陳銀萍，田 苗

（中國核電工程有限公司，北京 100840）

0 引言

PMS是核電廠重要的安全級儀控系統(tǒng)，對確保核電廠安全、可靠的運行起著至關(guān)重要的作用。專設(shè)安全設(shè)施驅(qū)動系統(tǒng)（ESFAS）是PMS重要子系統(tǒng)之一，為了減少由于PMS設(shè)備故障導(dǎo)致的ESF誤觸發(fā)從而影響電廠的經(jīng)濟性，或是由于PMS設(shè)備故障導(dǎo)致ESF功能無法正確驅(qū)動從而導(dǎo)致的電廠安全性降低，需對PMS的可靠性進行分析，找到系統(tǒng)中可能存在的薄弱環(huán)節(jié)，采取有效的預(yù)防措施，以減少由于PMS設(shè)備故障影響電廠經(jīng)濟性降低事件的發(fā)生。本文采用了馬爾可夫方法對ESF功能可用性進行分析，查找薄弱環(huán)節(jié)并給出提高PMS專設(shè)驅(qū)動功能可靠性的建議，力求能夠使電廠更安全、可靠、經(jīng)濟地運行。同時對于采用數(shù)字化控制的三代核電，需對保護系統(tǒng)的可靠性和可用性計算，該分析方法也為其進行可靠性計算提供一種思路。

1 可靠性分析方法

1.1 馬爾可夫（Markov）模型

馬爾可夫模型是用一組概率Aij來定義的，其中Aij表示系統(tǒng)從狀態(tài)i轉(zhuǎn)移到狀態(tài)j的概率，其在可靠性研究中有著廣泛應(yīng)用。

考慮PMS單個設(shè)備只有“正?！被颉肮收稀眱煞N狀態(tài)，分別記為狀態(tài)“0”和狀態(tài)“1”，且每個設(shè)備的故障率為λ，修復(fù)率為μ，則Markov狀態(tài)轉(zhuǎn)移概率：A00=1-λ△t；A01=λ△t； A10=μ△t；A11=1-μ△t。

根據(jù)Markov相關(guān)理論，每個設(shè)備的穩(wěn)態(tài)可用性為[1,2]：

其中設(shè)備故障率：

設(shè)備修復(fù)率：

1）當(dāng)設(shè)備故障能通過診斷立即探測到時，MTTR=設(shè)備更換時間。

2）當(dāng)設(shè)備故障不能完全通過診斷監(jiān)測到時，假設(shè)可立即探測到故障的概率為Pd，則不能通過立即診斷探測到的故障概率為（1-Pd），診斷出故障所需的平均時間為Ts/2，則：MTTR=（1－Pd）×Ts/2＋設(shè)備更換時間。

1.2 可用性計算方法

由于設(shè)備的可用性(A)與不可用性(U)互為補集，則該設(shè)備的不可用性可表示為[2]：

PMS是由多個設(shè)備組合共同完成EFS功能，則系統(tǒng)的可用性為：

對于由N個設(shè)備并聯(lián)組成的系統(tǒng)，其中任何一個設(shè)備都能完成某一功能，則并聯(lián)組合的可用性表示為：

系統(tǒng)的可用性(Asys）與該系統(tǒng)的不可用性(Usys)互為補集，則該系統(tǒng)的不可用性可表示為：

2 ESF驅(qū)動功能可靠性分析

2.1 ESF驅(qū)動功能路徑框圖的建立

保護和安全監(jiān)測系統(tǒng)由4個冗余通道A、B、C、D組成，序列內(nèi)部存在兩個子通道的冗余。4個冗余序列使用4套獨立的傳感器，傳感器將現(xiàn)場重要過程參數(shù)送至本通道的兩個雙穩(wěn)態(tài)邏輯處理器（BPL）與設(shè)定值進行比較。當(dāng)過程參數(shù)超過ESF驅(qū)動設(shè)定值時，產(chǎn)生部分觸發(fā)信號，并將信號送至本通道的局部符合邏輯處理器（LCL），通過HSL送至其他通道。在LCL中，對每個通道送來的兩個BPL信號執(zhí)行“1/2”邏輯并產(chǎn)生一個專設(shè)觸發(fā)信號，當(dāng)4通道滿足“2/4”邏輯時，產(chǎn)生系統(tǒng)級驅(qū)動信號并送往集成邏輯處理器（ILP）。在ILP中，對LCL送來的信號執(zhí)行“2/2”邏輯，并將驅(qū)動信號通過SRNC送至CIM，在CIM中對本通道兩個ILP送來的信號執(zhí)行“2/2”后驅(qū)動現(xiàn)場設(shè)備[3]。據(jù)此，PMS專設(shè)安全設(shè)施驅(qū)動功能的路徑框圖如圖1所示，其中A序列有3個ILC機柜（ILP所在機柜），B序列有4個ILC機柜（ILP所在機柜），C序列有2個ILC機柜（ILP所在機柜），D序列有4個ILC機柜（ILP所在機柜），圖1中每個序列僅畫出一個ILC機柜的布置。

