盛 靜，賈玉文，李昌政

（1.中國原子能科學(xué)研究院，北京 102413；2.浙江中控技術(shù)股份有限公司，杭州 310053）

0 引言

反應(yīng)堆保護(hù)系統(tǒng)的目的是保證反應(yīng)堆的屏障完好，限制反應(yīng)堆在允許范圍內(nèi)運(yùn)行或是緩解事故后果，保護(hù)反應(yīng)堆、環(huán)境、人員的安全[1]。在設(shè)計(jì)基準(zhǔn)事故發(fā)生時，反應(yīng)堆保護(hù)系統(tǒng)觸發(fā)緊急停堆。

反應(yīng)堆保護(hù)系統(tǒng)的旁通是反應(yīng)堆保護(hù)系統(tǒng)運(yùn)行、試驗(yàn)和維護(hù)過程中保證單一故障準(zhǔn)則和可靠性要求的重要手段，旁通分為運(yùn)行旁通和維修旁通[2,7]。

運(yùn)行旁通：根據(jù)運(yùn)行的需要，抑制保護(hù)系統(tǒng)中一部分特定功能的行為和措施[2,7]。通用于反應(yīng)堆正常啟停階段，自動旁通保護(hù)系統(tǒng)中一部分不需要或不合適的功能。運(yùn)行旁通完全通過軟件組態(tài)自動實(shí)現(xiàn)，而無需人為操作。如在電站升功率過程中，核功率測量儀表由源量程切換至中間量程，此時為了避免源量程功率探測器給出誤觸發(fā)信號造成反應(yīng)堆誤停堆，將源量程核功率進(jìn)行旁通。

維修旁通：為了設(shè)備更換、檢修、檢驗(yàn)或校準(zhǔn)，人為地取消保護(hù)系統(tǒng)中某一設(shè)備功能的行為和措施[2,7]?？筛鶕?jù)需求對整個保護(hù)通道進(jìn)行旁通（通道旁通），也可對某個特定的保護(hù)變量進(jìn)行旁通（單參數(shù)旁通），實(shí)現(xiàn)設(shè)備維修、邏輯測試以及故障時符合邏輯降級等功能。

本文僅討論維修旁通。

1 數(shù)字化保護(hù)系統(tǒng)

反應(yīng)堆保護(hù)系統(tǒng)是一個邏輯保護(hù)系統(tǒng)，功能是當(dāng)重要的堆物理、熱工流體力學(xué)和運(yùn)行參數(shù)達(dá)到由安全分析確定的整定值或某些系統(tǒng)、設(shè)備故障時，通過邏輯符合給出保護(hù)信號，觸發(fā)緊急停堆和其它保護(hù)動作，確保反應(yīng)堆的安全?，F(xiàn)在人們所說的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)一般為廣義的保護(hù)系統(tǒng)，功能接近于1E級DCS。本設(shè)計(jì)基于一種2/3邏輯符合結(jié)構(gòu)的數(shù)字化保護(hù)系統(tǒng)。結(jié)構(gòu)簡圖如圖1。

圖1 一種2/3邏輯符合結(jié)構(gòu)的保護(hù)系統(tǒng)示意圖Fig.1 Schematic diagram of a protection system with a 2/3 logic compliance structure

該保護(hù)系統(tǒng)采用3個邏輯序列結(jié)構(gòu)（IP、IIP、IIIP），每個序列各兩個保護(hù)子通道（Aa、Bb、Cc）。

保護(hù)系統(tǒng)采集柜（I、II、III）實(shí)現(xiàn)對現(xiàn)場傳感器信號、控制室控制信號等信號的調(diào)理、隔離和分配，將這些信號通過硬接線輸出至邏輯柜（Aa、Bb、Cc通道）。

邏輯柜實(shí)現(xiàn)緊急停堆系統(tǒng)功能的保護(hù)邏輯。在邏輯柜中將對這些結(jié)果進(jìn)行定值比較、信號互送和（通道ABC之間、通道abc之間的）2/3保護(hù)邏輯運(yùn)算，并根據(jù)預(yù)先設(shè)置的邏輯輸出停堆觸發(fā)信號。以邏輯柜A為例，其將經(jīng)過定值比較后的安全觸發(fā)信號送往序列II、III的B、C通道，同時接受來自B、C通道此保護(hù)變量的安全觸發(fā)信號，進(jìn)行2/3局部符合邏輯，形成變量級的保護(hù)信號，再與其他所有保護(hù)變量的變量級保護(hù)信號進(jìn)行1/N全局符合，形成A通道的通道級保護(hù)信號。

