局部符合邏輯對反應堆保護系統可靠性的改善作用

彭 勇，張 慶，許 標，吳禮銀

（核反應堆系統設計技術重點實驗室，成都 610213）

反應堆保護系統執行安全級功能，是核反應堆儀表與控制系統的重要組成部分。反應堆保護系統是否可靠，直接關系到反應堆能否安全運行。當前，反應堆保護系統的總體符合邏輯最常用的架構方案是 2oo4（即四取二）和 2oo3（即三取二）[1]，這是安全系統長期發展的結果。除了總體符合邏輯之外，系統供應商還采用局部符合邏輯技術，以進一步降低系統自身設備失效而導致安全功能拒動或誤動作的概率。通過定性分析，可以推斷局部符合邏輯對改善系統可靠性有積極作用[2]，但對相關參數改善了多少，尚未有具體的數據。在此，基于馬爾可夫分析法對2oo3系統進行定量分析[3-5]，將考慮局部符合邏輯后的系統模型計算結果與一般2oo3系統模型計算結果進行比較。分析結果相對于其他架構而言具有一定的代表性，希望通過文中的分析為系統設計提供理論支持。

1 系統原理

1.1 反應堆保護系統架構原理

考慮到可靠性模型的復雜程度，文中選擇2oo3架構的反應堆保護系統作為研究對象，系統總體架構如圖1所示。系統有 3個通道（IP，IIP，IIIP），假設每個通道有輸入模塊DI，處理模塊CPU，輸出模塊DO各一個。DI采集現場信號；CPU對DI采集信號進行定制比較以生成用于局部邏輯符合的脫扣信號，每個通道的脫扣信號同時用于其他2個通道的局部邏輯符合，通過局部邏輯符合產生通道輸出命令；DO按照輸出命令輸出通道級保護信號；3個通道的保護信號進行2/3（即三取二）表決，最終實現反應堆保護動作。

圖1 反應堆保護系統架構Fig.1 Reactor protection system architecture

1.2 局部符合邏輯降級

反應堆保護系統的2/3局部符合邏輯按照表1給出的降級機制進行邏輯降級。每個通道CPU中的局部符合邏輯，按照無效脫扣信號的數量，進行相應機制地邏輯降級或觸發所在通道的保護信號。

表1 局部符合邏輯降級機制Tab.1 Degradation mechanism of local conforming logic

2 馬爾可夫模型

為了觀察局部符合邏輯的作用，將反應堆保護系統按照標準的2oo3系統和采用局部符合邏輯的2oo3系統，分別建立馬爾可夫模型。

2.1 標準2oo3系統模型

標準2oo3系統3個通道完全獨立，沒有信號交互，每個通道信號流按照DI→CPU→DO進行處理，最后3個通道的保護信號參與總體2/3表決。標準2oo3系統的馬爾可夫模型如圖2所示。

圖2 標準2oo3系統狀態轉移Fig.2 State transition of the standard 2oo3 system

馬爾可夫模型中，用圓圈表示狀態，帶指向的弧線表示轉移方向；分別用失效率λ或修復率μ表示轉移率；狀態0為初始狀態；狀態11—14分別表示3個通道有1個發生失效；狀態21—24分別表示有2個通道各發生1種失效模式；狀態31—33分別為系統安全功能處于系統安全失效FS狀態、系統危險可診斷失效FDD狀態、危險不可診斷失效FDU狀態；以安全S/危險D+可診斷D/不可診斷U+共因C/非共因失效N的形式，區分通道失效類型和失效率類型。

相比一般的馬爾可夫模型，文中在此基礎上進行了一些修改，使計算結果更加保守：對有2個通道失效的中間狀態若只有1個通道發生可診斷失效，則不再通過維修返回狀態0，而是只能維修好被診斷到失效的通道，例如圖2中的狀態22和狀態23。

2.2 采用局部符合邏輯的2oo3系統模型

對于采用了局部符合邏輯的2oo3系統，為了簡化模型，需要對系統結構進行劃分。如圖3所示，系統劃分為前后兩部分：輸入部分為采用局部符合邏輯的2oo3結構，每個通道信號流按照DI→1/2CPU進行處理，局部符合邏輯能夠進行邏輯降級；輸出部分為標準2oo3結構，每個通道信號流按照1/2CPU→DO進行處理，最終表決邏輯不進行邏輯降級。輸入部分和輸出部分為串聯結構，因此可以分別對兩部分建立馬爾可夫模型。其中，輸出部分的狀態轉移與圖2相同。

輸入部分的狀態轉移如圖4所示。圖中，虛線圓圈表示的狀態31—33與實現圓圈代表的狀態31—33相同。由于采用局部符合邏輯的2oo3結構中，當參與表決的脫扣信號無效時（診斷到失效），局部符合邏輯會進行降級，因此圖中狀態11，13，21，23，24 和 26 的局部符合邏輯均降為 1/2。降級機制的存在將使部分原本指向狀態32（FDD）的失效轉而指向狀態31（FS）。例如：轉移路徑11→31，狀態11有1個通道已經發生SDN，符合邏輯降級為1/2，若再有1個通道發生DDN，則觸發保護信號，轉移到狀態31。

圖3 采用局部符合邏輯的2oo3系統劃分Fig.3 Partition of the 2oo3 system within local conforming logic

圖4 采用局部符合邏輯的2oo3結構狀態轉移Fig.4 State transition of the 2oo3 structure within local conforming logic

