秦二厂RGL系统FMEA分析与设备分级

李 捷，黄 远，卢 建，朱鹏飞

（中核核电运行管理有限公司 维修三处，浙江 海盐 314300）

0 引言

秦二厂1/2号机组RGL系统设备主要由控制棒驱动机构、棒位探测器、控制逻辑柜、电源柜、棒位测量柜和处理柜组成。

棒控部分通过控制逻辑柜与电源柜驱动控制棒在堆芯提升、插入和保持状态，改变堆芯反应性的大小，从而完成反应堆的功率控制。

棒位部分用来实现控制棒所处的堆芯位置测量，判断各棒束位置正确性，为操纵员提供了控制棒在堆芯里的真实位置。操纵员可以根据棒束的相应测量位置和给定棒位计数器的给定位置来识别控制棒的失步、卡棒、落棒等[2]。根据系统的功能作用与组成结构，其具体的分类如图1所示。

图1 棒控棒位系统具体分类Fig.1 Specific classification of RGL system

1 棒控棒位系统FMEA分析

秦二厂1/2号机组RGL系统采用中核控制公司生产的以模拟电路为主的棒控棒位产品，至今已连续运行近20年。近几年，系统老化现象逐渐凸显，设备故障率逐渐升高，可靠性逐渐下降，对机组的安全稳定运行造成了较大的威胁。一方面，在系统故障时，运维人员根据现有的系统配置（包含目前的在线监测系统），很难第一时间定位到卡件或元器件级别的故障点，非常不利于现场高风险抢修工作的开展；另一方面，为了提高系统的可靠性，运维人员必须有针对性地制定相应的预防性维修策略并加以实施，但由于技术所限，运维人员无法精细地掌握系统子部件、卡件或元器件的性能状态，只能粗浅地根据历史故障数据和运维经验制定相应预维策略，同时加速推进整体技改，这对机组的安全性、可靠性、经济性产生了较大的不利影响。

由于RGL系统内部包含功能设备数量众多，在系统出现故障时，往往很难快速、精准地定位故障点，此外由系统老化降质引发的故障信号在出现早期变化微弱，仅以一个时间点上观测信号来估计系统的健康状况是远远不够的，应当分析梳理出影响系统稳态运行的关键敏感部件，针对由于故障缺陷而引起系统功能间的潜在故障模式对其可靠性的影响进行分析，从而在故障未发生前便能够实施相应预防措施，并评价估计RGL系统的健康状态，以此避免系统完全故障，实现对系统的健康管理。结合系统各设备的故障模式与失效后果的影响与严重程度，总体划分系统设备关键度，并对系统包含的关键敏感设备进行详细分级，为维修人员提供预维建议和更换要求。

Failure Mode and Effects Analysis（FMEA） 即 故 障 模式与失效分析，是工程应用中最常用的可靠性分析方法之一。主要针对由于故障缺陷而引起系统功能间的潜在故障模式对其可靠性的影响进行分析，从而在故障未发生前便能够实施相应预防措施。结合本文，对棒控棒位系统进行FMEA分析的任务包括：

1）以系统设备卡件功能回路为最小分析单元，按照棒控、棒位层级顺序与组成结构进行划分梳理。

2）结合得到的系统层级结构，逐一阐述系统各设备存在的潜在故障模式，分析设备故障失效对系统功能造成的影响与后果。

3）根据分级导则的定义与要求，结合系统各设备的故障模式与失效后果的影响与严重程度，总体划分系统设备关键度，并对系统包含的关键敏感设备进行详细分级。

1.1 棒控部分层级划分与故障分析

1.1.1 棒控部分组成结构

棒控棒位系统的棒控部分，按照其组成结构可分成：控制逻辑柜、电源柜、棒驱动机构和配电柜，针对该部分设备组成，如图2所示。

图2 棒控部分设备组成结构Fig.2 The structure of the rod control device

1.1.2 控制逻辑柜功能介绍与故障分析

控制逻辑柜接收运行人员和功率调节系统发出的动棒指令信号，经过PLC部分运算处理后，向9个棒控电源柜输出控制棒移动指令，向处理柜发送控制组棒束给定位置信息，同时对棒控部分运行状况进行监测报警。

