核電廠儀表質量位應用及風險控制

王凱彬

福建福清核電有限公司 福建福清 350318

1 質量位

1.1 質量位概念

核電廠控制中，為了保證參與機組控制的儀表信號正確性，避免不必要的瞬態，設計上主要采取了兩種方式進行規避，一是通過比較選擇器比較自動剔出失真的信號，另一種就是通過設置質量位，當質量“好”時正常的參與控制，當質量“壞”時進行相應的安全性調整。

狹義的來說，質量位主要用于判斷儀表信號可用與否，當儀表信號不可用時，觸發質量位“BAD”信號，用于表決邏輯退化或觸發缺省值。

對邏輯量信號來說，其“質量位”可以理解為“繼電器”的常開觸點或常閉觸點，也就是產生缺省值。

1.2 質量位的產生

質量位的產生地點DCS一層機柜中實現，并且在IE級機柜和NC級機柜中均產生，以一個IE級傳感器為例，其在IE級控制中質量位判斷在1E機柜中進行，在NC級控制中質量位判斷在NC機柜中進行，圖1清晰的表示了質量位的產生地點[1]。

標準模擬量信號為4-20mA，通過在DCS一層CP處理器軟件中的質量位判斷模塊，當信號超出設定范圍即產生質量位“BAD”信號。設定范圍在1E級和NC級可以修改，通常為2%或5%。

常見的質量位產生原因有如下幾種：超量程、變送器失電、變送器故障、卡件故障、信號線路斷線。

2 核電廠質量位應用

2.1 控制器置手動

當儀表失效質量位“BAD”觸發時，與該儀表相關的控制器將自動切至手動模式，其目的在參與控制的儀表已經不可信的情況下，將控制器置于相對“安全”的手動模式。如圖2所示，典型閥門控制，當參與其控制儀表故障時，閥門將自動切至手動模式。

2016年4月7日，某核電廠2號機組1070MWe運行，由于高壓加熱器6B正常疏水調節閥故障，該高壓加熱器的應急疏水閥處于開啟狀態，導致凝結水流量較正常狀態下相同功率水平大；當按計劃進行凝結水泵定期切換操作時，啟動備用狀態第三臺凝結水泵后，除氧器進水母管流量計（ADG001/002/003MD）超5000m3/h的量程，除氧器液位控制閥強制切換至手動模式[2]。

2.2 產生缺省值

當儀表失效時，為了系統置于安全狀態，會將該儀表在邏輯控制中的輸入值直接賦予“0”或“1”，(也有少量將模擬量輸入信號賦值為模擬量數值的，這個模擬量數值又去參與下游的閾值比較，如上一刻有效值)，該被賦予的“0”或“1”（或模擬量數值）即被稱為缺省值。如圖3所示，典型缺省值產生示意。需要說明的是，同一塊儀表，對不同的邏輯輸入其缺省值可能是不一樣的。

2015年3月29日，某核電廠化學與容積控制系統容積控制箱滿水導致液位計2RCV011/012MN顯示”xxxx”失效，液位計失效并未啟動容控箱自動補水功能和上充泵吸入口自動切換，原因分析如表1：

表1 容積控制箱液位計主要功能

在容積控制箱液位計失效后，觸發啟動容控箱自動補水功能和上充泵吸入口自動切換的缺省值均設為“0”，即“不觸發”，從而未觸發上述自動動作。

2.3 邏輯退化

在核電廠邏輯設計中，兼顧誤動率與拒動率的綜合考慮，大量采用了2/4、2/3、1/2等邏輯表決形式，在儀表失效的情況下，同樣要考慮誤動率與拒動率的問題，尤其是反應堆保護系統，設計時需要采取故障安全準則。

（1）反應堆保護邏輯退化。反應堆保護邏輯退化的核心是兼顧拒動與誤動風險，因此其遵循如下兩條退化原則：

①2/4→2/3→1/2→直接觸發

表2

②參與運算的任一儀表失效，運算結果遵循原則1退化。原則2的意思當用于邏輯表決的信號是由不同的儀表計算的結果時，任一參與計算的儀表失效都將直接導致該信號失效，信號失效后也按照“2/4→2/3→1/2→直接觸發”的原則進行退化.

