龔衛(wèi)芳　閆昊　楊?！↑S奇

摘 要

基于功能安全對智能控制的重要性，針對波音737MAX墜機(jī)事件原因，核電廠安全級DCS就如何將故障控制在研制階段進(jìn)行反饋，闡述了安全級DCS在研制過程中的質(zhì)量管理控制方法，力求為國內(nèi)核電站以及其他智能控制技術(shù)的功能安全質(zhì)量管理控制工作提供思路，實(shí)現(xiàn)國內(nèi)核電站以及其他智能控制行業(yè)的穩(wěn)定運(yùn)行及健康發(fā)展。

關(guān)鍵詞

核電廠;安全級DCS;波音737MAX;功能安全;質(zhì)量管理;智能控制

中圖分類號： ?TM623 ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼： A

DOI：10.19694/j.cnki.issn2095-2457.2020.05.035

0 引言

2018年10月29日至2019年3月10日，半年內(nèi)連續(xù)墜毀兩架機(jī)齡不超過1年的波音737MAX-8客機(jī)，致使數(shù)百人罹難，且墜機(jī)時間均發(fā)生在飛機(jī)起飛幾分鐘后[1]。波音737MAX墜機(jī)所引發(fā)的嚴(yán)重后果在全球引起的劇烈的震動，對波音MCAS功能安全故障的關(guān)注也達(dá)到了一個新的高度。

安全級DCS與波音737MAX同屬智能控制技術(shù)，而安全級DCS系統(tǒng)是核反應(yīng)堆保護(hù)系統(tǒng)的控制系統(tǒng)，是DCS的關(guān)鍵組成部分，它對核電站反應(yīng)堆的安全狀況進(jìn)行監(jiān)控，用來完成事故工況下反應(yīng)堆安全停堆、專設(shè)安全設(shè)施驅(qū)動等功能，限制或減輕事故后果，保障反應(yīng)堆及人員安全，對維持核電站安全狀態(tài)極為重要，是核電站安全運(yùn)維的關(guān)鍵。安全級DCS若發(fā)生功能安全問題將有可能造成機(jī)組設(shè)備的嚴(yán)重?fù)p壞[2]，其缺陷引發(fā)的失效甚至還可能導(dǎo)致核泄漏等危害公眾生命安全的嚴(yán)重事故。

目前，安全級DCS在核電站的應(yīng)用發(fā)展良好[3]，那么安全級DCS在研制過程中的功能安全質(zhì)量管理控制方法對國內(nèi)核電站和其他智能控制行業(yè)的功能安全質(zhì)量控制工作具有一定的參考意義。

1 波音737 MAX-8墜機(jī)原因

從中國航空報和鳳凰網(wǎng)科技等官方渠道初步調(diào)查和分析的報告得出，失事飛機(jī)可能存在以下問題[1]：

1.1 設(shè)計選型變更[4]

衍生機(jī)型波音737MAX采用了CFMLEAP發(fā)動機(jī)替換了波音737的老一代動力模塊，更加靜音省油。但是，CFMLEAP系列發(fā)動機(jī)直徑更大，發(fā)動機(jī)頂端幾乎和機(jī)翼前緣齊平，在飛機(jī)原有氣動布局不變的情況下，發(fā)動機(jī)位置的改變可能在某些情況下導(dǎo)致機(jī)頭上仰，面臨失速風(fēng)險。

1.2 設(shè)計缺陷

解決新型動力模塊引起的機(jī)頭上仰問題有兩種方案，一是改造飛機(jī)的整體氣動布局，從根本上消除飛機(jī)上仰隱患;另一種是應(yīng)用控制系統(tǒng)調(diào)整機(jī)頭仰角。相較于重新設(shè)計氣動布局的工作量和成本，波音選擇采用自動防失速系統(tǒng)，即“機(jī)動特性增強(qiáng)系統(tǒng)（MCAS）”解決設(shè)計變更引入的新問題。