同理，序列I的a通道也形成通道級保護(hù)信號，與A通道的通道級保護(hù)信號進(jìn)行“或”邏輯后，形成序列I的停堆觸發(fā)信號觸發(fā)斷路器脫扣。最后，序列I、II、III輸出的停堆觸發(fā)信號在斷路器柜中進(jìn)行2/3符合，形成系統(tǒng)級保護(hù)信號，使斷路器脫扣。

2 維修旁通設(shè)計(jì)參考法規(guī)標(biāo)準(zhǔn)

旁通的設(shè)計(jì)參考以下法規(guī)標(biāo)準(zhǔn)中對于反應(yīng)堆保護(hù)系統(tǒng)的要求：

1）HAF102《核電廠設(shè)計(jì)安全規(guī)定》[3]。

2）HAD102/10《核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施》[4]。

3）HAD102/16《核動力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》[5]。

4）GB/T 13284.1《核電廠安全系統(tǒng) 第1部分：設(shè)計(jì)準(zhǔn)則》[6]。

5）GB/T 4083《核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則》[7]。

6）GB/T 5204《核電廠安全系統(tǒng)定期試驗(yàn)與監(jiān)測》[8]。

7）GB/T 13629《核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》[9]。

3 維修旁通設(shè)計(jì)方案

3.1 通道旁通設(shè)計(jì)

通道旁通時：

1）閉鎖該保護(hù)通道的輸出，直接打開對應(yīng)的停堆斷路器。

2）通過互鎖邏輯保證同一時刻其他保護(hù)通道不會被旁通。

3）保護(hù)系統(tǒng)剩余部分按1/2的邏輯仍能執(zhí)行安全保護(hù)功能。

為防止故障通道對其他通道造成影響，閉鎖該通道的輸出。又由于一個保護(hù)通道被旁通，系統(tǒng)可靠性必然降低，為了保證緊急停堆系統(tǒng)的可靠性和安全性，打開被旁通通道對應(yīng)的停堆斷路器，使斷路器實(shí)際執(zhí)行1/2系統(tǒng)級符合邏輯。

如果同時有兩個通道被旁通，保護(hù)系統(tǒng)可靠性不能滿足運(yùn)行要求。因此，系統(tǒng)設(shè)計(jì)必要的邏輯運(yùn)算來保證任一通道被旁通時，其它通道的旁通操作無效，禁止同時旁通兩個或以上保護(hù)通道。此即為互鎖邏輯。由于同一邏輯序列的兩個冗余子通道（如通道A和a）需要盡可能獨(dú)立，兩個冗余子通道間無信號交互，互鎖邏輯只存在于通道A/B/C之間和通道a/b/c之間。

同時，由于1）中設(shè)計(jì)，如果當(dāng)前存在某個通道對應(yīng)的斷路器因?yàn)楦鞣N原因已被觸發(fā)，其余通道也應(yīng)被禁止旁通，防止造成誤停堆，操縱員應(yīng)及時確定斷路器觸發(fā)原因并根據(jù)報(bào)警信息進(jìn)行故障處理。

3.2 單參數(shù)旁通設(shè)計(jì)

本設(shè)計(jì)中單參數(shù)旁通設(shè)計(jì)方案為：對于所有保護(hù)參數(shù)，單個傳感器質(zhì)量碼壞時（質(zhì)量碼描述見2.4節(jié)），所有通道中該參數(shù)的邏輯表決由2/3退化為1/2；2個傳感器質(zhì)量位壞時，1/2退化為動作。

當(dāng)T1定期試驗(yàn)交叉比較結(jié)果顯示有某個保護(hù)變量的某一通道與其他通道不一致時，可判斷為該保護(hù)變量的傳感器故障或采集模塊故障，此時可對報(bào)警通道的該保護(hù)變量進(jìn)行單參數(shù)旁通，保證本通道與其他通道不受故障影響，盡可能減小故障維修時對系統(tǒng)可靠性的影響。

3.3 互鎖設(shè)計(jì)

旁通設(shè)計(jì)中需要考慮的互鎖需求如下：

1）通道A/B/C同時只能有至多一個通道被旁通，通道a/b/c同理。

2）當(dāng)前存在某個子通道對應(yīng)的斷路器已被觸發(fā)，其余對應(yīng)子通道禁止旁通。

3）通道A/B/C中，同時只能有至多一個通道中的保護(hù)參數(shù)N被單參數(shù)旁通，通道a/b/c同理。

4）當(dāng)前存在某個子通道已被旁通，其余邏輯序列禁止單參數(shù)旁通。

3.4 具體實(shí)施方案

1）方案簡述

每個子通道設(shè)置一個通道旁通鑰匙開關(guān)，用于旁通本通道。通道旁通的旁通面板位于邏輯柜中，共6個。通道旁通面板設(shè)置旁通指示燈來指示本子通道和其他2個對應(yīng)子通道的通道旁通狀態(tài)，同時設(shè)置指示燈來指示本子通道和其他2個對應(yīng)子通道的停堆斷路器狀態(tài)。

