吳 坤，鄭 帥，王夢浩

（中核核電運行管理有限公司，浙江 海鹽 314300）

0 引言

隨著數字化技術的成熟，數字化儀控系統(tǒng)開始在核電站得到廣泛應用。以秦山地區(qū)核電站的發(fā)展進程為例，核電站的數字化進程大致可分為3個階段[1,2]：

第一階段，以模擬量組合單元儀表作為控制系統(tǒng)[3]，如秦山一期、秦山三期重水堆，目前秦山一期320MW已經完成數字化改造，采用AREVA NP的Teleperm XS數字化平臺。

第二階段，采用部分數字化控制，如中國秦山二期和秦山二期擴建工程，其核島系統(tǒng)仍采用小規(guī)模集成電路運算放大器為基礎的模擬量元件來控制，常規(guī)島和BOP系統(tǒng)參照常規(guī)火電廠采用數字化儀控系統(tǒng)[4]。

第三階段，以微處理技術和信息技術為基準的全數字化控制（DCS）。如方家山核電站采用Invensys的Tricon+IA數字化儀控技術。

數字化技術相比模擬技術的最主要的特點是信號采樣的離散化和信號處理的數字化[5]。對比模擬儀控技術，數字化儀控技術具有以下優(yōu)勢（IAEA安全標準7.20）：

◇控制精度高、運算能力強，能實現復雜的保護算法，例如函數關系等模擬電路難以實現的算法。

◇易于擴展配置，易于升級改造。

◇便于維護與管理、定期試驗程序化。

◇信息存儲和顯示的能力強，更好的人機界面，顯示變化趨勢。

◇改善參數設定值漂移問題。

◇強大的自診斷能力。

數字化彌補了模擬系統(tǒng)的缺點和問題，必然成為核電站未來的發(fā)展趨勢。

然而，從近幾年國內核電站數字化儀控系統(tǒng)的應用維護過程中，也發(fā)現一些問題。比如說系統(tǒng)的復雜性和不確定性、功能的高度集中及其可測試性差等方面的特點，在核電站安全儀控應用領域受到各國核安全監(jiān)管部門的高度關注。本文以方家山反應堆保護系統(tǒng)為研究對象，結合運行以來的典型檢修案例，闡述方家山數字化反應堆保護系統(tǒng)面臨的挑戰(zhàn)，并提出自己的改進意見。

圖1 方家山核電站反應堆保護系統(tǒng)接口簡圖Fig.1 Interface diagram of the reactor protection system of Fangjiashan NPP

1 典型問題分類

1.1 集中控制模式下的信號過度集中

DCS系統(tǒng)將就地的儀表信息通過電纜集中傳輸到電氣廠房的控制機柜，這樣的系統(tǒng)結構需要大量的信號電纜、I/O單元和控制站，部分還需要進行數字/模擬（D/A）和模擬/數字（A/D）轉換。

據統(tǒng)計，方家山反應堆保護系統(tǒng)涉及301個模擬量輸入點（AI）、54個模擬量輸出點（AO）、3649個數字量輸入點（DI）、2815個數字量輸出點（DO），而Tricon系統(tǒng)的設計中，AI卡、DI卡、DO卡擁有32個點位，AO卡擁有8個點位。信號的集中導致檢修工作的難度加大，也容易造成影響范圍的擴大[6]。

另外，集中控制模式的另外一個特點是集中供電。方家山反應堆保護系統(tǒng)4個保護組分別由一路不間斷220V交流電源供電，其中LNA對應保護組Ⅰ，LNB對應保護組Ⅱ，LNC對應保護組Ⅲ，LND對應保護組Ⅳ，因此失電造成的影響也較大。極端情況下，任何一路失電都將導致一個保護組不可用，造成大量反應堆保護信號的邏輯退防。

1.2 系統(tǒng)接口的復雜性

方家山反應堆系統(tǒng)接收來自核儀表和核級熱工儀表的信號，經過硬件隔離分配后，一方面由Tricon處理單元采集、計算和處理用于參與反應堆保護系統(tǒng)功能，另一方面還經隔離分配后送后備控制盤（BUP）進行顯示和記錄，送非安全級DCS或者第三方控制系統(tǒng)參與控制或者調節(jié)功能。

