北京廣利核系統(tǒng)工程有限公司 姚芝強(qiáng)

1 引言

IAEA-NS-G-1.3-2005將旁通定義為“一種裝置，例如使繼電器的接點(diǎn)短路，有意地但是暫時(shí)地，使一個(gè)回路或系統(tǒng)停止起作用”[1]。通俗說來，旁通指在核電站運(yùn)行、維護(hù)和試驗(yàn)期間，為了確保相關(guān)操作不影響電站的正常運(yùn)行，并能保證保護(hù)系統(tǒng)執(zhí)行安全功能的能力，而采用一系列特殊手段將系統(tǒng)某部分安全功能閉鎖或置于不工作狀態(tài)，以阻止不需要或不希望的保護(hù)動(dòng)作觸發(fā)。

旁通作為數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的組成部分，貫穿核電站的運(yùn)行、試驗(yàn)和維護(hù)過程，雖然不直接執(zhí)行系統(tǒng)的安全功能，但保證了系統(tǒng)滿足單一故障準(zhǔn)則和可靠性要求，直接影響核電站的安全運(yùn)行和經(jīng)濟(jì)效益。

根據(jù)功能不同，一般將旁通分為運(yùn)行旁通和維修旁通。GB/T4083-2005 3.12節(jié)將運(yùn)行旁通定義為“根據(jù)運(yùn)行的需要，抑制保護(hù)系統(tǒng)中一部分特定功能的行為和措施”[3]。運(yùn)行旁通針對(duì)正常運(yùn)行和操作的瞬變過程而設(shè)立。為了保證核電廠的正常啟動(dòng)和運(yùn)行，當(dāng)反應(yīng)堆在某一種工況下，保護(hù)功能可能不需要執(zhí)行或者會(huì)帶來危害，需要將其閉鎖。GB/T 4083-2005 3.13節(jié)將維修旁通定義為“為了設(shè)備更換、檢修、檢驗(yàn)或校準(zhǔn)，人為地取消保護(hù)系統(tǒng)中一個(gè)或幾個(gè)設(shè)備功能的行為和措施”[3]。維修旁通主要用于系統(tǒng)的維護(hù)和測(cè)試，可對(duì)整個(gè)保護(hù)通道或列進(jìn)行旁通，也可對(duì)某個(gè)預(yù)定的工藝參數(shù)進(jìn)行旁通，實(shí)現(xiàn)設(shè)備維修、邏輯測(cè)試以及故障時(shí)符合邏輯降級(jí)等功能。

2 法規(guī)標(biāo)準(zhǔn)要求

法規(guī)和標(biāo)準(zhǔn)是反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)的重要依據(jù)，由于國內(nèi)核電法規(guī)標(biāo)準(zhǔn)體系尚不完善，也未能及時(shí)進(jìn)行更新。因此，對(duì)法規(guī)和標(biāo)準(zhǔn)的研究除涉及國內(nèi)標(biāo)準(zhǔn)，還選取國外最新標(biāo)準(zhǔn)或?qū)t作為參考。與旁通功能相關(guān)的法規(guī)和標(biāo)準(zhǔn)主要如表1所示。

表1 旁通設(shè)計(jì)參考標(biāo)準(zhǔn)

3 設(shè)計(jì)分析

3.1 運(yùn)行旁通

運(yùn)行旁通是一種通過禁止一個(gè)不必要或不希望的保護(hù)動(dòng)作觸發(fā)，以解決正常運(yùn)行模式下保護(hù)停堆可能妨礙反應(yīng)堆轉(zhuǎn)換到另一種運(yùn)行工況的方法，范圍涉及停堆和啟動(dòng)專設(shè)安全設(shè)施功能。

根據(jù)法規(guī)標(biāo)準(zhǔn)分析結(jié)果，運(yùn)行旁通邏輯應(yīng)納入保護(hù)系統(tǒng)，不論以何種方法啟動(dòng)運(yùn)行旁通，用來啟動(dòng)運(yùn)行旁通的手段認(rèn)為是保護(hù)系統(tǒng)的一部分，并應(yīng)滿足與保護(hù)系統(tǒng)相同的要求。運(yùn)行旁通需要滿足相應(yīng)允許條件才能進(jìn)行操作，如果核電廠工況的變化使已實(shí)施的運(yùn)行旁通不再滿足允許條件，安全系統(tǒng)應(yīng)自動(dòng)完成下述任務(wù)之一：（1）撤銷已啟動(dòng)的運(yùn)行旁通；（2）將核電廠恢復(fù)原來的工況；（3）觸發(fā)適宜的安全功能。

