王 偉，趙 軍，童節(jié)娟，周繼翔，肖 鵬

(1.清華大學(xué) 核能與新能源技術(shù)研究院，北京 100084；2.中國(guó)核動(dòng)力研究設(shè)計(jì)院，四川 成都 610041)

?

反應(yīng)堆保護(hù)系統(tǒng)可靠性指標(biāo)的評(píng)價(jià)方法研究

王 偉1，趙 軍1，童節(jié)娟1，周繼翔2，肖 鵬2

(1.清華大學(xué) 核能與新能源技術(shù)研究院，北京 100084；2.中國(guó)核動(dòng)力研究設(shè)計(jì)院，四川 成都 610041)

反應(yīng)堆保護(hù)系統(tǒng)的性能水平對(duì)核電廠安全、經(jīng)濟(jì)、可靠運(yùn)行有很大影響。而實(shí)踐中如何正確評(píng)價(jià)反應(yīng)堆保護(hù)系統(tǒng)的可靠性指標(biāo)，業(yè)界并未形成一致方法。本文選取簡(jiǎn)化的典型反應(yīng)堆保護(hù)系統(tǒng)為研究對(duì)象，主要討論拒動(dòng)概率故障樹(shù)分析和誤動(dòng)率馬爾科夫方法的適用性，分析拒動(dòng)概率、誤動(dòng)率兩個(gè)指標(biāo)分別適用的評(píng)價(jià)方法，并對(duì)示例系統(tǒng)的可靠性指標(biāo)進(jìn)行定量計(jì)算。本研究對(duì)進(jìn)一步澄清國(guó)內(nèi)反應(yīng)堆保護(hù)系統(tǒng)可靠性評(píng)價(jià)中的方法問(wèn)題，具有重要的參考價(jià)值。

反應(yīng)堆保護(hù)系統(tǒng)；拒動(dòng)概率；故障樹(shù)方法；誤動(dòng)率；馬爾科夫方法

核電廠反應(yīng)堆保護(hù)系統(tǒng)(RPS)是核電廠的重要部分之一，一方面用于確保核電廠的正常運(yùn)行，另一方面在事故后的電廠響應(yīng)和事故緩解中扮演著重要的角色。RPS的性能水平對(duì)核電廠機(jī)組的安全、經(jīng)濟(jì)、可靠運(yùn)行有很大影響。

盡管RPS具有自身的固有安全性，但其可靠性評(píng)價(jià)仍存在諸多問(wèn)題。首先，保護(hù)系統(tǒng)一般較復(fù)雜，且隨著計(jì)算機(jī)技術(shù)的發(fā)展，RPS功能越強(qiáng)大，尺寸也越小，因此在可靠性分析建模時(shí)，數(shù)學(xué)建模方法與工程實(shí)際吻合的難度也越大；其次，RPS是人-機(jī)-環(huán)境共同構(gòu)成的整體，分析時(shí)必須考慮三者之間的相互作用與影響，同時(shí)還需考慮故障的先后順序、故障持續(xù)時(shí)間等因素，在當(dāng)前條件下，很難找到一種適合諸多因素的有效的可靠性建模工具[1]。因此，本文在澄清RPS可靠性指標(biāo)混淆問(wèn)題的基礎(chǔ)上，以RPS兩個(gè)重要的設(shè)計(jì)指標(biāo)(拒動(dòng)概率及誤動(dòng)率)為依據(jù)，對(duì)RPS的可靠性定量評(píng)價(jià)方法進(jìn)行探討，并對(duì)所提出方法的適用性進(jìn)行分析。

1 RPS可靠性指標(biāo)及分析方法選擇

1.1 拒動(dòng)概率與誤動(dòng)率

《反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則》(GB/T 4083—2005)規(guī)定，動(dòng)力反應(yīng)堆的緊急停堆系統(tǒng)可靠性設(shè)計(jì)要求滿足如下兩個(gè)指標(biāo)[2]：1) 每個(gè)變量的系統(tǒng)安全故障率(誤停堆率)不大于每年1次；2) 每個(gè)變量在要求保護(hù)動(dòng)作時(shí)，系統(tǒng)因隨機(jī)故障而不動(dòng)作的概率不大于10-5。

