核電站安全專(zhuān)設(shè)設(shè)備防誤啟動(dòng)功能優(yōu)化

郭海寧　李宜民　周宏偉

【摘 要】國(guó)內(nèi)某核電站某次大修出現(xiàn)過(guò)余熱排出泵在電機(jī)送電后誤啟動(dòng)的事件，部分應(yīng)急電源所帶的轉(zhuǎn)動(dòng)設(shè)備在大修期間進(jìn)行檢修活動(dòng)后，由于控制邏輯設(shè)計(jì)不完善的原因，在滿(mǎn)足一定條件下會(huì)導(dǎo)致轉(zhuǎn)動(dòng)設(shè)備啟動(dòng)指令觸發(fā)并保持，設(shè)備解除隔離后會(huì)造成設(shè)備的誤啟動(dòng)，有設(shè)備損壞的風(fēng)險(xiǎn)。經(jīng)過(guò)對(duì)控制邏輯的優(yōu)化設(shè)計(jì)后可有效避免設(shè)備的誤啟動(dòng)，保證核電站重大設(shè)備的安全。

【Abstract】In a major overhaul of a nuclear power plant in China， there was an incident in which the excess heat discharge pump was mistakenly started after the motor was fed. Some of the rotating equipment brought by the emergency power supply was overhauled during the overhaul. Due to the imperfect control logic design， under certain conditions， the rotation device start command will be triggered and maintained. The device is released from isolation， it will cause the device to start incorrectly and there is a risk of equipment damage. After optimizing the control logic， it can effectively avoid the wrong start of the equipment and ensure the safety of the major equipment of the nuclear power plant.

【關(guān)鍵詞】DS ON;RS觸發(fā)器;時(shí)間標(biāo)簽

【Keywords】DS ON; RS trigger; time stamp

【中圖分類(lèi)號(hào)】TM623? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文章編號(hào)】1673-1069（2019）10-0056-02

1 引言

國(guó)內(nèi)某核電站3/4號(hào)機(jī)組非安DCS控制系統(tǒng)采用德國(guó)西門(mén)子的TXP系統(tǒng)，其承擔(dān)核電站NC、1E級(jí)設(shè)備的控制。應(yīng)急母線(xiàn)的負(fù)荷加載功能也是在TXP中實(shí)現(xiàn)。應(yīng)急母線(xiàn)加載功能：在柴油機(jī)為應(yīng)急母線(xiàn)供電后，應(yīng)急母線(xiàn)所帶的負(fù)載在卸載前若存在啟動(dòng)信號(hào)則對(duì)這些負(fù)載按照所規(guī)定的程序進(jìn)行重新加載。某次大修在余熱排出泵RRA001PO維修結(jié)束后解除隔離時(shí)發(fā)生了自動(dòng)啟動(dòng)[1]。經(jīng)分析自啟動(dòng)的原因?yàn)榧虞d邏輯設(shè)計(jì)存在缺陷。

2 背景介紹

某次大修中余熱排出泵RRA001PO解除隔離時(shí)出現(xiàn)了非預(yù)期啟動(dòng)。事件經(jīng)過(guò)如下：大修中進(jìn)行柴油機(jī)加卸載試驗(yàn)，試驗(yàn)結(jié)束后無(wú)異常，在進(jìn)行RRA001PO再鑒定試驗(yàn)時(shí)，解除RRA001PO隔離后，RRA001PO非預(yù)期啟動(dòng)。查詢(xún)歷史記錄，RRA001PO隔離檢修過(guò)程中電氣盤(pán)觸發(fā)過(guò)狀態(tài)運(yùn)行信號(hào)，在進(jìn)行柴油機(jī)加卸載試驗(yàn)時(shí)觸發(fā)RRA001PO的DS ON信號(hào)，在其后的RRA001PO再鑒定試驗(yàn)解除隔離后直接啟動(dòng)。

