多样化驱动系统(DAS)测试应用分析

Application Analysis of the Test for Diverse Actuation System

张朝晖

(国核自仪系统工程有限公司，上海　200233)

多样化驱动系统(DAS)测试应用分析

Application Analysis of the Test for Diverse Actuation System

张朝晖

(国核自仪系统工程有限公司，上海200233)

摘要：阐述了AP1000堆型多样化驱动系统(DAS)的系统架构和自动/手动驱动功能需求，研究分析了DAS系统测试内容和设备鉴定的特殊需求，并在此基础上阐述了DAS提升纵深防御和避免共因故障的测试策略。同时，分析了部分DAS测试的独特方法，并研究了现场维护过程中有关测试的要点。这为承担第三代核电数字化仪控系统国产化任务的多样化驱动系统国产化团队提供了设计和测试参考。

关键词：AP1000多样化驱动系统(DAS)测试分析纵深防御数字化仪控系统

Abstract：The system architecture and the functional demands for automatic/manual actuation of the diverse actuation system (DAS) in AP1000 nuclear power plant are described, and the test contents and the specific requirements of equipment appraisal are researched and analyzed. On this basis, the test strategy of upgrading defense in depth and avoiding common cause failures for DAS are expounded. In addition, unique test methods of partial DAS test are analyzed and summarized, and related main test points in field maintenance are researched and summed up. These provide reference of design and test for the team working on localization of digital control systems for the third generation nuclear power.

Keywords：AP1000Diverse actuation system(DAS)Test analysisDefense in depthDigital control system

0引言

在美国核管会NUREG 0800 BTP7-19文件、过渡性导则ISG-02以及我国《HAF102和动力厂设计安全规定》中都明确核电站仪控系统必须采用多样化设计，并对其进行完整的纵深防御评估，通过仪控系统、结构和部件的多样化设计来降低或避免发生与主保护系统的共因故障。AP1000核电站多样化驱动系统(diverse actuation system，DAS)独立于Common Q平台的保护系统(PMS)和Ovation平台的电厂控制系统(PLS)之外，也独立于其他电厂控制与运行监控系统。DAS采用不同的传感器、不同的触发机制、不同的时序控制和不同的驱动方法，降低PMS失效时堆芯熔化和安全壳失效概率。PMS系统经历了抗震、高温高湿环境等测试，证明这些极端情况不会对PMS产生共因故障影响，但影响安全功能的软件共因故障只能采用DAS的多样化方法来降低或避免。

在参与测试过程中，笔者再次体会到DAS系统不仅在软件上考虑降低共因故障的策略，在测试方式、硬件设计、软件设计和测试人员构成、操作方式、维护终端、误动作避免等方面都有不同于PMS的降低共因故障的策略。本文分析介绍了DAS测试中的相应降低共因故障的策略。

1DAS系统结构和功能需求

DAS系统主要由2个就地处理控制柜、1个爆破阀控制柜和一套位于主控室的DAS控制面板(DCP)构成，系统结构如图1所示。

DAS主要实现以下3个功能：自动驱动功能、手动驱动功能、显示和报警功能。自动驱动功能，即当电厂参数超过设定值时，提供多样化、冗余的自动驱动信号来使反应堆停堆或驱动相应的专设安全设施。信号输入采用与PMS系统独立的16个传感器，具体如表1所示。DAS系统自动驱动功能的驱动条件如表2所示。

表1　DAS输入信号类型

图1　多样化驱动系统(DAS)系统结构图

驱动功能SG宽量程液位低RCS热段温度高稳压器液位低壳内温度高反应堆停堆和汽轮机停机★★★非能动余热排出系统(PRHR)驱动和壳内换料水箱(IRWST)疏水管线隔离★★堆芯补水箱(CMT)驱动和主泵停泵★★安全壳隔离和非能动安全壳冷却系统(PCS)驱动★

