★北京广利核系统工程有限公司王潇，王森，刘旭东，肖明

关键词：专设安全设施；故障安全；输出模块；执行器；驱动指令；优先级模块

专设安全设施是核电站的重要组成部分，用于事故工况下完成反应堆堆芯冷却、保持安全壳完整性等功能，防止反应堆堆芯损伤以及限制放射性释放，确保反应堆、电站设备、人员和事故周边区域的安全。在华龙一号核电站中，通过安全级的反应堆保护系统（RPS）实现专设安全设施的驱动功能。为了确保专设安全设施驱动功能可以正常执行，需要采取一系列的措施以提高RPS系统的可靠性水平，包括采取冗余、多样性、独立性等设计手段^[1,2]。

除上述手段外，故障安全同样是提高系统可靠性的有效设计策略之一。HAF102-2016要求^[3]，必须恰当地考虑故障安全设计原则，并贯彻到核动力厂安全重要系统和部件的设计中。某华龙一号核电站RPS系统基于北京广利核系统工程有限公司的FirmSys平台安全级数字化控制系统（DCS）产品实现^[4]。为了提高系统的可靠性，RPS系统各冗余序列中设置了并行冗余的控制站实现专设安全设施驱动信号的触发，并通过优先级模块实现并行冗余驱动信号的处理和输出^[5]。在工程实施过程中，如何对并行冗余驱动信号进行故障安全设计，以降低DCS部件故障对专设安全设施驱动功能的影响，是DCS需要重点考虑的问题之一。本文基于某华龙一号核电站RPS系统架构和DCS产品特点，对专设安全设施驱动信号触发类型及执行器类型进行了分析，并提出了一种适用于并行冗余专设安全设施驱动信号的故障安全设计方法。

1　华龙一号RPS系统架构

某华龙一号核电站实现专设安全设施驱动功能的RPS系统架构如图1所示。

图1 用于专设安全设施驱动功能的RPS系统架构图

专设安全设施驱动功能由四重冗余通道的反应堆保护机柜（RPC）、三重冗余序列的专设安全设施驱动机柜（ESFAC）和设备接口机柜（CIC）实现。用于触发专设安全设施驱动功能的传感器保护参数由RPC采集并进行阈值处理，通过通信发送至各序列的ESFAC。各冗余序列中ESFAC采用并行冗余方式实现，两系并行冗余控制站对来自不同通道RPC的信号进行表决，生成对应序列的专设安全设施驱动信号，并通过独立的输出模块输出至CIC中的优先级模块^[6,7]。在优先级模块中，来自两个并行冗余控制站的专设安全设施驱动信号分别与来自其它仪控系统的指令进行优先级选择，通过二取一处理后输出至执行器。

2　专设安全设施驱动信号的故障安全设计

2.1　故障安全设计原则

HAD102/10-2021要求，应将安全重要系统和部件设计为故障安全，使其自身的故障或支持设施的故障不妨碍预定安全功能的执行^[8]。

华龙一号核电站专设安全设施驱动功能由三个冗余序列实现，当其中一个序列出现故障时（包括拒动或误动），剩余两个序列仍可以正常执行安全功能。为了提高系统的可靠性水平，对于单一序列中的并行冗余专设安全设施驱动信号，其故障安全设计首先应遵循防拒动原则，使得任意一系并行冗余信号故障后，本序列仍具有执行专设安全设施驱动功能的能力。

此外，为了避免因专设安全设施误动作对现场设备施加不必要的应力，导致缩短电站寿命，以及降低电站的可用性等不良后果，HAD102/10-2021同时要求在实际可行的范围内，仪控系统部件的故障不应引起安全系统的误动作^[8]。因此，故障安全设计还应综合考虑防误动原则，使得某一系ESFAC驱动信号出现故障时，不会造成执行器的误动作。

