1、1AP1000 自动卸压系统闭锁功能及可靠性分析摘要:AP1000 自动卸压系统(ADS)中泄压阀的动作由保护和安全监测系统(PMS)控制实现,它的误触发引起的一回路压降危害不亚于LOCA 事故,而 PMS 的软件共模故障可能导致这样的误触发发生。为了降低 ADS 系统误触发的概率,AP1000 设计了 ADS 闭锁模块用于对触发条件的重复确认。文章介绍 ADS 触发闭锁模块的原理和设计,分析 ADS 误动和拒动的可能性。 关键词:核电站;AP1000;自动卸压;中泄压阀;ADS 闭锁模块 中图分类号:TL48 文献标识码:A 文章编号:1009-2374(2013)11-0074-03 1
2、自动卸压系统简介 AP1000 压水堆核电站设计了自动卸压系统(简称为 ADS) ,它的动作用来降低反应堆冷却剂系统的压力,以实现堆芯补水箱(CMT)中含硼水的注入、堆内换料水储存箱(IRWST)中冷却水的注入及安全壳再循环启动;自动卸压系统是反应堆冷却剂系统的一部分,并且与非能动堆芯冷却系统连接,包含 4 组顺序开启的阀门,用以降低反应堆冷却剂系统的压力,从而使非能动堆芯冷却系统能为堆芯提供长期冷却。 自动卸压系统包含 4 个卸压等级,主要包括 10 个泄压阀,分别连接到反应堆冷却剂系统的三个不同位置。前 3 级自动卸压阀为电动阀,第4 级自动卸压阀是爆破阀。第 1、2、3 级自动卸压系统各
3、有两条管线,每2条管线上串联两只电动阀,上游的为隔离阀,下游的为调节阀。每一条管线的入口经过一条公用母管,与稳压器顶部相连,每一条管线的出口与公用的卸压母管相连,通过喷淋管线上的喷淋头注入堆内换料水储存箱中。第 4 级自动卸压系统包括对称的两路管线,其中一路通过一个入口与一个热段管线相连,两条管线一路。图 1 为自动卸压系统概要图。 2 自动卸压系统的控制 自动卸压系统作为专设安全设施之一,泄压阀的动作由保护和安全监测系统(PMS)控制实现,它的触发逻辑有 3 个:堆芯补水箱注入并且4 个序列中的 2 个序列探测到任何一个堆芯补水箱液位低-1 设定点;长期失去交流电源(IDS 低电压信号) ;
4、手动触发。 2.1 ADS 闭锁模块 保护和安全监测系统为每个序列提供了一块 ADS 闭锁模块,该模块为 1E 级模块,使用常规的模拟量模块,不依赖于软件,其概念图如图2。序列间的闭锁模块相互之间没有连接,也不进行选择逻辑判断。输出给 CIM 的信号用在 Z 端口的关方向,相比用于正常触发 ADS 的 X 端口,CIM 的 Z 端口拥有更高的优先级,因此送到 Z 端口的闭锁命令将阻止从集成逻辑处理器 ILP 来的 ADS 触发信号。每个序列模块对 4 个阀门进行闭锁,对于 ADS 第 4 级,这些阀门由 PMS 的两个序列来驱动,则需对两个序列都进行闭锁。除了输入和输出的连接以及它的供电,AD
5、S 闭锁模块不与 PMS 的其他设备共享电回路。表 1 为 ADS 闭锁模块的序列分配情况。 2.2 ADS 触发的闭锁功能设计 AP1000 设计已经采取了一定数量的方法来减少误触发 ESF 功能的可3能性。不过,一个或多个安全序列的软件共模故障仍可能导致系统级的误触发。对于 ADS,它的动作引起的一回路压降危害不亚于 LOCA 事故,这样的误触发是无法接受的,因此,AP1000 设计了 ADS 触发的闭锁控制。ADS 闭锁设计的出发点是对 ADS 触发条件的再确认,以确保 ADS 动作不是由于误触发。对于 PMS 软件共模故障,主要是针对 ADS 触发的自动控制逻辑。 首先,假设专设安全设
