高压瓶
仪控系统是整个反应堆的关键设备,它对控制反应堆的安全运行、显示反应堆的运行状态、对运行的异常报警和设备的故障报警起着重要的作用。2MWt 液态燃料钍基熔盐实验堆(TM⁃SR-LF1)仪控系统设计时将HAF 201《研究堆设计安全规定》作为顶层的设计基准,为确保系统的功能和可靠性要求,系统在设计中考虑单一故障准则、冗余、独立性、多样性、纵深防御、故障安全等原则。本文主要介绍TMSR-LF1仪控设计中纵深防御的设计考虑和对设计的合理性进分析。 1总的纵深防御层次
《研究堆设计安全规定》及IAEA 发布的安全
标准均明确了纵深防御的要求,即在仪控设计中必须贯彻纵深防御的原则,给反应堆提供多层次的深度保护从而防止放射性物质释放,并确保在防护失败的情况下采取适当的措施保护人类和环境以及减轻后果。仪控设计提供多层次的保
护手段,确保了反应堆的下列基本安全功能[1]:在所有工况条件下,均能停堆并保持安全停堆状态;足以排出停堆后(包括事故工况停堆后)的余热;包容放射性物质,避免向环境的释放。 SSG-39是反应堆仪控设计的专业指导标
准[2]。SSG-39要求分配给仪控系统的功能包括在各种运行状态模式和事故条件下提供与反应
堆运行相关的信息和控制的能力,目标是实现如下的纵深防御功能:第一层次,防止偏离正常运行;第二层次,检测故障并控制异常操作;第三层次,控制设计基准事故;第四层次,控制超设计基准事故的后果;第五层次,减轻事故后辐射释放的后果。仪控系统的架构设计中需要充分考虑纵深防御的要素,并且保证纵深防御的每一层次的防御深度和多样性,在实际可行的范围内各防御的层次应是独立的。因此,在整体的仪控系统结构上的防御深度是通过独立的防御层次实现的,一条防御层次的失效可以由下一条防线来弥补,一个层次内应充分考虑多样性。多样性和纵
2MWt 液态燃料钍基熔盐实验堆仪控系统
纵深防御设计与分析
李炳营1,刘烨1,黄国庆1,魏永波1,徐海霞1,韩立欣1,后接1,
*
(1.中国科学院上海应用物理研究所,上海201800)
摘要:研究堆的安全设计要求仪控系统具有纵深防御的特点,其设计需满足研究堆的总纵深防御目标,
保证在堆的各种运行工况条件下,能可靠执行监测、控制、保护、报警等功能。为了保证实验堆仪控系统的设计满足我国及国际法规的要求,本文详细论述了研究堆仪控系统的纵深防御设计并对其与标准的符合性进行了分析。通过分析,得出了实验堆仪控系统纵深防御设计方案满足现有标准的要求和研究堆总的安全要求的结论,为实验堆仪控系统的设计提供参考。
关键词:仪控;纵深防御;独立性;多样性;研究堆
中图分类号:TL362文章标志码:A 文章编号:1672-5360(2021)03-0091-07
李炳营,刘烨,黄国庆,等.2MWt 液态燃料钍基熔盐实验堆仪控系统纵深防御设计与分析[J ].核安全,2021,20(3):91-97.Li Bingying ,Liu Ye ,Huang Guoqing ,et al.Defense -in -Depth Design of I&C in TMSR -LF1[J ].Nuclear Safety ,2021,20(3):91-97.
