★北京广利核系统工程有限公司刘波，马志国，王潇，夏利民，刘元，徐小瑞

关键词：优先；驱动控制；安全；DCS；VVER-1200；FirmSys；核电站

安全级优先级驱动控制系统是核电厂安全级DCS的一个重要组成部分^[1]，其主要功能是在对来自不同安全等级的自动或手动命令进行优先级处理后，驱动专设安全设施及相关支持系统的泵、阀等执行机构，从而完成系统规定的安全功能。田湾核电站7、8号机组将采用VVER-1200堆型，安全级DCS将采用FirmSys平台。该平台首次在VVER-1200堆型中应用。当前FirmSys平台已有的系统方案主要面向的是M310堆型、ACPR1000堆型以及华龙一号堆型，而VVER-1200堆型对优先级驱动控制系统的要求与以往堆型存在较大差异，例如接口、驱动设备等，因此需研究设计满足此堆型要求的优先级驱动控制方案。本文通过对安全级DCS相关设计标准的要求以及该堆型的控制特点，结合以往堆型的设计经验和对比分析，提出了一种满足VVER-1200堆型要求的优先级驱动控制系统设计方案，主要包括优先级驱动控制系统的优先级管理和驱动管理设计方案。该方案根据系统功能要求，确定了优先级驱动控制系统的接口数量以及接口方式；根据标准要求以及不同安全等级的指令的功能要求，确定了各个指令的优先级控制顺序和相互之间的闭锁关系；根据驱动设备的种类，确定了系统驱动管理的方案。这些控制方案的提出为丰富了安全级DCSFirmSys平台的应用堆型，同时为工程项目建设提供了重要保障。

1　系统功能

安全级优先级驱动控制系统实现安全重要执行机构的优先级驱动控制功能，并根据电站总体安全控制要求，接受不同安全系统和控制系统的控制要求，驱动相应专设安全设施和重要辅助支持系统和设备的运行，以避免或减轻堆芯和反应堆冷却剂系统设备的损坏，并确保安全壳的完整性。其具体执行如下功能：

（1）优先级管理功能：接收来自反应堆保护系统、多样性保护系统、主控室后备盘/备控室后备盘及安全相关正常运行仪控系统不同功能级别的控制指令并实现指令的优先级管理。

（2）驱动管理：基于优先级管理的输出，产生最终的驱动指令，并根据相应配置完成驱动指令终止功能^[2]。

（3）设备监视：采集和处理现场设备状态信号和执行器测试状态信号，根据设备状态生成相应的机械故障信号（如偏差故障），并将状态信息反馈至主控室/备控室的硬操作面板和安全相关正常运行仪控系统；同时也可以通过硬接线将设备状态信号分配到反应堆保护系统。

（4）就地控制：在任何工况下，可通过设备接口模块上的操作按钮手动控制设备开关或启停，以达到调试和维护的目的^[3]。

2　系统设计准则

安全级优先级驱动控制系统作为核电厂安全级DCS中进行优先级判断及输出最终专设驱动命令的重要系统，其属于执行A类功能的系统，需要满足核电安全重要相关标准提出的设计要求和准则，如单一故障准则、独立性、可维护性、可试验性等。

2.1　单一故障准则

单一故障准则一般可通过冗余的设计手段来应对。在序列之间和单序列内均采用冗余设计，当一个序列失效时，不影响其他序列正常发挥，确保了系统的可靠性^[4]。

序列间冗余：安全级优先级驱动控制系统设计为四个冗余序列构成，每个序列控制现场对应序列的执行机构。每个序列系统主要由设备接口模块构成，每个设备接口模块控制一个设备，尽可能分散，确保满足单一故障准则。

序列内冗余：单序列内，安全级优先级驱动控制系统采用冗余供电、冗余通信应对单一设备故障的问题。

2.2　独立性准则

独立性准则主要适用于安全级仪控系统内部多重序列之间以及安全级系统与非安全级系统之间。依据标准GB/T13286的要求，在仪表和控制电路中应采取电气隔离措施，以保持冗余设备和电路的独立性，使得任一设计基准事件期间及之后所需的安全功能得以执行。为达到仪表和控制电路的电气隔离，应在安全级和非安全级电路的相互连接处使用安全级隔离装置^[5]。

