宋玉亮 李永进 陈信仁 赵东阳 刘东亮
EPR 核电机组在设计阶段专门考虑了单列仪控丧失的工况,要求在此工况下机组执行的主要功能能够维持,因此EPR 机组在设备冗余、仪控系统功能冗余及隔离等方面进行了特有的设计,特别通过对列间传输信号的缺省值设计最终实现功能的维持。本文研究了EPR 机组基于单列仪控丧失的缺省值设计策略,提出了具体的设计方法和原则,并最终在EPR 台山1/2 号机组单列仪控丧失试验中得到验证。
EPR 常规岛仪控系统分为独立的两列(位于HFA 房间的CI1 和位于HFB 房间的CI2),每一列均有相同数量的自动处理器AP 组成,能独立实现功能控制,同时列间通过网络和硬接线进行信号交互,能真正实现仪控功能的冗余配置。
同时,EPR 机组中执行同一功能的设备和传感器普遍采用冗余配置,并在逻辑功能实现中考虑了其间的联锁控制,从而保证了单一设备故障后由冗余的设备来保证功能不丧失。
因此,基于仪控系统和工艺设备的冗余配置,允许EPR 机组在初始设计阶段可以考虑单列仪控丧失的工况,以提高机组运行的安全性和经济性,其通过设备功能的划分、控制逻辑的匹配、仪控信号的分配等多种设计策略来实现单列仪控丧失工况下主要功能的继续维持。在仪控系统中将同一列的设备控制与信号处理放入相同列仪控系统,同时不同列的控制又分配到不同列的仪控系统来处理,从而保证了控制与设备同时冗余。
为实现EPR 机组单列仪控丧失工况下的功能保持,当出现单列仪控丧失工况时,处于冗余状态的另一列仪控系统必须能够获得清晰而准确的信息,并通过相应的逻辑运算做出正确的响应。这就需要为因仪控丧失而失效的列间传输信号定义正确的缺省值,并在逻辑运算中予以实现。台山EPR 机组缺省值的实现基于SPPA-T2000 系统的ES 工程组态系统,通过一系列基本功能模块,完成逻辑功能的搭建,最终满足功能设计的要求。EPR 机组的缺省值设置主要包括缺省值为1、最后有效值、特定值和0 等几种形式,一般是通过原始信号和一个表征输入列仪控是否丧失的生命信号(值为1)信号,经过一系列逻辑功能块的配合来最终实现需求的缺省值。
缺省值为1,即要求在信号失效后,信号的接收端能将此信号值置于1,来满足功能设计的需要。其逻辑实现方是在发送端增加一个值为1 的生命信号,同时在信号的接收端将生命信号取反,与原信号经过一个“或”门的选择最终输出到后续逻辑运算中。
缺省值为最后有效值,即要求在信号失效后,信号的接收端能将此信号值置为仪控丧失前的最后有效值,来满足功能设计的需要,可分为原信号为逻辑量和原信号为模拟量两种情况考虑。
2.2.1 原信号为逻辑量的实现方式
当原信号为逻辑量时,其逻辑实现方式是在发送端增加一个值为1 的生命信号,同时在信号的接收端将原信号取反,与原信号经过一个“RS 触发器”模块,经过运算最终输出到后续逻辑运算中。
2.2.2 原信号为模拟量的实现方式
当原信号为逻辑量时,其逻辑实现方式是在发送端增加一个值为1 的生命信号,作为原信号选择模式的触发条件,经过运算最终输出到后续逻辑运算中。
缺省值为特定值仅适用于部分模拟量信号,其逻辑实现方式是在发送端增加一个值为1 的生命信号,作为原信号选择模式的触发条件,经过运算最终输出到后续逻辑运算中。
缺省值为0 的实现,因为仪控丧失后原始信号会自动变为0,因此无需额外增加逻辑运算,其失效值0 即为其缺省值。
仪控列间交互的硬接线信号,其缺省值的实现可参考上述几种逻辑方式。另外当其缺省值为1 时,也可采用下一种不需要额外生命信号的方式来判断,即在硬接线两端增加两个“非”门,正常工况下,两个“非”门相互抵消,输入信号与原信号保持一致,当监测到发动端仪控丧失,输入信号为0,直接取非为1,缺省值起作用,使得最终输出值为1。
