核電廠EDG數字化保護系統定期試驗設計

王慶明，張國勝，劉靜波，王曉衛

（北京廣利核系統工程有限公司，北京 100094）

0 引言

核電廠應急柴油發電機組（Emergency Diesel Generator，簡稱EDG）作為重要后備電源，為反應堆安全停堆所需的中低壓核輔助設備提供電源，防止由于外部交流電源喪失而導致重要設備損壞，從而保障人身和環境安全。EDG保護系統作為神經中樞，直接影響著EDG的整體可靠性。

目前，CPR1000核電站EDG保護系統多為國外采購的模擬儀控系統，大多使用模擬元器件搭建，運行中呈現定值漂移、故障率高、自診斷能力差等特點，面臨備件停產無可替代的局面，嚴重影響著EDG的可靠性。隨著先進數字化技術的廣泛應用，儀控系統迎來巨大變革，數字化儀控技術逐漸應用于柴油機領域。與傳統模擬儀控系統的結構不同，數字化儀控系統是軟硬件的綜合體，集成度更高，可維護性和可擴展能力更強。數字化儀控系統在應用技術、開發手段、故障失效模式、狀態監測、可靠性分析和定期試驗方式等方面，均與傳統模擬儀控系統存在較大區別。

本文目標是通過系統地分析數字化保護系統定期試驗相關法規標準，結合當前EDG整體定期試驗策略，通過分析設計要求、論述設計過程、對比和優化試驗策略，最終提煉出一套完整的EDG數字化定期試驗方案。

1 EDG整體定期試驗策略

根據國內外相關法規標準要求，為驗證EDG的各項性能指標，確保系統可靠性和可用性，需要進行定期試驗。據統計，現有的核電站EDG機組僅執行整體定期試驗，未針對基于模擬技術的EDG保護系統進行專項定期試驗。

國內壓水堆核電廠EDG定期試驗包括低功率試驗和滿功率試驗兩種。低功率試驗通過切斷外部正常電源并切換至內部電源來進行，用以驗證柴油發電機組的啟動順序以及電壓和頻率調節均能正確地履行其功能，試驗周期一般為兩個月一次。滿功率試驗通過母線將柴油發電機組并網到廠外輔助電網來進行，用以驗證柴油發電機組向專設應急安全設備提供額定功率的能力，試驗周期一般為每個換料周期一次。

核電廠的特殊性對EDG提出了快速啟動的要求，其試驗也分為慢啟動試驗和快啟動試驗。慢啟動試驗證明EDG從備用條件下正常啟動的能力，驗證電壓和頻率達到設計要求。

快啟動試驗證明EDG從備用條件啟動并驗證在可接受的時間內達到電壓和頻率限值。隨著國內外核電業界的實踐、優化論證、安全分析并最終獲得法規許可，國內壓水堆核電廠EDG慢啟動試驗周期確定為每個月一次，快啟動試驗確定為每6個月一次。

上述試驗為EDG整體定期試驗，未提及EDG保護系統的專項定期試驗，但原則上可以一定程度上覆蓋或簡化EDG保護系統的專項定期試驗。目前，核電行業內針對EDG保護系統數字化儀控系統應用后的定期試驗方案暫無明確統一的論述，概念相對模糊，存在遺漏部分系統失效模式的可能性。

2 EDG保護系統定期試驗要求

EDG保護系統作為EDG機組整體儀控系統的重要組成部分，主要實現EDG安全保護功能，屬于重要安全系統設備。因此，EDG保護系統需要滿足國內外核電廠安全系統定期試驗相關的法規標準要求。IEEE 603中規定，安全系統設備應在保持安全功能執行能力的同時，需要具備試驗和校準能力[1]。IEEE 338[2]和GB/T 5204[3]規定安全系統的定期試驗與監測是為了實現預期系統的可用性；IEC 60671要求安全系統要能夠通過監視試驗，確保I&C系統功能能力和相應的控制路徑[4]。HAF 102中規定，設計必須允許在運行期間對于從傳感器到最終的執行元件的輸入信號的所有環節進行試驗[5]。因此，EDG保護系統定期試驗過程不能影響系統安全功能，還應覆蓋信號輸入、處理和輸出的所有環節。

