核燃料后处理厂应急停车方法、系统以及核燃料后处理厂

技术领域

本发明具体涉及一种核燃料后处理厂应急停车方法、系统以及核燃料后处理厂。

背景技术

目前，随着核电项目的快速发展，核燃料后处理技术也成为了必须快速发展的一项重要技术，防止核动力厂(核电厂)发生事故和减轻事故后果的主要手段是应用纵深防御概念，故核电厂具有完备且成熟的事故应急停车策略。然而核燃料后处理技术还处于起步阶段，在建或规划建设的后处理厂均未形成标准化的事故应急停车策略。

核电厂的核心设备是核反应堆，其主要关注反应堆的稳定运行及发电机组、冷却系统等设备的安全可靠运行。核电厂的固有安全性较高，其安全控制系统多为被动系统，即在发生异常情况时自动启动的系统，包括反应堆保护系统、紧急停堆系统、冷却系统等。厂房布置主要围绕着核岛进行设置，主要包括核岛、蒸汽发生器厂房、涡轮机房、辅助机房、废物处理厂房等，厂房布置较为集中。

然而，后处理厂主要负责核废料后处理和处置，其事故安全功能主要集中在防止放射性物质的泄露和扩散。主要处理高放废料等较危险的物质，安全控制系统一般采用主动系统，即通过实时监测和人工操作来确保安全，安全功能控制设备较少，以监测报警系统居多。后处理厂的各子项厂房设置较为独立。

后处理厂与核电厂安全功能、安全设备类型、安全控制系统及厂房布置均存在上述的较大差异，可见核电厂的停车策略并不适用于后处理厂。

发明内容

本发明所要解决的技术问题是针对现有技术中存在的上述不足，提供一种核燃料后处理厂应急停车方法，该方法思路清晰合理，便于执行，针对后处理厂专门设置，能够及时停车，有效防止事故后果严重化。本发明还提供一种核燃料后处理厂应急停车系统以及核燃料后处理厂。

一种核燃料后处理厂应急停车方法，包括以下步骤：

获取设备的监测数据；

根据所述监测数据判断是否进入事故状态：

若判定为进入事故状态，再判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致；

以安全级系统控制核燃料后处理厂停车。

进一步地，若判定为不进入事故状态，则以非安全级系统监控设备运行。

进一步地，所述以安全级系统控制核燃料后处理厂停车，具体包括：通过安全级系统的第一操作单元操作第一冗余安全级设备或安全级系统的第二操作单元操作第二冗余安全级设备实现停车操作；

所述判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致，具体包括：

若当前操作单元为第一操作单元，判断当前运行的冗余安全级设备是否为第一冗余安全级设备，并在当前运行的冗余安全级设备不是第一冗余安全级设备时，将运行的冗余安全级设备切换至第一冗余安全级设备；

若当前操作单元为第二操作单元，判断当前运行的冗余安全级设备是否为第二冗余安全级设备，并在当前运行的冗余安全级设备不是第二冗余安全级设备时，将运行的冗余安全级设备切换至第二冗余安全级设备。

进一步地，所述通过安全级系统的第一操作单元操作第一冗余安全级设备或安全级系统的第二操作单元操作第二冗余安全级设备实现停车操作，具体包括：判断第一操作单元是否有效：

当判定第一操作单元有效时，通过第一操作单元屏蔽非安全级系统到安全级系统的控制信号，以避免非安全级系统控制设备动作，并通过第一操作单元实现停车操作；

当判定第一操作单元无效时，通过第二操作单元屏蔽非安全级系统到安全级系统的控制信号以及第一操作单元，以避免第一操作单元和非安全级系统控制设备动作，并通过第二操作单元实现停车操作。

进一步地，当判定为不进入事故状态时，第一操作单元和第二操作单元处于禁用状态；判定为进入事故状态时，第一操作单元和第二操作单元处于启用状态。

进一步地，所述根据监测数据判断是否进入事故状态，具体包括：

根据监测数据判断是否发生异常：

若监测数据未发生异常，则判定为不进入事故状态；

若监测数据发生异常，再进一步判断安全功能信号是否被触发：

若未触发，则执行修复操作后，判定为不进入事故状态；

若已触发，则判定为进入事故状态。

进一步地，所述获取设备的监测数据包括：采用两套监测仪表同时获取设备的监测数据，所述根据监测数据判断是否发生异常，具体包括：

根据两套监测仪表获取的监测数据判断是否存在仪表故障，

并在发生仪表故障时和/或在任一套监测仪表的监测数据不符合第一设定条件时，判定发生异常。

进一步地，所述采用两套监测仪表同时获取设备的所述监测数据为第一监测数据，两套监测仪表属于第一监测单元，还采用第二监测单元获取设备的第二监测数据；所述根据监测数据判断是否发生异常，还包括：

