徐思敏，陳浠毓，黃素文，周 彧

（中國(guó)核電工程有限公司，北京 100840）

核電儀控系統(tǒng)是核電站運(yùn)行的“大腦和神經(jīng)中樞”，三代技術(shù)的核電站已基本采用全數(shù)字化儀控系統(tǒng)，大幅提升了核電站運(yùn)行的安全性、可靠性和經(jīng)濟(jì)性。但是，相比傳統(tǒng)的模擬系統(tǒng)，數(shù)字化儀控系統(tǒng)采用大量的微處理器、配套的軟件和I/O卡件等基于計(jì)算機(jī)技術(shù)的軟硬件，增加了軟件、功能復(fù)雜性、網(wǎng)絡(luò)技術(shù)等引入的可靠性問題。本文探討目前核電數(shù)字化儀控系統(tǒng)引起功能的重要性和系統(tǒng)的復(fù)雜性帶來(lái)的可靠性設(shè)計(jì)和分析問題，探索在工程上建立合理可行的可靠性設(shè)計(jì)體系，通過(guò)設(shè)計(jì)手段，在簡(jiǎn)化系統(tǒng)設(shè)計(jì)的同時(shí)，保障系統(tǒng)整體可靠性滿足要求。

1 核電數(shù)字化儀控系統(tǒng)的可靠性設(shè)計(jì)現(xiàn)狀

1.1 存在可靠性過(guò)度設(shè)計(jì)的可能

為保障核電儀控系統(tǒng)具有足夠高的可靠性，安全級(jí)儀控系統(tǒng)內(nèi)采用了獨(dú)立多通道冗余、功能多樣性等設(shè)計(jì)以抵御軟件共因失效的風(fēng)險(xiǎn)。國(guó)際國(guó)內(nèi)新的核安全法規(guī)對(duì)于縱深防御層次的設(shè)置，以及獨(dú)立性、多樣性要求提出越來(lái)越全面的要求，這在一定程度上也導(dǎo)致系統(tǒng)的復(fù)雜化，提高了系統(tǒng)的投資成本和后續(xù)的運(yùn)維成本。

1.2 非安全級(jí)數(shù)字化儀控系統(tǒng)的可靠性和可用性關(guān)注度不足

非安全級(jí)儀控系統(tǒng)是儀控系統(tǒng)縱深防御的第一層，用以保證電廠正常運(yùn)行，防止運(yùn)行偏離。在提升電廠經(jīng)濟(jì)性的大趨勢(shì)下，非安全級(jí)數(shù)字化儀控系統(tǒng)的可靠性、可用性對(duì)機(jī)組安全經(jīng)濟(jì)運(yùn)行的影響逐漸被關(guān)注。

1.3 非安全級(jí)數(shù)字化儀控系統(tǒng)的可靠性分析難

非安全級(jí)數(shù)字化儀控系統(tǒng)的系統(tǒng)結(jié)構(gòu)復(fù)雜、規(guī)模龐大，很難用單一的可靠性分析方法全面分析，特別是不同運(yùn)行工況下運(yùn)行控制功能復(fù)雜多樣，更難以用某一定量指標(biāo)衡量控制系統(tǒng)整體的可靠性。在國(guó)內(nèi)外非安全級(jí)儀控系統(tǒng)的設(shè)計(jì)中，更傾向于在設(shè)計(jì)階段采用盡可能細(xì)致的可靠性設(shè)計(jì)和分析體系保障系統(tǒng)整體的設(shè)計(jì)可靠性。在實(shí)施和驗(yàn)證階段，通過(guò)可靠性分析評(píng)價(jià)和合理可行的可用性測(cè)試手動(dòng)輔以驗(yàn)證。

1.4 儀控系統(tǒng)可靠性設(shè)計(jì)體系不夠完善

在AP1000堆型項(xiàng)目中，有完善的可靠性保障體系。針對(duì)儀控系統(tǒng)，還有細(xì)化的設(shè)計(jì)程序用于指導(dǎo)系統(tǒng)設(shè)計(jì)、分析、驗(yàn)證和可靠性保障工作。VVER堆型項(xiàng)目，儀控系統(tǒng)的可靠性設(shè)計(jì)和分析體系也較為完善，重點(diǎn)在于對(duì)如何保證儀控系統(tǒng)功能的可靠性進(jìn)行了詳細(xì)的分析論證。相比之下，國(guó)內(nèi)儀控系統(tǒng)還沒有建立完善的全生命周期可靠性設(shè)計(jì)保障體系。在HAD102/10-2021《核動(dòng)力廠儀表和控制系統(tǒng)設(shè)計(jì)》中，對(duì)儀控系統(tǒng)的全生命周期的各項(xiàng)設(shè)計(jì)活動(dòng)，以及可靠性相關(guān)的設(shè)計(jì)要求進(jìn)行了指導(dǎo)說(shuō)明，對(duì)建立核電儀控系統(tǒng)的可靠性設(shè)計(jì)保障體系有頂層指導(dǎo)意義。

