核电厂安全级DCS在研制过程中的质量管理
来源:用户上传
作者:
摘 要
基于功能安全對智能控制的重要性,针对波音737MAX坠机事件原因,核电厂安全级DCS就如何将故障控制在研制阶段进行反馈,阐述了安全级DCS在研制过程中的质量管理控制方法,力求为国内核电站以及其他智能控制技术的功能安全质量管理控制工作提供思路,实现国内核电站以及其他智能控制行业的稳定运行及健康发展。
关键词
核电厂;安全级DCS;波音737MAX;功能安全;质量管理;智能控制
中图分类号: TM623 文献标识码: A
DOI:10.19694/j.cnki.issn2095-2457.2020.05.035
0 引言
2018年10月29日至2019年3月10日,半年内连续坠毁两架机龄不超过1年的波音737MAX-8客机,致使数百人罹难,且坠机时间均发生在飞机起飞几分钟后[1]。波音737MAX坠机所引发的严重后果在全球引起的剧烈的震动,对波音MCAS功能安全故障的关注也达到了一个新的高度。
安全级DCS与波音737MAX同属智能控制技术,而安全级DCS系统是核反应堆保护系统的控制系统,是DCS的关键组成部分,它对核电站反应堆的安全状况进行监控,用来完成事故工况下反应堆安全停堆、专设安全设施驱动等功能,限制或减轻事故后果,保障反应堆及人员安全,对维持核电站安全状态极为重要,是核电站安全运维的关键。安全级DCS若发生功能安全问题将有可能造成机组设备的严重损坏[2],其缺陷引发的失效甚至还可能导致核泄漏等危害公众生命安全的严重事故。
目前,安全级DCS在核电站的应用发展良好[3],那么安全级DCS在研制过程中的功能安全质量管理控制方法对国内核电站和其他智能控制行业的功能安全质量控制工作具有一定的参考意义。
1 波音737 MAX-8坠机原因
从中国航空报和凤凰网科技等官方渠道初步调查和分析的报告得出,失事飞机可能存在以下问题[1]:
1.1 设计选型变更[4]
衍生机型波音737MAX采用了CFMLEAP发动机替换了波音737的老一代动力模块,更加静音省油。但是,CFMLEAP系列发动机直径更大,发动机顶端几乎和机翼前缘齐平,在飞机原有气动布局不变的情况下,发动机位置的改变可能在某些情况下导致机头上仰,面临失速风险。
1.2 设计缺陷
解决新型动力模块引起的机头上仰问题有两种方案,一是改造飞机的整体气动布局,从根本上消除飞机上仰隐患;另一种是应用控制系统调整机头仰角。相较于重新设计气动布局的工作量和成本,波音选择采用自动防失速系统,即“机动特性增强系统(MCAS)”解决设计变更引入的新问题。
然而,波音设计的MCAS并没有解决737MAX-8飞机的安全隐患,MCAS系统依靠机头两侧的两个迎角传感器检测飞机迎角,只要一个传感器检测到飞机迎角超过安全界限,就激活MCAS系统自动压低机头。而空客飞机在类似系统设计中规定,若多个迎角传感器的检测结果不同则报错给飞行员,不触发防失速系统,避免迎角传感器故障触发错误动作。MCAS缺少冗余设计使得一个传感器故障就可能引发灾难性后果。
MCAS的优先级设计同样可能存在缺陷,当MCAS被错误的迎角数据启动后,系统自动压低机头。若迎角传感器持续上报错误数据,即使飞行员关闭自动飞机模式改为手动模式,操作驾驶杆调整机头迎角控制飞机高度,该系统仍然保持运行持续压低机头,只有飞行员手动操作符合系统设置条件时MCAS才会关闭。
1.3 质量管理及维护
由于飞行员事先未被告知MCAS的存在及使用方法,飞行员无法及时关闭系统,因此在起飞过程中飞机高度还不够高时接连发生两起飞机下降坠毁事故。
飞机维护人员也未被告知MCAS的存在,事先未检测出传感器故障等多重原因导致了悲剧的发生。
1.4 监管不力
美国联邦航空管理局FAA未有效发挥监管职责,MCAS的安全性在未得到充分试飞验证的情况下通过了FAA的适航认证。
2 安全级DCS在研制过程中的质量管理
针对以上波音坠机事件原因,核电厂安全级DCS就如何将故障控制在研制阶段进行反馈,阐述安全级DCS在研制过程中的质量管理措施,为国内核电站以及其他智能控制行业的功能安全质量管理控制工作提供思路。
2.1 制定元器件选型流程
元器件是安全级DCS平台产品的基础,对整个产品的功能性能、稳定性和可靠性有重要的影响。
安全级DCS制定了一系列严谨和完整的工作流程和阶段来执行元器件的选型设计过程。主要阶段为:调研和分析阶段,原理验证阶段,试验验证阶段,试生产阶段,认证阶段。
调研和分析阶段:通过把已经经过多个成熟项目验证的元器件建立成元器件优选库,所有项目元器件选型皆从优选库中选择,以保证功能性能和可靠性能得到充分的保证,同时也能充分复用以前项目中的硬件设计和软件设计,以加快研发进度并降低技术风险。针对优先库中没有的元器件,通常是先采购样品进行测试和验证,在确认功能性能和各项指标满足要求后确定元器件的规格型号和品牌。除了技术指标,选型还需要重点关注的方面包括:价格,供货渠道,供货周期,供货的稳定性,与生产制造能力的匹配等。
