基于系统论模型的核电厂数字化仪控系统安全性分析方法研究

摘要

仪控系统作为核电厂的“控制中枢”和“神经中枢”，它的可靠安全运行是核电厂安全稳定运行的基础。在经历了模拟仪控系统，分布式仪控系统之后，目前新一代的核电厂仪控系统采用了全数字化技术。数字化技术在大大提高了系统安全性和可靠性的同时，也给系统带来了新的失效模式。在数字化仪控系统中，软件故障模式不同于硬件故障模式，仪控系统的设计与运行需要综合考虑软件、硬件、环境、人等多部件的协同交互工作。
　　核电领域传统的安全性分析借鉴基于可靠性理论的分析方法，如故障树分析（FTA）、失效模式及后果分析（FMEA）等，传统分析方法的目标是寻找失效系统部件作为底事件，这种多米诺模型方法不适用于事件间存在间接或非线性关系的系统。核电厂数字化仪控系统中由于计算机及其他新技术的使用，系统复杂性大幅提升，人们在设计和操作时无法预计、识别、防护系统部件之间的所有交互行为。在这种由未知交互行为所引起的系统安全事故中并没有发生部件的故障或失效，而是可能由于系统在设计时没有提前识别出不安全部件交互，以及系统需求规范错误所导致的，传统分析技术无疑无法应对这种新情况。
　　针对这些问题，研究者们提出了基于系统理论、从系统角度来探索更为适当的安全分析方法，包括Rasmussen的基于分层社会技术模型，Hollnage的FRAM功能共振事件模型，以及Leveson提出的的STAMP系统论事故建模与过程模型。其中STAMP模型认为事故发生的根本原因不完全是部件失效，事故也可以是由于部件间异常的交互所引起的，保障系统安全性需要对这些异常或未预期的交互行为施加正确控制行为，因此可以基于系统部件间相互依赖的控制结构来分析不安全控制动作及其发生致因因素，通过对系统运行过程不安全控制进行恰当的约束，防止安全事故的发生。为实现这些思想，研究者基于STMAP模型提出STPA方法用于对目标对象的安全分析提供参考指导。
　　论文采用STAMP模型为理论基础，以STPA方法为应用工具，对我国某研究院所设计的安全级仪控系统设计方案进行了安全性分析与评价，以反应堆紧急停堆子系统为说明案例，详细分析了自动处理逻辑与手动控制逻辑两种情况下可能导致系统安全事故的致因因素和危险场景，然后分别应用核电厂仪控领域常用安全性分析FMEA与FTA方法，以停堆失效为顶事件，对该紧急停堆子系统进行了安全分析。在逐项比对三种方法的分析结果的基础上，对三种方法的各项指标进行了量化计算与比较，总结得到三种方法的优缺点、特性及适用环境，并总结指出将STPA方法应用于核电DI&CS还存在的不足之处。
　　针对STPA方法缺乏物理结构描述能力，无法对结果进行量化比较分析等不足，论文提出一种安全分析结果量化及使该方法更好适用于核电领域的改进方法：NMSIE-STPA，该方法采用了布尔逻辑表达及逻辑推演方法来反映STPA结果的多重冗余物理结构，并基于这一描述方法提出了NMSIE-STPA的最小安全事件集生成方法；基于STPA方法对于分析结果缺乏重要度量化分析能力，论文通过参考借鉴FTA方法中结构重要度量化思想，提出了NMSIE-STPA方法安全影响度指标的量化计算与分析方法，这些扩展与改进使得STPA方法的分析结果更具有实践参考意义和指导价值。
　　论文的主要创新点如下：
　　（1）创新性引入系统论的安全性分析方法，探索其在核电数字化仪控系统领域的工程应用，发现设计方案中潜在安全事故致因因素，提出针对性防护措施建议，形成安全性分析报告；
　　（2）探索性研究FTA、FMEA、STPA三种方法的量化比较分析，根据量化结果得出STPA方法可以更为完备准确的描述事故危险场景的结论，指出各种方法在不同应用场景的选取参考原则；
　　（3）针对STPA方法分析结果，提出采用布尔逻辑表达方法，实现STPA方法对多重冗余物理结构的形式化描述，并提出了一种STPA方法最小安全事件集生成方法；
　　（4）参考可靠性理论中重要度概念，提出STPA方法中的安全影响度指标，对STPA方法分析所得安全基本事件进行安全影响度量化比较与分析，并提出一种利用可靠度计算的安全影响度计算实现方法。