基于數字化混合平臺的反應堆保護系統停堆功能可靠性研究

王明洋，徐冬苓

（上海核工程研究設計院有限公司，上海 200233）

0 引言

可編程邏輯控制器（PLC）和現場可編輯門陣列（FPGA）兩種數字電子技術廣泛應用于核電站數字化儀表控制系統中[1]。反應堆保護系統（RPS）通常采用基于其中一種技術的核安全級平臺。共因故障（CCF）表現為多個冗余的部件由于共同的原因同時或在一段短時間內發生故障[2]。相較于模擬系統，數字化儀控系統內部多采用相似的軟件以及設備，因此共因失效是影響數字化系統/平臺可靠性的主要因素。RPS 發生共因失效會導致在設計基準事故下無法觸發停堆功能，安全設備無法動作，進而導致堆芯熔化，放射性泄漏等嚴重事故的發生。目前，大多數核電站均額外采用非安全級的多樣化驅動系統作為安全級RPS 的多樣性后備，以解決RPS 出現共因故障以及應對未能緊急停堆的預期瞬態問題。數字化混合平臺考慮在RPS 的4 個冗余序列的基礎上，每兩個序列采用同一種平臺，同樣可以有效減少共因故障的發生。當前，針對RPS可靠性的研究主要關注于分析基于單一數字化平臺的RPS架構可靠性[3]，考慮人因、定期試驗[4]、共因故障等因素對系統可靠性的影響；Jiye Jeong 等[5]采用故障樹方法，分析混合平臺對RPS 的停堆功能可用性的貢獻。但是，上述研究僅靜態考慮了設備故障對停堆功能不可用性的影響，并未動態地考慮設備修復、維修旁通以及符合邏輯轉換等系統特性，并且在對比分析時未考慮多樣化驅動系統對停堆功能可靠性的貢獻。RPS 執行維修旁通功能時，其內部冗余序列的符合邏輯會發生切換，系統可靠性會發生動態變化。因此，在可靠性建模中綜合考慮設備故障以及維修旁通兩種因素，并與“基于單一數字化平臺的RPS”和“多樣化驅動——RPS”組合系統進行可靠性定量對比，可以更準確地表現數字化混合平臺對反應堆停堆功能可靠性的影響。

1 反應堆保護系統介紹

1.1 反應堆保護系統

核電廠反應堆保護系統（RPS）用于監測電廠安全參數，在非安全狀態下，為電廠提供緊急停堆和驅動專設安全設施的能力，保證核電廠維持在安全停堆狀態。RPS 由4 個冗余的序列組成，系統架構如圖1。RPS 反應堆停堆（RT）功能的實現，自上而下可以分為3 個層級，Level1 用于信號的處理以及定值比較，Level 2 用于邏輯表決，Level 3 用于停堆斷路器的驅動。各序列來自現場傳感器的信號首先在Level1 層的定值比較（BL）模塊中與預先設定的整定值比較，輸出信號通過光纖送往本序列以及其他序列的邏輯符合（CL）模塊中，每個序列Level 2 層的CL 模塊綜合來自4 個序列的比較信號進行四取二（2oo4）邏輯表決，最后表決信號通過光纖通往本序列的停堆斷路器矩陣（RTM）中，通過“勵磁”和“欠壓”兩種邏輯驅動RTM控制的兩個停堆斷路器。當兩個或兩個以上序列控制的停堆斷路器斷開時，RT 功能完成。

1.2 多樣化驅動系統

多樣化驅動系統（非安全級系統）是反應堆保護系統的多樣性后備。美國聯邦法規10CFR50.62[6]中規定：在ATWS 的情況下，能自動啟動輔助（或緊急）給水系統和停閉汽輪機，每座壓水反應堆必須設置與反應堆緊急停堆系統不相同的從傳感器輸出到最終執行裝置的設備。多樣化驅動系統的設置主要考慮以下兩個方面[7]。

