★北京廣利核系統工程有限公司王瀟，王森，劉旭東，肖明

關鍵詞：專設安全設施；故障安全；輸出模塊；執行器；驅動指令；優先級模塊

專設安全設施是核電站的重要組成部分，用于事故工況下完成反應堆堆芯冷卻、保持安全殼完整性等功能，防止反應堆堆芯損傷以及限制放射性釋放，確保反應堆、電站設備、人員和事故周邊區域的安全。在華龍一號核電站中，通過安全級的反應堆保護系統（RPS）實現專設安全設施的驅動功能。為了確保專設安全設施驅動功能可以正常執行，需要采取一系列的措施以提高RPS系統的可靠性水平，包括采取冗余、多樣性、獨立性等設計手段^[1,2]。

除上述手段外，故障安全同樣是提高系統可靠性的有效設計策略之一。HAF102-2016要求^[3]，必須恰當地考慮故障安全設計原則，并貫徹到核動力廠安全重要系統和部件的設計中。某華龍一號核電站RPS系統基于北京廣利核系統工程有限公司的FirmSys平臺安全級數字化控制系統（DCS）產品實現^[4]。為了提高系統的可靠性，RPS系統各冗余序列中設置了并行冗余的控制站實現專設安全設施驅動信號的觸發，并通過優先級模塊實現并行冗余驅動信號的處理和輸出^[5]。在工程實施過程中，如何對并行冗余驅動信號進行故障安全設計，以降低DCS部件故障對專設安全設施驅動功能的影響，是DCS需要重點考慮的問題之一。本文基于某華龍一號核電站RPS系統架構和DCS產品特點，對專設安全設施驅動信號觸發類型及執行器類型進行了分析，并提出了一種適用于并行冗余專設安全設施驅動信號的故障安全設計方法。

1　華龍一號RPS系統架構

某華龍一號核電站實現專設安全設施驅動功能的RPS系統架構如圖1所示。

圖1 用于專設安全設施驅動功能的RPS系統架構圖

專設安全設施驅動功能由四重冗余通道的反應堆保護機柜（RPC）、三重冗余序列的專設安全設施驅動機柜（ESFAC）和設備接口機柜（CIC）實現。用于觸發專設安全設施驅動功能的傳感器保護參數由RPC采集并進行閾值處理，通過通信發送至各序列的ESFAC。各冗余序列中ESFAC采用并行冗余方式實現，兩系并行冗余控制站對來自不同通道RPC的信號進行表決，生成對應序列的專設安全設施驅動信號，并通過獨立的輸出模塊輸出至CIC中的優先級模塊^[6,7]。在優先級模塊中，來自兩個并行冗余控制站的專設安全設施驅動信號分別與來自其它儀控系統的指令進行優先級選擇，通過二取一處理后輸出至執行器。

2　專設安全設施驅動信號的故障安全設計

2.1　故障安全設計原則

HAD102/10-2021要求，應將安全重要系統和部件設計為故障安全，使其自身的故障或支持設施的故障不妨礙預定安全功能的執行^[8]。

華龍一號核電站專設安全設施驅動功能由三個冗余序列實現，當其中一個序列出現故障時（包括拒動或誤動），剩余兩個序列仍可以正常執行安全功能。為了提高系統的可靠性水平，對于單一序列中的并行冗余專設安全設施驅動信號，其故障安全設計首先應遵循防拒動原則，使得任意一系并行冗余信號故障后，本序列仍具有執行專設安全設施驅動功能的能力。

此外，為了避免因專設安全設施誤動作對現場設備施加不必要的應力，導致縮短電站壽命，以及降低電站的可用性等不良后果，HAD102/10-2021同時要求在實際可行的范圍內，儀控系統部件的故障不應引起安全系統的誤動作^[8]。因此，故障安全設計還應綜合考慮防誤動原則，使得某一系ESFAC驅動信號出現故障時，不會造成執行器的誤動作。

根據RPS系統架構，專設安全設施驅動信號路徑包括RPC部分、ESFAC部分和CIC部分。其中，任意一個通道RPC的故障（包括拒動或誤動）均可通過ESFAC中的表決邏輯進行剔除。因此，本文重點考慮ESFAC和CIC部分的故障安全設計，具體涉及的DCS部件包括ESFAC中的通信模塊（COM）、控制器、輸出模塊（DO）以及CIC中的優先級模塊。

