反應堆保護系統停堆故障模式分析及維護對策

黃 資

（三門核電有限公司 維修處，浙江 三門 317112）

保護和安全監測系統（PMS）是三門核電的反應堆保護系統，而停堆作為PMS的最重要的功能之一，若發生故障則可能導致誤停堆影響電站的經濟性，或者安全功能降級從而影響電站的安全性。由于PMS是Common Q數字化儀控平臺系統在國內核電站的首次應用，對系統的維護尚無直接經驗可以借鑒。電站技術規格書對PMS停堆功能出現各種故障時的處理時間有嚴格的規定[1]。為快速有效地做好維護，本文將對PMS進行停堆故障模式分析，并探索建立有效的維護對策。

1 原理及組成

1.1 停堆原理

PMS分為A、B、C、D 4個序列。4個序列提供了四通道的冗余，序列內部存在兩個子通道的冗余。4個冗余序列使用4套獨立的傳感器，這些測量值分別由對應的序列進行處理，在必要的計算和處理后，測量值與可用的設定值進行比較，如果測量值超過了預先的設定值，就會產生一個部分停堆觸發信號，同時其觸發狀態將被發送至其他序列[2]。各序列內部若通過邏輯表決將驅動各自序列的停堆斷路器，從而切斷控制棒驅動機構的電源導致停堆。

1.2 系統組成

PMS系統實現控制的基本單元為ABB公司的AC160機架，執行系統的保護算法，主要包括處理器模塊、I/O模塊、通訊接口模塊。以AC160機架為核心配置組成了不同功能的機柜。其中，雙穩態邏輯處理機柜（BCC）機柜主要執行邏輯處理和表決，每個序列的兩個BCC機柜互為冗余。維護與測試面板（MTP）和安全顯示器（SD）為人機界面，用于系統的日常維護與狀態顯示等功能。

圖1 PMS停堆路徑框圖Fig.1 PMS Stop heap path block diagram

2 故障模式分析

2.1 功能塊劃分

將PMS停堆功能基本組成單元劃分為不同的功能塊。執行停堆功能的主體為BPL、LCL和RTM，都位于BCC機柜中。各部分主要功能如下：

BPL：雙穩態邏輯處理，用于信號采集和定值判斷，超過限值將產生局部觸發信號。采用AC160機架配置而成，內含處理器卡件、模擬量輸入卡件、數字量輸入卡件、通信卡件[3]。

HSL：高速數據鏈路，負責安全功能信號的通信傳輸。

LCL：局部符合邏輯，采用“四取二”邏輯，用于表決、產生停堆信號和專設系統級驅動信號。由AC160機架配置而成。內含處理器卡件、DO卡件、通信卡件。

RTM：停堆接口矩陣模塊，采用選擇性的“四取二”，輸出至停堆斷路器。

2.2 編制路徑框圖

PMS傳感器信號同時進入同一序列內的兩個BPL，與設定值比較后產生部分停堆信號，信號送至本序列LCL，同時通過HSL送往別的序列。LCL接收8個子序列的部分停堆信號，將從同一個序列兩個子序列中接收的信號“2取1”后進而產生一個序列停堆信號，LCL對產生的4個序列停堆信號進行“4取2”后再輸出一個停堆信號，觸發本序列的停堆斷路器，停堆斷路器本身也采用“4取2”布置，一個序列的停堆斷路器打開不會導致控制棒電源斷開。

根據上述系統結構特點，將功能塊用方框圖連接起來，得出系統的停堆路徑框圖，如圖1所示。

2.3 故障模式分析

結合PMS停堆路徑框圖，對以AC160機架的配置而成的功能塊BPL和LCL，采用假定單一故障引起“拒動”或“誤動”這兩種故障模式，分析其對系統停堆功能的影響；而對非AC160機架的功能塊，則采用功能失效的故障模式來展開分析。

2.3.1 BPL故障模式分析

1）BPL故障拒動

若一路BPL內某一設備故障，如處理器停止工作，致使該BPL在對應現場變量達到反應堆停堆限值卻無法輸出相應的部分停堆信號，則序列內部冗余子序列中的BPL將執行其安全相關功能，不會阻止系統功能的執行，系統邏輯仍然保持“4取2”，但序列內部冗余喪失。

2）BPL故障誤動

若一路BPL內某單一故障，如模擬量輸入卡件精度漂移導致信號先觸及設定值，導致該BPL觸發一虛假停堆信號，由于在LCL中將兩個子序列的信號“2取1”，故該序列將產生一個停堆信號，LCL將對剩下3個序列產生的信號進行“3取1”邏輯，系統冗余降級。如其他序列的設備無故障，LCL不會發出停堆信號，即不會觸發本序列的停堆斷路器。

