李永進　宋玉亮　陳信仁　史長青　劉東亮

【摘 要】針對臺山CEPR核電機組總體儀控試驗中降級運行試驗后機組狀態(tài)恢復問題，通過理論研究與創(chuàng)新，研究制定了一套適用于CEPR機組的狀態(tài)恢復策略和風險控制方法，并成功協(xié)助CEPR機組完成所有降級運行試驗后的機組狀態(tài)恢復。

【關(guān)鍵詞】總體儀控；降級運行；風險控制；機組狀態(tài)；恢復

中圖分類號： TM623.91 文獻標識碼： A 文章編號： 2095-2457（2018）17-0001-003

DOI：10.19694/j.cnki.issn2095-2457.2018.17.001

【Abstract】Considering the problem of Taishan CEPR nuclear power plant state restoration after degrade mode test in Overall I&C; test，one theoretical analysis and research was performed.One set of CEPR plant state restoration methods and risk control means were formulated，and which have successfully helped CEPR plant to restore plant state after all of which degrade mode tests.

【Key words】Overall I&C;；Degrade Mode；Risk Control；Plant State；Restoration

臺山CEPR機組采用第三代歐洲先進壓水堆核電技術(shù)，是全球EPR在建項目的首堆工程，承擔EPR核電技術(shù)首堆試驗。CEPR核電機組單堆四環(huán)路布置，每臺機組結(jié)合四環(huán)路特點設(shè)計有四個分區(qū)，其中電氣、工藝和數(shù)字化儀控（DCS）系統(tǒng)按功能冗余要求，將設(shè)備和控制信號（指令）設(shè)計分布在四個分區(qū)中，四個分區(qū)共同實現(xiàn)CEPR核電機組的安全運行。

結(jié)合CEPR最終安全分析報告（FSAR）的設(shè)計承諾，當某一分區(qū)完全喪失后（包括該區(qū)電氣、工藝和DCS系統(tǒng)全部喪失），CEPR機組依舊可以實現(xiàn)機組控制，并將機組狀態(tài)維持在當前狀態(tài)。結(jié)合上述安全承諾，CEPR機組設(shè)計策劃了降級運行試驗，用以驗證設(shè)計的可靠性。

本文研究內(nèi)容主要針對CEPR機組降級運行試驗后，在避免機組狀態(tài)后撤的背景下，如何在機組高平臺狀態(tài)，安全可控的將機組喪失分區(qū)恢復，進而減少調(diào)試期間消耗設(shè)計瞬態(tài)的次數(shù)并實現(xiàn)調(diào)試總體進度的控制。

1 CEPR降級運行試驗概述

總體儀控試驗（OIC，Overall I&C; Test），屬于CEPR機組聯(lián)調(diào)試驗項目，其頂層設(shè)計源自FSAR安全承諾，主要用以驗證機組在相關(guān)工況下，機組狀態(tài)控制能力。OIC試驗包括：降級運行試驗（失電試驗）、切換試驗、DCS性能試驗和機組特定工況轉(zhuǎn)換儀控試驗等四類。

該類試驗為EPR機組首次正向設(shè)計策劃，無任何參考試驗可循。在所有OIC試驗項目中，降級運行試驗極其復雜且風險最高，是OIC試驗的核心部分，其試驗程序列表如下：

表格1 CEPR降級運行試驗程序清單

降級運行試驗在執(zhí)行環(huán)節(jié)，主要分為三大部分：10KV電源喪失驗證、UPS（蓄電池）及DCS喪失驗證和試驗后機組狀態(tài)恢復。10KV電源喪失驗證環(huán)節(jié)，主要通過模擬10KV母線失電，來考核機組各系統(tǒng)冗余切換功能及三環(huán)路運行時機組狀態(tài)控制功能；UPS及DCS喪失驗證環(huán)節(jié)，主要通過模擬蓄電池失電，檢驗該分區(qū)DCS全部喪失后（以核島第1區(qū)為例，該環(huán)節(jié)將喪失22臺非安全級機柜、35臺安全級機柜和其它控制機柜），機組仍可通過其它三個分區(qū)的DCS實現(xiàn)狀態(tài)控制；試驗后機組狀態(tài)恢復環(huán)節(jié)，用于在降級運行試驗結(jié)束后，恢復機組狀態(tài)至試驗前初始狀態(tài)。

