久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★北京廣利核系統(tǒng)工程有限公司王瀟，王森，劉旭東，肖明

關(guān)鍵詞：專設(shè)安全設(shè)施；故障安全；輸出模塊；執(zhí)行器；驅(qū)動指令；優(yōu)先級模塊

專設(shè)安全設(shè)施是核電站的重要組成部分，用于事故工況下完成反應(yīng)堆堆芯冷卻、保持安全殼完整性等功能，防止反應(yīng)堆堆芯損傷以及限制放射性釋放，確保反應(yīng)堆、電站設(shè)備、人員和事故周邊區(qū)域的安全。在華龍一號核電站中，通過安全級的反應(yīng)堆保護(hù)系統(tǒng)（RPS）實(shí)現(xiàn)專設(shè)安全設(shè)施的驅(qū)動功能。為了確保專設(shè)安全設(shè)施驅(qū)動功能可以正常執(zhí)行，需要采取一系列的措施以提高RPS系統(tǒng)的可靠性水平，包括采取冗余、多樣性、獨(dú)立性等設(shè)計(jì)手段^[1,2]。

除上述手段外，故障安全同樣是提高系統(tǒng)可靠性的有效設(shè)計(jì)策略之一。HAF102-2016要求^[3]，必須恰當(dāng)?shù)乜紤]故障安全設(shè)計(jì)原則，并貫徹到核動力廠安全重要系統(tǒng)和部件的設(shè)計(jì)中。某華龍一號核電站RPS系統(tǒng)基于北京廣利核系統(tǒng)工程有限公司的FirmSys平臺安全級數(shù)字化控制系統(tǒng)（DCS）產(chǎn)品實(shí)現(xiàn)^[4]。為了提高系統(tǒng)的可靠性，RPS系統(tǒng)各冗余序列中設(shè)置了并行冗余的控制站實(shí)現(xiàn)專設(shè)安全設(shè)施驅(qū)動信號的觸發(fā)，并通過優(yōu)先級模塊實(shí)現(xiàn)并行冗余驅(qū)動信號的處理和輸出^[5]。在工程實(shí)施過程中，如何對并行冗余驅(qū)動信號進(jìn)行故障安全設(shè)計(jì)，以降低DCS部件故障對專設(shè)安全設(shè)施驅(qū)動功能的影響，是DCS需要重點(diǎn)考慮的問題之一。本文基于某華龍一號核電站RPS系統(tǒng)架構(gòu)和DCS產(chǎn)品特點(diǎn)，對專設(shè)安全設(shè)施驅(qū)動信號觸發(fā)類型及執(zhí)行器類型進(jìn)行了分析，并提出了一種適用于并行冗余專設(shè)安全設(shè)施驅(qū)動信號的故障安全設(shè)計(jì)方法。

1　華龍一號RPS系統(tǒng)架構(gòu)

某華龍一號核電站實(shí)現(xiàn)專設(shè)安全設(shè)施驅(qū)動功能的RPS系統(tǒng)架構(gòu)如圖1所示。

圖1 用于專設(shè)安全設(shè)施驅(qū)動功能的RPS系統(tǒng)架構(gòu)圖

專設(shè)安全設(shè)施驅(qū)動功能由四重冗余通道的反應(yīng)堆保護(hù)機(jī)柜（RPC）、三重冗余序列的專設(shè)安全設(shè)施驅(qū)動機(jī)柜（ESFAC）和設(shè)備接口機(jī)柜（CIC）實(shí)現(xiàn)。用于觸發(fā)專設(shè)安全設(shè)施驅(qū)動功能的傳感器保護(hù)參數(shù)由RPC采集并進(jìn)行閾值處理，通過通信發(fā)送至各序列的ESFAC。各冗余序列中ESFAC采用并行冗余方式實(shí)現(xiàn)，兩系并行冗余控制站對來自不同通道RPC的信號進(jìn)行表決，生成對應(yīng)序列的專設(shè)安全設(shè)施驅(qū)動信號，并通過獨(dú)立的輸出模塊輸出至CIC中的優(yōu)先級模塊^[6,7]。在優(yōu)先級模塊中，來自兩個并行冗余控制站的專設(shè)安全設(shè)施驅(qū)動信號分別與來自其它儀控系統(tǒng)的指令進(jìn)行優(yōu)先級選擇，通過二取一處理后輸出至執(zhí)行器。

