提高重水堆燃料操作系统24 V DC控制电源运行可靠性的分析1)

(中核核电运行管理有限公司，浙江 海盐 314300)

秦山第三核电厂2台机组为CANDU-6型重水堆，它的特点是不停堆换料。燃料操作系统通过2台装卸料机实现了这个特点，它完成新燃料棒束的接收，通过装卸料机抱卡在燃料通道上保证主系统的完整性，实现通道内燃料的装与卸，保证乏燃料在装卸料机内的冷却，最终将其安全卸至乏燃料水池[1]。燃料操作系统控制电源为上述功能提供了电力来源，其中24 V DC控制电源更是实现了上述功能的自动和手动控制。国外重水堆曾出现24 V DC控制电源故障失效事件，导致系统不可用，例如达林顿电站因电源失效，燃料操作系统不可用24 h，虽未造成严重后果，但仍存有潜在隐患和风险。

24 V DC控制电源对燃料操作系统来说至关重要，若其失效，对电站的安全稳定运行造成影响，因此需采取有效措施提高其运行可靠性。

1 燃料操作系统控制电源简介

燃料操作系统共有11个子系统组成，装卸料机为核心，其余系统为它提供来自于重水、油、气、电等动力，实现换料操作。其中电力来源即由燃料操作供电系统提供。

燃料操作供电系统主要包括动力电源和控制电源。控制电源主要是通过供电母线及下一级直流稳压电源向系统用电设备提供控制用电源，以满足设备的正常运行需要。

燃料操作系统控制电源由电站Ⅲ级电源供应，变压器原边380 V三相，副边208/120 V，三相，4线，偶母线5433-MCC16供应A侧系统，奇母线5433-MCC15供应C侧系统。控制电源共分2路120 V AC交流母线和3路24 V DC直流母线以及一系列直流稳压电源等[2]。

燃料操作系统24 V DC控制电源63597-PWS1为24 V公共母线、自动母线和手动母线供电，并与控制计算机的接地线共地。

24 V公共母线向燃料操作系统所有指示器、继电器等设备提供电源，这些设备向计算机提供输入信号，向操作人员提供指示，且只在系统关闭时切断。

24 V手动母线向所有手动控制提供电源。

24 V自动母线向所有计算机输出提供电源。

燃料操作系统控制电源已在A、C两侧上级电源5433-MCC16和5433-MCC15之间增加切换开关实现备用冗余，当一侧MCC不可用时，通过切换开关将相应的负载转换到另一侧，由另一侧的MCC同时向A、C两侧的负载提供控制电源。但24 V DC控制电源在AECL的原始设计中没有考虑冗余设计，即没有备用系统。

2 燃料操作系统24 V DC控制电源FMEA失效分析

2.1 功能失效和失效影响分析

24 V DC控制电源出现失效时，24 V公共母线、自动母线和手动母线不可用，换料盘台出现“24 V DC BUSS FAILED-ALL DI′S OPEN”报警信息，以下功能出现失效：

1)丧失所有的手动控制和自动控制；

2)丧失设备状态指示功能和报警功能；

3)失去装卸料机油压动力导致装卸料机主要功能丧失；

4)丧失乏燃料应急喷淋、应急冷却等多重功能；

5)主控室盘台出现失去乏燃料通道压力边界报警信息。

结合上述功能失效和实际换料工况，着重从核安全角度出发分析24 V DC控制电源失效影响和后果，详见表1，共分为反应堆换料中、装卸料机脱离端部件后带有乏燃料和乏燃料卸料中3种工况。

表1 24 V DC控制电源失效影响一览表

根据表1分析结果表明，24 V DC控制电源失效对燃料操作系统安全造成极大影响，不仅造成重水泄漏，而且严重威胁乏燃料冷却，严重情况下，燃料棒束会出现破损。

2.2 失效模式分析

燃料操作系统24 V DC控制电源63597-PWS1为HP(惠普)公司生产的Agilent 6573A型电源，直流稳压电源，该电源输入电压为110 V AC,50～60 Hz，输出电压在0～35 V DC范围内可调，输出电流可达60 A，功率2 000 W,重约28.2 kg,具有过压，过流保护功能。

