动态故障树在反应堆保护系统可靠性评估中的实践应用
2021-10-26李学礼戈道川林志贤王韶轩汪建业
李学礼 戈道川 林志贤 王韶轩 汪建业
1(中国科学院合肥物质科学研究院核能安全技术研究所 合肥 230031)
2(中国科学技术大学 合肥 230026)
反应堆保护系统(Reactor Protection System,RPS)通过各种核测与过程仪表监测整个反应堆的运行状态,能够在反应堆某些状态参数达到设定的整定值时实现自动停堆、启动专设安全设施及限制事故产生的后果,在核电厂安全可靠运行中起到了至关重要的作用[1]。RPS由紧急停堆子系统和专设安全设施驱动装置组成,RPS 结构复杂、设备数量多,存在时序失效行为。目前针对RPS 可靠性的评价方法主要基于传统静态故障树(Static Fault Tree,SFT),该方法无法对PRS时序失效行为进行有效建模,可靠性评价结果不准确。目前,国际上针对含有时序失效行为的工业系统,普遍采用动态故障树(Dynamic Fault Tree,DFT)进行可靠性建模和定量分析[2-4]。DFT 是在SFT 的基础上建立和发展起来的,通过引入多种动态逻辑门实现对系统时序失效行为建模。DFT 的典型分析方法包括:马尔科夫链法[5-6]、不交化积之和(Sum of Disjoint Products,SDP)模型法[7]、蒙特卡罗模拟[8-9]等,其中,SDP模型法由于具有路径不交化的优良特性,成为当前DFT快速分析的一种常用方法。同时,由于RPS 的DFT模型输入参数众多且存在不确定性,使用简单的蒙特卡罗模拟仿真,需要较多的实验次数,会造成分析结果不准确与实验效率低下。目前,国际上LHS结合SFT应用[10-11]与可靠性分析[12-13]较多,但是还没有与DFT 结合的先例。在本文通过使用拉丁超立方抽样(Latin Hypercube Sampling,LHS)并结合动态二叉树SDP 模型实现对RPS 高效可靠性分析,为RPS后期优化设计提供有益见解。
1 理论基础
1.1 动态故障树
DFT是一种通过引入动态逻辑门来描述系统顺序失效行为的系统可靠性建模和分析工具。动态逻辑门主要包括[14]:优先与(Priority And,PAND)门、顺序强制(Sequence-Enforcing,SEQ)门、功能相关(Functional-Dependence,FDEP)门、备用(SPARE)门,具体如图1所示。
图1 动态逻辑门Fig.1 Dynamic logic gates
PAND 门是AND 门的特例,如果其输入事件以从左到右的顺序失效,则PAND 门将被触发。SEQ门只有一个故障顺序(即从左到右),并且只有当所有输入事件均失效时,SEQ 门将被触发。FDEP 门的触发事件的失效将导致所有从属基本事件的失效,而任何从属基本事件的失效都不会对触发事件产生影响。SPARE 门通常具有一个主要输入事件和一些备用输入事件,当主输入和所有备用输入事件代表的设备都失效时,则SPARE门将产生失效输出。SPARE 门包含热备(Hot Spare,HSP)门和冷备(Cold Spare,CSP)门。当备用输入事件处于工作状态时,使用HSP 来表示;当备用输入事件处于零功率状态时,使用CSP来表示。
1.2 动态二叉树分析方法
动态二叉树(Dynamic Binary Tree,DBT)是一种定量分析DFT的常用方法,是DFT不交化积之和(Sum of Disjoint Products,SDP)模型的一种表现形式。DFT 利用通用香农分解定理[15](如式(1)所示)将其结构函数分解成含有顺序布尔变量的DBT。在DBT 中每条路径都彼此互斥,每条终节点为1 的路径都代表着DFT 顶事件发生的一种场景。DFT顶事件发生概率可以通过将所有终点为1的路径的概率相加来获得。
式中:f表示DFT 的结构函数;Ci表示一个静态或者顺序的布尔变量;f|Ci=b表示f在Ci=b时的布尔表达式;b为布尔常量0或1。
1.3 LHS方法
LHS 是一种分层随机抽样技术[16],是能够真实反映变量分布的无偏估计,方差较小,输出的实验样本点具有良好的一维投影均匀性,不会产生样本点的坍塌现象[17],能有效提高抽样效率,防止样本点的聚集,符合RPS这种结构复杂、系统规模大的系统可靠性分析要求。
LHS方法定义:对于一个实验样本数为n,输入变量数为s的n×s的LHS 矩阵,LHS 矩阵每一列都满足在任意区间中有且只有一个设计点,LHS矩阵的构造方法如下[18]:
其中:LHS 的列H(i,j)都是[1,n]的随机不重复排列;ε(i,j)是[0,1)均匀分布的随机独立变量。
2 基于LHS的RPS动态可靠性分析方法
