郭海寧，李宜民，周宏偉

（中廣核核電運(yùn)營有限公司，廣東 深圳518124）

1 引言

國內(nèi)某核電站3/4 號機(jī)組非安DCS 控制系統(tǒng)采用德國西門子的TXP 系統(tǒng)，其承擔(dān)核電站NC、1E 級設(shè)備的控制。應(yīng)急母線的負(fù)荷加載功能也是在TXP 中實現(xiàn)。應(yīng)急母線加載功能：在柴油機(jī)為應(yīng)急母線供電后，應(yīng)急母線所帶的負(fù)載在卸載前若存在啟動信號則對這些負(fù)載按照所規(guī)定的程序進(jìn)行重新加載。某次大修在余熱排出泵RRA001PO 維修結(jié)束后解除隔離時發(fā)生了自動啟動[1]。經(jīng)分析自啟動的原因為加載邏輯設(shè)計存在缺陷。

2 背景介紹

某次大修中余熱排出泵RRA001PO 解除隔離時出現(xiàn)了非預(yù)期啟動。事件經(jīng)過如下：大修中進(jìn)行柴油機(jī)加卸載試驗，試驗結(jié)束后無異常，在進(jìn)行RRA001PO 再鑒定試驗時，解除RRA001PO 隔離后，RRA001PO 非預(yù)期啟動。查詢歷史記錄，RRA001PO 隔離檢修過程中電氣盤觸發(fā)過狀態(tài)運(yùn)行信號，在進(jìn)行柴油機(jī)加卸載試驗時觸發(fā)RRA001PO 的DS ON 信號，在其后的RRA001PO 再鑒定試驗解除隔離后直接啟動。

3 控制原理及原因分析

以余熱排出泵RRA001PO 為例對安全專設(shè)設(shè)備的控制原理進(jìn)行說明，原理如圖1所示，圖中RS 觸發(fā)其的作用是記憶設(shè)備的狀態(tài)，在安全級指令觸發(fā)卸載重新加載后恢復(fù)到設(shè)備卸載前的狀態(tài)；安全級指令后的延時器的作用是在安全級指令消失后的t 時間內(nèi)恢復(fù)設(shè)備之前的狀態(tài)；運(yùn)行狀態(tài)CB ON后的延時器的作用是保證安全級指令消失后t 時間內(nèi)能夠復(fù)位RS 觸發(fā)器。由圖1可以看出，安全級指令在應(yīng)急母線電壓低時觸發(fā)，余熱排出泵RRA001PO 會接收到卸載指令自動停運(yùn)，對于專設(shè)安全設(shè)施，要求在應(yīng)急母線電壓恢復(fù)后，設(shè)備需要在一定時間內(nèi)恢復(fù)到之前狀態(tài)，在非安全級DCS 組態(tài)時，在運(yùn)行反饋信號CB ON 信號后增加RS 觸發(fā)器保持卸載前設(shè)備狀態(tài)，同時安全級指令觸發(fā)發(fā)出卸載指令，RRA001PO 停運(yùn)，重新加載后產(chǎn)生余熱排出泵RRA001PO 的自動啟動信號，RRA001PO 自動恢復(fù)到運(yùn)行狀態(tài)。

某核電廠某次大修RRA001PO 非預(yù)期啟動的詳細(xì)動作的時序如圖2所示，在t0 時刻RRA001PO 電氣控制回路維修過程中觸發(fā)了設(shè)備的狀態(tài)信號CB ON，此時CB ON 被保持，在進(jìn)行柴油機(jī)試驗時，t1 時刻觸發(fā)卸載信號，即1E 級指令（也稱之為安全級指令），經(jīng)過時間t，在t2 時刻觸發(fā)RRA001PO 的自動啟動信號，由于核電站安全級DCS 指令優(yōu)先于非安全級DCS 指令，且此時RRA001PO 處于隔離狀態(tài)，不會誤啟動，但當(dāng)柴油機(jī)試驗完成卸載信號消失的時間t 內(nèi)觸發(fā)了RRA001PO 的DS ON（期望啟動指令），因此時RRA001PO 處于隔離狀態(tài)，不會造成誤啟動的發(fā)生，但在RRA001PO 進(jìn)行再鑒定t5 時刻解除隔離時，由于此時存在DS ON 指令，直接導(dǎo)致RRA001PO 的非預(yù)期啟動。

