核電廠DCS控制系統(tǒng)的可靠性與可用性分析

1、核電廠DCS控制系統(tǒng)的可靠性與可用性分析摘要：現(xiàn)代技術(shù)發(fā)展迅速，產(chǎn)品競(jìng)爭(zhēng)激烈，人們對(duì)產(chǎn)品的需求不再僅僅滿(mǎn)足于 價(jià)格便宜、功能好用，還需要可靠耐用。因此，高可靠性的產(chǎn)品就意味著更強(qiáng)的 核心競(jìng)爭(zhēng)力。產(chǎn)品可靠性首先是設(shè)計(jì)出來(lái)的，而核電廠安全級(jí)DCS（分布式控制 系統(tǒng)）作為核反應(yīng)堆安全運(yùn)行的重要保障設(shè)備，本身就有嚴(yán)格的可靠性要求，開(kāi) 展可靠性設(shè)計(jì)活動(dòng)有十分重要的意義。關(guān)鍵詞：核電廠；DCS；可靠性；核電廠數(shù)字化儀控系統(tǒng)（簡(jiǎn)稱(chēng)DCS）的可靠性是系統(tǒng)設(shè)計(jì)、研發(fā)、操作、維 護(hù)人員共同關(guān)心的問(wèn)題。對(duì)于核電廠DCS，特別強(qiáng)調(diào)其可靠性、可用性、易測(cè)性、 可維護(hù)性等要求，要求其能在惡劣環(huán)境下完成數(shù)據(jù)采集和處理、控制

2、和調(diào)節(jié)、診 斷、通訊及信息管理等。一、影響DCS可靠性的因素電源系統(tǒng)。電源是DCS的關(guān)鍵部分，通常包括主機(jī)及網(wǎng)絡(luò)電源、控制器電 源和I/ O工作電源。這些電源主要對(duì)控制系統(tǒng)設(shè)備、各控制模塊、I/O模塊和現(xiàn) 場(chǎng)設(shè)備（如變送器、信號(hào)反饋、控制操作等）供電。一旦電源發(fā)生故障，會(huì)使整 個(gè)控制系統(tǒng)癱瘓，造成重大后果。網(wǎng)絡(luò)系統(tǒng)。影響DCS網(wǎng)絡(luò)正常通訊的主要因素如下：（1）系統(tǒng)運(yùn)行時(shí)在線 調(diào)試實(shí)時(shí)通訊，因配置沖突導(dǎo)致網(wǎng)絡(luò)故障。（2）為同其他上位系統(tǒng)通訊，在實(shí) 時(shí)數(shù)據(jù)網(wǎng)絡(luò)增加接口或更改網(wǎng)絡(luò)結(jié)構(gòu)，導(dǎo)致網(wǎng)絡(luò)異常。（3）日常使用過(guò)程中由 于控制器負(fù)荷率過(guò)高，影響網(wǎng)絡(luò)正常工作。（4）通訊設(shè)備質(zhì)量問(wèn)題導(dǎo)致網(wǎng)絡(luò)異 常或網(wǎng)

3、絡(luò)中斷，如交換機(jī)故障，光纖發(fā)生斷線等質(zhì)量問(wèn)題嚴(yán)重影響通訊網(wǎng)絡(luò)的正 常使用。軟硬件。根據(jù)近年來(lái)對(duì)DCS使用情況的統(tǒng)計(jì)和分析，DCS的軟硬件應(yīng)用中 出現(xiàn)的問(wèn)題主要表現(xiàn)在如下幾個(gè)方面：（1）由于DCS及其外部電路都是由半導(dǎo) 體集成電路（IC）、晶體管和電阻電容等器件構(gòu)成，這些電子器件不可避免的存 在失效率的問(wèn)題。所以這些器件的可靠性將直接影響DCS系統(tǒng)的可靠性。（2） 軟件系統(tǒng)的不成熟，經(jīng)常出現(xiàn)死機(jī)、脫網(wǎng)以及控制模塊輸出異常等現(xiàn)象。（3） 軟件系統(tǒng)的安全性不完善。如操作員在在線系統(tǒng)上，可以通過(guò)打開(kāi)等方式瀏覽并 刪除W i n d o w s系統(tǒng)上的文件等。運(yùn)行環(huán)境。DCS實(shí)際運(yùn)行的環(huán)境條件會(huì)影響其可

