核電廠(chǎng)ATWT數(shù)字化改造方案及可靠性評(píng)價(jià)

李明鋼

（北京廣利核系統(tǒng)工程有限公司，北京 100094）

0 引言

ATWT（Anticipated Transients Without Trip，未停堆的預(yù)期瞬態(tài)緩解系統(tǒng)）系統(tǒng)在二代壓水堆核電站中，是作為應(yīng)對(duì)因給水泵故障或給水調(diào)節(jié)閥故障引起的正常給水喪失，且保護(hù)系統(tǒng)未能執(zhí)行保護(hù)動(dòng)作的工況。該工況由于二回路吸收一回路熱量的能力下降而引起一回路溫度和壓力上升，進(jìn)而可能導(dǎo)致蒸汽發(fā)生器燒干。為了限制這些后果，在當(dāng)核功率大于30%且主給水流量小于6%時(shí)，ATWT 系統(tǒng)便會(huì)觸發(fā)跳堆、汽機(jī)脫扣、啟動(dòng)輔助給水、閉鎖汽機(jī)旁路系統(tǒng)（GCT）第三組排放閥等保護(hù)動(dòng)作[1]。大亞灣核電廠(chǎng)1、2 號(hào)機(jī)組ATWT 系統(tǒng)應(yīng)用模擬系統(tǒng)（Bailey9020）設(shè)計(jì)，目前已運(yùn)行近30 年，各類(lèi)模塊陸續(xù)超過(guò)老化處理期限，因此需要對(duì)ATWT 系統(tǒng)進(jìn)行改造以確保系統(tǒng)可用。

因ATWT 應(yīng)對(duì)的是保護(hù)系統(tǒng)失效的情況，根據(jù)核安全法規(guī)HAF102 要求，應(yīng)考慮ATWT 和保護(hù)系統(tǒng)的多樣性以避免發(fā)生共因故障[2]。為此大亞灣ATWT 改造采用廣利核公司研制的基于FPGA 技術(shù)的數(shù)字化平臺(tái)FitRel 實(shí)現(xiàn)，既可保證與當(dāng)前保護(hù)系統(tǒng)采用的基于模擬技術(shù)的Bailey9020系統(tǒng)在設(shè)計(jì)、設(shè)備、人員等多維度具有充分多樣性[3,4]，也可保證后續(xù)保護(hù)系統(tǒng)應(yīng)用DCS 改造后具有充分的多樣性。數(shù)字化改造后的系統(tǒng)需要進(jìn)行可靠性分析評(píng)價(jià)，以驗(yàn)證滿(mǎn)足既定的可靠性指標(biāo)要求。本文基于FitRel 平臺(tái)完成ATWT 系統(tǒng)改造設(shè)計(jì)方案并通過(guò)對(duì)改造后ATWT 系統(tǒng)進(jìn)行故障樹(shù)建模，對(duì)系統(tǒng)可用性、誤動(dòng)率、拒動(dòng)率分別進(jìn)行分析評(píng)價(jià)，以確認(rèn)是否可滿(mǎn)足核電廠(chǎng)提出的設(shè)計(jì)指標(biāo)要求。

1 ATWT整體改造設(shè)計(jì)方案

1.1 整體架構(gòu)設(shè)計(jì)