試驗結(jié)果評價方面，降級運行試驗的前兩部分為試驗考核內(nèi)容。

降級運行試驗后的機組狀態(tài)恢復涉及到作為核電站中樞神經(jīng)的DCS系統(tǒng)恢復，由于其內(nèi)部控制邏輯在DCS恢復啟動期間的隨機觸發(fā)性，因此無法對恢復期間的機組狀態(tài)準確定義，所以不作為試驗結(jié)果的考核內(nèi)容。

在CEPR緊急運行規(guī)程（EOP）中，應對類似因失電導致的事件工況時，需要將機組后撤到較低工況，然后再進行機組狀態(tài)恢復。在調(diào)試階段，受制于機組設(shè)計瞬態(tài)次數(shù)限制及調(diào)試資源和時間的限制，不能頻繁的進行機組運行模式上行和下行操作。因此，需要在高平臺恢復機組狀態(tài)，然而此時如果沒有科學合理的恢復策略，依然按照傳統(tǒng)的直接給電氣盤送電來恢復喪失分區(qū)，則將導致機組無法穩(wěn)定在當前工況，并造成其它三個分區(qū)設(shè)備誤動，甚至觸發(fā)瞬態(tài)事件。所以，需要研究制定一套CEPR機組在降級運行試驗后機組狀態(tài)恢復的控制策略，實現(xiàn)機組在高平臺下，安全可控的將機組狀態(tài)恢復至初始狀態(tài)。

2 機組狀態(tài)恢復策略研究

2.1 機組狀態(tài)恢復期間核心控制功能確立

CEPR機組狀態(tài)管理，使用狀態(tài)導向法事故處理策略（SOA），不再以具體的事故為導向進行事故干預，從而進一步優(yōu)化了事故情況下因操作員人因錯誤或其它事故疊加而導致的事故處理不當。SOA以核蒸汽供應系統(tǒng)（NSSS）的六個狀態(tài)功能（堆芯次臨界度、一回路水裝量、一回路壓力和溫度、蒸汽發(fā)生器水裝量、蒸汽發(fā)生器完整性及安全殼完整性）為導向來處理CEPR機組的各種事故工況，使得機組狀態(tài)控制更加清晰明了。

在降級運行試驗后機組狀態(tài)恢復策略研究中，由于沒有相關(guān)的指導文件引用，因此需要自主研究分析并制定機組恢復期間需要干預的核心控制功能。該研究分析的基準輸入條件和機組恢復期間的控制原則為：降級運行試驗后，機組狀態(tài)由其它三分區(qū)控制在相對穩(wěn)定狀態(tài)，整個恢復期間不能改變機組當前狀態(tài)配置，需要保持機組狀態(tài)穩(wěn)定。

上述基準確定后，在充分借鑒SOA事故處理策略的基礎(chǔ)上，結(jié)合降級運行試驗程序的驗證內(nèi)容和機組狀態(tài)特點，最終研究確立了機組狀態(tài)恢復期間需要干預的核心控制功能清單：

1）一回路水位控制功能；

2）一回路壓力控制功能；

3）一回路溫度控制功能；

4）蒸汽發(fā)生器水位控制功能；

5）DCS網(wǎng)絡(luò)通信和監(jiān)視功能；

6）主泵保護功能；

7）上充泵保護功能；

8）機組冷源和冷鏈保障功能；

9）電氣配電支持系統(tǒng)功能；

10）安全系統(tǒng)觸發(fā)功能；

該10項核心控制功能清單的建立，為后續(xù)風險分析及機組狀態(tài)恢復策略的制定確定了目標。

2.2 機組狀態(tài)恢復主要風險階段識別

降級運行試驗后，為了恢復機組至四環(huán)路運行的額定運行工況，需要將已因失電喪失的分區(qū)恢復設(shè)備送電及恢復DCS運行，并且將該分區(qū)設(shè)備在線到正常運行狀態(tài)。按照傳統(tǒng)送電方法，一般規(guī)程要求操作人員：先隔離母線下游負荷，再恢復母線供電，最后恢復母線下游設(shè)備供電。通過這樣自上而下的恢復順序，最終恢復所有設(shè)備供電（DCS設(shè)備處于供電的最下游）。然而，在CEPR核電機組設(shè)計中，對于核島中壓母線進線開關(guān)，設(shè)計要求通過DCS進行分合閘操作。所以，在機組狀態(tài)恢復的主體策略方面，需要先恢復DCS控制系統(tǒng)，再恢復電氣系統(tǒng)，最后恢復工藝系統(tǒng)。

