胡清仁
(中国核动力研究设计院 核反应堆系统设计技术重点实验室,成都 610213)
随着科学技术的发展,核反应堆装置正在向着更可靠、更先进、更安全的方向发展。反应堆保护系统提供对核电厂偏离正常运行工况的监测,同时驱动相应的安全功能以使电厂安全停闭并维持安全状态,从而保证在事故情况下反应堆、核电厂设备、人员和环境的安全。操纵员还可实现对相关参数和设备状态参数信息的监视以及对相应系统设备的操作。核电站保护系统必须采用多样性设计,降低共因故障导致保护系统失效的风险,以满足核电站纵深防御原则,实现安全核电站的安全目标。因此,安全级DCS 在架构设计时,应充分考虑共因故障的影响,尽可能降低DCS 设备及组件故障对电厂正常运行和可用性的影响。基于核电厂的纵深防御原则,应对某些安全功能进行了功能多样性的设计,在ECP 上设计了一套手动触发保护功能的手段,为了实现多样性,ECP 手动命令一方面送入安全级DCS 软逻辑参与相关的保护功能,还提供一路ECP硬逻辑手动触发功能,在安全级DCS 软逻辑实现的保护功能失去时,提供了一种多样化的手动后备触发手段。
根据标准NB/T 20026 要求,为了缓解核电厂故障发生时的影响,安全级数字化保护系统设计须充分考虑电厂纵深防御设计[1];标准IEEE Std.603要求,安全级DCS 系统设计时应充分考虑多样性、单一故障和防共因故障原则[2]。共因故障指的是由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障。这里的单一事件或起因既可以是由外部客观原因造成的事件,也可以是人为原因造成的事件[3]。
结合相关法规和标准要求,当数字系统发生共因故障后,为了符合单一故障准则,保证安全功能不丧失,可通过后备的基于模拟技术的控制装置执行安全功能[4]。在安全级DCS 内搭建手动保护硬逻辑来应对数字化控制系统软件共因故障引发的失效,手动保护硬逻辑作为一种多样性应对措施,其设计策略如下:
(1)硬逻辑应采用具有高可靠性且与安全级DCS计算机化部分具有多样性的设备实现;
(2)手动硬逻辑控制回路与数字化系统共用的设备尽可能的少,数字化控制系统的故障不应妨碍手动控制的执行;
(3)对于ECP 上系统级手动按钮,用于搭建硬逻辑的开关/按钮触点宜与用于数字化软逻辑的开关/按钮触点分开,即采集按钮/开关的不同触点,如果采用了相同的触点,则应保证单个触点的故障不会导致ECP 软逻辑和硬逻辑触发功能同时丧失;
(4)对于ECP 手动硬逻辑,除用于控制停堆断路器UV 线圈的信号回路外,其它信号回路失电不得触发紧急停堆或启动专设安全设施。
对于III 类、Ⅳ类事故,除要求反应堆停堆外,还必须投入专设安全设施系统,应考虑的典型事故主要有:失水事故(LOCA)、SG 破管、蒸汽管道破裂(或SG 释放阀意外打开)、主给水管道破裂等。将以下触发的保护动作考虑多样性的硬逻辑设计:
(1)手动停堆功能;
(2)系统级专设控制功能:安全注入、安全壳喷淋、安全壳A 阶段隔离、安全壳B 阶段隔离、启动辅助给水和蒸汽管道隔离。
2.1.1 停堆按钮与安全级DCS 的接口设计
由于保护组I/III 共用RPA300TO,保护组II/IV共用RPB300TO,盘台给安全级DCS 提供3 副常开触点和3 副常闭触点,手动停堆按钮的触点采用以下分配原则(以系列A 为例):
(1)RPA300TO 的“常开触点1”由保护组I 的机柜采集,通过继电器分配至RPA100JA、RPA101JA停堆硬逻辑,分别控制停堆断路器的分励线圈;“常开触点2”由逻辑系列A 的PIP 模块采集,然后分配至保护组I 和保护组III 的控制站;RPA300TO 的“常开触点3”由保护组III 的机柜采集,通过继电器分配至RPA200JA、RPA201JA 停堆硬逻辑,分别控制停堆断路器的分励线圈。
(2)RPA300TO 的“常闭触点1”直接进保护组I的机柜,通过继电器分配至RPA100JA、RPA101JA停堆硬逻辑,分别控制RPA100JA、RPA101JA 停堆断路器的失压线圈,不用采集进入数字化软逻辑;RPA300TO 的“常闭触点2”直接进保护组III 的机柜,通过继电器分配至RPA200JA、RPA201JA 停堆硬逻辑,分别控制RPA200JA、RPA201JA 停堆断路器的失压线圈,不用采集进入数字化软逻辑。
2.1.2 具体的ECP 手动停堆硬逻辑设计
安全级DCS 与停堆断路器的接口包括送往停堆断路器的紧急停堆信号和接收来自停堆断路器的状态反馈信号。安全级DCS 需要驱动8 个停堆断路器实现反应堆停堆(以四取二逻辑的方式相互连接),每个保护组的2 个多样性子组输出的停堆信号硬件取“或”后输出;每个断路器有2 个脱扣线圈:分励线圈和失压线圈;为了保证停堆的可靠性,分励线圈的控制指令为得电动作,失压线圈的控制指令为失电动作。
ECP 上手动停堆信号(RPA300TO/RPB300TO)既参与自动停堆逻辑,又参与手动停堆硬逻辑控制,为了应对设备单一故障,通过硬逻辑控制失压线圈的指令使用300TO 的常闭触点;通过硬逻辑控制分励线圈的指令使用300TO 的常开触点。
