基于故障樹的KSN系統(tǒng)可靠性建模

楊婷

(北京經(jīng)濟管理職業(yè)學(xué)院 信息學(xué)院， 北京 100102)

0 引言

核島三廢處理系統(tǒng)工藝復(fù)雜, 控制設(shè)備多，為了保證三廢處理系統(tǒng)在核電站的整個生命周期內(nèi)安全可靠、穩(wěn)定運行，就需要對原有的繼電器控制的三廢處理系統(tǒng)進行改造。從嶺澳二期開始，核島三廢處理系統(tǒng)的控制系統(tǒng)已經(jīng)開始采用數(shù)字化控制系統(tǒng)(Digital Control System，DCS)的設(shè)計替代原有的繼電器控制，采用數(shù)字化的設(shè)計方法，也由此會帶來數(shù)字化系統(tǒng)的可靠性研究問題。

基于核島三廢處理(KSN)系統(tǒng)，本研究給出了KSN系統(tǒng)的總體架構(gòu)，并分析了KSN系統(tǒng)的功能及信號流，在此基礎(chǔ)上，針對KSN系統(tǒng)的可靠性需求，運用故障樹(Fault Tree Analysis，F(xiàn)TA)建模方法分析其可靠性，最后，給出了一種建議改進方案供設(shè)計人員參考，從可靠性定量的角度分析并評估了系統(tǒng)設(shè)計。

定量可靠性評估技術(shù)需要明確兩點：一是需要確定待評價的量化指標(biāo)；二是需要確定評價所用的建模方法，如可靠性框圖(Reliability Block Diagram，RBD)、故障樹(Fault Tree,FT)等。根據(jù)標(biāo)準GB/T4083-2005中的要求[1]，研究了典型核電廠數(shù)字化停堆系統(tǒng)的可靠性指標(biāo)評估方法，通過運用故障樹(FTA)建模方法，對該系統(tǒng)建立故障樹模型，并將該方法應(yīng)用于KSN三廢處理數(shù)字化控制系統(tǒng)的可靠性指標(biāo)評價中，進而分析其是否滿足相應(yīng)的可靠性指標(biāo)要求。

1 KSN系統(tǒng)總體結(jié)構(gòu)

核島三廢處理系統(tǒng)可以有效防止放射性廢物污染，是整個核電站系統(tǒng)非常重要的部分，它對于防止放射性廢物外泄，保障核電站安全運行和人員輻射防護安全起著很重要的作用。因此，作為核島三廢處理控制系統(tǒng)的設(shè)計和設(shè)備應(yīng)該符合安全可靠、長期穩(wěn)定運行的要求[2]。

KSN控制的核島三廢處理工藝系統(tǒng)包括[3-4]：棚回收系統(tǒng)(TEP)，廢液處理系統(tǒng)(TEP)，廢氣處理系統(tǒng)(TEG)，固體廢物處理系統(tǒng)(TES)(核輔助廠房的廢物處理站部分)。KSN系統(tǒng)作為三廢處理系統(tǒng)的專用控制系統(tǒng)，主要完成如下功能：數(shù)據(jù)采集和處理、過程控制、運行監(jiān)控、協(xié)助運行和報警處理。KSN系統(tǒng)的總體架構(gòu)如圖1所示。

圖1 KSN系統(tǒng)總體架構(gòu)圖

從該架構(gòu)圖可知：信號從現(xiàn)場輸入，經(jīng)過輸入模塊處理，通過控制網(wǎng)傳輸?shù)浆F(xiàn)場控制層的2個冗余控制器A和B中，經(jīng)處理后通過系統(tǒng)網(wǎng)傳遞到系統(tǒng)服務(wù)層的服務(wù)器A和服務(wù)器B，再經(jīng)過管理網(wǎng)傳輸?shù)奖O(jiān)測控制層的操作員站，反向信號流與此類似。

2 基于KSN系統(tǒng)的FTA可靠性建模

本文以KSN系統(tǒng)的控制功能、監(jiān)測功能為例，依據(jù)故障樹建模過程，建立并分析系統(tǒng)故障樹模型，并提出改進方案。

2.1 FTA建模過程

故障樹分析法，簡稱FTA(Fault Tree Analysis)，早在六十年代初就由美國貝爾研究所首先用在民兵導(dǎo)彈的控制系統(tǒng)設(shè)計上，為預(yù)測導(dǎo)彈發(fā)射的隨機失效概率做出了貢獻。到六十年代中期，F(xiàn)TA從宇航領(lǐng)域進入核工業(yè)和其它領(lǐng)域。目前，工程技術(shù)人員仍傾向于采用FTA作為評價系統(tǒng)可靠性和安全性的手段[7]，用FTA來預(yù)測和診斷故障，并分析系統(tǒng)的薄弱環(huán)節(jié)，指導(dǎo)運行和維修，實現(xiàn)系統(tǒng)設(shè)計的最優(yōu)化[8]。