4、靠性。（1）溫度條件。DCS及其外部電路都是由半導(dǎo)體集成電路（IC）、晶體管和電阻電容等器件構(gòu)成， 溫度的變化將直接影響這些元器件的可靠性和壽命。溫度過(guò)高將使元器件性能惡 化，故障率增加，壽命降低，模擬回路精度降低；溫度過(guò)低則會(huì)引起模擬回路安 全系數(shù)變小，控制系統(tǒng)動(dòng)作不正常。（2）濕度條件。在濕度大的環(huán)境中，水分 容易通過(guò)模塊上I C的金屬表面的缺陷浸入內(nèi)部，引起內(nèi)部元件性能惡化，并可 能引起短路。在極干燥的環(huán)境下，絕緣物體上可能帶靜電，從而產(chǎn)生靜電感應(yīng)而 損壞器件。（3）震動(dòng)和沖擊環(huán)境。強(qiáng)震動(dòng)和沖擊可能引起機(jī)械以及電氣連接結(jié) 構(gòu)松動(dòng)，造成接觸不良，甚至引起斷路器或繼電器誤動(dòng)作等后果。（4）周

5、圍空 氣環(huán)境。周?chē)諝庵谢煊械膲m埃、導(dǎo)電性磁粉、腐蝕性氣體、水分、油分和有機(jī) 溶劑等會(huì)引起接觸不良、絕緣性能變差和短路、電路板腐蝕造成繼電器類(lèi)的可動(dòng) 部件接觸不良等問(wèn)題。對(duì)于核電廠用的DCS，其中的某些設(shè)備可能會(huì)受到輻射的 影響而大大降低可靠性。人員誤操作?，F(xiàn)場(chǎng)操作人員的工作失誤也是威脅D C S可靠性的一大隱患。失誤的原因多種多樣，如操作人員沒(méi)有按照規(guī)程操作、操作失誤、沒(méi)有進(jìn)行事故 預(yù)想、值班長(zhǎng)監(jiān)視不到位、管理有漏洞等原因。二、可靠性分析設(shè)備級(jí)可靠性分析常使用FMEA （失效模式和影響分析）和FMEDA （失效模 式、影響及診斷分析）技術(shù)。前者主要用于設(shè)備的定性分析，后者用于設(shè)備的定 性分析

6、和定量分析。其中FMEDA技術(shù)要求最低約定層級(jí)為元器件，引入了對(duì)診 斷技術(shù)的分析和診斷能力的計(jì)算，可以得到更詳細(xì)的設(shè)備可靠性參數(shù)，并為系統(tǒng) 可靠性分析提供基礎(chǔ)數(shù)據(jù)。系統(tǒng)級(jí)可靠性分析常用FMEA、RBD （可靠性框圖法）、 FTA （故障樹(shù)分析）、Markov （馬爾可夫模型）等方法對(duì)系統(tǒng)進(jìn)行建模，其中系 統(tǒng)FMEA作為其他幾種分析技術(shù)的基礎(chǔ)。Markov只用于定量分析，可以得到幾乎 所有參數(shù)；RBD和FTA既能用于定性分析，也用于定量分析，只能獲得部分參數(shù)。 系統(tǒng)可靠性分析的目的是為了評(píng)估系統(tǒng)的安全性、可靠性、可用性是否滿(mǎn)足要求， 并通過(guò)發(fā)現(xiàn)潛在故障和風(fēng)險(xiǎn)問(wèn)題指導(dǎo)設(shè)計(jì)決策?？煽啃苑治黾夹g(shù)在核電

7、廠安全級(jí) DCS領(lǐng)域已經(jīng)有豐富的應(yīng)用經(jīng)驗(yàn)，但仍面臨很多難題，如：元器件或者功能模塊缺少準(zhǔn)確完善的失效模式庫(kù)。雖然很多標(biāo)準(zhǔn)提及元器 件失效模式（如：GJB / Z 299、IEC 61709等），然而各標(biāo)準(zhǔn)中相同元器件失效模 式差異不小。功能模塊的失效模式尚沒(méi)有相關(guān)標(biāo)準(zhǔn)或被認(rèn)可的數(shù)據(jù)庫(kù)。所以迫切 需要一個(gè)適用于核電儀表與控制領(lǐng)域的元器件和功能模塊的失效模式庫(kù)，以使核 電廠安全級(jí)DCS可靠性分析形成統(tǒng)一的標(biāo)準(zhǔn)?？煽啃苑治鼋Y(jié)果正確性缺少有效的驗(yàn)證方法，權(quán)威性不足。由于人為計(jì)算 錯(cuò)誤、相關(guān)分析方法局限性，以及核電廠安全級(jí)DCS在系統(tǒng)設(shè)計(jì)上一貫的延續(xù)性， 使得可靠性分析技術(shù)的優(yōu)勢(shì)沒(méi)有得到很好得發(fā)揮。三、