ATWT 整體設(shè)計(jì)方案如圖1 所示。ATWT 系統(tǒng)基于FitRel 平臺(tái)設(shè)計(jì)了兩系完全相同的控制站，并分別布置在兩個(gè)不同的機(jī)柜（700AR/720AR）中。反應(yīng)堆保護(hù)系統(tǒng)的第4 保護(hù)通道（SIP-IV）安全級(jí)機(jī)柜KRG043AR 將3 個(gè)環(huán)路對(duì)應(yīng)的主給水流量信號(hào)ARE049MD/050MD/051MD 首先通過(guò)隔離分配（IS）傳遞給ATWT 系統(tǒng)，3 個(gè)信號(hào)再通過(guò)ATWT 系統(tǒng)隔離分配模塊將信號(hào)分配到兩系控制站，兩系控制站分別通過(guò)模擬量輸入模塊進(jìn)行信號(hào)采集，然后通過(guò)處理器進(jìn)行濾波FI（一階滯后）和閾值（XU）處理。當(dāng)主給水流量小于6%時(shí)，觸發(fā)生成3 個(gè)開(kāi)關(guān)量信號(hào)并執(zhí)行2/3 表決邏輯運(yùn)算，然后對(duì)表決邏輯結(jié)果與RPN 系統(tǒng)處理的核功率信號(hào)RPN013MA/014MA（核功率大于30%）執(zhí)行“&”邏輯后，輸出驅(qū)動(dòng)現(xiàn)場(chǎng)相關(guān)安全功能設(shè)備的控制指令?？紤]ATWT 雖然也執(zhí)行了安全功能，但應(yīng)對(duì)的是概率極低的超設(shè)計(jì)基準(zhǔn)事件，因此不需要像反應(yīng)堆保護(hù)系統(tǒng)那樣滿(mǎn)足單一故障準(zhǔn)則。但考慮ATWT 如果因故障誤觸發(fā)便會(huì)造成反應(yīng)堆緊急停堆，從而會(huì)對(duì)電站帶來(lái)極大的經(jīng)濟(jì)損失，因此應(yīng)盡量防止ATWT 誤觸發(fā)，為了防止系統(tǒng)故障造成ATWT 誤動(dòng)作，設(shè)計(jì)的兩系控制站并分別布置在兩個(gè)機(jī)柜（RPA700ARRPA720AR）中，充分實(shí)現(xiàn)實(shí)體的分隔，而且對(duì)兩系控制站的控制輸出進(jìn)行“&”邏輯后，再觸發(fā)現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)動(dòng)作，即只有當(dāng)兩系控制站均輸出驅(qū)動(dòng)指令后，才會(huì)真正觸發(fā)現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)動(dòng)作。另外，考慮報(bào)警信號(hào)誤觸發(fā)不會(huì)對(duì)電站安全性和經(jīng)濟(jì)性產(chǎn)生影響，反而更應(yīng)防止不觸發(fā)，因此對(duì)兩系控制站的報(bào)警指令進(jìn)行“OR”邏輯后輸出，以確保報(bào)警監(jiān)視功能具有更高的可靠性。

具體ATWT 系統(tǒng)方案配置為：ATWT 每系由1 個(gè)獨(dú)立的控制站組成，控制站包括獨(dú)立的模擬量輸入模塊（AI）、控制器單元（MPU）、開(kāi)關(guān)量輸出模塊（DO），以及獨(dú)立的冗余電源模塊（AC/DC）供電。兩個(gè)控制站實(shí)現(xiàn)的邏輯功能完全一致，ATWT 系統(tǒng)從SIP-IV 采集的主給水流量信號(hào)，由KRG043AR 中的隔離（IS）模塊送出，通過(guò)ATWT 系統(tǒng)側(cè)的“一分四”隔離分配模塊（IM）硬接線(xiàn)傳送給兩系控制站。從RPN005AR 機(jī)柜采集的核功率高開(kāi)關(guān)量信號(hào)分別通過(guò)多觸點(diǎn)繼電器（RLY）分配給兩系控制站。在A(yíng)TWT控制站內(nèi)實(shí)現(xiàn)所有模擬量運(yùn)算及邏輯運(yùn)算功能，兩系控制站輸出通過(guò)端子繼電器實(shí)現(xiàn)“&”“OR”邏輯后驅(qū)動(dòng)現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)或觸發(fā)主控室報(bào)警。

1.2 定期試驗(yàn)方案

數(shù)字化改造后，為了進(jìn)一步提高可靠性，設(shè)計(jì)了如圖2 所示的定期試驗(yàn)方案，主要包括傳感器及信號(hào)輸入通道試驗(yàn)（T1）、控制功能邏輯試驗(yàn)（T2）、控制輸出及執(zhí)行機(jī)構(gòu)試驗(yàn)（T3）。因?yàn)镕itRel 平臺(tái)僅有1%的剩余故障需通過(guò)定期試驗(yàn)探測(cè)，因此除T2 試驗(yàn)外，T1、T2 定期試驗(yàn)周期通常可設(shè)定為一個(gè)換料周期（18 個(gè)月）一次，數(shù)字化系統(tǒng)定期試驗(yàn)可通過(guò)控制站連接FitRel 平臺(tái)專(zhuān)用維護(hù)工具運(yùn)行試驗(yàn)用例自動(dòng)實(shí)現(xiàn)，相比模擬系統(tǒng)試驗(yàn)時(shí)間也可大大縮短。

