商 静，田亚杰，李天友

(深圳中广核工程设计有限公司，广东 深圳 518172)

0 引言

核电M310机组以及基于M310的CPR1000机组中，都设计有超温超功ΔT信号，用于保护燃料包壳，以防包壳损坏。超温超功ΔT整定值信号产生以后，与实测值作比较。当两者偏差超过第一阈值时，产生C3/C4信号，用于控制系统进行控制棒的闭锁以及汽轮机的甩负荷。当两者偏差超过第二阈值时，触发保护系统的超温超功ΔT紧急停堆保护功能。因此，超温超功ΔT同时参与了电厂的控制和保护功能。鉴于保护系统和控制系统的设计要求不同，这两个系统在使用该信号时的表决逻辑的处理方案也会略有不同。这种逻辑处理的差异会直接影响相关的日常运行和维修[1]。本文就超温超功ΔT信号在保护功能和控制功能中的逻辑退化处理方案作详细对比、计算及影响分析，为后续新堆型的设计提供参考方案。

1 超温超功ΔT设计方案简述

超温超功ΔT保护是采用限制反应堆进、出口温差的方法来保护燃料包壳的一种保护措施。燃料包壳损坏的主要原因是超温烧毁。超温烧毁的主要原因有两个：其一是燃料芯块局部功率过高而使其局部熔化；其二是包壳表面产生沸腾危机，即偏离泡核沸腾，致使局部因传热不良而烧毁。根据这两种原因，ΔT保护分为超功率ΔT和超温ΔT[1]。

超温ΔT计算方法为：

(1)

超功率ΔT计算方法为：

(2)

三个环路分别计算超温超功ΔT整定值并与测量值进行比较，当整定值与实测值偏差超过第一阈值时，作三取二表决逻辑后触发C3/C4信号，再将其送给控制系统用以甩负荷闭锁提棒。如果两者偏差超过了第二阈值，则作三取二表决逻辑后送给保护系统作紧急停堆保护功能。超温超功ΔT逻辑如图1所示[2]。

图1 超温超功ΔT逻辑简图

2 不同仪控平台对超温超功ΔT逻辑的处理方案

2.1 基于模拟技术的仪控平台处理方案

核电M310机组(如大亚湾、岭澳1期项目)中，仪控系统尚未数字化，使用的是模拟板件，所有逻辑实现方式均采用硬逻辑搭建。

当遇到测量通道故障或者试验时，操作人员可以通过手动操作相应开关的方式切除有问题的通道，以便下游表决逻辑进行退化。比如超温超功ΔT计算中所使用的轴向功率偏差信号Δφ(详见式(1)和(2))。该信号来自核仪表系统(简称RPN系统)功率量程探测器，如果RPN功率量程某一通道出现故障或者处于试验状态时，操作人员可以手动改变Δφ相应开关RCP483CC(以第一通道为例)的位置，使下游阈值继电器RCP444XU(以第一通道为例)和RCP445XU(以第一通道为例)处于安全位置，最终实现正常状态下的三取二表决逻辑向二取一的退化。其他RPN通道故障或者试验同样可以使用该手动方式实现逻辑退化。岭澳1期RPN功率量程故障后，对超温超功信号的影响如表1所示。

根据上文对RPN通道故障后的处理方案可以分析得出，大亚湾、岭澳Ⅰ期这种对于某一通道故障和测试状态的处理方式，是从信号产生的源头进行强制。因此，其会使超温超功ΔT在保护系统和控制系统中的表决逻辑同时完成从三取二到二取一的退化，即在保护系统和控制系统的逻辑同时实现逻辑退化。

表1 岭澳1期RPN功率量程故障后对超温超功信号的影响

2.2 西门子DCS仪控平台逻辑处理方案

岭澳Ⅱ期项目中仪控系统使用了数字化控制系统DCS，因此超温超功信号的逻辑也在DCS内部进行组态。该项目DCS使用的是西门子公司TXS平台。该平台中超温超功逻辑使用的三取二表决逻辑模块属性较为丰富，通过适当的设置，可以实现自动逻辑退化的目的。因此，DCS平台中超温超功ΔT的表决逻辑在控制系统和保护系统中的组态方式相同，在上游源头信号出现故障或者测试时，两处逻辑均可同时实现逻辑退化。

