俞 霄，馮偉偉，尹 凱，盛 靜

（1.中核工程咨詢有限公司，北京 100071；2.中國(guó)原子能科學(xué)研究院，北京 102413）

在快堆核電站中，聯(lián)鎖功能是確保反應(yīng)器保護(hù)系統(tǒng)防止在操作過(guò)程中，維護(hù)和測(cè)試的控制系統(tǒng)的不安全方向，并且采用了一系列特殊的手段以阻擋或使系統(tǒng)的安全性功能的一部分在不工作狀態(tài)。

快堆電廠和普通的壓水堆不同，其特有的保護(hù)系統(tǒng)針對(duì)不同的事件實(shí)現(xiàn)保護(hù)功能，其聯(lián)鎖功能將根據(jù)設(shè)計(jì)需求輸出聯(lián)鎖信號(hào)。

1 法規(guī)標(biāo)準(zhǔn)要求

法規(guī)和標(biāo)準(zhǔn)是反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)的重要依據(jù)，在快堆保護(hù)系統(tǒng)驗(yàn)證平臺(tái)設(shè)計(jì)中，主要參考下列導(dǎo)則或標(biāo)準(zhǔn)中的有關(guān)規(guī)定[1]：

1）HAF 102-2004《核動(dòng)力廠設(shè)計(jì)安全規(guī)定》

2）HAD 102/10-1988《核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施》

3）HAD 102/16-2004《核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)的軟件》

4）GB/T 13284.1 -2008《核電廠安全系統(tǒng)第l部分：設(shè)計(jì)準(zhǔn)則》

5）GB/T 4083-2005《核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則》

6）GB/T 5204-2008《核電廠安全系統(tǒng)定期試驗(yàn)與監(jiān)測(cè)》

圖1 基于CPR1000堆型的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)方案Fig.1 Design scheme of digital reactor protection system based on CPR1000 heap type

2 設(shè)計(jì)分析

2.1 壓水堆聯(lián)鎖設(shè)計(jì)分析

保護(hù)系統(tǒng)的設(shè)計(jì)必須能夠滿足可靠性和安全性兩方面的要求?？梢栽黾涌煽啃缘囊粋€(gè)重要方法是符合邏輯。在壓水堆中，聯(lián)鎖功能是指一種通過(guò)禁止一個(gè)不必要的保護(hù)觸發(fā)，以解決正常運(yùn)行模式下保護(hù)停堆可能妨礙反應(yīng)堆轉(zhuǎn)換到另一種運(yùn)行工況的方法，范圍涉及停堆和啟動(dòng)專設(shè)安全設(shè)施功能，其功能圖如圖1所示[2]。

由圖1可知，當(dāng)聯(lián)鎖信號(hào)未觸發(fā)時(shí)，無(wú)法手動(dòng)閉鎖信號(hào)，系統(tǒng)自動(dòng)防止運(yùn)行旁通或觸發(fā)適宜的安全功能。當(dāng)聯(lián)鎖信號(hào)觸發(fā)時(shí)，可以手動(dòng)閉鎖動(dòng)作信號(hào)；當(dāng)自動(dòng)閉鎖信號(hào)觸發(fā)時(shí)，則直接觸發(fā)閉鎖信號(hào)，同時(shí)觸發(fā)或阻止執(zhí)行安全功能的信號(hào)。

2.2 壓水堆允許信號(hào)設(shè)計(jì)分析

允許信號(hào)是在一定條件下自動(dòng)允許或閉鎖某保護(hù)功能，允許手動(dòng)閉鎖某保護(hù)信號(hào)或禁止某保護(hù)動(dòng)作[3]?；贑PR1000堆型的允許及閉鎖信號(hào)如表1所示。

3 快堆對(duì)于聯(lián)鎖設(shè)置的考慮

池式鈉冷快堆區(qū)別于普通的壓水堆，其嚴(yán)重事故分別為：瞬態(tài)超功率、失流事故、燃料破損遷移、失去熱阱事故。設(shè)計(jì)基準(zhǔn)事故和反應(yīng)堆保護(hù)系統(tǒng)失效同時(shí)發(fā)生的事故，包括：1）失流；2）瞬態(tài)超功率。