圖2 ATWT定期試驗(yàn)方案Fig.2 ATWT Regular test plan

原設(shè)計(jì)方案T1 試驗(yàn)過(guò)程中，主給水流量的測(cè)試信號(hào)只需從KRG043AR 進(jìn)行信號(hào)注入和采集。數(shù)字化改造后，需要在SIP-IV 機(jī)柜注入信號(hào)并在A(yíng)TWT 機(jī)柜讀取信號(hào)，因兩個(gè)機(jī)柜不在同一個(gè)樓層，為試驗(yàn)帶來(lái)不便，為此將機(jī)柜附近棄用的KRG899CR 改裝成T1 試驗(yàn)專(zhuān)用箱，新增ATWT機(jī)柜至KRG899CR 的模擬量信號(hào)輸出接口及測(cè)量電纜傳輸3 個(gè)給水流量的測(cè)試回讀信號(hào)。T1 試驗(yàn)過(guò)程中主給水流量信號(hào)由ATWT 采集后隔離分配（1 分4IM 模塊）送至KRG899CR 回讀，另外在A(yíng)TWT 機(jī)柜內(nèi)通過(guò)在端子側(cè)注入4mA ～20mA 信號(hào)通過(guò)接入專(zhuān)用維護(hù)工具回讀，可覆蓋對(duì)輸入通道（AI）的測(cè)試。

T2 試驗(yàn)通過(guò)接入專(zhuān)用維護(hù)工具，并通過(guò)其中預(yù)置的測(cè)試用例自動(dòng)進(jìn)行信號(hào)注入和結(jié)果回讀校驗(yàn)完成ATWT 功能邏輯試驗(yàn)。

T3 試驗(yàn)仍保持原ATWT 系統(tǒng)的試驗(yàn)方法，在A(yíng)TWT 機(jī)柜內(nèi)設(shè)計(jì)T3 試驗(yàn)專(zhuān)用面板，包括硬接線(xiàn)開(kāi)關(guān)以及信號(hào)反饋指示燈，接入ATWT 系統(tǒng)，通過(guò)手動(dòng)操作實(shí)現(xiàn)跳堆等執(zhí)行機(jī)構(gòu)的回路試驗(yàn)。

1.3 表決邏輯降級(jí)設(shè)計(jì)

原設(shè)計(jì)為了保證ATWT 控制的可靠性，通過(guò)對(duì)3 個(gè)ARE 流量信號(hào)執(zhí)行“三取二表決邏輯”后執(zhí)行ATWT 驅(qū)動(dòng)。進(jìn)行數(shù)字化改造后，依然保持該表決邏輯，并且結(jié)合數(shù)字化系統(tǒng)的特性，通過(guò)基于主給水流量信號(hào)的質(zhì)量位執(zhí)行“三取二表決邏輯”的邏輯退化，同時(shí)考慮安全性和經(jīng)濟(jì)性2/3表決邏輯退化規(guī)則，見(jiàn)表1。另外，對(duì)RPN013MA/014MA（核功率大于30%）執(zhí)行“&”邏輯也考慮相應(yīng)的邏輯退化，當(dāng)一個(gè)RPN 信號(hào)失效，“&”邏輯退化為1/1，兩個(gè)信號(hào)失效，“&”邏輯退化為觸發(fā)。

表1 ARE流量2/3表決邏輯降級(jí)規(guī)則Table 1 ARE Traffic 2/3 voting logic degradation rules

2 可靠性分析

2.1 故障樹(shù)建模分析

2.1.1 故障樹(shù)建模

因?qū)τ贏(yíng)TWT 系統(tǒng)需分析誤動(dòng)率、拒動(dòng)率以及可用性，基于A(yíng)TWT 系統(tǒng)架構(gòu)并依據(jù)IEEE-352 相關(guān)要求[5]，構(gòu)建了如圖3 所示的故障樹(shù)基本模型，可將誤動(dòng)故障、拒動(dòng)故障以及可用性進(jìn)行關(guān)聯(lián)。

圖3 ATWT故障樹(shù)基本模型Fig.3 ATWT Fault tree basic model

模型基本事件源于各部件失效率，包括輸入單元：調(diào)理板卡、AI、板卡、DI 板卡；處理單元：IO 通信板卡、MPU 板卡；輸出單元：DO 板卡、繼電器；供電單元：電源模塊、空開(kāi)、浪涌吸收器、濾波器?；诠收鲜欠窨勺栽\斷，故障率可分為：λDD為導(dǎo)向拒動(dòng)的可診斷失效率，λSD為導(dǎo)向誤動(dòng)的可診斷失效率（因ATWT 可診斷故障均設(shè)定為導(dǎo)向不驅(qū)動(dòng)，因此該部分為0），λDU為導(dǎo)向拒動(dòng)的不可診斷失效率，λSU為導(dǎo)向誤動(dòng)的不可診斷失效率。

2.1.2 誤動(dòng)率的計(jì)算

可診斷故障會(huì)將故障輸出設(shè)定為不驅(qū)動(dòng)，而不可診斷發(fā)生誤動(dòng)故障，則可通過(guò)設(shè)備動(dòng)作信息結(jié)合分析判別，所以誤動(dòng)故障均可馬上進(jìn)行故障處理，因此誤動(dòng)率=λSU·MTTR。

