核電廠DCS系統運行維護管理策略研討*

田 露

（中核核電運行管理有限公司）

一、引言

隨著三代核電廠在國內的發展，全數字化儀控系統（DCS）在核電的應用已成為三代核電的一個基本特征。為保障核電機組在生命周期中各個環節和階段的安全穩定，本文從機組的安全性和經濟性兩個方面，分析識別DCS系統整體可靠性提高的關鍵因素。同時，根據核電工藝系統的要求和DCS的特點，明確提出在非安全級DCS中，對重要控制保護信號適用單一故障準則，從而避免機組過度依賴提高單一部件可靠性的習慣性理念。根據機組不同工況提出對單點關鍵敏感（SPV）設備的動態管理策略，為保障在非安全級DCS中單一故障準則的滿足程度，提出可維修性對機組運行的重要性。同時，為防止在維修過程中的人因失誤，提出設備設計的統一性和設備外觀的重要性。

二、DCS系統整體可靠性

由于核電站的特殊性，近年在二代+和三代核電的設計中開始采用全數字化儀控系統，但對DCS系統的運維管理理念較非核行業有所滯后，DCS系統的特點并未被充分發揮和利用。

隨著非安全級DCS產品的成熟，單方面提高部件級可靠性的成本和技術難度越來越高。

儀控系統以為機組的安全和穩定運行提供可靠保障為目標，其實質是追求儀控整體系統級的可靠性，也就是設計中固有的可靠性，儀控系統的設計應通過分區、分散、獨立性、冗余和其他措施使之具有充分防故障蔓延的能力。目前核電廠DCS系統已基本具備電源冗余和備用空間，為非安全級儀控信號處理滿足單一故障準則提供了基本條件，而單一故障準則應用將極大的提高系統整體可靠性。

三、單設備故障準則在非安全級DCS中的應用

基于安全考慮，HAF102將單一故障準則的要求限定在安全級系統。出于對電廠建造投入成本的考慮，對于單一非安全級部件故障直接影響機組運行的情況，在目前的法規標準中還沒明確要求。在美國三代輕水堆用戶需求文件（ALWR-URD）中：M-MIS（儀控系統）設備與電廠系統設計必須盡可能地滿足任何儀控設備或它的支持設備的單一隨機故障不會引起電廠停役強迫、或危及安全系統功能、或安全系統誤動作、或引起電廠處于某一應急狀態的情況。如URD中的描述，用戶在部分關鍵重要的非安全級DCS系統同樣有滿足單一故障準則的需求。

據不完全統計，近3年中由儀控系統單一部件故障引起多次機組停機停堆或降功率運行案例：

2015年，某核電廠2號機組（600 MWe）主給水B泵單一卡件故障導致汽輪機高壓加熱器解列引起停堆停機。

2015年，某核電廠1號機組（1000 MWe）因1號蒸汽發生器出現儀控故障，導致1號蒸汽發生器液位低并觸發停堆。

2016年，某核電廠1號機組（1000 MWe）滿功率運行時因非安全級DCS模塊故障導致1#循環水泵停泵引起降功率至600 MWe。

在核電廠非安全級儀控系統中，單一故障準則的應用無強制和明確的要求，在設計和安裝過程中未得到嚴格考慮，尤其是在汽輪發電機、主給水系統、潤滑油系統、循環水泵等與機組運行直接相關的控制和保護處理過程中，已發生多起因單一儀控部件故障導致的停機、停堆和機組瞬態事件。

應用實例：

以方家山核電機組為例，在機組商運后的2個運行循環中，對直接危及機組運行的、不滿足單一故障準則的非安全級DCS信號36項進行了排查和改進，除利用原有備用通道外，新增設備投入36萬元。

避免2起停機事件的案例：

2017年3月17日，方家山1號機組汽輪機推力瓦工作面溫度信號（GGR340MT）和汽輪機推力瓦非工作面溫度信號（1GGR 341MT）閃發故障報警，經查故障原因為溫度處理模塊GME402CT故障，未停機。而改進前，原溫度處理模塊GME405CT卡件中包含GGR340MT/GGR342MT二取二停機（汽輪機推力瓦工作面溫度與汽輪機推力瓦工作面溫度）；和GGR341MT/GGR343MT二取二停機（汽輪機推力瓦非工作面溫度與汽輪機推力瓦工作面溫度）兩路停機邏輯。改進后將GGR340MT/GGR342MT和GGR341MT/GGR343MT兩路停機邏輯關系進行分散處理，消除了單一部件故障對停機邏輯的影響。

