廖圣勇,崔明路,赵 晨

(中国核电工程有限公司,北京100840)

“华龙一号”是我国自主研发的三代核电机组,其首堆工程的仪控系统采用全数字化DCS系统和先进的全功能控制室设计,符合国内外最新的法规、导则和标准的要求,同时吸收了国内多个数字化核电厂的建设和运行经验,并充分借鉴国际先进核电厂数字化仪控系统的设计理念,满足三代核电技术的总体目标要求,具有很高的成熟性和先进性。

与二代加核电厂相比,“华龙一号”三代核电厂仪控系统有下列主要特点:配合工艺系统,实现能动与非能动相结合的设计理念,具有完备的严重事故监控手段;改进了控制方案,满足事故后30 min操纵员不干预原则;吸纳了 “福岛”后一系列技术改进,提高了仪控设备鉴定水平,大大提高了系统抵御内外部灾害的能力。

“华龙一号”示范工程为福清核电站5、6号机组。作为 “华龙一号”的全球首堆,其仪控系统采用技术较为成熟的TXS平台 (安全级)和T2000平台 (非安全级)。在实际设计中,在满足仪控总体设计理念和安全要求的基础上,还充分考虑该平台的特点,开展适应性设计。目前“华龙一号”仪控系统设计工作已经完成,设备通过了工厂出厂验收。

1 总体结构

“华龙一号”首堆工程的仪控系统总体结构从下到上分为四层,如图1所示。

(1)LEVEL0:工艺系统接口层

主要完成工艺参数的检测、根据DCS系统的指令控制工艺过程等,包括各种测量设备 (传感器、变送器、限位开关)和各种执行机构 (包括电磁先导阀及相应的中间继电器、电气转换器、驱动器、电气开关柜等)。

(2)LEVEL1:自动控制和保护层

主要是通过DCS系统对LEVEL0测量设备的数据采集和数据处理,实现核电厂正常运行的调节和控制功能,反应堆保护功能,多样性停堆和专设驱动以及严重事故监控。

(3)LEVEL2:操作和管理信息层

面向全厂的可视化监控系统,主要包括过程操作控制及相关信息监视。包含主控制室、技术支持中心、远程停堆站等处的常规设备以及计算机化监控设备,用于监控过程及设备状态,实现与LEVEL1和LEVEL3层的网络通讯等。

(4)LEVEL3:全厂技术管理层

主要负责整个核电厂的营运管理,通过网络接口设备接收核电厂的一些必要的信息,使管理者 (核电厂管理、上级管理机关、国家应急中心或有关安全当局)对核电厂的状况有所了解。包括信息管理系统,应急指挥中心等系统。

整个系统按照结构分层,功能分区分组的形式进行实施。

2 主要设计准则

2.1 安全分级原则

“华龙一号”全厂安全分级是根据我国核安全导则HAD102/03《用于沸水堆、压水堆和压力管式反应堆的安全功能和部件分级》进行,对应仪控系统主要分两级。

(1)安全级 (1E)

执行电厂设计总的安全要求相关功能以及事故后工况下参与共总保护功能的仪控系统及设备为安全级 (1E),主要包括:

1)反应堆紧急停堆系统;

2)专设安全设施驱动系统;

3)事故后监测系统 (PAMS);

4)安全支持系统的;

5)反应堆紧急停堆及专设安全设施的系统级手动驱动命令;

6)部分部件级手动控制等。

(2)非安全级 (NC)

不属于安全级 (1E)的系统和设备被定义为非安全级 (NC)。

在非安全级仪控系统和设备中,有一些是对安全重要的,如多样化保护系统、严重事故专用仪控系统、火灾探测、消防、通风部分设备等,这些有特殊要求的非安全级设备定义为NC+(或NC*,NC+适用于0层设备,NC*适用于1层设备)。这些系统和设备需要满足一些特殊的要求,如抗震性能要求、定期试验要求、质保要求等。

2.2 纵深防御原则

“华龙一号”仪控系统设计针对不同的核电厂工况和始发事件,能够提供包括正常运行监控、紧急停堆和专设安全设施驱动、多样性停堆和专设驱动以及设计扩展工况 (包括严重事故)的预防缓解设施监控的纵深防御层次;另外,仪控系统设计还考虑适当的功能分配,数字、模拟等不同技术措施的合理应用,充分的独立性设计等手段,提高系统整体的可靠性,避免或限制单个或局部仪控系统故障对电厂整体纵深防御屏障的影响。

