數(shù)字化反應(yīng)堆保護系統(tǒng)典型問題分析及改進

吳 坤，鄭 帥，王夢浩

（中核核電運行管理有限公司，浙江 海鹽 314300）

0 引言

隨著數(shù)字化技術(shù)的成熟，數(shù)字化儀控系統(tǒng)開始在核電站得到廣泛應(yīng)用。以秦山地區(qū)核電站的發(fā)展進程為例，核電站的數(shù)字化進程大致可分為3個階段[1,2]：

第一階段，以模擬量組合單元儀表作為控制系統(tǒng)[3]，如秦山一期、秦山三期重水堆，目前秦山一期320MW已經(jīng)完成數(shù)字化改造，采用AREVA NP的Teleperm XS數(shù)字化平臺。

第二階段，采用部分數(shù)字化控制，如中國秦山二期和秦山二期擴建工程，其核島系統(tǒng)仍采用小規(guī)模集成電路運算放大器為基礎(chǔ)的模擬量元件來控制，常規(guī)島和BOP系統(tǒng)參照常規(guī)火電廠采用數(shù)字化儀控系統(tǒng)[4]。

第三階段，以微處理技術(shù)和信息技術(shù)為基準的全數(shù)字化控制（DCS）。如方家山核電站采用Invensys的Tricon+IA數(shù)字化儀控技術(shù)。

數(shù)字化技術(shù)相比模擬技術(shù)的最主要的特點是信號采樣的離散化和信號處理的數(shù)字化[5]。對比模擬儀控技術(shù)，數(shù)字化儀控技術(shù)具有以下優(yōu)勢（IAEA安全標準7.20）：

◇控制精度高、運算能力強，能實現(xiàn)復(fù)雜的保護算法，例如函數(shù)關(guān)系等模擬電路難以實現(xiàn)的算法。

◇易于擴展配置，易于升級改造。

◇便于維護與管理、定期試驗程序化。

◇信息存儲和顯示的能力強，更好的人機界面，顯示變化趨勢。

◇改善參數(shù)設(shè)定值漂移問題。

◇強大的自診斷能力。

數(shù)字化彌補了模擬系統(tǒng)的缺點和問題，必然成為核電站未來的發(fā)展趨勢。

然而，從近幾年國內(nèi)核電站數(shù)字化儀控系統(tǒng)的應(yīng)用維護過程中，也發(fā)現(xiàn)一些問題。比如說系統(tǒng)的復(fù)雜性和不確定性、功能的高度集中及其可測試性差等方面的特點，在核電站安全儀控應(yīng)用領(lǐng)域受到各國核安全監(jiān)管部門的高度關(guān)注。本文以方家山反應(yīng)堆保護系統(tǒng)為研究對象，結(jié)合運行以來的典型檢修案例，闡述方家山數(shù)字化反應(yīng)堆保護系統(tǒng)面臨的挑戰(zhàn)，并提出自己的改進意見。

圖1 方家山核電站反應(yīng)堆保護系統(tǒng)接口簡圖Fig.1 Interface diagram of the reactor protection system of Fangjiashan NPP

1 典型問題分類

1.1 集中控制模式下的信號過度集中

DCS系統(tǒng)將就地的儀表信息通過電纜集中傳輸?shù)诫姎鈴S房的控制機柜，這樣的系統(tǒng)結(jié)構(gòu)需要大量的信號電纜、I/O單元和控制站，部分還需要進行數(shù)字/模擬（D/A）和模擬/數(shù)字（A/D）轉(zhuǎn)換。

據(jù)統(tǒng)計，方家山反應(yīng)堆保護系統(tǒng)涉及301個模擬量輸入點（AI）、54個模擬量輸出點（AO）、3649個數(shù)字量輸入點（DI）、2815個數(shù)字量輸出點（DO），而Tricon系統(tǒng)的設(shè)計中，AI卡、DI卡、DO卡擁有32個點位，AO卡擁有8個點位。信號的集中導(dǎo)致檢修工作的難度加大，也容易造成影響范圍的擴大[6]。

另外，集中控制模式的另外一個特點是集中供電。方家山反應(yīng)堆保護系統(tǒng)4個保護組分別由一路不間斷220V交流電源供電，其中LNA對應(yīng)保護組Ⅰ，LNB對應(yīng)保護組Ⅱ，LNC對應(yīng)保護組Ⅲ，LND對應(yīng)保護組Ⅳ，因此失電造成的影響也較大。極端情況下，任何一路失電都將導(dǎo)致一個保護組不可用，造成大量反應(yīng)堆保護信號的邏輯退防。

