2MWt液态燃料钍基熔盐实验堆仪控系统纵深防御设计与分析
2021-07-08李炳营黄国庆魏永波徐海霞韩立欣
李炳营,刘 烨,黄国庆,魏永波,徐海霞,韩立欣,后 接,*
(1.中国科学院上海应用物理研究所,上海 201800)
仪控系统是整个反应堆的关键设备,它对控制反应堆的安全运行、显示反应堆的运行状态、对运行的异常报警和设备的故障报警起着重要的作用。2MWt液态燃料钍基熔盐实验堆(TM⁃SR-LF1)仪控系统设计时将HAF 201《研究堆设计安全规定》作为顶层的设计基准,为确保系统的功能和可靠性要求,系统在设计中考虑单一故障准则、冗余、独立性、多样性、纵深防御、故障安全等原则。本文主要介绍TMSR-LF1仪控设计中纵深防御的设计考虑和对设计的合理性进分析。
1 总的纵深防御层次
《研究堆设计安全规定》及IAEA发布的安全标准均明确了纵深防御的要求,即在仪控设计中必须贯彻纵深防御的原则,给反应堆提供多层次的深度保护从而防止放射性物质释放,并确保在防护失败的情况下采取适当的措施保护人类和环境以及减轻后果。仪控设计提供多层次的保护手段,确保了反应堆的下列基本安全功能[1]:在所有工况条件下,均能停堆并保持安全停堆状态;足以排出停堆后(包括事故工况停堆后)的余热;包容放射性物质,避免向环境的释放。
SSG-39是反应堆仪控设计的专业指导标准[2]。SSG-39要求分配给仪控系统的功能包括在各种运行状态模式和事故条件下提供与反应堆运行相关的信息和控制的能力,目标是实现如下的纵深防御功能:第一层次,防止偏离正常运行;第二层次,检测故障并控制异常操作;第三层次,控制设计基准事故;第四层次,控制超设计基准事故的后果;第五层次,减轻事故后辐射释放的后果。仪控系统的架构设计中需要充分考虑纵深防御的要素,并且保证纵深防御的每一层次的防御深度和多样性,在实际可行的范围内各防御的层次应是独立的。因此,在整体的仪控系统结构上的防御深度是通过独立的防御层次实现的,一条防御层次的失效可以由下一条防线来弥补,一个层次内应充分考虑多样性。多样性和纵深防御之间是不可分割的,多样性设计是实现纵深防御原则的主要手段,纵深防御又是多样性的补充,不同的纵深防御层次之间具有多样性的特点,同一防御层次内也应用了多样性的设计[3]。NUREG/CR-6303给出了数字化仪控系统多样性和纵深防御的设计指导[4],7通过对纵深防御设计的评价,确定是否存在共因故障风险的地方,薄弱的环节是否通过多样性和纵深防御设计进行了补偿。本文对纵深防御策略在TMSR-LF1仪控设计中的应用进行了分析。
2 TMSR-LF1仪控系统纵深防御设计
仪控系统的设计应保证反应堆的安全在重叠的保护措施之下,即使有一层失效,将由适当的措施探测、补偿或纠正[5]。仪控系统的整个设计中贯彻纵深防御的原则,以便对各种瞬发的或预计运行事件及事故提供多层次的保护[6],防御因仪控系统设备自身的故障造成的不安全的事件。TMSR-LF1仪表和控制系统设计为满足实验堆的总安全性目标,并根据实验堆总的纵深防御策略,设置了如下四层防御层次:
(1)控制层:由堆控制系统执行在正常运行过程中的运行监测和控制功能,使反应堆维持在安全状态,防止异常工况或事故工况的出现。控制层是在正常运行时,防止反应堆偏离正常运行和预期运行事件升级为事故,对应总的纵深防御的第一层次和第二层次。
堆控制系统采用非安全级的DCS系统,以过程控制功能为基础进行分组分配,分成若干个控制子系统,通过对控制棒的提出和插入进行控制从而控制反应堆的启动、功率调节、停堆。
(2)紧急停堆层:当发生预计运行事件时,由保护系统自动触发紧急停堆(RT)动作,防止发展成事故。如果发生自动触发紧急停堆动作失效,可手动触发控制棒落棒实现停堆。在紧急停堆后,由一直在线运行、依靠非能动原理工作的余热排出系统排出余热,实现安全停堆。紧急停堆层对应总的纵深防御的第三层次。
执行紧急停堆的系统为安全级保护系统,采用多重的设计。
(3)专设驱动层:当发生特定的事故时,由操纵员手动触发关闭安全容器相关的隔离阀门,防止事故进一步恶化和大量放射性物质向环境释放。专设驱动层对应总的纵深防御的第四层和第五层的防御。
