张雪松，夏林路，张 磊，周世梁，刘 洋

基于BDMP的某核电厂化容系统上充回路可靠性分析

张雪松1,2，夏林路1,2，张 磊1,2，周世梁1,2，刘 洋1,2

（1. 华北电力大学 核科学与工程学院，北京 102206；2. 非能动核能安全技术北京市重点实验室，北京 102206）

核电厂化学与容积控制系统（CVCS）关键组成设备有上充泵、上充阀门组以及热交换器，是保证核电机组安全运行的关键，其运行可靠性对于核安全有重要意义。传统静态故障树不能很好地描述这些动态行为的失效模式，对于此类问题，分析假设过于保守。针对故障树分析的局限性，本研究采用布尔逻辑驱动的马尔可夫过程构建了上充回路的动态可靠性模型，采用KB3进行BDMP建模，分别采用YAMS和PRISM进行不同部分对总不可用率的影响的定量分析。结果表明：系统的总不可用率约为0.033，上充泵失效对系统贡献占比最大约为99.99%，对其采取有针对性的运维措施，以提高核电厂安全水平。

CVCS上充功能；动态可靠性分析；BDMP；PRISM

核电厂化学与容积控制系统（Chemical and Volume Control System，CVCS）在反应堆的启动、停运及正常运行过程中都起着十分重要的作用，为反应堆冷却剂系统的容积控制、化学控制和反应性控制提供了手段。某核电厂采用第三代核电技术，一台机组包括2台核岛上充泵组，每台泵组由电机、齿轮变速箱、泵组成。上充泵在核岛中的作用仅次于主泵，其性能直接关乎核安全。

现行的核电厂系统可靠性分析主要以传统的静态故障树方法为主。而故障树不适合模拟组件之间具有强依赖性且可修复性的系统。由于CVCS上充功能所涉及的设备可修复性较强，且包含有一个处于热备用状态的上充泵。因此，对其应采用动态方法进行可靠性分析。使用马尔可夫过程对可靠性进行建模分析相对普遍，但是其建模困难，模型难以理解。而BDMP方法，建模过程简单，模型展示便于理解。动态故障树和布尔逻辑驱动的马尔可夫过程（BDMP）两者都是类似于故障树的模型，由于BDMP中含有独特的内置算法，使得BDMP模型可以简化大型马尔可夫过程。同时动态故障树不适合对可维修以及具有强依赖性的系统进行分析。BDMP，源于法国电力公司（EDF）开发，主要为电力、化工、核电等行业中设备可靠性进行建模计算的一种方法。其采用蒙特卡洛仿真方法，能够对可维修系统进行建模。核电厂中几乎所有都是可维修设备，故相比于DFT、马尔可夫模型等其他工具，BDMP更适合对其进行分析。

PRISM软件是一种概率模型检测器，一个验证存在随机行为的系统的形式化验证工具。概率模型检验是一种基于数值分析的验证技术。利用论文10中所提出的BDMP建模转化软件，将KB3建模软件中的BDMP模型转化为PRISM语言描述的马尔可夫模型，利用定量分析软件PRISM对YAMS所得结果加以验证。研究化容系统上充功能可靠性计算分析方法，建立其可靠性模型。

1 BDMP模型

BDMP是一种底事件对应着可触发马尔可夫过程的故障树模型。BDMP模型主要是由顶事件、各底事件、逻辑门、触发链接、逻辑链接构成，BDMP模型组成元素类型如表1所示。

其模型构建形式为，以顶事件“上充功能失效”为起始，第二层由上充泵、上充阀门、热交换器四个主要设备失效组成，第三层各部分用于描述单独设备失效的不同类型。

表1　BDMP模型各节点类型

续表

2 某核电厂RCV上充流程和结构

CVCS是核电厂一回路系统重要的辅助系统，上充功能是CVCS核心功能之一。

某核电厂上充泵为立式双壳体多级离心泵，上充功能由上充泵来实现，上充功能是指将经处理（如净化、加氢、加药、除气和调硼等）后的反应堆冷却剂注入反应堆冷却剂系统（Reactor Coolant System，RCS）中、并为2台反应堆冷却剂泵提供一号轴封入水。加氢的作用为使反应堆冷却剂系统中水的氢达到一定的浓度，以抑制辐照分解生成氧气。加药主要为加入氢氧化锂以中和硼酸，保持一回路冷却剂为偏碱性。

