安全级仪控系统数字化改造及维护
秦山核电有限公司蒋祖跃陆炜伟
摘要:秦山核电厂是我国第一个采用数字化技术来改造基于模拟技术的反应堆保护系统的核电厂。本文即是以秦山核电厂反应堆保护系统及其相关设备改造项目作为事实基础,分别从项目规划、前期准备、项目招标、系统设计、工厂试验、设备安装、设备调试以及系统维护等方面阐述了安全及仪控系统数字化改造项目涉及的全过程的情况,力求从实践总结的角度归纳和总结在役核电站安全级仪控系统改造的计划控制和实施控制方面的经验和教训,以供国内其他在役电站的安全仪控系统数字化改造项目参考和借鉴。
关键词:反应堆保护系统;数字化改造;工厂试验(FT);安装;调试;系统维护;TELEPERM XS(TXS);浴盆曲线
1.0.概述
秦山核电有限公司300MW机组原有模拟反应堆保护系统采用的是国内70年代的固态电路技术,主要采用分离元件,设备自1991年投运于以来,由于设计、设备制造工艺水平等因素,可靠性日趋下降,虽然后期经过了一些更新改造,但是无法从根本上解决系统与现行的核电法规、标准的相冲突之处,如通道间没有实体分割,不满足电气隔离要求等,秦山核电公司在2000年决定开始研究系统全面更新改造的问题。并且开始成立了仪控综合改造(反应堆保护系统及其相关设备)项目组,仪控综合改造(反应堆保护系统及其相关设备)项目的主要任务是使用国际上成熟的数字化计算机技术将秦山核电厂原有的基于上个世纪70年代模拟技术的反应堆保护系统、专设安全设施逻辑驱动系统和堆外核测量系统进行全面改造。下图为改造前的反应堆保护系统原貌,可以看到反应堆保护系统的4个冗余通道被放置在同一个区域内,相互之间没有任何的实体分割,机柜内部的工艺技术水平较低,线路凌乱,检修空间狭窄。
整个项目从2001年开始启动,经历了4年多的国内外调研工作,经过广泛的讨论和研究,并由中核集团核电部专门组织召开了核电专家会议,最终确立了使用数字化技术全面取代模拟技术来实施此次改造,这一项目在国内在役核电站的安全级(1E)仪控系统改造项目中是第一个全面采用数字化技术实施的项目,并且改造必须利用电站换料大修的时间实施,面对的压力和挑战是非常大的,只能成功不能失败。项目于2005年9月签订了主设备采购合同,主设备供货商为法国的Framatome ANP(现改为AREVA NP),采用的是TELEPERM XS安全仪控平台,该平台在世界上其他新建电站和在役电站改造中均使用过,国内的田湾核电站就是采用TELEPERM XS平台和常规岛仪控平台TELEPERM XP作为全数字化仪控的平台。根据项目的执行计划,先后经过了以下主要阶段:
初步设计阶段;
详细设计阶段;
设备制造阶段;
系统和设备的工厂调试阶段;
系统和设备出厂验收;
系统和设备的安装和现场调试;
系统和设备投用
整个项目的执行周期为28个月,是国际上采用同种平台技术的改造项目中执行周期最短的,作为秦山核电有限公司特大技术改造项目,总体执行情况良好。
2.0.项目的规划
2.1. 技术路线
二十多年来,仪控技术从模拟控制、基于CPU的模拟控制技术向基于网络的全数字化控制转变。特别是近年来,经过产业化、工业化和标准化,数字化技术的可靠性有了明显的提高,仪控系统的数字化有了飞速的发展。各核电发达国家纷纷推出了用于核电厂安全仪控系统的数字化平台。经过持续的改进,已逐步走向成熟。近年来,新建的百万千瓦级以上核电机组已无一例外地都采用了数字化技术,以提高机组的安全性和可运行性。对于运行了几十年,现在面临着技术升级和改造的在役核电厂来说,究竟该选择哪种技术去完成它们的使命?是传统的模拟技术还是数字化技术?各个核电厂依其自身的条件,有不同的选择。但是有一点是肯定的,即越来越多的核电厂选择数字化技术来改造它们的仪控系统,利用数字化技术的综合优势提高整个系统的可靠性。其主要的原因有以下两个方面:
(1)数字化技术本身的优点,如:在线诊断、故障定位、信息显示与信息处理、试验范围广、完整;
(2)经过严格的设备合格鉴定的数字化平台的可靠性,特别是软件的可靠性有了很大的提高,甚至超过了模拟技术构建的平台,赢得了业界的信赖。
但是,对在役运行的老电厂来说,安全仪控系统的改造并不容易,何况要将基于模拟技术的安全仪控系统改为基于数字化技术的安全仪控系统,需要解决很多认识、管理和技术问题。
首先,需要克服认识上的障碍。虽然数字化技术有许多模拟技术不可比拟的优点,但组织内部对此认识并不一致。这需要结合本电厂的实际情况进行客观的分析和比较,对技术改造风险的可控性进行评估。而组织内高层管理者对数字化安全仪控系统的支持是非常必要的。其次,管理上要建立和完善一套严格的管理流程和问题处理机制,以降低技术改造带来的风险。秦山核电厂经过多年的技术改造实践,已经建立了一套基本完善和有效的管理体系,并处于持续的改进之中。最后,从技术上要对多种方案进行可行性分析,确定改造的范围、总体技术方案、系统之间的信号接口原则。
2.2 国外核电厂的改造经验
数字化技术除了本身具备许多优点以外,在工程实施方面也有它的许多优势,能帮助解决许多工程实际问题。在役运行核电厂的改造受到诸多因素的制约,其中最主要的有:一是空间环境的限制。通常设备空间环境的大小与原系统的设计是匹配的,新系统的设备数量和体积受原设计空间环境的限制。秦山核电厂原保护系统各通道之间没有实现有效的通道分隔,四个通道的设备安装在一个设备间中,改造后需要将设备按通道进行实体分隔,原设备间不可用,需要找新的设备间。数字化系统集成度高,占用空间小。二是施工时间的限制。为了不影响核电厂的正常发电,技术改造工程一般安排在换料大修期间进行,允许的施工时间受主线计划严格控制。数字化系统大多数信号