(4)监测和显示层:给自动的动作和操纵员的手动操作提供精确的信息,操纵员依赖监测仪表和显示设备执行任务或响应外部事件,包含安全级和非安全级的监测和显示,监测和显示设备均分布在其他三个层次的系统中。
TMSR-LF1的监测由非安全级监测和显示及安全级监测和显示组成,具体设备包括安全级和非安全的监测设备、数据处理与显示系统、安全盘台上的SVDU以及部分仪表的本地显示模块等。
TMSR-LF1仪表和控制系统为反应堆的正常运行提供紧急停堆安全保护功能、信息显示及控制功能和事故后监测的功能。TMSR-LF1仪控系统总体结构可分为以下三层:现场设备层、过程控制层、监控层,TMSR-LF1仪控系统的结构见图1[7,8]。
图1 TMSR-LF1仪表控制系统的结构框图Fig.1 TMSR-LF1 I&C structure diagram
2.1 控制层
控制防御层的功能是将反应堆维持在运行限制之内,以免引起紧急停堆,由非安全级的控制系统平台实现,非安全级的仪控平台可以实现堆控制系统和数据显示与处理系统的功能,集中控制、显示和管理整个实验堆运行过程的信息,并对异常信息进行诊断和报警,提供完整的日志记录和历史数据。
基于过程控制功能的集中原则,对控制功能进行分组分配,堆控制系统中设置了如下控制子系统:功率控制子系统、回路控制子系统、气路控制子系统、燃料装载与排放控制子系统、辅助工艺控制子系统。各控制系统由分配的独立的机柜完成数据采集和过程控制。
功率控制系统可实现各种工况下堆功率的监测和控制功能。熔盐回路包括经过堆芯的燃料盐回路和经过双熔盐热交换器的冷却盐回路以及相应的回路管道和熔盐储罐等,熔盐回路控制系统用于维护实验堆燃料盐回路、冷却盐回路上设备的正常运行,以保证反应堆的核功率能够高效率地转化为热功率,从堆芯导出到热交换器;气路控制系统主要功能是实现对气路系统的供气子系统、尾气处理子系统的控制,从而为各用气设备提供符合要求的气体,并将各设备出口尾气处理合格后排放;燃料装载与排放控制系统实现对燃料盐装载和排放的手动和自动控制,实现对燃料装载与排放管路上设备正常运行的控制和燃料装载和排放的功能及联锁功能;辅助工艺控制系统实现堆厂房内暖通、设冷水、冷冻水、配电设备、UPS、柴油发电机等进行监测和控制功能;辐射监测系统是相对单独的系统,非安全相关的辐射监测信号通过网关传送到数据处理与显示系统,在主控室进行显示和报警。
2.2 紧急停堆层
紧急停堆防御层提供自动和手动紧急停堆的功能。在安全参数超过整定值时,依靠保护系统立即自动触发紧急停堆,并迅速把反应堆引入深的次临界状态,防止瞬态事故的进一步发展,所对应的总的防御层次的保护系统由安全参数监测仪表、逻辑处理机柜、驱动机构及手动驱动电路组成,在保护参数监测仪表监测值达到或超过停堆动作整定值时,保护系统逻辑处理机柜自动产生紧急停堆信号,驱动停堆断路器脱扣,从而断开控制棒的驱动电源,使所有控制棒依靠自身重力下落插入石墨孔道中,实现自动紧急停堆[9,10]。
保护系统采用两重冗余的设计,设置了A、B两个通道,通道间采用二取一逻辑,任一通道给出停堆信号,即可完成紧急停堆。架构图如图2所示,根据LF1保护参数的设置,其中提供紧急停堆监测变量的传感器为堆外宽量程中子探测器及其二次仪表2组,燃料盐堆芯出口温度监测热电偶2个,安全参数的特性见表1。两个通道的监测信号分别传至两个通道各自的保护机柜的信号处理板卡,由其对信号进行隔离、调理运算、进行整定值比较后,将信号送给不同通道的逻辑处理板卡进行二选一符合逻辑处理,表决产生的紧急停堆信号分别输出到对应的停堆断路器。停堆断路器连接方式为A1与B1串联,A2和B2串联,两串联支路并联[11]。
表1 安全参数的特性监测通道特性Table 1 The characteristics of the safety parameters characteristics monitor
