核电厂DCS系统运行维护管理策略研讨*
2018-02-03田露
田 露
(中核核电运行管理有限公司)
一、引言
随着三代核电厂在国内的发展,全数字化仪控系统(DCS)在核电的应用已成为三代核电的一个基本特征。为保障核电机组在生命周期中各个环节和阶段的安全稳定,本文从机组的安全性和经济性两个方面,分析识别DCS系统整体可靠性提高的关键因素。同时,根据核电工艺系统的要求和DCS的特点,明确提出在非安全级DCS中,对重要控制保护信号适用单一故障准则,从而避免机组过度依赖提高单一部件可靠性的习惯性理念。根据机组不同工况提出对单点关键敏感(SPV)设备的动态管理策略,为保障在非安全级DCS中单一故障准则的满足程度,提出可维修性对机组运行的重要性。同时,为防止在维修过程中的人因失误,提出设备设计的统一性和设备外观的重要性。
二、DCS系统整体可靠性
由于核电站的特殊性,近年在二代+和三代核电的设计中开始采用全数字化仪控系统,但对DCS系统的运维管理理念较非核行业有所滞后,DCS系统的特点并未被充分发挥和利用。
随着非安全级DCS产品的成熟,单方面提高部件级可靠性的成本和技术难度越来越高。
仪控系统以为机组的安全和稳定运行提供可靠保障为目标,其实质是追求仪控整体系统级的可靠性,也就是设计中固有的可靠性,仪控系统的设计应通过分区、分散、独立性、冗余和其他措施使之具有充分防故障蔓延的能力。目前核电厂DCS系统已基本具备电源冗余和备用空间,为非安全级仪控信号处理满足单一故障准则提供了基本条件,而单一故障准则应用将极大的提高系统整体可靠性。
三、单设备故障准则在非安全级DCS中的应用
基于安全考虑,HAF102将单一故障准则的要求限定在安全级系统。出于对电厂建造投入成本的考虑,对于单一非安全级部件故障直接影响机组运行的情况,在目前的法规标准中还没明确要求。在美国三代轻水堆用户需求文件(ALWR-URD)中:M-MIS(仪控系统)设备与电厂系统设计必须尽可能地满足任何仪控设备或它的支持设备的单一随机故障不会引起电厂停役强迫、或危及安全系统功能、或安全系统误动作、或引起电厂处于某一应急状态的情况。如URD中的描述,用户在部分关键重要的非安全级DCS系统同样有满足单一故障准则的需求。
据不完全统计,近3年中由仪控系统单一部件故障引起多次机组停机停堆或降功率运行案例:
2015年,某核电厂2号机组(600 MWe)主给水B泵单一卡件故障导致汽轮机高压加热器解列引起停堆停机。
2015年,某核电厂1号机组(1000 MWe)因1号蒸汽发生器出现仪控故障,导致1号蒸汽发生器液位低并触发停堆。
2016年,某核电厂1号机组(1000 MWe)满功率运行时因非安全级DCS模块故障导致1#循环水泵停泵引起降功率至600 MWe。
在核电厂非安全级仪控系统中,单一故障准则的应用无强制和明确的要求,在设计和安装过程中未得到严格考虑,尤其是在汽轮发电机、主给水系统、润滑油系统、循环水泵等与机组运行直接相关的控制和保护处理过程中,已发生多起因单一仪控部件故障导致的停机、停堆和机组瞬态事件。
应用实例:
以方家山核电机组为例,在机组商运后的2个运行循环中,对直接危及机组运行的、不满足单一故障准则的非安全级DCS信号36项进行了排查和改进,除利用原有备用通道外,新增设备投入36万元。
避免2起停机事件的案例:
2017年3月17日,方家山1号机组汽轮机推力瓦工作面温度信号(GGR340MT)和汽轮机推力瓦非工作面温度信号(1GGR 341MT)闪发故障报警,经查故障原因为温度处理模块GME402CT故障,未停机。而改进前,原温度处理模块GME405CT卡件中包含GGR340MT/GGR342MT二取二停机(汽轮机推力瓦工作面温度与汽轮机推力瓦工作面温度);和GGR341MT/GGR343MT二取二停机(汽轮机推力瓦非工作面温度与汽轮机推力瓦工作面温度)两路停机逻辑。改进后将GGR340MT/GGR342MT和GGR341MT/GGR343MT两路停机逻辑关系进行分散处理,消除了单一部件故障对停机逻辑的影响。