采用通讯方式,安装工作量相对较少,施工时间相对较短。数字化系统的在线诊断、故障定位、信息显示等优点可以缩短系统调试时间。
国外核电厂的改造工程也充分考虑了上述两个因素。匈牙利Paks核电厂拥有前苏联建造的4个VVER-440MW压水堆机组,分别于1999~2002年期间完成了4个机组的反应堆保护系统数字化改造。该电厂旧的保护系统有2个停堆保护通道,3个专设安全设施驱动通道,改造后将停堆保护扩展为3个通道并与专设安全设施驱动通道合并,电缆和机柜利用专设安全设施驱动原有的3个通道敷设,其设备空间相对较大。瑞士Beznau核电厂拥有西屋公司设计的2个双回路380 MW压水堆机组,分别于2000年和2001年完成对1号和2号机组的反应堆控制、保护系统的数字化改造。该电厂最后在电气设备间中找到了一席空间用于安装新的保护系统,设备间分布相对分散。原先41个机柜分布在两个设备间中,改造后为共20个机柜分布在4个设备间中。瑞典Ringhals核电厂则从多样性和节省投资角度考虑,打算保留原有的模拟保护系统,新增一个数字化保护通道。也有的核电厂,如芬兰的Loviisa核电厂,专门新建一个仪控厂房,用于安装新的数字化保护系统,待新系统安装和调试成功以后再与老系统切换。
上面所述的各种方案并没有优劣之分,都是各核电厂根据自身的实际情况选择的最优布置方案。布置方案虽然不同,但是改造后的新系统基本都采用了数字化技术。
2.3 总体规划
秦山核电有限公司从2001年开始启动仪控综合改造计划。通过市场调研和与原设计单位上海核工院合作,编写了《仪控综合改造(反应堆保护系统及其相关设备)项目可行性研究报告》。在该报告中,首次提出了分3个阶段对秦山核电厂仪控系统进行必要的技术改造,以提高电厂仪控系统的可靠性。这3个阶段分别为:
前期规划——完成反应堆保护系统和堆外核测系统的改造,提高可靠性,解决通道实体分隔、信号通道隔离等问题,但保持主控室的人机界面基本不变,只对主控室、应急控制室涉及反应堆保护系统和堆外核测系统的相关信号显示进行局部的适应性改进。前提是电厂计算机系统和辐射监测系统需先行实施改造,为反应堆保护系统和堆外核测系统改造创造条件。
堆外核测系统和反应堆保护系统安排在同一时间进行改造,主要考虑4个原因:一是堆外核测系统与保护系统的设备平台和制造工艺相同;二是系统设计中存在的缺陷(如:通道分隔)与保护系统类似;三是与保护系统的信号接口数量繁多且复杂;四是核测量参数响应时间受事故分析的限制,采用同一个设备平台可以减少不必要的中间转换接口或环节。
中期规划——对核岛和常规岛过程控制和热工测量仪表进行改造。对主控室、应急控制室涉及热工测量仪表的相关显示信号进行局部的适应性改进。
后期规划——改进主控室人机界面,进一步增强电厂计算机的功能。
反应堆保护系统及其相关设备的改造是秦山核电有限公司300MW机组仪控综合改造规划中的一部分。这里我们主要讨论这部分改造工作的规划。
按照现行核安全法规的要求,安全仪控系统各通道之间应实体分隔。秦山核电有限公司300MW 机组反应堆保护系统、堆外核测系统在原设计中全部置于一个控制室区域中,不具备实体分隔的条件。设备布置和系统设计与上述国外核电厂相比有很大不同,没有现成的改造方案可以照搬,必须应地制宜,选择合适的改造时机和制定改造方案。制定改造规划时应考虑以下因素:
(1)核电厂十年换料大修规划;
(2)核电厂中长期技术改造规划;
(3)现场实际环境状况;
(4)企业资金状况。
考虑电厂十年换料大修规划的主要目的是选择合适的实施时机。核电厂的换料大修按照持续时间的长短一般分为三种类型:十年度换料大修,包含许多大型重要设备解体检查和在役检查工作,工期最长;年度换料大修则以堆芯换料为主,外加少量的预防性维修工作,工期最短;五年度换料大修的工作量和工期则介于十年度换料大修和年度换料大修之间。由于改造工程伴随着大量的设备安装和调试工作,最好安排在工期较长的十年度换料大修期间完成最后的实施工作。实际执行过程中,按照工程实际进展状况分成2~3次大修来实施较为现实。为了获得足够的设备空间环境,还必须结合电厂中长期技术改造规划将相关设备的改造计划和进程纳入到改造规划中。
秦山核电有限公司300MW机组第10次换料大修属于十年度换料大修,因此,结合电厂计算机和辐射监测系统的运行状况和改造需求,在第7次换料大修前开始对电厂中长期技术改造规划进行调整,并对反应堆保护系统及其相关设备的改造工作作具体规划:
(1)第8次换料大修期间对电厂计算机和辐射监测系统进行改造,并将这两个系统移到其它设备间中,腾出原有的设备间用于反应堆保护系统、堆外核测系统的改造。
(2)第9次换料大修期间和第10燃料循环期间完成土建结构修改施工,为设备现场安装做好准备。
(3)第10次换料大修期间实施新设备的安装和系统调试。
按照以上规划安排改造计划,既不影响电厂的正常发电,也不需要额外新建设备厂房,降低了改造成本。
3.0.项目的实施
3.1. 实施策略
制定实施策略应与技术改造的目的相结合。秦山核电厂反应堆保护系统及其相关设备改造的主要目的有以下4个方面:
(1)提高安全系统的可靠性和安全性,满足了核安全法规的要求;
(2)理清和规范与其它控制系统的接口,为后续的仪控系统改造创造条件;
(3)在安全仪控系统中引进数字化理念,通过实践培养技术骨干,更新知识、扩展知识面;
(4)在数字化安全系统改造的项目管理方面摸索和积累经验,为扩建机组全面采用数字化仪控系统作管理、技术和人才方面的准备。
鉴于以上目的和国内外数字化安全仪控技术发展的现状,秦山核电厂结合具体国情和电厂的实际情况采取“以我为主,中外合作,充分利用国内技术力量”的实施策略,以此达到既改造设备,
又培养技术人才的目的。