其中，DCS支持對ESFAC輸出模塊進行故障安全值設置，使系統在診斷出ESFAC控制器故障或ESFAC輸出模塊故障時，輸出一個符合預期的安全狀態。ESFAC輸出模塊可設置的故障安全值包括：

（1）failon：診斷出故障后輸出“1”；

（2）failoff：診斷出故障后輸出“0”；

（3）failasis：診斷出故障后輸出“上一時刻值”。

此外，為了保證正常運行情況下或某一系并行冗余控制站故障情況下，優先級模塊均可響應專設安全設施驅動信號并輸出預期的最終驅動信號，優先級模塊支持對兩個冗余驅動信號的輸出進行設定，即根據驅動指令動作的類型（例如“1”動作或“0”動作），對優先級模塊中的二取一處理邏輯進行“與或設定”。

2.2　ESFAC輸出模塊的故障安全值設置

ESFAC輸出模塊故障安全值的設置應保證單個并行冗余控制站故障后，不會誤觸發驅動指令，同時不會阻止另一個控制站完成驅動控制功能。

如果將輸出模塊的故障安全值設置為信號觸發狀態，則當某一系并行冗余控制器或輸出模塊故障時，系統將直接輸出驅動信號，造成執行器誤動作。如果將故障安全值設置為保持上一周期值，則存在輸出不確定的風險，即根據當前實際工況保持為觸發狀態或未觸發狀態。假設DCS部件在專設安全設施驅動信號因某一始發事件觸發之后發生故障，且在安全功能執行完成后故障部件仍未修復或未及時采取旁通等干預措施，則專設安全設施驅動信號將一直保持為觸發狀態，不利于電站及時恢復至安全狀態。

因此，為了避免故障對系統功能的影響，應將輸出模塊的故障安全值設置為信號未觸發的狀態。即當診斷出控制器或輸出模塊故障時，使輸出模塊保持輸出正常運行狀態下的指令狀態，令其不再執行任何控制功能。

根據不同的控制邏輯要求，ESFAC專設安全設施驅動信號包括不同的正常狀態和觸發狀態：

（1）正常狀態為“0”，觸發狀態為“1”。即正常情況下ESFAC控制器輸出信號為“0”，輸出模塊的輸出觸點斷開，當驅動信號觸發時，ESFAC控制器輸出信號為“1”，輸出模塊的輸出觸點閉合。

（2）正常狀態為“1”，觸發狀態為“0”。即正常情況下ESFAC控制器輸出信號為“1”，輸出模塊的輸出觸點閉合，當驅動信號觸發時，ESFAC控制器輸出信號為“0”，輸出模塊的輸出觸點斷開。

對某華龍一號核電站專設安全設施驅動功能進行梳理，ESFAC專設安全設施驅動信號均為正常狀態為“0”，觸發狀態為“1”。基于該信號觸發類型，統一將ESFAC輸出模塊的故障安全值設置為failoff，一個控制站故障時由另一正常系控制站執行專設安全設施驅動功能。

2.3　優先級模塊的輸出設定

優先級模塊的輸出設定與優先級模塊最終輸出的驅動信號相關，而最終的驅動信號類型取決執行器自身的控制特點。根據接收的驅動指令類型對執行器進行分類，可以將執行器分為雙指令驅動的執行器和單指令驅動的執行器兩種類型。

（1）雙指令驅動的執行器

雙指令驅動的執行器包括電動閥、泵、風機、加熱器以及雙穩態電磁閥等，通常需要從DCS同時接收開、關兩個獨立指令，以實現不同的動作方向。

對于此類型執行器，專設安全設施驅動信號作用于開或關方向時，將在優先級模塊中閉鎖其它低級別系統的反向指令后，再通過優先級模塊輸出對應方向的24V/48V高電平驅動指令（開指令或關指令）。專設安全設施驅動信號作用于雙指令執行器的驅動原理如圖2所示。