通過研究分析和工程實踐調(diào)研，最終確認機組狀態(tài)恢復期間潛在對機組狀態(tài)影響最大的兩個階段為DCS恢復階段和電氣盤恢復階段，其中DCS恢復階段風險最高。

2.2.1 DCS恢復階段

DCS喪失分區(qū)恢復之前，機組各項狀態(tài)由運行列DCS及喪失列DCS觸發(fā)的缺省值（Fallback Value）控制，機組處于該階段相對穩(wěn)態(tài)工況。此時如果直接啟動喪失分區(qū)的DCS，就相當于將一個未知的黑盒子接入到正常網(wǎng)絡(luò)，類似于DCS機柜離線下裝過程。受制于各個機柜及卡件啟動時序的不同，DCS運算輸出的指令狀態(tài)無法預測和控制，必然導致將運算錯誤的控制指令發(fā)送給正在穩(wěn)態(tài)運行的其它三分區(qū)，從而給機組造成較大擾動，甚至產(chǎn)生瞬態(tài)工況。

2.2.2 電氣盤恢復階段

電氣盤恢復階段，如果在電氣盤帶負荷的工況下，直接給電氣盤送電，一方面將產(chǎn)生較大的啟動電流而影響到電氣盤的性能，甚至發(fā)生再次失電工況；另外一方面也會由于電氣盤各負荷受DCS自動控制而產(chǎn)生異常動作發(fā)生，從而進一步影響到機組狀態(tài)。

為了有效避免電氣盤在啟動期間對機組狀態(tài)的擾動和設(shè)備的異常動作，最終研究分析確定降級運行試驗后在電氣盤側(cè)隔離所有喪失分區(qū)電氣盤的執(zhí)行器負荷，在完成DCS喪失分區(qū)恢復及電氣盤空盤恢復后，逐步按照既定時序恢復工藝系統(tǒng)至在線狀態(tài)。

在前述已制定的機組狀態(tài)恢復策略中要求先恢復DCS系統(tǒng)，再恢復電氣系統(tǒng)，然而喪失分區(qū)已全部失電，不可能通過本分區(qū)電氣盤給DCS提供供電。通過研究分析確認，CEPR電氣系統(tǒng)設(shè)計中，針對DCS上游電源，在兩個相鄰分區(qū)間設(shè)計有手動操作的交叉供電，正好可以用來在此種工況下為DCS提供供電，從而可以實現(xiàn)優(yōu)先恢復DCS系統(tǒng)。

2.3 DCS系統(tǒng)恢復策略及干預方式研究制定

CEPR機組DCS分為安全級（TXS）和非安全級（SPPA-T2000）兩部分：安全級DCS在單個分區(qū)喪失后，由于冗余和降級模式設(shè)計，其內(nèi)部控制邏輯僅降級運算，不產(chǎn)生異常動作；非安全級DCS在單個分區(qū)喪失后，將產(chǎn)生大量動作，同時喪失分區(qū)DCS控制指令將通過缺省值的形式在運行區(qū)DCS中參與機組控制。

針對DCS恢復：安全級DCS有閉鎖輸出和參數(shù)對比及重置功能，可實現(xiàn)將降級模式切換到正常模式而不產(chǎn)生異常動作；非安全級DCS沒有機柜重啟后的閉鎖輸出功能，其將在機柜啟動階段直接輸出計算值，同時機柜內(nèi)部所有計算模塊將從初始狀態(tài)進行啟動，無法自動恢復到DCS喪失前狀態(tài)。

通過上述研究分析，DCS系統(tǒng)恢復階段的風險主要集中在非安全級DCS。

基于電氣盤恢復階段風險控制策略，在喪失分區(qū)DCS恢復之前，由于該分區(qū)DCS控制的所有執(zhí)行器均已在電氣盤側(cè)完成隔離，所以無論DCS恢復期間其計算和輸出結(jié)果如何，該分區(qū)執(zhí)行設(shè)備始終處于安全狀態(tài)。在此背景之下，可不用考慮運行區(qū)DCS給恢復區(qū)DCS發(fā)送的指令，如果此時可以有效管理喪失分區(qū)非安全級DCS在恢復階段發(fā)送至其它正常運行分區(qū)的邏輯指令，則可實現(xiàn)機組狀態(tài)控制。

CEPR非安全級DCS每個分區(qū)均獨立設(shè)置有自己的通信網(wǎng)絡(luò)，四個分區(qū)之間通過電廠總線（Plant Bus）和安全自動化系統(tǒng)總線（SAS Bus）連接在一起。各分區(qū)DCS之間主要通過網(wǎng)絡(luò)進行信號（指令）交互，僅有少數(shù)功能通過硬接線完成信號交互。因此，只要科學管理上述網(wǎng)絡(luò)配置及網(wǎng)絡(luò)和硬接線交互指令，即可有效控制DCS恢復階段的風險。