圖1 RRA001PO 控制邏輯圖

圖2 RRA001PO 動作時序圖

由圖1RRA001PO 的控制原理和圖2RRA001PO 的動作時序圖可知，RRA001PO 非預(yù)期啟動的原因是：RRA001PO 隔離檢修時電氣盤觸發(fā)了設(shè)備狀態(tài)信號CB ON 耦合柴油機(jī)加卸載指令觸發(fā)DS ON 信號，在解除RRA001PO 隔離前，由于邏輯設(shè)計的原因，操縱員未能識別出設(shè)備的狀態(tài)。此類設(shè)備的運(yùn)行狀態(tài)記憶信號和DS ON 均未上傳到人機(jī)界面顯示，同樣存在誤啟動的風(fēng)險。

4 優(yōu)化與改進(jìn)

從上述的案例中分析可知，目前設(shè)備存在非預(yù)期啟動的問題的原因在于：①參與泵啟動指令運(yùn)算的信號存在自保持，而這類信號在設(shè)備檢修的過程中會觸發(fā)，而操作員無法提前識別，不能進(jìn)行復(fù)位的操作；②控制邏輯不完善導(dǎo)致CB ON信號被誤記憶。針對上述原因，有以下兩種解決方案，具體方案如下。①方案一：將安全專設(shè)設(shè)備的自動啟動信號前的RS 觸發(fā)器的狀態(tài)輸出至人機(jī)接口界面，這樣在進(jìn)行試驗時，操縱員可在人機(jī)接口界面查看狀態(tài)，提前進(jìn)行信號復(fù)位操作，同時開放安全專設(shè)設(shè)備的啟動指令信號監(jiān)視端口，使該信號在動態(tài)功能圖中可見，以便操縱員可以在人機(jī)接口界面上確認(rèn)設(shè)備的自動啟動信號狀態(tài)，避免設(shè)備的非預(yù)期啟動。②方案二：RRA001PO 優(yōu)化后的控制邏輯如圖3所示，對比圖1控制邏輯圖，優(yōu)化后，只在安全級指令觸發(fā)耦合設(shè)備狀態(tài)反饋信號CB ON 產(chǎn)生記憶信號，RS 觸發(fā)器復(fù)位信號增加泵的運(yùn)行信號，即泵在運(yùn)行時復(fù)位RS 觸發(fā)器，防止RS 觸發(fā)器被誤置位，避免在日?；虼笮迿z修期間無法啟動指令，造成設(shè)備的誤啟動。

針對RRA001PO 非預(yù)期啟動的問題，方案一通過把DS ON 信號和設(shè)備狀態(tài)記憶信號傳輸至人機(jī)界面顯示，有利于操縱員監(jiān)視，提前識別設(shè)備狀態(tài)；方案二對RRA001PO 的設(shè)備記憶信號及復(fù)位信號進(jìn)行優(yōu)化，從根本上消除RS 觸發(fā)器被誤置位，設(shè)備誤啟動和操作員誤操作的風(fēng)險。

圖3 優(yōu)化后RRA001PO 控制邏輯

5 結(jié)論

某核電站3/4 機(jī)組均已按方案一和方案二對RRA001PO、RRA002PO 進(jìn)行了優(yōu)化，對同類設(shè)備按方案一進(jìn)行了優(yōu)化。經(jīng)過幾個輪次大修的跟蹤，實施效果良好，在優(yōu)化實施后未再發(fā)生類似RRA001PO 非預(yù)期啟動的發(fā)生。

此類優(yōu)化可以應(yīng)用到國內(nèi)同類型核電站的控制邏輯中，對新建核電站的設(shè)計同樣具有借鑒意義。