馮偉偉，段天英，尹 凱，徐啟國

（中國原子能科學(xué)研究院，北京 102413）

0 引言

多樣化驅(qū)動（DAS）系統(tǒng)是從壓水堆的ATWT/ATWS系統(tǒng)演變而來的。ATWT/ATWS是為克服或緩解沒有停堆的預(yù)期瞬變過程（ATWT，Anticipated Transient Without Trip或稱ATWS，Anticipated Transient Without Scram）而設(shè)置的。ATWT/ATWS系統(tǒng)提供反應(yīng)堆保護(hù)系統(tǒng)之外的多樣化驅(qū)動功能，在萬一發(fā)生反應(yīng)堆保護(hù)系統(tǒng)不能實(shí)現(xiàn)停堆（包括保護(hù)系統(tǒng)本身失效）時，附加保護(hù)系統(tǒng)進(jìn)一步給出反應(yīng)堆停堆信號，同時啟動輔助給水系統(tǒng)，并使汽輪機(jī)停機(jī)，以減緩ATWT事故，保證電廠的安全。美國依據(jù)NRC Branch Technical Position BTP-7-19，Rev 5以及NUREG-0800的要求，對保護(hù)系統(tǒng)多樣性的設(shè)計提出了更高的要求，即需提供多樣化的保護(hù)措施以應(yīng)對可能發(fā)生的整個安全級儀控系統(tǒng)的軟件共模故障。

數(shù)字化技術(shù)進(jìn)入反應(yīng)堆儀控系統(tǒng)后，有了新的需求，需要考慮軟件共模故障。相關(guān)工作人員發(fā)現(xiàn)軟件共模失效的應(yīng)對系統(tǒng)與ATWT的應(yīng)對系統(tǒng)有很多共性，于是從AP1000的設(shè)計開始，把ATWT/ATWS系統(tǒng)逐步增加功能，逐漸演變成多樣性驅(qū)動（DAS）系統(tǒng)，也有很多壓水堆同時設(shè)置DAS系統(tǒng)（或者其他名稱）和ATWT應(yīng)對系統(tǒng)。

1 多樣化驅(qū)動系統(tǒng)的功能[2]

反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計已考慮防止軟件共模故障，可一旦這種概率很小的共因故障出現(xiàn)了，多樣化驅(qū)動系統(tǒng)（DAS系統(tǒng)）就能提供多樣化驅(qū)動。DAS系統(tǒng)包括：自動驅(qū)動功能、手動驅(qū)動功能以及顯示和報警功能。DAS系統(tǒng)動作輸出采用正電平觸發(fā)信號，系統(tǒng)斷電后不給出停堆或?qū)ＴO(shè)觸發(fā)信號。具體功能如下：

1）自動驅(qū)動功能：DAS采用與保護(hù)系統(tǒng)共用探測器信號，當(dāng)相關(guān)參數(shù)超過限值時，給出停堆、停機(jī)，觸發(fā)專設(shè)安全設(shè)施動作。

2）手動驅(qū)動功能：DAS系統(tǒng)在控制室提供手動操作手段，使用硬接線連接，能完成停堆、停機(jī)、專設(shè)安全設(shè)施觸發(fā)等動作信號（手動功能優(yōu)先于自動功能，操作前需進(jìn)行確認(rèn)）。

3）顯示和報警功能：主控室中顯示傳感器信號。這與保護(hù)系統(tǒng)的顯示功能不同，也顯示系統(tǒng)故障和系統(tǒng)內(nèi)報警信號。

4）試驗(yàn)功能：DAS系統(tǒng)屬于NC（S）的范圍，為了提高系統(tǒng)的可靠性，具有定期試驗(yàn)的功能。定期試驗(yàn)由手動啟動，并自動完成相關(guān)的試驗(yàn)內(nèi)容。定期試驗(yàn)可以在停堆換料期間進(jìn)行，且不會對核電廠的正常運(yùn)行造成影響。

