張 蔚，張淑慧，徐冬苓

（上海核工程研究設(shè)計(jì)院有限公司，上海 200233）

0 引言

2000年功能安全的基礎(chǔ)標(biāo)準(zhǔn)IEC61508出臺(tái)，它提出了一種全新的保障安全的原理與方法。其中，IEC61508標(biāo)準(zhǔn)第六部分屬于參考性資料，它給出了計(jì)算簡單系統(tǒng)失效概率的方法。目前，IEC61508中的原理與方法已經(jīng)被國際上流程工業(yè)、機(jī)械工業(yè)、醫(yī)藥、交通等與安全相關(guān)的控制領(lǐng)域廣泛接受[1]。但是在核電儀控領(lǐng)域，相比較故障樹、可靠性框圖、馬爾科夫等可靠性計(jì)算方法，IEC61508的應(yīng)用并不廣泛。因此，本文采用IEC61508第六部分對(duì)典型的核電廠反應(yīng)堆保護(hù)系統(tǒng)可靠性進(jìn)行計(jì)算，并與可靠性框圖計(jì)算方法比較，驗(yàn)證IEC61508中的可靠性計(jì)算結(jié)果相比可靠性框圖計(jì)算數(shù)量級(jí)一致且略微保守，可以在核電儀控領(lǐng)域推廣使用。

1 可用性計(jì)算方法和公式

可靠性框圖是從可靠性角度出發(fā)研究系統(tǒng)與部件之間關(guān)系的邏輯圖，這種圖反映了部件之間的串并聯(lián)關(guān)系[2]。計(jì)算系統(tǒng)可用性時(shí)，先計(jì)算可靠性框圖中每個(gè)部件的可用性，再根據(jù)部件之間的串并聯(lián)關(guān)系，計(jì)算出整個(gè)系統(tǒng)的可用性。

1.1 部件可用性

部件的可用性即某一時(shí)刻部件處于正常狀態(tài)，能夠執(zhí)行自身功能的概率，它是隨時(shí)間變化的。而工程應(yīng)用中比較關(guān)心的是一個(gè)部件的平均可用性（An）或平均不可用性（Un）?？捎眯訟n是指部件的無故障運(yùn)行時(shí)間與部件總運(yùn)行時(shí)間之比，用百分?jǐn)?shù)表示[3]：

假設(shè)除非部件發(fā)生故障，否則部件一直是正常運(yùn)行的。平均無故障時(shí)間（MTTF，Mean Time to Failure）是指失效前時(shí)間的數(shù)學(xué)期望值，對(duì)于不可修復(fù)系統(tǒng)，MTTF是指系統(tǒng)故障前運(yùn)行時(shí)間的數(shù)學(xué)期望值；對(duì)于可修復(fù)系統(tǒng)，MTTF是指系統(tǒng)每次修復(fù)后正常運(yùn)行時(shí)間的數(shù)學(xué)期望值[4]。對(duì)于電子設(shè)備來說，它的可靠度分布為指數(shù)分布，且故障率為常數(shù)，故障率與MTTF之間存在倒數(shù)關(guān)系。

平均故障間隔時(shí)間（MTBF，Mean Time Between Failure），是指系統(tǒng)相鄰兩次故障發(fā)生時(shí)刻之間的時(shí)間的平均值[5]。MTBF=MTTF+MTTR；平均修復(fù)時(shí)間（MTTR，Mean Time to Repair），是指系統(tǒng)從故障開始到恢復(fù)正常的平均時(shí)間。在當(dāng)MTTR<

離線時(shí)間=探測故障的平均時(shí)間+平均修復(fù)時(shí)間MTTR(TR)。需要分兩種情況考慮，一種情況是一個(gè)物項(xiàng)一出現(xiàn)故障即被發(fā)現(xiàn)（自顯示），立即進(jìn)行修理（沒有時(shí)間延遲），對(duì)這種情況，可假設(shè)不工作時(shí)間等于維修時(shí)間；另一種情況是故障不是自顯示的，只能由定期試驗(yàn)發(fā)現(xiàn)，則不工作時(shí)間是出現(xiàn)故障到下次試驗(yàn)的時(shí)間間隔加上維修時(shí)間[6]。第一種情況是可通過自診斷自動(dòng)探測到的故障，這部分故障數(shù)量占所有故障數(shù)量的比值為Pd。由于系統(tǒng)自動(dòng)檢測的速度很快，所以這部分時(shí)間可以忽略不計(jì)。第二種情況是需要通過定期監(jiān)督試驗(yàn)，由維修人員手動(dòng)檢查出來的故障，這部分故障占所有故障的比值為（1-Pd）。

