杨婷
(北京经济管理职业学院 信息学院, 北京 100102)
核岛三废处理系统工艺复杂, 控制设备多,为了保证三废处理系统在核电站的整个生命周期内安全可靠、稳定运行,就需要对原有的继电器控制的三废处理系统进行改造。从岭澳二期开始,核岛三废处理系统的控制系统已经开始采用数字化控制系统(Digital Control System,DCS)的设计替代原有的继电器控制,采用数字化的设计方法,也由此会带来数字化系统的可靠性研究问题。
基于核岛三废处理(KSN)系统,本研究给出了KSN系统的总体架构,并分析了KSN系统的功能及信号流,在此基础上,针对KSN系统的可靠性需求,运用故障树(Fault Tree Analysis,FTA)建模方法分析其可靠性,最后,给出了一种建议改进方案供设计人员参考,从可靠性定量的角度分析并评估了系统设计。
定量可靠性评估技术需要明确两点:一是需要确定待评价的量化指标;二是需要确定评价所用的建模方法,如可靠性框图(Reliability Block Diagram,RBD)、故障树(Fault Tree,FT)等。根据标准GB/T4083-2005中的要求[1],研究了典型核电厂数字化停堆系统的可靠性指标评估方法,通过运用故障树(FTA)建模方法,对该系统建立故障树模型,并将该方法应用于KSN三废处理数字化控制系统的可靠性指标评价中,进而分析其是否满足相应的可靠性指标要求。
核岛三废处理系统可以有效防止放射性废物污染,是整个核电站系统非常重要的部分,它对于防止放射性废物外泄,保障核电站安全运行和人员辐射防护安全起着很重要的作用。因此,作为核岛三废处理控制系统的设计和设备应该符合安全可靠、长期稳定运行的要求[2]。
KSN控制的核岛三废处理工艺系统包括[3-4]:棚回收系统(TEP),废液处理系统(TEP),废气处理系统(TEG),固体废物处理系统(TES)(核辅助厂房的废物处理站部分)。KSN系统作为三废处理系统的专用控制系统,主要完成如下功能:数据采集和处理、过程控制、运行监控、协助运行和报警处理。KSN系统的总体架构如图1所示。
图1 KSN系统总体架构图
从该架构图可知:信号从现场输入,经过输入模块处理,通过控制网传输到现场控制层的2个冗余控制器A和B中,经处理后通过系统网传递到系统服务层的服务器A和服务器B,再经过管理网传输到监测控制层的操作员站,反向信号流与此类似。
本文以KSN系统的控制功能、监测功能为例,依据故障树建模过程,建立并分析系统故障树模型,并提出改进方案。
故障树分析法,简称FTA(Fault Tree Analysis),早在六十年代初就由美国贝尔研究所首先用在民兵导弹的控制系统设计上,为预测导弹发射的随机失效概率做出了贡献。到六十年代中期,FTA从宇航领域进入核工业和其它领域。目前,工程技术人员仍倾向于采用FTA作为评价系统可靠性和安全性的手段[7],用FTA来预测和诊断故障,并分析系统的薄弱环节,指导运行和维修,实现系统设计的最优化[8]。
完整的故障树建模过程包括如下5个步骤[5 ]。
(1) 明确系统定义:定义被分析系统功能、架构及其接口关系。
(2) 确定分析对象范围:确定系统的范围、组成及其他系统的分界线,确定系统分析的最基本的元部件。问题的边界条件应定义清楚,否则在一个大系统中,故障树不知应建到何处为止,为清楚限定故障树的范围,除对所讨论的系统和其它系统的界面做出明确划分外,还应给出必要假设,例如:假设导线不会故障,不考虑人为失误等都是建树时的一些边界条件。
(3) 确定故障判据:根据系统实现功能及任务,确定各层次产品的故障判据,来分析判断系统的运行状态。故障事件应精确定义,指明故障是什么,在何种条件下发生,即确定故障判据。应将故障事件区分为“部件性故障”和“系统性故障”。“部件性故障”是指该部件本身可能产生的故障,否则属于“系统性故障”。
(4) 可靠性模型建立:结合系统分析范围及故障判据,选用合适的可靠性建模方法来建立数学模型。建树应逐级进行,首先将逻辑门的全部输入事件都确定清楚后,方可去展开这些输入事件,绝不允许“跳跃”,因为“跳跃”会造成遗漏。
(5) 可靠性指标分析及计算:根据可靠性模型及可靠性指标计算原理,得出系统可靠性指标计算结果,同时验证系统是否满足可靠性定量指标要求,如果不满足,需要找出薄弱环节并提供改进建议[6],为设计人员后续设计改进提供参考。
本文以KSN系统的控制功能、监测功能为例,将FTA应用于KSN系统,针对KSN系统的功能及故障判据,建立FTA模型,以此来评价KSN系统的可靠性指标。