1）發生安全級儀控系統共因故障的情況下，降低CDF和LRF。

2）緩解ATWS 事件后果。

當前，大多數核電廠的多樣化驅動系統功能不僅僅針對于ATWS，還擴大到了不能執行專設安全設施的情況[8]。多樣化驅動系統采用與RPS 獨立的信號采集、處理、驅動裝置，當保護參數超過安全限值時，觸發停堆以及驅動部分專設安全設備。為滿足法規中的獨立性和多樣性要求，多樣化驅動系統與保護系統采用不同的平臺，并且不依賴于核電廠數據網絡以及其它的控制和檢測系統。

2 RPS維修旁通

IEEE 603-1991 中要求RPS 的設計應具有：在試驗、校準、維修模式下，允許旁通某個安全功能的能力[9]。在保護系統內部的控制設備處于維修旁通狀態時，系統仍可以完成相應的安全功能，并且同時滿足單一故障、故障安全等準則。對于緊急停堆功能，RPS 的4 個冗余序列正常工作時采用2oo4 邏輯表決。當其中一個序列發生故障時，可對該序列進行維修旁通，保護功能表決邏輯從2oo4 退化成2oo3。若在維修過程中，剩余工作序列再次發生故障，則表決邏輯降級為1oo2。

RPS 在進行信號處理時會同時判斷傳遞信號的質量，并在信號質量位為差時產生報警，通知操縱員進行維修旁通。操縱員通過維修旁通設備切換系統表決邏輯，維修人員在旁通期間對故障序列進行修復性維修。因此，系統的可靠性會隨時間發生動態變化，需要對不同表決邏輯之間的動態轉化進行定性分析。

3 RT拒動

RPS 的非安全性故障可分為3 種類型：設備級故障、序列級故障以及系統級故障。對于設備級故障，反應堆保護系統滿足單一故障準則，即系統中發生單一故障，并不會出現停堆功能無法執行的情況。對于序列級故障，安全級序列由冗余的兩個通道組成，單一設備失效可能導致設備所在的通道失效；對于拒動故障來說，通常序列內多個設備失效會導致該序列處于故障狀態。對于系統級故障，根據停堆斷路器矩陣2oo4 邏輯，當不少于兩個序列故障時，RPS 將無法完成停堆功能。

RPS 由安全級設備以及平臺構成，每個序列內又存在相應的通道冗余。同時多樣化驅動系統在RPS 發生系統性失效時，為反應堆提供后備的停堆功能。因此，僅由設備發生隨機故障導致系統發生停堆拒動的概率很小。導致停堆功能失效的故障類型可分為以下兩種：①設備隨機故障；②維修和試驗中的旁通導致系統邏輯降級。實際過程中，設備故障又可能引起RPS 通道級和序列級故障，因此需要對多故障模式之間的動態轉化進行定性分析。

4 RT功能可靠度定量分析模型

4.1 建模方法與計算假設

研究采用馬爾可夫方法對停堆功能進行系統級建模與可靠度計算。馬爾可夫方法是表示時間函數狀態概率的常用方法[10]，該方法通過定義系統所具有的狀態以及不同狀態間的轉換概率，分析系統可靠度在連續時間內的變化。不同狀態之間的遷移過程可以用Markov 有向轉移圖來表示[11]。使用Markov 方法需滿足獨立性假設，即在某時刻t ≥1 的隨機變量Xt 僅與前一個時刻的隨機變量Xt-1 之間存在條件分布P(Xt | Xt-1)，而不依賴于過去的隨機變量{X0，X1，…Xt-2}。

本文以序列級模塊為基本分析單元，其中Level 1 序列級模塊為BL 模塊，Level 2 序列級模塊由CL 和RTM 模塊組成，Level 3 序列級模塊由RTCB 模塊組成。在已知序列級模塊故障率的基礎上，考慮4 個序列間共因故障以及維修旁通等因素構建系統級模塊。Level 1 系統級模塊由4 個BL 模塊構成，4 個BL 滿足2oo4 邏輯則RT 功能觸發。任一Leve l 的系統級模塊故障失效，RPS 停堆功能均無法觸發，因此RT 功能的可靠度R(t)為：

