楊婷

(北京經(jīng)濟(jì)管理職業(yè)學(xué)院 信息學(xué)院， 北京 100102)

0 引言

核島三廢處理系統(tǒng)工藝復(fù)雜, 控制設(shè)備多，為了保證三廢處理系統(tǒng)在核電站的整個(gè)生命周期內(nèi)安全可靠、穩(wěn)定運(yùn)行，就需要對(duì)原有的繼電器控制的三廢處理系統(tǒng)進(jìn)行改造。從嶺澳二期開(kāi)始，核島三廢處理系統(tǒng)的控制系統(tǒng)已經(jīng)開(kāi)始采用數(shù)字化控制系統(tǒng)(Digital Control System，DCS)的設(shè)計(jì)替代原有的繼電器控制，采用數(shù)字化的設(shè)計(jì)方法，也由此會(huì)帶來(lái)數(shù)字化系統(tǒng)的可靠性研究問(wèn)題。

基于核島三廢處理(KSN)系統(tǒng)，本研究給出了KSN系統(tǒng)的總體架構(gòu)，并分析了KSN系統(tǒng)的功能及信號(hào)流，在此基礎(chǔ)上，針對(duì)KSN系統(tǒng)的可靠性需求，運(yùn)用故障樹(shù)(Fault Tree Analysis，F(xiàn)TA)建模方法分析其可靠性，最后，給出了一種建議改進(jìn)方案供設(shè)計(jì)人員參考，從可靠性定量的角度分析并評(píng)估了系統(tǒng)設(shè)計(jì)。

定量可靠性評(píng)估技術(shù)需要明確兩點(diǎn)：一是需要確定待評(píng)價(jià)的量化指標(biāo)；二是需要確定評(píng)價(jià)所用的建模方法，如可靠性框圖(Reliability Block Diagram，RBD)、故障樹(shù)(Fault Tree,FT)等。根據(jù)標(biāo)準(zhǔn)GB/T4083-2005中的要求[1]，研究了典型核電廠數(shù)字化停堆系統(tǒng)的可靠性指標(biāo)評(píng)估方法，通過(guò)運(yùn)用故障樹(shù)(FTA)建模方法，對(duì)該系統(tǒng)建立故障樹(shù)模型，并將該方法應(yīng)用于KSN三廢處理數(shù)字化控制系統(tǒng)的可靠性指標(biāo)評(píng)價(jià)中，進(jìn)而分析其是否滿足相應(yīng)的可靠性指標(biāo)要求。

1 KSN系統(tǒng)總體結(jié)構(gòu)

核島三廢處理系統(tǒng)可以有效防止放射性廢物污染，是整個(gè)核電站系統(tǒng)非常重要的部分，它對(duì)于防止放射性廢物外泄，保障核電站安全運(yùn)行和人員輻射防護(hù)安全起著很重要的作用。因此，作為核島三廢處理控制系統(tǒng)的設(shè)計(jì)和設(shè)備應(yīng)該符合安全可靠、長(zhǎng)期穩(wěn)定運(yùn)行的要求[2]。

KSN控制的核島三廢處理工藝系統(tǒng)包括[3-4]：棚回收系統(tǒng)(TEP)，廢液處理系統(tǒng)(TEP)，廢氣處理系統(tǒng)(TEG)，固體廢物處理系統(tǒng)(TES)(核輔助廠房的廢物處理站部分)。KSN系統(tǒng)作為三廢處理系統(tǒng)的專用控制系統(tǒng)，主要完成如下功能：數(shù)據(jù)采集和處理、過(guò)程控制、運(yùn)行監(jiān)控、協(xié)助運(yùn)行和報(bào)警處理。KSN系統(tǒng)的總體架構(gòu)如圖1所示。

圖1 KSN系統(tǒng)總體架構(gòu)圖

從該架構(gòu)圖可知：信號(hào)從現(xiàn)場(chǎng)輸入，經(jīng)過(guò)輸入模塊處理，通過(guò)控制網(wǎng)傳輸?shù)浆F(xiàn)場(chǎng)控制層的2個(gè)冗余控制器A和B中，經(jīng)處理后通過(guò)系統(tǒng)網(wǎng)傳遞到系統(tǒng)服務(wù)層的服務(wù)器A和服務(wù)器B，再經(jīng)過(guò)管理網(wǎng)傳輸?shù)奖O(jiān)測(cè)控制層的操作員站，反向信號(hào)流與此類似。

