胡加永，尹 凯，刘兴民，段天英，贾玉文，张占利

（中国原子能科学研究院，北京 102413）

0 引言

核能供热与传统供热方式相比，具有良好的安全性和经济性，且是一种清洁能源，目前已有很多国家对核能供热进行了大量研究[1]。2017 年11 月28 日，中核集团正式发布其自主研发可用来实现区域供热的“燕龙”泳池式低温供热堆（简称燕龙供热堆）[2]。燕龙供热堆运用深水池供热堆的创新技术，合理地降低了反应堆工作温度，使反应堆可以工作在常压深水池内，可使反应堆系统及设备与加压反应堆相比进行根本性的简化，具有安全可靠，经济实用，又便于运行管理的特点。

保护系统是燕龙供热堆重要的安全系统，它对于限制事故的发展，减轻事故后果，保证反应堆及设备和人员的安全，防止放射性物质向周围环境的释放具有十分重要的作用。保护系统监测重要的安全参数，对安全参数进行必要的采集、计算、定值比较，符合逻辑处理，当选定的参数超过安全阈值时，自动地触发反应堆紧急停堆和驱动专设安全设施动作，以实现并维持供热堆的安全停堆工况。本文结合核安全法规、导则和标准的相关要求，识别出保护系统的相关设计原则，并结合燕龙供热堆的特点与核电厂保护系统数字化现状，研究并提出了燕龙供热堆保护系统设计方案。

1 保护系统设计准则

核安全导则HAD 102/10-2021《核动力厂仪表和控制系统设计》[3]作为国内核电厂安全重要仪表和控制系统的顶层标准，对仪控系统的设计进行指导，明确了保护系统所需遵循的设计准则。此外，在GB、NB、IEC、IEEE 等系列标准中也对保护系统的设计提出了相关要求，如GB/T 13286《单一故障准则应用于核电厂安全系统》[4]规定了单一故障准则的相关要求，GB/T 12727《核电厂安全级电气设备鉴定》[5]对保护系统的设备鉴定提出了相关要求。燕龙供热堆保护系统设计需要满足核安全导则HAD 102/10 与相关标准的要求。经过梳理归纳，燕龙供热堆保护系统设计需要遵循的主要设计准则如下：

1）独立性

安全系统应独立于低安全等级的系统，安全系统内的冗余序列间应保持充分的独立，以保证所有安全功能在需要时能够完成。

2）冗余

仪控系统冗余度应满足其可靠性要求和单一故障准则。冗余部件应相互独立，否则冗余就不能完全有效。

3）单一故障准则

必须对每个安全组合都应用单一故障准则。可采用冗余、独立性、可试验性、连续监测、环境鉴定和可维护性等方面的措施来满足单一故障准则。安全系统由于试验或维护原因，任一部件或冗余序列退出运行或旁通时，仍应满足单一故障准则，不应导致要求的最小冗余度的丧失。

4）故障安全

应将安全重要系统和部件设计为故障安全，使其自身的故障或支持设施的故障不妨碍预定安全功能的执行。当某个仪控部件失电或出现故障时，系统应被置于一个预定状态下，这个状态应已被证明对于安全是可接受的。

5）保护动作的完成

安全系统应设计成一旦被自动或手动触发，执行装置就能按预定程序完成全部安全动作，只有操纵员有意识地操作才能使安全系统恢复到正常状态。

6）试验和校准

安全系统必须具有可在核动力厂运行时对其功能进行定期试验的条件，包括各通道分别进行试验的可能性，以查明可能发生的故障和多重性的丧失。设计必须允许对包括从传感器到最终的触发驱动器和显示单元所有环节的定期试验。

7）手动触发

保护系统除自动触发外还应设置手动触发。手动触发应操作简单，手动触发和自动触发共用的设备应尽可能的少。

8）多样性

应采用多样性的手段减少或消除保护系统共因故障的概率，多样性类型包括设备多样性、功能多样性、设计多样性等。

2 保护系统功能

燕龙供热堆保护系统的目的是保证反应堆及核电厂设备和人员的安全，防止放射性物质向周围环境的释放，限制反应堆在允许范围内运行或是缓解事故后果，保护反应堆、环境、人员的安全。其具备以下功能：