基于通常核電站的維護(hù)流程，定期測試以固定的時(shí)間間隔進(jìn)行，而一旦通過定期測試確定某模塊發(fā)生了某失效，即可立刻開始對(duì)應(yīng)的維修工作[7]。假設(shè)某不可探測的失效發(fā)生在時(shí)刻t，定期測試時(shí)間間隔為TS，且不可探測的故障一定會(huì)在定期測試時(shí)被維修人員手動(dòng)檢查出來。對(duì)于不可探測的故障，探測故障的平均時(shí)間為（TS-t）在（0

因?yàn)殡娮釉O(shè)備的壽命服從指數(shù)分布，f(t)=(1-e-λt)'≈(λt)'=λ，代入上述公式（3），得到對(duì)于不可探測的故障，探測故障的平均時(shí)間為Ts/2。綜合以上兩種情況，得到離線時(shí)間的計(jì)算公式：

將公式（2）和公式（4）帶入公式（1），得到部件在某一時(shí)刻能執(zhí)行其功能的概率即為該部件的可用性，具體公式如下：

式（5）中：

An-第n個(gè)部件的可用性。

λ-部件故障率。

Pd-通過診斷立即探測到故障的概率。

Ts-定期監(jiān)督試驗(yàn)間隔。

TR-故障的平均修復(fù)時(shí)間。

部件不可用性為：

1.2 系統(tǒng)可用性

當(dāng)多個(gè)部件組合成系統(tǒng)完成某個(gè)功能，系統(tǒng)可用性可采用下述公式由單個(gè)部件可用性計(jì)算得到。

對(duì)于串聯(lián)系統(tǒng)，任一部件故障會(huì)導(dǎo)致系統(tǒng)故障，系統(tǒng)可用性可表示為：

對(duì)于并聯(lián)系統(tǒng)，任一部件無故障即可執(zhí)行功能，系統(tǒng)可用性可表示為：

對(duì)于表決邏輯（N取M），系統(tǒng)可用性可表示為：

圖1 1取1可靠性框圖Fig.1 1oo1 Reliability blcok diagram

系統(tǒng)不可用性可表示為：

2 IEC 61508中的PFD計(jì)算方法和公式

2.1 部件的PFD

PFD（Probability of Failure on Demand） 是 IEC 61508標(biāo)準(zhǔn)中的專有名詞，用于評(píng)價(jià)低要求操作模式下，在出現(xiàn)危險(xiǎn)事件，要求安全系統(tǒng)執(zhí)行正確的安全功能時(shí)，安全系統(tǒng)失效的概率[8]。IEC61508中故障分為危險(xiǎn)可識(shí)別、危險(xiǎn)不可識(shí)別、不危險(xiǎn)可識(shí)別、不危險(xiǎn)不可識(shí)別4種類型。對(duì)系統(tǒng)的失效概率進(jìn)行研究，只考慮危險(xiǎn)識(shí)別和危險(xiǎn)不可識(shí)別兩種故障[9]。危險(xiǎn)可識(shí)別和危險(xiǎn)不可識(shí)別故障的故障率分別表示為λDD和λDU。對(duì)于危險(xiǎn)可識(shí)別故障，故障發(fā)生后立刻維修，平均離線時(shí)間為MTTR（Mean Time to Restoration）；危險(xiǎn)不可識(shí)別故障需在周期性檢測試驗(yàn)（Periodical Proof Test）時(shí)被檢測并進(jìn)行維修，平均離線時(shí)間為檢測時(shí)間與實(shí)際維修時(shí)間之和，即T1/2+MRT。假設(shè)自動(dòng)探測故障所需的時(shí)間遠(yuǎn)遠(yuǎn)小于維修工作所花的時(shí)間，那 么 MTTR（mean time to restoration）=MRT（Mean Repair Time）。

