盛 靜，賈玉文，李昌政

（1.中國(guó)原子能科學(xué)研究院，北京 102413；2.浙江中控技術(shù)股份有限公司，杭州 310053）

0 引言

反應(yīng)堆保護(hù)系統(tǒng)的目的是保證反應(yīng)堆的屏障完好，限制反應(yīng)堆在允許范圍內(nèi)運(yùn)行或是緩解事故后果，保護(hù)反應(yīng)堆、環(huán)境、人員的安全[1]。在設(shè)計(jì)基準(zhǔn)事故發(fā)生時(shí)，反應(yīng)堆保護(hù)系統(tǒng)觸發(fā)緊急停堆。

反應(yīng)堆保護(hù)系統(tǒng)的旁通是反應(yīng)堆保護(hù)系統(tǒng)運(yùn)行、試驗(yàn)和維護(hù)過(guò)程中保證單一故障準(zhǔn)則和可靠性要求的重要手段，旁通分為運(yùn)行旁通和維修旁通[2,7]。

運(yùn)行旁通：根據(jù)運(yùn)行的需要，抑制保護(hù)系統(tǒng)中一部分特定功能的行為和措施[2,7]。通用于反應(yīng)堆正常啟停階段，自動(dòng)旁通保護(hù)系統(tǒng)中一部分不需要或不合適的功能。運(yùn)行旁通完全通過(guò)軟件組態(tài)自動(dòng)實(shí)現(xiàn)，而無(wú)需人為操作。如在電站升功率過(guò)程中，核功率測(cè)量?jī)x表由源量程切換至中間量程，此時(shí)為了避免源量程功率探測(cè)器給出誤觸發(fā)信號(hào)造成反應(yīng)堆誤停堆，將源量程核功率進(jìn)行旁通。

維修旁通：為了設(shè)備更換、檢修、檢驗(yàn)或校準(zhǔn)，人為地取消保護(hù)系統(tǒng)中某一設(shè)備功能的行為和措施[2,7]?？筛鶕?jù)需求對(duì)整個(gè)保護(hù)通道進(jìn)行旁通（通道旁通），也可對(duì)某個(gè)特定的保護(hù)變量進(jìn)行旁通（單參數(shù)旁通），實(shí)現(xiàn)設(shè)備維修、邏輯測(cè)試以及故障時(shí)符合邏輯降級(jí)等功能。

本文僅討論維修旁通。

1 數(shù)字化保護(hù)系統(tǒng)

反應(yīng)堆保護(hù)系統(tǒng)是一個(gè)邏輯保護(hù)系統(tǒng)，功能是當(dāng)重要的堆物理、熱工流體力學(xué)和運(yùn)行參數(shù)達(dá)到由安全分析確定的整定值或某些系統(tǒng)、設(shè)備故障時(shí)，通過(guò)邏輯符合給出保護(hù)信號(hào)，觸發(fā)緊急停堆和其它保護(hù)動(dòng)作，確保反應(yīng)堆的安全?，F(xiàn)在人們所說(shuō)的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)一般為廣義的保護(hù)系統(tǒng)，功能接近于1E級(jí)DCS。本設(shè)計(jì)基于一種2/3邏輯符合結(jié)構(gòu)的數(shù)字化保護(hù)系統(tǒng)。結(jié)構(gòu)簡(jiǎn)圖如圖1。

圖1 一種2/3邏輯符合結(jié)構(gòu)的保護(hù)系統(tǒng)示意圖Fig.1 Schematic diagram of a protection system with a 2/3 logic compliance structure

該保護(hù)系統(tǒng)采用3個(gè)邏輯序列結(jié)構(gòu)（IP、IIP、IIIP），每個(gè)序列各兩個(gè)保護(hù)子通道（Aa、Bb、Cc）。

保護(hù)系統(tǒng)采集柜（I、II、III）實(shí)現(xiàn)對(duì)現(xiàn)場(chǎng)傳感器信號(hào)、控制室控制信號(hào)等信號(hào)的調(diào)理、隔離和分配，將這些信號(hào)通過(guò)硬接線輸出至邏輯柜（Aa、Bb、Cc通道）。

