郭海宁，李宜民，周宏伟

（中广核核电运营有限公司，广东 深圳518124）

1 引言

国内某核电站3/4 号机组非安DCS 控制系统采用德国西门子的TXP 系统，其承担核电站NC、1E 级设备的控制。应急母线的负荷加载功能也是在TXP 中实现。应急母线加载功能：在柴油机为应急母线供电后，应急母线所带的负载在卸载前若存在启动信号则对这些负载按照所规定的程序进行重新加载。某次大修在余热排出泵RRA001PO 维修结束后解除隔离时发生了自动启动[1]。经分析自启动的原因为加载逻辑设计存在缺陷。

2 背景介绍

某次大修中余热排出泵RRA001PO 解除隔离时出现了非预期启动。事件经过如下：大修中进行柴油机加卸载试验，试验结束后无异常，在进行RRA001PO 再鉴定试验时，解除RRA001PO 隔离后，RRA001PO 非预期启动。查询历史记录，RRA001PO 隔离检修过程中电气盘触发过状态运行信号，在进行柴油机加卸载试验时触发RRA001PO 的DS ON 信号，在其后的RRA001PO 再鉴定试验解除隔离后直接启动。

3 控制原理及原因分析

以余热排出泵RRA001PO 为例对安全专设设备的控制原理进行说明，原理如图1所示，图中RS 触发其的作用是记忆设备的状态，在安全级指令触发卸载重新加载后恢复到设备卸载前的状态；安全级指令后的延时器的作用是在安全级指令消失后的t 时间内恢复设备之前的状态；运行状态CB ON后的延时器的作用是保证安全级指令消失后t 时间内能够复位RS 触发器。由图1可以看出，安全级指令在应急母线电压低时触发，余热排出泵RRA001PO 会接收到卸载指令自动停运，对于专设安全设施，要求在应急母线电压恢复后，设备需要在一定时间内恢复到之前状态，在非安全级DCS 组态时，在运行反馈信号CB ON 信号后增加RS 触发器保持卸载前设备状态，同时安全级指令触发发出卸载指令，RRA001PO 停运，重新加载后产生余热排出泵RRA001PO 的自动启动信号，RRA001PO 自动恢复到运行状态。

某核电厂某次大修RRA001PO 非预期启动的详细动作的时序如图2所示，在t0 时刻RRA001PO 电气控制回路维修过程中触发了设备的状态信号CB ON，此时CB ON 被保持，在进行柴油机试验时，t1 时刻触发卸载信号，即1E 级指令（也称之为安全级指令），经过时间t，在t2 时刻触发RRA001PO 的自动启动信号，由于核电站安全级DCS 指令优先于非安全级DCS 指令，且此时RRA001PO 处于隔离状态，不会误启动，但当柴油机试验完成卸载信号消失的时间t 内触发了RRA001PO 的DS ON（期望启动指令），因此时RRA001PO 处于隔离状态，不会造成误启动的发生，但在RRA001PO 进行再鉴定t5 时刻解除隔离时，由于此时存在DS ON 指令，直接导致RRA001PO 的非预期启动。

图1 RRA001PO 控制逻辑图

图2 RRA001PO 动作时序图

由图1RRA001PO 的控制原理和图2RRA001PO 的动作时序图可知，RRA001PO 非预期启动的原因是：RRA001PO 隔离检修时电气盘触发了设备状态信号CB ON 耦合柴油机加卸载指令触发DS ON 信号，在解除RRA001PO 隔离前，由于逻辑设计的原因，操纵员未能识别出设备的状态。此类设备的运行状态记忆信号和DS ON 均未上传到人机界面显示，同样存在误启动的风险。

4 优化与改进

从上述的案例中分析可知，目前设备存在非预期启动的问题的原因在于：①参与泵启动指令运算的信号存在自保持，而这类信号在设备检修的过程中会触发，而操作员无法提前识别，不能进行复位的操作；②控制逻辑不完善导致CB ON信号被误记忆。针对上述原因，有以下两种解决方案，具体方案如下。①方案一：将安全专设设备的自动启动信号前的RS 触发器的状态输出至人机接口界面，这样在进行试验时，操纵员可在人机接口界面查看状态，提前进行信号复位操作，同时开放安全专设设备的启动指令信号监视端口，使该信号在动态功能图中可见，以便操纵员可以在人机接口界面上确认设备的自动启动信号状态，避免设备的非预期启动。②方案二：RRA001PO 优化后的控制逻辑如图3所示，对比图1控制逻辑图，优化后，只在安全级指令触发耦合设备状态反馈信号CB ON 产生记忆信号，RS 触发器复位信号增加泵的运行信号，即泵在运行时复位RS 触发器，防止RS 触发器被误置位，避免在日常或大修检修期间无法启动指令，造成设备的误启动。

针对RRA001PO 非预期启动的问题，方案一通过把DS ON 信号和设备状态记忆信号传输至人机界面显示，有利于操纵员监视，提前识别设备状态；方案二对RRA001PO 的设备记忆信号及复位信号进行优化，从根本上消除RS 触发器被误置位，设备误启动和操作员误操作的风险。

图3 优化后RRA001PO 控制逻辑

5 结论

某核电站3/4 机组均已按方案一和方案二对RRA001PO、RRA002PO 进行了优化，对同类设备按方案一进行了优化。经过几个轮次大修的跟踪，实施效果良好，在优化实施后未再发生类似RRA001PO 非预期启动的发生。

此类优化可以应用到国内同类型核电站的控制逻辑中，对新建核电站的设计同样具有借鉴意义。