★北京广利核系统工程有限公司王潇，夏利民，胡光耀，鲁超，吴桂生

关键词：水-水高能反应堆；优先级模块；定期试验；和睦系统；接口试验；安全级控制和显示装置

VVER-1200核电站中，反应堆保护系统（safety control and information display，SCID）生成专设安全设施驱动信号后，通过硬接线发送至优先级模块，与来自其他仪控系统/设备的指令进行优先级选择后，输出至现场安全级执行器（电动阀、泵、风机等），从而实现核电站安全保护功能。RPS专设安全设施驱动信号路径的完整性对核电站的安全具有重要意义，需要定期进行试验以保证其执行安全功能的能力。

根据HAD102/10-2021要求^[1]，对于安全系统，设计必须允许对包括从传感器到最终的触发驱动器和显示单元所有环节的定期试验。GB/T5204-2021规定^[2]，安全系统功能试验可以采用从传感器到被驱动设备同时试验的方法，也可以采用交迭试验的方式进行。国内在役核电站中，专设安全设施驱动功能的定期试验普遍采用分段交迭的方式进行，具体包括RPS定期试验、RPS与优先级模块接口试验、优先级模块定期试验以及优先级模块输出试验。

RPS与优先级模块接口试验用于验证RPS至优先级模块信号路径的完整性，验证方法与仪控系统架构的特点和仪控平台产品的功能紧密相关。本文基于北京广利核系统工程有限公司FirmSys^[3]平台产品，结合VVER-1200核电站仪控系统架构方案特点，提出了一种适用于VVER-1200核电站的优先级模块接口试验方法，并在某VVER-1200堆型核电站中获得成功应用。该方法使用FirmSys平台高可靠性安全级控制显示装置（priority actuation control cabinet，PAC）进行试验指令触发和反馈显示，通过控制器逻辑自动执行试验和结果判断，过程简单可靠，持续时间短，可有效避免试验过程中人因失误风险。

1　背景概述

某VVER-1200核电站RPS包含4个独立的冗余序列，每个序列有2个独立的子组^[4]（子组A和子组B），不同序列分别布置在实体分隔和电气隔离的厂房内，以确保某一保护序列或子组发生单一故障时，余下的保护序列和子组能确保安全功能的执行^[5]。优先级模块安装在包括4个独立冗余序列的优先级驱动控制机柜（priorityactuationcontrolcabinet，PAC）中，接收来自对应序列RPS的保护指令。

每个序列中，RPS两个子组采用硬接线方式将保护指令输出至优先级模块。优先级模块对两个子组的指令进行“二取一”处理后，与来自其他仪控系统的指令进行优先级管理。以一个序列为例，RPS与优先级模块的接口试验覆盖范围如图1所示。

图1RPS与优先级模块的接口试验覆盖范围

2　试验方案的总体考虑

结合VVER-1200核电站的特点，以及定期试验的设计经验，RPS与优先级模块的接口试验方案主要从如下三个方面进行考虑。

（1）试验触发装置的选择

GB/T5204-2021规定[2]，在选择试验系统的类型时，宜考虑自动试验装置。如有可能，试验装置可与安全系统装在一起，以便于进行定期试验而不要加设或拆除导线，但这些装置不得干扰部件或系统的可运行性或安全功能。

（2）防止试验导致误动作或妨碍安全动作执行

根据HAD102/10-2021、GB/T5204-2021以及IEEE338-2006等法规标准要求，定期试验应避免造成误动或妨碍安全动作的执行[1,2,6]。

（3）减少试验持续时间

为了减少定期试验的持续时间，避免因定期试验导致RPS长期处于降级状态^[7]，应考虑对同一子组控制的优先级模块同时进行试验。

3　接口试验方案设计

根据VVER-1200核电站仪控系统架构，RPS与优先级模块接口试验方案涉及试验触发装置、控制器、优先级模块三个层级。

3.1　试验触发装置层级设计

VVER-1200核电站RPS系统中配置了用于手动触发参数旁通功能的人机接口装置SCID。该SCID通过环网与RPS控制器进行数据交互，可以作为定期试验的人机接口装置，实现试验指令的触发功能，然后将试验指令发送至RPS控制器中，并提供试验结果的显示。

SCID属于RPS系统的组成部分^[8]，其通过光纤和通信设备与RPS子组A控制器、子组B控制器，以及其它控制器组成通信网络。SCID可以提供人机界面，设置操作按钮用于向RPS子组A和子组B控制器发送手动触发的试验指令。此外，人机界面还需要显示从控制器中收集的试验反馈信息，以便于判断试验是否成功以及故障定位。

试验触发装置人机界面设计防误动措施，避免了试验触发装置被误触发。SCID为每个RPS子组各设置一套独立的试验面板，每套试验面板配置“试验”“执行”“复位”3个按钮。为了避免因试验人员误触发而引起的非预期后果，必须顺序按下“试验”“执行”两个按钮才能实现指令的下发功能。

