反應(yīng)堆保護(hù)系統(tǒng)停堆故障模式分析及維護(hù)對(duì)策

黃 資

（三門(mén)核電有限公司 維修處，浙江 三門(mén) 317112）

保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）是三門(mén)核電的反應(yīng)堆保護(hù)系統(tǒng)，而停堆作為PMS的最重要的功能之一，若發(fā)生故障則可能導(dǎo)致誤停堆影響電站的經(jīng)濟(jì)性，或者安全功能降級(jí)從而影響電站的安全性。由于PMS是Common Q數(shù)字化儀控平臺(tái)系統(tǒng)在國(guó)內(nèi)核電站的首次應(yīng)用，對(duì)系統(tǒng)的維護(hù)尚無(wú)直接經(jīng)驗(yàn)可以借鑒。電站技術(shù)規(guī)格書(shū)對(duì)PMS停堆功能出現(xiàn)各種故障時(shí)的處理時(shí)間有嚴(yán)格的規(guī)定[1]。為快速有效地做好維護(hù)，本文將對(duì)PMS進(jìn)行停堆故障模式分析，并探索建立有效的維護(hù)對(duì)策。

1 原理及組成

1.1 停堆原理

PMS分為A、B、C、D 4個(gè)序列。4個(gè)序列提供了四通道的冗余，序列內(nèi)部存在兩個(gè)子通道的冗余。4個(gè)冗余序列使用4套獨(dú)立的傳感器，這些測(cè)量值分別由對(duì)應(yīng)的序列進(jìn)行處理，在必要的計(jì)算和處理后，測(cè)量值與可用的設(shè)定值進(jìn)行比較，如果測(cè)量值超過(guò)了預(yù)先的設(shè)定值，就會(huì)產(chǎn)生一個(gè)部分停堆觸發(fā)信號(hào)，同時(shí)其觸發(fā)狀態(tài)將被發(fā)送至其他序列[2]。各序列內(nèi)部若通過(guò)邏輯表決將驅(qū)動(dòng)各自序列的停堆斷路器，從而切斷控制棒驅(qū)動(dòng)機(jī)構(gòu)的電源導(dǎo)致停堆。

1.2 系統(tǒng)組成

PMS系統(tǒng)實(shí)現(xiàn)控制的基本單元為ABB公司的AC160機(jī)架，執(zhí)行系統(tǒng)的保護(hù)算法，主要包括處理器模塊、I/O模塊、通訊接口模塊。以AC160機(jī)架為核心配置組成了不同功能的機(jī)柜。其中，雙穩(wěn)態(tài)邏輯處理機(jī)柜（BCC）機(jī)柜主要執(zhí)行邏輯處理和表決，每個(gè)序列的兩個(gè)BCC機(jī)柜互為冗余。維護(hù)與測(cè)試面板（MTP）和安全顯示器（SD）為人機(jī)界面，用于系統(tǒng)的日常維護(hù)與狀態(tài)顯示等功能。

圖1 PMS停堆路徑框圖Fig.1 PMS Stop heap path block diagram

2 故障模式分析

2.1 功能塊劃分

將PMS停堆功能基本組成單元?jiǎng)澐譃椴煌墓δ軌K。執(zhí)行停堆功能的主體為BPL、LCL和RTM，都位于BCC機(jī)柜中。各部分主要功能如下：

BPL：雙穩(wěn)態(tài)邏輯處理，用于信號(hào)采集和定值判斷，超過(guò)限值將產(chǎn)生局部觸發(fā)信號(hào)。采用AC160機(jī)架配置而成，內(nèi)含處理器卡件、模擬量輸入卡件、數(shù)字量輸入卡件、通信卡件[3]。

HSL：高速數(shù)據(jù)鏈路，負(fù)責(zé)安全功能信號(hào)的通信傳輸。

LCL：局部符合邏輯，采用“四取二”邏輯，用于表決、產(chǎn)生停堆信號(hào)和專(zhuān)設(shè)系統(tǒng)級(jí)驅(qū)動(dòng)信號(hào)。由AC160機(jī)架配置而成。內(nèi)含處理器卡件、DO卡件、通信卡件。

