★北京广利核系统工程有限公司毛新民，韦志超，杨爽，刘恩伽，孟凡强

关键词：改造；ATWT；FPGA；原则

核电站为解决预期瞬态不停堆的有关问题，增加了一套附加的保护系统，称为ATWT。它的任务是在瞬态要求工况时给出信号保护电站安全，即在安全分析确定的保护动作整定值（主给水流量＜6%NF（3oo3、2oo3、2oo2）和堆功率＞30%FP（2oo2）符合给出启动辅助给水系统、闭锁GCT第三组排放阀、汽机刹车并给出紧急停堆信号。作为附加保护系统，其需遵循如下原则设计：

（1）功能多样性，附加保护系统设置专用的保护输入信号，并采用与反应堆保护系统不同的逻辑电路技术来完成ATWT的逻辑算法^[1]；

（2）独立性，与反应堆保护系统的设备之间实现电气和实体分隔^[1]；

（3）抗震，附加保护系统也按照地震I类进行质量鉴定^[1]。

受技术影响，ATWT一般是由模拟卡件和继电器等分立元器件按照功能分组（阈值功能、隔离功能、逻辑处理功能、功能输出、安全输出）串级构成，其中探测器部分由 LND（Vital 220VAC Power （Protection Group IV））/ LNA（Vital 220VAC Power （Protection Group I））/LNB （Vital 220VAC Power （Protection Group II））供电， 阈值部分由LNE（Uninterruptted 220VAC POWER）、 LNA/LNB供电，逻辑处理和输出部分由LCC（48VDC Power Sourece and Distribution System Decoupling）供电，具体见图1所示。

上述串级设计，在核电正常运行期间且堆功率＞30%FP（2oo2）时，若是ATWT系统一级供电则会导致保护与专设信号误驱动，直接触发停堆、停机、专设设备启动，影响电站使用寿命，将给电站安全和经济运行带来严重影响。因此此次改造需要对关键敏感设备（通过设备失效分析，将故障模式下可能导致机组非计划停机停堆或重要核安全功能降级的设备识别定性为关键敏感设备）进行消除。

图1ATWT系统的原系统整体架构图

1　ATWT设计原则

ATWT改造除需满足原有系统设计手册要求外，还要参照现有的经验反馈及三代核电的保护性系统进行设计，且改造过程需满足监管要求，因此ATWT改造设计通常需满足如下原则：

（1）多样性，ATWT改造应采用与反应堆保护系统不同的逻辑电路技术或其他技术实现。考虑之后整体仪控系统改造的经济性宜与当前主流的反应堆保护系统技术不同。

（2）独立性，工艺过程信号由保护系统及RPN系统（Nuclear Instrumentation System）隔离分配进入系统，在保护侧及RPN侧实体分隔和电气隔离。系统与外部输出通过隔离器件实现实体分隔和电气隔离。

（3）单一故障，ATWT系统不需要满足单一故障准则。

（4）冗余性，因不需满足单一故障准则，因此ATWT可为单列布置，ATWT系统卡件也可非冗余配置，但需考虑单一故障导致功能误触发的风险。

（5）可用性，ATWT需防止引起虚假的驱动信号（误动作）输出。一般可通过以下方式克服虚假驱动信号：

·ATWT系统可由两个功能完全相同的控制站组成，两个控制站的控制输出做2oo2表决逻辑，即只有2个“ATWT”驱动一致时系统才发出驱动信号，以防误动；定期试验时可不必采用抑制措施而独立对单一控制站进行试验，试验期间“ATWT”功能可用；

·系统的驱动电路设计为得电驱动，发生失电或模块故障时不会引发误动作；

·反应堆停堆、汽机跳机和专设安全设施驱动的输出信号故障安全值设置为“0”，即故障不触发。

（6）功能分组，同一个子系统中，需要根据不同功能的特点及相互联系进行合理的功能组合及有效分离的分配，以便降低单一故障对核电站可用性的影响。

（7）可试验性，ATWT可实现定期试验功能，包括T1输入试验、T2功能逻辑试验、T3停堆断路器试验，并保证相邻试验间的交叠性。

（8）抗震等级，ATWT控制柜需满足抗震I类要求。

2　ATWT整体架构

ATWT整体架构一般按照核电站整体仪控系统的规划进行设计，国内某核电站改造后ATWT的整体架构如图2所示。ATWT由称为I系和II系的两个独立的控制站构成2oo2架构，现场探测器信号通过ATWT机柜内分配模块分别传送给两个控制站。两个控制站独立执行运算，两个控制站的设备驱动信号通过硬接线连接方式实现“&”逻辑后发送给第三方系统继电器架（ASG、GCT等）或RTB（REACTOR TRIP BREAK）实现设备的驱动控制。两个控制站产生的报警信号通过“OR”逻辑后发送给KIT/KPS（Centralized Data Processing/Safety Panel）或主控室进行报警指示。

