基于数字化混合平台的反应堆保护系统停堆功能可靠性研究
2022-06-29王明洋徐冬苓
王明洋,徐冬苓
(上海核工程研究设计院有限公司,上海 200233)
0 引言
可编程逻辑控制器(PLC)和现场可编辑门阵列(FPGA)两种数字电子技术广泛应用于核电站数字化仪表控制系统中[1]。反应堆保护系统(RPS)通常采用基于其中一种技术的核安全级平台。共因故障(CCF)表现为多个冗余的部件由于共同的原因同时或在一段短时间内发生故障[2]。相较于模拟系统,数字化仪控系统内部多采用相似的软件以及设备,因此共因失效是影响数字化系统/平台可靠性的主要因素。RPS 发生共因失效会导致在设计基准事故下无法触发停堆功能,安全设备无法动作,进而导致堆芯熔化,放射性泄漏等严重事故的发生。目前,大多数核电站均额外采用非安全级的多样化驱动系统作为安全级RPS 的多样性后备,以解决RPS 出现共因故障以及应对未能紧急停堆的预期瞬态问题。数字化混合平台考虑在RPS 的4 个冗余序列的基础上,每两个序列采用同一种平台,同样可以有效减少共因故障的发生。当前,针对RPS可靠性的研究主要关注于分析基于单一数字化平台的RPS架构可靠性[3],考虑人因、定期试验[4]、共因故障等因素对系统可靠性的影响;Jiye Jeong 等[5]采用故障树方法,分析混合平台对RPS 的停堆功能可用性的贡献。但是,上述研究仅静态考虑了设备故障对停堆功能不可用性的影响,并未动态地考虑设备修复、维修旁通以及符合逻辑转换等系统特性,并且在对比分析时未考虑多样化驱动系统对停堆功能可靠性的贡献。RPS 执行维修旁通功能时,其内部冗余序列的符合逻辑会发生切换,系统可靠性会发生动态变化。因此,在可靠性建模中综合考虑设备故障以及维修旁通两种因素,并与“基于单一数字化平台的RPS”和“多样化驱动——RPS”组合系统进行可靠性定量对比,可以更准确地表现数字化混合平台对反应堆停堆功能可靠性的影响。
1 反应堆保护系统介绍
1.1 反应堆保护系统
核电厂反应堆保护系统(RPS)用于监测电厂安全参数,在非安全状态下,为电厂提供紧急停堆和驱动专设安全设施的能力,保证核电厂维持在安全停堆状态。RPS 由4 个冗余的序列组成,系统架构如图1。RPS 反应堆停堆(RT)功能的实现,自上而下可以分为3 个层级,Level1 用于信号的处理以及定值比较,Level 2 用于逻辑表决,Level 3 用于停堆断路器的驱动。各序列来自现场传感器的信号首先在Level1 层的定值比较(BL)模块中与预先设定的整定值比较,输出信号通过光纤送往本序列以及其他序列的逻辑符合(CL)模块中,每个序列Level 2 层的CL 模块综合来自4 个序列的比较信号进行四取二(2oo4)逻辑表决,最后表决信号通过光纤通往本序列的停堆断路器矩阵(RTM)中,通过“励磁”和“欠压”两种逻辑驱动RTM控制的两个停堆断路器。当两个或两个以上序列控制的停堆断路器断开时,RT 功能完成。
1.2 多样化驱动系统
多样化驱动系统(非安全级系统)是反应堆保护系统的多样性后备。美国联邦法规10CFR50.62[6]中规定:在ATWS 的情况下,能自动启动辅助(或紧急)给水系统和停闭汽轮机,每座压水反应堆必须设置与反应堆紧急停堆系统不相同的从传感器输出到最终执行装置的设备。多样化驱动系统的设置主要考虑以下两个方面[7]。
1)发生安全级仪控系统共因故障的情况下,降低CDF和LRF。
2)缓解ATWS 事件后果。
当前,大多数核电厂的多样化驱动系统功能不仅仅针对于ATWS,还扩大到了不能执行专设安全设施的情况[8]。多样化驱动系统采用与RPS 独立的信号采集、处理、驱动装置,当保护参数超过安全限值时,触发停堆以及驱动部分专设安全设备。为满足法规中的独立性和多样性要求,多样化驱动系统与保护系统采用不同的平台,并且不依赖于核电厂数据网络以及其它的控制和检测系统。
2 RPS维修旁通
IEEE 603-1991 中要求RPS 的设计应具有:在试验、校准、维修模式下,允许旁通某个安全功能的能力[9]。在保护系统内部的控制设备处于维修旁通状态时,系统仍可以完成相应的安全功能,并且同时满足单一故障、故障安全等准则。对于紧急停堆功能,RPS 的4 个冗余序列正常工作时采用2oo4 逻辑表决。当其中一个序列发生故障时,可对该序列进行维修旁通,保护功能表决逻辑从2oo4 退化成2oo3。若在维修过程中,剩余工作序列再次发生故障,则表决逻辑降级为1oo2。
