EPR核电机组反应堆保护系统T1试验优化研究
2023-07-10李广,万磊
李 广,万 磊
(台山核电合营有限公司,广东 江门 529228)
国内第三代EPR核电机组属于全球首堆项目,没有成熟的维修策略和维修经验,其反应堆保护系统(RPR系统)结构复杂,根据概率安全分析(PSA)和故障模式影响分析(FMEA),需要对RPR系统的仪表通道进行定期试验,以保证仪表通道的可用性。而EPR核电机组RPR系统仪表通道多达1 089个,根据设计方提供的试验原则,试验周期为18个月,试验时需要把相关的通道闭锁,然后注入仿真标准信号并读取逻辑中采集到的信号值,计算通道的实际误差是否满足标准,该试验过程会导致仪表通道不可用时间过长,缩短了对应安全功能的可用时长。另外,频繁实施的重复性试验,可能损坏仪表接线,同时也增加了人因失误的风险。
1 EPR机组RPR系统试验原则
根据《核岛电气设备设计和建造规则》(RCCE—2005)规定和RPR系统FMEA分析,应定期对RPR系统的设备进行试验,确保RPR系统功能的可用性和可靠性。试验以部分重叠的方式进行,即对仪表、信号调制设备、逻辑处理单元和执行机构分别进行试验。进行这种部分重叠的独立分段试验是为了避免执行机构多次动作,同时保证试验覆盖的完整性。RPR系统是基于计算机控制的数字化仪控系统,因此可以通过以下方式进行试验。
(1)自检功能,在系统运行期间自动执行自检序列,主动检测设备故障。这些功能可以通过硬件模块来实现 (例如,输入/输出模块的自检、处理模块的看门狗等),或在CPU和通信模块上运行的系统软件中实现 (例如,网络通信监控、内存自检等);以及作为应用软件中的特定功能 (例如,偏差监视等)。自检功能可以立即或在早期发现故障,且对系统运行无影响。当自检功能检测到系统故障时,会在人机界面上发出报警通知主控室操纵员。
(2)定期试验,由维修人员定期执行。定期试验就是为了发现自检功能中无法检测的设备故障,包括:1)从传感器或外部系统到逻辑输入的信号路径;2)从逻辑输出到执行机构控制模块或外部系统的信号路径。必须通过“部分重叠”的方式进行试验:①输入通道试验必须覆盖来自传感器 (或源系统)的完整链,包括传感器或源系统、输入信号调节设备、信号分配设备,到功能图中的信号点;②输出通道试验必须覆盖从功能图中输出信号、硬逻辑、继电路回路,到执行机构控制模块或外部系统。
除了自检功能外,还必须检查应用软件的完整性,①软件下装后,需要验证每个处理模块上的软件;②定期强制启动CPU自检,检查应用软件的完整性和与CPU的适配性。
RPR系统相关的传感器到执行机构的信号流见图1,同时图1也给出了自检功能和定期试验之间的部分重叠。
图1 RPR系统试验原理Fig.1 The test principle of the RPR system
RPR系统T1试验属于输入回路试验的一部分,目的是保证从信号调制设备的传感器输入到逻辑处理单元中的采集信号传输功能正常。T1试验的验收准则是:①开关量信号能够根据所输入的仿真信号在处理单元采集处正确翻转;②对于模拟量信号(一般为电流信号),包括信号调制设备、硬接线连接以及处理单元输入卡件在内的完整采集链路的电流实测误差应小于理论的允许误差。开关量仿真是通过专用的配置软件和通信工具连接开关量信号调制卡件(SBC1)直接对输出信号进行设置。电流标准信号一般取4 mA、12 mA和20 mA三个值进行仿真输入,因此不管模拟量传感器是何种类型,只要其变送器输出的是标准电流信号,则其T1通道试验验收准则中的允许误差值都是一样的。
2 RPR系统T1试验问题及优化
2.1 RPR系统T1试验问题
RPR系统的输入信号类型包括开关量、模拟量、温度和主泵转速,对应的各类型通道数量见表1。原始设计中RPR T1试验是逐个通道进行,主要步骤包括:1)在下游逻辑中闭锁该通道,防止试验过程中设备误动;2)在信号调制设备前端注入标准信号;3)在DCS上记录测量值,并计算偏差,和标准进行比较;4)解除逻辑中的闭锁,恢复传感器通道可用。根据其他项目经验,每进行一个通道的试验,平均需要20 min(见表1)。进行所有通道试验需要用时21 780 min,假如每天试验时间6 h,则需要60个工作日才能完成所有试验。即使EPR核电机组的RPR系统是四列分布,采取了大量的四取二/四取三逻辑,但是因仪表通道试验的原因,也将导致长时间的逻辑降级。