2　專設(shè)安全設(shè)施驅(qū)動信號的故障安全設(shè)計(jì)

2.1　故障安全設(shè)計(jì)原則

HAD102/10-2021要求，應(yīng)將安全重要系統(tǒng)和部件設(shè)計(jì)為故障安全，使其自身的故障或支持設(shè)施的故障不妨礙預(yù)定安全功能的執(zhí)行^[8]。

華龍一號核電站專設(shè)安全設(shè)施驅(qū)動功能由三個冗余序列實(shí)現(xiàn)，當(dāng)其中一個序列出現(xiàn)故障時（包括拒動或誤動），剩余兩個序列仍可以正常執(zhí)行安全功能。為了提高系統(tǒng)的可靠性水平，對于單一序列中的并行冗余專設(shè)安全設(shè)施驅(qū)動信號，其故障安全設(shè)計(jì)首先應(yīng)遵循防拒動原則，使得任意一系并行冗余信號故障后，本序列仍具有執(zhí)行專設(shè)安全設(shè)施驅(qū)動功能的能力。

此外，為了避免因?qū)ＴO(shè)安全設(shè)施誤動作對現(xiàn)場設(shè)備施加不必要的應(yīng)力，導(dǎo)致縮短電站壽命，以及降低電站的可用性等不良后果，HAD102/10-2021同時要求在實(shí)際可行的范圍內(nèi)，儀控系統(tǒng)部件的故障不應(yīng)引起安全系統(tǒng)的誤動作^[8]。因此，故障安全設(shè)計(jì)還應(yīng)綜合考慮防誤動原則，使得某一系ESFAC驅(qū)動信號出現(xiàn)故障時，不會造成執(zhí)行器的誤動作。

根據(jù)RPS系統(tǒng)架構(gòu)，專設(shè)安全設(shè)施驅(qū)動信號路徑包括RPC部分、ESFAC部分和CIC部分。其中，任意一個通道RPC的故障（包括拒動或誤動）均可通過ESFAC中的表決邏輯進(jìn)行剔除。因此，本文重點(diǎn)考慮ESFAC和CIC部分的故障安全設(shè)計(jì)，具體涉及的DCS部件包括ESFAC中的通信模塊（COM）、控制器、輸出模塊（DO）以及CIC中的優(yōu)先級模塊。

其中，DCS支持對ESFAC輸出模塊進(jìn)行故障安全值設(shè)置，使系統(tǒng)在診斷出ESFAC控制器故障或ESFAC輸出模塊故障時，輸出一個符合預(yù)期的安全狀態(tài)。ESFAC輸出模塊可設(shè)置的故障安全值包括：

（1）failon：診斷出故障后輸出“1”；

（2）failoff：診斷出故障后輸出“0”；

（3）failasis：診斷出故障后輸出“上一時刻值”。

此外，為了保證正常運(yùn)行情況下或某一系并行冗余控制站故障情況下，優(yōu)先級模塊均可響應(yīng)專設(shè)安全設(shè)施驅(qū)動信號并輸出預(yù)期的最終驅(qū)動信號，優(yōu)先級模塊支持對兩個冗余驅(qū)動信號的輸出進(jìn)行設(shè)定，即根據(jù)驅(qū)動指令動作的類型（例如“1”動作或“0”動作），對優(yōu)先級模塊中的二取一處理邏輯進(jìn)行“與或設(shè)定”。

2.2　ESFAC輸出模塊的故障安全值設(shè)置

ESFAC輸出模塊故障安全值的設(shè)置應(yīng)保證單個并行冗余控制站故障后，不會誤觸發(fā)驅(qū)動指令，同時不會阻止另一個控制站完成驅(qū)動控制功能。

