核電站儀控系統可靠性和可用性分析計算

任莉華 郎愛國 李世欣 吳彩霞

(環境保護部核與輻射安全中心，北京 100082)

0 引言

儀控系統是整個核電站的“中樞神經”系統，它對確保核電站的安全、經濟運行起著至關重要的作用。隨著控制系統從傳統的常規儀表向數字化的計算機控制系統方向發展，原有核電站分島控制的格局逐步被打破，形成了新一代的基于數字通信網絡的全數字化儀控系統。核電站數字化儀控系統將成熟的常規電站分布式控制系統(distributed control system，DCS)加以移植改進，并全面應用在核島、常規島、輔助廠房部分。全數字化儀控系統已有在國內外新建和改造核電站項目中成功應用的實例，這些應用證明了建設全數字化儀控系統的重要意義和經濟性。

核電站的安全問題一直是核電發展的重要課題，儀控系統作為核電站的神經系統，其安全可靠性要求是非常嚴格的［1］。伴隨著儀控系統的發展，尚無一種得到廣泛接受的數字化儀控系統可靠性建模方法［2］，如何分析和計算數字化儀控系統的安全性、可靠性、可用性和可維護性，還缺少標準規范的方法和統一的結論，研究數字化儀控系統的可靠性分析和計算方法在核電站的應用就顯得尤為迫切。新技術的采用不能以降低系統可靠性和可用性為代價［3］。本文介紹了典型的核電站數字化儀控系統中所采用的各種高可靠性技術，提出了一種分析和計算儀控系統可靠性和可用性的方法。該方法將儀控系統劃分為現場控制層、系統服務層、監測控制層等子系統，利用可用性框圖，分別計算每個子系統可靠性參數，然后通過系統可用性框圖，計算出整個系統的可靠性參數。

1 核電站儀控系統

對于一個完整的核電站來說，目前比較公認的自動化控制系統結構分級是將整個系統縱向地從底層到高層分為四級，稱為Level 0 到Level 3。Level 0 為現場儀表級自動化設備，主要包括傳感器、變送器、執行器等。這個級別的設備基本上由儀表類的產品組成。Level 1 為現場控制級自動化設備，主要包括將現場儀表的模擬信號轉化為數字化過程數據的過程輸入輸出設備和執行回路控制、邏輯控制和順序控制的現場控制器。這個級別的自動化設備一般由可編程序控制器(programmable logic controller，PLC)或分布式控制系統(DCS)組成。Level 2 為監督控制級自動化設備，主要包括過程數據的集中處理和存貯設備以及人機界面設備。這個級別的設備主要由多臺計算機(服務器、工作站等)以及將這些計算機連接在一起的計算機局域網絡組成。Level 3 是核電站全廠管理級自動化設備，主要由多臺廠級管理計算機和連接各計算機的廠域計算機網絡或廣域網組成。

1.1 系統結構

圖1 為百萬千瓦級壓水堆核電機組的全數字化儀控系統的典型系統結構圖，該系統主要由現場控制層、系統服務層和監測控制層三層組成，完成數據采集和數據集中處理功能。儀控系統是核島、常規島及其輔助設備在正常運行工況、系統檢修工況、事故工況及事故后工況等場合下的重要監視手段，為操作人員及其他有關人員提供正常操作、事故診斷及其事故后分析所需的各種信息，完成現場開關量和模擬量數據采集與處理、報警處理和顯示監視、日志記錄、歷史數據管理、報表打印等功能。

圖1 典型核電站數字化儀控系統結構圖Fig.1 Typical system architecture of I＆Csystem for nuclear power plant

整個系統構架分為三個層次。

①現場控制層:主要包括控制器、過程I/O 模塊等。控制器通過現場總線與I/O 進行通信，I/O 設備將采集數據傳輸給控制器，控制器進行算法運算并將信息發送給I/O 設備進行輸出。

②系統服務層:主要包括核島(NI)實時服務器、常規島(CI)實時服務器、計算服務器和歷史服務器等。服務器分別與監控層操作站和現場控制層控制器連接，一方面接收控制器中的采集和運算的數據，另一方面發送監控層的控制指令給控制器。

③監測控制層:主要包括各類操作員站和工程師站等。通過從服務器獲取各種數據信息并進行顯示，將人機交互的控制指令等信息傳遞給服務器。

1.2 高可靠性和高可用性設計

核電站的高安全標準對相應控制系統的安全性和可靠性提出了高要求［4］，儀控系統應采用有效的設計方法和技術方案來提高系統的可靠性和可用性，以滿足系統安全可靠運行的要求。