通过上述设计措施,能够实现:

第1层:在正常运行工况下,通过非安全级操纵员工作站和控制系统能够完成核电厂主要监控任务,在非安全级操纵员工作站不可用的情况下,通过后备盘可以维持核电厂一段时间的稳定运行或将电厂带入安全停堆状态;

第2层:在发生预计始发事件或事故工况下,通过保护和安全监测系统自动动作将机组带入安全停堆状态;

第3层:在发生预计始发事件或事故同时保护和安全监测系统共模故障时,由多样化保护系统提供事故后的自动保护功能将机组带入安全停堆状态,之后操纵员可以通过紧急操作台,非安全级操纵员工作站等继续处理事故;在发生全厂断电后,部分监测和控制回路可以通过SBO柴油机供电持续运行,提供必要的监测控制功能;

第4层:在发生严重事故,且全厂断电后72 h内,严重事故仪控系统可以通过蓄电池供电持续运行,提供严重事故监测和控制功能,降低堆芯熔化和限制放射性后果。

2.3 多样性设计原则

通过不同仪控系统、结构和部件的多样化设计,来降低共模故障的影响:

1)安全级和非安全级仪控系统采用基于两种不同的技术的平台实现;

2)数字化保护系统采用功能多样性设计,对保护变量进行合理分组,每个事故的触发事件尽量采用不同测量原理的变量,并分配到不同的处理器来处理,防止应用软件共模故障造成的影响;

3)数字化保护系统由于共模故障而导致失效,则由多样化保护系统执行停堆及安全专设驱动等功能,多样化保护系统采用与保护系统不同的软、硬件设计;

4)设置手动触发停堆和专设动作的系统级命令,该命令完全旁路数字化保护系统,通过固态逻辑或继电器进行扩展,直达每个执行机构的非计算机化驱动器控制接口;

5)设置基于常规技术的后备盘作为计算机化工作站的多样化人机接口设备,通常情况下,电厂的信息显示和手动控制是通过计算机化的工作站进行的;当主控室内的电厂计算机信息与控制系统失效时,操纵员可利用后备盘维持电厂正常运行一段时间,或把电厂引入安全停堆状态。

2.4 冗余设计和独立性原则

安全级仪控系统的冗余设计用于满足单一故障准则,同时也用来提高系统的可靠性,避免整个仪控系统丧失其功能,影响电厂的运行和安全。

1)保护系统的仪表通道以及反应堆紧急停堆逻辑采用四个独立的保护通道,专设安全设施的逻辑处理及驱动采用独立的A、B列结构,满足单一故障准则;

2)冗余的仪控系统其相应的支持系统也采用冗余的设计,各冗余序列分别由对应的电源系统进行供电,保证了电气独立性;

3)在结构和部件上,一个冗余的子系统执行其功能不依赖于其他子系统;

4)冗余的各个子系统布置在不同的房间,避免一个房间发生内部灾害 (如火灾、飞射物等)影响到其他子系统;

5)冗余子系统之间的内部信号交换必须经过电气隔离,冗余子系统间的通信满足通信隔离要求。

2.5 可试验性原则

数字化仪控系统具备支持维护和试验需要的系统自诊断和自动试验的能力。保护系统、多样化保护系统等需要满足定期试验的要求,定期试验采用从探测器至驱动器的全通道试验。数字化仪控系统中的设备具有在线更换或维修能力。

3 反应堆保护系统

“华龙一号”首堆工程的反应堆保护系统(RPS)采用AREVA的TXS平台,总体结构[1]见图1。

反应堆保护系统有4个保护组 (ⅠP,ⅡP,ⅢP,ⅣP)和2个逻辑系列 (A,B)组成,为了应对共模故障,每个保护组和逻辑系列采用功能多样性设计,即将保护参数分成2个多样性子组 (子组1和2),分别在不同的计算机单元处理。

该结构充分吸收了以往项目的工程经验,对以下几方面进行了设计优化改进:

(1)冗余的保护组之间,逻辑系列之间,保护组与逻辑系列之间信号交互充分吸收了岭澳二期等项目及TXS平台的特点,采用网络通信,有效减少了保护系统内部的硬接线接口。

(2)紧急停堆功能吸取方福项目的经验,从逻辑系列移到保护组中实现。这种设计便于在机组功率运行阶段对每个停堆通道进行定期试验,并且在一定程度上提高了紧急停堆功能与专设功能的独立性。

(3)优先级控制,吸收和借鉴了方福项目的设计经验,同时结合TXS平台优选模件AV42的特点,进行了优化设计,主要包括:

1)AV42通过Profibus-DP与非安全级DCS系统进行通信,减少了优选模件与非安全级系统之间的硬接线交互,降低了安全级平台和非安全级平台之间的网络负荷;

图1 数字化保护系统结构简图Fig.1 Overview of the RPS

2)不同于以往项目BUP盘的非安全级命令直接采集到非安全级DCS的设计,AV42模块能够对BUP盘上的非安全级命令和状态反馈指示进行处理,来自BUP盘的非安全级命令和反馈指示直接与AV42接口;

3)根据功能要求增加的1E级设备级BUP手动控制,AV42模块直接采集在1E级处理区域处理,这样对于被控设备只有1E级BUP控制和IIC控制的设备,可以将BUP命令直接通过AV42的BUP端口触发;

4)DAS系统驱动信号直接与AV42通过硬接线接口。

(4)设置盘台接口柜PI,PI为保护系统与BUP的接口,充分借鉴了岭澳二期和TXS平台的特点,保护系统内部处理的报警和指示信号,通过PI送往后备盘,而不必将这部分信号通过网关送到非安全级平台后再送BUP,减少了网关信号传输的负荷;设置PI柜的另一个优势是节省电缆,电缆托盘空间以及安装工作量。

(5)设置传输单元TU,并在岭澳二期平台的基础上扩展了TU的功能,通过信号隔离分配模块PIPS采集的信号,如果不参与逻辑连锁,直接送报警和指示,TU可以直接接受PIPS分配的信号,不需要送APU采集和处理单元和ALU驱动逻辑单元后再传输到TU,简化了系统结构设计。

(6)设置Marshalling接线机柜,学习田湾1～4号机组设置Marshalling机柜的经验,实现电缆的集中端接,减少人为失误。

4 多样化保护系统

为应对数字化的保护和安全监视系统共模故障问题,“华龙一号”仪控设计考虑了纵深防御手段,通过多样化保护系统 (DAS),紧急操作台上的停堆和专设系统级手动控制,以及操纵员工作站或后备盘上的部件级控制能够处理事故并将电厂带入安全停堆状态。多样化保护系统结构示意图2。

图2 多样化保护系统结构示意图Fig.2 Overview of the DAS

多样化保护系统的自动功能主要用于执行事故发生后30 min内所需的保护功能,30 min后的保护动作可以手动去完成。考虑 “福岛”核事故的情况,还将地震仪表系统引入该系统,在地震动参数超过预置阈值信号时发出触发自动停堆的脱扣信号。

多样化保护系统同时包括了ATWT缓解系统功能,用于缓解紧急停堆系统故障所产生的后果。

相比于保护和安全监测系统,多样化保护系统保护定值的选取偏向 “最佳估算”的方向,以确保在保护和安全监测系统正常时其保护功能能够首先触发来处理事故。多样化保护系统的停堆和专设指令均采取带电动作,输出指令进行2取2表决,以降低误动概率。

5 设计扩展工况的仪控处理

“华龙一号”仪控系统在设计之初就配合工艺系统,为实现对预防和缓解严重事故的非能动工艺系统监控设置了严重事故专用仪控系统,详见图3。该系统用于监测严重事故管理所需的核电厂状态参数,并为执行严重事故预防和缓解的工艺系统、设备提供必要的监督和控制。

严重事故仪控系统设置专用的控制机柜,完成信号采集,逻辑处理和设备驱动功能,并通过位于主控制室的常规显示操作设备为操纵员提供严重事故的监测和控制手段。此外严重事故仪控系统还满足严重事故环境下的鉴定要求,接受72 h蓄电池供电,可在发生严重事故且全厂断电工况下,厂外临时电源接入之前,保持72 h正常运行。