如圖1所示，將一個(gè)部件看作兩部分組成，一部分只發(fā)生危險(xiǎn)不可識(shí)別失效，另一部分只發(fā)生危險(xiǎn)可識(shí)別失效。

根據(jù)定義：

在IEC 61508中，離線時(shí)間用tCE表示，在線時(shí)間=MTBF，因此：

根據(jù)公式（2），且只考慮危險(xiǎn)故障：

由于安全系統(tǒng)的可靠性較高，λDtCE時(shí)間遠(yuǎn)遠(yuǎn)小于1，所以：

其中：

2.2 系統(tǒng)的PFD

IEC 61508中給出了簡單系統(tǒng)的PFD計(jì)算公式，比如簡單串聯(lián)系統(tǒng)，1OO2、2OO3等。這里引用IEC61508中的串聯(lián)系統(tǒng)和3取2符合邏輯的計(jì)算公式。

對(duì)于串聯(lián)系統(tǒng)：

其中，PFDGi是串聯(lián)系統(tǒng)中每個(gè)子系統(tǒng)的失效概率。

對(duì)于3取2表決結(jié)構(gòu)的系統(tǒng)：

不考慮共因故障，假設(shè)βD=β=0，則：

其中：

3 反應(yīng)堆保護(hù)系統(tǒng)基本結(jié)構(gòu)以及可靠性框圖建模

核電廠反應(yīng)堆保護(hù)系統(tǒng)是一個(gè)邏輯保護(hù)系統(tǒng)，它是根據(jù)電廠運(yùn)行參數(shù)的變化產(chǎn)生與保護(hù)任務(wù)有關(guān)的信號(hào)，通過驅(qū)動(dòng)反應(yīng)堆緊急停堆裝置和專設(shè)安全設(shè)施動(dòng)作，防止反應(yīng)堆狀態(tài)超過規(guī)定的安全極限或減輕超過安全極限所造成的損壞和損壞后果的系統(tǒng)[10]。目前的核電廠反應(yīng)堆保護(hù)系統(tǒng)基本采用三序列或四序列的架構(gòu)，也有一部分核電站安全系統(tǒng)采用兩序列架構(gòu)。采用三序列架構(gòu)時(shí)一般采用3取2符合邏輯，即3個(gè)通道中至少有兩個(gè)通道正常工作時(shí)系統(tǒng)保持正常工作。本文以核電站安全儀控系統(tǒng)中3取2冗余結(jié)構(gòu)為例，對(duì)失效概率計(jì)算方法進(jìn)行研究。

圖3 RT功能的可靠性框圖Fig.3 RBD Diagram for RT functions

圖2 典型的2oo3反應(yīng)堆保護(hù)系統(tǒng)架構(gòu)Fig.2 RPS System structure(2oo3)

圖2為典型的3取2反應(yīng)堆保護(hù)系統(tǒng)架構(gòu)圖。保護(hù)系統(tǒng)分為3個(gè)冗余且獨(dú)立的序列，每個(gè)序列中，變送器信號(hào)會(huì)送到信號(hào)采集和數(shù)據(jù)處理模塊進(jìn)行整定值比較，然后比較的結(jié)果送到2oo3符合邏輯模塊與來自其他兩個(gè)序列的整定值比較結(jié)果進(jìn)行2oo3運(yùn)算。對(duì)于停堆功能來說，2oo3符合邏輯的結(jié)果直接驅(qū)動(dòng)對(duì)應(yīng)序列的停堆斷路器（RTCB）。3個(gè)序列的停堆斷路器會(huì)布置為2oo3結(jié)構(gòu)，即3個(gè)序列中有兩個(gè)序列的停堆斷路器打開，反應(yīng)堆就真正停堆。對(duì)于專設(shè)功能來說，2oo3符合邏輯的結(jié)果會(huì)送到設(shè)備接口模塊進(jìn)行擴(kuò)展，驅(qū)動(dòng)不同的設(shè)備。

