★北京廣利核系統工程有限公司毛新民，韋志超，楊爽，劉恩伽，孟凡強

關鍵詞：改造；ATWT；FPGA；原則

核電站為解決預期瞬態不停堆的有關問題，增加了一套附加的保護系統，稱為ATWT。它的任務是在瞬態要求工況時給出信號保護電站安全，即在安全分析確定的保護動作整定值（主給水流量＜6%NF（3oo3、2oo3、2oo2）和堆功率＞30%FP（2oo2）符合給出啟動輔助給水系統、閉鎖GCT第三組排放閥、汽機剎車并給出緊急停堆信號。作為附加保護系統，其需遵循如下原則設計：

（1）功能多樣性，附加保護系統設置專用的保護輸入信號，并采用與反應堆保護系統不同的邏輯電路技術來完成ATWT的邏輯算法^[1]；

（2）獨立性，與反應堆保護系統的設備之間實現電氣和實體分隔^[1]；

（3）抗震，附加保護系統也按照地震I類進行質量鑒定^[1]。

受技術影響，ATWT一般是由模擬卡件和繼電器等分立元器件按照功能分組（閾值功能、隔離功能、邏輯處理功能、功能輸出、安全輸出）串級構成，其中探測器部分由 LND（Vital 220VAC Power （Protection Group IV））/ LNA（Vital 220VAC Power （Protection Group I））/LNB （Vital 220VAC Power （Protection Group II））供電， 閾值部分由LNE（Uninterruptted 220VAC POWER）、 LNA/LNB供電，邏輯處理和輸出部分由LCC（48VDC Power Sourece and Distribution System Decoupling）供電，具體見圖1所示。

上述串級設計，在核電正常運行期間且堆功率＞30%FP（2oo2）時，若是ATWT系統一級供電則會導致保護與專設信號誤驅動，直接觸發停堆、停機、專設設備啟動，影響電站使用壽命，將給電站安全和經濟運行帶來嚴重影響。因此此次改造需要對關鍵敏感設備（通過設備失效分析，將故障模式下可能導致機組非計劃停機停堆或重要核安全功能降級的設備識別定性為關鍵敏感設備）進行消除。

圖1ATWT系統的原系統整體架構圖

1　ATWT設計原則

ATWT改造除需滿足原有系統設計手冊要求外，還要參照現有的經驗反饋及三代核電的保護性系統進行設計，且改造過程需滿足監管要求，因此ATWT改造設計通常需滿足如下原則：

（1）多樣性，ATWT改造應采用與反應堆保護系統不同的邏輯電路技術或其他技術實現。考慮之后整體儀控系統改造的經濟性宜與當前主流的反應堆保護系統技術不同。

（2）獨立性，工藝過程信號由保護系統及RPN系統（Nuclear Instrumentation System）隔離分配進入系統，在保護側及RPN側實體分隔和電氣隔離。系統與外部輸出通過隔離器件實現實體分隔和電氣隔離。

（3）單一故障，ATWT系統不需要滿足單一故障準則。

（4）冗余性，因不需滿足單一故障準則，因此ATWT可為單列布置，ATWT系統卡件也可非冗余配置，但需考慮單一故障導致功能誤觸發的風險。

（5）可用性，ATWT需防止引起虛假的驅動信號（誤動作）輸出。一般可通過以下方式克服虛假驅動信號：

·ATWT系統可由兩個功能完全相同的控制站組成，兩個控制站的控制輸出做2oo2表決邏輯，即只有2個“ATWT”驅動一致時系統才發出驅動信號，以防誤動；定期試驗時可不必采用抑制措施而獨立對單一控制站進行試驗，試驗期間“ATWT”功能可用；

·系統的驅動電路設計為得電驅動，發生失電或模塊故障時不會引發誤動作；

·反應堆停堆、汽機跳機和專設安全設施驅動的輸出信號故障安全值設置為“0”，即故障不觸發。

（6）功能分組，同一個子系統中，需要根據不同功能的特點及相互聯系進行合理的功能組合及有效分離的分配，以便降低單一故障對核電站可用性的影響。

（7）可試驗性，ATWT可實現定期試驗功能，包括T1輸入試驗、T2功能邏輯試驗、T3停堆斷路器試驗，并保證相鄰試驗間的交疊性。

（8）抗震等級，ATWT控制柜需滿足抗震I類要求。

2　ATWT整體架構

ATWT整體架構一般按照核電站整體儀控系統的規劃進行設計，國內某核電站改造后ATWT的整體架構如圖2所示。ATWT由稱為I系和II系的兩個獨立的控制站構成2oo2架構，現場探測器信號通過ATWT機柜內分配模塊分別傳送給兩個控制站。兩個控制站獨立執行運算，兩個控制站的設備驅動信號通過硬接線連接方式實現“&”邏輯后發送給第三方系統繼電器架（ASG、GCT等）或RTB（REACTOR TRIP BREAK）實現設備的驅動控制。兩個控制站產生的報警信號通過“OR”邏輯后發送給KIT/KPS（Centralized Data Processing/Safety Panel）或主控室進行報警指示。

