王庆明，张国胜，刘静波，王晓卫

（北京广利核系统工程有限公司，北京 100094）

0 引言

核电厂应急柴油发电机组（Emergency Diesel Generator，简称EDG）作为重要后备电源，为反应堆安全停堆所需的中低压核辅助设备提供电源，防止由于外部交流电源丧失而导致重要设备损坏，从而保障人身和环境安全。EDG保护系统作为神经中枢，直接影响着EDG的整体可靠性。

目前，CPR1000核电站EDG保护系统多为国外采购的模拟仪控系统，大多使用模拟元器件搭建，运行中呈现定值漂移、故障率高、自诊断能力差等特点，面临备件停产无可替代的局面，严重影响着EDG的可靠性。随着先进数字化技术的广泛应用，仪控系统迎来巨大变革，数字化仪控技术逐渐应用于柴油机领域。与传统模拟仪控系统的结构不同，数字化仪控系统是软硬件的综合体，集成度更高，可维护性和可扩展能力更强。数字化仪控系统在应用技术、开发手段、故障失效模式、状态监测、可靠性分析和定期试验方式等方面，均与传统模拟仪控系统存在较大区别。

本文目标是通过系统地分析数字化保护系统定期试验相关法规标准，结合当前EDG整体定期试验策略，通过分析设计要求、论述设计过程、对比和优化试验策略，最终提炼出一套完整的EDG数字化定期试验方案。

1 EDG整体定期试验策略

根据国内外相关法规标准要求，为验证EDG的各项性能指标，确保系统可靠性和可用性，需要进行定期试验。据统计，现有的核电站EDG机组仅执行整体定期试验，未针对基于模拟技术的EDG保护系统进行专项定期试验。

国内压水堆核电厂EDG定期试验包括低功率试验和满功率试验两种。低功率试验通过切断外部正常电源并切换至内部电源来进行，用以验证柴油发电机组的启动顺序以及电压和频率调节均能正确地履行其功能，试验周期一般为两个月一次。满功率试验通过母线将柴油发电机组并网到厂外辅助电网来进行，用以验证柴油发电机组向专设应急安全设备提供额定功率的能力，试验周期一般为每个换料周期一次。

核电厂的特殊性对EDG提出了快速启动的要求，其试验也分为慢启动试验和快启动试验。慢启动试验证明EDG从备用条件下正常启动的能力，验证电压和频率达到设计要求。

快启动试验证明EDG从备用条件启动并验证在可接受的时间内达到电压和频率限值。随着国内外核电业界的实践、优化论证、安全分析并最终获得法规许可，国内压水堆核电厂EDG慢启动试验周期确定为每个月一次，快启动试验确定为每6个月一次。

上述试验为EDG整体定期试验，未提及EDG保护系统的专项定期试验，但原则上可以一定程度上覆盖或简化EDG保护系统的专项定期试验。目前，核电行业内针对EDG保护系统数字化仪控系统应用后的定期试验方案暂无明确统一的论述，概念相对模糊，存在遗漏部分系统失效模式的可能性。

2 EDG保护系统定期试验要求

EDG保护系统作为EDG机组整体仪控系统的重要组成部分，主要实现EDG安全保护功能，属于重要安全系统设备。因此，EDG保护系统需要满足国内外核电厂安全系统定期试验相关的法规标准要求。IEEE 603中规定，安全系统设备应在保持安全功能执行能力的同时，需要具备试验和校准能力[1]。IEEE 338[2]和GB/T 5204[3]规定安全系统的定期试验与监测是为了实现预期系统的可用性；IEC 60671要求安全系统要能够通过监视试验，确保I&C系统功能能力和相应的控制路径[4]。HAF 102中规定，设计必须允许在运行期间对于从传感器到最终的执行元件的输入信号的所有环节进行试验[5]。因此，EDG保护系统定期试验过程不能影响系统安全功能，还应覆盖信号输入、处理和输出的所有环节。

和睦系统（FirmSys）作为国内具备完全自主知识产权的核电站安全级数字化仪控系统，已经成功应用于EDG仪控领域。因此，有机地结合EDG整体定期试验，确定EDG保护系统的定期试验策略，有利于确保系统保护功能的有效性，降低系统拒动风险，是必要的设计环节。

3 试验设计

EDG保护系统定期试验方案的确定与平台自诊断设计和系统架构密切相关。本文将通过分析系统的可靠性、系统架构、系统功能、信号流向、国内外法规标准的要求，确定一种定期试验策略，在EDG整体定期试验的基础上简化保护系统定期试验方案。

3.1 系统可靠性分析

可靠性定义为给定状态下和给定时间间隔内，某物项或系统完成所要求使命的概率。基于数字化技术的和睦系统在应用于EDG保护系统时需要进行可靠性分析。可靠性分析需要在平台产品的基础上，依据系统架构和功能分析出的所有部件失效模式、系统状态、失效影响、补偿措施、自诊断监视方式和定期试验等，以确定系统在正常运行时，所有单一故障是否可探测，是否存在单一故障会阻止系统的保护动作。可靠性分析流程如图1所示。

图1 可靠性分析流程Fig.1 Reliability analysis process

基于数字化技术的仪控系统通常采用自诊断和定期试验相结合的方式覆盖所有的系统失效模式，确保系统整体可靠性。IEC 60671[4]中规定，自诊断和监视可以代替定期试验，系统需要分析识别可诊断的失效模式。对于不可诊断的残余失效模式，或对安全功能没有影响，或者被定期试验覆盖。综上所述，EDG保护系统的失效模式可以通过自诊断来检测，对于自诊断无法检测的失效模式，则需要通过定期试验来检测。