邏輯柜實(shí)現(xiàn)緊急停堆系統(tǒng)功能的保護(hù)邏輯。在邏輯柜中將對(duì)這些結(jié)果進(jìn)行定值比較、信號(hào)互送和（通道ABC之間、通道abc之間的）2/3保護(hù)邏輯運(yùn)算，并根據(jù)預(yù)先設(shè)置的邏輯輸出停堆觸發(fā)信號(hào)。以邏輯柜A為例，其將經(jīng)過(guò)定值比較后的安全觸發(fā)信號(hào)送往序列II、III的B、C通道，同時(shí)接受來(lái)自B、C通道此保護(hù)變量的安全觸發(fā)信號(hào)，進(jìn)行2/3局部符合邏輯，形成變量級(jí)的保護(hù)信號(hào)，再與其他所有保護(hù)變量的變量級(jí)保護(hù)信號(hào)進(jìn)行1/N全局符合，形成A通道的通道級(jí)保護(hù)信號(hào)。

同理，序列I的a通道也形成通道級(jí)保護(hù)信號(hào)，與A通道的通道級(jí)保護(hù)信號(hào)進(jìn)行“或”邏輯后，形成序列I的停堆觸發(fā)信號(hào)觸發(fā)斷路器脫扣。最后，序列I、II、III輸出的停堆觸發(fā)信號(hào)在斷路器柜中進(jìn)行2/3符合，形成系統(tǒng)級(jí)保護(hù)信號(hào)，使斷路器脫扣。

2 維修旁通設(shè)計(jì)參考法規(guī)標(biāo)準(zhǔn)

旁通的設(shè)計(jì)參考以下法規(guī)標(biāo)準(zhǔn)中對(duì)于反應(yīng)堆保護(hù)系統(tǒng)的要求：

1）HAF102《核電廠設(shè)計(jì)安全規(guī)定》[3]。

2）HAD102/10《核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施》[4]。

3）HAD102/16《核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》[5]。

4）GB/T 13284.1《核電廠安全系統(tǒng) 第1部分：設(shè)計(jì)準(zhǔn)則》[6]。

5）GB/T 4083《核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則》[7]。

6）GB/T 5204《核電廠安全系統(tǒng)定期試驗(yàn)與監(jiān)測(cè)》[8]。

7）GB/T 13629《核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》[9]。

3 維修旁通設(shè)計(jì)方案

3.1 通道旁通設(shè)計(jì)

通道旁通時(shí)：

1）閉鎖該保護(hù)通道的輸出，直接打開(kāi)對(duì)應(yīng)的停堆斷路器。

2）通過(guò)互鎖邏輯保證同一時(shí)刻其他保護(hù)通道不會(huì)被旁通。

3）保護(hù)系統(tǒng)剩余部分按1/2的邏輯仍能執(zhí)行安全保護(hù)功能。

為防止故障通道對(duì)其他通道造成影響，閉鎖該通道的輸出。又由于一個(gè)保護(hù)通道被旁通，系統(tǒng)可靠性必然降低，為了保證緊急停堆系統(tǒng)的可靠性和安全性，打開(kāi)被旁通通道對(duì)應(yīng)的停堆斷路器，使斷路器實(shí)際執(zhí)行1/2系統(tǒng)級(jí)符合邏輯。

如果同時(shí)有兩個(gè)通道被旁通，保護(hù)系統(tǒng)可靠性不能滿足運(yùn)行要求。因此，系統(tǒng)設(shè)計(jì)必要的邏輯運(yùn)算來(lái)保證任一通道被旁通時(shí)，其它通道的旁通操作無(wú)效，禁止同時(shí)旁通兩個(gè)或以上保護(hù)通道。此即為互鎖邏輯。由于同一邏輯序列的兩個(gè)冗余子通道（如通道A和a）需要盡可能獨(dú)立，兩個(gè)冗余子通道間無(wú)信號(hào)交互，互鎖邏輯只存在于通道A/B/C之間和通道a/b/c之間。

同時(shí)，由于1）中設(shè)計(jì)，如果當(dāng)前存在某個(gè)通道對(duì)應(yīng)的斷路器因?yàn)楦鞣N原因已被觸發(fā)，其余通道也應(yīng)被禁止旁通，防止造成誤停堆，操縱員應(yīng)及時(shí)確定斷路器觸發(fā)原因并根據(jù)報(bào)警信息進(jìn)行故障處理。

