徐思敏,陈浠毓,黄素文,周 彧
(中国核电工程有限公司,北京 100840)
核电仪控系统是核电站运行的“大脑和神经中枢”,三代技术的核电站已基本采用全数字化仪控系统,大幅提升了核电站运行的安全性、可靠性和经济性。但是,相比传统的模拟系统,数字化仪控系统采用大量的微处理器、配套的软件和I/O卡件等基于计算机技术的软硬件,增加了软件、功能复杂性、网络技术等引入的可靠性问题。本文探讨目前核电数字化仪控系统引起功能的重要性和系统的复杂性带来的可靠性设计和分析问题,探索在工程上建立合理可行的可靠性设计体系,通过设计手段,在简化系统设计的同时,保障系统整体可靠性满足要求。
1.1 存在可靠性过度设计的可能
为保障核电仪控系统具有足够高的可靠性,安全级仪控系统内采用了独立多通道冗余、功能多样性等设计以抵御软件共因失效的风险。国际国内新的核安全法规对于纵深防御层次的设置,以及独立性、多样性要求提出越来越全面的要求,这在一定程度上也导致系统的复杂化,提高了系统的投资成本和后续的运维成本。
1.2 非安全级数字化仪控系统的可靠性和可用性关注度不足
非安全级仪控系统是仪控系统纵深防御的第一层,用以保证电厂正常运行,防止运行偏离。在提升电厂经济性的大趋势下,非安全级数字化仪控系统的可靠性、可用性对机组安全经济运行的影响逐渐被关注。
1.3 非安全级数字化仪控系统的可靠性分析难
非安全级数字化仪控系统的系统结构复杂、规模庞大,很难用单一的可靠性分析方法全面分析,特别是不同运行工况下运行控制功能复杂多样,更难以用某一定量指标衡量控制系统整体的可靠性。在国内外非安全级仪控系统的设计中,更倾向于在设计阶段采用尽可能细致的可靠性设计和分析体系保障系统整体的设计可靠性。在实施和验证阶段,通过可靠性分析评价和合理可行的可用性测试手动辅以验证。
1.4 仪控系统可靠性设计体系不够完善
在AP1000堆型项目中,有完善的可靠性保障体系。针对仪控系统,还有细化的设计程序用于指导系统设计、分析、验证和可靠性保障工作。VVER堆型项目,仪控系统的可靠性设计和分析体系也较为完善,重点在于对如何保证仪控系统功能的可靠性进行了详细的分析论证。相比之下,国内仪控系统还没有建立完善的全生命周期可靠性设计保障体系。在HAD102/10-2021《核动力厂仪表和控制系统设计》中,对仪控系统的全生命周期的各项设计活动,以及可靠性相关的设计要求进行了指导说明,对建立核电仪控系统的可靠性设计保障体系有顶层指导意义。
可靠性设计工作流程和范围如图1所示,各项工作贯穿仪控系统的全生命周期:
图1 核电仪控系统可靠性设计工作流程和范围的全生命周期Fig.1 The full life cycle of nuclear power I&C system reliability design workflow and scope
1)需求识别阶段:应确定总的可靠性目标。
2)方案设计阶段:应完成仪控系统架构设计,并进行顶层设计方案的可靠性分析,为子系统设计提供顶层可靠性目标和指标并对其分解,分配给每个仪控子系统。应完成子系统结构设计,并通过可靠性分析验证结构设计是否满足要求,识别需要进行鉴定试验证明的项目。
3)设计验证阶段:进行必要的鉴定、试验和测试。
4)投运阶段:进行系统维护、定期试验,追溯失效数据,对失效和故障进行根因分析,将信息收集指导设计改造或新系统的设计[1]。
以某压水堆仪控系统为例,纵深防御层次和仪控系统的主要功能目标的划分见表1。对各仪控系统进行可靠性分析时应包括传感器,但不包括执行机构,仅考虑仪控系统与执行机构的接口设备(如电机驱动器、阀门电动头)的故障。各仪控系统采用的可靠性分析方法与其执行的功能和可靠性目标要求有关,与电厂运行和保护不密切相关的系统要求可以降低,举例见表2。
表1 纵深防御层次和仪控系统的主要功能目标Table 1 Defense-in-depth layers and main functional objectives of the I&C system
表2 各仪控子系统采用的可靠性分析方法举例Table 2 Examples of reliability analysis methods used by each instrumentation and control subsystem
表4 故障模式的发生度[2]Table 4 Occurrence of failure modes[2]
4.1 故障模式、影响及危害性分析(FMECA)
针对仪控系统实现的每种功能的定性目标,应通过FMECA进行识别。在不同设计阶段进行不同深度的FMECA,主要包括系统整体功能级别和部件级别。FMECA方法应用的基本原则如下:
1)根据仪控系统功能需求分析,对仪控系统整体架构进行功能级别FMECA:
- 判别“安全”与“非安全”故障,用于与安全相关的可靠性的定量估计。
- 基于FMECA,来划分系统所要求的安全完整性等级(SIL)。
- 判断系统功能的故障模式、原因及补偿措施。
- 数字化仪控系统应考虑通信故障。
- FMECA中应考虑电源丧失的影响[2]。
2)根据整体架构设计阶段识别的重要子系统(重要功能,如棒控)或设备(仪表、驱动机构),进行部件级别的FMECA:
- 判别潜在的重大故障,用于制定定期试验周期或维修间隔。
- 判断故障模式对保护系统的影响。
- 判断系统部件的故障模式、原因及补偿措施。
- 判断故障探测的必要性。
- 若某部件的功能需要网络实现,应考虑网络丧失的影响。
各阶段的FMECA中都需要包括故障模式严重程度、故障模式发生度和故障模式的可探测度,相关说明见表3~表5[2,3]。
表3 失效模式的严酷度[2]Table 3 Severity of failure modes[2]
表5 失效模式的可探测度[2]Table 5 Detectability of failure modes[2]
4.2 可靠性框图(RBD)
对于非安全级运行控制系统,通过分析仪控系统架构模型中部件间的功能关系,采用RBD方法对仪控系统功能建模,分析系统是否能成功完成指定工作。
RBD模型应包括控制系统的基本模块(如处理器、I/O模块、电源模块、通信模块等)、电厂计算机信息和控制系统的基本设备(工作站、服务器、网络设备)的失效,FMECA中识别的能导致系统特定功能失效的所有模块失效必须包含在RBD模型中。因为仪控系统的I/O模块功能分配、设备冗余、网络架构、维修策略对系统整体可用性的影响,所以在RBD模型中必须考虑这些因素[1,4]。
4.3 软件可靠性验证
4.3.1 软件验证和确认
按照软件的可靠性等级对软件执行验证和确认工作。
4.3.2 危险分析
在软件开发生命周期的各个阶段应执行危险分析,识别所有可能的失效模式,并分析是否有合理的检测措施、避错或容错措施,并就失效严重性及后果进行评价,对于导致严重和致命后果的失效,应重点分析。危险分析的分析方法宜使用软件FMEA分析方法[5,6]。
4.3.3 安全防范分析
分析软件潜在的对安全的威胁及防范措施,以提供确保关键数据、关键程序不会被非法篡改,具有正确合理的访问控制等证据。针对以上分析和验证过程形成文件,出具安全防范分析报告。
4.3.4 测试
对代码执行测试活动,测试验证活动应覆盖与可靠性相关的软件功能、性能和接口等要求。
4.3.5 预开发软件的可靠性分析
如果使用了预开发软件,应提供软件可靠性分析报告,明确软件存在的缺陷、缺陷的影响,以及对缺陷的屏蔽或应对措施。
在核电领域,由于非安全级数字化仪控系统本身规模庞大且执行的功能复杂,控制系统的执行的各项功能随着电厂的运行不断动态变化,很难像对安全级仪控系统的紧急停堆和专设驱动功能一样用单一的分析方法进行分析论证。经过不断地研究和实践,可靠性设计应贯穿仪控系统的全生命周期。在工程实践中,应建立可靠性设计体系,在设计早期就开展可靠性分析论证工作,及时发现问题,并反馈到设计中去指导设计决策,避免设计后期才发现颠覆性的设计问题。在设计实施完成后,再通过详细的可靠性分析和测试补充验证。可以针对核电站不同仪控子系统的功能要求和技术特点,采用不同形式的可靠性分析和验证方法,简化分析工作的同时,提升系统整体的设计可靠性。
猜你喜欢 控系统核电可靠性 基于AK-IS法的航空齿轮泵滑动轴承可靠性分析北京航空航天大学学报(2022年6期)2022-07-02一种基于自主发射控制的运载火箭地面测发控系统设计导弹与航天运载技术(2022年2期)2022-05-09某重卡线束磨损失效分析与可靠性提升汽车实用技术(2022年4期)2022-03-07第四代核电 高温气冷堆中国核电(2021年3期)2021-08-13核电工程建设管理同行评估实践与思考中国核电(2021年3期)2021-08-13百年初心精神 点亮核电未来中国核电(2021年3期)2021-08-13医疗器械可靠性研究现状与发展趋势现代仪器与医疗(2021年1期)2021-06-09关于DALI灯控系统的问答精选家庭影院技术(2021年3期)2021-05-21中小水电站集控系统建设改造对策分析电子乐园·下旬刊(2021年3期)2021-02-08多型号车控系统统型设计实践航天工业管理(2020年9期)2020-12-28