“華龍一號”示范工程DCS系統設計

廖圣勇,崔明路,趙 晨

(中國核電工程有限公司,北京100840)

“華龍一號”是我國自主研發的三代核電機組,其首堆工程的儀控系統采用全數字化DCS系統和先進的全功能控制室設計,符合國內外最新的法規、導則和標準的要求,同時吸收了國內多個數字化核電廠的建設和運行經驗,并充分借鑒國際先進核電廠數字化儀控系統的設計理念,滿足三代核電技術的總體目標要求,具有很高的成熟性和先進性。

與二代加核電廠相比,“華龍一號”三代核電廠儀控系統有下列主要特點:配合工藝系統,實現能動與非能動相結合的設計理念,具有完備的嚴重事故監控手段;改進了控制方案,滿足事故后30 min操縱員不干預原則;吸納了 “福島”后一系列技術改進,提高了儀控設備鑒定水平,大大提高了系統抵御內外部災害的能力。

“華龍一號”示范工程為福清核電站5、6號機組。作為 “華龍一號”的全球首堆,其儀控系統采用技術較為成熟的TXS平臺 (安全級)和T2000平臺 (非安全級)。在實際設計中,在滿足儀控總體設計理念和安全要求的基礎上,還充分考慮該平臺的特點,開展適應性設計。目前“華龍一號”儀控系統設計工作已經完成,設備通過了工廠出廠驗收。

1 總體結構

“華龍一號”首堆工程的儀控系統總體結構從下到上分為四層,如圖1所示。

(1)LEVEL0:工藝系統接口層

主要完成工藝參數的檢測、根據DCS系統的指令控制工藝過程等,包括各種測量設備 (傳感器、變送器、限位開關)和各種執行機構 (包括電磁先導閥及相應的中間繼電器、電氣轉換器、驅動器、電氣開關柜等)。

(2)LEVEL1:自動控制和保護層

主要是通過DCS系統對LEVEL0測量設備的數據采集和數據處理,實現核電廠正常運行的調節和控制功能,反應堆保護功能,多樣性停堆和專設驅動以及嚴重事故監控。

(3)LEVEL2:操作和管理信息層

面向全廠的可視化監控系統,主要包括過程操作控制及相關信息監視。包含主控制室、技術支持中心、遠程停堆站等處的常規設備以及計算機化監控設備,用于監控過程及設備狀態,實現與LEVEL1和LEVEL3層的網絡通訊等。

(4)LEVEL3:全廠技術管理層

主要負責整個核電廠的營運管理,通過網絡接口設備接收核電廠的一些必要的信息,使管理者 (核電廠管理、上級管理機關、國家應急中心或有關安全當局)對核電廠的狀況有所了解。包括信息管理系統,應急指揮中心等系統。

整個系統按照結構分層,功能分區分組的形式進行實施。

2 主要設計準則

2.1 安全分級原則

“華龍一號”全廠安全分級是根據我國核安全導則HAD102/03《用于沸水堆、壓水堆和壓力管式反應堆的安全功能和部件分級》進行,對應儀控系統主要分兩級。

(1)安全級 (1E)

執行電廠設計總的安全要求相關功能以及事故后工況下參與共總保護功能的儀控系統及設備為安全級 (1E),主要包括:

1)反應堆緊急停堆系統;

2)專設安全設施驅動系統;

3)事故后監測系統 (PAMS);

4)安全支持系統的;

5)反應堆緊急停堆及專設安全設施的系統級手動驅動命令;

6)部分部件級手動控制等。

(2)非安全級 (NC)

不屬于安全級 (1E)的系統和設備被定義為非安全級 (NC)。

在非安全級儀控系統和設備中,有一些是對安全重要的,如多樣化保護系統、嚴重事故專用儀控系統、火災探測、消防、通風部分設備等,這些有特殊要求的非安全級設備定義為NC+(或NC*,NC+適用于0層設備,NC*適用于1層設備)。這些系統和設備需要滿足一些特殊的要求,如抗震性能要求、定期試驗要求、質保要求等。

2.2 縱深防御原則

“華龍一號”儀控系統設計針對不同的核電廠工況和始發事件,能夠提供包括正常運行監控、緊急停堆和專設安全設施驅動、多樣性停堆和專設驅動以及設計擴展工況 (包括嚴重事故)的預防緩解設施監控的縱深防御層次;另外,儀控系統設計還考慮適當的功能分配,數字、模擬等不同技術措施的合理應用,充分的獨立性設計等手段,提高系統整體的可靠性,避免或限制單個或局部儀控系統故障對電廠整體縱深防御屏障的影響。

