基于安全級DCS系統的故障診斷與處理要求

俞 赟 馮 威 許東芳 羅 煒 朱 攀

(中國核動力研究設計院核反應堆系統設計技術重點實驗室，四川 成都610041)

1 系統故障分類

IEC 60812-2006中對故障的定義為：物項不能執行某項規定功能的狀態。通常指功能故障。因預防性維修或其他計劃性活動，或由于缺乏外部資源造成不能執行規定功能的情況除外。

為了便于分析、診斷安全級DCS系統故障發生的部件和產生原因，現把故障分為以下幾類：

（1）現場儀表設備故障

現場儀表設備包括與生產過程直接聯系的各種變送器、各種開關、執行機構、負載及各種溫度一次元件等。現場儀表若發生故障，直接影響安全級DCS系統的保護功能及操縱員對現場參數的監測。

（2）系統故障

此類故障是影響系統運行的全局性故障，系統故障可分為固定性故障和偶然性故障。如果系統發生故障后可重新啟動使系統恢復正常則可以認為是偶然性故障。相反若重新啟動后不能恢復正常而需要更換硬件或軟件系統才能恢復則認為是固定性故障。這種故障一般是由于系統設計不當或系統運行年限較長所致。

（3）硬件故障

這類故障主要是指安全級DCS系統中模塊損壞造成的故障。這類故障一般比較明顯且影響也是局部，主要是由于使用不當或者時間較長，模塊內元件老化所致。

（4）軟件故障

這類故障是軟件本身所包含的錯誤引起的。軟件故障分為系統軟件故障和應用軟件故障。系統軟件故障是DCS系統自身攜帶，若設計考慮不周，在執行中一旦條件滿足就會引發故障，造成停機或死機等現象。此類故障不常見，要求在DCS系統調試及試運行中認真仔細及時發現并解決。應用軟件是由用戶自己編定，在實際工程應用中，由于應用軟件工作復雜，工作量大，因此應用軟件錯誤不可避免，要求在DCS系統調試及試運行中認真仔細及時發現并解決。

2 相關的標準法規

3 故障診斷與處理技術

故障診斷與處理是根據故障現象來定位故障點和確定故障原因以及采取相應的保護措施，包括系統自檢、定期試驗、故障定位、表決邏輯退化等。

1）所有I/O模塊都應有表征I/O狀態的LED指示和其他診斷顯示（如模塊電源指示等），可通過模塊面板上的LED指示診斷和狀態信息。

2）單個I/O模塊的故障，不能引起任何設備的故障或跳閘。I/O模塊單點故障不能影響整個模塊的正常工作。

3）當I/O模塊電源故障時，對最終受控設備的驅動輸出應能允許設置在“保持在原有狀態”或者“安全”狀態，不出現誤動。

4）對于模擬量輸入通道，應能承受輸入端子完全的斷路，并不影響其他輸入通道；否則應有單獨的熔斷器進行保護，且每一供電回路中應有單獨的熔斷器，熔斷器斷開時應報警。

3.1 系統自檢

自檢是指設備在正常工作時，通過特定的程序監測各個部件或者模塊是否正常。在出現故障時，判定產生故障的部件或者模塊，便于維修。系統自檢的目的：

1)及時發現系統故障，延長定期試驗間隔；

2)檢測設備內部的故障，引導非安全故障達到安全狀態，以提高設備的可用率；

3)指示自檢的輸出，并給出安全級DCS系統運行狀態的信息；4)安全級DCS系統應可對探測到的所有故障進行報警。

安全級DCS系統應具有系統自檢的能力，包括系統自診斷、組件自診斷、通信校驗、數據合理性校驗以及模擬量輸入通道的標定校驗等。系統的自診斷功能應至少每5分鐘完成一次，診斷的覆蓋率應超過系統設備數量的90%。

