秦二廠保護系統(tǒng)ATWT分析與改進

黃 遠，李 捷

（中核核電運行管理有限公司 維修三處，浙江 海鹽 314300）

0 引言

反應堆保護系統(tǒng)是核電站重要的控制系統(tǒng)，作為保護系統(tǒng)的一部分，ATWT系統(tǒng)是為了解決預期瞬態(tài)不停堆而增設的一套系統(tǒng)[1]。ATWT系統(tǒng)監(jiān)測蒸發(fā)器給水流量，在兩臺蒸發(fā)器給水流量均低于定值時觸發(fā)啟動輔助給水、汽機剎車以及緊急停堆信號。ATWT系統(tǒng)的邏輯處理和輸出線路由繼電器組成，包含多個單一故障點，這使得ATWT系統(tǒng)試驗具有較高的停機停堆風險。2013年，秦二廠2號機組發(fā)生了在ATWT系統(tǒng)試驗期間由于試驗閉鎖回路故障導致的停機停堆事件，自事件以來，秦二廠陸續(xù)對ATWT系統(tǒng)實施了多項改進，包括試驗流程改進以及閉鎖回路改進，這些改進尤其是ATWT閉鎖回路改進，有效地提高了ATWT閉鎖可靠性，大大降低了試驗風險，降低了系統(tǒng)誤動概率，進一步完善了保護系統(tǒng)，對電廠的安全穩(wěn)定運行具有重要意義。

圖1 反應堆保護系統(tǒng)結構方框圖Fig.1 Block diagram of reactor protection system structure

1 保護系統(tǒng)ATWT概述

由所有電器件、機械器件和線路（從傳感器一直到執(zhí)行機構的輸入端）組成的產生保護信號的系統(tǒng)稱為反應堆保護系統(tǒng)，反應堆保護系統(tǒng)的邏輯處理裝置簡稱RPR，它包括緊急停堆系統(tǒng)、專設安全系統(tǒng)和ATWT系統(tǒng)。反應堆保護系統(tǒng)的結構方框圖如圖1所示。

反應堆保護系統(tǒng)的主要功能是在異常工況或事故工況下，通過停堆和（或）啟動專設安全設施，以防止或減輕堆芯和冷卻劑系統(tǒng)部件的損壞，保護三大核安全屏障的完整性，避免引起放射性物質大量逸出，保護核電廠周圍環(huán)境不受污染以及人員的安全。當電站運行到某種狀態(tài)時允許手動或自動閉鎖某些保護動作，防止系統(tǒng)誤動作；當反應堆出現異常，但還不至于馬上危及反應堆安全時，為確保電站連續(xù)正常運行，保護系統(tǒng)向主控室操作人員發(fā)出報警信號或閉鎖相關系統(tǒng)提供安全措施，如停棒（啟堆時）或插棒（功率運行時）使反應堆恢復到安全運行狀態(tài)；當運行參數超過停堆整定值時，能快速緊急停堆；當出現超過停堆保護能力的事故時，能快速停堆并啟動相應的專設安全設施，控制事故進一步發(fā)展和防止放射性物質擴散。

圖2 ATWT系統(tǒng)邏輯圖Fig.2 ATWT System logic diagram

作為保護系統(tǒng)的一部分，ATWT系統(tǒng)是為了解決預期瞬態(tài)不停堆而增設的一套系統(tǒng)(ATWT是預期瞬態(tài)不停堆的英文縮寫：Anticipated Transient Without Trip )，ATWT系統(tǒng)采用不同于反應堆保護系統(tǒng)所使用的CMOS邏輯線路，它的邏輯處理和輸出線路由繼電器組成，與反應堆保護系統(tǒng)在電氣上以及實體上進行隔離，并與緊急停堆系統(tǒng)在設備上體現了多樣性。ATWT系統(tǒng)監(jiān)測蒸發(fā)器給水流量，在兩臺蒸發(fā)器給水流量均低于定值時觸發(fā)啟動輔助給水、汽機剎車以及緊急停堆信號，在堆外核測系統(tǒng)兩個中間量程均大于30%FP前，ATWT信號是被閉鎖的。對預期瞬態(tài)不停堆工況的研究表明：如果能啟動輔助給水，汽輪機能剎車，則其后果是可以接受的[2]。ATWT系統(tǒng)邏輯圖如圖2所示。

2 ATWT系統(tǒng)分析

2.1 ATWT系統(tǒng)單一故障點分析

單一故障準則是反應堆保護系統(tǒng)重要的設計準則，它是指某設備組合（某系統(tǒng)）在其任何部位發(fā)生可信的單一隨機故障時仍能執(zhí)行其正常功能，即系統(tǒng)內的單一故障既不會妨礙系統(tǒng)完成要求的保護功能，也不會給出虛假的保護動作信號。簡而言之，就是單個部位故障既不會造成系統(tǒng)拒動，也不會造成系統(tǒng)誤動。下面所指的單一故障點就是自身故障會引起系統(tǒng)拒動或誤動的單個系統(tǒng)零部件（包括試驗開關、繼電器、電源等）。ATWT原理簡圖如圖3所示。