反应堆保护系统、堆外核测系统的改造涉及与其它控制、测量系统众多复杂的接口。因此,改造工作必须以秦山核电厂为主,按照电厂现行的技术改造项目管理制度进行管理。从设备供货合同签订开始,就为自主承担现场系统调试做准备。参与系统功能需求的编制、系统初步设计、详细设计过程和设计审查,参与工厂试验,接受相关的技术培训。通过这些活动深入理解系统知识,熟练掌握操作和维护的基本技能,及时澄清设备接口,反馈运行经验,确保系统功能的改进和优化符合功能设计需求。为按计划完成现场调试作技术准备。
通过设备招标,选择具有丰富工程经验的供货商和他们成熟的有良好应用业绩的数字化安全仪控平台构建反应堆保护系统、堆外核测系统。
原设计单位作为技术支持单位编写技术规范书和系统功能需求、提供事故分析验算,负责初步设计和施工设计,参与对供货商的设计审查、系统调试。
3.2 供货商选择
改造的实施策略定下来后,为了完成改造项目,选择合适的主设备供货商就显得尤为重要,这是项目成功的一个重要环节,通过项目前期的调研和分析,要完成安全级仪控系统的数字化改造,供货商除了要具备数字化技术平台产品的生产能力外,最为重要的一点是供货商的数字化技术平台必须通过1E级认证,并取得权威机构的认证证书,基予数字化技术的特点,产品平台除了包括硬件产品外,最重要的是配套的1E级软件,根据国际国内的相关标准,用于安全级仪控系统的数字化平台软件必须满足一系列法规和标准的要求(例如:用于安全级仪控系统的软件平台必须通过V&V验证要求,软件的V&V主要依据IEC 60880-1-1986[1]和IEC 60880-2-2000[2]),目前国内的现状和水平是,还没有一家国内供货商能提供经过1E级认证的数字化安全仪控技术平台,因此供货商的选择只能着眼于国外供货商,而目前具备这一资质能力的供货商有美国西屋电气公司、法国AREVA NP公司、法国DS&S公司、美国的IPS公司、日本的三菱公司、韩国的HFC公司等等,而这几家公司中,大多数公司的安全级仪控系统平台的应用经验还较少,广泛缺乏应用业绩,只有少数几家公司拥有应用业绩,特别是老电站的改造工作中。
秦山核电有限公司300MW机组反应堆保护系统及其相关设备改造项目是通过国际招标的方式选择供货商的,最终应标的公司有法国DS&S公司、日本三菱公司、韩国HFC公司和法国的AREVA NP 公司。对于改造项目的现实应用来讲,数字化安全仪控平台的成熟性最为重要,所谓的成熟性,主要是指成功的应用业绩,在上述提到的几家国外供货商中,从应用业绩的角度来衡量,法国的AREVA NP公司的TELEPERM XS安全级仪控平台的应用业绩最为广泛,无论是在新建电站项目中,还是在老电站的改造项目中均有成功的应用业绩。秦山核电有限公司最终供货商的选择主要依据以下几个判断依据:
1)技术平台的成熟性;
2)价格的合理性;
3)供货方案的可行性;
4)进度工期的合理性。
实际最终的项目执行结果也证明了当初的选择是正确的,我们创造了国际上使用同种数字化安全仪控技术平台实现改造的项目中执行周期最短的纪录。下图是项目的总体供货进度计划。
- Purchaser Review Activities
- Contractor Project Activities
- Training Courses to Purchasers Staff
3.3 系统设计
数字化安全仪控系统的设计,有着其不同于模拟系统设计的特点,这一特点就是计算机软件的引入,正因为这一特点,使得系统的设计客观上要遵循数字化系统设计的流程,设计流程从大的方面讲分为三个阶段:
1) 用户目标系统需求规范书准备和澄清阶段,这一阶段的主要任务是由用户及其设计后援单
位提供用于改造的目标系统的功能需求、接口资料等设计输入信息,这里需要强调一点,这些资料最终将成为供货商完成系统设计的输入文件,那么就存在一个资料的可用性问
题,即提供的文件必须是供货商的设计人员能够理解的,当然这里就涉及到语言和格式问
题。通常解决这一问题的最好办法是,由供货商提供文件的语言和格式要求,而由用户及
其技术后院单位完成文件编制工作,或是业主和供货商联合完成这类文件的编制工作。秦
山核电有限公司300MW 机组的反应堆保护系统及其相关设备的改造项目采用的是业主及
其技术后援单位独立完成的方式。项目的实际执行情况是,业主改造项目组和设计后援院
花了2个半月的时间完成了该项工作。
2) 系统初步设计阶段,这一阶段的主要任务是由主设备供货商来完成的,主要的工作是根据
业主提供的设计输入文件,完成系统总体设计相关的文件,如系统的概念设计报告、系统
接口配置报告、定期试验概念报告、报警概念报告、系统逻辑功能详细配置文件、应用软
件设计需求、软件配置管理计划、土建工程输入数据、系统接地概念等。这一阶段是为下
一阶段的设计工作准备所有需要的信息文件,本阶段是由供货商中的对电站系统工艺功能
和配置方面的专家完成的。
3)系统详细设计阶段,在上一个阶段中,供货商完成仍然是“翻译”工作,经过供货商工艺设计专家的努力,将用户提供的文件转化成为供货商硬件设计工程师和软件设计工程师能够理解和操作的“语言”文件,也就是说,拿到了初步设计阶段的文件,供货商的硬件工程师和软件工程师就能使用平台提供的设计工具,再不需要具备核电站工艺系统知识的前提下,也能独立完成系统所需的硬件和软件的设计工作,这一阶段的目标就是产生硬件相关的文件和能够下装到计算机中使用的应用软件。
秦山核电有限公司300MW机组的反应堆保护系统及其相关设备改造项目的设计工作整个的执行时间是从2005年10月(用户系统功能需求规范书编制和澄清)开始到2007年3月(详细设计冻结)结束。当然,在项目执行中,在详细设计冻结前,部分的硬件制造和软件测试工作就已经开始了。
3.4 设备安装