然而，波音設(shè)計的MCAS并沒有解決737MAX-8飛機(jī)的安全隱患，MCAS系統(tǒng)依靠機(jī)頭兩側(cè)的兩個迎角傳感器檢測飛機(jī)迎角，只要一個傳感器檢測到飛機(jī)迎角超過安全界限，就激活MCAS系統(tǒng)自動壓低機(jī)頭。而空客飛機(jī)在類似系統(tǒng)設(shè)計中規(guī)定，若多個迎角傳感器的檢測結(jié)果不同則報錯給飛行員，不觸發(fā)防失速系統(tǒng)，避免迎角傳感器故障觸發(fā)錯誤動作。MCAS缺少冗余設(shè)計使得一個傳感器故障就可能引發(fā)災(zāi)難性后果。

MCAS的優(yōu)先級設(shè)計同樣可能存在缺陷，當(dāng)MCAS被錯誤的迎角數(shù)據(jù)啟動后，系統(tǒng)自動壓低機(jī)頭。若迎角傳感器持續(xù)上報錯誤數(shù)據(jù)，即使飛行員關(guān)閉自動飛機(jī)模式改為手動模式，操作駕駛桿調(diào)整機(jī)頭迎角控制飛機(jī)高度，該系統(tǒng)仍然保持運(yùn)行持續(xù)壓低機(jī)頭，只有飛行員手動操作符合系統(tǒng)設(shè)置條件時MCAS才會關(guān)閉。

1.3 質(zhì)量管理及維護(hù)

由于飛行員事先未被告知MCAS的存在及使用方法，飛行員無法及時關(guān)閉系統(tǒng)，因此在起飛過程中飛機(jī)高度還不夠高時接連發(fā)生兩起飛機(jī)下降墜毀事故。

飛機(jī)維護(hù)人員也未被告知MCAS的存在，事先未檢測出傳感器故障等多重原因?qū)е铝吮瘎〉陌l(fā)生。

1.4 監(jiān)管不力

美國聯(lián)邦航空管理局FAA未有效發(fā)揮監(jiān)管職責(zé)，MCAS的安全性在未得到充分試飛驗(yàn)證的情況下通過了FAA的適航認(rèn)證。

2 安全級DCS在研制過程中的質(zhì)量管理

針對以上波音墜機(jī)事件原因，核電廠安全級DCS就如何將故障控制在研制階段進(jìn)行反饋，闡述安全級DCS在研制過程中的質(zhì)量管理措施，為國內(nèi)核電站以及其他智能控制行業(yè)的功能安全質(zhì)量管理控制工作提供思路。

2.1 制定元器件選型流程

元器件是安全級DCS平臺產(chǎn)品的基礎(chǔ)，對整個產(chǎn)品的功能性能、穩(wěn)定性和可靠性有重要的影響。

安全級DCS制定了一系列嚴(yán)謹(jǐn)和完整的工作流程和階段來執(zhí)行元器件的選型設(shè)計過程。主要階段為：調(diào)研和分析階段，原理驗(yàn)證階段，試驗(yàn)驗(yàn)證階段，試生產(chǎn)階段，認(rèn)證階段。

調(diào)研和分析階段：通過把已經(jīng)經(jīng)過多個成熟項(xiàng)目驗(yàn)證的元器件建立成元器件優(yōu)選庫，所有項(xiàng)目元器件選型皆從優(yōu)選庫中選擇，以保證功能性能和可靠性能得到充分的保證，同時也能充分復(fù)用以前項(xiàng)目中的硬件設(shè)計和軟件設(shè)計，以加快研發(fā)進(jìn)度并降低技術(shù)風(fēng)險。針對優(yōu)先庫中沒有的元器件，通常是先采購樣品進(jìn)行測試和驗(yàn)證，在確認(rèn)功能性能和各項(xiàng)指標(biāo)滿足要求后確定元器件的規(guī)格型號和品牌。除了技術(shù)指標(biāo)，選型還需要重點(diǎn)關(guān)注的方面包括：價格，供貨渠道，供貨周期，供貨的穩(wěn)定性，與生產(chǎn)制造能力的匹配等。

原理驗(yàn)證階段：在確定元器件的基礎(chǔ)上，設(shè)計人員可以開展原理驗(yàn)證，制作各項(xiàng)功能模塊樣件，主要工作包括：原理圖設(shè)計、PCB設(shè)計、軟件設(shè)計和樣件的制造。在樣機(jī)制造出來后進(jìn)行充分的調(diào)試和測試工作，以驗(yàn)證樣機(jī)上的元器件是否滿足設(shè)計要求。如果滿足設(shè)計要求，則元器件可初步固化，如果不滿足要求，則重新選型。安全級DCS平臺用了一年多的時間來完成原理驗(yàn)證，經(jīng)過3個軟硬件版本的迭代才完成元器件的固化和產(chǎn)品定型。

