秦二廠RGL系統FMEA分析與設備分級

李 捷，黃 遠，盧 建，朱鵬飛

（中核核電運行管理有限公司 維修三處，浙江 海鹽 314300）

0 引言

秦二廠1/2號機組RGL系統設備主要由控制棒驅動機構、棒位探測器、控制邏輯柜、電源柜、棒位測量柜和處理柜組成。

棒控部分通過控制邏輯柜與電源柜驅動控制棒在堆芯提升、插入和保持狀態，改變堆芯反應性的大小，從而完成反應堆的功率控制。

棒位部分用來實現控制棒所處的堆芯位置測量，判斷各棒束位置正確性，為操縱員提供了控制棒在堆芯里的真實位置。操縱員可以根據棒束的相應測量位置和給定棒位計數器的給定位置來識別控制棒的失步、卡棒、落棒等[2]。根據系統的功能作用與組成結構，其具體的分類如圖1所示。

圖1 棒控棒位系統具體分類Fig.1 Specific classification of RGL system

1 棒控棒位系統FMEA分析

秦二廠1/2號機組RGL系統采用中核控制公司生產的以模擬電路為主的棒控棒位產品，至今已連續運行近20年。近幾年，系統老化現象逐漸凸顯，設備故障率逐漸升高，可靠性逐漸下降，對機組的安全穩定運行造成了較大的威脅。一方面，在系統故障時，運維人員根據現有的系統配置（包含目前的在線監測系統），很難第一時間定位到卡件或元器件級別的故障點，非常不利于現場高風險搶修工作的開展；另一方面，為了提高系統的可靠性，運維人員必須有針對性地制定相應的預防性維修策略并加以實施，但由于技術所限，運維人員無法精細地掌握系統子部件、卡件或元器件的性能狀態，只能粗淺地根據歷史故障數據和運維經驗制定相應預維策略，同時加速推進整體技改，這對機組的安全性、可靠性、經濟性產生了較大的不利影響。

由于RGL系統內部包含功能設備數量眾多，在系統出現故障時，往往很難快速、精準地定位故障點，此外由系統老化降質引發的故障信號在出現早期變化微弱，僅以一個時間點上觀測信號來估計系統的健康狀況是遠遠不夠的，應當分析梳理出影響系統穩態運行的關鍵敏感部件，針對由于故障缺陷而引起系統功能間的潛在故障模式對其可靠性的影響進行分析，從而在故障未發生前便能夠實施相應預防措施，并評價估計RGL系統的健康狀態，以此避免系統完全故障，實現對系統的健康管理。結合系統各設備的故障模式與失效后果的影響與嚴重程度，總體劃分系統設備關鍵度，并對系統包含的關鍵敏感設備進行詳細分級，為維修人員提供預維建議和更換要求。

Failure Mode and Effects Analysis（FMEA） 即 故 障 模式與失效分析，是工程應用中最常用的可靠性分析方法之一。主要針對由于故障缺陷而引起系統功能間的潛在故障模式對其可靠性的影響進行分析，從而在故障未發生前便能夠實施相應預防措施。結合本文，對棒控棒位系統進行FMEA分析的任務包括：

1）以系統設備卡件功能回路為最小分析單元，按照棒控、棒位層級順序與組成結構進行劃分梳理。

2）結合得到的系統層級結構，逐一闡述系統各設備存在的潛在故障模式，分析設備故障失效對系統功能造成的影響與后果。

3）根據分級導則的定義與要求，結合系統各設備的故障模式與失效后果的影響與嚴重程度，總體劃分系統設備關鍵度，并對系統包含的關鍵敏感設備進行詳細分級。

1.1 棒控部分層級劃分與故障分析

1.1.1 棒控部分組成結構

棒控棒位系統的棒控部分，按照其組成結構可分成：控制邏輯柜、電源柜、棒驅動機構和配電柜，針對該部分設備組成，如圖2所示。

圖2 棒控部分設備組成結構Fig.2 The structure of the rod control device

1.1.2 控制邏輯柜功能介紹與故障分析

控制邏輯柜接收運行人員和功率調節系統發出的動棒指令信號，經過PLC部分運算處理后，向9個棒控電源柜輸出控制棒移動指令，向處理柜發送控制組棒束給定位置信息，同時對棒控部分運行狀況進行監測報警。

