李明钢

（北京广利核系统工程有限公司，北京 100094）

0 引言

ATWT（Anticipated Transients Without Trip，未停堆的预期瞬态缓解系统）系统在二代压水堆核电站中，是作为应对因给水泵故障或给水调节阀故障引起的正常给水丧失，且保护系统未能执行保护动作的工况。该工况由于二回路吸收一回路热量的能力下降而引起一回路温度和压力上升，进而可能导致蒸汽发生器烧干。为了限制这些后果，在当核功率大于30%且主给水流量小于6%时，ATWT 系统便会触发跳堆、汽机脱扣、启动辅助给水、闭锁汽机旁路系统（GCT）第三组排放阀等保护动作[1]。大亚湾核电厂1、2 号机组ATWT 系统应用模拟系统（Bailey9020）设计，目前已运行近30 年，各类模块陆续超过老化处理期限，因此需要对ATWT 系统进行改造以确保系统可用。

因ATWT 应对的是保护系统失效的情况，根据核安全法规HAF102 要求，应考虑ATWT 和保护系统的多样性以避免发生共因故障[2]。为此大亚湾ATWT 改造采用广利核公司研制的基于FPGA 技术的数字化平台FitRel 实现，既可保证与当前保护系统采用的基于模拟技术的Bailey9020系统在设计、设备、人员等多维度具有充分多样性[3,4]，也可保证后续保护系统应用DCS 改造后具有充分的多样性。数字化改造后的系统需要进行可靠性分析评价，以验证满足既定的可靠性指标要求。本文基于FitRel 平台完成ATWT 系统改造设计方案并通过对改造后ATWT 系统进行故障树建模，对系统可用性、误动率、拒动率分别进行分析评价，以确认是否可满足核电厂提出的设计指标要求。

1 ATWT整体改造设计方案

1.1 整体架构设计

ATWT 整体设计方案如图1 所示。ATWT 系统基于FitRel 平台设计了两系完全相同的控制站，并分别布置在两个不同的机柜（700AR/720AR）中。反应堆保护系统的第4 保护通道（SIP-IV）安全级机柜KRG043AR 将3 个环路对应的主给水流量信号ARE049MD/050MD/051MD 首先通过隔离分配（IS）传递给ATWT 系统，3 个信号再通过ATWT 系统隔离分配模块将信号分配到两系控制站，两系控制站分别通过模拟量输入模块进行信号采集，然后通过处理器进行滤波FI（一阶滞后）和阈值（XU）处理。当主给水流量小于6%时，触发生成3 个开关量信号并执行2/3 表决逻辑运算，然后对表决逻辑结果与RPN 系统处理的核功率信号RPN013MA/014MA（核功率大于30%）执行“&”逻辑后，输出驱动现场相关安全功能设备的控制指令。考虑ATWT 虽然也执行了安全功能，但应对的是概率极低的超设计基准事件，因此不需要像反应堆保护系统那样满足单一故障准则。但考虑ATWT 如果因故障误触发便会造成反应堆紧急停堆，从而会对电站带来极大的经济损失，因此应尽量防止ATWT 误触发，为了防止系统故障造成ATWT 误动作，设计的两系控制站并分别布置在两个机柜（RPA700ARRPA720AR）中，充分实现实体的分隔，而且对两系控制站的控制输出进行“&”逻辑后，再触发现场执行机构动作，即只有当两系控制站均输出驱动指令后，才会真正触发现场执行机构动作。另外，考虑报警信号误触发不会对电站安全性和经济性产生影响，反而更应防止不触发，因此对两系控制站的报警指令进行“OR”逻辑后输出，以确保报警监视功能具有更高的可靠性。

具体ATWT 系统方案配置为：ATWT 每系由1 个独立的控制站组成，控制站包括独立的模拟量输入模块（AI）、控制器单元（MPU）、开关量输出模块（DO），以及独立的冗余电源模块（AC/DC）供电。两个控制站实现的逻辑功能完全一致，ATWT 系统从SIP-IV 采集的主给水流量信号，由KRG043AR 中的隔离（IS）模块送出，通过ATWT 系统侧的“一分四”隔离分配模块（IM）硬接线传送给两系控制站。从RPN005AR 机柜采集的核功率高开关量信号分别通过多触点继电器（RLY）分配给两系控制站。在ATWT控制站内实现所有模拟量运算及逻辑运算功能，两系控制站输出通过端子继电器实现“&”“OR”逻辑后驱动现场执行机构或触发主控室报警。

1.2 定期试验方案

数字化改造后，为了进一步提高可靠性，设计了如图2 所示的定期试验方案，主要包括传感器及信号输入通道试验（T1）、控制功能逻辑试验（T2）、控制输出及执行机构试验（T3）。因为FitRel 平台仅有1%的剩余故障需通过定期试验探测，因此除T2 试验外，T1、T2 定期试验周期通常可设定为一个换料周期（18 个月）一次，数字化系统定期试验可通过控制站连接FitRel 平台专用维护工具运行试验用例自动实现，相比模拟系统试验时间也可大大缩短。

图2 ATWT定期试验方案Fig.2 ATWT Regular test plan

原设计方案T1 试验过程中，主给水流量的测试信号只需从KRG043AR 进行信号注入和采集。数字化改造后，需要在SIP-IV 机柜注入信号并在ATWT 机柜读取信号，因两个机柜不在同一个楼层，为试验带来不便，为此将机柜附近弃用的KRG899CR 改装成T1 试验专用箱，新增ATWT机柜至KRG899CR 的模拟量信号输出接口及测量电缆传输3 个给水流量的测试回读信号。T1 试验过程中主给水流量信号由ATWT 采集后隔离分配（1 分4IM 模块）送至KRG899CR 回读，另外在ATWT 机柜内通过在端子侧注入4mA ～20mA 信号通过接入专用维护工具回读，可覆盖对输入通道（AI）的测试。

