反应堆保护系统可靠性指标的评价方法研究
2015-05-04童节娟周继翔
王 伟,赵 军,童节娟,周继翔,肖 鹏
(1.清华大学 核能与新能源技术研究院,北京 100084;2.中国核动力研究设计院,四川 成都 610041)
反应堆保护系统可靠性指标的评价方法研究
王 伟1,赵 军1,童节娟1,周继翔2,肖 鹏2
(1.清华大学 核能与新能源技术研究院,北京 100084;2.中国核动力研究设计院,四川 成都 610041)
反应堆保护系统的性能水平对核电厂安全、经济、可靠运行有很大影响。而实践中如何正确评价反应堆保护系统的可靠性指标,业界并未形成一致方法。本文选取简化的典型反应堆保护系统为研究对象,主要讨论拒动概率故障树分析和误动率马尔科夫方法的适用性,分析拒动概率、误动率两个指标分别适用的评价方法,并对示例系统的可靠性指标进行定量计算。本研究对进一步澄清国内反应堆保护系统可靠性评价中的方法问题,具有重要的参考价值。
反应堆保护系统;拒动概率;故障树方法;误动率;马尔科夫方法
核电厂反应堆保护系统(RPS)是核电厂的重要部分之一,一方面用于确保核电厂的正常运行,另一方面在事故后的电厂响应和事故缓解中扮演着重要的角色。RPS的性能水平对核电厂机组的安全、经济、可靠运行有很大影响。
尽管RPS具有自身的固有安全性,但其可靠性评价仍存在诸多问题。首先,保护系统一般较复杂,且随着计算机技术的发展,RPS功能越强大,尺寸也越小,因此在可靠性分析建模时,数学建模方法与工程实际吻合的难度也越大;其次,RPS是人-机-环境共同构成的整体,分析时必须考虑三者之间的相互作用与影响,同时还需考虑故障的先后顺序、故障持续时间等因素,在当前条件下,很难找到一种适合诸多因素的有效的可靠性建模工具[1]。因此,本文在澄清RPS可靠性指标混淆问题的基础上,以RPS两个重要的设计指标(拒动概率及误动率)为依据,对RPS的可靠性定量评价方法进行探讨,并对所提出方法的适用性进行分析。
1 RPS可靠性指标及分析方法选择
1.1 拒动概率与误动率
《反应堆保护系统安全准则》(GB/T 4083—2005)规定,动力反应堆的紧急停堆系统可靠性设计要求满足如下两个指标[2]:1) 每个变量的系统安全故障率(误停堆率)不大于每年1次;2) 每个变量在要求保护动作时,系统因随机故障而不动作的概率不大于10-5。
从上面的要求归纳,反应堆保护系统的可靠性评价涉及两个指标,即拒动概率和误动率。拒动概率是指系统在要求保护动作时,系统或其部件因随机故障而不动作的概率,主要与系统或部件自身的状态有关,而与时间无关,是无量纲量,取值在0~1之间。误动率则是指系统或元件在单位时间内发生误动作的次数,它是与时间有关的量。
1.2 可靠性指标分析方法选择
可靠性分析方法大致可分为定量分析法和定性分析法两种[3]。在系统的可靠性分析中,有多种可靠性的建模方法,如可靠性逻辑框图法、马尔科夫(Markov)过程模型、故障树方法、事件树方法、GO图模型等。需根据待评价可靠性指标的特点,选择合适的评价方法。
1) 拒动概率
反应堆保护系统是由所有电子器件、机械器件和线路(从传感器一直到执行机构的输入端)组成的产生保护信号的系统,它能满足如下要求:自动触发有关的系统(需要时包括停堆系统)动作、检测事故工况并触发为减轻这些事故工况后果所需的系统动作、抑制控制系统的不安全动作。
通过保护系统的描述与作用可知,在发出保护信号时,各子系统及部件的动作基本是顺序的,无明显的信号动态反馈。因此若以保护系统拒动为顶事件,可按照直接原因逐步反溯到更深层的原因。这种分析思路符合故障树方法的原理。于文革等[4]的研究也表明这一分析思路确实可行。
基于上述考虑,选取故障树分析方法进行反应堆保护系统拒动概率的定性定量分析。
2) 误动率
误动率是保护系统单位时间发生误动作的次数的表征。对反应堆保护系统的误动率进行分析时,需考虑维修试验带来的状态变化,因而会有反馈逻辑、时序变化等方面的影响。
由于故障树方法的根本原理是布尔代数,是一种静态、不区分时序的方法,因此对维修试验、反馈等因素的构模,只能按平均状态来体现,很难准确表示系统可靠性的状态变化过程。
另外,故障树最小割集的基本事件都是无量纲的概率型。若一个最小割集中出现多个失效率型的基本事件,则继续采用故障树定量化法计算后得到的结果不具有物理意义,在量纲上也不可能得到“次/年”等表征频率的单位。因此,在进行误动率的分析时,故障树分析方法有困难。
马尔科夫方法是表示时间函数状态概率的常用方法。原则上,在马尔科夫方法框架下,需求失效概率可通过将系统不响应指令(失效危险状态)的状态的失效概率进行加和得到,该值是时间的函数。安全失效平均间隔时间(MTTFS)、危险失效平均间隔时间(MTTFD)及其他的平均失效时间均可利用马尔科夫模型精确计算。所以,马尔科夫方法可能是最全面的一种可用于评估控制系统可靠性的方法[4],可适用于保护系统的可靠性建模,精确定量化保护系统的误动率。