1.1.2.1 控制邏輯柜PLC部分

邏輯柜PLC部分用于棒控指令接收、計算處理與輸出執行信號操作，該部分由：程序處理單元、輸入/輸出單元、通訊單元和接口機箱構成。PLC部分包含完整的控制邏輯程序，用于運算處理棒控指令，并向棒控電源柜發送相應控制信號。外部采用一主一從雙冗余結構，正常工作運行時，處于PLC主機工作，從機熱備用狀態。當PLC程序處理單元主機故障失效，從機能正常啟動時，系統將自動切換至從機繼續執行程序操作，同時發出邏輯柜PLC次要故障報警提示，對系統安全與控制功能不造成影響；當PLC程序處理單元主機與從機同時故障失效時，系統將徹底喪失對反應堆的功率調節功能，同時觸發邏輯柜PLC緊急故障報警提示。

1.1.2.2 邏輯柜工控機

邏輯柜工控機為PLC系統上位機，內部設有監控軟件用于顯示各控制棒給定位置與機柜工作狀態，并監視當前工況，包括停堆信號的觸發、棒束移動命令信號、主控開關當前檔位，同時還具備在現場控制狀態下，通過軟件界面實現系統的控制操作功能。其故障效果包括：工控機顯示器等外設失靈、主機箱運行異常等情況引發棒控PLC通訊異常，對系統控制與安全功能無影響，可在線進行故障修復處理。

1.1.3 棒控電源柜功能介紹與故障分析

棒控電源柜根據邏輯柜命令，產生時序指令信號，控制驅動機構的提升線圈、傳遞線圈和保持線圈工作，完成控制棒束提升、插入和保持原位動作。其故障效果分兩種情況：

① 電源柜緊急報警。機柜側產生緊急報警指示，同時觸發系統安全模式“雙重保持”動作，使保持、傳遞線圈同時工作。

② 電源柜非緊急報警。機柜側產生次要報警指示，并將故障信號送至邏輯柜，系統仍能夠正常運行。

1.1.3.1 電源柜PLC部分

電源柜PLC部分由：程序處理單元、輸入/輸出單元和接口機箱構成，用于接收控制邏輯柜指令，經過內部程序計算處理，輸出執行信號控制棒束動作。設備故障將致使電源PLC部分無法接收或執行控制邏輯柜的指令信號，控制棒束無法移動并觸發電源柜緊急故障報警，故障電源柜將喪失對相應子組棒束的控制功能。

1.1.3.2 電源功能機箱

按功能可將電源柜機箱分為保持、傳遞、提升機箱，每3個為一組，對應控制一束控制棒的保持、傳遞、提升CRDMs線圈，每個功能機箱包含的插件有：電源、定值、調節、移相、檢測、測量卡件，其功能實現原理如圖3所示。

圖3 電源機箱功能原理圖Fig.3 Functional schematic diagram of power supply chassis

1）電源卡件。采用雙卡雙路冗余設計，將來自機柜底板的24V直流電源經整理濾波，共同為功能機箱提供（24V、±15V）工作電源，由電壓轉換功能回路與監測報警功能回路構成。卡件故障，將觸發卡件面板故障報警提示，若兩塊電源卡同時失效，將導致整個機箱功能喪失，導致對應控制棒束產生滑棒、落棒事故。

2）定值卡件。用于接收來自邏輯柜PLC的指令信號，并向調節卡件發送相應定值、補償值信號，卡件內部由定值功能回路與補償值功能回路構成。卡件故障將引發相應三相CRDMs線圈電源波動或失效，導致控制棒束滑棒、落棒情況，嚴重影響系統穩定運行。

3）調節卡件。接收來自定值卡件的定值、補償值信號，與驅動線圈的電流反饋值形成負反饋回路，輸出穩定的調節信號。卡件由定值比較與調節功能回路和幅值調節功能回路構成。卡件故障將導致三相CRDMs線圈電源波動或失效，存在反應堆停堆風險。

