EPR 機(jī)組基于單列儀控喪失的缺省值設(shè)計(jì)策略研究

宋玉亮 李永進(jìn) 陳信仁 趙東陽(yáng) 劉東亮

EPR 核電機(jī)組在設(shè)計(jì)階段專門考慮了單列儀控喪失的工況，要求在此工況下機(jī)組執(zhí)行的主要功能能夠維持，因此EPR 機(jī)組在設(shè)備冗余、儀控系統(tǒng)功能冗余及隔離等方面進(jìn)行了特有的設(shè)計(jì)，特別通過(guò)對(duì)列間傳輸信號(hào)的缺省值設(shè)計(jì)最終實(shí)現(xiàn)功能的維持。本文研究了EPR 機(jī)組基于單列儀控喪失的缺省值設(shè)計(jì)策略，提出了具體的設(shè)計(jì)方法和原則，并最終在EPR 臺(tái)山1/2 號(hào)機(jī)組單列儀控喪失試驗(yàn)中得到驗(yàn)證。

1 EPR 機(jī)組單列儀控喪失的設(shè)計(jì)策略

EPR 常規(guī)島儀控系統(tǒng)分為獨(dú)立的兩列（位于HFA 房間的CI1 和位于HFB 房間的CI2），每一列均有相同數(shù)量的自動(dòng)處理器AP 組成，能獨(dú)立實(shí)現(xiàn)功能控制，同時(shí)列間通過(guò)網(wǎng)絡(luò)和硬接線進(jìn)行信號(hào)交互，能真正實(shí)現(xiàn)儀控功能的冗余配置。

同時(shí)，EPR 機(jī)組中執(zhí)行同一功能的設(shè)備和傳感器普遍采用冗余配置，并在邏輯功能實(shí)現(xiàn)中考慮了其間的聯(lián)鎖控制，從而保證了單一設(shè)備故障后由冗余的設(shè)備來(lái)保證功能不喪失。

因此，基于儀控系統(tǒng)和工藝設(shè)備的冗余配置，允許EPR 機(jī)組在初始設(shè)計(jì)階段可以考慮單列儀控喪失的工況，以提高機(jī)組運(yùn)行的安全性和經(jīng)濟(jì)性，其通過(guò)設(shè)備功能的劃分、控制邏輯的匹配、儀控信號(hào)的分配等多種設(shè)計(jì)策略來(lái)實(shí)現(xiàn)單列儀控喪失工況下主要功能的繼續(xù)維持。在儀控系統(tǒng)中將同一列的設(shè)備控制與信號(hào)處理放入相同列儀控系統(tǒng)，同時(shí)不同列的控制又分配到不同列的儀控系統(tǒng)來(lái)處理，從而保證了控制與設(shè)備同時(shí)冗余。

2 EPR 機(jī)組缺省值的實(shí)現(xiàn)原理

為實(shí)現(xiàn)EPR 機(jī)組單列儀控喪失工況下的功能保持，當(dāng)出現(xiàn)單列儀控喪失工況時(shí)，處于冗余狀態(tài)的另一列儀控系統(tǒng)必須能夠獲得清晰而準(zhǔn)確的信息，并通過(guò)相應(yīng)的邏輯運(yùn)算做出正確的響應(yīng)。這就需要為因儀控喪失而失效的列間傳輸信號(hào)定義正確的缺省值，并在邏輯運(yùn)算中予以實(shí)現(xiàn)。臺(tái)山EPR 機(jī)組缺省值的實(shí)現(xiàn)基于SPPA-T2000 系統(tǒng)的ES 工程組態(tài)系統(tǒng)，通過(guò)一系列基本功能模塊，完成邏輯功能的搭建，最終滿足功能設(shè)計(jì)的要求。EPR 機(jī)組的缺省值設(shè)置主要包括缺省值為1、最后有效值、特定值和0 等幾種形式，一般是通過(guò)原始信號(hào)和一個(gè)表征輸入列儀控是否喪失的生命信號(hào)（值為1）信號(hào)，經(jīng)過(guò)一系列邏輯功能塊的配合來(lái)最終實(shí)現(xiàn)需求的缺省值。

2.1 缺省值為1 的實(shí)現(xiàn)方式

缺省值為1，即要求在信號(hào)失效后，信號(hào)的接收端能將此信號(hào)值置于1，來(lái)滿足功能設(shè)計(jì)的需要。其邏輯實(shí)現(xiàn)方是在發(fā)送端增加一個(gè)值為1 的生命信號(hào)，同時(shí)在信號(hào)的接收端將生命信號(hào)取反，與原信號(hào)經(jīng)過(guò)一個(gè)“或”門的選擇最終輸出到后續(xù)邏輯運(yùn)算中。

2.2 缺省值為最后有效值的實(shí)現(xiàn)方式

缺省值為最后有效值，即要求在信號(hào)失效后，信號(hào)的接收端能將此信號(hào)值置為儀控喪失前的最后有效值，來(lái)滿足功能設(shè)計(jì)的需要，可分為原信號(hào)為邏輯量和原信號(hào)為模擬量?jī)煞N情況考慮。

