廖圣勇,崔明路,趙 晨

(中國核電工程有限公司,北京100840)

“華龍一號”是我國自主研發(fā)的三代核電機(jī)組,其首堆工程的儀控系統(tǒng)采用全數(shù)字化DCS系統(tǒng)和先進(jìn)的全功能控制室設(shè)計,符合國內(nèi)外最新的法規(guī)、導(dǎo)則和標(biāo)準(zhǔn)的要求,同時吸收了國內(nèi)多個數(shù)字化核電廠的建設(shè)和運行經(jīng)驗,并充分借鑒國際先進(jìn)核電廠數(shù)字化儀控系統(tǒng)的設(shè)計理念,滿足三代核電技術(shù)的總體目標(biāo)要求,具有很高的成熟性和先進(jìn)性。

與二代加核電廠相比,“華龍一號”三代核電廠儀控系統(tǒng)有下列主要特點:配合工藝系統(tǒng),實現(xiàn)能動與非能動相結(jié)合的設(shè)計理念,具有完備的嚴(yán)重事故監(jiān)控手段;改進(jìn)了控制方案,滿足事故后30 min操縱員不干預(yù)原則;吸納了 “福島”后一系列技術(shù)改進(jìn),提高了儀控設(shè)備鑒定水平,大大提高了系統(tǒng)抵御內(nèi)外部災(zāi)害的能力。

“華龍一號”示范工程為福清核電站5、6號機(jī)組。作為 “華龍一號”的全球首堆,其儀控系統(tǒng)采用技術(shù)較為成熟的TXS平臺 (安全級)和T2000平臺 (非安全級)。在實際設(shè)計中,在滿足儀控總體設(shè)計理念和安全要求的基礎(chǔ)上,還充分考慮該平臺的特點,開展適應(yīng)性設(shè)計。目前“華龍一號”儀控系統(tǒng)設(shè)計工作已經(jīng)完成,設(shè)備通過了工廠出廠驗收。

1 總體結(jié)構(gòu)

“華龍一號”首堆工程的儀控系統(tǒng)總體結(jié)構(gòu)從下到上分為四層,如圖1所示。

(1)LEVEL0:工藝系統(tǒng)接口層

主要完成工藝參數(shù)的檢測、根據(jù)DCS系統(tǒng)的指令控制工藝過程等,包括各種測量設(shè)備 (傳感器、變送器、限位開關(guān))和各種執(zhí)行機(jī)構(gòu) (包括電磁先導(dǎo)閥及相應(yīng)的中間繼電器、電氣轉(zhuǎn)換器、驅(qū)動器、電氣開關(guān)柜等)。

(2)LEVEL1:自動控制和保護(hù)層

主要是通過DCS系統(tǒng)對LEVEL0測量設(shè)備的數(shù)據(jù)采集和數(shù)據(jù)處理,實現(xiàn)核電廠正常運行的調(diào)節(jié)和控制功能,反應(yīng)堆保護(hù)功能,多樣性停堆和專設(shè)驅(qū)動以及嚴(yán)重事故監(jiān)控。

(3)LEVEL2:操作和管理信息層

面向全廠的可視化監(jiān)控系統(tǒng),主要包括過程操作控制及相關(guān)信息監(jiān)視。包含主控制室、技術(shù)支持中心、遠(yuǎn)程停堆站等處的常規(guī)設(shè)備以及計算機(jī)化監(jiān)控設(shè)備,用于監(jiān)控過程及設(shè)備狀態(tài),實現(xiàn)與LEVEL1和LEVEL3層的網(wǎng)絡(luò)通訊等。

(4)LEVEL3:全廠技術(shù)管理層

主要負(fù)責(zé)整個核電廠的營運管理,通過網(wǎng)絡(luò)接口設(shè)備接收核電廠的一些必要的信息,使管理者 (核電廠管理、上級管理機(jī)關(guān)、國家應(yīng)急中心或有關(guān)安全當(dāng)局)對核電廠的狀況有所了解。包括信息管理系統(tǒng),應(yīng)急指揮中心等系統(tǒng)。

