徐 智，高泉源

（苏州热工研究院有限公司，苏州 215004）

熔盐堆是6种四代堆之一，在钍铀燃料循环应用和能源综合利用方面具有非常突出的优势。中科院上海物理研究所设计的熔盐堆（TM⁃SR-LF1）采用一体化的堆本体布局，具有固有安全性。当反应堆出现异常工况时，反应堆不靠人为操作或外部机构强制性干预，而是依赖反应堆中与设计有关的固有特性自我调节、自我稳定能力使反应堆趋于正常运行或安全停闭[1]。和其他研究堆类似，TMSR-LF1无成熟的设计导则、标准，作为II类研究堆，其设计与常见的核动力反应堆以及同类别的反应堆有明显的差异。比如，TMSR-LF1的保护和安全监测系统（PMS）为安全级系统，而向其供电的电气系统为非安全级。由于这种设计比较罕见，且审评时无可遵循的导则、标准，本文对这种不常见的设计的可接受性进行了分析。

1 设计特性

1.1 仪控系统设计

TMSR-LF1 的仪控系统为反应堆的运行提供保护功能、控制功能和信息功能。TMSR-LF1仪控系统可分为3 层：监控管理层、过程控制层和现场设备层，按照系统功能可分为堆外核测量系统（NIS）、热工测量系统（TMS）、保护和安全监测系统、堆控制系统（PLS）、数据显示和处理系统（DDS） 及运行和控制中心（OCS）等[1]。

PLS 主要实现反应堆功率控制、过程控制，实现核功率与热功率的调节，同时保护设备的运行，可以尽量减少紧急停堆。DDS 对获取的数据进行处理，提供反应堆在运行工况下的信息，具有数据显示、数据处理、数据存储、报警、逻辑计算、安全参数显示、计算机化规程、报表和存档等功能。OCS集成了多个安全级和非安全级的系统和设备，为运行提供了控制和监视反应堆运行所需的设施和人机接口（HSI）资源。

NIS 主要用来获取反应堆的核功率，同时，给保护系统提供紧急停堆和事故监测信号。TMS对反应堆熔盐回路的流量、压力、液位和温度等参数进行准确的测量、显示和记录，从而监督熔盐堆热工系统中的各个设备的运行状况。

PMS 连续监测反应堆保护信号值，当信号值超过保护整定值时，会在规定时间内发出紧急停堆触发信号，触发控制棒紧急下落，防止事故发生，并且可以在事故发生后减轻事故后果。

在相关工况下，操纵员需要在主控室安全盘台上通过按钮对相关阀门进行手动操作，关闭安全容器隔离阀门，通过操纵员、值长、大屏幕及远距离监测站发出指示。操纵员根据运行规程，可对隔离阀门进行复位操作。

操纵员能够通过事故后监测功能对监测信号进行测量，检验事故后自动保护动作的正确性，确定事故的性质，监测辐射水平，支持运行人员有关的缓解操作、防护措施以及应急防护行动决策，以减轻事故后果，并防止放射性物质的非正常释放。在事故及恢复过程中，如果自动动作未发生，操纵员可采取手动校正动作，使反应堆处于安全停堆状态。

PMS 由过程测量通道、核测量通道、逻辑系列、反应堆停堆断路器、手动驱动电路等部分组成。现场信号通过传感器分别传至保护系统的A、B通道机柜，信号经采集及运算后与整定值进行比较，产生的信号进入逻辑处理单元进行二选一的逻辑处理，处理后产生的紧急停堆信号分别输出到对应的停堆断路器。

保护系统采用两重冗余设计，在整定值设置时考虑了裕量，当两通道仪表输出不一致但未触发时，系统不动作，只有通道达到触发条件才输出停堆信号。TMSR-LF1保护系统安全设施的驱动是通过断开阀门供电实现阀门关闭的。该控制独立于DCS 中阀门的正常控制功能，无须相关的优选逻辑模块。