所以，DAS系統(tǒng)是保護(hù)系統(tǒng)的多樣化后備，有時也稱為多樣化保護(hù)系統(tǒng)。

2 設(shè)置DAS系統(tǒng)的目的

從其誕生來源可知，壓水堆多樣性驅(qū)動（DAS）系統(tǒng)的設(shè)計目的是：減小設(shè)計中的“未能緊急停堆的預(yù)期瞬態(tài)（ATWT/ATWS）”和共模故障可能引起的嚴(yán)重事故的概率。

1）ATWT（Anticipated Transient Without Trip），未能緊急停堆的預(yù)期瞬態(tài)：在II類工況后，保護(hù)系統(tǒng)發(fā)生故障而未能緊急停堆，如：喪失正常給水、喪失廠外電源、反應(yīng)堆系統(tǒng)誤降壓、控制棒誤提升、甩負(fù)荷或汽機(jī)脫扣等。

2）共模故障：由共同原因引起的兩個或者兩個以上元件同時失效（主要是針對安全級儀控平臺軟件的共因失效Software Common Cause Failure（SWCCF））。

2.1 快堆嚴(yán)重事故與壓水堆的區(qū)別及應(yīng)對

池式鈉冷快堆區(qū)別于普通壓水堆，其嚴(yán)重事故分別為：失流事故、瞬態(tài)超功率、燃料破損遷移、失去熱阱事故。設(shè)計基準(zhǔn)事故和反應(yīng)堆保護(hù)系統(tǒng)失效同時發(fā)生的事故，主要是以下3種：

1）失流事故

類似于壓水堆喪失掉正常給水的（ATWT）事故，池式鈉冷快堆最為接近的是無保護(hù)失流事故。緊急停堆失效下的無保護(hù)失流事故，可能導(dǎo)致冷卻劑沸騰和堆芯上部形成鈉空泡系數(shù)為正。大型反應(yīng)堆可能導(dǎo)致反應(yīng)堆超功率，并且使堆芯熔化。目前，快堆設(shè)計中設(shè)置了非能動停堆棒，應(yīng)對可能發(fā)生的失流事故而迅速停堆。

2）瞬態(tài)超功率

通過對FFTF和CRBR反應(yīng)堆瞬態(tài)超功率事故的分析表明：在包殼失效時，通道中冷卻劑向上流動，導(dǎo)致燃料向上輸運(yùn)后，事故終止。試驗(yàn)中，事故的反應(yīng)性引入速率是0.1$/s，該值是反應(yīng)堆中控制棒抽出引入反應(yīng)性速率的4倍。由于燃料包殼的失效，包殼內(nèi)和包殼外燃料的運(yùn)動均引入負(fù)的反應(yīng)性反饋，凈反應(yīng)性很快成為負(fù)值，導(dǎo)致反應(yīng)堆中子學(xué)停堆。

3）破損的燃料擴(kuò)散

對于氧化物燃料反應(yīng)堆，由于氧化物燃料可以與鈉發(fā)生反應(yīng)，并且在破損局部形成沉淀產(chǎn)物。實(shí)驗(yàn)證明，沉淀增長得比較緩慢，有足夠的時間通過緩發(fā)中子探測器探測到燃料包殼失效。因此，燃料包殼失效后，很容易實(shí)現(xiàn)反應(yīng)堆停堆和清除失效燃料組件。對于金屬燃料反應(yīng)堆，由于金屬燃料不與鈉發(fā)生反應(yīng)，因而事故后果只有燃料逸散到主容器中。實(shí)驗(yàn)表明，包殼失效的結(jié)果可以接受。假如發(fā)生部分入口阻塞，將通過冷卻劑溫度升高和緩發(fā)中子信號測得，因此有足夠的時間來實(shí)現(xiàn)停堆和清除失效組件。

在目前的快堆的設(shè)計中，有緩發(fā)中子監(jiān)測信號，對此嚴(yán)重事故可有效進(jìn)行控制。

2.2 針對設(shè)計預(yù)期瞬態(tài)不停堆（ATWT）事件的緩解

在壓水堆機(jī)組中，Westinghouse，EDF，F(xiàn)ramatome和CEA各公司均對各ATWT進(jìn)行了研究，并得出一致結(jié)論：喪失掉正常給水和失掉廠外電源這兩個ATWT最為嚴(yán)重，前者使一回路超壓，后者使DNBR降低。而壓水堆中多樣性驅(qū)動（DAS）系統(tǒng)（包含ATWT部分）中，針對喪失掉正常給水的措施是汽機(jī)跳閘，啟動輔助給水系統(tǒng)等措施來防止蒸汽發(fā)生器燒干，利用緊急停堆保護(hù)系統(tǒng)來保護(hù)反應(yīng)堆。