秦山核电有限公司300MW机组反应堆保护系统及其相关设备的改造必须充分吸收国外类似项目的经验,并且根据自身的实际情况制定适合自己的方案。经过充分的分析和研究,秦山核电有限公司针对这个项目制定了分步实施的改造安装策略。
第一阶段------准备新设备间,主要是为了完全满足现行法规标准中对于反应堆保护系统实体分割的要求,为此,电厂首先将电站计算机系统和辐射监测系统实施了改造,并将这两个系统从原来的设备间中移走,放置在其他设备间内,从而为反应堆保护系统的改造准备了新的设备间。这一工作是利用电厂的第八次换料大修完成的;
第二阶段------新设备间改造及配套系统准备,新的保护系统设备间原为两个大房间,而反应堆保护系统的原设计为4个通道的冗余系统,因此必须准备至少4个房间分别放置4个通道的系统设备,并且还要考虑改造后新系统工程师工作站机柜放置的空间,因此根据这样的情况,电厂将空出来的2个大房间和1个小房间改造成4个大房间和2个小房间,其中设备间4个,工程师站机柜间1个,工具和临时备件储存间1个。此外,设备机柜安装的基础必须准备好,另外,为了保证改造后的新系统的正常使用,必须考虑通风、照明、供电、电缆桥架等一系列配套辅助设备和环境条件。这一系列的工作电厂是利用第九次换料大修完成的。下图是改造前后的新系统设备间的布置情况。
第三阶段------原设备和电缆的拆除、主设备机柜的安装(包括设备间和主控室)和相关电缆的敷设端接,这一阶段的主要工作是将设备机柜运输并安装到对应的设备间内,并完成机柜之间电缆、光缆和现场信号电缆的敷设和端接工作,而这一切的工作也必须利用电厂的换料大修进行,整个施工的工作量非常巨大,涉及拆除和安装的机柜数量为41个,拆除和新装的电缆数量为数百根,安装工作要求是尽可能保质快速地完成,并且决不能出错,还要为后面的现场调试节约更多的时间。此部分工作是利用电厂的第十次换料大修(十年一次的长换料大修)完成的。
下图是设备安装完成后新系统一个冗余通道的照片:
3.5 设备调试
仪控系统和设备的调试一般来说都有两个大的阶段,那就是工厂试验(Factory Test )阶段和现场调试(Site commissioning)阶段,其中第一个阶段主要是供货商在完成设备制造后进行的系统集成测试(就是将系统的硬件和软件组装成一个目标系统后进行的测试),通过这一测试可以发现设计中和制造存在的问题,并进行集中解决;第二个阶段又可以分为两个子阶段,即系统集成单机调试和系统集成联合调试,系统集成单机调试与工厂试验非常类似,唯一区别是设备安装地点不同,系统集成单机调试着眼于目标系统内部各设备的测试,而系统集成联合调试注重目标系统与其有接口关系的其他系统之间的功能调试,它是设备投运前的最后测试。
按照反应堆保护系统数字化改造项目的总体进度,工厂试验是严格按照计划进行的,即供货商在完成设备制造后,在供货商的工厂试验场所进行系统集成(硬件组装、软件下装、内部电缆和光缆连接、连接测试系统),然后进行测试。总共的测试时间需要3个月时间。
新系统设备的现场调试是在设备完成出厂验收后,并运输到设备安装现场进行安装后进行的,秦山核电有限公司300MW机组的反应堆保护系统及其相关设备的现场调试这一工作是安排在电站第十次换料大修期间进行的,与系统设备的安装一样,同样受到时间窗口的限值,调试的进度必须严格配合换料大修的主线计划执行,并要充分考虑与其他系统或设备的检修相协调(比如说供电系统),因此改造在实际执行中,对于计划控制就显得尤为重要,这里又不可避免的遇到了协调问题。
秦山核电有限公司300MW机组的反应堆保护系统及其相关设备的调试工作按照主设备供货商的调试工作结构分为Phase A、Phase B和Phase C三个阶段。PHASE A是软件测试阶段,软件测试不依赖于硬件设备,主要验证软件是否符合设计要求,并需要根据相关的国际标准进行安全级(1E)数字化仪控系统所特有的软件的V&V(验证和确认)工作,Phase A的工作由于属于工程实施过程中特定部分的调试工作,在本文不作详细论述;Phase B是工厂调试阶段;Phase C是现场调试阶段。
3.5.1 软件的V&V
在设计阶段全部冻结后,用于设备制造的时间是不长的,供货商会根据整个项目的进度预约用于设备制造的时间段,随着设计逐步趋于完成,设备的制造也就按部就班的开始了,在硬件设备制造的同时,用于系统的应用软件也进入了全面测试阶段,软件的测试,特别是用于安全级仪控系统的计算机应用软件的V&V工作,也是在这个时段进行的,由于国际标准中指示规定了安全级仪控系统的软件要做V&V,并且规定实施者同软件的编制者不能是同一组人,因此,在实际的操作中,世界上各个公司都有自己实际的做法。AREVA NP公司的实际操作时,TELEPERM XS平台本身有一套经过认证的V&V软件工具,叫SIVAT,他们的做法是另外成立一个小组,使用SIVAT对编制好的应用软件进行测试。从而满足标准的要求。
3.5.2工厂调试/试验
主设备的工厂调试在整个调试过程中意义重大,通过工厂调试可以验证系统设备(硬件和软件)在设计和制造过程中是否存在问题,工厂试验越是全面、越是细致,那么现场调试中出现问题的可能性就越小,并且对于整个项目的实施,这个阶段的工作中如果发现问题,调整和纠正的条件较为充足。工厂调试之后就是主设备的出厂验收,它标志着系统设备符合设计要求,制造工艺及质量满足设计要求,可以交给业主进行现场安装和现场调试。
秦山核电有限公司300MW机组反应堆保护系统及其相关设备是由本项目的主设备供货商AREVA NP公司组织进行的,工作的执行地点是位于德国爱尔兰根的AREVA NP仪控设备集成调试中心,主要的工作是将制造好的硬件、内部连接线缆、调试设备、设备相关的软件集成在一起,组成将来要在秦山核电站现场安装的完整系统,对系统进行单机功能和性能测试,从单系统的角度验证新系统和设备的设计和制造符合设计的要求。
