俞 赟 馮 威 許東芳 羅 煒 朱 攀

(中國核動力研究設(shè)計院核反應(yīng)堆系統(tǒng)設(shè)計技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川 成都610041)

1 系統(tǒng)故障分類

IEC 60812-2006中對故障的定義為：物項(xiàng)不能執(zhí)行某項(xiàng)規(guī)定功能的狀態(tài)。通常指功能故障。因預(yù)防性維修或其他計劃性活動，或由于缺乏外部資源造成不能執(zhí)行規(guī)定功能的情況除外。

為了便于分析、診斷安全級DCS系統(tǒng)故障發(fā)生的部件和產(chǎn)生原因，現(xiàn)把故障分為以下幾類：

（1）現(xiàn)場儀表設(shè)備故障

現(xiàn)場儀表設(shè)備包括與生產(chǎn)過程直接聯(lián)系的各種變送器、各種開關(guān)、執(zhí)行機(jī)構(gòu)、負(fù)載及各種溫度一次元件等?，F(xiàn)場儀表若發(fā)生故障，直接影響安全級DCS系統(tǒng)的保護(hù)功能及操縱員對現(xiàn)場參數(shù)的監(jiān)測。

（2）系統(tǒng)故障

此類故障是影響系統(tǒng)運(yùn)行的全局性故障，系統(tǒng)故障可分為固定性故障和偶然性故障。如果系統(tǒng)發(fā)生故障后可重新啟動使系統(tǒng)恢復(fù)正常則可以認(rèn)為是偶然性故障。相反若重新啟動后不能恢復(fù)正常而需要更換硬件或軟件系統(tǒng)才能恢復(fù)則認(rèn)為是固定性故障。這種故障一般是由于系統(tǒng)設(shè)計不當(dāng)或系統(tǒng)運(yùn)行年限較長所致。

（3）硬件故障

這類故障主要是指安全級DCS系統(tǒng)中模塊損壞造成的故障。這類故障一般比較明顯且影響也是局部，主要是由于使用不當(dāng)或者時間較長，模塊內(nèi)元件老化所致。

（4）軟件故障

這類故障是軟件本身所包含的錯誤引起的。軟件故障分為系統(tǒng)軟件故障和應(yīng)用軟件故障。系統(tǒng)軟件故障是DCS系統(tǒng)自身攜帶，若設(shè)計考慮不周，在執(zhí)行中一旦條件滿足就會引發(fā)故障，造成停機(jī)或死機(jī)等現(xiàn)象。此類故障不常見，要求在DCS系統(tǒng)調(diào)試及試運(yùn)行中認(rèn)真仔細(xì)及時發(fā)現(xiàn)并解決。應(yīng)用軟件是由用戶自己編定，在實(shí)際工程應(yīng)用中，由于應(yīng)用軟件工作復(fù)雜，工作量大，因此應(yīng)用軟件錯誤不可避免，要求在DCS系統(tǒng)調(diào)試及試運(yùn)行中認(rèn)真仔細(xì)及時發(fā)現(xiàn)并解決。

2 相關(guān)的標(biāo)準(zhǔn)法規(guī)

3 故障診斷與處理技術(shù)

故障診斷與處理是根據(jù)故障現(xiàn)象來定位故障點(diǎn)和確定故障原因以及采取相應(yīng)的保護(hù)措施，包括系統(tǒng)自檢、定期試驗(yàn)、故障定位、表決邏輯退化等。

1）所有I/O模塊都應(yīng)有表征I/O狀態(tài)的LED指示和其他診斷顯示（如模塊電源指示等），可通過模塊面板上的LED指示診斷和狀態(tài)信息。

2）單個I/O模塊的故障，不能引起任何設(shè)備的故障或跳閘。I/O模塊單點(diǎn)故障不能影響整個模塊的正常工作。

3）當(dāng)I/O模塊電源故障時，對最終受控設(shè)備的驅(qū)動輸出應(yīng)能允許設(shè)置在“保持在原有狀態(tài)”或者“安全”狀態(tài)，不出現(xiàn)誤動。