圖1 US-EPR中DAS系統(tǒng)與SICS系統(tǒng)接口Fig.1 Interface between DAS system and SICS system in US-EPR

針對于快堆來說，由于是常壓系統(tǒng)，不存在一回路超壓工況。相對于壓水堆相似工況，快堆比較擔(dān)心的是無保護(hù)的失流。在保護(hù)系統(tǒng)不能起作用的情況下，目前快堆設(shè)計中設(shè)置了非能動停堆棒，應(yīng)對可發(fā)生的失流事故，無需多樣性驅(qū)動（DAS）系統(tǒng)起相應(yīng)作用。對于快堆而言，冷卻劑是液態(tài)金屬，故不存在偏離泡核沸騰問題（DNBR降低）。

2.3 針對共模故障的應(yīng)對

美國依據(jù)NRC Branch Technical Position BTP-7-19，Rev 5，2007以及NUREG-0800的要求，對保護(hù)系統(tǒng)多樣性的設(shè)計提出了更高的要求，即需提供多樣化的保護(hù)措施以應(yīng)對可能發(fā)生的整個安全級儀控系統(tǒng)的軟件共模故障。

但是，在NRC Branch Technical Position BTP-7-19，Rev 6，2012中，針對共模故障的概念又有了新的解釋。

2.4 小結(jié)

由上面分析可知，快堆的設(shè)計中需要考慮軟件的共模故障，而設(shè)置DAS系統(tǒng)。換句話說，DAS系統(tǒng)在快堆中只需要用來應(yīng)對保護(hù)系統(tǒng)軟件失效。

3 壓水堆DAS系統(tǒng)獨(dú)立性分析

3.1 AP1000和US-EPR[4]

在US-EPR中，沒有設(shè)置專門的DAS監(jiān)測參數(shù)。這是因?yàn)樵O(shè)計人員認(rèn)為其儀控系統(tǒng)中，參數(shù)監(jiān)測顯示相關(guān)的內(nèi)容是旁通了任何基于計算機(jī)微處理器進(jìn)行數(shù)據(jù)處理的，系統(tǒng)本身具有適度的多樣性。因此，不需要在DAS系統(tǒng)中設(shè)置多樣性參數(shù)監(jiān)視。而在AP1000中，DAS系統(tǒng)使用獨(dú)立于保護(hù)系統(tǒng)的傳感器。

圖2 AP1000 DAS系統(tǒng)總體結(jié)構(gòu)Fig.2 AP1000 DAS System overall structure

3.2 VVERAES91機(jī)組（田灣核電站）

田灣在開始并未考慮針對軟件共模失效的DAS系統(tǒng)，后來根據(jù)新的安全要求，增加了MASS系統(tǒng)。

MASS為操縱員提供安全系統(tǒng)手動驅(qū)動方式，同時通過正常運(yùn)行儀控系統(tǒng)為操縱員提供電站重要事件的監(jiān)視。出現(xiàn)反應(yīng)堆保護(hù)系統(tǒng)失效時，操縱員可以通過監(jiān)視畫面提供的信息，判斷人工干預(yù)的必要性，確定是否操作數(shù)字化專設(shè)安全設(shè)施驅(qū)動多樣性系統(tǒng)設(shè)備，驅(qū)動必要的安全系統(tǒng)設(shè)備，應(yīng)對或緩解事故的后果，維持電站各項(xiàng)參數(shù)處于安全范圍以內(nèi)。

田灣3、4號機(jī)組反應(yīng)堆保護(hù)系統(tǒng)（ESFAS部分）在測量和邏輯運(yùn)算部分已經(jīng)實(shí)現(xiàn)了多樣性，沒有必要再設(shè)置一套同樣的控制系統(tǒng)。但由于原安全儀控系統(tǒng)采用了相同的軟件，可設(shè)置1套基于硬件的MASS系統(tǒng)，提供手動觸發(fā)旁通計算機(jī)軟件的手段。MASS可簡潔地與TXS系統(tǒng)集成到一起，而不影響系統(tǒng)原有架構(gòu)，所以MASS系統(tǒng)沒有設(shè)置獨(dú)立的探測器。