整個系統(tǒng)按照結(jié)構(gòu)分層,功能分區(qū)分組的形式進(jìn)行實施。

2 主要設(shè)計準(zhǔn)則

2.1 安全分級原則

“華龍一號”全廠安全分級是根據(jù)我國核安全導(dǎo)則HAD102/03《用于沸水堆、壓水堆和壓力管式反應(yīng)堆的安全功能和部件分級》進(jìn)行,對應(yīng)儀控系統(tǒng)主要分兩級。

(1)安全級 (1E)

執(zhí)行電廠設(shè)計總的安全要求相關(guān)功能以及事故后工況下參與共總保護(hù)功能的儀控系統(tǒng)及設(shè)備為安全級 (1E),主要包括:

1)反應(yīng)堆緊急停堆系統(tǒng);

2)專設(shè)安全設(shè)施驅(qū)動系統(tǒng);

3)事故后監(jiān)測系統(tǒng) (PAMS);

4)安全支持系統(tǒng)的;

5)反應(yīng)堆緊急停堆及專設(shè)安全設(shè)施的系統(tǒng)級手動驅(qū)動命令;

6)部分部件級手動控制等。

(2)非安全級 (NC)

不屬于安全級 (1E)的系統(tǒng)和設(shè)備被定義為非安全級 (NC)。

在非安全級儀控系統(tǒng)和設(shè)備中,有一些是對安全重要的,如多樣化保護(hù)系統(tǒng)、嚴(yán)重事故專用儀控系統(tǒng)、火災(zāi)探測、消防、通風(fēng)部分設(shè)備等,這些有特殊要求的非安全級設(shè)備定義為NC+(或NC*,NC+適用于0層設(shè)備,NC*適用于1層設(shè)備)。這些系統(tǒng)和設(shè)備需要滿足一些特殊的要求,如抗震性能要求、定期試驗要求、質(zhì)保要求等。

2.2 縱深防御原則

“華龍一號”儀控系統(tǒng)設(shè)計針對不同的核電廠工況和始發(fā)事件,能夠提供包括正常運行監(jiān)控、緊急停堆和專設(shè)安全設(shè)施驅(qū)動、多樣性停堆和專設(shè)驅(qū)動以及設(shè)計擴(kuò)展工況 (包括嚴(yán)重事故)的預(yù)防緩解設(shè)施監(jiān)控的縱深防御層次;另外,儀控系統(tǒng)設(shè)計還考慮適當(dāng)?shù)墓δ芊峙?數(shù)字、模擬等不同技術(shù)措施的合理應(yīng)用,充分的獨立性設(shè)計等手段,提高系統(tǒng)整體的可靠性,避免或限制單個或局部儀控系統(tǒng)故障對電廠整體縱深防御屏障的影響。

通過上述設(shè)計措施,能夠?qū)崿F(xiàn):

第1層:在正常運行工況下,通過非安全級操縱員工作站和控制系統(tǒng)能夠完成核電廠主要監(jiān)控任務(wù),在非安全級操縱員工作站不可用的情況下,通過后備盤可以維持核電廠一段時間的穩(wěn)定運行或?qū)㈦姀S帶入安全停堆狀態(tài);

第2層:在發(fā)生預(yù)計始發(fā)事件或事故工況下,通過保護(hù)和安全監(jiān)測系統(tǒng)自動動作將機(jī)組帶入安全停堆狀態(tài);

第3層:在發(fā)生預(yù)計始發(fā)事件或事故同時保護(hù)和安全監(jiān)測系統(tǒng)共模故障時,由多樣化保護(hù)系統(tǒng)提供事故后的自動保護(hù)功能將機(jī)組帶入安全停堆狀態(tài),之后操縱員可以通過緊急操作臺,非安全級操縱員工作站等繼續(xù)處理事故;在發(fā)生全廠斷電后,部分監(jiān)測和控制回路可以通過SBO柴油機(jī)供電持續(xù)運行,提供必要的監(jiān)測控制功能;

第4層:在發(fā)生嚴(yán)重事故,且全廠斷電后72 h內(nèi),嚴(yán)重事故儀控系統(tǒng)可以通過蓄電池供電持續(xù)運行,提供嚴(yán)重事故監(jiān)測和控制功能,降低堆芯熔化和限制放射性后果。

2.3 多樣性設(shè)計原則

通過不同儀控系統(tǒng)、結(jié)構(gòu)和部件的多樣化設(shè)計,來降低共模故障的影響:

1)安全級和非安全級儀控系統(tǒng)采用基于兩種不同的技術(shù)的平臺實現(xiàn);

2)數(shù)字化保護(hù)系統(tǒng)采用功能多樣性設(shè)計,對保護(hù)變量進(jìn)行合理分組,每個事故的觸發(fā)事件盡量采用不同測量原理的變量,并分配到不同的處理器來處理,防止應(yīng)用軟件共模故障造成的影響;

3)數(shù)字化保護(hù)系統(tǒng)由于共模故障而導(dǎo)致失效,則由多樣化保護(hù)系統(tǒng)執(zhí)行停堆及安全專設(shè)驅(qū)動等功能,多樣化保護(hù)系統(tǒng)采用與保護(hù)系統(tǒng)不同的軟、硬件設(shè)計;

4)設(shè)置手動觸發(fā)停堆和專設(shè)動作的系統(tǒng)級命令,該命令完全旁路數(shù)字化保護(hù)系統(tǒng),通過固態(tài)邏輯或繼電器進(jìn)行擴(kuò)展,直達(dá)每個執(zhí)行機(jī)構(gòu)的非計算機(jī)化驅(qū)動器控制接口;

5)設(shè)置基于常規(guī)技術(shù)的后備盤作為計算機(jī)化工作站的多樣化人機(jī)接口設(shè)備,通常情況下,電廠的信息顯示和手動控制是通過計算機(jī)化的工作站進(jìn)行的;當(dāng)主控室內(nèi)的電廠計算機(jī)信息與控制系統(tǒng)失效時,操縱員可利用后備盤維持電廠正常運行一段時間,或把電廠引入安全停堆狀態(tài)。

2.4 冗余設(shè)計和獨立性原則

安全級儀控系統(tǒng)的冗余設(shè)計用于滿足單一故障準(zhǔn)則,同時也用來提高系統(tǒng)的可靠性,避免整個儀控系統(tǒng)喪失其功能,影響電廠的運行和安全。

1)保護(hù)系統(tǒng)的儀表通道以及反應(yīng)堆緊急停堆邏輯采用四個獨立的保護(hù)通道,專設(shè)安全設(shè)施的邏輯處理及驅(qū)動采用獨立的A、B列結(jié)構(gòu),滿足單一故障準(zhǔn)則;

2)冗余的儀控系統(tǒng)其相應(yīng)的支持系統(tǒng)也采用冗余的設(shè)計,各冗余序列分別由對應(yīng)的電源系統(tǒng)進(jìn)行供電,保證了電氣獨立性;

3)在結(jié)構(gòu)和部件上,一個冗余的子系統(tǒng)執(zhí)行其功能不依賴于其他子系統(tǒng);

4)冗余的各個子系統(tǒng)布置在不同的房間,避免一個房間發(fā)生內(nèi)部災(zāi)害 (如火災(zāi)、飛射物等)影響到其他子系統(tǒng);

5)冗余子系統(tǒng)之間的內(nèi)部信號交換必須經(jīng)過電氣隔離,冗余子系統(tǒng)間的通信滿足通信隔離要求。

2.5 可試驗性原則

數(shù)字化儀控系統(tǒng)具備支持維護(hù)和試驗需要的系統(tǒng)自診斷和自動試驗的能力。保護(hù)系統(tǒng)、多樣化保護(hù)系統(tǒng)等需要滿足定期試驗的要求,定期試驗采用從探測器至驅(qū)動器的全通道試驗。數(shù)字化儀控系統(tǒng)中的設(shè)備具有在線更換或維修能力。

3 反應(yīng)堆保護(hù)系統(tǒng)

“華龍一號”首堆工程的反應(yīng)堆保護(hù)系統(tǒng)(RPS)采用AREVA的TXS平臺,總體結(jié)構(gòu)[1]見圖1。

反應(yīng)堆保護(hù)系統(tǒng)有4個保護(hù)組 (ⅠP,ⅡP,ⅢP,ⅣP)和2個邏輯系列 (A,B)組成,為了應(yīng)對共模故障,每個保護(hù)組和邏輯系列采用功能多樣性設(shè)計,即將保護(hù)參數(shù)分成2個多樣性子組 (子組1和2),分別在不同的計算機(jī)單元處理。

