王凯彬

福建福清核电有限公司 福建福清 350318

1 质量位

1.1 质量位概念

核电厂控制中，为了保证参与机组控制的仪表信号正确性，避免不必要的瞬态，设计上主要采取了两种方式进行规避，一是通过比较选择器比较自动剔出失真的信号，另一种就是通过设置质量位，当质量“好”时正常的参与控制，当质量“坏”时进行相应的安全性调整。

狭义的来说，质量位主要用于判断仪表信号可用与否，当仪表信号不可用时，触发质量位“BAD”信号，用于表决逻辑退化或触发缺省值。

对逻辑量信号来说，其“质量位”可以理解为“继电器”的常开触点或常闭触点，也就是产生缺省值。

1.2 质量位的产生

质量位的产生地点DCS一层机柜中实现，并且在IE级机柜和NC级机柜中均产生，以一个IE级传感器为例，其在IE级控制中质量位判断在1E机柜中进行，在NC级控制中质量位判断在NC机柜中进行，图1清晰的表示了质量位的产生地点[1]。

标准模拟量信号为4-20mA，通过在DCS一层CP处理器软件中的质量位判断模块，当信号超出设定范围即产生质量位“BAD”信号。设定范围在1E级和NC级可以修改，通常为2%或5%。

常见的质量位产生原因有如下几种：超量程、变送器失电、变送器故障、卡件故障、信号线路断线。

2 核电厂质量位应用

2.1 控制器置手动

当仪表失效质量位“BAD”触发时，与该仪表相关的控制器将自动切至手动模式，其目的在参与控制的仪表已经不可信的情况下，将控制器置于相对“安全”的手动模式。如图2所示，典型阀门控制，当参与其控制仪表故障时，阀门将自动切至手动模式。

2016年4月7日，某核电厂2号机组1070MWe运行，由于高压加热器6B正常疏水调节阀故障，该高压加热器的应急疏水阀处于开启状态，导致凝结水流量较正常状态下相同功率水平大；当按计划进行凝结水泵定期切换操作时，启动备用状态第三台凝结水泵后，除氧器进水母管流量计（ADG001/002/003MD）超5000m³/h的量程，除氧器液位控制阀强制切换至手动模式[2]。

2.2 产生缺省值

当仪表失效时，为了系统置于安全状态，会将该仪表在逻辑控制中的输入值直接赋予“0”或“1”，(也有少量将模拟量输入信号赋值为模拟量数值的，这个模拟量数值又去参与下游的阈值比较，如上一刻有效值)，该被赋予的“0”或“1”（或模拟量数值）即被称为缺省值。如图3所示，典型缺省值产生示意。需要说明的是，同一块仪表，对不同的逻辑输入其缺省值可能是不一样的。

2015年3月29日，某核电厂化学与容积控制系统容积控制箱满水导致液位计2RCV011/012MN显示”xxxx”失效，液位计失效并未启动容控箱自动补水功能和上充泵吸入口自动切换，原因分析如表1：

表1 容积控制箱液位计主要功能

在容积控制箱液位计失效后，触发启动容控箱自动补水功能和上充泵吸入口自动切换的缺省值均设为“0”，即“不触发”，从而未触发上述自动动作。

2.3 逻辑退化

在核电厂逻辑设计中，兼顾误动率与拒动率的综合考虑，大量采用了2/4、2/3、1/2等逻辑表决形式，在仪表失效的情况下，同样要考虑误动率与拒动率的问题，尤其是反应堆保护系统，设计时需要采取故障安全准则。

（1）反应堆保护逻辑退化。反应堆保护逻辑退化的核心是兼顾拒动与误动风险，因此其遵循如下两条退化原则：

①2/4→2/3→1/2→直接触发

表2

②参与运算的任一仪表失效，运算结果遵循原则1退化。原则2的意思当用于逻辑表决的信号是由不同的仪表计算的结果时，任一参与计算的仪表失效都将直接导致该信号失效，信号失效后也按照“2/4→2/3→1/2→直接触发”的原则进行退化.

