淺談核電儀控系統(tǒng)中安全性與可靠性的關(guān)系及區(qū)別

北京廣利核系統(tǒng)工程有限公司 李熊，程康，張春雷，金成日

1 引言

可靠性工程學(xué)是一門成熟的專業(yè)學(xué)科，從可靠性數(shù)學(xué)基礎(chǔ)到可靠性設(shè)計(jì)、可靠性管理、可靠性試驗(yàn)與評(píng)估，可靠性分析等，已經(jīng)逐步形成了可靠性工程學(xué)中的專業(yè)學(xué)科?？煽啃允钱a(chǎn)品的基本屬性，在產(chǎn)品誕生之時(shí)就伴隨而生，并不因是否開展研究而存在。

安全性是廣義的概念，最早引起關(guān)注的是產(chǎn)品本身的安全性，即所謂的本質(zhì)安全。發(fā)展到現(xiàn)代，還需要考慮設(shè)備對(duì)環(huán)境的安全性，設(shè)備對(duì)人的安全性等，近年來功能安全方面的研究更是取得了豐碩的成果。

儀控系統(tǒng)作為整個(gè)核電站的中樞神經(jīng)系統(tǒng)，對(duì)確保核電站的安全、經(jīng)濟(jì)運(yùn)行起著至關(guān)重要的作用，對(duì)其可靠性與安全性有著全面的要求。雖然可靠性和安全性有一定的關(guān)聯(lián)性，但有不同的概念，研究的核心和重點(diǎn)也不同，不能相互混淆，更不能相互替代。本文從核電儀控系統(tǒng)研發(fā)過程入手，從概念理論和應(yīng)用角度分析它們的關(guān)系與區(qū)別。

2 概念

2.1 可靠性定義

可靠性定義是產(chǎn)品在規(guī)定的條件下，在規(guī)定的時(shí)間內(nèi)完成規(guī)定功能的能力?？煽啃愿拍畎龑雍x。首先，產(chǎn)品的可靠性是以規(guī)定的條件為前提。所謂規(guī)定的條件是指在規(guī)定的時(shí)間內(nèi)產(chǎn)品使用的應(yīng)力條件、環(huán)境條件和儲(chǔ)存條件等。規(guī)定的條件不同，產(chǎn)品的可靠性也不同。其次，產(chǎn)品的可靠性與規(guī)定的時(shí)間密切相關(guān)。一般來說，電子產(chǎn)品經(jīng)過老化時(shí)間后，有較長的穩(wěn)定使用期。之后，隨著時(shí)間的推移，穩(wěn)定性逐漸下降，可靠性降低。時(shí)間越長，可靠性越低。最后，產(chǎn)品的可靠性是用完成規(guī)定的功能來衡量的。這里所謂的功能是指產(chǎn)品的全部功能，而不僅指其中一部分。產(chǎn)品只有完成規(guī)定的的全部功能，才被認(rèn)為是可靠的。系統(tǒng)或系統(tǒng)中一部分不能完成預(yù)定功能的事件或狀態(tài)稱為故障或失效。

2.2 可靠性的主要指標(biāo)

在可靠性理論中，描述可靠性的指標(biāo)有很多種，這里給出最基本的幾個(gè)可靠性指標(biāo)。

（1）可靠度函數(shù)

可靠度是指產(chǎn)品在規(guī)定條件下和規(guī)定時(shí)間內(nèi)完成規(guī)定功能的概率。顯然，可靠度是可靠性的定量表示，通常用R(t)表示：

式中：R(t)—產(chǎn)品在時(shí)間t內(nèi)正常工作的概率；N—總樣品數(shù)；

n—規(guī)定時(shí)間t內(nèi)的故障數(shù)。

（2）故障率

故障率是指產(chǎn)品工作到t時(shí)刻后的單位時(shí)間內(nèi)的失效數(shù)與在t時(shí)刻尚能正常工作的產(chǎn)品數(shù)之比。