該結(jié)構(gòu)充分吸收了以往項目的工程經(jīng)驗,對以下幾方面進(jìn)行了設(shè)計優(yōu)化改進(jìn):

(1)冗余的保護(hù)組之間,邏輯系列之間,保護(hù)組與邏輯系列之間信號交互充分吸收了嶺澳二期等項目及TXS平臺的特點,采用網(wǎng)絡(luò)通信,有效減少了保護(hù)系統(tǒng)內(nèi)部的硬接線接口。

(2)緊急停堆功能吸取方福項目的經(jīng)驗,從邏輯系列移到保護(hù)組中實現(xiàn)。這種設(shè)計便于在機(jī)組功率運行階段對每個停堆通道進(jìn)行定期試驗,并且在一定程度上提高了緊急停堆功能與專設(shè)功能的獨立性。

(3)優(yōu)先級控制,吸收和借鑒了方福項目的設(shè)計經(jīng)驗,同時結(jié)合TXS平臺優(yōu)選模件AV42的特點,進(jìn)行了優(yōu)化設(shè)計,主要包括:

1)AV42通過Profibus-DP與非安全級DCS系統(tǒng)進(jìn)行通信,減少了優(yōu)選模件與非安全級系統(tǒng)之間的硬接線交互,降低了安全級平臺和非安全級平臺之間的網(wǎng)絡(luò)負(fù)荷;

圖1 數(shù)字化保護(hù)系統(tǒng)結(jié)構(gòu)簡圖Fig.1 Overview of the RPS

2)不同于以往項目BUP盤的非安全級命令直接采集到非安全級DCS的設(shè)計,AV42模塊能夠?qū)UP盤上的非安全級命令和狀態(tài)反饋指示進(jìn)行處理,來自BUP盤的非安全級命令和反饋指示直接與AV42接口;

3)根據(jù)功能要求增加的1E級設(shè)備級BUP手動控制,AV42模塊直接采集在1E級處理區(qū)域處理,這樣對于被控設(shè)備只有1E級BUP控制和IIC控制的設(shè)備,可以將BUP命令直接通過AV42的BUP端口觸發(fā);

4)DAS系統(tǒng)驅(qū)動信號直接與AV42通過硬接線接口。

(4)設(shè)置盤臺接口柜PI,PI為保護(hù)系統(tǒng)與BUP的接口,充分借鑒了嶺澳二期和TXS平臺的特點,保護(hù)系統(tǒng)內(nèi)部處理的報警和指示信號,通過PI送往后備盤,而不必將這部分信號通過網(wǎng)關(guān)送到非安全級平臺后再送BUP,減少了網(wǎng)關(guān)信號傳輸?shù)呢?fù)荷;設(shè)置PI柜的另一個優(yōu)勢是節(jié)省電纜,電纜托盤空間以及安裝工作量。

(5)設(shè)置傳輸單元TU,并在嶺澳二期平臺的基礎(chǔ)上擴(kuò)展了TU的功能,通過信號隔離分配模塊PIPS采集的信號,如果不參與邏輯連鎖,直接送報警和指示,TU可以直接接受PIPS分配的信號,不需要送APU采集和處理單元和ALU驅(qū)動邏輯單元后再傳輸?shù)絋U,簡化了系統(tǒng)結(jié)構(gòu)設(shè)計。

(6)設(shè)置Marshalling接線機(jī)柜,學(xué)習(xí)田灣1～4號機(jī)組設(shè)置Marshalling機(jī)柜的經(jīng)驗,實現(xiàn)電纜的集中端接,減少人為失誤。

4 多樣化保護(hù)系統(tǒng)

為應(yīng)對數(shù)字化的保護(hù)和安全監(jiān)視系統(tǒng)共模故障問題,“華龍一號”儀控設(shè)計考慮了縱深防御手段,通過多樣化保護(hù)系統(tǒng) (DAS),緊急操作臺上的停堆和專設(shè)系統(tǒng)級手動控制,以及操縱員工作站或后備盤上的部件級控制能夠處理事故并將電廠帶入安全停堆狀態(tài)。多樣化保護(hù)系統(tǒng)結(jié)構(gòu)示意圖2。