系統自檢需求至少包括以下方面：

1)模擬信號檢測通道敏感元件的失效（如：短路、斷路、超量程等），可通過設備自診斷系統探測到；

2)模擬信號監測通道的零點漂移和觸發動作精度，可在線校準和測試；

3)系統/設備自診斷可連續在線檢測組件的故障，并能實現故障的快速定位；

4)處理器監測，可編程只讀存儲塊校驗，隨機存儲器的讀寫測試，靜態隨機存儲器數據校驗，共享存儲塊校驗，以及數據鏈接傳輸錯誤監測等。

安全級DCS系統應有自診斷程序，系統能及時對掛在總線上或網絡上的各回路及功能模塊進行周期診斷。通過診斷，如果發現異常現象，生成故障代碼或相應的故障提示，并在維護工程師站上顯示和報告故障發生的位置。在了解故障情況后，進一步通過具體顯示狀態，查詢不正常狀態的故障內容。

3.2 定期試驗

定期試驗用于驗證系統是否能夠完成指定的保護功能。定期試驗不得干擾電廠的正常運行，不引起安全級儀控系統虛假的動作，不妨礙系統在必要時完成保護功能。安全級儀控系統應進行定期的完整功能試驗，來探測那些不能通過自診斷發現的故障，定期試驗的頻率由安全級儀控系統和設備的可靠性指標來決定。

安全級DCS系統定期試驗的范圍應包括從傳感器輸入卡件到安全級儀控系統輸出設備。在保持安全系統執行其功能能力的同時，應在功率運行期間提供進行試驗和校準的能力，并且盡可能接近實現地再現安全功能的特性。

對安全級DCS系統定期試驗結果應能留下記錄并可輸出到標準的輸出設備（屏幕顯示），用于核查和歸檔。

執行安全級DCS系統定期試驗時，應不需要拆線或安裝跳線。

安全級DCS系統應具有安全準則所要求的反應堆停堆和專設安全設施驅動系統可定期進行功能和性能試驗、校準的能力。這些定期試驗和校準應不會對系統完成其安全功能和電廠的運行產生不良后果，即不應引起誤觸動或誤驅動。同時應具備對于DCS系統平臺的校準功能，包括：

1)對堆外核測儀表系統的探測器進行校準的接口

2)電阻溫度探測器信號交叉校準

3)脈沖輸入

4)模擬量輸入輸出

3.3 表決邏輯退化

系統有些故障如通道故障、卡件故障等會影響到系統表決邏輯的執行，為了保證在一個或多個保護儀表通道因故障或試驗而退出運行時，剩余的保護通道仍然滿足單一故障準則，同時為了最大程度地保證電廠的可用性，必須要進行表決邏輯退化處理。

當上游的保護儀表通道由于故障或者試驗而不可用時，將自動進行表決邏輯的退化處理。例如，對于“2/4”表決邏輯，如果四個保護通道中某一個通道不可用，那么表決邏輯將自動地從“2/4”退化到“2/3”，如果兩個通道處于不可用狀態，表決邏輯將退化到“1/2”，此時，如果再出現一個通道不可用，“1/2”表決條件將滿足，系統將發出保護信號。

考慮到“2/3”退化到“1/2”之后可能會在一定程度上增加系統的誤動概率，在設計上盡量避免由“2/3”直接退化到“1/2”。如果是某一通道內同一子組中的某個處理器由于故障或維護而變得不可用，該子組內的另一個處理器將繼續執行信號采集處理功能，表決邏輯不進行退化。只有當某一通道內的某個子組全部不可用時，表決邏輯才從“2/3”退化到“1/2”。

4 結束語

數字化核電技術的飛速發展，系統設備集成度的提高對于系統故障診斷與處理的技術也提出了更高的要求，在有效性、靈活性以及方便性方面相對于以前模擬都有了顯著性的提高。但出現故障的情況下，應該能快速定位并能采用相應的措施以及通知相關人員，提高系統的可靠性和可用性指標。