一種數字化反應堆保護系統維修旁通設計研究

盛 靜，賈玉文，李昌政

（1.中國原子能科學研究院，北京 102413；2.浙江中控技術股份有限公司，杭州 310053）

0 引言

反應堆保護系統的目的是保證反應堆的屏障完好，限制反應堆在允許范圍內運行或是緩解事故后果，保護反應堆、環境、人員的安全[1]。在設計基準事故發生時，反應堆保護系統觸發緊急停堆。

反應堆保護系統的旁通是反應堆保護系統運行、試驗和維護過程中保證單一故障準則和可靠性要求的重要手段，旁通分為運行旁通和維修旁通[2,7]。

運行旁通：根據運行的需要，抑制保護系統中一部分特定功能的行為和措施[2,7]。通用于反應堆正常啟停階段，自動旁通保護系統中一部分不需要或不合適的功能。運行旁通完全通過軟件組態自動實現，而無需人為操作。如在電站升功率過程中，核功率測量儀表由源量程切換至中間量程，此時為了避免源量程功率探測器給出誤觸發信號造成反應堆誤停堆，將源量程核功率進行旁通。

維修旁通：為了設備更換、檢修、檢驗或校準，人為地取消保護系統中某一設備功能的行為和措施[2,7]。可根據需求對整個保護通道進行旁通（通道旁通），也可對某個特定的保護變量進行旁通（單參數旁通），實現設備維修、邏輯測試以及故障時符合邏輯降級等功能。

本文僅討論維修旁通。

1 數字化保護系統

反應堆保護系統是一個邏輯保護系統，功能是當重要的堆物理、熱工流體力學和運行參數達到由安全分析確定的整定值或某些系統、設備故障時，通過邏輯符合給出保護信號，觸發緊急停堆和其它保護動作，確保反應堆的安全。現在人們所說的數字化反應堆保護系統一般為廣義的保護系統，功能接近于1E級DCS。本設計基于一種2/3邏輯符合結構的數字化保護系統。結構簡圖如圖1。

圖1 一種2/3邏輯符合結構的保護系統示意圖Fig.1 Schematic diagram of a protection system with a 2/3 logic compliance structure

該保護系統采用3個邏輯序列結構（IP、IIP、IIIP），每個序列各兩個保護子通道（Aa、Bb、Cc）。

保護系統采集柜（I、II、III）實現對現場傳感器信號、控制室控制信號等信號的調理、隔離和分配，將這些信號通過硬接線輸出至邏輯柜（Aa、Bb、Cc通道）。

邏輯柜實現緊急停堆系統功能的保護邏輯。在邏輯柜中將對這些結果進行定值比較、信號互送和（通道ABC之間、通道abc之間的）2/3保護邏輯運算，并根據預先設置的邏輯輸出停堆觸發信號。以邏輯柜A為例，其將經過定值比較后的安全觸發信號送往序列II、III的B、C通道，同時接受來自B、C通道此保護變量的安全觸發信號，進行2/3局部符合邏輯，形成變量級的保護信號，再與其他所有保護變量的變量級保護信號進行1/N全局符合，形成A通道的通道級保護信號。

同理，序列I的a通道也形成通道級保護信號，與A通道的通道級保護信號進行“或”邏輯后，形成序列I的停堆觸發信號觸發斷路器脫扣。最后，序列I、II、III輸出的停堆觸發信號在斷路器柜中進行2/3符合，形成系統級保護信號，使斷路器脫扣。

2 維修旁通設計參考法規標準

旁通的設計參考以下法規標準中對于反應堆保護系統的要求：

1）HAF102《核電廠設計安全規定》[3]。

2）HAD102/10《核電廠保護系統及有關設施》[4]。

3）HAD102/16《核動力廠基于計算機的安全重要系統軟件》[5]。

4）GB/T 13284.1《核電廠安全系統 第1部分：設計準則》[6]。

5）GB/T 4083《核反應堆保護系統安全準則》[7]。

6）GB/T 5204《核電廠安全系統定期試驗與監測》[8]。

7）GB/T 13629《核電廠安全系統中數字計算機的適用準則》[9]。

3 維修旁通設計方案

3.1 通道旁通設計

通道旁通時：

1）閉鎖該保護通道的輸出，直接打開對應的停堆斷路器。

2）通過互鎖邏輯保證同一時刻其他保護通道不會被旁通。

3）保護系統剩余部分按1/2的邏輯仍能執行安全保護功能。

為防止故障通道對其他通道造成影響，閉鎖該通道的輸出。又由于一個保護通道被旁通，系統可靠性必然降低，為了保證緊急停堆系統的可靠性和安全性，打開被旁通通道對應的停堆斷路器，使斷路器實際執行1/2系統級符合邏輯。

