核電廠EDG數(shù)字化保護(hù)系統(tǒng)定期試驗設(shè)計

王慶明，張國勝，劉靜波，王曉衛(wèi)

（北京廣利核系統(tǒng)工程有限公司，北京 100094）

0 引言

核電廠應(yīng)急柴油發(fā)電機組（Emergency Diesel Generator，簡稱EDG）作為重要后備電源，為反應(yīng)堆安全停堆所需的中低壓核輔助設(shè)備提供電源，防止由于外部交流電源喪失而導(dǎo)致重要設(shè)備損壞，從而保障人身和環(huán)境安全。EDG保護(hù)系統(tǒng)作為神經(jīng)中樞，直接影響著EDG的整體可靠性。

目前，CPR1000核電站EDG保護(hù)系統(tǒng)多為國外采購的模擬儀控系統(tǒng)，大多使用模擬元器件搭建，運行中呈現(xiàn)定值漂移、故障率高、自診斷能力差等特點，面臨備件停產(chǎn)無可替代的局面，嚴(yán)重影響著EDG的可靠性。隨著先進(jìn)數(shù)字化技術(shù)的廣泛應(yīng)用，儀控系統(tǒng)迎來巨大變革，數(shù)字化儀控技術(shù)逐漸應(yīng)用于柴油機領(lǐng)域。與傳統(tǒng)模擬儀控系統(tǒng)的結(jié)構(gòu)不同，數(shù)字化儀控系統(tǒng)是軟硬件的綜合體，集成度更高，可維護(hù)性和可擴展能力更強。數(shù)字化儀控系統(tǒng)在應(yīng)用技術(shù)、開發(fā)手段、故障失效模式、狀態(tài)監(jiān)測、可靠性分析和定期試驗方式等方面，均與傳統(tǒng)模擬儀控系統(tǒng)存在較大區(qū)別。

本文目標(biāo)是通過系統(tǒng)地分析數(shù)字化保護(hù)系統(tǒng)定期試驗相關(guān)法規(guī)標(biāo)準(zhǔn)，結(jié)合當(dāng)前EDG整體定期試驗策略，通過分析設(shè)計要求、論述設(shè)計過程、對比和優(yōu)化試驗策略，最終提煉出一套完整的EDG數(shù)字化定期試驗方案。

1 EDG整體定期試驗策略

根據(jù)國內(nèi)外相關(guān)法規(guī)標(biāo)準(zhǔn)要求，為驗證EDG的各項性能指標(biāo)，確保系統(tǒng)可靠性和可用性，需要進(jìn)行定期試驗。據(jù)統(tǒng)計，現(xiàn)有的核電站EDG機組僅執(zhí)行整體定期試驗，未針對基于模擬技術(shù)的EDG保護(hù)系統(tǒng)進(jìn)行專項定期試驗。

國內(nèi)壓水堆核電廠EDG定期試驗包括低功率試驗和滿功率試驗兩種。低功率試驗通過切斷外部正常電源并切換至內(nèi)部電源來進(jìn)行，用以驗證柴油發(fā)電機組的啟動順序以及電壓和頻率調(diào)節(jié)均能正確地履行其功能，試驗周期一般為兩個月一次。滿功率試驗通過母線將柴油發(fā)電機組并網(wǎng)到廠外輔助電網(wǎng)來進(jìn)行，用以驗證柴油發(fā)電機組向?qū)ＴO(shè)應(yīng)急安全設(shè)備提供額定功率的能力，試驗周期一般為每個換料周期一次。

核電廠的特殊性對EDG提出了快速啟動的要求，其試驗也分為慢啟動試驗和快啟動試驗。慢啟動試驗證明EDG從備用條件下正常啟動的能力，驗證電壓和頻率達(dá)到設(shè)計要求。

快啟動試驗證明EDG從備用條件啟動并驗證在可接受的時間內(nèi)達(dá)到電壓和頻率限值。隨著國內(nèi)外核電業(yè)界的實踐、優(yōu)化論證、安全分析并最終獲得法規(guī)許可，國內(nèi)壓水堆核電廠EDG慢啟動試驗周期確定為每個月一次，快啟動試驗確定為每6個月一次。

