刘建光，滕玉祥,仇少帅

(中广核工程有限公司，广东 深圳 518124)

0 引言

电源切换试验(electrical change test,ECT)为核电站大型联调失电瞬态试验，属于高度敏感的涉网试验。ECT主要用于验证核电站机组厂用电源手动/自动切换的正确性与可靠性，以及电源切换期间下游设备是否能够按设计预期执行卸载或带载动作。核电厂热态功能试验期间，需要执行外部500 kV电源丧失后降压变至辅变切换试验(ECT56试验)和正常电源至柴油发电机备用电源切换试验(ECT57试验)。试验中，会触发厂用电源切换[1]。汽机盘车系统(turbine turning system,TTS)的功能是向汽轮发电机组的轴颈轴承和推力轴承提供润滑油，向发电机氢气密封油系统提供密封油，向汽轮发电机组的轴颈轴承提供开始转动和停运时所需的顶轴油以及在机组启动和停运时投入电动或手动盘车，从而使转子均匀冷却，防止大轴弯曲[2]。TTS中的003号电机(TTS003MO)为电动盘车电机，由应急母线供电或柴油机供电，带动大轴旋转，实现使转子均匀冷却、防止大轴弯曲的功能[3]。设计要求为：在BAS56试验期间，当盘车电机380 V AC电源上游6.6 kV母线应急电源系统(emergency power system,EPS)短时失去再恢复后，电动盘车能够自动重新保持运行。在ECT57试验期间，当EPS发出40 s卸载信号至TTS003MO，信号消失后延时120 s，电动盘车重新自动启动。2020年3月，某核电机组TTS在执行ECT56试验时，发现当盘车电机TTS003MO上游电源380 V AC失电恢复后，盘车无法自动启动，试验失败。2020年5月，执行ECT57试验时，EPS卸载信号出现后，TTS003MO正常停运。从EPS发出卸载信号至TTS003MO重新启动一共应该间隔160 s。但在实际试验期间，TTS003MO在EPS卸载信号经过40 s消失瞬间出现了短时的非预期启动，导致试验失败。

本文从设备逻辑组态出发，对设备异常动作原因进行分析，并最终给出处理方案。

1 TTS003MO控制方式

CPR1000核电机组使用的数字化控制系统(digital control system,DCS)由广利核公司开发的Firmsys系统和HOLLIAS-N系统组成。安全级DCS采用Firmsys系统。非安全级(non-class,NC)DCS采用HOLLIAS-N系统[4]。系统之间通过网关进行通信。

TTS030MO启停分别受手动指令、自动指令和保护指令控制。三者的优先级由高到低依次为保护指令、自动指令、手动指令。其中，手动指令和自动指令逻辑在NC-DCS平台组态实现。EPS带卸载保护指令由安全级DCS组态实现。安全级DCS指令和NC-DCS指令同时送往安全级DCS设备接口模块(component interface module,CIM)，通过CIM模块进行优先级判断，经硬接线送往就地控制TTS003MO的启停。

TTS003MO信号输出方式如图1所示。

图1 TTS003MO信号输出方式

1.1 NC-DCS组态方式

NC-DCS组态方式如图2所示。

图2 非安全级DCS组态方式

通过常规岛设备驱动(conventional island driving,CSD)生成TTS003MO启动指令信号TTS656SY。CSD模块适用于有自保持装置和没有自保持装置的常规岛中泵、风机、阀门等开关量型驱动设备。对于TTS003MO，NC-DCS平台CSD模块主要实现手动和自动启动指令。

安全级DCS生成的EPS带卸载指令除了直接送往安全级DCS平台CIM控制设备停运外，同时由安全级DCS通过硬接线送往非安全级DCS参与NC-DCS组态。图2中，TTS_EPS_DE05信号为安全级DCS送往NC-DCS的EPS带卸载保护停指令信号。该信号送往CSD模块中保护关(protect off,POF)引脚，保护关优先级高于自动、手动启动指令。在逻辑组态中，当该信号存在或者从该信号消失至消失后120 s内会闭锁手动、自动启动信号，即闭锁TTS003MO启动。

1.2 安全级DCS组态方式

TTS003MO控制逻辑中，由安全级DCS平台中专设安全系统级驱动机柜(engineered safety features actuation cabinet,ESFAC)系统产生的EPS带卸载停止指令直接送往安全级DCS系统CIM模块;NC-DCS生成的启动信号TTS656SY由非安全级DCS通过硬接线的方式送往安全级DCS平台CIM模块。