2.3 三菱DCS仪控平台逻辑处理方案

除岭澳Ⅱ期外，其他新项目的CPR1000堆型中(红沿河一期、宁德、阳江、防城港一期核电)使用的是日本三菱公司的DCS平台(MELTAC)。

CPR1000堆型超温超功信号在DCS内的实现方案如图2所示。

图2 CPR1000堆型超温超功信号在DCS内的实现方案

超温超功ΔT逻辑同样在DCS中实现。其中，超温超功ΔT的计算逻辑部分在保护组RPC机柜中的三个通道分别进行计算，经过阈值比较器2后，用于保护功能的信号继续在保护组机柜内完成跳堆功能的表决逻辑；而用于控制功能的C3/C4信号，则经过阈值比较器1后，送到反应堆功率控制柜RPCC中作三取二表决逻辑，继而完成下游的控制功能。由于保护功能和控制功能的设计原则不一致，超温超功信号跳堆功能在RPC机柜中的组态作了逻辑退化处理，而控制功能在RPCC机柜中的组态则没有设计逻辑退化功能[3]。

对于当前的实现方案，假如RPN功率量程一个通道故障或处于故障状态，则C3/C4信号的表决逻辑由原来的三取二变为二取二，增加了控制系统拒动概率。

2.4不同方案对比分析

综合对比上文不同仪控平台中超温超功ΔT逻辑的仪控实现方案，可以得到以下结论。

M310机组使用的模拟板件仪控系统是通过在测量通道源头上进行人工操作，进而可使超温超功ΔT在保护系统内和控制系统内部同时完成逻辑退化。这主要基于该堆型中没有使用数字化仪控系统。这种实现方案是模拟板件搭建仪控系统的固有特性。

西门子的TXS仪控平台可以同时实现超温超功表决逻辑在保护系统和控制系统中的自动逻辑退化。这主要得益于DCS平台内模块所具备的属性。其表决逻辑模块自带逻辑退化的功能属性，这是DCS平台本身所具备的固有特征。

三菱公司的MELTAC平台与岭澳Ⅱ期项目使用的DCS不同，其表决逻辑模块并不具有自动逻辑退化的功能属性，逻辑退化需要在内部组态设计时专门搭建一套退化逻辑。因此，针对超温超功ΔT的跳堆保护功能，DCS内部专门综合考虑各种退化条件，设计了逻辑退化功能；但是针对超温超功的控制功能并没有设计与之相同的退化逻辑。这是综合考虑控制系统设计原则和成本的影响设计的方案。

3 影响分析

针对MELTAC DCS平台中,超温超功ΔT用于控制功能的C3/C4表决逻辑不具备逻辑退化功能问题，进行全面、深入的分析以及计算。

3.1 纵深防御角度分析

核电厂纵深防御中，第一层次防御的目的是防止偏离正常运行和系统故障。在电厂正常运行期间，通过控制系统达到这一目的。第二层次防御的目的是检测和纠正偏离正常运行的情况，以防止预计运行事件升级为事故工况[4]。其通过RPS的紧急停堆和部分专设功能来实现。第三层次防御的目的基于以下假定：尽管可能性极低，某些预计运行事件或始发事件的升级仍有可能未被前一层次的防御所制止，可能发展为更严重的事件。这主要通过相关的专设功能来实现。

超温超功ΔT信号触发第一定设定值后产生C3/C4信号，用于汽轮机甩负荷和闭锁控制棒。该功能处于纵深防御的第一层次防御。当超温超功ΔT信号触发第二设定值后会引发保护系统的超温超功跳堆保护功能，这处于纵深防御的第二层次防御。CPR1000堆型超温超功信号在纵深防御体系中的划分如图3所示。

图3 CPR1000堆型超温超功信号在纵深防御体系中的划分

C3/C4在保护系统动作之前进行动作，闭锁控制棒提棒和触发汽轮机快速甩负荷，从而针对一些小的瞬态，可以避免紧急停堆动作，或者提前动作以限制事故后果。其动作设定值约比保护定值低1 ℃。其功能属于纵深防御中的控制系统。而对于控制系统，是没有单一故障准则的要求的，即作为控制系统功能C3/C4信号表决逻辑没有逻辑退化是符合设计原则的。