手动驱动功能，即停堆和各项专设安全设施驱动提供独立的、基于硬接线的、不需要软件支持的功能。在主控室的DAS控制面板可以手动驱动现场设备，所有的DAS远程手动功能都必须在DAS手操控制面板置为“可用”。处理机柜1和处理机柜2都应该设有DAS手操面板，DAS手动功能“不可用”开关在主控室，在DAS机柜侧不提供。手动驱动可以实现以下驱动功能：停堆和停汽轮机，堆芯补水箱驱动和主泵停泵，非能动堆芯余热排出系统驱动和壳内换料水箱输水管线隔离，安全壳隔离，非能动安全壳冷却系统驱动，氢点火器控制，1、2、3、4级自动缷压阀动作，壳内换料水箱注入，启动安全壳再循环，启动壳内换料水箱疏水至安全壳。

显示和报警功能，即通过DAS面板提供过程参数和报警信息，显示报警功能也不需要软件支持。显示反应堆冷却剂系统热段温度，蒸发器宽量程液位，稳压器液位，安全壳温度，堆芯出口温度。报警功能用以警示操作人员如自动驱动命令输出、输入超出设定值、DAS离线(即旁路或测试状态)、硬件故障等报警信息。

围绕以上功能需求，DAS在不同阶段的测试中都要验证能否可靠有效执行这些功能。

2测试说明

DAS在投入运行前的测试分为制造厂测试和现场测试两大部分。元器件级、部件级、单元级测试已由分供方按照西屋传递的采购技术要求、功能需求和质保要求完成相关测试。西屋作为系统集成商只接受部件组装完整的机柜，在完成入库检查后便按照西屋的测试计划执行相应测试。

DAS主要测试内容和测试顺序如图2所示。

图2DAS测试内容和顺序

Fig.2Test contents and sequence of DAS

西屋在DAS系统满足核电站纵深防御原则和避免共因故障方面的特殊设计要求体现在如下几个方面。

① DAS系统平台采用西屋CS Innovation公司的先进逻辑系统(advanced logic system,ALS)。该平台基于FPGA(现场可编程门阵列)技术，结构、硬件和软件与反应堆保护系统(PMS)和电厂控制系统(PLS)不同。

② 对保护变量合理分组，每个事故的触发事件采用不同测量原理的变量作为输入，防止共因故障造成的影响。

③ 设置手动驱动停堆功能，且不需要软件支持，通过固态逻辑和继电器直通执行机构的驱动单元。

因此，采用Bootstrap框架和ZRender渲染进行移动设备和桌面窗口界面自适应开发，无论是从布局、屏幕自适应方面看，还是从网页效果方面看，都更容易创造视觉的冲击，是Web开发的趋势[5-6]。

④ 在就地处理柜和工作站故障失电情况下，不仅能维持处理柜，而且为主控室远程DAS控制盘提供4 h供电，还可保证将电厂带入安全停堆状态。

⑤ DAS设计团队独立性，设计团队与PMS、PLS团队完全独立，硬件选型也完全独立。

⑥ 测试团队独立性，测试策略也与PMS、PLS系统完全不同。

基于以上多样化设计，保证多样化驱动系统在保护系统发生共因故障的小概率事件时能降低堆芯融化和安全壳超压的概率，执行预期功能。

3设备鉴定试验

AP1000非能动核电站堆型在三门项目中首次应用，DAS系统也是西屋公司开发后首次应用，必须通过相应设备鉴定试验方可制造生产。DAS设备鉴定的要求主要涵盖环境试验、抗震试验、EMC试验。

DAS位于辅助厂房，西屋定义环境分区的7区，房间号为12554，异常工况时温度最大114华氏度(45.6 ℃)，微负压，60年辐照总剂量1E+04拉德。DAS环境试验供完成6个周期的湿热环境鉴定试验，具体湿热环境温度、湿度随着时间和供电方式以及电压和频率的对应关系如图3所示。每个试验周期持续12 h，在每个周期的0~4 h、4~8 h、8~12 h试验供电电压、频率选取关系如表3所示，DAS的供电电压范围为207~253 V，频率范围为47~53 Hz。