收稿日期:2020-10-09
修回日期:2021-02-26
项目基金:中科院战略先导专项,项目编号:XD0201005
作者简介:李炳营(1985.10—),女,山东滨州人,硕士,核能与核技术工程专业,现主要从事仪控安全分析的工作*通讯作者:后接,E-mail :***************
核安全V ol.20,No.3,Jun.2021
深防御之间是不可分割的,多样性设计是实现纵深防御原则的主要手段,纵深防御又是多样性的补充,不同的纵深防御层次之间具有多样性的特点,同一防御层次内也应用了多样性的设计[3]。
NUREG/CR-6303给出了数字化仪控系统多样性和纵深防御的设计指导[4],7通过对纵深防御设计的评价,确定是否存在共因故障风险的地方,薄弱的环节是否通过多样性和纵深防御设计进行了补偿。本文对纵深防御策略在TMSR-LF1仪控设计中的应用进行了分析。
2TMSR-LF1仪控系统纵深防御设计仪控系统的设计应保证反应堆的安全在重叠的保护措施之下,即使有一层失效,将由适当的措施探测、补偿或纠正[5]。仪控系统的整个设计中贯彻纵深防御的原则,以便对各种瞬发的或预计运行事件及事故提供多层次的保护[6],防御因仪控系统设备自身的故障造成的不安全的事件。TMSR-LF1仪表和控制系统设计为满足实验堆的总安全性目标,并根据实验堆总的纵深防御策略,设置了如下四层防御层次:
(1)控制层:由堆控制系统执行在正常运行过程中的运行监测和控制功能,使反应堆维持在安全状态,防止异常工况或事故工况的出现。控制层是在正常运行时,防止反应堆偏离正常运行和预期运行事件升级为事故,对应总的纵深防御的第一层次和第二层次。
堆控制系统采用非安全级的DCS系统,以过程控制功能为基础进行分组分配,分成若干个控制子系统,通过对控制棒的提出和插入进行控制从而控制反应堆的启动、功率调节、停堆。
(2)紧急停堆层:当发生预计运行事件时,由保护系统自动触发紧急停堆(RT)动作,防止发展成事故。如果发生自动触发紧急停堆动作失效,可手动触发控制棒落棒实现停堆。在紧急停堆后,由一直在线运行、依靠非能动原理工作的余热排出系统排出余热,实现安全停堆。紧急停堆层对应总的纵深防御的第三层次。
执行紧急停堆的系统为安全级保护系统,采用多重的设计。
(3)专设驱动层:当发生特定的事故时,由操纵员手动触发关闭安全容器相关的隔离阀门,防止事故进一步恶化和大量放射性物质向环境释放。专设驱动层对应总的纵深防御的第四层和第五层的防御。
(4)监测和显示层:给自动的动作和操纵员的手动操作提供精确的信息,操纵员依赖监测仪表和显示设备执行任务或响应外部事件,包含安全级和非安全级的监测和显示,监测和显示设备均分布在其他三个层次的系统中。
TMSR-LF1的监测由非安全级监测和显示及安全级监测和显示组成,具体设备包括安全级和非安全的
监测设备、数据处理与显示系统、安全盘台上的SVDU以及部分仪表的本地显示模块等。TMSR-LF1仪表和控制系统为反应堆的正常运行提供紧急停堆安全保护功能、信息显示及控制功能和事故后监测的功能。TMSR-LF1仪控系统总体结构可分为以下三层:现场设备层、过程控制层、监控层,TMSR-LF1仪控系统的结构见图1[7,8]
。
图1TMSR-LF1仪表控制系统的结构框图
Fig.1TMSR-LF1I&C structure diagram
2.1控制层
控制防御层的功能是将反应堆维持在运行限制之内,以免引起紧急停堆,由非安全级的控制系统平台实现,非安全级的仪控平台可以实现堆控制系统和数据显示与处理系统的功能,集中控制、显示和管理整个实验堆运行过程的信息,并对异常信息进行诊断和报警,提供完整的日志记录和历史数据。
基于过程控制功能的集中原则,对控制功能
V ol.20,No.3,Jun.2021
进行分组分配,堆控制系统中设置了如下控制子系统:功率控制子系统、回路控制子系统、气路控制子系统、燃料装载与排放控制子系统、辅助工艺控制子系统。各控制系统由分配的独立的机柜完成数据采集和过程控制。
功率控制系统可实现各种工况下堆功率的监测和控制功能。熔盐回路包括经过堆芯的燃料盐回路和经过双熔盐热交换器的冷却盐回路以及相应的回路管道和熔盐储罐等,熔盐回路控制系统用于维护实验堆燃料盐回路、冷却盐回路上设备的正常运行,以保证反应堆的核功率能够高效率地转化为热功率,从堆芯导出到热交换器;气路控制系统主要功能是实现对气路系统的供气子系统、尾气处理子系统的控制,从而为各用气设备提供符合要求的气体,并将各设备出口尾气处理合格后排放;燃料装载与排放控制系统实现对燃料盐装载和排放的手动和自动控制,实现对燃料装载与排放管路上设备正常运行的控制和燃料装载和排放的功能及联锁功能;辅助工艺控制系统实现堆厂房内暖通、设冷水、冷冻水、配电设备、UPS、柴油发电机等进行监测和控制功能;辐射监测系统是相对单独的系统,非安全相关的辐射监测信号通过网关传送到数据处理与显示系统,在主控室进行显示和报警。
