黄素文,徐思敏,陈浠毓
(中国核电工程有限公司,北京 100840)
分散控制系统(DCS)是核电站关键的综合系统之一,作为核电站的“神经中枢”,对核电站安全、经济的运行起着至关重要的作用[1,2]。而可用性是指在获得所需的外部资源的前提下,某物项或系统在规定条件下给定时刻或给定时段内执行其规定功能的能力[3]。它是DCS 的重要指标,是可靠性和维修性两者的综合指标,是一种广义可靠性[4]。当完成核电厂主仪控系统现场安装后会进行DCS 的可用性测试,作为现场验收测试的一部分。但在核电DCS可用性测试应用过程中,存在因子设置不够严谨、故障判别缺乏导则等问题。本文通过研究核电站DCS 可用性测试的现状,深入剖析可用性测试过程中存在的问题,探究解决思路,以提升核电站DCS 可靠性估计水平。
目前,在核电工程项目中,DCS 的可用性指标及验收方法没有相关的核电体系标准。
1)可用性测试指标
核电DCS 可用率指标一般设置为99.99%。
2)可用性测试过程
测试方法一般采用:DCS 系统连续运行60 天,其间累计故障停用时间小于0.14h,则可认为完成可用性测试。若累计故障停用时间超过0.14h,可用性的统计应延长到120 天。在此期间,累计故障时间不得超过0.29h。完成系统可用性考核的最高时限为120 天连续日,若超过这一时限,系统的可用性仍不合格,则认为系统的可用性测试未通过。也有部分核电项目的可用性测试时间为90 天,延长时间至180 天且最长为270 天。在测试过程中如出现严重故障,如主控室所有操纵员站丧失,也会认为可用性不可接受。
3)可用性计算公式
系统可用性由下列公式计算,即
式中:tt为实际试验时间,是指整个连续考核统计时间扣除由于非本系统因素造成的空等时间;tf为故障时间,是指被考核系统中任一装置或子系统在实际测试时间内因故障而停用的时间经加权后的总和;tfi为第i 个装置或子系统故障停用时间;kfi为第i 个装置或子系统的故障加权系数。加权系数示例见表1。
表1 DCS加权系数示例Table 1 Example of DCS weighting coefficient
4)可靠性评估
虽然标准DL/T 659 提到DCS 的综合验收根据具体工程情况,可采用可用率考核方法,也可采用标准中的可靠性评估方法。但在核电项目DCS 可用性测试的同时,还会进行可靠性评估方法。当发生下列任一事件时,则系统可靠性评估不合格。
①DCS 系统发生下列任一重大故障:
◇一对冗余通信总线均故障,通信功能丧失。
◇全部操纵员站的主要功能丧失(黑屏,全部数据不更新、不响应或响应时间大于1min)。
◇一对冗余的服务器故障。
◇一对冗余的控制器故障。
②由于DCS 的任何原因导致下列任一事件:
◇紧急停堆,专设误动或拒动。
◇重要辅机跳闸。
◇重要模拟量控制系统产生较大扰动,使参数触发事故报警。
③发生下列任一事件,虽没有引起①②条所列事件,但累计次数超过两次:
◇任何一个控制器故障,但成功切换至冗余控制器。
◇任何一个服务器故障,但成功切换至冗余服务器。
◇任何一个IO 卡件故障,进行更换后恢复正常。
◇任何一个历史站、计算站故障,重启后恢复正常。
◇任何控制站一块电源故障,进行更换后恢复正常。
④发生历史站、计算机、工程师站、操作员站等重要设备硬件损坏或故障后,无法恢复的事件,累计次数超过一次。
当系统在可靠性评估期间,如出现上述事件而未通过评估时,应再一次进行可靠性评估,评估期延长一倍,并应从出现事件时刻开始,延长评估期。在延长期内,若仍达不到要求,则认为可靠性评估未通过。
在缺乏核电DCS 可用性测试标准体系的背景下,以及工程应用经验不足的情况下,核电DCS 可用性测试还存在诸多问题,如图1。本文对每一个问题进行逐一分析。
图1 核电DCS可用性测试问题Fig.1 Nuclear power station DCS availability test problems
1)缺乏整体指标的验证
核电DCS 包括安全级平台和非安全级平台,而可用率指标99.99%是对整个DCS 系统的要求,部分核电项目在DCS 可用性测试时仅分别测试和计算了两个平台的指标,缺乏整个DCS 系统的指标验证。因为在可用性上,两个平台是串联关系,单个平台的可用性满足99.99%,不能保证整个DCS 满足99.99%。
2)可用性计算公式使用不规范
在可用性测试过程中,可用性计算公式使用不规范,对于公式中参数的定义混乱。
比如对于公式中的总数N,有的项目安全级平台的可用性计算中的“N”使用大类的总数(如网络通信类中所有模块类型的总数),而有的项目使用的是具体模块类型的总数,对总数N 的定义不统一。另外,存在较小N 的部件的权重因子设置问题,某项目的非安全级平台可用性测试中,对实际设备数量不足20 个的非关键设备,总数N 至少按20 个进行可用性计算。这种假设没有理由可循,对于N 较小的非关键设备可考虑设置合理的权重因子。
又比如故障停用时间tfi,标准DL/T659 中tfi的定义是故障实际停用时间,但部分项目DCS 可用性测试中tfi代入部件的平均修复时间(MTTR),给各部件设置不同MTTR;也有部分项目DCS 可用性测试中tfi代入故障实际停用时间,但将MTTR 作为限值。