運(yùn)行旁通包括旁通邏輯和允許信號(hào)兩部分，設(shè)計(jì)關(guān)鍵在于允許信號(hào)與手、自動(dòng)閉鎖和動(dòng)作信號(hào)的邏輯處理。旁通邏輯設(shè)計(jì)應(yīng)該在滿足標(biāo)準(zhǔn)法規(guī)要求的前提下，以輸入Analog Diagram/Logic Diagram為基礎(chǔ)開展，允許信號(hào)則按照反應(yīng)堆保護(hù)系統(tǒng)需求規(guī)格書以及輸入Analog Diagram/Logic Diagram的要求進(jìn)行設(shè)計(jì)。因此，基于不同的堆型和工藝，運(yùn)行旁通設(shè)計(jì)方案各不相同。本文以CPR1000堆型數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)運(yùn)行旁通的設(shè)計(jì)方案為例進(jìn)行分析，如圖1所示。

圖1 基于CPR1000堆型的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)運(yùn)行旁通設(shè)計(jì)方案

由圖1可知，當(dāng)允許閉鎖信號(hào)未觸發(fā)時(shí)，無法手動(dòng)閉鎖動(dòng)作信號(hào)，如已閉鎖則自動(dòng)復(fù)位，保證不滿足允許條件，系統(tǒng)自動(dòng)防止運(yùn)行旁通或觸發(fā)適宜的安全功能。當(dāng)允許閉鎖信號(hào)觸發(fā)時(shí)，可以手動(dòng)閉鎖動(dòng)作信號(hào)或手動(dòng)復(fù)位動(dòng)作信號(hào)；當(dāng)自動(dòng)閉鎖信號(hào)觸發(fā)時(shí)，則直接閉鎖動(dòng)作信號(hào)，阻止執(zhí)行安全功能的能力以適應(yīng)特定狀態(tài)需求。與此同時(shí)旁通狀態(tài)通過安全系統(tǒng)總線發(fā)送至主控室指示，實(shí)時(shí)監(jiān)控旁通狀態(tài)，必要時(shí)采取措施進(jìn)行觸發(fā)或校正。

允許信號(hào)是為了符合反應(yīng)堆工藝過程，在一定條件下自動(dòng)允許或閉鎖某保護(hù)功能，允許操縱員手動(dòng)閉鎖某保護(hù)信號(hào)或禁止某保護(hù)動(dòng)作而設(shè)立，需嚴(yán)格按照操作權(quán)限和規(guī)程管理執(zhí)行?；贑PR1000堆型的允許及閉鎖信號(hào)如表2所示，與圖1中旁通邏輯共同實(shí)現(xiàn)運(yùn)行旁通的功能。

表2 基于CPR1000堆型的運(yùn)行旁通操作允許及閉鎖信號(hào)

注1：“●”表示存在該信號(hào)；“－”表示不存在該信號(hào)。

注2：P6：當(dāng)兩個(gè)中間量程測(cè)量通道中任意一個(gè)探測(cè)到核功率P≈10E-5%Pn時(shí)產(chǎn)生，主要功能為手動(dòng)閉鎖源量程中子通量高緊急停堆。

P10：當(dāng)四個(gè)功率量程測(cè)量線路中有兩個(gè)測(cè)量的核功率大于10%FP時(shí)產(chǎn)生，主要功能為閉鎖源量程產(chǎn)生的緊急停堆信號(hào)；允許手動(dòng)閉鎖中間量程及功率量程低定值產(chǎn)生的緊急停堆。

P11：當(dāng)三個(gè)穩(wěn)壓器壓力測(cè)量通道中有兩個(gè)測(cè)量的穩(wěn)壓器壓力低于13.8MPa時(shí)產(chǎn)生，主要功能為閉鎖穩(wěn)壓器安全卸壓閥；允許手動(dòng)閉鎖反應(yīng)堆低溫低壓和穩(wěn)壓器低水位引發(fā)的安全注入信號(hào)。

P12：當(dāng)反應(yīng)堆三個(gè)環(huán)路冷卻劑平均溫度TAV測(cè)量通道中有兩個(gè)環(huán)路測(cè)得平均溫度低于284℃時(shí)產(chǎn)生，主要功能為閉鎖蒸汽旁路閥；與蒸汽流量高信號(hào)一起產(chǎn)生安全注入信號(hào)。

