時，無法手動閉鎖動作信號，如已閉鎖則自動復(fù)位，保證不滿足允許條件，系統(tǒng)自動防止運行旁通或觸發(fā)適宜的安全功能。當允許閉鎖信號觸發(fā)時，可以手動閉鎖動作信號或手動復(fù)位動作信號；當自動閉鎖信號觸發(fā)時，則直接閉鎖動作信號，阻止執(zhí)行安全功能的能力以適應(yīng)特定狀態(tài)需求。與此同時旁通狀態(tài)通過安全系統(tǒng)總線發(fā)送至主控室指示，實時監(jiān)控旁通狀態(tài)，必要時采取措施進行觸發(fā)或校正。

允許信號是為了符合反應(yīng)堆工藝過程，在一定條件下自動允許或閉鎖某保護功能，允許操縱員手動閉鎖某保護信號或禁止某保護動作而設(shè)立，需嚴格按照操作權(quán)限和規(guī)程管理執(zhí)行?；贑PR1000堆型的允許及閉鎖信號如表2所示，與圖1中旁通邏輯共同實現(xiàn)運行旁通的功能。

表2 基于CPR1000堆型的運行旁通操作允許及閉鎖信號

注1：“●”表示存在該信號；“－”表示不存在該信號。

注2：P6：當兩個中間量程測量通道中任意一個探測到核功率P≈10E-5%Pn時產(chǎn)生，主要功能為手動閉鎖源量程中子通量高緊急停堆。

P10：當四個功率量程測量線路中有兩個測量的核功率大于10%FP時產(chǎn)生，主要功能為閉鎖源量程產(chǎn)生的緊急停堆信號；允許手動閉鎖中間量程及功率量程低定值產(chǎn)生的緊急停堆。

P11：當三個穩(wěn)壓器壓力測量通道中有兩個測量的穩(wěn)壓器壓力低于13.8MPa時產(chǎn)生，主要功能為閉鎖穩(wěn)壓器安全卸壓閥；允許手動閉鎖反應(yīng)堆低溫低壓和穩(wěn)壓器低水位引發(fā)的安全注入信號。

P12：當反應(yīng)堆三個環(huán)路冷卻劑平均溫度TAV測量通道中有兩個環(huán)路測得平均溫度低于284℃時產(chǎn)生，主要功能為閉鎖蒸汽旁路閥；與蒸汽流量高信號一起產(chǎn)生安全注入信號。

3.2 維修旁通

維修旁通是電站運行期間維護和測試的重要實現(xiàn)方式，為確保電站安全，旁通操作應(yīng)設(shè)置嚴格的操作權(quán)限管理。由于緊急停堆系統(tǒng)的保護參數(shù)眾多，邏輯關(guān)系復(fù)雜，如果需要對整個通道的設(shè)備進行維護、校準或測試，則執(zhí)行通道旁通。但如果因為對某個傳感器或者部分邏輯進行維護和測試而旁通整個通道，使其它保護通道中所有與被旁通通道保護參數(shù)有關(guān)的符合邏輯全部降級，在某種程度上相當于降低系統(tǒng)的可靠性，與設(shè)計初衷相違背。參數(shù)旁通是解決此問題的有效手段，只需要將相應(yīng)的保護參數(shù)旁通，在對應(yīng)符合邏輯中進行降級即可，并不影響其它安全功能的執(zhí)行。因此，工程實施過程中一般也將維修旁通分為通道旁通和參數(shù)旁通：

（1）通道旁通，即對一個保護通道的所有信號進行旁通，使其安全功能失效，可對整個通道的設(shè)備進行維護、校準或測試。

（2）參數(shù)旁通，即對保護通道中某個保護參數(shù)進行旁通，使相應(yīng)的保護參數(shù)退出正常運行，可對單個傳感器進行維護，對部分軟件邏輯進行測試。

3.2.1 通道旁通

通道旁通也是一種參數(shù)旁通，可理解為針對某通道內(nèi)所有參數(shù)的旁通。

根據(jù)法規(guī)標準分析結(jié)果，通道旁通設(shè)計應(yīng)滿足單一故障準則，采取措施防止試驗期間同時旁通冗余通道或負載組，同時通過符合邏輯降級，使處于旁通狀態(tài)的設(shè)備不影響系統(tǒng)其它部分或其它安全系統(tǒng)執(zhí)行安全功能的能力。對于通道旁通邏輯設(shè)計，如何滿足“防止試驗期間同時旁通冗余通道或負載組”要求是功能實現(xiàn)的關(guān)鍵。停堆斷路器是緊急停堆系統(tǒng)控制主要設(shè)備，為達到旁通整個通道的目的，只需在停堆觸發(fā)信號的輸出端增加閉鎖邏輯，并將通道旁通信號引入符合邏輯參與運算，即可使該通道的保護功能失效。