某核电厂上充功能流程中，CVCS系统上充回路，包括两台上充泵、一台再生式热交换器及相应的管道、阀门和仪表等。一上充泵承担正常上充运行功能从容积控制箱吸水，并以高于RCS系统的压力输送至反应堆冷却剂系统。两台相同的泵并联布置，分别由母线A和B列供电，供电源头已隔离。两台泵在不同的房间，形成物理隔离。因此理论上不存在共因失效。正常运行时，一台泵作为提供上充流量，另一台泵为提供上充流量起到备用功能，冗余结构能够提高其可靠性。

上充功能是维持一回路冷却剂装量的关键功能，上充回路设备失效可导致上充功能丧失，进而降低核电厂的安全水平，因此分析上充过程。

上充功能的实现，在正常稳态运行期间，上充流分成三部分，第一部分从一回路系统三环路冷段引出下泄流排到CVCS系统中经过上充管线RCV046VP、RCV048VP进入可再生式热交换器的壳侧，上充流量调节阀控制上充流量以调节稳压器液位。在此被上充流冷却后流经上充管线隔离阀RCV050VP注入RCP冷段。第二部分用于反应堆冷却剂泵密封，防止密封温度达到反应堆冷却剂的温度。另一部分连接从可再生式热交换器出口到稳压器喷淋的管线，该管线事故下提供辅助喷淋、高压安注等重要功能。某核电厂上充流程图如图1所示。

图1　某核电厂上充流程图[1]

本文利用KB3软件对RCV系统上充回路进行建模，利用YAMS进行定量分析。根据分析结果确定了影响其可用率占比最大的部分，并提出了相应的改进措施，以提高RCV系统上充回路的可靠性。

3 BDMP模型与定量分析

3.1　建模边界和假设

建模边界：只针对上充回路的设备，不考虑与之关联的DCS设备失效和操作员误操作。

为降低模型复杂度和建模代价，根据保守性原则：

（1）电动阀门失去电源保持阀位不变，气动调节阀门失去压缩空气保持全开状态。

（2）假设RCV001PO运行，RCV002PO热备用。假设备用设备在备用状态下的失效率和正常运行状态下的失效率相同。

（3）电动隔离阀设备边界包括阀门的本体和电动机，不包括仪控设备导致的阀门故障。

（4）气动隔离阀设备边界包括阀门的本体和气体压缩机，不包括仪控设备导致的阀门故障。

（5）上充泵设备边界指泵的本体结构，包括叶轮、轴承、密封组件。

3.2　上充功能BDMP模型

根据上述分析，以“上充功能失效”为顶事件，建立BDMP模型如图2所示。上充功能BDMP模型主要由上充泵、上充阀门、热交换器组成，各部分用于描述单独设备失效的不同类型。其BDMP模型如图3（a）、（b）、（c）所示。

图2　上充功能失效BDMP模型

上充泵考虑的失效模式包括，运行失效指（电源失效）、备用泵启动失效包括（叶轮破裂、轴承断裂、泵卡死、电机故障、密封组件失效、堵塞。）、电源失效。RCV001PO正在运行，故失效只考虑一种失效模式，运行失效，RCV002PO热备用，用（HSP）热备门进行描述，只考虑启动失效。两种模式之间为逻辑或的关系。某核电厂机组为二环路，其中一个泵保持正常运行提供上充流量，备用泵保持热备用状态。上充泵BDMP模型如图3（a）所示。

上充功能相关阀组失效是三个阀门其中一个失效即为失效，三者为逻辑或的关系。阀门考虑的失效模式包括，拒开、拒关、运行中卡死、误动作。误动的原因为控制信号有误，例如故障或认为误动作，但并未发生过。