2.3 計算原理

2.3.1 拒動概率和誤動概率

文中以拒動概率（也就是危險失效概率）PFD，avg和誤動概率（也就是安全失效概率）PFS，avg，作為可靠性的表征參數，對反應堆保護系統的可靠性進行研究，它們分別體現了系統安全功能發生危險失效和安全失效的概率。通過馬爾可夫模型計算PFD，avg和PFS，avg的方法，即通過求極限狀態概率矩陣得到極限狀態（穩態）下的危險失效概率和安全失效概率。文獻[6]提供了一種線性代數解法，其具體步驟是：先根據狀態轉移圖寫出狀態轉移矩陣，再用表示初始狀態為0狀態的初始行矩陣反復乘以狀態轉移矩陣，得到極限狀態下的概率矩陣，將系統危險失效狀態或系統安全失效狀態的概率相加，即可得到目標結果。

2.3.2 串聯模型的概率

采用了局部符合邏輯的2oo3系統可以視為一個串聯模型，則系統的失效概率就等于輸入部分失效概率與輸出部分失效概率之和。

3 概率計算與分析

3.1 系統拒動概率和誤動概率計算

代入以下輸入數據，對反應堆保護系統拒動概率和誤動概率進行計算：DI和DO安全失效率均取λS=2500 fit， 危險失效率 λD=500 fit；CPU 安全失效率取 λS=1500 fit，危險失效率 λD=500 fit；模塊失效的診斷覆蓋率為90%；修復率μ0=0.125/h，系統誤動作后的重啟率μSD=（1/24）/h；周期性檢驗時間TI=18個月；按照文獻[7]的方法，得到2oo3架構可診斷的共因失效因子β=1.5%，不可診斷的共因失效因子βD=0.75%。

反應堆保護系統拒動概率和誤動概率計算結果見表2。表中，A為標準2oo3系統的失效概率；B為采用局部符合邏輯的2oo3系統的失效概率；（A-B）/A為概率的變化率。若不考慮共因失效的影響，得到的結果見表3。由表2和表3可知，局部符合邏輯對反應堆保護系統的 PFD，avg和 PFS，avg均有一定改善效果，特別是對減小由非共因失效導致的系統拒動概率有明顯效果。

表2 反應堆保護系統的 PFD，avg和 PFS，avgTab.2 PFD，avgand PFS，avgof reactor protection system

表2 反應堆保護系統的 PFD，avg和 PFS，avgTab.2 PFD，avgand PFS，avgof reactor protection system

3.2 敏感性分析

使用3.1給出的輸入數據，對采用局部符合邏輯后 PFD，avg和 PFS，avg的變化率（A-B）/A 進行敏感性分析。

3.2.1 診斷覆蓋率DC的影響

其他條件不變，僅改變診斷覆蓋率DC，對A系統、B 系統的 PFD，avg和 PFS，avg進行比較， 得到的曲線如圖5 所示。 隨著 DC 的提高，PFD，avg和 PFS，avg的變化率均減小，且 PFS，avg的變化率比 PFD，avg大。 顯然，DC較低時，局部符合邏輯的改善作用較大；DC越高，局部符合邏輯的改善作用越小。

圖5 診斷覆蓋率DC對（A-B）/A的影響Fig.5 Influence of DC on （A-B）/A

3.2.2 λi/λo的影響

λi和λo分別為單通道的輸入部分和輸出部分的失效率。通過調整DI和輸入部分1/2CPU的失效率大小，以改變λi/λo的值，在此過程中單通道的λS/λD不變，得到圖6所示的曲線。輸入部分失效率占整個單通道失效率的比重越大，B相對于A的PFD，avg變化率越大。而對于 PFS，avg，當 λi/λo＜1 時，其變化率隨 λi/λo的增大而增加；當 λi/λo＞1 時，變化率反而開始減小，但仍大于0。此外，由圖6可見，當λi/λo小于某個值時，局部符合邏輯對PFS，avg的改善作用更大，λi/λo超過該值時，對 PFD，avg的改善作用更大。

圖6 λi/λo對（A-B）/A 的影響Fig.6 Influence of λi/λoon （A-B）/A

3.2.3 λS/λD的影響

保持輸入模塊DI總失效率不變，通過調整DI安全失效率和危險失效率的比例，改變單通道的λS/λD值，得到圖7所示的曲線。隨著安全失效率占通道失效率的比例增加，PFS，avg的變化率也在增大，PFD，avg變化率減小。可以推測，局部符合邏輯對 PFD，avg和PFS，avg的改善作用大小，與參與局部符合的安全失效率和危險失效率比例有關，占通道失效比例越大的失效類型，局部符合邏輯對其改善作用越大。

圖7 λS/λD對（A-B）/A 的影響Fig.7 Influence of λS/λDon （A-B）/A

4 結語

綜上所述，采用局部符合邏輯有利于改善反應堆保護系統可靠性，對降低系統安全功能的拒動概率和誤動概率都有明顯效果。對于通道自診斷能力差的系統而言，局部符合邏輯可以一定程度上彌補低診斷覆蓋率的不足，使系統自診斷能力大大提高。當單通道輸入部分的失效率低于輸出部分，或高出不多時，局部符合邏輯對誤動概率的改善作用更大；而當輸入部分的失效率明顯高于輸出部分時，局部符合邏輯對拒動概率的改善作用更大。對安全和危險2種不同失效模式，局部符合邏輯對占通道失效比例越高的失效改善作用越高。

局部符合邏輯對不同架構類型系統可靠性的改善程度可能有所區別，但是，具有提高診斷能力、降低拒動概率和誤動概率的優點是確定的。此外，在系統設計過程中還需要評估采用局部符合邏輯可能引起的通道獨立性降低，增加通道間通信而引入的新的失效，以及產品成本等問題。因此，目前局部符合邏輯技術更多的應用于安全系統或對可靠性要求高的設備，也許在不遠的將來能夠推廣到更多領域中。