陳奕然，周 星，于艷玲

（中核核電運行管理有限公司，浙江 海鹽 314300）

0 引言

近年來，分布式控制系統(tǒng)（DCS）技術(shù)得到了飛速發(fā)展，越來越廣泛地應用于軍事、經(jīng)濟乃至社會生活的各個方面，也大大增加了電廠控制的可靠性[1,2]。核電廠DCS是核電站的“中樞神經(jīng)”，其中核安全級DCS的安全性受到越來越廣泛的關(guān)注，因其技術(shù)復雜以及對可靠性的嚴苛要求，目前國內(nèi)大多數(shù)在運和在建核電站機組的安全級DCS均采用國外進口，核心技術(shù)受制于人，供貨周期長，購買和維護成本高昂，同時國內(nèi)的技術(shù)人員對技術(shù)的掌握程度不高，核心技術(shù)仍被原廠家掌握。

2018年秦一廠在延壽大修中將秦一廠實施安全功能或事故后監(jiān)測相關(guān)的過程控制系統(tǒng)改造為符合目前設計準則的1E級設備，改造后的秦一廠使用的1E級系統(tǒng)為AREVA生產(chǎn)的TELEPERM XS（TXS）平臺，TXS所采集的安全重要儀表模擬量輸入信號的好壞與TXS系統(tǒng)控制性能息息相關(guān)。經(jīng)過現(xiàn)場工作發(fā)現(xiàn)，大部分模擬量輸入信號故障的根本原因都來自于模擬量信號采集卡SAA1故障。根據(jù)原廠說明書，SAA1卡故障需返回原廠修復，查詢相關(guān)論文，調(diào)研其他電廠情況，國內(nèi)無對相關(guān)卡件的研究先例，對此類卡件的維護要求也不明確。隨著國際局勢的錯綜復雜，為避免在關(guān)鍵技術(shù)或設備上受制于人，應積極采取措施對進口設備內(nèi)部結(jié)構(gòu)進行研究，一方面通過優(yōu)化預維或者改進維修手段的方式增加設備本身安全性，另一方面當發(fā)生小缺陷時可進行自主維修。

在當前的國際形勢下，安全級DCS國產(chǎn)化的需求迫切，諸如中國核動力研究設計院“龍鱗系統(tǒng)”已在大型鈉快冷堆、漳州核電等均有良好應用[3]，相信國產(chǎn)DCS會成為未來改造的主流設備選型。目前所采用的進口DCS在未來也將被逐漸取代，在全面國產(chǎn)化之前，應保證對此類進口DCS有一定的自主維修能力以應對設備停供、價格高等局面。

本文通過對模擬量采集卡SAA1內(nèi)部電路圖的分析，輔以秦一廠現(xiàn)場工作的實例，分析SAA1卡件故障原因，并對SAA1卡件的預維和維修策略提出相關(guān)建議，為使用TXS系統(tǒng)的同類電廠提供經(jīng)驗。

1 TXS系統(tǒng)

秦山核電站1號機組安全級DCS由兩個部分構(gòu)成，其中反應堆保護系統(tǒng)相關(guān)過程控制系統(tǒng)（Reactor Protection System，以下簡稱RPS）的主要功能是當控制系統(tǒng)失效而導致產(chǎn)生錯誤指令或在異常事件情況下，包括故障（incidents）和事故（accidents）狀態(tài)[4]，保護三大核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性。如果運行參數(shù)超過危及三大屏障的臨界點時，將會緊急停閉反應堆，必要時啟動專設安全設施。另一部分是實施安全功能或事故后監(jiān)測相關(guān)的過程控制系統(tǒng)（1E Signal Acquisition and Processing System，以下簡稱1E SAPS），其主要作用是與安注、輔助給水、消氫、停冷等系統(tǒng)進行連接，從而實現(xiàn)專設安全設施的啟動；與主控室盤臺指示儀或記錄儀、報警系統(tǒng)、電站計算機系統(tǒng)進行連接，在事故期間或事故后向主控室操縱員提供核電廠重要的運行參數(shù)，用以評價核電廠狀態(tài)，并使核電站恢復安全狀態(tài)。因此，安全級DCS對核電廠的安全穩(wěn)定運行至關(guān)重要。

2 1E SAPS架構(gòu)

如圖1所示，秦山核電站1號機組1E SAPS設備分為兩個獨立的邏輯通道（A列和B列），并通過實體隔離，每列設備集成在3個TXS機柜中，A列包含CP5097-1機柜（ACAM）、CP5097-2機柜（CVAC）、CP5097-3機柜（CVAC），B列 包 含CP5098-1機 柜（ACAM）、CP5098-2機 柜（CVAC）、CP5098-3機柜（CVAC），整個系統(tǒng)共6臺過程處理機柜和1臺服務機柜，用于執(zhí)行以下功能：