3.1 失流事故

類(lèi)似于壓水堆的喪失掉正常給水的（ATWT）事故、池式鈉冷快堆最為接近的是無(wú)保護(hù)失流事故。緊急停堆失效下的無(wú)保護(hù)失流事故可能會(huì)導(dǎo)致冷卻劑沸騰；同時(shí)，堆芯上部形成鈉空泡系數(shù)為正。大型快中子反應(yīng)堆也可能導(dǎo)致反應(yīng)堆超功率，并且堆芯熔化[4]。

表1 基于CPR1000堆型的運(yùn)行旁通操作允許及閉鎖信號(hào)Table 1 Operation bypass operation allowable and latch signal based on CPR1000 heap type

此時(shí)，反應(yīng)堆保護(hù)系統(tǒng)能聯(lián)鎖一二回路流量系統(tǒng)并且供安全停堆并維持停堆的功能，以降低堆芯損傷的概率；同時(shí)在正常運(yùn)行工況及過(guò)渡工況時(shí)，保持良好的可靠性。

3.2 瞬態(tài)超功率

通過(guò)對(duì)FFTF和CRBRP反應(yīng)堆瞬態(tài)超功率事故的分析表明：在包殼失效時(shí)，通道中冷卻劑向上流動(dòng)導(dǎo)致燃料向上輸運(yùn)后事故終止。試驗(yàn)中，事故的反應(yīng)性引入速率是0.1$/s，該值是反應(yīng)堆中控制棒抽出引入反應(yīng)性速率的4倍。由于燃料包殼的失效，包殼內(nèi)和包殼外燃料的運(yùn)動(dòng)均引入負(fù)的反應(yīng)性反饋，凈反應(yīng)性很快成為負(fù)值導(dǎo)致反應(yīng)堆中子學(xué)停堆。在反應(yīng)堆保護(hù)系統(tǒng)中閉鎖控制棒提升來(lái)防范該現(xiàn)象。

3.3 工況分析

因?yàn)榭於押统Ｒ?guī)壓水堆不同，其聯(lián)鎖信號(hào)觸發(fā)的目的是判斷導(dǎo)出熱量的大小來(lái)選擇是否選擇專設(shè)安全設(shè)施。

3.4 聯(lián)鎖信號(hào)

1）所有棒在下端，允許保護(hù)系統(tǒng)投入

保護(hù)系統(tǒng)只有具備初始投入條件，才可以由操縱員手動(dòng)把保護(hù)系統(tǒng)投入。初始投入條件包括反應(yīng)堆的各個(gè)參數(shù)都處于設(shè)計(jì)限值以內(nèi)（保護(hù)條件準(zhǔn)備好），控制棒都插入堆芯，兩套事故余熱排放裝置均正常。只有在保護(hù)系統(tǒng)投入運(yùn)行后，才允許提升安全棒。只有當(dāng)所有安全棒都處于頂部位置時(shí)，才允許提升調(diào)節(jié)棒和補(bǔ)償棒。

2）功率超過(guò)限值，禁止控制棒提升

表2 基于CEFR的運(yùn)行旁通操作允許及閉鎖信號(hào)Table 2 Allowable and latch signals for running bypass operations based on CEFR

當(dāng)反應(yīng)堆周期、堆功率或堆芯出口鈉溫超出整定值時(shí)，自動(dòng)禁止提升控制棒。

3）正常排熱停堆聯(lián)鎖一二三回路泵動(dòng)作

所列的下列參數(shù)觸發(fā)保護(hù)動(dòng)作時(shí)，則形成“三回路正常排熱系統(tǒng)保持工作能力時(shí)”的停堆保護(hù)動(dòng)作：

◇ 反應(yīng)堆功率變化

◇ 一回路冷卻劑總流量

◇ 堆芯出口鈉溫

◇ 主容器鈉液位

◇ 汽輪機(jī)停機(jī)信號(hào)