1.1.2.1 控制逻辑柜PLC部分

逻辑柜PLC部分用于棒控指令接收、计算处理与输出执行信号操作，该部分由：程序处理单元、输入/输出单元、通讯单元和接口机箱构成。PLC部分包含完整的控制逻辑程序，用于运算处理棒控指令，并向棒控电源柜发送相应控制信号。外部采用一主一从双冗余结构，正常工作运行时，处于PLC主机工作，从机热备用状态。当PLC程序处理单元主机故障失效，从机能正常启动时，系统将自动切换至从机继续执行程序操作，同时发出逻辑柜PLC次要故障报警提示，对系统安全与控制功能不造成影响；当PLC程序处理单元主机与从机同时故障失效时，系统将彻底丧失对反应堆的功率调节功能，同时触发逻辑柜PLC紧急故障报警提示。

1.1.2.2 逻辑柜工控机

逻辑柜工控机为PLC系统上位机，内部设有监控软件用于显示各控制棒给定位置与机柜工作状态，并监视当前工况，包括停堆信号的触发、棒束移动命令信号、主控开关当前档位，同时还具备在现场控制状态下，通过软件界面实现系统的控制操作功能。其故障效果包括：工控机显示器等外设失灵、主机箱运行异常等情况引发棒控PLC通讯异常，对系统控制与安全功能无影响，可在线进行故障修复处理。

1.1.3 棒控电源柜功能介绍与故障分析

棒控电源柜根据逻辑柜命令，产生时序指令信号，控制驱动机构的提升线圈、传递线圈和保持线圈工作，完成控制棒束提升、插入和保持原位动作。其故障效果分两种情况：

① 电源柜紧急报警。机柜侧产生紧急报警指示，同时触发系统安全模式“双重保持”动作，使保持、传递线圈同时工作。

② 电源柜非紧急报警。机柜侧产生次要报警指示，并将故障信号送至逻辑柜，系统仍能够正常运行。

1.1.3.1 电源柜PLC部分

电源柜PLC部分由：程序处理单元、输入/输出单元和接口机箱构成，用于接收控制逻辑柜指令，经过内部程序计算处理，输出执行信号控制棒束动作。设备故障将致使电源PLC部分无法接收或执行控制逻辑柜的指令信号，控制棒束无法移动并触发电源柜紧急故障报警，故障电源柜将丧失对相应子组棒束的控制功能。

1.1.3.2 电源功能机箱

按功能可将电源柜机箱分为保持、传递、提升机箱，每3个为一组，对应控制一束控制棒的保持、传递、提升CRDMs线圈，每个功能机箱包含的插件有：电源、定值、调节、移相、检测、测量卡件，其功能实现原理如图3所示。

图3 电源机箱功能原理图Fig.3 Functional schematic diagram of power supply chassis

1）电源卡件。采用双卡双路冗余设计，将来自机柜底板的24V直流电源经整理滤波，共同为功能机箱提供（24V、±15V）工作电源，由电压转换功能回路与监测报警功能回路构成。卡件故障，将触发卡件面板故障报警提示，若两块电源卡同时失效，将导致整个机箱功能丧失，导致对应控制棒束产生滑棒、落棒事故。

2）定值卡件。用于接收来自逻辑柜PLC的指令信号，并向调节卡件发送相应定值、补偿值信号，卡件内部由定值功能回路与补偿值功能回路构成。卡件故障将引发相应三相CRDMs线圈电源波动或失效，导致控制棒束滑棒、落棒情况，严重影响系统稳定运行。