3.2 單參數(shù)旁通設(shè)計(jì)

本設(shè)計(jì)中單參數(shù)旁通設(shè)計(jì)方案為：對(duì)于所有保護(hù)參數(shù)，單個(gè)傳感器質(zhì)量碼壞時(shí)（質(zhì)量碼描述見(jiàn)2.4節(jié)），所有通道中該參數(shù)的邏輯表決由2/3退化為1/2；2個(gè)傳感器質(zhì)量位壞時(shí)，1/2退化為動(dòng)作。

當(dāng)T1定期試驗(yàn)交叉比較結(jié)果顯示有某個(gè)保護(hù)變量的某一通道與其他通道不一致時(shí)，可判斷為該保護(hù)變量的傳感器故障或采集模塊故障，此時(shí)可對(duì)報(bào)警通道的該保護(hù)變量進(jìn)行單參數(shù)旁通，保證本通道與其他通道不受故障影響，盡可能減小故障維修時(shí)對(duì)系統(tǒng)可靠性的影響。

3.3 互鎖設(shè)計(jì)

旁通設(shè)計(jì)中需要考慮的互鎖需求如下：

1）通道A/B/C同時(shí)只能有至多一個(gè)通道被旁通，通道a/b/c同理。

2）當(dāng)前存在某個(gè)子通道對(duì)應(yīng)的斷路器已被觸發(fā)，其余對(duì)應(yīng)子通道禁止旁通。

3）通道A/B/C中，同時(shí)只能有至多一個(gè)通道中的保護(hù)參數(shù)N被單參數(shù)旁通，通道a/b/c同理。

4）當(dāng)前存在某個(gè)子通道已被旁通，其余邏輯序列禁止單參數(shù)旁通。

3.4 具體實(shí)施方案

1）方案簡(jiǎn)述

每個(gè)子通道設(shè)置一個(gè)通道旁通鑰匙開(kāi)關(guān)，用于旁通本通道。通道旁通的旁通面板位于邏輯柜中，共6個(gè)。通道旁通面板設(shè)置旁通指示燈來(lái)指示本子通道和其他2個(gè)對(duì)應(yīng)子通道的通道旁通狀態(tài)，同時(shí)設(shè)置指示燈來(lái)指示本子通道和其他2個(gè)對(duì)應(yīng)子通道的停堆斷路器狀態(tài)。

每個(gè)序列設(shè)置n個(gè)單參數(shù)旁通旋鈕，用于旁通各個(gè)保護(hù)參數(shù)（n一般為保護(hù)變量的個(gè)數(shù)，針對(duì)觸發(fā)同一脫扣信號(hào)的同一類(lèi)參數(shù)，在合理可行的情況下可只設(shè)置一個(gè)旁通開(kāi)關(guān)）。單參數(shù)旁通的旁通面板位于采集柜中，共3個(gè)。單參數(shù)旁通面板設(shè)置所有子通道各單參數(shù)旁通指示燈和所有單參數(shù)旁通的總參數(shù)旁通指示燈。

2）旁通面板設(shè)計(jì)

如1）中所述，旁通面板分為采集柜旁通面板和邏輯柜旁通面板，示意圖分別為圖2和圖3。

圖2 采集柜旁通面板（以IP為例）Fig.2 Bypass panel of the collection cabinet(take IP as an example)

圖3 邏輯柜旁通面板（以通道A為例）Fig.3 Logic cabinet bypass panel (take channel A as an example)

采集柜旁通面板中顯示了所有保護(hù)子通道的通道旁通信息、所有RTB（停堆斷路器）狀態(tài)信號(hào)、所有邏輯序列的單參數(shù)旁通信號(hào)（因數(shù)量過(guò)多，所有單參數(shù)旁通反饋取或后進(jìn)行顯示）。邏輯柜旁通面板中同樣顯示了以上信息，不同的是由于通道A/B/C與通道a/b/c的通道旁通信息無(wú)法共享，操縱員可通過(guò)對(duì)應(yīng)RTB分閘狀態(tài)反饋進(jìn)行判斷。