只有當(dāng)核功率下降了20%，給出此聯(lián)鎖信號(hào)，觸發(fā)一、二回路主泵控制系統(tǒng)，三回路控制系統(tǒng)和報(bào)警系統(tǒng)。

4）單環(huán)路切除停堆聯(lián)鎖一二三回路泵動(dòng)作

停堆保護(hù)參數(shù)中出現(xiàn)下列信號(hào)將導(dǎo)致切除Ⅰ環(huán)路：

◇ 一回路Ⅰ環(huán)路循環(huán)泵切除

◇ 二回路Ⅰ環(huán)路流量

◇ Ⅰ環(huán)路SG出口鈉溫

◇ 二回路緩沖罐覆蓋氣體壓力

5）停堆保護(hù)參數(shù)中出現(xiàn)下列信號(hào)將導(dǎo)致切除Ⅱ環(huán)路：

◇ 一回路Ⅱ環(huán)路循環(huán)泵切除

◇ 二回路Ⅱ環(huán)路流量

◇ Ⅱ環(huán)路SG出口鈉溫

◇ 二回路緩沖罐覆蓋氣體壓力

只有當(dāng)核功率下降了20%，給出此聯(lián)鎖信號(hào)，觸發(fā)一、二回路主泵控制系統(tǒng)，三回路控制系統(tǒng)和報(bào)警系統(tǒng)。

6）雙環(huán)路切除聯(lián)鎖一二三回路泵和風(fēng)門(mén)動(dòng)作

圖2 基于TCS-900的反應(yīng)堆保護(hù)系統(tǒng)旁通符合邏輯降級(jí)設(shè)計(jì)方案Fig.2 Design of Bypass compliant logic downgrade for reactor protection system based on TCS-900

當(dāng)有雙環(huán)路同時(shí)切除信號(hào)或失去廠外電源、地震信號(hào)時(shí)：當(dāng)核功率下降了20%，給出此聯(lián)鎖信號(hào)，觸發(fā)一、二回路主泵控制系統(tǒng)，三回路控制系統(tǒng)和報(bào)警系統(tǒng)；同時(shí)開(kāi)啟余熱排出系統(tǒng)。

3.5 快堆對(duì)于允許信號(hào)的考慮

表2給出了樣機(jī)緊急停堆允許閉鎖信號(hào)。以P6和P8為例：當(dāng)功率低于2.5×10-3%額定功率時(shí)，P6和P8都不存在，則若有源量程中子注量率高信號(hào)，則輸出停堆信號(hào)；當(dāng)功率高于2.5×10-3%額定功率且低于5×10-2%額定功率時(shí)，P6存在，P8不存在，此時(shí)允許手動(dòng)閉鎖，即若有手動(dòng)閉鎖信號(hào)，則有源量程中子注量率高信號(hào)時(shí)也不輸出停堆信號(hào)；當(dāng)功率高于5×10-2%額定功率時(shí)，P8存在，此時(shí)即使有源量程中子注量率高信號(hào)時(shí)也不輸出停堆信號(hào)，即自動(dòng)閉鎖源量程中子注量率高信號(hào)[1]。

3.6 符合邏輯降級(jí)

為了保證維修期間保護(hù)系統(tǒng)功能的執(zhí)行，當(dāng)設(shè)備處于維修狀態(tài)時(shí)，符合邏輯應(yīng)做降級(jí)處理。緊急停堆系統(tǒng)的參數(shù)和通道都應(yīng)涉及降級(jí)處理，總體規(guī)則如下：當(dāng)某個(gè)保護(hù)通道被旁通時(shí)，其它通道符合邏輯對(duì)該通道的信號(hào)做降級(jí)處理；當(dāng)保護(hù)參數(shù)被旁通時(shí)，所有通道（包含本通道）符合邏輯對(duì)該保護(hù)參數(shù)信號(hào)做降級(jí)處理[3]。

