一起主泵变频控制器故障导致的反应堆停堆事故分析
2023-01-10王丰军张卢翼
王丰军,张卢翼
(三门核电有限公司,浙江 台州 317112)
0 引 言
某核电厂机组主泵电机的电源为额定电压6.9 kV,额定频率60 Hz,每台主泵电机均配置1台主泵变频器,用以将输入10.5 kV、50 Hz的厂用电转换为输出6.9 kV、60 Hz的主泵电机用电,10.5 kV 厂用中压母线设置1台非1E级中压断路器,作为变频器的运行电源,每台主泵配置2台串联的1E级中压断路器,执行安全相关功能。
2020年5月3日,1号机组主泵1B失电停运,反应堆冷却剂流量低,触发停堆信号,反应堆自动停堆,汽轮机自动停机。因此,对故障原因进行分析,查找各环节可能出现的问题,以防后患。
1 现场故障检查过程
事故前机组运行状态稳定,系统无异常现象。
1.1 变频器EV41就地柜信息检查
根据变频器EV41就地柜人机界面故障首出信息初步判断:主泵1B失电原因为变频器EV41上游10.5 kV断路器断开,主泵1B失电惰转。
1.2 变频器EV41PLS工程师站信息检查
电站控制系统(plant control system,PLS)侧的事件序列如下:
1)主泵1B变频器上游断路器ECS-ES-EV41(52-1)分闸,变频器EV41输入输出的电流、电压、功率以及主泵转速开始同步下降;
2)变频器EV41停运;
3)热段流量下降至90%,并触发反应堆停堆;
4)PLS触发非指令监视报警,并发出ECS-ES-EV41(52-1)分闸指令。
由事件序列可知,PLS在发出断路器ECS-ES-EV41(52-1)分闸指令前,已收到ECS-ES-EV41(52-1)的分闸状态反馈,因此可排除PLS跳断路器ECS-ES-EV41(52-1)的可能。
1.3 变频器EV41中压断路器信息检查
现场检查主泵1B变频器断路器1-ECS-EV-41(52)保护装置,保护装置正常运行,指示灯亮起,报警灯未点亮。检查主泵1B变频器断路器(1-ECS-EV-41(52))保护装置事件日志,显示断路器跳闸造成相关信号变位,无保护动作信息。
根据上述检查结果,综合信息判断如下:
1)确认主泵1B变频器断路器首发跳闸;
2)检查主泵1B变频器故障日志,发现控制器A在无其他故障的前提下取消了合闸允许信号“OUTGOING : Permissive to Close ICB / M1”,使跳闸继电器动作,跳开上游中压断路器,控制器A发出过损耗、配置文件读取错误等多个对输入至控制器A的信号进行了错误处理、判断、响应的故障信息,初步判断主泵变频器控制器A故障。
2 故障原因分析
根据上述检查可知,主泵1B变频器EV41控制器A故障和主泵1B变频器上游中压断路器跳闸是造成主泵1B失电停运的原因。
2.1 对主泵1B变频器上游中压断路器跳闸原因分析
检查主泵1B变频器上游中压断路器(1-ECS-EV- 41(52))跳闸回路,可以确认造成主泵1B变频器上游中压断路器跳闸的可能原因包括:断路器本体故障或保护动作导致断路器跳闸[1]、PLS传递跳闸指令至断路器控制回路、多样化驱动系统跳闸继电器动作、主泵变频器传递跳闸指令至断路器控制回路。针对上述可能原因进行逐项排查。
1)对断路器手动跳闸开关进行检查,其辅助接点正常;对断路器进行外观检查和分合闸试验,确认断路器功能正常;对跳闸回路红灯进行检查无异常。对跳闸回路进行绝缘检查,无异常。说明断路器本体无故障,没有出现偷跳情况[2]。
2)核查主泵1B变频器断路器继电保护装置无保护动作信息。
3)对PLS跳闸回路进行检查,发现该接点处于闭合状态,跳闸信号一直持续,解开接线后进行绝缘检查正常;根据对PLS趋势的分析可确认,PLS跳闸回路接点处于闭合状态是断路器非预期跳闸后PLS产生非指令监视报警的正常响应。
4)对DAS跳闸回路进行检查,发现该接点处于打开状态,解开接线后进行绝缘检查无异常,可确认断路器跳闸非DAS触发。
5)对主泵变频器跳闸回路进行检查,发现该接点处于闭合状态,跳闸信号一直持续,解开接线后进行绝缘检查无异常。
通过上述排查、分析,同时对各跳闸回路接线进行检查,所有接线都紧固可靠,无异常情况,主泵1B变频器上游断路器跳闸,继电器处于动作状态。由此可确认主泵1B变频器向上游中压断路器发出跳闸信号、触发变频器上游中压断路器跳闸。
2.2 对主泵1B变频器触发上游中压断路器跳闸原因分析