保護通道一般為四重冗余結(jié)構(gòu)，當兩個保護通道同時被旁通時，系統(tǒng)的冗余度由四取二降級為二取一，此時系統(tǒng)的可靠性急劇降低。因此，為了保證緊急停堆系統(tǒng)的可靠性和安全性，通過不同通道之間共享旁通信號，設(shè)計必要的邏輯運算來保證任一通道被旁通時，其它通道的旁通操作無效，禁止同時旁通兩個或以上保護通道。下面以CPR1000堆型的數(shù)字化保護系統(tǒng)通道旁通設(shè)計方案為例進行分析，如圖2所示。

圖2 基于CPR1000堆型的數(shù)字化保護系統(tǒng)通道旁通設(shè)計方案

每個保護通道配置一套通道旁通開關(guān)和指示燈，當通道旁通開關(guān)閉合時，信號由DI輸入，經(jīng)過軟件邏輯運算，由DO輸出去旁通指示，并與保護通道的另一子組的通道旁通信號、停堆信號進行硬邏輯運算，閉鎖整個通道的停堆輸出信號。

圖2中虛線框內(nèi)部分為互鎖邏輯，輸入信號為其它通道的旁通信號，以及其它通道通信故障判斷信號，當接受到其它通道旁通信號或診斷某通道通信故障時，則認為該通道被旁通?；ユi邏輯可防止同時旁通冗余通道或負載組，為了進一步避免一個保護通道被旁通時，其它通道的旁通開關(guān)被人為誤操作，也為了方便操作員或維修人員獲取當前設(shè)備旁通狀態(tài)信息，當某通道被旁通時，在旁通操作面板上提供指示的同時，將旁通開關(guān)的實時狀態(tài)送至主控室顯示，誤操作發(fā)生時可以及時判斷當前狀況、分析原因并采取有效措施。

3.2.2 參數(shù)旁通

參數(shù)旁通解決了對系統(tǒng)進行小范圍測試和維護難度大、效率低和可靠性降低等問題。

根據(jù)法規(guī)標準分析結(jié)果，鑒于停堆保護功能的重要性，必須保證所有與保護功能相關(guān)的參數(shù)都納入?yún)?shù)旁通的范圍。參數(shù)旁通使本通道被旁通的信號不參與保護邏輯運算的同時，為了保證可靠性，使該參數(shù)參與的停堆符合邏輯運算（包含本通道和其它通道）進行降級處理，確保在進行維護測試時，被旁通通道和其它通道執(zhí)行的其它保護功能不受影響。下面以CPR1000堆型的數(shù)字化保護系統(tǒng)參數(shù)旁通設(shè)計方案為例進行分析，如圖3所示。

圖3 基于CPR1000堆型的反應(yīng)堆保護系統(tǒng)參數(shù)旁通設(shè)計方案

由于每個保護通道包含兩個功能子組，因此需配置兩套旁通操作面板，每個需要被旁通的保護參數(shù)都配置一套旁通開關(guān)指示燈。如圖3所示，當某參數(shù)旁通開關(guān)被閉合，旁通操作面板上指示燈亮，信號由DI輸入，經(jīng)過旁通邏輯運算，閉鎖該保護參數(shù)的AI輸入。同時旁通信號傳送至其它保護通道、專設(shè)安全設(shè)施驅(qū)動系統(tǒng)及主控室，實現(xiàn)參數(shù)的降級和狀態(tài)指示。當其它通道或相應(yīng)參數(shù)被旁通時，本通道符合邏輯也對該通道信號或保護參數(shù)做降級處理。

3.2.3 符合邏輯降級

根據(jù)法規(guī)標準分析結(jié)果，執(zhí)行裝置或動力源中冗余度為1的部分應(yīng)設(shè)計成其中一部分處于維修旁通時，其余部分必須能提供可接受的可靠性。即維修旁通設(shè)計應(yīng)滿足單一故障準則，采取降低符合度等措施防止試驗期間同時旁通冗余通道或負載組，同時通過符合邏輯降級，使得處于旁通狀態(tài)的設(shè)備不影響系統(tǒng)其它部分或其它安全系統(tǒng)執(zhí)行安全功能的能力。