1.2 系統(tǒng)接口的復(fù)雜性

方家山反應(yīng)堆系統(tǒng)接收來自核儀表和核級熱工儀表的信號，經(jīng)過硬件隔離分配后，一方面由Tricon處理單元采集、計算和處理用于參與反應(yīng)堆保護系統(tǒng)功能，另一方面還經(jīng)隔離分配后送后備控制盤（BUP）進行顯示和記錄，送非安全級DCS或者第三方控制系統(tǒng)參與控制或者調(diào)節(jié)功能。

數(shù)字化設(shè)備的引入使得保護系統(tǒng)的內(nèi)、外部接口不再只采用單一的硬接線技術(shù)，而同時選用了目前被廣泛應(yīng)用于計算機通訊的網(wǎng)絡(luò)通訊技術(shù)[7]。其中，網(wǎng)絡(luò)通訊連接采用光纖、雙絞線兩種形式。多種數(shù)據(jù)傳輸?shù)姆绞降慕徊媸褂茫到y(tǒng)平臺之間的差異性、隔離模塊的使用都有可能對傳輸信號造成影響。

1.2.1 IA與Tricon的匹配問題

安全級Tricon系統(tǒng)與非安全級IA系統(tǒng)之間通過FDSI進行數(shù)據(jù)的單項傳輸，Tricon中的變量辨識碼Alias通過計算公式換算成IA變量的地址進行對接，其公式為[8]：

由于兩個系統(tǒng)對各自的變量定義、邏輯構(gòu)建方式有所不同，因而兩者之間的協(xié)調(diào)性較差。

1.2.2 隔離模塊匹配問題

方家山核電站引入數(shù)字化反應(yīng)堆保護系統(tǒng)Tricon平臺，其帶來很多強大功能的同時，也帶來了新問題。例如Supervised Digital Output脈沖巡檢，其引入回路的短時脈沖信號對于隔離模塊來說是個新事物，隔離模塊作為Tricon系統(tǒng)與第三方系統(tǒng)之間的屏障，如何保證反應(yīng)堆保護系統(tǒng)的獨立性，避免影響第三方系統(tǒng)，對機組造成不必要的影響是一個新課題。

1.3 控制模式的切換問題

核電站的控制模式主要分為主要控制模式（MCR）、BUP控制模式，以及RSS控制模式。方家山DCS系統(tǒng)設(shè)計了相應(yīng)的邏輯，能夠使操作員在特定情況下，實現(xiàn)MCR與BUP之間的切換和MCR與RSS之間的切換。但這樣的設(shè)計涉及大量的切換閉鎖邏輯，容易埋下隱患。

2 案例分析及措施

2.1 ARE049/050/051MD儀表通道改進

案例：202大修期間，對方家山2號機組ARE049/050/051MD儀表通道進行改進，之前 ARE049/050/051MD 3個窄量程主給水流量信號采集通道均設(shè)置為保護組Ⅳ，且同位于1KCS041AR chassis1 slot2的AI卡中，其上游供電電源是LND（220V交流重要負荷電源系統(tǒng)-保護組Ⅳ）。

2.1.1 原因分析

當LND失電或IVP保護組模塊故障，ARE049/050/051MD信號全部變?yōu)?，主給水流量誤認為低于6%NF。同時反應(yīng)堆中間量程功率高于30%FP時，由此導(dǎo)致的給水流量低會產(chǎn)生ATWT（未能緊急停堆的預(yù)期瞬態(tài)）信號誤觸發(fā)停堆，對電廠造成不必要的經(jīng)濟損失。

2.1.2 改進措施

方案一：LND失電閉鎖ATWT功能。

在嶺澳二期項目（LAII）中，出于盡可能減少ATWT系統(tǒng)誤動作的考慮，DCS供貨商的設(shè)計為當主給水流量信號所在的保護組IVP掉電時（此時主給水流量信號的質(zhì)量位將變?yōu)闊o效），不論RPN中間量程功率水平是否高于30%FP，均不觸發(fā)ATWT系統(tǒng)動作，這樣的設(shè)置可能會導(dǎo)致ATWT保護拒動。（根據(jù)FSAR第15.8節(jié)（未能緊急停堆的預(yù)期瞬態(tài)（ATWT））的分析，如果出現(xiàn)喪失主給水流量的工況時，應(yīng)假設(shè)自動緊急停堆失效，需要啟動ATWT功能）。

方案二：分散通道。

為避免LND失電或IVP保護組模塊故障導(dǎo)致ARE049/050/051MD信號全部變0，將給水流量信號ARE049/050進行重新分配，由保護組Ⅳ通道分配至保護組Ⅰ和保護組Ⅲ[9]。LND電源失效后，只能導(dǎo)致ARE051MD信號變?yōu)?。由于ARE049/050/051MD主給水流量低于6%NF，觸發(fā)ATWT保護動作的邏輯為2/3，所以不會觸發(fā)ATWT保護動作。

