CPR1000 機組RGL 系統(tǒng)雙夾持故障分析

姬海波，荊茂林，張恒

（1.廣西防城港核電有限公司,廣西 防城港 538001；2.生態(tài)環(huán)境部華南核與輻射安全監(jiān)督站,廣東 深圳 518000；3.重慶郵電大學(xué) 計算機科學(xué)與技術(shù)學(xué)院,重慶 400065）

棒控和棒位系統(tǒng)RGL（Rod Position Indication and Rod Control System）是核電機組最重要的控制系統(tǒng)之一，其性能好壞直接關(guān)系到電站的可用性。

RGL 系統(tǒng)在核電機組啟堆、功率變化和停堆過程中，通過控制棒驅(qū)動機構(gòu)CRDM（Control Rod Drive Mechanisms）來提升、插入和保持反應(yīng)堆控制棒，并對每一束控制棒在堆芯的實時位置進(jìn)行監(jiān)視，從而控制反應(yīng)堆的反應(yīng)性，保證反應(yīng)堆始終處于安全狀態(tài)[1-3]。

RGL 系統(tǒng)是一個很復(fù)雜的系統(tǒng)，從國內(nèi)外核電機組運行經(jīng)驗來看也出現(xiàn)過各種各樣的故障模式[4-6]。當(dāng)該系統(tǒng)出現(xiàn)雙夾持故障（double-hold fault）時會將整個控制棒組閉鎖，且故障棒束及故障原因無法在主控室查看，需要運行人員現(xiàn)場對機柜進(jìn)行確認(rèn)。該故障發(fā)生在機組進(jìn)行瞬態(tài)工況運行時，可能會導(dǎo)致反應(yīng)堆停堆。本文結(jié)合國內(nèi)某CPR1000 核電機組的雙夾持故障經(jīng)驗反饋,對故障原因進(jìn)行了深入分析與研究。

1 RGL 系統(tǒng)描述

1.1 RGL 系統(tǒng)功能[7-9]

1）RGL 系統(tǒng)通過控制棒驅(qū)動機構(gòu)（CRDM）使控制棒組件在堆芯中進(jìn)行提升、插入或保持等動作，實現(xiàn)對反應(yīng)堆反應(yīng)性的實時控制，并對控制棒的棒位信息進(jìn)行指示和監(jiān)測。

2）RGL 系統(tǒng)參與的自動控制功能包含反應(yīng)堆堆芯功率控制功能和冷卻劑平均溫度控制功能。

3）RGL 系統(tǒng)控制和調(diào)節(jié)功率補償棒組的棒位，使功率補償棒組的棒位與功率需求棒位相一致，實現(xiàn)核電機組一回路功率與二回路功率的平衡，完成反應(yīng)堆負(fù)荷跟蹤模式（G 模式）的控制，實現(xiàn)堆跟機運行模式。

4）RGL 系統(tǒng)的溫度棒組用于調(diào)節(jié)堆芯冷卻劑的平均溫度。通過使用反應(yīng)堆冷卻劑平均溫度與參考溫度之間的溫度差值信號來驅(qū)動溫度調(diào)節(jié)棒（R 棒）動作，控制棒的移動方向和速度由溫度差值信號決定。

5）RGL 系統(tǒng)參與反應(yīng)堆停堆操作。

1.2 RGL 系統(tǒng)組成[10-12]

RGL 系統(tǒng)結(jié)構(gòu)圖如圖1 所示。

圖1 RGL 系統(tǒng)結(jié)構(gòu)圖Fig.1 Structure of RGL system

1）棒位指示系統(tǒng)（RPI）接收位于反應(yīng)堆壓力容器的控制棒位置探測器的信號，通過譯碼產(chǎn)生每個棒束組件（RCCA）的實際測量位置。產(chǎn)生的位置信號通過網(wǎng)絡(luò)數(shù)據(jù)傳輸送往與棒位指示系統(tǒng)（RPI）相關(guān)的外部系統(tǒng)。它也接受棒控系統(tǒng)（RCS）的指令，例如每個子棒束要求的位置和移動指令。通過這些指令操作，如果實際測量位置信號和設(shè)定值存在偏差，RPI 會產(chǎn)生報警信號。

2）反應(yīng)堆功率控制機柜RCC（Reactor control cabinet or Reactor power control cabinet）：包括反應(yīng)堆溫度自動控制和反應(yīng)堆功率自動控制兩個功能。

3）控制棒驅(qū)動機構(gòu)CRDM：屬于RGL 系統(tǒng)的執(zhí)行機構(gòu)。每臺CRDM 裝置包括提升、傳遞、保持線圈各一個，3 個線圈按一定時序通電/斷電，帶動兩副勾爪抓入或退出驅(qū)動軸齒槽，從而帶動控制棒提升或插入。