在第二监测数据不符合第二设定条件时，则判定发生异常。

本发明还提供一种核燃料后处理厂应急停车系统，包括：监测单元，用于获取设备的监测数据；第一判断单元，与监测单元电连接，用于根据监测数据判断是否进入事故状态；第二判断单元，与第一判断单元电连接，在第一判断单元判定为进入事故状态时，用于判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致；安全级系统，用于控制核燃料后处理厂停车。

进一步地，核燃料后处理厂应急停车系统还包括非安全级系统，所述非安全级系统与第一判断单元电连接，在第一判断单元判定为不进入事故状态时，用于监控设备运行。

进一步地，所述安全级系统的操作单元包括第一操作单元和第二操作单元，第一操作单元和第二操作单元分离设置在不同位置；当监测单元判定为不进入事故状态时，第一操作单元和第二操作单元处于禁用状态；监测单元判定为进入事故状态时，第一操作单元和第二操作单元处于启用状态；所述第一操作单元用于在进入事故状态时屏蔽非安全级系统到安全级系统的控制信号，以避免非安全级系统控制设备动作，并实现停车操作；所述第二操作单元用于在第一操作单元失效时，屏蔽非安全级系统到安全级系统的控制信号以及第一操作单元，以避免第一操作单元和非安全级系统控制设备动作，并实现停车操作。

进一步地，所述非安全级系统和安全级系统均包括控制单元，所述非安全级系统的控制单元为非安全级控制单元，安全级系统的控制单元包括第一控制单元和第二控制单元，所述设备包括非安全级设备、非冗余安全级设备、第一冗余安全级设备和第二冗余安全级设备，所述非冗余安全级设备在失去动力源时自动置于停车状态；所述第一控制单元为非冗余安全级设备和第一冗余安全级设备提供动力源和控制指令；所述第二控制单元为第二冗余安全级设备提供动力源和控制指令；所述非安全级系统用于通过非安全级控制单元监控非安全级设备运行，以及通过第一控制单元监控第一冗余安全级设备和非冗余安全级设备运行/通过第二控制单元监控第二冗余安全级设备运行，所述安全级系统用于通过第一控制单元及第二控制单元监控第一冗余安全级设备和第二冗余安全级设备，以使第一冗余安全级设备和第二冗余安全级设备在同一时间内，有且仅有一者处于运行状态。

本发明还提供一种核燃料后处理厂，包括设备区、可居留区以及上述的核燃料后处理厂应急停车系统，所述可居留区包括厂内可居留区和厂外可居留区，所述核燃料后处理厂应急停车系统设置在厂内可居留区内，用于对设备区的设备进行监测和控制，所述厂外可居留区与厂内可居留区通信连接，用于收集核燃料后处理厂应急停车系统的信号以及为厂内可居留区提供技术支持。

本发明提供了一种专门用于核燃料后处理厂的应急停车方法，在核燃料后处理厂运行控制技术领域中，针对核燃料后处理厂事故工况专门设置。采用非安全级(NC)系统和安全级(RS)系统进行全厂工艺和辅助系统设备监测和控制，具体地，在正常状态下，以非安全级系统监控设备运行，而在进入事故状态时，由于非安全级(NC)系统此时已不可信或不可用，因此以安全级系统实现核燃料后处理厂停车，解决事故工况下非安全级系统失效带来的不可控情况，避免事故导致的人员危害、环境危害、经济损失等，提升后处理厂运行的安全性和经济性。

而由于后处理厂各子项执行的为缓慢的化学反应，其核心的安全功能为包容放射性物质，主要体现在需要保证子项设施内各区域间的负压梯度，属于“动态密封”，因此在切换系统操作时，本发明的方法还要先判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致，之后再以安全级系统控制核燃料后处理厂停车，从而避免负压梯度错乱，造成放射性物质泄漏，由于存在这一判断操作过程，因此即便是后处理厂也能够采用系统切换的方式进行事故应急停车，确保针对后处理厂的适用性。

附图说明

图1是本发明实施例1中核燃料后处理厂应急停车方法的流程示意图；

图2是本发明实施例2中核燃料后处理厂应急停车系统的示意图；

图3是本发明实施例3中核燃料后处理厂中设备的简易示意图；

图4是本发明实施例3中核燃料后处理厂可居留区的布局示意图。

具体实施方式

下面将结合本发明中的附图，对发明中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明的范围。

在本发明的描述中，需要说明的是，术语“上”、“下”等指示方位或位置关系是基于附图所示的方位或者位置关系，仅是为了便于和简化描述，而并不是指示或者暗示所指的装置或者元件必须设有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

在本发明的描述中，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或者暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“连接”、“设置”、“安装”、“固定”等应做广义理解，例如可以是固定连接也可以是可拆卸地连接，或者一体地连接；可以是直接相连，也可以是通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