图2ATWT系统的整体架构图

基于此架构，参考“FitRel”平台的可靠性基础数据，经过故障树模型计算，系统的误动率由“0.02”降为“≤1.46E-08”，拒动率由“≤0.01”降为“≤4.2E-03”，提高了ATWT的可用性。原ATWT定期试验周期为2个月，可用性指标系统可靠性为“≥99.99%”，改造后定期试验周期为18个月，可用性指标系统可靠性为“≥99.996%”，提高了ATWT的可靠性。

3　硬件设计

原ATWT机架和ATWT逻辑处理柜（RPA700/710/720/730AR）采用“FitRel”平台整体替代，改造后ATWT机柜布置安装在当前ATWT逻辑处理柜的安装位置。改造后ATWT实现简图见图3。

ATWT与SIP-IV（KRG043AR，保护系统机柜）的信号采集接口，设计T1试验，根据试验方案及操作需求，配置T1试验CR箱（Box-Marshalling Box）。该CR箱由SIP-IV附近弃用的KRG899CR改装而成。

图3国内某310堆型核电站改造后ATWT系统实现简图

系统设备除满足安装要求外，还需要进行设备鉴定。设备鉴定主要应包含环境鉴定（LOCA、MSLB）与抗震鉴定（极限安全地震，SEE）两方面内容，避免引起事故工况共模故障^[2]。按照采购技术规范，ATWT系统级别为核电厂安全相关的设备（QSR），改造涉及的所有设备安全等级为非安全级（NC），鉴定等级为K3（法国压水堆核岛电气设备设计及建造标准（RCC-E）中设备鉴定要求），抗震要求为抗震I类。据法国EDF公司经验反馈，ATWT系统机柜需与其他安全级机柜距离≥300mm。

4　软件设计

改造后的ATWT按照控制原则进行了软件主体逻辑设计，基于系统架构I系的主体软件设计与II系的软件设计一致。依据风险分析，辅助软件方面需改进，主要内容如下：

（1）定周期试验风险解决方案

涉及T1试验（通道检查试验）、T2试验（逻辑功能试验）、T3试验（设备功能试验）。以T1试验人因设计为例，在进行主给水流量T1试验时，需要通过CR箱中的置位开关（每个通道对应一个）对ATWT系统中相应的给水流量信号在2oo3表决前置位为驱动状态，使得2oo3表决逻辑降级为1oo2。信号置位后会将信号反馈给T1试验台记录并在CR箱有指示灯进行指示。为了防止操作多个置位CC（Select or Switchor Key Pad）而导致ATWT误动的风险，增加了CC控制互锁设计。同时结合过程设备闭合特性，按照时序约束设置并增加了300s延时，防止人员人因导致的ATWT误动风险。

（2）探测器供电风险解决方案

为了防止改造后上游探测器（ARE049/050MD/051MD）供电LND丧失引发主给水流量低进而造成ATWT误动的风险，采用质量位判断处理防止误动。当LND丧失后，ATWT采集的SIP-IV流量信号质量位变为“bad”，因正常驱动时先经“一阶滞后”环节（设定值为2s）处理后，再进行阈值判断，因此即使上游失电发生流量低的误触发信号也会延时2s后才会驱动，而质量位处理在三个周期内便可处理完成，因此质量位的处理速度远快于ARE流量低的触发逻辑。通过控制器内质量位模块发送逻辑值“1”给“可降级的2oo3表决逻辑块”，2oo3表决逻辑对应实现降级，降级规则如表1所示，即当3个输入信号全部为“bad”后，控制输出为“不驱动”状态。因此可通过质量位参与2oo3表决逻辑退化避免因LND失电导致ATWT误动。

表1  ARE流量2oo3表决逻辑降级规则

考虑LND供电恢复及机柜上游整体供电恢复后，给水流量测量值同样经过一阶滞后环节较缓慢上升，增加质量位信号的3s后延时（TOFF）模块，保证质量位恢复“good”时，给水流量已高于6%NF，通过后增加延时（TOFF）模块可避免上游失电再上电带来ATWT误动风险。

改进后的ATWT在控制器的不同片区实现了功能冗余及逻辑表决设计，同时整合了阈值处理、逻辑表决及定周期试验功能，不仅解决了改造前ATWT的风险，同时提升了系统的安全性、稳定性、可靠性和易用性。