（3）平均壽命

平均壽命是指產(chǎn)品正常工作的平均時(shí)間，對(duì)不可修復(fù)產(chǎn)品，是指產(chǎn)品失效前的平均工作或儲(chǔ)存時(shí)間，記為MTTF（Mean Time To Failure）；對(duì)可修復(fù)產(chǎn)品，平均壽命是指相鄰兩次故障間的平均時(shí)間，稱為平均無故障工作時(shí)間或平均故障間隔時(shí)間，記作MTBF（Mean Time Between Failure）。

（4）可用性

可用率是在任何一個(gè)時(shí)刻，系統(tǒng)正常工作的可能性?？捎眯员磉_(dá)了一個(gè)設(shè)備能夠正工作的百分?jǐn)?shù)。常用的可用率計(jì)算公式如下：

式中：MTBF為Mean Time Between Failure；

MTTR為Mean Time To Repair平均故障修復(fù)時(shí)間。

2.3 安全性定義

安全性是指不發(fā)生事故的能力，是判斷、評(píng)價(jià)系統(tǒng)性能的一個(gè)重要指標(biāo)。它表明系統(tǒng)在規(guī)定的條件下，在規(guī)定的時(shí)間內(nèi)不發(fā)生事故的情況下，完成規(guī)定功能的性能。其中事故指的是使一項(xiàng)正常進(jìn)行的活動(dòng)中斷，并造成人員傷亡、職業(yè)病、財(cái)產(chǎn)損失或損害環(huán)境的意外事件。

分析核電控制系統(tǒng)安全性時(shí)，必須考慮兩種重要的失效模式：安全失效與危險(xiǎn)失效。安全失效是不會(huì)使系統(tǒng)處于潛在的危險(xiǎn)狀態(tài)或功能故障狀態(tài)的失效，核電控制系統(tǒng)安全失效一般為誤動(dòng)。危險(xiǎn)失效是可能使系統(tǒng)潛在的處于某種危險(xiǎn)或功能喪失狀態(tài)的失效，核電控制系統(tǒng)危險(xiǎn)失效一般為拒動(dòng)。

2.4 安全性的主要指標(biāo)

描述安全性的指標(biāo)有很多種，這里給出最基本的幾個(gè)安全性指標(biāo)。

（1）拒動(dòng)概率

保護(hù)系統(tǒng)不能按命令（信號(hào)）執(zhí)行規(guī)定動(dòng)作的概率。

（2）診斷覆蓋率

診斷覆蓋率定義為進(jìn)行自動(dòng)診斷測(cè)試而導(dǎo)致的硬件危險(xiǎn)失效概率的降低部分。診斷覆蓋率可以通過將檢測(cè)到的失效率相加，并除以總的失效率來得到。具有失效檢測(cè)能力是任何控制系統(tǒng)或者安全系統(tǒng)的重要特征，這一特征可以減少維修時(shí)間，并控制一些容錯(cuò)結(jié)構(gòu)的運(yùn)行。

式中：DC—診斷覆蓋率；

DD—檢測(cè)到的危險(xiǎn)失效率；

total—總的危險(xiǎn)失效率。

3 分析和設(shè)計(jì)方法

3.1 可靠性分析和設(shè)計(jì)

廣利核公司設(shè)計(jì)開發(fā)核電控制系統(tǒng)時(shí)，將可靠性分析和設(shè)計(jì)方法貫穿于產(chǎn)品的全壽命周期，在概念、設(shè)計(jì)研制、制造、使用和維修全壽命周期內(nèi)開展可靠性工作。在每個(gè)階段都充分利用可靠性設(shè)計(jì)和分析方法，力求將產(chǎn)品的故障率控制到最低，分析流程如圖1所示。

