李悠然 孫 偉 劉愛國 郭智武

(上海交通大學(xué)自動化系1，上海 200030;深圳中廣核工程設(shè)計有限公司2，廣東 深圳 518172)

Mean time to failure Fuction failure

0 引言

近年來，我國核電事業(yè)快速發(fā)展，核電廠的安全性和可靠性也越來越引起相關(guān)各單位的廣泛重視。為了保證電廠安全，設(shè)置了反應(yīng)堆保護系統(tǒng)，用于在事故工況下將反應(yīng)堆帶入安全狀態(tài)。同時，為了防止發(fā)生反應(yīng)堆保護系統(tǒng)因共模故障(common mode fault，CMF)失效而導(dǎo)致未能緊急停堆的預(yù)期瞬態(tài)，又配備了預(yù)期瞬態(tài)不停堆事故緩解系統(tǒng)(anticipated transient without scram，ATWS)。其目的是用于在反應(yīng)堆緊急停堆系統(tǒng)失效導(dǎo)致反應(yīng)堆監(jiān)測參數(shù)進(jìn)一步惡化時，緩解在反應(yīng)堆冷卻劑系統(tǒng)中可能出現(xiàn)的影響及后果(如壓力增長、溫度升高等)。

鑒于預(yù)期瞬態(tài)發(fā)生和引發(fā)嚴(yán)重后果的危害性，需要針對ATWS 系統(tǒng)在功能執(zhí)行過程中的可靠性進(jìn)行合適的評估計算研究，以便及時發(fā)現(xiàn)和解決相關(guān)安全問題，確保核電廠在預(yù)期瞬態(tài)發(fā)生的情況下相應(yīng)事故緩解措施能夠有效執(zhí)行，從而進(jìn)一步保證電站的安全性和可靠性。

但不同核電儀控系統(tǒng)技術(shù)方案，相關(guān)ATWS 未能停堆的預(yù)期瞬態(tài)系統(tǒng)的具體功能要求和執(zhí)行方式會有所差異。為了能夠得到較為準(zhǔn)確的可靠性計算研究基礎(chǔ)信息，本文選取了某一成熟在運機組的ATWS 系統(tǒng)為例，根據(jù)功能過程中所涉及到的功能、信號及設(shè)備結(jié)構(gòu)，開展相關(guān)的可靠性分析研究，以期為后續(xù)的基于不同方案和平臺下的儀控系統(tǒng)可靠性計算提供可供參考的標(biāo)準(zhǔn)化研究思路。

1 ATWS 功能分析

1.1 功能執(zhí)行描述

根據(jù)ATWS 系統(tǒng)的功能要求，當(dāng)中間量程通道測得的中子注量率高于額定功率30%Pn，且同時有2 個蒸發(fā)器給水流量低于6%時，就會產(chǎn)生ATWS 緊急停堆信號.即當(dāng)堆功率大于閾值30%Pn時，如果此時給水流量低于6%NF，則要求系統(tǒng)執(zhí)行如下保護動作［1］。

(1)汽機脫扣，使反應(yīng)堆功率整定為最終功率整定值。采用自動調(diào)節(jié)平均溫度棒R 棒和灰棒的方法降低堆功率，防止蒸發(fā)器燒干。

(2)啟動輔助給水泵，通過輔助給水系統(tǒng)向蒸發(fā)器提供約6%NF 的水，以防蒸發(fā)器燒干。

(3)閉鎖GCT 第三組排放閥，防止蒸發(fā)器燒干。

(4)緊急停堆，利用緊急停堆保護系統(tǒng)。

1.2 邏輯圖

系統(tǒng)的主要作用是觸發(fā)汽機剎車和啟動輔助給水系統(tǒng)(電動泵和汽動泵)。

ATWS 緩解系統(tǒng)邏輯向第三組蒸汽排放閥發(fā)出一個閉鎖指令，向反應(yīng)堆緊急停堆斷路器發(fā)出一個打開指令(斷開失壓線圈電源)。具體的控制邏輯圖如圖1 所示。

圖1 ATWS 功能邏輯示意圖Fig.1 Functional logic of ATWS

2 功能執(zhí)行過程中的系統(tǒng)結(jié)構(gòu)分析

2.1 信號處理機柜結(jié)構(gòu)組成

根據(jù)該參考項目DCS 總體技術(shù)方案，ATWS 系統(tǒng)的功能是由獨立于保護系統(tǒng)的處理機柜來執(zhí)行信號邏輯處理的。

圖2 展示了ATWS 信號處理機柜的結(jié)構(gòu)組成。其輸入信號來源于保護系統(tǒng)機柜，信號送入ATWS 處理機柜后，再經(jīng)閾值比較和表決邏輯處理，最終輸出相應(yīng)的保護動作指令信號。

