梁 軍，龍 騰

（核電運(yùn)行研究（上海）有限公司，上海 200120）

0 引言

核能是安全、經(jīng)濟(jì)、高效的清潔能源，是我國(guó)能源體系中重要且可靠的組成部分。自1991 年12 月15 日秦山核電300 MWe 機(jī)組投入運(yùn)行以來(lái)，我國(guó)核電機(jī)組一直保持安全、穩(wěn)定運(yùn)行。截至2022 年12 月31 日，我國(guó)大陸核電裝料運(yùn)行核電機(jī)組共55 臺(tái)，總裝機(jī)容量為0.57 億千瓦，總運(yùn)行堆年523 堆年，運(yùn)行機(jī)組數(shù)量及裝機(jī)容量均列世界第三。但在近五年的時(shí)間內(nèi)，發(fā)生了13 起因?yàn)镈CS 故障而引起的非停事件，引起行業(yè)深度關(guān)注。

1 核電廠DCS 概述

1.1 DCS 介紹

DCS（Distributed Control System，分布式控制系統(tǒng)）主要是以微機(jī)或微處理器為基礎(chǔ)，對(duì)生產(chǎn)過(guò)程進(jìn)行集中管理、操作、監(jiān)視以及分散控制（圖1）。

圖1 DCS 系統(tǒng)示意

1.2 核電廠DCS

核電廠DCS 綜合了計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、CRT 和過(guò)程控制技術(shù)，以其良好的可操作性、可靠性、維護(hù)方便和故障率低等優(yōu)點(diǎn)，成為生產(chǎn)實(shí)時(shí)過(guò)程控制的核心和應(yīng)用發(fā)展最快的控制系統(tǒng)。核電廠DCS 系統(tǒng)結(jié)構(gòu)按功能分為工藝系統(tǒng)接口、自動(dòng)控制和保護(hù)、操作和管理信息、全場(chǎng)技術(shù)管理4 個(gè)層次，系統(tǒng)架構(gòu)如圖2 所示。

圖2 DCS 系統(tǒng)總體架構(gòu)

目前，核電廠投運(yùn)的機(jī)組全部采用DCS 作為熱工控制系統(tǒng)，因此，DCS 系統(tǒng)的可靠性直接關(guān)系到機(jī)組運(yùn)行的安全性和經(jīng)濟(jì)性。近年來(lái)DCS 故障頻出，有必要對(duì)DCS故障進(jìn)行分析，并提出應(yīng)對(duì)措施，以提高設(shè)備的可靠性。

2 核電廠DCS 故障及共性原因分析

2.1 核電廠DCS 故障介紹

（1）某核電廠4 號(hào)機(jī)組蒸汽發(fā)生器水位高高疊加P7 信號(hào)導(dǎo)致反應(yīng)堆自動(dòng)停堆。

（2）某核電廠1 號(hào)機(jī)組停堆保護(hù)信號(hào)誤動(dòng)導(dǎo)致自動(dòng)停堆。

（3）某核電廠4 號(hào)機(jī)組蒸汽發(fā)生器主給水隔離閥誤關(guān)閉導(dǎo)致反應(yīng)堆停堆。

（4）某核電廠3 號(hào)機(jī)組蒸汽發(fā)生器液位降低觸發(fā)反應(yīng)堆自動(dòng)停堆。

（5）某核電廠3 號(hào)機(jī)組儀控系統(tǒng)網(wǎng)絡(luò)交換機(jī)故障導(dǎo)致蒸發(fā)器液位低觸發(fā)反應(yīng)堆自動(dòng)停堆。

（6）某核電廠1 號(hào)機(jī)組兩臺(tái)循泵同時(shí)跳閘引發(fā)停機(jī)停堆。

（7）某核電廠1 號(hào)機(jī)組汽輪機(jī)潤(rùn)滑油壓力高超質(zhì)量位導(dǎo)致停機(jī)。

（8）某核電廠1 號(hào)機(jī)組60%功率平臺(tái)線性負(fù)荷變化試驗(yàn)期間，蒸汽發(fā)生器二次側(cè)水位高觸發(fā)反應(yīng)堆自動(dòng)停堆。

（9）某核電廠1 號(hào)機(jī)組100%功率平臺(tái)APA RB 試驗(yàn)期間，蒸汽發(fā)生器二次側(cè)水位低觸發(fā)反應(yīng)堆自動(dòng)停堆。