圖2 多樣化保護(hù)系統(tǒng)結(jié)構(gòu)示意圖Fig.2 Overview of the DAS

多樣化保護(hù)系統(tǒng)的自動功能主要用于執(zhí)行事故發(fā)生后30 min內(nèi)所需的保護(hù)功能,30 min后的保護(hù)動作可以手動去完成。考慮 “福島”核事故的情況,還將地震儀表系統(tǒng)引入該系統(tǒng),在地震動參數(shù)超過預(yù)置閾值信號時發(fā)出觸發(fā)自動停堆的脫扣信號。

多樣化保護(hù)系統(tǒng)同時包括了ATWT緩解系統(tǒng)功能,用于緩解緊急停堆系統(tǒng)故障所產(chǎn)生的后果。

相比于保護(hù)和安全監(jiān)測系統(tǒng),多樣化保護(hù)系統(tǒng)保護(hù)定值的選取偏向 “最佳估算”的方向,以確保在保護(hù)和安全監(jiān)測系統(tǒng)正常時其保護(hù)功能能夠首先觸發(fā)來處理事故。多樣化保護(hù)系統(tǒng)的停堆和專設(shè)指令均采取帶電動作,輸出指令進(jìn)行2取2表決,以降低誤動概率。

5 設(shè)計擴(kuò)展工況的儀控處理

“華龍一號”儀控系統(tǒng)在設(shè)計之初就配合工藝系統(tǒng),為實現(xiàn)對預(yù)防和緩解嚴(yán)重事故的非能動工藝系統(tǒng)監(jiān)控設(shè)置了嚴(yán)重事故專用儀控系統(tǒng),詳見圖3。該系統(tǒng)用于監(jiān)測嚴(yán)重事故管理所需的核電廠狀態(tài)參數(shù),并為執(zhí)行嚴(yán)重事故預(yù)防和緩解的工藝系統(tǒng)、設(shè)備提供必要的監(jiān)督和控制。

嚴(yán)重事故儀控系統(tǒng)設(shè)置專用的控制機(jī)柜,完成信號采集,邏輯處理和設(shè)備驅(qū)動功能,并通過位于主控制室的常規(guī)顯示操作設(shè)備為操縱員提供嚴(yán)重事故的監(jiān)測和控制手段。此外嚴(yán)重事故儀控系統(tǒng)還滿足嚴(yán)重事故環(huán)境下的鑒定要求,接受72 h蓄電池供電,可在發(fā)生嚴(yán)重事故且全廠斷電工況下,廠外臨時電源接入之前,保持72 h正常運行。

設(shè)計過程中,由于我國核安全部門規(guī)章 《核動力廠設(shè)計安全規(guī)定》 (HAF102—2016)升版過程中增加了關(guān)于設(shè)計擴(kuò)展工況 (包括嚴(yán)重事故)的設(shè)計要求,“華龍一號”及時對設(shè)計擴(kuò)展工況進(jìn)行分析并在設(shè)計上進(jìn)行了優(yōu)化,為應(yīng)對設(shè)計擴(kuò)展工況的相關(guān)設(shè)備增加了72 h供電要求。

圖3 嚴(yán)重事故儀控系統(tǒng)結(jié)構(gòu)圖Fig.3 Overview of the I&C system during severe accident

6 主控制室設(shè)計

主控制室是全廠儀控系統(tǒng)的集中點,是人-機(jī)接口最集中的地方,是操縱員借助安裝在主控制室內(nèi)的全廠儀控系統(tǒng)設(shè)備監(jiān)測和控制整個電廠過程變量的中心。

主控制室為操縱員提供了達(dá)到電廠運行目標(biāo)所必需的人-機(jī)接口及有關(guān)的信息和設(shè)備。在核電廠正常運行、預(yù)期運行事件和事故工況下,支持操縱員掌握核電廠的運行狀態(tài),正確地做出決策,及時采取必要措施,減少人為失誤,確保核電廠的安全。

