陳 鵬，李謝晉，羅 煒，周繼翔，蔣天植

(中國核動(dòng)力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川 成都 610041)

為了應(yīng)對(duì)安全級(jí)數(shù)字化儀控系統(tǒng)共因失效的風(fēng)險(xiǎn)，滿足核電廠縱深防御和多樣性的要求，通過結(jié)合國內(nèi)其他同類型采用數(shù)字化儀控系統(tǒng)的二代加核電廠經(jīng)驗(yàn)，在田灣核電站擴(kuò)建工程5、6號(hào)機(jī)組中設(shè)計(jì)了一套多樣化反應(yīng)堆保護(hù)系統(tǒng)DAS(DAS，Diverse Actuation System)，以提供多樣性的保護(hù)手段來降低保護(hù)系統(tǒng)共因失效的風(fēng)險(xiǎn)。由于DAS系統(tǒng)功能在反應(yīng)堆正常運(yùn)行過程中并不被啟用，需要通過定期試驗(yàn)來保證其預(yù)期的可用性。并且，美國核管會(huì)發(fā)布的標(biāo)準(zhǔn)審查大綱第7.8節(jié)[1]中要求，申請(qǐng)者/持照者應(yīng)確定多樣化保護(hù)系統(tǒng)的試驗(yàn)、維修、監(jiān)測和校準(zhǔn)程序。因此，系統(tǒng)設(shè)計(jì)方需要為多樣化保護(hù)系統(tǒng)設(shè)計(jì)一套定期試驗(yàn)方案。

在國內(nèi)外已發(fā)表的文獻(xiàn)中，與DAS系統(tǒng)定期試驗(yàn)方案設(shè)計(jì)相關(guān)的很少。文獻(xiàn)[2]列出了8種設(shè)計(jì)有多樣化保護(hù)系統(tǒng)的海外堆型。每一種堆型均設(shè)計(jì)了多樣化保護(hù)系統(tǒng)定期試驗(yàn)，但卻未對(duì)定期試驗(yàn)方案策略進(jìn)行說明。國內(nèi)已運(yùn)行的福清一期、福清二期、方家山和海南一期核電項(xiàng)目，包括在建的“華龍一號(hào)”核電項(xiàng)目均設(shè)計(jì)了多樣化保護(hù)系統(tǒng)。其定期試驗(yàn)方案是采用GB/T 5204[3]給出的分段交迭試驗(yàn)方法，充分考慮所采用的儀控平臺(tái)特性，并結(jié)合多樣化保護(hù)系統(tǒng)的具體功能來進(jìn)行設(shè)計(jì)的。本文根據(jù)田灣核電站擴(kuò)建工程5、6號(hào)機(jī)組的多樣化反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)，并充分考慮FitRel(FitRel，F(xiàn)it and Reliable System)平臺(tái)的自身特性，采用分段交迭試驗(yàn)的方式設(shè)計(jì)了一套符合法規(guī)標(biāo)準(zhǔn)要求的DAS系統(tǒng)定期試驗(yàn)方案。

1 多樣化反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)

在田灣核電站擴(kuò)建工程5、6號(hào)機(jī)組中，DAS系統(tǒng)分為兩個(gè)通道，每個(gè)通道都包含獨(dú)立的信號(hào)輸入處理模塊、處理單元(MPU，Main Processing Unit)、輸出處理模塊等設(shè)備。兩個(gè)通道的輸出經(jīng)2取2符合邏輯后，生成自動(dòng)驅(qū)動(dòng)信號(hào)，其結(jié)構(gòu)如圖1所示[4]。多樣化反應(yīng)堆保護(hù)系統(tǒng)是由基于FPGA(FPGA，F(xiàn)ield-Programmable Gate Array)技術(shù)的FitRel平臺(tái)實(shí)現(xiàn)，與由基于微處理器技術(shù)實(shí)現(xiàn)的反應(yīng)堆保護(hù)系統(tǒng)FirmSys(FirmSys，F(xiàn)irm System)平臺(tái)相比，滿足NUREG/CR-6303中的多樣性要求[5]。為了防止因設(shè)備故障引起虛假動(dòng)作，DAS系統(tǒng)不采用故障安全設(shè)計(jì)原則。DAS系統(tǒng)產(chǎn)生的緊急停堆信號(hào)設(shè)計(jì)成得電動(dòng)作的方式，機(jī)柜或者卡件失電不會(huì)觸發(fā)緊急停堆。DAS系統(tǒng)輸出到專設(shè)安全設(shè)施驅(qū)動(dòng)器的控制信號(hào)與反應(yīng)堆保護(hù)系統(tǒng)相同，采用的是有電動(dòng)作原則。