3）调节卡件。接收来自定值卡件的定值、补偿值信号，与驱动线圈的电流反馈值形成负反馈回路，输出稳定的调节信号。卡件由定值比较与调节功能回路和幅值调节功能回路构成。卡件故障将导致三相CRDMs线圈电源波动或失效，存在反应堆停堆风险。

4）移相卡件。由3块移相卡件接收来自底板同步变压器产生的三相同步信号，并根据调节信号控制三相可控硅有序分时导通，为驱动机构提供稳定有效的动力电源。卡件内部由触发信号功能回路和变压输出功能回路构成。卡件故障导致移相触发信号输出异常，出现单相CRDMs线圈动力电源出现波动或失电情况。

5）检测卡件。用于对测量卡件的CRDMs线圈电流值范围、三相动力电源缺相以及功能卡件拔出情况进行监测报警。卡件内部由限值比较功能回路和缺相报警功能回路构成，传递（提升）机箱检测卡与保持机箱检测卡的限值比较功能回路组成结构不同。

① 传递（提升）限值比较功能回路。采用比较放大模块与双D触发器模块监测CRDMs线圈电源有效值，超出高限值触发继电器高电平动作产生电源柜紧急故障报警并向逻辑柜发出报警信号，同时卡件面板将锁存故障状态，故障将导致该电源柜所有子组棒束进入“双重保持”状态（即传递CRDMs线圈与保持CRDMs线圈同时处于带电状态，闭锁棒束移动），系统丧失对故障电源柜控制子组的控制功能。

② 保持限值比较功能回路。相比于传递（提升）机箱检测卡，其电路中增加对传递CRDMs线圈与保持CRDMs线圈电源有效值低限监测功能回路。报警触发逻辑与故障效果和传递（提升）限值比较功能回路相同。

③ 缺相报警功能回路。采用比较放大模块监测CRDMs线圈电源有效值，缺相触发继电器高电平动作产生电源柜紧急故障报警并向逻辑柜发出报警信号，闭锁故障电源柜控制棒束移动功能。

6）测量卡件。用于感应生成CRDMs线圈电源值与熔丝断故障显示。卡件内部由CRDMs电流感应功能回路和熔丝断故障显示功能回路构成。CRDMs电流感应功能回路故障将导致输出的CRDMs电流值异常，进而触发检测卡件限值报警功能回路动作，产生电源柜紧急故障报警；熔丝断故障显示功能回路故障，仅导致熔丝断报警指示灯失效。

7）机箱框架。电源机箱采用20芯针脚插头设计，内部包含三相可控硅元件、CRDMs线圈电流感应霍尔元件，用于实现功能卡件的信号转接、CRDMs线圈电流控制与测量功能。设备故障将导致电源机柜产生紧急故障报警，闭锁相应控制棒束移动功能。若该情况发生在保持机箱，将造成控制棒束出现滑棒、落棒，引发功率发生波动。

1.1.4 棒控部分配电机柜功能介绍与故障效果分析

棒控配电柜采用冗余控制电源RGL004TB（来自RAM发电机的二相260V）、RGL005TB（来自LNE母线的单相220V）和动力电源RGL006TB（来自RAM发电机的三相260V）构成。排除极端故障情况，即冗余控制电源柜同时失效或电源柜所有配电盘同时失效情况，其故障效果分两种情况：

1）控制电源柜（RGL004TB/RGL005TB）配电盘开关失效，将降低系统安全冗余性并触发电源柜次要故障报警，对系统控制与运行功能不造成影响。

2）动力电源柜（RGL006TB）配电盘开关失效，将直接导致对应电源柜控制的控制棒束直接产生落棒动作，导致反应堆停堆。

1.1.5 控制棒驱动机构功能介绍与故障分析

33个控制棒驱动机构分别位于安全壳内压力容器顶部不同位置，独立完成对每束控制棒保持、传递、提升CRDMs线圈电磁极联合控制；无控制棒移动指令时，由保持CRDMs线圈持续工作以固定棒束保持原位；当需要移动棒束时，控制棒驱动机构接收功能机箱电流指令，3组CRDMs线圈按一定时序工作，以控制棒向上或向下移动；当发生系统紧急故障时，传递与保持CRDMs线圈同时动作，固定棒束位置避免滑棒、落棒事故产生[3]。

