何正熙 刘宏春 肖鹏 王明星 徐建华 王远兵

【摘 要】中国工程试验堆（CENTER）是一种高性能、多用途、高安全性的高通量工程试验堆。随着数字化技术（DCS）在核电厂的广泛应用以及提升CENTER工程仪控系统可靠性、可维护性等方面的需要，基于中国核动力研究设计院自主研发的安全级DCS“龙鳞”平台（NASPIC），CENTER工程首次在国内试验堆中采用了先进的数字化技术实现了反应堆保护系统的设计。本文重点描述了保护系统的结构和工作原理，为其他试验堆建设提供参考。

【关键词】CENTER高通量工程试验堆；保护系统；DCS

中图分类号： TL411.3 文献标识码： A 文章编号： 2095-2457（2018）33-0021-004

DOI：10.19694/j.cnki.issn2095-2457.2018.33.009

【Abstract】The research reactor CENTER is a HFETR with high performance， multipurpose and high safety. Along with the widely implementation of digital technology （DCS） in nuclear power plant， and due to the requirement of enhancing I&C; system reliability and maintainability etc， It is the first time for CENTER among all the domestic research reactors to adopt advanced digital technology for implementing of reactor protection system based on the “NASPIC” platform developed by NPIC. This paper mainly describes the structure and operation principle of the reactor protection system， which can be used as reference in other similar projects.

【Key words】CENTER HFETR； Reactor protection system； DCS

0 前言

中国工程试验堆（CENTER）是根据我国核动力技术发展及工程应用需要建设的高性能、多用途、高安全性的高通量工程试验堆。随着数字化技术（DCS）在核电厂的广泛应用以及提升CENTER工程仪控系统可靠性、可维护性等方面的需要，在CENTER工程中采用数字化技术替代原高通量工程试验堆（HFETR）的模拟技术设计反应堆保护系统已是必然选择。因此，本项目首次在国内的大型试验堆项目中采用了数字化反应堆保护系统方案，并基于中国核动力研究设计院自主研发的安全级DCS“龙鳞”平台（NASPIC）完成了保护系统设备研制。目前，该系统已完成模拟件设计、制造和鉴定试验，并成功取得了国家监管部门颁发的核安全级仪控设备制造许可证，相关供货设备的设计制造工作正在有序进行。CENTER反应堆保护系统是我国首套具备工程应用条件的基于DCS技术的试验堆保护系统。

本文将主要从保护系统的功能、结构、工作原理等方面对系统的设计进行说明。

1 系统功能需求

CENTER工程试验堆采用池壳式总体布置，具有高参数、高安全性、堆芯布置灵活、辐照能力大等特点，同时设置了多个高温高压、不同瞬态性能的辐照考验回路，采用特殊设计的燃料元件和反射层组件以及布置了多个辐照考验孔道，可以满足不同辐照任务的要求。为了保证反应堆的运行安全，CENTER工程试验堆设置了两套独立的具有多样性的紧急停堆系统（配备了基于不同原理的控制棒驱动机构）、能动和非能动相结合的应急余热排出系统和应急堆芯冷却系统。

由于CENTER工程的功能、系统构成、运行方式等均与核电厂存在显著差异，因此，其反应堆保护系统的设计在系统架构和功能特点等方面都与核电厂有所不同。

反应堆保护系统实时监测与反应堆安全有关的物理参数，探测这些参数的变化，在需要时触发安全系统动作，将反应堆转入并保持在安全状态。在总体上，反应堆保护系统主要包括如下3方面功能：

（1）紧急停堆

（2）专设安全设施系统驱动

（3）事故后监测

根据安全分析结论，系统设置了如下自动停堆保护功能：

（1）核功率超停堆

（2）源區小功率超停堆

（3）短周期停堆

（4）中子注量率负变化率高停堆

（5）热功率高停堆

（6）反应堆入口压力高/低停堆

（7）反应堆出口压力高/低停堆

（8）反应堆出口温度高停堆

（9）主冷却剂流量低停堆

（10）外电源丧失停堆

除此以外，考验回路的部分异常工况也会触发紧急停堆。

在专设安全设施驱动方面，主要执行如下驱动功能：

（1）应急余热排出

（2）应急堆芯冷却

（3）应急电源启动

（4）应急二次水启动

（5）密闭厂房隔离

（6）应急排风启动

在事故后监测方面，主要监测参数包括：

（1）堆芯出口温度

（2）反应堆冷却剂温度

（3）反应堆冷却剂流量

（4）反应堆冷却剂系统压力

（5）反应堆压力容器水位

（6）中间区中子注量率

（7）堆水池液位

（8）密闭厂房压力

（9）部分厂房放射性

（10）元件存储池液位

2 系统设计

2.1 依据的标准规范

由于试验堆（研究堆）类型多，技术差异大，目前国内研究堆的法规和标准体系尚不完善，已有专门针对研究堆的法规标准大多集中在总体方面，比如HAF201（研究堆设计安全规定）、EJ/T 603（研究堆安全系统准则）等。因此，在CENTER工程设计中，必须进行采标分析。