圖2ATWT系統的整體架構圖

基于此架構，參考“FitRel”平臺的可靠性基礎數據，經過故障樹模型計算，系統的誤動率由“0.02”降為“≤1.46E-08”，拒動率由“≤0.01”降為“≤4.2E-03”，提高了ATWT的可用性。原ATWT定期試驗周期為2個月，可用性指標系統可靠性為“≥99.99%”，改造后定期試驗周期為18個月，可用性指標系統可靠性為“≥99.996%”，提高了ATWT的可靠性。

3　硬件設計

原ATWT機架和ATWT邏輯處理柜（RPA700/710/720/730AR）采用“FitRel”平臺整體替代，改造后ATWT機柜布置安裝在當前ATWT邏輯處理柜的安裝位置。改造后ATWT實現簡圖見圖3。

ATWT與SIP-IV（KRG043AR，保護系統機柜）的信號采集接口，設計T1試驗，根據試驗方案及操作需求，配置T1試驗CR箱（Box-Marshalling Box）。該CR箱由SIP-IV附近棄用的KRG899CR改裝而成。

圖3國內某310堆型核電站改造后ATWT系統實現簡圖

系統設備除滿足安裝要求外，還需要進行設備鑒定。設備鑒定主要應包含環境鑒定（LOCA、MSLB）與抗震鑒定（極限安全地震，SEE）兩方面內容，避免引起事故工況共模故障^[2]。按照采購技術規范，ATWT系統級別為核電廠安全相關的設備（QSR），改造涉及的所有設備安全等級為非安全級（NC），鑒定等級為K3（法國壓水堆核島電氣設備設計及建造標準（RCC-E）中設備鑒定要求），抗震要求為抗震I類。據法國EDF公司經驗反饋，ATWT系統機柜需與其他安全級機柜距離≥300mm。

4　軟件設計

改造后的ATWT按照控制原則進行了軟件主體邏輯設計，基于系統架構I系的主體軟件設計與II系的軟件設計一致。依據風險分析，輔助軟件方面需改進，主要內容如下：

（1）定周期試驗風險解決方案

涉及T1試驗（通道檢查試驗）、T2試驗（邏輯功能試驗）、T3試驗（設備功能試驗）。以T1試驗人因設計為例，在進行主給水流量T1試驗時，需要通過CR箱中的置位開關（每個通道對應一個）對ATWT系統中相應的給水流量信號在2oo3表決前置位為驅動狀態，使得2oo3表決邏輯降級為1oo2。信號置位后會將信號反饋給T1試驗臺記錄并在CR箱有指示燈進行指示。為了防止操作多個置位CC（Select or Switchor Key Pad）而導致ATWT誤動的風險，增加了CC控制互鎖設計。同時結合過程設備閉合特性，按照時序約束設置并增加了300s延時，防止人員人因導致的ATWT誤動風險。

（2）探測器供電風險解決方案

為了防止改造后上游探測器（ARE049/050MD/051MD）供電LND喪失引發主給水流量低進而造成ATWT誤動的風險，采用質量位判斷處理防止誤動。當LND喪失后，ATWT采集的SIP-IV流量信號質量位變為“bad”，因正常驅動時先經“一階滯后”環節（設定值為2s）處理后，再進行閾值判斷，因此即使上游失電發生流量低的誤觸發信號也會延時2s后才會驅動，而質量位處理在三個周期內便可處理完成，因此質量位的處理速度遠快于ARE流量低的觸發邏輯。通過控制器內質量位模塊發送邏輯值“1”給“可降級的2oo3表決邏輯塊”，2oo3表決邏輯對應實現降級，降級規則如表1所示，即當3個輸入信號全部為“bad”后，控制輸出為“不驅動”狀態。因此可通過質量位參與2oo3表決邏輯退化避免因LND失電導致ATWT誤動。

表1  ARE流量2oo3表決邏輯降級規則

考慮LND供電恢復及機柜上游整體供電恢復后，給水流量測量值同樣經過一階滯后環節較緩慢上升，增加質量位信號的3s后延時（TOFF）模塊，保證質量位恢復“good”時，給水流量已高于6%NF，通過后增加延時（TOFF）模塊可避免上游失電再上電帶來ATWT誤動風險。

改進后的ATWT在控制器的不同片區實現了功能冗余及邏輯表決設計，同時整合了閾值處理、邏輯表決及定周期試驗功能，不僅解決了改造前ATWT的風險，同時提升了系統的安全性、穩定性、可靠性和易用性。