3.2 維修旁通

維修旁通是電站運(yùn)行期間維護(hù)和測(cè)試的重要實(shí)現(xiàn)方式，為確保電站安全，旁通操作應(yīng)設(shè)置嚴(yán)格的操作權(quán)限管理。由于緊急停堆系統(tǒng)的保護(hù)參數(shù)眾多，邏輯關(guān)系復(fù)雜，如果需要對(duì)整個(gè)通道的設(shè)備進(jìn)行維護(hù)、校準(zhǔn)或測(cè)試，則執(zhí)行通道旁通。但如果因?yàn)閷?duì)某個(gè)傳感器或者部分邏輯進(jìn)行維護(hù)和測(cè)試而旁通整個(gè)通道，使其它保護(hù)通道中所有與被旁通通道保護(hù)參數(shù)有關(guān)的符合邏輯全部降級(jí)，在某種程度上相當(dāng)于降低系統(tǒng)的可靠性，與設(shè)計(jì)初衷相違背。參數(shù)旁通是解決此問題的有效手段，只需要將相應(yīng)的保護(hù)參數(shù)旁通，在對(duì)應(yīng)符合邏輯中進(jìn)行降級(jí)即可，并不影響其它安全功能的執(zhí)行。因此，工程實(shí)施過程中一般也將維修旁通分為通道旁通和參數(shù)旁通：

（1）通道旁通，即對(duì)一個(gè)保護(hù)通道的所有信號(hào)進(jìn)行旁通，使其安全功能失效，可對(duì)整個(gè)通道的設(shè)備進(jìn)行維護(hù)、校準(zhǔn)或測(cè)試。

（2）參數(shù)旁通，即對(duì)保護(hù)通道中某個(gè)保護(hù)參數(shù)進(jìn)行旁通，使相應(yīng)的保護(hù)參數(shù)退出正常運(yùn)行，可對(duì)單個(gè)傳感器進(jìn)行維護(hù)，對(duì)部分軟件邏輯進(jìn)行測(cè)試。

3.2.1 通道旁通

通道旁通也是一種參數(shù)旁通，可理解為針對(duì)某通道內(nèi)所有參數(shù)的旁通。

根據(jù)法規(guī)標(biāo)準(zhǔn)分析結(jié)果，通道旁通設(shè)計(jì)應(yīng)滿足單一故障準(zhǔn)則，采取措施防止試驗(yàn)期間同時(shí)旁通冗余通道或負(fù)載組，同時(shí)通過符合邏輯降級(jí)，使處于旁通狀態(tài)的設(shè)備不影響系統(tǒng)其它部分或其它安全系統(tǒng)執(zhí)行安全功能的能力。對(duì)于通道旁通邏輯設(shè)計(jì)，如何滿足“防止試驗(yàn)期間同時(shí)旁通冗余通道或負(fù)載組”要求是功能實(shí)現(xiàn)的關(guān)鍵。停堆斷路器是緊急停堆系統(tǒng)控制主要設(shè)備，為達(dá)到旁通整個(gè)通道的目的，只需在停堆觸發(fā)信號(hào)的輸出端增加閉鎖邏輯，并將通道旁通信號(hào)引入符合邏輯參與運(yùn)算，即可使該通道的保護(hù)功能失效。

保護(hù)通道一般為四重冗余結(jié)構(gòu)，當(dāng)兩個(gè)保護(hù)通道同時(shí)被旁通時(shí)，系統(tǒng)的冗余度由四取二降級(jí)為二取一，此時(shí)系統(tǒng)的可靠性急劇降低。因此，為了保證緊急停堆系統(tǒng)的可靠性和安全性，通過不同通道之間共享旁通信號(hào)，設(shè)計(jì)必要的邏輯運(yùn)算來保證任一通道被旁通時(shí)，其它通道的旁通操作無效，禁止同時(shí)旁通兩個(gè)或以上保護(hù)通道。下面以CPR1000堆型的數(shù)字化保護(hù)系統(tǒng)通道旁通設(shè)計(jì)方案為例進(jìn)行分析，如圖2所示。

圖2 基于CPR1000堆型的數(shù)字化保護(hù)系統(tǒng)通道旁通設(shè)計(jì)方案

每個(gè)保護(hù)通道配置一套通道旁通開關(guān)和指示燈，當(dāng)通道旁通開關(guān)閉合時(shí)，信號(hào)由DI輸入，經(jīng)過軟件邏輯運(yùn)算，由DO輸出去旁通指示，并與保護(hù)通道的另一子組的通道旁通信號(hào)、停堆信號(hào)進(jìn)行硬邏輯運(yùn)算，閉鎖整個(gè)通道的停堆輸出信號(hào)。