完整的故障樹建模過程包括如下5個步驟[5 ]。

(1) 明確系統(tǒng)定義：定義被分析系統(tǒng)功能、架構(gòu)及其接口關(guān)系。

(2) 確定分析對象范圍：確定系統(tǒng)的范圍、組成及其他系統(tǒng)的分界線，確定系統(tǒng)分析的最基本的元部件。問題的邊界條件應(yīng)定義清楚，否則在一個大系統(tǒng)中，故障樹不知應(yīng)建到何處為止，為清楚限定故障樹的范圍，除對所討論的系統(tǒng)和其它系統(tǒng)的界面做出明確劃分外，還應(yīng)給出必要假設(shè)，例如：假設(shè)導(dǎo)線不會故障，不考慮人為失誤等都是建樹時的一些邊界條件。

(3) 確定故障判據(jù)：根據(jù)系統(tǒng)實現(xiàn)功能及任務(wù)，確定各層次產(chǎn)品的故障判據(jù)，來分析判斷系統(tǒng)的運行狀態(tài)。故障事件應(yīng)精確定義，指明故障是什么，在何種條件下發(fā)生，即確定故障判據(jù)。應(yīng)將故障事件區(qū)分為“部件性故障”和“系統(tǒng)性故障”。“部件性故障”是指該部件本身可能產(chǎn)生的故障，否則屬于“系統(tǒng)性故障”。

(4) 可靠性模型建立：結(jié)合系統(tǒng)分析范圍及故障判據(jù)，選用合適的可靠性建模方法來建立數(shù)學(xué)模型。建樹應(yīng)逐級進行，首先將邏輯門的全部輸入事件都確定清楚后，方可去展開這些輸入事件，絕不允許“跳躍”，因為“跳躍”會造成遺漏。

(5) 可靠性指標(biāo)分析及計算：根據(jù)可靠性模型及可靠性指標(biāo)計算原理，得出系統(tǒng)可靠性指標(biāo)計算結(jié)果，同時驗證系統(tǒng)是否滿足可靠性定量指標(biāo)要求，如果不滿足，需要找出薄弱環(huán)節(jié)并提供改進建議[6]，為設(shè)計人員后續(xù)設(shè)計改進提供參考。

2.2 基于KSN系統(tǒng)的FTA建模

本文以KSN系統(tǒng)的控制功能、監(jiān)測功能為例，將FTA應(yīng)用于KSN系統(tǒng)，針對KSN系統(tǒng)的功能及故障判據(jù)，建立FTA模型，以此來評價KSN系統(tǒng)的可靠性指標(biāo)。

本文描述的KSN三廢處理數(shù)字化控制系統(tǒng)采用分層分布式結(jié)構(gòu)。在KSN的系統(tǒng)需求規(guī)格說明書中要求，系統(tǒng)整體的平均故障間隔時間(Mean Time Between Failure，MTBF)要滿足10萬小時。從KSN的系統(tǒng)整體架構(gòu)圖以及分層設(shè)計結(jié)構(gòu)中可知，整個KSN系統(tǒng)劃分為3個功能層次：現(xiàn)場控制層、系統(tǒng)服務(wù)層和監(jiān)測控制層。按照FTA建模過程，根據(jù)KSN系統(tǒng)功能，通過梳理信號流來確定故障判據(jù)，根據(jù)故障判據(jù)，建立相應(yīng)層級的故障樹模型。KSN的故障判據(jù)分別從3個層次進行約束，以下給出建模過程。

(1)頂層故障判據(jù)：頂層故障判據(jù)也稱系統(tǒng)層故障判據(jù)，KSN的系統(tǒng)層由現(xiàn)場控制層、系統(tǒng)服務(wù)層和監(jiān)測控制層組成，系統(tǒng)服務(wù)層和監(jiān)測控制層有冗余處理，3個功能層只要有一層功能喪失，則整個系統(tǒng)失效。系統(tǒng)層故障樹模型如圖2所示。

圖2

(2) 第二層故障判據(jù)：KSN故障模型的第二層故障判據(jù)以現(xiàn)場控制層為例，現(xiàn)場控制層的故障判據(jù)確定如下：KSN每個控制站實現(xiàn)不同的功能，只要有一個控制站故障，則整個現(xiàn)場控制層就失效?，F(xiàn)場控制層故障樹模型如圖3所示。

圖3 現(xiàn)場控制層故障樹

系統(tǒng)服務(wù)層和監(jiān)測控制層的分析與此類似，依據(jù)邏輯關(guān)系進行故障判據(jù)的確定，故障樹模型如圖4、圖5所示。

圖4 系統(tǒng)服務(wù)層故障樹

圖5 監(jiān)測控制層故障樹

(3) 底層故障判據(jù)：底層故障判據(jù)是以板卡為最小基本單位，以現(xiàn)場控制層的控制站為例，經(jīng)過功能分析，確定控制站的故障判據(jù)如下：單個控制站由冗余的MPU(Micro Processing Unit)板卡、冗余HNU(High Network Unit)板卡以及IO(Input/Output)板卡組成，其中，IO板卡沒有冗余處理，因此，從實現(xiàn)單個功能的角度出發(fā)，只要一個IO板卡故障，則整個控制站就失效；對于冗余MPU來說，只有兩個MPU同時故障，才會導(dǎo)致控制站失效；對于冗余HNU來說，只有兩個HNU同時故障，才會導(dǎo)致控制站失效?？刂普竟收蠘淠Ｐ腿鐖D6所示。

