EPR核電機組反應堆保護系統(tǒng)T1試驗優(yōu)化研究

李 廣，萬 磊

(臺山核電合營有限公司，廣東 江門 529228)

國內第三代EPR核電機組屬于全球首堆項目，沒有成熟的維修策略和維修經驗，其反應堆保護系統(tǒng)(RPR系統(tǒng))結構復雜，根據概率安全分析(PSA)和故障模式影響分析(FMEA)，需要對RPR系統(tǒng)的儀表通道進行定期試驗，以保證儀表通道的可用性。而EPR核電機組RPR系統(tǒng)儀表通道多達1 089個，根據設計方提供的試驗原則，試驗周期為18個月，試驗時需要把相關的通道閉鎖，然后注入仿真標準信號并讀取邏輯中采集到的信號值，計算通道的實際誤差是否滿足標準，該試驗過程會導致儀表通道不可用時間過長，縮短了對應安全功能的可用時長。另外，頻繁實施的重復性試驗，可能損壞儀表接線，同時也增加了人因失誤的風險。

1 EPR機組RPR系統(tǒng)試驗原則

根據《核島電氣設備設計和建造規(guī)則》(RCCE—2005)規(guī)定和RPR系統(tǒng)FMEA分析，應定期對RPR系統(tǒng)的設備進行試驗，確保RPR系統(tǒng)功能的可用性和可靠性。試驗以部分重疊的方式進行，即對儀表、信號調制設備、邏輯處理單元和執(zhí)行機構分別進行試驗。進行這種部分重疊的獨立分段試驗是為了避免執(zhí)行機構多次動作，同時保證試驗覆蓋的完整性。RPR系統(tǒng)是基于計算機控制的數字化儀控系統(tǒng)，因此可以通過以下方式進行試驗。

(1)自檢功能，在系統(tǒng)運行期間自動執(zhí)行自檢序列，主動檢測設備故障。這些功能可以通過硬件模塊來實現 (例如，輸入/輸出模塊的自檢、處理模塊的看門狗等)，或在CPU和通信模塊上運行的系統(tǒng)軟件中實現 (例如，網絡通信監(jiān)控、內存自檢等)；以及作為應用軟件中的特定功能 (例如，偏差監(jiān)視等)。自檢功能可以立即或在早期發(fā)現故障，且對系統(tǒng)運行無影響。當自檢功能檢測到系統(tǒng)故障時，會在人機界面上發(fā)出報警通知主控室操縱員。

(2)定期試驗，由維修人員定期執(zhí)行。定期試驗就是為了發(fā)現自檢功能中無法檢測的設備故障，包括：1)從傳感器或外部系統(tǒng)到邏輯輸入的信號路徑；2)從邏輯輸出到執(zhí)行機構控制模塊或外部系統(tǒng)的信號路徑。必須通過“部分重疊”的方式進行試驗：①輸入通道試驗必須覆蓋來自傳感器 (或源系統(tǒng))的完整鏈，包括傳感器或源系統(tǒng)、輸入信號調節(jié)設備、信號分配設備，到功能圖中的信號點；②輸出通道試驗必須覆蓋從功能圖中輸出信號、硬邏輯、繼電路回路，到執(zhí)行機構控制模塊或外部系統(tǒng)。

除了自檢功能外，還必須檢查應用軟件的完整性，①軟件下裝后，需要驗證每個處理模塊上的軟件；②定期強制啟動CPU自檢，檢查應用軟件的完整性和與CPU的適配性。

RPR系統(tǒng)相關的傳感器到執(zhí)行機構的信號流見圖1，同時圖1也給出了自檢功能和定期試驗之間的部分重疊。

圖1 RPR系統(tǒng)試驗原理Fig.1 The test principle of the RPR system

RPR系統(tǒng)T1試驗屬于輸入回路試驗的一部分，目的是保證從信號調制設備的傳感器輸入到邏輯處理單元中的采集信號傳輸功能正常。T1試驗的驗收準則是：①開關量信號能夠根據所輸入的仿真信號在處理單元采集處正確翻轉；②對于模擬量信號(一般為電流信號)，包括信號調制設備、硬接線連接以及處理單元輸入卡件在內的完整采集鏈路的電流實測誤差應小于理論的允許誤差。開關量仿真是通過專用的配置軟件和通信工具連接開關量信號調制卡件(SBC1)直接對輸出信號進行設置。電流標準信號一般取4 mA、12 mA和20 mA三個值進行仿真輸入，因此不管模擬量傳感器是何種類型，只要其變送器輸出的是標準電流信號，則其T1通道試驗驗收準則中的允許誤差值都是一樣的。

2 RPR系統(tǒng)T1試驗問題及優(yōu)化

2.1 RPR系統(tǒng)T1試驗問題

RPR系統(tǒng)的輸入信號類型包括開關量、模擬量、溫度和主泵轉速，對應的各類型通道數量見表1。原始設計中RPR T1試驗是逐個通道進行，主要步驟包括：1)在下游邏輯中閉鎖該通道，防止試驗過程中設備誤動；2)在信號調制設備前端注入標準信號；3)在DCS上記錄測量值，并計算偏差，和標準進行比較；4)解除邏輯中的閉鎖，恢復傳感器通道可用。根據其他項目經驗，每進行一個通道的試驗，平均需要20 min(見表1)。進行所有通道試驗需要用時21 780 min，假如每天試驗時間6 h，則需要60個工作日才能完成所有試驗。即使EPR核電機組的RPR系統(tǒng)是四列分布，采取了大量的四取二/四取三邏輯，但是因儀表通道試驗的原因，也將導致長時間的邏輯降級。

