李炳營，劉 燁，黃國慶，魏永波，徐海霞，韓立欣，后 接，*

（1.中國科學(xué)院上海應(yīng)用物理研究所，上海 201800）

儀控系統(tǒng)是整個反應(yīng)堆的關(guān)鍵設(shè)備，它對控制反應(yīng)堆的安全運行、顯示反應(yīng)堆的運行狀態(tài)、對運行的異常報警和設(shè)備的故障報警起著重要的作用。2MWt液態(tài)燃料釷基熔鹽實驗堆（TM?SR-LF1）儀控系統(tǒng)設(shè)計時將HAF 201《研究堆設(shè)計安全規(guī)定》作為頂層的設(shè)計基準(zhǔn)，為確保系統(tǒng)的功能和可靠性要求，系統(tǒng)在設(shè)計中考慮單一故障準(zhǔn)則、冗余、獨立性、多樣性、縱深防御、故障安全等原則。本文主要介紹TMSR-LF1儀控設(shè)計中縱深防御的設(shè)計考慮和對設(shè)計的合理性進(jìn)分析。

1 總的縱深防御層次

《研究堆設(shè)計安全規(guī)定》及IAEA發(fā)布的安全標(biāo)準(zhǔn)均明確了縱深防御的要求，即在儀控設(shè)計中必須貫徹縱深防御的原則，給反應(yīng)堆提供多層次的深度保護從而防止放射性物質(zhì)釋放，并確保在防護失敗的情況下采取適當(dāng)?shù)拇胧┍Ｗo人類和環(huán)境以及減輕后果。儀控設(shè)計提供多層次的保護手段，確保了反應(yīng)堆的下列基本安全功能［1］：在所有工況條件下，均能停堆并保持安全停堆狀態(tài)；足以排出停堆后（包括事故工況停堆后）的余熱；包容放射性物質(zhì)，避免向環(huán)境的釋放。

SSG-39是反應(yīng)堆儀控設(shè)計的專業(yè)指導(dǎo)標(biāo)準(zhǔn)［2］。SSG-39要求分配給儀控系統(tǒng)的功能包括在各種運行狀態(tài)模式和事故條件下提供與反應(yīng)堆運行相關(guān)的信息和控制的能力，目標(biāo)是實現(xiàn)如下的縱深防御功能：第一層次，防止偏離正常運行；第二層次，檢測故障并控制異常操作；第三層次，控制設(shè)計基準(zhǔn)事故；第四層次，控制超設(shè)計基準(zhǔn)事故的后果；第五層次，減輕事故后輻射釋放的后果。儀控系統(tǒng)的架構(gòu)設(shè)計中需要充分考慮縱深防御的要素，并且保證縱深防御的每一層次的防御深度和多樣性，在實際可行的范圍內(nèi)各防御的層次應(yīng)是獨立的。因此，在整體的儀控系統(tǒng)結(jié)構(gòu)上的防御深度是通過獨立的防御層次實現(xiàn)的，一條防御層次的失效可以由下一條防線來彌補，一個層次內(nèi)應(yīng)充分考慮多樣性。多樣性和縱深防御之間是不可分割的，多樣性設(shè)計是實現(xiàn)縱深防御原則的主要手段，縱深防御又是多樣性的補充，不同的縱深防御層次之間具有多樣性的特點，同一防御層次內(nèi)也應(yīng)用了多樣性的設(shè)計［3］。NUREG/CR-6303給出了數(shù)字化儀控系統(tǒng)多樣性和縱深防御的設(shè)計指導(dǎo)［4］，7通過對縱深防御設(shè)計的評價，確定是否存在共因故障風(fēng)險的地方，薄弱的環(huán)節(jié)是否通過多樣性和縱深防御設(shè)計進(jìn)行了補償。本文對縱深防御策略在TMSR-LF1儀控設(shè)計中的應(yīng)用進(jìn)行了分析。

