2MWt液態燃料釷基熔鹽實驗堆儀控系統縱深防御設計與分析

李炳營，劉 燁，黃國慶，魏永波，徐海霞，韓立欣，后 接，*

（1.中國科學院上海應用物理研究所，上海 201800）

儀控系統是整個反應堆的關鍵設備，它對控制反應堆的安全運行、顯示反應堆的運行狀態、對運行的異常報警和設備的故障報警起著重要的作用。2MWt液態燃料釷基熔鹽實驗堆（TM?SR-LF1）儀控系統設計時將HAF 201《研究堆設計安全規定》作為頂層的設計基準，為確保系統的功能和可靠性要求，系統在設計中考慮單一故障準則、冗余、獨立性、多樣性、縱深防御、故障安全等原則。本文主要介紹TMSR-LF1儀控設計中縱深防御的設計考慮和對設計的合理性進分析。

1 總的縱深防御層次

《研究堆設計安全規定》及IAEA發布的安全標準均明確了縱深防御的要求，即在儀控設計中必須貫徹縱深防御的原則，給反應堆提供多層次的深度保護從而防止放射性物質釋放，并確保在防護失敗的情況下采取適當的措施保護人類和環境以及減輕后果。儀控設計提供多層次的保護手段，確保了反應堆的下列基本安全功能［1］：在所有工況條件下，均能停堆并保持安全停堆狀態；足以排出停堆后（包括事故工況停堆后）的余熱；包容放射性物質，避免向環境的釋放。

SSG-39是反應堆儀控設計的專業指導標準［2］。SSG-39要求分配給儀控系統的功能包括在各種運行狀態模式和事故條件下提供與反應堆運行相關的信息和控制的能力，目標是實現如下的縱深防御功能：第一層次，防止偏離正常運行；第二層次，檢測故障并控制異常操作；第三層次，控制設計基準事故；第四層次，控制超設計基準事故的后果；第五層次，減輕事故后輻射釋放的后果。儀控系統的架構設計中需要充分考慮縱深防御的要素，并且保證縱深防御的每一層次的防御深度和多樣性，在實際可行的范圍內各防御的層次應是獨立的。因此，在整體的儀控系統結構上的防御深度是通過獨立的防御層次實現的，一條防御層次的失效可以由下一條防線來彌補，一個層次內應充分考慮多樣性。多樣性和縱深防御之間是不可分割的，多樣性設計是實現縱深防御原則的主要手段，縱深防御又是多樣性的補充，不同的縱深防御層次之間具有多樣性的特點，同一防御層次內也應用了多樣性的設計［3］。NUREG/CR-6303給出了數字化儀控系統多樣性和縱深防御的設計指導［4］，7通過對縱深防御設計的評價，確定是否存在共因故障風險的地方，薄弱的環節是否通過多樣性和縱深防御設計進行了補償。本文對縱深防御策略在TMSR-LF1儀控設計中的應用進行了分析。

2 TMSR-LF1儀控系統縱深防御設計

儀控系統的設計應保證反應堆的安全在重疊的保護措施之下，即使有一層失效，將由適當的措施探測、補償或糾正［5］。儀控系統的整個設計中貫徹縱深防御的原則，以便對各種瞬發的或預計運行事件及事故提供多層次的保護［6］，防御因儀控系統設備自身的故障造成的不安全的事件。TMSR-LF1儀表和控制系統設計為滿足實驗堆的總安全性目標，并根據實驗堆總的縱深防御策略，設置了如下四層防御層次：

（1）控制層：由堆控制系統執行在正常運行過程中的運行監測和控制功能，使反應堆維持在安全狀態，防止異常工況或事故工況的出現。控制層是在正常運行時，防止反應堆偏離正常運行和預期運行事件升級為事故，對應總的縱深防御的第一層次和第二層次。

堆控制系統采用非安全級的DCS系統，以過程控制功能為基礎進行分組分配，分成若干個控制子系統，通過對控制棒的提出和插入進行控制從而控制反應堆的啟動、功率調節、停堆。

（2）緊急停堆層：當發生預計運行事件時，由保護系統自動觸發緊急停堆（RT）動作，防止發展成事故。如果發生自動觸發緊急停堆動作失效，可手動觸發控制棒落棒實現停堆。在緊急停堆后，由一直在線運行、依靠非能動原理工作的余熱排出系統排出余熱，實現安全停堆。緊急停堆層對應總的縱深防御的第三層次。

執行緊急停堆的系統為安全級保護系統，采用多重的設計。

（3）專設驅動層：當發生特定的事故時，由操縱員手動觸發關閉安全容器相關的隔離閥門，防止事故進一步惡化和大量放射性物質向環境釋放。專設驅動層對應總的縱深防御的第四層和第五層的防御。