每個(gè)機(jī)柜的旁通都盡可能多地為操縱員提供關(guān)鍵旁通信息，巡檢或維修時(shí)不用打開(kāi)其他機(jī)柜。

除就地顯示外，旁通信息還可通過(guò)主控室報(bào)警裝置和監(jiān)控系統(tǒng)提供給操縱員。

3）具體邏輯設(shè)計(jì)

圖4為通道旁通互鎖邏輯（以通道A為例）。此邏輯滿足當(dāng)其余兩子通道已被旁通，或其余兩子通道及其冗余子通道對(duì)應(yīng)的斷路器打開(kāi)時(shí)，本通道旁通開(kāi)關(guān)失效。此邏輯僅在通道A/B/C之間或通道a/b/c之間進(jìn)行，保證了冗余通道間的獨(dú)立性。雖然通道A（B/C）和通道a（b/c）無(wú)互鎖邏輯，但通道A旁通時(shí)，對(duì)應(yīng)的停堆斷路器打開(kāi)，其打開(kāi)狀態(tài)會(huì)禁止通道b/c進(jìn)行通道旁通，防止誤操作帶來(lái)的誤停堆。

圖4 通道旁通互鎖邏輯（以通道A為例）Fig.4 Channel bypass interlock logic(take channel A as an example)

以保護(hù)變量N為例，圖4為通道A的保護(hù)變量N觸發(fā)停堆邏輯。

邏輯算法中輸出/輸入/系統(tǒng)變量的信號(hào)由其值和質(zhì)量碼組成，質(zhì)量碼用于表征變量的“好”“壞”。當(dāng)其為“好”時(shí)，質(zhì)量碼為1；當(dāng)其為“壞”時(shí),質(zhì)量碼為0。信號(hào)的值和質(zhì)量碼均通過(guò)網(wǎng)關(guān)柜送往NC DCS進(jìn)行顯示或報(bào)警。

停堆邏輯中通過(guò)旁通信號(hào)對(duì)質(zhì)量碼進(jìn)行置壞，達(dá)到邏輯退化降級(jí)的目的。

圖5 通道A的保護(hù)變量N觸發(fā)停堆邏輯Fig.5 The protection variable N of channel A triggers the shutdown logic

①如果有2個(gè)或2個(gè)以上輸入信號(hào)的質(zhì)量位無(wú)效，則輸出為真。

②如果有1個(gè)輸入信號(hào)的質(zhì)量位無(wú)效，當(dāng)2個(gè)有效的輸入信號(hào)中有1個(gè)輸入為真，則輸出為真，否則輸出為假。

③如果3個(gè)輸入信號(hào)的質(zhì)量位均有效，當(dāng)這些有效的輸入信號(hào)中有2個(gè)或2個(gè)以上的輸入為真，則輸出為真。如果1個(gè)或少于1個(gè)輸入為真，則輸出為假。

圖5中 為旁通邏輯模塊，功能為參數(shù)旁通及停堆信號(hào)預(yù)處理邏輯：實(shí)現(xiàn)參數(shù)旁通的互鎖邏輯，及停堆信號(hào)的故障、降級(jí)、報(bào)警等邏輯處理。其內(nèi)部邏輯如圖6。

圖6 PBP_Logic旁通邏輯模塊內(nèi)部邏輯Fig.6 PBP_Logic bypass logic module internal logic

PBP_Logic旁通邏輯模塊輸入信號(hào)如下：

BP：本通道的通道旁通信號(hào)。

PBP1：本通道的保護(hù)變量N的單參數(shù)旁通開(kāi)關(guān)信號(hào)。

PBP1_Q：本通道的保護(hù)變量N的單參數(shù)旁通開(kāi)關(guān)質(zhì)量碼。

PBP2/PBP3：通過(guò)點(diǎn)對(duì)點(diǎn)來(lái)自其余2通道的保護(hù)變量N的單參數(shù)旁通信號(hào)，對(duì)應(yīng)其余2通道中PBP_Logic模塊的輸出信號(hào)TRIP_D。