6、施 S 信号触发,PMS 打开堆芯补水箱 CMT 的下部阀门,将含硼水注入 RCS 进行补充,硼水在重力的作用下注入反应堆。若没有发生 LOCA,这些阀门的打开不会引起 RCS 排水,CMT 的循环是封闭回路,进入反应堆的硼水由冷段的冷却剂进行补充,CMT 的液位不会下降;若发生 LOCA,则 CMT 的液位将会持续下降。因此,测得的 CMT 液位是真实 LOCA 的有效指示,将 CMT 液位作为 ADS 闭锁信号是合理的。两个CMT 分别包括四个窄量程液位计,液位信号分别输入到四个序列。ADS 闭锁模块与 PMS 模拟量输入卡件 AI688 共享 CMT 液位传感器的输入,经过闭锁判断的输出
7、通过硬接线输出至 ILC 机柜的 CIMZ 端口输入端接点。在正常运行时,420mA 的信号高于设定值,报警输出触点闭合,ADS 触发被闭锁;在真实的 LOCA 事故发生时,任意一个 CMT 液位下降到设定值以下,输出触点打开,ADS 闭锁解除。 其次,在失去交流电源时需解除对 ADS 的闭锁,该模块接收来自蓄电池继电器的触点输入,当任一继电器指示电压低于设定值,则解除对ADS 的闭锁。 4最后,AP1000 也在在主控室提供了手动解锁的开关,每个序列一个。在自动触发失效时,操纵员可以通过这些开关进行手动 ADS 触发解锁。通过在主控室监测 CIM 的 X、Y 端口的状态获得 ADS 的闭锁情
8、况。 当主控不可用时,远程停堆站 RSW 需要具备手动触发 ADS 的能力,每个序列的 MCR/RSW 切换开关可以将电厂的控制从主控室切换到远程停堆站。这些切换开关动作的同时将解除 ADS 闭锁,使 RSW 具备手动触发ADS 的能力。 综上所述,CMT 低液位信号,IDS 电池低电压信号,手动解锁信号和MCR/RSW 切换信号中的任意一个都可以解除闭锁。 3 可靠性分析 3.1 独立性 为了有效地防止误触发,ADS 闭锁模块独立于 PMS 的故障模式。ADS闭锁模块位于 PMS 的双稳态逻辑 BCC 机柜中,与 PMS 共享输入信号、输出设备 CIM 和供电电源,但并不影响其闭锁功能的独立
9、性。 3.1.1 共享输入信号。PMS 的自动 ADS 低 CMT 液位结合 CMT 驱动信号触发,比如稳压器液位低。因此,单独的 CMT 液位低不会导致误触发,且故障液位信号可以通过其他序列的交叉比较发现,这些信号的共享不影响闭锁功能的独立性。 3.1.2 共享设备接口模块。ADS 闭锁模块使用 CIM 的 Z 端口,CIM 具备监测和维护的特点,因此没有必要增加额外的信号闭锁设备,共享 CIM不会影响闭锁功能的独立性,因为 CIM 本身不是误触发的源头: (1)任何 ADS 路径的触发都要求动作同一序列的两个 CIM。在 1、2、35级 CIM 打开串联的电动阀的情况下,第 4 级 ADS
10、 的爆破阀的装填和点火由不同的 CIM 来执行,这两个 CIM 位于不同的 PMS 机柜,由不同的 PMS处理器来触发。 (2)一个序列中用于打开 ADS 路径的两个 CIM 之间不存在接口,不存在一个 CIM 的故障引起另外一个 CIM 故障的情况。且 CIM 是得电动作,CIM 故障也不会误触发。 (3)CIM 接收的只是简单的打开/闭合阀门的命令,不存在复位、模式切换等命令。 (4)ADS 触发不接收来自电厂控制系统(PLS)的命令,因为它们是会导致严重后果的阀门。 (5)CIM 通过串行数据链路从 PMS 接收信号,且具备自诊断错误检查功能,自动剔除坏点信号。 (6)CIM 在失去指令
11、的情况下默认动作为不触发输出。 (7)Z 端口的使用不会增加新的故障模式,它本身就存在于 CIM 当中,只是使用与否,因此已经考虑它的可靠性了。 3.1.3 共享供电电源。共享供电电源也不会影响闭锁功能的独立性,机柜断电不会引起 ESF 信号输出,尽管此时 ADS 闭锁已经解除,但也不会引起 ADS 的误触发。ADS 闭锁模块使用 4 个光电隔离器向 4 个 CIM 提供闭锁信号,光电隔离器为闭锁模块的电源与 CIM 内部 48V 电源之间提供隔离。采用专用的 24V 湿电压给闭锁模块、模块的输入触点和固态继电器提供电源,该电源由机柜提供,且与机柜供电隔离。 3.2 故障拒动分析 6ADS 闭
