除氧器水位保护系统的可靠性分析
2011-09-04李力肖长歌
李力,肖长歌
(国核电力规划设计研究院,北京 100094)
0 引言
不论在常规火电厂还是在核电厂中,除氧器水位都是机组运行的一个重要控制参数,因此除氧器水位保护系统的安全性和可靠性就成为系统设计的重要指标。本文以非能动安全先进核电厂AP1000的除氧器水位保护系统[1]为依托,从整个测量控制回路的结构、诊断覆盖率以及共因[2]影响等方面进行分析,进而对整个系统的平均故障前时间(MTTF)、需求失效概率(PFD)和安全故障概率(PFS)等指标进行评价,为除氧器水位保护系统的设计提供可靠性数据支持。
1 除氧器水位保护系统的构成及其特性
1.1 系统构成
本文以山东海阳核电厂一期工程中除氧器高-3水位保护系统为研究对象,建立系统可靠性模型并对系统的可靠性指标进行分析。
除氧器高-3水位保护系统由3个液位测量开关、3个DI模块、1个带冗余的控制器、2个DO模块及2个串联的气动逆止阀等构成,如图1所示。
1.2 系统特性
当除氧器水位达到高-3水位之上时,液位开关闭合,DI信号为高电平,控制器经过2oo3(3取2)的逻辑输出DO为高电平信号去关闭2个串联的气动逆止阀,从而切断四抽来汽至除氧器的管路通道,防止除氧器中的水倒流入汽轮机,避免汽轮机损坏。
2 系统可靠性分析
2.1 系统的失效模式
图1 除氧器高-3水位保护系统控制回路
根据除氧器高-3水位保护系统测量控制回路的构成,从构成系统的基本模件入手,对其进行失效模式和影响分析(FMEA),见表1。
FMEA表明了2个重要的失效分类:安全失效(误关阀门)和危险失效(不能关闭阀门)。安全失效时,除氧器应该正常运行,即抽汽逆止阀应该处于打开状态,但由于某种故障使得抽汽逆止阀关闭,除氧器解裂,因为该状态是一种安全状态,所以称这种失效为安全失效模式。危险失效时,抽汽逆止阀应该处于关闭状态,从而隔离除氧器与汽轮机之间的管道,防止除氧器中的水倒流入汽轮机中造成汽轮机的损坏,但由于某种故障使得抽汽逆止阀不能正常关闭,由于该状态会造成汽轮机的损坏,所以称这种失效为危险失效模式。
总失效率可根据公式λ=λS+λD进行计算,式中:上标S代表安全失效;上标D代表危险失效。
由于系统中采用了大量的冗余设备,因此共因失效是系统失效的重要因素。共因失效可能会导致安全失效,也可能导致危险失效,因此设备的失效率可以分为2个互斥的失效:安全共因失效与危险共因失效,这里采用β模型来对共因失效进行描述。
式中:上标SC代表安全共因失效;上标SN代表安全一般应力失效。其中λSC=β×λS,λSN=(1-β)×λS,β为共因失效因子,它取决于由于共因应力导致的复合冗余单元失效的几率。
表1 除氧器高-3水位保护系统的FMEA
式中:上标DC代表危险共因失效;上标DN代表危险一般应力失效。其中λDC=β×λD,λDN=(1-β)×λD,β为共因失效因子,它取决于由于共因应力导致的复合冗余单元失效的几率。
一般来说,控制系统中的在线诊断功能是一个重要的功能,准确的诊断既能提高安全性又能增强可用性。为了定量描述系统诊断的能力,定义采用诊断覆盖率C,它是指发生失效时被检测到的概率,它大于0并且小于1。
当增加诊断功能时,所有可维修控制系统(包括冗余和非冗余的)的可用性和安全性都得到增强,减少了系统在危险模式及降级模式(不能完全正常运行)下的运行时间。
式中:CS为安全失效诊断覆盖率;CD为危险失效诊断覆盖率;上标中间字母D代表已检测到的失效;上标中间字母U代表未检测到的失效。
2.2 三冗余单元的结构及其降级模式
2oo3(3取2)结构容许一个单元的任何失效:危险失效或安全失效。这时系统发生了一次降级,若发生开路(危险失效),系统降级到1oo2(2取1)结构;若发生短路(安全失效),系统降级到2oo2(2取2)结构。