3 控制原理及原因分析

以余熱排出泵RRA001PO為例對(duì)安全專(zhuān)設(shè)設(shè)備的控制原理進(jìn)行說(shuō)明，原理如圖1所示，圖中RS觸發(fā)其的作用是記憶設(shè)備的狀態(tài)，在安全級(jí)指令觸發(fā)卸載重新加載后恢復(fù)到設(shè)備卸載前的狀態(tài);安全級(jí)指令后的延時(shí)器的作用是在安全級(jí)指令消失后的t時(shí)間內(nèi)恢復(fù)設(shè)備之前的狀態(tài);運(yùn)行狀態(tài)CB ON后的延時(shí)器的作用是保證安全級(jí)指令消失后t時(shí)間內(nèi)能夠復(fù)位RS觸發(fā)器。由圖1可以看出，安全級(jí)指令在應(yīng)急母線(xiàn)電壓低時(shí)觸發(fā)，余熱排出泵RRA001PO會(huì)接收到卸載指令自動(dòng)停運(yùn)，對(duì)于專(zhuān)設(shè)安全設(shè)施，要求在應(yīng)急母線(xiàn)電壓恢復(fù)后，設(shè)備需要在一定時(shí)間內(nèi)恢復(fù)到之前狀態(tài)，在非安全級(jí)DCS組態(tài)時(shí)，在運(yùn)行反饋信號(hào)CB ON信號(hào)后增加RS觸發(fā)器保持卸載前設(shè)備狀態(tài)，同時(shí)安全級(jí)指令觸發(fā)發(fā)出卸載指令，RRA001PO停運(yùn)，重新加載后產(chǎn)生余熱排出泵RRA001PO的自動(dòng)啟動(dòng)信號(hào)，RRA001PO自動(dòng)恢復(fù)到運(yùn)行狀態(tài)。

某核電廠(chǎng)某次大修RRA001PO非預(yù)期啟動(dòng)的詳細(xì)動(dòng)作的時(shí)序如圖2所示，在t0時(shí)刻RRA001PO電氣控制回路維修過(guò)程中觸發(fā)了設(shè)備的狀態(tài)信號(hào)CB ON，此時(shí)CB ON被保持，在進(jìn)行柴油機(jī)試驗(yàn)時(shí)，t1時(shí)刻觸發(fā)卸載信號(hào)，即1E級(jí)指令（也稱(chēng)之為安全級(jí)指令），經(jīng)過(guò)時(shí)間t，在t2時(shí)刻觸發(fā)RRA001PO的自動(dòng)啟動(dòng)信號(hào)，由于核電站安全級(jí)DCS指令優(yōu)先于非安全級(jí)DCS指令，且此時(shí)RRA001PO處于隔離狀態(tài)，不會(huì)誤啟動(dòng)，但當(dāng)柴油機(jī)試驗(yàn)完成卸載信號(hào)消失的時(shí)間t內(nèi)觸發(fā)了RRA001PO的DS ON（期望啟動(dòng)指令），因此時(shí)RRA001PO處于隔離狀態(tài)，不會(huì)造成誤啟動(dòng)的發(fā)生，但在RRA001PO進(jìn)行再鑒定t5時(shí)刻解除隔離時(shí)，由于此時(shí)存在DS ON指令，直接導(dǎo)致RRA001PO的非預(yù)期啟動(dòng)。

由圖1 RRA001PO的控制原理和圖2 RRA001PO的動(dòng)作時(shí)序圖可知，RRA001PO非預(yù)期啟動(dòng)的原因是：RRA001PO隔離檢修時(shí)電氣盤(pán)觸發(fā)了設(shè)備狀態(tài)信號(hào)CB ON耦合柴油機(jī)加卸載指令觸發(fā)DS ON信號(hào)，在解除RRA001PO隔離前，由于邏輯設(shè)計(jì)的原因，操縱員未能識(shí)別出設(shè)備的狀態(tài)。此類(lèi)設(shè)備的運(yùn)行狀態(tài)記憶信號(hào)和DS ON均未上傳到人機(jī)界面顯示，同樣存在誤啟動(dòng)的風(fēng)險(xiǎn)。