數字化設備的引入使得保護系統(tǒng)的內、外部接口不再只采用單一的硬接線技術，而同時選用了目前被廣泛應用于計算機通訊的網絡通訊技術[7]。其中，網絡通訊連接采用光纖、雙絞線兩種形式。多種數據傳輸的方式的交叉使用，系統(tǒng)平臺之間的差異性、隔離模塊的使用都有可能對傳輸信號造成影響。

1.2.1 IA與Tricon的匹配問題

安全級Tricon系統(tǒng)與非安全級IA系統(tǒng)之間通過FDSI進行數據的單項傳輸，Tricon中的變量辨識碼Alias通過計算公式換算成IA變量的地址進行對接，其公式為[8]：

由于兩個系統(tǒng)對各自的變量定義、邏輯構建方式有所不同，因而兩者之間的協調性較差。

1.2.2 隔離模塊匹配問題

方家山核電站引入數字化反應堆保護系統(tǒng)Tricon平臺，其帶來很多強大功能的同時，也帶來了新問題。例如Supervised Digital Output脈沖巡檢，其引入回路的短時脈沖信號對于隔離模塊來說是個新事物，隔離模塊作為Tricon系統(tǒng)與第三方系統(tǒng)之間的屏障，如何保證反應堆保護系統(tǒng)的獨立性，避免影響第三方系統(tǒng)，對機組造成不必要的影響是一個新課題。

1.3 控制模式的切換問題

核電站的控制模式主要分為主要控制模式（MCR）、BUP控制模式，以及RSS控制模式。方家山DCS系統(tǒng)設計了相應的邏輯，能夠使操作員在特定情況下，實現MCR與BUP之間的切換和MCR與RSS之間的切換。但這樣的設計涉及大量的切換閉鎖邏輯，容易埋下隱患。

2 案例分析及措施

2.1 ARE049/050/051MD儀表通道改進

案例：202大修期間，對方家山2號機組ARE049/050/051MD儀表通道進行改進，之前 ARE049/050/051MD 3個窄量程主給水流量信號采集通道均設置為保護組Ⅳ，且同位于1KCS041AR chassis1 slot2的AI卡中，其上游供電電源是LND（220V交流重要負荷電源系統(tǒng)-保護組Ⅳ）。

2.1.1 原因分析

當LND失電或IVP保護組模塊故障，ARE049/050/051MD信號全部變?yōu)?，主給水流量誤認為低于6%NF。同時反應堆中間量程功率高于30%FP時，由此導致的給水流量低會產生ATWT（未能緊急停堆的預期瞬態(tài)）信號誤觸發(fā)停堆，對電廠造成不必要的經濟損失。

2.1.2 改進措施

方案一：LND失電閉鎖ATWT功能。

在嶺澳二期項目（LAII）中，出于盡可能減少ATWT系統(tǒng)誤動作的考慮，DCS供貨商的設計為當主給水流量信號所在的保護組IVP掉電時（此時主給水流量信號的質量位將變?yōu)闊o效），不論RPN中間量程功率水平是否高于30%FP，均不觸發(fā)ATWT系統(tǒng)動作，這樣的設置可能會導致ATWT保護拒動。（根據FSAR第15.8節(jié)（未能緊急停堆的預期瞬態(tài)（ATWT））的分析，如果出現喪失主給水流量的工況時，應假設自動緊急停堆失效，需要啟動ATWT功能）。

方案二：分散通道。

為避免LND失電或IVP保護組模塊故障導致ARE049/050/051MD信號全部變0，將給水流量信號ARE049/050進行重新分配，由保護組Ⅳ通道分配至保護組Ⅰ和保護組Ⅲ[9]。LND電源失效后，只能導致ARE051MD信號變?yōu)?。由于ARE049/050/051MD主給水流量低于6%NF，觸發(fā)ATWT保護動作的邏輯為2/3，所以不會觸發(fā)ATWT保護動作。