上述試驗為EDG整體定期試驗，未提及EDG保護(hù)系統(tǒng)的專項定期試驗，但原則上可以一定程度上覆蓋或簡化EDG保護(hù)系統(tǒng)的專項定期試驗。目前，核電行業(yè)內(nèi)針對EDG保護(hù)系統(tǒng)數(shù)字化儀控系統(tǒng)應(yīng)用后的定期試驗方案暫無明確統(tǒng)一的論述，概念相對模糊，存在遺漏部分系統(tǒng)失效模式的可能性。

2 EDG保護(hù)系統(tǒng)定期試驗要求

EDG保護(hù)系統(tǒng)作為EDG機組整體儀控系統(tǒng)的重要組成部分，主要實現(xiàn)EDG安全保護(hù)功能，屬于重要安全系統(tǒng)設(shè)備。因此，EDG保護(hù)系統(tǒng)需要滿足國內(nèi)外核電廠安全系統(tǒng)定期試驗相關(guān)的法規(guī)標(biāo)準(zhǔn)要求。IEEE 603中規(guī)定，安全系統(tǒng)設(shè)備應(yīng)在保持安全功能執(zhí)行能力的同時，需要具備試驗和校準(zhǔn)能力[1]。IEEE 338[2]和GB/T 5204[3]規(guī)定安全系統(tǒng)的定期試驗與監(jiān)測是為了實現(xiàn)預(yù)期系統(tǒng)的可用性；IEC 60671要求安全系統(tǒng)要能夠通過監(jiān)視試驗，確保I&C系統(tǒng)功能能力和相應(yīng)的控制路徑[4]。HAF 102中規(guī)定，設(shè)計必須允許在運行期間對于從傳感器到最終的執(zhí)行元件的輸入信號的所有環(huán)節(jié)進(jìn)行試驗[5]。因此，EDG保護(hù)系統(tǒng)定期試驗過程不能影響系統(tǒng)安全功能，還應(yīng)覆蓋信號輸入、處理和輸出的所有環(huán)節(jié)。

和睦系統(tǒng)（FirmSys）作為國內(nèi)具備完全自主知識產(chǎn)權(quán)的核電站安全級數(shù)字化儀控系統(tǒng)，已經(jīng)成功應(yīng)用于EDG儀控領(lǐng)域。因此，有機地結(jié)合EDG整體定期試驗，確定EDG保護(hù)系統(tǒng)的定期試驗策略，有利于確保系統(tǒng)保護(hù)功能的有效性，降低系統(tǒng)拒動風(fēng)險，是必要的設(shè)計環(huán)節(jié)。

3 試驗設(shè)計

EDG保護(hù)系統(tǒng)定期試驗方案的確定與平臺自診斷設(shè)計和系統(tǒng)架構(gòu)密切相關(guān)。本文將通過分析系統(tǒng)的可靠性、系統(tǒng)架構(gòu)、系統(tǒng)功能、信號流向、國內(nèi)外法規(guī)標(biāo)準(zhǔn)的要求，確定一種定期試驗策略，在EDG整體定期試驗的基礎(chǔ)上簡化保護(hù)系統(tǒng)定期試驗方案。

3.1 系統(tǒng)可靠性分析

可靠性定義為給定狀態(tài)下和給定時間間隔內(nèi)，某物項或系統(tǒng)完成所要求使命的概率?；跀?shù)字化技術(shù)的和睦系統(tǒng)在應(yīng)用于EDG保護(hù)系統(tǒng)時需要進(jìn)行可靠性分析?？煽啃苑治鲂枰谄脚_產(chǎn)品的基礎(chǔ)上，依據(jù)系統(tǒng)架構(gòu)和功能分析出的所有部件失效模式、系統(tǒng)狀態(tài)、失效影響、補償措施、自診斷監(jiān)視方式和定期試驗等，以確定系統(tǒng)在正常運行時，所有單一故障是否可探測，是否存在單一故障會阻止系統(tǒng)的保護(hù)動作?？煽啃苑治隽鞒倘鐖D1所示。