2oo3结构在发生了一次降级后,若又有一个单元发生了另一种失效(即一个单元发生了危险失效后又有一个单元发生了安全失效),或一个单元发生了安全失效后又有一个单元发生了危险失效,那么2oo3结构就发生了二次降级,即系统降为1oo1(1取1)结构,二次降级并不影响系统正常工作。2oo3结构及其降级模式如图2所示。
图2 3取2结构及其降级模式
2.3 输入单元的马尔可夫模型
输入单元为2oo3结构,其马尔可夫模型[3]的建立起始于3个支路完全处于正常工作的状态0。然后,输入单元从状态0以一定的概率转移到4种一次降级模式(状态1~状态4)、安全失效模式(状态9)、可检测到的危险失效模式(状态10)、未检测到的危险失效模式(状态11)。之后,输入单元分别从4种一次降级模式以一定的概率转移到4种二次降级模式(状态5~状态8)、状态9、状态10、状态11。针对可以检测到的失效模式或降级模式,增加了维修功能,并且假定一旦检测到某一设备发生故障,维修人员可以一次完全修复所有的故障。输入单元的马尔可夫模型如图3所示。
输入单元马尔可夫模型的转移矩阵P可以表示如下(其中的1-Σ表示1减去此行中其他元素之和):
2.4 输出单元的马尔可夫模型
输出单元为1oo2结构,其马尔可夫模型的建立起始于2个支路完全处于正常工作的状态0。然后,输入单元从状态0以一定的概率转移到2种降级模式(状态1~状态2)、安全失效模式(状态3)、可检测到的危险失效模式(状态4)、未检测到的危险失效模式(状态5)。之后,输入单元分别从2种降级模式以一定的概率转移到状态3、状态4、状态5。针对可以检测到的失效模式或降级模式,增加了维修功能,并且假定一旦检测到某一设备发生故障,维修人员可以一次完全修复所有的故障。输出单元的马尔可夫模型如图4所示。
输出单元马尔可夫模型的转移矩阵P可以表示为
其中,1-Σ表示1减去此行中其他元素之和。
由于处理单元的结构与输出单元的结构一样,都为一个1oo2的结构,因此处理单元的马尔可夫模型同输出单元一样,这里不再赘述。
3 系统的仿真与计算分析
在除氧器高-3水位保护系统控制回路中,假定其平均维修时间是8 h,因为回路误动作造成系统运行停止后(即抽汽逆止阀关闭)再重新启动的平均时间为24 h。假定液位开关、输入信号线、DI模块、控制器、DO模块、输出信号线、气动阀的平均故障前时间(MTTF)分别为10年、60年、100年、100年、100年、60年、10年,λS分别为 20% λ,5% λ,50%λ,50%λ,50% λ,5%λ,20% λ。针对输入单元(2oo3结构),研究诊断覆盖率和共因对MTTF的影响:
(1)将共因 β固定为0.05,诊断覆盖率 C以0.01为基准单位从1到0进行仿真,研究MTTF的变化情况,如图5所示。
(2)将诊断覆盖率 C固定为0.95,共因 β以0.01为基准单位从1到0进行仿真,研究MTTF的变化情况,如图5所示。
仿真数据表明,在2oo3结构中,诊断覆盖率C在[0.9,1.0]之间MTTF 的变化非常快,说明高诊断覆盖率对系统MTTF的增加是非常有效的。为了提高诊断覆盖率,系统需要增加相应的诊断系统,但增加诊断系统使得系统整体的失效率在增加,需要在高诊断率和高失效率之间寻找一个平衡,使得系统整体的MTTF符合需求。
仿真数据表明,在2oo3结构中,共因β在[0.0,0.1]之间的变化非常快,说明低共因对系统的MTTF的增加是非常有效的。
采用相同的参数设置,研究诊断覆盖率和共因对需求失效概率(PFD)和安全故障概率(PFS)的影响,如图6所示。
