EPR 機組基于單列儀控喪失的缺省值設計策略研究

宋玉亮 李永進 陳信仁 趙東陽 劉東亮

EPR 核電機組在設計階段專門考慮了單列儀控喪失的工況，要求在此工況下機組執行的主要功能能夠維持，因此EPR 機組在設備冗余、儀控系統功能冗余及隔離等方面進行了特有的設計，特別通過對列間傳輸信號的缺省值設計最終實現功能的維持。本文研究了EPR 機組基于單列儀控喪失的缺省值設計策略，提出了具體的設計方法和原則，并最終在EPR 臺山1/2 號機組單列儀控喪失試驗中得到驗證。

1 EPR 機組單列儀控喪失的設計策略

EPR 常規島儀控系統分為獨立的兩列（位于HFA 房間的CI1 和位于HFB 房間的CI2），每一列均有相同數量的自動處理器AP 組成，能獨立實現功能控制，同時列間通過網絡和硬接線進行信號交互，能真正實現儀控功能的冗余配置。

同時，EPR 機組中執行同一功能的設備和傳感器普遍采用冗余配置，并在邏輯功能實現中考慮了其間的聯鎖控制，從而保證了單一設備故障后由冗余的設備來保證功能不喪失。

因此，基于儀控系統和工藝設備的冗余配置，允許EPR 機組在初始設計階段可以考慮單列儀控喪失的工況，以提高機組運行的安全性和經濟性，其通過設備功能的劃分、控制邏輯的匹配、儀控信號的分配等多種設計策略來實現單列儀控喪失工況下主要功能的繼續維持。在儀控系統中將同一列的設備控制與信號處理放入相同列儀控系統，同時不同列的控制又分配到不同列的儀控系統來處理，從而保證了控制與設備同時冗余。

2 EPR 機組缺省值的實現原理

為實現EPR 機組單列儀控喪失工況下的功能保持，當出現單列儀控喪失工況時，處于冗余狀態的另一列儀控系統必須能夠獲得清晰而準確的信息，并通過相應的邏輯運算做出正確的響應。這就需要為因儀控喪失而失效的列間傳輸信號定義正確的缺省值，并在邏輯運算中予以實現。臺山EPR 機組缺省值的實現基于SPPA-T2000 系統的ES 工程組態系統，通過一系列基本功能模塊，完成邏輯功能的搭建，最終滿足功能設計的要求。EPR 機組的缺省值設置主要包括缺省值為1、最后有效值、特定值和0 等幾種形式，一般是通過原始信號和一個表征輸入列儀控是否喪失的生命信號（值為1）信號，經過一系列邏輯功能塊的配合來最終實現需求的缺省值。

2.1 缺省值為1 的實現方式

缺省值為1，即要求在信號失效后，信號的接收端能將此信號值置于1，來滿足功能設計的需要。其邏輯實現方是在發送端增加一個值為1 的生命信號，同時在信號的接收端將生命信號取反，與原信號經過一個“或”門的選擇最終輸出到后續邏輯運算中。

2.2 缺省值為最后有效值的實現方式

缺省值為最后有效值，即要求在信號失效后，信號的接收端能將此信號值置為儀控喪失前的最后有效值，來滿足功能設計的需要，可分為原信號為邏輯量和原信號為模擬量兩種情況考慮。

2.2.1 原信號為邏輯量的實現方式

當原信號為邏輯量時，其邏輯實現方式是在發送端增加一個值為1 的生命信號，同時在信號的接收端將原信號取反，與原信號經過一個“RS 觸發器”模塊，經過運算最終輸出到后續邏輯運算中。

2.2.2 原信號為模擬量的實現方式

當原信號為邏輯量時，其邏輯實現方式是在發送端增加一個值為1 的生命信號，作為原信號選擇模式的觸發條件，經過運算最終輸出到后續邏輯運算中。

2.3 缺省值為特定值的實現方式

缺省值為特定值僅適用于部分模擬量信號，其邏輯實現方式是在發送端增加一個值為1 的生命信號，作為原信號選擇模式的觸發條件，經過運算最終輸出到后續邏輯運算中。

2.4 缺省值為0 的實現方式

缺省值為0 的實現，因為儀控喪失后原始信號會自動變為0，因此無需額外增加邏輯運算，其失效值0 即為其缺省值。

2.5 硬接線信號缺省值的實現方式

儀控列間交互的硬接線信號，其缺省值的實現可參考上述幾種邏輯方式。另外當其缺省值為1 時，也可采用下一種不需要額外生命信號的方式來判斷，即在硬接線兩端增加兩個“非”門，正常工況下，兩個“非”門相互抵消，輸入信號與原信號保持一致，當監測到發動端儀控喪失，輸入信號為0，直接取非為1，缺省值起作用，使得最終輸出值為1。