通過上述設計措施,能夠實現:

第1層:在正常運行工況下,通過非安全級操縱員工作站和控制系統能夠完成核電廠主要監控任務,在非安全級操縱員工作站不可用的情況下,通過后備盤可以維持核電廠一段時間的穩定運行或將電廠帶入安全停堆狀態;

第2層:在發生預計始發事件或事故工況下,通過保護和安全監測系統自動動作將機組帶入安全停堆狀態;

第3層:在發生預計始發事件或事故同時保護和安全監測系統共模故障時,由多樣化保護系統提供事故后的自動保護功能將機組帶入安全停堆狀態,之后操縱員可以通過緊急操作臺,非安全級操縱員工作站等繼續處理事故;在發生全廠斷電后,部分監測和控制回路可以通過SBO柴油機供電持續運行,提供必要的監測控制功能;

第4層:在發生嚴重事故,且全廠斷電后72 h內,嚴重事故儀控系統可以通過蓄電池供電持續運行,提供嚴重事故監測和控制功能,降低堆芯熔化和限制放射性后果。

2.3 多樣性設計原則

通過不同儀控系統、結構和部件的多樣化設計,來降低共模故障的影響:

1)安全級和非安全級儀控系統采用基于兩種不同的技術的平臺實現;

2)數字化保護系統采用功能多樣性設計,對保護變量進行合理分組,每個事故的觸發事件盡量采用不同測量原理的變量,并分配到不同的處理器來處理,防止應用軟件共模故障造成的影響;

3)數字化保護系統由于共模故障而導致失效,則由多樣化保護系統執行停堆及安全專設驅動等功能,多樣化保護系統采用與保護系統不同的軟、硬件設計;

4)設置手動觸發停堆和專設動作的系統級命令,該命令完全旁路數字化保護系統,通過固態邏輯或繼電器進行擴展,直達每個執行機構的非計算機化驅動器控制接口;

5)設置基于常規技術的后備盤作為計算機化工作站的多樣化人機接口設備,通常情況下,電廠的信息顯示和手動控制是通過計算機化的工作站進行的;當主控室內的電廠計算機信息與控制系統失效時,操縱員可利用后備盤維持電廠正常運行一段時間,或把電廠引入安全停堆狀態。

2.4 冗余設計和獨立性原則

安全級儀控系統的冗余設計用于滿足單一故障準則,同時也用來提高系統的可靠性,避免整個儀控系統喪失其功能,影響電廠的運行和安全。

1)保護系統的儀表通道以及反應堆緊急停堆邏輯采用四個獨立的保護通道,專設安全設施的邏輯處理及驅動采用獨立的A、B列結構,滿足單一故障準則;

2)冗余的儀控系統其相應的支持系統也采用冗余的設計,各冗余序列分別由對應的電源系統進行供電,保證了電氣獨立性;

3)在結構和部件上,一個冗余的子系統執行其功能不依賴于其他子系統;

4)冗余的各個子系統布置在不同的房間,避免一個房間發生內部災害 (如火災、飛射物等)影響到其他子系統;

5)冗余子系統之間的內部信號交換必須經過電氣隔離,冗余子系統間的通信滿足通信隔離要求。

2.5 可試驗性原則

數字化儀控系統具備支持維護和試驗需要的系統自診斷和自動試驗的能力。保護系統、多樣化保護系統等需要滿足定期試驗的要求,定期試驗采用從探測器至驅動器的全通道試驗。數字化儀控系統中的設備具有在線更換或維修能力。

3 反應堆保護系統

“華龍一號”首堆工程的反應堆保護系統(RPS)采用AREVA的TXS平臺,總體結構[1]見圖1。

反應堆保護系統有4個保護組 (ⅠP,ⅡP,ⅢP,ⅣP)和2個邏輯系列 (A,B)組成,為了應對共模故障,每個保護組和邏輯系列采用功能多樣性設計,即將保護參數分成2個多樣性子組 (子組1和2),分別在不同的計算機單元處理。

該結構充分吸收了以往項目的工程經驗,對以下幾方面進行了設計優化改進:

(1)冗余的保護組之間,邏輯系列之間,保護組與邏輯系列之間信號交互充分吸收了嶺澳二期等項目及TXS平臺的特點,采用網絡通信,有效減少了保護系統內部的硬接線接口。

(2)緊急停堆功能吸取方福項目的經驗,從邏輯系列移到保護組中實現。這種設計便于在機組功率運行階段對每個停堆通道進行定期試驗,并且在一定程度上提高了緊急停堆功能與專設功能的獨立性。

(3)優先級控制,吸收和借鑒了方福項目的設計經驗,同時結合TXS平臺優選模件AV42的特點,進行了優化設計,主要包括:

1)AV42通過Profibus-DP與非安全級DCS系統進行通信,減少了優選模件與非安全級系統之間的硬接線交互,降低了安全級平臺和非安全級平臺之間的網絡負荷;

圖1 數字化保護系統結構簡圖Fig.1 Overview of the RPS

2)不同于以往項目BUP盤的非安全級命令直接采集到非安全級DCS的設計,AV42模塊能夠對BUP盤上的非安全級命令和狀態反饋指示進行處理,來自BUP盤的非安全級命令和反饋指示直接與AV42接口;

3)根據功能要求增加的1E級設備級BUP手動控制,AV42模塊直接采集在1E級處理區域處理,這樣對于被控設備只有1E級BUP控制和IIC控制的設備,可以將BUP命令直接通過AV42的BUP端口觸發;

4)DAS系統驅動信號直接與AV42通過硬接線接口。

(4)設置盤臺接口柜PI,PI為保護系統與BUP的接口,充分借鑒了嶺澳二期和TXS平臺的特點,保護系統內部處理的報警和指示信號,通過PI送往后備盤,而不必將這部分信號通過網關送到非安全級平臺后再送BUP,減少了網關信號傳輸的負荷;設置PI柜的另一個優勢是節省電纜,電纜托盤空間以及安裝工作量。

(5)設置傳輸單元TU,并在嶺澳二期平臺的基礎上擴展了TU的功能,通過信號隔離分配模塊PIPS采集的信號,如果不參與邏輯連鎖,直接送報警和指示,TU可以直接接受PIPS分配的信號,不需要送APU采集和處理單元和ALU驅動邏輯單元后再傳輸到TU,簡化了系統結構設計。

(6)設置Marshalling接線機柜,學習田灣1～4號機組設置Marshalling機柜的經驗,實現電纜的集中端接,減少人為失誤。

4 多樣化保護系統

為應對數字化的保護和安全監視系統共模故障問題,“華龍一號”儀控設計考慮了縱深防御手段,通過多樣化保護系統 (DAS),緊急操作臺上的停堆和專設系統級手動控制,以及操縱員工作站或后備盤上的部件級控制能夠處理事故并將電廠帶入安全停堆狀態。多樣化保護系統結構示意圖2。

圖2 多樣化保護系統結構示意圖Fig.2 Overview of the DAS

多樣化保護系統的自動功能主要用于執行事故發生后30 min內所需的保護功能,30 min后的保護動作可以手動去完成。考慮 “福島”核事故的情況,還將地震儀表系統引入該系統,在地震動參數超過預置閾值信號時發出觸發自動停堆的脫扣信號。

多樣化保護系統同時包括了ATWT緩解系統功能,用于緩解緊急停堆系統故障所產生的后果。

相比于保護和安全監測系統,多樣化保護系統保護定值的選取偏向 “最佳估算”的方向,以確保在保護和安全監測系統正常時其保護功能能夠首先觸發來處理事故。多樣化保護系統的停堆和專設指令均采取帶電動作,輸出指令進行2取2表決,以降低誤動概率。

5 設計擴展工況的儀控處理

“華龍一號”儀控系統在設計之初就配合工藝系統,為實現對預防和緩解嚴重事故的非能動工藝系統監控設置了嚴重事故專用儀控系統,詳見圖3。該系統用于監測嚴重事故管理所需的核電廠狀態參數,并為執行嚴重事故預防和緩解的工藝系統、設備提供必要的監督和控制。

嚴重事故儀控系統設置專用的控制機柜,完成信號采集,邏輯處理和設備驅動功能,并通過位于主控制室的常規顯示操作設備為操縱員提供嚴重事故的監測和控制手段。此外嚴重事故儀控系統還滿足嚴重事故環境下的鑒定要求,接受72 h蓄電池供電,可在發生嚴重事故且全廠斷電工況下,廠外臨時電源接入之前,保持72 h正常運行。

