乏燃料卸料过程中DCCY 故障的风险分析与对策

2021-02-10 12:37丁钾沨

设备管理与维修 2021年23期

丁钾沨

（中核核电运行管理有限公司，浙江嘉兴 314300）

0 引言

中核运行三厂作为CANDU-6 型重水堆机组，采用电厂计算机系统（Digital Control Computer，DCC）进行控制，为了保证控制的可靠性和安全性，DCC 采用双机控制模式，即DCCX 和DCCY。双机的硬件配制和功能基本相同，运行基本相同的控制程序（燃料操作系统仅由DCCY 控制），均能独立完成对整个机组的控制。

CANDU-6 型重水堆不停堆换料是由燃料操作系统来完成的，整个换料过程是由若干个计算机工作（JOB）和许多程序（SEQ）组成，程序中每一个指令的执行，是通过DCCY 输入或输出来控制的。燃料操作系统用来控制设备动作和显示设备状态的数字输入信号D/I 有586 个，数字输出信号D/O 有349 个，模拟输入信号A/I 有170 个，所有的D/I、D/O、A/I 都是为了完成不停堆换料任务，因此DCCY 是换料过程中重要的控制设备。

1 乏燃料卸料过程中DCCY 故障的风险分析

1.1 乏燃料卸料过程描述

乏燃料卸料操作是不停堆换料过程中的重要组成部分，乏燃料卸料通过DCCY 进行控制，主要过程是：下游装卸料机装有8 根乏燃料抱卡到乏燃料通道，降低装卸料机料仓液位到堰坝液位，打开乏燃料通道内、外球阀，转动装卸料机料仓，利用C杆前进指令将乏燃料推到升降斗上，通过下降升降斗将乏燃料运输至水下小车，所有乏燃料入水后，完成乏燃料卸料程序。

1.2 DCCY 故障现象描述

作为全厂控制的核心，DCC 系统是一个实时控制系统，燃料操作系统仅由DCCY 控制，没有备用计算机，所以DCCY 系统对乏燃料卸料操作非常关键。

DCCY 故障有两种主要模式：计算机重启和计算机停止。这两种故障形式都将对燃料操作系统的乏燃料卸料操作产生影响，同时影响到乏燃料的冷却，导致乏燃料发生物理变形或破损，因此需要采取应急响应行动。

1.2.1 计算机DCCY 重启模式的现象

（1）与DCCY 相连的两侧换料盘台CRT 显示器黑屏，可以通过功能键盘按钮恢复。

（2）燃料操作系统功能键盘的“STOP”灯亮。

（3）所有输出到燃料操作系统的计算机D/O 失效断开，所有驱动设备将停止动作。

（4）通过电站报警系统警示主控室操作员计算机已重启。

1.2.2 计算机DCCY 停止模式的现象

（1）CRT 显示将不会更新。如果计算机在停止后立即重启，CRT 将要黑屏并且无法恢复，直至计算机重新启动。

（2）燃料操作系统功能键盘的灯全部熄灭。

（3）所有输出到燃料操作系统的计算机D/O 失效断开，所有驱动设备将停止动作。

（4）通过电站报警系统警示主控室操作员计算机已停止运行。

在计算机重启之前无法执行任何半自动或自动操作，必须通过手动模式完成所有应急操作，CRT 的显示直到计算机重启后才可用，所以换料操作员必须借助盘台指示灯和读数，来确定燃料操作系统的状态。

1.2.3 计算机DCCY 故障主控室盘台报警相关信息

当DCCY 出现故障时，主控室会出现窗报和CRT 报警指示。主控室操作员根据报警响应规程，识别DCCY 出现的是DCCY重启报警，还是DCCY 停止报警，并及时通知换料操作员。

1.3 DCCY 故障后对乏燃料卸料操作的影响

总结两种计算机故障模式，发现乏燃料卸载时DCCY 故障导致所有D/O 因失效而断开，所有驱动设备停止动作，主要将影响以下4 个设备和系统：①装卸料机料仓压力设定点丢失，料仓回流管线压力控制阀PCV1 在自动控制模式下阀门将会全开；②重水供给系统重水泵保持运行；③油系统的主油泵和增压泵停运；④所有D/O 失效断开，所有驱动设备将停止动作。

