商 靜，田亞杰，李天友

(深圳中廣核工程設(shè)計(jì)有限公司，廣東 深圳 518172)

0 引言

核電M310機(jī)組以及基于M310的CPR1000機(jī)組中，都設(shè)計(jì)有超溫超功ΔT信號(hào)，用于保護(hù)燃料包殼，以防包殼損壞。超溫超功ΔT整定值信號(hào)產(chǎn)生以后，與實(shí)測(cè)值作比較。當(dāng)兩者偏差超過第一閾值時(shí)，產(chǎn)生C3/C4信號(hào)，用于控制系統(tǒng)進(jìn)行控制棒的閉鎖以及汽輪機(jī)的甩負(fù)荷。當(dāng)兩者偏差超過第二閾值時(shí)，觸發(fā)保護(hù)系統(tǒng)的超溫超功ΔT緊急停堆保護(hù)功能。因此，超溫超功ΔT同時(shí)參與了電廠的控制和保護(hù)功能。鑒于保護(hù)系統(tǒng)和控制系統(tǒng)的設(shè)計(jì)要求不同，這兩個(gè)系統(tǒng)在使用該信號(hào)時(shí)的表決邏輯的處理方案也會(huì)略有不同。這種邏輯處理的差異會(huì)直接影響相關(guān)的日常運(yùn)行和維修[1]。本文就超溫超功ΔT信號(hào)在保護(hù)功能和控制功能中的邏輯退化處理方案作詳細(xì)對(duì)比、計(jì)算及影響分析，為后續(xù)新堆型的設(shè)計(jì)提供參考方案。

1 超溫超功ΔT設(shè)計(jì)方案簡述

超溫超功ΔT保護(hù)是采用限制反應(yīng)堆進(jìn)、出口溫差的方法來保護(hù)燃料包殼的一種保護(hù)措施。燃料包殼損壞的主要原因是超溫?zé)龤?。超溫?zé)龤У闹饕蛴袃蓚€(gè)：其一是燃料芯塊局部功率過高而使其局部熔化；其二是包殼表面產(chǎn)生沸騰危機(jī)，即偏離泡核沸騰，致使局部因傳熱不良而燒毀。根據(jù)這兩種原因，ΔT保護(hù)分為超功率ΔT和超溫ΔT[1]。

超溫ΔT計(jì)算方法為：

(1)

超功率ΔT計(jì)算方法為：

(2)

三個(gè)環(huán)路分別計(jì)算超溫超功ΔT整定值并與測(cè)量值進(jìn)行比較，當(dāng)整定值與實(shí)測(cè)值偏差超過第一閾值時(shí)，作三取二表決邏輯后觸發(fā)C3/C4信號(hào)，再將其送給控制系統(tǒng)用以甩負(fù)荷閉鎖提棒。如果兩者偏差超過了第二閾值，則作三取二表決邏輯后送給保護(hù)系統(tǒng)作緊急停堆保護(hù)功能。超溫超功ΔT邏輯如圖1所示[2]。

圖1 超溫超功ΔT邏輯簡圖

2 不同儀控平臺(tái)對(duì)超溫超功ΔT邏輯的處理方案

2.1 基于模擬技術(shù)的儀控平臺(tái)處理方案

核電M310機(jī)組(如大亞灣、嶺澳1期項(xiàng)目)中，儀控系統(tǒng)尚未數(shù)字化，使用的是模擬板件，所有邏輯實(shí)現(xiàn)方式均采用硬邏輯搭建。