2 TMSR-LF1儀控系統(tǒng)縱深防御設(shè)計

儀控系統(tǒng)的設(shè)計應(yīng)保證反應(yīng)堆的安全在重疊的保護措施之下，即使有一層失效，將由適當(dāng)?shù)拇胧┨綔y、補償或糾正［5］。儀控系統(tǒng)的整個設(shè)計中貫徹縱深防御的原則，以便對各種瞬發(fā)的或預(yù)計運行事件及事故提供多層次的保護［6］，防御因儀控系統(tǒng)設(shè)備自身的故障造成的不安全的事件。TMSR-LF1儀表和控制系統(tǒng)設(shè)計為滿足實驗堆的總安全性目標(biāo)，并根據(jù)實驗堆總的縱深防御策略，設(shè)置了如下四層防御層次：

（1）控制層：由堆控制系統(tǒng)執(zhí)行在正常運行過程中的運行監(jiān)測和控制功能，使反應(yīng)堆維持在安全狀態(tài)，防止異常工況或事故工況的出現(xiàn)。控制層是在正常運行時，防止反應(yīng)堆偏離正常運行和預(yù)期運行事件升級為事故，對應(yīng)總的縱深防御的第一層次和第二層次。

堆控制系統(tǒng)采用非安全級的DCS系統(tǒng)，以過程控制功能為基礎(chǔ)進(jìn)行分組分配，分成若干個控制子系統(tǒng)，通過對控制棒的提出和插入進(jìn)行控制從而控制反應(yīng)堆的啟動、功率調(diào)節(jié)、停堆。

（2）緊急停堆層：當(dāng)發(fā)生預(yù)計運行事件時，由保護系統(tǒng)自動觸發(fā)緊急停堆（RT）動作，防止發(fā)展成事故。如果發(fā)生自動觸發(fā)緊急停堆動作失效，可手動觸發(fā)控制棒落棒實現(xiàn)停堆。在緊急停堆后，由一直在線運行、依靠非能動原理工作的余熱排出系統(tǒng)排出余熱，實現(xiàn)安全停堆。緊急停堆層對應(yīng)總的縱深防御的第三層次。

執(zhí)行緊急停堆的系統(tǒng)為安全級保護系統(tǒng)，采用多重的設(shè)計。

（3）專設(shè)驅(qū)動層：當(dāng)發(fā)生特定的事故時，由操縱員手動觸發(fā)關(guān)閉安全容器相關(guān)的隔離閥門，防止事故進(jìn)一步惡化和大量放射性物質(zhì)向環(huán)境釋放。專設(shè)驅(qū)動層對應(yīng)總的縱深防御的第四層和第五層的防御。

（4）監(jiān)測和顯示層：給自動的動作和操縱員的手動操作提供精確的信息，操縱員依賴監(jiān)測儀表和顯示設(shè)備執(zhí)行任務(wù)或響應(yīng)外部事件，包含安全級和非安全級的監(jiān)測和顯示，監(jiān)測和顯示設(shè)備均分布在其他三個層次的系統(tǒng)中。

TMSR-LF1的監(jiān)測由非安全級監(jiān)測和顯示及安全級監(jiān)測和顯示組成，具體設(shè)備包括安全級和非安全的監(jiān)測設(shè)備、數(shù)據(jù)處理與顯示系統(tǒng)、安全盤臺上的SVDU以及部分儀表的本地顯示模塊等。

TMSR-LF1儀表和控制系統(tǒng)為反應(yīng)堆的正常運行提供緊急停堆安全保護功能、信息顯示及控制功能和事故后監(jiān)測的功能。TMSR-LF1儀控系統(tǒng)總體結(jié)構(gòu)可分為以下三層：現(xiàn)場設(shè)備層、過程控制層、監(jiān)控層，TMSR-LF1儀控系統(tǒng)的結(jié)構(gòu)見圖1［7,8］。

圖1 TMSR-LF1儀表控制系統(tǒng)的結(jié)構(gòu)框圖Fig.1 TMSR-LF1 I&C structure diagram

2.1 控制層

控制防御層的功能是將反應(yīng)堆維持在運行限制之內(nèi)，以免引起緊急停堆，由非安全級的控制系統(tǒng)平臺實現(xiàn)，非安全級的儀控平臺可以實現(xiàn)堆控制系統(tǒng)和數(shù)據(jù)顯示與處理系統(tǒng)的功能，集中控制、顯示和管理整個實驗堆運行過程的信息，并對異常信息進(jìn)行診斷和報警，提供完整的日志記錄和歷史數(shù)據(jù)。