实施例1

本实施例的核燃料后处理厂应急停车方法，包括以下步骤：

获取设备的监测数据；

根据监测数据判断是否进入事故状态：

若判定为进入事故状态，再判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致；

以安全级系统控制核燃料后处理厂停车。

若判定为不进入事故状态，则以非安全级系统监控设备运行。

本实施例的方法，在核燃料后处理厂运行控制技术领域中，针对核燃料后处理厂事故工况专门设置。采用非安全级(NC)系统和安全级(RS)系统进行全厂工艺和辅助系统设备监测和控制，具体地，在正常状态下，以非安全级系统监控设备运行，而在进入事故状态时，由于非安全级(NC)系统此时已不可信或不可用，因此以安全级系统控制后处理厂停车，解决事故工况下非安全级系统失效带来的不可控情况，避免事故导致的人员危害、环境危害、经济损失等，提升后处理厂运行的安全性和经济性。

而由于后处理厂各子项执行的为缓慢的化学反应，其核心的安全功能为包容放射性物质，主要体现在需要保证子项设施内各区域间的负压梯度，属于“动态密封”，即保证子项设施内红、橙、绿、白区域间的负压梯度，故即使是冗余设备也不可混用，否则会导致负压梯度错乱，造成放射性物质泄漏。因此在切换系统操作时，本实施例的方法还要先判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致，从而避免负压梯度错乱，造成放射性物质泄漏，由于存在这一判断操作过程，因此即便是后处理厂也能够采用系统切换的方式进行事故应急停车，确保针对后处理厂的适用性。

本实施例中，安全级系统的操作单元包括第一操作单元和第二操作单元，以安全级系统控制核燃料后处理厂停车，具体包括：通过安全级系统的第一操作单元操作第一冗余安全级设备或安全级系统的第二操作单元操作第二冗余安全级设备实现停车操作；

判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致，具体包括：

若当前操作单元为第一操作单元，判断当前运行的冗余安全级设备是否为第一冗余安全级设备，并在当前运行的冗余安全级设备不是第一冗余安全级设备时，将运行的冗余安全级设备切换至第一冗余安全级设备；

若当前操作单元为第二操作单元，判断当前运行的冗余安全级设备是否为第二冗余安全级设备，并在当前运行的冗余安全级设备不是第二冗余安全级设备时，将运行的冗余安全级设备切换至第二冗余安全级设备。

因此在停车操作之前，确保当前运行的冗余安全级设备的序列(第一、第二)与操作单元的序列(第一、第二)完全对应，这种情况可以避免在目前已存在正在运行的冗余安全级设备的情况下，再次启动另一套冗余安全级设备，从而造成负压梯度混乱等后果。通过上述流程，能够确保冗余设置的设备严格运行。

本实施例中，通过安全级系统的第一操作单元操作第一冗余安全级设备或安全级系统的第二操作单元操作第二冗余安全级设备实现停车操作，具体包括：判断第一操作单元是否有效：

当判定第一操作单元有效时，通过第一操作单元屏蔽非安全级系统到安全级系统的控制信号，以避免非安全级系统控制设备动作，并通过第一操作单元实现停车操作；

当判定第一操作单元无效时，通过第二操作单元屏蔽非安全级系统到安全级系统的控制信号以及第一操作单元，以避免第一操作单元和非安全级系统控制设备动作，并通过第二操作单元实现停车操作。

由于需要以安全级系统控制设备停车时，后处理厂已经进入事故状态，因此此时非安全级系统已不可信或不可用，故通过第一操作单元、第二操作单元屏蔽非安全级系统，避免非安全级系统异常运行导致操作指令发生矛盾。而两个操作单元这种冗余的设置方式能够确保停车操作的有效性，避免火灾等突发情况造成单一操作单元失效并最终导致无法停车等严重事故发生。本实施例中，第一操作单元和第二操作单元分别是设置在中控室(中央控制室、MCR)和应急监控室内的ECP1和ECP2，当中控室发生火灾等不可操作情况时，判定第一操作单元即ECP1无效，安全级系统的操作单元只包括由第一操作单元和第二操作单元，第二操作单元作为第一操作单元的备用。

本实施例中，当判定为不进入事故状态时，第一操作单元和第二操作单元处于禁用状态；判定为进入事故状态时，第一操作单元和第二操作单元才处于启用状态。这种设置方式能够避免误操作导致的指令发生矛盾等情况。