圖1 多樣化反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)示意圖Fig.1 Schematic of diverse actuation system

2 定期試驗(yàn)設(shè)計(jì)方案

在反應(yīng)堆正常運(yùn)行過程中，DAS系統(tǒng)的功能并不被啟用，因此需要通過定期試驗(yàn)來保證其可用性，并達(dá)到最低限度的性能水平。DAS系統(tǒng)定期試驗(yàn)用于監(jiān)測DAS系統(tǒng)性能并檢測隱藏的故障。它采用分段交迭試驗(yàn)方式，分為T1試驗(yàn)、T2試驗(yàn)和T3試驗(yàn)。T1試驗(yàn)主要驗(yàn)證過程儀表系統(tǒng)和核儀表系統(tǒng)的測量通道；T2試驗(yàn)為多樣化保護(hù)邏輯功能試驗(yàn)，T3試驗(yàn)主要檢查DAS輸出到設(shè)備接口模塊CIM(CIM，Component Interface Module，用于執(zhí)行控制信號(hào)的優(yōu)先級(jí)管理和設(shè)備的驅(qū)動(dòng)控制功能)[6]或者外部系統(tǒng)的接口回路。DAS工程師站(可移動(dòng)的計(jì)算機(jī))提供DAS系統(tǒng)T2/T3試驗(yàn)的測試用例和T3試驗(yàn)測試允許信號(hào)[4]。試驗(yàn)時(shí)，定期試驗(yàn)維護(hù)人員利用工程師站內(nèi)安裝的FitRel平臺(tái)維護(hù)軟件FitRel-MT向DAS系統(tǒng)注入試驗(yàn)指令，通過將試驗(yàn)結(jié)果與預(yù)期值進(jìn)行比較來判斷試驗(yàn)成功與否[7]。基于FitRel系統(tǒng)平臺(tái)的田灣核電站擴(kuò)建工程5、6號(hào)機(jī)組的多樣化反應(yīng)堆保護(hù)系統(tǒng)定期試驗(yàn)分段如圖1所示。

2.1 T1試驗(yàn)

DAS系統(tǒng)的T1試驗(yàn)主要包括交叉比較和通道驗(yàn)證。DAS系統(tǒng)自動(dòng)對(duì)測量同一參數(shù)的冗余輸入通道進(jìn)行交叉比較。當(dāng)任意兩個(gè)輸入信號(hào)之間的偏差超過信號(hào)量程的10%(可調(diào))，將在電廠計(jì)算機(jī)信息與控制系統(tǒng)KIC(KIC，Plant Information and Control System)上觸發(fā)工藝報(bào)警。針對(duì)同一傳感器信號(hào)，操縱員每天對(duì)DAS送KIC的指示值與反應(yīng)堆保護(hù)系統(tǒng)RPS(RPS，Reactor Protection System)送KIC的指示值進(jìn)行比較；針對(duì)測量同一參數(shù)的冗余傳感器信號(hào)，操縱員每天對(duì)其進(jìn)行交叉比較。

對(duì)于DAS系統(tǒng)與反應(yīng)堆保護(hù)系統(tǒng)共用的過程傳感器/探測器輸入通道，DAS系統(tǒng)和RPS分別設(shè)計(jì)有信號(hào)分?jǐn)嗟堕l(如圖2所示)，定期試驗(yàn)維護(hù)人員可以根據(jù)現(xiàn)場實(shí)際情況通過分?jǐn)郉AS側(cè)或者RPS側(cè)端子切換真實(shí)輸入信號(hào)，再從端子測試信號(hào)注入口注入試驗(yàn)信號(hào)，同時(shí)在DAS工程師站讀取試驗(yàn)結(jié)果。在電廠計(jì)劃停堆期間，定期試驗(yàn)維護(hù)人員也可以通過圖2所示的方式對(duì)儀表通道的精度進(jìn)行驗(yàn)證。當(dāng)所有相關(guān)的冗余信號(hào)都在給定的精度誤差允許范圍內(nèi)，即表明相關(guān)通道的精度滿足要求。傳感器/變送器的精度檢查可由反應(yīng)堆保護(hù)系統(tǒng)輸入通道精度檢查所覆蓋。

