法马通集团复杂核电设备MBSE应用案例
1 复杂核电设备研发中面临的挑战
据2015年数据统计,核电产生的电力为2441 TWh,约占世界总发电量的10%。由于核电不产生碳的排放,对于抑制全球气候变暖有很大的贡献,预计未来核电的规模还会持续增长。
在这一背景下,加上现有核电站的老化,意味着未来几年内,新的核电站建设规模将会逐步增加。当前背景下,核电站从最初设计到电站运营周期超过20年,涉及的工程学科众多,仅核岛部分就有20多个工程学科;零部件众多,仅核岛部分,就有数十万件。核电站的工程设计、建造和许可运营依然面临巨大的挑战。
图-1 复杂的核电设备
1.1 核安全问题
首先核安全依然是核反应堆设计的关键问题。每个核电研发人员都在持续努力改善设计和工艺流程以确保核安全。福岛核泄漏事件的经验教训,以及国家、国际法规的变化,告诉我们最好从概念设计阶段就考虑安全问题。安全部门对核安全的要求和最终设计方案如何满足安全问题的要求也越来越高。
1.2 复杂性增加
核电站建设是大型的复杂基础设施项目,涉及大量的外部和内部利益相关方,这些利益相关方有不同的诉求,也可能受到政治政策的影响,他们的多种需求有时是冲突的,作为核电设备的设计方要同这些利益相关方协调沟通,消除冲突。核电设备设计中受到各种法律法规、场地条件、工业规范和标准、公众利益的制约,可行的设计方案空间有限。核电项目设计、建造周期跨度很长,可以预料的在整个核电项目开发中通常会发生重大变更,这些变更的发生概率要比其他项目大很多,这些变更也增加了项目的难度。
1.3 成本和周期压力
与其他能源相比,核能发电的成本应该保持竞争力。由于工程设计和建造成本占整个投资成本的主要部分,因此要想保持成本竞争力,必须提高核电站的工程性能(如发电能力)和缩短施工时间。
2 MBSE方法:Arcadia的应用和裁剪
法马通集团实施MBSE选择的是Arcadia方法论,它是一种由泰雷兹集团多年系统工程实践经验总结出来的、贴合工程实际情况,符合系统工程师思维的MBSE方法。它描述了整个系统设计中的详细逻辑推理过程,从理解真正的客户需求开始,定义系统架构以满足需求,并在所有的工程相关方之间共享该架构。对系统架构进行早期的验证,并制定后期的集成、验证与确认的策略。
Arcadia方法是一种视点驱动的方法(如ISO/IEC 42010所描述),并区分问题域和解决方案域:问题域是理解需要和需求,包括运行分析和系统功能和非功能的需求分析两个工程层级;解决方案域是系统架构设计,包括逻辑架构定义、物理架构定义。Arcadia方法特别适用于复杂的工程系统或包括多种软硬件的装备产品,特别擅长于协调多种强约束(成本、性能、安全性、复用性、重量等)下的架构设计。
图-2 Arcadia工程层级
本文的研究对象是核岛系统,是核电站的一种重要子系统。针对核岛系统的需求建模和架构设计的需要,对Arcadia方法进行了裁剪。有效的剪裁Arcadia方法的关键因素是减轻工程团队的主要任务量,在不影响项目进度的情况下开展更好、更快的架构设计,而且我们所建的模型能为未来的新型号设计带来价值。
由于核岛系统是个子系统,它的顶层需求一般是由总体分配下来的,需求比较明确,所以一般情况下可以剪裁掉Arcadia方法中的运行分析工程层级。本文主要关注系统分析和逻辑架构层级,最终根据核岛系统的实际情况,确定出6个主要的工程任务:1. 识别状态与转移;2. 识别利益相关方与接口;3. 定义外部功能;4. 根据外部功能衍生出内部功能;5. 分配内部功能到组件;6. 建立动态场景。
图-3 Arcadia方法的剪裁
基于Arcadia方法剪裁的这些工程任务活动都在Capella软件工具实现,目前Capella软件已经集成到西门子Teamcenter平台中,并增加了一些新功能,形成了新的MBSE系统建模平台:System Modeling Workbench。
图-4 MBSE系统建模平台:System Modeling Workbench
3 核岛系统的需求建模与架构设计
3.1 核岛系统介绍
压水堆核反应堆主要包括核岛系统和常规岛系统。核岛系统主要的运行任务是把核反应堆产生的热,以高压蒸汽形式传递给常规岛。高压蒸汽推动蒸汽涡轮,带动发电机旋转,把热能转换为机械能,机械运动切割磁感线再把机械能转换为电能,最终实现核反应堆发电。核岛系统与常规岛系统、为设备提供电力的电力系统,监控和调节整个过程的仪控系统有这复杂的交互关系。
图-5 压水堆核反应堆原理图