4）對于模擬量輸入通道，應(yīng)能承受輸入端子完全的斷路，并不影響其他輸入通道；否則應(yīng)有單獨(dú)的熔斷器進(jìn)行保護(hù)，且每一供電回路中應(yīng)有單獨(dú)的熔斷器，熔斷器斷開時應(yīng)報警。

3.1 系統(tǒng)自檢

自檢是指設(shè)備在正常工作時，通過特定的程序監(jiān)測各個部件或者模塊是否正常。在出現(xiàn)故障時，判定產(chǎn)生故障的部件或者模塊，便于維修。系統(tǒng)自檢的目的：

1)及時發(fā)現(xiàn)系統(tǒng)故障，延長定期試驗(yàn)間隔；

2)檢測設(shè)備內(nèi)部的故障，引導(dǎo)非安全故障達(dá)到安全狀態(tài)，以提高設(shè)備的可用率；

3)指示自檢的輸出，并給出安全級DCS系統(tǒng)運(yùn)行狀態(tài)的信息；4)安全級DCS系統(tǒng)應(yīng)可對探測到的所有故障進(jìn)行報警。

安全級DCS系統(tǒng)應(yīng)具有系統(tǒng)自檢的能力，包括系統(tǒng)自診斷、組件自診斷、通信校驗(yàn)、數(shù)據(jù)合理性校驗(yàn)以及模擬量輸入通道的標(biāo)定校驗(yàn)等。系統(tǒng)的自診斷功能應(yīng)至少每5分鐘完成一次，診斷的覆蓋率應(yīng)超過系統(tǒng)設(shè)備數(shù)量的90%。

系統(tǒng)自檢需求至少包括以下方面：

1)模擬信號檢測通道敏感元件的失效（如：短路、斷路、超量程等），可通過設(shè)備自診斷系統(tǒng)探測到；

2)模擬信號監(jiān)測通道的零點(diǎn)漂移和觸發(fā)動作精度，可在線校準(zhǔn)和測試；

3)系統(tǒng)/設(shè)備自診斷可連續(xù)在線檢測組件的故障，并能實(shí)現(xiàn)故障的快速定位；

4)處理器監(jiān)測，可編程只讀存儲塊校驗(yàn)，隨機(jī)存儲器的讀寫測試，靜態(tài)隨機(jī)存儲器數(shù)據(jù)校驗(yàn)，共享存儲塊校驗(yàn)，以及數(shù)據(jù)鏈接傳輸錯誤監(jiān)測等。

安全級DCS系統(tǒng)應(yīng)有自診斷程序，系統(tǒng)能及時對掛在總線上或網(wǎng)絡(luò)上的各回路及功能模塊進(jìn)行周期診斷。通過診斷，如果發(fā)現(xiàn)異常現(xiàn)象，生成故障代碼或相應(yīng)的故障提示，并在維護(hù)工程師站上顯示和報告故障發(fā)生的位置。在了解故障情況后，進(jìn)一步通過具體顯示狀態(tài)，查詢不正常狀態(tài)的故障內(nèi)容。

3.2 定期試驗(yàn)

定期試驗(yàn)用于驗(yàn)證系統(tǒng)是否能夠完成指定的保護(hù)功能。定期試驗(yàn)不得干擾電廠的正常運(yùn)行，不引起安全級儀控系統(tǒng)虛假的動作，不妨礙系統(tǒng)在必要時完成保護(hù)功能。安全級儀控系統(tǒng)應(yīng)進(jìn)行定期的完整功能試驗(yàn)，來探測那些不能通過自診斷發(fā)現(xiàn)的故障，定期試驗(yàn)的頻率由安全級儀控系統(tǒng)和設(shè)備的可靠性指標(biāo)來決定。