本实施例中，根据监测数据判断是否进入事故状态，具体包括：

根据监测数据判断是否发生异常：

若监测数据未发生异常，则判定为不进入事故状态；

若监测数据发生异常，再进一步判断安全功能信号是否被触发：

若未触发，则执行修复操作后，判定为不进入事故状态；

若已触发，则判定为进入事故状态。

本实施例中，当临界等安全功能信号被触发时，还可以再通过人工进行判断是否需要进入事故状态，执行应急停车，从而再增加一层保障。

本实施例中，获取设备的监测数据包括：采用两套监测仪表同时获取设备的监测数据，

根据监测数据判断是否发生异常，具体包括：根据两套监测仪表获取的监测数据判断是否存在仪表故障，

并在发生仪表故障时和/或在任一套监测仪表的监测数据不符合第一设定条件时，判定发生异常。

即，通过两套监测仪表同时执行监测这种冗余设置，能够使两套监测仪表的数据相互印证，因此，单台仪表不可用或示数不可信时，不应因为单台仪表的故障而判断发生异常从而进入事故状态。此时，应定期获取与故障仪表测量功能相同的仪表的示数，判断是仪表异常还是设备的确发生异常。

进一步地，本实施例中，还需判断故障仪表是否参与自动控制逻辑，若故障仪表参与控制逻辑，则将故障仪表参与控制逻辑所控制的设备和/或控制单元(即后续提到的机柜)切换为手动控制模式或就地操作模式。

本实施例中，上述采用两套监测仪表同时获取设备的监测数据为第一监测数据，两套监测仪表属于第一监测单元；还采用第二监测单元获取设备的第二监测数据；根据监测数据判断是否发生异常，还包括：在第二监测数据不符合第二设定条件时，则判定发生异常。即本实施例中，通过两方面的数值监测判断是否发生异常，判断结果更加全面可靠，避免事故发现不及时。

本实施例中，第一监测单元主要用于监测工艺系统安全重要参数异常，如乏燃料组件跌落、首端溶解排气系统碘过滤器失效等；以及辐射监测数据异常，如工艺设备室(或热室)核临界、工艺尾气气溶胶信号异常；以及地震仪表信号报警。第一设定条件即为上述的工艺系统安全重要参数的正常运行数值范围，当不满足于这一范围时，即代表存在工艺系统安全重要参数异常，第一设定条件可以根据具体情况进行选定。

而第二监测单元位于设置在厂外可居留区内的应急指挥中心内，属于核燃料后处理厂专设应急响应设施，负责全厂事故应急状态下全面指挥和协调厂内一切应急响应行动，包括应急指挥部和运行支持中心，子项主要任务是监测后处理厂工艺系统的安全重要参数、辐射监测数据、环境监测和气象数据、事故后果评价结果等信息，与后处理厂应急行动水平进行比较判断，给出事故状态等级建议，为应急指挥人员提供决策支持。第二设定条件即为上述的参数的正常运行数值范围，当不满足于这一范围时，即代表存在重要参数异常，第二设定条件可以根据具体情况进行选定。

本实施例的核燃料后处理厂应急停车方法，可以采用实施例2的应急停车系统，如图1所示，方法大致包括以下步骤：

第一监测单元/第二监测单元获取设备的监测数据，第一判断单元判断是否发生异常(即是否存在监测数据与设定条件不符，并发出警报的情况)，本实施例中，第一监测单元的两套监测仪表同时获取第一冗余安全级设备和非冗余安全级设备的第一监测数据，并发送至第一控制单元，由第一控制单元发送至非安全级操作单元、第一操作单元以及第二操作单元处(其中，发送至第二操作单元处的第一监测数据仅为非冗余安全级设备的第一监测数据)；第一监测单元的两套监测仪表同时获取第二冗余安全级设备的第一监测数据，并发送至第二控制单元，由第二控制单元发送至非安全级操作单元和第二操作单元；第一监测单元还获取非安全级设备的第一监测数据，并发送至非安全级控制单元，由非安全级控制单元发送至非安全级操作单元，此处可以由人工或通过在中控室、应急监控室、应急指挥中心设置第一判断单元等自动判断设备来判断第一监测数据、第二监测数据是否发生异常：

若未发生异常，则判定为不进入事故状态；

若发生异常，判断安全功能信号是否被触发：

若未触发，则执行修复操作后，判定为不进入事故状态；

若已触发，则判定为进入事故状态；本实施例中，当临界等安全功能信号被触发时，还可以再通过人工或第一判断单元通过其他预设条件进行判断是否需要进入事故状态，执行应急停车，从而再增加一层保障：

若判定为不进入事故状态，则以非安全级系统控制设备运行，为正常运行状态；

若判定为进入事故状态，则先由第二判断单元判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致，之后再以安全级系统控制核燃料后处理厂停车，具体地：

