AP1000自动卸压系统闭锁功能及可靠性分析.pdf

1、2 0 1 3 年第9 期(总 第 2 5 2 期)咿 南 煎 搏 李 N O 9 2 0 1 3 (C u m u la tiv e ty N O2 5 2)技零 交流 i 8 r A P 1 0 0 0 自动卸压系统闭锁功能及可靠性分析 刘 乐(三 门核 电有限公 司，张丰平 浙江 三 门 3 1 7 1 1 2)摘要：A P 1 0 0 0 自动卸压 系统(ADS)中泄压阀的动作 由保护和安全监测 系统(P MS)控制 实现，它的误触发 引起的一回路压降危害不亚于L OC A事故，rP MS 的软件共模故障可能导致这样的误触发发生。为了降低ADS 系统误触发的概率，AP I O 0 0

2、设计 了ADS 闭锁模块用于对触发条件的重复确认。文章介绍A DS 触发闭锁模块的 原理和设计，分析ADS 误动和拒动的可能性。关键词：核电站；AP 1 0 0 0；自动卸压；中泄压阀；A DS I 1 锁模块 中图分类号：T L 4 8 文献标识码：A 文章编号：1 0 0 9 2 3 7 4(2 0 1 3)1 1 0 0 7 4 0 3 1 自动卸压系统简介 A P 1 0 0 0 压水堆核电站设计了自动卸压系统(简称为 AD S)，它的动作用来降低反应堆冷却剂系统的压力，以 实现堆芯补水箱(C MT)中含硼水的注入、堆内换料水储 存箱(I R WS T)中冷却水的注入及安全壳再循环启动

3、自 动卸压系统是反应堆冷却剂系统的一部分，并且与非能动 堆芯冷却系统连接，包含4 组顺序开启的阀门，用以降低反 应堆冷却剂系统的压力，从而使非能动堆芯冷却系统能为 堆芯提供长期冷却。自动卸压系统包含4 个卸压等级，主要包括1 O 个泄压 阀，分别连接到反应堆冷却剂系统的三个不同位置。前3 级 自动卸压阀为电动阀，第4 级 自动卸压阀是爆破阀。第1、2、3 级自动卸压系统各有两条管线，每条管线上串联两只 电动阀，上游的为隔离阀，下游的为调节阀。每一条管线 的人 口经过一条公用母管，与稳压器顶部相连，每一条管 线的出口与公用的卸压母管相连，通过喷淋管线上的喷淋 头注入堆内换料水储存箱 中。第4

4、级 自动卸压系统包括对 称的两路管线，其中一路通过一个入口与一个热段管线相 连，两条管线一路。图1 为自动卸压系统概要图。2自动卸压系统的控制 自动卸压系统作为专设安全设施之一，泄压阀的动作 由保护和安全监测系统(P MS)控制实现，它的触发逻辑 有3 个：堆芯补水箱注入并且4 个序列中的2 个序列探测到 任何一个堆芯补水箱液位低一 1 设定点；长期失去交流电源(I D S 低电压信号)；手动触发。图1 自动卸压 系统概要 图 2 1 ADS闭锁模块 保护和安全监测系统为每个序列提供了一块A D S 闭锁 模块，该模块为1 E 级模块，使用常规的模拟量模块，不依 赖于软件，其概念图如图2。序列

5、间的闭锁模块相互之间没 有连接，也不进行选择逻辑判断。输出给C I M的信号用在z 端口的关方向，相比用于正常触发A D S 的x 端口，C I M的z 端 E l 拥有更高的优先级，因此送f U z 端E t 的闭锁命令将阻止从 集成逻辑处理器I L P 来的A D S 触发信号。每个序列模块对4 个 阀门进行闭锁，对于A D S 第4 级，这些阀门由P MS 的两个序 列来驱动，则需对两个序列都进行闭锁。除了输入和输出 表1 A DS 闭锁模块序列分配 7 4 的连接以及它的供电，A D S 闭锁模块不与P MS 的其他设备共 享电回路。表1 为A D S 闭锁模块的序列分配情况。图2 A

6、DS 闭锁模块概念设计 图 2 2 ADS 触发的闭锁功能设计 A P 1 0 0 0 计已经采取了一定数量的方法来减少误触发 E S F 功能的可能性。不过，一个或多个安全序列的软件共 模故障仍可能导致系统级的误触发。对于A DS，它的动作 引起的一回路压降危害不亚于L O C A 事故，这样的误触发是 无法接受的，因此，A P 1 0 0 0 设计了A D S 触发的闭锁控制。AD S 闭锁设计的出发点是对A DS 触发条件的再确认，以确保ADS 动作不是由于误触发。对于P MS 软件共模故 障，主要是针对A D S 触发的自动控制逻辑。首先，假设专设安全设施s 信号触发，P MS 打开堆