試驗(yàn)驗(yàn)證階段：在原理驗(yàn)證的基礎(chǔ)上，將各樣機(jī)集成為功能樣機(jī)，開展進(jìn)一步的試驗(yàn)驗(yàn)證工作。安全級DCS平臺產(chǎn)品元器件主要經(jīng)歷的驗(yàn)證實(shí)驗(yàn)包括：環(huán)境實(shí)驗(yàn)，EMC實(shí)驗(yàn)，振動實(shí)驗(yàn)，地震實(shí)驗(yàn)，長期穩(wěn)定性實(shí)驗(yàn)。只有完全通過各項(xiàng)實(shí)驗(yàn)的元器件才能應(yīng)用到最終的產(chǎn)品上。

試生產(chǎn)階段：前述幾個階段主要是驗(yàn)證元器件的功能性能和各項(xiàng)技術(shù)指標(biāo)。除了這些之外，還需要經(jīng)過小批量試生產(chǎn)階段以驗(yàn)證元器件與生產(chǎn)線的匹配情況，固化工藝過程，以消除產(chǎn)品大批量生產(chǎn)過程中可能暴露的問題。在該階段暴露問題的元器件仍需進(jìn)行調(diào)整，但通常影響的是器件的封裝形式，包裝形式等。安全級DCS平臺產(chǎn)品已經(jīng)完成多批次的試生產(chǎn)，生產(chǎn)工藝已經(jīng)固化。元器件的選型基本要求，參數(shù)要求和已固化元器件清單都編制成了受控文件《元器件選型報告》，供項(xiàng)目采購原材料時審查，避免了后續(xù)取證時元器件型號不符等問題。

認(rèn)證階段：針對核安全級產(chǎn)品，在取證過程中，需要提供產(chǎn)品的整套技術(shù)文檔，在文檔中包括元器件的各種技術(shù)狀態(tài)，包括規(guī)格型號，廠家品牌等。監(jiān)管或認(rèn)證機(jī)構(gòu)將基于已確定的元器件開展審查評估和認(rèn)證工作。安全級DCS平臺產(chǎn)品在多個項(xiàng)目的取證材料中均包括了元器件的詳細(xì)信息。

2.2 開展設(shè)計驗(yàn)證

安全級DCS只有通過了設(shè)計驗(yàn)證，才能在生產(chǎn)中安全穩(wěn)定的運(yùn)行。

安全級DCS測試驗(yàn)證通過對設(shè)備進(jìn)行二次開發(fā)，設(shè)計自動化測試工裝，開發(fā)記錄軟件、數(shù)據(jù)分析軟件和測試自動控制軟件，來提高了測試效率，實(shí)現(xiàn)了數(shù)據(jù)的自動化分析和記錄。

安全級DCS設(shè)計驗(yàn)證除了上述的測試驗(yàn)證外，還通過硬件原理驗(yàn)證和試驗(yàn)驗(yàn)證，軟件IV&V，基于馬爾可夫法的可靠性功能安全分析等一系列措施將設(shè)計問題事前控制在研發(fā)階段，避免安全級DCS在生產(chǎn)過程中出現(xiàn)故障。

2.3 建立研發(fā)設(shè)計管理規(guī)范

（1）建立硬件設(shè)計規(guī)范，軟件設(shè)計規(guī)范，研發(fā)項(xiàng)目管理制度，研發(fā)管理流程，配置管理規(guī)程，變更控制規(guī)程等64份規(guī)范性文件對研發(fā)設(shè)計工作進(jìn)行質(zhì)量管理;

（2）建立研發(fā)實(shí)驗(yàn)室安全管理制度，保證實(shí)驗(yàn)安全順利地進(jìn)行，營造安全舒適的實(shí)驗(yàn)環(huán)境;