其中，Rlevel1(t)，Rlevel2(t)和Rlevel3(t)分別為Level 1 系統級模塊，Level 2 系統級模塊和Level 3 系統級模塊的可靠度。本研究以核電廠的一個換料循環（12960h）為研究周期，考慮在周期內發生多次故障以及維修旁通過程，定性分析各Leve l 系統級模塊的狀態遷移過程，并利用Markov方法建立系統級分析模型。在建立模型時采用以下假設：

1）各序列級模塊的壽命以及維修時間服從指數分布。

2）各序列級模塊的隨機故障率為常數。

3）不會同時出現兩次或多次故障。

4）各序列級模塊均可維修并被旁通。

5）各序列級模塊故障后，會立即報警并進行維修。

在建立系統級模型的過程中，除不同Level 的序列級模塊的故障率和共因失效率不同，各Level 的序列級模塊間的表決邏輯以及旁通后邏輯切換方式均相同，因此各Level系統級模型的狀態數量以及狀態遷移過程均相同。在分析中僅對一個層級的系統級模塊進行建模。

4.2 基于單一數字化平臺的RPS系統級模型

當前，適用于安全級數字化平臺的技術主要有兩種：PLC 和FPGA。PLC 是一個數字化電子設備，使用可編程內存存儲實現邏輯，排序，時序，計數和算法等功能的指令，以控制不同種類的機器或設備[12]。FPGA 中包含邏輯門、查找表和寄存器，可以通過硬件進行配置和互聯，從而產生應用程序特定的邏輯處理功能[13]。基于單一數字化平臺的RPS 即采用兩種技術的一種作為平臺搭建的RPS 系統。

Level 1 系統級模塊由4 個序列級模塊BL 構成，滿足2oo4 原則，當兩個以上BL 處于故障狀態時，將無法完成停堆功能。而RPS 作為可維修系統，當一個BL 出現故障時，操縱員可對故障序列進行維修旁通，并轉換系統表決邏輯。針對單一數字化平臺RPS 系統，建立考慮維修旁通和共因故障的系統級RT 拒動模型如圖2。Level 2 和Level 3 的系統級模型與Level 1 的模型僅在狀態轉移率方面存在差異。

在此系統級模型中，狀態O 為初始狀態，系統表決邏輯為2oo4。狀態2 為維修旁通設備處于失效狀態。狀態3為維修旁通設備失效同時一個序列級模塊故障，此時表決邏輯仍為2oo4。狀態5 為2oo4 邏輯下，兩個序列級模塊出現故障。狀態E1 為吸收態，表示2oo4 邏輯下，3 個序列級模塊失效，此時系統失效。由于單一平臺可能發生共因失效的特性，狀態2、3 以及狀態5 均可能發生共因故障導致多個序列同時失效進入吸收態E1。狀態1 為2oo4 系統中一個序列級模塊失效，系統切換成2oo3 邏輯。狀態4 為2oo3 系統出現序列級故障，系統切換成1oo2 邏輯。狀態8為1oo2 邏輯下，剩余兩個工作序列中一個出現故障。狀態6 為2oo3 邏輯下，系統維修旁通設備故障。狀態7 為2oo3系統中，一個工作序列出現故障。狀態E2 和狀態E3 均為吸收態，分別為1oo2 系統中兩個序列故障和2oo3 系統兩個序列出現故障，同時1oo2 系統和2oo3 系統初態都有可能直接發生共因失效進入吸收態。其中，λS1為序列級模塊的失效率；λt為維修旁通設備的失效率，常數；λCCF為序列級模塊的共因失效率；μS1為序列級模塊的修復率；μt為維修旁通設備的修復率，常數。