從上面的要求歸納，反應(yīng)堆保護(hù)系統(tǒng)的可靠性評(píng)價(jià)涉及兩個(gè)指標(biāo)，即拒動(dòng)概率和誤動(dòng)率。拒動(dòng)概率是指系統(tǒng)在要求保護(hù)動(dòng)作時(shí)，系統(tǒng)或其部件因隨機(jī)故障而不動(dòng)作的概率，主要與系統(tǒng)或部件自身的狀態(tài)有關(guān)，而與時(shí)間無(wú)關(guān)，是無(wú)量綱量，取值在0～1之間。誤動(dòng)率則是指系統(tǒng)或元件在單位時(shí)間內(nèi)發(fā)生誤動(dòng)作的次數(shù)，它是與時(shí)間有關(guān)的量。

1.2 可靠性指標(biāo)分析方法選擇

可靠性分析方法大致可分為定量分析法和定性分析法兩種[3]。在系統(tǒng)的可靠性分析中，有多種可靠性的建模方法，如可靠性邏輯框圖法、馬爾科夫(Markov)過(guò)程模型、故障樹(shù)方法、事件樹(shù)方法、GO圖模型等。需根據(jù)待評(píng)價(jià)可靠性指標(biāo)的特點(diǎn)，選擇合適的評(píng)價(jià)方法。

1) 拒動(dòng)概率

反應(yīng)堆保護(hù)系統(tǒng)是由所有電子器件、機(jī)械器件和線路(從傳感器一直到執(zhí)行機(jī)構(gòu)的輸入端)組成的產(chǎn)生保護(hù)信號(hào)的系統(tǒng)，它能滿足如下要求：自動(dòng)觸發(fā)有關(guān)的系統(tǒng)(需要時(shí)包括停堆系統(tǒng))動(dòng)作、檢測(cè)事故工況并觸發(fā)為減輕這些事故工況后果所需的系統(tǒng)動(dòng)作、抑制控制系統(tǒng)的不安全動(dòng)作。

通過(guò)保護(hù)系統(tǒng)的描述與作用可知，在發(fā)出保護(hù)信號(hào)時(shí)，各子系統(tǒng)及部件的動(dòng)作基本是順序的，無(wú)明顯的信號(hào)動(dòng)態(tài)反饋。因此若以保護(hù)系統(tǒng)拒動(dòng)為頂事件，可按照直接原因逐步反溯到更深層的原因。這種分析思路符合故障樹(shù)方法的原理。于文革等[4]的研究也表明這一分析思路確實(shí)可行。

基于上述考慮，選取故障樹(shù)分析方法進(jìn)行反應(yīng)堆保護(hù)系統(tǒng)拒動(dòng)概率的定性定量分析。

2) 誤動(dòng)率

誤動(dòng)率是保護(hù)系統(tǒng)單位時(shí)間發(fā)生誤動(dòng)作的次數(shù)的表征。對(duì)反應(yīng)堆保護(hù)系統(tǒng)的誤動(dòng)率進(jìn)行分析時(shí)，需考慮維修試驗(yàn)帶來(lái)的狀態(tài)變化，因而會(huì)有反饋邏輯、時(shí)序變化等方面的影響。

由于故障樹(shù)方法的根本原理是布爾代數(shù)，是一種靜態(tài)、不區(qū)分時(shí)序的方法，因此對(duì)維修試驗(yàn)、反饋等因素的構(gòu)模，只能按平均狀態(tài)來(lái)體現(xiàn)，很難準(zhǔn)確表示系統(tǒng)可靠性的狀態(tài)變化過(guò)程。

另外，故障樹(shù)最小割集的基本事件都是無(wú)量綱的概率型。若一個(gè)最小割集中出現(xiàn)多個(gè)失效率型的基本事件，則繼續(xù)采用故障樹(shù)定量化法計(jì)算后得到的結(jié)果不具有物理意義，在量綱上也不可能得到“次/年”等表征頻率的單位。因此，在進(jìn)行誤動(dòng)率的分析時(shí)，故障樹(shù)分析方法有困難。

馬爾科夫方法是表示時(shí)間函數(shù)狀態(tài)概率的常用方法。原則上，在馬爾科夫方法框架下，需求失效概率可通過(guò)將系統(tǒng)不響應(yīng)指令(失效危險(xiǎn)狀態(tài))的狀態(tài)的失效概率進(jìn)行加和得到，該值是時(shí)間的函數(shù)。安全失效平均間隔時(shí)間(MTTFS)、危險(xiǎn)失效平均間隔時(shí)間(MTTFD)及其他的平均失效時(shí)間均可利用馬爾科夫模型精確計(jì)算。所以，馬爾科夫方法可能是最全面的一種可用于評(píng)估控制系統(tǒng)可靠性的方法[4]，可適用于保護(hù)系統(tǒng)的可靠性建模，精確定量化保護(hù)系統(tǒng)的誤動(dòng)率。