如果將信號(hào)采集分配和整定值比較模塊和3取2表決邏輯模塊中的不同卡件看作一個(gè)整體，可以得到RT功能的可靠性框圖如圖3所示。

4 計(jì)算和分析

反應(yīng)堆保護(hù)系統(tǒng)為安全級(jí)設(shè)備，采用1E級(jí)平臺(tái)，一般都具有很高的可靠性。例如美國西屋公司的AC160設(shè)備，其MTBF為70年，MTTR為1小時(shí)；德國AREVA公司的TXS平臺(tái)MTBF為360年。這里假設(shè)反應(yīng)堆保護(hù)系統(tǒng)的MTBF為1個(gè)保守值11.4年，那么λD為1.0×10-5。隨著數(shù)字化技術(shù)的發(fā)展，故障探測率可以達(dá)到90%甚至更高。假設(shè)診斷率為 0.9，那么 λDD為 9×10-6, λDU為 1×10-6。目前核電站一般一年至兩年大修一次，這里假設(shè)定期監(jiān)督試驗(yàn)的周期（TS）為一年，即8760小時(shí)。MTTR包括了從探測到故障組件，到將組件恢復(fù)到正常狀態(tài)的時(shí)間，這里采取一個(gè)較為保守的假設(shè)值8小時(shí)。表1為假設(shè)的可靠性參數(shù)匯總。

計(jì)算過程中不考慮共因故障。將表1中的可靠性參數(shù)代入到第1節(jié)中的公式（5），計(jì)算得到信號(hào)采集和分配處理塊以及3取2表決邏輯處理塊的可用性0.999941。將可用性計(jì)算結(jié)果代入到公式（7）和公式（10），得到整個(gè)系統(tǒng)的不可用性，也就是拒動(dòng)率為1.18×10-4。將表1中的可靠性參數(shù)代入第2節(jié)中的公式（16）和公式（19）計(jì)算得到信號(hào)采集和分配處理塊以及3取2表決邏輯處理塊的tCE為446小時(shí)，tGE為300小時(shí)。將計(jì)算得到的tCE和tGE代入到公式（17）和公式（19），得到整個(gè)系統(tǒng)的不可用性是1.61×10-4。計(jì)算的結(jié)果可以看到，兩種計(jì)算方法的計(jì)算結(jié)果接近，基本在一個(gè)數(shù)量級(jí)上。方法2的計(jì)算結(jié)果更為保守一些。

表1 假設(shè)的可靠性參數(shù)Table 1 Minimal cut sets before improvement

為了更好地分析方法1和方法2的結(jié)果產(chǎn)生差異的原因，先將方法1的設(shè)備可用性計(jì)算公式改寫為λD、λDU、λDD的形式。

而 IEC 61508中，對(duì)于 1OO1 模塊，PFDAVG=λDtCE，其 中，λD=λDU+λDD，tCE=λDU/λD(T1/2+MRT)+λDD/λDMTTR。 因此，PFDAVG=λDU(T1/2+MRT)+λDDMTTR；其中 ：T1=TS，MRT=MTTR=TR。對(duì)比一下，可以看到，方法1的公式（1）相比方法2計(jì)算1OO1模塊PFDAVG的公式，分母多了λDU·(Ts/2+TR)+λDD·TR。方法 2 認(rèn)為 λDU·(Ts/2+TR)+λDD·TR<<1，做了一定的近似，結(jié)果更加保守一些。

5 總結(jié)

通過第1節(jié)和第2節(jié)的公式推導(dǎo)，可以看到傳統(tǒng)的RBD框圖分析方法以及IEC61508標(biāo)準(zhǔn)第六部分計(jì)算簡單系統(tǒng)失效概率的方法都需要一個(gè)假設(shè)，即系統(tǒng)的故障率很低而診斷覆蓋率很高，安全級(jí)儀控系統(tǒng)恰好滿足這個(gè)假設(shè)。在對(duì)典型的3取2結(jié)構(gòu)反應(yīng)堆保護(hù)系統(tǒng)采用以上兩種方法進(jìn)行可靠性分析后發(fā)現(xiàn)，兩種方法分析結(jié)果數(shù)量級(jí)基本一致，IEC61508標(biāo)準(zhǔn)第六部分計(jì)算簡單系統(tǒng)失效概率的方法略微保守，同樣適合工程應(yīng)用。