EPR 机组要实现单列仪控丧失下的可靠性,需充分考虑仪控故障对交互信号传输及功能的影响,必须运用有效的设计原则来合理设计交互信号的缺省值,这些原则不是硬性和唯一的,而需要考虑多种因素,结合不同的需求角度来综合考量。EPR 机组缺省值的设计原则,主要是基于设计策略中在仪控失效后对功能的需求以及不同功能分区的设置,同时考虑保障设备的安全性、功能的可用性以及机组的安全经济性,并结合设备的特性来设置。
EPR 机组要实现单列仪控丧失下主要功能的保持,要保证正常列的设备处于可用状态,同时相关的逻辑功能有效。正常运行工况下,不同列间的设备、功能存在复杂的逻辑联系,诸如相互闭锁、互为因果等,但单列仪控丧失造成的信号失效会破坏这些逻辑功能联系,使得处于正常列的逻辑功能无法实现或设备无法正确动作。因此在设计这些交互信号的缺省值时,应着重考虑消除对正常仪控列功能和设备的影响,具体到缺省值的选择上,应实现不干扰正常功能的实现,不干扰相关设备的正常动作,不影响设备的保护逻辑等。
EPR 机组已经配置了满足需求的冗余设备,并对其控制功能进行了独立配置,要实现单列仪控丧失下主要功能保持,就需要将原来由丧失列实现的功能切换到正常列来实现。因此,EPR机组设计中分析了相关交互信号和切换逻辑,针对需要通过及时切换设备来实现功能保持的情况,通过将某些失效列的故障信号缺省值设为1 的方式,实现处于正常仪控列控制的备用设备的自动启动,从而实现及时通过设备切换实现功能保持。
单列仪控丧失后可能导致的设备误动,大多数是由于失效信号会触发相关逻辑功能的判断阈值导致的,比如监视设备正常运行的特征参数失效,会导致设备异常动作;设备上下游的流量、压力等参数失效,会对设备对状态产生误判等。要避免设备异常动作,就需要合理的设置这些失效信号的缺省值,主要策略是通过逻辑判断剔除掉相关的失效信号,或者将失效信号置于一个安全值,从而只通过正常列的信号来进行逻辑功能的判断。
EPR 机组的缺省值设置不是孤立的,需要考虑各方面的综合因素,并且主要是由下游实际需求来确定的,特别是单路失效信号传输到下游正常仪控列不同方向的交互信号,需要针对不同的逻辑功能,需要逐项进行分析和缺省值设计。
由于单列仪控丧失后此列控制的所有传感器信息、设备状态等输出都将丧失,因此从保证正常列逻辑功能执行正确,给予操纵员正确的提示信息等角度考虑,需要尽量通过设置合理的缺省值,将此列包含的仪控丧失后的状态信息正确的传递出去。对于设备状态,尽量能反应仪控丧失后设备的故障安全状态。但需要说明的是,当此项设计原则与上面的原则冲突的时候,一般会优先考虑保障设备安全和功能正常。
EPR 机组在台山1/2 号机组中执行了CI1(HFA)和CI2(HFB)单列仪控丧失试验,并且试验中选择了比较苛刻的试验配置,即在试验前将执行主要功能的设备大部分都配置在丧失列运行,验证在仪控丧失后相关设备和功能的切换和维持。在试验过程中CI 部分控制的给水、冷却、真空、盘车、发电机密封油等主要功能都得到了保证,在上述设计策略下完成的缺省值设计效果得到了较好的验证。
缺省值的设计是一项需要综合考虑设备、功能、机组要求等多种因素的策略,特别是结合不同的指导原则、目标方向也会有不同的选择方案。本次对EPR 机组中基于单列仪控丧失的需求下缺省值的设计策略进行了分析和研究,提出了遵循的主要设计原则,并通过试验对具体效果进行了验证。随着对核电安全和经济性的要求越来越高,后续核电机组中将更多的涉及对如仪控丧失等故障失效工况的分析和应对,本文将对这些工况的研究和应对提供参考。