★北京廣利核系統工程有限公司劉波，馬志國，王瀟，夏利民，劉元，徐小瑞

關鍵詞：優先；驅動控制；安全；DCS；VVER-1200；FirmSys；核電站

安全級優先級驅動控制系統是核電廠安全級DCS的一個重要組成部分^[1]，其主要功能是在對來自不同安全等級的自動或手動命令進行優先級處理后，驅動專設安全設施及相關支持系統的泵、閥等執行機構，從而完成系統規定的安全功能。田灣核電站7、8號機組將采用VVER-1200堆型，安全級DCS將采用FirmSys平臺。該平臺首次在VVER-1200堆型中應用。當前FirmSys平臺已有的系統方案主要面向的是M310堆型、ACPR1000堆型以及華龍一號堆型，而VVER-1200堆型對優先級驅動控制系統的要求與以往堆型存在較大差異，例如接口、驅動設備等，因此需研究設計滿足此堆型要求的優先級驅動控制方案。本文通過對安全級DCS相關設計標準的要求以及該堆型的控制特點，結合以往堆型的設計經驗和對比分析，提出了一種滿足VVER-1200堆型要求的優先級驅動控制系統設計方案，主要包括優先級驅動控制系統的優先級管理和驅動管理設計方案。該方案根據系統功能要求，確定了優先級驅動控制系統的接口數量以及接口方式；根據標準要求以及不同安全等級的指令的功能要求，確定了各個指令的優先級控制順序和相互之間的閉鎖關系；根據驅動設備的種類，確定了系統驅動管理的方案。這些控制方案的提出為豐富了安全級DCSFirmSys平臺的應用堆型，同時為工程項目建設提供了重要保障。

1　系統功能

安全級優先級驅動控制系統實現安全重要執行機構的優先級驅動控制功能，并根據電站總體安全控制要求，接受不同安全系統和控制系統的控制要求，驅動相應專設安全設施和重要輔助支持系統和設備的運行，以避免或減輕堆芯和反應堆冷卻劑系統設備的損壞，并確保安全殼的完整性。其具體執行如下功能：

（1）優先級管理功能：接收來自反應堆保護系統、多樣性保護系統、主控室后備盤/備控室后備盤及安全相關正常運行儀控系統不同功能級別的控制指令并實現指令的優先級管理。

（2）驅動管理：基于優先級管理的輸出，產生最終的驅動指令，并根據相應配置完成驅動指令終止功能^[2]。

（3）設備監視：采集和處理現場設備狀態信號和執行器測試狀態信號，根據設備狀態生成相應的機械故障信號（如偏差故障），并將狀態信息反饋至主控室/備控室的硬操作面板和安全相關正常運行儀控系統；同時也可以通過硬接線將設備狀態信號分配到反應堆保護系統。

（4）就地控制：在任何工況下，可通過設備接口模塊上的操作按鈕手動控制設備開關或啟停，以達到調試和維護的目的^[3]。

2　系統設計準則

安全級優先級驅動控制系統作為核電廠安全級DCS中進行優先級判斷及輸出最終專設驅動命令的重要系統，其屬于執行A類功能的系統，需要滿足核電安全重要相關標準提出的設計要求和準則，如單一故障準則、獨立性、可維護性、可試驗性等。

2.1　單一故障準則

單一故障準則一般可通過冗余的設計手段來應對。在序列之間和單序列內均采用冗余設計，當一個序列失效時，不影響其他序列正常發揮，確保了系統的可靠性^[4]。

序列間冗余：安全級優先級驅動控制系統設計為四個冗余序列構成，每個序列控制現場對應序列的執行機構。每個序列系統主要由設備接口模塊構成，每個設備接口模塊控制一個設備，盡可能分散，確保滿足單一故障準則。

序列內冗余：單序列內，安全級優先級驅動控制系統采用冗余供電、冗余通信應對單一設備故障的問題。

2.2　獨立性準則

獨立性準則主要適用于安全級儀控系統內部多重序列之間以及安全級系統與非安全級系統之間。依據標準GB/T13286的要求，在儀表和控制電路中應采取電氣隔離措施，以保持冗余設備和電路的獨立性，使得任一設計基準事件期間及之后所需的安全功能得以執行。為達到儀表和控制電路的電氣隔離，應在安全級和非安全級電路的相互連接處使用安全級隔離裝置^[5]。