判断第一操作单元是否有效(即人工或通过自动化监控设备判断是否起火、中控室是否可用)：

当第一操作单元，即ECP1有效时，通过第一操作单元屏蔽非安全级系统到安全级系统的控制信号，以避免非安全级系统控制设备动作，并通过第一操作单元实现停车操作；

当第一操作单元无效时，通过第二操作单元，即ECP2屏蔽非安全级系统到安全级系统的控制信号以及第一操作单元，以避免第一操作单元和非安全级系统控制设备动作，并通过第二操作单元实现停车操作；

当停车操作后，再判断事故是否恢复：

若已恢复，则表示发生了设计基准事故，此时后处理厂已处于安全停车状态；

若未恢复，则表示发生了严重事故，严重事故是事故后果的严重性超过设计基准事故的事故工况，这类事故极不可能发生，后处理厂设计既不能防止这类事故所造成的的封闭丧失，也不能减轻这类事故所导致的后果，如高放废液蒸发器红油爆炸事故(红区净化失效)、高放废液贮槽氢气爆炸事故(红区净化失效)。

本方法的目的在于针对核燃料后处理厂事故应急工况下的事故应急停车问题，提出一种后处理厂控制系统的事故应急停车方案。依据HAF102-2016《核动力厂设计安全规定》，防止核动力厂发生事故和减轻事故后果的主要手段是应用纵深防御概念。纵深防御主要是通过一系列连续和独立的防御层次的结合，防止事故对人员和环境造成危害。纵深防御共分为五个层次，如果某一层次的防护失效，则由后一层次提供保护，每一层防御的独立有效性都是纵深防御的必要组成部分，本方法的应急停车策略为第五层次，这一最后层次防御目的是减轻可能由事故工况引起的潜在释放造成的放射性后果。该层次要求配备恰当的应急设施，制定用于厂内、厂外应急响应的应急计划和程序，采用实施例2中的系统能够完好实现这一目的。

参考HAF102-2016《核动力厂设计安全规定》，目前核设施普遍采用的事故分析方法主要为确定论和概率论。后处理厂的安全分析中主要使用确定论。“确定论”从保守和安全的角度是无法替代的，假定事故已经发生，按要求采取合理的或保守的假设，分析计算整个核设施系统的相应，直至得出该事故的放射性后果。这种事故后果预设分析，其做法是规定典型的假想核事故，对其引起事态演变过程进行分析，来验证各项安全措施的有效性，重点是考虑设计基准事故。本方法便是通过纵深防御概念中的第五层次，目的是减轻可能由事故工况引起的潜在放射性释放造成的放射性后果，在设计基准事故下能够将后处理厂带入安全停车状态。

总体来说，本方法贯彻纵深防御理念，并结合了实体隔离、冗余设计等手段，采用此方法，能够保证后处理厂运行状态安全可控，提升防人因失误能力，解决后处理厂事故工况下OWPS失效带来的风险，在设计基准事故下能够将后处理厂带入安全停车状态，避免事故导致的人员危害、环境危害、经济损失等，提升后处理厂运行的安全性和经济性。

实施例2

本实施例的核燃料后处理厂应急停车系统，包括：监测单元，用于获取设备的监测数据；第一判断单元，与监测单元电连接，用于根据监测数据判断是否进入事故状态；第二判断单元，与第一判断单元电连接，在第一判断单元判定为进入事故状态时，用于判断当前运行的冗余安全级设备序列与安全级系统当前的操作单元序列是否一致，并在冗余安全级设备序列与当前操作单元序列不一致时，将运行的冗余安全级设备序列切换至与当前操作单元序列一致；安全级系统，用于控制核燃料后处理厂停车。

本实施例中，核燃料后处理厂应急停车系统还包括非安全级系统，非安全级系统与第一判断单元电连接，在第一判断单元判定为不进入事故状态时，用于监控设备运行。

其中，监测单元包括第一监测单元和第二监测单元，第一监测单元包括两套安全级监测仪表，两套仪表冗余设置，用于监测设备的工艺系统安全重要参数异常，如乏燃料组件跌落、首端溶解排气系统碘过滤器失效等；以及辐射监测数据异常，如工艺设备室(或热室)核临界、工艺尾气气溶胶信号异常；以及地震仪表信号报警。第二监测单元设置在位于厂外可居留区内的应急指挥中心内，属于核燃料后处理厂专设应急响应设施，负责全厂事故应急状态下全面指挥和协调厂内一切应急响应行动，包括应急指挥部和运行支持中心，子项主要任务是监测后处理厂工艺系统的安全重要参数、辐射监测数据、环境监测和气象数据、事故后果评价结果等信息，与后处理厂应急行动水平进行比较判断，给出事故状态等级建议，为应急指挥人员提供决策支持。

