核電站DCS可用性測試應用研究

黃素文，徐思敏，陳浠毓

（中國核電工程有限公司，北京 100840）

0 引言

分散控制系統（DCS）是核電站關鍵的綜合系統之一，作為核電站的“神經中樞”，對核電站安全、經濟的運行起著至關重要的作用[1,2]。而可用性是指在獲得所需的外部資源的前提下，某物項或系統在規定條件下給定時刻或給定時段內執行其規定功能的能力[3]。它是DCS 的重要指標，是可靠性和維修性兩者的綜合指標，是一種廣義可靠性[4]。當完成核電廠主儀控系統現場安裝后會進行DCS 的可用性測試，作為現場驗收測試的一部分。但在核電DCS可用性測試應用過程中，存在因子設置不夠嚴謹、故障判別缺乏導則等問題。本文通過研究核電站DCS 可用性測試的現狀，深入剖析可用性測試過程中存在的問題，探究解決思路，以提升核電站DCS 可靠性估計水平。

1 可用性測試的現狀

目前，在核電工程項目中，DCS 的可用性指標及驗收方法沒有相關的核電體系標準。

1）可用性測試指標

核電DCS 可用率指標一般設置為99.99%。

2）可用性測試過程

測試方法一般采用：DCS 系統連續運行60 天，其間累計故障停用時間小于0.14h，則可認為完成可用性測試。若累計故障停用時間超過0.14h，可用性的統計應延長到120 天。在此期間，累計故障時間不得超過0.29h。完成系統可用性考核的最高時限為120 天連續日，若超過這一時限，系統的可用性仍不合格，則認為系統的可用性測試未通過。也有部分核電項目的可用性測試時間為90 天，延長時間至180 天且最長為270 天。在測試過程中如出現嚴重故障，如主控室所有操縱員站喪失，也會認為可用性不可接受。

3）可用性計算公式

系統可用性由下列公式計算，即

式中：tt為實際試驗時間，是指整個連續考核統計時間扣除由于非本系統因素造成的空等時間；tf為故障時間，是指被考核系統中任一裝置或子系統在實際測試時間內因故障而停用的時間經加權后的總和；tfi為第i 個裝置或子系統故障停用時間；kfi為第i 個裝置或子系統的故障加權系數。加權系數示例見表1。

表1 DCS加權系數示例Table 1 Example of DCS weighting coefficient

4）可靠性評估

雖然標準DL/T 659 提到DCS 的綜合驗收根據具體工程情況，可采用可用率考核方法，也可采用標準中的可靠性評估方法。但在核電項目DCS 可用性測試的同時，還會進行可靠性評估方法。當發生下列任一事件時，則系統可靠性評估不合格。

①DCS 系統發生下列任一重大故障:

◇一對冗余通信總線均故障，通信功能喪失。

◇全部操縱員站的主要功能喪失（黑屏，全部數據不更新、不響應或響應時間大于1min）。

◇一對冗余的服務器故障。

◇一對冗余的控制器故障。

②由于DCS 的任何原因導致下列任一事件:

◇緊急停堆，專設誤動或拒動。

◇重要輔機跳閘。

◇重要模擬量控制系統產生較大擾動，使參數觸發事故報警。

③發生下列任一事件，雖沒有引起①②條所列事件，但累計次數超過兩次：

◇任何一個控制器故障，但成功切換至冗余控制器。

◇任何一個服務器故障，但成功切換至冗余服務器。

◇任何一個IO 卡件故障，進行更換后恢復正常。

◇任何一個歷史站、計算站故障，重啟后恢復正常。

◇任何控制站一塊電源故障，進行更換后恢復正常。

④發生歷史站、計算機、工程師站、操作員站等重要設備硬件損壞或故障后，無法恢復的事件，累計次數超過一次。

當系統在可靠性評估期間，如出現上述事件而未通過評估時，應再一次進行可靠性評估，評估期延長一倍，并應從出現事件時刻開始，延長評估期。在延長期內，若仍達不到要求，則認為可靠性評估未通過。

2 可用性測試問題剖析

在缺乏核電DCS 可用性測試標準體系的背景下，以及工程應用經驗不足的情況下，核電DCS 可用性測試還存在諸多問題，如圖1。本文對每一個問題進行逐一分析。

圖1 核電DCS可用性測試問題Fig.1 Nuclear power station DCS availability test problems

1）缺乏整體指標的驗證

核電DCS 包括安全級平臺和非安全級平臺，而可用率指標99.99%是對整個DCS 系統的要求，部分核電項目在DCS 可用性測試時僅分別測試和計算了兩個平臺的指標，缺乏整個DCS 系統的指標驗證。因為在可用性上，兩個平臺是串聯關系，單個平臺的可用性滿足99.99%，不能保證整個DCS 滿足99.99%。

2）可用性計算公式使用不規范

在可用性測試過程中，可用性計算公式使用不規范，對于公式中參數的定義混亂。

比如對于公式中的總數N，有的項目安全級平臺的可用性計算中的“N”使用大類的總數（如網絡通信類中所有模塊類型的總數），而有的項目使用的是具體模塊類型的總數，對總數N 的定義不統一。另外，存在較小N 的部件的權重因子設置問題，某項目的非安全級平臺可用性測試中，對實際設備數量不足20 個的非關鍵設備，總數N 至少按20 個進行可用性計算。這種假設沒有理由可循，對于N 較小的非關鍵設備可考慮設置合理的權重因子。

又比如故障停用時間tfi，標準DL/T659 中tfi的定義是故障實際停用時間，但部分項目DCS 可用性測試中tfi代入部件的平均修復時間（MTTR），給各部件設置不同MTTR；也有部分項目DCS 可用性測試中tfi代入故障實際停用時間，但將MTTR 作為限值。

