核電站安全級DCS系統故障及維護策略研究

北京廣利核系統工程有限公司 李啟明，李景志，劉旭東

1 引言

中廣核集團在消化吸收法國M 310堆型技術的基礎上，從嶺澳核電站二期開始，在核電站的運行技術方面，采用了先進的狀態導向事故處理程序（SOP），SOP的使用不受事件的起因或者演化的限制，通過不斷地循環監視機組性能參數來判斷機組狀態，針對不同的狀態采取相應的策略進行處理[1]。在核電站的運行水平方面，在保證安全性要求的前提下，系統修復所用的時間越少，則運行經濟性越好。核電站的日常運行維護主要由預防性維護和糾正性維修組成，對于保護系統而言，預防性維護主要包括：機柜報警巡檢、保護系統周期試驗和數據備份；糾正性維修主要包括硬件故障的應急處理和軟件組態修改。

本文針對安全級DCS系統典型故障，應用故障診斷方法對反應堆保護系統進行故障識別和分析，再結合安全級DCS系統的結構特性，得出定位關鍵設備和指導人員操作的方法和流程，以幫助維護人員準確地確認和排除故障，為糾正性維修行動的制定提供決策建議，提高核電站的安全運行水平。

2 DCS系統故障

2.1 故障類型分析

根據HAF-102中有關假設始發事件的描述，在核電站運行中需要考慮的故障類型取決于所涉及的系統和部件的類型[2]。對于DCS系統來說，其故障一般有如下形式：卡件輸入/輸出異常、信號測量誤差大于允許范圍、設備裝置故障、通訊故障或上述形式的組合。

在數字化反應堆保護系統中，主要的故障類型有：

①信號故障：它是故障表征的最小單元（如測量的輸入信號或邏輯運算后的輸出信號等）；

②高級故障：包括硬件模塊、計算機設備或數據信息的故障。這類故障可能會產生多個信號故障。在進行故障分析時，需要將信號故障和高級故障區分開[3][4]。

對上述DCS系統故障進行分析，除了考慮故障的產生原因、表現形式之外，還考慮相應的檢測方法和標識方式等，分析結果如表1所示。

2.2 故障級別定義

對于同種硬件設備來說，不同情況的故障會給控制系統造成不同影響程度的后果；相反，對于使控制系統無法正常運行的原因，又可能是由不同的設備故障觸發的。據此，可以根據事故后果的嚴重程度來反推故障的級別。根據上述故障類型及報警標識需求的分析，結合現有核電站DCS系統的運行經驗，按照故障產生給控制系統運行帶來的危害，是否會影響控制功能的正常執行，將安全級DCS系統故障定義為3種級別：系統級嚴重故障（簡稱故障）、設備級一般故障（簡稱報警）和卡件級一般故障（簡稱I/O警告）。

①當發生的故障導致DCS系統無法正常運行時，將觸發系統級嚴重故障報警。其中包括CPU卡的系統級嚴重故障、通訊卡的系統級嚴重故障以及電源故障等。

②當DCS系統出現異常，但控制功能仍然能夠正常執行時，將觸發設備級一般故障報警。其中包括CPU卡的設備級一般故障、網絡通訊卡的設備級一般故障、電源和風扇故障，柜內超溫以及系統切換到維護模式。

③當DCS系統進行數據處理過程中出現異常，但控制功能仍然能正常執行，將觸發卡件級一般故障報警。其中包括機籠管理卡響應超時以及CRC校驗故障、網絡通訊卡通信數據故障、I/O模塊故障、數據處理停止以及切換到模擬模式。

3 故障識別及診斷

根據上述分析，可以初步整理出安全級DCS系統的故障級別與影響系統運行的嚴重程度的關系。在控制系統中，故障的檢測過程以及不同級別故障標識信息的傳遞，需要依賴于DCS平臺自身的軟硬件環境來進行。借助DCS系統平臺對故障信息的診斷和預處理，根據產生的各種故障標識出相應級別的報警信息，結合維護人員的運行經驗，可以有效地判別故障。

3.1 功能要求

根據ERPI TR-107330對于自診斷功能的規范要求，安全級DCS系統必須具有足夠的自診斷能力，從而依靠自診斷程序以及自診斷電路能夠檢測出影響DCS系統實現其安全保護功能的所有故障[5]。安全級DCS平臺通過其自診斷功能，可以在早期發現故障，能夠實現對影響1E保護功能執行的故障進行探測，檢查出的故障信息通過網絡提供給電站的維護人員，并根據故障的等級和嚴重程度，進行相應的報警。

3.2 故障診斷的實現方法

安全級DCS系統通過3種方式實現自診斷功能，用以完成對系統相應的硬件、軟件以及外圍設備進行故障探測，分別為硬件檢測方式、軟件檢測方式以及軟硬件結合檢測方式。

①自診斷功能的硬件檢測方法是通過各卡件中特殊的自診斷電路來實現的，其中包括WDT看門狗電路、奇偶校驗檢測回路、時鐘監視電路以及電源監視回路等。通過這些獨立于CPU芯片、存儲器、寄存器等卡件中固有部件之外的獨立電路來對整個卡件的運行及其相應的功能進行周期性檢測。

②自診斷功能的軟件檢測方法是通過調用相應內存區所存儲自診斷程序和數據來對系統相應軟件和硬件的運行狀態進行診斷來實現的，其中包括處理器穩定性檢查程序、響應超時檢測程序、通信數據奇偶校驗檢查程序等。