圖2中虛線框內(nèi)部分為互鎖邏輯，輸入信號(hào)為其它通道的旁通信號(hào)，以及其它通道通信故障判斷信號(hào)，當(dāng)接受到其它通道旁通信號(hào)或診斷某通道通信故障時(shí)，則認(rèn)為該通道被旁通?；ユi邏輯可防止同時(shí)旁通冗余通道或負(fù)載組，為了進(jìn)一步避免一個(gè)保護(hù)通道被旁通時(shí)，其它通道的旁通開關(guān)被人為誤操作，也為了方便操作員或維修人員獲取當(dāng)前設(shè)備旁通狀態(tài)信息，當(dāng)某通道被旁通時(shí)，在旁通操作面板上提供指示的同時(shí)，將旁通開關(guān)的實(shí)時(shí)狀態(tài)送至主控室顯示，誤操作發(fā)生時(shí)可以及時(shí)判斷當(dāng)前狀況、分析原因并采取有效措施。

3.2.2 參數(shù)旁通

參數(shù)旁通解決了對(duì)系統(tǒng)進(jìn)行小范圍測(cè)試和維護(hù)難度大、效率低和可靠性降低等問題。

根據(jù)法規(guī)標(biāo)準(zhǔn)分析結(jié)果，鑒于停堆保護(hù)功能的重要性，必須保證所有與保護(hù)功能相關(guān)的參數(shù)都納入?yún)?shù)旁通的范圍。參數(shù)旁通使本通道被旁通的信號(hào)不參與保護(hù)邏輯運(yùn)算的同時(shí)，為了保證可靠性，使該參數(shù)參與的停堆符合邏輯運(yùn)算（包含本通道和其它通道）進(jìn)行降級(jí)處理，確保在進(jìn)行維護(hù)測(cè)試時(shí)，被旁通通道和其它通道執(zhí)行的其它保護(hù)功能不受影響。下面以CPR1000堆型的數(shù)字化保護(hù)系統(tǒng)參數(shù)旁通設(shè)計(jì)方案為例進(jìn)行分析，如圖3所示。

圖3 基于CPR1000堆型的反應(yīng)堆保護(hù)系統(tǒng)參數(shù)旁通設(shè)計(jì)方案

由于每個(gè)保護(hù)通道包含兩個(gè)功能子組，因此需配置兩套旁通操作面板，每個(gè)需要被旁通的保護(hù)參數(shù)都配置一套旁通開關(guān)指示燈。如圖3所示，當(dāng)某參數(shù)旁通開關(guān)被閉合，旁通操作面板上指示燈亮，信號(hào)由DI輸入，經(jīng)過旁通邏輯運(yùn)算，閉鎖該保護(hù)參數(shù)的AI輸入。同時(shí)旁通信號(hào)傳送至其它保護(hù)通道、專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)及主控室，實(shí)現(xiàn)參數(shù)的降級(jí)和狀態(tài)指示。當(dāng)其它通道或相應(yīng)參數(shù)被旁通時(shí)，本通道符合邏輯也對(duì)該通道信號(hào)或保護(hù)參數(shù)做降級(jí)處理。

3.2.3 符合邏輯降級(jí)

根據(jù)法規(guī)標(biāo)準(zhǔn)分析結(jié)果，執(zhí)行裝置或動(dòng)力源中冗余度為1的部分應(yīng)設(shè)計(jì)成其中一部分處于維修旁通時(shí)，其余部分必須能提供可接受的可靠性。即維修旁通設(shè)計(jì)應(yīng)滿足單一故障準(zhǔn)則，采取降低符合度等措施防止試驗(yàn)期間同時(shí)旁通冗余通道或負(fù)載組，同時(shí)通過符合邏輯降級(jí)，使得處于旁通狀態(tài)的設(shè)備不影響系統(tǒng)其它部分或其它安全系統(tǒng)執(zhí)行安全功能的能力。

因此，為了保證旁通期間保護(hù)系統(tǒng)功能的執(zhí)行，當(dāng)設(shè)備處于旁通狀態(tài)時(shí)，符合邏輯應(yīng)做降級(jí)處理。緊急停堆系統(tǒng)的參數(shù)旁通和通道旁通都應(yīng)涉及降級(jí)處理，總體規(guī)則如下：當(dāng)某個(gè)保護(hù)通道被通道旁通時(shí)，其它通道符合邏輯對(duì)該通道的所有信號(hào)做降級(jí)處理；當(dāng)某個(gè)保護(hù)參數(shù)被旁通時(shí)，所有通道（包含本通道）符合邏輯對(duì)該保護(hù)參數(shù)信號(hào)做降級(jí)處理。下面以CPR1000堆型的數(shù)字化保護(hù)系統(tǒng)符合邏輯降級(jí)方案為例進(jìn)行分析，如圖4所示。