圖1 PMS專設(shè)安全設(shè)施驅(qū)動功能的路徑框圖Fig.1 The path block diagram of the drive function of the dedicated safety facility of the PMS

2.2 ESF驅(qū)動功能可靠性計算與分析

2.2.1 ESF可用性計算與分析

在計算每個ESF驅(qū)動功能可用性時，采用設(shè)計文件中提供的每個設(shè)備的平均無故障時間（MTBF），并根據(jù)式（1）～式（3）計算出每個模塊的可用性。機柜供電可用性計算：包括1塊線路濾波器、2塊冗余的電源模塊，根據(jù)式（5）、式（6）計 算 可 得：APOWER=0.999998853。BPL可用性計算，根據(jù)其結(jié)構(gòu)及式（5）計算可得其可靠性為：ABPL=0.984748871。

傳感器、電源、BPL、FOM總的可用性計算，根據(jù)式（5）可 得：A傳感器+電源+BPL+FOM=0.983956496。據(jù) 此，4取2邏輯后的可用性為：2取1邏輯（A1/2BPL）可用性為0.999742606，4取2邏輯（A2/4BPL）可用性為1。

LCL可用性計算，根據(jù)LCL結(jié)構(gòu)圖及式（5）計算可得其可靠性為：ALCL= 0.996858371。

LCL、FOM總的可用性計算，根據(jù)式（5）可得：ALCL+FOM= 0.996852539。據(jù)此，2取2邏輯后的可用性為：A2/2LCL= 0.999990093。

ILP可用性計算，ILP包含通信模塊CI631、處理器模塊PM646，根據(jù)式（5）可得：AILP= 0.998403202。

每個ILC機柜中的兩個BPL將信號分別通過SRNC送至CIM，并在CIM中執(zhí)行2取2邏輯后觸發(fā)專設(shè)驅(qū)動信號。若其中一個ILP信號失效，則在CIM中執(zhí)行1取1邏輯。根據(jù)此邏輯和式（5）、式（6），可計算得：A2/2(ILP+SRNC)= 0.999997433。ILC機柜的電源可用性為：APOWER=0.999998853。

對大多數(shù)ESF功能，從工藝角度設(shè)置了不同程度的冗余，即冗余的現(xiàn)場設(shè)備由不同CIM分別控制，只要成功觸發(fā)一個設(shè)備，即可完成相應(yīng)ESF功能。如：主泵跳閘，每個主泵(RCS-MP-01A/01B/02A/02B)由兩個斷路器串聯(lián)控制，其中任意一個斷路器斷開就可實現(xiàn)此主泵跳閘功能。兩個斷路器分別由位于ILCC01、ILCB01的兩個不同的CIM控制。根據(jù)工藝設(shè)備的不同冗余程度，ESF功能的可用性見表1。本文采用的方法更為精確地計算了ESF功能的可用性，但計算結(jié)果較設(shè)計文件計算而言，保守性相對差些。由表1可知，ESF的可用性可以達到10-6。

表1 ESF功能不同冗余程度可靠性Table 1 Reliability of ESF functions with different degrees of redundancy

2.2.2 關(guān)鍵敏感設(shè)備（SPV）設(shè)備分析

PMS通過設(shè)備接口模塊（CIM）實現(xiàn)現(xiàn)場設(shè)備的控制。當(dāng)CIM所在機柜失電或CIM故障，都將導(dǎo)致CIM輸出失電，這將導(dǎo)致正常處于得電狀態(tài)的電磁閥失電并使主閥門趨于安全狀態(tài)，其中9個CIM控制的設(shè)備將導(dǎo)致反應(yīng)堆停堆，見表2CIM輸出失電將導(dǎo)致停堆的情況。

表2 CIM輸出失電將導(dǎo)致停堆的情況Table 2 Situations in which the loss of power to the CIM output will result in a shutdown

由 上 述 分 析 可 知，7個ILC機 柜（ILCA01、ILCA02、ILCB01、ILCC01、ILCD01、ILCD02、ILCD04）中任一機柜的線性濾波器(ILF)、超壓保護裝置(OVP)，或上述9個CIM模塊故障會導(dǎo)致反應(yīng)堆停堆，即關(guān)鍵敏感設(shè)備（SPV），共23個“薄弱點”。注意，雖然控制上述9個設(shè)備的CIM故障會導(dǎo)致設(shè)備動作，但其動作的結(jié)果是停堆，是趨于安全狀態(tài)的，但是會對電廠經(jīng)濟性產(chǎn)生影響。

以PRHR HX流量控制閥（PXS-PL-V108A /V108B）的控制為例，兩個閥門并聯(lián)，其中任一閥門開啟即可使非能動余熱導(dǎo)出子系統(tǒng)投運，即：工藝冗余度為2。若控制閥門PXS-PL-V108A /V108B的任一CIM故障輸出OFF，或CIM所在機柜失電，將導(dǎo)致閥門失效開啟，趨于安全狀態(tài)。而任一閥門開啟信號將直接觸發(fā)反應(yīng)堆停堆。根據(jù)上述 分 析，即 使1個CIM故 障，有：λ(CIM)= 2.06×10-6事件/小時=0.018事件/年>0.002事件/年。共9個CIM失效導(dǎo)致停堆，因此故障率為：λ9(CIM)= 9×2.06×10-6事件/小時=0.16事件/年。

