俞 霄，冯伟伟，尹 凯，盛 静

（1.中核工程咨询有限公司，北京 100071；2.中国原子能科学研究院，北京 102413）

在快堆核电站中，联锁功能是确保反应器保护系统防止在操作过程中，维护和测试的控制系统的不安全方向，并且采用了一系列特殊的手段以阻挡或使系统的安全性功能的一部分在不工作状态。

快堆电厂和普通的压水堆不同，其特有的保护系统针对不同的事件实现保护功能，其联锁功能将根据设计需求输出联锁信号。

1 法规标准要求

法规和标准是反应堆保护系统设计的重要依据，在快堆保护系统验证平台设计中，主要参考下列导则或标准中的有关规定[1]：

1）HAF 102-2004《核动力厂设计安全规定》

2）HAD 102/10-1988《核电厂保护系统及有关设施》

3）HAD 102/16-2004《核动力厂基于计算机的安全重要系统的软件》

4）GB/T 13284.1 -2008《核电厂安全系统第l部分：设计准则》

5）GB/T 4083-2005《核反应堆保护系统安全准则》

6）GB/T 5204-2008《核电厂安全系统定期试验与监测》

图1 基于CPR1000堆型的数字化反应堆保护系统设计方案Fig.1 Design scheme of digital reactor protection system based on CPR1000 heap type

2 设计分析

2.1 压水堆联锁设计分析

保护系统的设计必须能够满足可靠性和安全性两方面的要求。可以增加可靠性的一个重要方法是符合逻辑。在压水堆中，联锁功能是指一种通过禁止一个不必要的保护触发，以解决正常运行模式下保护停堆可能妨碍反应堆转换到另一种运行工况的方法，范围涉及停堆和启动专设安全设施功能，其功能图如图1所示[2]。

由图1可知，当联锁信号未触发时，无法手动闭锁信号，系统自动防止运行旁通或触发适宜的安全功能。当联锁信号触发时，可以手动闭锁动作信号；当自动闭锁信号触发时，则直接触发闭锁信号，同时触发或阻止执行安全功能的信号。

2.2 压水堆允许信号设计分析

允许信号是在一定条件下自动允许或闭锁某保护功能，允许手动闭锁某保护信号或禁止某保护动作[3]。基于CPR1000堆型的允许及闭锁信号如表1所示。

3 快堆对于联锁设置的考虑

池式钠冷快堆区别于普通的压水堆，其严重事故分别为：瞬态超功率、失流事故、燃料破损迁移、失去热阱事故。设计基准事故和反应堆保护系统失效同时发生的事故，包括：1）失流；2）瞬态超功率。

3.1 失流事故

类似于压水堆的丧失掉正常给水的（ATWT）事故、池式钠冷快堆最为接近的是无保护失流事故。紧急停堆失效下的无保护失流事故可能会导致冷却剂沸腾；同时，堆芯上部形成钠空泡系数为正。大型快中子反应堆也可能导致反应堆超功率，并且堆芯熔化[4]。

表1 基于CPR1000堆型的运行旁通操作允许及闭锁信号Table 1 Operation bypass operation allowable and latch signal based on CPR1000 heap type

此时，反应堆保护系统能联锁一二回路流量系统并且供安全停堆并维持停堆的功能，以降低堆芯损伤的概率；同时在正常运行工况及过渡工况时，保持良好的可靠性。

3.2 瞬态超功率

通过对FFTF和CRBRP反应堆瞬态超功率事故的分析表明：在包壳失效时，通道中冷却剂向上流动导致燃料向上输运后事故终止。试验中，事故的反应性引入速率是0.1$/s，该值是反应堆中控制棒抽出引入反应性速率的4倍。由于燃料包壳的失效，包壳内和包壳外燃料的运动均引入负的反应性反馈，净反应性很快成为负值导致反应堆中子学停堆。在反应堆保护系统中闭锁控制棒提升来防范该现象。

3.3 工况分析

因为快堆和常规压水堆不同，其联锁信号触发的目的是判断导出热量的大小来选择是否选择专设安全设施。

3.4 联锁信号

1）所有棒在下端，允许保护系统投入

保护系统只有具备初始投入条件，才可以由操纵员手动把保护系统投入。初始投入条件包括反应堆的各个参数都处于设计限值以内（保护条件准备好），控制棒都插入堆芯，两套事故余热排放装置均正常。只有在保护系统投入运行后，才允许提升安全棒。只有当所有安全棒都处于顶部位置时，才允许提升调节棒和补偿棒。

2）功率超过限值，禁止控制棒提升

表2 基于CEFR的运行旁通操作允许及闭锁信号Table 2 Allowable and latch signals for running bypass operations based on CEFR