但用马尔科夫方法分析复杂系统时,其状态数目的增长非常迅速,从而使模型的分析非常困难。
因此,本文提出一种利用马尔科夫方法的基本原理,结合保护系统特点,进行“模块化”处理建模的方法。反应堆保护系统包含多个子系统,每个子系统中,根据部件所在的位置、作用及部件间的相互影响,可划分为不同的模块,每个模块通过某一信号进行前后联系。依据上述模块划分,在进行系统的误动率分析中,基于每个模块的特定且唯一的功能及其模块间的串并联关系,采用“模块化处理——综合建模”的思路。首先建立每个模块的马尔科夫模型,在此基础上,将各模块的马尔科夫模型进行串并联分析与整合,得到系统级的马尔科夫模型。在进行定量分析时,首先对各模块的马尔科夫模型分别进行定量计算,得到模块级的失效率与维修率,然后将其应用于系统级马尔科夫模型并进行综合的定量分析,最终依据各状态转移率求得系统的误动率。
2 典型系统分析
2.1 典型系统描述
为验证上述拒动概率和误动率分析方法的适用性,以简化的核电厂RPS为模型进行分析,简化的系统包含A、B两个子系统,并假定子系统之间实体隔离,其结构如图1所示。在该系统中,每个子系统使用两套独立的传感器(S-A和S-B),它们分别对应的测量值由相应的子系统进行处理后与设定值进行比较,如果测量值超过预先设定值,则该子系统由双稳态处理器逻辑(BPL-A或BPL-B)产生1个局部脱扣信号。每个子系统的信号处理过程相同。产生的局部脱扣信号分别发送至两个子系统的局部符合逻辑(LCL-A和LCL-B)。
每个LCL对接收的局部脱扣信号进行二取二表决。如果某个LCL接收并处理2条来自不同子系统的局部脱扣信号,将对其相连接的2个停堆逻辑处理器(RT-A1、RT-A2,RT-B1、RT-B2)产生相应的电信号。每个停堆逻辑处理器将电信号转换之后,分别向与之对应的继电器触点(M1、M2、M3及M4)发出1条继电器断电信号。
图1 典型系统结构Fig.1 Scheme of simplified system
M1、M2、M3和M4共同构成停堆触发逻辑矩阵(RTM)。在RTM中,M1与M2进行二取一表决,M3与M4进行二取一表决,两个表决出的信号分别将相关的中间继电器断电(二取二表决),同时RTM发出停堆信号。
2.2 利用故障树方法求解拒动概率
2.2.1 建模方法及说明
针对本示例系统停堆信号拒发故障树的依据分析方法的适用性,作如下假设:
1) 对本示例系统进行拒动分析,即认为RTM拒发出停堆信号。因此,本工作选取“停堆信号拒发”作为顶事件,自顶向下识别系统故障原因并建立故障树。
2) 系统中每个部件的拒发信号事件分别考虑“自身故障失效”及“未从上一环节接收到信号”两种失效模式。
3) 分别考虑RT-A1与RT-A2、RT-B1与RT-B2、M1与M2、M3与M4的共因失效,选取BETA模型进行共因参数选值,其中共因因子β=0.1。同时,基于子系统之间实体隔离,因此在建模时不考虑子系统间对应设备(如LCL-A与LCL-B)之间的共因失效。
2.2.2 建模过程及图示
根据示例系统说明及故障树建模假设,可建立该系统的停堆信号拒发故障树,如图2所示。
图2 停堆信号拒发的故障树Fig.2 Fault tree of failing to send out shutdown signal on demand
2.3 利用马尔科夫方法求解误动率
2.3.1 建模方法及说明
本示例系统的构造相对非常简化,但系统内部包含2个子系统,且每个子系统可划分为多个模块,因此在本示例系统的误动率分析中,采用2.2节中提出的“模块化处理——综合建模”的建模方法,对示例系统进行马尔科夫建模,并定量分析系统误动率。
系统状态划分是马尔科夫建模的第1步,针对本序列的马尔科夫建模作如下假设:
1) 系统中包含的所有部件只考虑两种状态,即故障和成功。
2) 为集中体现系统中逻辑处理的特点,并考虑对工作量的简化,在系统建模中将采取模块化分步建模处理。
3) 系统的初始状态为系统中所有部件均为成功状态。
4) 考虑系统的维修与诊断等的维修率。
5) 模型中分别考虑RT-A1与RT-A2、RT-B1与RT-B2、M1与M2、M3与M4的共因失效,选取BETA模型进行共因参数选值,其中β=0.1。同时,基于子系统之间实体隔离,因此在建模时不考虑子系统间对应设备(如LCL-A与LCL-B)之间的共因失效。
在进行示例系统的误发停堆信号的马尔科夫建模时,根据系统功能及失效后的影响,将该系统划分为以下几个模块:
1) BPL模块:BPL(BPL-A或BPL-B)误发局部脱扣信号,建模以BPL-A为例;
2) LCL模块:LCL模块(含LCL与RT)误发出继电器断电信号,建模以LCL-A、RT-A1及RT-A2为例;