RPS 在进行信号处理时会同时判断传递信号的质量,并在信号质量位为差时产生报警,通知操纵员进行维修旁通。操纵员通过维修旁通设备切换系统表决逻辑,维修人员在旁通期间对故障序列进行修复性维修。因此,系统的可靠性会随时间发生动态变化,需要对不同表决逻辑之间的动态转化进行定性分析。
3 RT拒动
RPS 的非安全性故障可分为3 种类型:设备级故障、序列级故障以及系统级故障。对于设备级故障,反应堆保护系统满足单一故障准则,即系统中发生单一故障,并不会出现停堆功能无法执行的情况。对于序列级故障,安全级序列由冗余的两个通道组成,单一设备失效可能导致设备所在的通道失效;对于拒动故障来说,通常序列内多个设备失效会导致该序列处于故障状态。对于系统级故障,根据停堆断路器矩阵2oo4 逻辑,当不少于两个序列故障时,RPS 将无法完成停堆功能。
RPS 由安全级设备以及平台构成,每个序列内又存在相应的通道冗余。同时多样化驱动系统在RPS 发生系统性失效时,为反应堆提供后备的停堆功能。因此,仅由设备发生随机故障导致系统发生停堆拒动的概率很小。导致停堆功能失效的故障类型可分为以下两种:①设备随机故障;②维修和试验中的旁通导致系统逻辑降级。实际过程中,设备故障又可能引起RPS 通道级和序列级故障,因此需要对多故障模式之间的动态转化进行定性分析。
4 RT功能可靠度定量分析模型
4.1 建模方法与计算假设
研究采用马尔可夫方法对停堆功能进行系统级建模与可靠度计算。马尔可夫方法是表示时间函数状态概率的常用方法[10],该方法通过定义系统所具有的状态以及不同状态间的转换概率,分析系统可靠度在连续时间内的变化。不同状态之间的迁移过程可以用Markov 有向转移图来表示[11]。使用Markov 方法需满足独立性假设,即在某时刻t ≥1 的随机变量Xt 仅与前一个时刻的随机变量Xt-1 之间存在条件分布P(Xt | Xt-1),而不依赖于过去的随机变量{X0,X1,…Xt-2}。
本文以序列级模块为基本分析单元,其中Level 1 序列级模块为BL 模块,Level 2 序列级模块由CL 和RTM 模块组成,Level 3 序列级模块由RTCB 模块组成。在已知序列级模块故障率的基础上,考虑4 个序列间共因故障以及维修旁通等因素构建系统级模块。Level 1 系统级模块由4 个BL 模块构成,4 个BL 满足2oo4 逻辑则RT 功能触发。任一Leve l 的系统级模块故障失效,RPS 停堆功能均无法触发,因此RT 功能的可靠度R(t)为:
其中,Rlevel1(t),Rlevel2(t)和Rlevel3(t)分别为Level 1 系统级模块,Level 2 系统级模块和Level 3 系统级模块的可靠度。本研究以核电厂的一个换料循环(12960h)为研究周期,考虑在周期内发生多次故障以及维修旁通过程,定性分析各Leve l 系统级模块的状态迁移过程,并利用Markov方法建立系统级分析模型。在建立模型时采用以下假设:
1)各序列级模块的寿命以及维修时间服从指数分布。
2)各序列级模块的随机故障率为常数。
3)不会同时出现两次或多次故障。
4)各序列级模块均可维修并被旁通。
5)各序列级模块故障后,会立即报警并进行维修。
在建立系统级模型的过程中,除不同Level 的序列级模块的故障率和共因失效率不同,各Level 的序列级模块间的表决逻辑以及旁通后逻辑切换方式均相同,因此各Level系统级模型的状态数量以及状态迁移过程均相同。在分析中仅对一个层级的系统级模块进行建模。
4.2 基于单一数字化平台的RPS系统级模型
当前,适用于安全级数字化平台的技术主要有两种:PLC 和FPGA。PLC 是一个数字化电子设备,使用可编程内存存储实现逻辑,排序,时序,计数和算法等功能的指令,以控制不同种类的机器或设备[12]。FPGA 中包含逻辑门、查找表和寄存器,可以通过硬件进行配置和互联,从而产生应用程序特定的逻辑处理功能[13]。基于单一数字化平台的RPS 即采用两种技术的一种作为平台搭建的RPS 系统。
Level 1 系统级模块由4 个序列级模块BL 构成,满足2oo4 原则,当两个以上BL 处于故障状态时,将无法完成停堆功能。而RPS 作为可维修系统,当一个BL 出现故障时,操纵员可对故障序列进行维修旁通,并转换系统表决逻辑。针对单一数字化平台RPS 系统,建立考虑维修旁通和共因故障的系统级RT 拒动模型如图2。Level 2 和Level 3 的系统级模型与Level 1 的模型仅在状态转移率方面存在差异。
