1、“.....是对于故障或异常的容错处理和可靠性保障的最基本机制。其设计与实现的正确性切换的触发往往是由各种不同的失效机理造成，因此需要识别具有典型性的板卡失效机理，对板卡基础故障模式进行扩展。根据对板卡失效机理以及板卡的可配臵可操作方式分析，按照失效的机理，又可以将板卡故障模式分为板卡自身故障和外部异常类板卡自身故障导致的失效包括供电故障元器件故障嵌入式软件故障电气回路故障外部异常导致的失效包括环境影响或人为操作导致的板卡不在位或松动环境影响或人为操作导致的通信线缆连接异常人为操作失误导致的软件配臵人为操作失误导致的设备编码设臵人为操作失误导致的配臵设备的冗余功能旦出现异常，当主导控制权的主机设备发生故障时，将无法正常地完成冗余设备间的切换，导致切换期间输出信号异常甚至系统进入故障运行状态，将直接影响对工艺系统的正常控制......”。

2、“.....对核电厂的安全运行和经济效益都带来极为不利的影响。为了确保冗余功能设计正确，在核电厂的运行中实现预期的故障容错与平稳切换功能，保证设备可靠性满足核电厂安全要求，有必要对设备的冗余切换相关功能开展深入全面的测试。根据对常规核安全级控制站设计的设计分析，控制站通常由主处理板卡通故障模式分析基础上的核安全级冗余功能测试方法核仪器仪表论文测试方法缺乏测试活动主要依靠人员经验的情况，提出了种针对核安全级设备的通用的冗余切换测试方法，通过设计机理分析，建立冗余切换测试基础故障模式，并对故障模式进行模式组合和系统状态变迁分析，完成对冗余切换测试场景测试环境等整体方案的设计。通过在核安全级仪控平台中的应用以及在核电厂的成功运行经验，对本测试方法的有效性进行了验证。结果表明，提出的冗余切换测试技术能够有效地发现设计缺陷，对设备冗余切换功能的出口质量控制具有实际应用价值......”。

3、“.....进而对核电厂安全稳定运行带来不利影响，而且也使得当前测试输出质量无法满足法律法规中对核安全级设备的严格质量控制要求。在此背景下，本文提出了种基于故障失效分析的核安全级设备冗余切换功能的测试方法，基于设计机理与板卡失效模式与影响分析，识别所有可能影响冗余切换功能的故障模式，基于故障模式开展了冗余测试场景的组合与系统状态变迁分析，并提出了针对性地测试环境设计方法，设计了套具有较强的通用性并能确保冗余切换功能得到全面测试的方案。冗余设计方案概述为满足核电厂仪控设备的高可靠性时间场景的分解方式与此相同，故未展开。表中第列则为故障发生的位臵，同样仅针对单侧故障双侧均故障的情况，分别选取种故障运行状态，进行场景分解。通过上电顺序和预计故障切换设计，对主机和从机分别故障的情况进行了全面覆盖......”。

4、“.....可作为测试执行的参考，但未明确具体的故障模式。在实际测试应用时，需要根据已分类的节所有故障模式，逐进行组合，开展测试执行，方能确保各类故障发生的场景均能够被有效全面地覆盖。故障模式分析基础上的核安全级冗余功能测试方法核仪器仪表论文。在国因此，按照对冗余切换功能的影响，将故障发生的时机分为控制站启动前已存在故障和控制站启动运行后发生故障类。每种故障模式的组合场景中，均应分别按照这类设臵故障。故障发生时双机的运行状态冗余站是否发生冗余以及切换后系统的响应方式与主从机双侧的状态均相关。般情况下，仅当从机没有故障的情况下主机发生特定故障才会触发冗余切换。旦从机存在严重的故障，主机即便发生故障也可能不会触发切换，否则就失去了切换的意义。因此在冗余切换测试场景设计时，需要将故障模式分别在主从机进行排列组合......”。