2 核電儀控系統(tǒng)可靠性設(shè)計(jì)的全生命周期

可靠性設(shè)計(jì)工作流程和范圍如圖1所示，各項(xiàng)工作貫穿儀控系統(tǒng)的全生命周期：

圖1 核電儀控系統(tǒng)可靠性設(shè)計(jì)工作流程和范圍的全生命周期Fig.1 The full life cycle of nuclear power I&C system reliability design workflow and scope

1）需求識(shí)別階段：應(yīng)確定總的可靠性目標(biāo)。

2）方案設(shè)計(jì)階段：應(yīng)完成儀控系統(tǒng)架構(gòu)設(shè)計(jì)，并進(jìn)行頂層設(shè)計(jì)方案的可靠性分析，為子系統(tǒng)設(shè)計(jì)提供頂層可靠性目標(biāo)和指標(biāo)并對(duì)其分解，分配給每個(gè)儀控子系統(tǒng)。應(yīng)完成子系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，并通過(guò)可靠性分析驗(yàn)證結(jié)構(gòu)設(shè)計(jì)是否滿足要求，識(shí)別需要進(jìn)行鑒定試驗(yàn)證明的項(xiàng)目。

3）設(shè)計(jì)驗(yàn)證階段：進(jìn)行必要的鑒定、試驗(yàn)和測(cè)試。

4）投運(yùn)階段：進(jìn)行系統(tǒng)維護(hù)、定期試驗(yàn)，追溯失效數(shù)據(jù)，對(duì)失效和故障進(jìn)行根因分析，將信息收集指導(dǎo)設(shè)計(jì)改造或新系統(tǒng)的設(shè)計(jì)[1]。

3 儀控系統(tǒng)可靠性分析的范圍和要求

以某壓水堆儀控系統(tǒng)為例，縱深防御層次和儀控系統(tǒng)的主要功能目標(biāo)的劃分見表1。對(duì)各儀控系統(tǒng)進(jìn)行可靠性分析時(shí)應(yīng)包括傳感器，但不包括執(zhí)行機(jī)構(gòu)，僅考慮儀控系統(tǒng)與執(zhí)行機(jī)構(gòu)的接口設(shè)備（如電機(jī)驅(qū)動(dòng)器、閥門電動(dòng)頭）的故障。各儀控系統(tǒng)采用的可靠性分析方法與其執(zhí)行的功能和可靠性目標(biāo)要求有關(guān)，與電廠運(yùn)行和保護(hù)不密切相關(guān)的系統(tǒng)要求可以降低，舉例見表2。

表1 縱深防御層次和儀控系統(tǒng)的主要功能目標(biāo)Table 1 Defense-in-depth layers and main functional objectives of the I&C system

表2 各儀控子系統(tǒng)采用的可靠性分析方法舉例Table 2 Examples of reliability analysis methods used by each instrumentation and control subsystem

表4 故障模式的發(fā)生度[2]Table 4 Occurrence of failure modes[2]

4 可靠性分析、驗(yàn)證及基本原則

4.1 故障模式、影響及危害性分析（FMECA）

針對(duì)儀控系統(tǒng)實(shí)現(xiàn)的每種功能的定性目標(biāo)，應(yīng)通過(guò)FMECA進(jìn)行識(shí)別。在不同設(shè)計(jì)階段進(jìn)行不同深度的FMECA，主要包括系統(tǒng)整體功能級(jí)別和部件級(jí)別。FMECA方法應(yīng)用的基本原則如下：

1）根據(jù)儀控系統(tǒng)功能需求分析，對(duì)儀控系統(tǒng)整體架構(gòu)進(jìn)行功能級(jí)別FMECA：

- 判別“安全”與“非安全”故障，用于與安全相關(guān)的可靠性的定量估計(jì)。

- 基于FMECA，來(lái)劃分系統(tǒng)所要求的安全完整性等級(jí)（SIL）。

- 判斷系統(tǒng)功能的故障模式、原因及補(bǔ)償措施。

- 數(shù)字化儀控系統(tǒng)應(yīng)考慮通信故障。

- FMECA中應(yīng)考慮電源喪失的影響[2]。

2）根據(jù)整體架構(gòu)設(shè)計(jì)階段識(shí)別的重要子系統(tǒng)（重要功能，如棒控）或設(shè)備（儀表、驅(qū)動(dòng)機(jī)構(gòu)），進(jìn)行部件級(jí)別的FMECA：

- 判別潛在的重大故障，用于制定定期試驗(yàn)周期或維修間隔。

- 判斷故障模式對(duì)保護(hù)系統(tǒng)的影響。

- 判斷系統(tǒng)部件的故障模式、原因及補(bǔ)償措施。

- 判斷故障探測(cè)的必要性。

- 若某部件的功能需要網(wǎng)絡(luò)實(shí)現(xiàn)，應(yīng)考慮網(wǎng)絡(luò)喪失的影響。

各階段的FMECA中都需要包括故障模式嚴(yán)重程度、故障模式發(fā)生度和故障模式的可探測(cè)度，相關(guān)說(shuō)明見表3～表5[2,3]。