但用馬爾科夫方法分析復(fù)雜系統(tǒng)時(shí)，其狀態(tài)數(shù)目的增長(zhǎng)非常迅速，從而使模型的分析非常困難。

因此，本文提出一種利用馬爾科夫方法的基本原理，結(jié)合保護(hù)系統(tǒng)特點(diǎn)，進(jìn)行“模塊化”處理建模的方法。反應(yīng)堆保護(hù)系統(tǒng)包含多個(gè)子系統(tǒng)，每個(gè)子系統(tǒng)中，根據(jù)部件所在的位置、作用及部件間的相互影響，可劃分為不同的模塊，每個(gè)模塊通過(guò)某一信號(hào)進(jìn)行前后聯(lián)系。依據(jù)上述模塊劃分，在進(jìn)行系統(tǒng)的誤動(dòng)率分析中，基于每個(gè)模塊的特定且唯一的功能及其模塊間的串并聯(lián)關(guān)系，采用“模塊化處理——綜合建?！钡乃悸贰Ｊ紫冉⒚總€(gè)模塊的馬爾科夫模型，在此基礎(chǔ)上，將各模塊的馬爾科夫模型進(jìn)行串并聯(lián)分析與整合，得到系統(tǒng)級(jí)的馬爾科夫模型。在進(jìn)行定量分析時(shí)，首先對(duì)各模塊的馬爾科夫模型分別進(jìn)行定量計(jì)算，得到模塊級(jí)的失效率與維修率，然后將其應(yīng)用于系統(tǒng)級(jí)馬爾科夫模型并進(jìn)行綜合的定量分析，最終依據(jù)各狀態(tài)轉(zhuǎn)移率求得系統(tǒng)的誤動(dòng)率。

2 典型系統(tǒng)分析

2.1 典型系統(tǒng)描述

為驗(yàn)證上述拒動(dòng)概率和誤動(dòng)率分析方法的適用性，以簡(jiǎn)化的核電廠RPS為模型進(jìn)行分析，簡(jiǎn)化的系統(tǒng)包含A、B兩個(gè)子系統(tǒng)，并假定子系統(tǒng)之間實(shí)體隔離，其結(jié)構(gòu)如圖1所示。在該系統(tǒng)中，每個(gè)子系統(tǒng)使用兩套獨(dú)立的傳感器(S-A和S-B)，它們分別對(duì)應(yīng)的測(cè)量值由相應(yīng)的子系統(tǒng)進(jìn)行處理后與設(shè)定值進(jìn)行比較，如果測(cè)量值超過(guò)預(yù)先設(shè)定值，則該子系統(tǒng)由雙穩(wěn)態(tài)處理器邏輯(BPL-A或BPL-B)產(chǎn)生1個(gè)局部脫扣信號(hào)。每個(gè)子系統(tǒng)的信號(hào)處理過(guò)程相同。產(chǎn)生的局部脫扣信號(hào)分別發(fā)送至兩個(gè)子系統(tǒng)的局部符合邏輯(LCL-A和LCL-B)。

每個(gè)LCL對(duì)接收的局部脫扣信號(hào)進(jìn)行二取二表決。如果某個(gè)LCL接收并處理2條來(lái)自不同子系統(tǒng)的局部脫扣信號(hào)，將對(duì)其相連接的2個(gè)停堆邏輯處理器(RT-A1、RT-A2，RT-B1、RT-B2)產(chǎn)生相應(yīng)的電信號(hào)。每個(gè)停堆邏輯處理器將電信號(hào)轉(zhuǎn)換之后，分別向與之對(duì)應(yīng)的繼電器觸點(diǎn)(M1、M2、M3及M4)發(fā)出1條繼電器斷電信號(hào)。

圖1 典型系統(tǒng)結(jié)構(gòu)Fig.1 Scheme of simplified system

M1、M2、M3和M4共同構(gòu)成停堆觸發(fā)邏輯矩陣(RTM)。在RTM中，M1與M2進(jìn)行二取一表決，M3與M4進(jìn)行二取一表決，兩個(gè)表決出的信號(hào)分別將相關(guān)的中間繼電器斷電(二取二表決)，同時(shí)RTM發(fā)出停堆信號(hào)。