圖2 通道校準(zhǔn)試驗(yàn)方案示意圖Fig.2 Schematic of channel calibration

對(duì)于來自核儀表系統(tǒng)RPN(RPN，Nuclear Instrumentation System)的模擬量輸入通道，除了DAS系統(tǒng)將對(duì)其進(jìn)行自動(dòng)交叉比較外，在進(jìn)行RPN測量通道的定期試驗(yàn)時(shí)，還需要同時(shí)對(duì)DAS系統(tǒng)相關(guān)的輸入通道進(jìn)行驗(yàn)證。RPN模擬通道可以通過維護(hù)試驗(yàn)設(shè)備MTE(MTE，Maintenance and Test Equipment)進(jìn)行試驗(yàn)。MTE是一臺(tái)可移動(dòng)的計(jì)算機(jī)，它可以通過注入模擬試驗(yàn)信號(hào)檢測源量程、中間量程和功率量程通道的狀況。試驗(yàn)時(shí)MTE注入幾個(gè)不同的試驗(yàn)電流至RPN，試驗(yàn)人員通過在主控室查看經(jīng)過RPN和DAS處理后的相關(guān)信號(hào)的狀態(tài)，并將其與期望值進(jìn)行比較，以判斷來自RPN系統(tǒng)的模擬信號(hào)是否正確傳輸至DAS。在試驗(yàn)過程中，處于試驗(yàn)的RPN通道向DAS系統(tǒng)發(fā)出“通道試驗(yàn)或故障”信號(hào)，DAS系統(tǒng)將進(jìn)行邏輯退化處理。操縱員可以通過主控制室的報(bào)警獲悉通道正在進(jìn)行試驗(yàn)。

2.2 T2試驗(yàn)

DAS系統(tǒng)基于FitRel平臺(tái)，具備在線自檢能力，包括MPU板卡、網(wǎng)絡(luò)通信板卡、I/O(I/O，Input/Output)模塊、以及內(nèi)部總線和網(wǎng)絡(luò)通訊都能進(jìn)行在線驗(yàn)證。T2試驗(yàn)主要是驗(yàn)證處理單元內(nèi)邏輯功能的正確運(yùn)行。在反應(yīng)堆停堆期間，試驗(yàn)人員通過DAS工程師站和T2試驗(yàn)開關(guān)對(duì)單個(gè)DAS設(shè)備通道進(jìn)行試驗(yàn)。首先，定期試驗(yàn)維護(hù)人員通過DAS機(jī)柜中T2試驗(yàn)開關(guān)切除未進(jìn)行T2功能試驗(yàn)的DAS設(shè)備通道的DO(DO，Digital Output)板卡的供電，確認(rèn)其無法輸出“觸發(fā)”信號(hào)后，再在DAS工程師站上執(zhí)行測試用例。測試用例按照DAS單通道和功能分別設(shè)計(jì)，通過對(duì)邏輯輸入信號(hào)進(jìn)行批量強(qiáng)制后，再監(jiān)視MPU邏輯輸出值并和預(yù)期值進(jìn)行比較來判斷試驗(yàn)成功與否。DAS系統(tǒng)T2試驗(yàn)方案如圖3所示。測試用例中還包括對(duì)帶自保持觸發(fā)器輸出信號(hào)狀態(tài)的試驗(yàn)前讀取和試驗(yàn)后恢復(fù)。

由于DAS系統(tǒng)冗余設(shè)備通道采用繼電器“二取二”表決邏輯輸出，且每次僅對(duì)其中一個(gè)DAS設(shè)備通道進(jìn)行試驗(yàn)，因此在試驗(yàn)期間DAS系統(tǒng)不會(huì)觸發(fā)設(shè)備動(dòng)作。需要注意的是，針對(duì)包含觸發(fā)器邏輯的試驗(yàn)，在試驗(yàn)結(jié)束后需要將觸發(fā)器的輸出狀態(tài)恢復(fù)到試驗(yàn)前的狀態(tài)。

圖3 T2試驗(yàn)方案示意圖Fig.3 Schematic of T2 test

2.3 T3試驗(yàn)

由于在反應(yīng)堆保護(hù)系統(tǒng)的不閉鎖T3成組驅(qū)動(dòng)器試驗(yàn)中已對(duì)CIM輸出到下游驅(qū)動(dòng)器的信號(hào)回路進(jìn)行了試驗(yàn)，因此DAS系統(tǒng)不需要再進(jìn)行T3驅(qū)動(dòng)器不閉鎖成組試驗(yàn)。DAS系統(tǒng)的T3試驗(yàn)分為兩種：一種為DAS系統(tǒng)輸出到CIM的驅(qū)動(dòng)器閉鎖型試驗(yàn)，另一種為DAS系統(tǒng)至外部系統(tǒng)的輸出連接試驗(yàn)。試驗(yàn)從DAS工程師站上觸發(fā)后便自動(dòng)地進(jìn)行。試驗(yàn)結(jié)果在DAS工程師站中進(jìn)行顯示。

