核電廠DCS 故障分析及應對措施

梁 軍，龍 騰

（核電運行研究（上海）有限公司，上海 200120）

0 引言

核能是安全、經濟、高效的清潔能源，是我國能源體系中重要且可靠的組成部分。自1991 年12 月15 日秦山核電300 MWe 機組投入運行以來，我國核電機組一直保持安全、穩定運行。截至2022 年12 月31 日，我國大陸核電裝料運行核電機組共55 臺，總裝機容量為0.57 億千瓦，總運行堆年523 堆年，運行機組數量及裝機容量均列世界第三。但在近五年的時間內，發生了13 起因為DCS 故障而引起的非停事件，引起行業深度關注。

1 核電廠DCS 概述

1.1 DCS 介紹

DCS（Distributed Control System，分布式控制系統）主要是以微機或微處理器為基礎，對生產過程進行集中管理、操作、監視以及分散控制（圖1）。

圖1 DCS 系統示意

1.2 核電廠DCS

核電廠DCS 綜合了計算機技術、網絡技術、CRT 和過程控制技術，以其良好的可操作性、可靠性、維護方便和故障率低等優點，成為生產實時過程控制的核心和應用發展最快的控制系統。核電廠DCS 系統結構按功能分為工藝系統接口、自動控制和保護、操作和管理信息、全場技術管理4 個層次，系統架構如圖2 所示。

圖2 DCS 系統總體架構

目前，核電廠投運的機組全部采用DCS 作為熱工控制系統，因此，DCS 系統的可靠性直接關系到機組運行的安全性和經濟性。近年來DCS 故障頻出，有必要對DCS故障進行分析，并提出應對措施，以提高設備的可靠性。

2 核電廠DCS 故障及共性原因分析

2.1 核電廠DCS 故障介紹

（1）某核電廠4 號機組蒸汽發生器水位高高疊加P7 信號導致反應堆自動停堆。

（2）某核電廠1 號機組停堆保護信號誤動導致自動停堆。

（3）某核電廠4 號機組蒸汽發生器主給水隔離閥誤關閉導致反應堆停堆。

（4）某核電廠3 號機組蒸汽發生器液位降低觸發反應堆自動停堆。

（5）某核電廠3 號機組儀控系統網絡交換機故障導致蒸發器液位低觸發反應堆自動停堆。

（6）某核電廠1 號機組兩臺循泵同時跳閘引發停機停堆。

（7）某核電廠1 號機組汽輪機潤滑油壓力高超質量位導致停機。

（8）某核電廠1 號機組60%功率平臺線性負荷變化試驗期間，蒸汽發生器二次側水位高觸發反應堆自動停堆。

（9）某核電廠1 號機組100%功率平臺APA RB 試驗期間，蒸汽發生器二次側水位低觸發反應堆自動停堆。

（10）某核電廠蒸汽發生器低水位疊加汽水失配信號觸發反應堆自動停堆。

（11）某核電廠4 號機組DCS 網絡故障導致自動停堆。

（12）某核電廠4 號機組P320 通信控制器故障導致F8000 網絡失去冗余。事件原因為：CCL2 控制器的背板插孔故障。

（13）某核電廠1 號機組因汽輪機保護系統故障導致反應堆自動停堆。

2.2 故障分析

針對上述典型事例的根本原因進行分類，大體可以分成以下3 類：①DCS 硬件故障4 起，分別對應上述的5/11/12/13 事件；②設計缺陷6 起，分別對應上述的2/4/8/9/10/11 事件；③管理或者人員相關5 起，分別對應上述的1/3/4/6/7 事件。

3 共性原因分析

3.1 硬件故障

（1）30CRA51 或/和30CRA54 機柜的網絡交換機SCALANCE 發生故障（事件5）。

（2）3KIT11 交換機故障，產生網絡風暴（事件11）。

（3）CCL2 控制器的背板插孔故障（事件12）。

（4）汽輪機保護系統A 列通信模塊CP443-5 偶發故障疊加通信模塊CP443-5 固件（版本V7.1.5）存在缺陷（事件13）。

3.2 設計缺陷

（1）安全儀控系統停堆保護邏輯存在設計缺陷（事件2）。

（2）主給水泵流量參與的蒸汽發生器液位控制邏輯在設計上有缺陷（事件4）。

（3）SG 水位控制的鏡像負荷設計存在缺陷。GCT（蒸汽旁排系統）在閥門閉鎖狀態下其壓力控制器仍產生蒸汽負荷信號參與SG（蒸汽發生器）液位控制，當GCT實測壓力值大于設定值時，GCT 控制器不斷輸出虛假的蒸汽映像負荷給SG 的水位調節系統，導致給水流量持續增大，SG 液位觸發停堆閾值（事件8）。