圖1 可靠性設(shè)計(jì)分析流程

（1）概念階段

對(duì)系統(tǒng)全壽命周期歷程進(jìn)行分析，提出各個(gè)階段的使用條件定義，明確系統(tǒng)可靠性要求和指標(biāo)。

（2）研制階段

為使系統(tǒng)的設(shè)計(jì)可靠，將可靠性設(shè)計(jì)和分析方法融入貫穿到研發(fā)流程中，使之得到有效利用。其中包括可靠性分配、零部件及材料管理和優(yōu)選、元器件降額、冗余設(shè)計(jì)、環(huán)境適應(yīng)性設(shè)計(jì)、熱設(shè)計(jì)、EMC設(shè)計(jì)、FMEA、FTA、機(jī)械有限元分析、可測(cè)試性設(shè)計(jì)、容差分析、維修性設(shè)計(jì)、故障診斷設(shè)計(jì)、可靠性預(yù)計(jì)等。

（3）生產(chǎn)調(diào)試階段

對(duì)系統(tǒng)進(jìn)行有效的試驗(yàn)，包括可靠性鑒定試驗(yàn)、可靠性測(cè)定試驗(yàn)、可靠性驗(yàn)證試驗(yàn)、可靠性增長試驗(yàn)、加速壽命試驗(yàn)、數(shù)據(jù)分析等。通過試驗(yàn)分析確定系統(tǒng)是否滿足可靠性要求，并將實(shí)驗(yàn)數(shù)據(jù)反饋給可靠性設(shè)計(jì)分析。

（4）現(xiàn)場(chǎng)應(yīng)用階段

對(duì)失效現(xiàn)象進(jìn)行詳細(xì)的失效分析，并將失效分析結(jié)果反饋給可靠性設(shè)計(jì)分析。對(duì)現(xiàn)場(chǎng)應(yīng)用數(shù)據(jù)進(jìn)行收集，并將數(shù)據(jù)反饋給可靠性設(shè)計(jì)分析。

3.2 安全性分析和設(shè)計(jì)

廣利核公司設(shè)計(jì)開發(fā)核電控制系統(tǒng)時(shí)，將安全性設(shè)計(jì)與分析貫穿整個(gè)研發(fā)和驗(yàn)證流程，從系統(tǒng)研制初期的論證階段開始進(jìn)行，并貫穿于工程研制、生產(chǎn)階段的系統(tǒng)性檢查、研究和分析危險(xiǎn)。充分分析系統(tǒng)或設(shè)備在使用模型中的工作狀態(tài)，確定潛在的危險(xiǎn)，預(yù)計(jì)這些危險(xiǎn)對(duì)人員傷害或?qū)υO(shè)備損壞的可能性，并確定消除或減少危險(xiǎn)的方法，以便能夠在事故發(fā)生之前消除或盡量減少事故發(fā)生的可能性，降低事故有害影響的程度。

（1）安全性分析方法

在核電領(lǐng)域得到廣泛應(yīng)用的安全分析方法有確定論評(píng)價(jià)方法與概率分析評(píng)價(jià)方法，如圖2所示。前者從定性的角度評(píng)價(jià)核電儀控系統(tǒng)安全性，通過分析各類故障及其影響，發(fā)現(xiàn)產(chǎn)品薄弱環(huán)節(jié)，提出改進(jìn)建議，且對(duì)每種故障逐一提出診斷和控制方法，為產(chǎn)品整體安全設(shè)計(jì)提供設(shè)計(jì)準(zhǔn)則，為安全管理決策提供依據(jù)。該方法主要從單故障分析和多故障分析兩個(gè)方面進(jìn)行，單故障分析主要的分析方法為FMEA（失效模式與影響分析）、PHA（過程危險(xiǎn)分析）、SHA、HAZOP等，多故障分析主要分析方法為共因故障分析、FTA、ETA等。

概率安全評(píng)價(jià)方法從定量的角度評(píng)價(jià)數(shù)字化儀控系統(tǒng)，通過計(jì)算各項(xiàng)安全性指標(biāo)、分析系統(tǒng)敏感性和重要度，從而達(dá)到對(duì)系統(tǒng)的安全性進(jìn)行評(píng)價(jià)和發(fā)現(xiàn)產(chǎn)品薄弱環(huán)節(jié)的目的。該方法主要從靜態(tài)分析和動(dòng)態(tài)分析兩方面進(jìn)行，靜態(tài)分析主要分析方法為RBD、FTA、ETA等，動(dòng)態(tài)分析主要分析方法為Markov和DFM。