现场分析主泵1B变频器事件日志得到如下信息:主泵1B变频器控制器A在无其他故障的前提下取消了合闸信号:“OUTGOING : Permissive to Close ICB / M1”,该信号的取消意味着主泵1B变频器跳闸线圈TIMV-A与TIMV-B已经失电。
主泵1B变频器内部跳闸线圈TIMV-A与TIMV-B在变频器正常运行期间处于得电状态,电源分别来自RACK-LV-A、RACK-LV-B上SLOT5模块DO通道CHO,其串入上游中压断路器的辅助触点始终保持为开点。当主泵变频器控制器取消合闸允许信号“Permissive to Close ICB / M1”时,TIMV-A与TIMV-B线圈由得电状态进入失电状态,其串入上游中压断路器的对应辅助触点由开点变为闭点,触发断路器跳闸线圈得电,断路器跳闸。
主泵1B变频器数据传输回路图如图1所示,主泵1B变频器低电压信号传输模块LVA与LVB与可编程逻辑控制器(programmable logic controller,PLC)、控制器共处两个通信环网中,PLC只执行控制器传输至LV的数据监测;因此,当主控制器发出跳闸命令时,将通过两路通信环网传输至LVA与LVB,并触发DO通道CHO失电。
图1 主泵1B变频器数据传输回路
通过对主泵变频器本体的检查可以确认:主泵1B变频器跳闸回路接线良好,变频器无跳闸(E-STOP)信号触发,RACK-LV-A与RACK-LV-B上SLOT5模块状态监测无异常,由于事件发生前后主泵1B一直处于控制器A的控制状态,事件过程中无控制器切换,可排除跳闸回路硬件故障导致主泵1B变频器断路器非预期跳闸的情况。
2.3 对主泵1B变频器控制器A触发上游中压断路器跳闸原因分析
主泵变频器正常运行时由预先设定的主控制器(控制器A)控制,当变频器内检测到主控制器直流电源丢失、输出瞬时过电流等故障时,会触发控制器切换[3]。但当变频器检测到输出接地、过损耗、输入保护等故障时,变频器则不会进行控制器切换,直接触发上游非1E级中压断路器跳闸,确保设备可靠停电。因此当主泵1B变频器控制器A出现错误的保护判断触发跳闸指令时,不会出现控制器切换。
控制器A在取消合闸允许指令后,报出多个报警、故障以及跳闸事件序列,通过对主泵1B变频器输入、输出电气量的趋势分析,确认电机热过载、过损耗、电机过电压等故障均未真实发生,初步怀疑控制器A对自身监测的各项参数进行了错误的处理、判断及响应或者状态监测信号的传输受到了干扰或中断[4]。
为进一步确定控制器A是否存在故障,利用预充电过程中设备对控制器逐个自检的原理,对主泵1B变频器进行预充电验证。依据预充电结果确认:控制器A不能执行设计功能,出现功率单元数量配置偏差、功率单元配置错误等报警。控制器B响应正常,最终设备保持在控制器B运行。
综上,可以确认由于主泵1B变频器控制器A存在硬件故障对输入控制器的正常数据进行了错误的处理、判断和响应或者状态监测信号的传输受到了干扰或中断,触发跳闸保护动作向上游中压断路器发出跳闸信号、触发变频器上游中压断路器跳闸。
2.4 对主泵1B变频器控制器A硬件故障点分析
1号机组主泵变频器为美国西门子公司生产的WCⅢ-HA型水冷变频器,在其控制系统中配置有双重控制器,其中控制器A为主控制器,控制器B为备用控制器。两个控制器中都分别包含ISA总线背板、键盘适配器板、CPU板、调制器板、光纤板、系统接口板、通信板等功能卡件,如图2所示。
图2 主泵1B变频控制器A各板卡布置
运行期间,控制器结合变频器的参数配置、系统运行程序、控制系统软件对监测的各项数据进行判断,按照预定的逻辑触发主泵变频器执行电力电子调节、报警、跳闸等响应,使得主泵变频器的各项运行功能、保护配置、用户指令得到实现[5]。
基于此次主泵1B 变频器控制器A硬件故障状态下,对输入控制器的正常数据进行了错误的处理、判断和响应或者状态监测信号的传输受到了干扰或中断,对主泵变频器控制器各板卡的功能及在此次事件中硬件故障的可能情况分析如下。
1)键盘适配器板。用于主泵变频器控制器与控制柜内机械键盘的接口,该板卡故障只会导致对应的机械键盘Keypad-A无法访问控制器,因此可排除该板卡故障造成控制器A异常响应的可能。
2)光纤板。只作为调制器板与功率单元进行光纤通信的拓展连接板卡,该板卡故障将不会导致变频器相关电气保护的触发,故可排除该板卡故障造成控制器A异常响应的可能。
