李永进 宋玉亮 陈信仁 史长青 刘东亮
【摘 要】针对台山CEPR核电机组总体仪控试验中降级运行试验后机组状态恢复问题,通过理论研究与创新,研究制定了一套适用于CEPR机组的状态恢复策略和风险控制方法,并成功协助CEPR机组完成所有降级运行试验后的机组状态恢复。
【关键词】总体仪控;降级运行;风险控制;机组状态;恢复
中图分类号: TM623.91 文献标识码: A 文章编号: 2095-2457(2018)17-0001-003
DOI:10.19694/j.cnki.issn2095-2457.2018.17.001
【Abstract】Considering the problem of Taishan CEPR nuclear power plant state restoration after degrade mode test in Overall I&C; test,one theoretical analysis and research was performed.One set of CEPR plant state restoration methods and risk control means were formulated,and which have successfully helped CEPR plant to restore plant state after all of which degrade mode tests.
【Key words】Overall I&C;;Degrade Mode;Risk Control;Plant State;Restoration
台山CEPR机组采用第三代欧洲先进压水堆核电技术,是全球EPR在建项目的首堆工程,承担EPR核电技术首堆试验。CEPR核电机组单堆四环路布置,每台机组结合四环路特点设计有四个分区,其中电气、工艺和数字化仪控(DCS)系统按功能冗余要求,将设备和控制信号(指令)设计分布在四个分区中,四个分区共同实现CEPR核电机组的安全运行。
结合CEPR最终安全分析报告(FSAR)的设计承诺,当某一分区完全丧失后(包括该区电气、工艺和DCS系统全部丧失),CEPR机组依旧可以实现机组控制,并将机组状态维持在当前状态。结合上述安全承诺,CEPR机组设计策划了降级运行试验,用以验证设计的可靠性。
本文研究内容主要针对CEPR机组降级运行试验后,在避免机组状态后撤的背景下,如何在机组高平台状态,安全可控的将机组丧失分区恢复,进而减少调试期间消耗设计瞬态的次数并实现调试总体进度的控制。
1 CEPR降级运行试验概述
总体仪控试验(OIC,Overall I&C; Test),属于CEPR机组联调试验项目,其顶层设计源自FSAR安全承诺,主要用以验证机组在相关工况下,机组状态控制能力。OIC试验包括:降级运行试验(失电试验)、切换试验、DCS性能试验和机组特定工况转换仪控试验等四类。
该类试验为EPR机组首次正向设计策划,无任何参考试验可循。在所有OIC试验项目中,降级运行试验极其复杂且风险最高,是OIC试验的核心部分,其试验程序列表如下:
表格1 CEPR降级运行试验程序清单
降级运行试验在执行环节,主要分为三大部分:10KV电源丧失验证、UPS(蓄电池)及DCS丧失验证和试验后机组状态恢复。10KV电源丧失验证环节,主要通过模拟10KV母线失电,来考核机组各系统冗余切换功能及三环路运行时机组状态控制功能;UPS及DCS丧失验证环节,主要通过模拟蓄电池失电,检验该分区DCS全部丧失后(以核岛第1区为例,该环节将丧失22台非安全级机柜、35台安全级机柜和其它控制机柜),机组仍可通过其它三个分区的DCS实现状态控制;试验后机组状态恢复环节,用于在降级运行试验结束后,恢复机组状态至试验前初始状态。
试验结果评价方面,降级运行试验的前两部分为试验考核内容。
降级运行试验后的机组状态恢复涉及到作为核电站中枢神经的DCS系统恢复,由于其内部控制逻辑在DCS恢复启动期间的随机触发性,因此无法对恢复期间的机组状态准确定义,所以不作为试验结果的考核内容。