柴油脱2.2紧急停堆层
紧急停堆防御层提供自动和手动紧急停堆的功能。在安全参数超过整定值时,依靠保护系统立即自动触发紧急停堆,并迅速把反应堆引入深的次临界状态,防止瞬态事故的进一步发展,所对应的总的防御层次的保护系统由安全参数监测仪表、逻辑处理机柜、驱动机构及手动驱动电路组成,在保护参数监测仪表监测值达到或超过停堆动作整定值时,保护系统逻辑处理机柜自动产生紧急停堆信号,驱动停堆断路器脱扣,从而断开控制棒的驱动电源,使所有控制棒依靠自身重力下落插入石墨孔道中,实现自动紧急停堆[9,10]。
保护系统采用两重冗余的设计,设置了A、B 两个通道,通道间采用二取一逻辑,任一通道给出停堆信号,即可完成紧急停堆。架构图如图2
所示,根据LF1保护参数的设置,其中提供紧急停
堆监测变量的传感器为堆外宽量程中子探测器
及其二次仪表2组,燃料盐堆芯出口温度监测热
电偶2个,安全参数的特性见表1。两个通道的监
测信号分别传至两个通道各自的保护机柜的信
号处理板卡,由其对信号进行隔离、调理运算、进
行整定值比较后,将信号送给不同通道的逻辑处
理板卡进行二选一符合逻辑处理,表决产生的紧
急停堆信号分别输出到对应的停堆断路器。停
堆断路器连接方式为A1与B1串联,A2和B2串
联,两串联支路并联[11]。
手动停堆功能是在发生自动触发紧急停堆
动作失效时使用的,可通过设置在主控室的安全
控制盘台上的两个冗余的手动停堆开关执行手
动紧急停堆功能。送到停堆断路器的手动停堆
信号引起欠压线圈失电,励磁线圈得电,停堆断
路器打开,切断控制棒电机供电回路,控制棒落
入堆芯。手动停堆指令是两个手动停堆开关串
联后接入保护系统机柜的RTRM停堆矩阵,RTRM停堆矩阵为硬件联接电路,这种直接触发的安全功能不受系统内其他部件故障的影响。
断路器的停堆命令由保护系统机柜的RTRM停
堆矩阵的UV(欠压脱扣)矩阵和ST(分闸脱扣)矩
阵发出。UV输出为有源DC48V信号,DC48V信
号直接驱动UV线圈。ST线圈由直流配电箱提供DC220V控制电源。断路器的UV线圈和ST线圈分别由保护系统和直流配电箱供电,实现了供电的多样性。停堆断路器UV线圈和ST线圈的供电的示意图见图3。
TMSR-LF1远程停堆点是在主控室发生火灾不可用并且未完成紧急停堆功能时,提供远程(应急)手动停堆功能。远程停堆手动触发与主控室手动紧急停堆采用不同的设计,远程停堆手动触发装置通过电气连接控制全部控制棒驱动机构电机供电回路的通断,远程停堆点停堆控制原理图见图4。主控室手动紧急停堆通过停堆断路器控制停堆驱动机构电机的供电回路通断。远程停堆点手动触发紧急停堆功能实现了手动停堆功能的多样性。
李炳营等:2MWt液态燃料钍基熔盐实验堆仪控系统纵深防御设计与分析
核安全
V ol.20,No.3,Jun.2021
通道A
传感器/变送器
信号隔离/调理A
信号处理A1
逻辑符合A1
停堆断路器A1
B1
停堆断路器B2
A2
逻辑符合B1
信号处理B1
监控摄像机支架信号隔离/调理B
传感器/变送器
通道B
B1B2
紧急停堆
A1A2
图2TMSR-LF1保护系统架构图
Fig.2TMSR-LF1protection system structure diagram
保护系统侧
48VDC 48VDC 返回
RTRM ST 矩阵
RTRM LV 矩阵
手动按钮1
手动按钮2
主控室安全盘台
停堆断路器
直流配电箱侧
220VDC
220VDC 返回
UV 线圈ST 线圈假牙清洁剂
继电器
CB1
图3断路器线圈供电示意图
Fig.3power supply for coil in a circuit breaker
手动按钮
远程停堆点
配电箱
CB1CB2
CB3
CB4
CB5
CB6
控制棒驱动机构电机
电
机供电回路
CB0
图4远程停堆点停堆控制原理图
Fig.4RT schematic for remote shutdown station
表1安全参数的特性监测通道特性
Table 1The characteristics of the safety parameters
包装箱制作characteristics monitor
测量参数名称宽量程中子注量率
燃料盐堆芯出口温度
传感器电离室铠装K 型热电偶
通道数量
22
2.3
专设驱动层
根据安全分析的结果,TMSR-LF1设置的专
设安全设施为安全隔离阀门、非能动余热排出系统和安全容器,其中余热排出和安全容器在事故后不需要任何控制或驱动,但是为了限制事故后