3.3 EPR機(jī)組（臺山核電站）

同樣作為第3代堆型的EPR，它采取的是針對嚴(yán)重事故特別設(shè)置新的儀控系統(tǒng)，即嚴(yán)重事故儀控系統(tǒng)（SAI&C）和嚴(yán)重事故儀控系統(tǒng)（SAS DEC-B）。根據(jù)概率安全分析得到的可靠性數(shù)據(jù)，EPR的儀控設(shè)計方案滿足相關(guān)的安全所要求的概率目標(biāo)。

對影響保護(hù)系統(tǒng)共因故障的預(yù)防和緩解是EPR設(shè)計的一個重要特征，這一原則體現(xiàn)在其它儀控系統(tǒng)（獨(dú)立于保護(hù)系統(tǒng)）中的后備功能實(shí)現(xiàn)上。

圖3 EPR儀控系統(tǒng)總體結(jié)構(gòu)圖Fig.3 Overall structure of EPR I & C system

EPR原始方案中設(shè)置了一個硬核系統(tǒng)（HKS），后來根據(jù)這個思路設(shè)計了DAS系統(tǒng)。DAS系統(tǒng)并沒有設(shè)置完全獨(dú)立的探測器，也沒有設(shè)置獨(dú)立的斷路器。

保護(hù)系統(tǒng)通過失電線圈控制停堆斷路器，而DAS系統(tǒng)通過分勵線圈（得電動作）控制停堆斷路器。由DAS系統(tǒng)產(chǎn)生的停堆信號會觸發(fā)停堆，反應(yīng)堆停堆信號會直接觸發(fā)汽機(jī)跳閘，同時該信號會送到保護(hù)系統(tǒng)以保持一致性(每個序列內(nèi)經(jīng)過四取二表決邏輯處理)。

獨(dú)立于保護(hù)系統(tǒng)的汽輪機(jī)的停機(jī)功能，DAS系統(tǒng)可通過冷段溫度低信號觸發(fā)跳機(jī)信號。

3.4 CPR1000機(jī)組

CPR1000是以中廣核集團(tuán)從法國引進(jìn)的M310機(jī)組為基礎(chǔ)，結(jié)合技術(shù)改進(jìn)形成的中國大型商用壓水堆技術(shù)方案。CPR1000機(jī)組的DAS系統(tǒng)是保護(hù)系統(tǒng)的多樣性配置，傳感器的多樣性已經(jīng)在保護(hù)系統(tǒng)中考慮，故DAS系統(tǒng)從支持驅(qū)動的多樣性考慮，沒有設(shè)置完全獨(dú)立于保護(hù)系統(tǒng)的儀表。

3.5 CNP1000機(jī)組

福清、方家山核電站機(jī)組型號為CNP1000，其儀控系統(tǒng)也進(jìn)行了數(shù)字化升級。

DAS系統(tǒng)與反應(yīng)堆保護(hù)系統(tǒng)共用測量儀表，來自傳感器或者變送器的信號在反應(yīng)堆保護(hù)系統(tǒng)側(cè)進(jìn)行隔離后，再通過硬接線分配到DAS機(jī)柜。經(jīng)必要的處理后，再進(jìn)行閾值比較。當(dāng)超過閾值則產(chǎn)生“局部脫扣（partial trip）”信號，然后進(jìn)行相應(yīng)的邏輯處理，產(chǎn)生觸發(fā)緊急停堆、汽輪機(jī)剎車、安全注入以及蒸汽管道隔離等功能的信號。

3.6 小結(jié)

1）壓水堆的DAS系統(tǒng)主要作為保護(hù)軟件部分的多樣性設(shè)計，并未采用完全獨(dú)立于保護(hù)系統(tǒng)的探測儀表，但是要求探測信號不能進(jìn)入DCS網(wǎng)絡(luò)或者數(shù)據(jù)處理單元。