7、芯补 水箱C M T的下部阀门，将含硼水注入RC S 进行补充，硼水 在重力的作用下注入反应堆。若没有发生L O C A，这些阀门 的打开不会引起R C S 排水，C MT 的循环是封闭回路，进入 反应堆的硼水由冷段的冷却剂进行补充，C MT 的液位不会 下降；若发生L O C A，tJ C M T 的液位将会持续下降。因此，测得的C MT 液位是真实L OC A的有效指示，将C MT 液位作 为A DS 闭锁信号是合理的。两个C MT 分别包括四个窄量程 液位计，液位信号分别输入到四个序列。A D S 闭锁模块与 P M S 模拟量输入卡件A I 6 8 8 共享C M T 液位传感器的输入

8、经 过闭锁判断的输 出通过硬接线输出至I L C 机柜的C I MZ 端口 输入端接点。在正常运行时，4 2 0 m A 的信号高于设定值，报警输出触点闭合，AD S 触发被闭锁；在真实的L O C A 事故 发生时，任意一个C M T 液位下降到设定值以下，输出触点 打开，A D S 闭锁解除。其次，在失去交流电源时需解除对AD S 的闭锁，该模 块接收来 自蓄电池继电器的触点输入，当任一继电器指示 电压低于设定值，则解除对A D S 的闭锁。最后，A P 1 0 0 0 也在在主控室提供了手动解锁的开关，每个序列一个。在 自动触发失效时，操纵员可以通过这些 开关进行手动AD S 触发解锁

9、通过在主控室监测C I M的x、Y 端 口的状态获得A D S 的闭锁情况。当主控不可用时，远程停堆站R S W需要具备手动触发 AD S 的能力，每个序列的M C P d R S W切换开关可以将电厂的 控制从主控室切换到远程停堆站。这些切换开关动作的同 时将解除A D S 闭锁，使R S W具备手动触发A D S 的能力。综上所述，C M T 低液位信号，I D S 电池低电压信号，手 动解锁信号和MC R R S W切换信号中的任意一个都可以解除 闭锁。3 可靠性分析 3 1 独立性 为了有效地防止误触发，A DS 闭锁模块独立于P MS 的 故障模式。AD S 闭锁模块位于P MS

10、的双稳态逻辑B C C 机柜 中，与P MS 共享输入信号、输出设备C I M和供电电源，但 并不影响其闭锁功能的独立性。3 1 1 共享输入信号。P MS 的自动AD S 低C MT 液位结 合C MT 驱动信号触发，比如稳压器液位低。因此，单独的 C MT 液位低不会导致误触发，且故障液位信号可以通过其 他序列的交叉比较发现，这些信号的共享不影响闭锁功能 的独立性。3 1 2 共享设备接 口模块。A D S 闭锁模块使用C I M的 z 端口，C I M具备监测和维护的特点，因此没有必要增加 额外的信号闭锁设备，共享C I M 不会影响闭锁功能的独立 性，因为C I M 本身不是误触发的源

11、头：(1)任何A D S 路径的触发都要求动作同一序列的两个 C I M。在1、2、3 C I M打开串联的电动阀的情况下，第4 级 AD S 的爆破阀的装填和点火 由不同的C I M来执行，这两个 C I M位于不同的P MS 机柜，由不同的P MS 处理器来触发。(2)一个序列中用于打开A D S 路径的两个C I M之间不 存在接口，不存在一个C I M的故障引起另外一个C I M故障的 情况。且C I M是得电动作，C I M故障也不会误触发。(3)C I M接收的只是简单的打开 闭合阀门的命令，不 存在复位、模式切换等命令。(4)A D S 触发不接收来 自电厂控制系统(P L S)

12、的命 令，因为它们是会导致严重后果的阀门。(5)C I M 通过串行数据链路从P M S 接收信号，且具备 自诊断错误检查功能，自动剔除坏点信号。(6)c I M在失去指令的情况下默认动作为不触发输出。(7)Z 端口的使用不会增加新的故障模式，它本身就 存在于C I M当中，只是使用与否，因此已经考虑它的可靠 性了。3 1 3 共享供电电源。共享供电电源也不会影响闭锁 功能的独立性，机柜断电不会引起E S F 信号输出，尽管此 时A D S 闭锁已经解除，但也不会引起A D S 的误触发。AD S 闭锁模块使用4 个光电隔离器向4 个C I M 提供闭锁信号，光 电隔离器为闭锁模块的电源与C

13、I M内部4 8 V 电源之间提供隔 离。采用专用的2 4 V 湿电压给闭锁模块、模块的输入触点 和固态继电器提供电源，该电源由机柜提供，且与机柜供 电隔离。3 2 故障拒动分析 AD S 闭锁模块设计为“故障安全”，当AD S 闭锁模块 故障时，它对A D S 触发的闭锁被解除，或者当输入条件大 于设定值时，模块的故障也不会阻碍A D S 闭锁的解除。也 就是说A D S 闭锁模块故障发生或输入满足条件，都将解除 闭锁。针对A D S 闭锁模块进行 的试验表明，8 6 的故障会朝 安全方向发展，也就是说8 6 的模块故障对A D S 闭锁模块 进行了解锁，而1 4 的模块故障无法解锁AD S