經(jīng)過進一步的研究分析，對于喪失分區(qū)DCS恢復制定了下述的策略和干預方式。

2.3.1 DCS系統(tǒng)恢復前，在運行分區(qū)DCS強制隔離有潛在風險的網(wǎng)絡(luò)指令

該項工作是DCS恢復階段風險控制的核心要素，需要專業(yè)人員針對恢復分區(qū)發(fā)送至運行分區(qū)的DCS網(wǎng)絡(luò)指令進行預先研究分析。結(jié)合機組狀態(tài)恢復階段需要干預的10項核心控制功能，最終分析建立網(wǎng)絡(luò)指令隔離清單。

2.3.2 DCS系統(tǒng)恢復前，在運行分區(qū)DCS側(cè)解線隔離有潛在風險的硬接線指令

硬接線指令研究及分析方法與網(wǎng)絡(luò)指令相同，僅隔離位置不同。

2.3.3 DCS系統(tǒng)恢復前，隔離喪失分區(qū)非安全級DCS網(wǎng)絡(luò)

在重新啟動喪失分區(qū)非安全級DCS機柜時，由于同時涉及幾十臺機柜的重啟，機柜內(nèi)部卡件及處理器啟動時序的不同，必然將產(chǎn)生大量虛假和錯誤輸出，進而影響到機組除10項核心控制功能之外的功能。為了有效避免該階段控制邏輯紊亂輸出，最終決定在非安全級DCS機柜啟動前，先將喪失分區(qū)網(wǎng)絡(luò)解耦隔離，待確認該分區(qū)所有非安全級DCS機柜完成重啟及數(shù)據(jù)同步后，再進行網(wǎng)絡(luò)接入操作。

2.3.4 數(shù)據(jù)采集及輸出機柜提前恢復

為了確保DCS機柜重啟后，非安全級處理機柜可以采集真實數(shù)據(jù)進行機組狀態(tài)計算和邏輯判斷，因此在非安全級機柜重啟之前，優(yōu)先安排數(shù)據(jù)采集機柜（PIPS：數(shù)據(jù)采集及預處理機柜）和輸出機柜（PACS：優(yōu)先驅(qū)動及控制機柜）提前恢復。

2.3.5 啟動喪失分區(qū)非安全級DCS機柜

非安全級DCS機柜啟動工作需要在上述所有步序完成之后才能執(zhí)行，在確認所有DCS機柜狀態(tài)正常后，方可進行后續(xù)步序操作。由于在此之前，已隔離解耦該分區(qū)DCS通信網(wǎng)絡(luò)，所以此時即便非安全級DCS機柜均已恢復，主控室依舊無法獲知機柜內(nèi)部控制邏輯狀態(tài)，當前分區(qū)非安全級DCS機柜呈黑盒子運行狀態(tài)。

2.3.6 啟動喪失分區(qū)隔離機柜

CEPR隔離機柜承擔不同DCS分區(qū)間的硬接線通信任務(wù)，其參與邏輯較少且主要為模擬量交互指令，優(yōu)先恢復該類機柜可進一步確保DCS邏輯處理正常。

2.3.7 恢復喪失分區(qū)DCS網(wǎng)絡(luò)

該步序操作后，喪失分區(qū)DCS將全部接入機組主DCS網(wǎng)絡(luò)，主控室將恢復機組整體控制權(quán)限。但該步序是整個DCS恢復中風險最高的部分，需要操作員和儀控人員同步配合高效完成。操作員需要結(jié)合機組正常運行階段巡盤記錄，利用CEPR機組成組控制功能及時完成各項關(guān)鍵成組控制配置；儀控人員需要在喪失分區(qū)DCS接入機組主DCS網(wǎng)絡(luò)后，第一時間取消DCS恢復前安裝的網(wǎng)絡(luò)和硬接線隔離指令（信號），配合操作員完成機組狀態(tài)控制。

2.3.8 恢復安全級DCS邏輯處理機柜

利用安全級DCS所特有的閉鎖輸出功能，進行機柜啟動，在所有完成參數(shù)對比和狀態(tài)重置后，激活安全級DCS機柜正常輸出功能，使其從降級運行模式恢復至正常運行模式。