由ATWT原理圖可以看出，ATWT系統(tǒng)有以下單一故障點：

1）延時繼電器

延時繼電器拒動或其觸點接觸不良，將導致ATWT輸出繼電器無法動作，ATWT系統(tǒng)拒動。

2）試驗信號繼電器

圖3 ATWT原理簡圖Fig.3 ATWT Principle diagram

試驗信號繼電器拒動或其觸點粘連，若此時進行ATWT試驗將導致系統(tǒng)誤動；試驗信號繼電器誤動或其觸點接觸不良，將導致ATWT系統(tǒng)拒動。

3）輸出繼電器

輸出繼電器誤動或其觸點接觸不良，將導致ATWT系統(tǒng)誤動；同理，輸出繼電器拒動或其觸點粘連將導致ATWT系統(tǒng)拒動。

4）閉鎖繼電器

在閉鎖ATWT時，若閉鎖繼電器拒動或其觸點接觸不良將導致ATWT系統(tǒng)誤動；反之同理。

5）RPA462CC

此轉換開關直接控制閉鎖繼電器，故障時對系統(tǒng)的影響同上。

6）RPA/B318CC

RPA/B318CC與閉鎖繼電器觸點共同組成閉鎖回路，故障時對系統(tǒng)的影響同閉鎖繼電器。

7）RPA724UD

此電源是為延時繼電器、輸出繼電器以及閉鎖繼電器供電，當其故障時，ATWT系統(tǒng)將拒動。

8）RPA731UD

此電源為試驗信號繼電器供電，當其故障時，試驗信號繼電器拒動，若此時進行ATWT試驗將導致系統(tǒng)誤動。

2.2 ATWT試驗分析

2.2.1 ATWT試驗簡介

ATWT系統(tǒng)在投運后，每兩個月執(zhí)行一次周期試驗。ATWT試驗使用的設備是ATWT機柜本身，機柜里有旋轉開關和試驗按鈕。試驗分兩個階段進行：第一階段試驗輸入繼電器，分別試驗主給水流量和中間量程中子注量率輸入信號，檢查其單個及符合信號的正確性。當然如果主給水流量本身就低于6%NF或中間量程中子注量率≥30%FP，則分別不做上兩項試驗；第二階段試驗總體符合輸出繼電器電路，此時，保護動作觸發(fā)信號的輸出是被禁止的，利用機柜內的指示燈判斷繼電器的動作是否正常。具體試驗流程如圖4所示。

圖4 ATWT試驗流程Fig.4 ATWT Test flow

2.2.2 ATWT試驗風險分析

在進行ATWT試驗時，中間量程允許信號、SG1/2給水流量低信號試驗開關動作，會觸發(fā)試驗信號，試驗信號繼電器動作后使ATWT輸出繼電器無法動作，而ATWT輸出試驗時，閉鎖繼電器會動作，即整個試驗過程中，ATWT系統(tǒng)處于拒動狀態(tài)。

1）中間量程允許信號試驗

在進行中間量程允許信號試驗時，若SG1/2給水流量低信號存在，則會產生ATWT信號，但被試驗信號繼電器閉鎖。

2）SG1/2給水流量低試驗

進行SG1/2給水流量低試驗時，若中間量程允許信號存在，又同時觸發(fā)SG2/1給水流量低信號，則會產生ATWT信號，但被試驗信號繼電器閉鎖。

3）ATWT組合邏輯試驗

組合邏輯試驗時會直接產生ATWT信號，同樣被試驗信號繼電器閉鎖。

4）ATWT輸出試驗（或停堆ATWT試驗）

輸出試驗時，試驗信號不存在，延時繼電器動作后，輸出繼電器動作，但其輸出被閉鎖繼電器以及RPA/B318CC閉鎖。

圖5 改進后ATWT試驗流程Fig.5 Improved ATWT test process

綜上所述，在進行ATWT試驗時，風險主要在于試驗信號繼電器、閉鎖繼電器以及RPA/B318CC閉鎖有效性。試驗信號繼電器是靠其常閉觸點斷開閉鎖，閉鎖繼電器靠其常開觸點閉合閉鎖（停堆信號、GCT聯(lián)鎖信號），PRA/B318CC同樣靠其觸點閉合來閉鎖，根據經驗，繼電器觸點斷開或閉合故障較為少見，而轉換開關觸點閉合故障卻時有發(fā)生。因此，ATWT試驗（包括停堆ATWT試驗）高風險點在于閉鎖回路有效性，也就是RPA/B318CC轉換開關觸點性能是否良好。