根据RPS系统架构，专设安全设施驱动信号路径包括RPC部分、ESFAC部分和CIC部分。其中，任意一个通道RPC的故障（包括拒动或误动）均可通过ESFAC中的表决逻辑进行剔除。因此，本文重点考虑ESFAC和CIC部分的故障安全设计，具体涉及的DCS部件包括ESFAC中的通信模块（COM）、控制器、输出模块（DO）以及CIC中的优先级模块。

其中，DCS支持对ESFAC输出模块进行故障安全值设置，使系统在诊断出ESFAC控制器故障或ESFAC输出模块故障时，输出一个符合预期的安全状态。ESFAC输出模块可设置的故障安全值包括：

（1）failon：诊断出故障后输出“1”；

（2）failoff：诊断出故障后输出“0”；

（3）failasis：诊断出故障后输出“上一时刻值”。

此外，为了保证正常运行情况下或某一系并行冗余控制站故障情况下，优先级模块均可响应专设安全设施驱动信号并输出预期的最终驱动信号，优先级模块支持对两个冗余驱动信号的输出进行设定，即根据驱动指令动作的类型（例如“1”动作或“0”动作），对优先级模块中的二取一处理逻辑进行“与或设定”。

2.2　ESFAC输出模块的故障安全值设置

ESFAC输出模块故障安全值的设置应保证单个并行冗余控制站故障后，不会误触发驱动指令，同时不会阻止另一个控制站完成驱动控制功能。

如果将输出模块的故障安全值设置为信号触发状态，则当某一系并行冗余控制器或输出模块故障时，系统将直接输出驱动信号，造成执行器误动作。如果将故障安全值设置为保持上一周期值，则存在输出不确定的风险，即根据当前实际工况保持为触发状态或未触发状态。假设DCS部件在专设安全设施驱动信号因某一始发事件触发之后发生故障，且在安全功能执行完成后故障部件仍未修复或未及时采取旁通等干预措施，则专设安全设施驱动信号将一直保持为触发状态，不利于电站及时恢复至安全状态。

因此，为了避免故障对系统功能的影响，应将输出模块的故障安全值设置为信号未触发的状态。即当诊断出控制器或输出模块故障时，使输出模块保持输出正常运行状态下的指令状态，令其不再执行任何控制功能。

根据不同的控制逻辑要求，ESFAC专设安全设施驱动信号包括不同的正常状态和触发状态：

（1）正常状态为“0”，触发状态为“1”。即正常情况下ESFAC控制器输出信号为“0”，输出模块的输出触点断开，当驱动信号触发时，ESFAC控制器输出信号为“1”，输出模块的输出触点闭合。

（2）正常状态为“1”，触发状态为“0”。即正常情况下ESFAC控制器输出信号为“1”，输出模块的输出触点闭合，当驱动信号触发时，ESFAC控制器输出信号为“0”，输出模块的输出触点断开。

对某华龙一号核电站专设安全设施驱动功能进行梳理，ESFAC专设安全设施驱动信号均为正常状态为“0”，触发状态为“1”。基于该信号触发类型，统一将ESFAC输出模块的故障安全值设置为failoff，一个控制站故障时由另一正常系控制站执行专设安全设施驱动功能。

2.3　优先级模块的输出设定

优先级模块的输出设定与优先级模块最终输出的驱动信号相关，而最终的驱动信号类型取决执行器自身的控制特点。根据接收的驱动指令类型对执行器进行分类，可以将执行器分为双指令驱动的执行器和单指令驱动的执行器两种类型。

（1）双指令驱动的执行器

双指令驱动的执行器包括电动阀、泵、风机、加热器以及双稳态电磁阀等，通常需要从DCS同时接收开、关两个独立指令，以实现不同的动作方向。

对于此类型执行器，专设安全设施驱动信号作用于开或关方向时，将在优先级模块中闭锁其它低级别系统的反向指令后，再通过优先级模块输出对应方向的24V/48V高电平驱动指令（开指令或关指令）。专设安全设施驱动信号作用于双指令执行器的驱动原理如图2所示。