修改后，當喪失一路供電不會導致ATWT誤動，同時可以不考慮設計LND掉電閉鎖ATWT的邏輯，在保證電廠安全性的同時兼顧了經濟性。

2.2 KSC系統(tǒng)1E級控制器與PLM連接試驗隱患排查

102大修期間，方家山1號機組在執(zhí)行1KSC系統(tǒng)1E級控制器與PLM連接試驗（BUP）試驗過程中，BUP置于測試模式，出現以下問題：

1）在單獨按下釋放按鈕（KSC035/036TO、KSC037/KSC038TO、KSC025/026TO）時，測試燈亮。

2）在執(zhí)行部分1E級控制器過程中，信號真實下發(fā)。

2.2.1 原因分析

連接試驗是在BUP測試模式下，同時按下釋放按鈕和控制器按鈕，通過硬接線連接到Tricon系統(tǒng)，通過paneltest邏輯判斷，產生LA點燈信號，然后利用FDSI通訊至IA系統(tǒng)，最終由IA系統(tǒng)硬接線點亮相應的測試燈。其信號流程圖如3所示。

圖2 ATWT緊急停堆邏輯圖Fig.2 ATWT Emergency shutdown logic diagram

圖3 KSC系統(tǒng)1E級控制器與PLM連接試驗示意圖Fig.3 Schematic diagram of the connection test between the 1E-level controller of the KSC system and the PLM

1）針對第一個問題，首先進行劃分定位，由于tricon系統(tǒng)中只收到釋放按鈕信號，未觸發(fā)LA信號，而IA系統(tǒng)中的LA輸出信號已經觸發(fā)，由此可判斷為IA側電燈邏輯問題。查閱KSC系統(tǒng)圖紙，發(fā)現IA邏輯中，KSC035/036TO邏輯缺少RRI551TL按鈕的與信號，導致測試模式和釋放按鈕相與直接觸發(fā)點燈信號。KSC037/KSC038TO、KSC025/026TO中無相應關聯設備，導致測試模式和釋放按鈕相與直接觸發(fā)點燈信號。

2）針對第二個問題，通過劃分定位，下發(fā)信號由NC側發(fā)出，定位為IA側邏輯問題，通過相應的邏輯追溯，發(fā)現IA系統(tǒng)引用了Tricon的按鈕信號用于動作邏輯，卻忽略了相關的聯鎖條件，只有在BUP控制模式和釋放按鈕的前提下才能動作，導致在連接試驗時會真實觸發(fā)動作信號。

圖4 系統(tǒng)真實觸發(fā)邏輯示意圖Fig.4 Schematic diagram of the real trigger logic of the system

2.2.2 改進措施

在后續(xù)改進中，對所有IA通訊點進行梳理，并在IA側進行邏輯修改：

1）增加按鈕信號

圖5 RRI551TL試燈邏輯修改Fig.5 RRI551TL Test lamp logic modification

2）刪除空點燈邏輯

圖6 KSC037/KSC038TO試燈邏輯修改Fig.6 KSC037/KSC038TO Test lamp logic modification

3）增加聯鎖邏輯（BUP控制模式+釋放按鈕）

圖7 LHA001TL邏輯修改Fig.7 LHA001TL Logic modification

2.3 RPR外部信號輸出T3試驗（A列）隱患排查

2015年5月，方家山1號機組RPR外部信號輸出T3試驗（A列），試驗顯示通過，但試驗后發(fā)現A列C7A和C7B（A列）信號處于觸發(fā)狀態(tài)（按照要求，試驗結束后系統(tǒng)應恢復至試驗前的狀態(tài)，即處于未觸發(fā)狀態(tài)）。

2.3.1 原因分析

經排查，是由兩路信號疊加導致。Tricon采用了Supervised Digital Output（SDO） 每2s觸 發(fā) 一 個持續(xù)時間150 uSec的24V脈沖，來檢測回路硬連接功能。SDO是一種瞬發(fā)脈沖的現象，由于系統(tǒng)采用的光耦隔離模塊（2966728）不能過濾該脈沖，可能發(fā)生SDO脈沖巡檢信號與 T3測試信號（保持5s）相疊加而觸發(fā)真實動作。

