泳池式低溫供熱堆數字化保護系統設計研究

胡加永，尹 凱，劉興民，段天英，賈玉文，張占利

（中國原子能科學研究院，北京 102413）

0 引言

核能供熱與傳統供熱方式相比，具有良好的安全性和經濟性，且是一種清潔能源，目前已有很多國家對核能供熱進行了大量研究[1]。2017 年11 月28 日，中核集團正式發布其自主研發可用來實現區域供熱的“燕龍”泳池式低溫供熱堆（簡稱燕龍供熱堆）[2]。燕龍供熱堆運用深水池供熱堆的創新技術，合理地降低了反應堆工作溫度，使反應堆可以工作在常壓深水池內，可使反應堆系統及設備與加壓反應堆相比進行根本性的簡化，具有安全可靠，經濟實用，又便于運行管理的特點。

保護系統是燕龍供熱堆重要的安全系統，它對于限制事故的發展，減輕事故后果，保證反應堆及設備和人員的安全，防止放射性物質向周圍環境的釋放具有十分重要的作用。保護系統監測重要的安全參數，對安全參數進行必要的采集、計算、定值比較，符合邏輯處理，當選定的參數超過安全閾值時，自動地觸發反應堆緊急停堆和驅動專設安全設施動作，以實現并維持供熱堆的安全停堆工況。本文結合核安全法規、導則和標準的相關要求，識別出保護系統的相關設計原則，并結合燕龍供熱堆的特點與核電廠保護系統數字化現狀，研究并提出了燕龍供熱堆保護系統設計方案。

1 保護系統設計準則

核安全導則HAD 102/10-2021《核動力廠儀表和控制系統設計》[3]作為國內核電廠安全重要儀表和控制系統的頂層標準，對儀控系統的設計進行指導，明確了保護系統所需遵循的設計準則。此外，在GB、NB、IEC、IEEE 等系列標準中也對保護系統的設計提出了相關要求，如GB/T 13286《單一故障準則應用于核電廠安全系統》[4]規定了單一故障準則的相關要求，GB/T 12727《核電廠安全級電氣設備鑒定》[5]對保護系統的設備鑒定提出了相關要求。燕龍供熱堆保護系統設計需要滿足核安全導則HAD 102/10 與相關標準的要求。經過梳理歸納，燕龍供熱堆保護系統設計需要遵循的主要設計準則如下：

1）獨立性

安全系統應獨立于低安全等級的系統，安全系統內的冗余序列間應保持充分的獨立，以保證所有安全功能在需要時能夠完成。

2）冗余

儀控系統冗余度應滿足其可靠性要求和單一故障準則。冗余部件應相互獨立，否則冗余就不能完全有效。

3）單一故障準則

必須對每個安全組合都應用單一故障準則。可采用冗余、獨立性、可試驗性、連續監測、環境鑒定和可維護性等方面的措施來滿足單一故障準則。安全系統由于試驗或維護原因，任一部件或冗余序列退出運行或旁通時，仍應滿足單一故障準則，不應導致要求的最小冗余度的喪失。

4）故障安全

應將安全重要系統和部件設計為故障安全，使其自身的故障或支持設施的故障不妨礙預定安全功能的執行。當某個儀控部件失電或出現故障時，系統應被置于一個預定狀態下，這個狀態應已被證明對于安全是可接受的。

5）保護動作的完成

安全系統應設計成一旦被自動或手動觸發，執行裝置就能按預定程序完成全部安全動作，只有操縱員有意識地操作才能使安全系統恢復到正常狀態。

6）試驗和校準

安全系統必須具有可在核動力廠運行時對其功能進行定期試驗的條件，包括各通道分別進行試驗的可能性，以查明可能發生的故障和多重性的喪失。設計必須允許對包括從傳感器到最終的觸發驅動器和顯示單元所有環節的定期試驗。

7）手動觸發

保護系統除自動觸發外還應設置手動觸發。手動觸發應操作簡單，手動觸發和自動觸發共用的設備應盡可能的少。

8）多樣性

應采用多樣性的手段減少或消除保護系統共因故障的概率，多樣性類型包括設備多樣性、功能多樣性、設計多樣性等。

2 保護系統功能

燕龍供熱堆保護系統的目的是保證反應堆及核電廠設備和人員的安全，防止放射性物質向周圍環境的釋放，限制反應堆在允許范圍內運行或是緩解事故后果，保護反應堆、環境、人員的安全。其具備以下功能：