如果將輸出模塊的故障安全值設(shè)置為信號觸發(fā)狀態(tài)，則當(dāng)某一系并行冗余控制器或輸出模塊故障時，系統(tǒng)將直接輸出驅(qū)動信號，造成執(zhí)行器誤動作。如果將故障安全值設(shè)置為保持上一周期值，則存在輸出不確定的風(fēng)險(xiǎn)，即根據(jù)當(dāng)前實(shí)際工況保持為觸發(fā)狀態(tài)或未觸發(fā)狀態(tài)。假設(shè)DCS部件在專設(shè)安全設(shè)施驅(qū)動信號因某一始發(fā)事件觸發(fā)之后發(fā)生故障，且在安全功能執(zhí)行完成后故障部件仍未修復(fù)或未及時采取旁通等干預(yù)措施，則專設(shè)安全設(shè)施驅(qū)動信號將一直保持為觸發(fā)狀態(tài)，不利于電站及時恢復(fù)至安全狀態(tài)。

因此，為了避免故障對系統(tǒng)功能的影響，應(yīng)將輸出模塊的故障安全值設(shè)置為信號未觸發(fā)的狀態(tài)。即當(dāng)診斷出控制器或輸出模塊故障時，使輸出模塊保持輸出正常運(yùn)行狀態(tài)下的指令狀態(tài)，令其不再執(zhí)行任何控制功能。

根據(jù)不同的控制邏輯要求，ESFAC專設(shè)安全設(shè)施驅(qū)動信號包括不同的正常狀態(tài)和觸發(fā)狀態(tài)：

（1）正常狀態(tài)為“0”，觸發(fā)狀態(tài)為“1”。即正常情況下ESFAC控制器輸出信號為“0”，輸出模塊的輸出觸點(diǎn)斷開，當(dāng)驅(qū)動信號觸發(fā)時，ESFAC控制器輸出信號為“1”，輸出模塊的輸出觸點(diǎn)閉合。

（2）正常狀態(tài)為“1”，觸發(fā)狀態(tài)為“0”。即正常情況下ESFAC控制器輸出信號為“1”，輸出模塊的輸出觸點(diǎn)閉合，當(dāng)驅(qū)動信號觸發(fā)時，ESFAC控制器輸出信號為“0”，輸出模塊的輸出觸點(diǎn)斷開。

對某華龍一號核電站專設(shè)安全設(shè)施驅(qū)動功能進(jìn)行梳理，ESFAC專設(shè)安全設(shè)施驅(qū)動信號均為正常狀態(tài)為“0”，觸發(fā)狀態(tài)為“1”。基于該信號觸發(fā)類型，統(tǒng)一將ESFAC輸出模塊的故障安全值設(shè)置為failoff，一個控制站故障時由另一正常系控制站執(zhí)行專設(shè)安全設(shè)施驅(qū)動功能。

2.3　優(yōu)先級模塊的輸出設(shè)定

優(yōu)先級模塊的輸出設(shè)定與優(yōu)先級模塊最終輸出的驅(qū)動信號相關(guān)，而最終的驅(qū)動信號類型取決執(zhí)行器自身的控制特點(diǎn)。根據(jù)接收的驅(qū)動指令類型對執(zhí)行器進(jìn)行分類，可以將執(zhí)行器分為雙指令驅(qū)動的執(zhí)行器和單指令驅(qū)動的執(zhí)行器兩種類型。

（1）雙指令驅(qū)動的執(zhí)行器

雙指令驅(qū)動的執(zhí)行器包括電動閥、泵、風(fēng)機(jī)、加熱器以及雙穩(wěn)態(tài)電磁閥等，通常需要從DCS同時接收開、關(guān)兩個獨(dú)立指令，以實(shí)現(xiàn)不同的動作方向。