當(dāng)遇到測(cè)量通道故障或者試驗(yàn)時(shí)，操作人員可以通過手動(dòng)操作相應(yīng)開關(guān)的方式切除有問題的通道，以便下游表決邏輯進(jìn)行退化。比如超溫超功ΔT計(jì)算中所使用的軸向功率偏差信號(hào)Δφ(詳見式(1)和(2))。該信號(hào)來自核儀表系統(tǒng)(簡稱RPN系統(tǒng))功率量程探測(cè)器，如果RPN功率量程某一通道出現(xiàn)故障或者處于試驗(yàn)狀態(tài)時(shí)，操作人員可以手動(dòng)改變?chǔ)う障鄳?yīng)開關(guān)RCP483CC(以第一通道為例)的位置，使下游閾值繼電器RCP444XU(以第一通道為例)和RCP445XU(以第一通道為例)處于安全位置，最終實(shí)現(xiàn)正常狀態(tài)下的三取二表決邏輯向二取一的退化。其他RPN通道故障或者試驗(yàn)同樣可以使用該手動(dòng)方式實(shí)現(xiàn)邏輯退化。嶺澳1期RPN功率量程故障后，對(duì)超溫超功信號(hào)的影響如表1所示。

根據(jù)上文對(duì)RPN通道故障后的處理方案可以分析得出，大亞灣、嶺澳Ⅰ期這種對(duì)于某一通道故障和測(cè)試狀態(tài)的處理方式，是從信號(hào)產(chǎn)生的源頭進(jìn)行強(qiáng)制。因此，其會(huì)使超溫超功ΔT在保護(hù)系統(tǒng)和控制系統(tǒng)中的表決邏輯同時(shí)完成從三取二到二取一的退化，即在保護(hù)系統(tǒng)和控制系統(tǒng)的邏輯同時(shí)實(shí)現(xiàn)邏輯退化。

表1 嶺澳1期RPN功率量程故障后對(duì)超溫超功信號(hào)的影響

2.2 西門子DCS儀控平臺(tái)邏輯處理方案

嶺澳Ⅱ期項(xiàng)目中儀控系統(tǒng)使用了數(shù)字化控制系統(tǒng)DCS，因此超溫超功信號(hào)的邏輯也在DCS內(nèi)部進(jìn)行組態(tài)。該項(xiàng)目DCS使用的是西門子公司TXS平臺(tái)。該平臺(tái)中超溫超功邏輯使用的三取二表決邏輯模塊屬性較為豐富，通過適當(dāng)?shù)脑O(shè)置，可以實(shí)現(xiàn)自動(dòng)邏輯退化的目的。因此，DCS平臺(tái)中超溫超功ΔT的表決邏輯在控制系統(tǒng)和保護(hù)系統(tǒng)中的組態(tài)方式相同，在上游源頭信號(hào)出現(xiàn)故障或者測(cè)試時(shí)，兩處邏輯均可同時(shí)實(shí)現(xiàn)邏輯退化。

2.3 三菱DCS儀控平臺(tái)邏輯處理方案

除嶺澳Ⅱ期外，其他新項(xiàng)目的CPR1000堆型中(紅沿河一期、寧德、陽江、防城港一期核電)使用的是日本三菱公司的DCS平臺(tái)(MELTAC)。

CPR1000堆型超溫超功信號(hào)在DCS內(nèi)的實(shí)現(xiàn)方案如圖2所示。

圖2 CPR1000堆型超溫超功信號(hào)在DCS內(nèi)的實(shí)現(xiàn)方案

超溫超功ΔT邏輯同樣在DCS中實(shí)現(xiàn)。其中，超溫超功ΔT的計(jì)算邏輯部分在保護(hù)組RPC機(jī)柜中的三個(gè)通道分別進(jìn)行計(jì)算，經(jīng)過閾值比較器2后，用于保護(hù)功能的信號(hào)繼續(xù)在保護(hù)組機(jī)柜內(nèi)完成跳堆功能的表決邏輯；而用于控制功能的C3/C4信號(hào)，則經(jīng)過閾值比較器1后，送到反應(yīng)堆功率控制柜RPCC中作三取二表決邏輯，繼而完成下游的控制功能。由于保護(hù)功能和控制功能的設(shè)計(jì)原則不一致，超溫超功信號(hào)跳堆功能在RPC機(jī)柜中的組態(tài)作了邏輯退化處理，而控制功能在RPCC機(jī)柜中的組態(tài)則沒有設(shè)計(jì)邏輯退化功能[3]。

