劉樂　張豐平

摘要：AP1000自動卸壓系統(tǒng)（ADS）中泄壓閥的動作由保護(hù)和安全監(jiān)測系統(tǒng)（PMS）控制實現(xiàn)，它的誤觸發(fā)引起的一回路壓降危害不亞于LOCA事故，而PMS的軟件共模故障可能導(dǎo)致這樣的誤觸發(fā)發(fā)生。為了降低ADS系統(tǒng)誤觸發(fā)的概率，AP1000設(shè)計了ADS閉鎖模塊用于對觸發(fā)條件的重復(fù)確認(rèn)。文章介紹ADS觸發(fā)閉鎖模塊的原理和設(shè)計，分析ADS誤動和拒動的可能性。

關(guān)鍵詞：核電站；AP1000；自動卸壓；中泄壓閥；ADS閉鎖模塊

中圖分類號：TL48 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-2374（2013）11-0074-03

1 自動卸壓系統(tǒng)簡介

AP1000壓水堆核電站設(shè)計了自動卸壓系統(tǒng)（簡稱為ADS），它的動作用來降低反應(yīng)堆冷卻劑系統(tǒng)的壓力，以實現(xiàn)堆芯補水箱（CMT）中含硼水的注入、堆內(nèi)換料水儲存箱（IRWST）中冷卻水的注入及安全殼再循環(huán)啟動；自動卸壓系統(tǒng)是反應(yīng)堆冷卻劑系統(tǒng)的一部分，并且與非能動堆芯冷卻系統(tǒng)連接，包含4組順序開啟的閥門，用以降低反應(yīng)堆冷卻劑系統(tǒng)的壓力，從而使非能動堆芯冷卻系統(tǒng)能為堆芯提供長期冷卻。

自動卸壓系統(tǒng)包含4個卸壓等級，主要包括10個泄壓閥，分別連接到反應(yīng)堆冷卻劑系統(tǒng)的三個不同位置。前3級自動卸壓閥為電動閥，第4級自動卸壓閥是爆破閥。第1、2、3級自動卸壓系統(tǒng)各有兩條管線，每條管線上串聯(lián)兩只電動閥，上游的為隔離閥，下游的為調(diào)節(jié)閥。每一條管線的入口經(jīng)過一條公用母管，與穩(wěn)壓器頂部相連，每一條管線的出口與公用的卸壓母管相連，通過噴淋管線上的噴淋頭注入堆內(nèi)換料水儲存箱中。第4級自動卸壓系統(tǒng)包括對稱的兩路管線，其中一路通過一個入口與一個熱段管線相連，兩條管線一路。圖1為自動卸壓系統(tǒng)概要圖。

2 自動卸壓系統(tǒng)的控制

自動卸壓系統(tǒng)作為專設(shè)安全設(shè)施之一，泄壓閥的動作由保護(hù)和安全監(jiān)測系統(tǒng)（PMS）控制實現(xiàn)，它的觸發(fā)邏輯有3個：堆芯補水箱注入并且4個序列中的2個序列探測到任何一個堆芯補水箱液位低-1設(shè)定點；長期失去交流電源（IDS低電壓信號）；手動觸發(fā)。

2.1 ADS閉鎖模塊

保護(hù)和安全監(jiān)測系統(tǒng)為每個序列提供了一塊ADS閉鎖模塊，該模塊為1E級模塊，使用常規(guī)的模擬量模塊，不依賴于軟件，其概念圖如圖2。序列間的閉鎖模塊相互之間沒有連接，也不進(jìn)行選擇邏輯判斷。輸出給CIM的信號用在Z端口的關(guān)方向，相比用于正常觸發(fā)ADS的X端口，CIM的Z端口擁有更高的優(yōu)先級，因此送到Z端口的閉鎖命令將阻止從集成邏輯處理器ILP來的ADS觸發(fā)信號。每個序列模塊對4個閥門進(jìn)行閉鎖，對于ADS第4級，這些閥門由PMS的兩個序列來驅(qū)動，則需對兩個序列都進(jìn)行閉鎖。除了輸入和輸出的連接以及它的供電，ADS閉鎖模塊不與PMS的其他設(shè)備共享電回路。表1為ADS閉鎖模塊的序列分配情況。

2.2 ADS觸發(fā)的閉鎖功能設(shè)計

AP1000設(shè)計已經(jīng)采取了一定數(shù)量的方法來減少誤觸發(fā)ESF功能的可能性。不過，一個或多個安全序列的軟件共模故障仍可能導(dǎo)致系統(tǒng)級的誤觸發(fā)。對于ADS，它的動作引起的一回路壓降危害不亞于LOCA事故，這樣的誤觸發(fā)是無法接受的，因此，AP1000設(shè)計了ADS觸發(fā)的閉鎖控制。

ADS閉鎖設(shè)計的出發(fā)點是對ADS觸發(fā)條件的再確認(rèn)，以確保ADS動作不是由于誤觸發(fā)。對于PMS軟件共模故障，主要是針對ADS觸發(fā)的自動控制邏輯。