由图2可知，专设安全设施驱动信号处于触发状态、输出为“1”时，开指令和关指令均为“1”动作，使得执行器趋向于对应方向动作。此时，可以将二取一逻辑设置为“或”逻辑，即可保证正常运行情况下或某一系并行冗余驱动信号故障情况下，另一系并行冗余驱动信号均可正常驱动执行器动作。

图2　专设安全设施驱动信号作用于双指令执行器的驱动原理图

（2）单指令驱动的执行器

单指令驱动的执行器是指单稳态电磁阀，此类电磁阀从DCS接收一路驱动信号，通过驱动信号的高低电平状态转换，控制阀门的开启和关闭。驱动信号为“1”时，优先级模块输出24V/48V高电平信号，电磁阀处于励磁状态；驱动信号为“0”时，优先级模块输出低电平信号，电磁阀处于失磁状态。

不同工艺系统应用的单稳态电磁阀在励磁和失磁作用下的动作方向存在差异，具体分为失磁关和失磁开两种类型。失磁关电磁阀在驱动信号为“0”时失磁关闭，驱动信号为“1”时励磁开启。专设安全设施驱动信号作用于失磁关电磁阀的驱动原理如图3所示。

图3 失磁关电磁阀的驱动原理图

由图3可知，对于失磁关电磁阀，专设安全设施驱动信号用于开方向时，最终的驱动指令为“1”。当专设安全设施驱动信号用于关方向时，在优先级模块中闭锁来自其它系统的开方向信号，使优先级逻辑的输出为“0”，确保最终的驱动指令为“0”。为了保证任意一系并行冗余专设安全设施驱动信号即可驱动阀门动作，优先级模块的输出设定如下：

（1）当专设安全设施驱动信号为开方向作用，预期使得最终的驱动指令为“1”时，二取一处理逻辑设置为“或”。

（2）当专设安全设施驱动信号为关方向作用，预期使得最终的驱动指令为“0”时，二取一处理逻辑设置为“与”。

失磁开电磁阀在驱动指令作用下的动作方向与失磁关电磁阀相反，在驱动信号为“0”时失磁开启，驱动信号为“1”时励磁关闭。专设安全设施驱动信号作用于失磁开电磁阀的驱动原理如图4所示。

图4 失磁开电磁阀的驱动原理图

由图4可知，专设安全设施驱动信号的开、关方向作用于失磁开电磁阀时，优先级模块最终输出的驱动指令状态与失磁关电磁阀完全相反，输出设定如下：

（1）当专设安全设施驱动信号为开方向作用，预期使得最终的驱动指令为“0”时，二取一处理逻辑设置为“与”。

（2）当专设安全设施驱动信号为关方向作用，预期使得最终的驱动指令为“1”时，二取一处理逻辑设置为“或”。

尽管从开、关方向角度分析，失磁关电磁阀和失磁开电磁阀的与或设定是相反的，但是从专设安全设施驱动信号的励磁、失磁作用角度来看，两者的与或设置原则是统一的。即专设安全设施驱动信号为励磁作用时，二取一处理逻辑设置为“或”；专设安全设施驱动信号为失磁作用时，二取一处理逻辑设置为“与”。

此外，如果一些单稳态电磁阀用于不同工况下执行不同的功能，则可能同时存在开、关两个方向的专设安全设施驱动信号，而两个方向的指令会存在冲突的与或设定要求。此时，需要根据核电站工艺要求，选择偏向于安全状态的指令方向，作为判断优先级模块输出设定的依据。

2.4　故障影响分析

使用失效模式与影响分析（FMEA）方法，分析某一系ESFAC控制站、优先级模块故障后，ESFAC输出模块故障安全值设置与CIC优先级模块输出设定对于专设安全设施驱动功能的作用。

（1）分析范围

ESFAC并行冗余控制站中的设备包括接收RPC表决信号的通信模块、执行运算功能的控制器、执行输出功能的输出模块。其中，ESFAC每个并行冗余控制站各配置四个通信模块，用于接收来自不同通道RPC的表决信号，单一通信模块故障导致某一通道RPC信号故障时，可以通过表决逻辑对故障信号进行剔除，不影响专设安全设施驱动功能。因此，FMEA分析的对象为ESFAC控制器、输出模块、控制器与输出模块之间的内部通信链路以及CIC优先级模块。