安全級DCS系統(tǒng)定期試驗(yàn)的范圍應(yīng)包括從傳感器輸入卡件到安全級儀控系統(tǒng)輸出設(shè)備。在保持安全系統(tǒng)執(zhí)行其功能能力的同時，應(yīng)在功率運(yùn)行期間提供進(jìn)行試驗(yàn)和校準(zhǔn)的能力，并且盡可能接近實(shí)現(xiàn)地再現(xiàn)安全功能的特性。

對安全級DCS系統(tǒng)定期試驗(yàn)結(jié)果應(yīng)能留下記錄并可輸出到標(biāo)準(zhǔn)的輸出設(shè)備（屏幕顯示），用于核查和歸檔。

執(zhí)行安全級DCS系統(tǒng)定期試驗(yàn)時，應(yīng)不需要拆線或安裝跳線。

安全級DCS系統(tǒng)應(yīng)具有安全準(zhǔn)則所要求的反應(yīng)堆停堆和專設(shè)安全設(shè)施驅(qū)動系統(tǒng)可定期進(jìn)行功能和性能試驗(yàn)、校準(zhǔn)的能力。這些定期試驗(yàn)和校準(zhǔn)應(yīng)不會對系統(tǒng)完成其安全功能和電廠的運(yùn)行產(chǎn)生不良后果，即不應(yīng)引起誤觸動或誤驅(qū)動。同時應(yīng)具備對于DCS系統(tǒng)平臺的校準(zhǔn)功能，包括：

1)對堆外核測儀表系統(tǒng)的探測器進(jìn)行校準(zhǔn)的接口

2)電阻溫度探測器信號交叉校準(zhǔn)

3)脈沖輸入

4)模擬量輸入輸出

3.3 表決邏輯退化

系統(tǒng)有些故障如通道故障、卡件故障等會影響到系統(tǒng)表決邏輯的執(zhí)行，為了保證在一個或多個保護(hù)儀表通道因故障或試驗(yàn)而退出運(yùn)行時，剩余的保護(hù)通道仍然滿足單一故障準(zhǔn)則，同時為了最大程度地保證電廠的可用性，必須要進(jìn)行表決邏輯退化處理。

當(dāng)上游的保護(hù)儀表通道由于故障或者試驗(yàn)而不可用時，將自動進(jìn)行表決邏輯的退化處理。例如，對于“2/4”表決邏輯，如果四個保護(hù)通道中某一個通道不可用，那么表決邏輯將自動地從“2/4”退化到“2/3”，如果兩個通道處于不可用狀態(tài)，表決邏輯將退化到“1/2”，此時，如果再出現(xiàn)一個通道不可用，“1/2”表決條件將滿足，系統(tǒng)將發(fā)出保護(hù)信號。

考慮到“2/3”退化到“1/2”之后可能會在一定程度上增加系統(tǒng)的誤動概率，在設(shè)計上盡量避免由“2/3”直接退化到“1/2”。如果是某一通道內(nèi)同一子組中的某個處理器由于故障或維護(hù)而變得不可用，該子組內(nèi)的另一個處理器將繼續(xù)執(zhí)行信號采集處理功能，表決邏輯不進(jìn)行退化。只有當(dāng)某一通道內(nèi)的某個子組全部不可用時，表決邏輯才從“2/3”退化到“1/2”。

4 結(jié)束語

數(shù)字化核電技術(shù)的飛速發(fā)展，系統(tǒng)設(shè)備集成度的提高對于系統(tǒng)故障診斷與處理的技術(shù)也提出了更高的要求，在有效性、靈活性以及方便性方面相對于以前模擬都有了顯著性的提高。但出現(xiàn)故障的情況下，應(yīng)該能快速定位并能采用相應(yīng)的措施以及通知相關(guān)人員，提高系統(tǒng)的可靠性和可用性指標(biāo)。