2.2 利用故障樹(shù)方法求解拒動(dòng)概率

2.2.1 建模方法及說(shuō)明

針對(duì)本示例系統(tǒng)停堆信號(hào)拒發(fā)故障樹(shù)的依據(jù)分析方法的適用性，作如下假設(shè)：

1) 對(duì)本示例系統(tǒng)進(jìn)行拒動(dòng)分析，即認(rèn)為RTM拒發(fā)出停堆信號(hào)。因此，本工作選取“停堆信號(hào)拒發(fā)”作為頂事件，自頂向下識(shí)別系統(tǒng)故障原因并建立故障樹(shù)。

2) 系統(tǒng)中每個(gè)部件的拒發(fā)信號(hào)事件分別考慮“自身故障失效”及“未從上一環(huán)節(jié)接收到信號(hào)”兩種失效模式。

3) 分別考慮RT-A1與RT-A2、RT-B1與RT-B2、M1與M2、M3與M4的共因失效，選取BETA模型進(jìn)行共因參數(shù)選值，其中共因因子β=0.1。同時(shí)，基于子系統(tǒng)之間實(shí)體隔離，因此在建模時(shí)不考慮子系統(tǒng)間對(duì)應(yīng)設(shè)備(如LCL-A與LCL-B)之間的共因失效。

2.2.2 建模過(guò)程及圖示

根據(jù)示例系統(tǒng)說(shuō)明及故障樹(shù)建模假設(shè)，可建立該系統(tǒng)的停堆信號(hào)拒發(fā)故障樹(shù)，如圖2所示。

圖2 停堆信號(hào)拒發(fā)的故障樹(shù)Fig.2 Fault tree of failing to send out shutdown signal on demand

2.3 利用馬爾科夫方法求解誤動(dòng)率

2.3.1 建模方法及說(shuō)明

本示例系統(tǒng)的構(gòu)造相對(duì)非常簡(jiǎn)化，但系統(tǒng)內(nèi)部包含2個(gè)子系統(tǒng)，且每個(gè)子系統(tǒng)可劃分為多個(gè)模塊，因此在本示例系統(tǒng)的誤動(dòng)率分析中，采用2.2節(jié)中提出的“模塊化處理——綜合建模”的建模方法，對(duì)示例系統(tǒng)進(jìn)行馬爾科夫建模，并定量分析系統(tǒng)誤動(dòng)率。

系統(tǒng)狀態(tài)劃分是馬爾科夫建模的第1步，針對(duì)本序列的馬爾科夫建模作如下假設(shè)：

1) 系統(tǒng)中包含的所有部件只考慮兩種狀態(tài)，即故障和成功。

2) 為集中體現(xiàn)系統(tǒng)中邏輯處理的特點(diǎn)，并考慮對(duì)工作量的簡(jiǎn)化，在系統(tǒng)建模中將采取模塊化分步建模處理。

3) 系統(tǒng)的初始狀態(tài)為系統(tǒng)中所有部件均為成功狀態(tài)。

4) 考慮系統(tǒng)的維修與診斷等的維修率。

5) 模型中分別考慮RT-A1與RT-A2、RT-B1與RT-B2、M1與M2、M3與M4的共因失效，選取BETA模型進(jìn)行共因參數(shù)選值，其中β=0.1。同時(shí)，基于子系統(tǒng)之間實(shí)體隔離，因此在建模時(shí)不考慮子系統(tǒng)間對(duì)應(yīng)設(shè)備(如LCL-A與LCL-B)之間的共因失效。

在進(jìn)行示例系統(tǒng)的誤發(fā)停堆信號(hào)的馬爾科夫建模時(shí)，根據(jù)系統(tǒng)功能及失效后的影響，將該系統(tǒng)劃分為以下幾個(gè)模塊：

1) BPL模塊：BPL(BPL-A或BPL-B)誤發(fā)局部脫扣信號(hào)，建模以BPL-A為例；

2) LCL模塊：LCL模塊(含LCL與RT)誤發(fā)出繼電器斷電信號(hào)，建模以LCL-A、RT-A1及RT-A2為例；

3) RTM模塊： RTM誤發(fā)出停堆信號(hào)。

2.3.2 建模過(guò)程及分析

1) BPL模塊誤發(fā)信號(hào)的馬爾科夫建模過(guò)程

示例系統(tǒng)中，BPL共發(fā)出4路局部脫扣信號(hào)，這4路信號(hào)由兩個(gè)BPL分別產(chǎn)生，且產(chǎn)生過(guò)程完全相同。因此，在建模時(shí)選取1路局部脫扣信號(hào)的誤發(fā)即可，以A1為例，其產(chǎn)生過(guò)程如下：(1) 傳感器S-A輸入?yún)?shù)通過(guò)通道檢查及傳感器校驗(yàn)，測(cè)量值與設(shè)定值進(jìn)行比較；(2) 傳感器參數(shù)傳遞到ADC-A，輸入?yún)?shù)由ADC-A轉(zhuǎn)換為電信號(hào)；(3) 電信號(hào)經(jīng)BPL-A處理后形成局部脫扣信號(hào)A1并傳入下一模塊。

