AP1000自动卸压系统闭锁功能及可靠性分析

刘乐　张丰平

摘要：AP1000自动卸压系统（ADS）中泄压阀的动作由保护和安全监测系统（PMS）控制实现，它的误触发引起的一回路压降危害不亚于LOCA事故，而PMS的软件共模故障可能导致这样的误触发发生。为了降低ADS系统误触发的概率，AP1000设计了ADS闭锁模块用于对触发条件的重复确认。文章介绍ADS触发闭锁模块的原理和设计，分析ADS误动和拒动的可能性。

关键词：核电站；AP1000；自动卸压；中泄压阀；ADS闭锁模块

中图分类号：TL48 文献标识码：A 文章编号：1009-2374（2013）11-0074-03

1 自动卸压系统简介

AP1000压水堆核电站设计了自动卸压系统（简称为ADS），它的动作用来降低反应堆冷却剂系统的压力，以实现堆芯补水箱（CMT）中含硼水的注入、堆内换料水储存箱（IRWST）中冷却水的注入及安全壳再循环启动；自动卸压系统是反应堆冷却剂系统的一部分，并且与非能动堆芯冷却系统连接，包含4组顺序开启的阀门，用以降低反应堆冷却剂系统的压力，从而使非能动堆芯冷却系统能为堆芯提供长期冷却。

自动卸压系统包含4个卸压等级，主要包括10个泄压阀，分别连接到反应堆冷却剂系统的三个不同位置。前3级自动卸压阀为电动阀，第4级自动卸压阀是爆破阀。第1、2、3级自动卸压系统各有两条管线，每条管线上串联两只电动阀，上游的为隔离阀，下游的为调节阀。每一条管线的入口经过一条公用母管，与稳压器顶部相连，每一条管线的出口与公用的卸压母管相连，通过喷淋管线上的喷淋头注入堆内换料水储存箱中。第4级自动卸压系统包括对称的两路管线，其中一路通过一个入口与一个热段管线相连，两条管线一路。图1为自动卸压系统概要图。

2 自动卸压系统的控制

自动卸压系统作为专设安全设施之一，泄压阀的动作由保护和安全监测系统（PMS）控制实现，它的触发逻辑有3个：堆芯补水箱注入并且4个序列中的2个序列探测到任何一个堆芯补水箱液位低-1设定点；长期失去交流电源（IDS低电压信号）；手动触发。

2.1 ADS闭锁模块

保护和安全监测系统为每个序列提供了一块ADS闭锁模块，该模块为1E级模块，使用常规的模拟量模块，不依赖于软件，其概念图如图2。序列间的闭锁模块相互之间没有连接，也不进行选择逻辑判断。输出给CIM的信号用在Z端口的关方向，相比用于正常触发ADS的X端口，CIM的Z端口拥有更高的优先级，因此送到Z端口的闭锁命令将阻止从集成逻辑处理器ILP来的ADS触发信号。每个序列模块对4个阀门进行闭锁，对于ADS第4级，这些阀门由PMS的两个序列来驱动，则需对两个序列都进行闭锁。除了输入和输出的连接以及它的供电，ADS闭锁模块不与PMS的其他设备共享电回路。表1为ADS闭锁模块的序列分配情况。

2.2 ADS触发的闭锁功能设计

AP1000设计已经采取了一定数量的方法来减少误触发ESF功能的可能性。不过，一个或多个安全序列的软件共模故障仍可能导致系统级的误触发。对于ADS，它的动作引起的一回路压降危害不亚于LOCA事故，这样的误触发是无法接受的，因此，AP1000设计了ADS触发的闭锁控制。