该阶段的主要工作内容是按照德方编写并有秦山核电有限公司和技术后援单位上海核工程研究设计院审核的工厂调试大纲进行的,工厂调试的阶段称为Phase B,相应的调试程序主要包括以下内容:
B.0: 配置检查,主要工作是检查新系统使用的软件(包括系统软件和应用软件)的配置
情况、检查调试工具ERBUS的配置情况;
B.1: 电气特性和通讯测试,主要包括目视检查机柜内硬件的安装情况、软件嵌入功能测
试、机柜实际耗散功率测试、机柜线缆连接性检查;
B.2: 信号测试,主要包括开关量输入信号功能测试、模拟量输入信号功能测试、开关量
输出信号功能测试、模拟量输出信号功能测试、模拟量精度测试等;
B.3: 系统性能和故障特性测试,主要包括系统运行模式(运行模式、参数修改模式、诊
断模式)切换测试、系统故障特性测试(模拟多种系统故障情况,观察系统的反应,与
预期的情况进行比较)、CPU和通讯网络的负荷特性测试、系统响应时间测试(包括紧急
停堆系统和专设安全实施逻辑驱动系统);
B.4: 系统功能试验,主要包括系统启动程序试验、反应堆保护系统功能试验、专设安全
实施逻辑驱动系统功能试验、核测量系统功能试验;
B.5: 工艺系统功能试验,主要包括正常功率条件下的功能试验、中等频率事故工况模拟
功能试验、稀有事故工况下模拟功能试验、极限事故工况下模拟功能试验。
上述的调试工作主要由供货商AREVA NP公司负责,在工厂调试期间,德方编制了工厂验收试验的大纲,提供给秦山核电有限公司和上海核工程研究设计院进行了审核。整个工厂调试工作,由供货商、业主和设计后援单位的人员组成,目标是通过出厂调试,将可能存在的问题的数量控制到最低,从而减轻最终现场调试的压力和风险,整个工厂调试的时间为3个月,基本按期完成了工作。
在工厂调试阶段,秦山核电有限公司300WM机组反应堆保护系统及其相关系统的改造项目遇到了几个方面的问题,并逐一进行了解决。
1)设计修改方面的问题
a)设备尺寸设计错误,在改造后的系统中有一个安装在主控制室的系统显示和操作盘,
在工厂调试中发现业主的技术后援单位提供的初始设计尺寸有问题,不满足实际安
装的需要,造成供货商制造出来的设备无法可用,该问题属于典型的设计输入失误
问题,最终通过协调,供货商重新制造了符合实际要求的设备;
b)监视和信息接口(MSI)计算机冗余切换问题,由于TELEPERM XS(TXS)安全级(1E)
数字化仪控平台的系统结构中的监视和信息接口计算机的配置设计没有固定的结
构,必须根据目标核电站系统的实际接口进行适应性设计,因此为秦山核电有限公
司300MW机组反应堆保护系统设计的MSI计算机采用的是双冗余结构,这一结构的
具体工程设计在工厂调试阶段,发现冗余计算机的切换存在问题,因此供货商在工
厂调试现场根据实际情况修改了设计,从而满足功能上的需要;
2)与其他相关控制系统的接口问题
a)反应堆保护系统的网关(gateway)计算机与电厂计算机系统之间信息通讯问题,该
问题涉及到改造后的新系统与电厂其他计算机系统的通讯问题,由于两个系统的供
货商不同,对于通讯功能的验证只有在工厂调试阶段才能进行验证,经过几方的协
商和努力,最终找到了调试这一接口的正确方法,才使问题得到解决;
b)反应堆保护系统与棒控棒位系统之间的接口问题,秦山核电有限公司调试参与小组在
与上海核工程研究设计院的技术人员交流过程中,发现棒控棒位系统也在进行改造,
在设计中忽略了信号的接口已经从电压形式改为电流形式,从而在设计中没有考虑4
路不同的电流信号之间的隔离问题,调试参与小组迅速将这一信息反馈给了棒控棒
位系统改造项目组,最终棒控棒位系统改造项目组对设计进行了修改,从而避免了
最终现场调试阶段对两个项目执行进度上的冲击。这个问题是一个典型的同时进行
改造的两个不同系统之间接口设计协调问题。
3)计算机负荷问题
在初步设计阶段确定下来的针对反应堆保护系统逻辑功能中的每一个定值器,在MSI 计算机中设计了记忆环节,用于在定值器动作反转后,锁定了状态,在维修人员在工程
师站上确认前,能够“记忆”状态。但是,由于这一功能,增加了MSI计算机的CPU负
荷,具备这一功能的MSI计算机的CPU负荷在80%左右。根据计算机系统设计的经验,AREVA NP公司建议将这部分功能取消,理由如下:
这部分功能在反应堆保护系统运行和维修信息计算机WINCC中已经具备,因此没有必要在MSI计算机中保留这部分功能;
将这部分功能从MSI计算机中取消后,可以使对应的CPU的负荷降低到70%以下,这样可以有效地降低CPU的负荷。虽然没有达到最优配置,但是已经有效的降低了指
标;
秦山核电有限公司改造项目组经过讨论,最终接受的德方的这一请求。实际上,在安全级(1E)数字化仪控系统的设计中,用于处理主逻辑处理的计算机的工作负荷最优的
配置最好控制在30%左右,信息处理计算机的工作负荷最好控制在50%左右,主要是确保
满足功能和性能要求的前提下,系统配置的最简化(性能和成本的平衡)。
4)功能变化引出的问题
a)在做系统断送电试验的时候,发现在系统设备投电过程中可能会触发专设信号动作,原因
主要是反应堆保护系统的逻辑处理CPU中的软件2/4模块为2/4-FS模块,这一模块的特
性是当输入信号有3路(来自于保护系统的三个通道)带故障状态位时,会使输出强制
为逻辑“1”信号,即会直接导致停堆动作和专设信号动作,但是必须是三个通道同时有
问题,在这种情况下,三个通道将本通道的2/4-FS模块输出的强制“1”信号送到ESFAS