對(duì)于當(dāng)前的實(shí)現(xiàn)方案，假如RPN功率量程一個(gè)通道故障或處于故障狀態(tài)，則C3/C4信號(hào)的表決邏輯由原來的三取二變?yōu)槎《黾恿丝刂葡到y(tǒng)拒動(dòng)概率。

2.4不同方案對(duì)比分析

綜合對(duì)比上文不同儀控平臺(tái)中超溫超功ΔT邏輯的儀控實(shí)現(xiàn)方案，可以得到以下結(jié)論。

M310機(jī)組使用的模擬板件儀控系統(tǒng)是通過在測(cè)量通道源頭上進(jìn)行人工操作，進(jìn)而可使超溫超功ΔT在保護(hù)系統(tǒng)內(nèi)和控制系統(tǒng)內(nèi)部同時(shí)完成邏輯退化。這主要基于該堆型中沒有使用數(shù)字化儀控系統(tǒng)。這種實(shí)現(xiàn)方案是模擬板件搭建儀控系統(tǒng)的固有特性。

西門子的TXS儀控平臺(tái)可以同時(shí)實(shí)現(xiàn)超溫超功表決邏輯在保護(hù)系統(tǒng)和控制系統(tǒng)中的自動(dòng)邏輯退化。這主要得益于DCS平臺(tái)內(nèi)模塊所具備的屬性。其表決邏輯模塊自帶邏輯退化的功能屬性，這是DCS平臺(tái)本身所具備的固有特征。

三菱公司的MELTAC平臺(tái)與嶺澳Ⅱ期項(xiàng)目使用的DCS不同，其表決邏輯模塊并不具有自動(dòng)邏輯退化的功能屬性，邏輯退化需要在內(nèi)部組態(tài)設(shè)計(jì)時(shí)專門搭建一套退化邏輯。因此，針對(duì)超溫超功ΔT的跳堆保護(hù)功能，DCS內(nèi)部專門綜合考慮各種退化條件，設(shè)計(jì)了邏輯退化功能；但是針對(duì)超溫超功的控制功能并沒有設(shè)計(jì)與之相同的退化邏輯。這是綜合考慮控制系統(tǒng)設(shè)計(jì)原則和成本的影響設(shè)計(jì)的方案。

3 影響分析

針對(duì)MELTAC DCS平臺(tái)中,超溫超功ΔT用于控制功能的C3/C4表決邏輯不具備邏輯退化功能問題，進(jìn)行全面、深入的分析以及計(jì)算。

3.1 縱深防御角度分析

核電廠縱深防御中，第一層次防御的目的是防止偏離正常運(yùn)行和系統(tǒng)故障。在電廠正常運(yùn)行期間，通過控制系統(tǒng)達(dá)到這一目的。第二層次防御的目的是檢測(cè)和糾正偏離正常運(yùn)行的情況，以防止預(yù)計(jì)運(yùn)行事件升級(jí)為事故工況[4]。其通過RPS的緊急停堆和部分專設(shè)功能來實(shí)現(xiàn)。第三層次防御的目的基于以下假定：盡管可能性極低，某些預(yù)計(jì)運(yùn)行事件或始發(fā)事件的升級(jí)仍有可能未被前一層次的防御所制止，可能發(fā)展為更嚴(yán)重的事件。這主要通過相關(guān)的專設(shè)功能來實(shí)現(xiàn)。

