核電廠安全系統定期試驗方案研究及平臺實現

李 菁，劉松林

（中國核電工程有限公司，北京 100840）

0 引言

核電技術是改善國內能源結構，應對世界氣候變化的有效途徑。數字化儀控系統（DCS）是對核電廠進行監視和控制的核心，其中的安全級DCS 部分需要完成事故工況下的安全停堆和事故后果緩解功能，對核電廠的安全可靠運行起到重要保障作用。

安全系統用于反應堆的安全停堆、堆芯余熱排出或限制預計運行事件和設計基準事故的后果[1]，反應堆保護系統是整個核電廠中最重要的安全系統之一，由安全級DCS設備實現。

根據GB/T 5204-2021《核電廠安全系統定期試驗與監測》中的要求，需要對安全系統的性能和功能進行定期試驗以驗證能否實現預期的系統可用性。雖然安全級DCS 平臺都具備自診斷功能，但本功能不能覆蓋安全系統存在的所有故障類型，無法替代定期試驗，必須制定全面的定期試驗方案，檢測自診斷范圍以外可能出現的故障，降低安全系統拒動的風險[2]。

本文基于中核集團自主研發的安全級DCS 平臺NASPIC，提出了一種全新的安全系統定期試驗方案。其定期試驗方案覆蓋范圍完整、技術先進，并提高了定期試驗的便利性。

1 安全系統定期試驗種類

在核電廠保護系統定期試驗的過程中，首先要明確定期試驗的范圍，然后對定期試驗的種類進行劃分。

保護系統的定期試驗范圍必須覆蓋從傳感器到保護邏輯、輸出信號、相關驅動裝置路徑上所有的邏輯部件。由于其試驗范圍涵蓋的路徑非常長，通過單次試驗無法完成全路徑的實驗目的，因而有必要對定期試驗進行拆分，通過分段試驗的方式，實現定期試驗的全部功能。

通過上述分析，將定期試驗種類分為：T1 試驗（傳感器通道試驗）；T2 試驗（邏輯功能試驗）；T3 試驗（DO 輸出信號到執行器的試驗）；響應時間試驗[3]。從圖1 中可以明確，本試驗方案與標準中的交迭試驗定義和要求是一致的，能覆蓋安全系統中整個保護功能邏輯的處理通道，確保安全系統定期試驗的完整性。

圖1 定期試驗的種類和范圍Fig.1 Types and scope of regular tests

圖2 RTS邏輯功能試驗Fig.2 RTS Logic function test

圖3 停堆斷路器配置方案Fig.3 Configuration plan for shutdown circuit breakers

圖4 PLM輸出閉鎖試驗Fig.4 PLM output blocking test

2 安全系統定期試驗方案

核電廠的安全系統按照序列A、B、C、D 的四重冗余組成，各個序列之間在實體、電氣和功能上都是相互隔離的，滿足獨立性要求[4]。此冗余設計方案可以保證安全系統在進行定期試驗時，保持系統對真實信號的響應能力，在必要時觸發被試驗通道的輸出。

對于不同的定期試驗類型，可分別在核電廠正常運行期間和停堆換料期間進行。

2.1 T1（傳感器通道）試驗

本試驗內容分為交叉檢驗和通道試驗兩部分。

2.1.1 交叉檢驗

交叉檢驗是在電廠正常運行時，對設置冗余測量通道的參數進行通道之間的交叉檢驗；另外，對每個通道中進入不同子組的相同信號也進行交叉檢驗[5]。

交叉檢驗無需信號旁通，無需輸入試驗信號和額外的試驗工具。在操縱員站的非安全級顯示單元上實時監測采集的數據，是否在預期范圍以內。如果發生故障和超預期的漂移，則會在非安全級顯示單元上產生報警。

交叉檢驗的過程不介入安全系統的正常運行，對電廠的可用性指標無影響。

2.1.2 傳感器通道試驗

傳感器通道試驗分為模擬量輸入通道可用性，及精度、開關量輸入通道可用性兩部分內容。

通過單個參數旁通面板上的開關將現場真實信號設置到“旁通”狀態，手動注入試驗信號，在MTS（維護試驗單元）的在線監視軟件上讀取該信號在進行閾值比較前的數值，并與期望值進行比對，判斷傳感器通道的可用性和精度（僅模擬量）。

為了降低試驗風險，T1 試驗在停堆期間進行，并且一次只能對一個測量通道進行試驗。如果該試驗信號通過隔離分配模塊傳輸至其他系統時，必須提前采取措施在其他系統中旁通該信號，以免試驗信號的注入導致其他系統的誤動作。

試驗完成后，先將傳感器通道的試驗端恢復為正常采集端，通過MTS 確認本傳感器信號開始正常采集以后，通過參數面板上的開關取消傳感器的“旁通”狀態，并斷開MTS 與ALU（信號采集及邏輯處理單元）的連接，試驗完成。