2.3　可维护性

可维护性主要考虑根据NUREG0700导则要求，保证柜内设备布局的可达性、标识的可读性等。

2.4　可试验性

优先级驱动控制系统主要实现安全重要执行机构的优选控制功能。根据IEC61226的功能分级要求，优先级驱动控制系统属于执行A类功能的系统，需要满足IEC60671提出的定期试验相关要求。考虑到试验100%覆盖安全重要信号路径的完整性和设计的便捷性，采用分段交迭试验的方法，定期试验过程不会对核电厂正常运行带来不可接受的影响，确保优先级驱动控制系统的可靠性^[6]。

3　系统接口

优先级驱动控制系统与其他系统的接口类型主要包括硬接线和通信两种接口类型。为了保证就地的可维护性，就地手动操作指令通过硬接线的方式传递到优先级驱动控制系统中。为了保证安全重要信号的可靠性，优先级驱动控制系统采用硬接线的接口方式，直接接收反应堆保护系统、多样性保护系统触发的专设安全设施驱动指令。为了保证手动信号与自动信号多样性要求，手动信号需要旁通数字化仪控系统的指令，所以主控室和备控室后备盘的手动指令及设备反馈信号与优先级驱动控制系统之间采用硬接线的方式。安全相关正常运行仪控系统主要执行控制功能，为非安全功能，为控制硬接线规模，采用通信的接口方式。

在VVER堆型中，多样性保护系统定义为B类功能，安全相关正常运行仪控系统定义为B类功能，反应堆保护系统、主控室和备控室的手动操作功能均定义为A类功能，所以优先级驱动控制系统与多样性保护系统、安全相关正常运行仪控系统之间需要满足独立性要求，需设置相应的隔离装置。基于如上功能及设计准则要求，VVER-1200堆型优先级驱动控制系统接口示意图如图1所示。

图1VVER-1200堆型优先级驱动控制系统接口示意图

4　优先级管理设计

优先级管理主要是不同安全级级别仪控系统指令之间的优先级处理，主要是就地指令、反应堆保护系统指令、多样性保护系统指令、主控室和备控室后备盘的手动指令和安全相关正常运行仪控系统指令之间的优先级关系，在设备接口模块中实现优先级逻辑处理。

考虑到需保证执行机构在任何可能的事故工况下仍然可以正常维护，且一般情况下就地指令不参与保护系统的保护动作，一般在设备维护时，通过就地操作的方式进行维护，此时单序列需退出整个保护功能，所以针对保护指令而言，就地控制指令具有更高优先级。

根据IAEASSG-39的要求，如果一个设备既可以被保护系统，也可以被其他较低安全等级的系统驱动，则来自保护系统的保护功能触发指令应优先驱动设备^[7]。同时根据主仪控系统功能要求，反应堆保护系统指令、多样性保护系统指令、主控室和备控室后备盘的手动指令均会在某些工况下参与保护功能，而安全相关正常运行仪控系统作为控制系统，在核电厂正常运行期间不参与保护功能，所以安全相关正常运行仪控系统的指令优先级最低。

进一步分析，反应堆保护系统和多样性保护系统均提供安全保护功能的自动保护动作指令，主控室和备控室后备盘的指令为手动保护指令，根据HAD102/10的要求，保护系统大部分功能都应自动启动，仅采用手动动作需经过论证。安全保护动作手动启动安全动作为预计运行事件和事故工况提供了一种纵深防御的形式，并支持事故发生后核动力厂的长期运行^[8]。所以基于此设计要求，执行机构的手动保护指令的优先级低于自动保护指令。

再进一步分析，反应堆保护系统和多样性保护系统均为安全功能执行提供自动保护功能，多样性保护系统作为反应堆保护系统的多样性手段^[9]，防止反应堆保护系统出现共因失效。多样性保护系统在纵深防御层次上属于第四防御层次，低于保护系统的第三防御层次，可减轻保护系统纵深防御失效所导致的事故后果，并可通过控制事故进展和减轻严重事故的后果来实现第四层次的防御，所以多样性保护系统的指令优先级低于反应堆保护系统指令。通常情况下多样性保护系统指令的保护动作方向与反应堆保护系统的保护动作方向是一致的，如果由于多样性保护系统发生不可诊断故障，导致多样性保护指令动作方向和保护系统动作方向不同时，多样性保护系统的指令将被保护系统指令闭锁，确保核安全。