4）移相卡件。由3塊移相卡件接收來自底板同步變壓器產生的三相同步信號，并根據調節信號控制三相可控硅有序分時導通，為驅動機構提供穩定有效的動力電源。卡件內部由觸發信號功能回路和變壓輸出功能回路構成。卡件故障導致移相觸發信號輸出異常，出現單相CRDMs線圈動力電源出現波動或失電情況。

5）檢測卡件。用于對測量卡件的CRDMs線圈電流值范圍、三相動力電源缺相以及功能卡件拔出情況進行監測報警。卡件內部由限值比較功能回路和缺相報警功能回路構成，傳遞（提升）機箱檢測卡與保持機箱檢測卡的限值比較功能回路組成結構不同。

① 傳遞（提升）限值比較功能回路。采用比較放大模塊與雙D觸發器模塊監測CRDMs線圈電源有效值，超出高限值觸發繼電器高電平動作產生電源柜緊急故障報警并向邏輯柜發出報警信號，同時卡件面板將鎖存故障狀態，故障將導致該電源柜所有子組棒束進入“雙重保持”狀態（即傳遞CRDMs線圈與保持CRDMs線圈同時處于帶電狀態，閉鎖棒束移動），系統喪失對故障電源柜控制子組的控制功能。

② 保持限值比較功能回路。相比于傳遞（提升）機箱檢測卡，其電路中增加對傳遞CRDMs線圈與保持CRDMs線圈電源有效值低限監測功能回路。報警觸發邏輯與故障效果和傳遞（提升）限值比較功能回路相同。

③ 缺相報警功能回路。采用比較放大模塊監測CRDMs線圈電源有效值，缺相觸發繼電器高電平動作產生電源柜緊急故障報警并向邏輯柜發出報警信號，閉鎖故障電源柜控制棒束移動功能。

6）測量卡件。用于感應生成CRDMs線圈電源值與熔絲斷故障顯示。卡件內部由CRDMs電流感應功能回路和熔絲斷故障顯示功能回路構成。CRDMs電流感應功能回路故障將導致輸出的CRDMs電流值異常，進而觸發檢測卡件限值報警功能回路動作，產生電源柜緊急故障報警；熔絲斷故障顯示功能回路故障，僅導致熔絲斷報警指示燈失效。

7）機箱框架。電源機箱采用20芯針腳插頭設計，內部包含三相可控硅元件、CRDMs線圈電流感應霍爾元件，用于實現功能卡件的信號轉接、CRDMs線圈電流控制與測量功能。設備故障將導致電源機柜產生緊急故障報警，閉鎖相應控制棒束移動功能。若該情況發生在保持機箱，將造成控制棒束出現滑棒、落棒，引發功率發生波動。

1.1.4 棒控部分配電機柜功能介紹與故障效果分析

棒控配電柜采用冗余控制電源RGL004TB（來自RAM發電機的二相260V）、RGL005TB（來自LNE母線的單相220V）和動力電源RGL006TB（來自RAM發電機的三相260V）構成。排除極端故障情況，即冗余控制電源柜同時失效或電源柜所有配電盤同時失效情況，其故障效果分兩種情況：

1）控制電源柜（RGL004TB/RGL005TB）配電盤開關失效，將降低系統安全冗余性并觸發電源柜次要故障報警，對系統控制與運行功能不造成影響。

2）動力電源柜（RGL006TB）配電盤開關失效，將直接導致對應電源柜控制的控制棒束直接產生落棒動作，導致反應堆停堆。

1.1.5 控制棒驅動機構功能介紹與故障分析

33個控制棒驅動機構分別位于安全殼內壓力容器頂部不同位置，獨立完成對每束控制棒保持、傳遞、提升CRDMs線圈電磁極聯合控制；無控制棒移動指令時，由保持CRDMs線圈持續工作以固定棒束保持原位；當需要移動棒束時，控制棒驅動機構接收功能機箱電流指令，3組CRDMs線圈按一定時序工作，以控制棒向上或向下移動；當發生系統緊急故障時，傳遞與保持CRDMs線圈同時動作，固定棒束位置避免滑棒、落棒事故產生[3]。