气动阀门失去气源或阀杆阻塞导致阀门全开。电动阀门失去电源或阀杆阻塞导致阀门保持故障安全位。上充阀门组BDMP模型如图3（b）所示。

再生式热交换器的设计是为了回收下泄流的热量以预热上充流，考虑的失效模式包括，外漏、内漏、堵塞。再生式热交换器BDMP模型如图3（c）所示。

图3　上充功能BDMP模型

图3　上充功能BDMP模型（续）

由于样本数量和操作时间在大多数厂房采集数据中是有限的。由此，可以认为参考文献中设备的失效频率可以代表很多不同工况条件下的失效频率。BDMP模型中各叶节点的参数[5]如表2所示。

表2　某核电厂CVCS设备失效率

续表

3.3　BDMP定量分析

实验时间设置为500 h，时间间隔为5 h，共抽取100个时间点，由于在150 h已经趋于平稳状态，故只绘制0～200 h的曲线。将YAMS软件抽样点数依次设置为107、108、109个，对比其在不同抽样点数下的数据准确性。

由计算数据上充泵失效对系统贡献占比最大约为99.99%可知上充泵的贡献最大，故优化上充泵的可靠性指标，将会极大促进CVCS上充功能的可靠性水平的提高。

图4　上充泵、阀门、热交换器三部分不可用率

为验证数据准确性，将KB3计算数据与可靠性界得到广泛应用与认可的概率模型检测器RPISM进行比较验证，来证明该方法的数据准确性。PRISM中选择验证计算的方法，YAMS采用蒙特卡洛抽样的方法，抽样点数均设置为108个。当YAMS抽样点数设置为108个，PRISM使用验证计算的方法时，将两种软件的数据绘制曲线如图5所示。PRISM不可用率趋于稳定结果约=3 335×10-5，YAMS不可用率趋于稳定结果约为=3 332×10-5。

图5　两种不同软件不可用率对比图

采用PRISM进行定量分析与YAMS计算所得结果进行比较的同时，将计算时间进行比较。PRISM软件验证计算时间仅为2 s。

两种软件计算原理不同，PRISM可以使用验证计算和模拟计算的方法，验证计算无抽样点数，模拟计算抽样点数为107个，YAMS软件采用蒙特卡洛仿真抽样的方法，选取不同数量级的抽样点数进行计算后，发现抽样点数从107个开始，较为准确。随着抽样点数数量级的增大，计算时间大大增加，计算精度逐渐提高，其数据与PRISM所得结果相对误差逐渐减小。系统总的不可用率约为0.033。经过计算不可用率相对偏差不超过2%（见表3）。

表3　YAMS和PRISM软件计算时间对比

4 结论

（1）基于计算的结果分析，在不考虑定检的情况下，系统总的不可用率约为0.033。

（2）采用所提方法，能够大大提高建模效率。其结果与采用KB3和YAMS软件计算所得不可用率相对偏差不超过2%，验证了所提方法的有效性。

（3）由计算数据上充泵失效对系统贡献占比最大约为99.99%可知上充泵的贡献最大，故优化上充泵的可靠性指标，将会极大促进CVCS上充功能的可靠性水平的提高。

［1］ 徐利根．“华龙一号”核电厂系统与设备［M］．北京：中国原子能出版社，2017.

［2］ 刘东．动态故障树分析方法［M］．北京：国防工业出版社，2013.

［3］ 吴凯宗，孟庆红，徐鸣．条件概率公式在一类马尔科夫报酬模型上的计算［J］．中国科技论文，2017，12（17）：1959-1965+1987.

［4］ Ferdinando Chiacchio，Jose Ignacio Aizpurua，Lucio Compagno，et al. SHyFTOO，an object-oriented Monte Carlo simulation library for the modeling of Stochastic Hybrid Fault Tree Automaton［J］．Expert Systems With Applications，2020，146.