圖2 ATWS 信號處理機柜的結(jié)構(gòu)組成圖Fig.2 The structure and composition of ATWS signal processing cabinet

2.2 信號功能塊及邏輯關(guān)系分析

根據(jù)ATWS 系統(tǒng)的功能要求和上述處理機柜的結(jié)構(gòu)分析，可將系統(tǒng)功能劃分成為如下五大功能塊:

(1)供電模塊;

(2)主給水流量信號采集模塊;(3)中子注量率信號采集模塊;(4)信號組合邏輯模塊;

(5)輸出模塊。

其中，根據(jù)該設(shè)備組成，各模塊所含各類卡件功能描述及失效數(shù)據(jù)將在下文作詳細(xì)介紹。具體各功能塊卡件數(shù)量及邏輯關(guān)系如圖3 所示。

圖3 各功能塊及信號之間的邏輯關(guān)系Fig.3 Logic relations between each functional module and signals

3 可靠性計算分析

3.1 公式計算及數(shù)據(jù)分析

一般而言，控制系統(tǒng)的可靠性是指在一定的使用條件下和規(guī)定時間內(nèi)能完成設(shè)定功能的概率。這種廣義的特性在實際使用中往往不適用于評定其在工作和使用階段對可靠性的影響［2］。

可用率是控制系統(tǒng)可靠性主要性能指標(biāo)之一，其一般是一個復(fù)雜的數(shù)學(xué)函數(shù)，取決于試驗間隔、運行時間和維修時間的概率分布，記為A。根據(jù)基本定義和針對具體對象的功能系統(tǒng)部件的算法，其計算公式如下:

式中:A 為可用率;MTBF 為平均故障時間;MTTF 為故障平均時間;MTTR 為平均維修時間;λ 為故障率;μ 為維修率。

在進(jìn)行可靠性計算時，既可以使用可用率，也可以使用與它對應(yīng)的可靠性指標(biāo)——不可用率U。不可用率不僅考慮了故障與維修時間，同時也與故障檢測時間相關(guān)，因此在大多數(shù)情況下(如比較可靠性特性和近似計算時)，使用不可用率U 來進(jìn)行可靠性評價計算，更適用于具有自檢測功能和定期試驗要求的儀控系統(tǒng)。

一般情況下，不可利用率可以用以下公式進(jìn)行計算:

式中:U 為不可用率;MTBF 為平均故障時間;MTTR 為平均可維修時間;P 為自檢功能成功率(覆蓋率);Tpt為周期試驗間隔。

根據(jù)設(shè)備廠家提供的信息，ATWS 系統(tǒng)相關(guān)設(shè)備的基礎(chǔ)失效數(shù)據(jù)來源如表1 所示。

表1 ATWS 系統(tǒng)相關(guān)模塊設(shè)備的可靠性數(shù)據(jù)表Tab.1 Reliability data of the related modules and equipment of ATWS system

需要說明的是:

(1)參考設(shè)備特性及經(jīng)驗數(shù)據(jù)，故障模式按照比例分為99%的可自檢測故障和1%的需要考慮定期試驗周期時間影響的不可自檢測故障，即P 按照0.99 取值(供電模塊除外，P=1)。

(2)對于計算過程中所涉及到的定期試驗周期，保守考慮可將其按照一個換料周期的時間來進(jìn)行計算。

3.2 針對ATWS 功能失效的建模分析

ATWS 功能失效建模如圖4 所示。

圖4 ATWS 功能失效的建模思路Fig.4 The modeling thinking for function failure of ATWS

針對ATWS 系統(tǒng)功能執(zhí)行過程中可能發(fā)生的系統(tǒng)失效致使不能有效其安全保護功能的情況，還可以通過使用可靠性建模工具進(jìn)行故障樹建模分析。