如果同時有兩個通道被旁通，保護系統可靠性不能滿足運行要求。因此，系統設計必要的邏輯運算來保證任一通道被旁通時，其它通道的旁通操作無效，禁止同時旁通兩個或以上保護通道。此即為互鎖邏輯。由于同一邏輯序列的兩個冗余子通道（如通道A和a）需要盡可能獨立，兩個冗余子通道間無信號交互，互鎖邏輯只存在于通道A/B/C之間和通道a/b/c之間。

同時，由于1）中設計，如果當前存在某個通道對應的斷路器因為各種原因已被觸發，其余通道也應被禁止旁通，防止造成誤停堆，操縱員應及時確定斷路器觸發原因并根據報警信息進行故障處理。

3.2 單參數旁通設計

本設計中單參數旁通設計方案為：對于所有保護參數，單個傳感器質量碼壞時（質量碼描述見2.4節），所有通道中該參數的邏輯表決由2/3退化為1/2；2個傳感器質量位壞時，1/2退化為動作。

當T1定期試驗交叉比較結果顯示有某個保護變量的某一通道與其他通道不一致時，可判斷為該保護變量的傳感器故障或采集模塊故障，此時可對報警通道的該保護變量進行單參數旁通，保證本通道與其他通道不受故障影響，盡可能減小故障維修時對系統可靠性的影響。

3.3 互鎖設計

旁通設計中需要考慮的互鎖需求如下：

1）通道A/B/C同時只能有至多一個通道被旁通，通道a/b/c同理。

2）當前存在某個子通道對應的斷路器已被觸發，其余對應子通道禁止旁通。

3）通道A/B/C中，同時只能有至多一個通道中的保護參數N被單參數旁通，通道a/b/c同理。

4）當前存在某個子通道已被旁通，其余邏輯序列禁止單參數旁通。

3.4 具體實施方案

1）方案簡述

每個子通道設置一個通道旁通鑰匙開關，用于旁通本通道。通道旁通的旁通面板位于邏輯柜中，共6個。通道旁通面板設置旁通指示燈來指示本子通道和其他2個對應子通道的通道旁通狀態，同時設置指示燈來指示本子通道和其他2個對應子通道的停堆斷路器狀態。

每個序列設置n個單參數旁通旋鈕，用于旁通各個保護參數（n一般為保護變量的個數，針對觸發同一脫扣信號的同一類參數，在合理可行的情況下可只設置一個旁通開關）。單參數旁通的旁通面板位于采集柜中，共3個。單參數旁通面板設置所有子通道各單參數旁通指示燈和所有單參數旁通的總參數旁通指示燈。

2）旁通面板設計

如1）中所述，旁通面板分為采集柜旁通面板和邏輯柜旁通面板，示意圖分別為圖2和圖3。

圖2 采集柜旁通面板（以IP為例）Fig.2 Bypass panel of the collection cabinet(take IP as an example)

圖3 邏輯柜旁通面板（以通道A為例）Fig.3 Logic cabinet bypass panel (take channel A as an example)

采集柜旁通面板中顯示了所有保護子通道的通道旁通信息、所有RTB（停堆斷路器）狀態信號、所有邏輯序列的單參數旁通信號（因數量過多，所有單參數旁通反饋取或后進行顯示）。邏輯柜旁通面板中同樣顯示了以上信息，不同的是由于通道A/B/C與通道a/b/c的通道旁通信息無法共享，操縱員可通過對應RTB分閘狀態反饋進行判斷。

每個機柜的旁通都盡可能多地為操縱員提供關鍵旁通信息，巡檢或維修時不用打開其他機柜。

除就地顯示外，旁通信息還可通過主控室報警裝置和監控系統提供給操縱員。

3）具體邏輯設計

圖4為通道旁通互鎖邏輯（以通道A為例）。此邏輯滿足當其余兩子通道已被旁通，或其余兩子通道及其冗余子通道對應的斷路器打開時，本通道旁通開關失效。此邏輯僅在通道A/B/C之間或通道a/b/c之間進行，保證了冗余通道間的獨立性。雖然通道A（B/C）和通道a（b/c）無互鎖邏輯，但通道A旁通時，對應的停堆斷路器打開，其打開狀態會禁止通道b/c進行通道旁通，防止誤操作帶來的誤停堆。

圖4 通道旁通互鎖邏輯（以通道A為例）Fig.4 Channel bypass interlock logic(take channel A as an example)