（4）監測和顯示層：給自動的動作和操縱員的手動操作提供精確的信息，操縱員依賴監測儀表和顯示設備執行任務或響應外部事件，包含安全級和非安全級的監測和顯示，監測和顯示設備均分布在其他三個層次的系統中。

TMSR-LF1的監測由非安全級監測和顯示及安全級監測和顯示組成，具體設備包括安全級和非安全的監測設備、數據處理與顯示系統、安全盤臺上的SVDU以及部分儀表的本地顯示模塊等。

TMSR-LF1儀表和控制系統為反應堆的正常運行提供緊急停堆安全保護功能、信息顯示及控制功能和事故后監測的功能。TMSR-LF1儀控系統總體結構可分為以下三層：現場設備層、過程控制層、監控層，TMSR-LF1儀控系統的結構見圖1［7,8］。

圖1 TMSR-LF1儀表控制系統的結構框圖Fig.1 TMSR-LF1 I&C structure diagram

2.1 控制層

控制防御層的功能是將反應堆維持在運行限制之內，以免引起緊急停堆，由非安全級的控制系統平臺實現，非安全級的儀控平臺可以實現堆控制系統和數據顯示與處理系統的功能，集中控制、顯示和管理整個實驗堆運行過程的信息，并對異常信息進行診斷和報警，提供完整的日志記錄和歷史數據。

基于過程控制功能的集中原則，對控制功能進行分組分配，堆控制系統中設置了如下控制子系統：功率控制子系統、回路控制子系統、氣路控制子系統、燃料裝載與排放控制子系統、輔助工藝控制子系統。各控制系統由分配的獨立的機柜完成數據采集和過程控制。

功率控制系統可實現各種工況下堆功率的監測和控制功能。熔鹽回路包括經過堆芯的燃料鹽回路和經過雙熔鹽熱交換器的冷卻鹽回路以及相應的回路管道和熔鹽儲罐等，熔鹽回路控制系統用于維護實驗堆燃料鹽回路、冷卻鹽回路上設備的正常運行，以保證反應堆的核功率能夠高效率地轉化為熱功率，從堆芯導出到熱交換器；氣路控制系統主要功能是實現對氣路系統的供氣子系統、尾氣處理子系統的控制，從而為各用氣設備提供符合要求的氣體，并將各設備出口尾氣處理合格后排放；燃料裝載與排放控制系統實現對燃料鹽裝載和排放的手動和自動控制，實現對燃料裝載與排放管路上設備正常運行的控制和燃料裝載和排放的功能及聯鎖功能；輔助工藝控制系統實現堆廠房內暖通、設冷水、冷凍水、配電設備、UPS、柴油發電機等進行監測和控制功能；輻射監測系統是相對單獨的系統，非安全相關的輻射監測信號通過網關傳送到數據處理與顯示系統，在主控室進行顯示和報警。

2.2 緊急停堆層

緊急停堆防御層提供自動和手動緊急停堆的功能。在安全參數超過整定值時，依靠保護系統立即自動觸發緊急停堆，并迅速把反應堆引入深的次臨界狀態，防止瞬態事故的進一步發展，所對應的總的防御層次的保護系統由安全參數監測儀表、邏輯處理機柜、驅動機構及手動驅動電路組成，在保護參數監測儀表監測值達到或超過停堆動作整定值時，保護系統邏輯處理機柜自動產生緊急停堆信號，驅動停堆斷路器脫扣，從而斷開控制棒的驅動電源，使所有控制棒依靠自身重力下落插入石墨孔道中，實現自動緊急停堆［9,10］。

保護系統采用兩重冗余的設計，設置了A、B兩個通道，通道間采用二取一邏輯，任一通道給出停堆信號，即可完成緊急停堆。架構圖如圖2所示，根據LF1保護參數的設置，其中提供緊急停堆監測變量的傳感器為堆外寬量程中子探測器及其二次儀表2組，燃料鹽堆芯出口溫度監測熱電偶2個，安全參數的特性見表1。兩個通道的監測信號分別傳至兩個通道各自的保護機柜的信號處理板卡，由其對信號進行隔離、調理運算、進行整定值比較后，將信號送給不同通道的邏輯處理板卡進行二選一符合邏輯處理，表決產生的緊急停堆信號分別輸出到對應的停堆斷路器。停堆斷路器連接方式為A1與B1串聯，A2和B2串聯，兩串聯支路并聯［11］。

表1 安全參數的特性監測通道特性Table 1 The characteristics of the safety parameters characteristics monitor