图3　环境试验温湿度变化曲线

周期0~4h电压/V频率/Hz4~8h电压/V频率/Hz8~12h电压/V频率/Hz125347207472253532075332534720747425347207475253532075362535320753UPS电池供电电压UPS电池供电频率

DAS按AP1000的设备分级为D级，非抗震类，但实际按照抗震二类设备完成抗震试验。DAS按响应谱要求完成相应5次1/2SSE和1次SSE试验，阻尼选择5%。

EMC按照西屋设备鉴定方法文件的要求完成相应测试项和测试等级。除了在IEC 61000- 4-11执行电压暂降、短时中断和电压变化试验的验收等级略有降低外，其他测试项的验收等级都采用最高的A级。IEC 61000- 4-11具体情况分析如表4所示。

表4　IEC 61000- 4-11验收等级

在EQ试验进行之后，由于DAS的驱动借助于不需要软件支持的继电器完成相应动作，继电器线圈是机柜内重要热源之一，同时机柜内配置8个开关电源(就地处理机柜1)，所以需要完成DAS机柜功耗和发热计算。这样用以保证合理设计和布置机柜散热通风，以及设定合理柜内温度，保证机柜内部件在安全可靠的温度范围内工作。

4工厂验收测试

工厂验收测试是控制系统集成制造的最关键环节，机柜内部件安装、端子接线、内外部通信、供电，以及部件级、子系统级和系统级的软硬件功能能否符合设计规范书的要求，都在这一个环节系统性的得到验证。通常意义上的工厂验收测试如PMS分为硬件测试(CHT)、通道集成测试(CIT)、系统集成测试(SIT)3个阶段，在CIT和SIT测试阶段又按系统功能(即各子系统功能)逐个测试子系统的各项控制功能，如PMS在CIT阶段按照子系统的机柜类别分别完成NIC、BCC、MTC、ILC、SVC、SOE、QDP这类机柜级的通道集成测试，在SIT阶段按执行系统功能分别完成系统接口和响应时间测试(SI&RT)、安全显示和MTP显示测试(SS&MTP)、异常工况测试(Abnormal Conditions)3类系统级的集成测试。由于DAS避免与PMS共因故障，所以在测试策略、测试人员组成、测试专用工具等方面都采取与PMS完全不同的方式和团队。DAS的工厂测试首先执行硬件测试，硬件测试主要完成导通性测试和绝缘测试，上电前检查和确认模块或部件安装是否正确。其次执行ALS Service Unit (ASU)软件测试，作为应用软件的基本测试，其由软件供应商按照功能要求完成。最重要的就是工厂验收试验(FAT)，DAS的FAT采取整体测试策略，即不分机柜或者系统，统一分解DAS执行的功能，逐一按照功能需求执行出厂验收测试。DAS的FAT测试顺序和内容如表5所示。

表5　DAS FAT测试顺序和内容

在DAS出厂验收测试中，有部分测试环节的测试方法有其独创性，优于控制系统的大部分常规测试方法，值得总结和参考，举例说明如下。

4.1　精度测试

DAS模拟量输入的精度要求为校准前的精度≤0.3%(量程)、校准后的精度≤0.125%(量程)。一般意义上常规精度测试通常选取5点或9点测试其精度，取5点法即选取量程0/5%、25%、50%、75%、95%/100%测量精度，或者从100% 再做回0%即9点法。而DAS执行精度测试时，实际按照13步完成精度测试，而且测试点并不是选取相对规整的25%、50%这样的点。测试时，选择测试点数量多、跨度大，并且需要验证每一个测试点的响应时间是否符合给定要求，测试策略更为严格合理。以海阳1号机组DAS热电阻输入信号即反应堆冷却剂系统热段温度(位号：DAS-RCS-300A，量程10~371.1 ℃，对应阻值范围为103.90~237.09 Ω)为例，详细说明测试步骤以及测试点和对应响应时间，如表6所示。

