核電ATWT保護系統T3試驗邏輯分析與優化

姬新峰，宋　猛

（福建寧德核電有限公司，福建 寧德　355200）

核電ATWT保護系統T3試驗邏輯分析與優化

姬新峰，宋猛

（福建寧德核電有限公司，福建 寧德355200）

闡述了ATWT（未能緊急停堆預期瞬態）保護系統裝置的組成和T3試驗及邏輯閉鎖原理，分析了T3試驗存在的設計缺陷，并提出了優化改進方案，改進后的系統整體運行穩定，未出現過設備誤動情況。

ATWT保護系統；T3試驗；設計缺陷；邏輯分析

0　引言

反應堆保護系統對事故工況的保護手段主要是緊急停堆，當緊急停堆保護發生故障（參數達到緊急停堆保護閾值但沒產生緊急停堆保護信號，或雖然產生了緊急停堆信號但緊急停堆斷路器未斷開）時發生的各種未能緊急停堆預期瞬態就稱為ATWT。為了降低安全級數字化DCS共模故障而造成停堆保護系統失效的風險，核電項目在反應堆保護系統中設計了安全多樣性ATWT保護系統。由于ATWT保護功能在正常運行期間處于未觸發狀態，為確保緊急狀態下ATWT設備的可用性，核電站設置了預防性周期試驗，定期檢測該系統功能的狀態。

ATWT周期試驗包括T1，T2，T3 3部分，其范圍從過程信號的輸入到驅動信號的輸出，周期為2個月，試驗密度較大，且該部分試驗為核電站《安全相關系統與設備定期試驗監督大綱》中要求必須執行的項目。ATWT T3試驗主要為驗證ATWT信號到對應閥門設備接口部分的可用性，試驗誤動設備風險較大，試驗時主要通過閉鎖正常保護邏輯信號來確保試驗期間不會誤動現場設備。

1　ATWT保護系統介紹

核電ATWT保護系統通過DAC柜來實現，每臺機組配置1個DAC機柜。在安全等級上，ATWT保護系統是Non-Safety Class；在控制方式上，ATWT保護系統采用的則是與數字化DCS控制系統完全不同的模擬量控制方式。

1.1系統硬件架構

ATWT保護系統的DAC機柜為一個直立的長方形控制柜，柜子規格為900 mm×600 mm× 1 200 mm，前后均為單開門設計。機柜由2個16槽機籠構成。在1號機籠CF11上布置有10塊卡件，這其中，LCTN-G08，LMAN-G01，LALN-G08卡件各有3組，主要是實現蒸發器3個給水流量的信號處理和閾值比較，同時還有1塊實現開關量輸入的卡件ERAJ-G11。在2號機籠CF12上布置有16塊卡件，其中，LCTN-G08，LSCN-G07，LALN-G08卡件各有2組，主要是實現RPN中間中子通量功率信號處理和閾值比較，同時還有2塊ELAJ-G11卡件實現邏輯與和取非功能，2塊ELAJ-G12實現邏輯或和取非功能，6塊LAIN-G06實現邏輯的輸出和隔離。

1.2系統控制策略

ATWT保護的主要功能是限制ATWT后果。為此，ATWT保護系統采用如下保護邏輯。

當堆功率大于30 % Pn時，如果給水流量低于6 % NF（正常給水），則采取如下保護動作：

（1） 汽機跳閘，使反應堆功率整定為最終功率整定值，用自動調節平均溫度棒R和灰棒G的方法降低堆功率，并防止蒸汽發生器燒干；

（2） 啟動輔助給水系統，通過輔助給水系統向蒸汽發生器提供約6 % NF的水，以防蒸汽發生器燒干；

（3） 閉鎖第3組GCT排放閥，關閉蒸汽發生器排污閥（APG），防止蒸汽發生器燒干；

（4） 緊急停堆。

2　ATWT T3試驗及邏輯閉鎖原理

由于ATWT試驗原理基本相同，下文均以ATWT系統APG閥門T3試驗為例進行解釋說明，試驗原理如圖1所示。試驗時將ATWT置試驗模式，對應APG閥門的試驗允許指示燈點亮，表明當前允許進行試驗。因ATWT輸出至APG閥門的ATWT試驗指令和真實驅動指令均通過同一信號回路經繼電器柜送往SLC PIF卡，然后在PIF卡內部通過硬邏輯直接驅動設備，所以在試驗的時候需要閉鎖該路信號的輸出，以避免試驗期間設備誤動。

在機組正常運行時，PIF卡的輸出為ON，各閥門的驅動繼電器處于勵磁的狀態，閥門保護為失電動作。故需要在試驗的時候增加1路指令信號使PIF卡一直輸出為ON，進而保持設備驅動繼電器為勵磁狀態，避免試驗指令導致設備誤動作。具體實現方式如圖1所示，通過ATWT試驗模式信號與設備正常運行的指令信號（由于上述設備的驅動繼電器為單穩繼電器，所以正常運行指令常為ON）閉鎖ATWT試驗信號驅動現場設備。