2.2 T2（邏輯功能）試驗

邏輯功能試驗是針對ALU 的內部邏輯以及不同序列之間通信進行的試驗，包括停堆（RTS）邏輯功能試驗和專設安全設施驅動系統（ESFAS）邏輯功能試驗。

T2 試驗與T1 試驗在信號采集及邏輯處理單元的I/O 輸入處實現重疊。

2.2.1 RTS邏輯功能試驗

RTS 邏輯功能試驗是驗證ALU 中反應堆停堆邏輯功能的正確性，試驗范圍包括輸入模塊、停堆邏輯處理模塊和信號輸出模塊。對于ACP1000 的安全系統，其反應堆保護系統為四序列冗余設計，每個序列中還設計了兩個冗余子組ALU-X1 和ALU-X2 同時實現停堆功能。

RTS 邏輯功能試驗以序列為單位，逐個進行。試驗前，先旁通被試驗的序列，此序列不再執行安全系統的保護功能，其旁通信號傳遞給其他3 個序列使安全系統可以正常執行保護功能，這樣就可以保證RTS 邏輯功能試驗不影響安全系統執行保護功能的能力。

進行RTS 邏輯功能試驗時，必須保證本序列處于維護模式且輸出信號閉鎖。MTS 通過維護網絡，在被試驗的序列中，以強制手段注入試驗信號。此信號替換ALU 中的輸入數據，參與邏輯運算，邏輯運算后的結果通過維護網絡送至MTS 進行顯示，試驗操作人員在MTS 上判斷試驗結果是否符合預期。

該試驗可在核電廠功率運行期間進行。

2.2.2 ESFAS邏輯功能試驗

ESFAS 邏輯功能試驗是驗證ALU 中專設安全設施邏輯功能的正確性，試驗范圍包括：輸入模塊、專設安全設施邏輯處理模塊和信號輸出模塊。其試驗分為專設安全設施局部觸發邏輯功能試驗和專設安全設施觸發邏輯功能試驗。

ESFAS 局部觸發的邏輯功能試驗是為了驗證每個引起專設局部動作的輸入信號組合，包括：安全注入、安全噴淋、安全殼隔離、主給水隔離、主蒸汽隔離和輔助給水6個安全功能。本試驗檢驗反應堆保護系統中專設邏輯功能的正確性，試驗方法與RTS 邏輯功能試驗相同，可同步進行。

ESFAS 觸發邏輯功能試驗是為了檢驗專設啟動邏輯功能的正確性，試驗時需要旁通被試驗通道。ESFAS 的保護變量分為兩種情況，分別是啟動專設的同時觸發緊急停堆和啟動專設但不觸發緊急停堆。對于啟動專設，但不觸發緊急停堆的功能，保護通道被旁通時，其ESFAS 中的符合邏輯應當降級。

該試驗可在核電廠功率運行期間進行。

2.3 T3（DO輸出信號到執行器）試驗

在核電廠正常運行期間，安全功能的設備一般都處于正常狀態，保證在發生事故時，觸發執行相關功能的設備。為了保證這些設備執行保護動作的可靠性和有效性，需要進行定期試驗，即T3 試驗。T3 試驗主要分為：停堆斷路器動作試驗、多樣化停堆功能試驗、優先級處理（PLM）輸出閉鎖試驗和專設驅動器動作試驗。

T3 試驗與T2 試驗在信號采集及邏輯處理單元的I/O 輸出處實現重疊。

2.3.1 停堆斷路器動作試驗

核電廠的停堆斷路器共8 個，分為4 對，通過四取二邏輯觸發緊急停堆。停堆斷路器動作試驗按照保護序列分別進行，每個保護序列中的ALU 控制一對停堆斷路器，試驗時不滿足四取二邏輯，因而不會觸發真實的反應堆緊急停堆。

停堆斷路器動作試驗的開關設置在SVDU（安全顯示單元）畫面上，每個ALU 控制兩個停堆斷路器，共設計兩個試驗開關。試驗過程中根據規定的順序對停堆斷路器進行斷開和復位操作，并通過SVDU 畫面上的反饋信號判斷試驗是否通過。

本試驗對核電廠的正常運行無影響，可在功率運行期間進行。

2.3.2 多樣化停堆功能試驗

本試驗是為了檢驗安全系統輸出到棒控和棒位系統電源柜的多樣性緊急停堆信號的回路可用性。

安全系統的每個保護序列設有一個試驗按鈕，用于試驗送至電源柜的多樣性停堆信號。通過試驗按鈕，觸發控制棒掉棒，在非安全級操縱員站上查看所有控制棒落入堆芯底部，確認多樣性停堆機制的有效性。