以ATWS 系統(tǒng)功能失效為頂事件，即將其無法正確輸出保護指令信號判定為失效準(zhǔn)則。那么，輸出模塊、供電模塊和采集信號模塊中任一模塊失效，均可造成ATWS 系統(tǒng)功能失效，所以三者之間為或邏輯。其中，采集信號失效又可細(xì)分為信號組合邏輯失效和信號失效，兩者之間缺一不可，所以同樣為或邏輯。再次細(xì)分信號失效，由邏輯圖可知，為防止ATWS 系統(tǒng)誤動作，系統(tǒng)要求在主給水流量低于閾值并且中子注量率大于閾值的同時才能觸發(fā)動作命令，所以這兩種信號任一條件失效都可判定為信號失效，兩者之間為或邏輯。同理，根據(jù)邏輯圖可知，中子注量率的兩個測量通道之間判定失效仍為或邏輯關(guān)系;而主給水流量信號的三個測量通道則根據(jù)三取二表決邏輯，需要兩個以上失效才判定其信號輸出失效。根據(jù)上述邏輯分析，可按照如下建模思路搭建故障樹模型并代入相應(yīng)的失效數(shù)據(jù)進(jìn)行計算分析。

結(jié)合上述數(shù)據(jù)信息以及圖3 所示的功能執(zhí)行各類模件關(guān)系，通過故障樹進(jìn)行邏輯組合的分析計算，可分別得出各模塊的失效數(shù)據(jù)以及總失效事件的最終計算結(jié)果。

3.3 結(jié)果分析

綜合建模計算的相關(guān)數(shù)據(jù)與公式計算的結(jié)果進(jìn)行對比分析，進(jìn)一步論證該可靠性計算方法和計算結(jié)果的有效性和實用性，以期能夠為進(jìn)一步提高相關(guān)系統(tǒng)功能執(zhí)行的可靠性提供參考性建議。

(1)建模計算結(jié)果

根據(jù)建模思路，利用故障樹建模工具建立ATWS系統(tǒng)功能執(zhí)行失效的計算模型，并代入相關(guān)模塊的失

效數(shù)據(jù)，通過建模計算，得出不可用率U=6.037×10-4。

(2)公式計算結(jié)果

通過計算公式，需要針對每項功能模塊，分別計算其電源失效、中子注量率測量失效、主給水測量失效、信號組合邏輯失效、輸出失效，最后再疊加各功能模塊失效的計算結(jié)果，得出總的不可用率為

(3)對比分析

對比可靠性建模計算和公式計算的數(shù)據(jù)，其最終結(jié)果基本是在同一個數(shù)量級上，且能夠滿足ATWS 系統(tǒng)的可靠性設(shè)計要求。因此，針對上述可靠性相關(guān)的計算分析，應(yīng)該是適合該系統(tǒng)可靠性分析的合理方法。

(4)結(jié)果分析

根據(jù)計算結(jié)果，可以初步判斷:若將系統(tǒng)定期試驗周期的時間考慮為一個換料周期，且廠家設(shè)備的可自檢測故障的覆蓋率為99%以上(即不可自檢測的故障的覆蓋率小于1%)的條件下，則ATWS 功能的總體不可用率應(yīng)該是在10-4量級之間。其中重要的關(guān)鍵敏感設(shè)備為中子注量率采集通道中的信號轉(zhuǎn)換卡件(C模塊)和閾值比較卡件(D 模塊)的不可自檢測故障，占總不可用率的78%以上，因此可以優(yōu)先考慮其是否具有一定的優(yōu)化改進(jìn)的空間。當(dāng)然，考慮到在此次計算中，同類型卡件設(shè)備在執(zhí)行不同功能模塊時的相關(guān)性(共因失效)問題并沒有被充分分析，且針對失效數(shù)據(jù)的取值分析尚有待商榷的部分，因此最終數(shù)據(jù)僅供可靠性整體分析參考。ATWS 可靠性計算重要度分析如圖5 所示。

圖5 ATWS 可靠性計算重要度分析Fig.5 The analysis of importance degree of reliability calculation of ATWS

4 結(jié)束語

雖然基于不同設(shè)計方案、系統(tǒng)平臺等數(shù)據(jù)因素變化的影響，每個工程項目中的ATWS 系統(tǒng)的可靠性分析具體方案都會有所差異，但本文所述的基本分析方法和主要過程是可以為后續(xù)工程項目中的標(biāo)準(zhǔn)化研究和應(yīng)用提供一定參考的。后續(xù)隨著核電領(lǐng)域可靠性研究經(jīng)驗和數(shù)據(jù)的進(jìn)一步積累和完善，可開展更精確的可靠性量化計算分析。

［1］ 濮繼龍.壓水堆核電廠安全與事故對策［M］.北京:原子能出版社，1995.

［2］ GB/T 9225-1999 核電廠安全系統(tǒng)可靠性分析一般原則［S］.1999.