APP下载

故障树方法计算核电厂数字化保护系统可靠性

2020-11-03刘景宾

核安全 2020年5期
关键词:故障率控系统核电厂

乔 宁,刘景宾

(生态环境部核与辐射安全中心,北京 100082)

随着数字化技术的发展,数字化仪控系统(DCS)已广泛应用于国内外核电厂。由于核电厂安全运行需要反应堆保护系统执行安全功能,因此,仪控系统的可靠性定量分析得到了越来越多的重视。经过多年的运行,国内某核电厂积累了一定的数字化仪控系统部件运行数据。本文使用故障树(FTA)可靠性分析法,依据保护系统的信号流程图建立以紧急停堆失效(保护系统拒动)为顶事件的故障树,利用部件实际的故障率数据作为输入,对建立的故障树进行定量分析,得到保护系统紧急停堆功能的故障概率和对应的最小割集,为核电站仪控系统设计的改进和运行维护提供指导[1]。

1 故障树的建模

1.1 分析流程

数字化保护系统是保证核电厂安全的重要组成部分,用于防止反应堆工况超过规定的安全限值,或减轻反应堆超过安全限值所造成的后果。保护系统的典型故障模式为在事故工况下不能产生触发停堆断路器动作信号(拒动),称为预期瞬态未紧急停堆(ATWT)。故障树建模分析是以系统层面不希望发生的事件为分析目标,逐层分析导致系统各层故障出现的直接原因,最终分析除导致顶事件发生的原因(或原因的组合),评估顶事件发生概率的一种技术方法,该方法非常适合用来分析复杂系统的不希望发生的事件。本文以保护系统拒动为顶事件,采用故障树建模分析技术评估保护系统的拒动概率。

图1是一种典型的故障树分析流程。首先,应根据保护系统的构架和功能确定分析范围。然后,根据保护系统的设备组成,包括其板卡通信和供电方案,绘制保护系统的信号流图。根据信号流图,以及板卡的故障模式和处理机制,进行故障树模型的建立。将板卡的运行数据处理后输入模型进行计算,即可得到保护系统拒动的概率,以及进行后续的数据分析。

1.2 保护系统总体结构

图1 故障树建模分析流程图Fig.1 Modeling analysis flow chart fault tree

保护系统的主要功能是在事故工况下执行安全功能:触发紧急停堆和启动专设安全设施驱动系统。该系统通常由4个冗余的通道构成,每个通道满足独立性、隔离等要求。通道由多个功能模块组成,包括信号的采集模块、信号的处理模块以及信号的输出模块等。

核电厂数字化保护系统结构如图2所示,当反应堆参数接近安全运行范围限值时,反应堆保护系统通过停闭反应堆自动阻止反应堆在不安全范围内运行。安全级过程仪表和核仪表产生的保护信号经过保护系统的采集、运算,与整定值比较后产生反应堆紧急停堆驱动信号。

图2 数字化保护系统结构原理图Fig.2 Structure diagram of digital protection system

停堆变量(过程变量、中子注量率等)由2~4个冗余的测量仪表通道进行测量,相应的采集及逻辑处理通道(保护组)对测得的信号进行采集、运算和定值比较,产生用于逻辑表决的“局部脱扣”信号,然后将此“局部脱扣”信号送至除自身以外的其他3个保护组,因而,每个保护组都得到了与测量通道数目相对应的“局部脱扣”信号。然后,每个保护组对这些“局部脱扣”信号进行表决和逻辑处理,当满足规定的逻辑组合要求时便发出停堆信号用于打开停堆断路器。

1.3 故障树建模

故障树建模的首要任务是确定顶事件,本文中故障树的顶事件为保护系统保护功能拒动。

建立故障树应从顶事件触发由上而下,循序渐进逐级进行,故障树演绎过程是逐层寻找事件直接原因的过程。根据故障判据将故障树顶事件的直接原因作为中间事件用逻辑符号(或门、非门等)与顶事件相连,将该中间事件继续向下分解,重复上述过程直至所有事件无法向下分解或不必要向下分解,这些事件即为故障树的底事件,或称基本事件[2]。建模开始前,应严格定义顶事件、中间事件和基本事件。