基于過程控制功能的集中原則，對控制功能進(jìn)行分組分配，堆控制系統(tǒng)中設(shè)置了如下控制子系統(tǒng)：功率控制子系統(tǒng)、回路控制子系統(tǒng)、氣路控制子系統(tǒng)、燃料裝載與排放控制子系統(tǒng)、輔助工藝控制子系統(tǒng)。各控制系統(tǒng)由分配的獨立的機柜完成數(shù)據(jù)采集和過程控制。

功率控制系統(tǒng)可實現(xiàn)各種工況下堆功率的監(jiān)測和控制功能。熔鹽回路包括經(jīng)過堆芯的燃料鹽回路和經(jīng)過雙熔鹽熱交換器的冷卻鹽回路以及相應(yīng)的回路管道和熔鹽儲罐等，熔鹽回路控制系統(tǒng)用于維護實驗堆燃料鹽回路、冷卻鹽回路上設(shè)備的正常運行，以保證反應(yīng)堆的核功率能夠高效率地轉(zhuǎn)化為熱功率，從堆芯導(dǎo)出到熱交換器；氣路控制系統(tǒng)主要功能是實現(xiàn)對氣路系統(tǒng)的供氣子系統(tǒng)、尾氣處理子系統(tǒng)的控制，從而為各用氣設(shè)備提供符合要求的氣體，并將各設(shè)備出口尾氣處理合格后排放；燃料裝載與排放控制系統(tǒng)實現(xiàn)對燃料鹽裝載和排放的手動和自動控制，實現(xiàn)對燃料裝載與排放管路上設(shè)備正常運行的控制和燃料裝載和排放的功能及聯(lián)鎖功能；輔助工藝控制系統(tǒng)實現(xiàn)堆廠房內(nèi)暖通、設(shè)冷水、冷凍水、配電設(shè)備、UPS、柴油發(fā)電機等進(jìn)行監(jiān)測和控制功能；輻射監(jiān)測系統(tǒng)是相對單獨的系統(tǒng)，非安全相關(guān)的輻射監(jiān)測信號通過網(wǎng)關(guān)傳送到數(shù)據(jù)處理與顯示系統(tǒng)，在主控室進(jìn)行顯示和報警。

2.2 緊急停堆層

緊急停堆防御層提供自動和手動緊急停堆的功能。在安全參數(shù)超過整定值時，依靠保護系統(tǒng)立即自動觸發(fā)緊急停堆，并迅速把反應(yīng)堆引入深的次臨界狀態(tài)，防止瞬態(tài)事故的進(jìn)一步發(fā)展，所對應(yīng)的總的防御層次的保護系統(tǒng)由安全參數(shù)監(jiān)測儀表、邏輯處理機柜、驅(qū)動機構(gòu)及手動驅(qū)動電路組成，在保護參數(shù)監(jiān)測儀表監(jiān)測值達(dá)到或超過停堆動作整定值時，保護系統(tǒng)邏輯處理機柜自動產(chǎn)生緊急停堆信號，驅(qū)動停堆斷路器脫扣，從而斷開控制棒的驅(qū)動電源，使所有控制棒依靠自身重力下落插入石墨孔道中，實現(xiàn)自動緊急停堆［9,10］。

保護系統(tǒng)采用兩重冗余的設(shè)計，設(shè)置了A、B兩個通道，通道間采用二取一邏輯，任一通道給出停堆信號，即可完成緊急停堆。架構(gòu)圖如圖2所示，根據(jù)LF1保護參數(shù)的設(shè)置，其中提供緊急停堆監(jiān)測變量的傳感器為堆外寬量程中子探測器及其二次儀表2組，燃料鹽堆芯出口溫度監(jiān)測熱電偶2個，安全參數(shù)的特性見表1。兩個通道的監(jiān)測信號分別傳至兩個通道各自的保護機柜的信號處理板卡，由其對信號進(jìn)行隔離、調(diào)理運算、進(jìn)行整定值比較后，將信號送給不同通道的邏輯處理板卡進(jìn)行二選一符合邏輯處理，表決產(chǎn)生的緊急停堆信號分別輸出到對應(yīng)的停堆斷路器。停堆斷路器連接方式為A1與B1串聯(lián)，A2和B2串聯(lián)，兩串聯(lián)支路并聯(lián)［11］。

