核電應急柴油發電機組保護跳機原因分析

(江蘇核電有限公司，江蘇 連云港 222042)

為了確保安全系統的可靠供電，每個核電廠均設計有應急柴油發電機組(以下簡稱柴油機)作為廠用正常運行可靠供電系統的交流備用電源。

某核電廠每個機組設置兩臺應急柴油發電機，按照核電廠系統設計，當廠內正常運行可靠供電系統中的6 kV母線失電，同時備自投閉鎖或拒動時，主儀控系統觸發應急信號DA21，柴油機將應急起動并在15 s內到達額定轉速和額定電壓，進入應急運行模式，同時按主儀控系統中預先設定好的程序逐級加載對應母線上相應的負荷，應急信號在觸發10 min后方可進行復位。應急信號復位后方可進行對應母線段進線開關的合閘操作，此操作稱為反同期。進線開關合閘后，母線段恢復正常供電，此時應急柴油發電機由應急運行模式切換至正常運行模式，即恢復與外電網的并網狀態。應急運行模式下，能觸發應急停機信號有：手動應急停機信號、超速信號、差動保護信號。正常運行模式下，除了應急停機信號外，保護停機信號還有潤滑油壓力低、潤滑油溫度高、冷卻水溫度高、燃油壓力低、發電機軸瓦溫度高、發電機定子和轉子繞組溫度高、發電機過流保護、發電機欠電壓保護、膨脹水箱液位低等信號。

逐級加載試驗即將正常運行可靠母線段的進線開關手動分閘，人為觸發應急信號，柴油機應急啟動并到達額定轉速和額定電壓后分7步逐級加載母線上的負荷，加載結束10 min后復位應急信號，實施反同期操作，重新將母線段的進線開關手動合閘，恢復母線正常供電，加載邏輯見圖1所示。該試驗是驗證應急柴油發電機應急功能最直接、最有效的方式。根據試驗過程中出現的故障現象，分析故障可能原因，采取有效的排查措施，找到故障的直接原因和根本原因，提出切實有效的糾正行動，對保障核電站的安全有著至關重要的作用。

1 缺陷描述

某核電廠在實施柴油機逐級加載試驗期間，負荷按程序加載結束后，運行操作人員在執行正常復位應急信號DA21的操作時，柴油機發生異常停運，事件序列如下：

1)負荷按程序逐級加載結束后，運行操作人員根據操作步驟按下應急信號DA21的“release”和“reset”按鈕，DA21信號隨即消除；

2)發電機出口斷路器跳開，對應的出口母線段失電；

3)柴油機保護跳機，就地控制屏上出現應急停機 “Emergency Tripping”和潤滑油壓力低 “lube oil low low low pressure”等信號，試驗過程的報警序列記錄見表1所示；

圖1 柴油機逐級加載邏輯圖Fig.1 The logic of step-by-step loading for the diesel generator

序號時間報警序列109/13/2017 14:34:49Normal Tripping & Trip UDG Circuit Breaker209/13/2017 14:34:49General Alarm309/13/2017 14:34:49Generator over frequency (81.1)409/13/2017 14:34:53Over excitation limitation509/13/2017 14:34:55Generator under voltage(27.1)609/13/2017 14:35:03Lube oil low pressure709/13/2017 14:35:09Lube oil lowlow pressure809/13/2017 14:35:14Emergency Tripping909/13/2017 14:35:14Lube oil lowlow low pressure1009/13/2017 14:35:14UDG start order1109/13/2017 14:35:14Engine lube oil low pressure

4)應急信號DA21消除后約3 s，由于出口母線失電，該應急信號再次被觸發，柴油機再次應急啟動四次，其中前三次啟動均失敗，第四次啟動成功；

5)柴油機再次啟動后運行無異常，潤滑油壓力也正常，但出口斷路器未按邏輯自動合閘，導致出口母線處于失電狀態，輔助工藝系統和設備未啟動，柴油機因失去冷源而導致冷卻水溫度和潤滑油溫度逐步上升，在主控操作人員閉鎖應急信號DA21后，就地操作人員按下就地緊急停機按鈕停運柴油機。

