核电站安全专设设备防误启动功能优化

郭海宁　李宜民　周宏伟

【摘 要】国内某核电站某次大修出现过余热排出泵在电机送电后误启动的事件，部分应急电源所带的转动设备在大修期间进行检修活动后，由于控制逻辑设计不完善的原因，在满足一定条件下会导致转动设备启动指令触发并保持，设备解除隔离后会造成设备的误启动，有设备损坏的风险。经过对控制逻辑的优化设计后可有效避免设备的误启动，保证核电站重大设备的安全。

【Abstract】In a major overhaul of a nuclear power plant in China， there was an incident in which the excess heat discharge pump was mistakenly started after the motor was fed. Some of the rotating equipment brought by the emergency power supply was overhauled during the overhaul. Due to the imperfect control logic design， under certain conditions， the rotation device start command will be triggered and maintained. The device is released from isolation， it will cause the device to start incorrectly and there is a risk of equipment damage. After optimizing the control logic， it can effectively avoid the wrong start of the equipment and ensure the safety of the major equipment of the nuclear power plant.

【关键词】DS ON;RS触发器;时间标签

【Keywords】DS ON; RS trigger; time stamp

【中图分类号】TM623                                           【文献标志码】A                                【文章编号】1673-1069（2019）10-0056-02

1 引言

国内某核电站3/4号机组非安DCS控制系统采用德国西门子的TXP系统，其承担核电站NC、1E级设备的控制。应急母线的负荷加载功能也是在TXP中实现。应急母线加载功能：在柴油机为应急母线供电后，应急母线所带的负载在卸载前若存在启动信号则对这些负载按照所规定的程序进行重新加载。某次大修在余热排出泵RRA001PO维修结束后解除隔离时发生了自动启动[1]。经分析自启动的原因为加载逻辑设计存在缺陷。

2 背景介绍

某次大修中余热排出泵RRA001PO解除隔离时出现了非预期启动。事件经过如下：大修中进行柴油机加卸载试验，试验结束后无异常，在进行RRA001PO再鉴定试验时，解除RRA001PO隔离后，RRA001PO非预期启动。查询历史记录，RRA001PO隔离检修过程中电气盘触发过状态运行信号，在进行柴油机加卸载试验时触发RRA001PO的DS ON信号，在其后的RRA001PO再鉴定试验解除隔离后直接启动。

3 控制原理及原因分析

以余热排出泵RRA001PO为例对安全专设设备的控制原理进行说明，原理如图1所示，图中RS触发其的作用是记忆设备的状态，在安全级指令触发卸载重新加载后恢复到设备卸载前的状态;安全级指令后的延时器的作用是在安全级指令消失后的t时间内恢复设备之前的状态;运行状态CB ON后的延时器的作用是保证安全级指令消失后t时间内能够复位RS触发器。由图1可以看出，安全级指令在应急母线电压低时触发，余热排出泵RRA001PO会接收到卸载指令自动停运，对于专设安全设施，要求在应急母线电压恢复后，设备需要在一定时间内恢复到之前状态，在非安全级DCS组态时，在运行反馈信号CB ON信号后增加RS触发器保持卸载前设备状态，同时安全级指令触发发出卸载指令，RRA001PO停运，重新加载后产生余热排出泵RRA001PO的自动启动信号，RRA001PO自动恢复到运行状态。

某核电厂某次大修RRA001PO非预期启动的详细动作的时序如图2所示，在t0时刻RRA001PO电气控制回路维修过程中触发了设备的状态信号CB ON，此时CB ON被保持，在进行柴油机试验时，t1时刻触发卸载信号，即1E级指令（也称之为安全级指令），经过时间t，在t2时刻触发RRA001PO的自动启动信号，由于核电站安全级DCS指令优先于非安全级DCS指令，且此时RRA001PO处于隔离状态，不会误启动，但当柴油机试验完成卸载信号消失的时间t内触发了RRA001PO的DS ON（期望启动指令），因此时RRA001PO处于隔离状态，不会造成误启动的发生，但在RRA001PO进行再鉴定t5时刻解除隔离时，由于此时存在DS ON指令，直接导致RRA001PO的非预期启动。

由图1 RRA001PO的控制原理和图2 RRA001PO的动作时序图可知，RRA001PO非预期启动的原因是：RRA001PO隔離检修时电气盘触发了设备状态信号CB ON耦合柴油机加卸载指令触发DS ON信号，在解除RRA001PO隔离前，由于逻辑设计的原因，操纵员未能识别出设备的状态。此类设备的运行状态记忆信号和DS ON均未上传到人机界面显示，同样存在误启动的风险。

4 优化与改进

从上述的案例中分析可知，目前设备存在非预期启动的问题的原因在于：①参与泵启动指令运算的信号存在自保持，而这类信号在设备检修的过程中会触发，而操作员无法提前识别，不能进行复位的操作;②控制逻辑不完善导致CB ON信号被误记忆。针对上述原因，有以下两种解决方案，具体方案如下。①方案一：将安全专设设备的自动启动信号前的RS触发器的状态输出至人机接口界面，这样在进行试验时，操纵员可在人机接口界面查看状态，提前进行信号复位操作，同时开放安全专设设备的启动指令信号监视端口，使该信号在动态功能图中可见，以便操纵员可以在人机接口界面上确认设备的自动启动信号状态，避免设备的非预期启动。②方案二：RRA001PO优化后的控制逻辑如图3所示，对比图1控制逻辑图，优化后，只在安全级指令触发耦合设备状态反馈信号CB ON产生记忆信号，RS触发器复位信号增加泵的运行信号，即泵在运行时复位RS触发器，防止RS触发器被误置位，避免在日常或大修检修期间无法启动指令，造成设备的误启动。

针对RRA001PO非预期启动的问题，方案一通过把DS ON信号和设备状态记忆信号传输至人机界面显示，有利于操纵员监视，提前识别设备状态;方案二对RRA001PO的设备记忆信号及复位信号进行优化，从根本上消除RS触发器被误置位，设备误启动和操作员误操作的风险。

5 结论

某核电站3/4机组均已按方案一和方案二对RRA001PO、RRA002PO进行了优化，对同类设备按方案一进行了优化。经过几个轮次大修的跟踪，实施效果良好，在优化实施后未再发生类似RRA001PO非预期启动的发生。

此类优化可以应用到国内同类型核电站的控制逻辑中，对新建核电站的设计同样具有借鉴意义。

【参考文献】

【1】黄厚坤，张辉.900MW压水堆核电站系统与设备[M].北京：原子能出版社，2005.