該試驗在停堆期間執行。

2.3.3 PLM輸出閉鎖試驗

本試驗是檢查ALU 中涉及PLM 的兩個子組及其通訊模塊與PLM 模塊之間的連接及相關設備的可用性。在試驗時，按照安全系統的不同序列分別進行，因為此時對PLM輸出進行了閉鎖，不會觸發驅動器真實動作，但本試驗時不會閉鎖非安全級的指令。

在進行本試驗前，首先在SVDU 上確認本序列的ALU沒有真實的專設驅動指令，并且PLM 機柜狀態正常。通過SVDU 上的試驗允許指令，對PLM 進行閉鎖，然后才能發出某個PLM 機柜對應的試驗指令。試驗信號通過ALU 中的邏輯子組、通訊模塊下發至對應的PLM。試驗命令為3s寬度的脈沖信號，PLM 模塊收到試驗命令信號后，反饋的狀態信號通過通訊模塊傳至SVDU 進行顯示。當確認試驗反饋信號滿足預期要求后，通過SVDU 試驗畫面中試驗允許的復位按鈕，對軟件閉鎖進行復位。

本試驗對核電廠的正常運行無影響，可在功率運行期間進行。

2.3.4 專設驅動器動作試驗

本試驗的目的是驗證所有安全系統驅動設備的可運行性。試驗時，通過位于主控室的非安全級操縱員站界面或安全級的SVDU 上觸發驅動器真實動作，并監測驅動器的反饋狀態。

該試驗針對單個設備驅動器進行試驗，每個試驗開關都配有專門的試驗授權按鈕。在授權后，才可通過試驗界面的試驗開關發出指令。對于試驗平臺的選擇遵循如下原則：

1）非安全級DCS 和安全級DCS 都可控制的驅動設備，可在非安全級界面進行。

2）只在安全級DCS 可控的驅動設備，只能在SVDU上進行。

大部分設備驅動器的試驗在反應堆停堆期間進行，但堆芯冷卻系統的部分驅動器需要在反應堆功率運行期間進行。

3 定期試驗平臺實現

在傳統的安全系統定期試驗平臺，T1 試驗和T2 試驗分別在不同的試驗臺進行，在進行維護試驗時，需要在核電廠不同的房間進行安裝、調試和試驗，這對試驗的靈活性進行了限制。

本試驗方案，基于中核集團自行研發的安全級DCS 平臺，將T1 和T2 試驗設備集成到統一的MTS 平臺進行，T3試驗根據不同的試驗類型在非安全級操縱員站和安全級的SVDU 分別進行。對不同種類的試驗，通過分段、交迭式的試驗策略，優化了試驗流程，節省了定期試驗的時間，并提高了試驗人機接口的友好型。

T1 和T2 試驗的硬件設備包括MTS、測試結果打印機、網絡交換機及電纜等四部分，只有處于旁通模式下的通道才可進行試驗。

在MTS 的定期試驗界面上可以選擇不同的試驗類型，其試驗界面如圖5 所示。

圖5 MTS定期試驗界面Fig.5 MTS Regular test interface

T2 試驗的軟件設計以MTS 為試驗主體，其試驗的軟件設計流程如圖6 所示。

圖6 T2試驗軟件流程Fig.6 T2 Test software process

T3 定期試驗在操縱員站和SVDU 上執行，安全級的SVDU 上，停堆斷路器動作試驗的試驗界面如圖7 所示。8個停堆斷路器，分為4 對，組成了四取二的緊急停堆邏輯。每次試驗時，只針對每套停堆斷路器中的一個，因此不會觸發反應堆緊急停堆。通過畫面中的試驗按鈕，下發試驗指令，并觀察斷路器的狀態反饋信號，以確定定期試驗是否通過。

圖7 SVDU定期試驗界面Fig.7 SVDU Regular test interface

非安全級的操縱員站上執行的試驗為T3 不閉鎖試驗。T3 不閉鎖試驗的軟件設計流程按照試驗允許、試驗指令、行程時間清零、觀察設備狀態、確定行程時間，并最終判斷試驗是否通過。其平臺試驗界面如圖8 所示。

圖8 操縱員站定期試驗界面Fig.8 Operator station regular test interface

4 總結

在目前核電廠的安全系統設計中，必須要考慮反應堆保護系統定期試驗的方案是否滿足國內相關法規標準的要求。在此基礎上，根據NASPIC 平臺的特點設計了安全系統定期試驗的實施方案。

根據上述分析可以看到，NASPIC 平臺的定期試驗方案充分考慮了平臺特性，顯著提高了核電廠運行人員定期試驗的自動化水平，全面覆蓋了定期試驗的檢測范圍，在定期試驗便利性、有效性方面得到了明顯提升。

針對不同的試驗需求和內容，可以在核電廠正常運行以及停堆換料期間分別進行，對核電廠的可用性和可靠性指標提供了正向增益，保證了核電廠的安全可靠運行。