（4）設計上對100%功率平臺失去一臺APA 泵且備用泵未啟動的瞬態工況考慮不充分，給水流量失配部分停堆參數設置不合理，一二回路功率下降速度不匹配（事件9）。

（5）DCS 環形網絡架構未設置阻斷機制，造成網絡風暴蔓延，導致CP 控制器控制異常，引發主給水泵轉速控制異常（事件10）。

（6）程序水位邏輯設置與實際工況不符（事件11）。

（7）反應堆保護系統中主蒸汽流量質量位信號閾值設置不合理（事件11）。

3.3 管理或者人員相關

（1）工程NC-DCS 組態人員未理解設計人員答復意見，錯誤地發起DEN（事件1）。

（2）調試期間DCS 軟件修改管理不到位，方案準備環節變更方案錯誤、審查環節未有效把關、驗證環節驗證手段不充分（事件3）。

（3）維修人員未嚴格遵守電站程序，超工作票范圍操作30LAB13CF001 儀表二次閥門（事件4）。

（4）運行機組儀表在線與工藝系統在線的先后關系沒有得到應有的重視和正確的界定，導致運行人員執行系統充水操作單過程中未嚴格遵守程序的使用規定，在儀控人員還未反饋儀表在線狀態的情況下，執行下一步操作（事件4）。

（5）人員技能不足。在前期風險分析中未能有效識別出設計疊加設備缺陷。C529UC 軟件組態中質量位使用原則與之前約定不符，將BODE 參數作為停泵信號質量位，導致風險分析過程中無法識別隱含缺陷（事件6）。

（6）變更管理流程中風險識別不到位，未對重大技術變化點進行專題審查，導致跳機邏輯變化沒有充分討論并有效防范（事件7）。

3.4 故障解決思路

（1）4 例硬件故障中的2 例是因為交換機故障產生了非停，1 例是網卡故障，1 例是通信模塊故障。因此對于涉及停機停堆的DCS 系統，都應該選取質量可靠的設備，并密切跟蹤廠家的設備升級換代及固件版本更新情況，及時下載最新的固件或者升級成新的更可靠的產品。

（2）設計缺陷或者不足共有6 例，其中有4 例是發生在相對新設計的堆型上，如EPR 有2 例，VVER 有2 例，另外60 萬機組2 例（秦二廠屬于較早期的DCS 設計，當時沒有設計網絡風暴阻斷機制，昌江屬于調試試驗未完全完成以及質量位設計缺陷導致）。因此對于新的控制理念的設計，以及在運機組的改造提升等方面，必須進行完善的分析，確保能夠涵蓋實際工藝的全過程。

（3）管理或者人員方面的不足。需要從加強培訓、提高人員技能、提升人員責任心、完善管理程序、打造執行力等方面執行。

4 應對措施

4.1 硬件故障

針對硬件故障的應對措施是：①當系統設備發生首次故障時，應及時對故障的原因進行深入分析；②加強與設備供貨商的溝通協調，建立經驗反饋和快速響應機制；③深入研究DCS 系統及其故障模式，升級DCS系統異常的應急預案，增加疊加故障下的風險分析和應對措施；④加快推進網絡交換機升級改造，引入合理的網絡風暴阻斷機制；⑤專業人員需經常關注西門子工業官方網站版本升級信息，若發現在用設備已有新版本發布，需收集信息與西門子電站公司溝通，確認新版本優化內容及是否應用于現場升級。

4.2 設計缺陷

針對設計缺陷的應對措施是：①對于運行機組中的保護邏輯，應進行充分的排查和分析，找出設計缺陷，避免落入設計“陷阱”；②對于不同機組發生的事件開展經驗反饋時，應深入分析事件過程，增加對于其他機組的適用性分析評價；③EPR 機組二回路控制調節系統邏輯設計復雜，影響范圍廣，結合本次事件經驗，后續生產活動涉及調節系統的瞬態試驗，分析和質疑邏輯設計可靠性，模擬驗證設計試驗的相關邏輯，預想最不利的情況并制定預案；④在調試環節、接產環節對涉及到機組控制邏輯參數修正的調試步驟進行有效地管控，確?？刂茀禎M足機組要求，避免給運行機組留下隱患；⑤針對機組重要的控制系統應安排專人收集正常運行期間、機組瞬態期間、執行機構檢修之后的數據，并進行統計分析，定期給出分析報告，診斷出控制系統可能存在的問題；⑥在相關的操作規程中增加打閘前的風險提示和關注要求。

4.3 管理或者人員相關

針對管理或者人員相關的應對措施是：①DCS 軟件修改需要結合DCS 平臺的技術特點，對變更或升級方案修改實施內容進行檢查，必要時進行軟件組態語句層級的分析，在修改實施后，需要有完整的驗證方案，完整覆蓋所有修改項目；②提高維修工作包準備的質量，杜絕超工作許可證范圍作業；③規范儀表在線過程管理，界定儀表在線與工藝系統在線先后順序；④需加大DCS 設備管理人員對軟件可靠性的研究力度，熟悉組態時內部設置規則，提升DCS 大數據下風險分析能力；⑤廠家資料的更新需及時了解、熟悉并掌握，涉及現場有變化的要及時提出變更申請；⑥對于重要設備的設計邏輯控制要進行重點分析；⑦重大變更項目的設計審核、試驗驗證及差異化分析等環節加強控制。

5 結束語

本文通過對中國大陸近5 年核電廠中發生的因DCS系統故障導致的非計劃停機停堆事件進行故障分析，旨在提煉出DCS 系統故障在非停事件中的各種具體始發事件和原因，以期能夠找到貢獻大的因子，以便對未來的核電站DCS 設計、運維、技改等，提供一定的信息和指導作用。