设备接口模块中的优先级管理功能是针对来自系统和设备、用于控制驱动装置、有冲突的驱动指令。因此，需要优选后输出具有最高优先级的驱动指令来控制驱动装置，以保证工艺设备在不同工况下的正常运行。 优先级管理功能是在接收到来自不同系统的、对现场设备的不同方向驱动指令时，根据优先级关系选择优先级高的指令进行输出。当接收到来自不同系统相同方向的驱动指令时，则按照此指令正常输出。在安全级DCS优先级选择卡中接收的指令主要包括安全级(class E1,1E)指令[5]、安全相关级(safety-related,SR)指令、多样性驱动系统(diversity actuation system,DAS)指令、严重事故操作系统(severe accident I&C system,SAS)指令和NC操作指令。其中：1E级指令由安全级DCS平台ESFAC系统产生；SR级指令由安全相关机柜(safety realated cabinet ，SRC)系统产生。优先级由高到低依次为1E级指令、SAS级指令、SR级指令、DAS级指令、NC级指令[6]。

CIM优先级方式如图3所示。

图3 CIM优先级方式

因此，当安全级DCS停止指令和非安全级DCS启动指令同时存在时，安全级DCS停止指令优先级高于NC-DCS产生的设备启动指令，即设备处于停运状态。

2 TTS003MO异常动作原因分析

2.1 TTS003MO无法自启动问题分析

TTS003MO在非安全级DCS平台采用的是CSD驱动模块。试验前，由NC-DCS送往安全级指令TTS656SY为1。TTS003MO由于自动启动信号(automatic on,AON)的存在而处于启动状态。当供电母线短时失电后，就地设备由于失去动力电源而直接停运。

虽然EPS母线失电，但此时逻辑中未产生卸载停运指令。因此，此时NC-DCS中TTS003MO启动指令TTS656SY仍然为1，而TTS003MO就地反馈的真实状态为关闭状态。这就导致控制模块出现停止偏差报警,即设备处于远方操作状态，且已经启动。此后未经DCS发出停运指令，设备出现已经停运状态。

偏差报警在NC-DCS内部可以选择是否屏蔽手动、自动、保护开关。如选择屏蔽某一类型的信号，当报警存在时该CSD对应引脚无效。当前组态逻辑中，CSD模块内部故障屏蔽手自动及保护指令参数如故障屏蔽保护开(block alarm protect run,BAPR)、故障屏蔽保护关(block alarm protect trip,BAPT)、故障屏蔽保护手自动开(block alarm manually run,BAMR)。CSD中故障屏蔽指令状态如表1所示[7]。

表1 CSD中故障屏蔽指令状态

BAPR设置状态为9，转换为二进制为00001001。BAPT设置状态为8，转换为二进制为00001000。BAMR设置状态为11,转换为二进制为00001011。根据NC-DCS算法说明中关于CSD模块的故障屏蔽指令状态字定义表，不同的二进制位(binary unit,BIT)代表不同的故障。BIT为0时表示该故障不屏蔽指令输出，为1时表示屏蔽指令输出。

不同的设备类型，故障的屏蔽状态字不同，可根据需要进行初始化参数设置。TTS003MO中故障屏蔽保护开、故障屏蔽保护关、故障屏蔽手自动开对应的停止偏差BIT均为1。因此，上述指令均会被停止偏差报警屏蔽。当偏差报警存在时，即使存在自动启动命令，但启动指令TTS656SY仍然为0。因此，当EPS短时失电后再恢复供电，TTS003MO无法自动启动。只有在操作员手动将停止偏差报警复位后，启动指令TTS656SY才能由0变为1,使TTS003MO重新启动。但操作员干预与设计的自动重新启动不符，需优化复位停止偏差报警的逻辑，使其动作与设计预期动作一致。

为了确保TTS003MO在EPS母线失电过程中能正常动作，对CSD模块的BAMR设置状态进行修改，将其BIT设置为0。即：当出现停止偏差时，不会对自动指令进行屏蔽；当EPS母线重新恢复供电后，TTS003MO可正常启动。

2.2 试验期间非预期启动问题分析

在ECT57试验过程中，当EPS发出卸载信号(该信号持续40 s)至TTS003MO，TTS003MO应立即停运。40 s后EPS卸载信号消失。信号消失后120 s内，TTS003MO应仍然保持停运状态；120 s后，TTS003MO应重启启动。从EPS发出卸载信号至TTS003MO重新启动一共为160 s。实际试验期间，TTS003MO在EPS卸载信号经过40 s消失瞬间出现了短时的非预期启动，导致试验失败。