根據(jù)上述分析及其之前的建模假設(shè)，對(duì)本模塊狀態(tài)進(jìn)行劃分，并以此建立該模塊的馬爾科夫模型，如圖3所示。

以局部脫扣信號(hào)A1誤發(fā)為例

在此模型中，A0為工作狀態(tài)，即所有部件都成功；A1、A2、A3分別為傳感器S-A對(duì)輸入?yún)?shù)的校驗(yàn)或比較失效、數(shù)模轉(zhuǎn)換器ADC-A失效、雙穩(wěn)態(tài)邏輯處理器BPL-A失效的狀態(tài)，均為吸收態(tài)。其中，λA1、λA2、λA3分別為S-A誤動(dòng)、ADC-A誤動(dòng)及BPL-A誤動(dòng)的失效率，這些誤動(dòng)主要是由于自身設(shè)備故障造成的失效；μA1、μA2、μA3分別為S-A、ADC-A及BPL-A失效后的維修率。

2) LCL模塊誤發(fā)繼電器斷電信號(hào)的馬爾科夫建模過(guò)程

示例系統(tǒng)包含兩個(gè)相同且平行的LCL模塊(含LCL與RT)，其信號(hào)的接收、處理及發(fā)送過(guò)程完全相同；同時(shí)每個(gè)RT接收及發(fā)出繼電器斷電信號(hào)的過(guò)程相同。因此，在建模時(shí)取1組LCL模塊進(jìn)行分析即可，以LCL-A、RT-A1、RT-A2為例。

通過(guò)分析得知，導(dǎo)致RT-A1誤發(fā)出繼電器斷電信號(hào)的原因如下：

(1) LCL模塊本身成功，但LCL-A接收到兩個(gè)子系統(tǒng)誤發(fā)出的局部脫扣信號(hào)。此時(shí)，該兩路局部脫扣信號(hào)在LCL模塊中經(jīng)LCL-A、RT-A1及RT-A2的接收、處理后將發(fā)出繼電器斷電信號(hào)。

(2) LCL模塊中LCL-A、RT-A1或RT-A2由于自身設(shè)備故障造成信號(hào)誤發(fā)。此時(shí)需考慮RT-A1、RT-A2共因故障。

根據(jù)建模假設(shè)及上述分析，對(duì)LCL模塊誤發(fā)信號(hào)進(jìn)行狀態(tài)劃分，并由此建立相應(yīng)的馬爾科夫模型，如圖4所示。

圖4 LCL模塊誤發(fā)繼電器斷電信號(hào)的馬爾科夫模型Fig.4 Markov model of mistakenly sending cut-off signal from LCL to relays

在該模型中，B0為初始狀態(tài)，系統(tǒng)正常運(yùn)行；B1為L(zhǎng)CL-A接收到某子系統(tǒng)誤發(fā)出的局部脫扣信號(hào)，但此時(shí)不予以做信號(hào)處理，但仍為工作狀態(tài)；B2、C1、C2、C3為吸收態(tài)，分別為L(zhǎng)CL-A接收到兩條誤發(fā)出的局部脫扣信號(hào)、LCL-A自身故障誤發(fā)電信號(hào)、RT-A1自身故障誤發(fā)繼電器斷電信號(hào)、RT-A1與RT-A2共因失效。其中，λB、μB分別為BPL-A(或BPL-B)誤發(fā)出局部脫扣信號(hào)的失效率和維修率，這兩項(xiàng)參數(shù)通過(guò)2.3.2條中的BPL模塊信號(hào)誤發(fā)馬爾科夫模型的定量計(jì)算求得；λC1、λC2、λC2c分別為局部符合邏輯LCL-A誤動(dòng)的失效率、停堆邏輯處理器RT-A1誤動(dòng)的失效率及RT-A1與RT-A2的共因失效率；μC1、μC2分別為L(zhǎng)CL-A與RT-A1失效后的維修率。

