AP1000自動(dòng)卸壓系統(tǒng)閉鎖功能及可靠性分析

劉樂　張豐平

摘要：AP1000自動(dòng)卸壓系統(tǒng)（ADS）中泄壓閥的動(dòng)作由保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）控制實(shí)現(xiàn)，它的誤觸發(fā)引起的一回路壓降危害不亞于LOCA事故，而PMS的軟件共模故障可能導(dǎo)致這樣的誤觸發(fā)發(fā)生。為了降低ADS系統(tǒng)誤觸發(fā)的概率，AP1000設(shè)計(jì)了ADS閉鎖模塊用于對(duì)觸發(fā)條件的重復(fù)確認(rèn)。文章介紹ADS觸發(fā)閉鎖模塊的原理和設(shè)計(jì)，分析ADS誤動(dòng)和拒動(dòng)的可能性。

關(guān)鍵詞：核電站；AP1000；自動(dòng)卸壓；中泄壓閥；ADS閉鎖模塊

中圖分類號(hào)：TL48 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-2374（2013）11-0074-03

1 自動(dòng)卸壓系統(tǒng)簡(jiǎn)介

AP1000壓水堆核電站設(shè)計(jì)了自動(dòng)卸壓系統(tǒng)（簡(jiǎn)稱為ADS），它的動(dòng)作用來降低反應(yīng)堆冷卻劑系統(tǒng)的壓力，以實(shí)現(xiàn)堆芯補(bǔ)水箱（CMT）中含硼水的注入、堆內(nèi)換料水儲(chǔ)存箱（IRWST）中冷卻水的注入及安全殼再循環(huán)啟動(dòng)；自動(dòng)卸壓系統(tǒng)是反應(yīng)堆冷卻劑系統(tǒng)的一部分，并且與非能動(dòng)堆芯冷卻系統(tǒng)連接，包含4組順序開啟的閥門，用以降低反應(yīng)堆冷卻劑系統(tǒng)的壓力，從而使非能動(dòng)堆芯冷卻系統(tǒng)能為堆芯提供長(zhǎng)期冷卻。

自動(dòng)卸壓系統(tǒng)包含4個(gè)卸壓等級(jí)，主要包括10個(gè)泄壓閥，分別連接到反應(yīng)堆冷卻劑系統(tǒng)的三個(gè)不同位置。前3級(jí)自動(dòng)卸壓閥為電動(dòng)閥，第4級(jí)自動(dòng)卸壓閥是爆破閥。第1、2、3級(jí)自動(dòng)卸壓系統(tǒng)各有兩條管線，每條管線上串聯(lián)兩只電動(dòng)閥，上游的為隔離閥，下游的為調(diào)節(jié)閥。每一條管線的入口經(jīng)過一條公用母管，與穩(wěn)壓器頂部相連，每一條管線的出口與公用的卸壓母管相連，通過噴淋管線上的噴淋頭注入堆內(nèi)換料水儲(chǔ)存箱中。第4級(jí)自動(dòng)卸壓系統(tǒng)包括對(duì)稱的兩路管線，其中一路通過一個(gè)入口與一個(gè)熱段管線相連，兩條管線一路。圖1為自動(dòng)卸壓系統(tǒng)概要圖。

2 自動(dòng)卸壓系統(tǒng)的控制

自動(dòng)卸壓系統(tǒng)作為專設(shè)安全設(shè)施之一，泄壓閥的動(dòng)作由保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）控制實(shí)現(xiàn)，它的觸發(fā)邏輯有3個(gè)：堆芯補(bǔ)水箱注入并且4個(gè)序列中的2個(gè)序列探測(cè)到任何一個(gè)堆芯補(bǔ)水箱液位低-1設(shè)定點(diǎn)；長(zhǎng)期失去交流電源（IDS低電壓信號(hào)）；手動(dòng)觸發(fā)。

2.1 ADS閉鎖模塊

保護(hù)和安全監(jiān)測(cè)系統(tǒng)為每個(gè)序列提供了一塊ADS閉鎖模塊，該模塊為1E級(jí)模塊，使用常規(guī)的模擬量模塊，不依賴于軟件，其概念圖如圖2。序列間的閉鎖模塊相互之間沒有連接，也不進(jìn)行選擇邏輯判斷。輸出給CIM的信號(hào)用在Z端口的關(guān)方向，相比用于正常觸發(fā)ADS的X端口，CIM的Z端口擁有更高的優(yōu)先級(jí)，因此送到Z端口的閉鎖命令將阻止從集成邏輯處理器ILP來的ADS觸發(fā)信號(hào)。每個(gè)序列模塊對(duì)4個(gè)閥門進(jìn)行閉鎖，對(duì)于ADS第4級(jí)，這些閥門由PMS的兩個(gè)序列來驅(qū)動(dòng)，則需對(duì)兩個(gè)序列都進(jìn)行閉鎖。除了輸入和輸出的連接以及它的供電，ADS閉鎖模塊不與PMS的其他設(shè)備共享電回路。表1為ADS閉鎖模塊的序列分配情況。