對于此類型執(zhí)行器，專設(shè)安全設(shè)施驅(qū)動信號作用于開或關(guān)方向時，將在優(yōu)先級模塊中閉鎖其它低級別系統(tǒng)的反向指令后，再通過優(yōu)先級模塊輸出對應(yīng)方向的24V/48V高電平驅(qū)動指令（開指令或關(guān)指令）。專設(shè)安全設(shè)施驅(qū)動信號作用于雙指令執(zhí)行器的驅(qū)動原理如圖2所示。

由圖2可知，專設(shè)安全設(shè)施驅(qū)動信號處于觸發(fā)狀態(tài)、輸出為“1”時，開指令和關(guān)指令均為“1”動作，使得執(zhí)行器趨向于對應(yīng)方向動作。此時，可以將二取一邏輯設(shè)置為“或”邏輯，即可保證正常運(yùn)行情況下或某一系并行冗余驅(qū)動信號故障情況下，另一系并行冗余驅(qū)動信號均可正常驅(qū)動執(zhí)行器動作。

圖2　專設(shè)安全設(shè)施驅(qū)動信號作用于雙指令執(zhí)行器的驅(qū)動原理圖

（2）單指令驅(qū)動的執(zhí)行器

單指令驅(qū)動的執(zhí)行器是指單穩(wěn)態(tài)電磁閥，此類電磁閥從DCS接收一路驅(qū)動信號，通過驅(qū)動信號的高低電平狀態(tài)轉(zhuǎn)換，控制閥門的開啟和關(guān)閉。驅(qū)動信號為“1”時，優(yōu)先級模塊輸出24V/48V高電平信號，電磁閥處于勵磁狀態(tài)；驅(qū)動信號為“0”時，優(yōu)先級模塊輸出低電平信號，電磁閥處于失磁狀態(tài)。

不同工藝系統(tǒng)應(yīng)用的單穩(wěn)態(tài)電磁閥在勵磁和失磁作用下的動作方向存在差異，具體分為失磁關(guān)和失磁開兩種類型。失磁關(guān)電磁閥在驅(qū)動信號為“0”時失磁關(guān)閉，驅(qū)動信號為“1”時勵磁開啟。專設(shè)安全設(shè)施驅(qū)動信號作用于失磁關(guān)電磁閥的驅(qū)動原理如圖3所示。

圖3 失磁關(guān)電磁閥的驅(qū)動原理圖

由圖3可知，對于失磁關(guān)電磁閥，專設(shè)安全設(shè)施驅(qū)動信號用于開方向時，最終的驅(qū)動指令為“1”。當(dāng)專設(shè)安全設(shè)施驅(qū)動信號用于關(guān)方向時，在優(yōu)先級模塊中閉鎖來自其它系統(tǒng)的開方向信號，使優(yōu)先級邏輯的輸出為“0”，確保最終的驅(qū)動指令為“0”。為了保證任意一系并行冗余專設(shè)安全設(shè)施驅(qū)動信號即可驅(qū)動閥門動作，優(yōu)先級模塊的輸出設(shè)定如下：

（1）當(dāng)專設(shè)安全設(shè)施驅(qū)動信號為開方向作用，預(yù)期使得最終的驅(qū)動指令為“1”時，二取一處理邏輯設(shè)置為“或”。

（2）當(dāng)專設(shè)安全設(shè)施驅(qū)動信號為關(guān)方向作用，預(yù)期使得最終的驅(qū)動指令為“0”時，二取一處理邏輯設(shè)置為“與”。

失磁開電磁閥在驅(qū)動指令作用下的動作方向與失磁關(guān)電磁閥相反，在驅(qū)動信號為“0”時失磁開啟，驅(qū)動信號為“1”時勵磁關(guān)閉。專設(shè)安全設(shè)施驅(qū)動信號作用于失磁開電磁閥的驅(qū)動原理如圖4所示。

圖4 失磁開電磁閥的驅(qū)動原理圖

由圖4可知，專設(shè)安全設(shè)施驅(qū)動信號的開、關(guān)方向作用于失磁開電磁閥時，優(yōu)先級模塊最終輸出的驅(qū)動指令狀態(tài)與失磁關(guān)電磁閥完全相反，輸出設(shè)定如下：