2.4 工藝系統(tǒng)狀態(tài)恢復

喪失分區(qū)DCS恢復后，主控室恢復對所有電站設(shè)備的監(jiān)視和控制功能，在確認機組狀態(tài)再次穩(wěn)定后，即可開始工藝系統(tǒng)狀態(tài)恢復。相比較DCS系統(tǒng)恢復，工藝系統(tǒng)狀態(tài)恢復相對簡單明了，主要采取下列的恢復時序：

1）喪失分區(qū)電氣盤采取自上而下的恢復送電順序，從10KV母線開始，逐步恢復整個分區(qū)的所有電氣盤供電；

2）恢復喪失分區(qū)蓄電池組浮充狀態(tài)，確認蓄電池組滿足給DCS機柜提供第二路冗余電源的能力；

3）蓄電池組完全恢復后，恢復DCS機柜在蓄電池側(cè)的第二路冗余電源，確認所有DCS機柜雙路電源全部運行（此時其中的第一路冗余電源依舊由相鄰列交叉供電保障）；

4）取消相鄰列交叉供電，將DCS第一路冗余電源切換至當前已恢復供電的正常設(shè)計電源，再次確認所有DCS機柜兩路電源全部運行；

5）恢復試驗分區(qū)正式照明、通信、廣播等輔助工業(yè)系統(tǒng)功能，為其它工藝系統(tǒng)狀態(tài)恢復消除工業(yè)風險；

6）在DCS側(cè)確認喪失分區(qū)執(zhí)行器接收的指令狀態(tài)后，將該分區(qū)隔離的所有執(zhí)行器按需全部在電氣盤側(cè)先操作至試驗位，再操作至工作位，為主控室操作員恢復系統(tǒng)狀態(tài)做好準備工作；

7）主控室操縱員按照如下系統(tǒng)恢復順序，將機組恢復至試驗前狀態(tài)：先恢復喪失分區(qū)冷源和冷鏈相關(guān)系統(tǒng)、再恢復通風、消防等支持系統(tǒng)、最后恢復該分區(qū)主系統(tǒng)；

8）所有工藝系統(tǒng)恢復完成后，操作員需要結(jié)合試驗前機組正常巡盤記錄，最終恢復機組狀態(tài)至正常運行模式。

2.5 機組狀態(tài)恢復邏輯控制時序制定

基于上文各項研究分析結(jié)果及干預策略，最終制定的CEPR機組降級運行試驗后機組狀態(tài)恢復策略邏輯控制時序圖如下：

該時序圖按照執(zhí)行階段的不同分為四個序列：

1）序列一：降級運行試驗前數(shù)據(jù)分析及參試文件準備序列；

2）序列二：喪失分區(qū)DCS恢復前干預序列；

3）序列三：喪失分區(qū)DCS逐步恢復序列；

4）序列四：DCS恢復后機組狀態(tài)恢復序列。

3 機組恢復策略實施效果

臺山核電廠CEPR 1號機組在2017年中旬按計劃完成所有OIC試驗中的降級運行試驗，期間使用該機組狀態(tài)恢復策略編制的控制方案，成功實現(xiàn)四份降級運行試驗后機組狀態(tài)在高平臺安全恢復。所有試驗項目在機組狀態(tài)恢復期間，關(guān)鍵狀態(tài)參數(shù)均在受控范圍，未引入任何瞬態(tài)事件。在節(jié)約機組設(shè)計瞬態(tài)次數(shù)的同時，有效控制了熱態(tài)功能試驗的時間成本。

4 結(jié)束語

通過對CEPR機組降級運行試驗后機組狀態(tài)恢復策略的深入研究分析，形成了一套在機組高平臺工況下恢復核電廠DCS系統(tǒng)和機組總體狀態(tài)的分析方法和風險控制措施，并成功應用于臺山CEPR 1號機組熱態(tài)功能試驗階段。該機組狀態(tài)恢復策略的研究與實踐對后續(xù)三代核電項目具有積極的參考價值。

【參考文獻】

[1]李永進，劉洋.淺析EPR核電廠總體儀控試驗設(shè)計方法[J].科技視界，2018，13：45-105.

[2]王振營，李紅林，鄭文波.核電站數(shù)字化儀控系統(tǒng)缺省值分析研究[J].自動化儀表，2011，5（32）：24-27.

[2]張錦浙.狀態(tài)導向法事故處理程序[J].大亞灣核電，2007，4：45-48.

[3]臺山核電合營有限公司.臺山核電廠1、2號機組最終安全分析報告[R].2012.