（2）故障模式

根据对DCS板卡电子元器件的分析，识别ESFAC控制器、输出模块、CIC优先级模块的故障模式。结合DCS产品的诊断能力和故障后果，控制器的故障模式可总结为可诊断的失效，输出模块的故障模式可总结为可诊断的失效、不可诊断的拒动以及不可诊断的误动。通信链路可通过循环冗余校验（CRC）、数据超时诊断等方法进行诊断，其故障模式可总结为可诊断的失效。优先级模块可通过冗余硬件采集比较、电压监测等方式进行诊断，其故障模式可总结为可诊断的失效、不可诊断的拒动以及不可诊断的误动。

（3）影响分析

以ESFAC-A1为例，专设安全设施驱动功能FMEA分析如表1所示。

表1 专设安全设施驱动功能FMEA分析

由表1可知，在某一系ESFAC并行冗余控制站出现故障时，另一系仍可正常执行专设安全设施驱动功能。而概率极低的ESFC输出模块不可诊断的误动，将导致该输出模块对应的专设安全设施执行器误动作。为了避免重要的专设安全设施功能被触发，可以考虑在各系控制站中，设置冗余的输出模块对专设安全设施驱动信号进行“二取二”后再输出至优先级模块。此外，CIC优先级模块作为并行冗余驱动信号的集中点，其故障将导致对应的执行器控制功能不可用（产生拒动或误动），此时由其它序列执行安全功能。优先级模块诊断出故障时将默认保持当前输出状态，可以避免误动作影响电站可用性。

3　结论

华龙一号核电站反应堆保护系统采用并行冗余的控制站，以提高专设安全设施驱动功能的可靠性。为了降低DCS部件故障对系统功能的影响，本文提出了一种适用于并行冗余专设安全设施驱动信号的故障安全设计方法。本文结合仪控系统架构和DCS产品特点开展故障模式分析，并根据专设安全设施驱动信号触发类型及执行器类型，制定了输出模块故障安全值、优先级模块输出设定的设计方案。通过FMEA方法对故障模式进行影响分析，该设计方案可有效降低因DCS部件故障造成的专设安全设施驱动信号误动或拒动风险。设计成果已成功在多个华龙一号核电站工程项目中应用，同时，该设计方法对其它核电站专设安全设施驱动信号的故障安全设计具有重要的借鉴意义。

作者简介：

王　潇（1990-），男，安徽人，工程师，学士，现就职于北京广利核系统工程有限公司，主要从事核安全级仪控系统的设计工作。

参考文献：

[1] 罗炜, 王银丽, 陈学坤, 等. 基于FirmSys平台的核电厂反应堆保护系统设计[J]. 自动化仪表, 2012, 42 (1) : 65 - 69.

[2] 田露, 吴坤, 刘宏春, 等. 核电厂数字化反应堆保护系统多样性设计研究[J]. 电子技术应用, 2022, 48 (S1) : 13 - 18.

[3] HAF 102-2016, 核动力厂设计安全规定[S].

[4] 孟庆军，国内典型压水堆核电站数字化仪控系统方案优化[D]. 北京: 华北电力大学 (北京), 2013．

[5] 白玮，郑伟智, 孙洪涛, 等. 核电站数字化保护系统设计研究[J]. 自动化博览, 2012 (9) : 62 - 66．

[6] 郑伟智，核电站反应堆保护系统故障对策分析与应用[J]. 核电子学与探测技术, 2012 : 337 - 341.

[7] 郑伟智，李相建, 朱毅明, 等. 核电站反应堆保护系统防共因故障设计研究[J]. 自动化仪表, 2012, 33 (2) : 47 - 50.

[8] HAD 102/10-2021, 核动力厂仪表和控制系统设计[S].

摘自《自动化博览》2025年4月刊