由圖2可知，專設安全設施驅動信號處于觸發狀態、輸出為“1”時，開指令和關指令均為“1”動作，使得執行器趨向于對應方向動作。此時，可以將二取一邏輯設置為“或”邏輯，即可保證正常運行情況下或某一系并行冗余驅動信號故障情況下，另一系并行冗余驅動信號均可正常驅動執行器動作。

圖2　專設安全設施驅動信號作用于雙指令執行器的驅動原理圖

（2）單指令驅動的執行器

單指令驅動的執行器是指單穩態電磁閥，此類電磁閥從DCS接收一路驅動信號，通過驅動信號的高低電平狀態轉換，控制閥門的開啟和關閉。驅動信號為“1”時，優先級模塊輸出24V/48V高電平信號，電磁閥處于勵磁狀態；驅動信號為“0”時，優先級模塊輸出低電平信號，電磁閥處于失磁狀態。

不同工藝系統應用的單穩態電磁閥在勵磁和失磁作用下的動作方向存在差異，具體分為失磁關和失磁開兩種類型。失磁關電磁閥在驅動信號為“0”時失磁關閉，驅動信號為“1”時勵磁開啟。專設安全設施驅動信號作用于失磁關電磁閥的驅動原理如圖3所示。

圖3 失磁關電磁閥的驅動原理圖

由圖3可知，對于失磁關電磁閥，專設安全設施驅動信號用于開方向時，最終的驅動指令為“1”。當專設安全設施驅動信號用于關方向時，在優先級模塊中閉鎖來自其它系統的開方向信號，使優先級邏輯的輸出為“0”，確保最終的驅動指令為“0”。為了保證任意一系并行冗余專設安全設施驅動信號即可驅動閥門動作，優先級模塊的輸出設定如下：

（1）當專設安全設施驅動信號為開方向作用，預期使得最終的驅動指令為“1”時，二取一處理邏輯設置為“或”。

（2）當專設安全設施驅動信號為關方向作用，預期使得最終的驅動指令為“0”時，二取一處理邏輯設置為“與”。

失磁開電磁閥在驅動指令作用下的動作方向與失磁關電磁閥相反，在驅動信號為“0”時失磁開啟，驅動信號為“1”時勵磁關閉。專設安全設施驅動信號作用于失磁開電磁閥的驅動原理如圖4所示。

圖4 失磁開電磁閥的驅動原理圖

由圖4可知，專設安全設施驅動信號的開、關方向作用于失磁開電磁閥時，優先級模塊最終輸出的驅動指令狀態與失磁關電磁閥完全相反，輸出設定如下：

（1）當專設安全設施驅動信號為開方向作用，預期使得最終的驅動指令為“0”時，二取一處理邏輯設置為“與”。

（2）當專設安全設施驅動信號為關方向作用，預期使得最終的驅動指令為“1”時，二取一處理邏輯設置為“或”。

盡管從開、關方向角度分析，失磁關電磁閥和失磁開電磁閥的與或設定是相反的，但是從專設安全設施驅動信號的勵磁、失磁作用角度來看，兩者的與或設置原則是統一的。即專設安全設施驅動信號為勵磁作用時，二取一處理邏輯設置為“或”；專設安全設施驅動信號為失磁作用時，二取一處理邏輯設置為“與”。

此外，如果一些單穩態電磁閥用于不同工況下執行不同的功能，則可能同時存在開、關兩個方向的專設安全設施驅動信號，而兩個方向的指令會存在沖突的與或設定要求。此時，需要根據核電站工藝要求，選擇偏向于安全狀態的指令方向，作為判斷優先級模塊輸出設定的依據。

2.4　故障影響分析

使用失效模式與影響分析（FMEA）方法，分析某一系ESFAC控制站、優先級模塊故障后，ESFAC輸出模塊故障安全值設置與CIC優先級模塊輸出設定對于專設安全設施驅動功能的作用。

（1）分析范圍

ESFAC并行冗余控制站中的設備包括接收RPC表決信號的通信模塊、執行運算功能的控制器、執行輸出功能的輸出模塊。其中，ESFAC每個并行冗余控制站各配置四個通信模塊，用于接收來自不同通道RPC的表決信號，單一通信模塊故障導致某一通道RPC信號故障時，可以通過表決邏輯對故障信號進行剔除，不影響專設安全設施驅動功能。因此，FMEA分析的對象為ESFAC控制器、輸出模塊、控制器與輸出模塊之間的內部通信鏈路以及CIC優先級模塊。