（1）當(dāng)專設(shè)安全設(shè)施驅(qū)動信號為開方向作用，預(yù)期使得最終的驅(qū)動指令為“0”時，二取一處理邏輯設(shè)置為“與”。

（2）當(dāng)專設(shè)安全設(shè)施驅(qū)動信號為關(guān)方向作用，預(yù)期使得最終的驅(qū)動指令為“1”時，二取一處理邏輯設(shè)置為“或”。

盡管從開、關(guān)方向角度分析，失磁關(guān)電磁閥和失磁開電磁閥的與或設(shè)定是相反的，但是從專設(shè)安全設(shè)施驅(qū)動信號的勵磁、失磁作用角度來看，兩者的與或設(shè)置原則是統(tǒng)一的。即專設(shè)安全設(shè)施驅(qū)動信號為勵磁作用時，二取一處理邏輯設(shè)置為“或”；專設(shè)安全設(shè)施驅(qū)動信號為失磁作用時，二取一處理邏輯設(shè)置為“與”。

此外，如果一些單穩(wěn)態(tài)電磁閥用于不同工況下執(zhí)行不同的功能，則可能同時存在開、關(guān)兩個方向的專設(shè)安全設(shè)施驅(qū)動信號，而兩個方向的指令會存在沖突的與或設(shè)定要求。此時，需要根據(jù)核電站工藝要求，選擇偏向于安全狀態(tài)的指令方向，作為判斷優(yōu)先級模塊輸出設(shè)定的依據(jù)。

2.4　故障影響分析

使用失效模式與影響分析（FMEA）方法，分析某一系ESFAC控制站、優(yōu)先級模塊故障后，ESFAC輸出模塊故障安全值設(shè)置與CIC優(yōu)先級模塊輸出設(shè)定對于專設(shè)安全設(shè)施驅(qū)動功能的作用。

（1）分析范圍

ESFAC并行冗余控制站中的設(shè)備包括接收RPC表決信號的通信模塊、執(zhí)行運(yùn)算功能的控制器、執(zhí)行輸出功能的輸出模塊。其中，ESFAC每個并行冗余控制站各配置四個通信模塊，用于接收來自不同通道RPC的表決信號，單一通信模塊故障導(dǎo)致某一通道RPC信號故障時，可以通過表決邏輯對故障信號進(jìn)行剔除，不影響專設(shè)安全設(shè)施驅(qū)動功能。因此，F(xiàn)MEA分析的對象為ESFAC控制器、輸出模塊、控制器與輸出模塊之間的內(nèi)部通信鏈路以及CIC優(yōu)先級模塊。

（2）故障模式

根據(jù)對DCS板卡電子元器件的分析，識別ESFAC控制器、輸出模塊、CIC優(yōu)先級模塊的故障模式。結(jié)合DCS產(chǎn)品的診斷能力和故障后果，控制器的故障模式可總結(jié)為可診斷的失效，輸出模塊的故障模式可總結(jié)為可診斷的失效、不可診斷的拒動以及不可診斷的誤動。通信鏈路可通過循環(huán)冗余校驗(yàn)（CRC）、數(shù)據(jù)超時診斷等方法進(jìn)行診斷，其故障模式可總結(jié)為可診斷的失效。優(yōu)先級模塊可通過冗余硬件采集比較、電壓監(jiān)測等方式進(jìn)行診斷，其故障模式可總結(jié)為可診斷的失效、不可診斷的拒動以及不可診斷的誤動。