表1 安全參數(shù)的特性監(jiān)測通道特性Table 1 The characteristics of the safety parameters characteristics monitor

圖2 TMSR-LF1保護系統(tǒng)架構(gòu)圖Fig.2 TMSR-LF1 protection system structure diagram

手動停堆功能是在發(fā)生自動觸發(fā)緊急停堆動作失效時使用的，可通過設(shè)置在主控室的安全控制盤臺上的兩個冗余的手動停堆開關(guān)執(zhí)行手動緊急停堆功能。送到停堆斷路器的手動停堆信號引起欠壓線圈失電，勵磁線圈得電，停堆斷路器打開，切斷控制棒電機供電回路，控制棒落入堆芯。手動停堆指令是兩個手動停堆開關(guān)串聯(lián)后接入保護系統(tǒng)機柜的RTRM停堆矩陣，RTRM停堆矩陣為硬件聯(lián)接電路，這種直接觸發(fā)的安全功能不受系統(tǒng)內(nèi)其他部件故障的影響。斷路器的停堆命令由保護系統(tǒng)機柜的RTRM停堆矩陣的UV（欠壓脫扣）矩陣和ST（分閘脫扣）矩陣發(fā)出。UV輸出為有源DC48V信號，DC48V信號直接驅(qū)動UV線圈。ST線圈由直流配電箱提供DC220V控制電源。斷路器的UV線圈和ST線圈分別由保護系統(tǒng)和直流配電箱供電，實現(xiàn)了供電的多樣性。停堆斷路器UV線圈和ST線圈的供電的示意圖見圖3。

圖3 斷路器線圈供電示意圖Fig.3 power supply for coil in a circuit breaker

TMSR-LF1遠(yuǎn)程停堆點是在主控室發(fā)生火災(zāi)不可用并且未完成緊急停堆功能時，提供遠(yuǎn)程（應(yīng)急）手動停堆功能。遠(yuǎn)程停堆手動觸發(fā)與主控室手動緊急停堆采用不同的設(shè)計，遠(yuǎn)程停堆手動觸發(fā)裝置通過電氣連接控制全部控制棒驅(qū)動機構(gòu)電機供電回路的通斷，遠(yuǎn)程停堆點停堆控制原理圖見圖4。主控室手動緊急停堆通過停堆斷路器控制停堆驅(qū)動機構(gòu)電機的供電回路通斷。遠(yuǎn)程停堆點手動觸發(fā)緊急停堆功能實現(xiàn)了手動停堆功能的多樣性。

圖4 遠(yuǎn)程停堆點停堆控制原理圖Fig.4 RT schematic for remote shutdown station

2.3 專設(shè)驅(qū)動層

根據(jù)安全分析的結(jié)果，TMSR-LF1設(shè)置的專設(shè)安全設(shè)施為安全隔離閥門、非能動余熱排出系統(tǒng)和安全容器，其中余熱排出和安全容器在事故后不需要任何控制或驅(qū)動，但是為了限制事故后放射性物質(zhì)向環(huán)境釋放的可能，在燃料鹽邊界和覆蓋氣邊界與外界聯(lián)系的管路上設(shè)置了安全隔離閥門，這些安全隔離閥門需要根據(jù)運行的需要進(jìn)行手動關(guān)閉。主控室安全盤臺上共布置4個旋鈕開關(guān)，執(zhí)行對安全隔離閥門的分組手動關(guān)閉功能。這些旋鈕開關(guān)直接控制連接相應(yīng)閥門供電回路中的繼電器對閥門供電回路進(jìn)行通斷操作。根據(jù)各閥門的功能分類及運行要求，設(shè)計中對相同功能的閥門進(jìn)行分組控制，減少了操作設(shè)備數(shù)量，減少了操縱員工作負(fù)荷。正常運行時，這些閥門的控制及狀態(tài)反饋等功能由非安全級控制平臺實現(xiàn)。所有安全隔離閥門供電的本地配電箱中設(shè)置了切斷所有閥門供電的斷路器，在主控室手動按鈕故障未能關(guān)閉閥門時，可在本地切斷閥門的供電，使得所有安全隔離閥門失電關(guān)閉，安全隔離閥手動關(guān)閉功能控制原理圖如圖5所示

