黃素文，徐思敏，陳浠毓

（中國核電工程有限公司，北京 100840）

0 引言

分散控制系統(tǒng)（DCS）是核電站關(guān)鍵的綜合系統(tǒng)之一，作為核電站的“神經(jīng)中樞”，對核電站安全、經(jīng)濟(jì)的運(yùn)行起著至關(guān)重要的作用[1,2]。而可用性是指在獲得所需的外部資源的前提下，某物項或系統(tǒng)在規(guī)定條件下給定時刻或給定時段內(nèi)執(zhí)行其規(guī)定功能的能力[3]。它是DCS 的重要指標(biāo)，是可靠性和維修性兩者的綜合指標(biāo)，是一種廣義可靠性[4]。當(dāng)完成核電廠主儀控系統(tǒng)現(xiàn)場安裝后會進(jìn)行DCS 的可用性測試，作為現(xiàn)場驗收測試的一部分。但在核電DCS可用性測試應(yīng)用過程中，存在因子設(shè)置不夠嚴(yán)謹(jǐn)、故障判別缺乏導(dǎo)則等問題。本文通過研究核電站DCS 可用性測試的現(xiàn)狀，深入剖析可用性測試過程中存在的問題，探究解決思路，以提升核電站DCS 可靠性估計水平。

1 可用性測試的現(xiàn)狀

目前，在核電工程項目中，DCS 的可用性指標(biāo)及驗收方法沒有相關(guān)的核電體系標(biāo)準(zhǔn)。

1）可用性測試指標(biāo)

核電DCS 可用率指標(biāo)一般設(shè)置為99.99%。

2）可用性測試過程

測試方法一般采用：DCS 系統(tǒng)連續(xù)運(yùn)行60 天，其間累計故障停用時間小于0.14h，則可認(rèn)為完成可用性測試。若累計故障停用時間超過0.14h，可用性的統(tǒng)計應(yīng)延長到120 天。在此期間，累計故障時間不得超過0.29h。完成系統(tǒng)可用性考核的最高時限為120 天連續(xù)日，若超過這一時限，系統(tǒng)的可用性仍不合格，則認(rèn)為系統(tǒng)的可用性測試未通過。也有部分核電項目的可用性測試時間為90 天，延長時間至180 天且最長為270 天。在測試過程中如出現(xiàn)嚴(yán)重故障，如主控室所有操縱員站喪失，也會認(rèn)為可用性不可接受。

3）可用性計算公式

系統(tǒng)可用性由下列公式計算，即

式中：tt為實際試驗時間，是指整個連續(xù)考核統(tǒng)計時間扣除由于非本系統(tǒng)因素造成的空等時間；tf為故障時間，是指被考核系統(tǒng)中任一裝置或子系統(tǒng)在實際測試時間內(nèi)因故障而停用的時間經(jīng)加權(quán)后的總和；tfi為第i 個裝置或子系統(tǒng)故障停用時間；kfi為第i 個裝置或子系統(tǒng)的故障加權(quán)系數(shù)。加權(quán)系數(shù)示例見表1。

表1 DCS加權(quán)系數(shù)示例Table 1 Example of DCS weighting coefficient

4）可靠性評估

雖然標(biāo)準(zhǔn)DL/T 659 提到DCS 的綜合驗收根據(jù)具體工程情況，可采用可用率考核方法，也可采用標(biāo)準(zhǔn)中的可靠性評估方法。但在核電項目DCS 可用性測試的同時，還會進(jìn)行可靠性評估方法。當(dāng)發(fā)生下列任一事件時，則系統(tǒng)可靠性評估不合格。

①DCS 系統(tǒng)發(fā)生下列任一重大故障:

◇一對冗余通信總線均故障，通信功能喪失。

◇全部操縱員站的主要功能喪失（黑屏，全部數(shù)據(jù)不更新、不響應(yīng)或響應(yīng)時間大于1min）。

◇一對冗余的服務(wù)器故障。

◇一對冗余的控制器故障。

②由于DCS 的任何原因?qū)е孪铝腥我皇录?

◇緊急停堆，專設(shè)誤動或拒動。

◇重要輔機(jī)跳閘。

◇重要模擬量控制系統(tǒng)產(chǎn)生較大擾動，使參數(shù)觸發(fā)事故報警。

③發(fā)生下列任一事件，雖沒有引起①②條所列事件，但累計次數(shù)超過兩次：

◇任何一個控制器故障，但成功切換至冗余控制器。

◇任何一個服務(wù)器故障，但成功切換至冗余服務(wù)器。

◇任何一個IO 卡件故障，進(jìn)行更換后恢復(fù)正常。

◇任何一個歷史站、計算站故障，重啟后恢復(fù)正常。

◇任何控制站一塊電源故障，進(jìn)行更換后恢復(fù)正常。

④發(fā)生歷史站、計算機(jī)、工程師站、操作員站等重要設(shè)備硬件損壞或故障后，無法恢復(fù)的事件，累計次數(shù)超過一次。

當(dāng)系統(tǒng)在可靠性評估期間，如出現(xiàn)上述事件而未通過評估時，應(yīng)再一次進(jìn)行可靠性評估，評估期延長一倍，并應(yīng)從出現(xiàn)事件時刻開始，延長評估期。在延長期內(nèi)，若仍達(dá)不到要求，則認(rèn)為可靠性評估未通過。