仿真数据表明,在2oo3结构中,随着诊断覆盖率C的降低或共因β的增大,PFD在不断增大,但PFS并没有显著增大,并且PFD和PFS在数量级上的差别比较大。由此可见,诊断覆盖率C的降低或共因β的增大将主要增加系统危险失效的概率。
图3 输入单元的马尔可夫模型
图4 输出单元的马尔可夫模型
图5 MTTF与诊断覆盖率和共因的关系(2oo3)
针对输出单元(1oo2结构),研究诊断覆盖率和共因对MTTF的影响:
(1)将共因 β固定为0.05,诊断覆盖率 C以0.01为基准单位从1到0进行仿真,研究MTTF的变化情况,如图7所示。
(2)将诊断覆盖率 C固定为0.95,共因 β以0.01为基准单位从1到0进行仿真,研究MTTF的变化情况,如图7所示。
图6 PFD和PFS与诊断覆盖率和共因的关系(2oo3)
图7 MTTF与诊断覆盖率和共因的关系(1oo2)
仿真数据表明,在1oo2结构中,随着诊断覆盖率C的增大或共因β的减小,MTTF都在增大,但增大的幅度有限,若要提高系统的MTTF,一方面可以提高元件的MTTF,另一方面可以改变系统的结构,例如采用2oo3结构。
采用相同的参数设置,研究诊断覆盖率和共因对需求失效概率(PFD)和安全故障概率(PFS)的影响,如图8所示。
图8 PFD和PFS与诊断覆盖率和共因的关系(1oo2)
仿真数据表明,在1oo2结构中,随着诊断覆盖率C的降低或共因β的增大,PFD在不断地增大,但PFS并没有显著增大,并且PFD和PFS在数量级上的差别比较大。由此可见,诊断覆盖率C的降低或共因β的增大将主要增加系统危险失效的概率。
处理单元与输出单元有着同样的结构,这里不再赘述。
有了对系统可靠性的分析,就可以对影响系统整体可靠性的环节有比较清楚的认识,这将为系统可靠性分配提供理论分析的基础。在设计时,需要把规定的可靠性指标合理地分配给组成系统的各个单元,再将分配给各个单元的指标合理地分配到模件直至组成系统的基本元件,这就需要对可靠性分配的方法[4]进行研究,这属于另一个研究范畴,这里不再赘述。
4 结束语
一般来说,影响系统可靠性的因素比较多,在提高系统可靠性方面除了增加组成系统基本元件的可靠性外,主要从系统的结构、诊断覆盖率及共因方面进行研究,得到以下结论:
(1)系统结构方面。在建立一个系统时,有多种方法来配置控制系统的元件。系统组成结构常见的有单通道系统(1oo1)、双通道系统(1oo2)、双通道系统(2oo2)、三通道系统(2oo3)等。
双通道系统(1oo2)能够最有效地降低系统危险失效的概率,但同时也增加了系统安全失效的概率。
双通道系统(2oo2)正好相反,它能够最有效地降低系统安全失效的概率,但同时也增加了系统危险失效的概率。
三通道系统(2oo3)既能较好地降低系统危险失效的概率,也能较好地降低系统安全失效的概率。
(2)系统诊断覆盖率方面。具有高诊断覆盖率的系统能够有效减少系统在危险失效模式下及降级模式下的运行时间,另外,诊断直接干预系统的运行,可以改善系统的安全性和可用性。
(3)系统共因方面。采用冗余技术可以大大提高系统的可靠性和可用率,但不能有效降低共因失效所引起的系统故障概率。所有级别控制系统的设计者都必须认识到共因失效会严重降低系统的安全性并减少MTTF。因此,应该采取相应的解决方法来消除共因失效,例如采用物理隔离的冗余单元、多样性原则等。
[1]林诚格,郁祖盛,欧阳予.非能动安全先进核电厂AP1000[M].北京:原子能出版社,2008.
[2]谢里阳,林文强.冗余系统共因失效的载荷-性能分析与概率估算[J].核科学与工程,2003,23(4):289 -295.
[3]William M Goble.控制系统的安全评估与可靠性[M].北京:中国电力出版社,2008.
[4]工业自动化仪表与系统手册编辑委员会.工业自动化仪表与系统手册[M].北京:中国电力出版社,2008.