ADS闭锁设计的出发点是对ADS触发条件的再确认，以确保ADS动作不是由于误触发。对于PMS软件共模故障，主要是针对ADS触发的自动控制逻辑。

首先，假设专设安全设施S信号触发，PMS打开堆芯补水箱CMT的下部阀门，将含硼水注入RCS进行补充，硼水在重力的作用下注入反应堆。若没有发生LOCA，这些阀门的打开不会引起RCS排水，CMT的循环是封闭回路，进入反应堆的硼水由冷段的冷却剂进行补充，CMT的液位不会下降；若发生LOCA，则CMT的液位将会持续下降。因此，测得的CMT液位是真实LOCA的有效指示，将CMT液位作为ADS闭锁信号是合理的。两个CMT分别包括四个窄量程液位计，液位信号分别输入到四个序列。ADS闭锁模块与PMS模拟量输入卡件AI688共享CMT液位传感器的输入，经过闭锁判断的输出通过硬接线输出至ILC机柜的CIMZ端口输入端接点。在正常运行时，4～20mA的信号高于设定值，报警输出触点闭合，ADS触发被闭锁；在真实的LOCA事故发生时，任意一个CMT液位下降到设定值以下，输出触点打开，ADS闭锁解除。

其次，在失去交流电源时需解除对ADS的闭锁，该模块接收来自蓄电池继电器的触点输入，当任一继电器指示电压低于设定值，则解除对ADS的闭锁。

最后，AP1000也在在主控室提供了手动解锁的开关，每个序列一个。在自动触发失效时，操纵员可以通过这些开关进行手动ADS触发解锁。通过在主控室监测CIM的X、Y端口的状态获得ADS的闭锁情况。

当主控不可用时，远程停堆站RSW需要具备手动触发ADS的能力，每个序列的MCR/RSW切换开关可以将电厂的控制从主控室切换到远程停堆站。这些切换开关动作的同时将解除ADS闭锁，使RSW具备手动触发ADS的能力。

综上所述，CMT低液位信号，IDS电池低电压信号，手动解锁信号和MCR/RSW切换信号中的任意一个都可以解除闭锁。

3 可靠性分析

3.1 独立性

为了有效地防止误触发，ADS闭锁模块独立于PMS的故障模式。ADS闭锁模块位于PMS的双稳态逻辑BCC机柜中，与PMS共享输入信号、输出设备CIM和供电电源，但并不影响其闭锁功能的独立性。

3.1.1 共享输入信号。PMS的自动ADS低CMT液位结合CMT驱动信号触发，比如稳压器液位低。因此，单独的CMT液位低不会导致误触发，且故障液位信号可以通过其他序列的交叉比较发现，这些信号的共享不影响闭锁功能的独立性。

3.1.2 共享设备接口模块。ADS闭锁模块使用CIM的Z端口，CIM具备监测和维护的特点，因此没有必要增加额外的信号闭锁设备，共享CIM不会影响闭锁功能的独立性，因为CIM本身不是误触发的源头：

（1）任何ADS路径的触发都要求动作同一序列的两个CIM。在1、2、3级CIM打开串联的电动阀的情况下，第4级ADS的爆破阀的装填和点火由不同的CIM来执行，这两个CIM位于不同的PMS机柜，由不同的PMS处理器来触发。

（2）一个序列中用于打开ADS路径的两个CIM之间不存在接口，不存在一个CIM的故障引起另外一个CIM故障的情况。且CIM是得电动作，CIM故障也不会误触发。

（3）CIM接收的只是简单的打开/闭合阀门的命令，不存在复位、模式切换等命令。

（4）ADS触发不接收来自电厂控制系统（PLS）的命令，因为它们是会导致严重后果的阀门。

（5）CIM通过串行数据链路从PMS接收信号，且具备自诊断错误检查功能，自动剔除坏点信号。

（6）CIM在失去指令的情况下默认动作为不触发输出。

（7）Z端口的使用不会增加新的故障模式，它本身就存在于CIM当中，只是使用与否，因此已经考虑它的可靠性了。

3.1.3 共享供电电源。共享供电电源也不会影响闭锁功能的独立性，机柜断电不会引起ESF信号输出，尽管此时ADS闭锁已经解除，但也不会引起ADS的误触发。ADS闭锁模块使用4个光电隔离器向4个CIM提供闭锁信号，光电隔离器为闭锁模块的电源与CIM内部48V电源之间提供隔离。采用专用的24V湿电压给闭锁模块、模块的输入触点和固态继电器提供电源，该电源由机柜提供，且与机柜供电隔离。