手动安注信号058TO 引发的紧急停堆功能,作为一种多样性的后备手段,手动安注硬接线的停堆信号只需要控制停堆断路器的分励线圈,并且受MCR/RSS 模式切换的控制。
为了满足保护组失电时让本保护组控制的停堆断路器打开,采用以下的设计原则:
(1)用于控制分励线圈的DO 信号其信号特性为1,输出回路失电时的状态为0;
(2)用于控制失压线圈的DO 信号其信号特性为0,输出回路失电时的状态为0。
正常工况下用于控制停堆断路器失压线圈的DO 输出为1,用于控制停堆断路器分励线圈的DO输出为0。针对用于控制分励和失压线圈的停堆信号,均采用双DO“与”逻辑设计,以避免由于单个DO 模块的故障及维护触发本通道停堆断路器打开。具体的停堆硬逻辑控制原理如图1 所示。
图1 停堆硬逻辑控制原理图Fig.1 Hardware logic control schematic diagram for reactor shutdown
2.2.1 系统级控制按钮与安全级DCS 的接口设计
根据控制功能划分,ECP 系统级指令主要包括:安注、安全壳隔离A 阶段、安全壳隔离B 阶段、安全壳喷淋、主给水隔离、启动辅助给水、蒸汽管线隔离等,需要搭建硬逻辑的ECP 按钮如表1 所示。
表1 手动保护硬逻辑按钮清单Tab.1 List of manual protection hard logic buttons
ECP 上的系统级手动操作按钮给安全级DCS提供3 副常开触点,在安全级DCS 的逻辑系列中,采用3 张隔离分配模块分别采集按钮的3 副触点,以应对单个隔离分配模块故障导致的控制功能丧失,再通过隔离分配模块进行分配后分别送至硬逻辑和软逻辑。
以安注手动控制按钮为例,就其信号接口做如下说明,其它系统级手动控制按钮的接口方式与安注手动控制按钮接口方式一致。RPA058TO 的“触点1”、“触点2”、“触点3”通过3 张隔离分配模块进行采集,然后分配至专设驱动控制站、保护通道控制站参与数字化软逻辑,分配至安注、安全壳隔离A阶段、保护组I/III 的手动停堆硬逻辑,并分别在硬逻辑控制回路和各个软逻辑控制站中做“2/3 逻辑”。ECP 系统级手动按钮以及BUP 复位按钮的“2/3 逻辑”软逻辑,选用带逻辑降级功能的2/3 模块,逻辑退化关系为2/3→1/2→1/1,输入信号质量位均为坏时,退化为不动作。
2.2.2 具体的ECP 系统级控制硬逻辑设计
对于位于ECP 上的启动专设功能的手动命令,用于硬逻辑和软逻辑的信号应接入按钮的常开触点,即触点闭合时触发专设启动。ECP 硬逻辑中如果需要来自驱动器的状态反馈信号用于联锁,则该状态反馈信号在被安全级DCS 软逻辑采集之前分配至ECP 硬逻辑。ECP 硬逻辑中的RS 触发器在失去供电后,不应保持失电之前已触发的安全动作,当供电恢复后,RS 触发器应趋于不发出安全动作。
ECP 系统级控制硬逻辑根据按钮和具体PLM所属的机柜,可将ECP 硬逻辑搭建在继电器机柜或者各个PLM 机柜内,应尽可能的减少机柜间连接关系,以保证硬逻辑控制回路的可靠性。具体的安注手动保护硬逻辑设计原理如图2 所示。以安注手动控制为例,其手动保护硬逻辑设计策略如下:
图2 安全注入手动保护硬逻辑控制原理图Fig.2 Hard logic control schematic for manual containment injection protection
(1)ECP 上的手动安注控制设置2 个开关(RPA 058TO/RPB058TO),手动安注信号既参与自动停堆功能,又参与手动停堆硬逻辑,同时还参与安注和CIA 驱动控制功能。
(2)BUP 上的安注手动闭锁按钮(RPA060TO/RPB060TO)只有在安注信号触发5 min 后,才能允许手动复位和闭锁输出,其也需要搭建相应的硬逻辑,同时受MCR/RSS 切换的控制。ESFAC 软件逻辑中R-L 触发器之后,5 min 延时之前的安注手动复位允许信号,需通过DO 送至ECP 硬逻辑,用于同步触发ECP 硬逻辑中的5 min 延时。
(3)ECP 上的“安注信号”反馈指示灯(RPA059LA2/RPB059LA2),由软件产生的SI 信号和硬逻辑产生的SI 信号进行硬件“或”逻辑后,再送至ECP 上的指示灯进行指示。
(4)BUP 上的“安注信号”反馈指示灯(RPA059LA1/RPB059LA1),仅由软件产生的SI 信号送至BUP 上进行指示。
5)BUP 上的“安注功能被闭锁”反馈指示灯(RPA 060LA/RPB060LA),软件产生的SI 信号(300 s 延时后)和硬逻辑产生的SI 信号(300 s 延时后)进行硬件“或”逻辑后,再送至BUP 上进行指示。
为了提高保护系统的可靠性,安全级DCS 系统设计应充分考虑多样性设计策略,来搭建一个高可靠性的反应堆保护系统架构,以提高反应堆保护系统的可靠性和可维护性。本文就ECP 手动停堆和系统级手动专设驱动的多样性控制进行研究,描述了应对共因故障的多样化硬逻辑设计策略,详细对ECP 上的停堆按钮和专设驱动按钮的触点分配进行说明,并给出了一种典型的手动停堆和手动安注驱动硬逻辑设计策略和硬逻辑原理,可为后续的核电项目安全级DCS 手动保护硬逻辑设计提供指导。