C类以上的事故后监测传感器输出分别由保护系统A、B通道机柜采集处理后，发送至主控室PMS安全控制台上的显示器。

事故后监测功能与反应堆紧急停堆功能共用一个机柜，采用两个通道的设计，事故后设置两个独立的监测通道。机柜分别放在两个实体分隔的保护设备间内。事故后显示装置安装在控制台（盘）上。事故后剂量监测仪表配备了本地显示模块。

根据事故分析要求，TMSR-LF1设置了两个专设安全设施：非能动余热排出系统、安全容器。非能动余热排出系统的功能是在燃料盐回路和冷却盐回路系统完全丧失排热能力的工况下，利用空气自然循环将反应堆余热排出。系统一直在线运行，事故后不需要任何控制。安全容器由上安全容器、下安全容器组成，主要功能是在燃料盐边界或覆盖气边界发生放射性物质泄漏的事故工况下，限制放射性物质向环境释放，减轻事故后果。正常运行时，需要开启的隔离阀在失去动力时自动关闭。主控室有动力操作隔离阀的位置指示。PMS 系统不设置自动驱动，只有手动驱动。对于运行中常开的隔离阀门，安全盘台上设置紧急关闭旋钮。对于所有运行中常闭的隔离阀门，安全控制盘台上也设置了手动旋钮开关，对于安全容器隔离阀门，根据其功能分类及运行要求设置了若干手动关闭按钮。

仪控系统安全级保护信号见表1，仪控系统结构如图1所示，PMS系统的驱动逻辑如图2所示。

表1 安全级保护信号Table 1 Safety level protection signal

TMSR-LF1 仪 控 系 统 的PMS、NIS、TMS（部分安全级信号仪表）、控制棒断路器机柜以及OCS 中的安全级显示器、控制器按安全级∕设备进行设计。

图1 仪控系统结构图Fig.1 Instrument control system structure diagram

图2 TMSR-LF1保护系统结构框图Fig.2 Protection system structure block diagram of TMSR-LF1

1.2 电气系统设计

TMSR-LF1的交流电源系统是为保障反应堆完成运行目标而设置的系统。它保证TMSR-LF1在正常运行、起动、正常停堆时获得供电，包括维持TMSR-LF1正常运转的动力、照明、控制设备和仪表负荷相关设备。交流电源系统由厂外电力系统和厂内电力系统两大部分组成，其中，厂内电力系统又分为厂内正常交流电源系统和厂内备用电源系统。

厂内备用电源系统的功能是当厂外两路交流电源均不可用时，启用备用柴油发电机组并在预定时间内向指定的负荷（交流不间断电源系统、实物保护系统、消防负荷、应急照明系统等）提供电力。备用柴油发电机组不提供安全停堆相关系统设备的供电，不需要长期持续运行，其安全等级为非安全级。

TMSR-LF1 由3 套交流不间断电源及输入输出配电装置构成，每套包括充电器、逆变器、旁路变压器、蓄电池组、输入输出交流配电柜等设备。UPS1 在全厂断电后仍需持续向辐射安全监测仪表和熔盐制备控制系统供电2 h，向仪控系统等供电1 h。

电源UPS2、UPS3组成双电源，同时给堆外核测柜、保护系统处理柜、保护系统安全显示器、事故后监测仪供电，当全厂断电后，该组UPS电源持续供电不小于12 h。事故后，监测仪表采用双路UPS供电配置。以上的交流不间断电源系统设备为非安全级，抗震等级要求与建筑物抗震等级一致。不间断电源系统的单线图如图3所示。

图3 间断电源系统的单线图Fig.3 Single line diagram for UPS

2 审评问题

在TMSR-LF1 的PSAR 审评时，除了少量的研究堆导则外，没有成熟的导则与标准可用。因此，审评采用了核电厂有关的成熟导则、标准作为参考，对于TMSR-LF1特有的以及难以满足核电标准的部分，采用“一事一议”的办法。