SCID上设置指示灯为试验人员提供了丰富的试验指示。试验面板上的“试验就绪”信号，供试验人员判断是否可以开始进行接口试验。试验面板上的“总试验结果”指示灯供试验人员判断单个子组的接口试验结果。同时，为了便于接口试验失败时的故障精准定位，面板上设置“单个执行器试验结果”，供试验人员判断每个优先级模块的接口试验结果。

以子组A为例，SCID人机界面设计如图2所示。

图2人机界面设计

3.2　控制器层级设计

试验过程中为避免造成误动或妨碍安全动作执行，对每个序列中两个独立的子组分别进行试验，使得未处于试验状态的另一子组仍可以正常执行安全功能。各子组控制器中，使用旁通作为试验允许的条件，避免非旁通状态下误生成试验指令。对于试验中的子组，在优先级模块中使用旁通闭锁其试验指令，以防止因试验导致执行器误动作。RPS子组A和子组B控制器与优先级模块的接口试验分别进行，以保证试验过程中该序列的安全功能始终可用。每个子组的控制器设计包括旁通状态处理、试验指令生成、试验反馈处理三个部分。

3.2.1　旁通状态处理

控制器的旁通是优先级模块接口试验的前提，可以有效避免试验指令的误触发，以及避免试验指令导致安全级执行器真实动作。

为了便于对两个子组分别进行试验，VVER-1200核电站RPS控制器采用三位置自保持旋钮的硬件旁通开关进行旁通选择，同一时刻只能选择将一个子组置为旁通状态。在此基础上，在RPS控制器中设置旁通状态判断单元，对两个子组的旁通信号进行互锁，避免因仪控故障等原因（例如采集板卡故障）导致两个子组同时旁通。

旁通状态处理设计如图3所示。经过互锁处理后的旁通信号通过硬接线发送至优先级模块，用于闭锁优先级模块中接收到的试验指令。优先级模块接收到旁通信号后，通过硬接线将已经接收到的旁通状态反馈至控制器中。该反馈信号可以视为试验准备就绪的条件，发送至SCID人机界面中，以供试验人员判断是否可以开始进行试验。

图3旁通状态处理设计

3.2.2　试验指令生成

在RPS子组A和子组B的控制器中，分别设置试验指令触发单元、试验时间控制单元以及真实指令闭锁单元，以实现最终试验指令的生成。试验指令生成设计如图4所示。

图4试验指令生成设计

（1）试验指令触发单元。控制器在进行试验之前，首先需要切换至旁通状态，然后才允许来自SCID的试验指令生效，避免了在非旁通状态下因试验指令误触发造成安全功能误动作的可能性。控制器处于旁通状态后，试验人员手动在SCID触发试验指令，通过通信方式发送至RPS控制器中，生成“试验指令A”。

（2）试验时间控制单元。控制器通过脉冲生成逻辑，使“试验指令B”默认持续10s，以严格限制接口试验的持续时间。此外，通过“试验指令C”的闭锁作用，将“试验指令D”前5s设置为输出“1”，后5s设置为输出“0”，以验证每个指令信号从断开到闭合、从闭合到断开的能力。此外，设计复位逻辑对试验指令进行闭锁，使得在试验过程中出现异常时，可以提前对试验进行终止。

（3）真实指令闭锁单元。如果试验开始前或过程中，真实的指令因工况变化或其它原因而触发，将会干扰定期试验的结果。因此，通过“试验指令B”对该控制器的真实指令进行闭锁，以避免试验过程中真实指令对试验路径造成影响。

3.2.3　试验反馈处理

控制器需要将试验反馈信号处理后发送至SCID人机界面，以提示试验人员试验是否成功，以及在试验失败时为故障定位提供足够的信息。每个优先级模块通过硬接线将其试验反馈发送至RPS控制器（除子组A和子组B以外的其它控制器），在该控制器中对试验反馈进行处理后发送至SCID人机界面。

根据试验指令生成的结果，在试验开始后的前5s内，优先级模块的试验反馈预期为“1”，后5s内试验反馈预期为“0”。通过判断前5s和后5s反馈状态是否正常，并使用两组RS触发器，即可将试验结果进行锁存，进而通过环网将其发送至SCID人机界面。

试验结束后，考虑清除人机接口界面的试验结果。控制器中设计复位条件，当试验人员在SCID上手动进行复位，或者RPS旁通信号消失时，复位RS触发器保持的试验状态显示信息。

3.3　优先级模块层级设计

VVER-1200核电站单机组配置了大量的优先级模块（约760个，单序列200个左右）用于控制安全级执行器。如果对每个优先级模块独立进行接口试验，将导致试验持续时间过长，极大增加了现场试验人员的工作负担。在控制器软件中，可以通过自动逻辑批量实现定期试验的启动和终止，提升了试验效率，同时减少了人员干预，降低了人因失误风险。