2 原因分析和排查

根據故障現象，結合柴油機和主儀控系統的設計邏輯，初步分析認為此次試驗導致柴油機保護跳機的可能原因如下：

原因1：在無報警信號存在的情況下，因邏輯設計不合理或接線錯誤等問題，復位按鈕“release”和“reset”時觸發保護跳機信號；

原因2：柴油機運行時潤滑油實際壓力低觸發保護跳機信號；

原因3：正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”存在的情況下，因邏輯設計不合理或接線錯誤等問題，“release”和“reset”按鈕與停機信號連鎖，按鈕動作時觸發保護跳機信號；

原因4：試驗過程中出現的正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”因應急信號DA21復位后被解鎖并觸發保護跳機。

根據上述可能原因，制定排查方案，排查過程如下：

1)針對原因1，試驗人員在后備盤上檢查應急信號DA21的“release”和“reset”按鈕，動作均正常，且無邏輯設計不合理或接線錯誤等問題，由此排除按鈕“release”和“reset”導致保護跳機信號被觸發的可能性。

2)針對原因2，運行操作人員將發電機出口斷路器置于試驗分閘位，試驗人員在就地控制柜上將與主儀控相連的DA21信號線解開，通過就地模擬DA21信號觸發柴油機應急啟動，柴油機啟動后運行無異常，潤滑油壓力正常，未出現低壓報警信號。約10分鐘后，試驗人員取消模擬的DA21信號，就地檢查柴油機運行無異常，潤滑油壓力正常，未出現低壓報警信號，運行操作人員正常停運柴油機。

由此排除潤滑油壓力低觸發保護停機信號的可能原因。

3)針對原因3，運行操作人員將發電機出口斷路器置于試驗分閘位，試驗人員在就地控制柜上將與主儀控相連的DA21信號線解開，通過就地模擬DA21信號觸發柴油機應急啟動，柴油機啟動后運行無異常，潤滑油壓力正常，試驗人員實施如下驗證：

① 保持DA21信號存在，在后備盤上按下“release”和“reset”按鈕，就地檢查確認柴油機未保護停運；

② 保持DA21信號存在，松開“release”和“reset”按鈕，就地模擬正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”，就地檢查確認柴油機未保護停運；

③ 保持模擬正常停機信號“Normal Tripping &Trip UDG Circuit Breaker”和DA21信號持續存在，同時按下“release”和“reset”按鈕，就地檢查確認柴油機未保護停運；

④ 保持模擬正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”持續存在，取消模擬的DA21信號，就地檢查發現柴油機保護跳機，發電機出口斷路器試驗位跳開。

通過上述方式驗證，排除了在正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”持續存在的情況下因邏輯設計不合理或接線錯誤等問題導致“release”和“reset”按鈕動作連鎖觸發保護跳機的可能原因。

4)針對原因4，試驗人員在機組就地控制柜上拆除啟動電磁閥的繼電器以防止柴油機反復啟動，在就地控制柜上再次模擬DA21信號觸發柴油機應急啟動，柴油機啟動后運行無異常，潤滑油壓力正常，試驗人員實施如下驗證：

① 在就地控制柜上模擬正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”并持續保持，取消DA21信號，現場檢查確認柴油機保護跳機；

② 在柴油機保護跳機后3秒，在就地控制柜上再次模擬DA21信號，就地控制屏出現應急停機信號“Emergency Tripping”和潤滑油壓力低信號“lube oil low low low pressure”，報警序列記錄與正常逐級加載試驗期間的報警序列記錄一樣。

由此可確定，DA21信號復位后，正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”的存在是導致機組保護跳機的直接原因。