超溫超功ΔT信號(hào)觸發(fā)第一定設(shè)定值后產(chǎn)生C3/C4信號(hào)，用于汽輪機(jī)甩負(fù)荷和閉鎖控制棒。該功能處于縱深防御的第一層次防御。當(dāng)超溫超功ΔT信號(hào)觸發(fā)第二設(shè)定值后會(huì)引發(fā)保護(hù)系統(tǒng)的超溫超功跳堆保護(hù)功能，這處于縱深防御的第二層次防御。CPR1000堆型超溫超功信號(hào)在縱深防御體系中的劃分如圖3所示。

圖3 CPR1000堆型超溫超功信號(hào)在縱深防御體系中的劃分

C3/C4在保護(hù)系統(tǒng)動(dòng)作之前進(jìn)行動(dòng)作，閉鎖控制棒提棒和觸發(fā)汽輪機(jī)快速甩負(fù)荷，從而針對(duì)一些小的瞬態(tài)，可以避免緊急停堆動(dòng)作，或者提前動(dòng)作以限制事故后果。其動(dòng)作設(shè)定值約比保護(hù)定值低1 ℃。其功能屬于縱深防御中的控制系統(tǒng)。而對(duì)于控制系統(tǒng)，是沒有單一故障準(zhǔn)則的要求的，即作為控制系統(tǒng)功能C3/C4信號(hào)表決邏輯沒有邏輯退化是符合設(shè)計(jì)原則的。

從功能的實(shí)際效果來看，C3/C4信號(hào)對(duì)安全是有貢獻(xiàn)的，但在事故分析以及保護(hù)系統(tǒng)的設(shè)計(jì)上不考慮該控制系統(tǒng)的運(yùn)行。C3/C4信號(hào)執(zhí)行的功能是機(jī)組發(fā)生較小超溫超功擾動(dòng)時(shí)，通過C3/C4閉鎖控制棒提升，同時(shí)引起汽輪機(jī)甩負(fù)荷，從而避免保護(hù)系統(tǒng)動(dòng)作。該功能為非安全級(jí)功能。而對(duì)于非安全級(jí)控制系統(tǒng)，冗余信號(hào)不需要考慮邏輯退化，以降低非安全級(jí)系統(tǒng)的復(fù)雜性。

3.2 核電廠安全角度分析

根據(jù)縱深防御體系，電廠安全所依賴的RPR保護(hù)系統(tǒng)超溫超功ΔT跳堆保護(hù)邏輯完全可以保證機(jī)組運(yùn)行安全，并且該保護(hù)功能已經(jīng)具備了完善的退化邏輯(2/3->1/2->觸發(fā))。因此，用于控制功能的C3/C4信號(hào)表決邏輯，無論是否具備邏輯退化功能(自動(dòng)或手動(dòng))，都不影響機(jī)組安全。

3.3 核電廠運(yùn)行角度分析

如果在發(fā)生可以由C3/C4功能進(jìn)行控制的小瞬態(tài)時(shí)，C3/C4相關(guān)控制功能拒動(dòng)，沒有發(fā)出信號(hào)。這可能會(huì)引發(fā)超溫超功ΔT緊急停堆保護(hù)功能動(dòng)作，進(jìn)而影響機(jī)組的可用率。也就是說，當(dāng)衡量C3/C4信號(hào)對(duì)電廠運(yùn)行影響程度時(shí)，就需要評(píng)價(jià)C3/C4表決邏輯是否作邏輯退化對(duì)拒動(dòng)率的影響。本文假設(shè)了兩種場(chǎng)景，分別對(duì)拒動(dòng)率予以計(jì)算分析[5-6]。

場(chǎng)景1。電廠處于正常運(yùn)行，所有通道都沒有進(jìn)行試驗(yàn)。針對(duì)該場(chǎng)景，分別按照表決邏輯退化(2/3->1/2->觸發(fā))和不退化(2/3->2/2->不觸發(fā))兩種方案進(jìn)行建模計(jì)算，求得在有邏輯退化和沒有退化情況下C3/C4信號(hào)觸發(fā)的拒動(dòng)率。由該計(jì)算結(jié)果可知，在正常運(yùn)行沒有試驗(yàn)情況下，C3/C4邏輯是否退化對(duì)拒動(dòng)率的計(jì)算結(jié)果沒有明顯影響。C3/C4信號(hào)表決邏輯對(duì)拒動(dòng)率的影響如表2所示。

