首页 > 论文范文 > 工程工业论文 > 电力工业论文 > 电力系统论文 > 核电厂仪控系统可靠性设计工程的应用

核电厂仪控系统可靠性设计工程的应用

2022-03-04 62 上传者：管理员

摘要：核电仪控系统已基本采用全数字化仪控系统，大幅提升了核电站运行的安全性、可靠性和经济性。但是，相比传统的模拟系统，数字化仪控系统也引入了新的可靠性问题。探讨目前核电数字化仪控系统由于功能的重要性和系统的复杂性带来的可靠性设计和分析的问题，以及工程实践中遇到的困难。探索了在工程上建立合理可行的可靠性设计体系，在设计早期就开展可靠性分析论证工作，及时发现问题，并反馈到设计中去指导设计决策，避免设计后期才发现颠覆性的设计问题。在设计实施完成后，再通过详细的可靠性分析和测试补充验证。可靠性设计贯穿仪控系统的全生命周期，可以针对核电站不同仪控子系统的功能要求和技术特点，采用不同形式的可靠性分析和验证方法，简化分析工作的同时，提升系统整体的设计可靠性。

关键词：
可靠性设计
数字化仪控系统
核电仪控系统
电厂运行
设备故障
加入收藏

核电仪控系统是核电站运行的“大脑和神经中枢”，三代技术的核电站已基本采用全数字化仪控系统，大幅提升了核电站运行的安全性、可靠性和经济性。但是，相比传统的模拟系统，数字化仪控系统采用大量的微处理器、配套的软件和I/O卡件等基于计算机技术的软硬件，增加了软件、功能复杂性、网络技术等引入的可靠性问题。本文探讨目前核电数字化仪控系统引起功能的重要性和系统的复杂性带来的可靠性设计和分析问题，探索在工程上建立合理可行的可靠性设计体系，通过设计手段，在简化系统设计的同时，保障系统整体可靠性满足要求。

1、核电数字化仪控系统的可靠性设计现状

1.1 存在可靠性过度设计的可能

为保障核电仪控系统具有足够高的可靠性，安全级仪控系统内采用了独立多通道冗余、功能多样性等设计以抵御软件共因失效的风险。国际国内新的核安全法规对于纵深防御层次的设置，以及独立性、多样性要求提出越来越全面的要求，这在一定程度上也导致系统的复杂化，提高了系统的投资成本和后续的运维成本。

1.2 非安全级数字化仪控系统的可靠性和可用性关注度不足

非安全级仪控系统是仪控系统纵深防御的第一层，用以保证电厂正常运行，防止运行偏离。在提升电厂经济性的大趋势下，非安全级数字化仪控系统的可靠性、可用性对机组安全经济运行的影响逐渐被关注。

1.3 非安全级数字化仪控系统的可靠性分析难

非安全级数字化仪控系统的系统结构复杂、规模庞大，很难用单一的可靠性分析方法全面分析，特别是不同运行工况下运行控制功能复杂多样，更难以用某一定量指标衡量控制系统整体的可靠性。在国内外非安全级仪控系统的设计中，更倾向于在设计阶段采用尽可能细致的可靠性设计和分析体系保障系统整体的设计可靠性。在实施和验证阶段，通过可靠性分析评价和合理可行的可用性测试手动辅以验证。

1.4 仪控系统可靠性设计体系不够完善

在AP1000堆型项目中，有完善的可靠性保障体系。针对仪控系统，还有细化的设计程序用于指导系统设计、分析、验证和可靠性保障工作。VVER堆型项目，仪控系统的可靠性设计和分析体系也较为完善，重点在于对如何保证仪控系统功能的可靠性进行了详细的分析论证。相比之下，国内仪控系统还没有建立完善的全生命周期可靠性设计保障体系。在HAD102/10-2021《核动力厂仪表和控制系统设计》中，对仪控系统的全生命周期的各项设计活动，以及可靠性相关的设计要求进行了指导说明，对建立核电仪控系统的可靠性设计保障体系有顶层指导意义。

2、核电仪控系统可靠性设计的全生命周期

可靠性设计工作流程和范围如图1所示，各项工作贯穿仪控系统的全生命周期：

1）需求识别阶段：应确定总的可靠性目标。

2）方案设计阶段：应完成仪控系统架构设计，并进行顶层设计方案的可靠性分析，为子系统设计提供顶层可靠性目标和指标并对其分解，分配给每个仪控子系统。应完成子系统结构设计，并通过可靠性分析验证结构设计是否满足要求，识别需要进行鉴定试验证明的项目。

3）设计验证阶段：进行必要的鉴定、试验和测试。

4）投运阶段：进行系统维护、定期试验，追溯失效数据，对失效和故障进行根因分析，将信息收集指导设计改造或新系统的设计[1]。

3、仪控系统可靠性分析的范围和要求

以某压水堆仪控系统为例，纵深防御层次和仪控系统的主要功能目标的划分见表1。对各仪控系统进行可靠性分析时应包括传感器，但不包括执行机构，仅考虑仪控系统与执行机构的接口设备（如电机驱动器、阀门电动头）的故障。各仪控系统采用的可靠性分析方法与其执行的功能和可靠性目标要求有关，与电厂运行和保护不密切相关的系统要求可以降低，举例见表2。