保护系统由4个冗余的通道构成,4个通道的输出执行2/4表决逻辑输出动作信号,则3个或3个以上的通道同时发生拒动将导致保护系统拒动。

保护系统的每个通道由多个功能模块(如输入、处理和输出模块)组成。依据保护系统的信号流程图,可分析各个功能模块的故障状态,如何决定该通道的状态,即故障模块之间的逻辑关系。

功能模块由不同类型的板卡构成,应考虑板卡的故障模式,故障模式是否可诊断以及故障模式的处理机制。对于可以自检的模块,如处理器,分为可探测故障和不可探测故障两类故障机制。对于可探测故障,描述可以立刻探测到故障,并进行维修的部件,数学上认为这类部件的故障是时间独立的,单位时间发生的故障与前后的状态无关。对于不可探测的故障,认为只能由定期试验探测出。本文通过调研多家设计单位、核电业主公司得知,不可探测故障通常占到探测故障的1%~10%,本报告中取平均值5%,即不可探测故障为占总故障的5%。此外,在工程实践中,对于某些自检周期极短的模块,如网卡或通讯模块,不考虑其发生不可探测故障。

1.4 共因失效

共因失效(Common Cause Failure,简称CCF)是指在一个系统中由于某种共同的故障机理而引起两个或两个以上部件同时失效。共因失效是冗余系统失效的主要根源,从工程实践角度来讲,对执行同一功能的同类型部件因工作原理相似、共因失效可能性较大,应设为共因组。

共因失效参数需要大量的统计数据才能得到,我国目前还没有积累足够的可靠性运行数据,也缺乏对数字化仪控系统数据的统计管理,因此,共因参数参考NUREG 5497—2015[11]中3.1节给出的共因参数,见表1。该标准统计了1997—2015年中3224次数字化仪控系统独立随机故障中的116次共因故障,包括旁通、控制、超驰等类型,具有较强的参考性。

表1 共因参数Table 1 Common cause parameter

1.5 软件可靠性

目前,核电厂仪控系统使用的工业计算机中普遍部署Linux、Windows等操作系统,安全级仪控系统的平台软件和应用软件也是基于上述系统开发的。软件因具有有别于硬件设备的、独特的失效机理,评估软件可靠性非常困难。

目前,国内外尚无公认的仪控系统软件可靠性定量分析的计算方法,工业界提出了很多软件可靠性定量评估方法,然而这些方法是否适用于核电厂安全级仪控系统软件的可靠性评估,至今业界未达成共识,各国都制订了相关法规标准对仪控系统可靠性总体指标进行规定,例如《核动力厂设计安全规定》(HAF 102—2016)[6]要求“必须设置适当且可靠的控制系统,使相关过程变量保持在规定的运行范围内”,但仍缺乏系统性、规范性的可靠性评价方法。

工程实践中,西门子公司依据其安全级和非安全级仪控平台的国内外运行经验,将整个序列的软件故障率作为整体进行考虑,根据其安全级仪控平台技术规格书故障率推荐使用1.0×10-6,本文为保守起见,使用1.0×10-5。

2 故障树模型计算

2.1 数据处理

目前的核电厂仪控系统可靠性计算中,对于板卡级的故障率多数采用供货商提供的数据,本文采用核电厂实际运行的部件级故障率,可以更好地反映实际情况。根据故障树模型的输入要求,应给出部件故障率的值和分布,但是,实际工作中提供的是故障次数和运行时长,因此,需要对数据进行转化处理。此外,对于运行期间无故障的部件,需要给出故障率的估算。

本文涉及的核电厂已经运行多个燃料循环,渡过了部件的早期失效期,可以认为安全级仪控系统部件的故障是随机分布的,故障的分布是均匀的,因此,单位时间(每小时)的故障率等于故障次数除以运行时间[9]。

图3 失效率-时间曲线Fig.3 Failure rat-time curve

对于运行期间无故障的部件(例如,某些试验时才动作的),应给出其故障率的估算。按照上述假定,失效概率在整个试验中均保持不变。对于按需动作的部件,进行n次独立试验,每次试验只有两种结果——成功和失败。如果连续n次动作均无故障,按照《核电厂安全系统可靠性分析一般原则》(GB/T 9225—1999)[9]中8.7.1节的方法,可估算该部件的故障率和置信区间。