直流稳压电源是将交流电转换成稳压输出的直流电压的装置，需要变压、整流、滤波、稳压四个环节才能完成，主要失效模式有输出电压不稳定,输出电压偏高，输出开路或短路等。根据EPRI PMB3.1直流稳压电源统计结果，它的失效模式从故障部位、故障模式和故障原因详见表2。

表2 直流稳压电源FMEA清单

根据表2看出，直流稳压电源内部元器件的老化和工作循环、周围环境温度高是电源的主要故障原因[3]。

针对24 V DC控制电源63597-PWS1的内部元器件铝电解电容、继电器、熔断器等进行了老化试验。试验结果证明，铝电解电容是有寿命的元器件，电容漏电是不可避免出现的问题，电解液会随着运行时间的增加而干涸，从而造成电路中纹波大增，加大调解回路负担，进而加速电源模块老化；继电器线圈或相关元件可能产生过多的热量使线圈烧毁，触点损坏；熔断器对老化不甚敏感，制造工艺的应力容易造成熔丝金属疲劳而短路[4]。这三类元器件会受到环境湿温度、运行温度、振动与冲击、过电压、过电流、纹波电压等因素影响，出现老化现象。

在国家标准NB/T 20198—2013《核电厂仪表和控制设备老化管理及实施》中提到，电解电容建议使用寿命为8～15 a，熔断器建议寿命为2～10 a，继电器建议寿命为15～25 a，电源参考使用寿命为8～12 a[5]。所有电源模块都是有使用寿命的，因此需要其失效之前采取主动性维修方式。

通过对24 V DC控制电源失效影响和失效模式分析表明，有必要采取有效措施提高设备可靠性，避免出现严重后果。

3 提高燃料操作系统24 V DC控制电源可靠性的分析研究

3.1 优化预防性维修大纲和备件管理

结合直流稳压电源的失效模式，有针对性的制定预防性维修策略。EPRI PMB3.1直流稳压电源预防性维修策略中包括定期更换电源、监测输出电压，电解电容备件保养，根据工作环境、工作频度和设备重要程度选择适当周期。

燃料操作系统24 V DC控制电源预防性项目仅包括输出电压监测和电源解体检查(详见表3)。结合电源失效模式、EPRI相关要求、国内外运行经验，优化了电源的预防性维修大纲，增加定期整体更换电源项目，周期12 a，大修期间实施。

同时加强备品备件管理，优化库存备件维护保养策略，对库存备件每两年一次加电测试，单次加电不得少于12 h，设置备件最小定额为4个，根据大修规划，提出采购申请，缩短到货期和库存存放时间，避免备件因长期存放而不可用。

表3 24 V DC控制电源预防性维修统计表

3.2 燃料操作系统24 V DC控制电源增加冗余设计

24 V DC控制电源根据设备分级定为重要设备(NC类)，为保证重要设备的安全稳定运行，缓解失效后果，考虑为其增加冗余设计。增加冗余设计是提高系统可靠性的最有效方法之一，就是通过配置多余的同等功能部件,并通过一定的冗余逻辑使它们协调地同步运行,使系统应用功能的实现得到多重保证[6]。根据国外电站对标了解，其中G2，韩国月城电站等已通过变更的方式，实现了24 V DC控制电源冗余设计，有效提高了设备运行可靠性。

3.2.1 实施方案

冗余方案的设计可以通过多种形式实现，一种是将A/C侧电源设计为互为备用，一种是给A/C侧电源分别增加备用电源。现针对这两种方案分析可行性，以便选择更适合燃料操作系统的方式。

(1)A/C侧电源互为备用

24 V DC控制电源63597-PWS1正常运行期间，A侧电流为13 A，C侧正常工作电流为12.6 A，由于电源的容量最大可到60 A，可以满足A侧和C侧的负荷正常运行时的用电需求，两侧的启动电流也在电源的容量范围内，可满足负荷启动的要求。