（2）故障模式

根據對DCS板卡電子元器件的分析，識別ESFAC控制器、輸出模塊、CIC優先級模塊的故障模式。結合DCS產品的診斷能力和故障后果，控制器的故障模式可總結為可診斷的失效，輸出模塊的故障模式可總結為可診斷的失效、不可診斷的拒動以及不可診斷的誤動。通信鏈路可通過循環冗余校驗（CRC）、數據超時診斷等方法進行診斷，其故障模式可總結為可診斷的失效。優先級模塊可通過冗余硬件采集比較、電壓監測等方式進行診斷，其故障模式可總結為可診斷的失效、不可診斷的拒動以及不可診斷的誤動。

（3）影響分析

以ESFAC-A1為例，專設安全設施驅動功能FMEA分析如表1所示。

表1 專設安全設施驅動功能FMEA分析

由表1可知，在某一系ESFAC并行冗余控制站出現故障時，另一系仍可正常執行專設安全設施驅動功能。而概率極低的ESFC輸出模塊不可診斷的誤動，將導致該輸出模塊對應的專設安全設施執行器誤動作。為了避免重要的專設安全設施功能被觸發，可以考慮在各系控制站中，設置冗余的輸出模塊對專設安全設施驅動信號進行“二取二”后再輸出至優先級模塊。此外，CIC優先級模塊作為并行冗余驅動信號的集中點，其故障將導致對應的執行器控制功能不可用（產生拒動或誤動），此時由其它序列執行安全功能。優先級模塊診斷出故障時將默認保持當前輸出狀態，可以避免誤動作影響電站可用性。

3　結論

華龍一號核電站反應堆保護系統采用并行冗余的控制站，以提高專設安全設施驅動功能的可靠性。為了降低DCS部件故障對系統功能的影響，本文提出了一種適用于并行冗余專設安全設施驅動信號的故障安全設計方法。本文結合儀控系統架構和DCS產品特點開展故障模式分析，并根據專設安全設施驅動信號觸發類型及執行器類型，制定了輸出模塊故障安全值、優先級模塊輸出設定的設計方案。通過FMEA方法對故障模式進行影響分析，該設計方案可有效降低因DCS部件故障造成的專設安全設施驅動信號誤動或拒動風險。設計成果已成功在多個華龍一號核電站工程項目中應用，同時，該設計方法對其它核電站專設安全設施驅動信號的故障安全設計具有重要的借鑒意義。

作者簡介：

王　瀟（1990-），男，安徽人，工程師，學士，現就職于北京廣利核系統工程有限公司，主要從事核安全級儀控系統的設計工作。

參考文獻：

[1] 羅煒, 王銀麗, 陳學坤, 等. 基于FirmSys平臺的核電廠反應堆保護系統設計[J]. 自動化儀表, 2012, 42 (1) : 65 - 69.

[2] 田露, 吳坤, 劉宏春, 等. 核電廠數字化反應堆保護系統多樣性設計研究[J]. 電子技術應用, 2022, 48 (S1) : 13 - 18.

[3] HAF 102-2016, 核動力廠設計安全規定[S].

[4] 孟慶軍，國內典型壓水堆核電站數字化儀控系統方案優化[D]. 北京: 華北電力大學 (北京), 2013．

[5] 白瑋，鄭偉智, 孫洪濤, 等. 核電站數字化保護系統設計研究[J]. 自動化博覽, 2012 (9) : 62 - 66．

[6] 鄭偉智，核電站反應堆保護系統故障對策分析與應用[J]. 核電子學與探測技術, 2012 : 337 - 341.

[7] 鄭偉智，李相建, 朱毅明, 等. 核電站反應堆保護系統防共因故障設計研究[J]. 自動化儀表, 2012, 33 (2) : 47 - 50.

[8] HAD 102/10-2021, 核動力廠儀表和控制系統設計[S].

摘自《自動化博覽》2025年4月刊