核岛系统架构设计中首先要考虑的因素有:目标的发电能力,承受的负载变化范围,所使用的燃料类型,设备的使用年限,核设备的维护约束以及部分组件运营时的更换策略等。更重要的是核岛系统架构设计中要满足安全性需求,应保证整个周期中核岛系统都安全运行:控制核燃料的反应,核热量的排出以及放射性物理的封存等。
3.2 任务1:识别核岛系统生命周期和状态
在开展核岛系统架构设计中,要考虑核岛系统的所有的生命周期阶段。核岛系统的生命周期阶段主要包括系统设计(design,从概念设计到详细设计),采购(Procurement),安装与调试(Erection and Commissioning),运行(Operation),维护和升级(Maintenance and upgrades),系统退役(Deconstruction)。
本文主要考虑核岛系统的运行阶段,根据核电相关标准定义正常运行状态:启动(Start-up),发电(Power production),关闭(shut-down),维护和测试(Maintenance and testing)。同时也考虑了一些紧急情况等的非正常运行状态,如下图所示。图-6也展示了从一种状态转换到另一个状态的过程,这种转换通常由事件或条件变化触发。
图-6 核岛系统生命周期阶段和运行状态
3.3 任务2:识别核岛系统的利益相关方和接口
第2项任务是识别系统的利益攸关方,即核岛系统相关的实体,以及核岛系统如何和这些实体交互的。首先要考虑核岛开发的每个生命周期阶段可能与核岛系统直接或间接关联的组织、个人和其他系统。为了减少架构设计中的不确定性,还要明确核岛系统与这些外部实体的交互接口。
图-7中核岛系统位于中心位置,运行状态中与核岛系统交互的利益相关方围绕在四周。视图的交互接口是核岛系统架构设计中的关键,交互内容通常是个名称短语,通过单向箭头标示了双方交互的方向。如核岛系统把热水传递给热沉系统,热沉系统把冷水再传回核岛系统。这些交互接口在整个生命周期中逐步完善,改进和丰富。
图-7 核岛系统的主要利益攸关方和接口
3.4 任务3:定义核岛系统的外部功能
第3项任务是定义核岛系统的外部功能,要同时考虑核岛系统和相关利益相关方的状态,回答在给定的状态下系统与外部利益相关方如何交互的,以识别出核岛系统的外部功能。这种交互可能是从利益相关方到系统的,也可能是从系统到利益相关方,或者双方互相交互。
在大型核反应堆开发项目中,核岛系统通常和其他核电系统一起开发的。所有我们不仅要关注核岛系统的外部功能项,还要关注这些功能与外部系统的交互。定义这些外部交互接口时和交互的相关系统架构师、下游的设计团队讨论,并达成一致是很有必要的,这样可以保证不同子系统的外部接口的一致性。当交互接口很难一次定义清楚时,需要多次评审才能使各子系统的交互接口、交换内容解耦,最终确定出每个子系统的边界范围。
还有重要的一步是定义功能链路,功能链路是对更高层次系统的外部功能(一般是指能力或高层任务)的实现,如下图中的蓝色线连接的功能块和功能交互。该功能链路展示了常规岛和核岛系统的功能块和功能交互组实现了核岛系统的主要运行任务,通过释放蒸汽把热能传递给常规岛。
图-8 核岛系统的外部功能
通过该阶段的分析,架构师团队应该对核岛系统的需求有了全面的了解。当前的需求是把系统作为一个整体,主要考虑运行阶段,定义外部功能和交互时要考虑外部环境,其他工业系统,外部人因和组织的需求。
3.5 任务4:根据外部功能衍生出内部功能
第4项任务是定义一些内部功能进一步地丰富外部功能。外部功能通常与系统的多个状态相关,而定义分解的内部功能时要详细定义每个外部功能的各个状态。这种对外部功能的分解通常会有不同的几种候选方案,一般情况下,对可行的备选方案都进行分析,并采用权衡分析的方法选出最佳方案。
下图是对核反应堆发电运行状态下核岛系统提供蒸汽到常规岛,推动涡轮做功。该视图是对任务3中的功能链路:释放蒸汽把热能传递给常规岛的丰富。任务的功能:把从常规岛接受到的水变成蒸发,再提供给涡轮,分解为三个内部功能:功能1:从常规岛输送供给水;功能2:通过加热把水变成蒸汽;功能3:把热蒸汽传输到常规岛。
在该任务4中,不仅要考虑功能的分解,还要考虑衍生功能。为了具有变负载能力,核岛系统需要能够提供多种蒸汽流量,这就需要一个调节功能,于是需要一个控制反应堆加热等级的功能。有的时候也可能把一个外部功能的分解后的子功能变成了核岛系统的内部功能。无论是什么情况,分解后的内部子功能要追溯到上一层级的外部功能。
图-9 根据外部功能衍生出内部功能
3.6 任务5:分配内部功能到子系统/组件