3 ATWT系統(tǒng)改進

3.1 ATWT試驗流程改進

在進行ATWT兩月周期試驗時，除了ATWT輸出部分試驗，其余部分均依賴試驗信號繼電器閉鎖，若試驗期間試驗信號繼電器故障，可能使ATWT信號觸發(fā)，直接造成停機停堆等嚴重后果。為了防止這種情況發(fā)生，可在試驗開始前，將RPA462CC打至P3位置，即讓閉鎖繼電器動作，閉鎖ATWT輸出信號。改進后流程如圖5所示，這樣便消除了試驗繼電器這個單一故障點，降低了ATWT試驗風險。

3.2 ATWT閉鎖回路改進

ATWT輸出閉鎖會將緊急停堆、啟動輔助給水泵等所有輸出信號閉鎖，停堆閉鎖則是重中之重。停堆閉鎖由318CC和閉鎖繼電器的觸點串聯(lián)而成，318CC開關觸點性能是影響閉鎖回路有效性的重要因素。2013年8月21日，秦二廠2#機組停堆ATWT試驗期間，曾發(fā)生了由于試驗開關2RPA318CC的25-025觸點閉合不良而引起的停堆閉鎖失效，導致停堆停機的事件。

圖6 318CC改進前后Fig.6 318CC Before and after improvement

圖7 ATWT停堆閉鎖回路優(yōu)化后Fig.7 After the ATWT shutdown latch loop is optimized

318CC開關觸點性能不穩(wěn)定且停堆閉鎖回路狀態(tài)缺乏有效監(jiān)測手段，是造成試驗風險過高的主要原因。為解決這一問題，秦二廠對ATWT停堆閉鎖回路先后進行了兩項改進。

3.2.1 318CC開關觸點并聯(lián)

將閉鎖回路中318CC開關觸點再并聯(lián)一副觸點，這樣只有兩副觸點同時故障才會導致閉鎖失效，大大降低了閉鎖失效概率，改進前后如圖6所示。

3.2.2 ATWT閉鎖回路優(yōu)化

為了實現ATWT停堆閉鎖回路狀態(tài)監(jiān)測，同時優(yōu)化閉鎖回路，秦二廠提出了“通過繼電器實現閉鎖和監(jiān)測”方案，在保證繼電器自身可靠性的前提下，可完成閉鎖以及回路監(jiān)測，避免誤停堆?；芈穬?yōu)化后如圖7所示。

這樣優(yōu)化不僅實現了停堆閉鎖監(jiān)測，還有以下優(yōu)點：

1）318CC觸點不直接參與停堆閉鎖，停堆閉鎖僅靠繼電器的一副觸點實現，有效降低了閉鎖回路對318CC的敏感性，提高了ATWT停堆閉鎖的可靠性。

2）通過觸點并聯(lián)使閉鎖開關462CC的閉鎖觸點由一副增加為兩副，大大降低了閉鎖指令失效的概率，提高了ATWT輸出閉鎖可靠性。

3）閉鎖成功后，新增繼電器通過自身觸點自保持，能夠完全避免318CC失效帶來的影響，進一步提高了ATWT停堆閉鎖的可靠性。

ATWT閉鎖回路的優(yōu)化有效地提高了ATWT輸出閉鎖、停堆閉鎖的可靠性，大大降低了試驗風險，通過閉鎖監(jiān)測，基本避免了停堆閉鎖失效情況下試驗人員繼續(xù)試驗導致停堆的事件發(fā)生，進一步完善了保護系統(tǒng)，對于電廠安全穩(wěn)定運行具有重要意義。但需要注意的是：

a）在ATWT停堆閉鎖成功后，只能通過閉鎖繼電器也就是開關462CC解除閉鎖，318CC不再具有解除閉鎖功能。只有在停堆回路沒閉鎖時，318CC才具有禁止閉鎖功能。

b）閉鎖繼電器、新增繼電器都僅有一副觸點直接參與閉鎖，可通過再并聯(lián)一副自身觸點的方法，簡單、直接地進一步提高閉鎖回路可靠性。

4 總結

作為保護系統(tǒng)的一部分，ATWT系統(tǒng)在正常運行或試驗時一旦誤動將造成停機、停堆等嚴重后果，嚴重影響電廠的經濟效益。本文簡單介紹了ATWT系統(tǒng)，通過對ATWT系統(tǒng)的仔細分析，找出了ATWT系統(tǒng)的單一故障點；同時，根據ATWT試驗方法和流程，結合故障經驗，詳細地列出了ATWT試驗存在的風險，并一針見血地指出了試驗高風險點。重要的是，本文細致地講解了針對試驗風險的系統(tǒng)改進并指出了改進需要注意的地方，這些改進尤其是ATWT閉鎖回路改進，有效地提高了ATWT閉鎖可靠性，大大降低了試驗風險，降低了系統(tǒng)誤動概率，進一步完善了保護系統(tǒng)，對電廠的安全穩(wěn)定運行具有重要意義。上述內容都具有重要的借鑒意義和工程實際應用價值，可供相關工程技術人員參考。