1）当保护参数达到或超过系统动作的设计限值时，自动触发紧急停堆动作，使控制棒插入堆芯完成停堆；同时，在某些需要的运行工况下，启动相应的专设安全设施动作，将事故后果降低到最小。

2）允许和联锁，用来在某些工况下允许或闭锁某些保护功能，防止因操作员误操作而造成事故工况。

3）通过网络等方式将保护参数越限报警和保护系统通道故障报警，传输至监控系统在主控室进行显示报警。

4）事故后参数监测。

5）保护功能手动触发。

3 保护系统设计

3.1 系统架构

依据保护系统设计准则，同时结合燕龙供热堆特点及数字化产品现状，燕龙供热堆保护系统架构设计如图1 所示。

图1 保护系统架构Fig.1 Protection system framework

燕龙供热堆数字化保护系统分为Level1、Level2 上下两层。Level1 层为自动逻辑处理层，主要完成停堆、专设驱动功能的触发；Level2 层为人机接口层，主要完成报警显示、事故后监测、手动触发等功能。

3.2 反应堆停堆

当燕龙供热堆保护参数超过安全阈值时，由反应堆停堆系统（RTS）完成紧急停堆功能。RTS 由3 个冗余的保护通道组成，每个通道均独立地采集现场传感器信号。当传感器信号超过安全阈值时，产生用于局部表决逻辑的触发信号。同时，通过点对点的通讯方式将触发信号传递给另外两个保护通道进行三取二表决逻辑处理。当满足表决逻辑要求时，产生本通道的停堆信号，本通道对应的停堆断路器打开。反应堆停堆系统共设置两组停堆断路器，每组停堆断路器以硬件的方式搭接成“三取二”的表决逻辑。当两个及以上保护通道产生停堆信号时，则可以使对应的停堆断路器失电脱扣，从而切断第一停堆系统补偿-调节棒的电源和第二停堆系统安全棒的电源，使两套停堆系统的控制棒均在重力的作用下迅速插入堆芯，快速停闭反应堆。

燕龙供热堆自动停堆功能部分参数见表1。

表1 保护参数Table1 Protection parameters

图2 停堆断路器连接图Fig.2 Reactor trip breaker connection diagram

3.3 安全专设驱动

当所监测的保护变量超过专设触发整定值时，由安全专设驱动系统（ESFAS）给出专设动作信号，触发相应的专设安全设施，以限制事故的发展或缓解事故的后果。ESFAS 系统由两个冗余序列Train A、Train B 组成，接收来自RTS 系统发出的触发信号，经过三取二表决逻辑，将专设驱动信号发送至优选板卡，实现对专设安全设施的自动驱动功能。

燕龙供热堆能动安全专设设施为自然循环电磁阀。自然循环电磁阀主要的功能是在反应堆停止主热传输回路热量导出后，通过自然循环流量导出堆芯余热。当反应堆发生假设始发事件使一回路总流量下降至额定流量以下时，由ESFAS 两个冗余序列自动打开两组自然循环电磁阀，建立反应堆冷却剂的自然循环，将反应堆余热持续导出至反应堆水池热阱中。

3.4 事故后监测

在反应堆事故期间和事故后，需要对反应堆的安全重要参数进行监督。燕龙供热堆事故后监测系统（PAMS）包括Train A、Train B 两个冗余系列，在主控室和辅助控制室分别设置冗余的安全参数显示单元（SVDU），用来监测反应堆事故期间和事故后安全重要参数的变化，使运行人员了解和跟踪事故的进程，为分析事故和评价事故后果提供依据。

燕龙供热堆事故后监测系统在选取监测变量时，考虑了为防止对公众健康和安全生产造成直接、即时危害所必需的安全功能，包括实现安全停堆，实现反应堆堆芯冷却，保持反应堆冷却系统的完整性，保持密闭厂房的完整性，实现放射性释放物控制等。事故后监测参数包括反应堆功率、反应堆进/出堆流量、反应堆出口温度、一回路冷却剂γ 剂量率、堆水池上方总γ 剂量、堆水池液位等。