③自診斷功能的軟硬件結合的檢測方法是通過輔以自診斷電路，由軟件進行寫入診斷數據，讀回診斷結果的方式來實現的，其中包括數據讀回、通信總線診斷、內存錯誤檢查等。

3.3 故障識別及處理

安全級DCS系統利用自診斷程序和自診斷電路對CPU卡件、系統管理卡件、機籠管理卡件、網絡通信單元、總線管理卡、I/O卡件、供電單元以及機柜風扇、溫度等方面進行周期性驗證來實現自診斷功能。由于在系統運行的每個周期都執行自診斷功能，因此可以實現對系統故障報警的實時性、準確性和完整性。

表2 安全級DCS系統故障診斷的主要類型

從表2中對診斷類型的定義可以分析得出，針對具體的DCS系統故障，需要結合不同的診斷對象，根據故障判別標準，定義出對應的故障或報警級別，同時在維護工程師站的工具電腦（簡稱維護工具）中顯示出故障信息。

表3中列出了DCS系統故障診斷的典型實例，并給出了相應的探測故障和處理故障的方法。

表3 安全級DCS系統故障診斷的典型實例

4 安全級DCS維護策略

4.1 安全級DCS維護網絡

安全級DCS系統的狀態信息顯示在主控室的監視器界面上，發生故障狀態變化時，需要通過工程師站上的維護工具調取畫面，并通過不同級別的報警信息指導運行維護人員進行故障分析和定位排除。

電氣廠房內的DCS系統設備與主控室的計算機通過維護網絡進行連接和信號傳輸。根據安全分級的定義，維護網絡及維護工具在核電站運行期間不執行保護功能，其安全級別為非安全級。在核電站運行期間，應保證其與安全級保護系統保持斷開狀態，只有在維護期間才將其接入。為了滿足這種不同安全等級設備之間的隔離要求，在維護網絡的兩側分別應用光轉換交換機。

為了防止共因故障導致的系統失效，核電站安全級DCS系統的設計采用冗余設計方式，考慮到保護系統的功能性差異，有主備冗余和并行冗余兩種冗余方式。

4.2 安全級系統維護策略及故障恢復流程

安全級DCS系統的冗余方式決定了不同冗余類型的系統結構必然要采取不同的維護策略及故障恢復流程。對于主備冗余系統，首先要識別故障等級是否影響系統的控制功能，判定系統切換的條件。對于并行冗余系統，由于輸出取或邏輯，所以不涉及系統切換的問題，只需要判斷故障發生的位置即可。

4.2.1 主備冗余系統

(1)主備冗余系統的切換條件

當A系處于控制而B系處于備用的狀態下發生了故障或報警，依據系統是否切換分為兩種情況，主備冗余系統切換流程示意如圖1所示。

當CPU（A）發生系統級故障時，需要執行系統切換。

當CPU（A）發生設備級報警或卡件級一般故障時，或CPU（B）發生系統級故障時，不執行系統切換。

圖1 主備冗余系統切換流程

(2)主備冗余系統故障恢復流程

當A系被置于故障模式時，通過維護工具上的控制器監視畫面確認詳細的故障信息。確認到具體故障板卡或故障單元后，對其進行更換。更換完成后，在系統的切換開關上復位故障、報警、IO警告，并確認故障、報警、IO警告的LED指示燈熄滅。通過手動切換操作選擇A系控制，B系熱備模式。圖2表示出主備冗余系統故障恢復流程。

圖2 主備冗余系統故障恢復流程

對于具體卡件故障更換流程，如圖3所示。主要考慮安全級DCS系統結構中常見的幾種卡件類型進行故障處理分析，包括CPU卡件、機籠管理卡、光電接口卡和IO卡件。其中，在主備冗余結構的系統中，CPU卡件的更換需要判斷是否需要執行主備控制系統的切換操作；機籠管理卡、光電接口卡和IO卡件的更換較為簡單，一般為支持熱插拔的卡件。

圖3 主備冗余系統卡件故障更換流程

4.2.2 并行冗余系統

對于并行冗余系統來講，當系統發生故障或報警時，系統無需切換。如果發生故障或報警，通過維護工具確認故障，在控制器監視畫面上辨識故障部分。確定故障板卡或故障單元后，對其進行更換。更換完成后，在狀態指示面板上復位故障、報警、IO警告，確認故障、報警、IO警告LED指示燈熄滅。

圖4 并行冗余系統故障恢復流程

圖5 并行冗余系統卡件故障更換流程

圖4和圖5分別表示出并行冗余系統故障恢復流程及卡件故障更換流程。從流程圖中可以看出，不論是系統故障恢復，還是卡件故障更換，并行冗余系統與主備冗余系統最大的差異還是在于是否需要控制系統切換。

5 結語

通過對核電站安全級DCS系統故障模式的分析和維護策略的研究，結合現有DCS系統產品技術平臺的特點，對核電站安全級DCS系統的故障分析及維護可以得到以下結論和經驗：

①從單一故障原則的角度進行故障類型分析和故障報警分級，在安全級DCS系統發生故障后，使運行人員能區別不同等級的報警，盡量減少同時出現多個報警顯示對運行人員可能產生的任何混淆。

②由于安全級DCS系統結構的特殊性，必須考慮冗余結構，而對于不同的冗余方式，應根據其固有結構特點進行具體的維護策略的設計。

[1] 濮繼龍.中國改進型壓水堆核電技術—CPR1000的形成[J].中國工程科學,2008,10(3):54-57.

[2] HAF-102 核電廠設計安全規定[S] .2004.

[3] 王華金,劉立新,李謝晉等. 核電站數字化反應堆保護系統研究 [J] .核動力工程, 2002.

[4] 周海翔,田灣核電站數字化反應堆保護系統故障模式與后果分析 [J] . 原子能科學技術, 2007,11(6):702-706.

[5] EPRI TR-107330 generic requirements specification for qualifying a commercially available PLC for safety-related applications in nuclear power plants ,1996.