4.3 基于數字化混合平臺的RPS系統級模型

混合平臺考慮在RPS 的4 個序列中，A、C 序列采用PLC 技術，B、D 序列采用FPGA 技術。兩種平臺通過使用不同的設備實現相同的功能，之間不會出現共因故障[14]，但屬于相同平臺的兩個序列間會出現共因故障。建立考慮共因故障和維修旁通的系統級模塊拒動模型如圖3。與單一數字化平臺相同，數字化混合平臺的Level 1、Level 2 和Level 3 層的系統級模型僅與狀態轉移率有差異。

圖2 單一數字化平臺RPS的系統級拒動故障Markov狀態轉移圖Fig.2 System level rejection fault Markov state transition diagram of single digital platform RPS

圖3 基于數字化混合平臺的RPS的系統級拒動故障Markov狀態轉移圖Fig.3 System level rejection fault Markov state transition diagram of hybrid digital platform RPS

圖4 多樣化驅動—RPS組合系統停堆功能拒動Markov狀態轉移圖Fig.4 Diversity actuation - RPS combined system shutdown function failure Markov state transition diagram

該系統級模型與單一平臺系統模型的狀態定義方法一致，因此僅將主要差異進行闡述。其中，狀態7 為2oo3 系統中的維修旁通設備處于故障狀態。與單一平臺的主要區別在于，當工作序列再次發生故障時，若屬于同一平臺的兩個序列故障，則為狀態8 和5，若兩個平臺各故障一個序列，則為狀態6 和4。若系統中屬于同一平臺的兩個序列故障，那么剩余工作序列便存在發生共因故障的可能性。若同屬不同平臺的兩個序列故障，則剩余工作序列間不會發生共因故障。其中，λK1為序列級模塊的失效率；λCCF為序列級模塊的共因失效率；μK1為序列級模塊的修復率。

4.4 多樣化驅動—單一數字化平臺RPS組合系統模型

在4.2 節單一數字化平臺RPS 系統級模型的基礎上，增加多樣化驅動系統作為RPS 的熱備用系統[15]。在可靠性建模中不再將多樣化驅動系統分割成系統級模塊進行可靠性計算，而是將多樣化驅動系統作為一個整體，與RPS 系統共同分析對RT 功能可靠性的影響。建立考慮共因故障和維修旁通的“多樣驅動—RPS 組合系統”的停堆功能拒動模型如圖4。

在此系統級模型中，狀態O 為初始狀態，此時RPS 和多樣化驅動系統均可以完成停堆功能。狀態1 和狀態2 分別為RPS 系統故障和多樣化驅動系統故障，此時停堆功能可由另一個系統完成。狀態E1 為兩個系統均處于故障狀態，為吸收態。其中，λs 為RPS 系統的故障率；λD為多樣化驅動系統的故障率；μ 為系統的修復率。

圖5 一個換料循環(12960h)內采用不同類型平臺的RPS的停堆功能可靠度變化Fig.5 Change in RT function reliability of RPS with different platforms within a refueling cycle

5 案例分析

以一個換料周期（12960 h）為研究周期，利用第4 節的系統級分析模型建立Markov 狀態轉移矩陣，在RT 功能拒動事件下，利用數值解法對3 種不同類型系統的RT 功能的可靠度進行定量分析。采用β-因子模型[16]分析共因故障，以序列級模塊故障率固定的比例作為共因故障的發生概率的估計，取β 因子為0.01[17]。計算中使用的序列級模塊故障率和修復率見表1[18]，在計算中取維修旁通設備的故障率λt 為1.3076E-05/h，維修旁通設備的修復率μt為0.2/h。

5.1 數字化混合平臺RPS和單一數字化平臺RPS停堆功能可靠度對比

將表1 各Level 序列級模塊的數據帶入到兩種系統級模型的Markov 矩陣，利用Markov 矩陣構建關于可靠度的一階線性微分方程，利用數值方法求解一個換料循環內各Level 系統級模塊的可靠度。最后利用公式（1）計算得到整個RT 功能的可靠度。一個換料循環內，兩種系統的停堆功能可靠度變化如圖5。