设计过程中,由于我国核安全部门规章 《核动力厂设计安全规定》 (HAF102—2016)升版过程中增加了关于设计扩展工况 (包括严重事故)的设计要求,“华龙一号”及时对设计扩展工况进行分析并在设计上进行了优化,为应对设计扩展工况的相关设备增加了72 h供电要求。

图3 严重事故仪控系统结构图Fig.3 Overview of the I&C system during severe accident

6 主控制室设计

主控制室是全厂仪控系统的集中点,是人-机接口最集中的地方,是操纵员借助安装在主控制室内的全厂仪控系统设备监测和控制整个电厂过程变量的中心。

主控制室为操纵员提供了达到电厂运行目标所必需的人-机接口及有关的信息和设备。在核电厂正常运行、预期运行事件和事故工况下,支持操纵员掌握核电厂的运行状态,正确地做出决策,及时采取必要措施,减少人为失误,确保核电厂的安全。

主控制室内有四个完全相同的计算机化工作台。采用前3后1的布置方式,3名操纵员工作站布置在前方,根据协调员的要求管理、控制并完成所有运行任务;协调员工作站位于3个操纵员工作站的后方,作为机组正常运行的指挥者和事故状态下的协调者。同时,协调员根据任务量对规程进行任务分配,并对规程的执行负责。大屏幕安装在操纵员工作台的正前方,从操纵员所在的控制区域内可以清楚地识别屏幕信息。该显示屏幕为主控制室运行人员提供电站主要参数、主要驱动器状态和安全保护系统状态信息。

在主控制室内的操纵员工作站不可用的情况下,运行人员可根据当前核电厂工况,通过后备盘维持核电厂正常运行一段时间或使核电厂达到并维持在安全停堆状态。后备盘以一种不同于工作站的多样化的手段支持核电厂运行,作为计算机化工作站失效后的后备监控手段。除了作为多样化手段支持电厂运行,后备盘还设置有严重事故监控区域,以在严重事故乃至叠加全厂失电的工况下,向运行人员提供必要的监视和控制手段。除少量控制设备外,操纵员无论从工作站转移到后备盘,还是从后备盘返回到工作站,都要进行切换操作。需避免从工作站和后备盘上对同一设备同时进行操作。紧急操作盘 (ECP)用于手动停堆或触发专设安全设施系统级驱动指令,并旁路保护系统的计算机化部分。

7 抗震鉴定

“华龙一号”堆型进一步提高了抗震设计,标准设计地震输入采用0.3g地面最大加速度,进一步增强电站的固有安全能力,并提高机组的厂址适应性。对于 “华龙一号”首堆项目的DCS系统,安全级仪控设备在原有的完整的部件级试验加分析法的基础上,又额外考虑了对于典型样机的整机鉴定试验,从多个层次验证设备的抗震性能。同时较以往项目抗震性能得到了更大的保证。

样机的选择考虑了如下的原则:

1)典型的机柜结构和内部布置;

2)项目中用到的所有类型的机柜;

3)最恶劣的影响因素如满负荷,重量最大,机柜的振动频率应该包络楼层反应谱的峰值频率等。

根据上述原则,样机包含以下几类:

1)PAC优选驱动控制机柜;

2)PIPS机柜;

3)电源和监视机柜 (SMC)机柜;

4)APU、ALU、TU、PI柜具有相同的结构和类似的内部布置,选取对抗震影响最大的机柜类型进行试验。

除了安全级仪控设备的鉴定之外,严重事故用仪表、电缆、贯穿件等按照严重事故环境条件进行鉴定,以满足严重事故条件下监督和控制要求。

8 结论

“华龙一号”首堆工程数字化仪控系统设计充分考虑了安全分级的最新要求,考虑系统多样性设计,吸纳了福岛核事故后一系列的改进,无论是功能上,还是系统性能上都有显著的改进和提高,满足三代核电仪控系统的要求。在后续项目中,可以考虑将多样化保护系统采用不同于保护系统和正常运行仪控系统的平台,从而进一步提高纵深防御不同层次之间的独立性。