3) RTM模块: RTM误发出停堆信号。
2.3.2 建模过程及分析
1) BPL模块误发信号的马尔科夫建模过程
示例系统中,BPL共发出4路局部脱扣信号,这4路信号由两个BPL分别产生,且产生过程完全相同。因此,在建模时选取1路局部脱扣信号的误发即可,以A1为例,其产生过程如下:(1) 传感器S-A输入参数通过通道检查及传感器校验,测量值与设定值进行比较;(2) 传感器参数传递到ADC-A,输入参数由ADC-A转换为电信号;(3) 电信号经BPL-A处理后形成局部脱扣信号A1并传入下一模块。
根据上述分析及其之前的建模假设,对本模块状态进行划分,并以此建立该模块的马尔科夫模型,如图3所示。
以局部脱扣信号A1误发为例
在此模型中,A0为工作状态,即所有部件都成功;A1、A2、A3分别为传感器S-A对输入参数的校验或比较失效、数模转换器ADC-A失效、双稳态逻辑处理器BPL-A失效的状态,均为吸收态。其中,λA1、λA2、λA3分别为S-A误动、ADC-A误动及BPL-A误动的失效率,这些误动主要是由于自身设备故障造成的失效;μA1、μA2、μA3分别为S-A、ADC-A及BPL-A失效后的维修率。
2) LCL模块误发继电器断电信号的马尔科夫建模过程
示例系统包含两个相同且平行的LCL模块(含LCL与RT),其信号的接收、处理及发送过程完全相同;同时每个RT接收及发出继电器断电信号的过程相同。因此,在建模时取1组LCL模块进行分析即可,以LCL-A、RT-A1、RT-A2为例。
通过分析得知,导致RT-A1误发出继电器断电信号的原因如下:
(1) LCL模块本身成功,但LCL-A接收到两个子系统误发出的局部脱扣信号。此时,该两路局部脱扣信号在LCL模块中经LCL-A、RT-A1及RT-A2的接收、处理后将发出继电器断电信号。
(2) LCL模块中LCL-A、RT-A1或RT-A2由于自身设备故障造成信号误发。此时需考虑RT-A1、RT-A2共因故障。
根据建模假设及上述分析,对LCL模块误发信号进行状态划分,并由此建立相应的马尔科夫模型,如图4所示。
图4 LCL模块误发继电器断电信号的马尔科夫模型Fig.4 Markov model of mistakenly sending cut-off signal from LCL to relays
在该模型中,B0为初始状态,系统正常运行;B1为LCL-A接收到某子系统误发出的局部脱扣信号,但此时不予以做信号处理,但仍为工作状态;B2、C1、C2、C3为吸收态,分别为LCL-A接收到两条误发出的局部脱扣信号、LCL-A自身故障误发电信号、RT-A1自身故障误发继电器断电信号、RT-A1与RT-A2共因失效。其中,λB、μB分别为BPL-A(或BPL-B)误发出局部脱扣信号的失效率和维修率,这两项参数通过2.3.2条中的BPL模块信号误发马尔科夫模型的定量计算求得;λC1、λC2、λC2c分别为局部符合逻辑LCL-A误动的失效率、停堆逻辑处理器RT-A1误动的失效率及RT-A1与RT-A2的共因失效率;μC1、μC2分别为LCL-A与RT-A1失效后的维修率。
3) RTM模块误发停堆信号的马尔科夫建模过程
在停堆触发逻辑矩阵RTM中,若继电器触点M1、M2至少有一个触点因误动而断开,同时M3、M4也至少有一个触点因误动而断开,则RTM会误发出停堆信号。由此可知,导致停堆信号误发的原因是:(1) RTM本身成功,继电器触点接收到误发出的继电器断电信号而使RTM断路误发出停堆信号;(2) 继电器触点由于自身故障而断开,致使RTM误发停堆信号。
此时,为方便系统分析,假设上述两种情况不同时发生。如M1、M2中某一触点由于自身故障而断开,同时M3、M4中某一触点由于接收到误发出的继电器断电信号而断开的情况不存在。
上述两种情况建立误动马尔科夫模型时,因涉及的部件及状态转移数量较多,建立一个模型分析较为复杂。因此,在RTM模块中对上述两种情况分别建模。
图5 继电器触点接收到误发继电器断电信号导致RTM误动的马尔科夫模型Fig.5 Markov model of RTM malfunction since relay contacts received cut-off signals mistakenly sent
(1) 继电器触点接收到误发出的继电器断电信号时相应的马尔科夫模型如图5所示。在这一模型中,D0为初始状态,系统正常运行;D1、D3为触点M1、M2中1个、2个接收到误发的继电器断电信号而误断开;D2、D4为M3、M4的对应状态,均为工作状态;D5为M1、M2中1个触点及M3、M4中1个触点均接收到误发出的继电器断电信号误断开;D6为M1、M2中2个触点及M3、M4中2个触点均接收到误发出的继电器断电信号误断开;D7为M1、M2中2个触点及M3、M4中1个触点接收到误发出的继电器断电信号误断开;D5、D6、D7为吸收态;λD为某一继电器触点误断开的失效率;μD为某一继电器触点的维修率。
