★北京广利核系统工程有限公司李明钢

关键词：ATWT；模拟系统；数字化改造；失电

1　引言

ATWT（Anticipated Transients Without Trip，未停堆的预期瞬态缓解系统）系统在二代压水堆核电站中，是作为应对因给水泵故障或给水调节阀故障引起的正常给水丧失，造成二回路吸收一回路热量的能力下降而引起一回路温度和压力上升，进而可能导致蒸汽发生器烧干的工况保护核电厂安全的重要系统。为了限制这些后果，当核功率大于30%且主给水流量小于6%时，且保护系统未能执行保护动作的工况下，通过ATWT系统触发紧急停堆、汽机脱扣、启动辅助给水、闭锁汽机旁路系统（GCT）第三组排放阀等保护动作^[1]。

大亚湾核电厂原ATWT系统是基于模拟技术Bailey9020完成的设计，始终存在LCC/LNE失电造成ATWT不可用，以及LND失电造成的ATWT误触发的风险，一旦发生失电情况便会对核电厂的安全性和经济性造成严重影响。原大亚湾ATWT系统已运行近30年，各类模块陆续超过老化处理期限，当前库存备件数量已经无法满足机组老化替代需求，Bailey模块也早已停产使得备件也已无法进行采购，而且很多模块无法找到替代产品，亟需执行数字化改造，因此也需要在进行改造时解决ATWT失电造成不可用以及误触发的风险。

2　原ATWT系统失电风险分析

基于Bailey9020模拟系统的原ATWT仪控系统设计方案如图1所示，均采用各个分立的模拟卡件执行单一算法功能。在第4保护通道（SIP-IV）安全级机柜KRG043AR中，三个环路对应的主给水流量信号ARE049MD/050MD/051MD首先通过隔离分配（IS）给本机柜内ATWT专用机架，通过机架上的模拟量运算模块进行滤波FI（一阶滞后）和阈值（XU）处理，当主给水流量小于6%时触发三个开关量信号传递给ATWT逻辑处理柜（RPA700/710/720/730AR）通过继电器逻辑执行2/3表决逻辑运算，然后与RPN系统处理的核功率信号RPN013MA/014MA（核功率大于30%）执行“&”逻辑后驱动现场相关安全功能设备。

图1 ATWT原设计方案及改造范围

原ATWT设计方案主给水流量测量信号（ARE049/050/051MD）均由SIP-IV采集处理，因此如果220V不间断电源系统（LND）供电丧失，或者电源故障将导致三个主给水流量测量信号同时丧失，2/3表决便会直接触发而造成ATWT功能误驱动。另外，ATWT机架仅由220V交流不间断电源系统（LNE）供电，因此一旦LNE供电丧失，ATWT机架上的所有模拟处理模块将失电，模块算法处理功能丧失，进而导致ATWT功能不可用；而ATWT逻辑处理柜（RPA700/710/720/730AR）仅由48V直流供电系统（LCC）供电，如果LCC供电丧失，柜内所有继电器将失电，则会闭锁ATWT驱动指令的输出而导致ATWT功能丧失。

3　ATWT系统改造失电风险应对方案

原模拟技术ATWT系统均为分立地执行各类运算的模拟模块组合而成，而采用数字化技术改造则可将所有运算功能集成到一个控制器内实现，如图2所示。ATWT系统从SIP-IV采集的主给水流量信号，由KRG043AR中的隔离（IS）模块送出，通过ATWT系统侧的“一分四”隔离分配模块（IM）硬接线传送给ATWT控制站模拟量输入模块（AI）采集，从RPN005AR机柜采集的核功率高开关量信号通过多触点继电器（RLY）分配给ATWT控制站开关量输入模块（DI）采集，然后在ATWT控制站内实现所有模拟量运算及逻辑运算功能，再通过DO模块输出驱动指令。为此供电设计需要进行较大调整，且可靠性更需加强设计。

图2 ATWT改造仪控系统架构图

3.1　LCC/LNE失电造成ATWT不可用风险对策

为了应对原设计LCC/LNE丧失造成的ATWT不可用，经现场勘察确认可增加一路LMA与LNE构成冗余220V交流电源接入数字化改造后的ATWT机柜，并通过分别配置直流电源模块AC/DC进行二极管解耦后，同时为ATWT系统进行供电，由此LNE或LMA任何一路电源失电都不会直接影响ATWT功能。另外，通过设置机柜状态监视模块可对220VAC电源进行实时监视，若发生故障也可向主控室传输报警且就地门指示灯亮，以便及时进行维修从而保证供电持续可靠。