首先，假設(shè)專設(shè)安全設(shè)施S信號觸發(fā)，PMS打開堆芯補水箱CMT的下部閥門，將含硼水注入RCS進(jìn)行補充，硼水在重力的作用下注入反應(yīng)堆。若沒有發(fā)生LOCA，這些閥門的打開不會引起RCS排水，CMT的循環(huán)是封閉回路，進(jìn)入反應(yīng)堆的硼水由冷段的冷卻劑進(jìn)行補充，CMT的液位不會下降；若發(fā)生LOCA，則CMT的液位將會持續(xù)下降。因此，測得的CMT液位是真實LOCA的有效指示，將CMT液位作為ADS閉鎖信號是合理的。兩個CMT分別包括四個窄量程液位計，液位信號分別輸入到四個序列。ADS閉鎖模塊與PMS模擬量輸入卡件AI688共享CMT液位傳感器的輸入，經(jīng)過閉鎖判斷的輸出通過硬接線輸出至ILC機柜的CIMZ端口輸入端接點。在正常運行時，4～20mA的信號高于設(shè)定值，報警輸出觸點閉合，ADS觸發(fā)被閉鎖；在真實的LOCA事故發(fā)生時，任意一個CMT液位下降到設(shè)定值以下，輸出觸點打開，ADS閉鎖解除。

其次，在失去交流電源時需解除對ADS的閉鎖，該模塊接收來自蓄電池繼電器的觸點輸入，當(dāng)任一繼電器指示電壓低于設(shè)定值，則解除對ADS的閉鎖。

最后，AP1000也在在主控室提供了手動解鎖的開關(guān)，每個序列一個。在自動觸發(fā)失效時，操縱員可以通過這些開關(guān)進(jìn)行手動ADS觸發(fā)解鎖。通過在主控室監(jiān)測CIM的X、Y端口的狀態(tài)獲得ADS的閉鎖情況。

當(dāng)主控不可用時，遠(yuǎn)程停堆站RSW需要具備手動觸發(fā)ADS的能力，每個序列的MCR/RSW切換開關(guān)可以將電廠的控制從主控室切換到遠(yuǎn)程停堆站。這些切換開關(guān)動作的同時將解除ADS閉鎖，使RSW具備手動觸發(fā)ADS的能力。

綜上所述，CMT低液位信號，IDS電池低電壓信號，手動解鎖信號和MCR/RSW切換信號中的任意一個都可以解除閉鎖。

3 可靠性分析

3.1 獨立性

為了有效地防止誤觸發(fā)，ADS閉鎖模塊獨立于PMS的故障模式。ADS閉鎖模塊位于PMS的雙穩(wěn)態(tài)邏輯BCC機柜中，與PMS共享輸入信號、輸出設(shè)備CIM和供電電源，但并不影響其閉鎖功能的獨立性。

3.1.1 共享輸入信號。PMS的自動ADS低CMT液位結(jié)合CMT驅(qū)動信號觸發(fā)，比如穩(wěn)壓器液位低。因此，單獨的CMT液位低不會導(dǎo)致誤觸發(fā)，且故障液位信號可以通過其他序列的交叉比較發(fā)現(xiàn)，這些信號的共享不影響閉鎖功能的獨立性。

3.1.2 共享設(shè)備接口模塊。ADS閉鎖模塊使用CIM的Z端口，CIM具備監(jiān)測和維護(hù)的特點，因此沒有必要增加額外的信號閉鎖設(shè)備，共享CIM不會影響閉鎖功能的獨立性，因為CIM本身不是誤觸發(fā)的源頭：

（1）任何ADS路徑的觸發(fā)都要求動作同一序列的兩個CIM。在1、2、3級CIM打開串聯(lián)的電動閥的情況下，第4級ADS的爆破閥的裝填和點火由不同的CIM來執(zhí)行，這兩個CIM位于不同的PMS機柜，由不同的PMS處理器來觸發(fā)。

（2）一個序列中用于打開ADS路徑的兩個CIM之間不存在接口，不存在一個CIM的故障引起另外一個CIM故障的情況。且CIM是得電動作，CIM故障也不會誤觸發(fā)。

（3）CIM接收的只是簡單的打開/閉合閥門的命令，不存在復(fù)位、模式切換等命令。

（4）ADS觸發(fā)不接收來自電廠控制系統(tǒng)（PLS）的命令，因為它們是會導(dǎo)致嚴(yán)重后果的閥門。

（5）CIM通過串行數(shù)據(jù)鏈路從PMS接收信號，且具備自診斷錯誤檢查功能，自動剔除壞點信號。

（6）CIM在失去指令的情況下默認(rèn)動作為不觸發(fā)輸出。

（7）Z端口的使用不會增加新的故障模式，它本身就存在于CIM當(dāng)中，只是使用與否，因此已經(jīng)考慮它的可靠性了。

3.1.3 共享供電電源。共享供電電源也不會影響閉鎖功能的獨立性，機柜斷電不會引起ESF信號輸出，盡管此時ADS閉鎖已經(jīng)解除，但也不會引起ADS的誤觸發(fā)。ADS閉鎖模塊使用4個光電隔離器向4個CIM提供閉鎖信號，光電隔離器為閉鎖模塊的電源與CIM內(nèi)部48V電源之間提供隔離。采用專用的24V濕電壓給閉鎖模塊、模塊的輸入觸點和固態(tài)繼電器提供電源，該電源由機柜提供，且與機柜供電隔離。