4 優(yōu)化與改進(jìn)

從上述的案例中分析可知，目前設(shè)備存在非預(yù)期啟動(dòng)的問(wèn)題的原因在于：①參與泵啟動(dòng)指令運(yùn)算的信號(hào)存在自保持，而這類(lèi)信號(hào)在設(shè)備檢修的過(guò)程中會(huì)觸發(fā)，而操作員無(wú)法提前識(shí)別，不能進(jìn)行復(fù)位的操作;②控制邏輯不完善導(dǎo)致CB ON信號(hào)被誤記憶。針對(duì)上述原因，有以下兩種解決方案，具體方案如下。①方案一：將安全專(zhuān)設(shè)設(shè)備的自動(dòng)啟動(dòng)信號(hào)前的RS觸發(fā)器的狀態(tài)輸出至人機(jī)接口界面，這樣在進(jìn)行試驗(yàn)時(shí)，操縱員可在人機(jī)接口界面查看狀態(tài)，提前進(jìn)行信號(hào)復(fù)位操作，同時(shí)開(kāi)放安全專(zhuān)設(shè)設(shè)備的啟動(dòng)指令信號(hào)監(jiān)視端口，使該信號(hào)在動(dòng)態(tài)功能圖中可見(jiàn)，以便操縱員可以在人機(jī)接口界面上確認(rèn)設(shè)備的自動(dòng)啟動(dòng)信號(hào)狀態(tài)，避免設(shè)備的非預(yù)期啟動(dòng)。②方案二：RRA001PO優(yōu)化后的控制邏輯如圖3所示，對(duì)比圖1控制邏輯圖，優(yōu)化后，只在安全級(jí)指令觸發(fā)耦合設(shè)備狀態(tài)反饋信號(hào)CB ON產(chǎn)生記憶信號(hào)，RS觸發(fā)器復(fù)位信號(hào)增加泵的運(yùn)行信號(hào)，即泵在運(yùn)行時(shí)復(fù)位RS觸發(fā)器，防止RS觸發(fā)器被誤置位，避免在日?；虼笮迿z修期間無(wú)法啟動(dòng)指令，造成設(shè)備的誤啟動(dòng)。

針對(duì)RRA001PO非預(yù)期啟動(dòng)的問(wèn)題，方案一通過(guò)把DS ON信號(hào)和設(shè)備狀態(tài)記憶信號(hào)傳輸至人機(jī)界面顯示，有利于操縱員監(jiān)視，提前識(shí)別設(shè)備狀態(tài);方案二對(duì)RRA001PO的設(shè)備記憶信號(hào)及復(fù)位信號(hào)進(jìn)行優(yōu)化，從根本上消除RS觸發(fā)器被誤置位，設(shè)備誤啟動(dòng)和操作員誤操作的風(fēng)險(xiǎn)。

5 結(jié)論

某核電站3/4機(jī)組均已按方案一和方案二對(duì)RRA001PO、RRA002PO進(jìn)行了優(yōu)化，對(duì)同類(lèi)設(shè)備按方案一進(jìn)行了優(yōu)化。經(jīng)過(guò)幾個(gè)輪次大修的跟蹤，實(shí)施效果良好，在優(yōu)化實(shí)施后未再發(fā)生類(lèi)似RRA001PO非預(yù)期啟動(dòng)的發(fā)生。

此類(lèi)優(yōu)化可以應(yīng)用到國(guó)內(nèi)同類(lèi)型核電站的控制邏輯中，對(duì)新建核電站的設(shè)計(jì)同樣具有借鑒意義。

【參考文獻(xiàn)】

【1】黃厚坤，張輝.900MW壓水堆核電站系統(tǒng)與設(shè)備[M].北京：原子能出版社，2005.