TRIP_Q：本通道的保護(hù)變量N的質(zhì)量碼，表征對(duì)應(yīng)儀表故障或采集模塊故障。

TRIP：本通道的保護(hù)變量N（模擬量超閾值結(jié)果或開(kāi)關(guān)量）。

輸出信號(hào)如下：

BP_PBP：本通道的總旁通信號(hào)，為通道旁通和單參數(shù)旁通互鎖邏輯結(jié)果的“或”，用于旁通信號(hào)報(bào)警。

PBP1_QLT：本通道的保護(hù)變量N的單參數(shù)旁通質(zhì)量碼，單參數(shù)旁通開(kāi)關(guān)質(zhì)量碼壞和本通道旁通均會(huì)造成此質(zhì)量碼變壞。

PBP1_O：本通道的保護(hù)變量N的單參數(shù)旁通信號(hào)，為3通道的單參數(shù)旁通經(jīng)過(guò)互鎖邏輯的結(jié)果，送往采集柜旁通面板進(jìn)行單參數(shù)旁通結(jié)果顯示。

PBP2/3_O：同PBP2/PBP3，來(lái)自其余2通道的保護(hù)變量N的單參數(shù)旁通信號(hào)，送往2/3邏輯塊用于計(jì)算來(lái)自其余2通道的保護(hù)變量N的質(zhì)量碼，進(jìn)行相關(guān)邏輯降級(jí)。

TRIP_D：BP_PBP和TRIP_Q的“或”結(jié)果，表征本通道被通道旁通、本通道的保護(hù)變量N被單參數(shù)旁通、本通道的保護(hù)變量N的質(zhì)量碼為壞這3種情況，送往2/3邏輯塊進(jìn)行保護(hù)變量N的邏輯降級(jí)，同時(shí)會(huì)通過(guò)點(diǎn)對(duì)點(diǎn)送往其余2個(gè)通道作為PBP2/PBP3輸入，此邏輯可以做到避免同時(shí)出現(xiàn)類(lèi)似通道A旁通的同時(shí)，通道b中的保護(hù)變量N被單參數(shù)旁通的情況。

TRIP_QLT：TRIP_D的反邏輯，用于本通道的保護(hù)變量N最終質(zhì)量碼的顯示報(bào)警。

TRIP_O：經(jīng)過(guò)旁通邏輯的本通道的保護(hù)變量N觸發(fā)信號(hào)，送往2/3邏輯塊進(jìn)行邏輯表決，同時(shí)會(huì)通過(guò)點(diǎn)對(duì)點(diǎn)送往其余2個(gè)通道作為2/3邏輯塊的輸入。

4）總結(jié)與優(yōu)點(diǎn)分析

通過(guò)通道互鎖邏輯（圖4）和PBP_Logic旁通邏輯（圖5），可以實(shí)現(xiàn)3.3節(jié)中的旁通互鎖要求。將旁通邏輯集成于一個(gè)邏輯功能塊，優(yōu)點(diǎn)是易于根據(jù)旁通設(shè)計(jì)要求集中修改、精簡(jiǎn)畫(huà)面，方便測(cè)試：

①邏輯功能的集成有助于精簡(jiǎn)畫(huà)面，使得系統(tǒng)功能圖簡(jiǎn)潔易懂，功能分區(qū)明確，不至凌亂。

②如旁通設(shè)計(jì)要求有變化，軟件設(shè)計(jì)人員可只修改旁通邏輯功能塊內(nèi)部邏輯，不用逐頁(yè)、逐個(gè)修改每個(gè)保護(hù)參數(shù)的旁通相關(guān)邏輯，可大大減少工作量。

③旁通功能塊的輸入輸出信息清晰明朗，方便對(duì)每個(gè)保護(hù)變量的旁通邏輯進(jìn)行測(cè)試，很大程度上也方便了軟件的V&V工作。

4 總結(jié)

本文研究了一種保護(hù)系統(tǒng)維修旁通設(shè)計(jì)方案，以6通道、3取2邏輯架構(gòu)的保護(hù)系統(tǒng)設(shè)計(jì)需求為基礎(chǔ)，對(duì)其他結(jié)構(gòu)的不同堆型的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的旁通設(shè)計(jì)具有參考意義。