一种数字化反应堆保护系统维修旁通设计研究

盛 静，贾玉文，李昌政

（1.中国原子能科学研究院，北京 102413；2.浙江中控技术股份有限公司，杭州 310053）

0 引言

反应堆保护系统的目的是保证反应堆的屏障完好，限制反应堆在允许范围内运行或是缓解事故后果，保护反应堆、环境、人员的安全[1]。在设计基准事故发生时，反应堆保护系统触发紧急停堆。

反应堆保护系统的旁通是反应堆保护系统运行、试验和维护过程中保证单一故障准则和可靠性要求的重要手段，旁通分为运行旁通和维修旁通[2,7]。

运行旁通：根据运行的需要，抑制保护系统中一部分特定功能的行为和措施[2,7]。通用于反应堆正常启停阶段，自动旁通保护系统中一部分不需要或不合适的功能。运行旁通完全通过软件组态自动实现，而无需人为操作。如在电站升功率过程中，核功率测量仪表由源量程切换至中间量程，此时为了避免源量程功率探测器给出误触发信号造成反应堆误停堆，将源量程核功率进行旁通。

维修旁通：为了设备更换、检修、检验或校准，人为地取消保护系统中某一设备功能的行为和措施[2,7]。可根据需求对整个保护通道进行旁通（通道旁通），也可对某个特定的保护变量进行旁通（单参数旁通），实现设备维修、逻辑测试以及故障时符合逻辑降级等功能。

本文仅讨论维修旁通。

1 数字化保护系统

反应堆保护系统是一个逻辑保护系统，功能是当重要的堆物理、热工流体力学和运行参数达到由安全分析确定的整定值或某些系统、设备故障时，通过逻辑符合给出保护信号，触发紧急停堆和其它保护动作，确保反应堆的安全。现在人们所说的数字化反应堆保护系统一般为广义的保护系统，功能接近于1E级DCS。本设计基于一种2/3逻辑符合结构的数字化保护系统。结构简图如图1。

图1 一种2/3逻辑符合结构的保护系统示意图Fig.1 Schematic diagram of a protection system with a 2/3 logic compliance structure

该保护系统采用3个逻辑序列结构（IP、IIP、IIIP），每个序列各两个保护子通道（Aa、Bb、Cc）。

保护系统采集柜（I、II、III）实现对现场传感器信号、控制室控制信号等信号的调理、隔离和分配，将这些信号通过硬接线输出至逻辑柜（Aa、Bb、Cc通道）。

逻辑柜实现紧急停堆系统功能的保护逻辑。在逻辑柜中将对这些结果进行定值比较、信号互送和（通道ABC之间、通道abc之间的）2/3保护逻辑运算，并根据预先设置的逻辑输出停堆触发信号。以逻辑柜A为例，其将经过定值比较后的安全触发信号送往序列II、III的B、C通道，同时接受来自B、C通道此保护变量的安全触发信号，进行2/3局部符合逻辑，形成变量级的保护信号，再与其他所有保护变量的变量级保护信号进行1/N全局符合，形成A通道的通道级保护信号。

同理，序列I的a通道也形成通道级保护信号，与A通道的通道级保护信号进行“或”逻辑后，形成序列I的停堆触发信号触发断路器脱扣。最后，序列I、II、III输出的停堆触发信号在断路器柜中进行2/3符合，形成系统级保护信号，使断路器脱扣。

2 维修旁通设计参考法规标准

旁通的设计参考以下法规标准中对于反应堆保护系统的要求：

1）HAF102《核电厂设计安全规定》[3]。

2）HAD102/10《核电厂保护系统及有关设施》[4]。

3）HAD102/16《核动力厂基于计算机的安全重要系统软件》[5]。

4）GB/T 13284.1《核电厂安全系统 第1部分：设计准则》[6]。

5）GB/T 4083《核反应堆保护系统安全准则》[7]。

6）GB/T 5204《核电厂安全系统定期试验与监测》[8]。

7）GB/T 13629《核电厂安全系统中数字计算机的适用准则》[9]。

3 维修旁通设计方案

3.1 通道旁通设计

通道旁通时：

1）闭锁该保护通道的输出，直接打开对应的停堆断路器。

2）通过互锁逻辑保证同一时刻其他保护通道不会被旁通。

3）保护系统剩余部分按1/2的逻辑仍能执行安全保护功能。

为防止故障通道对其他通道造成影响，闭锁该通道的输出。又由于一个保护通道被旁通，系统可靠性必然降低，为了保证紧急停堆系统的可靠性和安全性，打开被旁通通道对应的停堆断路器，使断路器实际执行1/2系统级符合逻辑。