圖2 TMSR-LF1保護系統架構圖Fig.2 TMSR-LF1 protection system structure diagram

手動停堆功能是在發生自動觸發緊急停堆動作失效時使用的，可通過設置在主控室的安全控制盤臺上的兩個冗余的手動停堆開關執行手動緊急停堆功能。送到停堆斷路器的手動停堆信號引起欠壓線圈失電，勵磁線圈得電，停堆斷路器打開，切斷控制棒電機供電回路，控制棒落入堆芯。手動停堆指令是兩個手動停堆開關串聯后接入保護系統機柜的RTRM停堆矩陣，RTRM停堆矩陣為硬件聯接電路，這種直接觸發的安全功能不受系統內其他部件故障的影響。斷路器的停堆命令由保護系統機柜的RTRM停堆矩陣的UV（欠壓脫扣）矩陣和ST（分閘脫扣）矩陣發出。UV輸出為有源DC48V信號，DC48V信號直接驅動UV線圈。ST線圈由直流配電箱提供DC220V控制電源。斷路器的UV線圈和ST線圈分別由保護系統和直流配電箱供電，實現了供電的多樣性。停堆斷路器UV線圈和ST線圈的供電的示意圖見圖3。

圖3 斷路器線圈供電示意圖Fig.3 power supply for coil in a circuit breaker

TMSR-LF1遠程停堆點是在主控室發生火災不可用并且未完成緊急停堆功能時，提供遠程（應急）手動停堆功能。遠程停堆手動觸發與主控室手動緊急停堆采用不同的設計，遠程停堆手動觸發裝置通過電氣連接控制全部控制棒驅動機構電機供電回路的通斷，遠程停堆點停堆控制原理圖見圖4。主控室手動緊急停堆通過停堆斷路器控制停堆驅動機構電機的供電回路通斷。遠程停堆點手動觸發緊急停堆功能實現了手動停堆功能的多樣性。

圖4 遠程停堆點停堆控制原理圖Fig.4 RT schematic for remote shutdown station

2.3 專設驅動層

根據安全分析的結果，TMSR-LF1設置的專設安全設施為安全隔離閥門、非能動余熱排出系統和安全容器，其中余熱排出和安全容器在事故后不需要任何控制或驅動，但是為了限制事故后放射性物質向環境釋放的可能，在燃料鹽邊界和覆蓋氣邊界與外界聯系的管路上設置了安全隔離閥門，這些安全隔離閥門需要根據運行的需要進行手動關閉。主控室安全盤臺上共布置4個旋鈕開關，執行對安全隔離閥門的分組手動關閉功能。這些旋鈕開關直接控制連接相應閥門供電回路中的繼電器對閥門供電回路進行通斷操作。根據各閥門的功能分類及運行要求，設計中對相同功能的閥門進行分組控制，減少了操作設備數量，減少了操縱員工作負荷。正常運行時，這些閥門的控制及狀態反饋等功能由非安全級控制平臺實現。所有安全隔離閥門供電的本地配電箱中設置了切斷所有閥門供電的斷路器，在主控室手動按鈕故障未能關閉閥門時，可在本地切斷閥門的供電，使得所有安全隔離閥門失電關閉，安全隔離閥手動關閉功能控制原理圖如圖5所示

圖5 安全隔離閥控制原理圖Fig.5 control schematic for safety isolating valve

安全盤臺上對安全隔離閥門的手動關閉功能與非安全級控制平臺的控制是獨立的。關閉閥門時，旋鈕開關控制繼電器失電，供電回路斷開，隔離閥門失電關閉；安全控制盤臺上關閉旋鈕對閥門的關閉功能優先于DCS控制操作功能。復位閥門時，旋鈕開關控制繼電器得電，此時隔離閥門的動作由非安全級DCS端的控制狀態決定。手動和自動安全隔離閥門的正常操作由非安全級的控制系統、數據處理和顯示系統完成，安全控制盤臺上手動關閉閥門功能由純硬件電路構成，體現了多樣性的設計原則。

依據事故后操縱員在30分鐘內不干預原則，對作為專設的安全隔離閥門只設置手動的關閉功能，不設置自動關閉功能是可行的。

2.4 監測和顯示層

監測和顯示層是最后的防御層，在前三層的防御均失效時，操縱員可根據儀表的正確指示判斷事故的嚴重程度，進行相應的手動操作，盡可能地減少放射物的釋放。TMSR-LF1儀控系統的監測和顯示層由非安全級的數據處理和顯示系統的操作員站和安全盤臺上的SVDU組成。在顯示終端的布置上考慮了分散的特點，分別在主控室和遠程停堆點設置顯示與操作終端。