因此通过第一监测单元和第二监测单元获取的监测数据能够从不同方面判断是否需要进入事故状态，判断结果更加全面可靠，避免事故发现不及时。

本实施例中，在判断方面，既可以通过在中控室、应急监控室、应急指挥中心的操作人员进行数据是否异常的判断，也可以设置第一判断单元、第二判断单元等自动判断设备/系统，通过设备/系统实现数据是否异常的判断。

本实施例中，非安全级(NC)系统为DCS系统，其还包括有操作员站(OWPS)，作为非安全级系统的非安全级操作单元，在正常情况下，通过该非安全级操作单元(OWPS)对设备运行进行控制，当进入事故状态时，该系统已不可用或不可信，故切换为安全级系统进行停车操作。

本实施例中，安全级系统的操作单元包括第一操作单元和第二操作单元，第一操作单元和第二操作单元分离设置在不同位置；当监测单元判定为不进入事故状态时，第一操作单元和第二操作单元处于禁用状态；监测单元判定为进入事故状态时，第一操作单元和第二操作单元处于启用状态；第一操作单元用于在进入事故状态时屏蔽非安全级系统到安全级系统的控制信号，以避免非安全级系统控制设备动作，并实现停车操作；第二操作单元用于在第一操作单元失效时，屏蔽非安全级系统到安全级系统的控制信号以及第一操作单元，以避免第一操作单元和非安全级系统控制设备动作，并实现停车操作。

具体地，安全级系统的两个应急操作平台：第一操作单元和第二操作单元分别为ECP1和ECP2。其中第一操作单元(ECP1)与非安全级系统的操作单元(OWPS)均设置在中控室(即中央控制室、MCR)中，第二操作单元(ECP2)设置在应急监控室中，中控室(MCR)和应急监控室均位于核电厂的厂内可居留区内。ECP1和ECP2同设置在厂内可居留区，分别为中控室和应急监控室内，两个房间需位于可居留区内不同的防火分区，保证火灾等事故工况下后处理厂可平稳停车。

后处理厂的控制系统是按照子项(首端、去污分离、尾端、废液处理等)进行隔离的，每个子项由两套冗余的操控单元，即分别为中控室的ECP1和应急监控室的ECP2，每个子项在ECP1和ECP2分别设置一个切换旋钮，两个切换旋钮进行二取一判断，两个旋钮都打在“中控室操作”时为中控室操作，其中任意一个旋钮或两个旋钮均切换至“应急监控室操作”时为应急监控室操作。有利效果为：二取一的逻辑避免了单一切换旋钮故障导致人员转移时切换无法进行的情况。

本实施例中，非安全级系统和安全级系统均包括控制单元，即控制机柜等设备，其中，非安全级系统的控制单元包括非安全级控制单元，安全级系统的控制单元包括第一控制单元和第二控制单元，待监控的设备包括非安全级设备、非冗余安全级设备、第一冗余安全级设备和第二冗余安全级设备，其中非冗余安全级设备在失去动力源时自动置于停车状态；

第一控制单元为非冗余安全级设备和第一冗余安全级设备提供动力源和控制指令；第二控制单元为第二冗余安全级设备提供动力源和控制指令；非安全级系统用于通过非安全级监控单元控制非安全级设备运行，以及通过第一控制单元监控第一冗余安全级设备和非冗余安全级设备运行/通过第二控制单元监控第二冗余安全级设备运行；安全级系统用于通过第一控制单元及第二控制单元监控第一冗余安全级设备和第二冗余安全级设备，以使第一冗余安全级设备和第二冗余安全级设备在同一时间内，有且仅有一者处于运行状态。

本实施例中，第一控制单元和第二控制单元均为安全级机柜间，用于对安全级设备进行监控；监测仪表的监测数据以及各安全级信号由各套控制单元进行集中监控，第一控制单元和第二控制单元集中监控的信号隔离分配至非安全级DCS系统，操作员在中控室(中央控制室、MCR)的NC操作员站(OWPS)进行全厂信号集中监控，当产生异常信息满足事故判断条件时，需执行停车策略，由两套实体隔离的RS级应急操作台(ECP1和ECP 2)分别在中控室和应急监控室执行事故安全停车功能。

具体地，第一监测单元的两套监测仪表同时获取第一冗余安全级设备和非冗余安全级设备的第一监测数据，并发送至第一控制单元，由第一控制单元发送至非安全级操作单元、第一操作单元以及第二操作单元处(其中，发送至第二操作单元处的第一监测数据仅为非冗余安全级设备的第一监测数据)；第一监测单元的两套监测仪表同时获取第二冗余安全级设备的第一监测数据，并发送至第二控制单元，由第二控制单元发送至非安全级操作单元和第二操作单元；第一监测单元还获取非安全级设备的第一监测数据，并发送至非安全级控制单元，由非安全级控制单元发送至非安全级操作单元，此处可以由人工或通过在中控室、应急监控室、应急指挥中心设置第一判断单元自动判断设备来判断第一监测数据、第二监测数据是否发生异常。