在CEPR紧急运行规程(EOP)中,应对类似因失电导致的事件工况时,需要将机组后撤到较低工况,然后再进行机组状态恢复。在调试阶段,受制于机组设计瞬态次数限制及调试资源和时间的限制,不能频繁的进行机组运行模式上行和下行操作。因此,需要在高平台恢复机组状态,然而此时如果没有科学合理的恢复策略,依然按照传统的直接给电气盘送电来恢复丧失分区,则将导致机组无法稳定在当前工况,并造成其它三个分区设备误动,甚至触发瞬态事件。所以,需要研究制定一套CEPR机组在降级运行试验后机组状态恢复的控制策略,实现机组在高平台下,安全可控的将机组状态恢复至初始状态。
2 机组状态恢复策略研究
2.1 机组状态恢复期间核心控制功能确立
CEPR机组状态管理,使用状态导向法事故处理策略(SOA),不再以具体的事故为导向进行事故干预,从而进一步优化了事故情况下因操作员人因错误或其它事故叠加而导致的事故处理不当。SOA以核蒸汽供应系统(NSSS)的六个状态功能(堆芯次临界度、一回路水装量、一回路压力和温度、蒸汽发生器水装量、蒸汽发生器完整性及安全壳完整性)为导向来处理CEPR机组的各种事故工况,使得机组状态控制更加清晰明了。
在降级运行试验后机组状态恢复策略研究中,由于没有相关的指导文件引用,因此需要自主研究分析并制定机组恢复期间需要干预的核心控制功能。该研究分析的基准输入条件和机组恢复期间的控制原則为:降级运行试验后,机组状态由其它三分区控制在相对稳定状态,整个恢复期间不能改变机组当前状态配置,需要保持机组状态稳定。
上述基准确定后,在充分借鉴SOA事故处理策略的基础上,结合降级运行试验程序的验证内容和机组状态特点,最终研究确立了机组状态恢复期间需要干预的核心控制功能清单:
1)一回路水位控制功能;
2)一回路压力控制功能;
3)一回路温度控制功能;
4)蒸汽发生器水位控制功能;
5)DCS网络通信和监视功能;
6)主泵保护功能;
7)上充泵保护功能;
8)机组冷源和冷链保障功能;
9)电气配电支持系统功能;
10)安全系统触发功能;
该10项核心控制功能清单的建立,为后续风险分析及机组状态恢复策略的制定确定了目标。
2.2 机组状态恢复主要风险阶段识别
降级运行试验后,为了恢复机组至四环路运行的额定运行工况,需要将已因失电丧失的分区恢复设备送电及恢复DCS运行,并且将该分区设備在线到正常运行状态。按照传统送电方法,一般规程要求操作人员:先隔离母线下游负荷,再恢复母线供电,最后恢复母线下游设备供电。通过这样自上而下的恢复顺序,最终恢复所有设备供电(DCS设备处于供电的最下游)。然而,在CEPR核电机组设计中,对于核岛中压母线进线开关,设计要求通过DCS进行分合闸操作。所以,在机组状态恢复的主体策略方面,需要先恢复DCS控制系统,再恢复电气系统,最后恢复工艺系统。
通过研究分析和工程实践调研,最终确认机组状态恢复期间潜在对机组状态影响最大的两个阶段为DCS恢复阶段和电气盘恢复阶段,其中DCS恢复阶段风险最高。
2.2.1 DCS恢复阶段
DCS丧失分区恢复之前,机组各项状态由运行列DCS及丧失列DCS触发的缺省值(Fallback Value)控制,机组处于该阶段相对稳态工况。此时如果直接启动丧失分区的DCS,就相当于将一个未知的黑盒子接入到正常网络,类似于DCS机柜离线下装过程。受制于各个机柜及卡件启动时序的不同,DCS运算输出的指令状态无法预测和控制,必然导致将运算错误的控制指令发送给正在稳态运行的其它三分区,从而给机组造成较大扰动,甚至产生瞬态工况。
2.2.2 电气盘恢复阶段
电气盘恢复阶段,如果在电气盘带负荷的工况下,直接给电气盘送电,一方面将产生较大的启动电流而影响到电气盘的性能,甚至发生再次失电工况;另外一方面也会由于电气盘各负荷受DCS自动控制而产生异常动作发生,从而进一步影响到机组状态。