本文描述的KSN三废处理数字化控制系统采用分层分布式结构。在KSN的系统需求规格说明书中要求,系统整体的平均故障间隔时间(Mean Time Between Failure,MTBF)要满足10万小时。从KSN的系统整体架构图以及分层设计结构中可知,整个KSN系统划分为3个功能层次:现场控制层、系统服务层和监测控制层。按照FTA建模过程,根据KSN系统功能,通过梳理信号流来确定故障判据,根据故障判据,建立相应层级的故障树模型。KSN的故障判据分别从3个层次进行约束,以下给出建模过程。
(1)顶层故障判据:顶层故障判据也称系统层故障判据,KSN的系统层由现场控制层、系统服务层和监测控制层组成,系统服务层和监测控制层有冗余处理,3个功能层只要有一层功能丧失,则整个系统失效。系统层故障树模型如图2所示。
图2
(2) 第二层故障判据:KSN故障模型的第二层故障判据以现场控制层为例,现场控制层的故障判据确定如下:KSN每个控制站实现不同的功能,只要有一个控制站故障,则整个现场控制层就失效。现场控制层故障树模型如图3所示。
图3 现场控制层故障树
系统服务层和监测控制层的分析与此类似,依据逻辑关系进行故障判据的确定,故障树模型如图4、图5所示。
图4 系统服务层故障树
图5 监测控制层故障树
(3) 底层故障判据:底层故障判据是以板卡为最小基本单位,以现场控制层的控制站为例,经过功能分析,确定控制站的故障判据如下:单个控制站由冗余的MPU(Micro Processing Unit)板卡、冗余HNU(High Network Unit)板卡以及IO(Input/Output)板卡组成,其中,IO板卡没有冗余处理,因此,从实现单个功能的角度出发,只要一个IO板卡故障,则整个控制站就失效;对于冗余MPU来说,只有两个MPU同时故障,才会导致控制站失效;对于冗余HNU来说,只有两个HNU同时故障,才会导致控制站失效。控制站故障树模型如图6所示。
图6 控制站故障树
在进行可靠性分析时,需对上述模型进行如下假设。
(1) 假设板卡及系统的故障率分布满足标准指数分布
(2) 各板卡本身故障相互独立
(3) 假设板卡及系统只有正常和故障两种状态
(4) 单个板卡的MTTR(平均故障维修时间)为4小时
根据以上建立的故障树模型,计算系统的MTBF能否满足要求的10万小时。本文运用可靠性分析软件Isograph 13.0版本,输入底层事件树的失效率,以现场控制站为例,分析了单控制站到现场控制站以及整个系统的各层次的MTBF及失效率,结果如表1所示。
表1 25 ℃失效率及MTBF计算结果
由表1可知,计算的结果无法满足系统的10万小时的要求。根据单点故障分析,需要改进设计或是重新确定系统的架构及故障判据,因此,提出以下两种改进方案。
通过上述结果分析,控制站中存在单点故障以及薄弱环节,经分析其控制站的功能,得出8个控制站实现的功能均不相同,若考虑单个关键功能,现场控制站在上面的故障树模型中,过于严苛,没有考虑单个关键功能,因此,需要细化建模过程,从单个功能实现的角度分析,对现场控制层建模时,故障树模型中只体现一个控制站。同理,主控制站中的I/O板卡,也应根据每个功能进行细化建模,因控制站的某个关键功能由一个AI/DI采集,一个DO/AO输出,因此,控制站单个关键功能的可靠性框图如图7所示。
图7 控制站单功能可靠性框图
经分析计算,该方案已满足系统可靠性要求,但通过Isograph软件分析,在上述架构中,由于存在系统单点故障,从系统设计安全性可靠性角度,对上述影响系统可靠性的IO板卡还需做进一步优化设计,即考虑增加IO板卡冗余,以消除单点故障,经改进后,系统可靠性框图结构如图8所示。
图8 冗余IO控制站单功能可靠性框图
改进后,单控制站到现场控制站以及整个系统的各层次的MTBF及失效率的结果如表2所示。
表2 考虑IO冗余25 ℃失效率及MTBF计算结果
本研究以KSN系统的数字化控制系统为对象,研究了对数字化KSN系统应用故障树分析的可行性及应用情况,并根据故障树模型对KSN系统的可靠性进行定量分析,同时确定了系统的薄弱环节。根据可靠性分析结果及系统设计中的薄弱环节,给出了一种系统改进方案供设计人员参考,从可靠性定量角度分析并评估了系统设计。通过工程应用及实践表明,在数字化仪控系统中开展故障树分析,不仅可以评估系统的可靠性,同时,可以使设计人员加深对系统功能及运行机理的理解,以进一步分析系统设计中的薄弱环节。
本研究是基于系统级的可靠性而进行的定量分析及评估。为了更好地利用故障树进行系统设计的改进及指导,后续还需进一步深入到板卡内部,研究其故障机理及功能逻辑。板卡级的故障树分析过程还会涉及到软件故障及软件运行机理,需研究软件可靠性增长方法、贝叶斯网络决策模型等内容,以此来优化数字化系统的设计及分析。上述软件故障及软件可靠性建模方法的深化研究将是下一步工作的重点。