AP1000機組EDS1故障對ComQ與Ovation平臺間的信號傳輸及機組控制的影響分析及優化

摘要：海陽核電廠一期工程兩臺機組采用AP1000核電技術。本文假定EDS1發生故障，重點從PMS機柜供電、ComQ與Ovation平臺間信號隔離模塊失電影響以及PLS側信號聯鎖邏輯開展分析，并給出可能避免此類影響發生的解決方案。

關鍵詞：ComQ平臺，Ovation平臺，信號傳輸，故障分析

1引言

AP1000保護與安全監測系統（PMS）主要用于監視機組關鍵參數，探測機組異常狀態，通過觸發緊急停堆及相應專設安全設施，使機組處于安全狀態，該功能由ComQ平臺執行。電廠控制系統（PLS）主要用于完成反應堆及汽機相關控制功能，該功能由Ovation平臺執行。ComQ與Ovation平臺間信號傳輸通過隔離模塊完成單向傳輸，而信號隔離模塊則由EDS1和EDS2通過PMS系統SOE機柜提供供電。EDS故障將導致ComQ與Ovation平臺間信號傳輸異常，從而對機組控制產生影響。

2系統介紹

AP1000儀控系統主要由ComQ平臺和Ovation平臺組成，兩個平臺間的接口涉及EDS系統供電，以下將分別對此進行介紹。

2.1 ComQ平臺

保護與安全監視系統基于ComQ平臺實現，屬1E級，設備具有抗震要求。該平臺配置有四個冗余序列，基本停堆及專設驅動邏輯為四取二。主要用于完成監測電廠關鍵參數、觸發反應堆停堆、驅動專設安全設施動作以及事故后監視等安全功能。

2.2 Ovation平臺

電廠控制系統、數據處理和顯示系統等基于Ovation平臺實現，屬非1E級。Ovation硬件主要由控制器、操作員站、工程師站、歷史站以及I/O模件等組成。主要用于完成電廠參數控制、為操縱員提供人機接口、為維護人員提供人機接口以及電站參數歷史信息的存儲和調用等功能。

2.3 EDS供電系統

PMS系統A序列和C序列的SOE機柜均由EDS1供電，PMS系統B序列和D序列的SOE機柜均由EDS2供電。

3ComQ與Ovation平臺間的信號隔離模塊失電故障影響

ComQ和Ovation兩個平臺通過隔離器實現彼此間信號的傳輸，以支持各自系統完成其相關功能。信號傳輸方式主要如下圖所示：

由于PMS系統A序列和C序列的SOE機柜均由EDS1供電，因此EDS1故障導致PMS系統A和C列SOE機柜同時失電，由SOE機柜供電的信號隔離模塊均失電。

3.1 ComQ至Ovation平臺的信號傳輸

3.1.1現場傳感器信號直接送至Ovation

現場傳感器信號未經處理器補償計算便送往保護和安全監視系統處理的同時，通過I/I隔離器將4-20mA標準電流信號送至電廠控制系統用于完成控制功能。該隔離器由事故序列記錄機柜供電，為非1E級直流供電。

EDS1故障失電將導致A和C序列SOE機柜失電，從而導致隔離器失電，PMS經隔離器送至PLS的信號變為0mA，此類信號由于超量程變為壞點。主要涉及以下信號：

A和C序列穩壓器壓力信號由15.41MPa 瞬間降為10MPa，PLS側的信號中選值降至低于報警值，備用電加熱器全部自動投入運行，噴淋閥被關閉，穩壓器壓力升高;隨后，A和C序列穩壓器信號變為壞點，導致備用電加熱器和噴淋閥切換為手動控制，操縱員手動控制穩壓器壓力;

A和C序列SG窄量程液位信號變壞點，基于三取中邏輯判斷，主給水調節閥和啟動給水調節閥切換至手動控制，直至A和C序列的EDS恢復供電;

A和C序列SG蒸汽管線壓力信號變壞點，基于三取中邏輯判斷，大氣釋放閥切換至手動控制，直至A和C序列的EDS恢復供電;

3.1.2現場傳感器信號經ComQ處理后送至Ovation

現場傳感器信號經ComQ處理后，部分信號需發送至電廠控制系統用于完成控制功能。這些信號通過E/I隔離器和D/D隔離器發送至電廠控制系統。

E/I隔離器由事故序列記錄機柜供電，為非1E級直流供電。若EDS1失電，則會造成A和C序列的此類隔離器失電，導致隔離器輸出信號值異常。主要包括以下信號：

A和C序列PR功率瞬間由98%變為0且變為壞點，由于PLS側邏輯為剔除差異最大一個序列后的三取中，故其輸入核功率瞬時降為0，導致控制棒切換至手動控制;