优先级模块接收来自RPS子组A和子组B控制器的指令，并在模块内部进行二取一处理后输出至现场执行器。为了防止试验指令导致执行器误动作，优先级模块内部设置旁通闭锁逻辑，闭锁试验指令的真实动作^[9]。

优先级模块的试验反馈信号通过硬接线接口传递至RPS控制器。为了减少优先级模块的硬件端口以及RPS控制器的IO采集通道，在优先级模块中分别对各RPS子组的旁通信号和试验反馈信号取“与”后，再共用相同的试验反馈输出硬件端口。某一RPS子组处于试验状态时，另一RPS子组处于非旁通状态，因此两个子组共用试验反馈输出硬件端口不会对试验结果的判断造成影响。

优先级模块层级设计如图5所示。

图5优先级模块层级口设计

3.4　接口试验步骤

基于该系统的定期试验流程如图6所示，对应的方法和过程如下：

（1）试验人员在RPS旁通装置上选择RPS子组A旁通或子组B旁通，旁通信号通过硬接线发送至RPS子组A/子组B控制器，经过旁通状态判断单元处理后，再通过硬接线发送至优先级模块，优先级模块将自身已被旁通的状态通过硬接线发送至RPS旁通装置，提示试验人员RPS已经处于旁通就绪状态。同时，优先级模块将自身已被旁通的状态通过硬接线发送至RPS子组A/子组B控制器，并反馈至SCID，提示试验人员可以开始进行试验。如果RPS旁通装置或SCID未正常显示旁通就绪时，则需要对旁通信号路径的故障进行定位及排除后重新设置RPS旁通。

（2）旁通就绪后，通过SCID手动触发试验信号。RPS子组A或子组B控制器经过试验指令触发单元和试验时间控制单元处理，并通过真实指令闭锁单元闭锁真实指令后，将试验指令输出至优先级模块。

（3）在SCID中读取试验反馈，判断试验结果是否符合预期。如结果符合预期，则手动复位试验结果显示；如不符合预期，则根据提示信息判断故障位置，修复故障后重新通过SCID触发试验指令。

（4）试验结果符合预期并完成复位后，试验人员手动取消RPS旁通，试验结束。

4　结束语

定期试验有效地保证了反应堆保护系统或设备的可靠性和有效性，使其在核电站整个寿期内与其设计要求保持一致^[10]。本文通过对试验触发装置层级、控制器层级、优先级模块层级的设计，提出了一种VVER-1200核电站优先级模块接口试验方法。该方法具有自动化程度高、执行器误动作风险低、试验持续时间短等优点，可以有效提升接口试验的便利性，同时可以降低人因失误风险。

该优先级模块接口试验方法已成功应用于某VVER-1200项目，实践证明该方法操作简单、可靠，可以有效避免人因失误，有助于提高核电站的安全性和可用性。本文所述方法为其他核电站优先级模块的接口试验方法提供了设计参考，但仍需要结合不同核电站安全级仪控系统的架构以及仪控系统产品的差异进行综合考虑。

作者简介：

王潇（1990-），男，安徽人，工程师，学士，现就职于北京广利核系统工程有限公司，主要从事核安全级仪控系统的设计工作。

参考文献：

[1] HAD 102/10-2021, 核动力厂仪表和控制系统设计[S].

[2] GB/T 5204-2021, 核电厂安全系统定期试验与监测[S].

[3] 张弋. "华龙一号" 核电技术自主化DCS设计与实现[J]. 自动化仪表, 2021.

[4] 郑伟, 孟庆军, 王志嘉, 等. VVER堆型保护系统停堆指令定期试验方案的设计[J]. 自动化仪表, 2023 (S1).

[5] 罗炜, 王银丽, 陈学坤, 等. 基于FirmSys平台的核电厂反应堆保护系统设计[J]. 自动化仪表, 2021 (S1).

[6] IEEE. IEEE 338-2006 IEEE Standard Criteria for Periodic Surveillance Testing of Nuclear Power Generating Station Safety Systems[S]. 2006.

[7] 孙红芳. 反应堆保护系统定期试验优化及可行性分析[J]. 科技创新导报, 2020 (19).

[8] 石桂连, 王晓燕, 李萌, 等. 高性能核安全级控制显示操作系统软件设计技术研究[J]. 核科学与工程, 2021 (6).

[9] 郑伟智, 张弋, 白玮, 等. 核电厂仪控系统优先级驱动设计[J]. 核电子学与探测技术, 2022 (1).

[10] 杜宇, 陈银萍. 数字化核电机组过程仪表系统定期试验分析[J]. 仪器仪表用户, 2022 (4).

摘自《自动化博览》2025年6月刊