修改后，當喪失一路供電不會導(dǎo)致ATWT誤動，同時可以不考慮設(shè)計LND掉電閉鎖ATWT的邏輯，在保證電廠安全性的同時兼顧了經(jīng)濟性。

2.2 KSC系統(tǒng)1E級控制器與PLM連接試驗隱患排查

102大修期間，方家山1號機組在執(zhí)行1KSC系統(tǒng)1E級控制器與PLM連接試驗（BUP）試驗過程中，BUP置于測試模式，出現(xiàn)以下問題：

1）在單獨按下釋放按鈕（KSC035/036TO、KSC037/KSC038TO、KSC025/026TO）時，測試燈亮。

2）在執(zhí)行部分1E級控制器過程中，信號真實下發(fā)。

2.2.1 原因分析

連接試驗是在BUP測試模式下，同時按下釋放按鈕和控制器按鈕，通過硬接線連接到Tricon系統(tǒng)，通過paneltest邏輯判斷，產(chǎn)生LA點燈信號，然后利用FDSI通訊至IA系統(tǒng)，最終由IA系統(tǒng)硬接線點亮相應(yīng)的測試燈。其信號流程圖如3所示。

圖2 ATWT緊急停堆邏輯圖Fig.2 ATWT Emergency shutdown logic diagram

圖3 KSC系統(tǒng)1E級控制器與PLM連接試驗示意圖Fig.3 Schematic diagram of the connection test between the 1E-level controller of the KSC system and the PLM

1）針對第一個問題，首先進行劃分定位，由于tricon系統(tǒng)中只收到釋放按鈕信號，未觸發(fā)LA信號，而IA系統(tǒng)中的LA輸出信號已經(jīng)觸發(fā)，由此可判斷為IA側(cè)電燈邏輯問題。查閱KSC系統(tǒng)圖紙，發(fā)現(xiàn)IA邏輯中，KSC035/036TO邏輯缺少RRI551TL按鈕的與信號，導(dǎo)致測試模式和釋放按鈕相與直接觸發(fā)點燈信號。KSC037/KSC038TO、KSC025/026TO中無相應(yīng)關(guān)聯(lián)設(shè)備，導(dǎo)致測試模式和釋放按鈕相與直接觸發(fā)點燈信號。

2）針對第二個問題，通過劃分定位，下發(fā)信號由NC側(cè)發(fā)出，定位為IA側(cè)邏輯問題，通過相應(yīng)的邏輯追溯，發(fā)現(xiàn)IA系統(tǒng)引用了Tricon的按鈕信號用于動作邏輯，卻忽略了相關(guān)的聯(lián)鎖條件，只有在BUP控制模式和釋放按鈕的前提下才能動作，導(dǎo)致在連接試驗時會真實觸發(fā)動作信號。

圖4 系統(tǒng)真實觸發(fā)邏輯示意圖Fig.4 Schematic diagram of the real trigger logic of the system

2.2.2 改進措施

在后續(xù)改進中，對所有IA通訊點進行梳理，并在IA側(cè)進行邏輯修改：

1）增加按鈕信號

圖5 RRI551TL試燈邏輯修改Fig.5 RRI551TL Test lamp logic modification

2）刪除空點燈邏輯

圖6 KSC037/KSC038TO試燈邏輯修改Fig.6 KSC037/KSC038TO Test lamp logic modification

3）增加聯(lián)鎖邏輯（BUP控制模式+釋放按鈕）

圖7 LHA001TL邏輯修改Fig.7 LHA001TL Logic modification

2.3 RPR外部信號輸出T3試驗（A列）隱患排查

2015年5月，方家山1號機組RPR外部信號輸出T3試驗（A列），試驗顯示通過，但試驗后發(fā)現(xiàn)A列C7A和C7B（A列）信號處于觸發(fā)狀態(tài)（按照要求，試驗結(jié)束后系統(tǒng)應(yīng)恢復(fù)至試驗前的狀態(tài)，即處于未觸發(fā)狀態(tài)）。

2.3.1 原因分析

經(jīng)排查，是由兩路信號疊加導(dǎo)致。Tricon采用了Supervised Digital Output（SDO） 每2s觸 發(fā) 一 個持續(xù)時間150 uSec的24V脈沖，來檢測回路硬連接功能。SDO是一種瞬發(fā)脈沖的現(xiàn)象，由于系統(tǒng)采用的光耦隔離模塊（2966728）不能過濾該脈沖，可能發(fā)生SDO脈沖巡檢信號與 T3測試信號（保持5s）相疊加而觸發(fā)真實動作。

為了確定合適的濾波參數(shù)，對繼電器進行輸出響應(yīng)測試。當輸入脈沖超過20μs時，輸出端產(chǎn)生動作信號。自檢脈沖150μs的信號，隔離模塊會產(chǎn)生輸出動作信號。

