核電廠儀控系統可靠性設計工程應用研究

徐思敏，陳浠毓，黃素文，周 彧

（中國核電工程有限公司，北京 100840）

核電儀控系統是核電站運行的“大腦和神經中樞”，三代技術的核電站已基本采用全數字化儀控系統，大幅提升了核電站運行的安全性、可靠性和經濟性。但是，相比傳統的模擬系統，數字化儀控系統采用大量的微處理器、配套的軟件和I/O卡件等基于計算機技術的軟硬件，增加了軟件、功能復雜性、網絡技術等引入的可靠性問題。本文探討目前核電數字化儀控系統引起功能的重要性和系統的復雜性帶來的可靠性設計和分析問題，探索在工程上建立合理可行的可靠性設計體系，通過設計手段，在簡化系統設計的同時，保障系統整體可靠性滿足要求。

1 核電數字化儀控系統的可靠性設計現狀

1.1 存在可靠性過度設計的可能

為保障核電儀控系統具有足夠高的可靠性，安全級儀控系統內采用了獨立多通道冗余、功能多樣性等設計以抵御軟件共因失效的風險。國際國內新的核安全法規對于縱深防御層次的設置，以及獨立性、多樣性要求提出越來越全面的要求，這在一定程度上也導致系統的復雜化，提高了系統的投資成本和后續的運維成本。

1.2 非安全級數字化儀控系統的可靠性和可用性關注度不足

非安全級儀控系統是儀控系統縱深防御的第一層，用以保證電廠正常運行，防止運行偏離。在提升電廠經濟性的大趨勢下，非安全級數字化儀控系統的可靠性、可用性對機組安全經濟運行的影響逐漸被關注。

1.3 非安全級數字化儀控系統的可靠性分析難

非安全級數字化儀控系統的系統結構復雜、規模龐大，很難用單一的可靠性分析方法全面分析，特別是不同運行工況下運行控制功能復雜多樣，更難以用某一定量指標衡量控制系統整體的可靠性。在國內外非安全級儀控系統的設計中，更傾向于在設計階段采用盡可能細致的可靠性設計和分析體系保障系統整體的設計可靠性。在實施和驗證階段，通過可靠性分析評價和合理可行的可用性測試手動輔以驗證。

1.4 儀控系統可靠性設計體系不夠完善

在AP1000堆型項目中，有完善的可靠性保障體系。針對儀控系統，還有細化的設計程序用于指導系統設計、分析、驗證和可靠性保障工作。VVER堆型項目，儀控系統的可靠性設計和分析體系也較為完善，重點在于對如何保證儀控系統功能的可靠性進行了詳細的分析論證。相比之下，國內儀控系統還沒有建立完善的全生命周期可靠性設計保障體系。在HAD102/10-2021《核動力廠儀表和控制系統設計》中，對儀控系統的全生命周期的各項設計活動，以及可靠性相關的設計要求進行了指導說明，對建立核電儀控系統的可靠性設計保障體系有頂層指導意義。

2 核電儀控系統可靠性設計的全生命周期

可靠性設計工作流程和范圍如圖1所示，各項工作貫穿儀控系統的全生命周期：

圖1 核電儀控系統可靠性設計工作流程和范圍的全生命周期Fig.1 The full life cycle of nuclear power I&C system reliability design workflow and scope

1）需求識別階段：應確定總的可靠性目標。

2）方案設計階段：應完成儀控系統架構設計，并進行頂層設計方案的可靠性分析，為子系統設計提供頂層可靠性目標和指標并對其分解，分配給每個儀控子系統。應完成子系統結構設計，并通過可靠性分析驗證結構設計是否滿足要求，識別需要進行鑒定試驗證明的項目。

3）設計驗證階段：進行必要的鑒定、試驗和測試。

4）投運階段：進行系統維護、定期試驗，追溯失效數據，對失效和故障進行根因分析，將信息收集指導設計改造或新系統的設計[1]。

3 儀控系統可靠性分析的范圍和要求

以某壓水堆儀控系統為例，縱深防御層次和儀控系統的主要功能目標的劃分見表1。對各儀控系統進行可靠性分析時應包括傳感器，但不包括執行機構，僅考慮儀控系統與執行機構的接口設備（如電機驅動器、閥門電動頭）的故障。各儀控系統采用的可靠性分析方法與其執行的功能和可靠性目標要求有關，與電廠運行和保護不密切相關的系統要求可以降低，舉例見表2。

表1 縱深防御層次和儀控系統的主要功能目標Table 1 Defense-in-depth layers and main functional objectives of the I&C system