表1 RPR系统输入通道Table 1 The RPR input channel
2.2 RPR系统T1试验优化方案
为解决上述问题,我们分析了RPR系统信号采集的卡件的故障模式(见表2),根据分析结果,RPR系统仪表通道定期试验的目的主要是发现“信号冻结”的通道故障模式。
表2 RPR系统信号采集卡故障模式分析Table 2 The failure mode analysis of the signal acquisition card in the RPR system
对于“信号冻结”的故障模式,我们研究了RPR系统输入信号特点和机组运行的特点,把RPR系统输入信号分成以下四类。
类型一:针对冗余信号 (开关量和模拟量),因在一个燃料循环内会受到机组状态变化引起的信号变化(对于模拟量,变化大于15%),所以可通过偏差检测进行管理。因冗余信号具有自动偏差检测功能,故这类信号通道不需要定期试验。实际上,连续执行的偏差检测涵盖了所有故障模式,并且随机组状态变化的信号 (开关量信号的状态变化和模拟量的高达15% 的状态变化)可以自动检测出“冻结信号”。
在RPR保护系统逻辑设计中,当前传感器的采集值与冗余传感器之间的第二大值相差超过5% 时,自动偏差检测触发报警。最坏的情况是“不变化信号”等于第二个最大值5% (见图2中的传感器2)并且至少一个冗余传感器比第二最大值低5% (见图2中的传感器3和4),在这种情况下,冗余信号之间的偏差最大,但不会产生偏差检测报警。因此,传感器3和4的值 (获得的值比不变化信号传感器低10%)必须比不变化值高5%,这就是变化量15%的由来。根据这种最坏情况的假设,偏差检测的试验标准是测量范围15% 的变化,以确保“不变化信号”值的偏差检测。
图2 传感器初始状态Fig.2 The initial state of sensor
对于开关量仪表,偏差检测的条件则是信号状态变化。
类型二:针对在一个燃料循环内会受到机组状态变化引起的信号变化 (开关量和模拟量,对于模拟量变化大于5%)。试验方法是在两个预定义时刻检查所获得的测量值,这可以检测出“冻结信号”。该方法依据采集信号的不确定度,找到“冻结信号”的最小变化量。在RPR系统不确定性分析中,信号调制设备和信号采集设备引起的最大不确定度不会超过1%。考虑到不确定的最大值,则测量值的最大变化是2%。另一方面,由于DCS上显示的是测量值的四舍五入值,这里也引入了另一个不确定度,两个连续测量之间的最大不确定度对应于最后一位数字的值,因为对于每个显示,最大四舍五入值是上半位数或下半位数。保守地说,这种不确定性为测量范围的2%。由于这两个不确定度不相关,应以线性方式累加,总不确定度为测量范围的4%。因此,出于保守性考虑,对类型二的模拟量信号,其标准设定为测量范围的5%。关于开关量信号,类型二的标准是信号状态的变化。
类型三:只针对于模拟量信号。该试验利用传感器校验或功能试验引起的测量值的变化,以检查所获得的信号是否如预期的那样变化。
类型四:针对上述三种情况未涵盖的传感器。需要在信号调制设备前注入信号,该类型的规模应尽可能减少。
对RPR四类信号的分类判断流程,如图3所示。
图3 RPR输入信号类型判断流程Fig.3 The identification process for the type of RPR input signal
2.3 RPR系统T1试验优化效果
根据2.2章节的原则,重新分析RPR系统的1 089个输入信号,分析的结果见表3。需要进行定期试验的类型四的仪表通道共计128个,是原始数量1 089个的11.75%,该类型仪表通道试验时间大约为7个工作日,极大缩短了RPR仪表通道不可用时间。根据现场的实际运行反馈,类型二的76个仪表通道在一个燃料循环内的变化情况均满足验收准则,未出现通道冻结的情况。
表3 RPR系统输入信号分类Table 3 Grouping of RPR system input signals
3 结束语
国内第三代EPR核电机组属于首堆工程,在一些项目上没有成熟的维修策略和维修经验可参考,需要用创新性思维解决运维过程中的问题。针对RPR系统T1试验的问题,我们通过科学的分析,研究了RPR系统结构和输入信号的特点,利用数字化仪控平台的技术优势,把RPR系统输入信号划分为四类,分别按照不同的方法进行验证,在确保RPR输入信号的可靠性和可用性的同时,极大缩短了RPR仪表通道不可用时间,提高了工作效率。