3) RTM模塊誤發(fā)停堆信號(hào)的馬爾科夫建模過(guò)程

在停堆觸發(fā)邏輯矩陣RTM中，若繼電器觸點(diǎn)M1、M2至少有一個(gè)觸點(diǎn)因誤動(dòng)而斷開(kāi)，同時(shí)M3、M4也至少有一個(gè)觸點(diǎn)因誤動(dòng)而斷開(kāi)，則RTM會(huì)誤發(fā)出停堆信號(hào)。由此可知，導(dǎo)致停堆信號(hào)誤發(fā)的原因是：(1) RTM本身成功，繼電器觸點(diǎn)接收到誤發(fā)出的繼電器斷電信號(hào)而使RTM斷路誤發(fā)出停堆信號(hào)；(2) 繼電器觸點(diǎn)由于自身故障而斷開(kāi)，致使RTM誤發(fā)停堆信號(hào)。

此時(shí)，為方便系統(tǒng)分析，假設(shè)上述兩種情況不同時(shí)發(fā)生。如M1、M2中某一觸點(diǎn)由于自身故障而斷開(kāi)，同時(shí)M3、M4中某一觸點(diǎn)由于接收到誤發(fā)出的繼電器斷電信號(hào)而斷開(kāi)的情況不存在。

上述兩種情況建立誤動(dòng)馬爾科夫模型時(shí)，因涉及的部件及狀態(tài)轉(zhuǎn)移數(shù)量較多，建立一個(gè)模型分析較為復(fù)雜。因此，在RTM模塊中對(duì)上述兩種情況分別建模。

圖5 繼電器觸點(diǎn)接收到誤發(fā)繼電器斷電信號(hào)導(dǎo)致RTM誤動(dòng)的馬爾科夫模型Fig.5 Markov model of RTM malfunction since relay contacts received cut-off signals mistakenly sent

(1) 繼電器觸點(diǎn)接收到誤發(fā)出的繼電器斷電信號(hào)時(shí)相應(yīng)的馬爾科夫模型如圖5所示。在這一模型中，D0為初始狀態(tài)，系統(tǒng)正常運(yùn)行；D1、D3為觸點(diǎn)M1、M2中1個(gè)、2個(gè)接收到誤發(fā)的繼電器斷電信號(hào)而誤斷開(kāi)；D2、D4為M3、M4的對(duì)應(yīng)狀態(tài)，均為工作狀態(tài)；D5為M1、M2中1個(gè)觸點(diǎn)及M3、M4中1個(gè)觸點(diǎn)均接收到誤發(fā)出的繼電器斷電信號(hào)誤斷開(kāi)；D6為M1、M2中2個(gè)觸點(diǎn)及M3、M4中2個(gè)觸點(diǎn)均接收到誤發(fā)出的繼電器斷電信號(hào)誤斷開(kāi)；D7為M1、M2中2個(gè)觸點(diǎn)及M3、M4中1個(gè)觸點(diǎn)接收到誤發(fā)出的繼電器斷電信號(hào)誤斷開(kāi)；D5、D6、D7為吸收態(tài)；λD為某一繼電器觸點(diǎn)誤斷開(kāi)的失效率；μD為某一繼電器觸點(diǎn)的維修率。

圖6 RTM模塊繼電器觸點(diǎn)自身故障誤發(fā)停堆信號(hào)的馬爾科夫模型Fig.6 Markov model of RTM malfunction caused by self-faults of relay contacts

(2) 繼電器觸點(diǎn)由于自身故障而斷開(kāi)時(shí)，分別考慮M1與M2、M3與M4之間的共因失效。此時(shí)，繼電器觸點(diǎn)M1、M2至少有1個(gè)觸點(diǎn)因誤動(dòng)而斷開(kāi)，同時(shí)M3、M4也至少有1個(gè)觸點(diǎn)因誤動(dòng)而斷開(kāi)，則導(dǎo)致RTM誤發(fā)停堆信號(hào)。相應(yīng)的馬爾科夫模型如圖6所示。此模型中，E0為初始狀態(tài)；E1、E3分別為觸點(diǎn)M1、M2中1個(gè)、2個(gè)自身故障誤開(kāi)；E2、E4為M3、M4的對(duì)應(yīng)狀態(tài)，均為工作狀態(tài)；E5為M1、M2中1個(gè)觸點(diǎn)及M3、M4中1個(gè)觸點(diǎn)自身故障誤斷開(kāi)；E6為M1、M2中1個(gè)觸點(diǎn)及M3、M4中2個(gè)觸點(diǎn)自身故障；E7為M1、M2中2個(gè)觸點(diǎn)及M3、M4中1個(gè)觸點(diǎn)自身故障；D5、D6、D7為吸收態(tài)；λE、λEc分別為某一繼電器觸點(diǎn)誤斷開(kāi)的失效率以及M1、M2(或M3、M4)2個(gè)觸點(diǎn)共因失效的失效率；μE為某一繼電器觸點(diǎn)的維修率。