表2 各儀控子系統采用的可靠性分析方法舉例Table 2 Examples of reliability analysis methods used by each instrumentation and control subsystem

表4 故障模式的發生度[2]Table 4 Occurrence of failure modes[2]

4 可靠性分析、驗證及基本原則

4.1 故障模式、影響及危害性分析（FMECA）

針對儀控系統實現的每種功能的定性目標，應通過FMECA進行識別。在不同設計階段進行不同深度的FMECA，主要包括系統整體功能級別和部件級別。FMECA方法應用的基本原則如下：

1）根據儀控系統功能需求分析，對儀控系統整體架構進行功能級別FMECA：

- 判別“安全”與“非安全”故障，用于與安全相關的可靠性的定量估計。

- 基于FMECA，來劃分系統所要求的安全完整性等級（SIL）。

- 判斷系統功能的故障模式、原因及補償措施。

- 數字化儀控系統應考慮通信故障。

- FMECA中應考慮電源喪失的影響[2]。

2）根據整體架構設計階段識別的重要子系統（重要功能，如棒控）或設備（儀表、驅動機構），進行部件級別的FMECA：

- 判別潛在的重大故障，用于制定定期試驗周期或維修間隔。

- 判斷故障模式對保護系統的影響。

- 判斷系統部件的故障模式、原因及補償措施。

- 判斷故障探測的必要性。

- 若某部件的功能需要網絡實現，應考慮網絡喪失的影響。

各階段的FMECA中都需要包括故障模式嚴重程度、故障模式發生度和故障模式的可探測度，相關說明見表3～表5[2,3]。

表3 失效模式的嚴酷度[2]Table 3 Severity of failure modes[2]

表5 失效模式的可探測度[2]Table 5 Detectability of failure modes[2]

4.2 可靠性框圖（RBD）

對于非安全級運行控制系統，通過分析儀控系統架構模型中部件間的功能關系，采用RBD方法對儀控系統功能建模，分析系統是否能成功完成指定工作。

RBD模型應包括控制系統的基本模塊（如處理器、I/O模塊、電源模塊、通信模塊等）、電廠計算機信息和控制系統的基本設備（工作站、服務器、網絡設備）的失效，FMECA中識別的能導致系統特定功能失效的所有模塊失效必須包含在RBD模型中。因為儀控系統的I/O模塊功能分配、設備冗余、網絡架構、維修策略對系統整體可用性的影響，所以在RBD模型中必須考慮這些因素[1,4]。

4.3 軟件可靠性驗證

4.3.1 軟件驗證和確認

按照軟件的可靠性等級對軟件執行驗證和確認工作。

4.3.2 危險分析

在軟件開發生命周期的各個階段應執行危險分析，識別所有可能的失效模式，并分析是否有合理的檢測措施、避錯或容錯措施，并就失效嚴重性及后果進行評價，對于導致嚴重和致命后果的失效，應重點分析。危險分析的分析方法宜使用軟件FMEA分析方法[5,6]。

4.3.3 安全防范分析

分析軟件潛在的對安全的威脅及防范措施，以提供確保關鍵數據、關鍵程序不會被非法篡改，具有正確合理的訪問控制等證據。針對以上分析和驗證過程形成文件，出具安全防范分析報告。

4.3.4 測試

對代碼執行測試活動，測試驗證活動應覆蓋與可靠性相關的軟件功能、性能和接口等要求。

4.3.5 預開發軟件的可靠性分析

如果使用了預開發軟件，應提供軟件可靠性分析報告，明確軟件存在的缺陷、缺陷的影響，以及對缺陷的屏蔽或應對措施。

5 結束語

在核電領域，由于非安全級數字化儀控系統本身規模龐大且執行的功能復雜，控制系統的執行的各項功能隨著電廠的運行不斷動態變化，很難像對安全級儀控系統的緊急停堆和專設驅動功能一樣用單一的分析方法進行分析論證。經過不斷地研究和實踐，可靠性設計應貫穿儀控系統的全生命周期。在工程實踐中，應建立可靠性設計體系，在設計早期就開展可靠性分析論證工作，及時發現問題，并反饋到設計中去指導設計決策，避免設計后期才發現顛覆性的設計問題。在設計實施完成后，再通過詳細的可靠性分析和測試補充驗證。可以針對核電站不同儀控子系統的功能要求和技術特點，采用不同形式的可靠性分析和驗證方法，簡化分析工作的同時，提升系統整體的設計可靠性。