在快堆保護(hù)系統(tǒng)驗(yàn)證平臺(tái)項(xiàng)目中，采用的是浙江中控TCS—900N產(chǎn)品，其系統(tǒng)架構(gòu)為2oo3D-1oo2D-Fail Safe模式。

TCS-900N控制站的每個(gè)控制器和I/O模塊都有3個(gè)獨(dú)立的通道回路，輸入模塊內(nèi)的3個(gè)通道同時(shí)采集同一個(gè)現(xiàn)場(chǎng)信號(hào)并分別進(jìn)行數(shù)據(jù)處理，經(jīng)表決后發(fā)送到3條I/O總線，控制器接收數(shù)據(jù)并進(jìn)行表決，并將表決后的數(shù)據(jù)分送給3個(gè)獨(dú)立處理器，每個(gè)處理器完成數(shù)據(jù)的運(yùn)算后，對(duì)其三通道中的運(yùn)算結(jié)果進(jìn)行表決，并送入I/O總線，輸出模塊接收數(shù)據(jù)并進(jìn)行表決，其結(jié)果送3個(gè)通道進(jìn)行數(shù)據(jù)輸出處理，處理結(jié)果等待表決后輸出至驅(qū)動(dòng)信號(hào)。圖2中≥2BYP為帶降級(jí)功能的符合邏輯模塊，輸入信號(hào)為各保護(hù)通道的閥值動(dòng)作信號(hào)和參數(shù)，當(dāng)出現(xiàn)本通道的參數(shù)n被旁通，其它通道任意一個(gè)被通道旁通或參數(shù)n被旁通時(shí)，符合邏輯中對(duì)應(yīng)冗余度為1的部分將冗余度降為零，則2oo3降級(jí)為1oo2，符合邏輯仍能提供可接受的可靠性。對(duì)于不同功能，符合邏輯的類(lèi)型不同，降級(jí)規(guī)則也存在差異。因此，從故障安全和運(yùn)行管理角度考慮，降級(jí)規(guī)則嚴(yán)格按照現(xiàn)行國(guó)家法律與規(guī)定執(zhí)行。

3.7 分析結(jié)論

根據(jù)上述分析，快堆數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的聯(lián)鎖設(shè)計(jì)原則可歸納為以下幾點(diǎn)：

1）設(shè)計(jì)原則

◇ 聯(lián)鎖功能設(shè)計(jì)必須嚴(yán)格遵循法規(guī)標(biāo)準(zhǔn)的規(guī)定和要求。

◇ 依據(jù)快堆事故工況進(jìn)行聯(lián)鎖功能設(shè)置。

◇ 依據(jù)快堆特性進(jìn)行允許功能設(shè)置。

2）設(shè)計(jì)規(guī)范

◇ 如果安全系統(tǒng)的某部分不運(yùn)行或被旁通，在控制室內(nèi)應(yīng)提供狀態(tài)指示。

◇ 聯(lián)鎖與允許功能是保護(hù)系統(tǒng)的組成部分，需滿足與保護(hù)系統(tǒng)相同的要求。

◇ 采取降低符合度等措施是聯(lián)鎖設(shè)計(jì)的重要組成。

4 結(jié)語(yǔ)

國(guó)內(nèi)具有自主知識(shí)產(chǎn)權(quán)的快堆核電站數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)研發(fā)和工程應(yīng)用正處于起步階段，面臨技術(shù)封鎖、經(jīng)驗(yàn)匱乏、流程和規(guī)范不完善等問(wèn)題。本文在對(duì)法規(guī)標(biāo)準(zhǔn)深入研究的前提下，以CEFR為參考堆，快堆保護(hù)系統(tǒng)驗(yàn)證平臺(tái)設(shè)計(jì)需求為基礎(chǔ)，通過(guò)分析在壓水堆和快堆的設(shè)計(jì)方案，得出聯(lián)鎖設(shè)計(jì)需要遵循的原則和規(guī)范，對(duì)后續(xù)示范快堆的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)聯(lián)鎖設(shè)計(jì)具有參考意義。