基于安全考虑,HAF102将单一故障准则的要求限定在安全级系统。出于对电厂建造投入成本的考虑,对于单一非安全级部件故障直接影响机组运行的情况,在目前的法规标准中还没明确要求。在美国三代轻水堆用户需求文件(ALWR-URD)中:M-MIS(仪控系统)设备与电厂系统设计必须尽可能地满足任何仪控设备或它的支持设备的单一随机故障不会引起电厂停役强迫、或危及安全系统功能、或安全系统误动作、或引起电厂处于某一应急状态的情况。如URD中的描述,用户在部分关键重要的非安全级DCS系统同样有满足单一故障准则的需求。
据不完全统计,近3年中由仪控系统单一部件故障引起多次机组停机停堆或降功率运行案例:
2015年,某核电厂2号机组(600 MWe)主给水B泵单一卡件故障导致汽轮机高压加热器解列引起停堆停机。
2015年,某核电厂1号机组(1000 MWe)因1号蒸汽发生器出现仪控故障,导致1号蒸汽发生器液位低并触发停堆。
2016年,某核电厂1号机组(1000 MWe)满功率运行时因非安全级DCS模块故障导致1#循环水泵停泵引起降功率至600 MWe。
在核电厂非安全级仪控系统中,单一故障准则的应用无强制和明确的要求,在设计和安装过程中未得到严格考虑,尤其是在汽轮发电机、主给水系统、润滑油系统、循环水泵等与机组运行直接相关的控制和保护处理过程中,已发生多起因单一仪控部件故障导致的停机、停堆和机组瞬态事件。
应用实例:(www.xing528.com)
以方家山核电机组为例,在机组商运后的2个运行循环中,对直接危及机组运行的、不满足单一故障准则的非安全级DCS信号36项进行了排查和改进,除利用原有备用通道外,新增设备投入36万元。
避免2 起停机事件的案例:
2017年3月17日,方家山1号机组汽轮机推力瓦工作面温度信号(GGR340MT)和汽轮机推力瓦非工作面温度信号(1GGR 341MT)闪发故障报警,经查故障原因为温度处理模块G M E402CT故障,未停机。而改进前,原温度处理模块GME405CT卡件中包含GGR340MT/GGR342MT二取二停机(汽轮机推力瓦工作面温度与汽轮机推力瓦工作面温度);和GGR341MT/GGR343MT二取二停机(汽轮机推力瓦非工作面温度与汽轮机推力瓦工作面温度)两路停机逻辑。改进后将GGR340MT/GGR342MT和GGR341MT/GGR343MT两路停机逻辑关系进行分散处理,消除了单一部件故障对停机逻辑的影响。
2017年4月6日,方家山1号机组润滑油测量错误报警(GGR010KA),经查故障原因为温度处理模块GME402CT故障,未停机。原GME402CT一块卡件中包含两路二取二停机逻辑,改进后将两路二取二停机逻辑关系进行分散处理,消除了单一部件故障对停机逻辑的影响。
对于停机保护逻辑的信号共用一块处理模块,由于该模块故障后将导致参与跳机的输入信号都不可用,从而导致停机、停堆和机组瞬态,此模块部件视为不满足单一故障准则,定义为SPV设备。
因此,在非安全级DCS中合理配置影响机组稳定运行的SPV设备信号的处理,理想情况下可以实现DCS中SPV设备仪控信号完全脱敏,使DCS系统容错能力增强,至少可以抵御单一部件故障或单一人因失误对机组直接造成的影响,系统整体可靠性大幅提高,从纵深防御方面考虑,运行维护策略的关注重点转移至故障、试验状态和人因失误的叠加。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