综上所述，VVER-1200堆型优先级驱动控制系统指令优先级顺序如表1所示。

表1VVER-1200堆型优先级驱动控制系统指令优先级顺序

为了确保保护指令正常下发，以及执行机构保护动作的正常执行，不同优先级指令需要确保低优先级指令不妨碍高优先级指令的执行^[10]。因此高优先级指令与低优先级指令之间的同向指令设计为逻辑“或”关系，高优先级指令闭锁低优先级的反向指令。

5　驱动管理设计

优先级驱动控制系统驱动的现场执行机构主要是电磁阀、电动机、电动隔离阀及电动控制阀等设备。

电磁阀类设备通过电磁线圈的通电和断电实现阀门的控制，电磁线圈的通电和断电状态受其所接收信号状态的影响。为确保电磁阀类设备在接收到信号后保持在预期状态，优先级驱动控制系统需输出电平信号，通过RS触发器实现信号的保持功能，当出现反向信号时，驱动指令被复位。

针对电动机类设备，其信号的保持和复位功能在开关盘实现，所以优先级驱动控制系统输出脉冲启动或停止控制信号即可。

电动隔离阀通过电动执行机构的动作实现阀门的开启和关闭。根据VVER堆型工艺控制要求，电动隔离阀对应的电动执行机构开关盘不提供指令保持和复位功能。为确保优先级驱动控制系统输出的控制信号长度满足阀门行程要求，同时避免阀门因过度动作而引起故障，优先级驱动控制系统中需要实现指令保持和复位逻辑。现场设备选型会根据工艺的要求，可选择配置紧闭型阀门和非紧闭型阀门。这两者的驱动控制逻辑存在差异。其中对于紧闭型阀门，当力矩开关反馈和限位开关反馈均触发复位控制指令，而对于非紧闭型阀门，仅当限位开关触发时即可复位控制指令。优先级驱动控制系统通过逻辑判断限位开关反馈和力矩开关反馈的触发顺序，识别阀门状态是否存在异常。正确的触发顺序是限位开关反馈先触发，力矩开关反馈后触发，如果触发顺序错误，可根据不同工艺需求，设置对应电动隔离阀的驱动指令是否终止。例如出现卡死等情况时，阀门在中间行程过程中出现了力矩信号，即中间行程过力矩，可以根据工艺控制和保护要求，确定设备保护和保护指令的优先级，设置是否终止指令。

电动控制阀通过电动执行机构的动作控制阀门开度，实现对过程参数的调节功能。针对电动控制阀类设备，优先级驱动控制系统输出变宽脉冲信号，根据脉冲宽度的大小，实现对阀门开度的调节。电动控制阀与电动隔离阀一样，同样配置力矩反馈信号和限位开关反馈信号，并考虑指令的终止以实现设备保护。电动控制阀一般都是非紧闭型阀门，所以指令终止主要考虑限位开关反馈和中间行程过力矩信号终止指令的情况。终止指令的模式与电动隔离阀一样，可根据工艺控制和保护要求，确定设备保护和保护指令的优先级，设置是否终止指令。

6　方案对比

该设计方案与其他堆型的优先级驱动控制系统的方案存在一定的差异。VVER-1000、ACPR1000堆型和CPR1000堆型的优先级驱动控制系统的设计方案具有成熟的应用经验，VVER-1000堆型优先级驱动控制系统接口示意图如图2所示，ACPR1000堆型的优先级驱动控制系统方案如图3所示，CPR1000堆型的优先级驱动控制系统方案如图4所示。不同堆型优选驱动控制系统设计方案对比如表2所示。