2 基于KSN系統(tǒng)的FTA可靠性建模

本文以KSN系統(tǒng)的控制功能、監(jiān)測(cè)功能為例，依據(jù)故障樹(shù)建模過(guò)程，建立并分析系統(tǒng)故障樹(shù)模型，并提出改進(jìn)方案。

2.1 FTA建模過(guò)程

故障樹(shù)分析法，簡(jiǎn)稱FTA(Fault Tree Analysis)，早在六十年代初就由美國(guó)貝爾研究所首先用在民兵導(dǎo)彈的控制系統(tǒng)設(shè)計(jì)上，為預(yù)測(cè)導(dǎo)彈發(fā)射的隨機(jī)失效概率做出了貢獻(xiàn)。到六十年代中期，F(xiàn)TA從宇航領(lǐng)域進(jìn)入核工業(yè)和其它領(lǐng)域。目前，工程技術(shù)人員仍傾向于采用FTA作為評(píng)價(jià)系統(tǒng)可靠性和安全性的手段[7]，用FTA來(lái)預(yù)測(cè)和診斷故障，并分析系統(tǒng)的薄弱環(huán)節(jié)，指導(dǎo)運(yùn)行和維修，實(shí)現(xiàn)系統(tǒng)設(shè)計(jì)的最優(yōu)化[8]。

完整的故障樹(shù)建模過(guò)程包括如下5個(gè)步驟[5 ]。

(1) 明確系統(tǒng)定義：定義被分析系統(tǒng)功能、架構(gòu)及其接口關(guān)系。

(2) 確定分析對(duì)象范圍：確定系統(tǒng)的范圍、組成及其他系統(tǒng)的分界線，確定系統(tǒng)分析的最基本的元部件。問(wèn)題的邊界條件應(yīng)定義清楚，否則在一個(gè)大系統(tǒng)中，故障樹(shù)不知應(yīng)建到何處為止，為清楚限定故障樹(shù)的范圍，除對(duì)所討論的系統(tǒng)和其它系統(tǒng)的界面做出明確劃分外，還應(yīng)給出必要假設(shè)，例如：假設(shè)導(dǎo)線不會(huì)故障，不考慮人為失誤等都是建樹(shù)時(shí)的一些邊界條件。

(3) 確定故障判據(jù)：根據(jù)系統(tǒng)實(shí)現(xiàn)功能及任務(wù)，確定各層次產(chǎn)品的故障判據(jù)，來(lái)分析判斷系統(tǒng)的運(yùn)行狀態(tài)。故障事件應(yīng)精確定義，指明故障是什么，在何種條件下發(fā)生，即確定故障判據(jù)。應(yīng)將故障事件區(qū)分為“部件性故障”和“系統(tǒng)性故障”。“部件性故障”是指該部件本身可能產(chǎn)生的故障，否則屬于“系統(tǒng)性故障”。

(4) 可靠性模型建立：結(jié)合系統(tǒng)分析范圍及故障判據(jù)，選用合適的可靠性建模方法來(lái)建立數(shù)學(xué)模型。建樹(shù)應(yīng)逐級(jí)進(jìn)行，首先將邏輯門的全部輸入事件都確定清楚后，方可去展開(kāi)這些輸入事件，絕不允許“跳躍”，因?yàn)椤疤S”會(huì)造成遺漏。

(5) 可靠性指標(biāo)分析及計(jì)算：根據(jù)可靠性模型及可靠性指標(biāo)計(jì)算原理，得出系統(tǒng)可靠性指標(biāo)計(jì)算結(jié)果，同時(shí)驗(yàn)證系統(tǒng)是否滿足可靠性定量指標(biāo)要求，如果不滿足，需要找出薄弱環(huán)節(jié)并提供改進(jìn)建議[6]，為設(shè)計(jì)人員后續(xù)設(shè)計(jì)改進(jìn)提供參考。

2.2 基于KSN系統(tǒng)的FTA建模

本文以KSN系統(tǒng)的控制功能、監(jiān)測(cè)功能為例，將FTA應(yīng)用于KSN系統(tǒng)，針對(duì)KSN系統(tǒng)的功能及故障判據(jù)，建立FTA模型，以此來(lái)評(píng)價(jià)KSN系統(tǒng)的可靠性指標(biāo)。

