核電廠安全級DCS在研制過程中的質量管理

龔衛芳　閆昊　楊睿　黃奇

摘 要

基于功能安全對智能控制的重要性，針對波音737MAX墜機事件原因，核電廠安全級DCS就如何將故障控制在研制階段進行反饋，闡述了安全級DCS在研制過程中的質量管理控制方法，力求為國內核電站以及其他智能控制技術的功能安全質量管理控制工作提供思路，實現國內核電站以及其他智能控制行業的穩定運行及健康發展。

關鍵詞

核電廠;安全級DCS;波音737MAX;功能安全;質量管理;智能控制

中圖分類號： ?TM623 ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.05.035

0 引言

2018年10月29日至2019年3月10日，半年內連續墜毀兩架機齡不超過1年的波音737MAX-8客機，致使數百人罹難，且墜機時間均發生在飛機起飛幾分鐘后[1]。波音737MAX墜機所引發的嚴重后果在全球引起的劇烈的震動，對波音MCAS功能安全故障的關注也達到了一個新的高度。

安全級DCS與波音737MAX同屬智能控制技術，而安全級DCS系統是核反應堆保護系統的控制系統，是DCS的關鍵組成部分，它對核電站反應堆的安全狀況進行監控，用來完成事故工況下反應堆安全停堆、專設安全設施驅動等功能，限制或減輕事故后果，保障反應堆及人員安全，對維持核電站安全狀態極為重要，是核電站安全運維的關鍵。安全級DCS若發生功能安全問題將有可能造成機組設備的嚴重損壞[2]，其缺陷引發的失效甚至還可能導致核泄漏等危害公眾生命安全的嚴重事故。

目前，安全級DCS在核電站的應用發展良好[3]，那么安全級DCS在研制過程中的功能安全質量管理控制方法對國內核電站和其他智能控制行業的功能安全質量控制工作具有一定的參考意義。

1 波音737 MAX-8墜機原因

從中國航空報和鳳凰網科技等官方渠道初步調查和分析的報告得出，失事飛機可能存在以下問題[1]：

1.1 設計選型變更[4]

衍生機型波音737MAX采用了CFMLEAP發動機替換了波音737的老一代動力模塊，更加靜音省油。但是，CFMLEAP系列發動機直徑更大，發動機頂端幾乎和機翼前緣齊平，在飛機原有氣動布局不變的情況下，發動機位置的改變可能在某些情況下導致機頭上仰，面臨失速風險。

1.2 設計缺陷

解決新型動力模塊引起的機頭上仰問題有兩種方案，一是改造飛機的整體氣動布局，從根本上消除飛機上仰隱患;另一種是應用控制系統調整機頭仰角。相較于重新設計氣動布局的工作量和成本，波音選擇采用自動防失速系統，即“機動特性增強系統（MCAS）”解決設計變更引入的新問題。

然而，波音設計的MCAS并沒有解決737MAX-8飛機的安全隱患，MCAS系統依靠機頭兩側的兩個迎角傳感器檢測飛機迎角，只要一個傳感器檢測到飛機迎角超過安全界限，就激活MCAS系統自動壓低機頭。而空客飛機在類似系統設計中規定，若多個迎角傳感器的檢測結果不同則報錯給飛行員，不觸發防失速系統，避免迎角傳感器故障觸發錯誤動作。MCAS缺少冗余設計使得一個傳感器故障就可能引發災難性后果。

MCAS的優先級設計同樣可能存在缺陷，當MCAS被錯誤的迎角數據啟動后，系統自動壓低機頭。若迎角傳感器持續上報錯誤數據，即使飛行員關閉自動飛機模式改為手動模式，操作駕駛桿調整機頭迎角控制飛機高度，該系統仍然保持運行持續壓低機頭，只有飛行員手動操作符合系統設置條件時MCAS才會關閉。