CENTER工程采用固有安全性较高的池式反应堆，运行参数和核功率均小于核电厂，同时在厂房设计和电力设计方面参考了核电厂，配置有类似于安全壳的密闭厂房，因此，在总体上，适用于核电厂的大量标准能够覆盖本工程的需要。基于此，在系统级设计和设备研制中，在满足CENTER工程所特有要求（比如环境条件、地震条件、供电条件等）的基础上，其他方面全面参考采用核电厂已有成熟法规标准体系，这样可以在不明显增加研制成本的条件下降低技术风险并缩短周期。通过论证，CENTER工程反应堆保护系统采用的主要标准有：

（1）总体性标准：

-HAF 201 研究堆设计安全规定

-HAD102/10核电厂保护系统及有关设施

-GB/T 4083 核反应堆保护系统安全准则

-GB/T 5203 核反应堆安全逻辑装置特性和检验方法

-GB/T 5204核电厂安全系统定期试验与监测

-EJ/T 603研究堆安全系统准则

-GB/T 13626 单一故障准则应用于核电厂安全系统

-GB/T 13627核电厂事故监测仪表准则

（2）设备设计标准

-HAD102/16核动力厂基于计算机的安全重要系统软件

-NB/T 20060核电厂安全重要仪表和控制系统隔离准则

-NB/T 20054核电厂安全重要仪表和控制系统执行A类功能的计算机软件

-IEEE 7-4.3.2 核电厂安全系统中数字计算机的准则

-RCC-E压水堆核电站核岛电气设备设计和建造规则

（3）试验与验证标准

-HAD102/02核电厂的抗震设计与鉴定

-HAF.J0053核设备抗震鉴定试验指南

-GB/T 12727核电厂安全系统电气设备质量鉴定

-EJ/T 1197核电厂安全级电气设备质量鉴定试验方法与环境条件

-RG 1. 180安全相关的仪表和控制系统电磁和无线电频率干扰评估准则

-IEEE 1012系统和软件的V&V;

2.2 系统总体方案

与目前核电厂中大量采用四重冗余的保护系统架构不同[1]，由于CENTER工程试验堆具有固有安全性高、运行周期短等特点，为了降低系统不必要的复杂性和建设成本，本项目在保护系统设计中总体上采用了三个冗余的保护通道和两个冗余专设逻辑系列的结构。

为了满足单一故障准则，保护系统的自动保护功能处理部分包含三个保护组（保护组I、保护组II和保护组III）和两个逻辑系列（A系列和B系列），紧急停堆系统相关的信号采集及逻辑处理在三个保护组内实现，专设安全设施驱动系统的功能由保护组和逻辑系列共同实现。为了应对软件共模故障，还配置了旁通数字化部分的手动控制手段和基于模拟技术的第二停堆安全监测逻辑装置。

自动保护功能所需的现场传感器信号（含模拟量输入/开关量输入/铂电阻温度计信号）首先被送至保护仪表预处理系统（PIPS），由PIPS机柜中的信号供电/采集/隔离/分配模块处理后送至保护组处理机柜（RPC）中。

在RPC中，现场信号将在进行必要的处理后（例如，开方，滤波，超前-滞后等）与保护定值进行比较从而产生用于保护系统逻辑表决的“局部脱扣”信号。

对于紧急停堆功能，该“局部脱扣”信号除了参与自身所属保护组的逻辑表决之外，同时通过光纤网络送至其他两个保护组。由于每个保护组均采取这种处理方式，从而每个保护组都能获得与传感器冗余度相当的“局部脱扣”信号。然后，每个保护组对这些“局部脱扣”信号进行逻辑表决，产生通道级的紧急停堆信号，该紧急停堆信号将被送往主停堆断路器和第二停堆断路器。