图6 RTM模块继电器触点自身故障误发停堆信号的马尔科夫模型Fig.6 Markov model of RTM malfunction caused by self-faults of relay contacts
(2) 继电器触点由于自身故障而断开时,分别考虑M1与M2、M3与M4之间的共因失效。此时,继电器触点M1、M2至少有1个触点因误动而断开,同时M3、M4也至少有1个触点因误动而断开,则导致RTM误发停堆信号。相应的马尔科夫模型如图6所示。此模型中,E0为初始状态;E1、E3分别为触点M1、M2中1个、2个自身故障误开;E2、E4为M3、M4的对应状态,均为工作状态;E5为M1、M2中1个触点及M3、M4中1个触点自身故障误断开;E6为M1、M2中1个触点及M3、M4中2个触点自身故障;E7为M1、M2中2个触点及M3、M4中1个触点自身故障;D5、D6、D7为吸收态;λE、λEc分别为某一继电器触点误断开的失效率以及M1、M2(或M3、M4)2个触点共因失效的失效率;μE为某一继电器触点的维修率。
3 可靠性指标定量分析
本文中,拒动概率、误动率分析所采用的基础失效数据主要参考美国用户要求文件URD中的参考数据[5]。
3.1 拒动概率的定量分析
触发停堆时,每个部件的触发时间很短,一般为秒量级,但此处为保守计算,选取停堆触发的任务时间为1 h。对于图2所示的停堆信号拒发故障树进行定量化分析,得到顶事件“停堆信号拒发”的发生概率Q=4.26×10-6。
通过Risk Spectrum运算可得对顶事件发生概率贡献处于前8位的重要最小割集(表1)。同时,计算结果显示,这8项最小割集对顶事件的贡献超过99.8%。
表1 图2所示停堆信号拒发故障树的重要最小割集Table 1 Significant minimum cut sets obtained from fault tree model in Fig.2
3.2 误动率的定量分析
马尔科夫模型定量分析时,假设定期试验间隔TI=1 a,设备的实际修复时间(TR)均为8 h,则设备平均维修时间[6]计算如下:
MTTR=TI/2+TR=4 388h
其维修率为:
μ=1/MTTR=2.28×10-4h-1
因此,示例系统定量分析时,μA1、μA2、μA3、μC1、μC2、μE3取值均为2.28×10-4h-1。
1) 模块级维修率的求解
计算某系统的维修率时,为保守计算,通常选取该系统马尔科夫模型中MTTR最大的部件作为整个模型的MTTR,因此该系统的维修率为MTTR的倒数。
因此,图3所示BPL模块误发信号的马尔科夫模型中,BPL模块的模块级维修率采用上述保守计算方法。本示例系统中各部件的维修率μ=2.28×10-4h-1,BPL模块的马尔科夫模型的模块级维修率μB=2.28×10-4h-1。由此可知,LCL模块的模块级维修率μD=2.28×10-4h-1。
2) 模块级失效率的求解
在本工作马尔科夫模型中,模块级失效率即为模型的失效率,数值上等于模型平均首次故障前时间MTTFF的倒数。MTTFF是可维修产品首次故障时间的平均值,它反映了产品的制造及出厂前对产品早期故障采取措施的水平[7]。计算MTTFF可采用以下公式[8]:
λ=1/MTTFF
其中,f(t)为产品的概率密度函数。
MTTFF可通过马尔科夫模型的转移率矩阵求得。因此,图3~6所示马尔科夫模型各自的模块级失效率分别为:
λB=1/MTTFFB=
同理,求得:
3) 系统误动率λM的求解
图5、6所示的马尔科夫模型为并联关系,因此系统失效率为图5、6模型的模块级失效率之和:
4 结论
故障树方法可适用于估算保护系统的拒动概率。因保护系统拒发信号分析是一顺序执行的过程,故障树分析能有效对保护系统故障类型进行拆分,建立相应的逻辑关系后进行定性定量分析。
运用“模块化处理——综合建模”的马尔科夫方法,可有效解决马尔科夫方法难以胜任复杂系统的误动率分析的困难。一方面它很好地解决了分析复杂系统时模型中状态转移数目增长迅速带来的计算困难,同时借助于系统分析时模块内部、模块之间的相互串并联关系,使模块之间的分析结构更加清晰。
未来需进一步研究的是,马尔科夫方法中单元发生故障和修复的过程默认假设服从泊松过程,即一段时间内状态转移的概率随时间增长而增长,而实际系统中还会出现与时间无关的事件,如继电器需求拒开,马尔科夫方法对于这类情形的表征和模化还存在一定的困难。
[1] 方涛. 核电站数字化控制系统可靠性评价方法的研究[D]. 北京:华北电力大学,2013.
[2] GB/T 4083—2005 核反应堆保护系统安全准则[S]. 北京:中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会,2005.