3 可靠性指標(biāo)定量分析

本文中，拒動(dòng)概率、誤動(dòng)率分析所采用的基礎(chǔ)失效數(shù)據(jù)主要參考美國(guó)用戶要求文件URD中的參考數(shù)據(jù)[5]。

3.1 拒動(dòng)概率的定量分析

觸發(fā)停堆時(shí)，每個(gè)部件的觸發(fā)時(shí)間很短，一般為秒量級(jí)，但此處為保守計(jì)算，選取停堆觸發(fā)的任務(wù)時(shí)間為1 h。對(duì)于圖2所示的停堆信號(hào)拒發(fā)故障樹(shù)進(jìn)行定量化分析，得到頂事件“停堆信號(hào)拒發(fā)”的發(fā)生概率Q=4.26×10-6。

通過(guò)Risk Spectrum運(yùn)算可得對(duì)頂事件發(fā)生概率貢獻(xiàn)處于前8位的重要最小割集(表1)。同時(shí)，計(jì)算結(jié)果顯示，這8項(xiàng)最小割集對(duì)頂事件的貢獻(xiàn)超過(guò)99.8%。

表1 圖2所示停堆信號(hào)拒發(fā)故障樹(shù)的重要最小割集Table 1 Significant minimum cut sets obtained from fault tree model in Fig.2

3.2 誤動(dòng)率的定量分析

馬爾科夫模型定量分析時(shí)，假設(shè)定期試驗(yàn)間隔TI=1 a，設(shè)備的實(shí)際修復(fù)時(shí)間(TR)均為8 h，則設(shè)備平均維修時(shí)間[6]計(jì)算如下：

MTTR=TI/2+TR=4 388h

其維修率為：

μ=1/MTTR=2.28×10-4h-1

因此，示例系統(tǒng)定量分析時(shí)，μA1、μA2、μA3、μC1、μC2、μE3取值均為2.28×10-4h-1。

1) 模塊級(jí)維修率的求解

計(jì)算某系統(tǒng)的維修率時(shí)，為保守計(jì)算，通常選取該系統(tǒng)馬爾科夫模型中MTTR最大的部件作為整個(gè)模型的MTTR，因此該系統(tǒng)的維修率為MTTR的倒數(shù)。

因此，圖3所示BPL模塊誤發(fā)信號(hào)的馬爾科夫模型中，BPL模塊的模塊級(jí)維修率采用上述保守計(jì)算方法。本示例系統(tǒng)中各部件的維修率μ=2.28×10-4h-1，BPL模塊的馬爾科夫模型的模塊級(jí)維修率μB=2.28×10-4h-1。由此可知，LCL模塊的模塊級(jí)維修率μD=2.28×10-4h-1。

2) 模塊級(jí)失效率的求解

在本工作馬爾科夫模型中，模塊級(jí)失效率即為模型的失效率，數(shù)值上等于模型平均首次故障前時(shí)間MTTFF的倒數(shù)。MTTFF是可維修產(chǎn)品首次故障時(shí)間的平均值，它反映了產(chǎn)品的制造及出廠前對(duì)產(chǎn)品早期故障采取措施的水平[7]。計(jì)算MTTFF可采用以下公式[8]：

λ=1/MTTFF

其中，f(t)為產(chǎn)品的概率密度函數(shù)。

MTTFF可通過(guò)馬爾科夫模型的轉(zhuǎn)移率矩陣求得。因此，圖3～6所示馬爾科夫模型各自的模塊級(jí)失效率分別為：

λB=1/MTTFFB=

同理，求得：

3) 系統(tǒng)誤動(dòng)率λM的求解

圖5、6所示的馬爾科夫模型為并聯(lián)關(guān)系，因此系統(tǒng)失效率為圖5、6模型的模塊級(jí)失效率之和：

4 結(jié)論

故障樹(shù)方法可適用于估算保護(hù)系統(tǒng)的拒動(dòng)概率。因保護(hù)系統(tǒng)拒發(fā)信號(hào)分析是一順序執(zhí)行的過(guò)程，故障樹(shù)分析能有效對(duì)保護(hù)系統(tǒng)故障類型進(jìn)行拆分，建立相應(yīng)的邏輯關(guān)系后進(jìn)行定性定量分析。