为实现核动力厂的安全运行，防止危及安全的事件发生或减轻事件后果，HAF 102提出了核动力厂重要构筑物、系统和部件的设计必须满足的要求[2]。该规定要求运营单位必须提供对核动力厂状态进行监测的手段，以保证实现所要求的安全功能；假设始发事件发生后，如需要操纵员判断核动力厂的状态并及时使核电厂进入稳定停堆工况，则必须设置有关的仪表以监测核动力厂的状态，同时，设置适当的手动操作设备；必须设置用于确定核动力厂裂变过程、反应堆堆芯完整性、反应堆冷却剂系统完整性和安全壳完整性主要变量值的监测仪表；获得核动力厂安全和可靠运行所需的重要信息；确定核动力厂事故状态及控制措施；预测可能出现放射性物质释放的位置及释放量；根据需要向应急监管单位提供核动力厂重要参数和核动力厂内及其外围放射性状况的信息；在交流电源丧失的情况下，应保证核动力厂关键参数监测以及完成安全必要的短期行动的动力供应；设置相应的辐射监测设备，以保证在运行状态下和设计基准事故工况下提供充分的辐射监测，以及在设计扩展工况下提供实际可行的辐射监测等。

HAD 102∕01 将保护系统定义为探测电厂偏离可接受状态并发出指令的安全系统。设置保护系统的目的是在控制系统不能维持电厂参数在容许值以内时，用来保证安全。当控制系统内部发生故障时，或由于发生某种事件使过程变量变化太快而控制系统来不及动作时，或由于安全重要物项的某种故障时，保护系统需要迅速做出动作，以防止危险的发生[3]。

根据TMSR-LF1 的PMS 设计功能，参考《核电厂安全重要仪表和控制功能分类》（GB∕T 15474—2010）以及核安全规定和导则，审评者认为将TMSR-LF1 的PMS 定为安全级是可接受的[4,5]。

《核电厂安全系统第1 部分：设计准则》（GB∕T 13284.1—2008）指出安全系统由监测指令设备、执行装置和动力源3 部分组成，因此，安全系统供电电源(属于动力源，安全级)应符合有关规定，并且是安全系统的一部分。安全系统供电电源应符合《核电厂安全级电力系统准则》（GB∕T 12788—2008）的要求[6]。

GB∕T 12788 要求安全级电力系统中为安全功能服务的部分应满足核电厂安全系统准则(GB∕T13284.1)的要求。安全级电力系统中的其他部件、设备和系统应满足安全系统的某些要求，以增加安全级电力系统的可用性和可靠性。安全级电力系统的设备应通过型式试验、以往的运行经验、分析或以上3种方法的任意组合进行质量鉴定，以证实该设备能够连续满足设计基准规定的要求。安全级电力系统的设备应按《核电厂安全级电气设备鉴定》（GB∕T 12727—2017）的要求进行质量鉴定[7]。

GB∕T 12788 还明确了为安全级仪表和控制系统提供交流或直流电源的要求。供电系统应能为反应堆停堆系统、专设安全设施、辅助支持设施及其他辅助设施提供高可靠性的电源。通常设计要分成两个或多个冗余负载组，每个负载组的保护动作应独立于其他冗余负载组，应为仪表和控制系统提供两个或两个以上独立的直流电源，应为仪表和控制系统提供两个或两个以上独立的交流电源。为了满足这些条款的要求，设计中常设置隔离的专用电源。

此外，《核电厂事故监测仪表准则》（GB∕T 13627—2010）要求事故监测仪表的电源属于安全系统辅助设施。A、B、C 类变量监测仪表的供电应是安全级的。每个仪表通道的供电都应设计成在电厂瞬态期间连续可用，除非在运行基准文件中对短时间的电源中断进行了评价并被认为是可接受的。如果仪表的供电是从变压器、电流互感器或两线制仪表回路中得到的，则这类仪表可不遵循上述要求。为事故监测仪表通道供电的电源应能够确保所需的电压、频率及持续时间，以保证事故监测通道的精度和可靠性。供电电源应具有防瞬态特性的功能[8]。

上述标准的主要要求见表2。

表2 安全级电源供电要求的标准及其索引Table 2 Standards and indexes for safety level power supply requirements