2.3.2 HSL故障模式分析

BPL去往LCL的信號是通過HSL傳送的，具體為BPL的處理器上HSL總線連接至對應的HSL信號分配器上傳送出去。若一路BPL中處理器上的HSL總線發生故障，比如斷開，則該路BPL送往8個LCL的信號都將被標記為壞點，而所有LCL都將選擇其冗余的BPL作為有效輸入信號。系統功能仍然維持“4取2”，但序列內部冗余將喪失。

2.3.3 LCL故障模式分析

每個序列的LCL中設置了4 個停堆處理器（PM），PM1和PM3 處理器位于LCL-1，PM2 和PM4 處理器位于LCL-2，一個序列的停堆信號的“4取2”表決邏輯在這些處理器中進行。每個PM均由對應的數字量輸出卡件（DO）控制RTM中對應的繼電器UIR和SIR（UIR平常為得電，失電則驅動UV（欠壓）線圈觸發；SIR平常為失電，得電則驅動ST（并聯跳閘）線圈觸發）。其中，PM1控制UIR1和SIR1，PM2控制UIR2和SIR2，PM3控制UIR3 和SIR3，PM4控制UIR4 和SIR4。此外，每個停堆處理器包含一個硬件看門狗計時器（WDT）觸點，用于監測停堆處理器的運行狀態，處理器故障時對應WDT觸點動作將使對應的UV和ST線圈觸發。

1）LCL故障拒動

若某單一故障如DO卡件無法輸出，阻止了子序列內停堆信號的觸發，假定該故障發生在LCL-1中，此時LCL-2中的停堆信號都已觸發，即UIR2、UIR4、SIR2和SIR4都已觸發。則UIR1、UIR3、SIR2和SIR4中只需再有一個動作即可完成停堆觸發，即任何單一卡件故障，如某PM或DO卡件故障不會阻止反應堆停堆斷路器的觸發。系統邏輯仍然維持“4取2”。

2）LCL故障誤動

若某單一故障如停堆處理器停止工作,產生了虛假停堆觸發信號，則該LCL內對應UIR和SIR觸發，而其同一序列內冗余的LCL不會發出停堆觸發信號。假設故障發生在LCL-1中，而LCL-2中UIR2、UIR4、SIR2和SIR4都未觸發，該序列不會產生停堆輸出。系統邏輯仍然維持“4取2”，只是該序列內部LCL的冗余將降級。

2.3.4 RTM故障模式分析

每個序列共有兩個RTM，分別位于兩個BCC機柜中。當一個故障失效后，另一個RTM將承擔此序列停堆接口輸出功能，序列內部RTM的冗余降級。

3 系統維護對策

從本文第2部分的分析可以看出，PMS停堆功能塊BPL、HSL、LCL、RTM都滿足單一故障準則，設備可以運行到故障后再采取糾正性維修方法處理。若發生故障后確認是系統功能塊硬件損壞，用備件去更換是一種快速有效的方法。在備件更換過程中，采用如下方法能有效減少維護中對電站的影響。

3.1 旁路策略

在對單一故障進行維護的過程中，不能排除此時別的序列也發生故障，而剛好導致“4取2”滿足觸發停堆的條件。為降低此情況發生的可能性，三門核電PMS中可對相應故障通道采取旁路手段，將系統邏輯變為“3取2”。

3.2 BPL維護策略

AC160機架的卡件在插拔中會因不穩定狀況導致誤觸發產生，且帶電插拔可能造成卡件損壞。如BPL-1的輸入卡件損壞，則在確認BPL-2中沒有任何觸發或壞點產生時，可對BPL-1先斷電后再對其卡件進行更換。

3.3 LCL維護策略

LCL中的輸出卡件，其本身在邏輯上可靠性較高，故障時可以斷電后直接實行更換。

3.4 RTM更換

運行期間，當檢測到RTM損壞，需要更換時，需先從上游移除RTM的電源，并做好隔離監護，防止人員觸電事件發生。

4 結束語

本文結合PMS停堆功能的結構特點，通過故障模式分析方法推演PMS出現各種軟硬件故障時停堆功能的受影響情況，分析結果表明PMS停堆功能本身可靠性程度較高，據此制定的相應維護對策，為相關人員對PMS系統故障的維護具有一定的參考意義。