为了保证供电的可靠性，以及保证原有的电路隔离，当A侧或C侧电源中一路故障需要由另外一路带A侧和C侧全部24 V负荷时，需要将故障电源完全隔离,在A侧和C侧的24 V DC电源的输出回路装设断路器。

根据图1,在A侧和C侧电源的+、-和+S、-S回路各増加一个两极断路器,用于故障电源的隔离。同时,由于A侧和C侧电源的“-”连接至各自计算机系统-48 V DC的“-”端,因此,也需要将该线路隔离,以防止两侧48 V DC系统的“-”端短接,在A侧和C侧的“-”端接至48 V DC系统处各増加一个断路器进行隔离。

由于需要保证A侧和C侧电气的独立性,在备用投入时需要保证故障侧24 V DC负荷与原电源侧其他电路完全隔离,否则可能会导致其他系统的故障和报警。因此需将每侧的电源输出断路器和相应的与-48 V DC连接的断路器之间设置机械或电气联锁，保证同时开合，另外，需将两侧的电源隔离断路器与母联断路器之间设置电气联锁，保证同时3路断路器中只能有2路闭合，以保证可靠性，但是实施起来比较困难。

图1 A/C电源互为备用变更图纸

若有一侧电源带A/C两侧的负荷，此时如果负荷产生故障，若负荷处断路器失效，会导致丧失两侧的电源。此外，由于24 V直流系统的上下级保护选择性配合较难实施，如果上下级断路器不能够做到有效的选择性配合，负荷处的故障会直接导致丧失两侧电源，带来更严重的后果。

(2)A/C侧分别增加备用电源

在现场A/C侧已有24 V DC控制电源的情况下，分别增加一台同品牌同型号的电源，增加的电源和现场原电源同时投运，即冗余1∶1，两台电源各承担约为50%的负荷，互为备用关系。当一台电源出现故障时，所有负载能够自动投切至另一台电源，由单个可用电源向所有负载供电(相当于设计变更前状态)，从而实现不间断供电的设计需求。在特殊情况下(如电源检修、更换元器件等)，两路电源能够进行手动切换，在线进行隔离更换工作而不影响系统的正常供电需求，变更原理框图详见图2。

图2 变更原理框图

主、备用电源输入、输出电压各使用一个断路器进行保护和通断控制。每路电源的输出端安装有电源状态指示灯，用于指示电源是否处于正常工作状态。

主备电源以并联方式输出。当两台电源以并联方式输出时，精度和纹波干扰都比单台电源要翻倍。由于单台电源输出电流为60 A，而实际负载不大于15 A，所以并联电源为100%冗余配置，两台电源因输出阻抗、温飘、时飘等差别引起的电压差和负载不平衡，并不会影响双路电源的工作。

主备电源之间的冗余保护回路采用传统二极管，每个回路通过一个大功率二极管输出，目的是当某台电源出现故障时，保护另一台正常工作的电源免受反向电压和电流的影响。由于二极管存在击穿的可能，在回路中串联智能电流表和一个继电器常闭触点，此继电器受智能电流表过流报警控制，当报警时继电器得电使得发生故障二极管的一路自动断开，同时自锁。

考虑到电流分流，保证单路二极管回路电流较小，主备电源投用设计时，考虑到电流分流，保证单路二极管回路电流较小，主备电源投用时在2 A左右，单电源运行在4 A左右，且单路出现故障时不影响整个回路正常运行，因此也考虑冗余，保证足够的安全保护裕度，采用四个回路并联，详见图3。在主备电源输出端均并联四路二极管回路，实现保护主备电源的功能。

图3 A/C分别增加备用电源设计图纸

当二极管发生故障时该回路自动断开，继续供电的情况下更换故障二极管，更换好之后按下复位开关电路接通，该路即可正常工作。

当新增加的控制继电器出现失效，则相应的隔离保护二极管将断开，但由于用于隔离保护的大功率二极管有4路并联输出，单一的控制继电器失效不会影响电源的正常输出。

(3)两种方案比较选择

根据两种实施方案的说明，第一种方案，A/C侧电源互为备用，如果利用现有的盘柜来增加切换装置，增加多个断路器，盘柜内已无空间来满足现场实施，而且若设计不完善，可能出现A/C侧电源同时失效的严重后果。第二种方案属于传统设计，可操作性强，易于实施，相对可靠性高，因此燃料操作系统24 V DC控制电源冗余设计选用为A/C侧分别备用电源的方式，并在设备间内增加新盘柜，以便安装新增设备。