A和C序列的RCS平均溫度變為壞點，導致ALR自動退出。

穩壓器液位信號由正常值瞬間降至低于下限且變為壞點，短時造成穩壓器液位低，導致穩壓器自動控制功能喪失。

D/D隔離器不由SOE機柜供電，因此若EDS1失電，并不會造成該隔離器失電，包括影響E/I信號質量的ICP處理器健康狀態信號。

3.1.3ComQ信息通過網關送至Ovation

ComQ傳輸至Ovation的狀態點、報警、顯示、及計算機點等對響應時間要求不很高的信號通過它們間的網關來進行傳輸，通過光纖實現兩個平臺間的信息單向傳輸。由于網關信號傳輸均與EDS無關，因此若EDS1失電，對此類信號傳輸無影響。

3.1.4ComQ的保護驅動信號通過高速數據總線發送至事故序列記錄子系統打時間標記并送至Ovation

保護和安全監測系統運行過程中產生的單序列局部停堆信號、系統級停堆信號及系統級專設驅動信號會通過高速數據總線送至事故序列記錄子系統打時間標記，并通過Ovation的事故序列記錄卡件將信號傳輸至服務器進行存儲。

若EDS1失電，則將導致A和C序列的SOE機柜失電，故A和C序列的事故序列記錄功能喪失，但不影響安全功能。

3.2Ovation平臺至ComQ平臺的信號傳輸

3.2.1 Ovation平臺發送信號至ComQ平臺用于設備現場設備控制

電廠控制系統將對就地設備的控制信號通過光纖發送至ComQ平臺的遠程節點控制器，繼而發送至設備接口模件，與保護和安全監測系統對就地設備的控制信號一同完成對就地設備的控制功能。

若EDS1失電，則僅造成PLS機柜喪失冗余供電，并不會影響其正常執行控制功能，故該功能不會受影響。

3.2.2 Ovation平臺發送現場設備狀態至ComQ平臺

部分非1E級就地設備將狀態反饋信號先送至電廠控制系統，然后通過D/D隔離器送至保護和安全監測系統用于相關的保護功能驅動。

若EDS1失電，則僅會造成PLS機柜喪失冗余供電，并不會影響其正常執行控制功能，故該功能不會受影響。

4基于假定故障現象產生影響分析的優化方案

方案一：將PMS系統四個序列SOE機柜共享兩路EDS供電改為由四個單獨的EDS進行供電。如單獨一個EDS失電，僅有一個PMS序列的SOE機柜及信號隔離模塊失電，不會對機組工藝系統控制造成影響;

方案二：將PMS系統SOE機柜失電報警信號作為該PMS序列發送至PLS側信號的質量位信號。由PLS充分利用該信號對PLS側信號質量位進行輔助判定，且PLS對該質量位信號的采集速度及響應優先于通過I/I隔離器和E/I隔離器傳輸的工藝信號，確保如SOE機柜發生斷電情況下，PLS側在收到工藝信號變化前優先通過質量位信號將PLS側相關信號變為壞點，PLS中選控制邏輯優先將變為壞點的工藝信號剔除，避免影響控制功能;

方案三：將由PMS系統經信號隔離模塊送至PLS側的模擬量冗余信號中值選擇邏輯進行優化。由于隔離模塊失電后傳輸至PLS側的信號將變為0mA，因此可將此類冗余信號選擇邏輯由中值選擇改為四取第二大，即使出現兩個序列SOE機柜同時失電的情況，選擇邏輯也可將異常信號自動剔除，從而確保控制輸出不受影響。

5小結

ComQ平臺主要用于實現反應堆保護及事故后監測功能。Ovation平臺主要用于完成反應堆及汽機相關控制功能。1E級設備平臺與非1E級設備平臺間通過隔離器實現數據單向傳輸。作為ComQ平臺，除僅接收一小部分設備狀態反饋信號外，其安全功能的執行幾乎不依賴于非1E級信號，從而能更加獨立可靠的完成其安全功能。兩個平臺間信號絕大部分是由保護系統送至控制系統。因此，假定的EDS1斷電對保護功能執行無直接影響，但A和C兩個序列隔離器失電，導致PLS側控制功能受影響。本文提出三種優化解決當前EDS失電帶來問題的解決方案，對后續問題解決提供思路。

參考文獻

[1]冀煥青. AP1000核電站數字化反應堆保護系統 [J]. 自動化與儀表. 2013 （02）

[2]林誠格. 非能動安全先進核電廠AP1000 [J]. 原子能出版社. 2008

[3]張淑慧，任永忠. AP1000核電廠儀控系統介紹 [J]. 自動化儀表. 2010 （10）

[4]李蔚，吳帆，王峰. AP1000全數字化儀控系統安全分析[J]. 電力安全技術. 2006 （06）

[5]周曉寧. AP1000與ERP儀控系統平臺對比分析 [J]. 電力與能源. 2014 （12）

注：趙瑜龍：儀控維修處