2 可用性測試問題剖析

在缺乏核電DCS 可用性測試標(biāo)準(zhǔn)體系的背景下，以及工程應(yīng)用經(jīng)驗不足的情況下，核電DCS 可用性測試還存在諸多問題，如圖1。本文對每一個問題進(jìn)行逐一分析。

圖1 核電DCS可用性測試問題Fig.1 Nuclear power station DCS availability test problems

1）缺乏整體指標(biāo)的驗證

核電DCS 包括安全級平臺和非安全級平臺，而可用率指標(biāo)99.99%是對整個DCS 系統(tǒng)的要求，部分核電項目在DCS 可用性測試時僅分別測試和計算了兩個平臺的指標(biāo)，缺乏整個DCS 系統(tǒng)的指標(biāo)驗證。因為在可用性上，兩個平臺是串聯(lián)關(guān)系，單個平臺的可用性滿足99.99%，不能保證整個DCS 滿足99.99%。

2）可用性計算公式使用不規(guī)范

在可用性測試過程中，可用性計算公式使用不規(guī)范，對于公式中參數(shù)的定義混亂。

比如對于公式中的總數(shù)N，有的項目安全級平臺的可用性計算中的“N”使用大類的總數(shù)（如網(wǎng)絡(luò)通信類中所有模塊類型的總數(shù)），而有的項目使用的是具體模塊類型的總數(shù)，對總數(shù)N 的定義不統(tǒng)一。另外，存在較小N 的部件的權(quán)重因子設(shè)置問題，某項目的非安全級平臺可用性測試中，對實際設(shè)備數(shù)量不足20 個的非關(guān)鍵設(shè)備，總數(shù)N 至少按20 個進(jìn)行可用性計算。這種假設(shè)沒有理由可循，對于N 較小的非關(guān)鍵設(shè)備可考慮設(shè)置合理的權(quán)重因子。

又比如故障停用時間tfi，標(biāo)準(zhǔn)DL/T659 中tfi的定義是故障實際停用時間，但部分項目DCS 可用性測試中tfi代入部件的平均修復(fù)時間（MTTR），給各部件設(shè)置不同MTTR；也有部分項目DCS 可用性測試中tfi代入故障實際停用時間，但將MTTR 作為限值。

還有試驗時間tt，在統(tǒng)一要求中，一般為連續(xù)運(yùn)行60天，延長時間是至120 天且最長120 天，而部分項目的試驗時間是連續(xù)運(yùn)行90 天，延長時間是至180 天且最長270 天。相同的故障率下，試驗天數(shù)不同，可用率將不同。

3）權(quán)重因子的確定缺乏依據(jù)

不同核電項目針對不同的DCS 平臺給出不同的可用性測試權(quán)重因子，但因子的確定缺乏依據(jù)。權(quán)重因子對于可用性測試的計算結(jié)果至關(guān)重要，如沒有依據(jù)，或是隨意確定，測試本身就失去了意義。

4）故障統(tǒng)計范圍不明確

故障統(tǒng)計范圍缺乏準(zhǔn)則，不同項目的故障統(tǒng)計范圍不同，甚至同一項目內(nèi)DCS 的不同平臺的故障統(tǒng)計范圍也不同。比如，某項目DCS 可用性測試的非安全級平臺和安全級平臺故障統(tǒng)計范圍不一致，非安全級平臺的故障統(tǒng)計范圍包括硬件故障和軟件故障，而安全級平臺的故障統(tǒng)計范圍包括硬件故障、軟件故障和人機(jī)交互功能故障；另一些項目DCS 可用性測試故障統(tǒng)計范圍包括所有模塊和計算機(jī)的硬件和軟件故障、人機(jī)交互功能故障、通信網(wǎng)關(guān)的硬件和軟件故障。

5）缺少可用性測試邊界

可用性測試邊界是指其故障會計入可用性測試的部件范圍。比如，某項目的可用性測試邊界為1 層、2 層DCS（NC、NC+、1E）的電子部件，不包括BUP 或ECP 上的盤式儀表、KIC/BUP 切換和MCR/RSS 切換的聯(lián)鎖機(jī)構(gòu)以及服務(wù)于3 層的設(shè)備，而絕大部分項目的可用性測試沒有明確可用性測試邊界。

6）可用性測試終止條件不明確

可用性測試終止條件是指發(fā)生某事件或者某關(guān)鍵設(shè)備失效，可用性測試即判定為不合格。部分項目的可用性測試僅明確了關(guān)鍵設(shè)備清單，缺少其他詳細(xì)的可用性測試停止條件。還有些項目提出由非安全級DCS 直接引起的事件影響電廠正常運(yùn)行時，應(yīng)停止可用性測試，但沒有明確具體停止事件清單，不便于實際測試時執(zhí)行。

