淺談核電儀控系統中安全性與可靠性的關系及區別

北京廣利核系統工程有限公司 李熊，程康，張春雷，金成日

1 引言

可靠性工程學是一門成熟的專業學科，從可靠性數學基礎到可靠性設計、可靠性管理、可靠性試驗與評估，可靠性分析等，已經逐步形成了可靠性工程學中的專業學科。可靠性是產品的基本屬性，在產品誕生之時就伴隨而生，并不因是否開展研究而存在。

安全性是廣義的概念，最早引起關注的是產品本身的安全性，即所謂的本質安全。發展到現代，還需要考慮設備對環境的安全性，設備對人的安全性等，近年來功能安全方面的研究更是取得了豐碩的成果。

儀控系統作為整個核電站的中樞神經系統，對確保核電站的安全、經濟運行起著至關重要的作用，對其可靠性與安全性有著全面的要求。雖然可靠性和安全性有一定的關聯性，但有不同的概念，研究的核心和重點也不同，不能相互混淆，更不能相互替代。本文從核電儀控系統研發過程入手，從概念理論和應用角度分析它們的關系與區別。

2 概念

2.1 可靠性定義

可靠性定義是產品在規定的條件下，在規定的時間內完成規定功能的能力。可靠性概念包含三層含義。首先，產品的可靠性是以規定的條件為前提。所謂規定的條件是指在規定的時間內產品使用的應力條件、環境條件和儲存條件等。規定的條件不同，產品的可靠性也不同。其次，產品的可靠性與規定的時間密切相關。一般來說，電子產品經過老化時間后，有較長的穩定使用期。之后，隨著時間的推移，穩定性逐漸下降，可靠性降低。時間越長，可靠性越低。最后，產品的可靠性是用完成規定的功能來衡量的。這里所謂的功能是指產品的全部功能，而不僅指其中一部分。產品只有完成規定的的全部功能，才被認為是可靠的。系統或系統中一部分不能完成預定功能的事件或狀態稱為故障或失效。

2.2 可靠性的主要指標

在可靠性理論中，描述可靠性的指標有很多種，這里給出最基本的幾個可靠性指標。

（1）可靠度函數

可靠度是指產品在規定條件下和規定時間內完成規定功能的概率。顯然，可靠度是可靠性的定量表示，通常用R(t)表示：

式中：R(t)—產品在時間t內正常工作的概率；N—總樣品數；

n—規定時間t內的故障數。

（2）故障率

故障率是指產品工作到t時刻后的單位時間內的失效數與在t時刻尚能正常工作的產品數之比。

（3）平均壽命

平均壽命是指產品正常工作的平均時間，對不可修復產品，是指產品失效前的平均工作或儲存時間，記為MTTF（Mean Time To Failure）；對可修復產品，平均壽命是指相鄰兩次故障間的平均時間，稱為平均無故障工作時間或平均故障間隔時間，記作MTBF（Mean Time Between Failure）。

（4）可用性

可用率是在任何一個時刻，系統正常工作的可能性。可用性表達了一個設備能夠正工作的百分數。常用的可用率計算公式如下：

式中：MTBF為Mean Time Between Failure；

MTTR為Mean Time To Repair平均故障修復時間。

2.3 安全性定義

安全性是指不發生事故的能力，是判斷、評價系統性能的一個重要指標。它表明系統在規定的條件下，在規定的時間內不發生事故的情況下，完成規定功能的性能。其中事故指的是使一項正常進行的活動中斷，并造成人員傷亡、職業病、財產損失或損害環境的意外事件。

分析核電控制系統安全性時，必須考慮兩種重要的失效模式：安全失效與危險失效。安全失效是不會使系統處于潛在的危險狀態或功能故障狀態的失效，核電控制系統安全失效一般為誤動。危險失效是可能使系統潛在的處于某種危險或功能喪失狀態的失效，核電控制系統危險失效一般為拒動。

2.4 安全性的主要指標

描述安全性的指標有很多種，這里給出最基本的幾個安全性指標。

（1）拒動概率

保護系統不能按命令（信號）執行規定動作的概率。

（2）診斷覆蓋率

診斷覆蓋率定義為進行自動診斷測試而導致的硬件危險失效概率的降低部分。診斷覆蓋率可以通過將檢測到的失效率相加，并除以總的失效率來得到。具有失效檢測能力是任何控制系統或者安全系統的重要特征，這一特征可以減少維修時間，并控制一些容錯結構的運行。