2.3　可維護性

可維護性主要考慮根據NUREG0700導則要求，保證柜內設備布局的可達性、標識的可讀性等。

2.4　可試驗性

優先級驅動控制系統主要實現安全重要執行機構的優選控制功能。根據IEC61226的功能分級要求，優先級驅動控制系統屬于執行A類功能的系統，需要滿足IEC60671提出的定期試驗相關要求。考慮到試驗100%覆蓋安全重要信號路徑的完整性和設計的便捷性，采用分段交迭試驗的方法，定期試驗過程不會對核電廠正常運行帶來不可接受的影響，確保優先級驅動控制系統的可靠性^[6]。

3　系統接口

優先級驅動控制系統與其他系統的接口類型主要包括硬接線和通信兩種接口類型。為了保證就地的可維護性，就地手動操作指令通過硬接線的方式傳遞到優先級驅動控制系統中。為了保證安全重要信號的可靠性，優先級驅動控制系統采用硬接線的接口方式，直接接收反應堆保護系統、多樣性保護系統觸發的專設安全設施驅動指令。為了保證手動信號與自動信號多樣性要求，手動信號需要旁通數字化儀控系統的指令，所以主控室和備控室后備盤的手動指令及設備反饋信號與優先級驅動控制系統之間采用硬接線的方式。安全相關正常運行儀控系統主要執行控制功能，為非安全功能，為控制硬接線規模，采用通信的接口方式。

在VVER堆型中，多樣性保護系統定義為B類功能，安全相關正常運行儀控系統定義為B類功能，反應堆保護系統、主控室和備控室的手動操作功能均定義為A類功能，所以優先級驅動控制系統與多樣性保護系統、安全相關正常運行儀控系統之間需要滿足獨立性要求，需設置相應的隔離裝置。基于如上功能及設計準則要求，VVER-1200堆型優先級驅動控制系統接口示意圖如圖1所示。

圖1VVER-1200堆型優先級驅動控制系統接口示意圖

4　優先級管理設計

優先級管理主要是不同安全級級別儀控系統指令之間的優先級處理，主要是就地指令、反應堆保護系統指令、多樣性保護系統指令、主控室和備控室后備盤的手動指令和安全相關正常運行儀控系統指令之間的優先級關系，在設備接口模塊中實現優先級邏輯處理。

考慮到需保證執行機構在任何可能的事故工況下仍然可以正常維護，且一般情況下就地指令不參與保護系統的保護動作，一般在設備維護時，通過就地操作的方式進行維護，此時單序列需退出整個保護功能，所以針對保護指令而言，就地控制指令具有更高優先級。

根據IAEASSG-39的要求，如果一個設備既可以被保護系統，也可以被其他較低安全等級的系統驅動，則來自保護系統的保護功能觸發指令應優先驅動設備^[7]。同時根據主儀控系統功能要求，反應堆保護系統指令、多樣性保護系統指令、主控室和備控室后備盤的手動指令均會在某些工況下參與保護功能，而安全相關正常運行儀控系統作為控制系統，在核電廠正常運行期間不參與保護功能，所以安全相關正常運行儀控系統的指令優先級最低。

進一步分析，反應堆保護系統和多樣性保護系統均提供安全保護功能的自動保護動作指令，主控室和備控室后備盤的指令為手動保護指令，根據HAD102/10的要求，保護系統大部分功能都應自動啟動，僅采用手動動作需經過論證。安全保護動作手動啟動安全動作為預計運行事件和事故工況提供了一種縱深防御的形式，并支持事故發生后核動力廠的長期運行^[8]。所以基于此設計要求，執行機構的手動保護指令的優先級低于自動保護指令。

再進一步分析，反應堆保護系統和多樣性保護系統均為安全功能執行提供自動保護功能，多樣性保護系統作為反應堆保護系統的多樣性手段^[9]，防止反應堆保護系統出現共因失效。多樣性保護系統在縱深防御層次上屬于第四防御層次，低于保護系統的第三防御層次，可減輕保護系統縱深防御失效所導致的事故后果，并可通過控制事故進展和減輕嚴重事故的后果來實現第四層次的防御，所以多樣性保護系統的指令優先級低于反應堆保護系統指令。通常情況下多樣性保護系統指令的保護動作方向與反應堆保護系統的保護動作方向是一致的，如果由于多樣性保護系統發生不可診斷故障，導致多樣性保護指令動作方向和保護系統動作方向不同時，多樣性保護系統的指令將被保護系統指令閉鎖，確保核安全。