以M310核電廠蒸汽管線流量高信號為例，GRE023/024MP參與了每一條VVP管線的蒸汽流量高信號運算，因此當GRE023/024MP失效時，相當于3條VVP蒸汽管線流量高信號均失效，根據2/3的邏輯退化原則，將會直接觸發蒸汽管線流量高的信號，如圖4所示。

特殊的，對核儀表源量程和中間量程儀表保護來說，只有兩個儀表，與上述退化原則稍顯不同，其邏輯退化遵循如表3：

表3 邏輯退化結果

2015年3月6日，某核電廠3號機處于熱停堆狀態，18：59：41，3號機主控出現落棒報警，后經確認控制棒落棒。電廠經檢查與分析認為，事件的原因是在進行核儀表系統（RPN）參數修改將核儀表3RPN030MA置于TEST位置，此時超溫超功率△T的反應堆保護由3取2邏輯退化為2取1，與此同一時間，儀控人員在處理2號反應堆冷卻劑泵3RCP002PO轉速探頭故障，導致超溫超功率△T反應堆保護又由2取1邏輯退化為直接觸發，反應堆保護動作導致停堆落棒[3]。

（2）ATWT邏輯退化。ATWT（未能緊急停堆的預期瞬態）作為正常給水流量喪失情況下的反應堆保護緩解系統，在核電廠RCC-PII類工況設計中有非常重要的作用，為了避免共模故障，該保護邏輯與反應堆保護邏輯不在同一平臺實施。圖5清晰說明了ATWT的邏輯圖退化情況。

2016年6月24日，某核電廠2號機組處于功率運行模式，在升功率至30%FP時，因DCS供貨商對主給水窄量程流量表超量程質量位設置了上限和下限觸發，在升功率過程中，主給水窄量程流量表超出儀表上限而觸發主給水窄量程流量表質量位信號，疊加核功率大于30%FP信號，導致反應堆自動停堆。

（3）DAS邏輯退化。DAS是反應堆保護多樣化系統，用于提供安全級反應堆保護系統平臺失效時的反應堆保護。安全級反應堆保護系統邏輯退化的核心是避免拒動，作為后備保護的DAS，在進行邏輯退化設計時則主要是避免誤動，因此DAS的邏輯退化原則如下：

①2/4→2/3→2/2→不觸發；

②1/2→1/1→不觸發；

③參與運算的任一儀表失效，運算結果遵循原則1或2進行退化。

2015年5月25日，某核電廠2號機組在一回路升溫升壓的過程中，由于DAS系統穩壓器壓力低4安注信號未閉鎖，由于DAS系統邏輯退化不觸發原則，該問題一直未被發現；當一回路壓力升至 10.86MPa.g，穩壓器壓力表 2RCP005、006、013MP達到量程進入低限，穩壓器壓力表質量位信號消失，儀表參與的保護開始生效，DAS穩壓器壓力低4信號觸發了DAS系統A列安全注入動作。

（4）質量位風險控制。統計2014年以來的執照運行事件，儀表質量位相關的執照運行事件達8起，福建福清核電廠結合經驗反饋和理論分析，采取如下措施對質量位風險進行控制，迄今未出現質量位觸發導致的事件或偏差，未效果顯著：

①編制質量位培訓教材，確保核電廠操縱員人員建立質量位知識和風險識別意識，并且在操縱員人員培訓和復訓過程中予以強化；

②設置合理的儀表質量位觸發設定范圍，確保不因系統運行工況導致質量位的觸發；

③儀表分散式布置消除共模隱患，如將ATWT中SG給水流量信號由此前同一通道修改為三個不同的通道；

④增加反應堆保護儀表質量位觸發報警和DCS畫面，確保質量位信號觸發后可以第一時間定位和分析原因；

⑤編制反應堆保護儀表質量位邏輯圖，便于快速進行儀表質量位影響范圍分析和風險控制；

⑥對低狀態下工藝狀態不穩定容易導致質量位觸發的主蒸汽流量表和汽輪機沖動級壓力表，通過技術變更增加停機和停堆信號閉鎖質量位下限功能，避免邏輯退化導致反應堆安全注入誤觸發。

3 結語

質量位是核電廠控制DCS化后的新概念，通過對經驗反饋的深入研究總結，全面理解質量位在核電廠中的應用及規律，建立質量位在內的儀表失效風險識別和控制意識；通過培訓、工具開發、技術升級等一系列措施，全面提升質量位風險控制能力，確保核電廠長期安全可靠運行。