第5项任务进入到解决方案域,定义核岛系统的子系统或组件,以及它们之间的交互,以实现核岛系统的功能。架构定义时不仅要考虑技术方面,还要考虑成本和研制周期等方面的因素,这种架构通常会有多种备选方案,通过需要开展各种系统分析,从众多候选架构中权衡中最优。
核电站项目开发大多数都不是全新的项目,通常是对现有的已许可运行的系统进行改造。首先要评估下现有最先进的技术的成熟度,以及如何与继承的其他核电系统进行集成。这里也通常会有多种候选方案,需要权衡分析。
系统架构将成为下一步详细设计的核心参考,不仅要定义好每个子系统或组件分配的功能,而且还要定义每个子系统的边界,以及子系统之间的交互。本文主要定义了核电系统的5个主要子系统:核反应堆发热系统(Heat Production system)、蒸汽传输系统(Steam Transfer system)、核废料处理系统(Fuel Handling system)、保护壳系统(Containment system)和辅助系统(Auxiliary systems)。
下图给出了核岛系统的一种功能分配的候选方案,将分配的内部功能,相关的需求,以及非功能性需求分配给核岛的各个子系统。这种功能分配的候选方案通常是多种的,权衡分析时要考虑安全性和业务目标、成本和开发周期、技术风险等。
如图-10所示,核岛系统的功能链路:以从核岛系统释放蒸发流把热能传递给常规岛系统,分配给核反应堆发热系统和蒸汽传输系统。
在这个阶段,将发布核岛的各子系统需求的第一个版本。核岛各子系统,如核反应发热系统可根据这个版本,以该子系统为待研究的对象,开展任务1到任务3的工作。
图-10 分配核岛系统的内部功能到组件
3.7 任务6:建立动态场景
这项任务的目的是检查架构的完整性,确认下架构设计是否完全满足核岛系统的整个要求。这通常使用动态场景来检查现有的功能和需求是否正确定义了核岛各子系统的预期的行为。动态场景在系统架构设计中也通常用于表达系统的涌现行为或属性。
在该任务中通常要考虑两种场景:正常场景和非正常场景。前者是描述系统正常运行状态的场景;后者是一个或者多个子系统功能同时发生故障时,迫使核岛系统从正常运行状态切换到异常运行状态的场景。
在架构设计团队召集的研讨会中,这些场景可以手动“执行”。当功能和需求分配给这些组件或子系统时要评估它们的响应,是否触发事件。当功能和需求不能很好地描述预期的行为时,需要对其细化,或者在此节点上创建新的功能和需求。
下图表达了由于异常事件而将核岛系统隔离的场景。
图-11 异常工况下的动态场景
最终可能要运行大量的动态场景,所以应该首先执行最关键的场景,即有助于降低系统架构中的风险和不确定性的场景。在该项任务完成后,核岛子系统需求规范可能要更新到最终版本并发布。在设计的后期,这些场景变成了测试用例,通过仿真实现场景的执行,更好更快地支撑架构权衡。
3.8 其他任务
其他任务还包括物理架构设计:如定义到泵和阀门物理元件,选择物理组件时要满足上述任务中定义各子系统的分配的功能和约束。
架构权衡分析:通常要定义出多组架构,通过各种权衡分析选出最优。候选方案可能来自于不同的参考产品分解结构、物理组件的实现技术(气动、液压、电动)、不同的内部功能分解方式,或内部功能分配到子系统的不同方式。权衡分析要线定义好权衡标准,如安全目标、工程成本和建造周期、安装、调试费用和周期,复用策略等。
需求工程:需求工程和MBSE比较密切,包括需求的捕获和分析,协商,早期的验证与确认,需求记录和追溯性。顶层需求是MBSE架构设计的基础,通过需求建模与架构分析,对需求进行分解、细化或者删除相互冲突的需求。
4 小结
Arcadia方法提供了通用的建模步骤和方法,但该方法和步骤是灵活的,可以根据工程产品的实际情况进行裁剪,以适应具体的工程需求,实践证明Arcadia方法是面向工程的方法,符合系统工程师的思维。
法马通集团采用了Arcadia方法实施系统工程后,提高了工程相关方人员之间的交流效率,消除了不同团队的歧义性,MBSE保证了信息的一致性,同时系统模型也提高了设计质量。
法马通集团实施MBSE的待深入研究的工作还有:增加更多的视点,如用于安全性分析的视点,评估关键功能链路的性能的视点,以及支撑架构组件权衡选择的视点等;与其他工程流程集成,如可以做完安全性评估、人因工程、IVVQ等流程的输入;MBSE系统建模工具与领域工程工具:仿真、3D设计工具的集成;MBSE技术流程与项目管理的集成,如MBSE的构型项,能为构型管理提供帮助,有助于针对变更快速开展影响性分析。