的CPU中进行2/4表决,如果满足2/4 条件,则会触发专设驱动信号。针对这一新的特
性,在新的保护系统投运以后,在将来的系统维护过程中,如果发生系统全部断电的情
况,在系统重新送电过程中需要使用专门的程序进行控制,避免的专设功能的误动作。
这一问题在设计阶段是无法预见的,只有通过调试才能发现和理解。
b)在新反应堆保护设计中,德方没有考虑到将来反应堆保护系统在秦山现场进行功能试验的
可实施性,以及将来在设备故障维修中的便利性,根据这一需求,要求德方充分利用模
拟量信号和开关量信号软件输入中的A-SIG和B-SIG模块的信号仿真功能,在每一个模
拟量信号和开关量信号对应得A-SIG或B-SIG软件模块上增加信号仿真功能,利用这两
个模块内建的信号仿真功能来满足反应堆保护系统功能试验和现场设备故障维修的安错
实施功能。现场调试的情况证明这一功能的重要性和实用性。
5)供电部分部件的性能问题
德方的TXS机柜AC/DC电源模块的上电瞬态峰值电流的参数情况是:每个AC/DC模块上电瞬态的峰值电流为15A/30ms。向上海核工程研究设计院负责秦山核电有限公司300MW机组的UPS改造项目方面工作的同志进行了沟通,基本分析的情况是: 用于反应堆保护系统的TXS机柜的一路电源最大瞬态峰值电流为90A/30ms,因此要求在UPS侧的反应堆保护系统的每个通道的双路电源的每一路空气开关的瞬态电流忍受能力要达到要求,最终由上海核工程研究设计院选定了的UPS侧的空气开关的型号为ABB公司的S502-D16型开关,该开关的瞬态额定电流忍受能力是160A-320A/100ms。同时要求AREVA NP对这一系列的空气开关补充鉴定,并提供鉴定文件,使得这一问题圆满解决。
3.5.3 现场调试
改造后系统的现场调试属于整个系统调试Phase C阶段的工作,秦山核电有限公司300MW机组反应堆保护系统及其相关设备改造项目的现场调试工作共分为三个阶段:
系统单机性能和功能试验,简称C1;
系统与外部系统联合调试,简称C2;
反应堆装料、启动和功率运行阶段的各项试验,简称C3。
这三个阶段在实际执行的过程中受到项目安装进程的影响,并受到电站第十次换料大修主线计划的制约。为了完成调试工作,必须编写用于指导调试工作的调试大纲和调试细则,秦山核电有限公司300MW机组的调试大纲的是参照核安全法规[3][4]、相关核安全导则[5]和秦山核电厂初始调试大纲(FSAR[6]第14章)的要求及相关内容由秦山核电有限公司负责编制的,并征求了设计后援单位上海核工程研究设计院的意见,最后提交中国国家核安全局进行审批的。配套的调试细则也是由秦山核电有限公司反应堆保护系统及其相关设备改造项目组负责编制的。
现场调试的目的主要是:
1)验证和确认系统设备安装的正确性和内部接口连接的正确性;
2)验证和确认系统外部接口连接符合设计和规范要求;
3)验证和确认系统性能指标符合设计要求,与工厂调试的测试结果数据一致;
4)验证和确认系统功能符合设计要求;
5)为本系统投运后的电站安全运行积累资料和数据。
下面是现场调试阶段发现和处理的主要问题:
1)硬件模件故障问题,在新系统设备的调试过程中一般都会产生模件故障的问题,这是硬
件产品故障模式统计规律(浴盆曲线)中说的设备投运的最初阶段是故障高发的阶段之
一,在秦山核电有限公司300MW机组反应堆保护系统及其相关设备改造项目现场调试过
程中共发现有5类共7块模件出现功能或性能上的问题,而这些模件在工厂试验阶段是
没有问题的,故障的原因主要是设备运输和安装过程中存在不利于模件的条件,导致部
分质量不佳的模件早期失效。
2)信号处理对于工作环境的适应问题,这类问题中比较突出的就是本次改造涉及的堆外核
测系统源量程探测器信号引入的噪声问题。下面将比较详细地将这类典型的处理干扰的
调试工作进行介绍。
在系统现场调试过程中,一直有一个问题始终阻碍着堆外核测系统源量程功能的调试工作,这个问题就是源量程B通道的探测器信号噪声问题。这个问题早在电厂第九次
换料大修期间,AREVA NP的德国专家来秦山核电厂现场进行堆外核测系统探测器信号状
况测量时,使用旧的核测量系统源量程放大器测量探测器信号,就发现核测量系统源量
程B通道的探测器信号本底噪声偏大,导致源量程B的探测器信号质量很差,噪声信号
甚至会淹没部分真实的中子信号,在电厂第十次大修机组停堆的过程中,新的数字化的
核测量系统已经安装完成,AREVA NP的德国专家和秦山核电公司的技术人员一期再次对源量程A和B的探测器信号进行了测量和比对,结果仍然显示源量程B的噪声水平明显偏大,德国专家一直坚持对产生噪声的原因进行广泛的分析,以求从源头将噪声去除,但是,源量程探测器电缆从01#厂房一次屏蔽墙开始,沿途经过02#厂房贯穿区,05#厂房电缆层,最终到达反应堆保护系统/核测量系统设备间,产生噪声的可能性很多,很难找到影响最大的噪声信号,而且,噪声信号本身是客观存在的,想从根本上去处噪声是很难的,尤其是老电站的改造项目,因此可行的办法是对探测器信号的屏蔽处理加强或是削弱噪声信号的干扰水平。
基于这样的认识和判断,项目组进行了多种尝试,发现源量程B探测器电缆的敷设路径尤其是核辅助厂房02#贯穿区至控制厂房05#之间的路径上噪声水平很高,项目中设计的源量程B探测器电缆的敷设路径上电缆桥架上层敷设有动力电缆,电缆桥架的没有上盖板,源量程B的信号属于微脉冲信号,非常容易受到干扰的影响,因此用于源量程探测器的信号电缆要求很高,目前采用的是法国进口的带有7层屏蔽的低噪声电缆,电缆本身的性能已经是很好了,但是如果工作环境恶劣,屏蔽作用也是不可能做到100%有效的,项目组经过讨论和研究,采取了以下的处理:
a)在源量程B的探测器电缆大桥架内(02#厂房贯穿区至05#厂房之间)专门敷设了单