圖1 可靠性分析流程Fig.1 Reliability analysis process

基于數(shù)字化技術(shù)的儀控系統(tǒng)通常采用自診斷和定期試驗相結(jié)合的方式覆蓋所有的系統(tǒng)失效模式，確保系統(tǒng)整體可靠性。IEC 60671[4]中規(guī)定，自診斷和監(jiān)視可以代替定期試驗，系統(tǒng)需要分析識別可診斷的失效模式。對于不可診斷的殘余失效模式，或?qū)Π踩δ軟]有影響，或者被定期試驗覆蓋。綜上所述，EDG保護(hù)系統(tǒng)的失效模式可以通過自診斷來檢測，對于自診斷無法檢測的失效模式，則需要通過定期試驗來檢測。

3.2 分析信號流向

EDG保護(hù)系統(tǒng)的主要功能是接收現(xiàn)場傳感器信號或遠(yuǎn)程/就地啟停指令，經(jīng)過邏輯運算，輸出EDG機組保護(hù)動作信號；系統(tǒng)配有操作按鈕和旋鈕開關(guān)，實現(xiàn)就地手動控制柴油機啟動或其它設(shè)備；系統(tǒng)還需將相關(guān)報警和運行參數(shù)發(fā)送至顯示單元。

結(jié)合和睦系統(tǒng)平臺的產(chǎn)品和EDG保護(hù)系統(tǒng)的典型功能，信號流向如圖2所示。

圖2 EDG保護(hù)系統(tǒng)的信號流向Fig.2 Signal flow of EDG protection system

3.3 確定試驗策略

HAF 102中規(guī)定，設(shè)計必須允許對于從傳感器到最終的執(zhí)行元件的所有環(huán)節(jié)進(jìn)行試驗[5]。因此，定期試驗范圍要覆蓋執(zhí)行1E 保護(hù)功能的所有設(shè)備，包括傳感器、邏輯處理和執(zhí)行器；試驗可采用分段交迭試驗的方法，確保能夠完全覆蓋上述設(shè)備。

結(jié)合上述信號流向圖，在系統(tǒng)可靠性分析的基礎(chǔ)上，結(jié)合平臺自診斷和不可診斷的失效模式，采取保守的設(shè)計原則，系統(tǒng)設(shè)計了對應(yīng)的T1、T2、T3 3個分段交迭的試驗。另外，為響應(yīng)EDG快速應(yīng)急啟動時間的要求，系統(tǒng)需要設(shè)計專門的響應(yīng)時間試驗。

T1試驗主要驗證采集通道是否發(fā)生漂移，具體試驗方法包括交叉檢驗和通道驗證。交叉檢驗驗證單個通道相比冗余通道是否發(fā)生漂移，通道驗證針對所有通道發(fā)生漂移的極低概率事件，對單通道注入標(biāo)準(zhǔn)信號源進(jìn)行識別是否發(fā)生預(yù)期值之外的偏差。

圖3 EDG保護(hù)系統(tǒng)的定期試驗分段Fig.3 Segments of EDG protection system periodic test

通過分析EDG保護(hù)系統(tǒng)邏輯，不存在冗余保護(hù)通道的模擬量數(shù)據(jù)采集，故無須執(zhí)行交叉檢驗；現(xiàn)有的EDG整體定期試驗無法覆蓋通道驗證。因此，T1部分僅需要執(zhí)行通道驗證，根據(jù)產(chǎn)品可靠性分析數(shù)據(jù)，通道驗證的周期一般為一個換料周期即18個月。

T1模擬量通道驗證的原理圖如圖4所示。

圖4 通道驗證試驗原理圖Fig.4 Schematic diagram of channel verification test

具體試驗時，標(biāo)準(zhǔn)信號源通過試驗端子注入數(shù)據(jù)，并通過通道驗證試驗表格讀取數(shù)據(jù)并自動完成偏差比較。偏差比較的算法如下：

偏差比較的允許誤差范圍為（-σ, +σ），其中σ值一般為信號工程量程的0.25%。如果|ΔE|＜σ，則試驗結(jié)果OK；如果|ΔE|＞σ，則試驗結(jié)果NG。