圖1 1E SAPS架構(gòu)Fig.1 1E SAPS architecture

1）對來源于現(xiàn)場層的1E級工藝參數(shù)信號進行采集、調(diào)節(jié)、分配、數(shù)字處理、監(jiān)控和可視化，對采集到的信號直接指示/記錄或分配給第三系統(tǒng)，用于進一步的數(shù)字處理或分析，進行量程監(jiān)測、限位、邏輯選通等一系列處理后，通過繼電器向報警系統(tǒng)傳輸開關(guān)量報警信號，通過TXS以太網(wǎng)向電站計算機系統(tǒng)傳輸數(shù)據(jù)（Acquisition，conditioning and monitoring，以下簡稱ACAM）。

2）閥門的自動化控制（Control valve automation and control，以下簡稱CVAC）。

服務機柜用于集成服務單元（Service Unit，以下簡稱SU）和網(wǎng)關(guān)計算機（Gateway Computer，以下簡稱GW），屬于NC級設備。

SU通過TXS以太網(wǎng)連接到ACAM的控制器，由于SU能夠訪問項目數(shù)據(jù)庫，所以始終擁有完整且正確的系統(tǒng)功能。SU的主要功能如下：

故障診斷：若故障發(fā)生，SU將會迅速定位受影響區(qū)域。功能圖中的監(jiān)控機制和TXS系統(tǒng)中的診斷消息將會被調(diào)用并且向維護人員展示。

參數(shù)設置：在操作過程中若要修改設置（如校準系數(shù)或控制器設置），都可以以可變參數(shù)的形式在功能圖中定義，并可通過SU讀取、更改、確認。

定期測試：SU可用于啟動測試步驟和讀取測試結(jié)果。

GW是TXS與電站計算機的緩沖區(qū)域，它確保TXS系統(tǒng)獨立于其他系統(tǒng)，GW將TXS系統(tǒng)提供的數(shù)據(jù)轉(zhuǎn)換為電站計算機所需的數(shù)據(jù)和通信格式，使用以太網(wǎng)與電站計算機連接，將TXS內(nèi)數(shù)據(jù)傳輸給電站計算機。

系統(tǒng)內(nèi)部通過TXS Profibus建立數(shù)據(jù)網(wǎng)絡，并為維護、診斷和服務任務提供接口。系統(tǒng)外部通過TXS以太網(wǎng)與電站計算機建立連接[1]。

3 模擬量信號采集通道介紹

在TXS平臺中，模擬量信號進入處理器模塊需要經(jīng)過如下過程，如圖2所示。首先，就地變送器輸出4mA～20mA信號，信號經(jīng)內(nèi)部接線進入模擬量采集卡SAA1后，進入隔離分配卡SNV1-2.5。該分配卡支持4通道輸出，其中兩路輸出經(jīng)內(nèi)部線接入端子卡SPM2后，再進入兩塊模擬量輸入卡SAI1（功能一致，出于安全考慮設置冗余），另外兩路輸出根據(jù)現(xiàn)場實際情況進行選用，如該信號還需送入其他外部系統(tǒng)（如圖2中，另外兩路一路送去主控盤臺指示，一路送去副控盤臺指示）。

圖2 模擬量信號輸入過程（就地到分配卡SNV1-2.5部分）Fig.2 Analog signal input process（local to distribution module SNV1-2.5）

如圖3所示，從分配卡SNV1-2.5輸出的兩路信號會經(jīng)由機柜內(nèi)部線進入端子排SPM2，再進入模擬量輸入卡SAI1。信號進入SAI1之后，會將模擬量轉(zhuǎn)化為數(shù)字量，由CPU處理調(diào)用，通過邏輯處理計算機的算法功能塊的軟件組態(tài)進行處理。

圖3 模擬量信號輸入過程（分配卡到模擬量輸入卡SA1部分）Fig.3 Analog signal input process（distribution module toanalog module SA1）

3.1 模擬量采集卡SAA1卡

SAA1卡件為TXS系統(tǒng)中模擬量信號采集卡（Analog Signal Moduel），用于連接輸出電流信號的傳感器、外部面板和內(nèi)部元器件，如圖4。1塊卡件上有兩個互相獨立的通道，具有以下功能：

