北京广利核系统工程有限公司 李启明，李景志，刘旭东

1 引言

中广核集团在消化吸收法国M 310堆型技术的基础上，从岭澳核电站二期开始，在核电站的运行技术方面，采用了先进的状态导向事故处理程序（SOP），SOP的使用不受事件的起因或者演化的限制，通过不断地循环监视机组性能参数来判断机组状态，针对不同的状态采取相应的策略进行处理[1]。在核电站的运行水平方面，在保证安全性要求的前提下，系统修复所用的时间越少，则运行经济性越好。核电站的日常运行维护主要由预防性维护和纠正性维修组成，对于保护系统而言，预防性维护主要包括：机柜报警巡检、保护系统周期试验和数据备份；纠正性维修主要包括硬件故障的应急处理和软件组态修改。

本文针对安全级DCS系统典型故障，应用故障诊断方法对反应堆保护系统进行故障识别和分析，再结合安全级DCS系统的结构特性，得出定位关键设备和指导人员操作的方法和流程，以帮助维护人员准确地确认和排除故障，为纠正性维修行动的制定提供决策建议，提高核电站的安全运行水平。

2 DCS系统故障

2.1 故障类型分析

根据HAF-102中有关假设始发事件的描述，在核电站运行中需要考虑的故障类型取决于所涉及的系统和部件的类型[2]。对于DCS系统来说，其故障一般有如下形式：卡件输入/输出异常、信号测量误差大于允许范围、设备装置故障、通讯故障或上述形式的组合。

在数字化反应堆保护系统中，主要的故障类型有：

①信号故障：它是故障表征的最小单元（如测量的输入信号或逻辑运算后的输出信号等）；

②高级故障：包括硬件模块、计算机设备或数据信息的故障。这类故障可能会产生多个信号故障。在进行故障分析时，需要将信号故障和高级故障区分开[3][4]。

对上述DCS系统故障进行分析，除了考虑故障的产生原因、表现形式之外，还考虑相应的检测方法和标识方式等，分析结果如表1所示。

2.2 故障级别定义

对于同种硬件设备来说，不同情况的故障会给控制系统造成不同影响程度的后果；相反，对于使控制系统无法正常运行的原因，又可能是由不同的设备故障触发的。据此，可以根据事故后果的严重程度来反推故障的级别。根据上述故障类型及报警标识需求的分析，结合现有核电站DCS系统的运行经验，按照故障产生给控制系统运行带来的危害，是否会影响控制功能的正常执行，将安全级DCS系统故障定义为3种级别：系统级严重故障（简称故障）、设备级一般故障（简称报警）和卡件级一般故障（简称I/O警告）。

①当发生的故障导致DCS系统无法正常运行时，将触发系统级严重故障报警。其中包括CPU卡的系统级严重故障、通讯卡的系统级严重故障以及电源故障等。

②当DCS系统出现异常，但控制功能仍然能够正常执行时，将触发设备级一般故障报警。其中包括CPU卡的设备级一般故障、网络通讯卡的设备级一般故障、电源和风扇故障，柜内超温以及系统切换到维护模式。

③当DCS系统进行数据处理过程中出现异常，但控制功能仍然能正常执行，将触发卡件级一般故障报警。其中包括机笼管理卡响应超时以及CRC校验故障、网络通讯卡通信数据故障、I/O模块故障、数据处理停止以及切换到模拟模式。

3 故障识别及诊断

根据上述分析，可以初步整理出安全级DCS系统的故障级别与影响系统运行的严重程度的关系。在控制系统中，故障的检测过程以及不同级别故障标识信息的传递，需要依赖于DCS平台自身的软硬件环境来进行。借助DCS系统平台对故障信息的诊断和预处理，根据产生的各种故障标识出相应级别的报警信息，结合维护人员的运行经验，可以有效地判别故障。

3.1 功能要求

根据ERPI TR-107330对于自诊断功能的规范要求，安全级DCS系统必须具有足够的自诊断能力，从而依靠自诊断程序以及自诊断电路能够检测出影响DCS系统实现其安全保护功能的所有故障[5]。安全级DCS平台通过其自诊断功能，可以在早期发现故障，能够实现对影响1E保护功能执行的故障进行探测，检查出的故障信息通过网络提供给电站的维护人员，并根据故障的等级和严重程度，进行相应的报警。

3.2 故障诊断的实现方法

安全级DCS系统通过3种方式实现自诊断功能，用以完成对系统相应的硬件、软件以及外围设备进行故障探测，分别为硬件检测方式、软件检测方式以及软硬件结合检测方式。

①自诊断功能的硬件检测方法是通过各卡件中特殊的自诊断电路来实现的，其中包括WDT看门狗电路、奇偶校验检测回路、时钟监视电路以及电源监视回路等。通过这些独立于CPU芯片、存储器、寄存器等卡件中固有部件之外的独立电路来对整个卡件的运行及其相应的功能进行周期性检测。

②自诊断功能的软件检测方法是通过调用相应内存区所存储自诊断程序和数据来对系统相应软件和硬件的运行状态进行诊断来实现的，其中包括处理器稳定性检查程序、响应超时检测程序、通信数据奇偶校验检查程序等。

③自诊断功能的软硬件结合的检测方法是通过辅以自诊断电路，由软件进行写入诊断数据，读回诊断结果的方式来实现的，其中包括数据读回、通信总线诊断、内存错误检查等。

3.3 故障识别及处理

安全级DCS系统利用自诊断程序和自诊断电路对CPU卡件、系统管理卡件、机笼管理卡件、网络通信单元、总线管理卡、I/O卡件、供电单元以及机柜风扇、温度等方面进行周期性验证来实现自诊断功能。由于在系统运行的每个周期都执行自诊断功能，因此可以实现对系统故障报警的实时性、准确性和完整性。

