★北京廣利核系統工程有限公司張紅梅，王曉衛，劉靜波，趙紅霞

關鍵詞：主給水調節閥；控制回路；單點故障；FMEA；可靠性；冗余

核電廠主給水調節閥用于調節二回路冷卻水至蒸汽發生器的給水流量，實現蒸發器水位控制，對電廠正常運行和事故緩解至關重要，對核電廠的安全性和經濟性有著重要影響，是核電控制的關鍵敏感設備之一^[1]，其誤動可能導致機組瞬態甚至自動停堆事件。主給水調節閥氣動控制回路設計成失去氣源或故障后自動關閉。核電運行歷史上曾多次發生由于主給水調節閥氣動控制回路異常觸發主給水閥誤關而導致的反應堆意外停堆事件。本文根據主給水調節閥的控制原理，以某核電廠主給水調節閥ARE031VL氣控回路中電磁閥EL1控制為例，對系統控制回路設計進行了深入分析，找出了系統中可能引起電磁閥誤動的單一故障點，并通過失效分析，確定失效模式，進而提出了改進、優化設計和進行預防性維修等手段，減少了因單點失效導致的機組瞬態或停堆事件的發生。

1　主給水調節原理

主給水調節系統（ARE）控制向蒸汽發生器的給水流量，保證蒸汽發生器（SG）二回路側的水位維持在一個隨汽機負荷變化的整定值上。每臺蒸汽發生器的正常給水回路設置有兩條并列的管線：主管線上的主給水調節閥（ARE031/032/033VL）用于高負荷（＞20%FP）運行工況下的水位調節，旁路管線上的旁路調節閥（ARE242/243/244VL）用于低負荷（＜20%FP）及啟、停階段的運行工況。

每個主給水調節閥配置有一個電/氣閥門定位器和兩個電磁閥。電/氣閥門定位器輸入信號為來自水位調節系統的模擬調節信號（4~20mA），將其轉換成一個氣動輸出信號，該信號直接作用于執行機構膜片，產生一個與輸入信號成比例的閥芯位置，從而控制閥門的開度。電磁閥EL1/EL2共同控制主給水調節閥的供氣狀態，一個接收來自A列的信號，另一個接收來自B列的信號，A、B列信號均相同。當保護信號不存在，給水調節閥的兩個電磁閥勵磁，氣控回路處于正常工作狀態。任一保護信號的出現都將使電磁閥失磁，從而將儀用壓縮空氣直接排放大氣，給水調節閥快速關閉。任一閥門異常，均可能導致SG水位異常波動，嚴重時會導致反應堆停堆。主給水調節閥氣控系統邏輯如圖1所示。

圖1主給水調節閥邏輯圖

2　閥門控制回路可靠性分析

ARE給水調節閥氣動控制回路設計成失去氣源或故障后自動關閉。正常工況下要求主給水調節閥可調，電磁閥EL1處于勵磁狀態；僅在反應堆保護信號作用下，電磁閥EL1失磁，氣控回路氣源喪失，主給水調節閥自動關閉。因此對電磁閥控制系統設計的可靠性提出了更高要求，防止因閥門誤動而導致機組瞬態甚至停堆事件的發生。

來自LCC系統（48V直流電源和配電系統）的兩路48VDC電源送至安全級儀控系統配電柜（PDC），在PDC中經二極管耦合后，通過不同的斷路器向下游多個設備接口機柜（CIC）提供48VDC驅動電源。設備接口模塊（CIM）作為控制系統與現場設備間的驅動接口，通過繼電器擴展用于實現大電流設備驅動。某核電站ARE031VL的氣控回路電磁閥EL1控制回路設計如圖2所示。

圖2ARE031VL電磁閥EL1控制回路簡圖

（1）PDC柜內的供配電

依據設計要求，正常情況下斷路器K01/K02合閘，兩路直流電源經二極管D01/D02耦合后，為下游CIC-1等設備接口機柜提供48VDC驅動電源。任一斷路器開路、誤動作或者線路異常現象出現（如端接故障、接線松脫或電線異常），僅喪失冗余功能，仍能為下游CIC機柜供電，并不會導致下游設備喪失驅動電源，不影響安全功能。

耦合后的直流電源通過不同斷路器為各CIC機柜提供48VDC電源，斷路器K11為ARE031VL的電磁閥EL1所在的CIC-1機柜提供48VDC電源。K11開路、誤動作或者線路異常，將導致下游CIC-1柜內CIM的驅動電源全部喪失，進而造成局部安全功能失效。

（2）CIC-1柜的驅動電源

CIC柜中配電盤設置有若干斷路器，一個斷路器對應一塊CIM卡，用于為其提供驅動電源，斷路器K21合閘為CIM-1提供48VDC驅動電源。K21開路、誤動作或者線路異常，存在導致CIM-1的驅動電源喪失的單一故障點。

（3）CIM-1

CIM卡位于設備接口機箱內，具備驅動指令采集和接收、優先級邏輯處理、設備驅動指令輸出、設備反饋信號采集、定期試驗接口和板卡自診斷功能^[2]。定期試驗和反饋&自診斷功能不會引起CIM卡的去驅動輸出，通道采集電路故障、驅動功能故障和優選邏輯電路故障可能出現誤觸發指令的現象。