为了有效避免电气盘在启动期间对机组状态的扰动和设备的异常动作,最终研究分析确定降级运行试验后在电气盘侧隔离所有丧失分区电气盘的执行器负荷,在完成DCS丧失分区恢复及电气盘空盘恢复后,逐步按照既定时序恢复工艺系统至在线状态。
在前述已制定的机组状态恢复策略中要求先恢复DCS系统,再恢复电气系统,然而丧失分区已全部失电,不可能通过本分区电气盘给DCS提供供电。通过研究分析确认,CEPR电气系统设计中,针对DCS上游电源,在两个相邻分区间设计有手动操作的交叉供电,正好可以用来在此种工况下为DCS提供供电,从而可以实现优先恢复DCS系统。
2.3 DCS系统恢复策略及干预方式研究制定
CEPR机组DCS分为安全级(TXS)和非安全级(SPPA-T2000)两部分:安全级DCS在单个分区丧失后,由于冗余和降级模式设计,其内部控制逻辑仅降级运算,不产生异常动作;非安全级DCS在单个分区丧失后,将产生大量动作,同时丧失分区DCS控制指令将通过缺省值的形式在运行区DCS中参与机组控制。
针对DCS恢复:安全级DCS有闭锁输出和参数对比及重置功能,可实现将降级模式切换到正常模式而不产生异常动作;非安全级DCS没有机柜重启后的闭锁输出功能,其将在机柜启动阶段直接输出计算值,同时机柜内部所有计算模块将从初始状态进行启动,无法自动恢复到DCS丧失前状态。
通过上述研究分析,DCS系统恢复阶段的风险主要集中在非安全级DCS。
基于电气盘恢复阶段风险控制策略,在丧失分区DCS恢复之前,由于该分区DCS控制的所有执行器均已在电气盘侧完成隔离,所以无论DCS恢复期间其计算和输出结果如何,该分区执行设备始终处于安全状态。在此背景之下,可不用考虑运行区DCS给恢复区DCS发送的指令,如果此时可以有效管理丧失分区非安全级DCS在恢复阶段发送至其它正常运行分区的逻辑指令,则可实现机组状态控制。
CEPR非安全级DCS每个分区均独立设置有自己的通信网络,四个分区之间通过电厂总线(Plant Bus)和安全自动化系统总线(SAS Bus)连接在一起。各分区DCS之间主要通过网络进行信号(指令)交互,仅有少数功能通过硬接线完成信号交互。因此,只要科学管理上述网络配置及网络和硬接线交互指令,即可有效控制DCS恢复阶段的风险。
经过进一步的研究分析,对于丧失分区DCS恢复制定了下述的策略和干预方式。
2.3.1 DCS系统恢复前,在运行分区DCS强制隔离有潜在风险的网络指令
该项工作是DCS恢复阶段风险控制的核心要素,需要专业人员针对恢复分区发送至运行分区的DCS网络指令进行预先研究分析。结合机组状态恢复阶段需要干预的10项核心控制功能,最终分析建立网络指令隔离清单。
2.3.2 DCS系统恢复前,在运行分区DCS侧解线隔离有潜在风险的硬接线指令
硬接线指令研究及分析方法与网络指令相同,仅隔离位置不同。
2.3.3 DCS系统恢复前,隔离丧失分区非安全级DCS网络
在重新启动丧失分区非安全级DCS机柜时,由于同时涉及几十台机柜的重启,机柜内部卡件及处理器启动时序的不同,必然将产生大量虚假和错误输出,进而影响到机组除10项核心控制功能之外的功能。为了有效避免该阶段控制逻辑紊乱输出,最终决定在非安全级DCS机柜启动前,先将丧失分区网络解耦隔离,待确认该分区所有非安全级DCS机柜完成重启及数据同步后,再进行网络接入操作。
2.3.4 数据采集及输出机柜提前恢复
为了确保DCS机柜重启后,非安全级处理机柜可以采集真实数据进行机组状态计算和逻辑判断,因此在非安全级机柜重启之前,优先安排数据采集机柜(PIPS:数据采集及预处理机柜)和输出机柜(PACS:优先驱动及控制机柜)提前恢复。
2.3.5 启动丧失分区非安全级DCS机柜
非安全级DCS机柜启动工作需要在上述所有步序完成之后才能执行,在确认所有DCS机柜状态正常后,方可进行后续步序操作。由于在此之前,已隔离解耦该分区DCS通信网络,所以此时即便非安全级DCS机柜均已恢复,主控室依旧无法获知机柜内部控制逻辑状态,当前分区非安全级DCS机柜呈黑盒子运行状态。
2.3.6 启动丧失分区隔离机柜