还有试验时间tt,在统一要求中,一般为连续运行60天,延长时间是至120 天且最长120 天,而部分项目的试验时间是连续运行90 天,延长时间是至180 天且最长270 天。相同的故障率下,试验天数不同,可用率将不同。
3)权重因子的确定缺乏依据
不同核电项目针对不同的DCS 平台给出不同的可用性测试权重因子,但因子的确定缺乏依据。权重因子对于可用性测试的计算结果至关重要,如没有依据,或是随意确定,测试本身就失去了意义。
4)故障统计范围不明确
故障统计范围缺乏准则,不同项目的故障统计范围不同,甚至同一项目内DCS 的不同平台的故障统计范围也不同。比如,某项目DCS 可用性测试的非安全级平台和安全级平台故障统计范围不一致,非安全级平台的故障统计范围包括硬件故障和软件故障,而安全级平台的故障统计范围包括硬件故障、软件故障和人机交互功能故障;另一些项目DCS 可用性测试故障统计范围包括所有模块和计算机的硬件和软件故障、人机交互功能故障、通信网关的硬件和软件故障。
5)缺少可用性测试边界
可用性测试边界是指其故障会计入可用性测试的部件范围。比如,某项目的可用性测试边界为1 层、2 层DCS(NC、NC+、1E)的电子部件,不包括BUP 或ECP 上的盘式仪表、KIC/BUP 切换和MCR/RSS 切换的联锁机构以及服务于3 层的设备,而绝大部分项目的可用性测试没有明确可用性测试边界。
6)可用性测试终止条件不明确
可用性测试终止条件是指发生某事件或者某关键设备失效,可用性测试即判定为不合格。部分项目的可用性测试仅明确了关键设备清单,缺少其他详细的可用性测试停止条件。还有些项目提出由非安全级DCS 直接引起的事件影响电厂正常运行时,应停止可用性测试,但没有明确具体停止事件清单,不便于实际测试时执行。
7)测试的前提条件简单且各项目不一致
核电部分项目可用性测试的前提条件简单且各项目不一致。比如某项目的安全级平台可用性测试前提条件仅是电站进入商运后便可以开展,非安全级平台可用性测试前提条件仅是电源供电稳定,DCS 系统正常运行。还有些项目DCS 可用性测试前提条件是电站进入运行状态且生产电力用于满足负荷要求。
8)对于验证故障所需日志记录的要求不明确
不同项目对于验证故障所需日志记录的要求不一致,没有统一的要求。比如某项目DCS 可用性测试中,如果为了验证故障所需要的过程数据和错误日志的记录不能获取,则在可用性计算时不考虑此故障;而另一项目为故障佐证,比如系统日志记录或者屏幕截图,有好处但不是必须的。
9)关于工程师站是否列入考核范围
一般将工程师站列入可用性测试范围,加权系数为0.3,但部分核电项目并未将工程系统列入可用性测试范围,认为这些设备只是工程工具而不用于电力生产。
10)可用性测试程序缺少测试工作的责任划分
可用性测试工作包括发现故障、记录故障、测试成败判断、测试重启判断等,某些核电DCS 可用性测试程序缺少上述部分工作的责任划分,只提及测试执行和记录、监督验证工作的责任方;部分项目DCS 可用性测试甚至完全未提及测试工作的责任划分,不利于测试工作的执行。
由以上分析可见,核电DCS 可用性测试从公式应用到实际执行存在方方面面的问题。为了解决这些问题,建立规范的核电DCS 可用性测试流程,可考虑从以下方向研究。
1)标准研究
需要研究其他行业的可用性测试标准,比如DL/T 659-2016《火电DCS 可用性测试标准》及相关系列标准[5-9]制定的背景、条款的含义及理由,火电厂DCS 可用性测试相关系列标准见表2。其中,DL/T 659 给出了火电DCS 验收测试的方法,DL/T 657 给出了火电典型模拟量调节系统品质的评价方法及功能可用性评价方法,DL/T 658 给出了火电典型开关量控制系统性能品质的评价方法及功能可用性评价方法,DL/T 261 给出了火电仪控系统设备可靠性管理及系统可用性评价的方法,DL/T 1083 给出了火电DCS 的技术条件和质量要求。
表2 火电DCS可用性测试系列标准Table 2 Availability test standards for boil-plant DCS
2)实际应用研究
应关注火电和核电行业实际的应用情况和效果,测试中遇到的问题和应对措施,给出确定可用性测试中测试范围、加权系数等关键参数的合理方法,最终建立适合核电的仪控系统可用性测试标准。
DCS 的可靠性关系到核电的安全经济运行,而可用性是DCS 的一种广义可靠性指标,可用性测试是否规范对DCS 至关重要。目前核电DCS 可用性测试从测试程序到实际执行存在诸多问题,包括缺乏整体指标的验证,可用性计算公式使用不规范,权重因子的确定缺乏依据,故障统计范围不明确,缺少可用性测试边界,可用性测试停止条件不明确,测试的前提条件简单且各项目不一致,对于验证故障所需日志记录的要求不明确,关于工程系统是否列入考核范围等。为了建立规范的核电DCS 可用性测试流程,并解决核电DCS 可用性测试存在的上述问题,需要研究其他行业可用性测试相关系列标准,并调研火电和核电行业实际的应用情况和效果,建立适合核电的仪控系统可用性测试标准,最终提升核电DCS 可靠性测试水平,从而间接提高了核电仪控系统的可靠性,保证核电安全经济运行。