反应堆保护系统停堆故障模式分析及维护对策

黄 资

（三门核电有限公司 维修处，浙江 三门 317112）

保护和安全监测系统（PMS）是三门核电的反应堆保护系统，而停堆作为PMS的最重要的功能之一，若发生故障则可能导致误停堆影响电站的经济性，或者安全功能降级从而影响电站的安全性。由于PMS是Common Q数字化仪控平台系统在国内核电站的首次应用，对系统的维护尚无直接经验可以借鉴。电站技术规格书对PMS停堆功能出现各种故障时的处理时间有严格的规定[1]。为快速有效地做好维护，本文将对PMS进行停堆故障模式分析，并探索建立有效的维护对策。

1 原理及组成

1.1 停堆原理

PMS分为A、B、C、D 4个序列。4个序列提供了四通道的冗余，序列内部存在两个子通道的冗余。4个冗余序列使用4套独立的传感器，这些测量值分别由对应的序列进行处理，在必要的计算和处理后，测量值与可用的设定值进行比较，如果测量值超过了预先的设定值，就会产生一个部分停堆触发信号，同时其触发状态将被发送至其他序列[2]。各序列内部若通过逻辑表决将驱动各自序列的停堆断路器，从而切断控制棒驱动机构的电源导致停堆。

1.2 系统组成

PMS系统实现控制的基本单元为ABB公司的AC160机架，执行系统的保护算法，主要包括处理器模块、I/O模块、通讯接口模块。以AC160机架为核心配置组成了不同功能的机柜。其中，双稳态逻辑处理机柜（BCC）机柜主要执行逻辑处理和表决，每个序列的两个BCC机柜互为冗余。维护与测试面板（MTP）和安全显示器（SD）为人机界面，用于系统的日常维护与状态显示等功能。

图1 PMS停堆路径框图Fig.1 PMS Stop heap path block diagram

2 故障模式分析

2.1 功能块划分

将PMS停堆功能基本组成单元划分为不同的功能块。执行停堆功能的主体为BPL、LCL和RTM，都位于BCC机柜中。各部分主要功能如下：

BPL：双稳态逻辑处理，用于信号采集和定值判断，超过限值将产生局部触发信号。采用AC160机架配置而成，内含处理器卡件、模拟量输入卡件、数字量输入卡件、通信卡件[3]。

HSL：高速数据链路，负责安全功能信号的通信传输。

LCL：局部符合逻辑，采用“四取二”逻辑，用于表决、产生停堆信号和专设系统级驱动信号。由AC160机架配置而成。内含处理器卡件、DO卡件、通信卡件。

RTM：停堆接口矩阵模块，采用选择性的“四取二”，输出至停堆断路器。

2.2 编制路径框图

PMS传感器信号同时进入同一序列内的两个BPL，与设定值比较后产生部分停堆信号，信号送至本序列LCL，同时通过HSL送往别的序列。LCL接收8个子序列的部分停堆信号，将从同一个序列两个子序列中接收的信号“2取1”后进而产生一个序列停堆信号，LCL对产生的4个序列停堆信号进行“4取2”后再输出一个停堆信号，触发本序列的停堆断路器，停堆断路器本身也采用“4取2”布置，一个序列的停堆断路器打开不会导致控制棒电源断开。

根据上述系统结构特点，将功能块用方框图连接起来，得出系统的停堆路径框图，如图1所示。

2.3 故障模式分析

结合PMS停堆路径框图，对以AC160机架的配置而成的功能块BPL和LCL，采用假定单一故障引起“拒动”或“误动”这两种故障模式，分析其对系统停堆功能的影响；而对非AC160机架的功能块，则采用功能失效的故障模式来展开分析。

2.3.1 BPL故障模式分析

1）BPL故障拒动

若一路BPL内某一设备故障，如处理器停止工作，致使该BPL在对应现场变量达到反应堆停堆限值却无法输出相应的部分停堆信号，则序列内部冗余子序列中的BPL将执行其安全相关功能，不会阻止系统功能的执行，系统逻辑仍然保持“4取2”，但序列内部冗余丧失。

2）BPL故障误动

若一路BPL内某单一故障，如模拟量输入卡件精度漂移导致信号先触及设定值，导致该BPL触发一虚假停堆信号，由于在LCL中将两个子序列的信号“2取1”，故该序列将产生一个停堆信号，LCL将对剩下3个序列产生的信号进行“3取1”逻辑，系统冗余降级。如其他序列的设备无故障，LCL不会发出停堆信号，即不会触发本序列的停堆断路器。