对于专设安全设施驱动系统，为了提高专设驱动功能的可靠性、可维护性以及定期试验的方便性，每个逻辑系列设计了两套专设系列处理单元（ESFAC-A1/ESFAC-A2和ESFAC-B1/ESFAC-B2）用于处理专设系统相关的功能。来自RPC单元与专设功能相关的“局部脱扣”信号不再在三个保护组之间進行交换，而是被直接分别送往两个逻辑系列并在其中完成逻辑表决及专设安全设施驱动系统相关的其他逻辑运算。ESFAC-A1和ESFAC-A2的输出分别被送往相应的优先级驱动模块（ACM），并在ACM模块中进行“或”运算后与来自其他安全等级的控制命令进行优选，然后由ACM将优选后的控制命令送往现场驱动设备。

RPC以及ESFAC单元送往主控制室或者辅助控制室安全盘的信号通过传输单元（TU）进行接口，它们送2层计算机化操作员工作站显示和记录的信号也需经过TU单元送至网关单元后再送出。来自ESFAC-A1和ESFAC-A2（或ESFAC-B1和ESFAC-B2）的信号需要在TU-A（或TU-B）进行“或”运算后再送控制室进行显示和记录。当来自三个保护组的信号不需要进行表决即可直接送控制室时，这些信号直接由所在保护组的TU单元送出。当来自三个保护组的信号需要进行表决后（例如：1/3或者2/3处理）再送控制室时，由保护组中的RPC单元先送至所属保护组的TU单元，然后再由该TU单元分送至TU-A和TU-B进行逻辑表决后，再由TU-A和TU-B送出。

保护系统通过网关单元（GW）与控制室非安全级的控制系统进行接口，满足IEEE7-4.3.2的隔离准则。

特别地，针对CENTER工程的特殊需要，在TU-A和TU-B之间设置了光纤通信网络可以使A、B系列之间交换控制联锁信号。

系统总体结构图如图1所示。

2.3 定期试验方案

根据可试验性要求和GB/T 5204的规定，保护系统应能够进行定期试验以对安全功能进行定期验证。由于采用了全数字化的保护系统方案，在NASPIC平台所固有的自诊断功能之外，定期试验方案中还充分考虑了数字化设备的特点，首先，系统应用数字化系统的优势，在工程应用软件层面设置了如下连续自监测功能：

（1）输入通道的可运行性监测

-冗余通道输入信号的交叉比较

-模拟量输入信号的超量程判断

（2）每个逻辑系列子组（如ESFAC-A1和ESFAC-A2）输出一致性比较

（3）控制室互斥型开关触点状态规则检查（监测触点异常状态）

除上述自动监测功能之外，保护系统还可以通过测量通道试验（T1试验）、系统逻辑功能试验（T2试验）、输出通道及相关驱动器试验（T3试验）以及系统响应时间试验等一系列定期试验进行完整的试验。

在定期试验设计中，必须满足GB/T 5204第5节要求。具体试验方案如下：

（1）T1试验

用于验证保护系统输入通道的准确度，从PIPS的输入端注入试验信号，通过网络输出保护定值阈值比较器前的模拟量信号和比较器后的开关量信号并与预期数据进行比较，可同时完成模拟量采集通道的精度验证，并实现与T2试验的重叠。

（2）T2试验

虽然采用了数字化技术，保护系统主要逻辑功能均由软件实现，不存在“软件老化”的问题，但由于软件的运行依赖于计算机硬件，通过对软件的测试可以间接地检查硬件中可能存在的问题，并且基于正常运行时保护系统并不触发真实动作这一事实，以及作为检查软件未产生未授权修改的补充手段，本项目中仍然设计了T2试验。由于“龙鳞”系统具有输入变量强制和输出闭锁功能（所有输出保持上一时可有效值，不受程序计算值的影响），因此，T2试验时，只需将被试验通道（或系列）设置为试验模式，通过工程师站对所有输入信号（传感器或来自其他处理单元的网络变量输入）进行强制并从通道（或系列）的输出端回读程序计算结果，然后与预期的结果进行比较，从而完成逻辑功能验证。T2试验能够利用工程师站根据测试脚本自动完成。

由于T2试验是从阈值比较器的前端（模拟了传感器输入）开始，因此与T1试验实现了重叠。

由于T2试验会改变逻辑运算程序的输入，因此，逻辑运算程序中如果有记忆单元（比如RS触发器），则试验的最后必须通过强制部分输入信号使相关记忆单元的输出恢复到试验前的状态，否则可能发生试验恢复时触发错误动作的风险。

（3）T3试验

T3试验主要包括停堆断路器动作试验、ACM输出闭锁试验、输出至外部系统的连接试验以及手动紧急停堆试验等。本节重点对停堆断路器动作试验和ACM输出闭锁试验进行说明。