2.2.1 原信號(hào)為邏輯量的實(shí)現(xiàn)方式

當(dāng)原信號(hào)為邏輯量時(shí)，其邏輯實(shí)現(xiàn)方式是在發(fā)送端增加一個(gè)值為1 的生命信號(hào)，同時(shí)在信號(hào)的接收端將原信號(hào)取反，與原信號(hào)經(jīng)過(guò)一個(gè)“RS 觸發(fā)器”模塊，經(jīng)過(guò)運(yùn)算最終輸出到后續(xù)邏輯運(yùn)算中。

2.2.2 原信號(hào)為模擬量的實(shí)現(xiàn)方式

當(dāng)原信號(hào)為邏輯量時(shí)，其邏輯實(shí)現(xiàn)方式是在發(fā)送端增加一個(gè)值為1 的生命信號(hào)，作為原信號(hào)選擇模式的觸發(fā)條件，經(jīng)過(guò)運(yùn)算最終輸出到后續(xù)邏輯運(yùn)算中。

2.3 缺省值為特定值的實(shí)現(xiàn)方式

缺省值為特定值僅適用于部分模擬量信號(hào)，其邏輯實(shí)現(xiàn)方式是在發(fā)送端增加一個(gè)值為1 的生命信號(hào)，作為原信號(hào)選擇模式的觸發(fā)條件，經(jīng)過(guò)運(yùn)算最終輸出到后續(xù)邏輯運(yùn)算中。

2.4 缺省值為0 的實(shí)現(xiàn)方式

缺省值為0 的實(shí)現(xiàn)，因?yàn)閮x控喪失后原始信號(hào)會(huì)自動(dòng)變?yōu)?，因此無(wú)需額外增加邏輯運(yùn)算，其失效值0 即為其缺省值。

2.5 硬接線信號(hào)缺省值的實(shí)現(xiàn)方式

儀控列間交互的硬接線信號(hào)，其缺省值的實(shí)現(xiàn)可參考上述幾種邏輯方式。另外當(dāng)其缺省值為1 時(shí)，也可采用下一種不需要額外生命信號(hào)的方式來(lái)判斷，即在硬接線兩端增加兩個(gè)“非”門，正常工況下，兩個(gè)“非”門相互抵消，輸入信號(hào)與原信號(hào)保持一致，當(dāng)監(jiān)測(cè)到發(fā)動(dòng)端儀控喪失，輸入信號(hào)為0，直接取非為1，缺省值起作用，使得最終輸出值為1。

3 EPR 機(jī)組缺省值的設(shè)計(jì)原則

EPR 機(jī)組要實(shí)現(xiàn)單列儀控喪失下的可靠性，需充分考慮儀控故障對(duì)交互信號(hào)傳輸及功能的影響，必須運(yùn)用有效的設(shè)計(jì)原則來(lái)合理設(shè)計(jì)交互信號(hào)的缺省值，這些原則不是硬性和唯一的，而需要考慮多種因素，結(jié)合不同的需求角度來(lái)綜合考量。EPR 機(jī)組缺省值的設(shè)計(jì)原則，主要是基于設(shè)計(jì)策略中在儀控失效后對(duì)功能的需求以及不同功能分區(qū)的設(shè)置，同時(shí)考慮保障設(shè)備的安全性、功能的可用性以及機(jī)組的安全經(jīng)濟(jì)性，并結(jié)合設(shè)備的特性來(lái)設(shè)置。

3.1 缺省值的設(shè)計(jì)應(yīng)保證設(shè)備和功能的可用性

EPR 機(jī)組要實(shí)現(xiàn)單列儀控喪失下主要功能的保持，要保證正常列的設(shè)備處于可用狀態(tài)，同時(shí)相關(guān)的邏輯功能有效。正常運(yùn)行工況下，不同列間的設(shè)備、功能存在復(fù)雜的邏輯聯(lián)系，諸如相互閉鎖、互為因果等，但單列儀控喪失造成的信號(hào)失效會(huì)破壞這些邏輯功能聯(lián)系，使得處于正常列的邏輯功能無(wú)法實(shí)現(xiàn)或設(shè)備無(wú)法正確動(dòng)作。因此在設(shè)計(jì)這些交互信號(hào)的缺省值時(shí)，應(yīng)著重考慮消除對(duì)正常儀控列功能和設(shè)備的影響，具體到缺省值的選擇上，應(yīng)實(shí)現(xiàn)不干擾正常功能的實(shí)現(xiàn)，不干擾相關(guān)設(shè)備的正常動(dòng)作，不影響設(shè)備的保護(hù)邏輯等。