（10）某核電廠蒸汽發(fā)生器低水位疊加汽水失配信號(hào)觸發(fā)反應(yīng)堆自動(dòng)停堆。

（11）某核電廠4 號(hào)機(jī)組DCS 網(wǎng)絡(luò)故障導(dǎo)致自動(dòng)停堆。

（12）某核電廠4 號(hào)機(jī)組P320 通信控制器故障導(dǎo)致F8000 網(wǎng)絡(luò)失去冗余。事件原因?yàn)椋篊CL2 控制器的背板插孔故障。

（13）某核電廠1 號(hào)機(jī)組因汽輪機(jī)保護(hù)系統(tǒng)故障導(dǎo)致反應(yīng)堆自動(dòng)停堆。

2.2 故障分析

針對(duì)上述典型事例的根本原因進(jìn)行分類(lèi)，大體可以分成以下3 類(lèi)：①DCS 硬件故障4 起，分別對(duì)應(yīng)上述的5/11/12/13 事件；②設(shè)計(jì)缺陷6 起，分別對(duì)應(yīng)上述的2/4/8/9/10/11 事件；③管理或者人員相關(guān)5 起，分別對(duì)應(yīng)上述的1/3/4/6/7 事件。

3 共性原因分析

3.1 硬件故障

（1）30CRA51 或/和30CRA54 機(jī)柜的網(wǎng)絡(luò)交換機(jī)SCALANCE 發(fā)生故障（事件5）。

（2）3KIT11 交換機(jī)故障，產(chǎn)生網(wǎng)絡(luò)風(fēng)暴（事件11）。

（3）CCL2 控制器的背板插孔故障（事件12）。

（4）汽輪機(jī)保護(hù)系統(tǒng)A 列通信模塊CP443-5 偶發(fā)故障疊加通信模塊CP443-5 固件（版本V7.1.5）存在缺陷（事件13）。

3.2 設(shè)計(jì)缺陷

（1）安全儀控系統(tǒng)停堆保護(hù)邏輯存在設(shè)計(jì)缺陷（事件2）。

（2）主給水泵流量參與的蒸汽發(fā)生器液位控制邏輯在設(shè)計(jì)上有缺陷（事件4）。

（3）SG 水位控制的鏡像負(fù)荷設(shè)計(jì)存在缺陷。GCT（蒸汽旁排系統(tǒng)）在閥門(mén)閉鎖狀態(tài)下其壓力控制器仍產(chǎn)生蒸汽負(fù)荷信號(hào)參與SG（蒸汽發(fā)生器）液位控制，當(dāng)GCT實(shí)測(cè)壓力值大于設(shè)定值時(shí)，GCT 控制器不斷輸出虛假的蒸汽映像負(fù)荷給SG 的水位調(diào)節(jié)系統(tǒng)，導(dǎo)致給水流量持續(xù)增大，SG 液位觸發(fā)停堆閾值（事件8）。

（4）設(shè)計(jì)上對(duì)100%功率平臺(tái)失去一臺(tái)APA 泵且備用泵未啟動(dòng)的瞬態(tài)工況考慮不充分，給水流量失配部分停堆參數(shù)設(shè)置不合理，一二回路功率下降速度不匹配（事件9）。

（5）DCS 環(huán)形網(wǎng)絡(luò)架構(gòu)未設(shè)置阻斷機(jī)制，造成網(wǎng)絡(luò)風(fēng)暴蔓延，導(dǎo)致CP 控制器控制異常，引發(fā)主給水泵轉(zhuǎn)速控制異常（事件10）。

（6）程序水位邏輯設(shè)置與實(shí)際工況不符（事件11）。

（7）反應(yīng)堆保護(hù)系統(tǒng)中主蒸汽流量質(zhì)量位信號(hào)閾值設(shè)置不合理（事件11）。

3.3 管理或者人員相關(guān)

（1）工程N(yùn)C-DCS 組態(tài)人員未理解設(shè)計(jì)人員答復(fù)意見(jiàn)，錯(cuò)誤地發(fā)起DEN（事件1）。

（2）調(diào)試期間DCS 軟件修改管理不到位，方案準(zhǔn)備環(huán)節(jié)變更方案錯(cuò)誤、審查環(huán)節(jié)未有效把關(guān)、驗(yàn)證環(huán)節(jié)驗(yàn)證手段不充分（事件3）。