圖2 安全分析方法

（2）安全性設(shè)計(jì)方法

安全性設(shè)計(jì)是在系統(tǒng)安全性分析的基礎(chǔ)上，通過各種設(shè)計(jì)活動(dòng)消除或控制危險(xiǎn)，防止所設(shè)計(jì)的系統(tǒng)在研制、生產(chǎn)、使用和保障過程中發(fā)生導(dǎo)致人員傷亡和設(shè)備損壞的各種意外事故。

安全性設(shè)計(jì)需要解決下列問題：

如何設(shè)計(jì)才能使系統(tǒng)準(zhǔn)確地完成其既定功能？

如果系統(tǒng)功能已經(jīng)出現(xiàn)異?；蚴?，如何能將其造成的危害降到最低？

第一個(gè)問題可以理解為如何避免系統(tǒng)故障，這個(gè)角度跟可靠性設(shè)計(jì)目的是一致的。

第二個(gè)問題可以理解為系統(tǒng)故障后的控制。對(duì)于系統(tǒng)自身能控制的故障主要通過自診斷設(shè)計(jì)使故障能被診斷出來，并且將故障導(dǎo)向安全。對(duì)于系統(tǒng)自身不能控制的故障主要通過多重冗余表決架構(gòu)和縱深防御后備系統(tǒng)進(jìn)行控制。

4 區(qū)別與聯(lián)系

分析核電儀控系統(tǒng)中安全性與可靠性的關(guān)系及區(qū)別，可以從以下幾點(diǎn)加以討論。

（1）概念上來講，可靠性概念關(guān)注的核心是壽命，旨在分析、控制和預(yù)防系統(tǒng)的故障，分析對(duì)象是故障，安全性關(guān)注的核心是安全與危險(xiǎn)，旨在識(shí)別、評(píng)價(jià)、消除或控制中的危險(xiǎn)，分析對(duì)象是危險(xiǎn)和風(fēng)險(xiǎn)。

對(duì)于整個(gè)系統(tǒng)來說，系統(tǒng)故障集和危險(xiǎn)集部分相互覆蓋。有些時(shí)候故障是安全的，即系統(tǒng)故障造成不可靠性，但不導(dǎo)致安全性喪失（如圖3中FS區(qū)域），例如：核電安全控制系統(tǒng)的模擬量輸入端出現(xiàn)錯(cuò)誤，但是控制系統(tǒng)通過診斷控制設(shè)計(jì)將失效導(dǎo)向安全輸出。

有些時(shí)候故障等于危險(xiǎn)，不可靠性就是不安全（如圖3中FH區(qū)域）。例如：當(dāng)核電安全控制系統(tǒng)的輸出控制端失效，導(dǎo)致系統(tǒng)拒絕本該進(jìn)行的停堆動(dòng)作。

有些時(shí)候危險(xiǎn)因素造成不安全，但不導(dǎo)致系統(tǒng)故障（如圖3中H區(qū)域）。例如：遠(yuǎn)低于安全閥值的模擬量偏差。

圖3 故障與危險(xiǎn)關(guān)系圖

（2）從設(shè)計(jì)目的上來說，可靠性的目的是將系統(tǒng)的失效率控制到最小，安全性在控制系統(tǒng)失效率的同時(shí)，重點(diǎn)研究失效發(fā)生后不會(huì)發(fā)生安全事故，將危害減到最小。因此，在防止故障方面，可靠性和安全性的利害關(guān)系是一致的?？梢哉f可靠性是安全性的前提和基礎(chǔ)，產(chǎn)品只有在保證可靠性的前提下，考慮安全性才有意義。不可靠的產(chǎn)品，安全性無從談起。

