核電站安全級DCS系統(tǒng)故障及維護策略研究

北京廣利核系統(tǒng)工程有限公司 李啟明，李景志，劉旭東

1 引言

中廣核集團在消化吸收法國M 310堆型技術(shù)的基礎上，從嶺澳核電站二期開始，在核電站的運行技術(shù)方面，采用了先進的狀態(tài)導向事故處理程序（SOP），SOP的使用不受事件的起因或者演化的限制，通過不斷地循環(huán)監(jiān)視機組性能參數(shù)來判斷機組狀態(tài)，針對不同的狀態(tài)采取相應的策略進行處理[1]。在核電站的運行水平方面，在保證安全性要求的前提下，系統(tǒng)修復所用的時間越少，則運行經(jīng)濟性越好。核電站的日常運行維護主要由預防性維護和糾正性維修組成，對于保護系統(tǒng)而言，預防性維護主要包括：機柜報警巡檢、保護系統(tǒng)周期試驗和數(shù)據(jù)備份；糾正性維修主要包括硬件故障的應急處理和軟件組態(tài)修改。

本文針對安全級DCS系統(tǒng)典型故障，應用故障診斷方法對反應堆保護系統(tǒng)進行故障識別和分析，再結(jié)合安全級DCS系統(tǒng)的結(jié)構(gòu)特性，得出定位關(guān)鍵設備和指導人員操作的方法和流程，以幫助維護人員準確地確認和排除故障，為糾正性維修行動的制定提供決策建議，提高核電站的安全運行水平。

2 DCS系統(tǒng)故障

2.1 故障類型分析

根據(jù)HAF-102中有關(guān)假設始發(fā)事件的描述，在核電站運行中需要考慮的故障類型取決于所涉及的系統(tǒng)和部件的類型[2]。對于DCS系統(tǒng)來說，其故障一般有如下形式：卡件輸入/輸出異常、信號測量誤差大于允許范圍、設備裝置故障、通訊故障或上述形式的組合。

在數(shù)字化反應堆保護系統(tǒng)中，主要的故障類型有：

①信號故障：它是故障表征的最小單元（如測量的輸入信號或邏輯運算后的輸出信號等）；

②高級故障：包括硬件模塊、計算機設備或數(shù)據(jù)信息的故障。這類故障可能會產(chǎn)生多個信號故障。在進行故障分析時，需要將信號故障和高級故障區(qū)分開[3][4]。

對上述DCS系統(tǒng)故障進行分析，除了考慮故障的產(chǎn)生原因、表現(xiàn)形式之外，還考慮相應的檢測方法和標識方式等，分析結(jié)果如表1所示。

2.2 故障級別定義

對于同種硬件設備來說，不同情況的故障會給控制系統(tǒng)造成不同影響程度的后果；相反，對于使控制系統(tǒng)無法正常運行的原因，又可能是由不同的設備故障觸發(fā)的。據(jù)此，可以根據(jù)事故后果的嚴重程度來反推故障的級別。根據(jù)上述故障類型及報警標識需求的分析，結(jié)合現(xiàn)有核電站DCS系統(tǒng)的運行經(jīng)驗，按照故障產(chǎn)生給控制系統(tǒng)運行帶來的危害，是否會影響控制功能的正常執(zhí)行，將安全級DCS系統(tǒng)故障定義為3種級別：系統(tǒng)級嚴重故障（簡稱故障）、設備級一般故障（簡稱報警）和卡件級一般故障（簡稱I/O警告）。

①當發(fā)生的故障導致DCS系統(tǒng)無法正常運行時，將觸發(fā)系統(tǒng)級嚴重故障報警。其中包括CPU卡的系統(tǒng)級嚴重故障、通訊卡的系統(tǒng)級嚴重故障以及電源故障等。

②當DCS系統(tǒng)出現(xiàn)異常，但控制功能仍然能夠正常執(zhí)行時，將觸發(fā)設備級一般故障報警。其中包括CPU卡的設備級一般故障、網(wǎng)絡通訊卡的設備級一般故障、電源和風扇故障，柜內(nèi)超溫以及系統(tǒng)切換到維護模式。

③當DCS系統(tǒng)進行數(shù)據(jù)處理過程中出現(xiàn)異常，但控制功能仍然能正常執(zhí)行，將觸發(fā)卡件級一般故障報警。其中包括機籠管理卡響應超時以及CRC校驗故障、網(wǎng)絡通訊卡通信數(shù)據(jù)故障、I/O模塊故障、數(shù)據(jù)處理停止以及切換到模擬模式。

3 故障識別及診斷

根據(jù)上述分析，可以初步整理出安全級DCS系統(tǒng)的故障級別與影響系統(tǒng)運行的嚴重程度的關(guān)系。在控制系統(tǒng)中，故障的檢測過程以及不同級別故障標識信息的傳遞，需要依賴于DCS平臺自身的軟硬件環(huán)境來進行。借助DCS系統(tǒng)平臺對故障信息的診斷和預處理，根據(jù)產(chǎn)生的各種故障標識出相應級別的報警信息，結(jié)合維護人員的運行經(jīng)驗，可以有效地判別故障。