表2 安全级DCS系统故障诊断的主要类型

从表2中对诊断类型的定义可以分析得出，针对具体的DCS系统故障，需要结合不同的诊断对象，根据故障判别标准，定义出对应的故障或报警级别，同时在维护工程师站的工具电脑（简称维护工具）中显示出故障信息。

表3中列出了DCS系统故障诊断的典型实例，并给出了相应的探测故障和处理故障的方法。

表3 安全级DCS系统故障诊断的典型实例

4 安全级DCS维护策略

4.1 安全级DCS维护网络

安全级DCS系统的状态信息显示在主控室的监视器界面上，发生故障状态变化时，需要通过工程师站上的维护工具调取画面，并通过不同级别的报警信息指导运行维护人员进行故障分析和定位排除。

电气厂房内的DCS系统设备与主控室的计算机通过维护网络进行连接和信号传输。根据安全分级的定义，维护网络及维护工具在核电站运行期间不执行保护功能，其安全级别为非安全级。在核电站运行期间，应保证其与安全级保护系统保持断开状态，只有在维护期间才将其接入。为了满足这种不同安全等级设备之间的隔离要求，在维护网络的两侧分别应用光转换交换机。

为了防止共因故障导致的系统失效，核电站安全级DCS系统的设计采用冗余设计方式，考虑到保护系统的功能性差异，有主备冗余和并行冗余两种冗余方式。

4.2 安全级系统维护策略及故障恢复流程

安全级DCS系统的冗余方式决定了不同冗余类型的系统结构必然要采取不同的维护策略及故障恢复流程。对于主备冗余系统，首先要识别故障等级是否影响系统的控制功能，判定系统切换的条件。对于并行冗余系统，由于输出取或逻辑，所以不涉及系统切换的问题，只需要判断故障发生的位置即可。

4.2.1 主备冗余系统

(1)主备冗余系统的切换条件

当A系处于控制而B系处于备用的状态下发生了故障或报警，依据系统是否切换分为两种情况，主备冗余系统切换流程示意如图1所示。

当CPU（A）发生系统级故障时，需要执行系统切换。

当CPU（A）发生设备级报警或卡件级一般故障时，或CPU（B）发生系统级故障时，不执行系统切换。

图1 主备冗余系统切换流程

(2)主备冗余系统故障恢复流程

当A系被置于故障模式时，通过维护工具上的控制器监视画面确认详细的故障信息。确认到具体故障板卡或故障单元后，对其进行更换。更换完成后，在系统的切换开关上复位故障、报警、IO警告，并确认故障、报警、IO警告的LED指示灯熄灭。通过手动切换操作选择A系控制，B系热备模式。图2表示出主备冗余系统故障恢复流程。

图2 主备冗余系统故障恢复流程

对于具体卡件故障更换流程，如图3所示。主要考虑安全级DCS系统结构中常见的几种卡件类型进行故障处理分析，包括CPU卡件、机笼管理卡、光电接口卡和IO卡件。其中，在主备冗余结构的系统中，CPU卡件的更换需要判断是否需要执行主备控制系统的切换操作；机笼管理卡、光电接口卡和IO卡件的更换较为简单，一般为支持热插拔的卡件。

图3 主备冗余系统卡件故障更换流程

4.2.2 并行冗余系统

对于并行冗余系统来讲，当系统发生故障或报警时，系统无需切换。如果发生故障或报警，通过维护工具确认故障，在控制器监视画面上辨识故障部分。确定故障板卡或故障单元后，对其进行更换。更换完成后，在状态指示面板上复位故障、报警、IO警告，确认故障、报警、IO警告LED指示灯熄灭。

图4 并行冗余系统故障恢复流程

图5 并行冗余系统卡件故障更换流程

图4和图5分别表示出并行冗余系统故障恢复流程及卡件故障更换流程。从流程图中可以看出，不论是系统故障恢复，还是卡件故障更换，并行冗余系统与主备冗余系统最大的差异还是在于是否需要控制系统切换。

5 结语

通过对核电站安全级DCS系统故障模式的分析和维护策略的研究，结合现有DCS系统产品技术平台的特点，对核电站安全级DCS系统的故障分析及维护可以得到以下结论和经验：

①从单一故障原则的角度进行故障类型分析和故障报警分级，在安全级DCS系统发生故障后，使运行人员能区别不同等级的报警，尽量减少同时出现多个报警显示对运行人员可能产生的任何混淆。

②由于安全级DCS系统结构的特殊性，必须考虑冗余结构，而对于不同的冗余方式，应根据其固有结构特点进行具体的维护策略的设计。

[1] 濮继龙.中国改进型压水堆核电技术—CPR1000的形成[J].中国工程科学,2008,10(3):54-57.

[2] HAF-102 核电厂设计安全规定[S] .2004.

[3] 王华金,刘立新,李谢晋等. 核电站数字化反应堆保护系统研究 [J] .核动力工程, 2002.

[4] 周海翔,田湾核电站数字化反应堆保护系统故障模式与后果分析 [J] . 原子能科学技术, 2007,11(6):702-706.

[5] EPRI TR-107330 generic requirements specification for qualifying a commercially available PLC for safety-related applications in nuclear power plants ,1996.