[3] 李良巧. 机械可靠性设计与分析[M]. 北京:国防工业出版社,1998.
[4] 于文革,张志俭,黄卫刚,等. 大亚湾核电站反应堆保护系统可靠性分析[J]. 核动力工程,2003,24(1):63-67.
YU Wenge, ZHANG Zhijian, HUANG Wei-gang, et al. Reactor protection system reliability analysis of Daya Bay NPP[J]. Nuclear Power Engineering, 2003, 24(1): 63-67(in Chinese).
[5] EPRI. Utility requirement document annex a reliability data base for passive ALWR PRAs[R]. US: EPRI, 2008.
[6] 威廉·戈布尔(美). 控制系统的安全评估与可靠性[M]. 白焰,董玲,杨国田,译. 北京:中国电力出版社,2008.
[7] 赵众. 可靠性工程[M]. 北京:石油大学出版社,1997.
[8] 乔巍巍. 数控系统可靠性建模及熵权模糊综合评价[D]. 长春:吉林大学,2008.
Evaluation Method of Reliability Indicator of Reactor Protection System
WANG Wei1, ZHAO Jun1, TONG Jie-juan1, ZHOU Ji-xiang2, XIAO Peng2
(1.InstituteofNuclearandNewEnergyTechnology,TsinghuaUniversity,Beijing100084,China; 2.NuclearPowerInstituteofChina,Chengdu610041,China)
The performance level of reactor protection system is of a great effect on nuclear power plant safety, economy and reliable operation. However, the industry has not formed a consistent methodology on how to correctly evaluate the reliability index of the reactor protection system in practice. In this paper, the applicabilities of fault tree analysis on the probability of failure on demand and Markov method on the malfunction rate were mainly discussed based on a simplified typical reactor protection system. The evaluation methods applicable respectively for the following two indicators, namely the probability of failure on demand and the malfunction rate of the typical system were estimated, and the reliability indicators of the sample system were quantitatively calculated. This research has clarified methodologically problem in the analysis on the reliability evaluations of reactor protection system in China and is of significant value as a reference.
reactor protection system; probability of failure on demand; fault tree analysis; malfunction rate; Markov method
2014-01-20;
2014-03-05
王 伟(1987—),男,山东日照人,硕士研究生,核能与核技术工程专业
TB114.3
A
1000-6931(2015)06-1101-08
10.7538/yzk.2015.49.06.1101