3.1 功能要求

根據(jù)ERPI TR-107330對于自診斷功能的規(guī)范要求，安全級DCS系統(tǒng)必須具有足夠的自診斷能力，從而依靠自診斷程序以及自診斷電路能夠檢測出影響DCS系統(tǒng)實現(xiàn)其安全保護功能的所有故障[5]。安全級DCS平臺通過其自診斷功能，可以在早期發(fā)現(xiàn)故障，能夠?qū)崿F(xiàn)對影響1E保護功能執(zhí)行的故障進行探測，檢查出的故障信息通過網(wǎng)絡提供給電站的維護人員，并根據(jù)故障的等級和嚴重程度，進行相應的報警。

3.2 故障診斷的實現(xiàn)方法

安全級DCS系統(tǒng)通過3種方式實現(xiàn)自診斷功能，用以完成對系統(tǒng)相應的硬件、軟件以及外圍設備進行故障探測，分別為硬件檢測方式、軟件檢測方式以及軟硬件結(jié)合檢測方式。

①自診斷功能的硬件檢測方法是通過各卡件中特殊的自診斷電路來實現(xiàn)的，其中包括WDT看門狗電路、奇偶校驗檢測回路、時鐘監(jiān)視電路以及電源監(jiān)視回路等。通過這些獨立于CPU芯片、存儲器、寄存器等卡件中固有部件之外的獨立電路來對整個卡件的運行及其相應的功能進行周期性檢測。

②自診斷功能的軟件檢測方法是通過調(diào)用相應內(nèi)存區(qū)所存儲自診斷程序和數(shù)據(jù)來對系統(tǒng)相應軟件和硬件的運行狀態(tài)進行診斷來實現(xiàn)的，其中包括處理器穩(wěn)定性檢查程序、響應超時檢測程序、通信數(shù)據(jù)奇偶校驗檢查程序等。

③自診斷功能的軟硬件結(jié)合的檢測方法是通過輔以自診斷電路，由軟件進行寫入診斷數(shù)據(jù)，讀回診斷結(jié)果的方式來實現(xiàn)的，其中包括數(shù)據(jù)讀回、通信總線診斷、內(nèi)存錯誤檢查等。

3.3 故障識別及處理

安全級DCS系統(tǒng)利用自診斷程序和自診斷電路對CPU卡件、系統(tǒng)管理卡件、機籠管理卡件、網(wǎng)絡通信單元、總線管理卡、I/O卡件、供電單元以及機柜風扇、溫度等方面進行周期性驗證來實現(xiàn)自診斷功能。由于在系統(tǒng)運行的每個周期都執(zhí)行自診斷功能，因此可以實現(xiàn)對系統(tǒng)故障報警的實時性、準確性和完整性。

表2 安全級DCS系統(tǒng)故障診斷的主要類型

從表2中對診斷類型的定義可以分析得出，針對具體的DCS系統(tǒng)故障，需要結(jié)合不同的診斷對象，根據(jù)故障判別標準，定義出對應的故障或報警級別，同時在維護工程師站的工具電腦（簡稱維護工具）中顯示出故障信息。

表3中列出了DCS系統(tǒng)故障診斷的典型實例，并給出了相應的探測故障和處理故障的方法。

表3 安全級DCS系統(tǒng)故障診斷的典型實例

4 安全級DCS維護策略

4.1 安全級DCS維護網(wǎng)絡

安全級DCS系統(tǒng)的狀態(tài)信息顯示在主控室的監(jiān)視器界面上，發(fā)生故障狀態(tài)變化時，需要通過工程師站上的維護工具調(diào)取畫面，并通過不同級別的報警信息指導運行維護人員進行故障分析和定位排除。

電氣廠房內(nèi)的DCS系統(tǒng)設備與主控室的計算機通過維護網(wǎng)絡進行連接和信號傳輸。根據(jù)安全分級的定義，維護網(wǎng)絡及維護工具在核電站運行期間不執(zhí)行保護功能，其安全級別為非安全級。在核電站運行期間，應保證其與安全級保護系統(tǒng)保持斷開狀態(tài)，只有在維護期間才將其接入。為了滿足這種不同安全等級設備之間的隔離要求，在維護網(wǎng)絡的兩側(cè)分別應用光轉(zhuǎn)換交換機。

為了防止共因故障導致的系統(tǒng)失效，核電站安全級DCS系統(tǒng)的設計采用冗余設計方式，考慮到保護系統(tǒng)的功能性差異，有主備冗余和并行冗余兩種冗余方式。