2.1.3 拒動(dòng)率的計(jì)算

如果設(shè)備出現(xiàn)拒動(dòng)故障，可診斷故障可即刻處理，而不可診斷故障則需通過(guò)定期試驗(yàn)探測(cè)，因此拒動(dòng)率=λDD·MTTR+λDU·Ti/2。

2.1.4 可用性的計(jì)算

根據(jù)可用性定義可知：可用率=MTBF/（MTBF+MTTR），考慮到可診斷故障（λD）可及時(shí)發(fā)現(xiàn)后馬上能執(zhí)行維修活動(dòng)，對(duì)于不可診斷故障（λU）只能通過(guò)定期試驗(yàn)探測(cè)故障，因此平均維修時(shí)間會(huì)拉長(zhǎng)為T(mén)i/2+MTTR（因MTTR 遠(yuǎn)小于Ti，可忽略[4]）。因此，可用率=MTTR·λD/(1+MTTR·λD)+Ti/2·λU/(1+ Ti/2·λU)，其中：λD=λDD+λSD，λU=λDU+λSU。

2.2 基礎(chǔ)數(shù)據(jù)來(lái)源

FitRel 板卡以及外購(gòu)物項(xiàng)的可靠性指標(biāo)（MTBF）依據(jù)MIL-HDBK-217F 中提供的可靠性數(shù)據(jù)以及元器件廠(chǎng)家提供的可靠性數(shù)據(jù)標(biāo)確定。SIP IV 系統(tǒng)的IS 隔離模塊因?yàn)槭?E級(jí)未在改造范圍，因原始的可靠性指標(biāo)已無(wú)法找到，考慮通過(guò)運(yùn)行數(shù)據(jù)統(tǒng)計(jì)分析得出。依據(jù)大亞灣10 年的運(yùn)行統(tǒng)計(jì)數(shù)據(jù)，大亞灣項(xiàng)目共應(yīng)用了400 塊該IS 模塊，10 年期間出現(xiàn)了4 塊板卡故障，因此可得出其失效率（λ）為114FIT。

2.3 可靠性評(píng)價(jià)

FitRel 各模塊的失效率基礎(chǔ)數(shù)據(jù)包括可診斷失效率和不可診斷失效率。可診斷失效可通過(guò)設(shè)置故障安全值確定為導(dǎo)向動(dòng)作或不動(dòng)作，而不可診斷故障的最終后果是導(dǎo)向動(dòng)作還是不動(dòng)作具有不確定性，因此保守考慮將λSU和λDU均按不可診斷總失效率進(jìn)行計(jì)算。定期試驗(yàn)周期（Ti）按18 個(gè)月分析計(jì)算，改造后ATWT 各模塊的修復(fù)均通過(guò)備件更替方式完成，因此MTTR 小于4h。通過(guò)計(jì)算可得出可用性、拒動(dòng)率和誤動(dòng)率結(jié)果見(jiàn)表2。

表2 ATWT可靠性指標(biāo)匯總表Table 2 Summary of ATWT reliability indicators

通過(guò)上述計(jì)算指標(biāo)可以看出，改造后各項(xiàng)可靠性指標(biāo)均滿(mǎn)足要求，因此可將ATWT 定期試驗(yàn)周期由原2 個(gè)月延長(zhǎng)至18 個(gè)月。

3 結(jié)論

應(yīng)用基于FPGA 技術(shù)的FitRel 平臺(tái)設(shè)計(jì)了ATWT 系統(tǒng)，考慮兼顧安全性和經(jīng)濟(jì)性，設(shè)計(jì)了兩系完全冗余的控制站，并對(duì)兩系控制站的驅(qū)動(dòng)現(xiàn)場(chǎng)執(zhí)行機(jī)構(gòu)的控制輸出進(jìn)行“&”邏輯表決。通過(guò)對(duì)數(shù)字化改造后ATWT 系統(tǒng)進(jìn)行故障樹(shù)建模分析，改造后ATWT 系統(tǒng)可用性可達(dá)99.994%，誤動(dòng)率小于1.5E-08，拒動(dòng)率小于0.005，各項(xiàng)可靠性指標(biāo)均滿(mǎn)足設(shè)計(jì)要求。而且相比原模擬系統(tǒng)可大幅縮短定期試驗(yàn)周期，可由原2 個(gè)月延長(zhǎng)至18 個(gè)月，從而大幅降低了運(yùn)行維護(hù)人員負(fù)擔(dān)。