表6　DAS-RCS-300A精度测试流程

图4为DAS-RCS-300A热电阻精度测试阻值变化曲线。由图4可以看出,在测试过程中选择远超出量程(103.9~237.09 Ω)的高量程和低量程的测试点,测试其精度是否符合要求时，测试方法比常规5点法或者9点法较为严格。

图4　热电阻精度测试阻值变化曲线

4.2　响应时间测试

DAS执行自动驱动和手动驱动功能时，直接通过继电器输出动作。为防止误动作，设置了相应的延时时间，同时一些手动驱动直接驱动专设安全设施和12个爆破阀，也要保证驱动后信号能在要求时间内输出。所以在DAS的工厂验收测试阶段，对DAS显示、自动驱动、手动驱动和输出继电器延时的响应时间测试显得尤为重要。DAS的显示响应时间，如就地处理机柜

1的控制面板显示时间和主控制DAS控制面板的显示响应时间都是≤3 s，就地处理机柜1内安装的ASU显示响应时间是≤2 s。DAS的自动驱动响应时间要求如表7所示。

表7　自动驱动响应时间要求

DAS作为安全停堆等功能的最后一道屏障，其手动驱动专设安全设施响应时间测试也尤为重要，如停汽轮机和壳内换料水箱注入驱动要求4.5 s≤T≤6.5 s，驱动ADS 4级爆破阀要求59.5 s≤T≤61.5 s，其他手动驱动功能响应时间都是要求≤1 s。对于电源故障、机柜门开关报警、柜内温度过高、UPS故障、自诊断报警、通道过载等故障报警的响应时间要求都是≤1 s。在这尤为注意的是继电器延时输出的延时响应时间要求，如海阳1号机组详细设定值如表8所示。

表8　继电器输出延时要求

在出厂验收测试响应时间测试阶段，发生了海阳1号机组ADS4级 ARM输出继电器延时输出设计值错误的情况，多次试验都远小于57.5 s，最后更换延时输出继电器重新设定，测试正常。

5投运后例行检查测试

DAS现场安装和现场验收联调测试完成以后，预示着DAS将投入正式运行。运行中为保证DAS执行停堆和相关专项设施的可用性，必须由运维人员执行定期例行确认检查。

定期例行检查测试的主要内容如表9所示。

DAS没有自动触发爆破阀的功能，只能通过主控室DCP、就地处理机柜RDCP和爆破阀放炮器手动触发12个爆破阀。由于要求爆破阀点火器的充电时间不少于1 s，充电后27.5 s内需要触发，使输出电流流至爆破阀放炮器，所以根据需要可以在故障排除或定期例行检查测试中加测爆破阀点火器和放炮器的相关内容。

定期例行检查测试的各项测试层次关系如图5所示[2]。

表9　定期例行检查测试内容

图5　DAS定期例行检查测试层次

由图5可知，通道检查覆盖范围为变送器输入信号到通信卡信号输出之间，校准覆盖范围为模拟信号源输入到ALS-102卡之间，通道功能检查测试覆盖范围为模拟信号源输入到输出继电器之间。

6结束语

通过以上对AP1000多样化驱动系统(DAS)的测试应用分析可以发现，它与传统ATWS缓解系统在设计思路、结构、功能、测试策略方面都有很大的不同，在安全性措施和纵深防御策略等需求方面有其独到的设计。目前，国内核电控制系统供应商承担着实现多样化驱动系统的国产化任务，文中关于多样化驱动系统测试的内容可为设计、测试提供参考。

参考文献

[1] Andrew B B.APP-DAS-VBR-002 Rev.0.Equipment qualification summary report for the diverse actuation system for use in the AP1000 plant[R].Cranberry Township,2013.

[2] Joseph A.APP-DAS-J0M-001 Rev.0.AP1000 diverse actuation system-technical manual[R].Cranberry Township,2013.

中图分类号：TH7；TP273+.5

文献标志码：A

DOI:10.16086/j.cnki.issn1000-0380.201507012

修改稿收到日期：2014-12-25。

作者张朝晖(1980-)，男，2003年毕业于上海电力学院自动化专业，高级工程师；主要从事仪表控制系统的技术研究工作。