4、可靠性分析、验证及基本原则

4.1 故障模式、影响及危害性分析（FMECA)

针对仪控系统实现的每种功能的定性目标，应通过FMECA进行识别。在不同设计阶段进行不同深度的FMECA，主要包括系统整体功能级别和部件级别。FMECA方法应用的基本原则如下：

1）根据仪控系统功能需求分析，对仪控系统整体架构进行功能级别FMECA:

-判别“安全”与“非安全”故障，用于与安全相关的可靠性的定量估计。

-基于FMECA，来划分系统所要求的安全完整性等级（SIL）。

-判断系统功能的故障模式、原因及补偿措施。

-数字化仪控系统应考虑通信故障。

-FMECA中应考虑电源丧失的影响[2]。

2）根据整体架构设计阶段识别的重要子系统（重要功能，如棒控）或设备（仪表、驱动机构），进行部件级别的FMECA:

-判别潜在的重大故障，用于制定定期试验周期或维修间隔。

-判断故障模式对保护系统的影响。

-判断系统部件的故障模式、原因及补偿措施。

-判断故障探测的必要性。

-若某部件的功能需要网络实现，应考虑网络丧失的影响。

各阶段的FMECA中都需要包括故障模式严重程度、故障模式发生度和故障模式的可探测度，相关说明见表3～表5[2,3]。

4.2 可靠性框图（RBD)

对于非安全级运行控制系统，通过分析仪控系统架构模型中部件间的功能关系，采用RBD方法对仪控系统功能建模，分析系统是否能成功完成指定工作。

RBD模型应包括控制系统的基本模块（如处理器、I/O模块、电源模块、通信模块等）、电厂计算机信息和控制系统的基本设备（工作站、服务器、网络设备）的失效，FMECA中识别的能导致系统特定功能失效的所有模块失效必须包含在RBD模型中。因为仪控系统的I/O模块功能分配、设备冗余、网络架构、维修策略对系统整体可用性的影响，所以在RBD模型中必须考虑这些因素[1,4]。

4.3 软件可靠性验证

4.3.1 软件验证和确认

按照软件的可靠性等级对软件执行验证和确认工作。

4.3.2 危险分析

在软件开发生命周期的各个阶段应执行危险分析，识别所有可能的失效模式，并分析是否有合理的检测措施、避错或容错措施，并就失效严重性及后果进行评价，对于导致严重和致命后果的失效，应重点分析。危险分析的分析方法宜使用软件FMEA分析方法[5,6]。

4.3.3 安全防范分析

分析软件潜在的对安全的威胁及防范措施，以提供确保关键数据、关键程序不会被非法篡改，具有正确合理的访问控制等证据。针对以上分析和验证过程形成文件，出具安全防范分析报告。

4.3.4 测试

对代码执行测试活动，测试验证活动应覆盖与可靠性相关的软件功能、性能和接口等要求。

4.3.5 预开发软件的可靠性分析

如果使用了预开发软件，应提供软件可靠性分析报告，明确软件存在的缺陷、缺陷的影响，以及对缺陷的屏蔽或应对措施。

5、结束语

在核电领域，由于非安全级数字化仪控系统本身规模庞大且执行的功能复杂，控制系统的执行的各项功能随着电厂的运行不断动态变化，很难像对安全级仪控系统的紧急停堆和专设驱动功能一样用单一的分析方法进行分析论证。经过不断地研究和实践，可靠性设计应贯穿仪控系统的全生命周期。在工程实践中，应建立可靠性设计体系，在设计早期就开展可靠性分析论证工作，及时发现问题，并反馈到设计中去指导设计决策，避免设计后期才发现颠覆性的设计问题。在设计实施完成后，再通过详细的可靠性分析和测试补充验证。可以针对核电站不同仪控子系统的功能要求和技术特点，采用不同形式的可靠性分析和验证方法，简化分析工作的同时，提升系统整体的设计可靠性。

参考文献:

[1]谢少锋,张增照,聂国.可靠性设计[M].北京:电子工业出版社,2015.

[2]陈颖,康锐.FMECA技术及其应用:第2版[M].北京:国防工业出版社,2014.

[3]李艳霞,赵长见,管飞.系统级FMEA工作方法探讨[J].质量与可靠性,2007(03):39-40.

[4][美]ElsayedA.Elsayed著.杨舟译.可靠性工程:第2版[M].北京:电子工业出版社,2013.

[5][英]帕特里克,D.T.奥康纳(Patrick,D.T.O'Connor),[美]安德烈著.蓝晓理译.实用可靠性工程[M].北京:机械工业出版社,2020.

[6]孙有朝,张永进,李龙彪.可靠性原理与方法(上册)[M].北京:科学出版社,2016.

文章来源：徐思敏,陈浠毓,黄素文,周彧.核电厂仪控系统可靠性设计工程应用研究[J].仪器仪表用户,2022,29(03):88-92.