綜上所述，VVER-1200堆型優先級驅動控制系統指令優先級順序如表1所示。

表1VVER-1200堆型優先級驅動控制系統指令優先級順序

為了確保保護指令正常下發，以及執行機構保護動作的正常執行，不同優先級指令需要確保低優先級指令不妨礙高優先級指令的執行^[10]。因此高優先級指令與低優先級指令之間的同向指令設計為邏輯“或”關系，高優先級指令閉鎖低優先級的反向指令。

5　驅動管理設計

優先級驅動控制系統驅動的現場執行機構主要是電磁閥、電動機、電動隔離閥及電動控制閥等設備。

電磁閥類設備通過電磁線圈的通電和斷電實現閥門的控制，電磁線圈的通電和斷電狀態受其所接收信號狀態的影響。為確保電磁閥類設備在接收到信號后保持在預期狀態，優先級驅動控制系統需輸出電平信號，通過RS觸發器實現信號的保持功能，當出現反向信號時，驅動指令被復位。

針對電動機類設備，其信號的保持和復位功能在開關盤實現，所以優先級驅動控制系統輸出脈沖啟動或停止控制信號即可。

電動隔離閥通過電動執行機構的動作實現閥門的開啟和關閉。根據VVER堆型工藝控制要求，電動隔離閥對應的電動執行機構開關盤不提供指令保持和復位功能。為確保優先級驅動控制系統輸出的控制信號長度滿足閥門行程要求，同時避免閥門因過度動作而引起故障，優先級驅動控制系統中需要實現指令保持和復位邏輯。現場設備選型會根據工藝的要求，可選擇配置緊閉型閥門和非緊閉型閥門。這兩者的驅動控制邏輯存在差異。其中對于緊閉型閥門，當力矩開關反饋和限位開關反饋均觸發復位控制指令，而對于非緊閉型閥門，僅當限位開關觸發時即可復位控制指令。優先級驅動控制系統通過邏輯判斷限位開關反饋和力矩開關反饋的觸發順序，識別閥門狀態是否存在異常。正確的觸發順序是限位開關反饋先觸發，力矩開關反饋后觸發，如果觸發順序錯誤，可根據不同工藝需求，設置對應電動隔離閥的驅動指令是否終止。例如出現卡死等情況時，閥門在中間行程過程中出現了力矩信號，即中間行程過力矩，可以根據工藝控制和保護要求，確定設備保護和保護指令的優先級，設置是否終止指令。

電動控制閥通過電動執行機構的動作控制閥門開度，實現對過程參數的調節功能。針對電動控制閥類設備，優先級驅動控制系統輸出變寬脈沖信號，根據脈沖寬度的大小，實現對閥門開度的調節。電動控制閥與電動隔離閥一樣，同樣配置力矩反饋信號和限位開關反饋信號，并考慮指令的終止以實現設備保護。電動控制閥一般都是非緊閉型閥門，所以指令終止主要考慮限位開關反饋和中間行程過力矩信號終止指令的情況。終止指令的模式與電動隔離閥一樣，可根據工藝控制和保護要求，確定設備保護和保護指令的優先級，設置是否終止指令。

6　方案對比

該設計方案與其他堆型的優先級驅動控制系統的方案存在一定的差異。VVER-1000、ACPR1000堆型和CPR1000堆型的優先級驅動控制系統的設計方案具有成熟的應用經驗，VVER-1000堆型優先級驅動控制系統接口示意圖如圖2所示，ACPR1000堆型的優先級驅動控制系統方案如圖3所示，CPR1000堆型的優先級驅動控制系統方案如圖4所示。不同堆型優選驅動控制系統設計方案對比如表2所示。