在标准操作模式时(即后处理厂正常运行时MCR所处的状态)：中控室内OWPS执行全部(安全级与非安全级)信号监视和操作功能，ECP1和ECP 2处于禁止操作状态，即禁用状态(仅禁止操作功能，联锁、逻辑正常工作)；厂外可居留区的应急指挥中心监控全厂应急相关状态信号，如临界、气溶胶和I-129等；还可以设置运行服务中心，运行服务中心除了承担正常的生产管理功能，还可以承担部分厂区应急信号监测功能。在该状态下，通过OWPS监控全部(第一)监测数据，即，第一控制单元将第一冗余安全级设备和非冗余安全级设备的监测数据发送至第一操作单元(图2中的线⑤)、将第一冗余安全级设备和非冗余安全级设备的监测数据发送至非安全级控制单元(图2中的线①)-再由非安全级控制单元发送至OWPS、以及将非冗余安全级设备的监测数据发送至第二操作单元(图2中的线⑥)，第二控制单元将第二冗余安全级设备的监测数据发送至第二操作单元(图2中的线⑦)、以及非安全级控制单元(图2中的线②)处-再由非安全级控制单元发送至OWPS。

当异常信号产生时：工艺系统安全重要参数、辐射监测数据、环境监测和气象数据与正常工况发生偏离，此时应急指挥中心的第二监测单元将偏离信号与后处理厂应急行动水平进行比对判断是否进入事故状态，可向工作人员生成信息，信息包括事故状态类型、事故状态等级等；第一监测单元获取设备运行的监测数据，并根据监测数据判断是否异常、异常是否可以修复，若不可修复，则宣布进入事故状态。若事故为临界报警、气溶胶超限值等，工作人员应立即考虑是否启用厂内(MCR区域)和厂外(应急指挥中心)的可居留区。

一级事故模式(ECP1和ECP 2均可用的状态)：当第一监测单元或第二监测单元宣布进入一级事故模式时，除厂内外可居留区内必须值守人员，其他人员全部撤离厂区，ECP1置于启用状态，通过ECP1执行安全停车操作，此时非安全级DCS系统已不可用或不可信，故屏蔽非安全级系统到安全级系统的控制信号(即屏蔽图2中的线③和线④)；厂内可居留区的技术支持中心可与厂外应急指挥中心和运行支持中心建立视频连线，对于MCR无法处理的问题可通过专家远程技术支持进行处理，将后处理厂安全带入停车状态。

二级事故模式(ECP1不可用的状态)：当火灾等事故工况导致MCR不可用时，转至应急监控室的ECP2上操作，通过ECP 2屏蔽MCR各操作站的可操作性弃用MCR(即OWPS到安全级系统的控制信号(即屏蔽图2中的线③和线④)以及屏蔽ECP1)，此时已无法维持正常生产，通过应急监控室的ECP2最终使全厂达到安全停车状态。

上述操作、仪表数据的监测判断功能既可以采用电气设备实现，也可以采用操作人员手动操作/观测判断实现。

总体来说，本实施例的核燃料后处理厂应急停车系统包括有冗余设置的安全级控制单元(第一控制单元和第二控制单元)、非安全级操作单元(NC数字化工作站OWPS)、冗余的第一监测单元(两套监测仪表，包含内部的通信系统、辐射监测系统和消防系统等)。

系统可以分为三层，0层为就地仪表和设备；1层为过程控制层(冗余的RS机柜)，执行信号隔离、联锁和报警等功能；2层为监视和操作层(OWPS、冗余的RS盘台ECP1和ECP2)，核安全信号均通过本层监视和操作。

冗余的控制单元的过程控制信号分别隔离分配至ECP1、ECP2和非安全级控制系统(OWPS)，正常工况下安全级系统仅内部联锁启用，ECP1、ECP2手动操作信号通过旋钮和继电器进行屏蔽，操作员在中控室的NC操作员站(OWPS)进行全功能的信号集中监控，当产生异常信息满足事故状态条件时，需执行应急停车。

对于监测数据的显示，中控室的ECP1中可显示第一控制单元所获取的两套安全级监测仪表的示数；对于安全级设备的控制，中控室的安全级操作台可控制第一冗余安全级设备。

当中控室可用且非安全级系统不可用或不可信时(如地震、DCS失电等)，后处理厂已无法维持正常生产，首先启用中控室的ECP1，将每个子项盘面的2KAK*-001CC(安全/非安切换开关)旋转到“安全级”操作，防止不可信的非安全级系统手动控制信号对安全级控制系统带来未知的影响，此时2KAK*-001LA(允许非安全级操作模式)指示灯熄灭，证明DCS信号已被ECP系统屏蔽，同时，操作员应弃用非安全级操作员站OWPS，转至同样位于中控室内的ECP1操作。