查詢柴油機設計邏輯發現：柴油機的運行模式分為試驗模式和應急模式，以DA21信號是否被觸發作為判定依據。在試驗模式下，當啟動命令發出4 s后如柴油機轉速仍小于300 r/min，則觸發啟機失敗信號，保護停運柴油機并將發電機出口斷路器跳開，同時在就地控制屏上出現正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”。在應急模式下，雖然正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”也被觸發，但由于DA21信號的存在而被閉鎖，只是出現報警信號而無法停運柴油機，如圖2所示。

圖2 修改前邏輯圖Fig.2 The logic before modification

當運行操作人員從主控后備盤復位DA21信號后，DA21信號消除，柴油機由應急模式切到試驗模式，正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”被解鎖，柴油機保護停運，發電機出口斷路器跳開，出口母線失電，3 s后DA21信號被再次觸發，此時，柴油機處于惰轉過程，轉速下降，潤滑油壓力下降，而啟機命令“UDG start order”因轉速未到限值而無法復位，控制系統判定柴油機正處于正常運行狀態，由此觸發了應急停機信號“Emergency Tripping”和潤滑油壓力低信號“lube oil low low low pressure”。

停機命令發出后，停機電磁閥根據邏輯設定保持120 s打開狀態，在此期間柴油機無法啟動，造成再次應急啟動的前三次均失敗，120 s后停機電磁閥關閉，第四次啟動才成功。

柴油機保護停機后，發電機出口斷路器同時分閘，柴油機再次應急啟動成功后，出口斷路器因暫態故障未能觸發分位信號，導致無法觸發再次合閘信號。

查詢該柴油機轉速曲線歷史記錄，發現柴油機本體應急啟動啟機時間長達27.4 s，啟動命令發出6.1 s后轉速才達到300 r/min，超過設計邏輯要求不大于4 s的限值，從而觸發正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”。

查詢該柴油機上一次成功啟動與本次逐級帶載試驗之間的維修記錄，發現僅有一次維修活動：拆除柴油機燃油進機管線的臨時壓力表。拆裝過程因排放了部分管內燃油，造成了燃油管內存在部分空氣。試驗前手動啟動燃油增壓泵僅運行了5 min，未能將管道內的空氣排凈，啟機階段燃油短時供應不足，導致啟機時間過長而觸發正常停機信號。由此可知拆除柴油機燃油進機管線的臨時壓力表后燃油增壓泵運行時間過短，未將管內的空氣排除干凈為柴油機保護跳機的根本原因。

3 處理方案

為避免此類事件再次發生，根據本次事件的現象和原因，采取的處理方案如下：

1)修改邏輯，如圖3所示，將出口母線段進線開關的狀態與柴油機的模式相連鎖，確保出口母線的進線開關處于分閘狀態時，柴油機仍處于應急模式，從而閉鎖正常停機信號，保證其應急功能；

圖3 修改后邏輯圖Fig.3 The logic after modification

2)在柴油機燃油進口管線解體檢修工作結束恢復熱備用后需啟動柴油機進行驗證，在進行試驗前需啟動燃油增壓泵運行至少20 min，以徹底排除燃油管線中的空氣，避免實施逐級加載試驗時柴油機無法啟動或出現正常停機信號；

3)根據邏輯設計，每次試驗結束后，在試驗模式下正常停機時都會觸發正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”，需要在就地控制柜和綜保儀上對正常停機信號“Normal Tripping & Trip UDG Circuit Breaker”進行復位操作。

4 結 論

本文針對某核電廠應急柴油發電機組調試期間實施逐級加載試驗時出現的保護跳機問題，通過對缺陷現象進行描述，對缺陷原因進行分析，提出了建議糾正行動，理論上可以從根本上避免同類事件在同類型系統和設備上再次發生，同時該事件的分析和處理過程可以供同行電站的相關技術人員在分析和處理類似事件時參考使用。