为了对RPS 进行动态可靠性评估,本文提出一种基于DFT 的RPS 可靠性分析方法。该方法的主要分析步骤如下:1)建立RPS的DFT模型,计算RPS的结构函数;2)使用DBT方法,得到SDP模型;3)利用设备失效率的不确定信息,使用LHS产生设备失效率的样本数据;4)将样本数据代入SDP 模型计算RPS的失效概率;5)利用数理统计方法,获取RPS失效概率的95%置信区间。RPS动态可靠性分析详细流程如图2所示。
图2 可靠性分析流程图Fig.2 Reliability analysis flowchart
3 案例分析
3.1 系统描述
本文对西屋的RPS 设计方案进行分析,其大致分为4 个部分:控制棒、跳闸断路器、逻辑柜(列组)和仪表架(通道)。控制棒段包含控制棒控制组件(Rod Control Cluster Assemblies,RCCA)和控制棒驱动机构(Control Rod Drive Mechanisms,CRDM),跳闸断路器段具有两组跳闸断路器以及相关的欠压跳闸装置和并联跳闸装置,逻辑柜具有两列称为固态保护系统(Solid State Protection System,SSPS)的固态逻辑列组,仪表架为每个列组提供4个通道(A、B、C、D)的系统信号[19]。RPS 的列组从4 个通道接收跳闸信号,当通道信号组合适当时,打开反应堆跳闸断路器,其系统结构如图3 所示。西屋的RPS 包含许多不同类型的过程信号,为了简化研究,本文仅对超功率ΔT和稳压器高压两个跳闸信号进行建模。
图3 反应堆保护系统的结构图Fig.3 Structure diagram of reactor protection system
3.2 RPS的动态失效模型及设备失效参数
RPS的失效行为存在着明显的动态顺序失效过程,即设备的失效顺序会对系统的失效与否产生影响。其中,RPS 通道中的双稳态模块和逻辑柜中的SSPS 通用卡都是热冗余状态,符合动态逻辑门中HSP 的逻辑关系;RPS 的通道和列组中都使用两条独立电源供给,当主电源失效时,冷备电源启动对其进行供电,符合动态逻辑门中CSP的逻辑关系。
在本文中,不考虑人工控制环节,忽略设备的可修复性。列组T1与列组T2是相同且独立的,采用4取2的逻辑结构,4个通道也是相同且独立的。本文以RPS 无法紧急停堆为顶事件,对系统进行动态故障树建模分析,其动态故障树模型如图4 所示。由于4 个通道的结构相同,所以仅对通道A 进行动态故障树的建模,其动态故障树模型如图5所示。
图4 RPS的动态故障树Fig.4 Dynamic fault tree of RPS
图5 通道A的动态故障树Fig.5 Dynamic fault tree of Channel A
根据RPS的失效模式,利用时序规则,得到RPS的动态故障树结构函数表达式为:
由于4 个通道的结构相同,本文只显示了通道A的动态故障树结构函数:
从RPS 的结构原理图来看,可以将其系统划分为两个独立模块,即右侧通道模块(IM1)与左侧列组模块(IM2)。根据DBT 分析方法,利用通用香农分解定理对结构函数表达式(3)进行DBT分解。碍于篇幅限制,给出右侧通道模块IM1 的DBT 模型(如图6所示),其中fi表示子结构函数。
图6 独立模块IM1的动态二叉树模型Fig.6 Dynamic binary tree model of independent module IM1
RPS设备失效参数信息如表1所示。部分相关设备的失效数据参考文献[19-20],考虑到设备失效率在日常统计中的不确定性,本文假设所有设备失效率λ服从正态分布。
表1 RPS系统设备的失效信息Table 1 Failure information of RPS system equipment
3.3 计算分析
3.3.1 RPS失效概率分析
本文假设设备失效时间分布服从指数分布,选定系统的工作时间为720 h(即1 个月)。本文基于Window 平 台,在Intel(R)Core(TM)i5-4288U 2.1 GHz 的工作平台上对DFT 模型进行了数值模拟仿真。根据RPS 设备的失效信息,通过设计的LHS抽样程序获得1 000个设备失效率样本,将样本数据输入到建立的DFT 模型程序中,获得1 000 次样本模拟的失效概率,将1 000个RPS失效概率绘制成频率直方图(如图7 所示)。整个算法执行时间为1 149.9 s。
从图7 中可以看出,RPS 的失效概率服从正态分布。评估RPS 发生失效概率均值、方差的置信区间,结果如表2 所示。由表2 可知,在720 h 内,RPS发生失效概率的置信水平为95 %的置信区间为0.015 306~0.015 721。