1.3 質量管理及維護

由于飛行員事先未被告知MCAS的存在及使用方法，飛行員無法及時關閉系統，因此在起飛過程中飛機高度還不夠高時接連發生兩起飛機下降墜毀事故。

飛機維護人員也未被告知MCAS的存在，事先未檢測出傳感器故障等多重原因導致了悲劇的發生。

1.4 監管不力

美國聯邦航空管理局FAA未有效發揮監管職責，MCAS的安全性在未得到充分試飛驗證的情況下通過了FAA的適航認證。

2 安全級DCS在研制過程中的質量管理

針對以上波音墜機事件原因，核電廠安全級DCS就如何將故障控制在研制階段進行反饋，闡述安全級DCS在研制過程中的質量管理措施，為國內核電站以及其他智能控制行業的功能安全質量管理控制工作提供思路。

2.1 制定元器件選型流程

元器件是安全級DCS平臺產品的基礎，對整個產品的功能性能、穩定性和可靠性有重要的影響。

安全級DCS制定了一系列嚴謹和完整的工作流程和階段來執行元器件的選型設計過程。主要階段為：調研和分析階段，原理驗證階段，試驗驗證階段，試生產階段，認證階段。

調研和分析階段：通過把已經經過多個成熟項目驗證的元器件建立成元器件優選庫，所有項目元器件選型皆從優選庫中選擇，以保證功能性能和可靠性能得到充分的保證，同時也能充分復用以前項目中的硬件設計和軟件設計，以加快研發進度并降低技術風險。針對優先庫中沒有的元器件，通常是先采購樣品進行測試和驗證，在確認功能性能和各項指標滿足要求后確定元器件的規格型號和品牌。除了技術指標，選型還需要重點關注的方面包括：價格，供貨渠道，供貨周期，供貨的穩定性，與生產制造能力的匹配等。

原理驗證階段：在確定元器件的基礎上，設計人員可以開展原理驗證，制作各項功能模塊樣件，主要工作包括：原理圖設計、PCB設計、軟件設計和樣件的制造。在樣機制造出來后進行充分的調試和測試工作，以驗證樣機上的元器件是否滿足設計要求。如果滿足設計要求，則元器件可初步固化，如果不滿足要求，則重新選型。安全級DCS平臺用了一年多的時間來完成原理驗證，經過3個軟硬件版本的迭代才完成元器件的固化和產品定型。

試驗驗證階段：在原理驗證的基礎上，將各樣機集成為功能樣機，開展進一步的試驗驗證工作。安全級DCS平臺產品元器件主要經歷的驗證實驗包括：環境實驗，EMC實驗，振動實驗，地震實驗，長期穩定性實驗。只有完全通過各項實驗的元器件才能應用到最終的產品上。

試生產階段：前述幾個階段主要是驗證元器件的功能性能和各項技術指標。除了這些之外，還需要經過小批量試生產階段以驗證元器件與生產線的匹配情況，固化工藝過程，以消除產品大批量生產過程中可能暴露的問題。在該階段暴露問題的元器件仍需進行調整，但通常影響的是器件的封裝形式，包裝形式等。安全級DCS平臺產品已經完成多批次的試生產，生產工藝已經固化。元器件的選型基本要求，參數要求和已固化元器件清單都編制成了受控文件《元器件選型報告》，供項目采購原材料時審查，避免了后續取證時元器件型號不符等問題。

認證階段：針對核安全級產品，在取證過程中，需要提供產品的整套技術文檔，在文檔中包括元器件的各種技術狀態，包括規格型號，廠家品牌等。監管或認證機構將基于已確定的元器件開展審查評估和認證工作。安全級DCS平臺產品在多個項目的取證材料中均包括了元器件的詳細信息。