本文描述的KSN三廢處理數(shù)字化控制系統(tǒng)采用分層分布式結(jié)構(gòu)。在KSN的系統(tǒng)需求規(guī)格說(shuō)明書(shū)中要求，系統(tǒng)整體的平均故障間隔時(shí)間(Mean Time Between Failure，MTBF)要滿足10萬(wàn)小時(shí)。從KSN的系統(tǒng)整體架構(gòu)圖以及分層設(shè)計(jì)結(jié)構(gòu)中可知，整個(gè)KSN系統(tǒng)劃分為3個(gè)功能層次：現(xiàn)場(chǎng)控制層、系統(tǒng)服務(wù)層和監(jiān)測(cè)控制層。按照FTA建模過(guò)程，根據(jù)KSN系統(tǒng)功能，通過(guò)梳理信號(hào)流來(lái)確定故障判據(jù)，根據(jù)故障判據(jù)，建立相應(yīng)層級(jí)的故障樹(shù)模型。KSN的故障判據(jù)分別從3個(gè)層次進(jìn)行約束，以下給出建模過(guò)程。

(1)頂層故障判據(jù)：頂層故障判據(jù)也稱系統(tǒng)層故障判據(jù)，KSN的系統(tǒng)層由現(xiàn)場(chǎng)控制層、系統(tǒng)服務(wù)層和監(jiān)測(cè)控制層組成，系統(tǒng)服務(wù)層和監(jiān)測(cè)控制層有冗余處理，3個(gè)功能層只要有一層功能喪失，則整個(gè)系統(tǒng)失效。系統(tǒng)層故障樹(shù)模型如圖2所示。

圖2

(2) 第二層故障判據(jù)：KSN故障模型的第二層故障判據(jù)以現(xiàn)場(chǎng)控制層為例，現(xiàn)場(chǎng)控制層的故障判據(jù)確定如下：KSN每個(gè)控制站實(shí)現(xiàn)不同的功能，只要有一個(gè)控制站故障，則整個(gè)現(xiàn)場(chǎng)控制層就失效?，F(xiàn)場(chǎng)控制層故障樹(shù)模型如圖3所示。

圖3 現(xiàn)場(chǎng)控制層故障樹(shù)

系統(tǒng)服務(wù)層和監(jiān)測(cè)控制層的分析與此類似，依據(jù)邏輯關(guān)系進(jìn)行故障判據(jù)的確定，故障樹(shù)模型如圖4、圖5所示。

圖4 系統(tǒng)服務(wù)層故障樹(shù)

圖5 監(jiān)測(cè)控制層故障樹(shù)

(3) 底層故障判據(jù)：底層故障判據(jù)是以板卡為最小基本單位，以現(xiàn)場(chǎng)控制層的控制站為例，經(jīng)過(guò)功能分析，確定控制站的故障判據(jù)如下：?jiǎn)蝹€(gè)控制站由冗余的MPU(Micro Processing Unit)板卡、冗余HNU(High Network Unit)板卡以及IO(Input/Output)板卡組成，其中，IO板卡沒(méi)有冗余處理，因此，從實(shí)現(xiàn)單個(gè)功能的角度出發(fā)，只要一個(gè)IO板卡故障，則整個(gè)控制站就失效；對(duì)于冗余MPU來(lái)說(shuō)，只有兩個(gè)MPU同時(shí)故障，才會(huì)導(dǎo)致控制站失效；對(duì)于冗余HNU來(lái)說(shuō)，只有兩個(gè)HNU同時(shí)故障，才會(huì)導(dǎo)致控制站失效。控制站故障樹(shù)模型如圖6所示。

圖6 控制站故障樹(shù)

3 基于KSN系統(tǒng)的可靠性分析

3.1 FTA分析及計(jì)算

在進(jìn)行可靠性分析時(shí)，需對(duì)上述模型進(jìn)行如下假設(shè)。

(1) 假設(shè)板卡及系統(tǒng)的故障率分布滿足標(biāo)準(zhǔn)指數(shù)分布

(2) 各板卡本身故障相互獨(dú)立

(3) 假設(shè)板卡及系統(tǒng)只有正常和故障兩種狀態(tài)

(4) 單個(gè)板卡的MTTR(平均故障維修時(shí)間)為4小時(shí)

根據(jù)以上建立的故障樹(shù)模型，計(jì)算系統(tǒng)的MTBF能否滿足要求的10萬(wàn)小時(shí)。本文運(yùn)用可靠性分析軟件Isograph 13.0版本，輸入底層事件樹(shù)的失效率，以現(xiàn)場(chǎng)控制站為例，分析了單控制站到現(xiàn)場(chǎng)控制站以及整個(gè)系統(tǒng)的各層次的MTBF及失效率，結(jié)果如表1所示。