当反应堆周期、堆功率或堆芯出口钠温超出整定值时，自动禁止提升控制棒。

3）正常排热停堆联锁一二三回路泵动作

所列的下列参数触发保护动作时，则形成“三回路正常排热系统保持工作能力时”的停堆保护动作：

◇ 反应堆功率变化

◇ 一回路冷却剂总流量

◇ 堆芯出口钠温

◇ 主容器钠液位

◇ 汽轮机停机信号

只有当核功率下降了20%，给出此联锁信号，触发一、二回路主泵控制系统，三回路控制系统和报警系统。

4）单环路切除停堆联锁一二三回路泵动作

停堆保护参数中出现下列信号将导致切除Ⅰ环路：

◇ 一回路Ⅰ环路循环泵切除

◇ 二回路Ⅰ环路流量

◇ Ⅰ环路SG出口钠温

◇ 二回路缓冲罐覆盖气体压力

5）停堆保护参数中出现下列信号将导致切除Ⅱ环路：

◇ 一回路Ⅱ环路循环泵切除

◇ 二回路Ⅱ环路流量

◇ Ⅱ环路SG出口钠温

◇ 二回路缓冲罐覆盖气体压力

只有当核功率下降了20%，给出此联锁信号，触发一、二回路主泵控制系统，三回路控制系统和报警系统。

6）双环路切除联锁一二三回路泵和风门动作

图2 基于TCS-900的反应堆保护系统旁通符合逻辑降级设计方案Fig.2 Design of Bypass compliant logic downgrade for reactor protection system based on TCS-900

当有双环路同时切除信号或失去厂外电源、地震信号时：当核功率下降了20%，给出此联锁信号，触发一、二回路主泵控制系统，三回路控制系统和报警系统；同时开启余热排出系统。

3.5 快堆对于允许信号的考虑

表2给出了样机紧急停堆允许闭锁信号。以P6和P8为例：当功率低于2.5×10-3%额定功率时，P6和P8都不存在，则若有源量程中子注量率高信号，则输出停堆信号；当功率高于2.5×10-3%额定功率且低于5×10-2%额定功率时，P6存在，P8不存在，此时允许手动闭锁，即若有手动闭锁信号，则有源量程中子注量率高信号时也不输出停堆信号；当功率高于5×10-2%额定功率时，P8存在，此时即使有源量程中子注量率高信号时也不输出停堆信号，即自动闭锁源量程中子注量率高信号[1]。

3.6 符合逻辑降级

为了保证维修期间保护系统功能的执行，当设备处于维修状态时，符合逻辑应做降级处理。紧急停堆系统的参数和通道都应涉及降级处理，总体规则如下：当某个保护通道被旁通时，其它通道符合逻辑对该通道的信号做降级处理；当保护参数被旁通时，所有通道（包含本通道）符合逻辑对该保护参数信号做降级处理[3]。

在快堆保护系统验证平台项目中，采用的是浙江中控TCS—900N产品，其系统架构为2oo3D-1oo2D-Fail Safe模式。

TCS-900N控制站的每个控制器和I/O模块都有3个独立的通道回路，输入模块内的3个通道同时采集同一个现场信号并分别进行数据处理，经表决后发送到3条I/O总线，控制器接收数据并进行表决，并将表决后的数据分送给3个独立处理器，每个处理器完成数据的运算后，对其三通道中的运算结果进行表决，并送入I/O总线，输出模块接收数据并进行表决，其结果送3个通道进行数据输出处理，处理结果等待表决后输出至驱动信号。图2中≥2BYP为带降级功能的符合逻辑模块，输入信号为各保护通道的阀值动作信号和参数，当出现本通道的参数n被旁通，其它通道任意一个被通道旁通或参数n被旁通时，符合逻辑中对应冗余度为1的部分将冗余度降为零，则2oo3降级为1oo2，符合逻辑仍能提供可接受的可靠性。对于不同功能，符合逻辑的类型不同，降级规则也存在差异。因此，从故障安全和运行管理角度考虑，降级规则严格按照现行国家法律与规定执行。

3.7 分析结论

根据上述分析，快堆数字化反应堆保护系统的联锁设计原则可归纳为以下几点：

1）设计原则

◇ 联锁功能设计必须严格遵循法规标准的规定和要求。

◇ 依据快堆事故工况进行联锁功能设置。

◇ 依据快堆特性进行允许功能设置。

2）设计规范

◇ 如果安全系统的某部分不运行或被旁通，在控制室内应提供状态指示。

◇ 联锁与允许功能是保护系统的组成部分，需满足与保护系统相同的要求。

◇ 采取降低符合度等措施是联锁设计的重要组成。

4 结语

国内具有自主知识产权的快堆核电站数字化反应堆保护系统研发和工程应用正处于起步阶段，面临技术封锁、经验匮乏、流程和规范不完善等问题。本文在对法规标准深入研究的前提下，以CEFR为参考堆，快堆保护系统验证平台设计需求为基础，通过分析在压水堆和快堆的设计方案，得出联锁设计需要遵循的原则和规范，对后续示范快堆的数字化反应堆保护系统联锁设计具有参考意义。