（3）維修人員未嚴(yán)格遵守電站程序，超工作票范圍操作30LAB13CF001 儀表二次閥門(mén)（事件4）。

（4）運(yùn)行機(jī)組儀表在線與工藝系統(tǒng)在線的先后關(guān)系沒(méi)有得到應(yīng)有的重視和正確的界定，導(dǎo)致運(yùn)行人員執(zhí)行系統(tǒng)充水操作單過(guò)程中未嚴(yán)格遵守程序的使用規(guī)定，在儀控人員還未反饋儀表在線狀態(tài)的情況下，執(zhí)行下一步操作（事件4）。

（5）人員技能不足。在前期風(fēng)險(xiǎn)分析中未能有效識(shí)別出設(shè)計(jì)疊加設(shè)備缺陷。C529UC 軟件組態(tài)中質(zhì)量位使用原則與之前約定不符，將BODE 參數(shù)作為停泵信號(hào)質(zhì)量位，導(dǎo)致風(fēng)險(xiǎn)分析過(guò)程中無(wú)法識(shí)別隱含缺陷（事件6）。

（6）變更管理流程中風(fēng)險(xiǎn)識(shí)別不到位，未對(duì)重大技術(shù)變化點(diǎn)進(jìn)行專(zhuān)題審查，導(dǎo)致跳機(jī)邏輯變化沒(méi)有充分討論并有效防范（事件7）。

3.4 故障解決思路

（1）4 例硬件故障中的2 例是因?yàn)榻粨Q機(jī)故障產(chǎn)生了非停，1 例是網(wǎng)卡故障，1 例是通信模塊故障。因此對(duì)于涉及停機(jī)停堆的DCS 系統(tǒng)，都應(yīng)該選取質(zhì)量可靠的設(shè)備，并密切跟蹤廠家的設(shè)備升級(jí)換代及固件版本更新情況，及時(shí)下載最新的固件或者升級(jí)成新的更可靠的產(chǎn)品。

（2）設(shè)計(jì)缺陷或者不足共有6 例，其中有4 例是發(fā)生在相對(duì)新設(shè)計(jì)的堆型上，如EPR 有2 例，VVER 有2 例，另外60 萬(wàn)機(jī)組2 例（秦二廠屬于較早期的DCS 設(shè)計(jì)，當(dāng)時(shí)沒(méi)有設(shè)計(jì)網(wǎng)絡(luò)風(fēng)暴阻斷機(jī)制，昌江屬于調(diào)試試驗(yàn)未完全完成以及質(zhì)量位設(shè)計(jì)缺陷導(dǎo)致）。因此對(duì)于新的控制理念的設(shè)計(jì)，以及在運(yùn)機(jī)組的改造提升等方面，必須進(jìn)行完善的分析，確保能夠涵蓋實(shí)際工藝的全過(guò)程。

（3）管理或者人員方面的不足。需要從加強(qiáng)培訓(xùn)、提高人員技能、提升人員責(zé)任心、完善管理程序、打造執(zhí)行力等方面執(zhí)行。

4 應(yīng)對(duì)措施

4.1 硬件故障

針對(duì)硬件故障的應(yīng)對(duì)措施是：①當(dāng)系統(tǒng)設(shè)備發(fā)生首次故障時(shí)，應(yīng)及時(shí)對(duì)故障的原因進(jìn)行深入分析；②加強(qiáng)與設(shè)備供貨商的溝通協(xié)調(diào)，建立經(jīng)驗(yàn)反饋和快速響應(yīng)機(jī)制；③深入研究DCS 系統(tǒng)及其故障模式，升級(jí)DCS系統(tǒng)異常的應(yīng)急預(yù)案，增加疊加故障下的風(fēng)險(xiǎn)分析和應(yīng)對(duì)措施；④加快推進(jìn)網(wǎng)絡(luò)交換機(jī)升級(jí)改造，引入合理的網(wǎng)絡(luò)風(fēng)暴阻斷機(jī)制；⑤專(zhuān)業(yè)人員需經(jīng)常關(guān)注西門(mén)子工業(yè)官方網(wǎng)站版本升級(jí)信息，若發(fā)現(xiàn)在用設(shè)備已有新版本發(fā)布，需收集信息與西門(mén)子電站公司溝通，確認(rèn)新版本優(yōu)化內(nèi)容及是否應(yīng)用于現(xiàn)場(chǎng)升級(jí)。