設計過程中,由于我國核安全部門規章 《核動力廠設計安全規定》 (HAF102—2016)升版過程中增加了關于設計擴展工況 (包括嚴重事故)的設計要求,“華龍一號”及時對設計擴展工況進行分析并在設計上進行了優化,為應對設計擴展工況的相關設備增加了72 h供電要求。

圖3 嚴重事故儀控系統結構圖Fig.3 Overview of the I&C system during severe accident

6 主控制室設計

主控制室是全廠儀控系統的集中點,是人-機接口最集中的地方,是操縱員借助安裝在主控制室內的全廠儀控系統設備監測和控制整個電廠過程變量的中心。

主控制室為操縱員提供了達到電廠運行目標所必需的人-機接口及有關的信息和設備。在核電廠正常運行、預期運行事件和事故工況下,支持操縱員掌握核電廠的運行狀態,正確地做出決策,及時采取必要措施,減少人為失誤,確保核電廠的安全。

主控制室內有四個完全相同的計算機化工作臺。采用前3后1的布置方式,3名操縱員工作站布置在前方,根據協調員的要求管理、控制并完成所有運行任務;協調員工作站位于3個操縱員工作站的后方,作為機組正常運行的指揮者和事故狀態下的協調者。同時,協調員根據任務量對規程進行任務分配,并對規程的執行負責。大屏幕安裝在操縱員工作臺的正前方,從操縱員所在的控制區域內可以清楚地識別屏幕信息。該顯示屏幕為主控制室運行人員提供電站主要參數、主要驅動器狀態和安全保護系統狀態信息。

在主控制室內的操縱員工作站不可用的情況下,運行人員可根據當前核電廠工況,通過后備盤維持核電廠正常運行一段時間或使核電廠達到并維持在安全停堆狀態。后備盤以一種不同于工作站的多樣化的手段支持核電廠運行,作為計算機化工作站失效后的后備監控手段。除了作為多樣化手段支持電廠運行,后備盤還設置有嚴重事故監控區域,以在嚴重事故乃至疊加全廠失電的工況下,向運行人員提供必要的監視和控制手段。除少量控制設備外,操縱員無論從工作站轉移到后備盤,還是從后備盤返回到工作站,都要進行切換操作。需避免從工作站和后備盤上對同一設備同時進行操作。緊急操作盤 (ECP)用于手動停堆或觸發專設安全設施系統級驅動指令,并旁路保護系統的計算機化部分。

7 抗震鑒定

“華龍一號”堆型進一步提高了抗震設計,標準設計地震輸入采用0.3g地面最大加速度,進一步增強電站的固有安全能力,并提高機組的廠址適應性。對于 “華龍一號”首堆項目的DCS系統,安全級儀控設備在原有的完整的部件級試驗加分析法的基礎上,又額外考慮了對于典型樣機的整機鑒定試驗,從多個層次驗證設備的抗震性能。同時較以往項目抗震性能得到了更大的保證。

樣機的選擇考慮了如下的原則:

1)典型的機柜結構和內部布置;

2)項目中用到的所有類型的機柜;

3)最惡劣的影響因素如滿負荷,重量最大,機柜的振動頻率應該包絡樓層反應譜的峰值頻率等。

根據上述原則,樣機包含以下幾類:

1)PAC優選驅動控制機柜;

2)PIPS機柜;

3)電源和監視機柜 (SMC)機柜;

4)APU、ALU、TU、PI柜具有相同的結構和類似的內部布置,選取對抗震影響最大的機柜類型進行試驗。

除了安全級儀控設備的鑒定之外,嚴重事故用儀表、電纜、貫穿件等按照嚴重事故環境條件進行鑒定,以滿足嚴重事故條件下監督和控制要求。

8 結論

“華龍一號”首堆工程數字化儀控系統設計充分考慮了安全分級的最新要求,考慮系統多樣性設計,吸納了福島核事故后一系列的改進,無論是功能上,還是系統性能上都有顯著的改進和提高,滿足三代核電儀控系統的要求。在后續項目中,可以考慮將多樣化保護系統采用不同于保護系統和正常運行儀控系統的平臺,從而進一步提高縱深防御不同層次之間的獨立性。