CEPR隔离机柜承担不同DCS分区间的硬接线通信任务,其参與逻辑较少且主要为模拟量交互指令,优先恢复该类机柜可进一步确保DCS逻辑处理正常。
2.3.7 恢复丧失分区DCS网络
该步序操作后,丧失分区DCS将全部接入机组主DCS网络,主控室将恢复机组整体控制权限。但该步序是整个DCS恢复中风险最高的部分,需要操作员和仪控人员同步配合高效完成。操作员需要结合机组正常运行阶段巡盘记录,利用CEPR机组成组控制功能及时完成各项关键成组控制配置;仪控人员需要在丧失分区DCS接入机组主DCS网络后,第一时间取消DCS恢复前安装的网络和硬接线隔离指令(信号),配合操作员完成机组状态控制。
2.3.8 恢复安全级DCS逻辑处理机柜
利用安全级DCS所特有的闭锁输出功能,进行机柜启动,在所有完成参数对比和状态重置后,激活安全级DCS机柜正常输出功能,使其从降级运行模式恢复至正常运行模式。
2.4 工艺系统状态恢复
丧失分区DCS恢复后,主控室恢复对所有电站设备的监视和控制功能,在确认机组状态再次稳定后,即可开始工艺系统状态恢复。相比较DCS系统恢复,工艺系统状态恢复相对简单明了,主要采取下列的恢复时序:
1)丧失分区电气盘采取自上而下的恢复送电顺序,从10KV母线开始,逐步恢复整个分区的所有电气盘供电;
2)恢复丧失分区蓄电池组浮充状态,确认蓄电池组满足给DCS机柜提供第二路冗余电源的能力;
3)蓄电池组完全恢复后,恢复DCS机柜在蓄电池侧的第二路冗余电源,确认所有DCS机柜双路电源全部运行(此时其中的第一路冗余电源依旧由相邻列交叉供电保障);
4)取消相邻列交叉供电,将DCS第一路冗余电源切换至当前已恢复供电的正常设计电源,再次确认所有DCS机柜两路电源全部运行;
5)恢复试验分区正式照明、通信、广播等辅助工业系统功能,为其它工艺系统状态恢复消除工业风险;
6)在DCS侧确认丧失分区执行器接收的指令状态后,将该分区隔离的所有执行器按需全部在电气盘侧先操作至试验位,再操作至工作位,为主控室操作员恢复系统状态做好准备工作;
7)主控室操纵员按照如下系统恢复顺序,将机组恢复至试验前状态:先恢复丧失分区冷源和冷链相关系统、再恢复通风、消防等支持系统、最后恢复该分区主系统;
8)所有工艺系统恢复完成后,操作员需要结合试验前机组正常巡盘记录,最终恢复机组状态至正常运行模式。
2.5 机组状态恢复逻辑控制时序制定
基于上文各项研究分析结果及干预策略,最终制定的CEPR机组降级运行试验后机组状态恢复策略逻辑控制时序图如下:
该时序图按照执行阶段的不同分为四个序列:
1)序列一:降级运行试验前数据分析及参试文件准备序列;
2)序列二:丧失分区DCS恢复前干预序列;
3)序列三:丧失分区DCS逐步恢复序列;
4)序列四:DCS恢复后机组状态恢复序列。
3 机组恢复策略实施效果
台山核电厂CEPR 1号机组在2017年中旬按计划完成所有OIC试验中的降级运行试验,期间使用该机组状态恢复策略编制的控制方案,成功实现四份降级运行试验后机组状态在高平台安全恢复。所有试验项目在机组状态恢复期间,关键状态参数均在受控范围,未引入任何瞬态事件。在节约机组设计瞬态次数的同时,有效控制了热态功能试验的时间成本。
4 结束语
通过对CEPR机组降级运行试验后机组状态恢复策略的深入研究分析,形成了一套在机组高平台工况下恢复核电厂DCS系统和机组总体状态的分析方法和风险控制措施,并成功应用于台山CEPR 1号机组热态功能试验阶段。该机组状态恢复策略的研究与实践对后续三代核电项目具有积极的参考价值。
【参考文献】
[1]李永进,刘洋.浅析EPR核电厂总体仪控试验设计方法[J].科技视界,2018,13:45-105.
[2]王振营,李红林,郑文波.核电站数字化仪控系统缺省值分析研究[J].自动化仪表,2011,5(32):24-27.
[2]张锦浙.状态导向法事故处理程序[J].大亚湾核电,2007,4:45-48.
[3]台山核电合营有限公司.台山核电厂1、2号机组最终安全分析报告[R].2012.