核电厂事故后监视系统显示设计与实现

王志嘉,孙月亮，孙洪涛，夏利民

(北京广利核系统工有限公司，北京 100094)

0 引言

事故后监视系统是核电站反应堆保护系统中的重要组成部分，主要功能是在核电站事故工况下存储和显示核电站事故后参数[1]。事故监测信息是电厂运行人员识别、确定、跟踪事故过程的依据和参考，帮助电厂运行人员判断反应堆停止运行、余热排出、放射性物质释放是否得到控制，以及是否需要通知相关部门采取应急措施[2]。针对设计基准事故及无法预测的状况，操作员需有足够、集中的信息来监测事件的发展，以便采取预先计划的操作使电站达到安全状态，从而确定3道安全屏障(燃料包壳、反应堆冷却剂压力边界、安全壳)是否超过安全分析评价中所规定的限制、安全相关系统的运行情况以及放射性物质的释放量。因此，在核电厂设置了事故后监视系统(post-accident monitoring system,PAMS)。本文将对华龙一号——防城港二期工程FCG 3#、4#机组PAMS设计和实现进行介绍。

1 系统设计

1.1 系统功能与设计要求

在核电厂中，事故后监视系统主要用于事故后安全过程监视堆外热量、反应堆压力容器液位、低温冷却水边界等重要参数，以及执行NRC RG1.97 所要求的设备监视[3]。根据核电厂安全系统设计要求，PAMS系统主要满足以下设计要求。

①单一故障原则：要求在内部存在单一可探测故障以及由此单一故障引发的所有故障等情况下，安全系统仍可完成某一设计基准事件需要的全部安全功能。

②冗余性：为保证在事故下安全功能的可用性，设计应考虑系统设置的冗余实现。

③独立性：安全系统内部冗余部分之间应彼此独立，且与其他等级系统实现物理、电气和通信隔离。

④维护：安全系统应提供有关自身系统状态诊断的显示和提示。

⑤供电：保证系统在事故工况下的供电电源稳定。

1.2 安全功能与等级

华龙一号反应堆堆型采用成熟的三环路设计。每个环路包含1个蒸汽发生器和1个反应堆冷却剂泵，采用ANSI/ANS 58.14进行安全功能及物项安全分级[3]。对应的电气仪控功能根据安全重要性分等级，分别为FC1、FC2、FC3、NC。对应的系统设备分别为F-SC1、F-SC2、F-SC3、NC[4]。对于防城港3#机组实现反应堆事故后参数监视和记录功能的PAMS，根据安全功能重要性，PAMS功能等级为FC2，物项分级为F-SC2。系统硬件满足RCC-E中C2类产品鉴定要求，软件满足IEC 62138标准和IEC 61226标准中B类软件要求[5-6]，并满足抗震I类要求，在地震期间和之后能保证系统功能可用。

1.3 系统位置

根据IEC 61226、IEC 61513标准中功能分级与设备等级的要求[6-7]，结合事故后监视系统的安全功能等级，在华龙一号项目中确定使用F-SC1高等级FirmSys平台实施FC2功能工程组态，以实现事故后监视功能。相较于以往项目的硬接线实现方式，华龙一号使用数字化仪控平台系统显示更加集中，便于现场改造扩展。根据安全级仪控系统的冗余要求，以及现场参数在4个通路、3个序列的分布统计，确定在全厂仪控系统架构的A、B列设置事故后监视系统，接收来自本列和其他列(通道)安全控制系统(safety control system,SCS)和堆芯冷却监视系统(core cooling monitoring system,CCMS)等系统的事故后参数变量和设备状态。PAMS在F-SC1 DCS架构中的位置如图1所示。

图1 PAMS在F-SC1 DCS架构中的位置

1.4 系统组成

为实现对这些参数和设备状态在不同工况下的监视需求，防城港3#机组事故后监视系统设计可调用和固定指示事故后监视装置，布置在主控室辅助盘台的硬件操作台(hardware control panel,HCP)。PAMS设置A、B列冗余设置。列间系统完全独立，彼此之间无通信，分别通过独立的电路供电。PAMS采用单向通信模块，无法向通信网络中的其他高等级系统发送信息，实现功能等级隔离。PAMS实现了完整的系统自诊断覆盖，并将其作为生命监测信号始终显示在运行画面中，从而及时提醒操作员设备运行状态。