還有試驗時間tt，在統一要求中，一般為連續運行60天，延長時間是至120 天且最長120 天，而部分項目的試驗時間是連續運行90 天，延長時間是至180 天且最長270 天。相同的故障率下，試驗天數不同，可用率將不同。

3）權重因子的確定缺乏依據

不同核電項目針對不同的DCS 平臺給出不同的可用性測試權重因子，但因子的確定缺乏依據。權重因子對于可用性測試的計算結果至關重要，如沒有依據，或是隨意確定，測試本身就失去了意義。

4）故障統計范圍不明確

故障統計范圍缺乏準則，不同項目的故障統計范圍不同，甚至同一項目內DCS 的不同平臺的故障統計范圍也不同。比如，某項目DCS 可用性測試的非安全級平臺和安全級平臺故障統計范圍不一致，非安全級平臺的故障統計范圍包括硬件故障和軟件故障，而安全級平臺的故障統計范圍包括硬件故障、軟件故障和人機交互功能故障；另一些項目DCS 可用性測試故障統計范圍包括所有模塊和計算機的硬件和軟件故障、人機交互功能故障、通信網關的硬件和軟件故障。

5）缺少可用性測試邊界

可用性測試邊界是指其故障會計入可用性測試的部件范圍。比如，某項目的可用性測試邊界為1 層、2 層DCS（NC、NC+、1E）的電子部件，不包括BUP 或ECP 上的盤式儀表、KIC/BUP 切換和MCR/RSS 切換的聯鎖機構以及服務于3 層的設備，而絕大部分項目的可用性測試沒有明確可用性測試邊界。

6）可用性測試終止條件不明確

可用性測試終止條件是指發生某事件或者某關鍵設備失效，可用性測試即判定為不合格。部分項目的可用性測試僅明確了關鍵設備清單，缺少其他詳細的可用性測試停止條件。還有些項目提出由非安全級DCS 直接引起的事件影響電廠正常運行時，應停止可用性測試，但沒有明確具體停止事件清單，不便于實際測試時執行。

7）測試的前提條件簡單且各項目不一致

核電部分項目可用性測試的前提條件簡單且各項目不一致。比如某項目的安全級平臺可用性測試前提條件僅是電站進入商運后便可以開展，非安全級平臺可用性測試前提條件僅是電源供電穩定，DCS 系統正常運行。還有些項目DCS 可用性測試前提條件是電站進入運行狀態且生產電力用于滿足負荷要求。

8）對于驗證故障所需日志記錄的要求不明確

不同項目對于驗證故障所需日志記錄的要求不一致，沒有統一的要求。比如某項目DCS 可用性測試中，如果為了驗證故障所需要的過程數據和錯誤日志的記錄不能獲取，則在可用性計算時不考慮此故障；而另一項目為故障佐證，比如系統日志記錄或者屏幕截圖，有好處但不是必須的。

9）關于工程師站是否列入考核范圍

一般將工程師站列入可用性測試范圍，加權系數為0.3，但部分核電項目并未將工程系統列入可用性測試范圍，認為這些設備只是工程工具而不用于電力生產。

10）可用性測試程序缺少測試工作的責任劃分

可用性測試工作包括發現故障、記錄故障、測試成敗判斷、測試重啟判斷等，某些核電DCS 可用性測試程序缺少上述部分工作的責任劃分，只提及測試執行和記錄、監督驗證工作的責任方；部分項目DCS 可用性測試甚至完全未提及測試工作的責任劃分，不利于測試工作的執行。

3 可用性測試提升方向

由以上分析可見，核電DCS 可用性測試從公式應用到實際執行存在方方面面的問題。為了解決這些問題，建立規范的核電DCS 可用性測試流程，可考慮從以下方向研究。

1）標準研究

需要研究其他行業的可用性測試標準，比如DL/T 659-2016《火電DCS 可用性測試標準》及相關系列標準[5-9]制定的背景、條款的含義及理由，火電廠DCS 可用性測試相關系列標準見表2。其中，DL/T 659 給出了火電DCS 驗收測試的方法，DL/T 657 給出了火電典型模擬量調節系統品質的評價方法及功能可用性評價方法，DL/T 658 給出了火電典型開關量控制系統性能品質的評價方法及功能可用性評價方法，DL/T 261 給出了火電儀控系統設備可靠性管理及系統可用性評價的方法，DL/T 1083 給出了火電DCS 的技術條件和質量要求。

表2 火電DCS可用性測試系列標準Table 2 Availability test standards for boil-plant DCS

2）實際應用研究

應關注火電和核電行業實際的應用情況和效果，測試中遇到的問題和應對措施，給出確定可用性測試中測試范圍、加權系數等關鍵參數的合理方法，最終建立適合核電的儀控系統可用性測試標準。

4 結束語

DCS 的可靠性關系到核電的安全經濟運行，而可用性是DCS 的一種廣義可靠性指標，可用性測試是否規范對DCS 至關重要。目前核電DCS 可用性測試從測試程序到實際執行存在諸多問題，包括缺乏整體指標的驗證，可用性計算公式使用不規范，權重因子的確定缺乏依據，故障統計范圍不明確，缺少可用性測試邊界，可用性測試停止條件不明確，測試的前提條件簡單且各項目不一致，對于驗證故障所需日志記錄的要求不明確，關于工程系統是否列入考核范圍等。為了建立規范的核電DCS 可用性測試流程，并解決核電DCS 可用性測試存在的上述問題，需要研究其他行業可用性測試相關系列標準，并調研火電和核電行業實際的應用情況和效果，建立適合核電的儀控系統可用性測試標準，最終提升核電DCS 可靠性測試水平，從而間接提高了核電儀控系統的可靠性，保證核電安全經濟運行。