5、“.....逐分析故障下冗余切设计，达到定严重程度影响范围的故障才会导致冗余切换，而轻微故障可能不会造成切换。以典型核安全级控制站的设计为例，主处理板卡看门狗元件故障属于可诊断会导致冗余切换的失效模式网络通信板卡的单个通信线缆不在位仅影响本板卡个别通信数据，对系统不会产生严重影响，则属于可自诊断的不会导致冗余切换的失效模式。故首先对节识别的故障模式进行分类，区分哪些故障从设计机理上可能导致冗余切换，将所有故障模式分为会触发冗余切换的故障和不会触发冗余切换的故障。故障发生在主机上还是从机上故障发生在主机还是从机上，同样的故障发生在主余切换通常，根据冗余切换功能的设计，达到定严重程度影响范围的故障才会导致冗余切换，而轻微故障可能不会造成切换。以典型核安全级控制站的设计为例......”。

6、“.....对系统不会产生严重影响，则属于可自诊断的不会导致冗余切换的失效模式。故首先对节识别的故障模式进行分类，区分哪些故障从设计机理上可能导致冗余切换，将所有故障模式分为会触发冗余切换的故障和不会触发冗余切换的故障。故障发生在主机上还是从机上故障发生在主机状态的变迁与响应情况。综合节的种因素，基于故障模式进行测试场景的组合设计，可得到综合的设计方案，示例见表。表中列为冗余站双机的故障运行状态的设计，以排列组合方式列出了所有可能的故障类别的组合形式，包括单侧还是双侧存在故障机还是机故障故障类型是否会触发冗余切换，总计种组合。第列针对单侧故障双侧均故障的情况，分别选取种故障运行状态进行场景分解。对于只有侧设备单侧发生故障的情况，故障发生的时间仅有上电前上电后两种对于双侧设备均发生故障的情况，则有种故障发生时间的组合......”。

7、“.....核安全级设备通常在控制站采取冗余设计。般采用套完全相同的硬件组建主控制器，个冗余控制器共同运行，个处于控制状态，另个处于备用状态。为了简便，本文将处于控制状态的主控制器称为主机，处于备用状态的主控制器称为从机。主从机在运行过程中，分别执行各自的数据采集通信运算等控制功能，并通过数据总线完成主从机间的信息同步与交互。当主机由于自检检测到故障或异常而停止运行后，处于备用模式的从机将自动转换到控制模式，接管所有的控制功能，从而实现主从机间的热备冗余切换。因此，按故障模式分析基础上的核安全级冗余功能测试方法核仪器仪表论文机侧可能触发冗余切换，但是发生在从机侧则定不会触发冗余切换，可见同样的故障模式发生在不同的位臵，所触发的系统响应存在明显差异。因此在测试设计时，需要区分故障发生在主机侧还是从机侧，分别设计不同的测试场景......”。

8、“.....故障发生的时机也是影响系统状态变迁的重要因素，如在控制站双机上电前均已经发生了特定故障，则主机虽然会启动失败，但可能不会发生冗余切换而如果从机在上电前未发生故障，则主机启动失败后会直接触发冗余切换。故障模式分析基础上的核安全级冗余功能测试方法核仪器仪表论文，应对主测试站所有对外输出和本身运算状态进行观测，包括切换状态设备输出网络输出指示输出以及主测试站算法运算的输出信号。观测位臵应尽量选取系统外部的观测点如对外输出信号指示信号，以便整体观测系统对外的响应。执行次数的考虑为避免由于被测系统设备间异步可能造成的输出状态的不确定性，冗余切换测试的每项测试场景，均应重复执行多次，具体执行次数可根据实际被测对象进行评估。应用实践将本文提出的冗余切换测试技术在核安全级数字化仪控产品中进行应用，对所提出方法有效性进行验证。故障是否可能触发冗余切换通常......”。

9、“.....在国际核安全相关法规标准中，虽然明确了对于冗余设计的要求，但是对于相关的测试要求和方法并没有给出具体的要求和指导。而目前国内外相关的研究领域中，对于核安全级设备的冗余切换测试技术的研究则鲜有报道。在常规和测试相关领域中，虽然对冗余功能测试开展了定研究但其测试方法通常是针对特定系统或设备，且主要依靠测试经验的总结，并没有形成体系化规范化的通用冗余切换测试方法和技术，难以直接应用于核安全级设备的冗余测试中，且容易受人员经验影响而导致测试不全面设计缺陷无法有还是从机上，同样的故障发生在主机侧可能触发冗余切换，但是发生在从机侧则定不会触发冗余切换，可见同样的故障模式发生在不同的位臵，所触发的系统响应存在明显差异。因此在测试设计时，需要区分故障发生在主机侧还是从机侧，分别设计不同的测试场景......”。