和睦系統（FirmSys）作為國內具備完全自主知識產權的核電站安全級數字化儀控系統，已經成功應用于EDG儀控領域。因此，有機地結合EDG整體定期試驗，確定EDG保護系統的定期試驗策略，有利于確保系統保護功能的有效性，降低系統拒動風險，是必要的設計環節。

3 試驗設計

EDG保護系統定期試驗方案的確定與平臺自診斷設計和系統架構密切相關。本文將通過分析系統的可靠性、系統架構、系統功能、信號流向、國內外法規標準的要求，確定一種定期試驗策略，在EDG整體定期試驗的基礎上簡化保護系統定期試驗方案。

3.1 系統可靠性分析

可靠性定義為給定狀態下和給定時間間隔內，某物項或系統完成所要求使命的概率。基于數字化技術的和睦系統在應用于EDG保護系統時需要進行可靠性分析。可靠性分析需要在平臺產品的基礎上，依據系統架構和功能分析出的所有部件失效模式、系統狀態、失效影響、補償措施、自診斷監視方式和定期試驗等，以確定系統在正常運行時，所有單一故障是否可探測，是否存在單一故障會阻止系統的保護動作。可靠性分析流程如圖1所示。

圖1 可靠性分析流程Fig.1 Reliability analysis process

基于數字化技術的儀控系統通常采用自診斷和定期試驗相結合的方式覆蓋所有的系統失效模式，確保系統整體可靠性。IEC 60671[4]中規定，自診斷和監視可以代替定期試驗，系統需要分析識別可診斷的失效模式。對于不可診斷的殘余失效模式，或對安全功能沒有影響，或者被定期試驗覆蓋。綜上所述，EDG保護系統的失效模式可以通過自診斷來檢測，對于自診斷無法檢測的失效模式，則需要通過定期試驗來檢測。

3.2 分析信號流向

EDG保護系統的主要功能是接收現場傳感器信號或遠程/就地啟停指令，經過邏輯運算，輸出EDG機組保護動作信號；系統配有操作按鈕和旋鈕開關，實現就地手動控制柴油機啟動或其它設備；系統還需將相關報警和運行參數發送至顯示單元。

結合和睦系統平臺的產品和EDG保護系統的典型功能，信號流向如圖2所示。

圖2 EDG保護系統的信號流向Fig.2 Signal flow of EDG protection system

3.3 確定試驗策略

HAF 102中規定，設計必須允許對于從傳感器到最終的執行元件的所有環節進行試驗[5]。因此，定期試驗范圍要覆蓋執行1E 保護功能的所有設備，包括傳感器、邏輯處理和執行器；試驗可采用分段交迭試驗的方法，確保能夠完全覆蓋上述設備。

結合上述信號流向圖，在系統可靠性分析的基礎上，結合平臺自診斷和不可診斷的失效模式，采取保守的設計原則，系統設計了對應的T1、T2、T3 3個分段交迭的試驗。另外，為響應EDG快速應急啟動時間的要求，系統需要設計專門的響應時間試驗。

T1試驗主要驗證采集通道是否發生漂移，具體試驗方法包括交叉檢驗和通道驗證。交叉檢驗驗證單個通道相比冗余通道是否發生漂移，通道驗證針對所有通道發生漂移的極低概率事件，對單通道注入標準信號源進行識別是否發生預期值之外的偏差。