每個序列設(shè)置n個單參數(shù)旁通旋鈕，用于旁通各個保護(hù)參數(shù)（n一般為保護(hù)變量的個數(shù)，針對觸發(fā)同一脫扣信號的同一類參數(shù)，在合理可行的情況下可只設(shè)置一個旁通開關(guān)）。單參數(shù)旁通的旁通面板位于采集柜中，共3個。單參數(shù)旁通面板設(shè)置所有子通道各單參數(shù)旁通指示燈和所有單參數(shù)旁通的總參數(shù)旁通指示燈。

2）旁通面板設(shè)計(jì)

如1）中所述，旁通面板分為采集柜旁通面板和邏輯柜旁通面板，示意圖分別為圖2和圖3。

圖2 采集柜旁通面板（以IP為例）Fig.2 Bypass panel of the collection cabinet(take IP as an example)

圖3 邏輯柜旁通面板（以通道A為例）Fig.3 Logic cabinet bypass panel (take channel A as an example)

采集柜旁通面板中顯示了所有保護(hù)子通道的通道旁通信息、所有RTB（停堆斷路器）狀態(tài)信號、所有邏輯序列的單參數(shù)旁通信號（因數(shù)量過多，所有單參數(shù)旁通反饋取或后進(jìn)行顯示）。邏輯柜旁通面板中同樣顯示了以上信息，不同的是由于通道A/B/C與通道a/b/c的通道旁通信息無法共享，操縱員可通過對應(yīng)RTB分閘狀態(tài)反饋進(jìn)行判斷。

每個機(jī)柜的旁通都盡可能多地為操縱員提供關(guān)鍵旁通信息，巡檢或維修時不用打開其他機(jī)柜。

除就地顯示外，旁通信息還可通過主控室報(bào)警裝置和監(jiān)控系統(tǒng)提供給操縱員。

3）具體邏輯設(shè)計(jì)

圖4為通道旁通互鎖邏輯（以通道A為例）。此邏輯滿足當(dāng)其余兩子通道已被旁通，或其余兩子通道及其冗余子通道對應(yīng)的斷路器打開時，本通道旁通開關(guān)失效。此邏輯僅在通道A/B/C之間或通道a/b/c之間進(jìn)行，保證了冗余通道間的獨(dú)立性。雖然通道A（B/C）和通道a（b/c）無互鎖邏輯，但通道A旁通時，對應(yīng)的停堆斷路器打開，其打開狀態(tài)會禁止通道b/c進(jìn)行通道旁通，防止誤操作帶來的誤停堆。

圖4 通道旁通互鎖邏輯（以通道A為例）Fig.4 Channel bypass interlock logic(take channel A as an example)

以保護(hù)變量N為例，圖4為通道A的保護(hù)變量N觸發(fā)停堆邏輯。

邏輯算法中輸出/輸入/系統(tǒng)變量的信號由其值和質(zhì)量碼組成，質(zhì)量碼用于表征變量的“好”“壞”。當(dāng)其為“好”時，質(zhì)量碼為1；當(dāng)其為“壞”時,質(zhì)量碼為0。信號的值和質(zhì)量碼均通過網(wǎng)關(guān)柜送往NC DCS進(jìn)行顯示或報(bào)警。

停堆邏輯中通過旁通信號對質(zhì)量碼進(jìn)行置壞，達(dá)到邏輯退化降級的目的。

圖5 通道A的保護(hù)變量N觸發(fā)停堆邏輯Fig.5 The protection variable N of channel A triggers the shutdown logic

①如果有2個或2個以上輸入信號的質(zhì)量位無效，則輸出為真。

②如果有1個輸入信號的質(zhì)量位無效，當(dāng)2個有效的輸入信號中有1個輸入為真，則輸出為真，否則輸出為假。

③如果3個輸入信號的質(zhì)量位均有效，當(dāng)這些有效的輸入信號中有2個或2個以上的輸入為真，則輸出為真。如果1個或少于1個輸入為真，則輸出為假。

圖5中 為旁通邏輯模塊，功能為參數(shù)旁通及停堆信號預(yù)處理邏輯：實(shí)現(xiàn)參數(shù)旁通的互鎖邏輯，及停堆信號的故障、降級、報(bào)警等邏輯處理。其內(nèi)部邏輯如圖6。