1.4 DCCY 故障对乏燃料失去冷却的风险分析

通过DCCY 故障后对乏燃料卸料操作的影响分析发现，在乏燃料卸料过程中，如果DCCY 故障很容易使乏燃料丧失冷却。参照图1，根据乏燃料不同的冷却工况从3 种情况进行分析。

图1 乏燃料冷却流量示意

1.4.1 第一种情况：装卸料机料仓处于满液位，靠装卸料机内的循环重水冷却乏燃料

燃料操作系统的重水来源于主热传输系统重水储存箱TK1，通过重水供应泵P1/P2 供给装卸料机重水控制系统，最后重水通过料仓回流管线隔离阀MV31 和MV32 回到重水泵入口形成循环，回流管线的热交换器HX2 作为系统中的热阱，带走乏燃料衰变热。

如果此时DCCY 故障，料仓压力设定点将会失去，料仓回流管线压力控制阀PCV1 在自动控制下4 s 内达到全开，料仓压力上升至重水供给压力；同时D/O 失效断开导致油系统的主油泵和增压泵立即停运，但料仓回流管线隔离阀MV31 和MV32 在10 s 后才会关闭，料仓回流管线隔离阀MV31 和MV32 关闭后，料仓回流流量才下降为零，料仓回流管线被切断，料仓内的乏燃料失去冷却。

如料仓内的乏燃料失去冷却，料仓温度将会升高，8 min 内将55 ℃上升到90 ℃。此时若不能及时恢复油系统，需要密切监视料仓温度，如果料仓温度超过90 ℃则将重水供给压力升到高压，通过料仓压力释放阀RV1/RV2 释放重水来冷却乏燃料，待料仓温度降低到60 ℃以下后，再将装卸料机重水供给压力设为低压。因此，DCCY 故障导致油泵停运后，应第一时间手动启动油泵，并关注料仓温度，如果超过90 ℃，将通过重水外溢形成开式循环来实现乏燃料的冷却。

1.4.2 第二种情况：装卸料机处于堰坝液位，料仓转动已有乏燃料转出水面或部分转出水面，推杆没有前进

此种情况会出现乏燃料部分暴露在空气中，正常卸料期间认为短暂的暴露在空气中是安全的，同时根据卸料的过程进行，可能其它料仓管的乏燃料也会有部分漏出水面的情况，如果此时DCCY 故障，程序将会中断，料仓停止转动，回流流量不会失去，堰坝液位以下的乏燃料不会失去冷却，暴露在空气中的乏燃料会失去冷却，长时间的失去冷却，会导致乏燃料的包壳破损，使放射性物质泄漏到空气中，造成厂房应急甚至更严重的事件，因此需要换料操作员必须采取及时有效的措施，使乏燃料棒束得到充分的冷却，避免事态的进一步恶化。根据该情况分析，换料操作员应第一时间手动恢复油系统，将料仓管转到H 管，使所有料仓管的乏燃料都处于安全状态。

1.4.3 第三种情况：装卸料机处于堰坝液位，C 杆前进推动乏燃料到升降斗，直至升降斗下降至乏燃料接收池

该过程大约为2 min，乏燃料随着升降斗进入接收池，重新建立冷却，如果此时DCCY 故障，自动程序中断，料仓重水循环流量不会失去，堰坝液位以下的乏燃料不会失去冷却，暴露在空气中的乏燃料停止动作，失去冷却，与第二种情况失去冷却的后果一样。因此，换料操作员首先应查看乏燃料棒束位置，手动动作C 杆，将乏燃料传输至升降斗，手动提升乏燃料棒束挡块，手动释放升降斗刹车传输至水面以下，使乏燃料得到充分的冷却，避免事态的进一步恶化。

2 乏燃料卸料过程中DCCY 故障的响应对策

根据乏燃料卸料过程不同的冷却方式，分为三种状态制定了响应对策，任何一种响应对策首先要保证乏燃料的冷却，采取的响应措施应该是使乏燃料最安全最快速恢复冷却的办法。由于DCCY 故障后只能进行手动操作，建议乏燃料恢复冷却后，不再进行其他手动操作，等待DCCY 恢复正常，后续操作执行自动指令，从而降低人因失误概率。

在执行应急响应程序时，注意控制时间，因为根据乏燃料暴露在空气中1 h 后的分析结果显示，乏燃料在空气中10 min，乏燃料应急冷却就应投入运行，大约20 min 后其物理尺寸将会发生变化从而导致该棒束在卸出时发生困难。