表3 CIM失效對設(shè)備狀態(tài)影響Table 3 Influence of CIM failure on equipment status

3 提高PMS可靠性建議

由上節(jié)分析可知，PMS設(shè)備的可靠性，特別是CIM、ILF、OVP模塊的可靠性，直接影響著專設(shè)安全設(shè)施觸發(fā)功能的可靠性和電廠的經(jīng)濟性，必須給予足夠的重視。對此，從下面幾方面給出建議：

1）建立全廠PMS設(shè)備可靠性數(shù)據(jù)庫

首先，要求設(shè)計方提供固化的、準確全面的PMS設(shè)備的平均無故障時間（MTBF）。其次，建議生產(chǎn)部門據(jù)此建立全場PMS設(shè)備可靠性數(shù)據(jù)庫，記錄每個設(shè)備的生產(chǎn)日期、設(shè)備故障數(shù)量、原因及時間等配置信息，作為后續(xù)模塊老化、降級更換及趨勢分析的依據(jù)。此外，隨著電廠的運行，建議根據(jù)本廠PMS設(shè)備的實際故障情況更新數(shù)據(jù)庫中各模塊故障率，建立更適用于電廠設(shè)備可靠性的數(shù)據(jù)。

2）定期刷新FPGA

由于CIM模塊基于FPGA實現(xiàn)其控制功能，但FPGA的性能有效期為20年，且與CIM模塊是否運行無關(guān)，即：現(xiàn)場機柜中安裝的CIM、倉庫中未使用的CIM備件的FPGA有效期都為20年。因此，需在可靠性數(shù)據(jù)中特別記錄CIM模塊最后一次刷新日期，以便定期刷新和測試，防止由于FPGA未及時刷新而導(dǎo)致的模塊性能下降。此外，建議與設(shè)計方明確一塊CIM刷新測試所需時間，以便電廠合理安排238塊CIM模塊的刷新時間。

3）關(guān)注CIM模塊的更換，避免設(shè)備狀態(tài)誤改變

CIM為PMS和1E級現(xiàn)場設(shè)備間提供控制接口，其控制的設(shè)備類型包括：AOV（氣動閥）、MOV（電動閥）、CB（斷路器）、Squib（爆破閥）、PHV（氣/液聯(lián)動閥）、SOV（電磁閥）。其中，AOV、SOV、PHV、CB由IDS為其提供250VDC，CIM只是串聯(lián)在其中充當(dāng)開關(guān)作用。當(dāng)CIM輸出K1（K2）=1時，AOV先導(dǎo)電磁閥得電，氣源為氣動閥供氣。當(dāng)CIM輸出為0時，AOV失氣，閥門趨于安全狀態(tài)。經(jīng)統(tǒng)計，約42個AOV和SOV通常為得電狀態(tài)（即：失電驅(qū)動），控制這些負載的CIM分布在不同ILC機柜中。當(dāng)CIM模塊故障時，為避免CIM模塊更換過程中導(dǎo)致的設(shè)備狀態(tài)改變，可將其K1或K2端子用跳線短接。但要特別注意，在CIM更換后務(wù)必將短接線移除，避免專設(shè)安全功能不可用的情況發(fā)生。

4）其他注意事項

第一，生產(chǎn)期間需時刻關(guān)注PMS設(shè)備的運行狀態(tài)，特別是CIM、ILF、OVP模塊，并根據(jù)數(shù)據(jù)庫信息定期更換老化模塊；第二，生產(chǎn)技術(shù)部門需密切關(guān)注設(shè)備停產(chǎn)狀態(tài)，尋找可替代產(chǎn)品。設(shè)備升級或技術(shù)改造后，對PMS可靠性重新計算，保證不造成系統(tǒng)可靠性的降級；第三，與同行電廠保持良好的合作關(guān)系，隨時關(guān)注同行電廠保護系統(tǒng)中經(jīng)驗反饋，學(xué)習(xí)其良好運行實踐；第四，建議運行人員根據(jù)本文分析結(jié)果檢查運行規(guī)程是否已針對上述問題制定了完善詳細的響應(yīng)流程及應(yīng)急預(yù)案，確保發(fā)生本文分析的狀況時保持電廠的安全性。

4 結(jié)語

本文采用了一種新方法（Markov方法）對保護與安全監(jiān)控系統(tǒng)專設(shè)驅(qū)動功能的可靠性進行分析，為后續(xù)設(shè)計改造PMS可靠性的評估提供了一種新思路，也為采用全數(shù)字化儀控系統(tǒng)的三代核電提供一種可靠性分析思路，如華龍后續(xù)機組的可靠性分析也可根據(jù)本文方法進行計算分析。通過分析，查找薄弱環(huán)節(jié)，并通過改造和日常運維以提高機組的可靠性和經(jīng)濟性。此外，本文給出了一系列生產(chǎn)維護方面的建議，望對提高PMS的可靠性給予支持。