表1 RPR系統(tǒng)輸入通道Table 1 The RPR input channel

2.2 RPR系統(tǒng)T1試驗優(yōu)化方案

為解決上述問題，我們分析了RPR系統(tǒng)信號采集的卡件的故障模式(見表2)，根據分析結果，RPR系統(tǒng)儀表通道定期試驗的目的主要是發(fā)現“信號凍結”的通道故障模式。

表2 RPR系統(tǒng)信號采集卡故障模式分析Table 2 The failure mode analysis of the signal acquisition card in the RPR system

對于“信號凍結”的故障模式，我們研究了RPR系統(tǒng)輸入信號特點和機組運行的特點，把RPR系統(tǒng)輸入信號分成以下四類。

類型一：針對冗余信號 (開關量和模擬量)，因在一個燃料循環(huán)內會受到機組狀態(tài)變化引起的信號變化(對于模擬量，變化大于15%)，所以可通過偏差檢測進行管理。因冗余信號具有自動偏差檢測功能，故這類信號通道不需要定期試驗。實際上，連續(xù)執(zhí)行的偏差檢測涵蓋了所有故障模式，并且隨機組狀態(tài)變化的信號 (開關量信號的狀態(tài)變化和模擬量的高達15% 的狀態(tài)變化)可以自動檢測出“凍結信號”。

在RPR保護系統(tǒng)邏輯設計中，當前傳感器的采集值與冗余傳感器之間的第二大值相差超過5% 時，自動偏差檢測觸發(fā)報警。最壞的情況是“不變化信號”等于第二個最大值5% (見圖2中的傳感器2)并且至少一個冗余傳感器比第二最大值低5% (見圖2中的傳感器3和4)，在這種情況下，冗余信號之間的偏差最大，但不會產生偏差檢測報警。因此，傳感器3和4的值 (獲得的值比不變化信號傳感器低10%)必須比不變化值高5%，這就是變化量15%的由來。根據這種最壞情況的假設，偏差檢測的試驗標準是測量范圍15% 的變化，以確保“不變化信號”值的偏差檢測。

圖2 傳感器初始狀態(tài)Fig.2 The initial state of sensor

對于開關量儀表，偏差檢測的條件則是信號狀態(tài)變化。

類型二：針對在一個燃料循環(huán)內會受到機組狀態(tài)變化引起的信號變化 (開關量和模擬量，對于模擬量變化大于5%)。試驗方法是在兩個預定義時刻檢查所獲得的測量值，這可以檢測出“凍結信號”。該方法依據采集信號的不確定度，找到“凍結信號”的最小變化量。在RPR系統(tǒng)不確定性分析中，信號調制設備和信號采集設備引起的最大不確定度不會超過1%。考慮到不確定的最大值，則測量值的最大變化是2%。另一方面，由于DCS上顯示的是測量值的四舍五入值，這里也引入了另一個不確定度，兩個連續(xù)測量之間的最大不確定度對應于最后一位數字的值，因為對于每個顯示，最大四舍五入值是上半位數或下半位數。保守地說，這種不確定性為測量范圍的2%。由于這兩個不確定度不相關，應以線性方式累加，總不確定度為測量范圍的4%。因此，出于保守性考慮，對類型二的模擬量信號，其標準設定為測量范圍的5%。關于開關量信號，類型二的標準是信號狀態(tài)的變化。

類型三：只針對于模擬量信號。該試驗利用傳感器校驗或功能試驗引起的測量值的變化，以檢查所獲得的信號是否如預期的那樣變化。

類型四：針對上述三種情況未涵蓋的傳感器。需要在信號調制設備前注入信號，該類型的規(guī)模應盡可能減少。

對RPR四類信號的分類判斷流程，如圖3所示。

圖3 RPR輸入信號類型判斷流程Fig.3 The identification process for the type of RPR input signal

2.3 RPR系統(tǒng)T1試驗優(yōu)化效果

根據2.2章節(jié)的原則，重新分析RPR系統(tǒng)的1 089個輸入信號，分析的結果見表3。需要進行定期試驗的類型四的儀表通道共計128個，是原始數量1 089個的11.75%，該類型儀表通道試驗時間大約為7個工作日，極大縮短了RPR儀表通道不可用時間。根據現場的實際運行反饋，類型二的76個儀表通道在一個燃料循環(huán)內的變化情況均滿足驗收準則，未出現通道凍結的情況。

表3 RPR系統(tǒng)輸入信號分類Table 3 Grouping of RPR system input signals

3 結束語

國內第三代EPR核電機組屬于首堆工程，在一些項目上沒有成熟的維修策略和維修經驗可參考，需要用創(chuàng)新性思維解決運維過程中的問題。針對RPR系統(tǒng)T1試驗的問題，我們通過科學的分析，研究了RPR系統(tǒng)結構和輸入信號的特點，利用數字化儀控平臺的技術優(yōu)勢，把RPR系統(tǒng)輸入信號劃分為四類，分別按照不同的方法進行驗證，在確保RPR輸入信號的可靠性和可用性的同時，極大縮短了RPR儀表通道不可用時間，提高了工作效率。