1、核電廠DCS控制系統的可靠性與可用性分析摘要：現代技術發展迅速，產品競爭激烈，人們對產品的需求不再僅僅滿足于 價格便宜、功能好用，還需要可靠耐用。因此，高可靠性的產品就意味著更強的 核心競爭力。產品可靠性首先是設計出來的，而核電廠安全級DCS（分布式控制 系統）作為核反應堆安全運行的重要保障設備，本身就有嚴格的可靠性要求，開 展可靠性設計活動有十分重要的意義。關鍵詞：核電廠；DCS；可靠性；核電廠數字化儀控系統（簡稱DCS）的可靠性是系統設計、研發、操作、維 護人員共同關心的問題。對于核電廠DCS，特別強調其可靠性、可用性、易測性、 可維護性等要求，要求其能在惡劣環境下完成數據采集和處理、控制

2、和調節、診 斷、通訊及信息管理等。一、影響DCS可靠性的因素電源系統。電源是DCS的關鍵部分，通常包括主機及網絡電源、控制器電 源和I/ O工作電源。這些電源主要對控制系統設備、各控制模塊、I/O模塊和現 場設備（如變送器、信號反饋、控制操作等）供電。一旦電源發生故障，會使整 個控制系統癱瘓，造成重大后果。網絡系統。影響DCS網絡正常通訊的主要因素如下：（1）系統運行時在線 調試實時通訊，因配置沖突導致網絡故障。（2）為同其他上位系統通訊，在實 時數據網絡增加接口或更改網絡結構，導致網絡異常。（3）日常使用過程中由 于控制器負荷率過高，影響網絡正常工作。（4）通訊設備質量問題導致網絡異 常或網

3、絡中斷，如交換機故障，光纖發生斷線等質量問題嚴重影響通訊網絡的正 常使用。軟硬件。根據近年來對DCS使用情況的統計和分析，DCS的軟硬件應用中 出現的問題主要表現在如下幾個方面：（1）由于DCS及其外部電路都是由半導 體集成電路（IC）、晶體管和電阻電容等器件構成，這些電子器件不可避免的存 在失效率的問題。所以這些器件的可靠性將直接影響DCS系統的可靠性。（2） 軟件系統的不成熟，經常出現死機、脫網以及控制模塊輸出異常等現象。（3） 軟件系統的安全性不完善。如操作員在在線系統上，可以通過打開等方式瀏覽并 刪除W i n d o w s系統上的文件等。運行環境。DCS實際運行的環境條件會影響其可

4、靠性。（1）溫度條件。DCS及其外部電路都是由半導體集成電路（IC）、晶體管和電阻電容等器件構成， 溫度的變化將直接影響這些元器件的可靠性和壽命。溫度過高將使元器件性能惡 化，故障率增加，壽命降低，模擬回路精度降低；溫度過低則會引起模擬回路安 全系數變小，控制系統動作不正常。（2）濕度條件。在濕度大的環境中，水分 容易通過模塊上I C的金屬表面的缺陷浸入內部，引起內部元件性能惡化，并可 能引起短路。在極干燥的環境下，絕緣物體上可能帶靜電，從而產生靜電感應而 損壞器件。（3）震動和沖擊環境。強震動和沖擊可能引起機械以及電氣連接結 構松動，造成接觸不良，甚至引起斷路器或繼電器誤動作等后果。（4）周

5、圍空 氣環境。周圍空氣中混有的塵埃、導電性磁粉、腐蝕性氣體、水分、油分和有機 溶劑等會引起接觸不良、絕緣性能變差和短路、電路板腐蝕造成繼電器類的可動 部件接觸不良等問題。對于核電廠用的DCS，其中的某些設備可能會受到輻射的 影響而大大降低可靠性。人員誤操作。現場操作人員的工作失誤也是威脅D C S可靠性的一大隱患。失誤的原因多種多樣，如操作人員沒有按照規程操作、操作失誤、沒有進行事故 預想、值班長監視不到位、管理有漏洞等原因。二、可靠性分析設備級可靠性分析常使用FMEA （失效模式和影響分析）和FMEDA （失效模 式、影響及診斷分析）技術。前者主要用于設備的定性分析，后者用于設備的定 性分析