圖3 EDG保護系統的定期試驗分段Fig.3 Segments of EDG protection system periodic test

通過分析EDG保護系統邏輯，不存在冗余保護通道的模擬量數據采集，故無須執行交叉檢驗；現有的EDG整體定期試驗無法覆蓋通道驗證。因此，T1部分僅需要執行通道驗證，根據產品可靠性分析數據，通道驗證的周期一般為一個換料周期即18個月。

T1模擬量通道驗證的原理圖如圖4所示。

圖4 通道驗證試驗原理圖Fig.4 Schematic diagram of channel verification test

具體試驗時，標準信號源通過試驗端子注入數據，并通過通道驗證試驗表格讀取數據并自動完成偏差比較。偏差比較的算法如下：

偏差比較的允許誤差范圍為（-σ, +σ），其中σ值一般為信號工程量程的0.25%。如果|ΔE|＜σ，則試驗結果OK；如果|ΔE|＞σ，則試驗結果NG。

T2試驗面向數字化處理器內部的保護邏輯進行試驗，通常使用維護試驗工具向處理器注入試驗數據，回讀邏輯計算結果，并與預期值進行比較來驗證邏輯的正確性。依據系統和平臺產品可靠性分析結論，CPU自診斷能夠覆蓋所有影響安全功能的失效模式。另外，數字化保護系統依托具備強大自診斷功能的數字化處理器CPU，系統自診斷作為處理器的后臺程序自動執行，覆蓋到CPU硬件設備（處理器、存儲器、看門狗等）。由于系統設備共享CPU和存儲器，因而不會出現同一個CPU內的單個功能或部分邏輯運算錯誤而其它邏輯運算正常的現象。但根據核電行業內經驗和保守做法，通常采用選取典型邏輯或定期重啟處理器的方式來執行T2試驗。由于EDG本身的特殊性，EDG整體定期試驗頻率一般為1個月，涵蓋處理器的保護邏輯，因而T2試驗無需單獨執行。

T3試驗用于驗證系統輸出到現場設備或現場設備輸入端和第三方接口的正確性。由于EDG本身的特殊性，EDG整體定期試驗頻率一般為1個月，涵蓋現場實際設備動作和第三方接口相關的保護信號試驗，操作員可以通過監視信號報警狀態來檢查接口信號的變化。因此，T3試驗無需單獨執行。

響應時間試驗用于驗證EDG保護系統本身的響應時間，由于EDG快啟動試驗涵蓋整體響應時間的驗證，已涵蓋EDG保護系統的響應時間。因此，響應時間試驗無需單獨執行。

除此之外，由于EDG保護系統使用到一定數量的開關、旋鈕和指示燈等設備，系統需要設計燈試或開關試驗，以確定設備的可用性。燈試試驗需設計專門的燈試按鈕和試驗邏輯，需要配合邏輯組態來完成。開關試驗建議在EDG整體定期試驗時進行，對EDG整體定期試驗未覆蓋的旋鈕進行單獨操作，試驗時需要閉鎖相應的動作輸出，以免產生非預期動作。

3.4 試驗注意事項

定期試驗功能設計時，不應影響系統執行安全功能；定期試驗進行時，如影響被試驗對象的功能，應采用旁通或閉鎖的方式，防止誤觸發現場設備，并在控制室內提供指示。

4 結束語

本文首先分析了當前核電廠應急柴油發電機組整體定期試驗的特點；然后，基于和睦系統平臺的可靠性理論分析，充分利用數字化優勢，實現了定期試驗的分類和分級；最后，通過分析對比，去設計一種適用于應急柴油發電機領域的數字化保護系統定期試驗策略并進行論述。旨在確定一種簡化、嚴謹、可靠的定期試驗方案并獲得實際應用，為后續數字化改造后的應急柴油發電機保護系統定期試驗方案的確定提供技術參考。該EDG保護系統定期試驗方案充分考慮了EDG機組整體定期試驗的頻率和覆蓋范圍，不僅可以降低試驗人員的工作負擔，還可有效避免設計遺漏，確保EDG保護功能的有效性。