基于FitRel系统平台的多样化反应堆保护系统定期试验设计

陈 鹏，李谢晋，罗 炜，周继翔，蒋天植

(中国核动力研究设计院 核反应堆系统设计技术重点实验室，四川 成都 610041)

为了应对安全级数字化仪控系统共因失效的风险，满足核电厂纵深防御和多样性的要求，通过结合国内其他同类型采用数字化仪控系统的二代加核电厂经验，在田湾核电站扩建工程5、6号机组中设计了一套多样化反应堆保护系统DAS(DAS，Diverse Actuation System)，以提供多样性的保护手段来降低保护系统共因失效的风险。由于DAS系统功能在反应堆正常运行过程中并不被启用，需要通过定期试验来保证其预期的可用性。并且，美国核管会发布的标准审查大纲第7.8节[1]中要求，申请者/持照者应确定多样化保护系统的试验、维修、监测和校准程序。因此，系统设计方需要为多样化保护系统设计一套定期试验方案。

在国内外已发表的文献中，与DAS系统定期试验方案设计相关的很少。文献[2]列出了8种设计有多样化保护系统的海外堆型。每一种堆型均设计了多样化保护系统定期试验，但却未对定期试验方案策略进行说明。国内已运行的福清一期、福清二期、方家山和海南一期核电项目，包括在建的“华龙一号”核电项目均设计了多样化保护系统。其定期试验方案是采用GB/T 5204[3]给出的分段交迭试验方法，充分考虑所采用的仪控平台特性，并结合多样化保护系统的具体功能来进行设计的。本文根据田湾核电站扩建工程5、6号机组的多样化反应堆保护系统设计，并充分考虑FitRel(FitRel，Fit and Reliable System)平台的自身特性，采用分段交迭试验的方式设计了一套符合法规标准要求的DAS系统定期试验方案。

1 多样化反应堆保护系统设计

在田湾核电站扩建工程5、6号机组中，DAS系统分为两个通道，每个通道都包含独立的信号输入处理模块、处理单元(MPU，Main Processing Unit)、输出处理模块等设备。两个通道的输出经2取2符合逻辑后，生成自动驱动信号，其结构如图1所示[4]。多样化反应堆保护系统是由基于FPGA(FPGA，Field-Programmable Gate Array)技术的FitRel平台实现，与由基于微处理器技术实现的反应堆保护系统FirmSys(FirmSys，Firm System)平台相比，满足NUREG/CR-6303中的多样性要求[5]。为了防止因设备故障引起虚假动作，DAS系统不采用故障安全设计原则。DAS系统产生的紧急停堆信号设计成得电动作的方式，机柜或者卡件失电不会触发紧急停堆。DAS系统输出到专设安全设施驱动器的控制信号与反应堆保护系统相同，采用的是有电动作原则。

图1 多样化反应堆保护系统结构示意图Fig.1 Schematic of diverse actuation system

2 定期试验设计方案

在反应堆正常运行过程中，DAS系统的功能并不被启用，因此需要通过定期试验来保证其可用性，并达到最低限度的性能水平。DAS系统定期试验用于监测DAS系统性能并检测隐藏的故障。它采用分段交迭试验方式，分为T1试验、T2试验和T3试验。T1试验主要验证过程仪表系统和核仪表系统的测量通道；T2试验为多样化保护逻辑功能试验，T3试验主要检查DAS输出到设备接口模块CIM(CIM，Component Interface Module，用于执行控制信号的优先级管理和设备的驱动控制功能)[6]或者外部系统的接口回路。DAS工程师站(可移动的计算机)提供DAS系统T2/T3试验的测试用例和T3试验测试允许信号[4]。试验时，定期试验维护人员利用工程师站内安装的FitRel平台维护软件FitRel-MT向DAS系统注入试验指令，通过将试验结果与预期值进行比较来判断试验成功与否[7]。基于FitRel系统平台的田湾核电站扩建工程5、6号机组的多样化反应堆保护系统定期试验分段如图1所示。

2.1 T1试验

DAS系统的T1试验主要包括交叉比较和通道验证。DAS系统自动对测量同一参数的冗余输入通道进行交叉比较。当任意两个输入信号之间的偏差超过信号量程的10%(可调)，将在电厂计算机信息与控制系统KIC(KIC，Plant Information and Control System)上触发工艺报警。针对同一传感器信号，操纵员每天对DAS送KIC的指示值与反应堆保护系统RPS(RPS，Reactor Protection System)送KIC的指示值进行比较；针对测量同一参数的冗余传感器信号，操纵员每天对其进行交叉比较。

