劉建光，滕玉祥,仇少帥

(中廣核工程有限公司，廣東 深圳 518124)

0 引言

電源切換試驗(electrical change test,ECT)為核電站大型聯(lián)調失電瞬態(tài)試驗，屬于高度敏感的涉網試驗。ECT主要用于驗證核電站機組廠用電源手動/自動切換的正確性與可靠性，以及電源切換期間下游設備是否能夠按設計預期執(zhí)行卸載或帶載動作。核電廠熱態(tài)功能試驗期間，需要執(zhí)行外部500 kV電源喪失后降壓變至輔變切換試驗(ECT56試驗)和正常電源至柴油發(fā)電機備用電源切換試驗(ECT57試驗)。試驗中，會觸發(fā)廠用電源切換[1]。汽機盤車系統(tǒng)(turbine turning system,TTS)的功能是向汽輪發(fā)電機組的軸頸軸承和推力軸承提供潤滑油，向發(fā)電機氫氣密封油系統(tǒng)提供密封油，向汽輪發(fā)電機組的軸頸軸承提供開始轉動和停運時所需的頂軸油以及在機組啟動和停運時投入電動或手動盤車，從而使轉子均勻冷卻，防止大軸彎曲[2]。TTS中的003號電機(TTS003MO)為電動盤車電機，由應急母線供電或柴油機供電，帶動大軸旋轉，實現使轉子均勻冷卻、防止大軸彎曲的功能[3]。設計要求為：在BAS56試驗期間，當盤車電機380 V AC電源上游6.6 kV母線應急電源系統(tǒng)(emergency power system,EPS)短時失去再恢復后，電動盤車能夠自動重新保持運行。在ECT57試驗期間，當EPS發(fā)出40 s卸載信號至TTS003MO，信號消失后延時120 s，電動盤車重新自動啟動。2020年3月，某核電機組TTS在執(zhí)行ECT56試驗時，發(fā)現當盤車電機TTS003MO上游電源380 V AC失電恢復后，盤車無法自動啟動，試驗失敗。2020年5月，執(zhí)行ECT57試驗時，EPS卸載信號出現后，TTS003MO正常停運。從EPS發(fā)出卸載信號至TTS003MO重新啟動一共應該間隔160 s。但在實際試驗期間，TTS003MO在EPS卸載信號經過40 s消失瞬間出現了短時的非預期啟動，導致試驗失敗。

本文從設備邏輯組態(tài)出發(fā)，對設備異常動作原因進行分析，并最終給出處理方案。

1 TTS003MO控制方式

CPR1000核電機組使用的數字化控制系統(tǒng)(digital control system,DCS)由廣利核公司開發(fā)的Firmsys系統(tǒng)和HOLLIAS-N系統(tǒng)組成。安全級DCS采用Firmsys系統(tǒng)。非安全級(non-class,NC)DCS采用HOLLIAS-N系統(tǒng)[4]。系統(tǒng)之間通過網關進行通信。

TTS030MO啟停分別受手動指令、自動指令和保護指令控制。三者的優(yōu)先級由高到低依次為保護指令、自動指令、手動指令。其中，手動指令和自動指令邏輯在NC-DCS平臺組態(tài)實現。EPS帶卸載保護指令由安全級DCS組態(tài)實現。安全級DCS指令和NC-DCS指令同時送往安全級DCS設備接口模塊(component interface module,CIM)，通過CIM模塊進行優(yōu)先級判斷，經硬接線送往就地控制TTS003MO的啟停。

TTS003MO信號輸出方式如圖1所示。

圖1 TTS003MO信號輸出方式

1.1 NC-DCS組態(tài)方式

NC-DCS組態(tài)方式如圖2所示。

圖2 非安全級DCS組態(tài)方式

通過常規(guī)島設備驅動(conventional island driving,CSD)生成TTS003MO啟動指令信號TTS656SY。CSD模塊適用于有自保持裝置和沒有自保持裝置的常規(guī)島中泵、風機、閥門等開關量型驅動設備。對于TTS003MO，NC-DCS平臺CSD模塊主要實現手動和自動啟動指令。