8、可靠性設(shè)計(jì)冗余設(shè)計(jì)。電力系統(tǒng)中的一條重要的準(zhǔn)則是單一故障準(zhǔn)則，其定義是，系 統(tǒng)中任何一個(gè)子系統(tǒng)的故障或失效均不會(huì)導(dǎo)致整個(gè)系統(tǒng)的故障或失效。本著事實(shí) 求是出發(fā)，我們應(yīng)該承認(rèn)有發(fā)生故障的可能。要滿(mǎn)足單一故障準(zhǔn)則的要求，采用 冗余技術(shù)是最有效的手段之一。I E E E核電站安全系統(tǒng)標(biāo)準(zhǔn)委員會(huì)對(duì)冗余系統(tǒng)定 義為：一設(shè)備或系統(tǒng)與另一設(shè)備或系統(tǒng)的基本功能完全相同，它們不管其中一個(gè) 運(yùn)行還是故障，另一個(gè)都可以執(zhí)行要求的功能。由于核電廠的特殊性，為了保證 D C S的高可靠性要求，具體到現(xiàn)場(chǎng)控制站的I/O模塊，控制器，電源，網(wǎng)絡(luò)以及 服務(wù)器，都要進(jìn)行冗余配置。另外，為了發(fā)揮冗余配置的效果，D C S還必須具備

9、 完善的故障診斷和切換功能。當(dāng)故障發(fā)生時(shí)，系統(tǒng)必須第一時(shí)間發(fā)現(xiàn)并告知操作 員和相關(guān)維護(hù)工程師，同事系統(tǒng)自動(dòng)做出判斷，進(jìn)行冗余系統(tǒng)切換。當(dāng)冗余配置 系統(tǒng)切換成功后，還可對(duì)故障的系統(tǒng)進(jìn)行維修或更換，那么只要在維修期間，主 運(yùn)行系統(tǒng)（就是原備用系統(tǒng)）沒(méi)有發(fā)生故障，則可保證系統(tǒng)穩(wěn)定運(yùn)行。隔離設(shè)計(jì)。對(duì)于有特殊要求的設(shè)備或信號(hào)，如信號(hào)是安全級(jí)DC S和非安全 級(jí)D C S公用的，那么安全級(jí)D C S就要從非安全級(jí)D C S隔離開(kāi)來(lái)，避免非安全 級(jí)系統(tǒng)導(dǎo)致安全功能的喪失。（1）來(lái)自現(xiàn)場(chǎng)傳感器的信號(hào)公用于安全系統(tǒng)和非 安全系統(tǒng)的情況下，要使用電氣隔離。（2）機(jī)柜中的電纜要實(shí)現(xiàn)實(shí)體隔離。安 全級(jí)和非安全級(jí)的面板

10、和機(jī)柜之間的硬接線纜要實(shí)現(xiàn)實(shí)體隔離和電氣隔離。容錯(cuò)設(shè)計(jì)。在系統(tǒng)設(shè)計(jì)中的容錯(cuò)技術(shù)是指對(duì)誤操作不予響應(yīng)的技術(shù)。如對(duì) 鍵盤(pán)上的不允許按鍵進(jìn)行屏蔽，如操作人員在操作員站上不按照規(guī)程操作則系統(tǒng) 不予響應(yīng)且不輸出操作指令，或者提示有關(guān)操作出錯(cuò)的信息。環(huán)境適應(yīng)性設(shè)計(jì)。D C S在實(shí)際應(yīng)用中面臨著核電廠環(huán)境的嚴(yán)峻挑戰(zhàn)。面對(duì) 惡劣的運(yùn)行條件，必須采取如下有效措施，使其滿(mǎn)足DCS的環(huán)境技術(shù)要求。（1） 模塊的安裝要考慮通風(fēng)，每個(gè)機(jī)柜應(yīng)該有各自的散熱系統(tǒng)，如風(fēng)扇等。（2）機(jī) 柜應(yīng)設(shè)置在遠(yuǎn)離震源的地方，同時(shí)可對(duì)相應(yīng)機(jī)柜采用抗震橡皮，以達(dá)到減震目的。（3）進(jìn)行接地設(shè)計(jì)時(shí)，注意系統(tǒng)地、保護(hù)地、屏蔽地分開(kāi)。（4）為了達(dá)到較高 的環(huán)境適應(yīng)性要求，在器件選型時(shí)，要選擇滿(mǎn)足核級(jí)要求的具有較高環(huán)境適應(yīng)性 的器件。（5）實(shí)際安裝時(shí)，計(jì)算機(jī)室應(yīng)隔熱、防塵還需要避開(kāi)強(qiáng)電磁場(chǎng)的干擾 及遠(yuǎn)離強(qiáng)振動(dòng)、強(qiáng)噪音場(chǎng)所。應(yīng)保證計(jì)算機(jī)室室內(nèi)溫度和濕度維持在設(shè)備最佳運(yùn) 行范圍內(nèi)，任何情況下不許結(jié)露。當(dāng)空調(diào)設(shè)備發(fā)生故障時(shí)，應(yīng)維持室溫在24小 時(shí)內(nèi)不超過(guò)制造廠允許值。D