核電廠DCS系統(tǒng)運行維護管理策略研討*

田 露

（中核核電運行管理有限公司）

一、引言

隨著三代核電廠在國內(nèi)的發(fā)展，全數(shù)字化儀控系統(tǒng)（DCS）在核電的應(yīng)用已成為三代核電的一個基本特征。為保障核電機組在生命周期中各個環(huán)節(jié)和階段的安全穩(wěn)定，本文從機組的安全性和經(jīng)濟性兩個方面，分析識別DCS系統(tǒng)整體可靠性提高的關(guān)鍵因素。同時，根據(jù)核電工藝系統(tǒng)的要求和DCS的特點，明確提出在非安全級DCS中，對重要控制保護信號適用單一故障準則，從而避免機組過度依賴提高單一部件可靠性的習(xí)慣性理念。根據(jù)機組不同工況提出對單點關(guān)鍵敏感（SPV）設(shè)備的動態(tài)管理策略，為保障在非安全級DCS中單一故障準則的滿足程度，提出可維修性對機組運行的重要性。同時，為防止在維修過程中的人因失誤，提出設(shè)備設(shè)計的統(tǒng)一性和設(shè)備外觀的重要性。

二、DCS系統(tǒng)整體可靠性

由于核電站的特殊性，近年在二代+和三代核電的設(shè)計中開始采用全數(shù)字化儀控系統(tǒng)，但對DCS系統(tǒng)的運維管理理念較非核行業(yè)有所滯后，DCS系統(tǒng)的特點并未被充分發(fā)揮和利用。

隨著非安全級DCS產(chǎn)品的成熟，單方面提高部件級可靠性的成本和技術(shù)難度越來越高。

儀控系統(tǒng)以為機組的安全和穩(wěn)定運行提供可靠保障為目標，其實質(zhì)是追求儀控整體系統(tǒng)級的可靠性，也就是設(shè)計中固有的可靠性，儀控系統(tǒng)的設(shè)計應(yīng)通過分區(qū)、分散、獨立性、冗余和其他措施使之具有充分防故障蔓延的能力。目前核電廠DCS系統(tǒng)已基本具備電源冗余和備用空間，為非安全級儀控信號處理滿足單一故障準則提供了基本條件，而單一故障準則應(yīng)用將極大的提高系統(tǒng)整體可靠性。

三、單設(shè)備故障準則在非安全級DCS中的應(yīng)用

基于安全考慮，HAF102將單一故障準則的要求限定在安全級系統(tǒng)。出于對電廠建造投入成本的考慮，對于單一非安全級部件故障直接影響機組運行的情況，在目前的法規(guī)標準中還沒明確要求。在美國三代輕水堆用戶需求文件（ALWR-URD）中：M-MIS（儀控系統(tǒng)）設(shè)備與電廠系統(tǒng)設(shè)計必須盡可能地滿足任何儀控設(shè)備或它的支持設(shè)備的單一隨機故障不會引起電廠停役強迫、或危及安全系統(tǒng)功能、或安全系統(tǒng)誤動作、或引起電廠處于某一應(yīng)急狀態(tài)的情況。如URD中的描述，用戶在部分關(guān)鍵重要的非安全級DCS系統(tǒng)同樣有滿足單一故障準則的需求。

據(jù)不完全統(tǒng)計，近3年中由儀控系統(tǒng)單一部件故障引起多次機組停機停堆或降功率運行案例：

2015年，某核電廠2號機組（600 MWe）主給水B泵單一卡件故障導(dǎo)致汽輪機高壓加熱器解列引起停堆停機。

2015年，某核電廠1號機組（1000 MWe）因1號蒸汽發(fā)生器出現(xiàn)儀控故障，導(dǎo)致1號蒸汽發(fā)生器液位低并觸發(fā)停堆。

2016年，某核電廠1號機組（1000 MWe）滿功率運行時因非安全級DCS模塊故障導(dǎo)致1#循環(huán)水泵停泵引起降功率至600 MWe。

在核電廠非安全級儀控系統(tǒng)中，單一故障準則的應(yīng)用無強制和明確的要求，在設(shè)計和安裝過程中未得到嚴格考慮，尤其是在汽輪發(fā)電機、主給水系統(tǒng)、潤滑油系統(tǒng)、循環(huán)水泵等與機組運行直接相關(guān)的控制和保護處理過程中，已發(fā)生多起因單一儀控部件故障導(dǎo)致的停機、停堆和機組瞬態(tài)事件。

應(yīng)用實例：

以方家山核電機組為例，在機組商運后的2個運行循環(huán)中，對直接危及機組運行的、不滿足單一故障準則的非安全級DCS信號36項進行了排查和改進，除利用原有備用通道外，新增設(shè)備投入36萬元。

避免2起停機事件的案例：

2017年3月17日，方家山1號機組汽輪機推力瓦工作面溫度信號（GGR340MT）和汽輪機推力瓦非工作面溫度信號（1GGR 341MT）閃發(fā)故障報警，經(jīng)查故障原因為溫度處理模塊GME402CT故障，未停機。而改進前，原溫度處理模塊GME405CT卡件中包含GGR340MT/GGR342MT二取二停機（汽輪機推力瓦工作面溫度與汽輪機推力瓦工作面溫度）；和GGR341MT/GGR343MT二取二停機（汽輪機推力瓦非工作面溫度與汽輪機推力瓦工作面溫度）兩路停機邏輯。改進后將GGR340MT/GGR342MT和GGR341MT/GGR343MT兩路停機邏輯關(guān)系進行分散處理，消除了單一部件故障對停機邏輯的影響。