運(yùn)用“模塊化處理——綜合建?！钡鸟R爾科夫方法，可有效解決馬爾科夫方法難以勝任復(fù)雜系統(tǒng)的誤動(dòng)率分析的困難。一方面它很好地解決了分析復(fù)雜系統(tǒng)時(shí)模型中狀態(tài)轉(zhuǎn)移數(shù)目增長(zhǎng)迅速帶來(lái)的計(jì)算困難，同時(shí)借助于系統(tǒng)分析時(shí)模塊內(nèi)部、模塊之間的相互串并聯(lián)關(guān)系，使模塊之間的分析結(jié)構(gòu)更加清晰。

未來(lái)需進(jìn)一步研究的是，馬爾科夫方法中單元發(fā)生故障和修復(fù)的過(guò)程默認(rèn)假設(shè)服從泊松過(guò)程，即一段時(shí)間內(nèi)狀態(tài)轉(zhuǎn)移的概率隨時(shí)間增長(zhǎng)而增長(zhǎng)，而實(shí)際系統(tǒng)中還會(huì)出現(xiàn)與時(shí)間無(wú)關(guān)的事件，如繼電器需求拒開(kāi)，馬爾科夫方法對(duì)于這類情形的表征和?；€存在一定的困難。

[1] 方濤. 核電站數(shù)字化控制系統(tǒng)可靠性評(píng)價(jià)方法的研究[D]. 北京：華北電力大學(xué)，2013.

[2] GB/T 4083—2005 核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則[S]. 北京：中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)，2005.

[3] 李良巧. 機(jī)械可靠性設(shè)計(jì)與分析[M]. 北京：國(guó)防工業(yè)出版社，1998.

[4] 于文革，張志儉，黃衛(wèi)剛，等. 大亞灣核電站反應(yīng)堆保護(hù)系統(tǒng)可靠性分析[J]. 核動(dòng)力工程，2003，24(1)：63-67.

YU Wenge, ZHANG Zhijian, HUANG Wei-gang, et al. Reactor protection system reliability analysis of Daya Bay NPP[J]. Nuclear Power Engineering, 2003, 24(1): 63-67(in Chinese).

[5] EPRI. Utility requirement document annex a reliability data base for passive ALWR PRAs[R]. US: EPRI, 2008.

[6] 威廉·戈布爾(美). 控制系統(tǒng)的安全評(píng)估與可靠性[M]. 白焰，董玲，楊國(guó)田，譯. 北京：中國(guó)電力出版社，2008.

[7] 趙眾. 可靠性工程[M]. 北京：石油大學(xué)出版社，1997.

[8] 喬巍巍. 數(shù)控系統(tǒng)可靠性建模及熵權(quán)模糊綜合評(píng)價(jià)[D]. 長(zhǎng)春：吉林大學(xué)，2008.

Evaluation Method of Reliability Indicator of Reactor Protection System

WANG Wei1, ZHAO Jun1, TONG Jie-juan1, ZHOU Ji-xiang2, XIAO Peng2

(1.InstituteofNuclearandNewEnergyTechnology,TsinghuaUniversity,Beijing100084,China; 2.NuclearPowerInstituteofChina,Chengdu610041,China)

The performance level of reactor protection system is of a great effect on nuclear power plant safety, economy and reliable operation. However, the industry has not formed a consistent methodology on how to correctly evaluate the reliability index of the reactor protection system in practice. In this paper, the applicabilities of fault tree analysis on the probability of failure on demand and Markov method on the malfunction rate were mainly discussed based on a simplified typical reactor protection system. The evaluation methods applicable respectively for the following two indicators, namely the probability of failure on demand and the malfunction rate of the typical system were estimated, and the reliability indicators of the sample system were quantitatively calculated. This research has clarified methodologically problem in the analysis on the reliability evaluations of reactor protection system in China and is of significant value as a reference.

reactor protection system; probability of failure on demand; fault tree analysis; malfunction rate; Markov method

2014-01-20;

2014-03-05

王 偉(1987—)，男，山東日照人，碩士研究生，核能與核技術(shù)工程專業(yè)

TB114.3

A

1000-6931(2015)06-1101-08

10.7538/yzk.2015.49.06.1101