2017年4月6日，方家山1號機組潤滑油測量錯誤報警（GGR010KA），經查故障原因為溫度處理模塊GME402CT故障，未停機。原GME402CT一塊卡件中包含兩路二取二停機邏輯，改進后將兩路二取二停機邏輯關系進行分散處理，消除了單一部件故障對停機邏輯的影響。

對于停機保護邏輯的信號共用一塊處理模塊，由于該模塊故障后將導致參與跳機的輸入信號都不可用，從而導致停機、停堆和機組瞬態，此模塊部件視為不滿足單一故障準則，定義為SPV設備。

因此，在非安全級DCS中合理配置影響機組穩定運行的SPV設備信號的處理，理想情況下可以實現DCS中SPV設備儀控信號完全脫敏，使DCS系統容錯能力增強，至少可以抵御單一部件故障或單一人因失誤對機組直接造成的影響，系統整體可靠性大幅提高，從縱深防御方面考慮，運行維護策略的關注重點轉移至故障、試驗狀態和人因失誤的疊加。

四、DCS中動態SPV設備的識別條件

SPV的定義中沒有具體描述識別SPV設備的前提條件，通常是以機組正常滿功率運行的理想狀態為假設條件，此時稱之為“靜態SPV設備”。但如果機組在存在某一個設備缺陷或試驗狀態下，定義和識別SPV設備的初始條件已經改變，其SPV設備也隨之改變。實際情況表明，機組很少處于無缺陷和無試驗的理想狀態，而且絕大多數事件也是在“機組正常運行滿功率”這一假設初始條件改變的情況下發生的。

事件案例：

2015年11月23日（1123事件），某核電廠1號機組（600MWe）處于滿功率運行狀態，并且缺陷報警“汽輪機9號瓦X方向（VB9X）振動值高”一直存在。此時，維修人員因處理其他工作開關柜門，柜門觸碰延伸電纜導致“汽輪機9號瓦Y方向振動值（VB9Y）信號瞬間失效，疊加已經存在的VB9X振動值高故障，導致機組停機。

2016年7月18日，某核電廠2號機組（600MWe）出于功率運行，核功率78%Pn，電功率496MWe，按計劃執行2號機組柴油發電機組低負荷運行性能試驗（PT2LHP001）。試驗過程中，220 V交流應急電源配電系統（LMA）因6.6 kV交流應急配電系統（LHA ）電源倒換時出現失電1.5 s，同時DCS機柜電源供電的切換刀閘存在接觸不良的缺陷，二者疊加導致事件發生。

兩起事件表明機組在存在某一個設備缺陷或試驗狀態下，其SPV設備范圍是動態的，而且實際情況是部分SPV設備始終處于動態變化中。因此，根據機組的報警、缺陷、維修、試驗狀態動態識別SPV設備（信號）是保障機組穩定運行的重要手段。

動態識別的原則應考慮其他在外部條件轉變后，原非SPV設備轉為SPV設備。

動態識別方法可以通過人工即時排查；或在充分利用DCS數據基礎上，開發一套SPV設備動態識別的軟件工具，實時動態比較分析設備缺陷和系統狀態信息，實現動態SPV預警（提示），降低機組的運行風險。動態SPV設備識別可采用故障樹方法或貝葉斯理論方法進行定量分析。

五、DCS系統可在線維修的必要性

核電機組一個循環周期通常按年計，在運行循環周期中，如果一個部件或設備缺陷得不到及時消除，根據上述分析，關鍵重要系統可能已處于不滿足單一故障準則狀態，靜態SPV設備的初始條件已經改變，此時抵御疊加另一個設備缺陷或試驗狀態或人因失誤的能力喪失。因此，縮短缺陷存在的生命周期變得至關重要。這就要求DCS系統在裝配設計階段保留足夠的在線維修空間和在線更換的能力，最大限度地維持靜態SPV設備的初始狀態。目前市場上絕大多數DCS產品具備在線更換卡件的能力，但在DCS系統集成階段可在線維修的需求容易被忽視。

六、結論

通過在非安全級DCS中對關鍵重要設備相關的信號應用單一故障準則，可以以較低的投入成本獲得較高的系統整體可靠性，使DCS系統抗單一部件故障的能力極大提高。通過SPV臨時設備動態管理，可以有效防范故障疊加、試驗疊加和人因失誤疊加的可能。通過提高DCS系統可在線維修能力，縮短了單一缺陷存在的生命周期，減少了各種疊加概率。通過統一DCS在各個環節的設計理念，優化設備外觀、布局等，重視人因工程的設計將大大減少維修過程中人因失誤。