RTM：停堆接口矩陣模塊，采用選擇性的“四取二”，輸出至停堆斷路器。

2.2 編制路徑框圖

PMS傳感器信號(hào)同時(shí)進(jìn)入同一序列內(nèi)的兩個(gè)BPL，與設(shè)定值比較后產(chǎn)生部分停堆信號(hào)，信號(hào)送至本序列LCL，同時(shí)通過(guò)HSL送往別的序列。LCL接收8個(gè)子序列的部分停堆信號(hào)，將從同一個(gè)序列兩個(gè)子序列中接收的信號(hào)“2取1”后進(jìn)而產(chǎn)生一個(gè)序列停堆信號(hào)，LCL對(duì)產(chǎn)生的4個(gè)序列停堆信號(hào)進(jìn)行“4取2”后再輸出一個(gè)停堆信號(hào)，觸發(fā)本序列的停堆斷路器，停堆斷路器本身也采用“4取2”布置，一個(gè)序列的停堆斷路器打開(kāi)不會(huì)導(dǎo)致控制棒電源斷開(kāi)。

根據(jù)上述系統(tǒng)結(jié)構(gòu)特點(diǎn)，將功能塊用方框圖連接起來(lái)，得出系統(tǒng)的停堆路徑框圖，如圖1所示。

2.3 故障模式分析

結(jié)合PMS停堆路徑框圖，對(duì)以AC160機(jī)架的配置而成的功能塊BPL和LCL，采用假定單一故障引起“拒動(dòng)”或“誤動(dòng)”這兩種故障模式，分析其對(duì)系統(tǒng)停堆功能的影響；而對(duì)非AC160機(jī)架的功能塊，則采用功能失效的故障模式來(lái)展開(kāi)分析。

2.3.1 BPL故障模式分析

1）BPL故障拒動(dòng)

若一路BPL內(nèi)某一設(shè)備故障，如處理器停止工作，致使該BPL在對(duì)應(yīng)現(xiàn)場(chǎng)變量達(dá)到反應(yīng)堆停堆限值卻無(wú)法輸出相應(yīng)的部分停堆信號(hào)，則序列內(nèi)部冗余子序列中的BPL將執(zhí)行其安全相關(guān)功能，不會(huì)阻止系統(tǒng)功能的執(zhí)行，系統(tǒng)邏輯仍然保持“4取2”，但序列內(nèi)部冗余喪失。

2）BPL故障誤動(dòng)

若一路BPL內(nèi)某單一故障，如模擬量輸入卡件精度漂移導(dǎo)致信號(hào)先觸及設(shè)定值，導(dǎo)致該BPL觸發(fā)一虛假停堆信號(hào)，由于在LCL中將兩個(gè)子序列的信號(hào)“2取1”，故該序列將產(chǎn)生一個(gè)停堆信號(hào)，LCL將對(duì)剩下3個(gè)序列產(chǎn)生的信號(hào)進(jìn)行“3取1”邏輯，系統(tǒng)冗余降級(jí)。如其他序列的設(shè)備無(wú)故障，LCL不會(huì)發(fā)出停堆信號(hào)，即不會(huì)觸發(fā)本序列的停堆斷路器。

2.3.2 HSL故障模式分析

BPL去往LCL的信號(hào)是通過(guò)HSL傳送的，具體為BPL的處理器上HSL總線連接至對(duì)應(yīng)的HSL信號(hào)分配器上傳送出去。若一路BPL中處理器上的HSL總線發(fā)生故障，比如斷開(kāi)，則該路BPL送往8個(gè)LCL的信號(hào)都將被標(biāo)記為壞點(diǎn)，而所有LCL都將選擇其冗余的BPL作為有效輸入信號(hào)。系統(tǒng)功能仍然維持“4取2”，但序列內(nèi)部冗余將喪失。

2.3.3 LCL故障模式分析

每個(gè)序列的LCL中設(shè)置了4 個(gè)停堆處理器（PM），PM1和PM3 處理器位于LCL-1，PM2 和PM4 處理器位于LCL-2，一個(gè)序列的停堆信號(hào)的“4取2”表決邏輯在這些處理器中進(jìn)行。每個(gè)PM均由對(duì)應(yīng)的數(shù)字量輸出卡件（DO）控制RTM中對(duì)應(yīng)的繼電器UIR和SIR（UIR平常為得電，失電則驅(qū)動(dòng)UV（欠壓）線圈觸發(fā)；SIR平常為失電，得電則驅(qū)動(dòng)ST（并聯(lián)跳閘）線圈觸發(fā)）。其中，PM1控制UIR1和SIR1，PM2控制UIR2和SIR2，PM3控制UIR3 和SIR3，PM4控制UIR4 和SIR4。此外，每個(gè)停堆處理器包含一個(gè)硬件看門(mén)狗計(jì)時(shí)器（WDT）觸點(diǎn)，用于監(jiān)測(cè)停堆處理器的運(yùn)行狀態(tài)，處理器故障時(shí)對(duì)應(yīng)WDT觸點(diǎn)動(dòng)作將使對(duì)應(yīng)的UV和ST線圈觸發(fā)。