（4）擴容繼電器

繼電器安裝在CIC-1柜中，實現大電流設備驅動。根據繼電器的工作原理，若線圈側輸入電壓超出繼電器工作范圍，會導致繼電器無法正常吸合和釋放；閉合/釋放時間不滿足要求會影響繼電器所在工作回路的控制功能，這兩點均會造成繼電器的誤動或拒動。根據繼電器的設計原理，繼電器觸點氧化或積碳，會增加觸點接觸電阻，影響觸點閉合時接觸性能，降低負載控制精度或驅動能力；觸點粘連，會影響繼電器正常控制功能^[3]。

在實施故障模式及影響分析（FMEA）時，首先應明確分析對象，即明確約定層次，并針對目標對象所屬的結構層次關系劃分層級。根據產品設計及工程應用，基于產品的可靠性、可維修性等數據以及核電廠以往的運行經驗，確定控制回路的最低約定層次為最小可更換單元。

根據信號流向，逐級分析、識別出主給水調節閥電磁閥控制系統中單一故障點，利用FMEA方法對控制回路各部件潛在的各種故障模式及其產品功能的影響進行分析^[4]。針對部件失效分析，提出設計改進及改進措施，并進行可行性評價。主給水調節閥電磁閥控制系統中各關鍵部件（見圖2標識）的失效模式和相應措施見表1。

表1失效模式和改進措施

注：控制回路中的接線端子、電線實現電流或信號的傳遞功能，其具有高可靠性的特點，可通過機組大修期間進行預防性維修的手段，保證可靠性。

3　改進措施

核電廠的高安全標準對相應控制系統的安全性和可靠性提出了高要求，儀控系統應采用有效的設計方法和技術方案來提高系統的可靠性和可用性，以滿足系統安全可靠運行的要求。為了確保單一故障不引起主給水調節功能的喪失，控制回路的設計應按照電磁閥失磁時以最可能的故障模式進行設計，從可能影響系統能力的故障出發，對整個控制回路進行分析，以滿足單一故障準則^[5,6]。優化改進后控制系統如圖3所示。

圖3優化后ARE031VL電磁閥EL1控制回路簡圖

（1）PDC柜內的供配電

來自LCC的48VDC電源的任意一回路失效，不影響安全功能。利用斷路器的輔助觸點監視其狀態，進行報警顯示和日志記錄。

（2）CIC-1柜的驅動電源

PDC至CIC-1增加一路冗余供電，從而任一路失效不影響安全功能執行；CIC柜內配電盤中供電回路采取環形供電的措施，任一節點異常，不影響供電可靠性，不影響安全功能。

（3）CIM冗余

增加一塊冗余設備接口模塊，兩個設備接口模塊接收相同的控制指令信號。當接收到保護信號時，CIM的CO輸出信號為1，使得擴容繼電器帶電，常閉點斷開；保護信號消失，CIM的CO輸出信號為0，擴容繼電器常閉節點閉合。同時增加定期試驗，用于探測其可能存在的未知故障。

（4）擴容繼電器冗余

增加一個冗余擴容繼電器設備，繼電器輸出端子側通過硬接線實現“或”邏輯。在兩個擴容繼電器兩個或任一為失磁狀態時，48VDC驅動電源至主給水調節閥電磁閥EL1，EL1勵磁，氣控回路正常，主給水調節閥可調。只有在兩個擴容繼電器均勵磁、EL1失磁時，氣控回路氣源喪失，主給水調節閥關閉。

在系統設計中，采用冗余技術是提高控制系統可靠性的有效方法和主要措施。優化改進后的方案使得系統在運行時不受單一故障的影響，可實現在線更換和維護。同時，定期試驗、自診斷和預防性維修或運行隔離措施可緩解無法通過改進進行降級的單點故障設備，可盡早識別可能失效的隱患。其并不影響系統正常運行，從而達到提高系統可靠性和降低失效率的目的。

改進后的設計方案中冗余設計等手段的應用也解決了設備拒動情況的發生。改進后的設計方案已在多個核電基地得到了現場實際應用，有效避免了主給水調節閥氣控回路的設計缺陷，提升了機組控制性能和安全運行水平。

4   結論

本文主要針對主給水流量控制系統中主給水調節閥電磁閥的控制系統進行了單點故障下的失效分析，找出了可能導致主給水調節閥電磁閥誤動的單一故障點，并根據不同的失效模式采取了相應的設計改進，或者預防性維修或定期試驗、自診斷等緩解措施。

優化后的方案保證了ARE系統的安全穩定，使得機組保護系統與控制系統的功能更加完善、穩定，可靠性大幅提高。同時，主給水調節閥電磁閥控制回路的原設計薄弱環節及優化后的方案具有一定代表性，對分析和處理同類設備的控制問題有一定的參考價值。

作者簡介：

張紅梅（1979-），女，安徽人，高級工程師，碩士，現就職于北京廣利核系統工程有限公司，主要從事核電安全級DCS儀控系統設計工作。

參考文獻：

[1]吳起,胡文盛,羅偉,等.ARE主給水隔離功能的運行技術規范管理分析[J].核科學與工程,2020,40(5):809-815.

[2]鄭偉智,朱毅明,等.一種多功能驅動模塊[P].中國專利:CN102394117A.

[3]蔣道福.核電廠繼電器失效模式和維修策略研究[J].大亞灣核電維修技術,2023,(68):14-18.

[4]GB/T9225-1999,核電廠安全系統可靠性分析一般原則[S].

[5]GB/T13284.1-2008,核電廠安全系統第一部分:設計準則[S]．

[6]GB/T13626-2008,單一故障準則應用于核電廠安全系統[S].

摘自《自動化博覽》2025年8月刊