图2 TMSR-LF1保护系统架构图Fig.2 TMSR-LF1 protection system structure diagram
手动停堆功能是在发生自动触发紧急停堆动作失效时使用的,可通过设置在主控室的安全控制盘台上的两个冗余的手动停堆开关执行手动紧急停堆功能。送到停堆断路器的手动停堆信号引起欠压线圈失电,励磁线圈得电,停堆断路器打开,切断控制棒电机供电回路,控制棒落入堆芯。手动停堆指令是两个手动停堆开关串联后接入保护系统机柜的RTRM停堆矩阵,RTRM停堆矩阵为硬件联接电路,这种直接触发的安全功能不受系统内其他部件故障的影响。断路器的停堆命令由保护系统机柜的RTRM停堆矩阵的UV(欠压脱扣)矩阵和ST(分闸脱扣)矩阵发出。UV输出为有源DC48V信号,DC48V信号直接驱动UV线圈。ST线圈由直流配电箱提供DC220V控制电源。断路器的UV线圈和ST线圈分别由保护系统和直流配电箱供电,实现了供电的多样性。停堆断路器UV线圈和ST线圈的供电的示意图见图3。
图3 断路器线圈供电示意图Fig.3 power supply for coil in a circuit breaker
TMSR-LF1远程停堆点是在主控室发生火灾不可用并且未完成紧急停堆功能时,提供远程(应急)手动停堆功能。远程停堆手动触发与主控室手动紧急停堆采用不同的设计,远程停堆手动触发装置通过电气连接控制全部控制棒驱动机构电机供电回路的通断,远程停堆点停堆控制原理图见图4。主控室手动紧急停堆通过停堆断路器控制停堆驱动机构电机的供电回路通断。远程停堆点手动触发紧急停堆功能实现了手动停堆功能的多样性。
图4 远程停堆点停堆控制原理图Fig.4 RT schematic for remote shutdown station
2.3 专设驱动层
根据安全分析的结果,TMSR-LF1设置的专设安全设施为安全隔离阀门、非能动余热排出系统和安全容器,其中余热排出和安全容器在事故后不需要任何控制或驱动,但是为了限制事故后放射性物质向环境释放的可能,在燃料盐边界和覆盖气边界与外界联系的管路上设置了安全隔离阀门,这些安全隔离阀门需要根据运行的需要进行手动关闭。主控室安全盘台上共布置4个旋钮开关,执行对安全隔离阀门的分组手动关闭功能。这些旋钮开关直接控制连接相应阀门供电回路中的继电器对阀门供电回路进行通断操作。根据各阀门的功能分类及运行要求,设计中对相同功能的阀门进行分组控制,减少了操作设备数量,减少了操纵员工作负荷。正常运行时,这些阀门的控制及状态反馈等功能由非安全级控制平台实现。所有安全隔离阀门供电的本地配电箱中设置了切断所有阀门供电的断路器,在主控室手动按钮故障未能关闭阀门时,可在本地切断阀门的供电,使得所有安全隔离阀门失电关闭,安全隔离阀手动关闭功能控制原理图如图5所示
图5 安全隔离阀控制原理图Fig.5 control schematic for safety isolating valve
安全盘台上对安全隔离阀门的手动关闭功能与非安全级控制平台的控制是独立的。关闭阀门时,旋钮开关控制继电器失电,供电回路断开,隔离阀门失电关闭;安全控制盘台上关闭旋钮对阀门的关闭功能优先于DCS控制操作功能。复位阀门时,旋钮开关控制继电器得电,此时隔离阀门的动作由非安全级DCS端的控制状态决定。手动和自动安全隔离阀门的正常操作由非安全级的控制系统、数据处理和显示系统完成,安全控制盘台上手动关闭阀门功能由纯硬件电路构成,体现了多样性的设计原则。
依据事故后操纵员在30分钟内不干预原则,对作为专设的安全隔离阀门只设置手动的关闭功能,不设置自动关闭功能是可行的。
2.4 监测和显示层
监测和显示层是最后的防御层,在前三层的防御均失效时,操纵员可根据仪表的正确指示判断事故的严重程度,进行相应的手动操作,尽可能地减少放射物的释放。TMSR-LF1仪控系统的监测和显示层由非安全级的数据处理和显示系统的操作员站和安全盘台上的SVDU组成。在显示终端的布置上考虑了分散的特点,分别在主控室和远程停堆点设置显示与操作终端。