3.2 缺省值的設(shè)計(jì)應(yīng)實(shí)現(xiàn)必要的設(shè)備切換

EPR 機(jī)組已經(jīng)配置了滿足需求的冗余設(shè)備，并對(duì)其控制功能進(jìn)行了獨(dú)立配置，要實(shí)現(xiàn)單列儀控喪失下主要功能保持，就需要將原來(lái)由喪失列實(shí)現(xiàn)的功能切換到正常列來(lái)實(shí)現(xiàn)。因此，EPR機(jī)組設(shè)計(jì)中分析了相關(guān)交互信號(hào)和切換邏輯，針對(duì)需要通過(guò)及時(shí)切換設(shè)備來(lái)實(shí)現(xiàn)功能保持的情況，通過(guò)將某些失效列的故障信號(hào)缺省值設(shè)為1 的方式，實(shí)現(xiàn)處于正常儀控列控制的備用設(shè)備的自動(dòng)啟動(dòng)，從而實(shí)現(xiàn)及時(shí)通過(guò)設(shè)備切換實(shí)現(xiàn)功能保持。

3.3 缺省值的設(shè)計(jì)應(yīng)避免異常動(dòng)作的發(fā)生

單列儀控喪失后可能導(dǎo)致的設(shè)備誤動(dòng)，大多數(shù)是由于失效信號(hào)會(huì)觸發(fā)相關(guān)邏輯功能的判斷閾值導(dǎo)致的，比如監(jiān)視設(shè)備正常運(yùn)行的特征參數(shù)失效，會(huì)導(dǎo)致設(shè)備異常動(dòng)作；設(shè)備上下游的流量、壓力等參數(shù)失效，會(huì)對(duì)設(shè)備對(duì)狀態(tài)產(chǎn)生誤判等。要避免設(shè)備異常動(dòng)作，就需要合理的設(shè)置這些失效信號(hào)的缺省值，主要策略是通過(guò)邏輯判斷剔除掉相關(guān)的失效信號(hào)，或者將失效信號(hào)置于一個(gè)安全值，從而只通過(guò)正常列的信號(hào)來(lái)進(jìn)行邏輯功能的判斷。

3.4 缺省值的設(shè)計(jì)應(yīng)結(jié)合下游的實(shí)際需求

EPR 機(jī)組的缺省值設(shè)置不是孤立的，需要考慮各方面的綜合因素，并且主要是由下游實(shí)際需求來(lái)確定的，特別是單路失效信號(hào)傳輸?shù)较掠握x控列不同方向的交互信號(hào)，需要針對(duì)不同的邏輯功能，需要逐項(xiàng)進(jìn)行分析和缺省值設(shè)計(jì)。

3.5 缺省值的設(shè)計(jì)應(yīng)盡量反映真實(shí)的狀態(tài)

由于單列儀控喪失后此列控制的所有傳感器信息、設(shè)備狀態(tài)等輸出都將喪失，因此從保證正常列邏輯功能執(zhí)行正確，給予操縱員正確的提示信息等角度考慮，需要盡量通過(guò)設(shè)置合理的缺省值，將此列包含的儀控喪失后的狀態(tài)信息正確的傳遞出去。對(duì)于設(shè)備狀態(tài)，盡量能反應(yīng)儀控喪失后設(shè)備的故障安全狀態(tài)。但需要說(shuō)明的是，當(dāng)此項(xiàng)設(shè)計(jì)原則與上面的原則沖突的時(shí)候，一般會(huì)優(yōu)先考慮保障設(shè)備安全和功能正常。

4 EPR 機(jī)組單列儀控喪失下缺省值設(shè)計(jì)的實(shí)施效果

EPR 機(jī)組在臺(tái)山1/2 號(hào)機(jī)組中執(zhí)行了CI1（HFA）和CI2（HFB）單列儀控喪失試驗(yàn)，并且試驗(yàn)中選擇了比較苛刻的試驗(yàn)配置，即在試驗(yàn)前將執(zhí)行主要功能的設(shè)備大部分都配置在喪失列運(yùn)行，驗(yàn)證在儀控喪失后相關(guān)設(shè)備和功能的切換和維持。在試驗(yàn)過(guò)程中CI 部分控制的給水、冷卻、真空、盤車、發(fā)電機(jī)密封油等主要功能都得到了保證，在上述設(shè)計(jì)策略下完成的缺省值設(shè)計(jì)效果得到了較好的驗(yàn)證。

5 結(jié)束語(yǔ)

缺省值的設(shè)計(jì)是一項(xiàng)需要綜合考慮設(shè)備、功能、機(jī)組要求等多種因素的策略，特別是結(jié)合不同的指導(dǎo)原則、目標(biāo)方向也會(huì)有不同的選擇方案。本次對(duì)EPR 機(jī)組中基于單列儀控喪失的需求下缺省值的設(shè)計(jì)策略進(jìn)行了分析和研究，提出了遵循的主要設(shè)計(jì)原則，并通過(guò)試驗(yàn)對(duì)具體效果進(jìn)行了驗(yàn)證。隨著對(duì)核電安全和經(jīng)濟(jì)性的要求越來(lái)越高，后續(xù)核電機(jī)組中將更多的涉及對(duì)如儀控喪失等故障失效工況的分析和應(yīng)對(duì)，本文將對(duì)這些工況的研究和應(yīng)對(duì)提供參考。