（3）定期開展核安全文化培訓(xùn)，新員工安全培訓(xùn)和操作規(guī)范培訓(xùn)，提高員工質(zhì)量安全意識。

2.4 建立設(shè)計缺陷管理方案

（1）應(yīng)用JIRA項(xiàng)目與事務(wù)跟蹤工具，對缺陷進(jìn)行跟蹤、需求收集、流程審批、任務(wù)跟蹤、項(xiàng)目跟蹤和敏捷管理，使需求問題得到閉環(huán);

（2）把測試過程和結(jié)果形成測試報告，對發(fā)現(xiàn)的問題和缺陷進(jìn)行分析，為質(zhì)量控制提供依據(jù);

（3）利用FRACAS故障報告、分析和糾正措施系統(tǒng)使研發(fā)過程中存在的問題得到有效的確認(rèn)和分析，并采取糾正措施，消除了產(chǎn)品故障的根本原因，預(yù)防了故障的發(fā)生;

（4）對設(shè)計試驗(yàn)驗(yàn)證出現(xiàn)的問題進(jìn)行經(jīng)驗(yàn)總結(jié)并反饋，防止類似問題重復(fù)發(fā)生;

（5）對外經(jīng)驗(yàn)交流，汲取精華，將事故事前控制在研發(fā)階段。

2.5 核安全監(jiān)管[5]

安全級DCS設(shè)備的質(zhì)量和可靠性直接關(guān)系到核設(shè)施的安全穩(wěn)定運(yùn)行，我國國家核安全局（NNSA）照《民用核安全設(shè)備監(jiān)督管理?xiàng)l例》和《民用核安全設(shè)備設(shè)計、制造、安裝和無損檢驗(yàn)監(jiān)督管理規(guī)定（HAF601）》的要求，負(fù)責(zé)對核安全設(shè)備的許可、設(shè)計、制造、安裝和無損檢驗(yàn)活動的監(jiān)督管理，安全級DCS只有取得相應(yīng)許可證，并遵守許可證規(guī)定的活動范圍和條件才可執(zhí)行。

3 安全級DCS在研制過程中的質(zhì)量管理效果

在當(dāng)前安全級DCS的研制過程中，通過上述設(shè)計管理及流程的制定，以及核安全監(jiān)管的綜合處理，促進(jìn)了“龍鱗”系統(tǒng)的發(fā)布，具體實(shí)施效果如上表1所示。

4 結(jié)束語

波音智能控制技術(shù)的失敗是人為的災(zāi)難，我們只有持續(xù)不斷的發(fā)現(xiàn)問題，將事故透明化，并有針對性的采取措施，才能保證我國智能控制技術(shù)的穩(wěn)定運(yùn)行及健康發(fā)展。安全級DCS就通過制定了元器件選型流程，建立設(shè)計管理規(guī)范，建立設(shè)計缺陷管理方案，開展設(shè)計驗(yàn)證，以及核安全監(jiān)管部門對安全級DCS的監(jiān)管、取證過程控制，將設(shè)計過程中出現(xiàn)的各種“不確定性”事前控制在了研制階段，強(qiáng)化了設(shè)計質(zhì)量，把人因失效消滅在了萌芽狀態(tài)，降低了因變更和改造所帶來的成本，促進(jìn)了核電廠安全級DCS長期安全、穩(wěn)定和高效的運(yùn)行，對于智能控制技術(shù)的質(zhì)量管理控制工作具有一定的參考意義。

參考文獻(xiàn)

[1]陸峰，楊敏，王元元.波音737MAX-8客機(jī)空難事故初步分析[EB/OL].中國航空報.（2019-03-19）http：//www.cannews.com.cn/2019/0319/192195.shtml.

[2]孫谷豐.提高大型機(jī)組分散控制系統(tǒng)（DCS）的安裝調(diào)試質(zhì)量[J].河南科技.2014（11）.

[3]胡天南.DCS在核電站的應(yīng)用[J].科技視界.2014（11）.

[4]大水來.波音737MAX墜機(jī)分析：先進(jìn)救命系統(tǒng)為何變要命系統(tǒng)[EB/OL].鳳凰網(wǎng)科技.（2019-03-11）http：//news.mydrivers.com/1/618/ 618625.html.

[5]申萬萬，胡義武，田苗，藺淑倩，盧沖.基于FPGA的核電廠安全級儀控系統(tǒng)平臺HAF601取證研究[J].電腦知識與技術(shù).2017（06）.