圖4 模擬量采集卡SAA1示意圖Fig.4 Schematic diagram of analog data acquisition module SAA1

◇ 為2線制和4線制傳感器提供輔助電源，并由前面板上的G保險絲提供保護。

◇ 卡件上有兩個綠色LED指示燈常亮，分別用于指示兩個通道故障情況。

◇ 連接傳感器，接收傳感器側(cè)發(fā)出的電流信號。

◇ 電流-電壓轉(zhuǎn)換器帶有RC低通濾波器，抑制高于濾波器截止頻率的動態(tài)信號，濾波器可步進調(diào)節(jié)[6]。

模擬量采集卡SAA1內(nèi)部原理圖如圖5，模擬量采集卡SAA1內(nèi)部有兩路通道，通道1和通道2功能類似。以通道2為例，SAA1卡件通過信號線給雙線制傳感器提供輔助電源，變送器將測量信號通過4mA～20mA電流信號返回SAA1卡件的輸入電路，供電電壓和電流信號返回路徑如圖5上箭頭所示。SAA1卡件通過LP_MU2和M_MU2向變送器輸出供電電壓，變送器返回的電流信號可在卡件內(nèi)部轉(zhuǎn)化為其他量程的電流或電壓信號。供電回路和電流信號回路中均設保險絲、二極管、抑制二極管，以提供保護。

3.2 模擬量采集卡SAA1卡內(nèi)部電路保護功能

模擬量采集卡SAA1卡需要與外部傳感器連接，相比起其他卡件，更可能承受外部的過電壓干擾，因此內(nèi)部電路配備過電壓保護功能以應對現(xiàn)場運行時可能引入的風險。

在運行過程中發(fā)現(xiàn)，模擬量采集卡SAA1卡出現(xiàn)的大部分缺陷都與過電壓保護功能相關(guān)。實際上，該卡件的缺陷往往是自我保護的手段，在剖析原理后，可以實現(xiàn)一定程度的自主維修，同時也可針對性地改進預維策略，進一步降低維修成本，提高電廠工作效率。

通過對圖5電路的分析和現(xiàn)場工作經(jīng)驗，形成表1：模擬量采集卡SAA1卡內(nèi)部電路易損件分析表，對電路中各易損元器件的功能、故障模式、故障原因、參數(shù)進行描述。

表1 模擬量采集卡SAA1卡內(nèi)部電路易損件分析表Table 1 Analysis of internal circuit vulnerable parts of analog data acquisition module SAA1

圖5 模擬量采集卡SAA1的通道2與雙線傳感器接線原理圖Fig.5 Wiring schematic diagram of channel 2 of analog data acquisition module SAA1 and two-wire sensor

4 現(xiàn)場缺陷實例及維修策略優(yōu)化

接下來將會舉例SAA1卡件在運行過程中出現(xiàn)的典型缺陷實例，以及處理方法和后續(xù)預維策略優(yōu)化。

4.1 就地變送器檢修造成SAA1內(nèi)部保險絲熔斷

在Q1-OT118大修新增SAPS系統(tǒng)變更完成后，后續(xù)大修期間曾多次大范圍發(fā)生SAA1卡內(nèi)部保險絲熔斷缺陷，且熔斷的保險絲涉及F5、F7、F8，發(fā)生缺陷的時間均與相關(guān)通道就地變送器校驗工作時間相吻合。根據(jù)表1和圖5分析，當變送器的正接線和負接線短接后，保險絲F7、F8熔斷；當變送器負接線接地時，SAA1卡件輸出異常；當變送器正端接地時，保險絲F5熔斷。若帶電進行變送器校驗，在拆接線時極易造成短路，從而使SAA1卡件內(nèi)部保險絲熔斷。

因此，秦一廠在大修就地變送器校驗期間，涉及的TXS系統(tǒng)的相關(guān)通道需全部斷電。除此之外，秦一廠升版所有與1E機柜相關(guān)就地變送器檢修規(guī)程，增加提醒內(nèi)容：變送器拆線過程中，必須使用絕緣螺絲刀；測量時注意絕緣，防止短路。秦一廠在執(zhí)行這兩項安全措施后，保險絲大范圍熔斷現(xiàn)象大大減少。

4.2 SAA1內(nèi)部保險絲偶發(fā)老化熔斷

2021年7月8日，運行季度試驗輔助給水泵全流量試驗（TST-Q-002）中發(fā)現(xiàn)缺陷輔助給水泵C去2#SG流量調(diào)節(jié)閥V20-13D閥位反饋指示異常。維修人員首先檢查就地閥門反饋裝置的好壞，閥門反饋裝置的連桿隨著閥門閥桿動作而動作，輸出的電流值也隨之發(fā)生變化，但維修人員在檢查時發(fā)現(xiàn)閥門反饋裝置上無電源，繼續(xù)排查至1E級機柜CP5098-2機柜端子排上測量輸出至閥門反饋裝置的端子，也未量到電壓。懷疑SAA1卡件發(fā)生故障，檢查SAA1卡件后，發(fā)現(xiàn)該缺陷的原因為該通道SAA1卡內(nèi)保險絲F8熔斷，更換后就地閥位反饋裝置供電恢復，具體分析故障樹如圖6。