独的敷设了两层小桥架,一层是钢质的,一层是铝质的,并且对这两层小桥架的接
地进行了处理进行了认真处理。处理结果显示,对于防止噪声没有作用;
b)使用临时电缆(约57米)在辅助厂房02#贯穿件处延长源量程B的信号电缆,探测
器高压为0V,噪声水平降低(从350mV降低到200mV),当探测器高压为750V时,
噪声水平降为50mV,效果很好;
c)将源量程A的探测器信号接到源量程B通道的电缆上,探测器高压为800V,信号噪
声为150mV,结果显示,噪声信号来自源量程B电缆通道(02#厂房贯穿区至05#厂
房之间)。
d)将源量程B的探测器信号接到源量程A通道的电缆上,并且使用临时延长电缆(约
50米),探测器高压800V,信号噪声很小,越为50mV;
e)将源量程B的探测器信号电缆(从02#厂房贯穿区至05#厂房之间)重新敷设,并且
从原来的大电缆桥架移动到电缆C通道的新的电缆护套管内,敷设后,探测器高压
为800V,信号噪声小于70mV,有一定效果,但是,噪声水平不稳定,偶尔会出现高
噪声信号,处理效果不明显。
f)将源量程B的探测器信号电缆(从02#贯穿区至05#厂房之间)重新敷设的基础上,
在05#厂房堆外核测系统B1通道的设备间内延长接入了一根信号电缆(约100米),并且将电缆进行圈绕,处理后,噪声水平比较稳定的控制在70mV以下。
从上面的处理可以看出,对于噪声信号的防治和削弱的机制还需要进行深入的研究,至少可以看出,延长信号电缆的方法可以有效地削弱噪声的水平,从而起到良好的抗噪效果。
3)新系统与电厂主控制室接口问题
a)新系统送主控室指示信号驱动方式问题,在进行反应堆保护系统接口调试时发现,
反应堆保护系统送主控室指示灯信号的驱动方式设计错误,将电平驱动方式错误的
设计成了继电器干触点外供电驱动方式,经和AREVA NP现场技术人员讨论,对这部
分接口设计进行了修改,并且实施到系统中,修改后,这部分的信号接口功能正常。
b)反应堆保护系统允许P信号送主控室指示多样性问题,在机组大修的启动过程中,
发现P-10允许信号存在闭锁无效现象,经过分析发现原因是新的反应堆保护系统引
入了多样性a和多样b的逻辑处理,以P-10信号为例,多样性a和多样b都会产生
P-10信号,但是由于两个多样性的计算机相互独立,因此理论上存在相同的P-10
信号的差异,但是两个多样性共用一个状态指示灯,这对主控操作员很不利,他们
在操作时对P-10信号的状态判断不全面,容易造成闭锁操作无效。
解决这一问题的根本方法是在主控室针对P-10信号同时设立两个状态指示灯(一个来自多样性a,一个来自多样性b),这一问题最终是在设备投运后的一个燃
料循环后的换料大修进行优化修正的。
4)新系统与其他控制系统接口设计失误问题
2008年1月12日17:20将控制棒投自动,随后机组升功率,目标93MW。17:30主控室操作员发现参考平均温度升至286.3摄氏度时,主系统平均温度为285.2摄氏度,而控制棒仍未自动提升。
经检查发现反应堆保护系统发给反应堆功率调节系统一个“禁止自动提棒”信号,而此时不应发出这个信号,经过仔细检查,发现原来是反应堆保护系统送反应堆功率调节系统的“禁止自动提棒”信号的信号继电器的触点方式错误(应该送一付常闭触点,但是实际送了一付常开触点),导致信号状态相反。好在反应堆保护系统输出给其他系统的接口继电器均采用转换触点,因此处理这个问题非常方便,处理后,故障消失。
在项目的接口设计中,考虑到了反应堆保护系统的输出控制信号继电器的触点形式的灵活性,为了保证调试中和其他控制系统接口的调整的方便,全部使用了带有转换触点的继电器,在项目的设计阶段,基本上对所有反应堆保护系统(紧急停堆和专设安全)的输出继电器的触点方式进行了确认和调查,并且在电厂第十次大修期间对这些接口进行了相应的功能试验和接口调试,但是,不是所有的系统接口都安排了专项的功能试验,专设安全相关的中间继电器的接口确认都被相应的功能试验覆盖,所以经过功能试验后,专设安全相关的中间继电器的接口得到了100%的验证,但是少数由反应堆紧急停堆系统送出的控制信号以及反应堆保护送出的功率限制的控制信号没有安排专项的功能试验,这些信号的接口确认是采用打通道“校线”的方式进行的,打通道“校线”的方式可以保证信号线的正确无误,但是不能100%验证系统输出控制信号的接口功能的正确性,在打通道期间,针对这个信号接口的双方的调试人员对于接口确认的结果没有认真分析,因此没有能在打通道时发现问题。除了送功率调节系统的这个信号之外的其他控制信号都已经得到了验证,包括其中的送棒控系统的信号,在控制棒动棒试验中也得到了验证,只有送功率调节系统的这个信号没有专项的功能试验覆盖,因此导致了在机组升功率期间才发现问题。这个问题属于调试考虑不全面的问题。
5)功能设计不符合电厂实际功能需要问题
在调试中发现,核测量系统功率量程输出的△I信号的调整环节存在问题,原设计是通过实际△I乘上一个因子来实现调节功能,改造后的德方设计是实际△I加上一个因子来实现调节功能,这两种方式的区别是使用乘法来调节既可以满足电站运行功率稳态时的△I信号输出,又能满足电站功率升降瞬态时的△I信号输出,对于电站运行来讲当然使用乘法调节因子最为科学,这部分的功能修改必须通过修改软件数据库的方式进行。
目前的软件配置,当机组功率升降时,可以通过增加物理计算的方法对△I进行重新调整来满足需要。下图是两种逻辑处理的示意图。
电厂实际的物理计算中,原设计的逻辑处理关系是正确的,兼顾了电站运行各种模式。对于这种设计偏差的发生,主要问题出在项目执行人员对于两种处理方式的理解不全面,对于供货商坚持的逻辑处理方式的后果没有充分理解和认识,并且在逻辑修改过程中,没有与电站物理人员进行良好的沟通,导致这样的问题出现。该问题已经在电厂第十一次换料大修解决。