但在實(shí)際設(shè)計(jì)時(shí)，安全性和可靠性有時(shí)是矛盾的。按照安全性設(shè)計(jì)理念，希望故障被診斷發(fā)現(xiàn)，并能通過設(shè)計(jì)導(dǎo)向安全。這樣必然使設(shè)計(jì)更為復(fù)雜，在一定程度上增加了系統(tǒng)的故障率，降低了系統(tǒng)的可用性。但若只考慮可靠性，那么安全性也無法保證。

（3）從分析方法上來說，安全性分析方法中的確定論評(píng)價(jià)方法和概率分析評(píng)價(jià)方法無論是所依據(jù)的理論基礎(chǔ)，還是技術(shù)方法，都與可靠性分析有著密不可分的關(guān)系。在安全性分析中統(tǒng)治地位的FTA、ETA和FMEA，同樣在可靠性分析中不可缺少。這些分析方法在系統(tǒng)可靠性、安全性分析中是相互補(bǔ)充、相輔相成的關(guān)系，需要根據(jù)可靠性分析與安全性分析各自的結(jié)果采取改進(jìn)措施，以滿足系統(tǒng)可靠性、安全性的全面要求。

同時(shí)，在分析系統(tǒng)可靠性時(shí)，必須關(guān)心不同故障模式的潛在后果。對(duì)于那些會(huì)引起安全問題的故障，需要作出安全評(píng)價(jià)，這時(shí)可靠性與安全性分析將結(jié)合在一起。

（4）核電儀控系統(tǒng)對(duì)可靠性和安全性有著不同的定量要求，安全性的度量是危險(xiǎn)概率或風(fēng)險(xiǎn)值，涉及事件的發(fā)生概率與后果?？煽啃允前凑障到y(tǒng)執(zhí)行其預(yù)定功能能力來確切度量的，度量一般為MTBF值和可用性等。兩者的定量要求計(jì)算分析方法不同，但都是以失效概率為出發(fā)點(diǎn)進(jìn)行的。

（5）可靠性高的產(chǎn)品未必就是安全性高的產(chǎn)品，以核電控制系統(tǒng)中常用的冗余系統(tǒng)設(shè)計(jì)為例，當(dāng)采用3重并聯(lián)冗余設(shè)計(jì)時(shí)，其可靠度數(shù)學(xué)表達(dá)式為，而當(dāng)采用3取2表決冗余設(shè)計(jì)時(shí)，其可靠度數(shù)學(xué)表達(dá)式為（假設(shè)表決器可靠）。可以看出3重并聯(lián)冗余設(shè)計(jì)可靠性要優(yōu)于3取2表決冗余設(shè)計(jì)，其邏輯圖如圖4、圖5所示。但3取2表決冗余設(shè)計(jì)增加了表決器，在表決單元完好地進(jìn)行數(shù)據(jù)判斷，降低故障誤報(bào)率，安全性比3重并聯(lián)冗余設(shè)計(jì)高。

圖4 3重并聯(lián)冗余邏輯圖

圖5 3取2冗余邏輯圖

5 結(jié)論

從概念、設(shè)計(jì)目的、分析方法、定量要求等方面可以看出，安全性和可靠性不等同，也不能混淆，但實(shí)際上又有著非常緊密的聯(lián)系。在進(jìn)行核電儀控開發(fā)時(shí)需要將安全性和可靠性工作同時(shí)開展，區(qū)別對(duì)待的同時(shí)緊密聯(lián)合。

[1]孫懷義, 劉斌, 曹曉莉. 表決冗余系統(tǒng)可靠性與安全性研究[J]. 電子測(cè)量與儀器學(xué)報(bào), 2011 (7).

[2]蔡琦. 船用核動(dòng)力裝置可靠性與安全性分析的關(guān)系探討[J]. 海軍工程學(xué)院學(xué)報(bào), 1997(4).

[3]威廉?戈布爾. 控制系統(tǒng)的安全評(píng)估與可靠性[M]. 中國電力出版社, 2008.

[4]IEC 61508 Functional safety of electrical/electronic/programmable electronic safety-related systems[S].