如果同时有两个通道被旁通，保护系统可靠性不能满足运行要求。因此，系统设计必要的逻辑运算来保证任一通道被旁通时，其它通道的旁通操作无效，禁止同时旁通两个或以上保护通道。此即为互锁逻辑。由于同一逻辑序列的两个冗余子通道（如通道A和a）需要尽可能独立，两个冗余子通道间无信号交互，互锁逻辑只存在于通道A/B/C之间和通道a/b/c之间。

同时，由于1）中设计，如果当前存在某个通道对应的断路器因为各种原因已被触发，其余通道也应被禁止旁通，防止造成误停堆，操纵员应及时确定断路器触发原因并根据报警信息进行故障处理。

3.2 单参数旁通设计

本设计中单参数旁通设计方案为：对于所有保护参数，单个传感器质量码坏时（质量码描述见2.4节），所有通道中该参数的逻辑表决由2/3退化为1/2；2个传感器质量位坏时，1/2退化为动作。

当T1定期试验交叉比较结果显示有某个保护变量的某一通道与其他通道不一致时，可判断为该保护变量的传感器故障或采集模块故障，此时可对报警通道的该保护变量进行单参数旁通，保证本通道与其他通道不受故障影响，尽可能减小故障维修时对系统可靠性的影响。

3.3 互锁设计

旁通设计中需要考虑的互锁需求如下：

1）通道A/B/C同时只能有至多一个通道被旁通，通道a/b/c同理。

2）当前存在某个子通道对应的断路器已被触发，其余对应子通道禁止旁通。

3）通道A/B/C中，同时只能有至多一个通道中的保护参数N被单参数旁通，通道a/b/c同理。

4）当前存在某个子通道已被旁通，其余逻辑序列禁止单参数旁通。

3.4 具体实施方案

1）方案简述

每个子通道设置一个通道旁通钥匙开关，用于旁通本通道。通道旁通的旁通面板位于逻辑柜中，共6个。通道旁通面板设置旁通指示灯来指示本子通道和其他2个对应子通道的通道旁通状态，同时设置指示灯来指示本子通道和其他2个对应子通道的停堆断路器状态。

每个序列设置n个单参数旁通旋钮，用于旁通各个保护参数（n一般为保护变量的个数，针对触发同一脱扣信号的同一类参数，在合理可行的情况下可只设置一个旁通开关）。单参数旁通的旁通面板位于采集柜中，共3个。单参数旁通面板设置所有子通道各单参数旁通指示灯和所有单参数旁通的总参数旁通指示灯。

2）旁通面板设计

如1）中所述，旁通面板分为采集柜旁通面板和逻辑柜旁通面板，示意图分别为图2和图3。

图2 采集柜旁通面板（以IP为例）Fig.2 Bypass panel of the collection cabinet(take IP as an example)

图3 逻辑柜旁通面板（以通道A为例）Fig.3 Logic cabinet bypass panel (take channel A as an example)

采集柜旁通面板中显示了所有保护子通道的通道旁通信息、所有RTB（停堆断路器）状态信号、所有逻辑序列的单参数旁通信号（因数量过多，所有单参数旁通反馈取或后进行显示）。逻辑柜旁通面板中同样显示了以上信息，不同的是由于通道A/B/C与通道a/b/c的通道旁通信息无法共享，操纵员可通过对应RTB分闸状态反馈进行判断。

每个机柜的旁通都尽可能多地为操纵员提供关键旁通信息，巡检或维修时不用打开其他机柜。

除就地显示外，旁通信息还可通过主控室报警装置和监控系统提供给操纵员。

3）具体逻辑设计

图4为通道旁通互锁逻辑（以通道A为例）。此逻辑满足当其余两子通道已被旁通，或其余两子通道及其冗余子通道对应的断路器打开时，本通道旁通开关失效。此逻辑仅在通道A/B/C之间或通道a/b/c之间进行，保证了冗余通道间的独立性。虽然通道A（B/C）和通道a（b/c）无互锁逻辑，但通道A旁通时，对应的停堆断路器打开，其打开状态会禁止通道b/c进行通道旁通，防止误操作带来的误停堆。

图4 通道旁通互锁逻辑（以通道A为例）Fig.4 Channel bypass interlock logic(take channel A as an example)