表3 失效模式的嚴(yán)酷度[2]Table 3 Severity of failure modes[2]

表5 失效模式的可探測(cè)度[2]Table 5 Detectability of failure modes[2]

4.2 可靠性框圖（RBD）

對(duì)于非安全級(jí)運(yùn)行控制系統(tǒng)，通過(guò)分析儀控系統(tǒng)架構(gòu)模型中部件間的功能關(guān)系，采用RBD方法對(duì)儀控系統(tǒng)功能建模，分析系統(tǒng)是否能成功完成指定工作。

RBD模型應(yīng)包括控制系統(tǒng)的基本模塊（如處理器、I/O模塊、電源模塊、通信模塊等）、電廠計(jì)算機(jī)信息和控制系統(tǒng)的基本設(shè)備（工作站、服務(wù)器、網(wǎng)絡(luò)設(shè)備）的失效，F(xiàn)MECA中識(shí)別的能導(dǎo)致系統(tǒng)特定功能失效的所有模塊失效必須包含在RBD模型中。因?yàn)閮x控系統(tǒng)的I/O模塊功能分配、設(shè)備冗余、網(wǎng)絡(luò)架構(gòu)、維修策略對(duì)系統(tǒng)整體可用性的影響，所以在RBD模型中必須考慮這些因素[1,4]。

4.3 軟件可靠性驗(yàn)證

4.3.1 軟件驗(yàn)證和確認(rèn)

按照軟件的可靠性等級(jí)對(duì)軟件執(zhí)行驗(yàn)證和確認(rèn)工作。

4.3.2 危險(xiǎn)分析

在軟件開發(fā)生命周期的各個(gè)階段應(yīng)執(zhí)行危險(xiǎn)分析，識(shí)別所有可能的失效模式，并分析是否有合理的檢測(cè)措施、避錯(cuò)或容錯(cuò)措施，并就失效嚴(yán)重性及后果進(jìn)行評(píng)價(jià)，對(duì)于導(dǎo)致嚴(yán)重和致命后果的失效，應(yīng)重點(diǎn)分析。危險(xiǎn)分析的分析方法宜使用軟件FMEA分析方法[5,6]。

4.3.3 安全防范分析

分析軟件潛在的對(duì)安全的威脅及防范措施，以提供確保關(guān)鍵數(shù)據(jù)、關(guān)鍵程序不會(huì)被非法篡改，具有正確合理的訪問控制等證據(jù)。針對(duì)以上分析和驗(yàn)證過(guò)程形成文件，出具安全防范分析報(bào)告。

4.3.4 測(cè)試

對(duì)代碼執(zhí)行測(cè)試活動(dòng)，測(cè)試驗(yàn)證活動(dòng)應(yīng)覆蓋與可靠性相關(guān)的軟件功能、性能和接口等要求。

4.3.5 預(yù)開發(fā)軟件的可靠性分析

如果使用了預(yù)開發(fā)軟件，應(yīng)提供軟件可靠性分析報(bào)告，明確軟件存在的缺陷、缺陷的影響，以及對(duì)缺陷的屏蔽或應(yīng)對(duì)措施。

5 結(jié)束語(yǔ)

在核電領(lǐng)域，由于非安全級(jí)數(shù)字化儀控系統(tǒng)本身規(guī)模龐大且執(zhí)行的功能復(fù)雜，控制系統(tǒng)的執(zhí)行的各項(xiàng)功能隨著電廠的運(yùn)行不斷動(dòng)態(tài)變化，很難像對(duì)安全級(jí)儀控系統(tǒng)的緊急停堆和專設(shè)驅(qū)動(dòng)功能一樣用單一的分析方法進(jìn)行分析論證。經(jīng)過(guò)不斷地研究和實(shí)踐，可靠性設(shè)計(jì)應(yīng)貫穿儀控系統(tǒng)的全生命周期。在工程實(shí)踐中，應(yīng)建立可靠性設(shè)計(jì)體系，在設(shè)計(jì)早期就開展可靠性分析論證工作，及時(shí)發(fā)現(xiàn)問題，并反饋到設(shè)計(jì)中去指導(dǎo)設(shè)計(jì)決策，避免設(shè)計(jì)后期才發(fā)現(xiàn)顛覆性的設(shè)計(jì)問題。在設(shè)計(jì)實(shí)施完成后，再通過(guò)詳細(xì)的可靠性分析和測(cè)試補(bǔ)充驗(yàn)證?？梢葬槍?duì)核電站不同儀控子系統(tǒng)的功能要求和技術(shù)特點(diǎn)，采用不同形式的可靠性分析和驗(yàn)證方法，簡(jiǎn)化分析工作的同時(shí)，提升系統(tǒng)整體的設(shè)計(jì)可靠性。