［5］ 中国核电厂设备可靠性数据报告［R］．北京：国家核安全局，2015:1-16.

［6］ 王浩，余嘉炜，周世梁，等．基于 BDMP 的核电厂蒸汽发生器水位控制系统可靠性评价［J］．原子能科学技术，2017，51（12）：2330-2337.

［7］ Ted G.Alber，R.Christopher Hunt，Steve P.Forgarty，et al. Idaho Chemical Processing Plant Failure Rate Database [R]. Idaho：Idaho National Engineering Laboratory，1995.

［8］ 徐辛酉，张才科，夏林路，等．基于BDMP的反应堆冷却剂平均温度控制系统动态可靠性分析［J］．电子技术应用，2021（S1）：152-159.

［9］ 钱虹，古雅琦，刘鑫杰．基于动态故障树的核反应堆稳压器数字压力控制装置可靠性研究［J］．核动力工程，2019，40（03）：103-108.

［10］陈浠毓．基于BDMP的DCS动态可靠性定量分析方法研究［D］．北京：华北电力大学，2019.

［11］Piètre-Cambacédès L，Bouissou M.Beyond Attack Trees：Dynamic Security Modeling with Boolean Logic Driven

Markov Processes（BDMP）［C］．Dependable Computing Conference.IEEE，2010:199-208.

［12］陈浠毓，周田蜜，钱玉刚，周世梁．基于BDMP的核电厂保护系统可靠性定量分析［A］．中国核学会．中国核科学技术进展报告（第六卷）——中国核学会2019年学术年会论文集第10册（核安全分卷、核安保分卷）［C］．中国核学会：中国核学会，2019:10.

［13］Bouissou M，Bon J L.A new formalism that combines advantages of fault-trees and Markov models：Boolean logic driven Markov processes［J］．Reliability Engineering & System Safety，2003，82（2）：149-163.

［14］Bouissou M，Dutuit Y，Maillard S.Reliability analysis of a dynamic phased mission system：comparison of two approaches［R］．Modern Statistical And Mathematical Methods In Reliability，2015:87-104.

［15］Kriaa S，Bouissou M，Colin F，et al. Safety and security interactions modeling using the BDMP formalism：case study of a pipeline［M］．Computer Safety，Reliability，and Security.Springer International Publishing，2014: 326-341.

Reliability Analysis of Chemical Volume Control System Charging Loop in a Nuclear Power Plant Based on BDMP

ZHANG Xuesong1,2，XIA Linlu1,2，ZHANG Lei1,2，ZHOU Shiliang1,2，LIU Yang1,2

（1. School of Nuclear Science And Engineering，North China Electric Power University，Beijing 102206，China；2. Beijing Key Laboratory of Passive Nuclear Safety Technology，Beijing 102206，China）

The key components of the Chemical and Volumetric Control System (CVCS) for a nuclear power plant are the charging pump, the charging valve set and the heat exchanger, and it is one of the key equipment to ensure the safe operation of nuclear power plant. Its operation reliability is of great significance for nuclear safety. The traditional fault tree analysis lacks the description of time factor, and the analysis assumption is too conservative for this kind of dynamic timeliness problem. Aiming at the limitation of fault tree analysis, this paper uses Boolean logic driven Markov process (BDMP) to build the dynamic reliability model of the charging circuit. KB3 is used to build BDMP model, and YAMS and PRISM are used for quantitative analysis. The influence of different parts on the total unavailability is analyzed. The results show that the total unavailability of the system is about 0.033, and the charging valve failure accounts for about 99.99% of the system. The targeted operation and maintenance measures are taken for each part to improve the safety level of the nuclear power plant and provide reference for the reliability analysis of the chemical capacity system of the nuclear power plant, which has important engineering application value.

Charging function of CVCS；Dynamic reliability；BDMP；PRISM

TL364+.5

A

0258-0918（2022）06-1354-08

2021-03-13

张雪松（1998—），男，辽宁锦州人，硕士研究生，现主要从事核电厂DCS可靠性分析方面研究