3)ISA总线背板。作为控制器的系统总线背板工业标准体系结构(industry standard architecture,ISA),背板在为控制器内各功能板卡提供工作电源的同时,还担负起着各功能板卡之间的数据传输。如果ISA总线背板故障将可能导致板卡失电或数据传输异常,影响CPU板卡对数据的处理,不排除造成CPU板卡发出错误响应的可能。
4)通信板与系统接口板。来自主泵变频器PL-CI/O子系统的输入信息经过通信板传递至控制器内,这些采集到的变频器输入、输出电气量、E-STOP信号等模拟量和数字量信息会在系统接口板上进行缩放、过滤及必要的模/数转换,以便CPU板卡处理。当通信板与系统接口板存在异常时,将可能导致CPU板卡处理了错误的输入信息,进行造成CPU板卡进行错误的判断和响应,因此通信板与系统接口板故障造成此次事件的发生具有一定的可能性。
5)调制器板卡。负责接收来自CPU板卡的电压指令,并与功率单元和旁路控制板通信,在控制功率单元和旁路控制板的同时,监测瞬时过电流(instantaneous over current,IOC)、E-STOP、和直流电源等硬件故障。结合主泵1B变频器非预期跳闸时的事件日志中包含有未知的调制器板故障(trip-unknown modulator fault)信息,该信息是真实的调制器板卡故障触发还是CPU板故障触发未知。同时,由于控制器A在预充电期间自检所报出的故障记录为功率单元配置故障,故该板卡故障具有较大的可能性。
6)CPU板卡。负责运行设备预设的系统运行程序,执行设备控制的逻辑,实现设备输出控制与调节,产生三相电压指令传至调制器板,监测输入电压、电流并执行功率因数、输入功率、谐波率、过损耗等输入保护、输入电压幅值和频率的计量。根据过损耗保护、输入保护的计量和执行逻辑,结合调制器板卡状态监测均位于CPU板上,判断控制器A CPU板卡故障的可能性较大。
综合上述排查分析,主泵1B变频器控制器A通信板、系统接口板、调制器板、ISA总线背板、CPU板卡都有可能故障,导致此次事件发生,故对控制器A进行返厂检测。
2.5 主泵1B变频器控制器A返厂检测分析
主泵1B变频器故障控制器返厂后,美国西门子公司在主泵变频器模拟器上开发并执行了不同的测试方案以重现非预期跳闸事件,测试结果显示,通过手动打开主泵变频器输入中压继电器,主泵变频器会因丧失中压而跳闸,但是由此产生的系统事件日志不包括现场系统事件日志中记录的32个故障/报警。随后,西门子公司对主泵变频器PLC逻辑和故障控制器所用控制软件进行了详细的审查,未找到控制器或PLC软件导致上游中压跳闸的证据。对系统事件日志继续分析,事件发生时现场系统事件日志中记录的32个故障/报警状态指示器由主泵变频器故障控制器的16位故障字节寄存器中的6号位或14号位触发,这些故障字节通过程序总线网络(Profibus)发送给PLC使用。当Profibus传递的用于控制器中压输入断路器的Net Dig Output 14(故障字节寄存器的第14位)信号标识受到影响时,PLC接收到错误的上游中压跳闸命令,直接触发上游中压断路器跳闸。同时,6号位的信号标识受到影响时,将触发32个故障/报警状态指示中的其他报警指示。故障控制器连接Profibus的通信板在金手指处使用8位数据总线,其中6号位用于传输16位故障字节寄存器中的6号位和14号位信号标识,当故障控制器连接Profibus的通信板金手指处6号位数据传输通道存在硬件故障时,将造成数据状态传输错误,导致主泵1B变频器上游中压断路器跳闸,同时触发现场系统事件日志中记录的32个故障/报警状态指示。
通过对故障控制器连接Profibus的通信板数据总线连接、传输部位的20倍显微检查,发现在金手指处存在微动磨损点和可能的位置污染物,如图3所示。检查其他板卡均未观察到类似的微动磨损或污染物。
图3 金手指处微动斑和腐蚀镜像图
造成此次故障的根本原因为主泵1B变频器控制器A通信板卡金手指存在微动磨损或脏污,导致故障控制器通信板卡与背板间数据6位置存在间歇性的连接终端,主泵1B变频器用于控制中压输入断路器的NetDigOutput 14(寄存器3的14号位)和6号位信号受到干扰,PLC在Profibus通信中对该信号异常状况的判断触发了上游中压跳闸指令,同时触发了32个故障/报警状态指示。
3 结 语
通过对主泵变频器控制器故障导致的反应堆自动停堆事件进行分析,确定故障原因为主泵变频器控制器通信板卡金手指存在微动磨损。建议在后续运行过程中变频器控制柜增加定期清洗滤网和保持室内环境清洁措施,在变频器维护项目中增加变频器控制器各板卡金手指清洁检查项目和信号传动试验项目,避免同类故障再次发生。