以保護變量N為例，圖4為通道A的保護變量N觸發停堆邏輯。

邏輯算法中輸出/輸入/系統變量的信號由其值和質量碼組成，質量碼用于表征變量的“好”“壞”。當其為“好”時，質量碼為1；當其為“壞”時,質量碼為0。信號的值和質量碼均通過網關柜送往NC DCS進行顯示或報警。

停堆邏輯中通過旁通信號對質量碼進行置壞，達到邏輯退化降級的目的。

圖5 通道A的保護變量N觸發停堆邏輯Fig.5 The protection variable N of channel A triggers the shutdown logic

①如果有2個或2個以上輸入信號的質量位無效，則輸出為真。

②如果有1個輸入信號的質量位無效，當2個有效的輸入信號中有1個輸入為真，則輸出為真，否則輸出為假。

③如果3個輸入信號的質量位均有效，當這些有效的輸入信號中有2個或2個以上的輸入為真，則輸出為真。如果1個或少于1個輸入為真，則輸出為假。

圖5中 為旁通邏輯模塊，功能為參數旁通及停堆信號預處理邏輯：實現參數旁通的互鎖邏輯，及停堆信號的故障、降級、報警等邏輯處理。其內部邏輯如圖6。

圖6 PBP_Logic旁通邏輯模塊內部邏輯Fig.6 PBP_Logic bypass logic module internal logic

PBP_Logic旁通邏輯模塊輸入信號如下：

BP：本通道的通道旁通信號。

PBP1：本通道的保護變量N的單參數旁通開關信號。

PBP1_Q：本通道的保護變量N的單參數旁通開關質量碼。

PBP2/PBP3：通過點對點來自其余2通道的保護變量N的單參數旁通信號，對應其余2通道中PBP_Logic模塊的輸出信號TRIP_D。

TRIP_Q：本通道的保護變量N的質量碼，表征對應儀表故障或采集模塊故障。

TRIP：本通道的保護變量N（模擬量超閾值結果或開關量）。

輸出信號如下：

BP_PBP：本通道的總旁通信號，為通道旁通和單參數旁通互鎖邏輯結果的“或”，用于旁通信號報警。

PBP1_QLT：本通道的保護變量N的單參數旁通質量碼，單參數旁通開關質量碼壞和本通道旁通均會造成此質量碼變壞。

PBP1_O：本通道的保護變量N的單參數旁通信號，為3通道的單參數旁通經過互鎖邏輯的結果，送往采集柜旁通面板進行單參數旁通結果顯示。

PBP2/3_O：同PBP2/PBP3，來自其余2通道的保護變量N的單參數旁通信號，送往2/3邏輯塊用于計算來自其余2通道的保護變量N的質量碼，進行相關邏輯降級。

TRIP_D：BP_PBP和TRIP_Q的“或”結果，表征本通道被通道旁通、本通道的保護變量N被單參數旁通、本通道的保護變量N的質量碼為壞這3種情況，送往2/3邏輯塊進行保護變量N的邏輯降級，同時會通過點對點送往其余2個通道作為PBP2/PBP3輸入，此邏輯可以做到避免同時出現類似通道A旁通的同時，通道b中的保護變量N被單參數旁通的情況。

TRIP_QLT：TRIP_D的反邏輯，用于本通道的保護變量N最終質量碼的顯示報警。

TRIP_O：經過旁通邏輯的本通道的保護變量N觸發信號，送往2/3邏輯塊進行邏輯表決，同時會通過點對點送往其余2個通道作為2/3邏輯塊的輸入。

4）總結與優點分析

通過通道互鎖邏輯（圖4）和PBP_Logic旁通邏輯（圖5），可以實現3.3節中的旁通互鎖要求。將旁通邏輯集成于一個邏輯功能塊，優點是易于根據旁通設計要求集中修改、精簡畫面，方便測試：

①邏輯功能的集成有助于精簡畫面，使得系統功能圖簡潔易懂，功能分區明確，不至凌亂。

②如旁通設計要求有變化，軟件設計人員可只修改旁通邏輯功能塊內部邏輯，不用逐頁、逐個修改每個保護參數的旁通相關邏輯，可大大減少工作量。

③旁通功能塊的輸入輸出信息清晰明朗，方便對每個保護變量的旁通邏輯進行測試，很大程度上也方便了軟件的V&V工作。

4 總結

本文研究了一種保護系統維修旁通設計方案，以6通道、3取2邏輯架構的保護系統設計需求為基礎，對其他結構的不同堆型的數字化反應堆保護系統的旁通設計具有參考意義。