★北京广利核系统工程有限公司张红梅，王晓卫，刘静波，赵红霞

关键词：主给水调节阀；控制回路；单点故障；FMEA；可靠性；冗余

核电厂主给水调节阀用于调节二回路冷却水至蒸汽发生器的给水流量，实现蒸发器水位控制，对电厂正常运行和事故缓解至关重要，对核电厂的安全性和经济性有着重要影响，是核电控制的关键敏感设备之一^[1]，其误动可能导致机组瞬态甚至自动停堆事件。主给水调节阀气动控制回路设计成失去气源或故障后自动关闭。核电运行历史上曾多次发生由于主给水调节阀气动控制回路异常触发主给水阀误关而导致的反应堆意外停堆事件。本文根据主给水调节阀的控制原理，以某核电厂主给水调节阀ARE031VL气控回路中电磁阀EL1控制为例，对系统控制回路设计进行了深入分析，找出了系统中可能引起电磁阀误动的单一故障点，并通过失效分析，确定失效模式，进而提出了改进、优化设计和进行预防性维修等手段，减少了因单点失效导致的机组瞬态或停堆事件的发生。

1　主给水调节原理

主给水调节系统（ARE）控制向蒸汽发生器的给水流量，保证蒸汽发生器（SG）二回路侧的水位维持在一个随汽机负荷变化的整定值上。每台蒸汽发生器的正常给水回路设置有两条并列的管线：主管线上的主给水调节阀（ARE031/032/033VL）用于高负荷（＞20%FP）运行工况下的水位调节，旁路管线上的旁路调节阀（ARE242/243/244VL）用于低负荷（＜20%FP）及启、停阶段的运行工况。

每个主给水调节阀配置有一个电/气阀门定位器和两个电磁阀。电/气阀门定位器输入信号为来自水位调节系统的模拟调节信号（4~20mA），将其转换成一个气动输出信号，该信号直接作用于执行机构膜片，产生一个与输入信号成比例的阀芯位置，从而控制阀门的开度。电磁阀EL1/EL2共同控制主给水调节阀的供气状态，一个接收来自A列的信号，另一个接收来自B列的信号，A、B列信号均相同。当保护信号不存在，给水调节阀的两个电磁阀励磁，气控回路处于正常工作状态。任一保护信号的出现都将使电磁阀失磁，从而将仪用压缩空气直接排放大气，给水调节阀快速关闭。任一阀门异常，均可能导致SG水位异常波动，严重时会导致反应堆停堆。主给水调节阀气控系统逻辑如图1所示。

图1主给水调节阀逻辑图

2　阀门控制回路可靠性分析

ARE给水调节阀气动控制回路设计成失去气源或故障后自动关闭。正常工况下要求主给水调节阀可调，电磁阀EL1处于励磁状态；仅在反应堆保护信号作用下，电磁阀EL1失磁，气控回路气源丧失，主给水调节阀自动关闭。因此对电磁阀控制系统设计的可靠性提出了更高要求，防止因阀门误动而导致机组瞬态甚至停堆事件的发生。

来自LCC系统（48V直流电源和配电系统）的两路48VDC电源送至安全级仪控系统配电柜（PDC），在PDC中经二极管耦合后，通过不同的断路器向下游多个设备接口机柜（CIC）提供48VDC驱动电源。设备接口模块（CIM）作为控制系统与现场设备间的驱动接口，通过继电器扩展用于实现大电流设备驱动。某核电站ARE031VL的气控回路电磁阀EL1控制回路设计如图2所示。

图2ARE031VL电磁阀EL1控制回路简图

（1）PDC柜内的供配电

依据设计要求，正常情况下断路器K01/K02合闸，两路直流电源经二极管D01/D02耦合后，为下游CIC-1等设备接口机柜提供48VDC驱动电源。任一断路器开路、误动作或者线路异常现象出现（如端接故障、接线松脱或电线异常），仅丧失冗余功能，仍能为下游CIC机柜供电，并不会导致下游设备丧失驱动电源，不影响安全功能。

耦合后的直流电源通过不同断路器为各CIC机柜提供48VDC电源，断路器K11为ARE031VL的电磁阀EL1所在的CIC-1机柜提供48VDC电源。K11开路、误动作或者线路异常，将导致下游CIC-1柜内CIM的驱动电源全部丧失，进而造成局部安全功能失效。

（2）CIC-1柜的驱动电源

CIC柜中配电盘设置有若干断路器，一个断路器对应一块CIM卡，用于为其提供驱动电源，断路器K21合闸为CIM-1提供48VDC驱动电源。K21开路、误动作或者线路异常，存在导致CIM-1的驱动电源丧失的单一故障点。

（3）CIM-1

CIM卡位于设备接口机箱内，具备驱动指令采集和接收、优先级逻辑处理、设备驱动指令输出、设备反馈信号采集、定期试验接口和板卡自诊断功能^[2]。定期试验和反馈&自诊断功能不会引起CIM卡的去驱动输出，通道采集电路故障、驱动功能故障和优选逻辑电路故障可能出现误触发指令的现象。