設備故障表現為：保持、傳遞或提升線圈工作異常或徹底失效，無法正常完成指令動作，若故障產生于保持CRDMs線圈，則會直接造成控制棒束失控滑步或掉入堆底，導致機組功率波動甚至引發意外停堆事件。

1.2 棒位部分層級劃分與故障分析

1.2.1 棒位部分的組成結構

棒控棒位系統的棒位部分，按照其組成結構可分成：棒位處理柜、測量柜和棒位探測器，針對該部分設備組成，如圖4所示。

圖4 棒位部分設備組成結構Fig.4 Device structure of rod position

1.2.2 棒位處理柜的失效模式與故障效果分析

處理柜用于監測棒位測量柜設備狀態，接收來自測量柜的測量棒位信息，并將其與來自控制邏輯的給定棒位信息進行比較分析，判斷棒束位置的準確性與一致性，同時向主控室和電廠計算機系統提供相關棒位信息和報警。

1.2.2.1 處理柜PLC部分

處理柜PLC部分用于棒位信息接收、計算處理與輸出執行信號操作，該部分由：程序處理單元、輸入/輸出單元和接口機箱構成。內部包含完整的棒位處理程序，用于運算處理棒位信息，并送至電廠計算機系統、堆外核測系統以及主控室相關棒位報警指示，設備故障將導致相關棒束位置顯示與棒束位置比較報警功能失效，對控制棒束的運行控制和測量位置監視功能不造成影響。

1.2.2.2 棒位工控機

棒位工控機作為處理柜PLC系統上位機，其主要功能是通過監控軟件，顯示給定棒位和實測棒位置、各類故障信息、系統運行狀態并監視當前工況。其故障效果包括：工控機顯示器等外設失靈、主機箱運行異常等情況引發棒控PLC通訊異常，并產生棒位設備綜合故障報警，對系統控制與安全功能無影響。

1.2.3 棒位測量柜的失效模式與故障效果分析

測量柜采用“兩聯柜”設計，每個機柜設有6個棒位功能機箱，通過箱內的功能卡件，用以實現接收來自33臺探測器各自獨立的測量棒位信息，并向主控室提供33束控制棒的實測棒位位置，向處理柜提供經整形、編碼后的測量棒位信息和測量柜工作狀態信號[2]。

功能機箱的主要構成由：機箱框架、MCP10主電流控制卡和MCP22格萊碼信號處理卡構成，用于形成對應控制棒束的測量位置。

1）MCP10主電流控制卡

① 激勵電流功能回路。采用正弦波發生模塊與數控調節器模塊，用于棒位探測器的原邊線圈提供激磁電流，該電流可隨探測器負載阻抗變化而自動調節，以保證探測器原邊線圈磁場基本恒定。設備故障將直接導致相應棒束的測量位置喪失。

② 主電流監測功能回路。設有雙回路監測主電流波動范圍，超過報警閾值時觸發繼電器高電平動作產生‘主電流高’或‘輔助電壓低’報警并送往主控室與處理柜形成棒位設備綜合故障報警信號。設備故障僅導致棒位設備綜合故障報警功能異常。

2）MCP22格萊碼信號處理卡

由獨立的五路比較器與光電轉換模塊組功能電路，將棒位探測器反饋的棒束位置信號轉化成五位格萊碼信號驅動面板指示，同時將信號送至主控室和棒位處理柜。設備故障將導致對應棒束測量位置顯示異常，同時觸發相應棒位報警信息，對系統的控制功能不造成影響。

1.2.4 棒位探測器的失效模式與故障效果分析

棒位探測器包括位于探測器底部的一組原邊線圈與位于整個控制棒行程的輔助線圈和A、B、C、D、E 5組（共31個）測量線圈組成的副邊線圈。控制棒束驅動軸始終處于原邊線圈中，當棒束位置改變時，驅動軸穿過不同的測量線圈中5組測量線圈產生相應的感應電壓（有效值）以確定棒束位置，并通過貫穿件部分將信號送至棒位測量機柜[2]。設備故障分兩種情況：