2.2 開展設計驗證

安全級DCS只有通過了設計驗證，才能在生產中安全穩定的運行。

安全級DCS測試驗證通過對設備進行二次開發，設計自動化測試工裝，開發記錄軟件、數據分析軟件和測試自動控制軟件，來提高了測試效率，實現了數據的自動化分析和記錄。

安全級DCS設計驗證除了上述的測試驗證外，還通過硬件原理驗證和試驗驗證，軟件IV&V，基于馬爾可夫法的可靠性功能安全分析等一系列措施將設計問題事前控制在研發階段，避免安全級DCS在生產過程中出現故障。

2.3 建立研發設計管理規范

（1）建立硬件設計規范，軟件設計規范，研發項目管理制度，研發管理流程，配置管理規程，變更控制規程等64份規范性文件對研發設計工作進行質量管理;

（2）建立研發實驗室安全管理制度，保證實驗安全順利地進行，營造安全舒適的實驗環境;

（3）定期開展核安全文化培訓，新員工安全培訓和操作規范培訓，提高員工質量安全意識。

2.4 建立設計缺陷管理方案

（1）應用JIRA項目與事務跟蹤工具，對缺陷進行跟蹤、需求收集、流程審批、任務跟蹤、項目跟蹤和敏捷管理，使需求問題得到閉環;

（2）把測試過程和結果形成測試報告，對發現的問題和缺陷進行分析，為質量控制提供依據;

（3）利用FRACAS故障報告、分析和糾正措施系統使研發過程中存在的問題得到有效的確認和分析，并采取糾正措施，消除了產品故障的根本原因，預防了故障的發生;

（4）對設計試驗驗證出現的問題進行經驗總結并反饋，防止類似問題重復發生;

（5）對外經驗交流，汲取精華，將事故事前控制在研發階段。

2.5 核安全監管[5]

安全級DCS設備的質量和可靠性直接關系到核設施的安全穩定運行，我國國家核安全局（NNSA）照《民用核安全設備監督管理條例》和《民用核安全設備設計、制造、安裝和無損檢驗監督管理規定（HAF601）》的要求，負責對核安全設備的許可、設計、制造、安裝和無損檢驗活動的監督管理，安全級DCS只有取得相應許可證，并遵守許可證規定的活動范圍和條件才可執行。

3 安全級DCS在研制過程中的質量管理效果

在當前安全級DCS的研制過程中，通過上述設計管理及流程的制定，以及核安全監管的綜合處理，促進了“龍鱗”系統的發布，具體實施效果如上表1所示。

4 結束語

波音智能控制技術的失敗是人為的災難，我們只有持續不斷的發現問題，將事故透明化，并有針對性的采取措施，才能保證我國智能控制技術的穩定運行及健康發展。安全級DCS就通過制定了元器件選型流程，建立設計管理規范，建立設計缺陷管理方案，開展設計驗證，以及核安全監管部門對安全級DCS的監管、取證過程控制，將設計過程中出現的各種“不確定性”事前控制在了研制階段，強化了設計質量，把人因失效消滅在了萌芽狀態，降低了因變更和改造所帶來的成本，促進了核電廠安全級DCS長期安全、穩定和高效的運行，對于智能控制技術的質量管理控制工作具有一定的參考意義。

參考文獻

[1]陸峰，楊敏，王元元.波音737MAX-8客機空難事故初步分析[EB/OL].中國航空報.（2019-03-19）http：//www.cannews.com.cn/2019/0319/192195.shtml.

[2]孫谷豐.提高大型機組分散控制系統（DCS）的安裝調試質量[J].河南科技.2014（11）.

[3]胡天南.DCS在核電站的應用[J].科技視界.2014（11）.

[4]大水來.波音737MAX墜機分析：先進救命系統為何變要命系統[EB/OL].鳳凰網科技.（2019-03-11）http：//news.mydrivers.com/1/618/ 618625.html.

[5]申萬萬，胡義武，田苗，藺淑倩，盧沖.基于FPGA的核電廠安全級儀控系統平臺HAF601取證研究[J].電腦知識與技術.2017（06）.