从功能的实际效果来看，C3/C4信号对安全是有贡献的，但在事故分析以及保护系统的设计上不考虑该控制系统的运行。C3/C4信号执行的功能是机组发生较小超温超功扰动时，通过C3/C4闭锁控制棒提升，同时引起汽轮机甩负荷，从而避免保护系统动作。该功能为非安全级功能。而对于非安全级控制系统，冗余信号不需要考虑逻辑退化，以降低非安全级系统的复杂性。

3.2 核电厂安全角度分析

根据纵深防御体系，电厂安全所依赖的RPR保护系统超温超功ΔT跳堆保护逻辑完全可以保证机组运行安全，并且该保护功能已经具备了完善的退化逻辑(2/3->1/2->触发)。因此，用于控制功能的C3/C4信号表决逻辑，无论是否具备逻辑退化功能(自动或手动)，都不影响机组安全。

3.3 核电厂运行角度分析

如果在发生可以由C3/C4功能进行控制的小瞬态时，C3/C4相关控制功能拒动，没有发出信号。这可能会引发超温超功ΔT紧急停堆保护功能动作，进而影响机组的可用率。也就是说，当衡量C3/C4信号对电厂运行影响程度时，就需要评价C3/C4表决逻辑是否作逻辑退化对拒动率的影响。本文假设了两种场景，分别对拒动率予以计算分析[5-6]。

场景1。电厂处于正常运行，所有通道都没有进行试验。针对该场景，分别按照表决逻辑退化(2/3->1/2->触发)和不退化(2/3->2/2->不触发)两种方案进行建模计算，求得在有逻辑退化和没有退化情况下C3/C4信号触发的拒动率。由该计算结果可知，在正常运行没有试验情况下，C3/C4逻辑是否退化对拒动率的计算结果没有明显影响。C3/C4信号表决逻辑对拒动率的影响如表2所示。

表2 C3/C4信号表决逻辑对拒动率的影响

场景2。有一个通道正在进行试验。通常，拒动率计算是根据故障的概率推断信号/功能拒动的概率。在此假设条件下，一个通道在试验状态，如果设计有逻辑退化，则原来的2/3逻辑将退化为1/2；如果没有退化逻辑，则原有的逻辑将变为2/2(当试验触发信号时候变为1/2)。而超温超功ΔT保护通道有退化逻辑，其逻辑将退化为1/2。这时候，若另外两个通道中的一个或两个发生故障，保护通道将会被触发，机组直接跳堆。因此，在这种情况下考虑C3/C4的拒动率已经没有意义。

综上所述，C3/C4的表决逻辑是否具有退化功能，对C3/C4避免紧急停堆动作的影响不大。

根据上文的分析结果，无论从设计准则，还是对电厂的安全、以及运行角度分析，超温超功ΔT在控制系统中的表决逻辑是否具备逻辑退化功能影响不大。但这暴露出一个共性问题：在保护系统中使用的冗余信号同时送到控制系统或者安全级别较低的系统中时，逻辑退化如何处理，直接参照C3/C4信号的表决逻辑处理是否全部适用。

为此，关于表决逻辑退化问题，本文综合调研法规标准要求、电厂总体技术要求以及仪控设计规范类文件要求后，归纳总结出以下原则。①核电厂安全由安全系统保证。安全系统中，应就信号故障等进行逻辑退化处理，使系统具有确定的故障模式。②非安全级控制系统中，冗余信号无需考虑退化选择，以降低非安全级系统的复杂性。③在非安全级系统中，要考虑尽量避免单一故障造成电厂状态波动，影响可用率。如果非安全级系统中单一信号故障或者试验导致电厂状态波动，在可行的情况下应使用逻辑退化，以避免上述干扰。

4 结束语

对于保护系统冗余信号用于低级别系统相关功能时，是否需要设计逻辑退化功能，仍需要具体问题具体分析。尤其在新堆型的设计过程中，这更应予以重视。该问题需要综合考虑多方面因素，要在保证机组安全的前提下，尽量减少电厂状态的波动，同时也要综合考虑不同仪控平台实现的复杂程度和成本问题，以最终决策逻辑退化的必要性。