5　其他

5.1　定期试验

定期试验“最好采用从探测器到被驱动设备同时验证的方法，在不能实现上述方法处，可以采用分段交迭试验的方法”^[3]。ATWT定期试验采用分段交迭试验策略，试验分别定义为T1试验（测量通道）、T2试验（控制器逻辑功能验证）、T3试验（输出信号和相关系统或设备的接口验证）。

T1试验，涉及ARE系统的三个流量信号ARE049/050MD/051MD及RPN系统三个堆功率阈值信号RPN013MA/014MA；ARE系统的流量信号与RPN系统的阈值信号设计了实时比较与不一致判断，也可通过专用试验工具完成定期试验。

T2试验，主要是检查控制器逻辑功能及DO输出。为防止试验期间误输出，采用单系试验方式，T2试验单系通过连接维护工具分别进行试验。由于试验过程中仅可能有一个通道的驱动类DO会输出1，继电器2取2符合逻辑不会输出1，因此可以确保本试验不会引起停堆、汽机跳机和专设安全设施动作。试验通过T2试验开关和维护工具执行试验表格完成，两个通道依次执行。试验表格按照ATWT单通道和子功能分别设计，试验表格设计原理是先对逻辑输入信号的值进行批量写，再监视控制器逻辑输出值，并和预期值进行对比来判断试验结果是否通过。

T3试验，主要涉及MP ASG Tr.A、MP ASG Tr.B、TP ASG Tr.A、MAFP ASG、TAFP ASG、TURBINE TRIP GSE、CONTAIMENT CONDENSER GCT、REACTOR TRIP RPA、REACTOR TRIP RPB的设备驱动试验。以REACTOR TRIP RPA/B为例，在进行T3试验前，需就地进行旁通操作保护动作执行机构打到旁路停堆断路器，旁通操作状态结果反馈给ATWT试验面板，改造后作为执行T3的允许条件。T3试验通过ATWT试验面板上的按钮进行试验触发，改造后增加了下发指令确认及设备接线方式的改进，确保T3试验执行时不会造成真实停堆。

5.2　供电设计

原ATWT功能相关设备供电可靠性不高，薄弱点为：主给水流量测量信号（ARE049/050/051MD）均由SIP-IV采集处理，如220V不间断电源系统（LND）供电丧失，或者电源故障将导致主给水流量测量信号失去，有ATWT功能误触发风险；ATWT机架仅由220V交流不间断电源系统（LNE）供电，如LNE供电丧失，将导致ATWT功能不可用；ATWT逻辑处理柜（RPA700/710/720/730AR）仅由48V直流供电系统（LCC）供电，如LCC供电丧失，将导致ATWT功能不可用。

针对上述薄弱点，ATWT配电采用LNE和LMA（220VAC Power Source and Distribution System）两路220VAC电源和LCC的48VDC电源，220VAC通过电源模块转化为24VDC系统电源和驱动电源，LCC的48VDC作为EC（计算机指示）指示和IA（AlarmDatum）报警的驱动电源。

改造后的ATWT配电除监视系统采用单路LCC供电外，其余保护功能相关设备供电为冗余配电，同时对各功能电源进行工艺解耦，如去KIT/KPS系统EC及去主控室盘台的IA采用不同的供电母排。上述设计提高了ATWT系统供电的可靠性。

6　结束语

该ATWT改造项目是ATWT模拟系统在国内首次采用FPGA技术实现的改造。改造后的数字化系统相比原模拟系统具有如下优势：

（1）具有强大的自诊断功能，自诊断覆盖率达99.9%；

（2）定期试验周期从2个月一次，提高到18个月一次；

（3）功能扩展性强，后续可在此基础上增加其它多样性驱动保护功能；

（4）基于FPGA技术相比基于微处理器的DCS系统具有如下优势：

·可靠性更高，无需运行软件，发生共因故障的概率极低；

·采用并行处理方式，响应时间更快；

·后续保护系统应用DCS进行数字化改造后，仍可保证ATWT与保护系统间的设计多样性。

作者简介：

毛新民（1985-），男，吉林人，工程师，学士，现就职于北京广利核系统工程有限公司，主要从事于核电非安全级仪控系统的设计工作。

参考文献：

[1]刘国发,郭文琪.核电厂仪表与控制[M].北京:北京原子能出版社,2010.

[2]庞松涛.压水堆核电站过程控制系统[M].北京:中国电力出版社,2014.

[3]GB/T5204-2023,核电厂安全系统定期试验与监测[S].

摘自《自动化博览》2025年8月刊