圖4 基于CPR1000堆型的反應(yīng)堆保護(hù)系統(tǒng)旁通符合邏輯降級(jí)設(shè)計(jì)方案

圖4中≥2BYP為帶降級(jí)功能的符合邏輯模塊，輸入信號(hào)為各保護(hù)通道的閥值動(dòng)作信號(hào)和參數(shù)或通道旁通信號(hào)，當(dāng)出現(xiàn)本通道的參數(shù)n被旁通、其它通道任意一個(gè)被通道旁通或參數(shù)n被旁通時(shí)，符合邏輯中對(duì)應(yīng)冗余度為1的部分將冗余度降為零，則2oo4降級(jí)為2oo3，2oo3降級(jí)為1oo2，符合邏輯仍能提供可接受的可靠性。對(duì)于不同功能，符合邏輯的類型不同，降級(jí)規(guī)則也存在差異，因此，從故障安全和運(yùn)行管理角度考慮，降級(jí)規(guī)則必須嚴(yán)格按照反應(yīng)堆保護(hù)系統(tǒng)需求規(guī)格書進(jìn)行設(shè)計(jì)。

3.3 分析結(jié)論

根據(jù)上述分析，數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的旁通設(shè)計(jì)原則和規(guī)范可歸納為以下幾點(diǎn)：

（1）設(shè)計(jì)原則

? 旁通設(shè)計(jì)必須嚴(yán)格遵循法規(guī)標(biāo)準(zhǔn)的規(guī)定和要求。

? 用戶系統(tǒng)需求規(guī)格書和輸入Analog Diagram/Logic Diagram是旁通設(shè)計(jì)的主要依據(jù)文件。

? 數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)的平臺(tái)特性是旁通設(shè)計(jì)需要考慮的重要因素。

? 操作權(quán)限管理是旁通設(shè)計(jì)的內(nèi)容之一，避免旁通及其不可操作狀態(tài)指示影響安全功能的執(zhí)行。

（2）設(shè)計(jì)規(guī)范

? 如果安全系統(tǒng)的某部分不運(yùn)行或被旁通，在控制室內(nèi)應(yīng)提供狀態(tài)指示。

? 運(yùn)行旁通是保護(hù)系統(tǒng)的組成部分，需滿足與保護(hù)系統(tǒng)相同的要求。

? 維修旁通設(shè)計(jì)應(yīng)滿足單一故障準(zhǔn)則，避免處于旁通狀態(tài)的設(shè)備影響系統(tǒng)其它部分或其它安全系統(tǒng)執(zhí)行安全功能的能力。

? 采取降低符合度等措施防止試驗(yàn)期間同時(shí)旁通冗余通道或負(fù)載組是維修旁通設(shè)計(jì)的關(guān)鍵。

? 所有與安全功能相關(guān)的保護(hù)參數(shù)都應(yīng)被納入?yún)?shù)旁通的范圍。

? 當(dāng)緊急停堆系統(tǒng)被通道旁通或參數(shù)旁通時(shí)，對(duì)應(yīng)符合邏輯應(yīng)做降級(jí)處理，降級(jí)規(guī)則必須嚴(yán)格按照反應(yīng)堆保護(hù)系統(tǒng)需求規(guī)格書的要求進(jìn)行設(shè)計(jì)。

4 結(jié)語

我國具有自主知識(shí)產(chǎn)權(quán)的核電站數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)研發(fā)和工程應(yīng)用正處于起步階段，面臨技術(shù)封鎖、經(jīng)驗(yàn)匱乏、流程和規(guī)范不完善等問題。本文在對(duì)法規(guī)標(biāo)準(zhǔn)深入研究的前提下，以CPR1000堆型數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)需求為基礎(chǔ)，通過分析在運(yùn)行和在建電站的設(shè)計(jì)方案，得出旁通設(shè)計(jì)需要遵循的原則和規(guī)范，對(duì)后續(xù)華龍一號(hào)、AP1000、EPR等三代壓水堆技術(shù)的數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)旁通設(shè)計(jì)具有參考意義。

[1]IAEA-NS-G-1.3核動(dòng)力廠安全重要儀表控制系統(tǒng)[S].

[2]GB/T 13284.1 核電廠安全系統(tǒng) 第1部分：設(shè)計(jì)準(zhǔn)則[S].

[3]GB/T 4083 核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則[S].

[4]GB/T 5204 核電廠安全系統(tǒng)定期試驗(yàn)與監(jiān)測(cè)[S].

[5]GB/T 13629 核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則[S].

[6]RG 1.47 Bypassed and Inoperable Status Indication for Nuclear Power Plant Safety Systems[S].