T2試驗面向數(shù)字化處理器內(nèi)部的保護(hù)邏輯進(jìn)行試驗，通常使用維護(hù)試驗工具向處理器注入試驗數(shù)據(jù)，回讀邏輯計算結(jié)果，并與預(yù)期值進(jìn)行比較來驗證邏輯的正確性。依據(jù)系統(tǒng)和平臺產(chǎn)品可靠性分析結(jié)論，CPU自診斷能夠覆蓋所有影響安全功能的失效模式。另外，數(shù)字化保護(hù)系統(tǒng)依托具備強大自診斷功能的數(shù)字化處理器CPU，系統(tǒng)自診斷作為處理器的后臺程序自動執(zhí)行，覆蓋到CPU硬件設(shè)備（處理器、存儲器、看門狗等）。由于系統(tǒng)設(shè)備共享CPU和存儲器，因而不會出現(xiàn)同一個CPU內(nèi)的單個功能或部分邏輯運算錯誤而其它邏輯運算正常的現(xiàn)象。但根據(jù)核電行業(yè)內(nèi)經(jīng)驗和保守做法，通常采用選取典型邏輯或定期重啟處理器的方式來執(zhí)行T2試驗。由于EDG本身的特殊性，EDG整體定期試驗頻率一般為1個月，涵蓋處理器的保護(hù)邏輯，因而T2試驗無需單獨執(zhí)行。

T3試驗用于驗證系統(tǒng)輸出到現(xiàn)場設(shè)備或現(xiàn)場設(shè)備輸入端和第三方接口的正確性。由于EDG本身的特殊性，EDG整體定期試驗頻率一般為1個月，涵蓋現(xiàn)場實際設(shè)備動作和第三方接口相關(guān)的保護(hù)信號試驗，操作員可以通過監(jiān)視信號報警狀態(tài)來檢查接口信號的變化。因此，T3試驗無需單獨執(zhí)行。

響應(yīng)時間試驗用于驗證EDG保護(hù)系統(tǒng)本身的響應(yīng)時間，由于EDG快啟動試驗涵蓋整體響應(yīng)時間的驗證，已涵蓋EDG保護(hù)系統(tǒng)的響應(yīng)時間。因此，響應(yīng)時間試驗無需單獨執(zhí)行。

除此之外，由于EDG保護(hù)系統(tǒng)使用到一定數(shù)量的開關(guān)、旋鈕和指示燈等設(shè)備，系統(tǒng)需要設(shè)計燈試或開關(guān)試驗，以確定設(shè)備的可用性。燈試試驗需設(shè)計專門的燈試按鈕和試驗邏輯，需要配合邏輯組態(tài)來完成。開關(guān)試驗建議在EDG整體定期試驗時進(jìn)行，對EDG整體定期試驗未覆蓋的旋鈕進(jìn)行單獨操作，試驗時需要閉鎖相應(yīng)的動作輸出，以免產(chǎn)生非預(yù)期動作。

3.4 試驗注意事項

定期試驗功能設(shè)計時，不應(yīng)影響系統(tǒng)執(zhí)行安全功能；定期試驗進(jìn)行時，如影響被試驗對象的功能，應(yīng)采用旁通或閉鎖的方式，防止誤觸發(fā)現(xiàn)場設(shè)備，并在控制室內(nèi)提供指示。

4 結(jié)束語

本文首先分析了當(dāng)前核電廠應(yīng)急柴油發(fā)電機組整體定期試驗的特點；然后，基于和睦系統(tǒng)平臺的可靠性理論分析，充分利用數(shù)字化優(yōu)勢，實現(xiàn)了定期試驗的分類和分級；最后，通過分析對比，去設(shè)計一種適用于應(yīng)急柴油發(fā)電機領(lǐng)域的數(shù)字化保護(hù)系統(tǒng)定期試驗策略并進(jìn)行論述。旨在確定一種簡化、嚴(yán)謹(jǐn)、可靠的定期試驗方案并獲得實際應(yīng)用，為后續(xù)數(shù)字化改造后的應(yīng)急柴油發(fā)電機保護(hù)系統(tǒng)定期試驗方案的確定提供技術(shù)參考。該EDG保護(hù)系統(tǒng)定期試驗方案充分考慮了EDG機組整體定期試驗的頻率和覆蓋范圍，不僅可以降低試驗人員的工作負(fù)擔(dān)，還可有效避免設(shè)計遺漏，確保EDG保護(hù)功能的有效性。