因此，為了保證旁通期間保護系統(tǒng)功能的執(zhí)行，當設(shè)備處于旁通狀態(tài)時，符合邏輯應(yīng)做降級處理。緊急停堆系統(tǒng)的參數(shù)旁通和通道旁通都應(yīng)涉及降級處理，總體規(guī)則如下：當某個保護通道被通道旁通時，其它通道符合邏輯對該通道的所有信號做降級處理；當某個保護參數(shù)被旁通時，所有通道（包含本通道）符合邏輯對該保護參數(shù)信號做降級處理。下面以CPR1000堆型的數(shù)字化保護系統(tǒng)符合邏輯降級方案為例進行分析，如圖4所示。

圖4 基于CPR1000堆型的反應(yīng)堆保護系統(tǒng)旁通符合邏輯降級設(shè)計方案

圖4中≥2BYP為帶降級功能的符合邏輯模塊，輸入信號為各保護通道的閥值動作信號和參數(shù)或通道旁通信號，當出現(xiàn)本通道的參數(shù)n被旁通、其它通道任意一個被通道旁通或參數(shù)n被旁通時，符合邏輯中對應(yīng)冗余度為1的部分將冗余度降為零，則2oo4降級為2oo3，2oo3降級為1oo2，符合邏輯仍能提供可接受的可靠性。對于不同功能，符合邏輯的類型不同，降級規(guī)則也存在差異，因此，從故障安全和運行管理角度考慮，降級規(guī)則必須嚴格按照反應(yīng)堆保護系統(tǒng)需求規(guī)格書進行設(shè)計。

3.3 分析結(jié)論

根據(jù)上述分析，數(shù)字化反應(yīng)堆保護系統(tǒng)的旁通設(shè)計原則和規(guī)范可歸納為以下幾點：

（1）設(shè)計原則

? 旁通設(shè)計必須嚴格遵循法規(guī)標準的規(guī)定和要求。

? 用戶系統(tǒng)需求規(guī)格書和輸入Analog Diagram/Logic Diagram是旁通設(shè)計的主要依據(jù)文件。

? 數(shù)字化反應(yīng)堆保護系統(tǒng)的平臺特性是旁通設(shè)計需要考慮的重要因素。

? 操作權(quán)限管理是旁通設(shè)計的內(nèi)容之一，避免旁通及其不可操作狀態(tài)指示影響安全功能的執(zhí)行。

（2）設(shè)計規(guī)范

? 如果安全系統(tǒng)的某部分不運行或被旁通，在控制室內(nèi)應(yīng)提供狀態(tài)指示。

? 運行旁通是保護系統(tǒng)的組成部分，需滿足與保護系統(tǒng)相同的要求。

? 維修旁通設(shè)計應(yīng)滿足單一故障準則，避免處于旁通狀態(tài)的設(shè)備影響系統(tǒng)其它部分或其它安全系統(tǒng)執(zhí)行安全功能的能力。

? 采取降低符合度等措施防止試驗期間同時旁通冗余通道或負載組是維修旁通設(shè)計的關(guān)鍵。

? 所有與安全功能相關(guān)的保護參數(shù)都應(yīng)被納入?yún)?shù)旁通的范圍。

? 當緊急停堆系統(tǒng)被通道旁通或參數(shù)旁通時，對應(yīng)符合邏輯應(yīng)做降級處理，降級規(guī)則必須嚴格按照反應(yīng)堆保護系統(tǒng)需求規(guī)格書的要求進行設(shè)計。

4 結(jié)語

我國具有自主知識產(chǎn)權(quán)的核電站數(shù)字化反應(yīng)堆保護系統(tǒng)研發(fā)和工程應(yīng)用正處于起步階段，面臨技術(shù)封鎖、經(jīng)驗匱乏、流程和規(guī)范不完善等問題。本文在對法規(guī)標準深入研究的前提下，以CPR1000堆型數(shù)字化反應(yīng)堆保護系統(tǒng)設(shè)計需求為基礎(chǔ)，通過分析在運行和在建電站的設(shè)計方案，得出旁通設(shè)計需要遵循的原則和規(guī)范，對后續(xù)華龍一號、AP1000、EPR等三代壓水堆技術(shù)的數(shù)字化反應(yīng)堆保護系統(tǒng)旁通設(shè)計具有參考意義。

[1]IAEA-NS-G-1.3核動力廠安全重要儀表控制系統(tǒng)[S].

[2]GB/T 13284.1 核電廠安全系統(tǒng) 第1部分：設(shè)計準則[S].

[3]GB/T 4083 核反應(yīng)堆保護系統(tǒng)安全準則[S].

[4]GB/T 5204 核電廠安全系統(tǒng)定期試驗與監(jiān)測[S].

[5]GB/T 13629 核電廠安全系統(tǒng)中數(shù)字計算機的適用準則[S].

[6]RG 1.47 Bypassed and Inoperable Status Indication for Nuclear Power Plant Safety Systems[S].