安全級DCS生成的EPS帶卸載指令除了直接送往安全級DCS平臺CIM控制設備停運外，同時由安全級DCS通過硬接線送往非安全級DCS參與NC-DCS組態(tài)。圖2中，TTS_EPS_DE05信號為安全級DCS送往NC-DCS的EPS帶卸載保護停指令信號。該信號送往CSD模塊中保護關(protect off,POF)引腳，保護關優(yōu)先級高于自動、手動啟動指令。在邏輯組態(tài)中，當該信號存在或者從該信號消失至消失后120 s內會閉鎖手動、自動啟動信號，即閉鎖TTS003MO啟動。

1.2 安全級DCS組態(tài)方式

TTS003MO控制邏輯中，由安全級DCS平臺中專設安全系統(tǒng)級驅動機柜(engineered safety features actuation cabinet,ESFAC)系統(tǒng)產生的EPS帶卸載停止指令直接送往安全級DCS系統(tǒng)CIM模塊;NC-DCS生成的啟動信號TTS656SY由非安全級DCS通過硬接線的方式送往安全級DCS平臺CIM模塊。

設備接口模塊中的優(yōu)先級管理功能是針對來自系統(tǒng)和設備、用于控制驅動裝置、有沖突的驅動指令。因此，需要優(yōu)選后輸出具有最高優(yōu)先級的驅動指令來控制驅動裝置，以保證工藝設備在不同工況下的正常運行。 優(yōu)先級管理功能是在接收到來自不同系統(tǒng)的、對現場設備的不同方向驅動指令時，根據優(yōu)先級關系選擇優(yōu)先級高的指令進行輸出。當接收到來自不同系統(tǒng)相同方向的驅動指令時，則按照此指令正常輸出。在安全級DCS優(yōu)先級選擇卡中接收的指令主要包括安全級(class E1,1E)指令[5]、安全相關級(safety-related,SR)指令、多樣性驅動系統(tǒng)(diversity actuation system,DAS)指令、嚴重事故操作系統(tǒng)(severe accident I&C system,SAS)指令和NC操作指令。其中：1E級指令由安全級DCS平臺ESFAC系統(tǒng)產生；SR級指令由安全相關機柜(safety realated cabinet ，SRC)系統(tǒng)產生。優(yōu)先級由高到低依次為1E級指令、SAS級指令、SR級指令、DAS級指令、NC級指令[6]。

CIM優(yōu)先級方式如圖3所示。

圖3 CIM優(yōu)先級方式

因此，當安全級DCS停止指令和非安全級DCS啟動指令同時存在時，安全級DCS停止指令優(yōu)先級高于NC-DCS產生的設備啟動指令，即設備處于停運狀態(tài)。

2 TTS003MO異常動作原因分析

2.1 TTS003MO無法自啟動問題分析

TTS003MO在非安全級DCS平臺采用的是CSD驅動模塊。試驗前，由NC-DCS送往安全級指令TTS656SY為1。TTS003MO由于自動啟動信號(automatic on,AON)的存在而處于啟動狀態(tài)。當供電母線短時失電后，就地設備由于失去動力電源而直接停運。

雖然EPS母線失電，但此時邏輯中未產生卸載停運指令。因此，此時NC-DCS中TTS003MO啟動指令TTS656SY仍然為1，而TTS003MO就地反饋的真實狀態(tài)為關閉狀態(tài)。這就導致控制模塊出現停止偏差報警,即設備處于遠方操作狀態(tài)，且已經啟動。此后未經DCS發(fā)出停運指令，設備出現已經停運狀態(tài)。