表2 不同β因子對兩種系統反應堆停堆功能拒動率的影響Table 2 Effects of different β factors on the failure rate of two kinds of reactor protection system

在換料循環末，混合平臺RPS 停堆功能的可靠度為0.9999999972，單一平臺RPS 停堆功能的可靠度為0.9999992788。由于系統故障率較小，一個換料壽期內兩種系統的可靠度差距并不明顯。由于假設壽命呈指數分布，因而當λt 趨近于0 時，e-λt≈1-λt，故障率可作為可靠性曲線的斜率。因此，混合平臺RPS 停堆功能故障率約為2.1332e-13/hr；單一平臺RPS 系統停堆功能故障率約為5.5650e-11/hr，故障率相差約261 倍。因此，在2oo4 符合邏輯下，混合平臺可以有效減少共因故障的發生，并降低RPS 停堆功能200 倍以上的拒動率。

在可靠性分析模型中，β 因子是影響系統共因故障率的主要因素，其值與系統的性質相關。β 因子越大，序列級模塊間的共因故障率越大。因此，考慮對β 值進行敏感性分析。在不同β 值下，混合平臺系統與單一平臺系統RT 功能的拒動率差異見表2。

隨著β 值增加，停堆功能的拒動率隨共因故障率的增加而遞增。同時，隨著共因故障對系統可靠度的影響逐漸增大，相比于單一平臺，混合平臺其降低共因故障的效果就更明顯。通過定量分析，采用混合平臺確實降低了共因故障對系統的影響，并且若共因故障對原系統的影響越大，采用混合平臺后，系統可靠度提升的越明顯。

5.2 “多樣化驅動—單一數字化平臺RPS”組合系統的停堆功能可靠度分析

多樣化驅動系統作為非安全級系統，在計算中保守考慮其故障率λD為λs×106。其中，λs為β 因子取0.01 時，單一數字化平臺RPS 停堆功能的故障率4.50284E-11/h。“多樣化驅動—RPS”組合系統的停堆功能可靠度在一個換料循環內的變化如圖6。

在換料壽期末，“多樣化驅動—RPS 組合系統”的RT功能可靠度為0.99999999973，故障率可近似為2.0267e-14/h。“組合系統”RT 功能的故障率相比于不采用多樣性后備的“混合平臺RPS”有約10 倍的優勢，相差很小。若進一步降低多樣化驅動系統的故障率至4.50284e-7/hr，則RT功能的故障率為2.0353e-16/hr，與“混合平臺RPS”相比有約103倍的優勢。結果表明，多樣化驅動系統自身的故障率對RT 功能的可靠性具有重要影響，提升多樣化驅動系統的可靠性可以增加停堆功能的可靠度。與數字化混合平臺在RPS 系統內部增加多樣性相比，多樣化驅動系統作為RPS 系統整體的后備，對RT 功能的可靠度貢獻更大。

圖6 一個換料循環(12960h)內混合平臺RPS和“多樣化驅動——RPS”組合系統的RT功能可靠度變化Fig.6 RT functional reliability variation for Hybrid platform RPS and “Diversity actuation-RPS” combined system within one refueling cycle

6 結論

在RT 功能拒動事件下，分別對3 種類型系統：單一數字化平臺RPS、數字化混合平臺RPS 以及“多樣化驅動—單一數字化平臺RPS”組合系統的RT 功能可靠度進行定量分析。分析結果表明：相比于單一數字化平臺，數字化混合平臺確實可以降低共因故障對RT 功能的影響，并且共因故障對原系統的影響越大，混合平臺對RT 功能可靠度的提升越大；相比于混合平臺，多樣化驅動系統既規避了RPS 共因故障的風險，又作為RPS 停堆功能的多樣性后備，因此對整體RT 功能可靠度提升更為明顯。同時采用數字化混合平臺和多樣化驅動系統可以將共因故障的影響降到最低，并最大化反應堆停堆功能的可靠度。