以M310核电厂蒸汽管线流量高信号为例，GRE023/024MP参与了每一条VVP管线的蒸汽流量高信号运算，因此当GRE023/024MP失效时，相当于3条VVP蒸汽管线流量高信号均失效，根据2/3的逻辑退化原则，将会直接触发蒸汽管线流量高的信号，如图4所示。

特殊的，对核仪表源量程和中间量程仪表保护来说，只有两个仪表，与上述退化原则稍显不同，其逻辑退化遵循如表3：

表3 逻辑退化结果

2015年3月6日，某核电厂3号机处于热停堆状态，18：59：41，3号机主控出现落棒报警，后经确认控制棒落棒。电厂经检查与分析认为，事件的原因是在进行核仪表系统（RPN）参数修改将核仪表3RPN030MA置于TEST位置，此时超温超功率△T的反应堆保护由3取2逻辑退化为2取1，与此同一时间，仪控人员在处理2号反应堆冷却剂泵3RCP002PO转速探头故障，导致超温超功率△T反应堆保护又由2取1逻辑退化为直接触发，反应堆保护动作导致停堆落棒[3]。

（2）ATWT逻辑退化。ATWT（未能紧急停堆的预期瞬态）作为正常给水流量丧失情况下的反应堆保护缓解系统，在核电厂RCC-PII类工况设计中有非常重要的作用，为了避免共模故障，该保护逻辑与反应堆保护逻辑不在同一平台实施。图5清晰说明了ATWT的逻辑图退化情况。

2016年6月24日，某核电厂2号机组处于功率运行模式，在升功率至30%FP时，因DCS供货商对主给水窄量程流量表超量程质量位设置了上限和下限触发，在升功率过程中，主给水窄量程流量表超出仪表上限而触发主给水窄量程流量表质量位信号，叠加核功率大于30%FP信号，导致反应堆自动停堆。

（3）DAS逻辑退化。DAS是反应堆保护多样化系统，用于提供安全级反应堆保护系统平台失效时的反应堆保护。安全级反应堆保护系统逻辑退化的核心是避免拒动，作为后备保护的DAS，在进行逻辑退化设计时则主要是避免误动，因此DAS的逻辑退化原则如下：

①2/4→2/3→2/2→不触发；

②1/2→1/1→不触发；

③参与运算的任一仪表失效，运算结果遵循原则1或2进行退化。

2015年5月25日，某核电厂2号机组在一回路升温升压的过程中，由于DAS系统稳压器压力低4安注信号未闭锁，由于DAS系统逻辑退化不触发原则，该问题一直未被发现；当一回路压力升至 10.86MPa.g，稳压器压力表 2RCP005、006、013MP达到量程进入低限，稳压器压力表质量位信号消失，仪表参与的保护开始生效，DAS稳压器压力低4信号触发了DAS系统A列安全注入动作。

（4）质量位风险控制。统计2014年以来的执照运行事件，仪表质量位相关的执照运行事件达8起，福建福清核电厂结合经验反馈和理论分析，采取如下措施对质量位风险进行控制，迄今未出现质量位触发导致的事件或偏差，未效果显著：

①编制质量位培训教材，确保核电厂操纵员人员建立质量位知识和风险识别意识，并且在操纵员人员培训和复训过程中予以强化；

②设置合理的仪表质量位触发设定范围，确保不因系统运行工况导致质量位的触发；

③仪表分散式布置消除共模隐患，如将ATWT中SG给水流量信号由此前同一通道修改为三个不同的通道；

④增加反应堆保护仪表质量位触发报警和DCS画面，确保质量位信号触发后可以第一时间定位和分析原因；

⑤编制反应堆保护仪表质量位逻辑图，便于快速进行仪表质量位影响范围分析和风险控制；

⑥对低状态下工艺状态不稳定容易导致质量位触发的主蒸汽流量表和汽轮机冲动级压力表，通过技术变更增加停机和停堆信号闭锁质量位下限功能，避免逻辑退化导致反应堆安全注入误触发。

3 结语

质量位是核电厂控制DCS化后的新概念，通过对经验反馈的深入研究总结，全面理解质量位在核电厂中的应用及规律，建立质量位在内的仪表失效风险识别和控制意识；通过培训、工具开发、技术升级等一系列措施，全面提升质量位风险控制能力，确保核电厂长期安全可靠运行。