偏差報警在NC-DCS內部可以選擇是否屏蔽手動、自動、保護開關。如選擇屏蔽某一類型的信號，當報警存在時該CSD對應引腳無效。當前組態(tài)邏輯中，CSD模塊內部故障屏蔽手自動及保護指令參數如故障屏蔽保護開(block alarm protect run,BAPR)、故障屏蔽保護關(block alarm protect trip,BAPT)、故障屏蔽保護手自動開(block alarm manually run,BAMR)。CSD中故障屏蔽指令狀態(tài)如表1所示[7]。

表1 CSD中故障屏蔽指令狀態(tài)

BAPR設置狀態(tài)為9，轉換為二進制為00001001。BAPT設置狀態(tài)為8，轉換為二進制為00001000。BAMR設置狀態(tài)為11,轉換為二進制為00001011。根據NC-DCS算法說明中關于CSD模塊的故障屏蔽指令狀態(tài)字定義表，不同的二進制位(binary unit,BIT)代表不同的故障。BIT為0時表示該故障不屏蔽指令輸出，為1時表示屏蔽指令輸出。

不同的設備類型，故障的屏蔽狀態(tài)字不同，可根據需要進行初始化參數設置。TTS003MO中故障屏蔽保護開、故障屏蔽保護關、故障屏蔽手自動開對應的停止偏差BIT均為1。因此，上述指令均會被停止偏差報警屏蔽。當偏差報警存在時，即使存在自動啟動命令，但啟動指令TTS656SY仍然為0。因此，當EPS短時失電后再恢復供電，TTS003MO無法自動啟動。只有在操作員手動將停止偏差報警復位后，啟動指令TTS656SY才能由0變?yōu)?,使TTS003MO重新啟動。但操作員干預與設計的自動重新啟動不符，需優(yōu)化復位停止偏差報警的邏輯，使其動作與設計預期動作一致。

為了確保TTS003MO在EPS母線失電過程中能正常動作，對CSD模塊的BAMR設置狀態(tài)進行修改，將其BIT設置為0。即：當出現停止偏差時，不會對自動指令進行屏蔽；當EPS母線重新恢復供電后，TTS003MO可正常啟動。

2.2 試驗期間非預期啟動問題分析

在ECT57試驗過程中，當EPS發(fā)出卸載信號(該信號持續(xù)40 s)至TTS003MO，TTS003MO應立即停運。40 s后EPS卸載信號消失。信號消失后120 s內，TTS003MO應仍然保持停運狀態(tài)；120 s后，TTS003MO應重啟啟動。從EPS發(fā)出卸載信號至TTS003MO重新啟動一共為160 s。實際試驗期間，TTS003MO在EPS卸載信號經過40 s消失瞬間出現了短時的非預期啟動，導致試驗失敗。

在試驗前的初始狀態(tài)，TTS003MO由于AON的存在，由NC-DCS送往安全級DCS指令TTS656SY為1,TTS003MO處于啟動狀態(tài)。

試驗期間，EPS發(fā)出卸載信號(該信號持續(xù)40 s)，安全級DCS產生的卸載停指令通過CIM送至TTS003MO，盤柜失去動力電源，主盤車TTS003MO控制柜TTS002AR失電，就地停運并反饋停運信號至主控。同時，安全級DCS產生的卸載停指令傳送至NC-DCS側CSD控制模塊保護關指令引腳，即圖2中的TTS_EPS_DE05信號為1，NC-DCS中TTS003MO自動啟動信號AON仍為1。此時，TTS003MO NC-DCS組態(tài)中POF和AON引腳同時為1，TTS003MO就地反饋的真實狀態(tài)為關閉狀態(tài)，導致控制模塊出現停止偏差報警。由于在之前的ECT56試驗過程中已經設置該偏差報警不屏蔽手自動信號， 當TTS003MO控制模塊CSD出現停止偏差故障報警時，故障不會復位AON引腳指令。 但當前組態(tài)參數中BAPR設置狀態(tài)為00001001、BAPT設置狀態(tài)為00001000，停止偏差對應的BIT均為1，因此停止偏差報警屏蔽了卸載信號產生的保護關指令，使得NC-DCS平臺中保護關指令失效，模塊輸出信號不能翻轉[8]。在卸載信號存在的40 s內，CIM模塊中安全級停止指令優(yōu)先于NC-DCS啟動指令，因此設備處于停運狀態(tài)。當40 s后卸載信號消失，安全級CIM卡件輸出到就地設備的停止指令消失。此時，非安全級平臺中的保護停指令由于120 s后延時仍然存在，但由于保護指令被停止偏差屏蔽，CSD控制模塊輸出的啟動信號為1。安全級CIM卡件接收非安全級TTS656SY啟動指令，導致就地設備啟動。該啟動為非預期啟動。