12、锁模块设计为“故障安全” ,当 ADS 闭锁模块故障时,它对ADS 触发的闭锁被解除,或者当输入条件大于设定值时,模块的故障也不会阻碍 ADS 闭锁的解除。也就是说 ADS 闭锁模块故障发生或输入满足条件,都将解除闭锁。 针对 ADS 闭锁模块进行的试验表明,86%的故障会朝安全方向发展,也就是说 86%的模块故障对 ADS 闭锁模块进行了解锁,而 14%的模块故障无法解锁 ADS 闭锁模块。针对 ADS 闭锁模块进行平均故障间隔(MTBF)分析,评估的模块故障率为 =372/1.0E+09。引起故障拒动可能是模块故障引起的,也可能是传感器故障引起。 3.2.1 模块故障。ADS 闭锁模块故障
13、向“非故障安全”的方向发展,没有对 ADS 进行解锁,这种情况可能阻止必要的 ADS 触发。按照 ADS 闭锁模块的设计,这类故障一般只会在定期试验时发现,如果发生这种情况,序列的 ADS 无法触发的平均时间为定期试验周期的一半(平均恢复时间 MTTR) 。AP1000 PMS 中,每个序列的 ESF 功能定期试验周期为 92 天。因此,由闭锁模块引起的 ADS 无法触发的概率 PFD(要求时失效概率,Probability of Failure on Demand)可以由下述计算得到: PFD=DtCE 式中: D模块的故障失效率 tCE模块的等效平均停止工作时间 3.2.2 传感器故障。两
14、个 CMT 液位传感器的同时故障也将导致序列的 ADS 触发故障。当 PMS 系统逻辑满足触发条件时,序列应该触发 ADS,7但是由于闭锁模块未被解锁,该序列的触发没有发生。传感器的故障可以通过不同序列间的冗余交叉比较立即发现,对传感器进行维修,使之投入运行的预计时间为 72 小时,传感器的故障率为 1.0E-07f/hour,单个传感器的故障为 7.2E-06,两个传感器的故障为 5.2E-11,即使是非常低的可能性,我们仍然考虑了传感器的共模故障,尽管这种情况与 ADS闭锁模块的故障相比微乎其微。假设单个序列故障,也不会阻止整个 ADS功能的触发,这种故障的结果对堆芯的损坏概率非 常低。
15、3.2.3 故障误动分析。当 ADS 闭锁模块故障,未能闭锁 ADS 触发功能,则可能导致 ADS 误触发。在这种情况下,闭锁的解除可以通过 PMS和 DCIS 监测的 CIM 状态立即被发现,ADS 闭锁模块非常容易替换,但是由于并没有丧失安全功能,因此对它的维修并不是最紧急的。此处假设维修的平均时间为 24 小时,则闭锁模块不可用的概率为: PFD=37210-986%24=7.710-6 如此低的可能性,结合低的误触发概率,使得这种情况发生的可能性更低。 4 结语 AP1000 自动卸压系统(ADS)的误触发引起的压降危害不亚于 LOCA事故,它的触发或动作需要额外关注,为了防止 PMS 软件共模故障引起的 ADS 系统误触发,AP1000 设计了 1E 级硬件模块 ADS 闭锁模块,用于对触发条件的重复确认。试验和分析表明,ADS 闭锁模块的应用降低了 ADS误触发的可能,同样也不会引入不必要的拒动概率。 8参考文献 1顾军,缪亚民,范福平,等.AP1000 核电厂系统与设备M.北京:原子能出版社,2010. 2陆朝荣,施毅.设备故障率和设备维修策略M.北京:机械工业出版社,2004. 作者简介:刘乐(1987) ,男,湖北洪湖人,供职于三门核电有限公司,研究方向:AP1000 核电项目电厂控制系统维护及管理。 (责任编辑:刘 晶)