4.2 設(shè)計(jì)缺陷

針對(duì)設(shè)計(jì)缺陷的應(yīng)對(duì)措施是：①對(duì)于運(yùn)行機(jī)組中的保護(hù)邏輯，應(yīng)進(jìn)行充分的排查和分析，找出設(shè)計(jì)缺陷，避免落入設(shè)計(jì)“陷阱”；②對(duì)于不同機(jī)組發(fā)生的事件開(kāi)展經(jīng)驗(yàn)反饋時(shí)，應(yīng)深入分析事件過(guò)程，增加對(duì)于其他機(jī)組的適用性分析評(píng)價(jià)；③EPR 機(jī)組二回路控制調(diào)節(jié)系統(tǒng)邏輯設(shè)計(jì)復(fù)雜，影響范圍廣，結(jié)合本次事件經(jīng)驗(yàn)，后續(xù)生產(chǎn)活動(dòng)涉及調(diào)節(jié)系統(tǒng)的瞬態(tài)試驗(yàn)，分析和質(zhì)疑邏輯設(shè)計(jì)可靠性，模擬驗(yàn)證設(shè)計(jì)試驗(yàn)的相關(guān)邏輯，預(yù)想最不利的情況并制定預(yù)案；④在調(diào)試環(huán)節(jié)、接產(chǎn)環(huán)節(jié)對(duì)涉及到機(jī)組控制邏輯參數(shù)修正的調(diào)試步驟進(jìn)行有效地管控，確保控制參數(shù)滿足機(jī)組要求，避免給運(yùn)行機(jī)組留下隱患；⑤針對(duì)機(jī)組重要的控制系統(tǒng)應(yīng)安排專(zhuān)人收集正常運(yùn)行期間、機(jī)組瞬態(tài)期間、執(zhí)行機(jī)構(gòu)檢修之后的數(shù)據(jù)，并進(jìn)行統(tǒng)計(jì)分析，定期給出分析報(bào)告，診斷出控制系統(tǒng)可能存在的問(wèn)題；⑥在相關(guān)的操作規(guī)程中增加打閘前的風(fēng)險(xiǎn)提示和關(guān)注要求。

4.3 管理或者人員相關(guān)

針對(duì)管理或者人員相關(guān)的應(yīng)對(duì)措施是：①DCS 軟件修改需要結(jié)合DCS 平臺(tái)的技術(shù)特點(diǎn)，對(duì)變更或升級(jí)方案修改實(shí)施內(nèi)容進(jìn)行檢查，必要時(shí)進(jìn)行軟件組態(tài)語(yǔ)句層級(jí)的分析，在修改實(shí)施后，需要有完整的驗(yàn)證方案，完整覆蓋所有修改項(xiàng)目；②提高維修工作包準(zhǔn)備的質(zhì)量，杜絕超工作許可證范圍作業(yè)；③規(guī)范儀表在線過(guò)程管理，界定儀表在線與工藝系統(tǒng)在線先后順序；④需加大DCS 設(shè)備管理人員對(duì)軟件可靠性的研究力度，熟悉組態(tài)時(shí)內(nèi)部設(shè)置規(guī)則，提升DCS 大數(shù)據(jù)下風(fēng)險(xiǎn)分析能力；⑤廠家資料的更新需及時(shí)了解、熟悉并掌握，涉及現(xiàn)場(chǎng)有變化的要及時(shí)提出變更申請(qǐng)；⑥對(duì)于重要設(shè)備的設(shè)計(jì)邏輯控制要進(jìn)行重點(diǎn)分析；⑦重大變更項(xiàng)目的設(shè)計(jì)審核、試驗(yàn)驗(yàn)證及差異化分析等環(huán)節(jié)加強(qiáng)控制。

5 結(jié)束語(yǔ)

本文通過(guò)對(duì)中國(guó)大陸近5 年核電廠中發(fā)生的因DCS系統(tǒng)故障導(dǎo)致的非計(jì)劃停機(jī)停堆事件進(jìn)行故障分析，旨在提煉出DCS 系統(tǒng)故障在非停事件中的各種具體始發(fā)事件和原因，以期能夠找到貢獻(xiàn)大的因子，以便對(duì)未來(lái)的核電站DCS 設(shè)計(jì)、運(yùn)維、技改等，提供一定的信息和指導(dǎo)作用。