3.2 分析信号流向

EDG保护系统的主要功能是接收现场传感器信号或远程/就地启停指令，经过逻辑运算，输出EDG机组保护动作信号；系统配有操作按钮和旋钮开关，实现就地手动控制柴油机启动或其它设备；系统还需将相关报警和运行参数发送至显示单元。

结合和睦系统平台的产品和EDG保护系统的典型功能，信号流向如图2所示。

图2 EDG保护系统的信号流向Fig.2 Signal flow of EDG protection system

3.3 确定试验策略

HAF 102中规定，设计必须允许对于从传感器到最终的执行元件的所有环节进行试验[5]。因此，定期试验范围要覆盖执行1E 保护功能的所有设备，包括传感器、逻辑处理和执行器；试验可采用分段交迭试验的方法，确保能够完全覆盖上述设备。

结合上述信号流向图，在系统可靠性分析的基础上，结合平台自诊断和不可诊断的失效模式，采取保守的设计原则，系统设计了对应的T1、T2、T3 3个分段交迭的试验。另外，为响应EDG快速应急启动时间的要求，系统需要设计专门的响应时间试验。

T1试验主要验证采集通道是否发生漂移，具体试验方法包括交叉检验和通道验证。交叉检验验证单个通道相比冗余通道是否发生漂移，通道验证针对所有通道发生漂移的极低概率事件，对单通道注入标准信号源进行识别是否发生预期值之外的偏差。

图3 EDG保护系统的定期试验分段Fig.3 Segments of EDG protection system periodic test

通过分析EDG保护系统逻辑，不存在冗余保护通道的模拟量数据采集，故无须执行交叉检验；现有的EDG整体定期试验无法覆盖通道验证。因此，T1部分仅需要执行通道验证，根据产品可靠性分析数据，通道验证的周期一般为一个换料周期即18个月。

T1模拟量通道验证的原理图如图4所示。

图4 通道验证试验原理图Fig.4 Schematic diagram of channel verification test

具体试验时，标准信号源通过试验端子注入数据，并通过通道验证试验表格读取数据并自动完成偏差比较。偏差比较的算法如下：

偏差比较的允许误差范围为（-σ, +σ），其中σ值一般为信号工程量程的0.25%。如果|ΔE|＜σ，则试验结果OK；如果|ΔE|＞σ，则试验结果NG。

T2试验面向数字化处理器内部的保护逻辑进行试验，通常使用维护试验工具向处理器注入试验数据，回读逻辑计算结果，并与预期值进行比较来验证逻辑的正确性。依据系统和平台产品可靠性分析结论，CPU自诊断能够覆盖所有影响安全功能的失效模式。另外，数字化保护系统依托具备强大自诊断功能的数字化处理器CPU，系统自诊断作为处理器的后台程序自动执行，覆盖到CPU硬件设备（处理器、存储器、看门狗等）。由于系统设备共享CPU和存储器，因而不会出现同一个CPU内的单个功能或部分逻辑运算错误而其它逻辑运算正常的现象。但根据核电行业内经验和保守做法，通常采用选取典型逻辑或定期重启处理器的方式来执行T2试验。由于EDG本身的特殊性，EDG整体定期试验频率一般为1个月，涵盖处理器的保护逻辑，因而T2试验无需单独执行。

T3试验用于验证系统输出到现场设备或现场设备输入端和第三方接口的正确性。由于EDG本身的特殊性，EDG整体定期试验频率一般为1个月，涵盖现场实际设备动作和第三方接口相关的保护信号试验，操作员可以通过监视信号报警状态来检查接口信号的变化。因此，T3试验无需单独执行。

响应时间试验用于验证EDG保护系统本身的响应时间，由于EDG快启动试验涵盖整体响应时间的验证，已涵盖EDG保护系统的响应时间。因此，响应时间试验无需单独执行。

除此之外，由于EDG保护系统使用到一定数量的开关、旋钮和指示灯等设备，系统需要设计灯试或开关试验，以确定设备的可用性。灯试试验需设计专门的灯试按钮和试验逻辑，需要配合逻辑组态来完成。开关试验建议在EDG整体定期试验时进行，对EDG整体定期试验未覆盖的旋钮进行单独操作，试验时需要闭锁相应的动作输出，以免产生非预期动作。

3.4 试验注意事项

定期试验功能设计时，不应影响系统执行安全功能；定期试验进行时，如影响被试验对象的功能，应采用旁通或闭锁的方式，防止误触发现场设备，并在控制室内提供指示。

4 结束语

本文首先分析了当前核电厂应急柴油发电机组整体定期试验的特点；然后，基于和睦系统平台的可靠性理论分析，充分利用数字化优势，实现了定期试验的分类和分级；最后，通过分析对比，去设计一种适用于应急柴油发电机领域的数字化保护系统定期试验策略并进行论述。旨在确定一种简化、严谨、可靠的定期试验方案并获得实际应用，为后续数字化改造后的应急柴油发电机保护系统定期试验方案的确定提供技术参考。该EDG保护系统定期试验方案充分考虑了EDG机组整体定期试验的频率和覆盖范围，不仅可以降低试验人员的工作负担，还可有效避免设计遗漏，确保EDG保护功能的有效性。