在此系统级模型中,状态O 为初始状态,系统表决逻辑为2oo4。状态2 为维修旁通设备处于失效状态。状态3为维修旁通设备失效同时一个序列级模块故障,此时表决逻辑仍为2oo4。状态5 为2oo4 逻辑下,两个序列级模块出现故障。状态E1 为吸收态,表示2oo4 逻辑下,3 个序列级模块失效,此时系统失效。由于单一平台可能发生共因失效的特性,状态2、3 以及状态5 均可能发生共因故障导致多个序列同时失效进入吸收态E1。状态1 为2oo4 系统中一个序列级模块失效,系统切换成2oo3 逻辑。状态4 为2oo3 系统出现序列级故障,系统切换成1oo2 逻辑。状态8为1oo2 逻辑下,剩余两个工作序列中一个出现故障。状态6 为2oo3 逻辑下,系统维修旁通设备故障。状态7 为2oo3系统中,一个工作序列出现故障。状态E2 和状态E3 均为吸收态,分别为1oo2 系统中两个序列故障和2oo3 系统两个序列出现故障,同时1oo2 系统和2oo3 系统初态都有可能直接发生共因失效进入吸收态。其中,λS1为序列级模块的失效率;λt为维修旁通设备的失效率,常数;λCCF为序列级模块的共因失效率;μS1为序列级模块的修复率;μt为维修旁通设备的修复率,常数。
4.3 基于数字化混合平台的RPS系统级模型
混合平台考虑在RPS 的4 个序列中,A、C 序列采用PLC 技术,B、D 序列采用FPGA 技术。两种平台通过使用不同的设备实现相同的功能,之间不会出现共因故障[14],但属于相同平台的两个序列间会出现共因故障。建立考虑共因故障和维修旁通的系统级模块拒动模型如图3。与单一数字化平台相同,数字化混合平台的Level 1、Level 2 和Level 3 层的系统级模型仅与状态转移率有差异。
图2 单一数字化平台RPS的系统级拒动故障Markov状态转移图Fig.2 System level rejection fault Markov state transition diagram of single digital platform RPS
图3 基于数字化混合平台的RPS的系统级拒动故障Markov状态转移图Fig.3 System level rejection fault Markov state transition diagram of hybrid digital platform RPS
图4 多样化驱动—RPS组合系统停堆功能拒动Markov状态转移图Fig.4 Diversity actuation - RPS combined system shutdown function failure Markov state transition diagram
该系统级模型与单一平台系统模型的状态定义方法一致,因此仅将主要差异进行阐述。其中,状态7 为2oo3 系统中的维修旁通设备处于故障状态。与单一平台的主要区别在于,当工作序列再次发生故障时,若属于同一平台的两个序列故障,则为状态8 和5,若两个平台各故障一个序列,则为状态6 和4。若系统中属于同一平台的两个序列故障,那么剩余工作序列便存在发生共因故障的可能性。若同属不同平台的两个序列故障,则剩余工作序列间不会发生共因故障。其中,λK1为序列级模块的失效率;λCCF为序列级模块的共因失效率;μK1为序列级模块的修复率。
4.4 多样化驱动—单一数字化平台RPS组合系统模型
在4.2 节单一数字化平台RPS 系统级模型的基础上,增加多样化驱动系统作为RPS 的热备用系统[15]。在可靠性建模中不再将多样化驱动系统分割成系统级模块进行可靠性计算,而是将多样化驱动系统作为一个整体,与RPS 系统共同分析对RT 功能可靠性的影响。建立考虑共因故障和维修旁通的“多样驱动—RPS 组合系统”的停堆功能拒动模型如图4。
在此系统级模型中,状态O 为初始状态,此时RPS 和多样化驱动系统均可以完成停堆功能。状态1 和状态2 分别为RPS 系统故障和多样化驱动系统故障,此时停堆功能可由另一个系统完成。状态E1 为两个系统均处于故障状态,为吸收态。其中,λs 为RPS 系统的故障率;λD为多样化驱动系统的故障率;μ 为系统的修复率。
图5 一个换料循环(12960h)内采用不同类型平台的RPS的停堆功能可靠度变化Fig.5 Change in RT function reliability of RPS with different platforms within a refueling cycle
5 案例分析
以一个换料周期(12960 h)为研究周期,利用第4 节的系统级分析模型建立Markov 状态转移矩阵,在RT 功能拒动事件下,利用数值解法对3 种不同类型系统的RT 功能的可靠度进行定量分析。采用β-因子模型[16]分析共因故障,以序列级模块故障率固定的比例作为共因故障的发生概率的估计,取β 因子为0.01[17]。计算中使用的序列级模块故障率和修复率见表1[18],在计算中取维修旁通设备的故障率λt 为1.3076E-05/h,维修旁通设备的修复率μt为0.2/h。