根据定义:

式中,n——次数;

P0——故障率;

a——置信区间。即执行n次试验成功,置信度100(1-α)%时,失败概率P的上置信限小于或等于P0,或者说,可靠性的下置信限大于或等于1-P0。

上式变形可得:

由此可估算在要求的置信度下n次试验成功时的故障率。

2.2 故障树建模

本文使用瑞典开发的Risk Spectrum软件进行故障树的分析计算,故障数简图如图4所示。该软件是核电业界广泛使用的概率安全分析软件。

Risk Spectrum采用了最小割集算法。底事件是指故障树中不能再分解的基本事件。割集是故障树中若干底事件的集合,如果这些底事件全部发生将导致顶事件发生。最小割集是底事件的数量不能再减少的割集,即在该最小割集中去掉任意一个底事件之后,剩下的底事件的集合就不是割集。一个最小割集代表会引起故障树顶事件发生的一种故障模式。计算出该故障树的最小割集后,即可利用底事件的故障率和多样性组的故障率,得出每个割集的故障率和顶事件的故障率。

图4 故障树简图Fig.4 Fault tree diagram

2.3 计算结果

根据电厂提供的故障记录,按照本文2.1节中的方法进行处理,输入本文2.2节所描述的故障树模型,得到总体故障率Q=2.03×10-7,满足GB/T 4083中关于拒动率1×10-4的要求。前10个最小割集如表2所示。

表2 前10个最小割集Table 2 Top ten minimum cut sets

3 数据分析

3.1 共因故障是仪控系统失效的主要因素

如表2所示,关键设备的共因失效影响是仪控系统故障的主要因素。不考虑共因故障时,模型中不设置共因组,总体故障率为1.02×10-9,设置一组共因组的情况下总体故障率2.03×10-7,仅一项的贡献就高达84.6%。共因失效的贡献占如此比例的原因是4组同时失效“击穿”了冗余机制,而且根据NUREG 5497的数据,其概率不是可以忽略的数字。因此,应充分重视共因故障的风险,采取有效措施减小共因故障的概率或缓解共因故障的后果。

3.2 多样性分组可以有效缓解共因故障

为解决安全级仪控系统共因故障问题,除了设置非安全级的多样性驱动系统外,模型显示,对停堆变量设置多样性分组是十分有效的手段,如对一回路温度高停堆,对于停堆参数设置两个多样化的子组,如1、3序列和2、4序列使用不同的传感器。在模型中,模拟量输入模块1、3和2、4分别设置共因组,可以看出,其对故障的贡献大大减小。多样性分组最小割集见表3。

表3 多样性分组最小割集Table 3 Diversity group minimum cut set

3.3 不可探测故障的贡献远大于可探测故障

根据不可探测故障的假设,其只能在定期试验中发现,无法通过自检等方式发现。不可探测类型故障的贡献远大于可探测故障,举例说明:模型计算结果中处理器不可探测故障的贡献为3.36×10-10,可探测故障的贡献为1.51×10-11,是仅次于共因故障的仪控系统失效原因。因此,应重视不可探测故障的排查。

4 结论

应充分重视共因故障对数字化仪控系统的影响,3.1节数据分析显示,关键设备的共因故障是仪控系统故障的主要因素。因此,在数字化仪控系统的设计过程中,除设置非安全级的多样性停堆系统和ATWT缓解系统外,应考虑尽量采取停堆参数的多样性分组。

部件的不可探测故障是仪控系统故障的次要因素,3.3节数据分析显示,部件的不可探测故障的贡献是可探测故障的贡献的数十倍。因此,在核电厂运行期间,对于故障率高的卡件或部件,应考虑减少其定期试验周期,如转日常或在线监测。

猜你喜欢

故障率控系统核电厂
核电厂新材料使用批准制度研究
重水堆核电厂压力管泄漏的识别与处理
核电厂工程建设机组防异物管理与实践
秦山核电厂运行许可证延续研究与应用
通过控制策略的改进降低广五直线电机的故障率
关于DALI灯控系统的问答精选
基于运行信息的断路器故障率预测研究
多型号车控系统统型设计实践
基于单片机的智能门控系统
数字电视播控系统关键技术探究