ATWT在試驗模式下，Test指令可有效觸發，各設備的控制回路接收指令輸出試驗成功信號至ATWT，點亮反饋指示燈，此時ATWT輸出到控制設備的試驗驅動指令被閉鎖，確保試驗期間現場設備不會誤動。

3　ATWT T3試驗（APG閥門）設計缺陷分析

圖1　ATWT T3試驗（APG閥門部分）信號接口

圖1中粗實線部分為當前核電站現場ATWTT3試驗允許信號（指令邏輯閉鎖成功）的實現方式，ATWT試驗模式通過硬接線送至ARC繼電器柜，再由繼電器柜將該信號送至SLC中進行試驗允許信號的判斷。最終的邏輯判斷信號分2路送出，一路（圖1虛線信號回路）進入PIF實際閉鎖試驗指令信號，確保試驗指令不驅動現場設備；另一路（圖1粗實線信號回路）則直接送回ATWT系統用于點亮TEST Avail指示燈，試驗人員以此來判斷閉鎖邏輯已經生效，可以進行相應的T3試驗。

從當前允許、閉鎖邏輯的實現方式可以看出，其信號閉鎖是否成功的判定實現方式，僅僅是在SLC組態邏輯中將ATWT試驗模式信號和設備的指令信號做一個“與”邏輯，隨后直接反饋給ATWT系統的試驗允許指示燈，試驗人員看到此燈點亮則認為邏輯閉鎖已經完成，可以開展試驗，但事實上該試驗指令邏輯閉鎖并不一定真正完成。

假設其中送入PIF卡的試驗允許、閉鎖信號回路（圖1虛線信號回路）出現問題，例如出現該信號對應的SLC DO卡輸出故障、DO卡送PIF卡硬接線斷路或是回路端子被誤隔離或損壞等情況，而試驗人員對此毫不知情，現場按照正常方式將ATWT置于ATWT試驗模式，試驗模式信號經過ARC柜送入SLC，再和SLC指令信號進行邏輯判斷后，一路輸出送至ATWT系統點亮Test Avail燈。由于該回路設備狀態正常，指示燈正常點亮；另一路則真正地送入PIF卡進行試驗指令信號閉鎖，但是在信號通過SLC DO卡、硬件接線、隔離端子送PIF卡的過程中，由于存在回路故障，信號并沒有真正地送入PIF卡去隔離試驗指令信號，并對試驗閥門狀態進行保持。

試驗人員根據試驗允許指示燈誤判斷認為可以進行試驗，通過試驗開關觸發對應試驗信號，經ARC柜后送入PIF卡，直接將PIF卡中的“與”門變位，由于閉鎖信號并沒有送達PIF卡，故PIF卡中“或”門2個輸入都為“0”，進而直接導致現場設備誤動。

由上述分析可知，當前的試驗邏輯閉鎖是否成功的判斷方式并沒有完全覆蓋整個閉鎖邏輯回路，存在盲區。盡管送入PIF卡進行試驗指令閉鎖的硬回路出現故障的幾率較小，但是一旦出現問題，其后果卻非常嚴重。ATWT系統對應的下游設備均為核安全相關設備，如該部分設備出現人為誤動，則可能直接產生人因執照運行事件（LOE事件）。

4　ATWT T3試驗設計缺陷優化處理

ATWT T3試驗允許、閉鎖邏輯設計不合理的根本原因是其閉鎖成功的反饋信號并沒有覆蓋整個試驗允許、閉鎖回路，即其閉鎖成功反饋應該是在整個閉鎖邏輯回路的最末端才合適。

為確保試驗過程不誤動設備，對當前試驗允許、閉鎖回路邏輯進行如下方式優化：修改對應PIF卡件和SLC組態（見圖1虛線部分，表示去除此連接），在設備所在SLC邏輯組態中增加PDI輸入，SLC通過系統DO點將閉鎖信號送入PIF卡件，該閉鎖信號在PIF卡件中通過SLC中的PDI送回SLC進行邏輯組態，與SLC中設備指令取非信號做一個“或”邏輯，然后送ATWT進行試驗允許指示和判斷，即最終點亮試驗允許指示燈。這樣整個信號閉鎖回路就可真正地實現全覆蓋，送回到DAC柜的試驗允許信號完全可信。經過優化改進，在確保《安全相關系統與設備定期試驗監督大綱》項目正確實施的同時，徹底避免了試驗期間因試驗閉鎖不成功而導致的設備誤動風險，同時也為ATWT系統可用性打下了堅實的基礎。

5　結束語

目前核電ATWT T3試驗設計邏輯經優化改造后系統整體運行穩定，近1年多來未出現設備誤動情況，證明了本次缺陷優化改進的合理性。

1 王武士，張建平.秦二廠3號、4號機組反應堆保護系統T3試驗改進［J］.核電子學與探測技術，2015，35（4）：331-334.

2016-04-10；

2016-06-22。

姬新峰（1983-），男，工程師，主要從事儀控管理及檢修工作，email：jixinfeng@cgnpc.com.cn。

宋猛（1984-）男，工程師，主要從事儀控大修協調及工作票準備工作。