① 原邊線圈。線圈為一長螺線管，約2000匝，線徑1.97mm，沿整個行程繞制，為探測器提供持續穩定的交變電源。設備故障將導致棒位探測器的位置測量功能完全喪失，失去單組棒束所有測量位置[2]。

② 輔助線圈。測量線圈和輔助線圈都是副邊線圈，每個1700匝，寬2cm，線徑0.23mm，與原邊線圈共軸，用于生成棒束測量位置信號[2]。故障將導致該組測量線圈格萊碼值異常，致使對應棒束位置顯示始終處于錯誤位置。

2 棒控棒位系統設備全面分級介紹

設備的全面分級是設備可靠性管理的關鍵，在對設備全面分級的基礎上，對關鍵、重要設備進行針對性管理，實施狀態監測、加強中長期預維項目管理，以保障棒控棒位系統設備的可靠性。

2.1 分級目的與導則

分級的目的是為系統設備可靠性管理篩選關注對象，本次分級是以系統設備內包含的功能回路為最小單元，從上文對系統設備故障模式與故障影響分析入手，針對功能影響最嚴重的一種故障模式確定設備等級。

分級導則用于指導分級人員進行分級工作時，確保執行的分級標準一致。在進行分級工作時，將設備分為：關鍵敏感設備（S）；關鍵設備（A）；重要設備（B）；一般設備（C），共4級。以下是設備分級導則的具體細則：

◆ 關鍵敏感設備（S）：如果設備故障導致如下情況之一，則該設備屬于關鍵敏感設備。

1）引起自動或手動停堆、停機。

2）引起大的功率擾動，幅度≧10%FP。

3）要求在7天及以內修復，否則進入LCO要求的降模式，或LCO有降模式要求，而設備不可在線修復。

4）無法在線對其進行檢修，且該設備的故障使機組無法保持長期穩定運行。

◆ 關鍵設備（A）：如果設備故障導致如下情況之一，則該設備屬于關鍵設備。

1）引起大的功率擾動，幅度＜10%FP。

2）非計劃進入LCO要求的降模式，要求在7天以上時間修復。

3）導致停堆、停機或降功率邏輯單通道脫扣。

4）失去安全系統冗余功能。

5）安全系統啟動。

6）不能控制反應堆重要安全功能。

7）停堆或維持停堆狀態、余熱排出的能力下降。

8）EOP程序無法執行。

9）不能防止或緩解放射性向廠外釋放。

◆ 重要設備（B）：如果設備故障導致如下情況之一，則該設備屬于重要設備。

1）設備失效導致重要系統冗余減少或縱深防御深度減少。

2）設備失效導致不可接受的化學、放射性或環境危害。

3）設備失效導致非計劃進入LCO，通過替代手段可以免除降模式要求。

4）設備失效促進關鍵設備失效。

5）設備失效導致妨礙或阻止關鍵設備的及時維修。

6）設備失效導致不可接受的維修、更換或運行費用增加。

7）備件稀少、購買周期長或價值昂貴的設備。

8）導致失去重要報警或運行參數無法監視，增加運行人員負擔的設備。

9）裝換料設備或影響大修關鍵路徑的設備。

◆ 一般設備（C）：不屬于以上3類分級之內的設備。

2.2 分級結果與意義

按照分級導則，結合上文對棒控棒位系統FMEA分析結論，對秦二廠棒控棒位系統設備進行全面分級，結果見表1。

表1 棒控棒位系統設備分級結果Table 1 Classification of RGL system

3 結語

本文對秦二廠棒控棒位系統設備的全面FMEA分析，并根據分析結論對系統設備進行全面的分級，可方便區分各設備的重要程度，有利于合理配置各級別設備的管理資源，方便制定針對性的管理策略，還可以能夠降低維修人員的運維難度，提高系統運行可靠性，以實現核電廠安全可靠的經濟運行。