对于DAS系统与反应堆保护系统共用的过程传感器/探测器输入通道，DAS系统和RPS分别设计有信号分断刀闸(如图2所示)，定期试验维护人员可以根据现场实际情况通过分断DAS侧或者RPS侧端子切换真实输入信号，再从端子测试信号注入口注入试验信号，同时在DAS工程师站读取试验结果。在电厂计划停堆期间，定期试验维护人员也可以通过图2所示的方式对仪表通道的精度进行验证。当所有相关的冗余信号都在给定的精度误差允许范围内，即表明相关通道的精度满足要求。传感器/变送器的精度检查可由反应堆保护系统输入通道精度检查所覆盖。

图2 通道校准试验方案示意图Fig.2 Schematic of channel calibration

对于来自核仪表系统RPN(RPN，Nuclear Instrumentation System)的模拟量输入通道，除了DAS系统将对其进行自动交叉比较外，在进行RPN测量通道的定期试验时，还需要同时对DAS系统相关的输入通道进行验证。RPN模拟通道可以通过维护试验设备MTE(MTE，Maintenance and Test Equipment)进行试验。MTE是一台可移动的计算机，它可以通过注入模拟试验信号检测源量程、中间量程和功率量程通道的状况。试验时MTE注入几个不同的试验电流至RPN，试验人员通过在主控室查看经过RPN和DAS处理后的相关信号的状态，并将其与期望值进行比较，以判断来自RPN系统的模拟信号是否正确传输至DAS。在试验过程中，处于试验的RPN通道向DAS系统发出“通道试验或故障”信号，DAS系统将进行逻辑退化处理。操纵员可以通过主控制室的报警获悉通道正在进行试验。

2.2 T2试验

DAS系统基于FitRel平台，具备在线自检能力，包括MPU板卡、网络通信板卡、I/O(I/O，Input/Output)模块、以及内部总线和网络通讯都能进行在线验证。T2试验主要是验证处理单元内逻辑功能的正确运行。在反应堆停堆期间，试验人员通过DAS工程师站和T2试验开关对单个DAS设备通道进行试验。首先，定期试验维护人员通过DAS机柜中T2试验开关切除未进行T2功能试验的DAS设备通道的DO(DO，Digital Output)板卡的供电，确认其无法输出“触发”信号后，再在DAS工程师站上执行测试用例。测试用例按照DAS单通道和功能分别设计，通过对逻辑输入信号进行批量强制后，再监视MPU逻辑输出值并和预期值进行比较来判断试验成功与否。DAS系统T2试验方案如图3所示。测试用例中还包括对带自保持触发器输出信号状态的试验前读取和试验后恢复。

由于DAS系统冗余设备通道采用继电器“二取二”表决逻辑输出，且每次仅对其中一个DAS设备通道进行试验，因此在试验期间DAS系统不会触发设备动作。需要注意的是，针对包含触发器逻辑的试验，在试验结束后需要将触发器的输出状态恢复到试验前的状态。

图3 T2试验方案示意图Fig.3 Schematic of T2 test

2.3 T3试验

由于在反应堆保护系统的不闭锁T3成组驱动器试验中已对CIM输出到下游驱动器的信号回路进行了试验，因此DAS系统不需要再进行T3驱动器不闭锁成组试验。DAS系统的T3试验分为两种：一种为DAS系统输出到CIM的驱动器闭锁型试验，另一种为DAS系统至外部系统的输出连接试验。试验从DAS工程师站上触发后便自动地进行。试验结果在DAS工程师站中进行显示。

2.3.1 DAS至CIM的输出连接试验(驱动器闭锁型T3试验)

DAS至CIM的输出连接试验包括所有由DAS驱动且受CIM控制的驱动器(如图4所示)。试验的目的是为了检查DAS到CIM的输出接口以及DAS与CIM之间的硬接线连接。定期试验维护人员首先把位于DAS机柜中T3试验开关切换至“试验”位置。在确认T3试验开关旁的T3试验状态指示灯点亮后，维护人员通过DAS工程师站强制触发T3试验请求信号，CIM接收到此信号后会闭锁CIM卡的DAS指令输入，并通过安全相关机柜(提供CIM模块的定期试验支持功能)发送试验允许信号给DAS[8]。在试验允许信号存在情况下，工程师站注入的试验指令信号才能发送到CIM。因此，此试验不会引起专设安全设施动作。DAS每个通道的DO输出通过继电器2取2符合逻辑后发送信号至CIM。