14、 闭锁模块。针对A D S 闭锁模块进行平均故障间隔(MT B F)分析，评估 的模块故障率为=3 7 2 1 0 E+0 9。引起故障拒动可能是模 块故障引起的，也可能是传感器故障引起。75 2 0 1 3 年第1 1 期(总 第 2 5 4 期)中阊高 新竣：之 企_业 i 0#c l l l NO 1 1 2 0 1 3 (Cu mu l a t iv e t y N O2 5 4)电气火灾监控系统的设置 曾 真(东莞市公安 消防支队南城 区大队，广 东 东莞 5 2 3 0 0 0)摘要：文章主要从 系统的构成、安装、调试三个方面做 了重点说明，同时指出了系统安装时应注意的事项。希望通

15、过文章的介绍能让人们更多地了解电气火灾监控 系统，同时期望通过该 系统的安装来预防和减少电气 火灾事故的发生，最大限度地减少事故造成的损失。关键词：电气火灾监控 系统；系统构成；系统安装；系统调试 中图分类号：T U7 1 4 文献标识码：A 文章编号：1 0 0 9 2 3 7 4(2 0 1 3)1 1 0 0 7 6 0 3 在我国经济迅猛增长、现代化建设飞速发展、居民生 活质量 日益提高的今天，各种电器设备如空调、电脑、电 视等已经成为企事业单位以及家庭的必需品，这导致了用 电量大幅度增加，与之有关的电气火灾事故的发生也越加 频繁，并且近几年有越演越烈的趋势，造成了不可估量的 损失，因

16、此，预防和减少电气火灾事故的发生刻不容缓。3 2 1 模块故障。AD S 闭锁模块故障向“非故障安 全”的方向发展，没有对A D S 进行解锁，这种情况可能阻 止必要的A D S 触发。按照A D S 闭锁模块的设计，这类故障 一般只会在定期试验时发现，如果发生这种情况，序列的 A D S 无法触发的平均时间为定期试验周期的一半(平均恢 复时间M T T R)。A P 1 0 0 0 P MS 中，每个序列的E S F 功能定 期试验周期为9 2 天。因此，由闭锁模块引起的A D S 无法触 发的概率P F D(要求时失效概率，P r o b a b i l i t y o f F a i l

17、 u r e o n D e m a n d)可以由下述计算得到：P F D=E D Xt c E 式中：一模块的故障失效率 t 模块的等效平均停止工作时间 J p F D：3 7 2 x 1 0-9 X 1 4 (9 2 x 2 4)：5 7 1 0 2 3 2 2 传感器故障。两个C MT 液位传感器的同时故 障也将导致序列的A D S 触发故障。当P MS 系统逻辑满足触 发条件时，序列应该触发A D S，但是 由于闭锁模块未被解 锁，该序列的触发没有发生。传感器的故障可以通过不同 序列间的冗余交叉比较立 即发现，对传感器进行维修，使之投入运行的预计时间为7 2 时，传感器的故 障率为

18、1 0 E 一 0 7 f h o u r，单个传感器的故障为7 2 E 一 0 6，两个传感 器的故障为5 2 E 一 1 1，即使是非常低的可能性，我们仍然 考虑了传感器的共模故障，尽管这种情况与A D S 闭锁模块 的故障相 比微乎其微。假没单个序列故障，也不会阻止整 个AD S 功能的触发，这种故障的结果对堆芯的损坏概率非 常低。7 6 电气火灾监控系统就可预防电气火灾事故发生，所以在新 建或者改造工程中安装电气火灾监控系统十分必要。1 电气火灾监控系统的构成 1 1 工作原理 电气火灾监控系统的基本工作原理为：系统的最终端 3 2 3 故障误动分析。当AD S 闭锁模块故障，未能 闭

19、锁A D S 触发功能，则可能导致A D S 误触发。在这种情况 下，闭锁的解除可以通过P MS 和D C I S 监测的C I M状态立即 被发现，A D S 闭锁模块非常容易替换，但是由于并没有丧 失安全功能，因此对它的维修并不是最紧急的。此处假设 维修的平均时间为2 4 小时，则闭锁模块不可用的概率为：PFD=3 72 X 1 0 一 X 8 6 X 24：77 x 1 0一 如此低的可能性，结合低的误触发概率，使得这种情 况发生的可能性更低。4 结语 A P 1 0 0 0自动卸压系统(A D S)的误触发引起的压降危 害不亚于L O C A 事故，它的触发或动作需要额外关注，为了 防

20、止P M S 软件共模故障引起的A D S 系统误触发，A P 1 0 0 0 设 计了1 E 级硬件模块A D S 闭锁模块，用于对触发条件的重复 确认。试验和分析表明，A D S 闭锁模块的应用降低了A D S 误触发的可能，同样也不会引入不必要的拒动概率。参考文献 1 顾军，缪亚民，范福平，等AP 1 0 0 0 核电厂系统与设备 MI 北京：原子能 出版社，2 0 1 0 2】陆朝荣，施毅设备故障率和设备维修策略【M】北京：机械 _r-,_ lk 出版社，2 0 0 4 作者简介：刘乐(1 9 8 7-)，男，湖北洪湖人，供职 于三门核电有限公司，研究方向：A P I O 0 0 核电项目电厂控 制 系统维护及管理。(责任编辑：刘晶)