4）棒控系統(tǒng)RCS（Rod control system）：接受自動提插棒及棒速信號實現(xiàn)反應(yīng)堆溫度和功率的自動調(diào)節(jié)；接受主控指令和各種聯(lián)鎖信號實現(xiàn)手動或校1、校2 模式控制。

2 RCS 功能結(jié)構(gòu)

RCS 接收RCC 傳輸來的控制棒手自動、提插指令以及反應(yīng)堆緊急停堆信號（P4 信號），經(jīng)過與RPI傳輸來的測量棒位進(jìn)行對比而產(chǎn)生指令控制供電單元向CRDM 提供相應(yīng)的時序電流從而達(dá)到控制目標(biāo)，雙夾持故障發(fā)生在此系統(tǒng)。

RCS 系統(tǒng)主要由兩部分組成[13-15](如圖2 所示)：

圖2 RCS 系統(tǒng)結(jié)構(gòu)圖Fig.2 Structure of RCS system

1）控制邏輯設(shè)備（CLE）：該設(shè)備用于根據(jù)外部動棒命令(movement order)、外部允許信號、棒位聯(lián)鎖和功率棒疊步程序，管理堆內(nèi)子棒組的運動?？刂七壿嫻δ芊譃閮蓚€主要的子功能：停堆和溫度棒組控制邏輯和功率棒組控制邏輯，兩個子功能均設(shè)置在控制邏輯處理單元（PLC）中。

2）動力設(shè)備：由16 個動力機柜組成，每個子棒組一個機柜。根據(jù)來自CLE 機柜的動棒指令，動力設(shè)備產(chǎn)生合適的電流時序給CRDM 線圈，使RCCA保持不動或移動。

每個動力機柜又由3 個動力機架和1 個邏輯控制單元（Cycler）機架組成：

3 個動力機架分別對應(yīng)同一子棒組夾持線圈（SG）、傳遞線圈（MG）和提升線圈（LC）。每個動力機架產(chǎn)生電流給同一子棒組的4 個同樣的線圈，同時能夠執(zhí)行輸出電流監(jiān)視和自測試功能。動力機架任何時候都根據(jù)來自CLE 的動棒指令產(chǎn)生相應(yīng)的時序電流。 每個動力機架產(chǎn)生的電流值由供電模塊中的預(yù)制參數(shù)決定。每個供電模塊控制一個線圈，并且能產(chǎn)生3 中預(yù)制的電流值：全電流（FC）、半電流（RC）和零電流（ZC）。

Cycler 機架由一個PLC 處理單元和相應(yīng)的硬件組成。Cycler 是一個邏輯處理單元，用來產(chǎn)生電流定值信號給3 個動力機架。Cycler 接受來自CLE 機柜的每一步子棒組動棒指令，根據(jù)指令產(chǎn)生時序電流定值來控制動力機架并使RCCA 移動一步；當(dāng)動棒指令缺失時，Cycler 將產(chǎn)生定值，使SG 線圈持續(xù)勵磁保持RCCA 不動。

3 控制棒雙夾持原理

雙夾持功能是嵌入到供電模塊的，當(dāng)發(fā)生故障可能導(dǎo)致落棒時，子棒組的所有供電模塊轉(zhuǎn)到安全狀態(tài)：由夾持線圈SG 和移動線圈MG 夾住控制棒，LG 線圈閉鎖不帶電。在這種狀態(tài)下，供電模塊自動控制：不再接受動力機柜產(chǎn)生的電流整定值序列直到報警清除。內(nèi)部電流序列如圖3 所示：

圖3 雙夾持電流時序Fig.3 Double-hold current sequence

SG 線圈和MG 線圈產(chǎn)生FC 并持續(xù)300 ms，之后持續(xù)產(chǎn)生RC，LC 線圈電流為ZC。

只要SG 線圈和MG 線圈中有一個正常帶電，控制棒就不會發(fā)生意外掉落的情形，雙夾持被設(shè)計為低有效信號觸發(fā)，用來防止控制棒失去電或者線路斷線，觸發(fā)信號如下：

2）Cycler 處理單元故障或者Cycler 不可用，繼電器失電時，雙夾持觸發(fā)。

3）SG 線圈或者M(jìn)G 線圈Rack Off Chain 單一故障，雙夾持觸發(fā)。

4）SG 線圈或者M(jìn)G 線圈整定電流信息傳輸?shù)綑C架故障，雙夾持觸發(fā)。

4 運行經(jīng)驗反饋分析

4.1 雙夾持故障觸發(fā)經(jīng)驗反饋

2013 年11 月 ，國內(nèi)某CPR1000 核電機組 1 號機主控操作員執(zhí)行R 棒下插1 步操作，動棒未成功，電站計算機信息及控制系統(tǒng)（KIC）上顯示有RGL 001KA（RGL 故障）、RGL005KA （棒控系統(tǒng)運行故障）、RGL006KA （RGL 運行故障）和 RGL009KA（PWE 機柜運行故障）。儀控人員現(xiàn)場檢查發(fā)現(xiàn)RGL016AR 機柜面板顯示存在輸出故障和運行故障，且機柜進(jìn)入雙夾持狀態(tài)。