7）測試的前提條件簡單且各項目不一致

核電部分項目可用性測試的前提條件簡單且各項目不一致。比如某項目的安全級平臺可用性測試前提條件僅是電站進(jìn)入商運(yùn)后便可以開展，非安全級平臺可用性測試前提條件僅是電源供電穩(wěn)定，DCS 系統(tǒng)正常運(yùn)行。還有些項目DCS 可用性測試前提條件是電站進(jìn)入運(yùn)行狀態(tài)且生產(chǎn)電力用于滿足負(fù)荷要求。

8）對于驗證故障所需日志記錄的要求不明確

不同項目對于驗證故障所需日志記錄的要求不一致，沒有統(tǒng)一的要求。比如某項目DCS 可用性測試中，如果為了驗證故障所需要的過程數(shù)據(jù)和錯誤日志的記錄不能獲取，則在可用性計算時不考慮此故障；而另一項目為故障佐證，比如系統(tǒng)日志記錄或者屏幕截圖，有好處但不是必須的。

9）關(guān)于工程師站是否列入考核范圍

一般將工程師站列入可用性測試范圍，加權(quán)系數(shù)為0.3，但部分核電項目并未將工程系統(tǒng)列入可用性測試范圍，認(rèn)為這些設(shè)備只是工程工具而不用于電力生產(chǎn)。

10）可用性測試程序缺少測試工作的責(zé)任劃分

可用性測試工作包括發(fā)現(xiàn)故障、記錄故障、測試成敗判斷、測試重啟判斷等，某些核電DCS 可用性測試程序缺少上述部分工作的責(zé)任劃分，只提及測試執(zhí)行和記錄、監(jiān)督驗證工作的責(zé)任方；部分項目DCS 可用性測試甚至完全未提及測試工作的責(zé)任劃分，不利于測試工作的執(zhí)行。

3 可用性測試提升方向

由以上分析可見，核電DCS 可用性測試從公式應(yīng)用到實際執(zhí)行存在方方面面的問題。為了解決這些問題，建立規(guī)范的核電DCS 可用性測試流程，可考慮從以下方向研究。

1）標(biāo)準(zhǔn)研究

需要研究其他行業(yè)的可用性測試標(biāo)準(zhǔn)，比如DL/T 659-2016《火電DCS 可用性測試標(biāo)準(zhǔn)》及相關(guān)系列標(biāo)準(zhǔn)[5-9]制定的背景、條款的含義及理由，火電廠DCS 可用性測試相關(guān)系列標(biāo)準(zhǔn)見表2。其中，DL/T 659 給出了火電DCS 驗收測試的方法，DL/T 657 給出了火電典型模擬量調(diào)節(jié)系統(tǒng)品質(zhì)的評價方法及功能可用性評價方法，DL/T 658 給出了火電典型開關(guān)量控制系統(tǒng)性能品質(zhì)的評價方法及功能可用性評價方法，DL/T 261 給出了火電儀控系統(tǒng)設(shè)備可靠性管理及系統(tǒng)可用性評價的方法，DL/T 1083 給出了火電DCS 的技術(shù)條件和質(zhì)量要求。

表2 火電DCS可用性測試系列標(biāo)準(zhǔn)Table 2 Availability test standards for boil-plant DCS

2）實際應(yīng)用研究

應(yīng)關(guān)注火電和核電行業(yè)實際的應(yīng)用情況和效果，測試中遇到的問題和應(yīng)對措施，給出確定可用性測試中測試范圍、加權(quán)系數(shù)等關(guān)鍵參數(shù)的合理方法，最終建立適合核電的儀控系統(tǒng)可用性測試標(biāo)準(zhǔn)。

4 結(jié)束語

DCS 的可靠性關(guān)系到核電的安全經(jīng)濟(jì)運(yùn)行，而可用性是DCS 的一種廣義可靠性指標(biāo)，可用性測試是否規(guī)范對DCS 至關(guān)重要。目前核電DCS 可用性測試從測試程序到實際執(zhí)行存在諸多問題，包括缺乏整體指標(biāo)的驗證，可用性計算公式使用不規(guī)范，權(quán)重因子的確定缺乏依據(jù)，故障統(tǒng)計范圍不明確，缺少可用性測試邊界，可用性測試停止條件不明確，測試的前提條件簡單且各項目不一致，對于驗證故障所需日志記錄的要求不明確，關(guān)于工程系統(tǒng)是否列入考核范圍等。為了建立規(guī)范的核電DCS 可用性測試流程，并解決核電DCS 可用性測試存在的上述問題，需要研究其他行業(yè)可用性測試相關(guān)系列標(biāo)準(zhǔn)，并調(diào)研火電和核電行業(yè)實際的應(yīng)用情況和效果，建立適合核電的儀控系統(tǒng)可用性測試標(biāo)準(zhǔn)，最終提升核電DCS 可靠性測試水平，從而間接提高了核電儀控系統(tǒng)的可靠性，保證核電安全經(jīng)濟(jì)運(yùn)行。