5.1 数字化混合平台RPS和单一数字化平台RPS停堆功能可靠度对比
将表1 各Level 序列级模块的数据带入到两种系统级模型的Markov 矩阵,利用Markov 矩阵构建关于可靠度的一阶线性微分方程,利用数值方法求解一个换料循环内各Level 系统级模块的可靠度。最后利用公式(1)计算得到整个RT 功能的可靠度。一个换料循环内,两种系统的停堆功能可靠度变化如图5。
表2 不同β因子对两种系统反应堆停堆功能拒动率的影响Table 2 Effects of different β factors on the failure rate of two kinds of reactor protection system
在换料循环末,混合平台RPS 停堆功能的可靠度为0.9999999972,单一平台RPS 停堆功能的可靠度为0.9999992788。由于系统故障率较小,一个换料寿期内两种系统的可靠度差距并不明显。由于假设寿命呈指数分布,因而当λt 趋近于0 时,e-λt≈1-λt,故障率可作为可靠性曲线的斜率。因此,混合平台RPS 停堆功能故障率约为2.1332e-13/hr;单一平台RPS 系统停堆功能故障率约为5.5650e-11/hr,故障率相差约261 倍。因此,在2oo4 符合逻辑下,混合平台可以有效减少共因故障的发生,并降低RPS 停堆功能200 倍以上的拒动率。
在可靠性分析模型中,β 因子是影响系统共因故障率的主要因素,其值与系统的性质相关。β 因子越大,序列级模块间的共因故障率越大。因此,考虑对β 值进行敏感性分析。在不同β 值下,混合平台系统与单一平台系统RT 功能的拒动率差异见表2。
随着β 值增加,停堆功能的拒动率随共因故障率的增加而递增。同时,随着共因故障对系统可靠度的影响逐渐增大,相比于单一平台,混合平台其降低共因故障的效果就更明显。通过定量分析,采用混合平台确实降低了共因故障对系统的影响,并且若共因故障对原系统的影响越大,采用混合平台后,系统可靠度提升的越明显。
5.2 “多样化驱动—单一数字化平台RPS”组合系统的停堆功能可靠度分析
多样化驱动系统作为非安全级系统,在计算中保守考虑其故障率λD为λs×106。其中,λs为β 因子取0.01 时,单一数字化平台RPS 停堆功能的故障率4.50284E-11/h。“多样化驱动—RPS”组合系统的停堆功能可靠度在一个换料循环内的变化如图6。
在换料寿期末,“多样化驱动—RPS 组合系统”的RT功能可靠度为0.99999999973,故障率可近似为2.0267e-14/h。“组合系统”RT 功能的故障率相比于不采用多样性后备的“混合平台RPS”有约10 倍的优势,相差很小。若进一步降低多样化驱动系统的故障率至4.50284e-7/hr,则RT功能的故障率为2.0353e-16/hr,与“混合平台RPS”相比有约103倍的优势。结果表明,多样化驱动系统自身的故障率对RT 功能的可靠性具有重要影响,提升多样化驱动系统的可靠性可以增加停堆功能的可靠度。与数字化混合平台在RPS 系统内部增加多样性相比,多样化驱动系统作为RPS 系统整体的后备,对RT 功能的可靠度贡献更大。
图6 一个换料循环(12960h)内混合平台RPS和“多样化驱动——RPS”组合系统的RT功能可靠度变化Fig.6 RT functional reliability variation for Hybrid platform RPS and “Diversity actuation-RPS” combined system within one refueling cycle
6 结论
在RT 功能拒动事件下,分别对3 种类型系统:单一数字化平台RPS、数字化混合平台RPS 以及“多样化驱动—单一数字化平台RPS”组合系统的RT 功能可靠度进行定量分析。分析结果表明:相比于单一数字化平台,数字化混合平台确实可以降低共因故障对RT 功能的影响,并且共因故障对原系统的影响越大,混合平台对RT 功能可靠度的提升越大;相比于混合平台,多样化驱动系统既规避了RPS 共因故障的风险,又作为RPS 停堆功能的多样性后备,因此对整体RT 功能可靠度提升更为明显。同时采用数字化混合平台和多样化驱动系统可以将共因故障的影响降到最低,并最大化反应堆停堆功能的可靠度。