3.5 允许和联锁

燕龙供热堆数字化保护系统中设置了部分允许和联锁信号。允许信号用来在某些工况下允许或闭锁某些保护功能，联锁信号用来保证反应堆的运行安全和设备安全。如允许信号P6，在反应堆启动过程中总流量值低于10%额定流量时，允许操作员手动旁通自然循环电磁阀开启功能，以确保自然循环电磁阀在一回路流量建立之前处于关闭状态，防止自然循环电磁阀误打开。

3.6 手动触发

除自动触发功能外，燕龙供热堆保护系统还设置手动触发功能，手动触发使用硬逻辑实现。在燕龙供热堆主控室的专用安全盘和辅助控制室控制台上各设有两个互为冗余的“手动紧急停堆”按钮和“手动触发专设安全设施”按钮，可手动触发停堆和自然循环电磁阀打开功能。手动触发功能可旁路数字化保护系统，防止软件共因故障。

3.7 自诊断和定期试验

燕龙供热堆保护系统采用数字化技术，由数字化保护系统的自诊断功能完成保护系统的故障检测，以保证系统的正常运行。当系统诊断到故障时，系统将触发处理和报警机制，通知仪控人员，避免故障扩散，维持保护系统在故障状态下的自身安全功能。

燕龙供热堆数字化保护系统定期试验包括测量通道试验、逻辑功能试验、输出通道及相关驱动器试验，完成对保护系统安全功能的验证。定期试验分段进行，每段试验的范围相互重叠，保证试验完整性。定期试验期间，不会妨碍保护系统安全功能的执行。

4 设计准则符合性分析

燕龙供热堆数字化保护系统作为安全级系统，在设计过程中严格遵循了法规标准中规定的各项设计准则，设计准则符合性分析如下：

1）独立性和冗余

燕龙供热堆保护系统采用3 个保护通道、两个专设序列的冗余设置，分别布置在不同的房间，满足实体隔离要求。系统间通讯采用光纤实现电气隔离，硬接线采用继电器或隔离模块实现电气隔离。

2）单一故障准则

燕龙供热堆保护系统采用3 个保护通道、两个专设序列的冗余设置，设备之间彼此独立，保证实体隔离和电气隔离。任一保护通道发生故障，剩余的两个保护通道中的驱动逻辑由2/3 退化为1/2，仍然满足单一故障设计准则。对于专设安全设施驱动功能，保护系统设计了冗余的两个专设驱动系列，任一系列内的单一故障都不会导致安全功能的丧失。

3）故障安全

燕龙供热堆数字化保护系统具有故障安全设置功能，在系统发生故障时，系统输出偏向安全状态。如RTS 采用“0”触发停堆的设计方式，当保护系统失电或故障时，能够触发停堆断路器打开，进而实现反应堆停堆。

4）试验和校准

燕龙供热堆数字化保护系统通过自诊断和定期试验结合的方式实现系统的试验和校准功能，保护系统通过看门狗、奇偶校验等功能，能够对系统中的智能板卡进行诊断及诊断信息上报。定期试验范围覆盖信号采集至系统输出至现场设备的整个路径。

5）手动触发

燕龙供热堆数字化保护系统在主控室专用安全盘和辅助控制室控制台设置了停堆和专设驱动手动按钮，可以手动触发停堆和专设驱动功能。手动触发指令直达停堆断路器和优选模块，可旁路数字化保护系统。

6）多样性

对于紧急停堆和专设安全设施驱动，燕龙供热堆保护系统均提供了自动触发和手动触发两种驱动方式，实现安全功能驱动方式的多样性。为应对软件共因故障，燕龙供热堆还设置了多样化驱动系统，与数字化保护系统构成设备多样性。多样化驱动系统基于FPGA 技术实现，在数字化保护系统发生软件共因故障时，也可完成紧急停堆和专设安全设施的驱动功能。

5 结语

本文基于核电厂保护系统相关法规标准，归纳总结出了燕龙供热堆数字化保护系统设计所需遵循的主要设计准则，并结合燕龙供热堆固有安全性高的特点，完成了保护系统方案的设计及设计准则的符合性分析工作。本文提出的燕龙供热堆数字化保护系统方案具有可靠性高、架构简单等特点，在满足安全要求的同时兼顾了经济性，对于核电厂数字化保护系统的设计具有一定的借鉴和参考意义。