2 画面设计与实现

2.1 显示设计要求

根据EJ/T 797要求，为在核电厂系统、设备应用中更有效地执行人因工程，事故后监测显示设计时应充分考虑任务、环境、设备、人员、运行和文件等多种因素的影响。因此，要充分考虑事故后监视参数的所执行的目标任务。其区别于主控室常规监视、操作显示单元，合理分配向运行人员提供数据的数量和格式，避免任何超负荷或欠负荷的设计[8]。画面显示设计的内容、任务和功能应与人的准确性、精确性和判断力能力相适应。对于执行画面显示的设备而言，要充分考虑显示装置的能见度、清晰度、数据存储能力、报警提示标志、数据显示格式和精度等方面。此外，画面显示应与用户熟悉的标准和习惯保持一致；画面显示形式应与其要体现的系统特征和功能对应一致；应避免使用与常规释义不同甚至相反的形式和语言。显示形式应与实际当前项目的情况保持一致，并根据各项目的实际情况作适应性设计。数据或标签等接口性的设计在画面设计中应保持一致，以防止因类似或相似情况引发操作员误解或迷惑而分散用户的注意力或延缓理解。

2.2 变量选择

根据GB/T 13627要求，按执行功能、重要程度的不同对事故后变量进行了分类定义，共计5类(TYPE)，即A、B、C、D、E[9]。

A型参数和状态变量所提供的信息使操纵员在没有自动控制措施的情况下能够据此采取特殊的、预先计划的手动控制。通常，这些手动控制是安全系统执行安全功能，或缓解预计运行事件(anticipated operational occurrence,AOO)后果所需要的[9]。

B型参数和状态变量所提供的信息使操纵员能够评价以下安全功能被执行或维持的情况。除包含部分A型参数和状态变量外，B型参数和状态变量增加了反应堆内表征重要设备的部分监视参数。

C型参数和状态变量所提供的信息使操纵员能够监测燃料包壳、反应堆冷却剂压力边界、安全壳这3道安全屏障的完整性和破裂的可能性。

防城港3#机组参数变量如表1所示。

表1 防城港3#机组参数变量表

在防城港3#机组中，部分A型、B型参数和状态变量包含了主要D、E型参数和状态变量的功能，单独的D型和E型参数和状态变量在PAMS不要求进行显示[10]。

2.3 参数显示与趋势记录

防城港3#机组PAMS设置4台19英寸(1英寸=25.4 mm)触摸显示器在盘台合适的位置，每列2台，可实现参数固定显示和画面可调用显示功能。操作员可在可调用显示单元上灵活切换监视画面以扩大监视范围，同时又可通过固定显示单元对重要的安全参数集中监视。

防城港3#机组PAMS用于解决参数显示和记录的模拟仪表占用盘台空间大、布置接线复杂、显示数量和存储时间有限等问题。因此，在基于FirmSy仪控平台的显示单元(visual display unit,VDU)上，将监视变量个数设计为232个，将使用常规模拟仪表的监视变量调整为26个。这种方式使得显示更为集中，参数组态修改和维护操作更便捷。考虑电厂运行需求和功能分组，确定画面的显示导航。对于事故后显示参数的显示，采用满足人因视觉要求的文本字体与颜色，通过框图进行排列显示，以满足运行人员事故后操作时的监视要求。

3 结论

核电厂的PAMS通过选择安全相关的重要参数，在事故工况中承担实时在线参数显示和趋势记录、存储功能，并保证在事故工况下连续运行72 h，方便操作员及时获取事故工况信息和电厂状态并进行适当的操作。本文通过介绍防城港3#机组事PAMS设计要求、系统构成、参数选择、实现方式以及性能指标，阐述了核电厂PAMS设计及应用过程。该研究可为其他项目的PAMS设计提供参考。