原理验证阶段:在确定元器件的基础上,设计人员可以开展原理验证,制作各项功能模块样件,主要工作包括:原理图设计、PCB设计、软件设计和样件的制造。在样机制造出来后进行充分的调试和测试工作,以验证样机上的元器件是否满足设计要求。如果满足设计要求,则元器件可初步固化,如果不满足要求,则重新选型。安全级DCS平台用了一年多的时间来完成原理验证,经过3个软硬件版本的迭代才完成元器件的固化和产品定型。 试验验證阶段:在原理验证的基础上,将各样机集成为功能样机,开展进一步的试验验证工作。安全级DCS平台产品元器件主要经历的验证实验包括:环境实验,EMC实验,振动实验,地震实验,长期稳定性实验。只有完全通过各项实验的元器件才能应用到最终的产品上。
试生产阶段:前述几个阶段主要是验证元器件的功能性能和各项技术指标。除了这些之外,还需要经过小批量试生产阶段以验证元器件与生产线的匹配情况,固化工艺过程,以消除产品大批量生产过程中可能暴露的问题。在该阶段暴露问题的元器件仍需进行调整,但通常影响的是器件的封装形式,包装形式等。安全级DCS平台产品已经完成多批次的试生产,生产工艺已经固化。元器件的选型基本要求,参数要求和已固化元器件清单都编制成了受控文件《元器件选型报告》,供项目采购原材料时审查,避免了后续取证时元器件型号不符等问题。
认证阶段:针对核安全级产品,在取证过程中,需要提供产品的整套技术文档,在文档中包括元器件的各种技术状态,包括规格型号,厂家品牌等。监管或认证机构将基于已确定的元器件开展审查评估和认证工作。安全级DCS平台产品在多个项目的取证材料中均包括了元器件的详细信息。
2.2 开展设计验证
安全级DCS只有通过了设计验证,才能在生产中安全稳定的运行。
安全级DCS测试验证通过对设备进行二次开发,设计自动化测试工装,开发记录软件、数据分析软件和测试自动控制软件,来提高了测试效率,实现了数据的自动化分析和记录。
安全级DCS设计验证除了上述的测试验证外,还通过硬件原理验证和试验验证,软件IV&V,基于马尔可夫法的可靠性功能安全分析等一系列措施将设计问题事前控制在研发阶段,避免安全级DCS在生产过程中出现故障。
2.3 建立研发设计管理规范
(1)建立硬件设计规范,软件设计规范,研发项目管理制度,研发管理流程,配置管理规程,变更控制规程等64份规范性文件对研发设计工作进行质量管理;
(2)建立研发实验室安全管理制度,保证实验安全顺利地进行,营造安全舒适的实验环境;
(3)定期开展核安全文化培训,新员工安全培训和操作规范培训,提高员工质量安全意识。
2.4 建立设计缺陷管理方案
(1)应用JIRA项目与事务跟踪工具,对缺陷进行跟踪、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理,使需求问题得到闭环;
(2)把测试过程和结果形成测试报告,对发现的问题和缺陷进行分析,为质量控制提供依据;
(3)利用FRACAS故障报告、分析和纠正措施系统使研发过程中存在的问题得到有效的确认和分析,并采取纠正措施,消除了产品故障的根本原因,预防了故障的发生;
(4)对设计试验验证出现的问题进行经验总结并反馈,防止类似问题重复发生;
(5)对外经验交流,汲取精华,将事故事前控制在研发阶段。
2.5 核安全监管[5]
安全级DCS设备的质量和可靠性直接关系到核设施的安全稳定运行,我国国家核安全局(NNSA)照《民用核安全设备监督管理条例》和《民用核安全设备设计、制造、安装和无损检验监督管理规定(HAF601)》的要求,负责对核安全设备的许可、设计、制造、安装和无损检验活动的监督管理,安全级DCS只有取得相应许可证,并遵守许可证规定的活动范围和条件才可执行。
3 安全级DCS在研制过程中的质量管理效果
在当前安全级DCS的研制过程中,通过上述设计管理及流程的制定,以及核安全监管的综合处理,促进了“龙鳞”系统的发布,具体实施效果如上表1所示。
4 结束语
波音智能控制技术的失败是人为的灾难,我们只有持续不断的发现问题,将事故透明化,并有针对性的采取措施,才能保证我国智能控制技术的稳定运行及健康发展。安全级DCS就通过制定了元器件选型流程,建立设计管理规范,建立设计缺陷管理方案,开展设计验证,以及核安全监管部门对安全级DCS的监管、取证过程控制,将设计过程中出现的各种“不确定性”事前控制在了研制阶段,强化了设计质量,把人因失效消灭在了萌芽状态,降低了因变更和改造所带来的成本,促进了核电厂安全级DCS长期安全、稳定和高效的运行,对于智能控制技术的质量管理控制工作具有一定的参考意义。
参考文献
[1]陆峰,杨敏,王元元.波音737MAX-8客机空难事故初步分析[EB/OL].中国航空报.(2019-03-19)http://www.cannews.com.cn/2019/0319/192195.shtml.
[2]孙谷丰.提高大型机组分散控制系统(DCS)的安装调试质量[J].河南科技.2014(11).
[3]胡天南.DCS在核电站的应用[J].科技视界.2014(11).
[4]大水来.波音737MAX坠机分析:先进救命系统为何变要命系统[EB/OL].凤凰网科技.(2019-03-11)http://news.mydrivers.com/1/618/ 618625.html.
[5]申万万,胡义武,田苗,蔺淑倩,卢冲.基于FPGA的核电厂安全级仪控系统平台HAF601取证研究[J].电脑知识与技术.2017(06).
转载注明来源:https://www.xzbu.com/8/view-15180672.htm