通過上述的對比可知，基于儀控平臺差異以及二代、三代堆型儀控設計理念的差異，VVER-1200堆型的優先級驅動控制設計方案整體上與VVER-1000的方案較為接近。反應堆保護指令的接口除了CPR1000堆型采用通信外，其他堆型均采用了硬接線。考慮到保護指令的重要性以及可靠性要求，通常情況下硬接線比通信更為可靠，采用硬接線的方式更為合理。多樣性保護系統作為保護系統的后備手段，指令重要性不言而喻，與其他堆型一致，均采用硬接線接口。考慮到非安全級信號的重要程度不高以及交互信號量大等因素，非安全級儀控系統指令接口采用通信的方式更為合理，可以更好簡化設計和控制系統規模。

VVER堆型中后備盤的手動操作指令定義為A類功能，需要旁通數字化儀控系統指令，而其他堆型定義為B類功能，無旁通數字化儀控系統要求，所以與后備盤的接口方式設計為硬接線更為合理，可以更好地滿足標準的要求。

VVER堆型設置了獨立的嚴重事故執行機構，在嚴重事故工況下，嚴重事故系統可直接驅動設備，無需通過優先級驅動控制系統進行設備驅動，所以無需設置此接口。ACPR1000堆型由于共用執行機構，所以在嚴重事故工況下，嚴重事故系統指令需通過優先級驅動控制系統驅動設備。CPR1000堆型由于是二代堆型，尚未考慮福島核事故后的設計擴展工況，故未設計此接口。VVER-1200堆型指令優先級順序、驅動設備類型以及驅動管理均與VVER-1000堆型一致。所以從對比結果看，VVER-1200堆型優先級驅動控制系統整體系統設計方案合理可行。

圖2VVER-1000堆型優先級驅動控制系統接口示意圖

圖3ACPR1000堆型優先級驅動控制系統接口示意圖

圖4CPR1000堆型優先級驅動控制系統接口示意圖

表2不同堆型優選驅動控制系統設計方案對比

7　總結

本文通過對優先級驅動控制系統功能的分析，結合其他系統之間的接口，并根據反應堆保護系統、多樣性保護系統、主控室和備控室后備盤、安全相關正常運行儀控系統功能的不同，提出了優先級控制策略。根據該堆型現場執行機構的特點，本文提出了電磁閥、電動隔離閥、電動機、電動控制閥的驅動管理策略，滿足了現場設備的控制需求。本文提出的優先級驅動控制系統優先級管理和驅動管理方案，滿足相關標準法規的要求。該方案在實際工程項目中的成功應用，為該堆型核電廠的優先級驅動系統的詳細設計奠定了基礎。

作者簡介：

劉　波（1983-），男，北京人，工程師，學士，現就職于北京廣利核系統工程有限公司，主要從事核電站安全級DCS設計工作。

參考文獻：

[1] 劉濱, 劉明星, 梁建, 等. 核電廠優選模塊設計研究[J]. 儀器儀表用戶, 2017, 24 (12) : 53 - 57.

[2] 石桂連, 張斌, 楊文宇, 等. 基于和睦系統的ACPR1000核電機組保護系統優先級管理系統方案設計[J]. 核動力工程, 2019, 40 (2) : 85 - 89.

[3] 楊宗昊, 馬權, 金興連, 等. 國外安全級DCS優先級邏輯模塊分析[J]. 儀器儀表用戶, 2020, 27 (1) : 53 - 57.

[4] 張亮亮, 張瑜, 丁丁, 等. 核電廠安全級DCS設備接口模塊的研究[J]. 自動化儀表, 2017, 38 (7) : 24 - 28.

[5] GB/T 13286-2008, 核電廠安全級電氣設備和電路獨立性準則[S].

[6] IEC 60671-2007, Nuclear Power Plants– Instrumentation and Control Systems Important to Safety-Surveillance testing[S].

[7] IAEA SSG-39-2016, Design of Instrumentation and Control Systems for Nuclear Power Plants[S].

[8] HAD102/10-2021, 核動力廠儀表和控制系統設計[S].

[9] 鄭偉智, 張弋, 白瑋, 等. 核電廠儀控系統優先級驅動設計[J]. 核電子學與探測技術, 2022, 42 (1) : 18 - 25.

[10] 陳日罡. 一種核電廠安全級執行器優選控制模件設計[J]. 科技與創新, 2014, 9 : 3 - 4.

摘自《自動化博覽》2025年7月刊