式中：DC—診斷覆蓋率；

DD—檢測到的危險失效率；

total—總的危險失效率。

3 分析和設計方法

3.1 可靠性分析和設計

廣利核公司設計開發核電控制系統時，將可靠性分析和設計方法貫穿于產品的全壽命周期，在概念、設計研制、制造、使用和維修全壽命周期內開展可靠性工作。在每個階段都充分利用可靠性設計和分析方法，力求將產品的故障率控制到最低，分析流程如圖1所示。

圖1 可靠性設計分析流程

（1）概念階段

對系統全壽命周期歷程進行分析，提出各個階段的使用條件定義，明確系統可靠性要求和指標。

（2）研制階段

為使系統的設計可靠，將可靠性設計和分析方法融入貫穿到研發流程中，使之得到有效利用。其中包括可靠性分配、零部件及材料管理和優選、元器件降額、冗余設計、環境適應性設計、熱設計、EMC設計、FMEA、FTA、機械有限元分析、可測試性設計、容差分析、維修性設計、故障診斷設計、可靠性預計等。

（3）生產調試階段

對系統進行有效的試驗，包括可靠性鑒定試驗、可靠性測定試驗、可靠性驗證試驗、可靠性增長試驗、加速壽命試驗、數據分析等。通過試驗分析確定系統是否滿足可靠性要求，并將實驗數據反饋給可靠性設計分析。

（4）現場應用階段

對失效現象進行詳細的失效分析，并將失效分析結果反饋給可靠性設計分析。對現場應用數據進行收集，并將數據反饋給可靠性設計分析。

3.2 安全性分析和設計

廣利核公司設計開發核電控制系統時，將安全性設計與分析貫穿整個研發和驗證流程，從系統研制初期的論證階段開始進行，并貫穿于工程研制、生產階段的系統性檢查、研究和分析危險。充分分析系統或設備在使用模型中的工作狀態，確定潛在的危險，預計這些危險對人員傷害或對設備損壞的可能性，并確定消除或減少危險的方法，以便能夠在事故發生之前消除或盡量減少事故發生的可能性，降低事故有害影響的程度。

（1）安全性分析方法

在核電領域得到廣泛應用的安全分析方法有確定論評價方法與概率分析評價方法，如圖2所示。前者從定性的角度評價核電儀控系統安全性，通過分析各類故障及其影響，發現產品薄弱環節，提出改進建議，且對每種故障逐一提出診斷和控制方法，為產品整體安全設計提供設計準則，為安全管理決策提供依據。該方法主要從單故障分析和多故障分析兩個方面進行，單故障分析主要的分析方法為FMEA（失效模式與影響分析）、PHA（過程危險分析）、SHA、HAZOP等，多故障分析主要分析方法為共因故障分析、FTA、ETA等。

概率安全評價方法從定量的角度評價數字化儀控系統，通過計算各項安全性指標、分析系統敏感性和重要度，從而達到對系統的安全性進行評價和發現產品薄弱環節的目的。該方法主要從靜態分析和動態分析兩方面進行，靜態分析主要分析方法為RBD、FTA、ETA等，動態分析主要分析方法為Markov和DFM。

圖2 安全分析方法

（2）安全性設計方法

安全性設計是在系統安全性分析的基礎上，通過各種設計活動消除或控制危險，防止所設計的系統在研制、生產、使用和保障過程中發生導致人員傷亡和設備損壞的各種意外事故。

安全性設計需要解決下列問題：

如何設計才能使系統準確地完成其既定功能？

如果系統功能已經出現異常或失效，如何能將其造成的危害降到最低？

第一個問題可以理解為如何避免系統故障，這個角度跟可靠性設計目的是一致的。

第二個問題可以理解為系統故障后的控制。對于系統自身能控制的故障主要通過自診斷設計使故障能被診斷出來，并且將故障導向安全。對于系統自身不能控制的故障主要通過多重冗余表決架構和縱深防御后備系統進行控制。