如果直接套用核电厂的上述标准与HAD 102∕13[9]，采用非安全级电源给安全级的仪控系统供电的设计不满足要求。在PSAR 审查阶段，这成了不易解决的难题。

但仪控专业的审评者认为由于TMSR-LF1的额定热功率较低，仅为2 MW，且采用了一体化的堆本体布局，主回路高温低压，余热排出系统采用无须干预的非能动设计，堆容器外设置安全容器等阻止放射性物质释放的多道屏障，且具有在线气体净化功能，燃料盐能够较好地限制放射性物质的释放，堆芯具有良好的负反馈特性等固有安全性，因此，直接按小核电厂的标准要求设置安全级电源向功能比较简单的II类研究堆保护系统供电可能不够合理。

此外，与HAF 102不一样，HAF 201未对研究堆的分级进行明确要求。HAF 201的规定只强调了研究堆设计必须满足的安全要求，对于如何满足这些要求则不做具体规定，并认为某些研究堆实际上并不需要满足全部安全要求。HAF 201 对保护系统的支持系统无明确分级规定。对于电源系统，HAF 201只是要求必须确定正常和应急电源设计的基准[10]。因此，仪控审评者认为非安全级电源向安全级仪控系统供电的设计有可能是可接受的。

3 可接受性分析

相对于核动力厂的法规和导则要求，研究堆有关电源的要求比较笼统和宽泛，因此，分析时仍按核动力厂的要求进行。对于保护系统的支持系统，HAF 102 5.4.7.2要求支持系统和辅助系统具有可靠性、多重性、多样性、独立性以及用于其隔离和功能试验的措施，必须与所支持的系统的安全重要性相适应。5.4.7.3不允许支持系统和辅助系统的任一失效同时影响安全系统的多重部件或执行多样化安全功能的安全系统[1]。由于TMSR-LF1的保护系统设有两个序列，且不设多样化系统，因此，两个独立的UPS电源设置满足5.4.7.3 的要求。分析主要围绕电源系统与所支持保护系统的安全重要性的适宜性进行展开。

保护系统及其供电电源的故障模式及失效见表3。表3 表明可预计的故障不会妨碍保护系统执行安全功能。

表3 保护系统及其供电电源的故障模式及失效分析Table 3 The failure mode and analysis for the PMS and its power supply

值得注意的是，由于保护系统采用了两列独立的冗余设置，序列间的信号均经过电气隔离，且符合二选一逻辑，因此，安全级任意的序列随机故障在最恶劣的情况下只会导致单一序列驱动的失效，剩余的那个序列仍然能够执行安全停堆功能。

除此之外，由于TMSR-LF1为非动力堆，其运行对电网的影响几乎可以忽略。因此，从这点上说，TMSR-LF1外电源的可靠性较核电厂要高。同时，工业级别的非安全级冗余后备柴油发电机亦能为仪控系统提供可靠的电源。

安全分析研究了3种未能紧急停堆的预期瞬态。假定事故中保护系统未有效触发控制棒落棒停堆。分析结果均表明事故不会造成燃料盐边界的损坏，不会造成放射性物质额外释放。表4给出了详细分析[1]。

纵上所述，审评者认为采用非安全级电源系统向保护系统供电，在安全方面基本可接受。同时，审评者指出设计时如果能加强对非安全电源系统的监控，提高UPS 电源多样性特性，能够进一步提高保护系统供电的可靠性。此外，审评者建议设计方对将电源改为安全级的代价进行分析，进一步判别该设计的合理性。

表4 未能紧急停堆的事故分析Table 4 Safety analysis of ATWS

4 结语

对于将熔盐堆安全级保护系统的电源系统设计为非安全级，本文从保护系统以及其供电系统的设计出发，对AC 电源的可靠性、UPS 的故障特性、保护系统的传感器（包括核测系统）的电源特性、保护系统柜以及停堆断路器柜的电源特性、手动驱动特性以及保护失效的后果进行了分析，分析认为该设计能够满足HAF 相关的要求，在安全上可以接受。该案例说明，对于按失电安全、无自动触发的失电触发专设安全动作的、具有较高固有安全性的II类研究堆，不宜照搬小核电厂保护系统的辅助支持系统的要求进行审评。