2.3.2 HSL故障模式分析

BPL去往LCL的信号是通过HSL传送的，具体为BPL的处理器上HSL总线连接至对应的HSL信号分配器上传送出去。若一路BPL中处理器上的HSL总线发生故障，比如断开，则该路BPL送往8个LCL的信号都将被标记为坏点，而所有LCL都将选择其冗余的BPL作为有效输入信号。系统功能仍然维持“4取2”，但序列内部冗余将丧失。

2.3.3 LCL故障模式分析

每个序列的LCL中设置了4 个停堆处理器（PM），PM1和PM3 处理器位于LCL-1，PM2 和PM4 处理器位于LCL-2，一个序列的停堆信号的“4取2”表决逻辑在这些处理器中进行。每个PM均由对应的数字量输出卡件（DO）控制RTM中对应的继电器UIR和SIR（UIR平常为得电，失电则驱动UV（欠压）线圈触发；SIR平常为失电，得电则驱动ST（并联跳闸）线圈触发）。其中，PM1控制UIR1和SIR1，PM2控制UIR2和SIR2，PM3控制UIR3 和SIR3，PM4控制UIR4 和SIR4。此外，每个停堆处理器包含一个硬件看门狗计时器（WDT）触点，用于监测停堆处理器的运行状态，处理器故障时对应WDT触点动作将使对应的UV和ST线圈触发。

1）LCL故障拒动

若某单一故障如DO卡件无法输出，阻止了子序列内停堆信号的触发，假定该故障发生在LCL-1中，此时LCL-2中的停堆信号都已触发，即UIR2、UIR4、SIR2和SIR4都已触发。则UIR1、UIR3、SIR2和SIR4中只需再有一个动作即可完成停堆触发，即任何单一卡件故障，如某PM或DO卡件故障不会阻止反应堆停堆断路器的触发。系统逻辑仍然维持“4取2”。

2）LCL故障误动

若某单一故障如停堆处理器停止工作,产生了虚假停堆触发信号，则该LCL内对应UIR和SIR触发，而其同一序列内冗余的LCL不会发出停堆触发信号。假设故障发生在LCL-1中，而LCL-2中UIR2、UIR4、SIR2和SIR4都未触发，该序列不会产生停堆输出。系统逻辑仍然维持“4取2”，只是该序列内部LCL的冗余将降级。

2.3.4 RTM故障模式分析

每个序列共有两个RTM，分别位于两个BCC机柜中。当一个故障失效后，另一个RTM将承担此序列停堆接口输出功能，序列内部RTM的冗余降级。

3 系统维护对策

从本文第2部分的分析可以看出，PMS停堆功能块BPL、HSL、LCL、RTM都满足单一故障准则，设备可以运行到故障后再采取纠正性维修方法处理。若发生故障后确认是系统功能块硬件损坏，用备件去更换是一种快速有效的方法。在备件更换过程中，采用如下方法能有效减少维护中对电站的影响。

3.1 旁路策略

在对单一故障进行维护的过程中，不能排除此时别的序列也发生故障，而刚好导致“4取2”满足触发停堆的条件。为降低此情况发生的可能性，三门核电PMS中可对相应故障通道采取旁路手段，将系统逻辑变为“3取2”。

3.2 BPL维护策略

AC160机架的卡件在插拔中会因不稳定状况导致误触发产生，且带电插拔可能造成卡件损坏。如BPL-1的输入卡件损坏，则在确认BPL-2中没有任何触发或坏点产生时，可对BPL-1先断电后再对其卡件进行更换。

3.3 LCL维护策略

LCL中的输出卡件，其本身在逻辑上可靠性较高，故障时可以断电后直接实行更换。

3.4 RTM更换

运行期间，当检测到RTM损坏，需要更换时，需先从上游移除RTM的电源，并做好隔离监护，防止人员触电事件发生。

4 结束语

本文结合PMS停堆功能的结构特点，通过故障模式分析方法推演PMS出现各种软硬件故障时停堆功能的受影响情况，分析结果表明PMS停堆功能本身可靠性程度较高，据此制定的相应维护对策，为相关人员对PMS系统故障的维护具有一定的参考意义。