5　其他

5.1　定期試驗

定期試驗“最好采用從探測器到被驅動設備同時驗證的方法，在不能實現上述方法處，可以采用分段交迭試驗的方法”^[3]。ATWT定期試驗采用分段交迭試驗策略，試驗分別定義為T1試驗（測量通道）、T2試驗（控制器邏輯功能驗證）、T3試驗（輸出信號和相關系統或設備的接口驗證）。

T1試驗，涉及ARE系統的三個流量信號ARE049/050MD/051MD及RPN系統三個堆功率閾值信號RPN013MA/014MA；ARE系統的流量信號與RPN系統的閾值信號設計了實時比較與不一致判斷，也可通過專用試驗工具完成定期試驗。

T2試驗，主要是檢查控制器邏輯功能及DO輸出。為防止試驗期間誤輸出，采用單系試驗方式，T2試驗單系通過連接維護工具分別進行試驗。由于試驗過程中僅可能有一個通道的驅動類DO會輸出1，繼電器2取2符合邏輯不會輸出1，因此可以確保本試驗不會引起停堆、汽機跳機和專設安全設施動作。試驗通過T2試驗開關和維護工具執行試驗表格完成，兩個通道依次執行。試驗表格按照ATWT單通道和子功能分別設計，試驗表格設計原理是先對邏輯輸入信號的值進行批量寫，再監視控制器邏輯輸出值，并和預期值進行對比來判斷試驗結果是否通過。

T3試驗，主要涉及MP ASG Tr.A、MP ASG Tr.B、TP ASG Tr.A、MAFP ASG、TAFP ASG、TURBINE TRIP GSE、CONTAIMENT CONDENSER GCT、REACTOR TRIP RPA、REACTOR TRIP RPB的設備驅動試驗。以REACTOR TRIP RPA/B為例，在進行T3試驗前，需就地進行旁通操作保護動作執行機構打到旁路停堆斷路器，旁通操作狀態結果反饋給ATWT試驗面板，改造后作為執行T3的允許條件。T3試驗通過ATWT試驗面板上的按鈕進行試驗觸發，改造后增加了下發指令確認及設備接線方式的改進，確保T3試驗執行時不會造成真實停堆。

5.2　供電設計

原ATWT功能相關設備供電可靠性不高，薄弱點為：主給水流量測量信號（ARE049/050/051MD）均由SIP-IV采集處理，如220V不間斷電源系統（LND）供電喪失，或者電源故障將導致主給水流量測量信號失去，有ATWT功能誤觸發風險；ATWT機架僅由220V交流不間斷電源系統（LNE）供電，如LNE供電喪失，將導致ATWT功能不可用；ATWT邏輯處理柜（RPA700/710/720/730AR）僅由48V直流供電系統（LCC）供電，如LCC供電喪失，將導致ATWT功能不可用。

針對上述薄弱點，ATWT配電采用LNE和LMA（220VAC Power Source and Distribution System）兩路220VAC電源和LCC的48VDC電源，220VAC通過電源模塊轉化為24VDC系統電源和驅動電源，LCC的48VDC作為EC（計算機指示）指示和IA（AlarmDatum）報警的驅動電源。

改造后的ATWT配電除監視系統采用單路LCC供電外，其余保護功能相關設備供電為冗余配電，同時對各功能電源進行工藝解耦，如去KIT/KPS系統EC及去主控室盤臺的IA采用不同的供電母排。上述設計提高了ATWT系統供電的可靠性。

6　結束語

該ATWT改造項目是ATWT模擬系統在國內首次采用FPGA技術實現的改造。改造后的數字化系統相比原模擬系統具有如下優勢：

（1）具有強大的自診斷功能，自診斷覆蓋率達99.9%；

（2）定期試驗周期從2個月一次，提高到18個月一次；

（3）功能擴展性強，后續可在此基礎上增加其它多樣性驅動保護功能；

（4）基于FPGA技術相比基于微處理器的DCS系統具有如下優勢：

·可靠性更高，無需運行軟件，發生共因故障的概率極低；

·采用并行處理方式，響應時間更快；

·后續保護系統應用DCS進行數字化改造后，仍可保證ATWT與保護系統間的設計多樣性。

作者簡介：

毛新民（1985-），男，吉林人，工程師，學士，現就職于北京廣利核系統工程有限公司，主要從事于核電非安全級儀控系統的設計工作。

參考文獻：

[1]劉國發,郭文琪.核電廠儀表與控制[M].北京:北京原子能出版社,2010.

[2]龐松濤.壓水堆核電站過程控制系統[M].北京:中國電力出版社,2014.

[3]GB/T5204-2023,核電廠安全系統定期試驗與監測[S].

摘自《自動化博覽》2025年8月刊