本项目设计中，为了在降低系统的误动和拒动概率的同时提升系统的可维修性可试验性，紧急停堆信号的输出采用了图3的驱动方案（图中DO1～DO4输出之后的“与”和“或”均是通过对相关继电器输出端进行并联和串联实现，并无逻辑器件），其中DO1～DO4被分配到4个独立的开关量输出模块。试验时，通过工程师站分别强制输出DO1～DO4，通过DI1和DI2分别查看输出继电器和停堆断路器的状态，从而完成紧急停堆信号输出通道上的部件功能及电气连接的试验验证。

ACM输出闭锁试验用于验证ACM与ESFAC的信号连接状态。试验在保护系统没有真实动作命令的状态下进行。ACM设计了输出信号闭锁端口，试验时，需要事先闭锁ACM 上来自ESFAC输入端口信号对ACM输出的影响，然后通过工程师站强制ESFAC相应的DO输出，发送驱动信号至ACM 的ESFAC输入端口，TU单元将采集ACM响应试验输入信号的反馈，从而完成ESFAC与ACM之间的信号连接检查。为保证定期试验的透明性，如果试验期间产生真实保护动作命令时，ACM输出闭锁信号将自动取消，试验将自动退出，系统立即恢复到执行保护功能的状态。

（4）响应时间试验

响应时间分为停堆响应时间和专设响应时间。两者的试验方案均是通过信号发生器模拟前端测量信号产生一个触发状态，通过示波器测量输入信号与动作触发信号产生的时间差获得系统响应时间。

2.4 缺省值方案

与模拟技术的保护系统无法判断信号是否有效不同，基于“龙鳞”安全级DCS的保护系统可以为每一个信号分配“质量位”，当质量位为“好”时表示数据可信，反之则表示数据不可信。输入信号的连接状态、电气范围、设备故障、设备是否处于试验状态等均可以影响质量位。通过质量位更加准确的确定一个信号的可信度并根据质量位进行智能处理，在提高安全性的同时提高了系统的可用性。

针对输入和输出信号，缺省值均可以设置为“上一刻有效值”、“预设值”以及“不干预（AS IS）”。

在CENTER工程中，缺省值的设计主要遵循如下原则：

（1）来自0层传感器的信号不设置缺省值，质量位直接传递；

（2）模拟量输出缺省值设为“上一刻有效值”

（3）紧急停堆信号设置为“产生紧急停堆”

（4）专设驱动信号设置为“不产生专设驱动”。

3 系统验证

系统验证采用了试验验证和分析验证相结合的方式进行。针对试验验证，制造了模拟件样机，样机分为鉴定设备和配试设备两部分。鉴定设备涵盖了一个完整的保护通道I、部分ESFAC-A1和ACM-A等设备，配试设备包含保护通道II、保护通道III以及其他模拟现场信号的设备。

样机在通过完整的功能性能试验验证后，按照鉴定试验大纲要求开展了电磁兼容试验、环境试验（电压变化和温度变化试验、低温试验、高温试验、温度变化试验、交變湿热试验、恒定湿热试验）、振动试验、长期运行试验和地震试验，试验结果表明，系统和设备设计满足工程要求。

在可靠性方面，首先对系统进行了故障模式及后果分析（FMEA），然后采用故障树（FTA）和马尔科夫法（Markov）对系统的拒动概率和误动概率进行了计算，在定期试验周期不超过3个月的条件下，系统的拒动率低于1×10-6/命令，误动率低于10年一次。其次，还设置了可靠性试验对系统的可靠性（拒动和误动率）进行测试。直接进行系统级拒动率（1×10-6/命令）测试需要耗费大量的设备和时间，因此必须根据系统结构特点进行等效试验。

通过上述方法，在确保试验结果可信的前提下，测试时间减少为原系统级测试的0.6%，显著提高了测试效率。

经过对单个保护通道的可靠性测试，验证了系统可靠性满足工程要求。

4 结论

CENTER工程是我国首个仪表与控制系统全面采用了基于DCS技术的大型试验堆。通过CENTER工程数字化保护系统的设计研发工作，为我国试验堆在仪表与控制领域的“数字化”积累了宝贵工程经验，其在标准采用、系统设计、设备设计及验证方法等方面均可作为其他试验堆建设或技术改造的参考。

【参考文献】

[1]刘宏春，等.岭澳二期核电站数字化反应堆保护系统[J]. 核动力工程，2008，29（1）：1-4.