檢查故障信號相關(guān)通道，未發(fā)現(xiàn)異常，重新進(jìn)行功能驗證，故障依然存在，懷疑控制器軟件異常，執(zhí)行控制器軟件下裝，驗證R 棒的提插功能后，RGL系統(tǒng)恢復(fù)正常。

4.2 故障原因分析：

根據(jù)現(xiàn)場RGL 系統(tǒng)事件日志，最先觸發(fā)的故障為輸出故障 (output fault)，在輸出故障觸發(fā)的同時，機柜進(jìn)入雙夾持狀態(tài)，并且輸出運行故障（operation fault），此現(xiàn)象與輸出故障邏輯相符。輸出故障的邏輯如圖4 所示：

圖4 輸出故障邏輯Fig.4 Output fault logic diagram

此邏輯的目的是確保在任意時刻（除存在落棒指令或首次提棒），SG 線圈和MG 線圈機架至少有一個處于夾持狀態(tài)，以防止落棒事件發(fā)生。由邏輯圖可以看出，一旦機柜控制器邏輯檢測到SG 和MG 機架同時處于釋放狀態(tài)，就會立即觸發(fā)輸出故障，并發(fā)送雙夾持指令到動力機架。對機架夾持狀態(tài)的檢測是通過對控制器輸出到動力機架（SG/MG）全電流指令（FC）和零電流指令（ZC）的回讀（re-read）來實現(xiàn)的。邏輯對于SG 或MG 機架處于夾持與釋放狀態(tài)的判斷準(zhǔn)則是：當(dāng)全電流回讀指令出現(xiàn)并保持一段時間（對于SG 機架，此時間為79 ms；對于MG 機架，此時間為73 ms）后，邏輯即認(rèn)為機架處于夾持狀態(tài)；當(dāng)零電流回讀指令出現(xiàn)后，邏輯就立即認(rèn)為機架處于釋放狀態(tài)。機柜出現(xiàn)輸出故障，說明在故障時刻，邏輯判斷SG 和MG 機架同時處于釋放狀態(tài)。

Nano-ZS型動態(tài)光散射儀，英國Malvern公司；UV-1800型紫外分光光度計， 日本島津公司；SC-3614型低速離心機，安徽中科中佳科學(xué)儀器公司；掃描電鏡， 日本Hitachi S-4500 .

查看現(xiàn)場RGL 系統(tǒng)報警視圖，故障發(fā)生在控制器軟件循環(huán)的 270 ms 處。而故障時刻R 棒正在執(zhí)行插棒指令，插棒指令時序如圖5 所示：

圖5 插棒指令時序Fig.5 Rod insertion command sequence

從圖5 可以看出，在267 ms 處，SG 機架正好從全電流指令變成零電流指令，即邏輯中SG 機架從夾持變成釋放狀態(tài)，而輸出故障幾乎在同一時刻（270 ms）觸發(fā)，說明在270 ms 時刻控制器認(rèn)為 MG 機架仍處于釋放狀態(tài)，但是在正常情況下，在 259 ms（186 ms+73 ms）時刻控制器就應(yīng)當(dāng)認(rèn)為 MG 機架處于夾持狀態(tài)。所以控制器在270 ms 未正確判斷MG 機架處于夾持狀態(tài)是導(dǎo)致該故障發(fā)生的最直接原因。

4.3 建議措施

可以看出系統(tǒng)軟件缺陷是造成RGL 系統(tǒng)雙夾持故障的重要因素，造成系統(tǒng)軟件缺陷的原因包括：（1）設(shè)計缺陷，未能針對可能的軟件缺陷問題設(shè)置相應(yīng)的監(jiān)測與預(yù)警手段；（2）系統(tǒng)參數(shù)設(shè)置，參數(shù)設(shè)置應(yīng)該準(zhǔn)確說明參數(shù)調(diào)整作用以及會出現(xiàn)的問題；（3）系統(tǒng)中存在隱藏的功能缺陷。

實際工程中需要從以下兩個方面給予關(guān)注：

1）MG 機架的全電流指令回路或全電流回讀信號回路接觸是否不良。

2）RGL 系統(tǒng)動力機柜控制器軟件或參數(shù)問題。

5 結(jié)論

本文簡述了雙夾持故障原理，并從其設(shè)計原理的角度，結(jié)合某CPR1000 核電機組RGL 系統(tǒng)雙夾持故障案例的回溯，分析指出由于時刻控制器軟件誤判MG 機架狀態(tài)，從而輸出錯誤信號導(dǎo)致了該雙夾持故障觸發(fā)。為防范由于系統(tǒng)軟件缺陷對RGL系統(tǒng)造成不良影響，提出兩點建議措施，并可為同類雙夾持故障提供技術(shù)參考，保證RGL 系統(tǒng)的安全運行。