1）當保護參數達到或超過系統動作的設計限值時，自動觸發緊急停堆動作，使控制棒插入堆芯完成停堆；同時，在某些需要的運行工況下，啟動相應的專設安全設施動作，將事故后果降低到最小。

2）允許和聯鎖，用來在某些工況下允許或閉鎖某些保護功能，防止因操作員誤操作而造成事故工況。

3）通過網絡等方式將保護參數越限報警和保護系統通道故障報警，傳輸至監控系統在主控室進行顯示報警。

4）事故后參數監測。

5）保護功能手動觸發。

3 保護系統設計

3.1 系統架構

依據保護系統設計準則，同時結合燕龍供熱堆特點及數字化產品現狀，燕龍供熱堆保護系統架構設計如圖1 所示。

圖1 保護系統架構Fig.1 Protection system framework

燕龍供熱堆數字化保護系統分為Level1、Level2 上下兩層。Level1 層為自動邏輯處理層，主要完成停堆、專設驅動功能的觸發；Level2 層為人機接口層，主要完成報警顯示、事故后監測、手動觸發等功能。

3.2 反應堆停堆

當燕龍供熱堆保護參數超過安全閾值時，由反應堆停堆系統（RTS）完成緊急停堆功能。RTS 由3 個冗余的保護通道組成，每個通道均獨立地采集現場傳感器信號。當傳感器信號超過安全閾值時，產生用于局部表決邏輯的觸發信號。同時，通過點對點的通訊方式將觸發信號傳遞給另外兩個保護通道進行三取二表決邏輯處理。當滿足表決邏輯要求時，產生本通道的停堆信號，本通道對應的停堆斷路器打開。反應堆停堆系統共設置兩組停堆斷路器，每組停堆斷路器以硬件的方式搭接成“三取二”的表決邏輯。當兩個及以上保護通道產生停堆信號時，則可以使對應的停堆斷路器失電脫扣，從而切斷第一停堆系統補償-調節棒的電源和第二停堆系統安全棒的電源，使兩套停堆系統的控制棒均在重力的作用下迅速插入堆芯，快速停閉反應堆。

燕龍供熱堆自動停堆功能部分參數見表1。

表1 保護參數Table1 Protection parameters

圖2 停堆斷路器連接圖Fig.2 Reactor trip breaker connection diagram

3.3 安全專設驅動

當所監測的保護變量超過專設觸發整定值時，由安全專設驅動系統（ESFAS）給出專設動作信號，觸發相應的專設安全設施，以限制事故的發展或緩解事故的后果。ESFAS 系統由兩個冗余序列Train A、Train B 組成，接收來自RTS 系統發出的觸發信號，經過三取二表決邏輯，將專設驅動信號發送至優選板卡，實現對專設安全設施的自動驅動功能。

燕龍供熱堆能動安全專設設施為自然循環電磁閥。自然循環電磁閥主要的功能是在反應堆停止主熱傳輸回路熱量導出后，通過自然循環流量導出堆芯余熱。當反應堆發生假設始發事件使一回路總流量下降至額定流量以下時，由ESFAS 兩個冗余序列自動打開兩組自然循環電磁閥，建立反應堆冷卻劑的自然循環，將反應堆余熱持續導出至反應堆水池熱阱中。

3.4 事故后監測

在反應堆事故期間和事故后，需要對反應堆的安全重要參數進行監督。燕龍供熱堆事故后監測系統（PAMS）包括Train A、Train B 兩個冗余系列，在主控室和輔助控制室分別設置冗余的安全參數顯示單元（SVDU），用來監測反應堆事故期間和事故后安全重要參數的變化，使運行人員了解和跟蹤事故的進程，為分析事故和評價事故后果提供依據。

燕龍供熱堆事故后監測系統在選取監測變量時，考慮了為防止對公眾健康和安全生產造成直接、即時危害所必需的安全功能，包括實現安全停堆，實現反應堆堆芯冷卻，保持反應堆冷卻系統的完整性，保持密閉廠房的完整性，實現放射性釋放物控制等。事故后監測參數包括反應堆功率、反應堆進/出堆流量、反應堆出口溫度、一回路冷卻劑γ 劑量率、堆水池上方總γ 劑量、堆水池液位等。