2.2 ADS觸發(fā)的閉鎖功能設(shè)計(jì)

AP1000設(shè)計(jì)已經(jīng)采取了一定數(shù)量的方法來減少誤觸發(fā)ESF功能的可能性。不過，一個(gè)或多個(gè)安全序列的軟件共模故障仍可能導(dǎo)致系統(tǒng)級(jí)的誤觸發(fā)。對(duì)于ADS，它的動(dòng)作引起的一回路壓降危害不亞于LOCA事故，這樣的誤觸發(fā)是無法接受的，因此，AP1000設(shè)計(jì)了ADS觸發(fā)的閉鎖控制。

ADS閉鎖設(shè)計(jì)的出發(fā)點(diǎn)是對(duì)ADS觸發(fā)條件的再確認(rèn)，以確保ADS動(dòng)作不是由于誤觸發(fā)。對(duì)于PMS軟件共模故障，主要是針對(duì)ADS觸發(fā)的自動(dòng)控制邏輯。

首先，假設(shè)專設(shè)安全設(shè)施S信號(hào)觸發(fā)，PMS打開堆芯補(bǔ)水箱CMT的下部閥門，將含硼水注入RCS進(jìn)行補(bǔ)充，硼水在重力的作用下注入反應(yīng)堆。若沒有發(fā)生LOCA，這些閥門的打開不會(huì)引起RCS排水，CMT的循環(huán)是封閉回路，進(jìn)入反應(yīng)堆的硼水由冷段的冷卻劑進(jìn)行補(bǔ)充，CMT的液位不會(huì)下降；若發(fā)生LOCA，則CMT的液位將會(huì)持續(xù)下降。因此，測(cè)得的CMT液位是真實(shí)LOCA的有效指示，將CMT液位作為ADS閉鎖信號(hào)是合理的。兩個(gè)CMT分別包括四個(gè)窄量程液位計(jì)，液位信號(hào)分別輸入到四個(gè)序列。ADS閉鎖模塊與PMS模擬量輸入卡件AI688共享CMT液位傳感器的輸入，經(jīng)過閉鎖判斷的輸出通過硬接線輸出至ILC機(jī)柜的CIMZ端口輸入端接點(diǎn)。在正常運(yùn)行時(shí)，4～20mA的信號(hào)高于設(shè)定值，報(bào)警輸出觸點(diǎn)閉合，ADS觸發(fā)被閉鎖；在真實(shí)的LOCA事故發(fā)生時(shí)，任意一個(gè)CMT液位下降到設(shè)定值以下，輸出觸點(diǎn)打開，ADS閉鎖解除。

其次，在失去交流電源時(shí)需解除對(duì)ADS的閉鎖，該模塊接收來自蓄電池繼電器的觸點(diǎn)輸入，當(dāng)任一繼電器指示電壓低于設(shè)定值，則解除對(duì)ADS的閉鎖。

最后，AP1000也在在主控室提供了手動(dòng)解鎖的開關(guān)，每個(gè)序列一個(gè)。在自動(dòng)觸發(fā)失效時(shí)，操縱員可以通過這些開關(guān)進(jìn)行手動(dòng)ADS觸發(fā)解鎖。通過在主控室監(jiān)測(cè)CIM的X、Y端口的狀態(tài)獲得ADS的閉鎖情況。

當(dāng)主控不可用時(shí)，遠(yuǎn)程停堆站RSW需要具備手動(dòng)觸發(fā)ADS的能力，每個(gè)序列的MCR/RSW切換開關(guān)可以將電廠的控制從主控室切換到遠(yuǎn)程停堆站。這些切換開關(guān)動(dòng)作的同時(shí)將解除ADS閉鎖，使RSW具備手動(dòng)觸發(fā)ADS的能力。

綜上所述，CMT低液位信號(hào)，IDS電池低電壓信號(hào)，手動(dòng)解鎖信號(hào)和MCR/RSW切換信號(hào)中的任意一個(gè)都可以解除閉鎖。