3.2.2 现场实施可行性分析

在设备间的备用位置安装一个新的就地电源柜,位于63596-PL827正后方，靠近S1-327设备间的墙体侧，对其他盘柜检修和后续新增其他盘柜无空间上的影响。

电源柜内部包括所有变更所需的新增的两个备用电源(A/C两侧各一个)及保护断路器、大功率隔离二极管、状态指示灯、继电器等，检修空间满足设计要求，具备可维修性和可操作性。

3.2.3 系统失效率数据分析

借鉴THERP方法通过PSA(概率安全评价)中的事件树对24 V DC控制电源失效分析，计算其增加备用电源后的失效率和可靠性。该事件树(图4)用大写字母来表示某项子任务的失效,同时也代表它失效的概率，相应地用其小写字母来表示该子任务的成功和它的成功概率，事件树分支序列最末端的字母S和F,分别表示任务的成功或失效。

图4 事件树

系统失效率F=A1×B1;

主备电源投运时，系统运行正常，S=S1+S2=a1+b1×A1;

主备电源为相同设备，失效概率相同，即A1=B1,a1=b1。

在秦山第三核电厂安全概率分析数据库中，无24 V DC控制电源的失效率相关数据，因此借鉴类似设备的值，即40 V直流电源的失效率[7]，约为1.52×10-2，即A1=B1=1.52×10-2，该数据也是变更前单电源运行时，系统的失效率。

根据上述公式计算，增加备用电源后，系统失效率为：

F=A1×B1=1.52×10-2×1.52×10-2=2.3104×10-4<1.52×10-2。

主备电源投运时，系统运行正常：

S=S1+S2=a1+b1×A1=(1-A1)+(1-B1)×A1

=(1-1.52×10-2)+(1-1.52×10-2)×1.52×10-2

=0.9997>a1=0.9848

通过PSA中的事件树的相关分析和数据表明，当24 V DC控制电源增加备用冗余后，大幅降低系统失效率，提高系统安全性。

3.2.4 变更实施

2台机组分别于2012年和2013年完成现场实施，并且经过安装调试，满足试验要求。根据设计方案，二极管选用IXYS DSEI30-06A，锗管，截止电流6 A，压降为0.3 V，反向击穿电压1 kV，塑装式，现场安装方便。

继电器选用欧姆龙MY4J型号，共有4副触点，触点容量5 A。

电流表选用上海重熙电器技术有限公司生产的CD194I型号，该电流表设定保护值8 A，内置铜屏蔽层，具备抗电磁干扰能力，通讯地址及电流设定值等关键参数写入程序存储器中，并增加初始化复位按键，快捷恢复到厂家的初始设置。

3.2.5 变更后效果

变更实施后，执行变更后试验，通过通断电源、通断二极管的方式，实现主备电源自动切换和一路二极管冗余回路失效不影响电源运行的功能，满足设计要求。

机组正常运行期间，每侧主备电源同时投运，分别承担6～7 A的电流。通过几年运行实践证明，燃料操作系统24 V DC控制电源增加冗余设计后，有效提高了设备运行可靠性，避免了严重后果。例如2014年9月19日，2号机组主电源2-63597-PWS1(A因故障跳闸，备用电源2-63597-PWS6(A投用。根据推测，主电源跳闸时极有可能出现在换料或卸料过程中，备用电源的及时投用，避免了重水泄漏和乏燃料无法冷却的后果。