(1)控制站硬件可靠性設計。

相對常規控制系統，核電儀控系統對硬件模塊的可靠性提出了更高的要求。在核電產品的研發過程中，應全面應用電子可靠性設計的理論和方法，并廣泛借鑒通信、航空、航天等領域的電子可靠性設計的最佳實踐，建設滿足核電硬件產品研發制造的高可靠平臺。

核電儀控系統最小組成單元是電子元器件，其質量與可靠性是保證整個儀控系統可靠性的基礎［5］。在進行硬件模塊設計時，應根據各個硬件模塊內電阻、電容、電感、二極管、三極管、集成電路等元器件種類和數目，參考國家軍用標準《GJBZ 299C-2006 電子設備可靠性預計手冊》［6］，計算相應硬件模塊的工作失效率和平均故障間隔(mean time between failures，MTBF)。典型的硬件模塊可靠性預測計算如表1 所示。

表1 硬件模塊可靠性預測Tab. 1 Reliability prediction for a typical hardware module

續表1

失效率為9.628 780，平均故障間隔時間MTBF =1/總失效率× 106× 103 855. 32。數據依據:GJB/Z 299C-2006。每個I/O 模塊的通道電路都應采用獨立的電路設計，進行有效的通道隔離和通道診斷設計，減少通道間的耦合性，保證模塊在單通道故障不會對模塊的其他通道帶來影響和干擾。

在系統設計中，采用冗余技術是提高控制系統可靠性的有效方法和主要措施。冗余控制使得系統在運行時不受局部單一故障的影響，可實現在線更換和維護。同時，故障部件離線修理不影響系統正常運行，從而可達到提高系統可靠性和降低失效率的目的［7］。整個控制站采用雙電源、雙CPU 控制器和雙通信總線的冗余配置設計方案，如圖2 所示，減少了系統停機的概率，提高了系統的可靠性。

圖2 控制站冗余設計Fig. 2 Redundant design of the control station

機籠的電源模塊采用冗余配置，當一個電源模塊故障后，另一個電源模塊仍可為機籠提供足夠的功率。CPU 控制器模塊也采用冗余配置，當一個控制器模塊故障后，自動切換到另一個控制器模塊工作。

(2)集群式多重冗余服務器架構。

核電站數字化系統采用統一系統架構，實現對核島、常規島和輔機系統的一體化監控，系統I/O 點數規模由幾千點擴大到幾萬點，這對儀控系統的處理能力提出了更高的要求。為滿足上述需求，系統采用了集群式數據服務器結構，支持多臺甚至數10 臺冗余服務器協同工作，滿足單一故障準則和防止共模故障［8］。系統服務器根據不同功能可以劃分為核島(NI)實時服務器、常規島(CI)實時服務器、歷時服務器、計算服務器、通信服務器和配置服務器［9］。

實時服務器采用雙冗余設置，完成實時采集和處理、實時數據庫管理和存取和系統下裝等功能。其中，核島(NI)實時服務器覆蓋核島側，常規島(CI)實時服務器覆蓋常規島側和輔助系統。這些實時服務器收集和提供實時電廠數據，并將數據存儲在各自的數據庫。

計算服務器接收來自核島和常規島實時服務器的報警和事件信息，整理和存儲這些數據在本地的存儲器，并且提供實時的報警和事件信息到整個機組。

歷史服務器收集來自核島和常規島部分的數據信息，并且存儲到長期歷史數據庫中，包括操作日志、過程值等信息。

通信服務器具有通信網關功能，提供與安全級DCS 系統、三廢(KSN)系統、汽輪機DCS 系統以及管理信息MIS 系統的通信接口功能，實現與接口系統的數據交換。

配置服務器提供對整個系統工程配置數據的統一管理、版本控制和下裝部署等功能。

(3)冗余網絡設計。

核電儀控系統采用冗余的網絡通信鏈路確保信息傳輸的可用性［4］。當工作鏈路由于某種原因出現故障而不能正常工作時，冗余鏈路就可以代替故障鏈路繼續完成相同的功能，從而實現系統的不中斷工作，保障現場設備和人員的安全性，減少損失。

系統網絡由A、B 兩網構成，兩網互為備份并互相監控對方的工作狀態。其中A 網交換機狀態能通過B網進行狀態監視和遠程配置管理，反之B 網的交換機狀態也能通過A 網進行狀態監視和遠程配置管理。核電站數字化儀控系統實現對核島、常規島和輔機系統的一體化管理，系統和工藝復雜，生產過程中需要監控大量的設備和工況處理過程。在核電站現場實際操作中，一個操作員往往需要同時監控和操作多個畫面，獲取多方面的信息。系統可為一個操作員提供多達4屏的顯示屏，并可通過使用一套鼠標鍵盤在4 個顯示屏間平滑移動和實現交互操作。多屏操作站設計示意圖如圖3 所示。