3 可靠性分析

3.1 獨(dú)立性

為了有效地防止誤觸發(fā)，ADS閉鎖模塊獨(dú)立于PMS的故障模式。ADS閉鎖模塊位于PMS的雙穩(wěn)態(tài)邏輯BCC機(jī)柜中，與PMS共享輸入信號(hào)、輸出設(shè)備CIM和供電電源，但并不影響其閉鎖功能的獨(dú)立性。

3.1.1 共享輸入信號(hào)。PMS的自動(dòng)ADS低CMT液位結(jié)合CMT驅(qū)動(dòng)信號(hào)觸發(fā)，比如穩(wěn)壓器液位低。因此，單獨(dú)的CMT液位低不會(huì)導(dǎo)致誤觸發(fā)，且故障液位信號(hào)可以通過其他序列的交叉比較發(fā)現(xiàn)，這些信號(hào)的共享不影響閉鎖功能的獨(dú)立性。

3.1.2 共享設(shè)備接口模塊。ADS閉鎖模塊使用CIM的Z端口，CIM具備監(jiān)測(cè)和維護(hù)的特點(diǎn)，因此沒有必要增加額外的信號(hào)閉鎖設(shè)備，共享CIM不會(huì)影響閉鎖功能的獨(dú)立性，因?yàn)镃IM本身不是誤觸發(fā)的源頭：

（1）任何ADS路徑的觸發(fā)都要求動(dòng)作同一序列的兩個(gè)CIM。在1、2、3級(jí)CIM打開串聯(lián)的電動(dòng)閥的情況下，第4級(jí)ADS的爆破閥的裝填和點(diǎn)火由不同的CIM來執(zhí)行，這兩個(gè)CIM位于不同的PMS機(jī)柜，由不同的PMS處理器來觸發(fā)。

（2）一個(gè)序列中用于打開ADS路徑的兩個(gè)CIM之間不存在接口，不存在一個(gè)CIM的故障引起另外一個(gè)CIM故障的情況。且CIM是得電動(dòng)作，CIM故障也不會(huì)誤觸發(fā)。

（3）CIM接收的只是簡(jiǎn)單的打開/閉合閥門的命令，不存在復(fù)位、模式切換等命令。

（4）ADS觸發(fā)不接收來自電廠控制系統(tǒng)（PLS）的命令，因?yàn)樗鼈兪菚?huì)導(dǎo)致嚴(yán)重后果的閥門。

（5）CIM通過串行數(shù)據(jù)鏈路從PMS接收信號(hào)，且具備自診斷錯(cuò)誤檢查功能，自動(dòng)剔除壞點(diǎn)信號(hào)。

（6）CIM在失去指令的情況下默認(rèn)動(dòng)作為不觸發(fā)輸出。

（7）Z端口的使用不會(huì)增加新的故障模式，它本身就存在于CIM當(dāng)中，只是使用與否，因此已經(jīng)考慮它的可靠性了。

3.1.3 共享供電電源。共享供電電源也不會(huì)影響閉鎖功能的獨(dú)立性，機(jī)柜斷電不會(huì)引起ESF信號(hào)輸出，盡管此時(shí)ADS閉鎖已經(jīng)解除，但也不會(huì)引起ADS的誤觸發(fā)。ADS閉鎖模塊使用4個(gè)光電隔離器向4個(gè)CIM提供閉鎖信號(hào)，光電隔離器為閉鎖模塊的電源與CIM內(nèi)部48V電源之間提供隔離。采用專用的24V濕電壓給閉鎖模塊、模塊的輸入觸點(diǎn)和固態(tài)繼電器提供電源，該電源由機(jī)柜提供，且與機(jī)柜供電隔離。

3.2 故障拒動(dòng)分析

ADS閉鎖模塊設(shè)計(jì)為“故障安全”，當(dāng)ADS閉鎖模塊故障時(shí)，它對(duì)ADS觸發(fā)的閉鎖被解除，或者當(dāng)輸入條件大于設(shè)定值時(shí)，模塊的故障也不會(huì)阻礙ADS閉鎖的解除。也就是說ADS閉鎖模塊故障發(fā)生或輸入滿足條件，都將解除閉鎖。

針對(duì)ADS閉鎖模塊進(jìn)行的試驗(yàn)表明，86%的故障會(huì)朝安全方向發(fā)展，也就是說86%的模塊故障對(duì)ADS閉鎖模塊進(jìn)行了解鎖，而14%的模塊故障無法解鎖ADS閉鎖模塊。針對(duì)ADS閉鎖模塊進(jìn)行平均故障間隔（MTBF）分析，評(píng)估的模塊故障率為λ=372/1.0E+09。引起故障拒動(dòng)可能是模塊故障引起的，也可能是傳感器故障引起。