2017年4月6日,方家山1号机组润滑油测量错误报警(GGR010KA),经查故障原因为温度处理模块GME402CT故障,未停机。原GME402CT一块卡件中包含两路二取二停机逻辑,改进后将两路二取二停机逻辑关系进行分散处理,消除了单一部件故障对停机逻辑的影响。
对于停机保护逻辑的信号共用一块处理模块,由于该模块故障后将导致参与跳机的输入信号都不可用,从而导致停机、停堆和机组瞬态,此模块部件视为不满足单一故障准则,定义为SPV设备。
因此,在非安全级DCS中合理配置影响机组稳定运行的SPV设备信号的处理,理想情况下可以实现DCS中SPV设备仪控信号完全脱敏,使DCS系统容错能力增强,至少可以抵御单一部件故障或单一人因失误对机组直接造成的影响,系统整体可靠性大幅提高,从纵深防御方面考虑,运行维护策略的关注重点转移至故障、试验状态和人因失误的叠加。
四、DCS中动态SPV设备的识别条件
SPV的定义中没有具体描述识别SPV设备的前提条件,通常是以机组正常满功率运行的理想状态为假设条件,此时称之为“静态SPV设备”。但如果机组在存在某一个设备缺陷或试验状态下,定义和识别SPV设备的初始条件已经改变,其SPV设备也随之改变。实际情况表明,机组很少处于无缺陷和无试验的理想状态,而且绝大多数事件也是在“机组正常运行满功率”这一假设初始条件改变的情况下发生的。
事件案例:
2015年11月23日(1123事件),某核电厂1号机组(600MWe)处于满功率运行状态,并且缺陷报警“汽轮机9号瓦X方向(VB9X)振动值高”一直存在。此时,维修人员因处理其他工作开关柜门,柜门触碰延伸电缆导致“汽轮机9号瓦Y方向振动值(VB9Y)信号瞬间失效,叠加已经存在的VB9X振动值高故障,导致机组停机。
2016年7月18日,某核电厂2号机组(600MWe)出于功率运行,核功率78%Pn,电功率496MWe,按计划执行2号机组柴油发电机组低负荷运行性能试验(PT2LHP001)。试验过程中,220 V交流应急电源配电系统(LMA)因6.6 kV交流应急配电系统(LHA )电源倒换时出现失电1.5 s,同时DCS机柜电源供电的切换刀闸存在接触不良的缺陷,二者叠加导致事件发生。
两起事件表明机组在存在某一个设备缺陷或试验状态下,其SPV设备范围是动态的,而且实际情况是部分SPV设备始终处于动态变化中。因此,根据机组的报警、缺陷、维修、试验状态动态识别SPV设备(信号)是保障机组稳定运行的重要手段。
动态识别的原则应考虑其他在外部条件转变后,原非SPV设备转为SPV设备。
动态识别方法可以通过人工即时排查;或在充分利用DCS数据基础上,开发一套SPV设备动态识别的软件工具,实时动态比较分析设备缺陷和系统状态信息,实现动态SPV预警(提示),降低机组的运行风险。动态SPV设备识别可采用故障树方法或贝叶斯理论方法进行定量分析。
五、DCS系统可在线维修的必要性
核电机组一个循环周期通常按年计,在运行循环周期中,如果一个部件或设备缺陷得不到及时消除,根据上述分析,关键重要系统可能已处于不满足单一故障准则状态,静态SPV设备的初始条件已经改变,此时抵御叠加另一个设备缺陷或试验状态或人因失误的能力丧失。因此,缩短缺陷存在的生命周期变得至关重要。这就要求DCS系统在装配设计阶段保留足够的在线维修空间和在线更换的能力,最大限度地维持静态SPV设备的初始状态。目前市场上绝大多数DCS产品具备在线更换卡件的能力,但在DCS系统集成阶段可在线维修的需求容易被忽视。
六、结论
通过在非安全级DCS中对关键重要设备相关的信号应用单一故障准则,可以以较低的投入成本获得较高的系统整体可靠性,使DCS系统抗单一部件故障的能力极大提高。通过SPV临时设备动态管理,可以有效防范故障叠加、试验叠加和人因失误叠加的可能。通过提高DCS系统可在线维修能力,缩短了单一缺陷存在的生命周期,减少了各种叠加概率。通过统一DCS在各个环节的设计理念,优化设备外观、布局等,重视人因工程的设计将大大减少维修过程中人因失误。