通过上述的对比可知，基于仪控平台差异以及二代、三代堆型仪控设计理念的差异，VVER-1200堆型的优先级驱动控制设计方案整体上与VVER-1000的方案较为接近。反应堆保护指令的接口除了CPR1000堆型采用通信外，其他堆型均采用了硬接线。考虑到保护指令的重要性以及可靠性要求，通常情况下硬接线比通信更为可靠，采用硬接线的方式更为合理。多样性保护系统作为保护系统的后备手段，指令重要性不言而喻，与其他堆型一致，均采用硬接线接口。考虑到非安全级信号的重要程度不高以及交互信号量大等因素，非安全级仪控系统指令接口采用通信的方式更为合理，可以更好简化设计和控制系统规模。

VVER堆型中后备盘的手动操作指令定义为A类功能，需要旁通数字化仪控系统指令，而其他堆型定义为B类功能，无旁通数字化仪控系统要求，所以与后备盘的接口方式设计为硬接线更为合理，可以更好地满足标准的要求。

VVER堆型设置了独立的严重事故执行机构，在严重事故工况下，严重事故系统可直接驱动设备，无需通过优先级驱动控制系统进行设备驱动，所以无需设置此接口。ACPR1000堆型由于共用执行机构，所以在严重事故工况下，严重事故系统指令需通过优先级驱动控制系统驱动设备。CPR1000堆型由于是二代堆型，尚未考虑福岛核事故后的设计扩展工况，故未设计此接口。VVER-1200堆型指令优先级顺序、驱动设备类型以及驱动管理均与VVER-1000堆型一致。所以从对比结果看，VVER-1200堆型优先级驱动控制系统整体系统设计方案合理可行。

图2VVER-1000堆型优先级驱动控制系统接口示意图

图3ACPR1000堆型优先级驱动控制系统接口示意图

图4CPR1000堆型优先级驱动控制系统接口示意图

表2不同堆型优选驱动控制系统设计方案对比

7　总结

本文通过对优先级驱动控制系统功能的分析，结合其他系统之间的接口，并根据反应堆保护系统、多样性保护系统、主控室和备控室后备盘、安全相关正常运行仪控系统功能的不同，提出了优先级控制策略。根据该堆型现场执行机构的特点，本文提出了电磁阀、电动隔离阀、电动机、电动控制阀的驱动管理策略，满足了现场设备的控制需求。本文提出的优先级驱动控制系统优先级管理和驱动管理方案，满足相关标准法规的要求。该方案在实际工程项目中的成功应用，为该堆型核电厂的优先级驱动系统的详细设计奠定了基础。

作者简介：

刘　波（1983-），男，北京人，工程师，学士，现就职于北京广利核系统工程有限公司，主要从事核电站安全级DCS设计工作。

参考文献：

[1] 刘滨, 刘明星, 梁建, 等. 核电厂优选模块设计研究[J]. 仪器仪表用户, 2017, 24 (12) : 53 - 57.

[2] 石桂连, 张斌, 杨文宇, 等. 基于和睦系统的ACPR1000核电机组保护系统优先级管理系统方案设计[J]. 核动力工程, 2019, 40 (2) : 85 - 89.

[3] 杨宗昊, 马权, 金兴连, 等. 国外安全级DCS优先级逻辑模块分析[J]. 仪器仪表用户, 2020, 27 (1) : 53 - 57.

[4] 张亮亮, 张瑜, 丁丁, 等. 核电厂安全级DCS设备接口模块的研究[J]. 自动化仪表, 2017, 38 (7) : 24 - 28.

[5] GB/T 13286-2008, 核电厂安全级电气设备和电路独立性准则[S].

[6] IEC 60671-2007, Nuclear Power Plants– Instrumentation and Control Systems Important to Safety-Surveillance testing[S].

[7] IAEA SSG-39-2016, Design of Instrumentation and Control Systems for Nuclear Power Plants[S].

[8] HAD102/10-2021, 核动力厂仪表和控制系统设计[S].

[9] 郑伟智, 张弋, 白玮, 等. 核电厂仪控系统优先级驱动设计[J]. 核电子学与探测技术, 2022, 42 (1) : 18 - 25.

[10] 陈日罡. 一种核电厂安全级执行器优选控制模件设计[J]. 科技与创新, 2014, 9 : 3 - 4.

摘自《自动化博览》2025年7月刊