以保护变量N为例，图4为通道A的保护变量N触发停堆逻辑。

逻辑算法中输出/输入/系统变量的信号由其值和质量码组成，质量码用于表征变量的“好”“坏”。当其为“好”时，质量码为1；当其为“坏”时,质量码为0。信号的值和质量码均通过网关柜送往NC DCS进行显示或报警。

停堆逻辑中通过旁通信号对质量码进行置坏，达到逻辑退化降级的目的。

图5 通道A的保护变量N触发停堆逻辑Fig.5 The protection variable N of channel A triggers the shutdown logic

①如果有2个或2个以上输入信号的质量位无效，则输出为真。

②如果有1个输入信号的质量位无效，当2个有效的输入信号中有1个输入为真，则输出为真，否则输出为假。

③如果3个输入信号的质量位均有效，当这些有效的输入信号中有2个或2个以上的输入为真，则输出为真。如果1个或少于1个输入为真，则输出为假。

图5中 为旁通逻辑模块，功能为参数旁通及停堆信号预处理逻辑：实现参数旁通的互锁逻辑，及停堆信号的故障、降级、报警等逻辑处理。其内部逻辑如图6。

图6 PBP_Logic旁通逻辑模块内部逻辑Fig.6 PBP_Logic bypass logic module internal logic

PBP_Logic旁通逻辑模块输入信号如下：

BP：本通道的通道旁通信号。

PBP1：本通道的保护变量N的单参数旁通开关信号。

PBP1_Q：本通道的保护变量N的单参数旁通开关质量码。

PBP2/PBP3：通过点对点来自其余2通道的保护变量N的单参数旁通信号，对应其余2通道中PBP_Logic模块的输出信号TRIP_D。

TRIP_Q：本通道的保护变量N的质量码，表征对应仪表故障或采集模块故障。

TRIP：本通道的保护变量N（模拟量超阈值结果或开关量）。

输出信号如下：

BP_PBP：本通道的总旁通信号，为通道旁通和单参数旁通互锁逻辑结果的“或”，用于旁通信号报警。

PBP1_QLT：本通道的保护变量N的单参数旁通质量码，单参数旁通开关质量码坏和本通道旁通均会造成此质量码变坏。

PBP1_O：本通道的保护变量N的单参数旁通信号，为3通道的单参数旁通经过互锁逻辑的结果，送往采集柜旁通面板进行单参数旁通结果显示。

PBP2/3_O：同PBP2/PBP3，来自其余2通道的保护变量N的单参数旁通信号，送往2/3逻辑块用于计算来自其余2通道的保护变量N的质量码，进行相关逻辑降级。

TRIP_D：BP_PBP和TRIP_Q的“或”结果，表征本通道被通道旁通、本通道的保护变量N被单参数旁通、本通道的保护变量N的质量码为坏这3种情况，送往2/3逻辑块进行保护变量N的逻辑降级，同时会通过点对点送往其余2个通道作为PBP2/PBP3输入，此逻辑可以做到避免同时出现类似通道A旁通的同时，通道b中的保护变量N被单参数旁通的情况。

TRIP_QLT：TRIP_D的反逻辑，用于本通道的保护变量N最终质量码的显示报警。

TRIP_O：经过旁通逻辑的本通道的保护变量N触发信号，送往2/3逻辑块进行逻辑表决，同时会通过点对点送往其余2个通道作为2/3逻辑块的输入。

4）总结与优点分析

通过通道互锁逻辑（图4）和PBP_Logic旁通逻辑（图5），可以实现3.3节中的旁通互锁要求。将旁通逻辑集成于一个逻辑功能块，优点是易于根据旁通设计要求集中修改、精简画面，方便测试：

①逻辑功能的集成有助于精简画面，使得系统功能图简洁易懂，功能分区明确，不至凌乱。

②如旁通设计要求有变化，软件设计人员可只修改旁通逻辑功能块内部逻辑，不用逐页、逐个修改每个保护参数的旁通相关逻辑，可大大减少工作量。

③旁通功能块的输入输出信息清晰明朗，方便对每个保护变量的旁通逻辑进行测试，很大程度上也方便了软件的V&V工作。

4 总结

本文研究了一种保护系统维修旁通设计方案，以6通道、3取2逻辑架构的保护系统设计需求为基础，对其他结构的不同堆型的数字化反应堆保护系统的旁通设计具有参考意义。