主控制室內(nèi)有四個完全相同的計算機(jī)化工作臺。采用前3后1的布置方式,3名操縱員工作站布置在前方,根據(jù)協(xié)調(diào)員的要求管理、控制并完成所有運行任務(wù);協(xié)調(diào)員工作站位于3個操縱員工作站的后方,作為機(jī)組正常運行的指揮者和事故狀態(tài)下的協(xié)調(diào)者。同時,協(xié)調(diào)員根據(jù)任務(wù)量對規(guī)程進(jìn)行任務(wù)分配,并對規(guī)程的執(zhí)行負(fù)責(zé)。大屏幕安裝在操縱員工作臺的正前方,從操縱員所在的控制區(qū)域內(nèi)可以清楚地識別屏幕信息。該顯示屏幕為主控制室運行人員提供電站主要參數(shù)、主要驅(qū)動器狀態(tài)和安全保護(hù)系統(tǒng)狀態(tài)信息。

在主控制室內(nèi)的操縱員工作站不可用的情況下,運行人員可根據(jù)當(dāng)前核電廠工況,通過后備盤維持核電廠正常運行一段時間或使核電廠達(dá)到并維持在安全停堆狀態(tài)。后備盤以一種不同于工作站的多樣化的手段支持核電廠運行,作為計算機(jī)化工作站失效后的后備監(jiān)控手段。除了作為多樣化手段支持電廠運行,后備盤還設(shè)置有嚴(yán)重事故監(jiān)控區(qū)域,以在嚴(yán)重事故乃至疊加全廠失電的工況下,向運行人員提供必要的監(jiān)視和控制手段。除少量控制設(shè)備外,操縱員無論從工作站轉(zhuǎn)移到后備盤,還是從后備盤返回到工作站,都要進(jìn)行切換操作。需避免從工作站和后備盤上對同一設(shè)備同時進(jìn)行操作。緊急操作盤 (ECP)用于手動停堆或觸發(fā)專設(shè)安全設(shè)施系統(tǒng)級驅(qū)動指令,并旁路保護(hù)系統(tǒng)的計算機(jī)化部分。

7 抗震鑒定

“華龍一號”堆型進(jìn)一步提高了抗震設(shè)計,標(biāo)準(zhǔn)設(shè)計地震輸入采用0.3g地面最大加速度,進(jìn)一步增強(qiáng)電站的固有安全能力,并提高機(jī)組的廠址適應(yīng)性。對于 “華龍一號”首堆項目的DCS系統(tǒng),安全級儀控設(shè)備在原有的完整的部件級試驗加分析法的基礎(chǔ)上,又額外考慮了對于典型樣機(jī)的整機(jī)鑒定試驗,從多個層次驗證設(shè)備的抗震性能。同時較以往項目抗震性能得到了更大的保證。

樣機(jī)的選擇考慮了如下的原則:

1)典型的機(jī)柜結(jié)構(gòu)和內(nèi)部布置;

2)項目中用到的所有類型的機(jī)柜;

3)最惡劣的影響因素如滿負(fù)荷,重量最大,機(jī)柜的振動頻率應(yīng)該包絡(luò)樓層反應(yīng)譜的峰值頻率等。

根據(jù)上述原則,樣機(jī)包含以下幾類:

1)PAC優(yōu)選驅(qū)動控制機(jī)柜;

2)PIPS機(jī)柜;

3)電源和監(jiān)視機(jī)柜 (SMC)機(jī)柜;

4)APU、ALU、TU、PI柜具有相同的結(jié)構(gòu)和類似的內(nèi)部布置,選取對抗震影響最大的機(jī)柜類型進(jìn)行試驗。

除了安全級儀控設(shè)備的鑒定之外,嚴(yán)重事故用儀表、電纜、貫穿件等按照嚴(yán)重事故環(huán)境條件進(jìn)行鑒定,以滿足嚴(yán)重事故條件下監(jiān)督和控制要求。

8 結(jié)論

“華龍一號”首堆工程數(shù)字化儀控系統(tǒng)設(shè)計充分考慮了安全分級的最新要求,考慮系統(tǒng)多樣性設(shè)計,吸納了福島核事故后一系列的改進(jìn),無論是功能上,還是系統(tǒng)性能上都有顯著的改進(jìn)和提高,滿足三代核電儀控系統(tǒng)的要求。在后續(xù)項目中,可以考慮將多樣化保護(hù)系統(tǒng)采用不同于保護(hù)系統(tǒng)和正常運行儀控系統(tǒng)的平臺,從而進(jìn)一步提高縱深防御不同層次之間的獨立性。