圖6 閥門反饋指示故障樹Fig.6 Valve feedback indication fault tree

但在故障期間，就地變送器及變送器周圍均無工作，工作人員繼續(xù)排查保險絲熔斷原因。

根據(jù)查詢事實，進一步推斷F8熔斷有以下兩個原因：

1）閥門裝置、電纜絕緣低。

2）保險絲自然老化或偶發(fā)故障。

在Q1-OT121大修中，工作人員對閥門裝置和電纜的絕緣進行測量，絕緣電阻＞250MΩ，未發(fā)現(xiàn)電纜絕緣低的情況。

查詢廠家資料，TXS系統(tǒng)的卡件在30℃的典型環(huán)境溫度下使用壽命一般超過30年，SAA1卡件在運行期間內(nèi)是免維護的。

查詢?nèi)蹟嗥鲏勖囼灪驮囼灲Y(jié)論，得出熔斷器在不同額定電流下的壽命參數(shù)。對熔斷器運行電流小于0.3倍額定電流的，在整個運行周期中不需要更換；對于熔斷器運行電流在0.3倍～0.8倍額定電流的，可以結(jié)合其他預維工作進行整體更換；對于熔斷器運行電流在0.8倍額定電流以上的，需要重點關(guān)注，并縮短其更換周期，同時需要考慮論證熔斷器的選型是否正確。儀控系統(tǒng)的控制回路，因其控制的對象不同，其安全等級也不同。在制定策略過程中，也不能一概而論，還要按照系統(tǒng)等級進行劃分來確定熔斷器的更換周期。針對專設安全系統(tǒng)，需要相對保守的更換策略，考慮與控制回路的預防性維修結(jié)合在一起，按照定期更換的方式開展；針對安全相關(guān)系統(tǒng)，根據(jù)壽命評估的結(jié)果，充分調(diào)查評估控制回路的負荷情況，可以按照壽命評估的結(jié)果開展預防性的更換工作；針對非安全相關(guān)系統(tǒng)，則完全可以應用該評估結(jié)果。對于某些特別重要的回路，如涉及關(guān)鍵敏感設備邏輯控制的熔斷器，則可以定期進行更換。

本次故障保險絲F8額定電流為80mA，運行電流最大為20mA，根據(jù)上述結(jié)論及廠家說明書，在整個運行周期中不需要更換。但安全級設備，在制定預維策略的過程中，還要按照系統(tǒng)等級進行劃分來確定更換周期。查詢秦山SAPS系統(tǒng)、RPS系統(tǒng)1E級機柜卡件內(nèi)保險絲的預維策略，為故障性維修，無更換類預維。調(diào)研田灣核電關(guān)于TXS平臺的預維情況，也無對卡件內(nèi)保險絲檢查和預維要求。通過以上調(diào)查，結(jié)合現(xiàn)場實際情況，從2018年改造后至今，保險絲在運行期間無故熔斷現(xiàn)象僅有此一例，屬于偶發(fā)現(xiàn)象，總體上看SAA1卡內(nèi)部保險絲性能表現(xiàn)穩(wěn)定，老化熔斷現(xiàn)象偶發(fā)幾率十分小，基于老化考慮定期更換不必要。但在每次大修系統(tǒng)上電后，需檢查各通道情況，若有異常，再檢查對應通道更換保險絲即可。該策略可以在保證安全的前提下，很大程度提高現(xiàn)場檢修效率。

5 結(jié)論

TXS平臺作為1E級DCS，其安全性受到廣泛關(guān)注。在TXS系統(tǒng)的運行過程中，SAA1卡件作為模擬量采集卡，承擔隔離外部信號與內(nèi)部其他卡件的功能，因此故障的概率相比起其他卡件更高。在廠家的說明書中，對于SAA1卡件運行過程中注意事項和故障排查指導有明顯不足，國內(nèi)對TXS系統(tǒng)的預維策略及預維方法存在可改進空間。本文通過對SAA1卡件保護回路的分析和實際運行經(jīng)驗的分享，可供其他使用TXS平臺的同行排查模擬量信號故障處理及相關(guān)通道維修策略制定提供參考。