圖6 控制站故障樹

3 基于KSN系統(tǒng)的可靠性分析

3.1 FTA分析及計算

在進行可靠性分析時，需對上述模型進行如下假設(shè)。

(1) 假設(shè)板卡及系統(tǒng)的故障率分布滿足標(biāo)準指數(shù)分布

(2) 各板卡本身故障相互獨立

(3) 假設(shè)板卡及系統(tǒng)只有正常和故障兩種狀態(tài)

(4) 單個板卡的MTTR(平均故障維修時間)為4小時

根據(jù)以上建立的故障樹模型，計算系統(tǒng)的MTBF能否滿足要求的10萬小時。本文運用可靠性分析軟件Isograph 13.0版本，輸入底層事件樹的失效率，以現(xiàn)場控制站為例，分析了單控制站到現(xiàn)場控制站以及整個系統(tǒng)的各層次的MTBF及失效率，結(jié)果如表1所示。

表1 25 ℃失效率及MTBF計算結(jié)果

由表1可知，計算的結(jié)果無法滿足系統(tǒng)的10萬小時的要求。根據(jù)單點故障分析，需要改進設(shè)計或是重新確定系統(tǒng)的架構(gòu)及故障判據(jù)，因此，提出以下兩種改進方案。

3.2 改進方案

通過上述結(jié)果分析，控制站中存在單點故障以及薄弱環(huán)節(jié)，經(jīng)分析其控制站的功能，得出8個控制站實現(xiàn)的功能均不相同，若考慮單個關(guān)鍵功能，現(xiàn)場控制站在上面的故障樹模型中，過于嚴苛，沒有考慮單個關(guān)鍵功能，因此，需要細化建模過程，從單個功能實現(xiàn)的角度分析，對現(xiàn)場控制層建模時，故障樹模型中只體現(xiàn)一個控制站。同理，主控制站中的I/O板卡，也應(yīng)根據(jù)每個功能進行細化建模，因控制站的某個關(guān)鍵功能由一個AI/DI采集，一個DO/AO輸出，因此，控制站單個關(guān)鍵功能的可靠性框圖如圖7所示。

圖7 控制站單功能可靠性框圖

經(jīng)分析計算，該方案已滿足系統(tǒng)可靠性要求，但通過Isograph軟件分析，在上述架構(gòu)中，由于存在系統(tǒng)單點故障，從系統(tǒng)設(shè)計安全性可靠性角度，對上述影響系統(tǒng)可靠性的IO板卡還需做進一步優(yōu)化設(shè)計，即考慮增加IO板卡冗余，以消除單點故障，經(jīng)改進后，系統(tǒng)可靠性框圖結(jié)構(gòu)如圖8所示。

圖8 冗余IO控制站單功能可靠性框圖

改進后，單控制站到現(xiàn)場控制站以及整個系統(tǒng)的各層次的MTBF及失效率的結(jié)果如表2所示。

表2 考慮IO冗余25 ℃失效率及MTBF計算結(jié)果

5 總結(jié)

本研究以KSN系統(tǒng)的數(shù)字化控制系統(tǒng)為對象，研究了對數(shù)字化KSN系統(tǒng)應(yīng)用故障樹分析的可行性及應(yīng)用情況，并根據(jù)故障樹模型對KSN系統(tǒng)的可靠性進行定量分析，同時確定了系統(tǒng)的薄弱環(huán)節(jié)。根據(jù)可靠性分析結(jié)果及系統(tǒng)設(shè)計中的薄弱環(huán)節(jié)，給出了一種系統(tǒng)改進方案供設(shè)計人員參考，從可靠性定量角度分析并評估了系統(tǒng)設(shè)計。通過工程應(yīng)用及實踐表明，在數(shù)字化儀控系統(tǒng)中開展故障樹分析，不僅可以評估系統(tǒng)的可靠性，同時，可以使設(shè)計人員加深對系統(tǒng)功能及運行機理的理解，以進一步分析系統(tǒng)設(shè)計中的薄弱環(huán)節(jié)。

本研究是基于系統(tǒng)級的可靠性而進行的定量分析及評估。為了更好地利用故障樹進行系統(tǒng)設(shè)計的改進及指導(dǎo)，后續(xù)還需進一步深入到板卡內(nèi)部，研究其故障機理及功能邏輯。板卡級的故障樹分析過程還會涉及到軟件故障及軟件運行機理，需研究軟件可靠性增長方法、貝葉斯網(wǎng)絡(luò)決策模型等內(nèi)容，以此來優(yōu)化數(shù)字化系統(tǒng)的設(shè)計及分析。上述軟件故障及軟件可靠性建模方法的深化研究將是下一步工作的重點。