2017年4月6日，方家山1號機組潤滑油測量錯誤報警（GGR010KA），經(jīng)查故障原因為溫度處理模塊GME402CT故障，未停機。原GME402CT一塊卡件中包含兩路二取二停機邏輯，改進后將兩路二取二停機邏輯關(guān)系進行分散處理，消除了單一部件故障對停機邏輯的影響。

對于停機保護邏輯的信號共用一塊處理模塊，由于該模塊故障后將導(dǎo)致參與跳機的輸入信號都不可用，從而導(dǎo)致停機、停堆和機組瞬態(tài)，此模塊部件視為不滿足單一故障準則，定義為SPV設(shè)備。

因此，在非安全級DCS中合理配置影響機組穩(wěn)定運行的SPV設(shè)備信號的處理，理想情況下可以實現(xiàn)DCS中SPV設(shè)備儀控信號完全脫敏，使DCS系統(tǒng)容錯能力增強，至少可以抵御單一部件故障或單一人因失誤對機組直接造成的影響，系統(tǒng)整體可靠性大幅提高，從縱深防御方面考慮，運行維護策略的關(guān)注重點轉(zhuǎn)移至故障、試驗狀態(tài)和人因失誤的疊加。

四、DCS中動態(tài)SPV設(shè)備的識別條件

SPV的定義中沒有具體描述識別SPV設(shè)備的前提條件，通常是以機組正常滿功率運行的理想狀態(tài)為假設(shè)條件，此時稱之為“靜態(tài)SPV設(shè)備”。但如果機組在存在某一個設(shè)備缺陷或試驗狀態(tài)下，定義和識別SPV設(shè)備的初始條件已經(jīng)改變，其SPV設(shè)備也隨之改變。實際情況表明，機組很少處于無缺陷和無試驗的理想狀態(tài)，而且絕大多數(shù)事件也是在“機組正常運行滿功率”這一假設(shè)初始條件改變的情況下發(fā)生的。

事件案例：

2015年11月23日（1123事件），某核電廠1號機組（600MWe）處于滿功率運行狀態(tài)，并且缺陷報警“汽輪機9號瓦X方向（VB9X）振動值高”一直存在。此時，維修人員因處理其他工作開關(guān)柜門，柜門觸碰延伸電纜導(dǎo)致“汽輪機9號瓦Y方向振動值（VB9Y）信號瞬間失效，疊加已經(jīng)存在的VB9X振動值高故障，導(dǎo)致機組停機。

2016年7月18日，某核電廠2號機組（600MWe）出于功率運行，核功率78%Pn，電功率496MWe，按計劃執(zhí)行2號機組柴油發(fā)電機組低負荷運行性能試驗（PT2LHP001）。試驗過程中，220 V交流應(yīng)急電源配電系統(tǒng)（LMA）因6.6 kV交流應(yīng)急配電系統(tǒng)（LHA ）電源倒換時出現(xiàn)失電1.5 s，同時DCS機柜電源供電的切換刀閘存在接觸不良的缺陷，二者疊加導(dǎo)致事件發(fā)生。

兩起事件表明機組在存在某一個設(shè)備缺陷或試驗狀態(tài)下，其SPV設(shè)備范圍是動態(tài)的，而且實際情況是部分SPV設(shè)備始終處于動態(tài)變化中。因此，根據(jù)機組的報警、缺陷、維修、試驗狀態(tài)動態(tài)識別SPV設(shè)備（信號）是保障機組穩(wěn)定運行的重要手段。

動態(tài)識別的原則應(yīng)考慮其他在外部條件轉(zhuǎn)變后，原非SPV設(shè)備轉(zhuǎn)為SPV設(shè)備。

動態(tài)識別方法可以通過人工即時排查；或在充分利用DCS數(shù)據(jù)基礎(chǔ)上，開發(fā)一套SPV設(shè)備動態(tài)識別的軟件工具，實時動態(tài)比較分析設(shè)備缺陷和系統(tǒng)狀態(tài)信息，實現(xiàn)動態(tài)SPV預(yù)警（提示），降低機組的運行風險。動態(tài)SPV設(shè)備識別可采用故障樹方法或貝葉斯理論方法進行定量分析。

五、DCS系統(tǒng)可在線維修的必要性

核電機組一個循環(huán)周期通常按年計，在運行循環(huán)周期中，如果一個部件或設(shè)備缺陷得不到及時消除，根據(jù)上述分析，關(guān)鍵重要系統(tǒng)可能已處于不滿足單一故障準則狀態(tài)，靜態(tài)SPV設(shè)備的初始條件已經(jīng)改變，此時抵御疊加另一個設(shè)備缺陷或試驗狀態(tài)或人因失誤的能力喪失。因此，縮短缺陷存在的生命周期變得至關(guān)重要。這就要求DCS系統(tǒng)在裝配設(shè)計階段保留足夠的在線維修空間和在線更換的能力，最大限度地維持靜態(tài)SPV設(shè)備的初始狀態(tài)。目前市場上絕大多數(shù)DCS產(chǎn)品具備在線更換卡件的能力，但在DCS系統(tǒng)集成階段可在線維修的需求容易被忽視。

六、結(jié)論

通過在非安全級DCS中對關(guān)鍵重要設(shè)備相關(guān)的信號應(yīng)用單一故障準則，可以以較低的投入成本獲得較高的系統(tǒng)整體可靠性，使DCS系統(tǒng)抗單一部件故障的能力極大提高。通過SPV臨時設(shè)備動態(tài)管理，可以有效防范故障疊加、試驗疊加和人因失誤疊加的可能。通過提高DCS系統(tǒng)可在線維修能力，縮短了單一缺陷存在的生命周期，減少了各種疊加概率。通過統(tǒng)一DCS在各個環(huán)節(jié)的設(shè)計理念，優(yōu)化設(shè)備外觀、布局等，重視人因工程的設(shè)計將大大減少維修過程中人因失誤。