2）壓水堆設(shè)置了ATWT應(yīng)對系統(tǒng)，但是這個系統(tǒng)也沒有設(shè)置完全獨(dú)立于保護(hù)系統(tǒng)的儀表。

3）DAS系統(tǒng)設(shè)置獨(dú)立的探測器是更好的選擇，但不是必須這樣做。

4 快堆DAS系統(tǒng)獨(dú)立性分析

4.1 平臺的獨(dú)立性

DAS系統(tǒng)選用與反應(yīng)堆保護(hù)系統(tǒng)不同的安全級DCS平臺產(chǎn)品，兩個平臺其設(shè)備及軟件架構(gòu)都是不同的。其技術(shù)與制造工藝均不同，如保護(hù)系統(tǒng)選擇CPU架構(gòu)的平臺，那么DAS系統(tǒng)可選用FPGA技術(shù)實(shí)現(xiàn)或者使用模擬技術(shù)。當(dāng)然，另一種CPU架構(gòu)的平臺也是可以的。

且DAS系統(tǒng)采用一般考慮造價和可用性，采用2/2符合邏輯，主動信號驅(qū)動（斷路器得電斷開），不同于保護(hù)系統(tǒng)2/4的符合邏輯及故障安全設(shè)計（斷路器失電斷開），降低了誤動概率。

4.2 設(shè)備布置及供電的獨(dú)立性

DAS系統(tǒng)的兩個機(jī)柜獨(dú)立于保護(hù)系統(tǒng)機(jī)柜，可以確保與保護(hù)系統(tǒng)的設(shè)備實(shí)體分隔。

DAS系統(tǒng)供電為兩路獨(dú)立的（分別來自于應(yīng)急A列和應(yīng)急B列）應(yīng)急不間斷交流電源，與保護(hù)系統(tǒng)設(shè)備電氣隔離。

4.3 保護(hù)參數(shù)的獨(dú)立性與多樣性

DAS系統(tǒng)的保護(hù)參數(shù)選擇，應(yīng)是對所有始發(fā)事件的保護(hù)參數(shù)的最小割集，保證在發(fā)生任意需要停堆的始發(fā)事件時，如果保護(hù)系統(tǒng)未能停堆，則DAS系統(tǒng)能觸發(fā)停堆或?qū)ＴO(shè)。

DAS系統(tǒng)與保護(hù)系統(tǒng)有部分信號共用，DAS系統(tǒng)取信號是在信號進(jìn)入安全級DCS之前，通過隔離模塊進(jìn)行隔離分配。其中，溫度信號需要軟件進(jìn)行溫度計算，故DAS系統(tǒng)設(shè)置了獨(dú)立的溫度傳感器。

當(dāng)保護(hù)系統(tǒng)軟件故障時，不會對探測器的信號產(chǎn)生影響。

4.4 驅(qū)動設(shè)備的獨(dú)立性

DAS系統(tǒng)在主控室和遠(yuǎn)程停堆站設(shè)置了停堆及專設(shè)觸發(fā)的手動按鈕，與保護(hù)系統(tǒng)不同；后備盤設(shè)置了專門的DAS操作區(qū)。

DAS系統(tǒng)的斷路器設(shè)置了與保護(hù)系統(tǒng)不同的斷路器，采用2/2的符合邏輯。

5 總結(jié)

通過對壓水堆和快堆DAS系統(tǒng)的設(shè)計和獨(dú)立性分析，認(rèn)為目前快堆DAS系統(tǒng)與保護(hù)系統(tǒng)之間滿足實(shí)體分隔、功能隔離、電氣隔離等獨(dú)立性設(shè)計要求，并且對比壓水堆DAS系統(tǒng)以及相關(guān)法律法規(guī)的要求，快堆DAS系統(tǒng)作為反應(yīng)堆保護(hù)系統(tǒng)的多樣性手段之一，其平臺、軟件架構(gòu)、設(shè)備、驅(qū)動機(jī)構(gòu)、驅(qū)動方式等均滿足獨(dú)立性原則，保證在保護(hù)系統(tǒng)平臺失效時，提供既定的保護(hù)功能。