2.3.2 改進措施

在第三方系統(tǒng)中增加濾波功能：

2966728繼電器下游信號輸出到KCP（安全相關(guān)級）機柜（I/A系統(tǒng)）。I/A系統(tǒng)具備信號濾波功能，修改濾波參數(shù)ECB5 FPM5設(shè)置，增加了32ms濾波。這樣設(shè)置就避免了Tricon的自檢信號引起設(shè)備誤動作。

采用2966728型號的繼電器的回路涉及的136個信號通過修改增加32ms濾波，解決SDO自檢脈沖的誤觸發(fā)問題。

2.4 取消BUP上部分開關(guān)與KIC/BUP 切換開關(guān)聯(lián)鎖

方家山核電廠采用全廠數(shù)字化儀控系統(tǒng)（DCS），主控室裝有安全級顯示單元（Safety Video Display Unit，簡稱SVD），用來執(zhí)行安全級閉鎖復(fù)位、事故后監(jiān) 測（Post Accident Monitoring System， 簡 稱PAMS），以及定期試驗等功能。自機組運行以來，SVDU故障率較高，被列入“中核運行十大技術(shù)問題”，SVDU故障對機組控制模式產(chǎn)生影響，若全部SVDU故障而不可用，機組控制模式需要立即從KIC模式切換至BUP模式[10]。

2.4.1 原因分析

在SVDU上，共有21組閉鎖復(fù)位按鈕，其中5組設(shè)置了與KIC/BUP切換開關(guān)的聯(lián)鎖，當主控室SVDU故障不可用時，由于SVDU上相關(guān)的5組閉鎖和復(fù)位按鈕將不再可用，需要將電廠控制模式從電廠計算機信息和控制系統(tǒng)（簡稱KIC）模式切換到后備控制盤（Backup Panel，簡稱BUP）控制模式。但是機組在BUP模式下不能長期維持在功率運行模式，機組將按照IKIC規(guī)程后撤到安全狀態(tài)。在此設(shè)計中，人為擴大了故障設(shè)備的處理范圍（將SVDU故障等同于KIC同時故障），帶來不必要的狀態(tài)轉(zhuǎn)換。

2.4.2 改進措施

通過變更改造，擬取消BUP盤上這5組閉鎖復(fù)位開關(guān)與KIC/BUP模式切換開關(guān)的聯(lián)鎖，使BUP上的相關(guān)閉鎖和復(fù)位開關(guān)在KIC控制模式下可以操作，避免在KIC可用的情況下，由于SVDU故障而導(dǎo)致機組控制模式切換至BUP模式，甚至可能導(dǎo)致機組進入后撤模式。

修改前1E級邏輯圖如圖8所示（以RPR125CCB_BUP 源量程閉鎖為例）。

圖8 修改前1E級邏輯圖Fig.8 Logic diagram of level 1E before modification

修改后1E級邏輯圖如圖9所示。

圖9 修改后1E級邏輯圖Fig.9 Logic diagram of level 1E after modification

3 改進與建議

1）信號過度集中是核電站反應(yīng)堆保護系統(tǒng)的通病，因此在設(shè)計中要充分考慮將相關(guān)信號分散至各個通道，避免不必要的情況下產(chǎn)生信號聯(lián)動，造成損失。

2）將安全級DCS的接口范圍作為非安全級DCS或者第三方系統(tǒng)的一項重要輸入數(shù)據(jù)，合理設(shè)置參數(shù)和軟件處理環(huán)節(jié)，避免不同供貨商或者設(shè)備平臺接口范圍不一致產(chǎn)生的誤觸發(fā)。

3）反應(yīng)堆保護系統(tǒng)的隔離回路設(shè)計和隔離模塊選型需要考慮數(shù)字化引入后的新問題，避免接口不匹配造成設(shè)備動作信號的誤觸發(fā)。

4）RPR系統(tǒng)聯(lián)調(diào)中，盡量真實聯(lián)動第三方控制系統(tǒng)，及時發(fā)現(xiàn)存在的接口不匹配。

4 結(jié)束語

作為首次采用Tricon數(shù)字化平臺實現(xiàn)的核電廠反應(yīng)堆保護系統(tǒng)，方家山核電廠保護系統(tǒng)體現(xiàn)了數(shù)字化技術(shù)的強大優(yōu)勢，但也不可避免地遇到一些問題。本文通過對方家山核電廠反應(yīng)堆保護系統(tǒng)自商運以來的運行維護經(jīng)驗進行總結(jié)，歸納出幾類問題，并通過實際案例進行深度剖析，提出合理可行的改進措施及建議，為數(shù)字化平臺在其他核電廠應(yīng)用、設(shè)計、調(diào)試、維護提供十分重要的指導(dǎo)和借鑒意義。