3.2 故障拒動分析

ADS閉鎖模塊設(shè)計為“故障安全”，當(dāng)ADS閉鎖模塊故障時，它對ADS觸發(fā)的閉鎖被解除，或者當(dāng)輸入條件大于設(shè)定值時，模塊的故障也不會阻礙ADS閉鎖的解除。也就是說ADS閉鎖模塊故障發(fā)生或輸入滿足條件，都將解除閉鎖。

針對ADS閉鎖模塊進(jìn)行的試驗表明，86%的故障會朝安全方向發(fā)展，也就是說86%的模塊故障對ADS閉鎖模塊進(jìn)行了解鎖，而14%的模塊故障無法解鎖ADS閉鎖模塊。針對ADS閉鎖模塊進(jìn)行平均故障間隔（MTBF）分析，評估的模塊故障率為λ=372/1.0E+09。引起故障拒動可能是模塊故障引起的，也可能是傳感器故障引起。

3.2.1 模塊故障。ADS閉鎖模塊故障向“非故障安全”的方向發(fā)展，沒有對ADS進(jìn)行解鎖，這種情況可能阻止必要的ADS觸發(fā)。按照ADS閉鎖模塊的設(shè)計，這類故障一般只會在定期試驗時發(fā)現(xiàn)，如果發(fā)生這種情況，序列的ADS無法觸發(fā)的平均時間為定期試驗周期的一半（平均恢復(fù)時間MTTR）。AP1000 PMS中，每個序列的ESF功能定期試驗周期為92天。因此，由閉鎖模塊引起的ADS無法觸發(fā)的概率PFD（要求時失效概率，Probability of Failure on Demand）可以由下述計算得到：

PFD=λD×tCE

式中：

λD——模塊的故障失效率

tCE——模塊的等效平均停止工作時間

3.2.2 傳感器故障。兩個CMT液位傳感器的同時故障也將導(dǎo)致序列的ADS觸發(fā)故障。當(dāng)PMS系統(tǒng)邏輯滿足觸發(fā)條件時，序列應(yīng)該觸發(fā)ADS，但是由于閉鎖模塊未被解鎖，該序列的觸發(fā)沒有發(fā)生。傳感器的故障可以通過不同序列間的冗余交叉比較立即發(fā)現(xiàn)，對傳感器進(jìn)行維修，使之投入運行的預(yù)計時間為72小時，傳感器的故障率為1.0E-07f/hour，單個傳感器的故障為7.2E-06，兩個傳感器的故障為5.2E-11，即使是非常低的可能性，我們?nèi)匀豢紤]了傳感器的共模故障，盡管這種情況與ADS閉鎖模塊的故障相比微乎其微。假設(shè)單個序列故障，也不會阻止整個ADS功能的觸發(fā)，這種故障的結(jié)果對堆芯的損壞概率非

常低。

3.2.3 故障誤動分析。當(dāng)ADS閉鎖模塊故障，未能閉鎖ADS觸發(fā)功能，則可能導(dǎo)致ADS誤觸發(fā)。在這種情況下，閉鎖的解除可以通過PMS和DCIS監(jiān)測的CIM狀態(tài)立即被發(fā)現(xiàn)，ADS閉鎖模塊非常容易替換，但是由于并沒有喪失安全功能，因此對它的維修并不是最緊急的。此處假設(shè)維修的平均時間為24小時，則閉鎖模塊不可用的概率為：

PFD=372×10-9×86%×24=7.7×10-6

如此低的可能性，結(jié)合低的誤觸發(fā)概率，使得這種情況發(fā)生的可能性更低。

4 結(jié)語

AP1000自動卸壓系統(tǒng)（ADS）的誤觸發(fā)引起的壓降危害不亞于LOCA事故，它的觸發(fā)或動作需要額外關(guān)注，為了防止PMS軟件共模故障引起的ADS系統(tǒng)誤觸發(fā)，AP1000設(shè)計了1E級硬件模塊ADS閉鎖模塊，用于對觸發(fā)條件的重復(fù)確認(rèn)。試驗和分析表明，ADS閉鎖模塊的應(yīng)用降低了ADS誤觸發(fā)的可能，同樣也不會引入不必要的拒動概率。

參考文獻(xiàn)

[1]顧軍，繆亞民，范福平，等.AP1000核電廠系統(tǒng)與設(shè)備[M].北京：原子能出版社，2010.

[2]陸朝榮，施毅.設(shè)備故障率和設(shè)備維修策略[M].北京：機械工業(yè)出版社，2004.

作者簡介：劉樂（1987—），男，湖北洪湖人，供職于三門核電有限公司，研究方向：AP1000核電項目電廠控制系統(tǒng)維護(hù)及管理。

（責(zé)任編輯：劉 晶）