尹慧琳，杨筱菡

(同济大学a.中德安全仪控实验室 上海 200092;b.数学系 上海 200092)

0 引言

核电仪控系统控制着整个电能生产的主要和辅助过程，并在所有运行模式及紧急情况下维护电站的安全性、可靠性及可用性，以及在正常运行工况下维护环境的正常状态。其中安全仪控系统负责执行必要的安全保护功能，以保证被保护对象处于安全状态。当危险事件发生时，安全仪控系统将采取适当的动作和措施，防止被保护对象进入危险状态。随着核电站安全仪控系统服役时间加长，其硬件系统可靠性下降，系统安全等级随之下降，安全仪控系统作为保证受控设备安全状态的关键，其自身的安全性、可靠性问题日益成为研究的焦点。

国内核电安全仪控系统的设计主要依据为《核电厂设计安全规定》、《核电厂安全系统设计基准》以及《核电厂常规岛仪表与控制系统设计规程》等。这些规程规定关注的是单一设备的安全性能，而对于不同生产厂商的单一安全产品集成为系统后的安全性，以及当某些设备出现故障时系统整体的安全性，都没有明确的评价依据。功能安全的设计和评估从对单一设备和系统发展到对安全仪控系统整个安全生命周期提出安全要求，确保安全系统在整个安全生命周期中都能正常工作。国际上已建立了功能安全的标准体系，如IEC61508等。国内对安全仪表系统功能安全的研究越来越重视，引进了国际标准并制订了相应的国家标准，但核电领域还未建立功能安全认证体系，进行系统功能安全测试成为目前核电站面临的新课题。

在功能安全研究中，安全完整性等级 (Safety Integrity Level，SIL)是一个核心概念，衡量在一定时间、条件下，安全系统执行其安全功能的可靠程度［1］。如何计算安全相关系统的失效概率是IEC61508在确定安全完整性等级时研究的主要问题之一，失效概率具体指高要求操作模式或连续操作模式下的PFH(Probability of Failure per Hour)和低要求操作模式下的PFD(Probability of Failure on Demand)，操作模式取决于具体应用情况，本文对失效概率统一进行研究。IEC61508中只是对参数相同并且简单的冗余结构，如二取一、三取二冗余结构的失效概率给出了计算方法，对更复杂的系统尚未涉及。核电站数字化仪控系统［］的反应堆限制系统及反应堆保护系统中都采用四取二冗余结构，即当四个通道中至少有两个通道正常工作时系统保持正常工作。本文对核电站安全仪控系统中四取二冗余结构的失效概率计算方法进行研究。

常用的失效概率计算方法有故障树分析、可靠性方块图法、Markov方法及Petri网方法等［3-4］。本文借鉴IEC61508标准第六部分中计算简单系统失效概率的方法，对四取二系统进行可靠性分析，提出一种面向工程应用的失效概率计算新方法POPFA(Practice-oriented Probability of Failure Analysis)。以数字化核电安全仪控系统TXS的四取二冗余结构为计算实例，通过与Markov方法进行比较，表明POPFA方法计算结果正确并且计算复杂度远小于Markov方法，适合于工程应用。该方法为核电站安全仪控系统的安全性、可靠性分析及认证提供工程应用参考及理论基础。

1 四取二冗余系统的POPFA方法

从可靠性和安全性角度，对四取二冗余结构做以下假设及定义:

(1)四个通道结构相同，皆为可修复系统，可靠性参数完全相同，且连续工作时间和故障修复时间服从负指数分布;

(2)除共因故障外，在任一时刻，不会有两个或两个以上的通道同时出现故障;发生共因故障时，该四取二结构失效，但并不意味整个系统失效，因为该四取二结构只是安全仪控系统的其中一个子系统，整个系统还采用了物理多样性等方法;

(3)初始时刻，四个通道均工作正常。

故障分为危险可识别、危险不可识别、不危险可识别、不危险不可识别四种类型。对系统的失效概率进行研究，只考虑危险可识别和危险不可识别两种故障。首先对四取二冗余系统的危险不可识别故障导致的系统失效概率进行分析，在此基础上对系统的失效概率进行求解。

1.1 危险不可识别故障导致的系统失效概率计算

危险可识别和危险不可识别故障的故障率分别表示为λDD、λDU，对于危险可识别故障，故障发生后立刻维修，平均修复时间为MTTR(mean time to repair);危险不可识别故障需在周期性检测试验(periodical proof test)时故障被检测并进行维修，平均修复时间为检测时间与实际维修时间之和。假设故障发生在任何时间，平均检测时间为检测试验周期T的一半，通常实际维修时间远远小于检测试验周期时，平均修复时间近似为T/2。危险可识别、危险不可识别故障相应的修复率分别表示为μDD=1/MTTR，μDU=2/T。对于多通道冗余系统，每个通道要分别进行周期性检测试验，Hilderbrandt［5］证明，各通道检测时间交替情况下系统的失效概率小于各通道同时检测时系统的失效概率，本文采用各通道检测交替进行的方法降低系统失效概率，如图 1，每个通道的检测周期为 T，各通道检测的时间间隔为T/4。图中曲线U1(t)为通道1的失效概率曲线，可近似视为正比曲线:

图1 四取二冗余系统各通道及系统的失效概率

失效概率最大值U1max=λDU·T及最小值U1min=0分别出现在检修开始时刻T-及结束时刻T+。

设第四通道检修开始时刻为t1(如图1)，该时刻各通道的失效概率分别为:

当三个或四个通道失效时该冗余系统失效，所以该时刻系统的失效概率为:

该时刻的失效概率为系统失效概率的最大值，即:

同样的方法可求得系统失效概率的最小值:

图1中U(t)表示系统的失效概率曲线，近似为一正比曲线，失效概率均值为:

1.2 系统的失效概率计算

单通道危险可识别故障导致的失效概率为:

三个或四个通道同时发生故障时，系统失效，所以相应的系统失效概率为:

可识别共因故障、不可识别共因故障因子分别设为βD、β。危险可识别共因故障导致的系统失效概率为:

危险不可识别共因故障，各通道的周期检测时间间隔为T/4，任何通道检测时都会检测到共因故障，所以系统失效概率为:

系统的失效概率由四部分组成:可识别故障、不可识别故障、可识别共因故障、不可识别共因故障，即:

2 Markov方法的实现

根据四取二冗余系统中各通道的运行状态，Markov模型的状态空间包括S0至S11的十二个状态。如图2，状态S0表示四个通道都正常工作，状态S1表示三个通道正常工作、一个通道存在危险不可识别故障，状态S2表示三个通道正常工作、一个通道存在危险可识别故障，状态S10表示危险不可识别共因故障，状态S11为危险可识别共因故障。

单通道发生危险不可识别故障的概率为(1- β)λDU，四个通道中有一个通道发生危险不可识别故障的概率为4(1- β)λDU，即为由 S0到S1的状态转换率。在任何通道检测时，都可发现危险不可识别共因故障，各通道的检测时间间隔为T/4，所以由S10到S0的状态转换率为4μDU。

有两个以上通道发生故障时，冗余系统失效，即当系统处于状态S6、S7…、S11时系统失效。

图2 四取二冗余系统的Markov模型

3 算例分析

根据安全设计准则，核电安全仪控系统［6］TXS(比如田湾核电站采用)设计有两个多样性组，每个多样性组具有四个冗余通道，主要包括测量回路、信号采集和处理计算机部分及表决计算机部分［7］。将各通道的参数设定如表1。基于表1各参数，分别用本文中新方法及Markov方法求得系统的失效概率为2.82 E-7和3.02 E-7。基于POPFA方法的失效概率值列于表2。

表1 四取二冗余结构中各参数设定

表2 基于POPA方法的不可用度及失效概率值

基于Markov方法的系统处于失效状态的概率P6、P7…、P11及PF示于图3，其中:

表2中危险不可识别共因故障导致的系统失效概率UDUC远大于其他失效概率值，接近系统的失效概率。同样，由图3也可看出，基于Markov方法的计算也存在同样结果，P10远远大于其他状态概率，即如果系统失效，危险不可识别共因故障的影响起

图3 基于Markov方法的部分状态概率及系统的失效概率主导作用。

在同样的运行环境下(基于Intel(R)Core(TM)i3-2100 CPU@3.10GHz处理器、4.0 GB内存PC机由MATLAB程序实现运算)，POPFA与 Markov方法的运算时间分别为4E-6 s和1.31 s，POPFA运算成本远低于Markov方法。

4 结束语

本文借鉴IEC61508标准第六部分计算简单系统失效概率的方法，对四取二冗余结构进行可靠性分析，提出一种面向工程应用的失效概率计算新方法POPFA。以数字化核电安全仪控系统TXS的四取二冗余结构为算例，通过与Markov方法进行比较表明该方法计算结果正确并且计算复杂度远小于Markov方法，适合于工程应用。POPFA方法可为核电站安全仪控系统的安全性、可靠性分析及功能安全认证提供工程应用参考及理论基础。

［1］IEC 61508:Functionalsafety ofelectrical/electronic/programmable electronic safety related systems［S］.International Electro-technical Commission，2000.

［2］DING Y J.Unavailability analysis of a generic safety I＆C system with a 2004 redundant structure［J］.Automation，Oldenbourg Industrie-verlag，2010(5):32-36.

［3］HILDEBRANDT A.Calculation of the probability of failure on demand(PFD)of a heterogeneous 1002 structure following the EN 61508 ［J］.Automatisierungstechnische Praxis(atp)，Oldenbourg-Verlag，2007，10(1):64-68.

［4］HILDEBRANDT A.Calculating the“probability of failure on demand”(PFD)of complex structures by means of markov models［C］.Proceedingsofthe 4th European Conference on Electricaland Instrumentation Applications in the Petroleum and Chemical Industry(PCIC Europe 2007)，Paris，2007，6(1):36-40.

［5］HILDEBRANDT A.Smaller probability of failure with periodical proof test in multi-channel systems［J］.Automation Praxis(atp)，Oldenbourg-Verlag，2010，6(1):2-5.

［6］成卫东，刘云，冷杉.安全仪控系统分布式控制器可靠性研究［J］.电力自动化设备，2014，34(2):165-169.

［7］周海翔.田湾核电站安全仪控系统(TXS系统)失效概率估算［J］.核科学与工程，2007，27(1):86-92.