2.3.1 DAS至CIM的輸出連接試驗(yàn)(驅(qū)動(dòng)器閉鎖型T3試驗(yàn))

DAS至CIM的輸出連接試驗(yàn)包括所有由DAS驅(qū)動(dòng)且受CIM控制的驅(qū)動(dòng)器(如圖4所示)。試驗(yàn)的目的是為了檢查DAS到CIM的輸出接口以及DAS與CIM之間的硬接線連接。定期試驗(yàn)維護(hù)人員首先把位于DAS機(jī)柜中T3試驗(yàn)開關(guān)切換至“試驗(yàn)”位置。在確認(rèn)T3試驗(yàn)開關(guān)旁的T3試驗(yàn)狀態(tài)指示燈點(diǎn)亮后，維護(hù)人員通過DAS工程師站強(qiáng)制觸發(fā)T3試驗(yàn)請(qǐng)求信號(hào)，CIM接收到此信號(hào)后會(huì)閉鎖CIM卡的DAS指令輸入，并通過安全相關(guān)機(jī)柜(提供CIM模塊的定期試驗(yàn)支持功能)發(fā)送試驗(yàn)允許信號(hào)給DAS[8]。在試驗(yàn)允許信號(hào)存在情況下，工程師站注入的試驗(yàn)指令信號(hào)才能發(fā)送到CIM。因此，此試驗(yàn)不會(huì)引起專設(shè)安全設(shè)施動(dòng)作。DAS每個(gè)通道的DO輸出通過繼電器2取2符合邏輯后發(fā)送信號(hào)至CIM。

圖4 DAS和CIM接口試驗(yàn)方案示意圖Fig.4 Schematic of DAS and CIM interface test

DAS每次只試驗(yàn)其中一個(gè)CIM接口，通過回讀DO輸出和CIM試驗(yàn)反饋信號(hào)的狀態(tài)判斷試驗(yàn)成功與否。每個(gè)CIM機(jī)柜試驗(yàn)后，DAS通過CIM試驗(yàn)允許未解除信號(hào)的狀態(tài)判斷該機(jī)柜中所有CIM是否都已解除，如有某個(gè)CIM試驗(yàn)允許未解除，試驗(yàn)不通過。

如果在試驗(yàn)過程中有真實(shí)的驅(qū)動(dòng)指令產(chǎn)生，那么該指令會(huì)立即閉鎖MT注入的試驗(yàn)指令信號(hào)，同時(shí)復(fù)位試驗(yàn)請(qǐng)求信號(hào)，以保證真實(shí)動(dòng)作信號(hào)立即觸發(fā)。試驗(yàn)請(qǐng)求被復(fù)位后，試驗(yàn)允許和試驗(yàn)反饋信號(hào)均為0，試驗(yàn)不通過。

2.3.2 DAS至外部系統(tǒng)的輸出連接試驗(yàn)

DAS系統(tǒng)至外部系統(tǒng)輸出連接試驗(yàn)包括DAS輸出到RGL(RGL，Rod Control System and Rod Position System)控制棒驅(qū)動(dòng)機(jī)構(gòu)電源柜的緊急停堆信號(hào)試驗(yàn)、DAS輸出到汽輪機(jī)保護(hù)系統(tǒng)GSE(GSE，Turbine Protection System)的汽機(jī)跳閘信號(hào)試驗(yàn)以及DAS輸出到主蒸汽系統(tǒng)VVP(VVP，Main Steam System)與化學(xué)和容積控制系統(tǒng)RCV(RCV，Chemical and Volume Control System)的信號(hào)試驗(yàn)。這一試驗(yàn)的目的是為了檢查DAS的輸出接口以及DAS與外部系統(tǒng)之間的硬接線連接。

以RGL系統(tǒng)為例，DAS送至控制棒控制系統(tǒng)RGL的緊急停堆信號(hào)(如圖5所示)，在RGL側(cè)進(jìn)行“四取二”表決后觸發(fā)緊急停堆，在DAS工程師站上每次只能試驗(yàn)其中的一路信號(hào)，當(dāng)試驗(yàn)其中某路信號(hào)時(shí)，其他三路輸出信號(hào)對(duì)應(yīng)的試驗(yàn)開關(guān)將無法操作；這樣的試驗(yàn)方案設(shè)計(jì)保證了試驗(yàn)時(shí)不會(huì)觸發(fā)目標(biāo)系統(tǒng)設(shè)備真實(shí)的動(dòng)作。DAS輸出到GSE的汽機(jī)停機(jī)信號(hào)的試驗(yàn)方式與此方式類似。