圖3 多屏操作站設計示意圖Fig.3 Schematic diagram of the design for multi-screen workstation

整個控制室根據調度員工作職責不同，分別設置多個操作員站、值班長站、安全工程師站等操作站。任何一臺操作站的硬件和軟件配置完全相同，均可實現核電調度員所需的各種功能，并通過不同的用戶身份和角色登錄，獲取不同的監控操作權限，激活相應的人機界面，實現圖形化顯示、對話管理和信息編輯等功能。控制室的多臺操作站互為備份，提供相同的功能，通過權限管理可以互相替代。

(4)自診斷與在線維護。

系統在運行中，除上述高可靠性和可用性保障外，還充分應用系統強大的自診斷、報警和維護等功能，及時通告系統運行中的問題并加以及時處理，包括所有站點的在線診斷及故障通告、設備的在線診斷及故障通告以及硬件模塊的帶電插拔和在線更換等［10］。

2 可靠性和可用性計算

2.1 可靠性和可用性定義

可靠性是指系統在規定的條件下和規定的時間段內完成規定功能的能力，通常關注系統的平均無故障時間MTBF(系統相鄰2 次故障發生時刻之間的時間的平均值，h)和故障率λ。可維護性是指系統恢復到能夠履行其職能狀態的能力，其指標為平均故障修復時間MTTR(系統失效恢復到其正常功能狀態的期望時間，h)［11］。可用性是指系統在規定時間內能夠履行職能的概率，其指標為可用度A。相應計算公式如下:

圖4 說明了MTBF 與MTTR 的含義及關系，也說明了MTBF 和MTTR 的統計性質。

圖4 MTBF 與MTTR 的含義及關系Fig.4 Meanings of MTBF and MTTR，and their relationship

由上圖可得出:

一個系統的MTBF 和MTTR 是由統計計算得出的，是一個概率統計值，而不是由確定性公式計算出來的。核電站儀控系統由現場控制層、系統服務層和監測控制層三層組成，系統可用率應大于99.99%。

為了有序計算整個系統的可靠性和可用性指標，采用以下方法進行計算:①對系統逐層向下分解，自頂向下建立系統可靠性框圖;②根據最低單個設備提供的可靠性數據，自底向上計算系統的可靠性和可用性指標。

2.2 系統可靠性框圖

核電站儀控系統的設備可以劃分為關鍵設備和非關鍵設備。如果一個設備故障影響到整個系統的運行，它被視為關鍵設備。例如，實時服務器是關鍵設備，而打印機則是非關鍵設備。因為服務器故障會導致系統崩潰(在冗余服務器已故障的前提下)，但如果打印機發生故障，僅僅會影響打印功能。

根據2.1 節系統結構，識別出系統關鍵設備，可得出如圖5 所示的系統可靠性框圖。

圖5 系統可靠性框圖Fig.5 Block diagram of system reliability

2.3 典型設備MTBF 和MTTR 數據

典型核電儀控系統單個設備的可靠性和可用性數據如表2 所示。

表2 設備可靠性和可用性數據Tab.2 Data of reliability and availability of equipment

為構建一個開放的核電站數字化儀控系統，除現場控制站采用專用硬件模塊外，監測控制層和系統服務層硬件多采用商用現貨(commercial off the shelf，COTS)設備，包括各臺式計算機、服務器和交換機等硬件設備。對于商用現貨COTS 硬件設備，可從設備廠家獲取相應設備的可靠性數據;對于現場控制站專用硬件模塊，可參考相關標準如國家軍用標準《GJBZ 299C-2006 電子設備可靠性預計手冊》等，預測相應硬件模塊的工作失效率和平均故障間隔MTBF。

系統的維修性取決于系統各個部件的維修性以及系統的物理結構和功能結構，其中，物理結構影響到存取的難易程度和更換性;功能結構影響到診斷更換等的難易程度［12］。平均故障修復時間(MTTR)應包括設備從發現故障到設備修復完成所有過程需要花費的時間，這些過程主要考慮了如通知儀控維修人員、問題的溝通、現場勘查故障定位、獲取故障設備的備件、隔離部件、拆卸故障設備、更換、組裝、檢查和測試等環節［13］。為確定典型設備的平均故障修復時間MTTR，本文假定所有設備都有合理的備品備件和允許在線更換;對于專用硬件，系統提供相關的診斷功能和在線熱插拔功能;對于COTS 商用現貨，系統提供快捷的備份和恢復手段。

2.4 計算過程

以下提供的計算過程，假定系統所用硬件包括計算機、硬件模塊等設備在可用期的失效時間服從電子器件的指數分配規律。

(1)MTBF 計算。

系統采用冗余設計方案，在出現某設備單點故障時不會導致該系統的任何功能的喪失，只有冗余設備全部失效才導致系統功能喪失。因此，采用以下并聯計算模型計算系統冗余設備的MTBF:

對于主備冗余系統，n=2。根據上式，可分別計算出冗余工作站、交換機和服務器的MTBF，如表3 所示。其中，冗余工作站按照雙冗余簡化計算。

表3 冗余設備的平均無故障時間Tab.3 MTBF of redundant equipment

根據系統可靠性框圖，整個系統由冗余工作站、冗余系統網交換機、冗余實時服務器、冗余控制網交換機、冗余控制器和I/O 模塊串聯而成。串聯系統內任意一個元件的失效都會導致整個系統的完全故障，因此，采用以下串聯計算模型計算整個系統的MTBF:

(2)MTTR 計算。

串聯和并聯系統的MTTR 都是按系統的各個設備失效率進行加權平均的平均值:

對于冗余設備，單個設備的平均故障修復時間MTTR 和設備失效率λ 是完全相同的，設n =2，λ1=λ2，MTTR1=MTTR2，按上述公式可得出相應的MTTR計算結果為:

可見，任何2 個冗余設備，其MTTR 仍為單個設備的MTTR。因此，可計算整個系統的MTTR 如下:

(3)可用性計算。

系統可用性結果為:

通過計算結果可以看出，該核電儀控系統可用率滿足相應指標需求。

3 結束語

核電站儀控系統由現場控制層、系統服務層和監測控制層三層組成，系統單個設備故障后，可以通過在線維修和更換的手段恢復系統的功能。本文介紹了典型的核電站數字化儀控系統中所采用的各種高可靠性技術，提出了一種分析和計算儀控系統的可靠性和可用性的方法。該方法將儀控系統劃分為現場控制層、系統服務層、監測控制層等子系統，通過對系統自頂向下逐層分解得到系統的可靠性框圖，分別計算每個子系統可靠性參數，然后通過系統可靠性框圖，計算出整個系統的可靠性參數。計算結果表明，通過采用適當的可靠性設計措施，系統能夠滿足高可靠性和可用性要求。本文專注于核電站儀控系統本身的可靠性分析，而核電廠整體儀控系統可靠性應結合工藝過程和現場設備進行綜合分析［14］。

［1］ 李明利，唐環，謝逸欽，等. 核電廠數字化儀控系統可靠性指標計算方法研究［C］//第一屆中國(國際)核電儀控技術大會論文集，北京:中國核學會，中國儀器儀表學會，2011.

［2］ 周世梁，杜文. 基于故障樹方法的核電廠數字化儀控系統可靠性分析［C］//第一屆中國(國際)核電儀控技術大會論文集，北京:中國核學會，中國儀器儀表學會，2011.

［3］ 侯偉宏，張沛超，胡炎. 數字化變電站系統可靠性與可用性研究［J］. 電力系統保護與控制，2010，38(14):34 -38.

［4］ 鄭養波，彭小強，董志彬. AP1000 儀控系統的高可靠性技術應用分析［C］//第一屆中國(國際)核電儀控技術大會論文集，北京:中國核學會，中國儀器儀表學會，2011.

［5］白濤，金成日，張春雷. 核電廠儀控設備研制中元器件篩選問題的討論［J］. 自動化博覽，2013(4):83 -88.

［6］ 中國人民解放軍總裝備部. GJBZ 299C-2006 電子設備可靠性預計［M］. 北京:總裝備部軍標出版發行部，2007.

［7］ 劉沖，付江梅. 雙重冗余PLC 控制系統的可靠性和可用性研究［J］. 自動化儀表，2010，31(9):44 -46.

［8］ 萄國楷，黎國民，王群峰. 核電站安全分級對DCS 系統設計影響分析［J］. 核動力工程，2011，32(5):23 -28.

［9］ 鄒志勵，郭東玲. 防城港核電廠非安全級DCS 網絡結構和設備功能淺議［J］. 機電信息，2012(3):46 -47.

［10］王維建，馬駿. XDC800 控制系統的可靠性分析［C］ //第一屆中國(國際)核電儀控技術大會論文集，北京:中國核學會，中國儀器儀表學會，2011.

［11］邸麗清，袁湘鄂，王永年. CTCS-3 級列控系統RAM 指標評價方法研究［J］. 中國鐵道科學，2010，31(6):92 -97.

［12］韓毅，張允煒. 核電站運維的DCS 可信性研究和應用［J］. 儀器儀表用戶，2014，21(4):5 -7.

［13］徐冬苓. 基于RBD 方法的數字化反應堆保護系統可靠性分析［J］. 核電子學與探測技術，2013，33(7):802 -807.

［14］王眷衛，楊棟. 基于故障樹的核電廠過程控制DCS 系統可靠性分析［J］. 數字化用戶，2013(13):100 -101.