3.2 故障拒动分析

ADS闭锁模块设计为“故障安全”，当ADS闭锁模块故障时，它对ADS触发的闭锁被解除，或者当输入条件大于设定值时，模块的故障也不会阻碍ADS闭锁的解除。也就是说ADS闭锁模块故障发生或输入满足条件，都将解除闭锁。

针对ADS闭锁模块进行的试验表明，86%的故障会朝安全方向发展，也就是说86%的模块故障对ADS闭锁模块进行了解锁，而14%的模块故障无法解锁ADS闭锁模块。针对ADS闭锁模块进行平均故障间隔（MTBF）分析，评估的模块故障率为λ=372/1.0E+09。引起故障拒动可能是模块故障引起的，也可能是传感器故障引起。

3.2.1 模块故障。ADS闭锁模块故障向“非故障安全”的方向发展，没有对ADS进行解锁，这种情况可能阻止必要的ADS触发。按照ADS闭锁模块的设计，这类故障一般只会在定期试验时发现，如果发生这种情况，序列的ADS无法触发的平均时间为定期试验周期的一半（平均恢复时间MTTR）。AP1000 PMS中，每个序列的ESF功能定期试验周期为92天。因此，由闭锁模块引起的ADS无法触发的概率PFD（要求时失效概率，Probability of Failure on Demand）可以由下述计算得到：

PFD=λD×tCE

式中：

λD——模块的故障失效率

tCE——模块的等效平均停止工作时间

3.2.2 传感器故障。两个CMT液位传感器的同时故障也将导致序列的ADS触发故障。当PMS系统逻辑满足触发条件时，序列应该触发ADS，但是由于闭锁模块未被解锁，该序列的触发没有发生。传感器的故障可以通过不同序列间的冗余交叉比较立即发现，对传感器进行维修，使之投入运行的预计时间为72小时，传感器的故障率为1.0E-07f/hour，单个传感器的故障为7.2E-06，两个传感器的故障为5.2E-11，即使是非常低的可能性，我们仍然考虑了传感器的共模故障，尽管这种情况与ADS闭锁模块的故障相比微乎其微。假设单个序列故障，也不会阻止整个ADS功能的触发，这种故障的结果对堆芯的损坏概率非

常低。

3.2.3 故障误动分析。当ADS闭锁模块故障，未能闭锁ADS触发功能，则可能导致ADS误触发。在这种情况下，闭锁的解除可以通过PMS和DCIS监测的CIM状态立即被发现，ADS闭锁模块非常容易替换，但是由于并没有丧失安全功能，因此对它的维修并不是最紧急的。此处假设维修的平均时间为24小时，则闭锁模块不可用的概率为：

PFD=372×10-9×86%×24=7.7×10-6

如此低的可能性，结合低的误触发概率，使得这种情况发生的可能性更低。

4 结语

AP1000自动卸压系统（ADS）的误触发引起的压降危害不亚于LOCA事故，它的触发或动作需要额外关注，为了防止PMS软件共模故障引起的ADS系统误触发，AP1000设计了1E级硬件模块ADS闭锁模块，用于对触发条件的重复确认。试验和分析表明，ADS闭锁模块的应用降低了ADS误触发的可能，同样也不会引入不必要的拒动概率。

参考文献

[1]顾军，缪亚民，范福平，等.AP1000核电厂系统与设备[M].北京：原子能出版社，2010.

[2]陆朝荣，施毅.设备故障率和设备维修策略[M].北京：机械工业出版社，2004.

作者简介：刘乐（1987—），男，湖北洪湖人，供职于三门核电有限公司，研究方向：AP1000核电项目电厂控制系统维护及管理。

（责任编辑：刘 晶）