4 现场存在的问题和后续改进建议

4.1 现场存在的问题

秦山第三核电厂2台机组自备用冗余系统投运以来，现场出现了一些问题，影响系统的安全稳定运行。

4.1.1 接线出现过流现象

2016年，在1号机组缺陷处理过程中，发现接地线绝缘皮表面发粘。经检查确认，老化接线为接地线63597-0290，其他回路电流汇总后流经此接地线，老化怀疑是流经其电流过大，接线过热，导致外部绝缘皮上出现发粘现象。该接线已经运行4 a。经确认两台机组相同接线均存在外部绝缘皮发粘现象，其他接线并无此现象。

现场接线截面面积2.5 mm2，其载流量约为22.5 A，但接地线与其他多根接线均放置在线槽中，散热不佳，其载流量大大降低，导致接地线曾出现过流现象。导线的载流能力应大于此回路断路器的额定电流，参考国家相关标准[8]，截面积为4 mm2的XLPE铜导线载流值应小于49 A，考虑到盘柜散热条件不佳，线槽温度约为35.5 ℃，在此温度下的校正系数是0.96，其允许载流量下降至47 A，满足现场要求。因此使用4 mm2铜芯阻燃绝缘导线更换现场故障导线。

4.1.2 盘柜内散热设计不合理

新增盘柜背部通风孔较小且位置不好，散热设计不佳，电源本身发热量大，电源后部风扇处未设置通风口,导致无法及时将热量从盘柜内导出，造成盘柜内温度较高，详见表4，温度过高对设备运行的稳定性、可靠性及寿命都有一定的影响。

表4 新增盘柜温度一览表

4.1.3 继电器接线密集，出现短路现象

经检查发现，继电器接线较为密集，许多继电器的单个端子同时接了两根导线，因线鼻子太小，接线产生硬力，随着时间推移，很容易发生触碰短路事故。变更实施以来，现场已出现两次短路现象(表5)，分别发生在两台机组，因此表明该现象存在普遍性，也是系统安全运行的一大隐患。

表5 已出现的两次短路现象

4.2 后续改进建议

4.2.1 盘柜增加通风装置

优化盘柜内部通风，增加通风装置。在盘柜顶部安装风扇，降低盘柜内部温度，保证电源内部热量及时导出，同时配备过滤网，防止外部灰尘进入。

4.2.2 使用新型商用产品简化设计

原设计中冗余保护回路设计复杂，受到二极管、继电器触点容量等因素影响，选择四路并联冗余回路，增加了现场接线，现场故障点增多，出现短路断路现象，在一定程度上降低了系统运行的可靠性。比如现场继电器触点容量5 A，回路电流超过5 A，触点将损坏。当一台电源运行时，正常电流约13 A，若两路出现失效，则整个冗余保护回路可能失效。

图5 电源冗余模块原理图

因此建议简化设计，直接采用市场已有的成熟冗余模块实现电源冗余，图5是采用某公司的电源冗余产品组成的原理图，该冗余模块配合两个输入通道，彼此完全独立，模块中的各个控制电路、辅助电压或其他电路均分别针对各路输入设计，此双通道输入冗余模块可视为结合到一个课题中的两个单独的冗余模块，唯一的共同点是在输出端将两个单独电路结合到一起的电路。仅用一个模块即可满足电源冗余的要求，在此基础上，还可以在每个直流电源输出端增加断路器或者熔断器进行限流保护。

该电源冗余模块预计使用寿命可达15 a，超过电源的使用寿命，在一定程度上其可靠性高于电源本身，且冗余模块自带报警和保护功能，可简化设计，避免引入其他不必要的故障点，提高设备运行的可靠性。

5.结论

重水堆燃料操作系统24 V DC控制电源失效造成重水泄漏和乏燃料失去冷却，针对电源失效模式，从电源预防性维修大纲的优化、备件库存管理入手，提高设备可靠性，避免因设备失效而出现严重后果。另一方面，在系统安全性入手，通过变更为24 V DC电源增加冗余设计，分别为A/C侧电源增加一台备用电源，有效提高了24 V DC控制电源的运行可靠性。自备用电源投运以来，满足设计需求，但现场仍出现接线过流、短路等现象为设备运行带来隐患，因此为了进一步提高设备可靠性，建议增加盘柜通风装置，简化原有设计，减少故障点，确保机组的安全稳定运行。