4.2 安全級系統(tǒng)維護策略及故障恢復流程

安全級DCS系統(tǒng)的冗余方式?jīng)Q定了不同冗余類型的系統(tǒng)結(jié)構(gòu)必然要采取不同的維護策略及故障恢復流程。對于主備冗余系統(tǒng)，首先要識別故障等級是否影響系統(tǒng)的控制功能，判定系統(tǒng)切換的條件。對于并行冗余系統(tǒng)，由于輸出取或邏輯，所以不涉及系統(tǒng)切換的問題，只需要判斷故障發(fā)生的位置即可。

4.2.1 主備冗余系統(tǒng)

(1)主備冗余系統(tǒng)的切換條件

當A系處于控制而B系處于備用的狀態(tài)下發(fā)生了故障或報警，依據(jù)系統(tǒng)是否切換分為兩種情況，主備冗余系統(tǒng)切換流程示意如圖1所示。

當CPU（A）發(fā)生系統(tǒng)級故障時，需要執(zhí)行系統(tǒng)切換。

當CPU（A）發(fā)生設備級報警或卡件級一般故障時，或CPU（B）發(fā)生系統(tǒng)級故障時，不執(zhí)行系統(tǒng)切換。

圖1 主備冗余系統(tǒng)切換流程

(2)主備冗余系統(tǒng)故障恢復流程

當A系被置于故障模式時，通過維護工具上的控制器監(jiān)視畫面確認詳細的故障信息。確認到具體故障板卡或故障單元后，對其進行更換。更換完成后，在系統(tǒng)的切換開關(guān)上復位故障、報警、IO警告，并確認故障、報警、IO警告的LED指示燈熄滅。通過手動切換操作選擇A系控制，B系熱備模式。圖2表示出主備冗余系統(tǒng)故障恢復流程。

圖2 主備冗余系統(tǒng)故障恢復流程

對于具體卡件故障更換流程，如圖3所示。主要考慮安全級DCS系統(tǒng)結(jié)構(gòu)中常見的幾種卡件類型進行故障處理分析，包括CPU卡件、機籠管理卡、光電接口卡和IO卡件。其中，在主備冗余結(jié)構(gòu)的系統(tǒng)中，CPU卡件的更換需要判斷是否需要執(zhí)行主備控制系統(tǒng)的切換操作；機籠管理卡、光電接口卡和IO卡件的更換較為簡單，一般為支持熱插拔的卡件。

圖3 主備冗余系統(tǒng)卡件故障更換流程

4.2.2 并行冗余系統(tǒng)

對于并行冗余系統(tǒng)來講，當系統(tǒng)發(fā)生故障或報警時，系統(tǒng)無需切換。如果發(fā)生故障或報警，通過維護工具確認故障，在控制器監(jiān)視畫面上辨識故障部分。確定故障板卡或故障單元后，對其進行更換。更換完成后，在狀態(tài)指示面板上復位故障、報警、IO警告，確認故障、報警、IO警告LED指示燈熄滅。

圖4 并行冗余系統(tǒng)故障恢復流程

圖5 并行冗余系統(tǒng)卡件故障更換流程

圖4和圖5分別表示出并行冗余系統(tǒng)故障恢復流程及卡件故障更換流程。從流程圖中可以看出，不論是系統(tǒng)故障恢復，還是卡件故障更換，并行冗余系統(tǒng)與主備冗余系統(tǒng)最大的差異還是在于是否需要控制系統(tǒng)切換。

5 結(jié)語

通過對核電站安全級DCS系統(tǒng)故障模式的分析和維護策略的研究，結(jié)合現(xiàn)有DCS系統(tǒng)產(chǎn)品技術(shù)平臺的特點，對核電站安全級DCS系統(tǒng)的故障分析及維護可以得到以下結(jié)論和經(jīng)驗：

①從單一故障原則的角度進行故障類型分析和故障報警分級，在安全級DCS系統(tǒng)發(fā)生故障后，使運行人員能區(qū)別不同等級的報警，盡量減少同時出現(xiàn)多個報警顯示對運行人員可能產(chǎn)生的任何混淆。

②由于安全級DCS系統(tǒng)結(jié)構(gòu)的特殊性，必須考慮冗余結(jié)構(gòu)，而對于不同的冗余方式，應根據(jù)其固有結(jié)構(gòu)特點進行具體的維護策略的設計。

[1] 濮繼龍.中國改進型壓水堆核電技術(shù)—CPR1000的形成[J].中國工程科學,2008,10(3):54-57.

[2] HAF-102 核電廠設計安全規(guī)定[S] .2004.

[3] 王華金,劉立新,李謝晉等. 核電站數(shù)字化反應堆保護系統(tǒng)研究 [J] .核動力工程, 2002.

[4] 周海翔,田灣核電站數(shù)字化反應堆保護系統(tǒng)故障模式與后果分析 [J] . 原子能科學技術(shù), 2007,11(6):702-706.

[5] EPRI TR-107330 generic requirements specification for qualifying a commercially available PLC for safety-related applications in nuclear power plants ,1996.