圖6 PBP_Logic旁通邏輯模塊內(nèi)部邏輯Fig.6 PBP_Logic bypass logic module internal logic

PBP_Logic旁通邏輯模塊輸入信號如下：

BP：本通道的通道旁通信號。

PBP1：本通道的保護(hù)變量N的單參數(shù)旁通開關(guān)信號。

PBP1_Q：本通道的保護(hù)變量N的單參數(shù)旁通開關(guān)質(zhì)量碼。

PBP2/PBP3：通過點(diǎn)對點(diǎn)來自其余2通道的保護(hù)變量N的單參數(shù)旁通信號，對應(yīng)其余2通道中PBP_Logic模塊的輸出信號TRIP_D。

TRIP_Q：本通道的保護(hù)變量N的質(zhì)量碼，表征對應(yīng)儀表故障或采集模塊故障。

TRIP：本通道的保護(hù)變量N（模擬量超閾值結(jié)果或開關(guān)量）。

輸出信號如下：

BP_PBP：本通道的總旁通信號，為通道旁通和單參數(shù)旁通互鎖邏輯結(jié)果的“或”，用于旁通信號報(bào)警。

PBP1_QLT：本通道的保護(hù)變量N的單參數(shù)旁通質(zhì)量碼，單參數(shù)旁通開關(guān)質(zhì)量碼壞和本通道旁通均會造成此質(zhì)量碼變壞。

PBP1_O：本通道的保護(hù)變量N的單參數(shù)旁通信號，為3通道的單參數(shù)旁通經(jīng)過互鎖邏輯的結(jié)果，送往采集柜旁通面板進(jìn)行單參數(shù)旁通結(jié)果顯示。

PBP2/3_O：同PBP2/PBP3，來自其余2通道的保護(hù)變量N的單參數(shù)旁通信號，送往2/3邏輯塊用于計(jì)算來自其余2通道的保護(hù)變量N的質(zhì)量碼，進(jìn)行相關(guān)邏輯降級。

TRIP_D：BP_PBP和TRIP_Q的“或”結(jié)果，表征本通道被通道旁通、本通道的保護(hù)變量N被單參數(shù)旁通、本通道的保護(hù)變量N的質(zhì)量碼為壞這3種情況，送往2/3邏輯塊進(jìn)行保護(hù)變量N的邏輯降級，同時會通過點(diǎn)對點(diǎn)送往其余2個通道作為PBP2/PBP3輸入，此邏輯可以做到避免同時出現(xiàn)類似通道A旁通的同時，通道b中的保護(hù)變量N被單參數(shù)旁通的情況。

TRIP_QLT：TRIP_D的反邏輯，用于本通道的保護(hù)變量N最終質(zhì)量碼的顯示報(bào)警。

TRIP_O：經(jīng)過旁通邏輯的本通道的保護(hù)變量N觸發(fā)信號，送往2/3邏輯塊進(jìn)行邏輯表決，同時會通過點(diǎn)對點(diǎn)送往其余2個通道作為2/3邏輯塊的輸入。

4）總結(jié)與優(yōu)點(diǎn)分析

通過通道互鎖邏輯（圖4）和PBP_Logic旁通邏輯（圖5），可以實(shí)現(xiàn)3.3節(jié)中的旁通互鎖要求。將旁通邏輯集成于一個邏輯功能塊，優(yōu)點(diǎn)是易于根據(jù)旁通設(shè)計(jì)要求集中修改、精簡畫面，方便測試：

①邏輯功能的集成有助于精簡畫面，使得系統(tǒng)功能圖簡潔易懂，功能分區(qū)明確，不至凌亂。

②如旁通設(shè)計(jì)要求有變化，軟件設(shè)計(jì)人員可只修改旁通邏輯功能塊內(nèi)部邏輯，不用逐頁、逐個修改每個保護(hù)參數(shù)的旁通相關(guān)邏輯，可大大減少工作量。

③旁通功能塊的輸入輸出信息清晰明朗，方便對每個保護(hù)變量的旁通邏輯進(jìn)行測試，很大程度上也方便了軟件的V&V工作。

4 總結(jié)

本文研究了一種保護(hù)系統(tǒng)維修旁通設(shè)計(jì)方案，以6通道、3取2邏輯架構(gòu)的保護(hù)系統(tǒng)設(shè)計(jì)需求為基礎(chǔ)，對其他結(jié)構(gòu)的不同堆型的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的旁通設(shè)計(jì)具有參考意義。