核电ATWT保护系统T3试验逻辑分析与优化

2016-11-18姬新峰

电力安全技术 2016年9期

关键词：卡件指示灯继电器

姬新峰，宋　猛

（福建宁德核电有限公司，福建宁德　355200）

核电ATWT保护系统T3试验逻辑分析与优化

姬新峰，宋猛

（福建宁德核电有限公司，福建宁德355200）

阐述了ATWT（未能紧急停堆预期瞬态）保护系统装置的组成和T3试验及逻辑闭锁原理，分析了T3试验存在的设计缺陷，并提出了优化改进方案，改进后的系统整体运行稳定，未出现过设备误动情况。

ATWT保护系统；T3试验；设计缺陷；逻辑分析

0　引言

反应堆保护系统对事故工况的保护手段主要是紧急停堆，当紧急停堆保护发生故障（参数达到紧急停堆保护阈值但没产生紧急停堆保护信号，或虽然产生了紧急停堆信号但紧急停堆断路器未断开）时发生的各种未能紧急停堆预期瞬态就称为ATWT。为了降低安全级数字化DCS共模故障而造成停堆保护系统失效的风险，核电项目在反应堆保护系统中设计了安全多样性ATWT保护系统。由于ATWT保护功能在正常运行期间处于未触发状态，为确保紧急状态下ATWT设备的可用性，核电站设置了预防性周期试验，定期检测该系统功能的状态。

ATWT周期试验包括T1，T2，T3 3部分，其范围从过程信号的输入到驱动信号的输出，周期为2个月，试验密度较大，且该部分试验为核电站《安全相关系统与设备定期试验监督大纲》中要求必须执行的项目。ATWT T3试验主要为验证ATWT信号到对应阀门设备接口部分的可用性，试验误动设备风险较大，试验时主要通过闭锁正常保护逻辑信号来确保试验期间不会误动现场设备。

1　ATWT保护系统介绍

核电ATWT保护系统通过DAC柜来实现，每台机组配置1个DAC机柜。在安全等级上，ATWT保护系统是Non-Safety Class；在控制方式上，ATWT保护系统采用的则是与数字化DCS控制系统完全不同的模拟量控制方式。

1.1系统硬件架构

ATWT保护系统的DAC机柜为一个直立的长方形控制柜，柜子规格为900 mm×600 mm× 1 200 mm，前后均为单开门设计。机柜由2个16槽机笼构成。在1号机笼CF11上布置有10块卡件，这其中，LCTN-G08，LMAN-G01，LALN-G08卡件各有3组，主要是实现蒸发器3个给水流量的信号处理和阈值比较，同时还有1块实现开关量输入的卡件ERAJ-G11。在2号机笼CF12上布置有16块卡件，其中，LCTN-G08，LSCN-G07，LALN-G08卡件各有2组，主要是实现RPN中间中子通量功率信号处理和阈值比较，同时还有2块ELAJ-G11卡件实现逻辑与和取非功能，2块ELAJ-G12实现逻辑或和取非功能，6块LAIN-G06实现逻辑的输出和隔离。

1.2系统控制策略

ATWT保护的主要功能是限制ATWT后果。为此，ATWT保护系统采用如下保护逻辑。

当堆功率大于30 % Pn时，如果给水流量低于6 % NF（正常给水），则采取如下保护动作：

（1）汽机跳闸，使反应堆功率整定为最终功率整定值，用自动调节平均温度棒R和灰棒G的方法降低堆功率，并防止蒸汽发生器烧干；

（2）启动辅助给水系统，通过辅助给水系统向蒸汽发生器提供约6 % NF的水，以防蒸汽发生器烧干；

（3）闭锁第3组GCT排放阀，关闭蒸汽发生器排污阀（APG），防止蒸汽发生器烧干；

（4）紧急停堆。

2　ATWT T3试验及逻辑闭锁原理

由于ATWT试验原理基本相同，下文均以ATWT系统APG阀门T3试验为例进行解释说明，试验原理如图1所示。试验时将ATWT置试验模式，对应APG阀门的试验允许指示灯点亮，表明当前允许进行试验。因ATWT输出至APG阀门的ATWT试验指令和真实驱动指令均通过同一信号回路经继电器柜送往SLC PIF卡，然后在PIF卡内部通过硬逻辑直接驱动设备，所以在试验的时候需要闭锁该路信号的输出，以避免试验期间设备误动。