表1 25 ℃失效率及MTBF計(jì)算結(jié)果

由表1可知，計(jì)算的結(jié)果無(wú)法滿足系統(tǒng)的10萬(wàn)小時(shí)的要求。根據(jù)單點(diǎn)故障分析，需要改進(jìn)設(shè)計(jì)或是重新確定系統(tǒng)的架構(gòu)及故障判據(jù)，因此，提出以下兩種改進(jìn)方案。

3.2 改進(jìn)方案

通過(guò)上述結(jié)果分析，控制站中存在單點(diǎn)故障以及薄弱環(huán)節(jié)，經(jīng)分析其控制站的功能，得出8個(gè)控制站實(shí)現(xiàn)的功能均不相同，若考慮單個(gè)關(guān)鍵功能，現(xiàn)場(chǎng)控制站在上面的故障樹(shù)模型中，過(guò)于嚴(yán)苛，沒(méi)有考慮單個(gè)關(guān)鍵功能，因此，需要細(xì)化建模過(guò)程，從單個(gè)功能實(shí)現(xiàn)的角度分析，對(duì)現(xiàn)場(chǎng)控制層建模時(shí)，故障樹(shù)模型中只體現(xiàn)一個(gè)控制站。同理，主控制站中的I/O板卡，也應(yīng)根據(jù)每個(gè)功能進(jìn)行細(xì)化建模，因控制站的某個(gè)關(guān)鍵功能由一個(gè)AI/DI采集，一個(gè)DO/AO輸出，因此，控制站單個(gè)關(guān)鍵功能的可靠性框圖如圖7所示。

圖7 控制站單功能可靠性框圖

經(jīng)分析計(jì)算，該方案已滿足系統(tǒng)可靠性要求，但通過(guò)Isograph軟件分析，在上述架構(gòu)中，由于存在系統(tǒng)單點(diǎn)故障，從系統(tǒng)設(shè)計(jì)安全性可靠性角度，對(duì)上述影響系統(tǒng)可靠性的IO板卡還需做進(jìn)一步優(yōu)化設(shè)計(jì)，即考慮增加IO板卡冗余，以消除單點(diǎn)故障，經(jīng)改進(jìn)后，系統(tǒng)可靠性框圖結(jié)構(gòu)如圖8所示。

圖8 冗余IO控制站單功能可靠性框圖

改進(jìn)后，單控制站到現(xiàn)場(chǎng)控制站以及整個(gè)系統(tǒng)的各層次的MTBF及失效率的結(jié)果如表2所示。

表2 考慮IO冗余25 ℃失效率及MTBF計(jì)算結(jié)果

5 總結(jié)

本研究以KSN系統(tǒng)的數(shù)字化控制系統(tǒng)為對(duì)象，研究了對(duì)數(shù)字化KSN系統(tǒng)應(yīng)用故障樹(shù)分析的可行性及應(yīng)用情況，并根據(jù)故障樹(shù)模型對(duì)KSN系統(tǒng)的可靠性進(jìn)行定量分析，同時(shí)確定了系統(tǒng)的薄弱環(huán)節(jié)。根據(jù)可靠性分析結(jié)果及系統(tǒng)設(shè)計(jì)中的薄弱環(huán)節(jié)，給出了一種系統(tǒng)改進(jìn)方案供設(shè)計(jì)人員參考，從可靠性定量角度分析并評(píng)估了系統(tǒng)設(shè)計(jì)。通過(guò)工程應(yīng)用及實(shí)踐表明，在數(shù)字化儀控系統(tǒng)中開(kāi)展故障樹(shù)分析，不僅可以評(píng)估系統(tǒng)的可靠性，同時(shí)，可以使設(shè)計(jì)人員加深對(duì)系統(tǒng)功能及運(yùn)行機(jī)理的理解，以進(jìn)一步分析系統(tǒng)設(shè)計(jì)中的薄弱環(huán)節(jié)。

本研究是基于系統(tǒng)級(jí)的可靠性而進(jìn)行的定量分析及評(píng)估。為了更好地利用故障樹(shù)進(jìn)行系統(tǒng)設(shè)計(jì)的改進(jìn)及指導(dǎo)，后續(xù)還需進(jìn)一步深入到板卡內(nèi)部，研究其故障機(jī)理及功能邏輯。板卡級(jí)的故障樹(shù)分析過(guò)程還會(huì)涉及到軟件故障及軟件運(yùn)行機(jī)理，需研究軟件可靠性增長(zhǎng)方法、貝葉斯網(wǎng)絡(luò)決策模型等內(nèi)容，以此來(lái)優(yōu)化數(shù)字化系統(tǒng)的設(shè)計(jì)及分析。上述軟件故障及軟件可靠性建模方法的深化研究將是下一步工作的重點(diǎn)。