圖5 安全隔離閥控制原理圖Fig.5 control schematic for safety isolating valve

安全盤臺上對安全隔離閥門的手動關(guān)閉功能與非安全級控制平臺的控制是獨立的。關(guān)閉閥門時，旋鈕開關(guān)控制繼電器失電，供電回路斷開，隔離閥門失電關(guān)閉；安全控制盤臺上關(guān)閉旋鈕對閥門的關(guān)閉功能優(yōu)先于DCS控制操作功能。復(fù)位閥門時，旋鈕開關(guān)控制繼電器得電，此時隔離閥門的動作由非安全級DCS端的控制狀態(tài)決定。手動和自動安全隔離閥門的正常操作由非安全級的控制系統(tǒng)、數(shù)據(jù)處理和顯示系統(tǒng)完成，安全控制盤臺上手動關(guān)閉閥門功能由純硬件電路構(gòu)成，體現(xiàn)了多樣性的設(shè)計原則。

依據(jù)事故后操縱員在30分鐘內(nèi)不干預(yù)原則，對作為專設(shè)的安全隔離閥門只設(shè)置手動的關(guān)閉功能，不設(shè)置自動關(guān)閉功能是可行的。

2.4 監(jiān)測和顯示層

監(jiān)測和顯示層是最后的防御層，在前三層的防御均失效時，操縱員可根據(jù)儀表的正確指示判斷事故的嚴(yán)重程度，進(jìn)行相應(yīng)的手動操作，盡可能地減少放射物的釋放。TMSR-LF1儀控系統(tǒng)的監(jiān)測和顯示層由非安全級的數(shù)據(jù)處理和顯示系統(tǒng)的操作員站和安全盤臺上的SVDU組成。在顯示終端的布置上考慮了分散的特點，分別在主控室和遠(yuǎn)程停堆點設(shè)置顯示與操作終端。

安全重要的儀表參數(shù)和設(shè)備的狀態(tài)由安全盤臺上的SVDU顯示，用于事故后堆內(nèi)及大廳的劑量信息在安全盤臺的SVDU上顯示，并且這些儀表配備了本地顯示模塊，安全盤臺的SVDU上顯示故障時，這些參數(shù)可在本地查看，事故后劑量顯示具有多樣性的特點。保護系統(tǒng)的重要信息包括安全參數(shù)、事故后監(jiān)測變量以及保護系統(tǒng)的狀態(tài)信息，均通過單向網(wǎng)關(guān)傳遞到數(shù)據(jù)處理和顯示系統(tǒng)進(jìn)行顯示，補充了安全重要信息的信息顯示多樣性。過程控制的儀表參數(shù)及設(shè)備的狀態(tài)信息由非安全級的數(shù)據(jù)處理和顯示系統(tǒng)處理和顯示，均可在主控室的操縱員站和遠(yuǎn)程停堆點的監(jiān)測站顯示。

儀控系統(tǒng)的部分?jǐn)?shù)據(jù)通過信息顯示與處理系統(tǒng)的數(shù)據(jù)鏈服務(wù)器單向發(fā)送至廠級信息系統(tǒng)，由廠級信息系統(tǒng)完成信息的遠(yuǎn)傳與顯示。

3 TMSR-LF1儀控系統(tǒng)縱深防御應(yīng)用分析

本文對TMSR-LF1儀控系統(tǒng)縱深防御層次設(shè)置與標(biāo)準(zhǔn)的符合性進(jìn)行分析，還分析了儀控系統(tǒng)縱深防御設(shè)計中的多樣性和獨立性的設(shè)置特點。