4.0.系统维护
数字化改造后的安全级仪控系统,由于系统本身的性能和功能发生了很大变化,对模拟系统来说,维护的工作量大大降低,主要得益于数字化系统引入了计算机后,使得系统自身的自诊断能力得到了极大的加强,从前端输入信号一直到系统逻辑输出部分,都能完成自我监视和诊断,并且通过系统配备的工程师站计算机,诊断和分析可以做到全面而具体。这就使得维护人员的信心和能力范围大大加强。无论是系统的日常维护、定期试验还是大修预维,都得到了全面的改善。
4.1. 日常维护
秦山核电有限公司300MW机组改造后的数字化反应堆保护系统及其相关设备,在电站功率运行期间,日常的维护工作应该说非常有限。
主要包括:1)电厂技术规格书规定的月度定期试验,这一试验的范围也由于实现了数字化而大大减少,改造前需要对模拟系统的逻辑部分进行测试,需要对系统中的延时模件进行测试、需要测试停堆断路器的动作;而改造后,因为系统强大的自检能力,定期试验实际上只针对停堆断路器进行测试。2)消缺维护,由于设备刚刚投运,按照电子元器件故障的浴盆曲线规律,设备处于故障的高发期,确实发生过几次硬件模件早期失效的故障(如通讯模件、稳压电源模件),但是由于故障诊断和定位的能力很强,因此故障的解决也是非常方便和快捷的。3)在电站功率运行期间,除了上述两类工作外,对于新系统来说,逐步完善和细化系统维护相关的文件也是工作内容之一。
日常维护工作的主要工具就是系统的工程师站计算机,通过这台计算机,可以对系统运行过程中的状态进行全面的在线监视和分析,人机交流都是通过图形界面进行的。
4.2. 大修预维
大修期间,数字化安全仪控系统的预防性维修工作,主要着眼于系统性能方面的检查,对于系统逻辑功能的检查已经不再需要,只需要根据技术规格书要求对系统涉及的接口进行检查,另外电站技术规格书要求的定期试验也是必须完成的工作。具体由以下几项工作组成:
1)反应堆保护系统及堆外核测系统模拟量信号处理通道精度测试;
2)反应堆保护系统通道功能试验(侧重于系统接口功能,如系统送出的报警、指示、驱动等信号的测试);
3)专设安全设施逻辑驱动系统逻辑功能试验(侧重于系统输出驱动级的接口测试);
4)反应堆保护系统响应时间测试(目前正计划向国家核安全局提出申请取消)
5)机柜清洁、除尘及散热风扇检查
电站大修前后启停阶段的系统试验、参数调整和标定工作全部通过计算机完成。
5.0.总结
反应堆保护系统是核电厂最重要的安全仪控系统,它的可靠性和安全性对核电厂的安全、稳定、经济运行起着至关重要的作用。按照目前一般核电机组的设计寿命来看,这种改造工作在每个机组的寿期内将至少遇到一次,这是由仪控设备的老化规律和控制技术的发展规律决定的。世界各国核电厂对此都给予了高度重视。提前做好技术改造规划并根据各自电厂具体情况确定实施策略是确保顺利完成改造工程的第一步。只有这样,才能做到既保证反应堆安全,又确保电厂正常发电不受影响,避免经济损失。
核电厂十年换料大修规划、中长期技术改造规划、现场实际环境状况、企业资金状况为技术改造规划提供了依据。制定实施策略应将国内外相关技术发展的现状和具体国情、厂情结合起来,要把实现当前目标和长远目标结合起来。同时还要对可实施性进行分析和评估。应考虑核电厂相关的项目管理体系、可用的人力资源、技术储备对实现改造目标所起的作用。客观地讲,技术改造犹如一把双刃剑,利益和风险并存。成熟运作的项目管理体系能够有效规避技术改造带来的风险。技术改造最多的工作是解决设备接口问题,始终贯穿于整个改造过程。而这些问题只有电厂专业技术人员才能加以澄清并在项目执行过程中起协调作用。此外,核电厂运行经验反馈对于改进和优化系统设计起着重要作用,也可以使数字化系统的优势得到充分发挥。
我国目前的安全级仪控系统的数字化改造工作还刚刚开始,在役运行的老电站都会面临同样的问题,因此,从改造的规划、调研、实施的各个阶段都要尽可能做到全面细致,那么在工程执行过程中才会少走弯路,改造过程中不会没有问题,关键是我们面对问题时的信心和准备是否充分,通过合理的安排人力和物力,才能把项目的工程实施控制在有效的范围之内,保证整个改造项目的顺利完成。
参考文献:
[1] IEC 60880-1986.Software for computer in safety systems of nuclear power stations.
[2] IEC 60880-2-2000.Software for computer in safety systems of nuclear power stations
part 2:Software aspects of defense against common cause failures, use of software tools
of pre-developed software.
[3] HAF103,核电厂安全运行规定,第4章“调试”
[4] HAF103/01,核电厂运行安全规定附件一-----核电厂换料、修改和事故停堆管理,第3.3.4节
“修改后的试验和检查”
[5] HAD103/02,核电厂调试程序,第4.2节“程序的内容”
[6] 《秦山核电厂最终安全分析报告》
作者简介:
1.蒋祖跃,秦山核电有限公司副总经理,秦山核电有限公司300MW机组反应堆保护系统及其相关设备改造项目项目经理,;
地址:秦山核电有限公司秘书部;
邮编:314300
2. 陆炜伟,秦山核电有限公司检修部仪控队自控二组组长
地址:浙江海盐秦山核电有限公司检修部
邮编:314300
电话: 0573-869335712, 0573********