3.2.1 模塊故障。ADS閉鎖模塊故障向“非故障安全”的方向發(fā)展，沒有對(duì)ADS進(jìn)行解鎖，這種情況可能阻止必要的ADS觸發(fā)。按照ADS閉鎖模塊的設(shè)計(jì)，這類故障一般只會(huì)在定期試驗(yàn)時(shí)發(fā)現(xiàn)，如果發(fā)生這種情況，序列的ADS無法觸發(fā)的平均時(shí)間為定期試驗(yàn)周期的一半（平均恢復(fù)時(shí)間MTTR）。AP1000 PMS中，每個(gè)序列的ESF功能定期試驗(yàn)周期為92天。因此，由閉鎖模塊引起的ADS無法觸發(fā)的概率PFD（要求時(shí)失效概率，Probability of Failure on Demand）可以由下述計(jì)算得到：

PFD=λD×tCE

式中：

λD——模塊的故障失效率

tCE——模塊的等效平均停止工作時(shí)間

3.2.2 傳感器故障。兩個(gè)CMT液位傳感器的同時(shí)故障也將導(dǎo)致序列的ADS觸發(fā)故障。當(dāng)PMS系統(tǒng)邏輯滿足觸發(fā)條件時(shí)，序列應(yīng)該觸發(fā)ADS，但是由于閉鎖模塊未被解鎖，該序列的觸發(fā)沒有發(fā)生。傳感器的故障可以通過不同序列間的冗余交叉比較立即發(fā)現(xiàn)，對(duì)傳感器進(jìn)行維修，使之投入運(yùn)行的預(yù)計(jì)時(shí)間為72小時(shí)，傳感器的故障率為1.0E-07f/hour，單個(gè)傳感器的故障為7.2E-06，兩個(gè)傳感器的故障為5.2E-11，即使是非常低的可能性，我們?nèi)匀豢紤]了傳感器的共模故障，盡管這種情況與ADS閉鎖模塊的故障相比微乎其微。假設(shè)單個(gè)序列故障，也不會(huì)阻止整個(gè)ADS功能的觸發(fā)，這種故障的結(jié)果對(duì)堆芯的損壞概率非

常低。

3.2.3 故障誤動(dòng)分析。當(dāng)ADS閉鎖模塊故障，未能閉鎖ADS觸發(fā)功能，則可能導(dǎo)致ADS誤觸發(fā)。在這種情況下，閉鎖的解除可以通過PMS和DCIS監(jiān)測(cè)的CIM狀態(tài)立即被發(fā)現(xiàn)，ADS閉鎖模塊非常容易替換，但是由于并沒有喪失安全功能，因此對(duì)它的維修并不是最緊急的。此處假設(shè)維修的平均時(shí)間為24小時(shí)，則閉鎖模塊不可用的概率為：

PFD=372×10-9×86%×24=7.7×10-6

如此低的可能性，結(jié)合低的誤觸發(fā)概率，使得這種情況發(fā)生的可能性更低。

4 結(jié)語

AP1000自動(dòng)卸壓系統(tǒng)（ADS）的誤觸發(fā)引起的壓降危害不亞于LOCA事故，它的觸發(fā)或動(dòng)作需要額外關(guān)注，為了防止PMS軟件共模故障引起的ADS系統(tǒng)誤觸發(fā)，AP1000設(shè)計(jì)了1E級(jí)硬件模塊ADS閉鎖模塊，用于對(duì)觸發(fā)條件的重復(fù)確認(rèn)。試驗(yàn)和分析表明，ADS閉鎖模塊的應(yīng)用降低了ADS誤觸發(fā)的可能，同樣也不會(huì)引入不必要的拒動(dòng)概率。

參考文獻(xiàn)

[1]顧軍，繆亞民，范福平，等.AP1000核電廠系統(tǒng)與設(shè)備[M].北京：原子能出版社，2010.

[2]陸朝榮，施毅.設(shè)備故障率和設(shè)備維修策略[M].北京：機(jī)械工業(yè)出版社，2004.

作者簡(jiǎn)介：劉樂（1987—），男，湖北洪湖人，供職于三門核電有限公司，研究方向：AP1000核電項(xiàng)目電廠控制系統(tǒng)維護(hù)及管理。

（責(zé)任編輯：劉 晶）