放射性物质向环境释放的可能,在燃料盐边界和覆盖气边界与外界联系的管路上设置了安全隔离阀门,这些安全隔离阀门需要根据运行的需要进行手动关闭。主控室安全盘台上共布置4个旋钮开关,执行对安全隔离阀门的分组手动关闭功能。这些旋钮开关直接控制连接相应阀门供电回路中的继电器对阀门供电回路进行通断操作。根据各阀门的功能分类及运行要求,设计中对相同功能的阀门进行分组控制,减少了操作设备数量,减少了操纵员工作负荷。正常运行时,这些阀门的控制及状态反馈等功能由非安全级控制平台实
现。所有安全隔离阀门供电的本地配电箱中设置了切断所有阀门供电的断路器,在主控室手动按钮故障未能关闭阀门时,可在本地切断阀门的供电,使得所有安全隔离阀门失电关闭,安全隔离阀手动关闭功能控制原理图如图5所示
安全盘台上对安全隔离阀门的手动关闭功能与非安全级控制平台的控制是独立的。关闭阀门时,旋钮开关控制继电器失电,供电回路断
开,隔离阀门失电关闭;安全控制盘台上关闭旋钮对阀门的关闭功能优先于DCS 控制操作功能。复位阀门时,旋钮开关控制继电器得电,此
时隔离阀门的动作由非安全级DCS 端的控制状态决定。手动和自动安全隔离阀门的正常操作由非安全级的控制系统、数据处理和显示系统完成,安全控制盘台上手动关闭阀门功能由纯硬件电路构成,体现了多样性的设计原则。
依据事故后操纵员在30分钟内不干预原则,对作为专设的安全隔离阀门只设置手动的关闭功能,不设置自动关闭功能是可行的。
V ol.20,No.3,Jun.2021状态反馈及控制
切削工具DCS
CB2
安
全隔离阀供电回路
CB3
CB4
CB5
CB2
CB3CB4CB5
安全盘台
本地按钮
开关电源DC220V 开关电源DC4EV
图5安全隔离阀控制原理图
Fig.5control schematic for safety isolating valve
2.4监测和显示层
监测和显示层是最后的防御层,在前三层的
防御均失效时,操纵员可根据仪表的正确指示判断事故的严重程度,进行相应的手动操作,尽可能地减少放射物的释放。TMSR-LF1仪控系统的监测和显示层由非安全级的数据处理和显示系统的操作员站和安全盘台上的SVDU 组成。在显示终端的布置上考虑了分散的特点,分别在主控室和远程停堆点设置显示与操作终端。
安全重要的仪表参数和设备的状态由安全盘台上的SVDU 显示,用于事故后堆内及大厅的剂量信息在安全盘台的SVDU 上显示,并且这些仪表配备了本地显示模块,安全盘台的SVDU 上显示故障时,这些参数可在本地查看,事故后剂量显示具有多样性的特点。保护系统的重要信息包括安全参数、事故后监测变量以及保护系统的状态信息,均通过单向网关传递到数据处理和显示系统进行显示,补充了安全重要信息的信息显示多样性。过程控制的仪表参数及设备的状态信息由非安全级的数据处理和显示系统处理和显示,均可在主控室的操纵员站和远程停堆点的监测站显示。
仪控系统的部分数据通过信息显示与处理系统的数据链服务器单向发送至厂级信息系统,由厂级信息系统完成信息的远传与显示。
3TMSR-LF1仪控系统纵深防御应用分析
本文对TMSR-LF1仪控系统纵深防御层次设置与标准的符合性进行分析,还分析了仪控系统纵深防御设计中的多样性和独立性的设置特点。
NUREG/CR-6303介绍了一种典型的核电厂
数字化仪控系统的防御层次,其分别为控制层、紧急停堆层、专设驱动层、监测和显示层。当控制系统失效时,紧急停堆系统紧急关闭反应堆;当控制系统和紧急停堆系统均失效时,专设驱动系统对反应堆的冷却和辐射释放提供物理屏障,监测和显示层提供了操纵员进行手动控制所需的信息,其功能也分散到其余三个层次中。所有的四层防御均依赖于传感器来决定何时执行功能,要求提供信息的传感器之间的单一故障不会破坏纵深防御的层次。TMSR-LF1仪表和控制系统设置了四重防御层次,控制防御层、紧急停堆防御层、专设驱动层、监测和显示层的纵深防御层次与NUREG/CR-6303介绍的纵深防御层次是相一致的。在这四个纵深防御层次的每个层次中又根据各设备的功能对安全的重要性分为非安全级组和安全级组,如表2所示。
表2TMSR-LF1仪表控制系统与防御层次之间的关系
Table 2The relation ship between I&C and D3
TMSR-LF1仪表控制系统防御层次
控制层紧急停堆层专设驱动层监测和显示层
非安全级控制系统
//
监测仪表及数据处理与显示系统
安全级
保护系统及安全
盘台
安全盘台安全盘台及事故后监测仪表
纵深防御的各个层次之间要求尽可能的独立,各层次之间尽可能的要求不共用传感器,TM⁃SR-LF1仪表和控制系统纵深防御的独立性设置
特点有如下几个方面:
(1)保护系统、控制系统安全盘台满足电气隔离和实体隔离的要求,因此纵深防御的各个层
李炳营等:2MWt 液态燃料钍基熔盐实验堆仪控系统纵深防御设计与分析
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议