對(duì)于DAS送至RCV的信號(hào)(如圖6所示)，每次僅試驗(yàn)其中一個(gè)通道輸出，由于只有兩個(gè)通道信號(hào)同時(shí)存在時(shí)，“二取二”符合邏輯才有效，保證了試驗(yàn)時(shí)不會(huì)觸發(fā)目標(biāo)系統(tǒng)設(shè)備真實(shí)的動(dòng)作。試驗(yàn)結(jié)果在DAS工程師站上進(jìn)行顯示。

如果在試驗(yàn)過程中有真實(shí)的驅(qū)動(dòng)指令產(chǎn)生(兩路或兩路以上信號(hào)同時(shí)存在)，那么真實(shí)的動(dòng)作信號(hào)會(huì)立即觸發(fā)，并閉鎖試驗(yàn)反饋信號(hào)，試驗(yàn)不通過。

圖5 DAS與RGL/GSE接口試驗(yàn)方案示意圖Fig.5 Schematic of DAS and RGL/GSE interface test

圖6 DAS與VVP/RCV接口試驗(yàn)方案示意圖Fig.6 Schematic of DAS and VVP/RCV interface test

3 總結(jié)

田灣核電站擴(kuò)建工程5、6號(hào)機(jī)組的多樣化反應(yīng)堆保護(hù)系統(tǒng)定期試驗(yàn)方案是在滿足相關(guān)法規(guī)標(biāo)準(zhǔn)的前提下，根據(jù)FitRel系統(tǒng)平臺(tái)的特點(diǎn)來設(shè)計(jì)的，目前已經(jīng)應(yīng)用于施工設(shè)計(jì)中。它具有以下特點(diǎn)：

1)充分利用數(shù)字化儀控平臺(tái)的在線自檢功能、冗余信號(hào)間的交叉互校功能，提高了系統(tǒng)的自診斷覆蓋率，減少了定期試驗(yàn)頻度，對(duì)提高系統(tǒng)的可用性有利。在此基礎(chǔ)上，結(jié)合分段交迭的定期試驗(yàn)方式，擴(kuò)大了故障檢測范圍，顯著提高了定期試驗(yàn)的有效性。

2)通過在DAS系統(tǒng)和RPS系統(tǒng)設(shè)計(jì)信號(hào)分?jǐn)嗟堕l，簡化了T1試驗(yàn)的插拔線工作。與此同時(shí)，DAS工程師站的設(shè)計(jì)，使得T2和T3試驗(yàn)一經(jīng)觸發(fā)便可自動(dòng)執(zhí)行。試驗(yàn)人員可以在工程師站上直接觀察T3試驗(yàn)結(jié)果。上述設(shè)計(jì)減少了試驗(yàn)維護(hù)人員的工作量，提高了定期試驗(yàn)的工作效率。

3)DAS系統(tǒng)自身的“二取二”邏輯結(jié)構(gòu)和得電動(dòng)作設(shè)計(jì)，使得試驗(yàn)維護(hù)人員在進(jìn)行T2試驗(yàn)時(shí)不用擔(dān)心誤觸發(fā)下游設(shè)備動(dòng)作。通過設(shè)置合理的試驗(yàn)允許邏輯與試驗(yàn)閉鎖邏輯，并利用“四取二”和“二取二”符合設(shè)計(jì)，使得試驗(yàn)維護(hù)人員在對(duì)某一輸出通道進(jìn)行T3 試驗(yàn)時(shí)，不用擔(dān)心誤觸發(fā)目標(biāo)系統(tǒng)設(shè)備動(dòng)作或者閉鎖真實(shí)的保護(hù)動(dòng)作信號(hào)。這些試驗(yàn)設(shè)計(jì)可以降低電廠設(shè)備在試驗(yàn)期間的誤觸發(fā)概率，也提高了試驗(yàn)的靈活性。

與由基于微處理器技術(shù)實(shí)現(xiàn)的反應(yīng)堆保護(hù)系統(tǒng)(FirmSys)相比，基于FPGA技術(shù)實(shí)現(xiàn)的DAS系統(tǒng)(FitRel)雖然沒有操作系統(tǒng)和軟件，但是在定期試驗(yàn)內(nèi)容、方法和策略上，兩者無明顯差異。