当中控室不可用时(如火灾)，操作员应立即屏蔽中控室各操作站的可操作性，而后弃用中控室，转至应急监控室的安全盘上操作，可通过ECP1或ECP2的切换旋钮“安全/非安切换开关”和“中控室/应急监控室切换开关”进行切换，将“安全/非安切换开关”旋转到“安全级”操作，“中控室/应急监控室切换开关”转到“应急监控室”操作，这两个旋钮均为二取一逻辑进行设计，操作员操作应急监控室的安全级控制系统，此时，ECP2上可显示第二控制单元所获取的两套安全级仪表的示数、以及第一控制单元获取的非冗余安全级设备的示数；对于安全级设备的控制，ECP2可控制第二冗余安全级设备，最终使后处理厂达到安全停车状态。对于中控室火灾、地震等设计基准事故下可就地操作，对于临界、辐射泄漏等可能导致屏蔽失效的事故不能执行就地操作，两种工况不考虑事故叠加。本实施例中，上述操作可以由位于中控室、应急监控室内的人员完成，也可以由自动化操作设备/系统完成。

当安全级机柜间火灾等工况导致安全级机柜序列2(即第二控制单元)不可用时，不论此时处于何种操作模式，安全级序列1的自动控制逻辑和手动控制逻辑都将不可用。此时由中控室的ECP1进行操作，序列2设备由就地操作至停运或设计安全位，由中控室的调度电话进行协调。

当安全级机柜间1，即序列1(即第一控制单元)不可用时，不论此时处于何种操作模式，第一冗余设备和非冗余设备的自动控制逻辑和手动控制逻辑都将不可用。此时，对于有冗余的安全级设备，操作员应投用第二冗余安全级设备，控制室对于非冗余设备将失去控制权，序列1的设备由就地操作至停运或设计安全位，本实施例中，后处理厂的非冗余设备均为阀门类，即使就地无法操作该设备也将由于丧失动力源而自动置于安全位。

实施例3

本实施例的核燃料后处理厂，包括设备区、可居留区以及实施例2中的核燃料后处理厂应急停车系统，可居留区(CREZ)在厂内控制中心和厂外应急指挥中心设施内均需设置，故本实施例包括厂内可居留区和厂外可居留区，在设计基准事故状态下可用，包括火灾、有害气体爆炸或泄露及放射性污染事故等，保障区域内环境仍能适宜于人员的工作和生活所设置的必要区域，以保证公众和厂区工作人员的健康和安全。

设备区设有安全级设备，主要包括有非冗余设备、第一冗余设备和第二冗余设备，其大致关系如图3所示，阀门1为这一区块中的非冗余设备，阀门2和泵1为第一冗余设备，此三者共同由序列1进行控制，阀门3和泵2为第二冗余设备，由序列2进行控制。核燃料后处理厂应急停车系统设置在厂内可居留区内，用于对设备区的设备进行监测和控制，厂外可居留区与厂内可居留区通信连接，用于收集核燃料后处理厂应急停车系统的信号以及为厂内可居留区提供技术支持。

具体地，如图4所示，厂内可居留区设有：

中控室(MCR)，设置安全级(RS)应急操作台(ECP1，或称第一操作单元)、非安全级(NR)操作员站(OWPS)、大屏幕系统、通信广播终端、电话终端、打印机等，负责监控全厂工艺及辅助系统测点和设备，正常运行状态和一级故障模式操作员在此值守。

应急监控室：作为MCR的备用，设置应急操作台(ECP2，或称第二操作单元)、广播终端和电话终端,二级故障模式操作员在此值守。

技术支持中心：设置技术支持监视站和会议系统，为中控室操纵员提供技术支持，帮助中控室人员判断和解决技术问题，协助中控室人员保证后处理厂安全稳定运行。

厂外可居留区设有：

应急指挥中心，属于核燃料后处理厂专设应急响应设施，负责全厂事故应急状态下全面指挥和协调厂内一切应急响应行动，包括应急指挥部和运行支持中心，子项主要任务是监测后处理厂工艺系统安全重要参数、辐射监测数据、环境监测和气象数据、事故后果评价结果等信息，与后处理厂应急行动水平进行比较判断，给出事故状态等级建议，为应急指挥人员提供决策支持。

还可以在厂外设置运行服务中心，运行服务中心属于后处理厂生产运行管理设施，主要负责全厂生产运行管理、资源调度和人员调度等，主要运行生产执行系统(MES)，位于企业资源计划(ERP)等业务系统和底层过程控制系统(PCS)之间，MES系统需要单向采集PCS系统部分生产运行信号进行数据分析，因此承担了部分事故信号监测功能。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。