俞 赟 冯 威 许东芳 罗 炜 朱 攀

(中国核动力研究设计院核反应堆系统设计技术重点实验室，四川 成都610041)

1 系统故障分类

IEC 60812-2006中对故障的定义为：物项不能执行某项规定功能的状态。通常指功能故障。因预防性维修或其他计划性活动，或由于缺乏外部资源造成不能执行规定功能的情况除外。

为了便于分析、诊断安全级DCS系统故障发生的部件和产生原因，现把故障分为以下几类：

（1）现场仪表设备故障

现场仪表设备包括与生产过程直接联系的各种变送器、各种开关、执行机构、负载及各种温度一次元件等。现场仪表若发生故障，直接影响安全级DCS系统的保护功能及操纵员对现场参数的监测。

（2）系统故障

此类故障是影响系统运行的全局性故障，系统故障可分为固定性故障和偶然性故障。如果系统发生故障后可重新启动使系统恢复正常则可以认为是偶然性故障。相反若重新启动后不能恢复正常而需要更换硬件或软件系统才能恢复则认为是固定性故障。这种故障一般是由于系统设计不当或系统运行年限较长所致。

（3）硬件故障

这类故障主要是指安全级DCS系统中模块损坏造成的故障。这类故障一般比较明显且影响也是局部，主要是由于使用不当或者时间较长，模块内元件老化所致。

（4）软件故障

这类故障是软件本身所包含的错误引起的。软件故障分为系统软件故障和应用软件故障。系统软件故障是DCS系统自身携带，若设计考虑不周，在执行中一旦条件满足就会引发故障，造成停机或死机等现象。此类故障不常见，要求在DCS系统调试及试运行中认真仔细及时发现并解决。应用软件是由用户自己编定，在实际工程应用中，由于应用软件工作复杂，工作量大，因此应用软件错误不可避免，要求在DCS系统调试及试运行中认真仔细及时发现并解决。

2 相关的标准法规

3 故障诊断与处理技术

故障诊断与处理是根据故障现象来定位故障点和确定故障原因以及采取相应的保护措施，包括系统自检、定期试验、故障定位、表决逻辑退化等。

1）所有I/O模块都应有表征I/O状态的LED指示和其他诊断显示（如模块电源指示等），可通过模块面板上的LED指示诊断和状态信息。

2）单个I/O模块的故障，不能引起任何设备的故障或跳闸。I/O模块单点故障不能影响整个模块的正常工作。

3）当I/O模块电源故障时，对最终受控设备的驱动输出应能允许设置在“保持在原有状态”或者“安全”状态，不出现误动。

4）对于模拟量输入通道，应能承受输入端子完全的断路，并不影响其他输入通道；否则应有单独的熔断器进行保护，且每一供电回路中应有单独的熔断器，熔断器断开时应报警。

3.1 系统自检

自检是指设备在正常工作时，通过特定的程序监测各个部件或者模块是否正常。在出现故障时，判定产生故障的部件或者模块，便于维修。系统自检的目的：

1)及时发现系统故障，延长定期试验间隔；

2)检测设备内部的故障，引导非安全故障达到安全状态，以提高设备的可用率；

3)指示自检的输出，并给出安全级DCS系统运行状态的信息；4)安全级DCS系统应可对探测到的所有故障进行报警。

安全级DCS系统应具有系统自检的能力，包括系统自诊断、组件自诊断、通信校验、数据合理性校验以及模拟量输入通道的标定校验等。系统的自诊断功能应至少每5分钟完成一次，诊断的覆盖率应超过系统设备数量的90%。

系统自检需求至少包括以下方面：

1)模拟信号检测通道敏感元件的失效（如：短路、断路、超量程等），可通过设备自诊断系统探测到；

2)模拟信号监测通道的零点漂移和触发动作精度，可在线校准和测试；

3)系统/设备自诊断可连续在线检测组件的故障，并能实现故障的快速定位；

4)处理器监测，可编程只读存储块校验，随机存储器的读写测试，静态随机存储器数据校验，共享存储块校验，以及数据链接传输错误监测等。

安全级DCS系统应有自诊断程序，系统能及时对挂在总线上或网络上的各回路及功能模块进行周期诊断。通过诊断，如果发现异常现象，生成故障代码或相应的故障提示，并在维护工程师站上显示和报告故障发生的位置。在了解故障情况后，进一步通过具体显示状态，查询不正常状态的故障内容。

3.2 定期试验

定期试验用于验证系统是否能够完成指定的保护功能。定期试验不得干扰电厂的正常运行，不引起安全级仪控系统虚假的动作，不妨碍系统在必要时完成保护功能。安全级仪控系统应进行定期的完整功能试验，来探测那些不能通过自诊断发现的故障，定期试验的频率由安全级仪控系统和设备的可靠性指标来决定。

安全级DCS系统定期试验的范围应包括从传感器输入卡件到安全级仪控系统输出设备。在保持安全系统执行其功能能力的同时，应在功率运行期间提供进行试验和校准的能力，并且尽可能接近实现地再现安全功能的特性。

对安全级DCS系统定期试验结果应能留下记录并可输出到标准的输出设备（屏幕显示），用于核查和归档。

执行安全级DCS系统定期试验时，应不需要拆线或安装跳线。

安全级DCS系统应具有安全准则所要求的反应堆停堆和专设安全设施驱动系统可定期进行功能和性能试验、校准的能力。这些定期试验和校准应不会对系统完成其安全功能和电厂的运行产生不良后果，即不应引起误触动或误驱动。同时应具备对于DCS系统平台的校准功能，包括：

1)对堆外核测仪表系统的探测器进行校准的接口

2)电阻温度探测器信号交叉校准

3)脉冲输入

4)模拟量输入输出

3.3 表决逻辑退化

系统有些故障如通道故障、卡件故障等会影响到系统表决逻辑的执行，为了保证在一个或多个保护仪表通道因故障或试验而退出运行时，剩余的保护通道仍然满足单一故障准则，同时为了最大程度地保证电厂的可用性，必须要进行表决逻辑退化处理。

当上游的保护仪表通道由于故障或者试验而不可用时，将自动进行表决逻辑的退化处理。例如，对于“2/4”表决逻辑，如果四个保护通道中某一个通道不可用，那么表决逻辑将自动地从“2/4”退化到“2/3”，如果两个通道处于不可用状态，表决逻辑将退化到“1/2”，此时，如果再出现一个通道不可用，“1/2”表决条件将满足，系统将发出保护信号。

考虑到“2/3”退化到“1/2”之后可能会在一定程度上增加系统的误动概率，在设计上尽量避免由“2/3”直接退化到“1/2”。如果是某一通道内同一子组中的某个处理器由于故障或维护而变得不可用，该子组内的另一个处理器将继续执行信号采集处理功能，表决逻辑不进行退化。只有当某一通道内的某个子组全部不可用时，表决逻辑才从“2/3”退化到“1/2”。

4 结束语

数字化核电技术的飞速发展，系统设备集成度的提高对于系统故障诊断与处理的技术也提出了更高的要求，在有效性、灵活性以及方便性方面相对于以前模拟都有了显著性的提高。但出现故障的情况下，应该能快速定位并能采用相应的措施以及通知相关人员，提高系统的可靠性和可用性指标。