设备故障表现为：保持、传递或提升线圈工作异常或彻底失效，无法正常完成指令动作，若故障产生于保持CRDMs线圈，则会直接造成控制棒束失控滑步或掉入堆底，导致机组功率波动甚至引发意外停堆事件。

1.2 棒位部分层级划分与故障分析

1.2.1 棒位部分的组成结构

棒控棒位系统的棒位部分，按照其组成结构可分成：棒位处理柜、测量柜和棒位探测器，针对该部分设备组成，如图4所示。

图4 棒位部分设备组成结构Fig.4 Device structure of rod position

1.2.2 棒位处理柜的失效模式与故障效果分析

处理柜用于监测棒位测量柜设备状态，接收来自测量柜的测量棒位信息，并将其与来自控制逻辑的给定棒位信息进行比较分析，判断棒束位置的准确性与一致性，同时向主控室和电厂计算机系统提供相关棒位信息和报警。

1.2.2.1 处理柜PLC部分

处理柜PLC部分用于棒位信息接收、计算处理与输出执行信号操作，该部分由：程序处理单元、输入/输出单元和接口机箱构成。内部包含完整的棒位处理程序，用于运算处理棒位信息，并送至电厂计算机系统、堆外核测系统以及主控室相关棒位报警指示，设备故障将导致相关棒束位置显示与棒束位置比较报警功能失效，对控制棒束的运行控制和测量位置监视功能不造成影响。

1.2.2.2 棒位工控机

棒位工控机作为处理柜PLC系统上位机，其主要功能是通过监控软件，显示给定棒位和实测棒位置、各类故障信息、系统运行状态并监视当前工况。其故障效果包括：工控机显示器等外设失灵、主机箱运行异常等情况引发棒控PLC通讯异常，并产生棒位设备综合故障报警，对系统控制与安全功能无影响。

1.2.3 棒位测量柜的失效模式与故障效果分析

测量柜采用“两联柜”设计，每个机柜设有6个棒位功能机箱，通过箱内的功能卡件，用以实现接收来自33台探测器各自独立的测量棒位信息，并向主控室提供33束控制棒的实测棒位位置，向处理柜提供经整形、编码后的测量棒位信息和测量柜工作状态信号[2]。

功能机箱的主要构成由：机箱框架、MCP10主电流控制卡和MCP22格莱码信号处理卡构成，用于形成对应控制棒束的测量位置。

1）MCP10主电流控制卡

① 激励电流功能回路。采用正弦波发生模块与数控调节器模块，用于棒位探测器的原边线圈提供激磁电流，该电流可随探测器负载阻抗变化而自动调节，以保证探测器原边线圈磁场基本恒定。设备故障将直接导致相应棒束的测量位置丧失。

② 主电流监测功能回路。设有双回路监测主电流波动范围，超过报警阈值时触发继电器高电平动作产生‘主电流高’或‘辅助电压低’报警并送往主控室与处理柜形成棒位设备综合故障报警信号。设备故障仅导致棒位设备综合故障报警功能异常。

2）MCP22格莱码信号处理卡

由独立的五路比较器与光电转换模块组功能电路，将棒位探测器反馈的棒束位置信号转化成五位格莱码信号驱动面板指示，同时将信号送至主控室和棒位处理柜。设备故障将导致对应棒束测量位置显示异常，同时触发相应棒位报警信息，对系统的控制功能不造成影响。

1.2.4 棒位探测器的失效模式与故障效果分析

棒位探测器包括位于探测器底部的一组原边线圈与位于整个控制棒行程的辅助线圈和A、B、C、D、E 5组（共31个）测量线圈组成的副边线圈。控制棒束驱动轴始终处于原边线圈中，当棒束位置改变时，驱动轴穿过不同的测量线圈中5组测量线圈产生相应的感应电压（有效值）以确定棒束位置，并通过贯穿件部分将信号送至棒位测量机柜[2]。设备故障分两种情况：