6、和定量分析。其中FMEDA技術要求最低約定層級為元器件，引入了對診 斷技術的分析和診斷能力的計算，可以得到更詳細的設備可靠性參數，并為系統 可靠性分析提供基礎數據。系統級可靠性分析常用FMEA、RBD （可靠性框圖法）、 FTA （故障樹分析）、Markov （馬爾可夫模型）等方法對系統進行建模，其中系 統FMEA作為其他幾種分析技術的基礎。Markov只用于定量分析，可以得到幾乎 所有參數；RBD和FTA既能用于定性分析，也用于定量分析，只能獲得部分參數。 系統可靠性分析的目的是為了評估系統的安全性、可靠性、可用性是否滿足要求， 并通過發現潛在故障和風險問題指導設計決策。可靠性分析技術在核電

7、廠安全級 DCS領域已經有豐富的應用經驗，但仍面臨很多難題，如：元器件或者功能模塊缺少準確完善的失效模式庫。雖然很多標準提及元器 件失效模式（如：GJB / Z 299、IEC 61709等），然而各標準中相同元器件失效模 式差異不小。功能模塊的失效模式尚沒有相關標準或被認可的數據庫。所以迫切 需要一個適用于核電儀表與控制領域的元器件和功能模塊的失效模式庫，以使核 電廠安全級DCS可靠性分析形成統一的標準。可靠性分析結果正確性缺少有效的驗證方法，權威性不足。由于人為計算 錯誤、相關分析方法局限性，以及核電廠安全級DCS在系統設計上一貫的延續性， 使得可靠性分析技術的優勢沒有得到很好得發揮。三、

8、可靠性設計冗余設計。電力系統中的一條重要的準則是單一故障準則，其定義是，系 統中任何一個子系統的故障或失效均不會導致整個系統的故障或失效。本著事實 求是出發，我們應該承認有發生故障的可能。要滿足單一故障準則的要求，采用 冗余技術是最有效的手段之一。I E E E核電站安全系統標準委員會對冗余系統定 義為：一設備或系統與另一設備或系統的基本功能完全相同，它們不管其中一個 運行還是故障，另一個都可以執行要求的功能。由于核電廠的特殊性，為了保證 D C S的高可靠性要求，具體到現場控制站的I/O模塊，控制器，電源，網絡以及 服務器，都要進行冗余配置。另外，為了發揮冗余配置的效果，D C S還必須具備

9、 完善的故障診斷和切換功能。當故障發生時，系統必須第一時間發現并告知操作 員和相關維護工程師，同事系統自動做出判斷，進行冗余系統切換。當冗余配置 系統切換成功后，還可對故障的系統進行維修或更換，那么只要在維修期間，主 運行系統（就是原備用系統）沒有發生故障，則可保證系統穩定運行。隔離設計。對于有特殊要求的設備或信號，如信號是安全級DC S和非安全 級D C S公用的，那么安全級D C S就要從非安全級D C S隔離開來，避免非安全 級系統導致安全功能的喪失。（1）來自現場傳感器的信號公用于安全系統和非 安全系統的情況下，要使用電氣隔離。（2）機柜中的電纜要實現實體隔離。安 全級和非安全級的面板

10、和機柜之間的硬接線纜要實現實體隔離和電氣隔離。容錯設計。在系統設計中的容錯技術是指對誤操作不予響應的技術。如對 鍵盤上的不允許按鍵進行屏蔽，如操作人員在操作員站上不按照規程操作則系統 不予響應且不輸出操作指令，或者提示有關操作出錯的信息。環境適應性設計。D C S在實際應用中面臨著核電廠環境的嚴峻挑戰。面對 惡劣的運行條件，必須采取如下有效措施，使其滿足DCS的環境技術要求。（1） 模塊的安裝要考慮通風，每個機柜應該有各自的散熱系統，如風扇等。（2）機 柜應設置在遠離震源的地方，同時可對相應機柜采用抗震橡皮，以達到減震目的。（3）進行接地設計時，注意系統地、保護地、屏蔽地分開。（4）為了達到較高 的環境適應性要求，在器件選型時，要選擇滿足核級要求的具有較高環境適應性 的器件。（5）實際安裝時，計算機室應隔熱、防塵還需要避開強電磁場的干擾 及遠離強振動、強噪音場所。應保證計算機室室內溫度和濕度維持在設備最佳運 行范圍內，任何情況下不許結露。當空調設備發生故障時，應維持室溫在24小 時內不超過制造廠允許值。D