3.2　LND失电ATWT误触发风险对策

在原模拟技术ATWT系统设计中，三个ARE给水流量信号均来自SIV-IV机柜（KRG043AR），并通过LND供电，因此LND失电将触发全部ARE给水流量低信号，进而引发ATWT误驱动。为了解决该问题，通常设计会考虑增加LND失电监测装置，当监测到LND失电后闭锁ATWT输出，但如果LND失电监测误触发，则会导致ATWT丧失执行安全功能能力，将引入更大的风险^[2][3]。而且，当前改造无法实现将三个流量信号分别采用不同的电源供电。

考虑进行数字化改造后，可通过信号质量位间接判断失电情况，因为三个ARE流量信号是执行“三取二表决逻辑”后执行ATWT驱动，所以可以通过判断两个流量信号的质量位同时变为“bad”，覆盖LND失电情况，并通过表决逻辑退化而防止误触发，逻辑退化规则如表1所示。

表1 ARE流量2/3表决逻辑降级规则

为了验证上述方案的可行性，模拟LND失电情况进行了验证。使用劲仪信号发生器同时连接ARE049/050/051MD，注入标准20mA信号，通过维护工具监视ARE049/050/051MD显示值为15%NF（主给水低流量阈值为6%）。首先，拔掉劲仪信号注入线，ARE049MD/050/051MD无信号输入，板卡自诊断触发给水流量质量位坏，质量位信号“1”参与可降级三取二表决逻辑，表决逻辑降级为不驱动，ATWT信号未触发，满足设计要求。然后，恢复接线，信号质量位即可恢复为正常，而信号实时值需要经过2s“一阶滞后”环节，所以其增加到6%NF低阈值以上需要一定时间。主给水流量变化曲线如图3所示。约1.08s左右，给水流量实测值会上升到“低动作阈值”以上。但在到达该阈值之前，因主给水流量质量位均已恢复为正常，2/3表决逻辑为正常处理，因此三个主给水流量同时低于阈值，便触发了ATWT信号，不满足设计要求。

图3 主给水流量响应曲线图

因正常情况下，ARE流量信号经“一阶滞后”环节（设定值为2s）处理后，再进行阈值判断，因此即使上游失电发生流量低的误触发信号也会延时2s后才会驱动，而质量位处理最慢可在三个运算周期内（60ms）处理完成，因此质量位的处理速度远快于ARE流量低的触发逻辑，可率先使表决逻辑退化为不驱动状态。在除考虑LND失电误触发外，还需考虑失电恢复时都不应造成误触发，通过图4的驱动信号时序分析可知，还是因“一阶滞后”环节，在LND恢复后会造成ATWT误动，因此需要在质量位信号后增加超过2s的“掉电延时”，为此在质量位判断后增加了3s的“后延时”处理功能，逻辑设计原理如图5所示。再次进行试验验证，LND失电和供电恢复均可达到预期的效果，满足设计要求。

图4 LND失电ATWT触发时序图

图5 ATWT应对LND失电表决逻辑图

4　结论

通过对原模拟系统的ATWT执行数字化改造，增加LMA与LNE构成220VAC冗余供电设计，并分别配置AC/DC直流电源模块，解耦后为ATWT系统供电，有效解决了原ATWT系统单一电源失效造成ATWT功能不可用的问题；通过数字化系统控制器内进行信号质量位判断结合三取二表决逻辑退化设计，并配合适当的延时功能设计，有效消除了因LND失电造成ATWT误动风险。当前大亚湾ATWT系统已按本文设计方案完成改造，通过了现场再鉴定，投运后运行良好。

作者简介：

李明钢（1977-），男，汉族，河南平顶山人，高级工程师，学士，现任北京广利核系统工程有限公司副总经理，主要从事核电仪控系统设计制造生产管理相关工作。

参考文献：

[1] 广东核电培训中心. 900MW压水堆核电站系统与设备[M]. 北京: 原子能出版社, 2007.

[2] 郭城. 大亚湾及岭澳核电站ATWT保护失电风险[J]. 核动力工程, 2010, 34 (4) : 61 - 65．

[3] 张云波, 等. 核电厂ATWT缓解系统的多样性与独立性分析[J]. 核动力工程, 2014, 35 (6) : 77 - 79.

摘自《自动化博览》2023年8月刊