① 原边线圈。线圈为一长螺线管，约2000匝，线径1.97mm，沿整个行程绕制，为探测器提供持续稳定的交变电源。设备故障将导致棒位探测器的位置测量功能完全丧失，失去单组棒束所有测量位置[2]。

② 辅助线圈。测量线圈和辅助线圈都是副边线圈，每个1700匝，宽2cm，线径0.23mm，与原边线圈共轴，用于生成棒束测量位置信号[2]。故障将导致该组测量线圈格莱码值异常，致使对应棒束位置显示始终处于错误位置。

2 棒控棒位系统设备全面分级介绍

设备的全面分级是设备可靠性管理的关键，在对设备全面分级的基础上，对关键、重要设备进行针对性管理，实施状态监测、加强中长期预维项目管理，以保障棒控棒位系统设备的可靠性。

2.1 分级目的与导则

分级的目的是为系统设备可靠性管理筛选关注对象，本次分级是以系统设备内包含的功能回路为最小单元，从上文对系统设备故障模式与故障影响分析入手，针对功能影响最严重的一种故障模式确定设备等级。

分级导则用于指导分级人员进行分级工作时，确保执行的分级标准一致。在进行分级工作时，将设备分为：关键敏感设备（S）；关键设备（A）；重要设备（B）；一般设备（C），共4级。以下是设备分级导则的具体细则：

◆ 关键敏感设备（S）：如果设备故障导致如下情况之一，则该设备属于关键敏感设备。

1）引起自动或手动停堆、停机。

2）引起大的功率扰动，幅度≧10%FP。

3）要求在7天及以内修复，否则进入LCO要求的降模式，或LCO有降模式要求，而设备不可在线修复。

4）无法在线对其进行检修，且该设备的故障使机组无法保持长期稳定运行。

◆ 关键设备（A）：如果设备故障导致如下情况之一，则该设备属于关键设备。

1）引起大的功率扰动，幅度＜10%FP。

2）非计划进入LCO要求的降模式，要求在7天以上时间修复。

3）导致停堆、停机或降功率逻辑单通道脱扣。

4）失去安全系统冗余功能。

5）安全系统启动。

6）不能控制反应堆重要安全功能。

7）停堆或维持停堆状态、余热排出的能力下降。

8）EOP程序无法执行。

9）不能防止或缓解放射性向厂外释放。

◆ 重要设备（B）：如果设备故障导致如下情况之一，则该设备属于重要设备。

1）设备失效导致重要系统冗余减少或纵深防御深度减少。

2）设备失效导致不可接受的化学、放射性或环境危害。

3）设备失效导致非计划进入LCO，通过替代手段可以免除降模式要求。

4）设备失效促进关键设备失效。

5）设备失效导致妨碍或阻止关键设备的及时维修。

6）设备失效导致不可接受的维修、更换或运行费用增加。

7）备件稀少、购买周期长或价值昂贵的设备。

8）导致失去重要报警或运行参数无法监视，增加运行人员负担的设备。

9）装换料设备或影响大修关键路径的设备。

◆ 一般设备（C）：不属于以上3类分级之内的设备。

2.2 分级结果与意义

按照分级导则，结合上文对棒控棒位系统FMEA分析结论，对秦二厂棒控棒位系统设备进行全面分级，结果见表1。

表1 棒控棒位系统设备分级结果Table 1 Classification of RGL system

3 结语

本文对秦二厂棒控棒位系统设备的全面FMEA分析，并根据分析结论对系统设备进行全面的分级，可方便区分各设备的重要程度，有利于合理配置各级别设备的管理资源，方便制定针对性的管理策略，还可以能够降低维修人员的运维难度，提高系统运行可靠性，以实现核电厂安全可靠的经济运行。