（3）影響分析

以ESFAC-A1為例，專設(shè)安全設(shè)施驅(qū)動功能FMEA分析如表1所示。

表1 專設(shè)安全設(shè)施驅(qū)動功能FMEA分析

由表1可知，在某一系ESFAC并行冗余控制站出現(xiàn)故障時，另一系仍可正常執(zhí)行專設(shè)安全設(shè)施驅(qū)動功能。而概率極低的ESFC輸出模塊不可診斷的誤動，將導(dǎo)致該輸出模塊對應(yīng)的專設(shè)安全設(shè)施執(zhí)行器誤動作。為了避免重要的專設(shè)安全設(shè)施功能被觸發(fā)，可以考慮在各系控制站中，設(shè)置冗余的輸出模塊對專設(shè)安全設(shè)施驅(qū)動信號進(jìn)行“二取二”后再輸出至優(yōu)先級模塊。此外，CIC優(yōu)先級模塊作為并行冗余驅(qū)動信號的集中點(diǎn)，其故障將導(dǎo)致對應(yīng)的執(zhí)行器控制功能不可用（產(chǎn)生拒動或誤動），此時由其它序列執(zhí)行安全功能。優(yōu)先級模塊診斷出故障時將默認(rèn)保持當(dāng)前輸出狀態(tài)，可以避免誤動作影響電站可用性。

3　結(jié)論

華龍一號核電站反應(yīng)堆保護(hù)系統(tǒng)采用并行冗余的控制站，以提高專設(shè)安全設(shè)施驅(qū)動功能的可靠性。為了降低DCS部件故障對系統(tǒng)功能的影響，本文提出了一種適用于并行冗余專設(shè)安全設(shè)施驅(qū)動信號的故障安全設(shè)計(jì)方法。本文結(jié)合儀控系統(tǒng)架構(gòu)和DCS產(chǎn)品特點(diǎn)開展故障模式分析，并根據(jù)專設(shè)安全設(shè)施驅(qū)動信號觸發(fā)類型及執(zhí)行器類型，制定了輸出模塊故障安全值、優(yōu)先級模塊輸出設(shè)定的設(shè)計(jì)方案。通過FMEA方法對故障模式進(jìn)行影響分析，該設(shè)計(jì)方案可有效降低因DCS部件故障造成的專設(shè)安全設(shè)施驅(qū)動信號誤動或拒動風(fēng)險(xiǎn)。設(shè)計(jì)成果已成功在多個華龍一號核電站工程項(xiàng)目中應(yīng)用，同時，該設(shè)計(jì)方法對其它核電站專設(shè)安全設(shè)施驅(qū)動信號的故障安全設(shè)計(jì)具有重要的借鑒意義。

作者簡介：

王　瀟（1990-），男，安徽人，工程師，學(xué)士，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核安全級儀控系統(tǒng)的設(shè)計(jì)工作。

參考文獻(xiàn)：

[1] 羅煒, 王銀麗, 陳學(xué)坤, 等. 基于FirmSys平臺的核電廠反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)[J]. 自動化儀表, 2012, 42 (1) : 65 - 69.

[2] 田露, 吳坤, 劉宏春, 等. 核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)多樣性設(shè)計(jì)研究[J]. 電子技術(shù)應(yīng)用, 2022, 48 (S1) : 13 - 18.

[3] HAF 102-2016, 核動力廠設(shè)計(jì)安全規(guī)定[S].

[4] 孟慶軍，國內(nèi)典型壓水堆核電站數(shù)字化儀控系統(tǒng)方案優(yōu)化[D]. 北京: 華北電力大學(xué) (北京), 2013．

[5] 白瑋，鄭偉智, 孫洪濤, 等. 核電站數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)研究[J]. 自動化博覽, 2012 (9) : 62 - 66．

[6] 鄭偉智，核電站反應(yīng)堆保護(hù)系統(tǒng)故障對策分析與應(yīng)用[J]. 核電子學(xué)與探測技術(shù), 2012 : 337 - 341.

[7] 鄭偉智，李相建, 朱毅明, 等. 核電站反應(yīng)堆保護(hù)系統(tǒng)防共因故障設(shè)計(jì)研究[J]. 自動化儀表, 2012, 33 (2) : 47 - 50.

[8] HAD 102/10-2021, 核動力廠儀表和控制系統(tǒng)設(shè)計(jì)[S].

摘自《自動化博覽》2025年4月刊