表2 LHS获得的参数估计结果Table 2 Parameter estimation results obtained by LHS
图7 RPS失效概率的频率直方图Fig.7 Frequency histogram of RPS failure probability
为了展示LHS 与传统蒙特卡罗模拟方法的计算差异,本文同样计算了1 000 次蒙特卡罗模拟的RPS 发生失效概率均值、方差(如表3 所示)。在720 h内,RPS发生失效概率的置信水平为95%的置信区间为0.013 822~0.014 356。
表3 蒙特卡罗模拟获得的参数估计结果Table 3 Parameter estimation results obtained by Monte Carlo simulation
为了展示DFT 与SFT 计算结果差异,本文分别使用DFT 和SFT 对RPS 及其电源系统进行可靠性分析。在相同的条件下,模拟在任务时间t=104h 内RPS与电源的失效概率,计算结果如图8所示,其中图8(c)为SFT 和DFT 计算出的电源失效概率差值。
图8 RPS失效概率对比图Fig.8 Comparison of RPS failure probability related results
3.3.2 RPS设备的敏感性分析
为了确定设备对RPS失效概率输出不确定性的影响重要程度,本文使用如下步骤进行设备的敏感性分析:1)设定设备失效率为其初始值的10 倍时,计算RPS 的失效概率,设为RU;2)设定设备失效率为其初始值的十分之一时,计算RPS的失效概率,设为RL;3)将比值RU/RL 作为衡量设备敏感性的指标。
当RU/RL>1时,则表明设备对系统失效产生正面影响;当RU/RL<1 时,则表明设备对系统失效产生负面影响。当RU/RL 的值越接近1,表明设备对系统失效影响越小;反之,RU/RL 值越偏离1,表明设备对系统失效影响越大。通过计算单个设备在t=720 h时的RU/RL值,获得的设备敏感性指标结果如图9所示。
3.4 结果对比分析
从表2与表3可以看出,传统蒙特卡罗模拟计算得到的RPS 的失效概率95% 置信区间的值小于LHS 计算得到的失效概率的95% 置信区间的值,这是因为蒙特卡罗模拟方法抽取的设计样本空间填充性差,不能有效获取设备失效率分布区间的全部失效信息,无法模拟RPS的真实极限失效情况。
通过图8(a)可以看出,相较于SFT,DFT在计算RPS整体失效概率的结果上并无显著差异。这是因为动态逻辑门所处位置较低,导致对RPS 整体失效概率的影响较小,很容易被系统中较大的失效概率所覆盖。但是从图8(b)却可以发现,在计算电源失效概率时,SFT 计算的电源失效概率较DFT 高估了约一倍。而且从图8(c)可以看出,随着时间推移,SFT 的失效概率与DFT 的失效概率差值越来越大,从1000 h 的差距为9.94×10−6到10 000 h 的差距为9.42 × 10−4。而从图9可以看出,所有设备都对RPS失效概率产生正面影响,其中敏感性最高的两个设备是欠压驱动卡(Q1)和欠压继电器(J1),而通道主电源(T1)与通道备用电源(T2)是最不敏感的两个设备。所以提高欠压驱动卡(Q1)和欠压继电器(J1)的可靠性,对于提高RPS 整体可靠性有重要意义。
图9 设备敏感性指标Fig.9 Equipment sensitivity index
4 结语
本文利用动态故障树对核电厂RPS进行了可靠性建模,并利用动态二叉树分析方法与拉丁超立方抽样方法对核电厂RPS进行了可靠性定量分析。案例分析结果表明:1)动态故障树在对核电厂RPS 可靠性建模分析时,能更加准确直观地反映RPS 实际运行状态和真实失效场景;2)在720 h 内,RPS 发生无法紧急停堆事件概率的置信水平为95% 的置信区间为0.015 306~0.015 721。因此,一个月内RPS发生无法紧急停堆事件的概率很低;3)在所有RPS 的设备中,敏感性最高的是欠压驱动卡(Q1)和欠压继电器(J1)。因此,提高欠压驱动卡(Q1)和欠压继电器(J1)的可靠性对提高RPS 整体可靠性有重要意义。
目前,DFT 仅能对系统时间时序相关失效进行建模,无法对其他更为复杂的失效行为进行建模分析。此外,当前DFT在求解较大规模系统的可靠性时,仍会存在求解效率低的问题。超功率ΔT和稳压器高压是RPS 两种最常见且最重要的失效模式,本文仅对超功率ΔT和稳压器高压两个跳闸信号进行了建模分析,并未考虑RPS的其他失效模式,当前国际上对RPS 可靠性建模也主要考虑这两个失效模式。后期,会针对RPS开展更为详细的DFT建模工作以及快速可靠性评价方法研究。