T2 试验通过接入专用维护工具，并通过其中预置的测试用例自动进行信号注入和结果回读校验完成ATWT 功能逻辑试验。

T3 试验仍保持原ATWT 系统的试验方法，在ATWT 机柜内设计T3 试验专用面板，包括硬接线开关以及信号反馈指示灯，接入ATWT 系统，通过手动操作实现跳堆等执行机构的回路试验。

1.3 表决逻辑降级设计

原设计为了保证ATWT 控制的可靠性，通过对3 个ARE 流量信号执行“三取二表决逻辑”后执行ATWT 驱动。进行数字化改造后，依然保持该表决逻辑，并且结合数字化系统的特性，通过基于主给水流量信号的质量位执行“三取二表决逻辑”的逻辑退化，同时考虑安全性和经济性2/3表决逻辑退化规则，见表1。另外，对RPN013MA/014MA（核功率大于30%）执行“&”逻辑也考虑相应的逻辑退化，当一个RPN 信号失效，“&”逻辑退化为1/1，两个信号失效，“&”逻辑退化为触发。

表1 ARE流量2/3表决逻辑降级规则Table 1 ARE Traffic 2/3 voting logic degradation rules

2 可靠性分析

2.1 故障树建模分析

2.1.1 故障树建模

因对于ATWT 系统需分析误动率、拒动率以及可用性，基于ATWT 系统架构并依据IEEE-352 相关要求[5]，构建了如图3 所示的故障树基本模型，可将误动故障、拒动故障以及可用性进行关联。

图3 ATWT故障树基本模型Fig.3 ATWT Fault tree basic model

模型基本事件源于各部件失效率，包括输入单元：调理板卡、AI、板卡、DI 板卡；处理单元：IO 通信板卡、MPU 板卡；输出单元：DO 板卡、继电器；供电单元：电源模块、空开、浪涌吸收器、滤波器。基于故障是否可自诊断，故障率可分为：λDD为导向拒动的可诊断失效率，λSD为导向误动的可诊断失效率（因ATWT 可诊断故障均设定为导向不驱动，因此该部分为0），λDU为导向拒动的不可诊断失效率，λSU为导向误动的不可诊断失效率。

2.1.2 误动率的计算

可诊断故障会将故障输出设定为不驱动，而不可诊断发生误动故障，则可通过设备动作信息结合分析判别，所以误动故障均可马上进行故障处理，因此误动率=λSU·MTTR。

2.1.3 拒动率的计算

如果设备出现拒动故障，可诊断故障可即刻处理，而不可诊断故障则需通过定期试验探测，因此拒动率=λDD·MTTR+λDU·Ti/2。

2.1.4 可用性的计算

根据可用性定义可知：可用率=MTBF/（MTBF+MTTR），考虑到可诊断故障（λD）可及时发现后马上能执行维修活动，对于不可诊断故障（λU）只能通过定期试验探测故障，因此平均维修时间会拉长为Ti/2+MTTR（因MTTR 远小于Ti，可忽略[4]）。因此，可用率=MTTR·λD/(1+MTTR·λD)+Ti/2·λU/(1+ Ti/2·λU)，其中：λD=λDD+λSD，λU=λDU+λSU。

2.2 基础数据来源

FitRel 板卡以及外购物项的可靠性指标（MTBF）依据MIL-HDBK-217F 中提供的可靠性数据以及元器件厂家提供的可靠性数据标确定。SIP IV 系统的IS 隔离模块因为是1E级未在改造范围，因原始的可靠性指标已无法找到，考虑通过运行数据统计分析得出。依据大亚湾10 年的运行统计数据，大亚湾项目共应用了400 块该IS 模块，10 年期间出现了4 块板卡故障，因此可得出其失效率（λ）为114FIT。

2.3 可靠性评价

FitRel 各模块的失效率基础数据包括可诊断失效率和不可诊断失效率。可诊断失效可通过设置故障安全值确定为导向动作或不动作，而不可诊断故障的最终后果是导向动作还是不动作具有不确定性，因此保守考虑将λSU和λDU均按不可诊断总失效率进行计算。定期试验周期（Ti）按18 个月分析计算，改造后ATWT 各模块的修复均通过备件更替方式完成，因此MTTR 小于4h。通过计算可得出可用性、拒动率和误动率结果见表2。

表2 ATWT可靠性指标汇总表Table 2 Summary of ATWT reliability indicators

通过上述计算指标可以看出，改造后各项可靠性指标均满足要求，因此可将ATWT 定期试验周期由原2 个月延长至18 个月。

3 结论

应用基于FPGA 技术的FitRel 平台设计了ATWT 系统，考虑兼顾安全性和经济性，设计了两系完全冗余的控制站，并对两系控制站的驱动现场执行机构的控制输出进行“&”逻辑表决。通过对数字化改造后ATWT 系统进行故障树建模分析，改造后ATWT 系统可用性可达99.994%，误动率小于1.5E-08，拒动率小于0.005，各项可靠性指标均满足设计要求。而且相比原模拟系统可大幅缩短定期试验周期，可由原2 个月延长至18 个月，从而大幅降低了运行维护人员负担。