4 區別與聯系

分析核電儀控系統中安全性與可靠性的關系及區別，可以從以下幾點加以討論。

（1）概念上來講，可靠性概念關注的核心是壽命，旨在分析、控制和預防系統的故障，分析對象是故障，安全性關注的核心是安全與危險，旨在識別、評價、消除或控制中的危險，分析對象是危險和風險。

對于整個系統來說，系統故障集和危險集部分相互覆蓋。有些時候故障是安全的，即系統故障造成不可靠性，但不導致安全性喪失（如圖3中FS區域），例如：核電安全控制系統的模擬量輸入端出現錯誤，但是控制系統通過診斷控制設計將失效導向安全輸出。

有些時候故障等于危險，不可靠性就是不安全（如圖3中FH區域）。例如：當核電安全控制系統的輸出控制端失效，導致系統拒絕本該進行的停堆動作。

有些時候危險因素造成不安全，但不導致系統故障（如圖3中H區域）。例如：遠低于安全閥值的模擬量偏差。

圖3 故障與危險關系圖

（2）從設計目的上來說，可靠性的目的是將系統的失效率控制到最小，安全性在控制系統失效率的同時，重點研究失效發生后不會發生安全事故，將危害減到最小。因此，在防止故障方面，可靠性和安全性的利害關系是一致的。可以說可靠性是安全性的前提和基礎，產品只有在保證可靠性的前提下，考慮安全性才有意義。不可靠的產品，安全性無從談起。

但在實際設計時，安全性和可靠性有時是矛盾的。按照安全性設計理念，希望故障被診斷發現，并能通過設計導向安全。這樣必然使設計更為復雜，在一定程度上增加了系統的故障率，降低了系統的可用性。但若只考慮可靠性，那么安全性也無法保證。

（3）從分析方法上來說，安全性分析方法中的確定論評價方法和概率分析評價方法無論是所依據的理論基礎，還是技術方法，都與可靠性分析有著密不可分的關系。在安全性分析中統治地位的FTA、ETA和FMEA，同樣在可靠性分析中不可缺少。這些分析方法在系統可靠性、安全性分析中是相互補充、相輔相成的關系，需要根據可靠性分析與安全性分析各自的結果采取改進措施，以滿足系統可靠性、安全性的全面要求。

同時，在分析系統可靠性時，必須關心不同故障模式的潛在后果。對于那些會引起安全問題的故障，需要作出安全評價，這時可靠性與安全性分析將結合在一起。

（4）核電儀控系統對可靠性和安全性有著不同的定量要求，安全性的度量是危險概率或風險值，涉及事件的發生概率與后果。可靠性是按照系統執行其預定功能能力來確切度量的，度量一般為MTBF值和可用性等。兩者的定量要求計算分析方法不同，但都是以失效概率為出發點進行的。

（5）可靠性高的產品未必就是安全性高的產品，以核電控制系統中常用的冗余系統設計為例，當采用3重并聯冗余設計時，其可靠度數學表達式為，而當采用3取2表決冗余設計時，其可靠度數學表達式為（假設表決器可靠）。可以看出3重并聯冗余設計可靠性要優于3取2表決冗余設計，其邏輯圖如圖4、圖5所示。但3取2表決冗余設計增加了表決器，在表決單元完好地進行數據判斷，降低故障誤報率，安全性比3重并聯冗余設計高。

圖4 3重并聯冗余邏輯圖

圖5 3取2冗余邏輯圖

5 結論

從概念、設計目的、分析方法、定量要求等方面可以看出，安全性和可靠性不等同，也不能混淆，但實際上又有著非常緊密的聯系。在進行核電儀控開發時需要將安全性和可靠性工作同時開展，區別對待的同時緊密聯合。

[1]孫懷義, 劉斌, 曹曉莉. 表決冗余系統可靠性與安全性研究[J]. 電子測量與儀器學報, 2011 (7).

[2]蔡琦. 船用核動力裝置可靠性與安全性分析的關系探討[J]. 海軍工程學院學報, 1997(4).

[3]威廉?戈布爾. 控制系統的安全評估與可靠性[M]. 中國電力出版社, 2008.

[4]IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems[S].