安全重要的儀表參數和設備的狀態由安全盤臺上的SVDU顯示，用于事故后堆內及大廳的劑量信息在安全盤臺的SVDU上顯示，并且這些儀表配備了本地顯示模塊，安全盤臺的SVDU上顯示故障時，這些參數可在本地查看，事故后劑量顯示具有多樣性的特點。保護系統的重要信息包括安全參數、事故后監測變量以及保護系統的狀態信息，均通過單向網關傳遞到數據處理和顯示系統進行顯示，補充了安全重要信息的信息顯示多樣性。過程控制的儀表參數及設備的狀態信息由非安全級的數據處理和顯示系統處理和顯示，均可在主控室的操縱員站和遠程停堆點的監測站顯示。

儀控系統的部分數據通過信息顯示與處理系統的數據鏈服務器單向發送至廠級信息系統，由廠級信息系統完成信息的遠傳與顯示。

3 TMSR-LF1儀控系統縱深防御應用分析

本文對TMSR-LF1儀控系統縱深防御層次設置與標準的符合性進行分析，還分析了儀控系統縱深防御設計中的多樣性和獨立性的設置特點。

NUREG/CR-6303介紹了一種典型的核電廠數字化儀控系統的防御層次，其分別為控制層、緊急停堆層、專設驅動層、監測和顯示層。當控制系統失效時，緊急停堆系統緊急關閉反應堆；當控制系統和緊急停堆系統均失效時，專設驅動系統對反應堆的冷卻和輻射釋放提供物理屏障，監測和顯示層提供了操縱員進行手動控制所需的信息，其功能也分散到其余三個層次中。所有的四層防御均依賴于傳感器來決定何時執行功能，要求提供信息的傳感器之間的單一故障不會破壞縱深防御的層次。TMSR-LF1儀表和控制系統設置了四重防御層次，控制防御層、緊急停堆防御層、專設驅動層、監測和顯示層的縱深防御層次與NUREG/CR-6303介紹的縱深防御層次是相一致的。在這四個縱深防御層次的每個層次中又根據各設備的功能對安全的重要性分為非安全級組和安全級組，如表2所示。

表2 TMSR-LF1儀表控制系統與防御層次之間的關系Table 2 The relation ship between I&C and D3

縱深防御的各個層次之間要求盡可能的獨立，各層次之間盡可能的要求不共用傳感器，TM?SR-LF1儀表和控制系統縱深防御的獨立性設置特點有如下幾個方面：

（1）保護系統、控制系統安全盤臺滿足電氣隔離和實體隔離的要求，因此縱深防御的各個層次之間是獨立的，緊急停堆的手動停堆開關和專設驅動的手動開關均設置于安全盤臺上，安全盤臺上電路的布置滿足分隔距離要求，在分隔距離不滿足時設置屏障以滿足電路的獨立性要求。

（2）緊急停堆系統的傳感器信號與控制系統的傳感器獨立，但是事故后監測與緊急停堆系統存在共用的傳感器，因為用做保護變量的參數作為事故后監測變量的D類變量，為顯示單個安全系統和安全支持系統狀態所設置的監測，不作為事故后手動控制措施的必要的信息，因此保護系統和事故后監測共用傳感器是可接受的。

縱深防御各個層次之間的設備要求具有多樣性，每個層次內盡量考慮多樣性設計，實現一條防御層次的失效可以由下一條防線來彌補，防御共因故障造成的多條防御層次失效。TMSRLF1儀表和控制系統縱深防御的多樣性設置特點有如下幾個方面的特點：

（1）安全系統組和非安全系組采用了多樣性設計策略［12］。

（2）安全系統組和非安全系組分別提供了自動和手動驅動功能來支持這些縱深防御層次：控制層和緊急停堆層均設置自動和手動的驅動功能，但是在專設驅動層只設置了手動驅動功能，因為釷基熔鹽實驗堆事故后30分鐘不需要干預，因此在事故后由操縱員手動關閉安全隔離閥是可行的。

（3）斷路器的UV線圈和ST線圈分別由保護系統和直流配電箱供電，實現了斷路器線圈供電的多樣性；保護系統機柜、控制系統機柜均可接受兩路供電，一路市電，一路UPS，具有多樣性的特點。

4 結論

TMSR-LF1儀表和控制系統縱深防御設計參考了NUREG/CR-6303分層方式，設計了四層縱深防御層次，分析表明，TMSR-LF1儀表和控制系統的設計符合標準的要求，符合《研究堆設計安全規定》的要求，符合項目縱深防御總體要求，能夠有效地實現儀控系統在各種運行狀態模式和事故條件下提供與反應堆運行相關的信息和控制的能力。本文對其他實驗堆的儀控系統的設計具有重要的參考意義。