1）LCL故障拒動(dòng)

若某單一故障如DO卡件無(wú)法輸出，阻止了子序列內(nèi)停堆信號(hào)的觸發(fā)，假定該故障發(fā)生在LCL-1中，此時(shí)LCL-2中的停堆信號(hào)都已觸發(fā)，即UIR2、UIR4、SIR2和SIR4都已觸發(fā)。則UIR1、UIR3、SIR2和SIR4中只需再有一個(gè)動(dòng)作即可完成停堆觸發(fā)，即任何單一卡件故障，如某PM或DO卡件故障不會(huì)阻止反應(yīng)堆停堆斷路器的觸發(fā)。系統(tǒng)邏輯仍然維持“4取2”。

2）LCL故障誤動(dòng)

若某單一故障如停堆處理器停止工作,產(chǎn)生了虛假停堆觸發(fā)信號(hào)，則該LCL內(nèi)對(duì)應(yīng)UIR和SIR觸發(fā)，而其同一序列內(nèi)冗余的LCL不會(huì)發(fā)出停堆觸發(fā)信號(hào)。假設(shè)故障發(fā)生在LCL-1中，而LCL-2中UIR2、UIR4、SIR2和SIR4都未觸發(fā)，該序列不會(huì)產(chǎn)生停堆輸出。系統(tǒng)邏輯仍然維持“4取2”，只是該序列內(nèi)部LCL的冗余將降級(jí)。

2.3.4 RTM故障模式分析

每個(gè)序列共有兩個(gè)RTM，分別位于兩個(gè)BCC機(jī)柜中。當(dāng)一個(gè)故障失效后，另一個(gè)RTM將承擔(dān)此序列停堆接口輸出功能，序列內(nèi)部RTM的冗余降級(jí)。

3 系統(tǒng)維護(hù)對(duì)策

從本文第2部分的分析可以看出，PMS停堆功能塊BPL、HSL、LCL、RTM都滿足單一故障準(zhǔn)則，設(shè)備可以運(yùn)行到故障后再采取糾正性維修方法處理。若發(fā)生故障后確認(rèn)是系統(tǒng)功能塊硬件損壞，用備件去更換是一種快速有效的方法。在備件更換過(guò)程中，采用如下方法能有效減少維護(hù)中對(duì)電站的影響。

3.1 旁路策略

在對(duì)單一故障進(jìn)行維護(hù)的過(guò)程中，不能排除此時(shí)別的序列也發(fā)生故障，而剛好導(dǎo)致“4取2”滿足觸發(fā)停堆的條件。為降低此情況發(fā)生的可能性，三門(mén)核電PMS中可對(duì)相應(yīng)故障通道采取旁路手段，將系統(tǒng)邏輯變?yōu)椤?取2”。

3.2 BPL維護(hù)策略

AC160機(jī)架的卡件在插拔中會(huì)因不穩(wěn)定狀況導(dǎo)致誤觸發(fā)產(chǎn)生，且?guī)щ姴灏慰赡茉斐煽p壞。如BPL-1的輸入卡件損壞，則在確認(rèn)BPL-2中沒(méi)有任何觸發(fā)或壞點(diǎn)產(chǎn)生時(shí)，可對(duì)BPL-1先斷電后再對(duì)其卡件進(jìn)行更換。

3.3 LCL維護(hù)策略

LCL中的輸出卡件，其本身在邏輯上可靠性較高，故障時(shí)可以斷電后直接實(shí)行更換。

3.4 RTM更換

運(yùn)行期間，當(dāng)檢測(cè)到RTM損壞，需要更換時(shí)，需先從上游移除RTM的電源，并做好隔離監(jiān)護(hù)，防止人員觸電事件發(fā)生。

4 結(jié)束語(yǔ)

本文結(jié)合PMS停堆功能的結(jié)構(gòu)特點(diǎn)，通過(guò)故障模式分析方法推演PMS出現(xiàn)各種軟硬件故障時(shí)停堆功能的受影響情況，分析結(jié)果表明PMS停堆功能本身可靠性程度較高，據(jù)此制定的相應(yīng)維護(hù)對(duì)策，為相關(guān)人員對(duì)PMS系統(tǒng)故障的維護(hù)具有一定的參考意義。