為了確定合適的濾波參數，對繼電器進行輸出響應測試。當輸入脈沖超過20μs時，輸出端產生動作信號。自檢脈沖150μs的信號，隔離模塊會產生輸出動作信號。

2.3.2 改進措施

在第三方系統(tǒng)中增加濾波功能：

2966728繼電器下游信號輸出到KCP（安全相關級）機柜（I/A系統(tǒng)）。I/A系統(tǒng)具備信號濾波功能，修改濾波參數ECB5 FPM5設置，增加了32ms濾波。這樣設置就避免了Tricon的自檢信號引起設備誤動作。

采用2966728型號的繼電器的回路涉及的136個信號通過修改增加32ms濾波，解決SDO自檢脈沖的誤觸發(fā)問題。

2.4 取消BUP上部分開關與KIC/BUP 切換開關聯鎖

方家山核電廠采用全廠數字化儀控系統(tǒng)（DCS），主控室裝有安全級顯示單元（Safety Video Display Unit，簡稱SVD），用來執(zhí)行安全級閉鎖復位、事故后監(jiān) 測（Post Accident Monitoring System， 簡 稱PAMS），以及定期試驗等功能。自機組運行以來，SVDU故障率較高，被列入“中核運行十大技術問題”，SVDU故障對機組控制模式產生影響，若全部SVDU故障而不可用，機組控制模式需要立即從KIC模式切換至BUP模式[10]。

2.4.1 原因分析

在SVDU上，共有21組閉鎖復位按鈕，其中5組設置了與KIC/BUP切換開關的聯鎖，當主控室SVDU故障不可用時，由于SVDU上相關的5組閉鎖和復位按鈕將不再可用，需要將電廠控制模式從電廠計算機信息和控制系統(tǒng)（簡稱KIC）模式切換到后備控制盤（Backup Panel，簡稱BUP）控制模式。但是機組在BUP模式下不能長期維持在功率運行模式，機組將按照IKIC規(guī)程后撤到安全狀態(tài)。在此設計中，人為擴大了故障設備的處理范圍（將SVDU故障等同于KIC同時故障），帶來不必要的狀態(tài)轉換。

2.4.2 改進措施

通過變更改造，擬取消BUP盤上這5組閉鎖復位開關與KIC/BUP模式切換開關的聯鎖，使BUP上的相關閉鎖和復位開關在KIC控制模式下可以操作，避免在KIC可用的情況下，由于SVDU故障而導致機組控制模式切換至BUP模式，甚至可能導致機組進入后撤模式。

修改前1E級邏輯圖如圖8所示（以RPR125CCB_BUP 源量程閉鎖為例）。

圖8 修改前1E級邏輯圖Fig.8 Logic diagram of level 1E before modification

修改后1E級邏輯圖如圖9所示。

圖9 修改后1E級邏輯圖Fig.9 Logic diagram of level 1E after modification

3 改進與建議

1）信號過度集中是核電站反應堆保護系統(tǒng)的通病，因此在設計中要充分考慮將相關信號分散至各個通道，避免不必要的情況下產生信號聯動，造成損失。

2）將安全級DCS的接口范圍作為非安全級DCS或者第三方系統(tǒng)的一項重要輸入數據，合理設置參數和軟件處理環(huán)節(jié)，避免不同供貨商或者設備平臺接口范圍不一致產生的誤觸發(fā)。

3）反應堆保護系統(tǒng)的隔離回路設計和隔離模塊選型需要考慮數字化引入后的新問題，避免接口不匹配造成設備動作信號的誤觸發(fā)。

4）RPR系統(tǒng)聯調中，盡量真實聯動第三方控制系統(tǒng)，及時發(fā)現存在的接口不匹配。

4 結束語

作為首次采用Tricon數字化平臺實現的核電廠反應堆保護系統(tǒng)，方家山核電廠保護系統(tǒng)體現了數字化技術的強大優(yōu)勢，但也不可避免地遇到一些問題。本文通過對方家山核電廠反應堆保護系統(tǒng)自商運以來的運行維護經驗進行總結，歸納出幾類問題，并通過實際案例進行深度剖析，提出合理可行的改進措施及建議，為數字化平臺在其他核電廠應用、設計、調試、維護提供十分重要的指導和借鑒意義。