图4 DAS和CIM接口试验方案示意图Fig.4 Schematic of DAS and CIM interface test

DAS每次只试验其中一个CIM接口，通过回读DO输出和CIM试验反馈信号的状态判断试验成功与否。每个CIM机柜试验后，DAS通过CIM试验允许未解除信号的状态判断该机柜中所有CIM是否都已解除，如有某个CIM试验允许未解除，试验不通过。

如果在试验过程中有真实的驱动指令产生，那么该指令会立即闭锁MT注入的试验指令信号，同时复位试验请求信号，以保证真实动作信号立即触发。试验请求被复位后，试验允许和试验反馈信号均为0，试验不通过。

2.3.2 DAS至外部系统的输出连接试验

DAS系统至外部系统输出连接试验包括DAS输出到RGL(RGL，Rod Control System and Rod Position System)控制棒驱动机构电源柜的紧急停堆信号试验、DAS输出到汽轮机保护系统GSE(GSE，Turbine Protection System)的汽机跳闸信号试验以及DAS输出到主蒸汽系统VVP(VVP，Main Steam System)与化学和容积控制系统RCV(RCV，Chemical and Volume Control System)的信号试验。这一试验的目的是为了检查DAS的输出接口以及DAS与外部系统之间的硬接线连接。

以RGL系统为例，DAS送至控制棒控制系统RGL的紧急停堆信号(如图5所示)，在RGL侧进行“四取二”表决后触发紧急停堆，在DAS工程师站上每次只能试验其中的一路信号，当试验其中某路信号时，其他三路输出信号对应的试验开关将无法操作；这样的试验方案设计保证了试验时不会触发目标系统设备真实的动作。DAS输出到GSE的汽机停机信号的试验方式与此方式类似。

对于DAS送至RCV的信号(如图6所示)，每次仅试验其中一个通道输出，由于只有两个通道信号同时存在时，“二取二”符合逻辑才有效，保证了试验时不会触发目标系统设备真实的动作。试验结果在DAS工程师站上进行显示。

如果在试验过程中有真实的驱动指令产生(两路或两路以上信号同时存在)，那么真实的动作信号会立即触发，并闭锁试验反馈信号，试验不通过。

图5 DAS与RGL/GSE接口试验方案示意图Fig.5 Schematic of DAS and RGL/GSE interface test

图6 DAS与VVP/RCV接口试验方案示意图Fig.6 Schematic of DAS and VVP/RCV interface test

3 总结

田湾核电站扩建工程5、6号机组的多样化反应堆保护系统定期试验方案是在满足相关法规标准的前提下，根据FitRel系统平台的特点来设计的，目前已经应用于施工设计中。它具有以下特点：

1)充分利用数字化仪控平台的在线自检功能、冗余信号间的交叉互校功能，提高了系统的自诊断覆盖率，减少了定期试验频度，对提高系统的可用性有利。在此基础上，结合分段交迭的定期试验方式，扩大了故障检测范围，显著提高了定期试验的有效性。

2)通过在DAS系统和RPS系统设计信号分断刀闸，简化了T1试验的插拔线工作。与此同时，DAS工程师站的设计，使得T2和T3试验一经触发便可自动执行。试验人员可以在工程师站上直接观察T3试验结果。上述设计减少了试验维护人员的工作量，提高了定期试验的工作效率。

3)DAS系统自身的“二取二”逻辑结构和得电动作设计，使得试验维护人员在进行T2试验时不用担心误触发下游设备动作。通过设置合理的试验允许逻辑与试验闭锁逻辑，并利用“四取二”和“二取二”符合设计，使得试验维护人员在对某一输出通道进行T3 试验时，不用担心误触发目标系统设备动作或者闭锁真实的保护动作信号。这些试验设计可以降低电厂设备在试验期间的误触发概率，也提高了试验的灵活性。

与由基于微处理器技术实现的反应堆保护系统(FirmSys)相比，基于FPGA技术实现的DAS系统(FitRel)虽然没有操作系统和软件，但是在定期试验内容、方法和策略上，两者无明显差异。