在机组正常运行时，PIF卡的输出为ON，各阀门的驱动继电器处于励磁的状态，阀门保护为失电动作。故需要在试验的时候增加1路指令信号使PIF卡一直输出为ON，进而保持设备驱动继电器为励磁状态，避免试验指令导致设备误动作。具体实现方式如图1所示，通过ATWT试验模式信号与设备正常运行的指令信号（由于上述设备的驱动继电器为单稳继电器，所以正常运行指令常为ON）闭锁ATWT试验信号驱动现场设备。

ATWT在试验模式下，Test指令可有效触发，各设备的控制回路接收指令输出试验成功信号至ATWT，点亮反馈指示灯，此时ATWT输出到控制设备的试验驱动指令被闭锁，确保试验期间现场设备不会误动。

3　ATWT T3试验（APG阀门）设计缺陷分析

图1　ATWT T3试验（APG阀门部分）信号接口

图1中粗实线部分为当前核电站现场ATWTT3试验允许信号（指令逻辑闭锁成功）的实现方式，ATWT试验模式通过硬接线送至ARC继电器柜，再由继电器柜将该信号送至SLC中进行试验允许信号的判断。最终的逻辑判断信号分2路送出，一路（图1虚线信号回路）进入PIF实际闭锁试验指令信号，确保试验指令不驱动现场设备；另一路（图1粗实线信号回路）则直接送回ATWT系统用于点亮TEST Avail指示灯，试验人员以此来判断闭锁逻辑已经生效，可以进行相应的T3试验。

从当前允许、闭锁逻辑的实现方式可以看出，其信号闭锁是否成功的判定实现方式，仅仅是在SLC组态逻辑中将ATWT试验模式信号和设备的指令信号做一个“与”逻辑，随后直接反馈给ATWT系统的试验允许指示灯，试验人员看到此灯点亮则认为逻辑闭锁已经完成，可以开展试验，但事实上该试验指令逻辑闭锁并不一定真正完成。

假设其中送入PIF卡的试验允许、闭锁信号回路（图1虚线信号回路）出现问题，例如出现该信号对应的SLC DO卡输出故障、DO卡送PIF卡硬接线断路或是回路端子被误隔离或损坏等情况，而试验人员对此毫不知情，现场按照正常方式将ATWT置于ATWT试验模式，试验模式信号经过ARC柜送入SLC，再和SLC指令信号进行逻辑判断后，一路输出送至ATWT系统点亮Test Avail灯。由于该回路设备状态正常，指示灯正常点亮；另一路则真正地送入PIF卡进行试验指令信号闭锁，但是在信号通过SLC DO卡、硬件接线、隔离端子送PIF卡的过程中，由于存在回路故障，信号并没有真正地送入PIF卡去隔离试验指令信号，并对试验阀门状态进行保持。

试验人员根据试验允许指示灯误判断认为可以进行试验，通过试验开关触发对应试验信号，经ARC柜后送入PIF卡，直接将PIF卡中的“与”门变位，由于闭锁信号并没有送达PIF卡，故PIF卡中“或”门2个输入都为“0”，进而直接导致现场设备误动。

由上述分析可知，当前的试验逻辑闭锁是否成功的判断方式并没有完全覆盖整个闭锁逻辑回路，存在盲区。尽管送入PIF卡进行试验指令闭锁的硬回路出现故障的几率较小，但是一旦出现问题，其后果却非常严重。ATWT系统对应的下游设备均为核安全相关设备，如该部分设备出现人为误动，则可能直接产生人因执照运行事件（LOE事件）。

4　ATWT T3试验设计缺陷优化处理

ATWT T3试验允许、闭锁逻辑设计不合理的根本原因是其闭锁成功的反馈信号并没有覆盖整个试验允许、闭锁回路，即其闭锁成功反馈应该是在整个闭锁逻辑回路的最末端才合适。

为确保试验过程不误动设备，对当前试验允许、闭锁回路逻辑进行如下方式优化：修改对应PIF卡件和SLC组态（见图1虚线部分，表示去除此连接），在设备所在SLC逻辑组态中增加PDI输入，SLC通过系统DO点将闭锁信号送入PIF卡件，该闭锁信号在PIF卡件中通过SLC中的PDI送回SLC进行逻辑组态，与SLC中设备指令取非信号做一个“或”逻辑，然后送ATWT进行试验允许指示和判断，即最终点亮试验允许指示灯。这样整个信号闭锁回路就可真正地实现全覆盖，送回到DAC柜的试验允许信号完全可信。经过优化改进，在确保《安全相关系统与设备定期试验监督大纲》项目正确实施的同时，彻底避免了试验期间因试验闭锁不成功而导致的设备误动风险，同时也为ATWT系统可用性打下了坚实的基础。