表2 C3/C4信號(hào)表決邏輯對(duì)拒動(dòng)率的影響

場(chǎng)景2。有一個(gè)通道正在進(jìn)行試驗(yàn)。通常，拒動(dòng)率計(jì)算是根據(jù)故障的概率推斷信號(hào)/功能拒動(dòng)的概率。在此假設(shè)條件下，一個(gè)通道在試驗(yàn)狀態(tài)，如果設(shè)計(jì)有邏輯退化，則原來的2/3邏輯將退化為1/2；如果沒有退化邏輯，則原有的邏輯將變?yōu)?/2(當(dāng)試驗(yàn)觸發(fā)信號(hào)時(shí)候變?yōu)?/2)。而超溫超功ΔT保護(hù)通道有退化邏輯，其邏輯將退化為1/2。這時(shí)候，若另外兩個(gè)通道中的一個(gè)或兩個(gè)發(fā)生故障，保護(hù)通道將會(huì)被觸發(fā)，機(jī)組直接跳堆。因此，在這種情況下考慮C3/C4的拒動(dòng)率已經(jīng)沒有意義。

綜上所述，C3/C4的表決邏輯是否具有退化功能，對(duì)C3/C4避免緊急停堆動(dòng)作的影響不大。

根據(jù)上文的分析結(jié)果，無論從設(shè)計(jì)準(zhǔn)則，還是對(duì)電廠的安全、以及運(yùn)行角度分析，超溫超功ΔT在控制系統(tǒng)中的表決邏輯是否具備邏輯退化功能影響不大。但這暴露出一個(gè)共性問題：在保護(hù)系統(tǒng)中使用的冗余信號(hào)同時(shí)送到控制系統(tǒng)或者安全級(jí)別較低的系統(tǒng)中時(shí)，邏輯退化如何處理，直接參照C3/C4信號(hào)的表決邏輯處理是否全部適用。

為此，關(guān)于表決邏輯退化問題，本文綜合調(diào)研法規(guī)標(biāo)準(zhǔn)要求、電廠總體技術(shù)要求以及儀控設(shè)計(jì)規(guī)范類文件要求后，歸納總結(jié)出以下原則。①核電廠安全由安全系統(tǒng)保證。安全系統(tǒng)中，應(yīng)就信號(hào)故障等進(jìn)行邏輯退化處理，使系統(tǒng)具有確定的故障模式。②非安全級(jí)控制系統(tǒng)中，冗余信號(hào)無需考慮退化選擇，以降低非安全級(jí)系統(tǒng)的復(fù)雜性。③在非安全級(jí)系統(tǒng)中，要考慮盡量避免單一故障造成電廠狀態(tài)波動(dòng)，影響可用率。如果非安全級(jí)系統(tǒng)中單一信號(hào)故障或者試驗(yàn)導(dǎo)致電廠狀態(tài)波動(dòng)，在可行的情況下應(yīng)使用邏輯退化，以避免上述干擾。

4 結(jié)束語

對(duì)于保護(hù)系統(tǒng)冗余信號(hào)用于低級(jí)別系統(tǒng)相關(guān)功能時(shí)，是否需要設(shè)計(jì)邏輯退化功能，仍需要具體問題具體分析。尤其在新堆型的設(shè)計(jì)過程中，這更應(yīng)予以重視。該問題需要綜合考慮多方面因素，要在保證機(jī)組安全的前提下，盡量減少電廠狀態(tài)的波動(dòng)，同時(shí)也要綜合考慮不同儀控平臺(tái)實(shí)現(xiàn)的復(fù)雜程度和成本問題，以最終決策邏輯退化的必要性。