安全重要的仪表参数和设备的状态由安全盘台上的SVDU显示,用于事故后堆内及大厅的剂量信息在安全盘台的SVDU上显示,并且这些仪表配备了本地显示模块,安全盘台的SVDU上显示故障时,这些参数可在本地查看,事故后剂量显示具有多样性的特点。保护系统的重要信息包括安全参数、事故后监测变量以及保护系统的状态信息,均通过单向网关传递到数据处理和显示系统进行显示,补充了安全重要信息的信息显示多样性。过程控制的仪表参数及设备的状态信息由非安全级的数据处理和显示系统处理和显示,均可在主控室的操纵员站和远程停堆点的监测站显示。
仪控系统的部分数据通过信息显示与处理系统的数据链服务器单向发送至厂级信息系统,由厂级信息系统完成信息的远传与显示。
3 TMSR-LF1仪控系统纵深防御应用分析
本文对TMSR-LF1仪控系统纵深防御层次设置与标准的符合性进行分析,还分析了仪控系统纵深防御设计中的多样性和独立性的设置特点。
NUREG/CR-6303介绍了一种典型的核电厂数字化仪控系统的防御层次,其分别为控制层、紧急停堆层、专设驱动层、监测和显示层。当控制系统失效时,紧急停堆系统紧急关闭反应堆;当控制系统和紧急停堆系统均失效时,专设驱动系统对反应堆的冷却和辐射释放提供物理屏障,监测和显示层提供了操纵员进行手动控制所需的信息,其功能也分散到其余三个层次中。所有的四层防御均依赖于传感器来决定何时执行功能,要求提供信息的传感器之间的单一故障不会破坏纵深防御的层次。TMSR-LF1仪表和控制系统设置了四重防御层次,控制防御层、紧急停堆防御层、专设驱动层、监测和显示层的纵深防御层次与NUREG/CR-6303介绍的纵深防御层次是相一致的。在这四个纵深防御层次的每个层次中又根据各设备的功能对安全的重要性分为非安全级组和安全级组,如表2所示。
表2 TMSR-LF1仪表控制系统与防御层次之间的关系Table 2 The relation ship between I&C and D3
纵深防御的各个层次之间要求尽可能的独立,各层次之间尽可能的要求不共用传感器,TM⁃SR-LF1仪表和控制系统纵深防御的独立性设置特点有如下几个方面:
(1)保护系统、控制系统安全盘台满足电气隔离和实体隔离的要求,因此纵深防御的各个层次之间是独立的,紧急停堆的手动停堆开关和专设驱动的手动开关均设置于安全盘台上,安全盘台上电路的布置满足分隔距离要求,在分隔距离不满足时设置屏障以满足电路的独立性要求。
(2)紧急停堆系统的传感器信号与控制系统的传感器独立,但是事故后监测与紧急停堆系统存在共用的传感器,因为用做保护变量的参数作为事故后监测变量的D类变量,为显示单个安全系统和安全支持系统状态所设置的监测,不作为事故后手动控制措施的必要的信息,因此保护系统和事故后监测共用传感器是可接受的。
纵深防御各个层次之间的设备要求具有多样性,每个层次内尽量考虑多样性设计,实现一条防御层次的失效可以由下一条防线来弥补,防御共因故障造成的多条防御层次失效。TMSRLF1仪表和控制系统纵深防御的多样性设置特点有如下几个方面的特点:
(1)安全系统组和非安全系组采用了多样性设计策略[12]。
(2)安全系统组和非安全系组分别提供了自动和手动驱动功能来支持这些纵深防御层次:控制层和紧急停堆层均设置自动和手动的驱动功能,但是在专设驱动层只设置了手动驱动功能,因为钍基熔盐实验堆事故后30分钟不需要干预,因此在事故后由操纵员手动关闭安全隔离阀是可行的。
(3)断路器的UV线圈和ST线圈分别由保护系统和直流配电箱供电,实现了断路器线圈供电的多样性;保护系统机柜、控制系统机柜均可接受两路供电,一路市电,一路UPS,具有多样性的特点。
4 结论
TMSR-LF1仪表和控制系统纵深防御设计参考了NUREG/CR-6303分层方式,设计了四层纵深防御层次,分析表明,TMSR-LF1仪表和控制系统的设计符合标准的要求,符合《研究堆设计安全规定》的要求,符合项目纵深防御总体要求,能够有效地实现仪控系统在各种运行状态模式和事故条件下提供与反应堆运行相关的信息和控制的能力。本文对其他实验堆的仪控系统的设计具有重要的参考意义。