NUREG/CR-6303介紹了一種典型的核電廠數(shù)字化儀控系統(tǒng)的防御層次，其分別為控制層、緊急停堆層、專設(shè)驅(qū)動層、監(jiān)測和顯示層。當(dāng)控制系統(tǒng)失效時，緊急停堆系統(tǒng)緊急關(guān)閉反應(yīng)堆；當(dāng)控制系統(tǒng)和緊急停堆系統(tǒng)均失效時，專設(shè)驅(qū)動系統(tǒng)對反應(yīng)堆的冷卻和輻射釋放提供物理屏障，監(jiān)測和顯示層提供了操縱員進(jìn)行手動控制所需的信息，其功能也分散到其余三個層次中。所有的四層防御均依賴于傳感器來決定何時執(zhí)行功能，要求提供信息的傳感器之間的單一故障不會破壞縱深防御的層次。TMSR-LF1儀表和控制系統(tǒng)設(shè)置了四重防御層次，控制防御層、緊急停堆防御層、專設(shè)驅(qū)動層、監(jiān)測和顯示層的縱深防御層次與NUREG/CR-6303介紹的縱深防御層次是相一致的。在這四個縱深防御層次的每個層次中又根據(jù)各設(shè)備的功能對安全的重要性分為非安全級組和安全級組，如表2所示。

表2 TMSR-LF1儀表控制系統(tǒng)與防御層次之間的關(guān)系Table 2 The relation ship between I&C and D3

縱深防御的各個層次之間要求盡可能的獨立，各層次之間盡可能的要求不共用傳感器，TM?SR-LF1儀表和控制系統(tǒng)縱深防御的獨立性設(shè)置特點有如下幾個方面：

（1）保護系統(tǒng)、控制系統(tǒng)安全盤臺滿足電氣隔離和實體隔離的要求，因此縱深防御的各個層次之間是獨立的，緊急停堆的手動停堆開關(guān)和專設(shè)驅(qū)動的手動開關(guān)均設(shè)置于安全盤臺上，安全盤臺上電路的布置滿足分隔距離要求，在分隔距離不滿足時設(shè)置屏障以滿足電路的獨立性要求。

（2）緊急停堆系統(tǒng)的傳感器信號與控制系統(tǒng)的傳感器獨立，但是事故后監(jiān)測與緊急停堆系統(tǒng)存在共用的傳感器，因為用做保護變量的參數(shù)作為事故后監(jiān)測變量的D類變量，為顯示單個安全系統(tǒng)和安全支持系統(tǒng)狀態(tài)所設(shè)置的監(jiān)測，不作為事故后手動控制措施的必要的信息，因此保護系統(tǒng)和事故后監(jiān)測共用傳感器是可接受的。

縱深防御各個層次之間的設(shè)備要求具有多樣性，每個層次內(nèi)盡量考慮多樣性設(shè)計，實現(xiàn)一條防御層次的失效可以由下一條防線來彌補，防御共因故障造成的多條防御層次失效。TMSRLF1儀表和控制系統(tǒng)縱深防御的多樣性設(shè)置特點有如下幾個方面的特點：

（1）安全系統(tǒng)組和非安全系組采用了多樣性設(shè)計策略［12］。

（2）安全系統(tǒng)組和非安全系組分別提供了自動和手動驅(qū)動功能來支持這些縱深防御層次：控制層和緊急停堆層均設(shè)置自動和手動的驅(qū)動功能，但是在專設(shè)驅(qū)動層只設(shè)置了手動驅(qū)動功能，因為釷基熔鹽實驗堆事故后30分鐘不需要干預(yù)，因此在事故后由操縱員手動關(guān)閉安全隔離閥是可行的。

（3）斷路器的UV線圈和ST線圈分別由保護系統(tǒng)和直流配電箱供電，實現(xiàn)了斷路器線圈供電的多樣性；保護系統(tǒng)機柜、控制系統(tǒng)機柜均可接受兩路供電，一路市電，一路UPS，具有多樣性的特點。

4 結(jié)論

TMSR-LF1儀表和控制系統(tǒng)縱深防御設(shè)計參考了NUREG/CR-6303分層方式，設(shè)計了四層縱深防御層次，分析表明，TMSR-LF1儀表和控制系統(tǒng)的設(shè)計符合標(biāo)準(zhǔn)的要求，符合《研究堆設(shè)計安全規(guī)定》的要求，符合項目縱深防御總體要求，能夠有效地實現(xiàn)儀控系統(tǒng)在各種運行狀態(tài)模式和事故條件下提供與反應(yīng)堆運行相關(guān)的信息和控制的能力。本文對其他實驗堆的儀控系統(tǒng)的設(shè)計具有重要的參考意義。