在试验前的初始状态，TTS003MO由于AON的存在，由NC-DCS送往安全级DCS指令TTS656SY为1,TTS003MO处于启动状态。

试验期间，EPS发出卸载信号(该信号持续40 s)，安全级DCS产生的卸载停指令通过CIM送至TTS003MO，盘柜失去动力电源，主盘车TTS003MO控制柜TTS002AR失电，就地停运并反馈停运信号至主控。同时，安全级DCS产生的卸载停指令传送至NC-DCS侧CSD控制模块保护关指令引脚，即图2中的TTS_EPS_DE05信号为1，NC-DCS中TTS003MO自动启动信号AON仍为1。此时，TTS003MO NC-DCS组态中POF和AON引脚同时为1，TTS003MO就地反馈的真实状态为关闭状态，导致控制模块出现停止偏差报警。由于在之前的ECT56试验过程中已经设置该偏差报警不屏蔽手自动信号， 当TTS003MO控制模块CSD出现停止偏差故障报警时，故障不会复位AON引脚指令。 但当前组态参数中BAPR设置状态为00001001、BAPT设置状态为00001000，停止偏差对应的BIT均为1，因此停止偏差报警屏蔽了卸载信号产生的保护关指令，使得NC-DCS平台中保护关指令失效，模块输出信号不能翻转[8]。在卸载信号存在的40 s内，CIM模块中安全级停止指令优先于NC-DCS启动指令，因此设备处于停运状态。当40 s后卸载信号消失，安全级CIM卡件输出到就地设备的停止指令消失。此时，非安全级平台中的保护停指令由于120 s后延时仍然存在，但由于保护指令被停止偏差屏蔽，CSD控制模块输出的启动信号为1。安全级CIM卡件接收非安全级TTS656SY启动指令，导致就地设备启动。该启动为非预期启动。

手动复位报警后，延时120 s的保护关指令生效，TTS003MO模块输出关指令，TTS003MO停运；在120 s后，保护关指令消失，TTS003MO重新启动。

3 解决方案

针对上述问题，解决的方案主要是修改CSD模块内部参数设置。修改前：BAPR设置状态为9，转换为二进制为00001001；BAPT设置状态为8，转换为二进制为00001000；BAMR设置状态为11,转换为二进制为00001011。修改后：BAPR二进制设置为00000001,转换为十进制为1；BAPT二进制设置为00000000,转换为十进制为0；BAMR二进制设置为00001011[9]，转换为十进制为3。

同时，在TTS003MO控制模块CSD的报警复位引脚处引入EPS卸载取反的5 s复位信号。即：当EPS卸载信号消失的同时，复位停止偏差报警；当卸载停信号和自动启信号同时存在时，输出启动指令保持为0,就地设备不会在卸载信号消失后立刻异常重启。

4 结论

核电站ECT为全厂大型联调失电瞬态试验，属于高度敏感的涉网试验。试验中，会触发厂用电源切换。该试验主要用于验证核电站机组厂用电源手动/自动切换的正确性与可靠性，以及电源切换期间下游设备是否能够按设计预期执行卸载或带载动作。TTS003MO在ECT56和ECT57试验期间出现的非预期动作导致试验失败。经过分析，TTS003MO非预期动作的主要原因为NC-DCS平台中CSD驱动模块内部故障屏蔽手自动及保护指令参数设置错误。现场对参数进行了优化，同时增加了卸载指令消失复位停止偏差报警的逻辑。现场修改后经过验证，在ECT56试验期间，当盘车电机上游6.6 kV供电母线短时失去再恢复后，电动盘车能够自动重新保持盘车运行。在ECT57试验期间，当EPS发出40 s卸载信号至TTS003MO，信号消失后延时120 s，电动盘车重新自动启动，160 s期间未出现非预期启动。该结果表明，该改进满足设计要求，保证了ECT试验的顺利进行。

发生未预期动作的问题在TTS和发电机密封油系统部分常规岛设备CSD驱动模块中存在普遍性。经排查，TTS润滑油箱风机、汽机润滑、顶轴和盘车系统润滑油辅助油泵、汽机润滑、顶轴和盘车系统顶轴油泵、发电机密封油系统密封油泵、发电机密封油系统油烟净化风机[10]等设备均存在失电试验后发生停止偏差报警，从而无法自动启动设备的问题。同时，在后续使用HOLLIAS-N平台的机组中都存在出现此类的问题可能性。本案例为解决此类问题提供了解决方案，具有重要的推广价值。