（4）扩容继电器

继电器安装在CIC-1柜中，实现大电流设备驱动。根据继电器的工作原理，若线圈侧输入电压超出继电器工作范围，会导致继电器无法正常吸合和释放；闭合/释放时间不满足要求会影响继电器所在工作回路的控制功能，这两点均会造成继电器的误动或拒动。根据继电器的设计原理，继电器触点氧化或积碳，会增加触点接触电阻，影响触点闭合时接触性能，降低负载控制精度或驱动能力；触点粘连，会影响继电器正常控制功能^[3]。

在实施故障模式及影响分析（FMEA）时，首先应明确分析对象，即明确约定层次，并针对目标对象所属的结构层次关系划分层级。根据产品设计及工程应用，基于产品的可靠性、可维修性等数据以及核电厂以往的运行经验，确定控制回路的最低约定层次为最小可更换单元。

根据信号流向，逐级分析、识别出主给水调节阀电磁阀控制系统中单一故障点，利用FMEA方法对控制回路各部件潜在的各种故障模式及其产品功能的影响进行分析^[4]。针对部件失效分析，提出设计改进及改进措施，并进行可行性评价。主给水调节阀电磁阀控制系统中各关键部件（见图2标识）的失效模式和相应措施见表1。

表1失效模式和改进措施

注：控制回路中的接线端子、电线实现电流或信号的传递功能，其具有高可靠性的特点，可通过机组大修期间进行预防性维修的手段，保证可靠性。

3　改进措施

核电厂的高安全标准对相应控制系统的安全性和可靠性提出了高要求，仪控系统应采用有效的设计方法和技术方案来提高系统的可靠性和可用性，以满足系统安全可靠运行的要求。为了确保单一故障不引起主给水调节功能的丧失，控制回路的设计应按照电磁阀失磁时以最可能的故障模式进行设计，从可能影响系统能力的故障出发，对整个控制回路进行分析，以满足单一故障准则^[5,6]。优化改进后控制系统如图3所示。

图3优化后ARE031VL电磁阀EL1控制回路简图

（1）PDC柜内的供配电

来自LCC的48VDC电源的任意一回路失效，不影响安全功能。利用断路器的辅助触点监视其状态，进行报警显示和日志记录。

（2）CIC-1柜的驱动电源

PDC至CIC-1增加一路冗余供电，从而任一路失效不影响安全功能执行；CIC柜内配电盘中供电回路采取环形供电的措施，任一节点异常，不影响供电可靠性，不影响安全功能。

（3）CIM冗余

增加一块冗余设备接口模块，两个设备接口模块接收相同的控制指令信号。当接收到保护信号时，CIM的CO输出信号为1，使得扩容继电器带电，常闭点断开；保护信号消失，CIM的CO输出信号为0，扩容继电器常闭节点闭合。同时增加定期试验，用于探测其可能存在的未知故障。

（4）扩容继电器冗余

增加一个冗余扩容继电器设备，继电器输出端子侧通过硬接线实现“或”逻辑。在两个扩容继电器两个或任一为失磁状态时，48VDC驱动电源至主给水调节阀电磁阀EL1，EL1励磁，气控回路正常，主给水调节阀可调。只有在两个扩容继电器均励磁、EL1失磁时，气控回路气源丧失，主给水调节阀关闭。

在系统设计中，采用冗余技术是提高控制系统可靠性的有效方法和主要措施。优化改进后的方案使得系统在运行时不受单一故障的影响，可实现在线更换和维护。同时，定期试验、自诊断和预防性维修或运行隔离措施可缓解无法通过改进进行降级的单点故障设备，可尽早识别可能失效的隐患。其并不影响系统正常运行，从而达到提高系统可靠性和降低失效率的目的。

改进后的设计方案中冗余设计等手段的应用也解决了设备拒动情况的发生。改进后的设计方案已在多个核电基地得到了现场实际应用，有效避免了主给水调节阀气控回路的设计缺陷，提升了机组控制性能和安全运行水平。

4   结论

本文主要针对主给水流量控制系统中主给水调节阀电磁阀的控制系统进行了单点故障下的失效分析，找出了可能导致主给水调节阀电磁阀误动的单一故障点，并根据不同的失效模式采取了相应的设计改进，或者预防性维修或定期试验、自诊断等缓解措施。

优化后的方案保证了ARE系统的安全稳定，使得机组保护系统与控制系统的功能更加完善、稳定，可靠性大幅提高。同时，主给水调节阀电磁阀控制回路的原设计薄弱环节及优化后的方案具有一定代表性，对分析和处理同类设备的控制问题有一定的参考价值。

作者简介：

张红梅（1979-），女，安徽人，高级工程师，硕士，现就职于北京广利核系统工程有限公司，主要从事核电安全级DCS仪控系统设计工作。

参考文献：

[1]吴起,胡文盛,罗伟,等.ARE主给水隔离功能的运行技术规范管理分析[J].核科学与工程,2020,40(5):809-815.

[2]郑伟智,朱毅明,等.一种多功能驱动模块[P].中国专利:CN102394117A.

[3]蒋道福.核电厂继电器失效模式和维修策略研究[J].大亚湾核电维修技术,2023,(68):14-18.

[4]GB/T9225-1999,核电厂安全系统可靠性分析一般原则[S].

[5]GB/T13284.1-2008,核电厂安全系统第一部分:设计准则[S]．

[6]GB/T13626-2008,单一故障准则应用于核电厂安全系统[S].

摘自《自动化博览》2025年8月刊