3 EPR 機組缺省值的設計原則

EPR 機組要實現單列儀控喪失下的可靠性，需充分考慮儀控故障對交互信號傳輸及功能的影響，必須運用有效的設計原則來合理設計交互信號的缺省值，這些原則不是硬性和唯一的，而需要考慮多種因素，結合不同的需求角度來綜合考量。EPR 機組缺省值的設計原則，主要是基于設計策略中在儀控失效后對功能的需求以及不同功能分區的設置，同時考慮保障設備的安全性、功能的可用性以及機組的安全經濟性，并結合設備的特性來設置。

3.1 缺省值的設計應保證設備和功能的可用性

EPR 機組要實現單列儀控喪失下主要功能的保持，要保證正常列的設備處于可用狀態，同時相關的邏輯功能有效。正常運行工況下，不同列間的設備、功能存在復雜的邏輯聯系，諸如相互閉鎖、互為因果等，但單列儀控喪失造成的信號失效會破壞這些邏輯功能聯系，使得處于正常列的邏輯功能無法實現或設備無法正確動作。因此在設計這些交互信號的缺省值時，應著重考慮消除對正常儀控列功能和設備的影響，具體到缺省值的選擇上，應實現不干擾正常功能的實現，不干擾相關設備的正常動作，不影響設備的保護邏輯等。

3.2 缺省值的設計應實現必要的設備切換

EPR 機組已經配置了滿足需求的冗余設備，并對其控制功能進行了獨立配置，要實現單列儀控喪失下主要功能保持，就需要將原來由喪失列實現的功能切換到正常列來實現。因此，EPR機組設計中分析了相關交互信號和切換邏輯，針對需要通過及時切換設備來實現功能保持的情況，通過將某些失效列的故障信號缺省值設為1 的方式，實現處于正常儀控列控制的備用設備的自動啟動，從而實現及時通過設備切換實現功能保持。

3.3 缺省值的設計應避免異常動作的發生

單列儀控喪失后可能導致的設備誤動，大多數是由于失效信號會觸發相關邏輯功能的判斷閾值導致的，比如監視設備正常運行的特征參數失效，會導致設備異常動作；設備上下游的流量、壓力等參數失效，會對設備對狀態產生誤判等。要避免設備異常動作，就需要合理的設置這些失效信號的缺省值，主要策略是通過邏輯判斷剔除掉相關的失效信號，或者將失效信號置于一個安全值，從而只通過正常列的信號來進行邏輯功能的判斷。

3.4 缺省值的設計應結合下游的實際需求

EPR 機組的缺省值設置不是孤立的，需要考慮各方面的綜合因素，并且主要是由下游實際需求來確定的，特別是單路失效信號傳輸到下游正常儀控列不同方向的交互信號，需要針對不同的邏輯功能，需要逐項進行分析和缺省值設計。

3.5 缺省值的設計應盡量反映真實的狀態

由于單列儀控喪失后此列控制的所有傳感器信息、設備狀態等輸出都將喪失，因此從保證正常列邏輯功能執行正確，給予操縱員正確的提示信息等角度考慮，需要盡量通過設置合理的缺省值，將此列包含的儀控喪失后的狀態信息正確的傳遞出去。對于設備狀態，盡量能反應儀控喪失后設備的故障安全狀態。但需要說明的是，當此項設計原則與上面的原則沖突的時候，一般會優先考慮保障設備安全和功能正常。

4 EPR 機組單列儀控喪失下缺省值設計的實施效果

EPR 機組在臺山1/2 號機組中執行了CI1（HFA）和CI2（HFB）單列儀控喪失試驗，并且試驗中選擇了比較苛刻的試驗配置，即在試驗前將執行主要功能的設備大部分都配置在喪失列運行，驗證在儀控喪失后相關設備和功能的切換和維持。在試驗過程中CI 部分控制的給水、冷卻、真空、盤車、發電機密封油等主要功能都得到了保證，在上述設計策略下完成的缺省值設計效果得到了較好的驗證。

5 結束語

缺省值的設計是一項需要綜合考慮設備、功能、機組要求等多種因素的策略，特別是結合不同的指導原則、目標方向也會有不同的選擇方案。本次對EPR 機組中基于單列儀控喪失的需求下缺省值的設計策略進行了分析和研究，提出了遵循的主要設計原則，并通過試驗對具體效果進行了驗證。隨著對核電安全和經濟性的要求越來越高，后續核電機組中將更多的涉及對如儀控喪失等故障失效工況的分析和應對，本文將對這些工況的研究和應對提供參考。