手動復位報警后，延時120 s的保護關指令生效，TTS003MO模塊輸出關指令，TTS003MO停運；在120 s后，保護關指令消失，TTS003MO重新啟動。

3 解決方案

針對上述問題，解決的方案主要是修改CSD模塊內部參數設置。修改前：BAPR設置狀態(tài)為9，轉換為二進制為00001001；BAPT設置狀態(tài)為8，轉換為二進制為00001000；BAMR設置狀態(tài)為11,轉換為二進制為00001011。修改后：BAPR二進制設置為00000001,轉換為十進制為1；BAPT二進制設置為00000000,轉換為十進制為0；BAMR二進制設置為00001011[9]，轉換為十進制為3。

同時，在TTS003MO控制模塊CSD的報警復位引腳處引入EPS卸載取反的5 s復位信號。即：當EPS卸載信號消失的同時，復位停止偏差報警；當卸載停信號和自動啟信號同時存在時，輸出啟動指令保持為0,就地設備不會在卸載信號消失后立刻異常重啟。

4 結論

核電站ECT為全廠大型聯(lián)調失電瞬態(tài)試驗，屬于高度敏感的涉網試驗。試驗中，會觸發(fā)廠用電源切換。該試驗主要用于驗證核電站機組廠用電源手動/自動切換的正確性與可靠性，以及電源切換期間下游設備是否能夠按設計預期執(zhí)行卸載或帶載動作。TTS003MO在ECT56和ECT57試驗期間出現的非預期動作導致試驗失敗。經過分析，TTS003MO非預期動作的主要原因為NC-DCS平臺中CSD驅動模塊內部故障屏蔽手自動及保護指令參數設置錯誤?，F場對參數進行了優(yōu)化，同時增加了卸載指令消失復位停止偏差報警的邏輯?，F場修改后經過驗證，在ECT56試驗期間，當盤車電機上游6.6 kV供電母線短時失去再恢復后，電動盤車能夠自動重新保持盤車運行。在ECT57試驗期間，當EPS發(fā)出40 s卸載信號至TTS003MO，信號消失后延時120 s，電動盤車重新自動啟動，160 s期間未出現非預期啟動。該結果表明，該改進滿足設計要求，保證了ECT試驗的順利進行。

發(fā)生未預期動作的問題在TTS和發(fā)電機密封油系統(tǒng)部分常規(guī)島設備CSD驅動模塊中存在普遍性。經排查，TTS潤滑油箱風機、汽機潤滑、頂軸和盤車系統(tǒng)潤滑油輔助油泵、汽機潤滑、頂軸和盤車系統(tǒng)頂軸油泵、發(fā)電機密封油系統(tǒng)密封油泵、發(fā)電機密封油系統(tǒng)油煙凈化風機[10]等設備均存在失電試驗后發(fā)生停止偏差報警，從而無法自動啟動設備的問題。同時，在后續(xù)使用HOLLIAS-N平臺的機組中都存在出現此類的問題可能性。本案例為解決此類問題提供了解決方案，具有重要的推廣價值。