3.5 允許和聯鎖

燕龍供熱堆數字化保護系統中設置了部分允許和聯鎖信號。允許信號用來在某些工況下允許或閉鎖某些保護功能，聯鎖信號用來保證反應堆的運行安全和設備安全。如允許信號P6，在反應堆啟動過程中總流量值低于10%額定流量時，允許操作員手動旁通自然循環電磁閥開啟功能，以確保自然循環電磁閥在一回路流量建立之前處于關閉狀態，防止自然循環電磁閥誤打開。

3.6 手動觸發

除自動觸發功能外，燕龍供熱堆保護系統還設置手動觸發功能，手動觸發使用硬邏輯實現。在燕龍供熱堆主控室的專用安全盤和輔助控制室控制臺上各設有兩個互為冗余的“手動緊急停堆”按鈕和“手動觸發專設安全設施”按鈕，可手動觸發停堆和自然循環電磁閥打開功能。手動觸發功能可旁路數字化保護系統，防止軟件共因故障。

3.7 自診斷和定期試驗

燕龍供熱堆保護系統采用數字化技術，由數字化保護系統的自診斷功能完成保護系統的故障檢測，以保證系統的正常運行。當系統診斷到故障時，系統將觸發處理和報警機制，通知儀控人員，避免故障擴散，維持保護系統在故障狀態下的自身安全功能。

燕龍供熱堆數字化保護系統定期試驗包括測量通道試驗、邏輯功能試驗、輸出通道及相關驅動器試驗，完成對保護系統安全功能的驗證。定期試驗分段進行，每段試驗的范圍相互重疊，保證試驗完整性。定期試驗期間，不會妨礙保護系統安全功能的執行。

4 設計準則符合性分析

燕龍供熱堆數字化保護系統作為安全級系統，在設計過程中嚴格遵循了法規標準中規定的各項設計準則，設計準則符合性分析如下：

1）獨立性和冗余

燕龍供熱堆保護系統采用3 個保護通道、兩個專設序列的冗余設置，分別布置在不同的房間，滿足實體隔離要求。系統間通訊采用光纖實現電氣隔離，硬接線采用繼電器或隔離模塊實現電氣隔離。

2）單一故障準則

燕龍供熱堆保護系統采用3 個保護通道、兩個專設序列的冗余設置，設備之間彼此獨立，保證實體隔離和電氣隔離。任一保護通道發生故障，剩余的兩個保護通道中的驅動邏輯由2/3 退化為1/2，仍然滿足單一故障設計準則。對于專設安全設施驅動功能，保護系統設計了冗余的兩個專設驅動系列，任一系列內的單一故障都不會導致安全功能的喪失。

3）故障安全

燕龍供熱堆數字化保護系統具有故障安全設置功能，在系統發生故障時，系統輸出偏向安全狀態。如RTS 采用“0”觸發停堆的設計方式，當保護系統失電或故障時，能夠觸發停堆斷路器打開，進而實現反應堆停堆。

4）試驗和校準

燕龍供熱堆數字化保護系統通過自診斷和定期試驗結合的方式實現系統的試驗和校準功能，保護系統通過看門狗、奇偶校驗等功能，能夠對系統中的智能板卡進行診斷及診斷信息上報。定期試驗范圍覆蓋信號采集至系統輸出至現場設備的整個路徑。

5）手動觸發

燕龍供熱堆數字化保護系統在主控室專用安全盤和輔助控制室控制臺設置了停堆和專設驅動手動按鈕，可以手動觸發停堆和專設驅動功能。手動觸發指令直達停堆斷路器和優選模塊，可旁路數字化保護系統。

6）多樣性

對于緊急停堆和專設安全設施驅動，燕龍供熱堆保護系統均提供了自動觸發和手動觸發兩種驅動方式，實現安全功能驅動方式的多樣性。為應對軟件共因故障，燕龍供熱堆還設置了多樣化驅動系統，與數字化保護系統構成設備多樣性。多樣化驅動系統基于FPGA 技術實現，在數字化保護系統發生軟件共因故障時，也可完成緊急停堆和專設安全設施的驅動功能。

5 結語

本文基于核電廠保護系統相關法規標準，歸納總結出了燕龍供熱堆數字化保護系統設計所需遵循的主要設計準則，并結合燕龍供熱堆固有安全性高的特點，完成了保護系統方案的設計及設計準則的符合性分析工作。本文提出的燕龍供熱堆數字化保護系統方案具有可靠性高、架構簡單等特點，在滿足安全要求的同時兼顧了經濟性，對于核電廠數字化保護系統的設計具有一定的借鑒和參考意義。