核電廠反應(yīng)堆保護(hù)系統(tǒng)可靠性分配研究

劉宏春，王 琳，徐霖野，陳 鵬鄭 杲，孫詩炎，吳志強(qiáng)

（1.中國核動力研究設(shè)計院 核反應(yīng)堆系統(tǒng)設(shè)計技術(shù)重點實驗室，成都 610213；2.中核核電運行管理有限公司，浙江 嘉興 314300）

0 引言

核電廠反應(yīng)堆保護(hù)系統(tǒng)是電廠儀控系統(tǒng)中最重要的部分，它監(jiān)測與反應(yīng)堆安全有關(guān)的重要參數(shù)。當(dāng)這些參數(shù)達(dá)到或超過安全分析確定的整定值時，觸發(fā)反應(yīng)堆緊急停堆或啟動專設(shè)安全設(shè)施系統(tǒng)，防止反應(yīng)堆狀態(tài)超過規(guī)定的安全限值，或減輕超過安全限值的事故后果。可見，反應(yīng)堆保護(hù)系統(tǒng)的可靠性對于核電廠的安全運行具有不可替代的作用。

核電廠反應(yīng)堆保護(hù)系統(tǒng)的整個信號通道上包含傳感器、信號采集處理以及驅(qū)動控制等環(huán)節(jié)，為了設(shè)計出高可靠的反應(yīng)堆保護(hù)系統(tǒng)，需要上述各環(huán)節(jié)均具備與系統(tǒng)總體可靠性目標(biāo)相匹配的可靠性水平。這就需要將反應(yīng)堆保護(hù)系統(tǒng)總體可靠性指標(biāo)合理地分配到相關(guān)的組成環(huán)節(jié)上，作為設(shè)備采購或產(chǎn)品研發(fā)的基礎(chǔ)。以研制一套全新的用于反應(yīng)堆保護(hù)系統(tǒng)的數(shù)字化儀控平臺為例，由于需要提前確定各類功能模塊（輸入/輸出模塊、處理器模塊等）的可靠性水平，因而在儀控平臺研發(fā)之初便需要適配不同的反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)和可靠性指標(biāo)，開展功能模塊級的可靠性分配設(shè)計，并參考工業(yè)領(lǐng)域電子器件的可靠性水平現(xiàn)狀，確定一套合理可行且具備先進(jìn)性和經(jīng)濟(jì)性特征的功能模塊可靠性設(shè)計目標(biāo)值。

本文旨在通過研究，提出一種較為合理且可操作性強(qiáng)的反應(yīng)堆保護(hù)系統(tǒng)可靠性分配策略。

1 可靠性分配介紹

可靠性分配是指把系統(tǒng)的可靠性指標(biāo)逐級分配到各個單元的過程。對可靠性進(jìn)行分配，需要一個系統(tǒng)的可靠性模型，然后進(jìn)行系統(tǒng)功能模塊的可靠性分配。分配給系統(tǒng)本身的初始值應(yīng)該是系統(tǒng)可靠性指標(biāo)要求值，有時會為系統(tǒng)分配比要求值略高的可靠性值，以允許以后的系統(tǒng)功能增長，并允許系統(tǒng)中無法達(dá)到其分配值的子系統(tǒng)在設(shè)計過程后期獲得一些額外的可靠性裕量。

可靠性分配過程包括求解如下基本不等式[1]：

其中，：分配給第i 個子系統(tǒng)的可靠性參數(shù)；R*：系統(tǒng)需要滿足的可靠性參數(shù)；f：子系統(tǒng)可靠性和系統(tǒng)可靠性之間的函數(shù)關(guān)系。

理論上，如果對可靠性分配沒有任何約束條件，上面的不等式可以有無數(shù)解，即分配方案有無限多個。一個合理的可靠性分配，就是能產(chǎn)生合理的一個或者有限數(shù)量的分配方法。

不同子系統(tǒng)和部件之間的可靠性值的分配可以基于復(fù)雜性、重要性、可實現(xiàn)的可靠性，或任何其它分析人員認(rèn)為合適的因素進(jìn)行分配。一般來說，使用可靠性模型進(jìn)行可靠性分配是一個持續(xù)迭代的過程，直到將一組適當(dāng)?shù)目煽啃远攘糠峙浣o系統(tǒng)的每個功能模塊。

常用的可靠性分配方法包括等分配法、評分分配法、比例組合法、Agree 分配法等[2]。

2 反應(yīng)堆保護(hù)系統(tǒng)可靠性分配方法

2.1 基本思路

針對核電廠反應(yīng)堆保護(hù)系統(tǒng)的可靠性分配，直接應(yīng)用等分配法等方法的工程可行性不強(qiáng)，原因如下：

1）多數(shù)分配方法比較適用于串聯(lián)系統(tǒng)（如等分配法、評分分配法等），而核電廠反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)較為復(fù)雜，其為高冗余度的串并聯(lián)組合系統(tǒng)。

2）核電廠反應(yīng)堆保護(hù)系統(tǒng)的限制條件多（如系統(tǒng)冗余度、多樣化設(shè)計、系統(tǒng)機(jī)柜數(shù)量等），且往往采用經(jīng)過工程驗證的系統(tǒng)結(jié)構(gòu)設(shè)計，結(jié)構(gòu)和可靠性分配調(diào)整的靈活性較低。

在進(jìn)行系統(tǒng)可靠性分配之前，應(yīng)事先確定一個典型的保護(hù)系統(tǒng)結(jié)構(gòu)。目前，反應(yīng)堆保護(hù)系統(tǒng)主要有兩種典型結(jié)構(gòu)，即“4 個保護(hù)組”和“4 個保護(hù)組+2 個邏輯系列”[4]。本文基于“4 個保護(hù)組+2 個邏輯系列”的典型反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)對可靠性分配方法進(jìn)行研究，該典型結(jié)構(gòu)如圖1所示。

圖1 典型反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)Fig.1 Typical structure of reactor protection system

4 個保護(hù)組的過程儀表預(yù)處理單元（PIPS）為現(xiàn)場傳感器進(jìn)行供電，采集代表電廠狀態(tài)的傳感器信號，將調(diào)理后的信號分配給采集處理單元（APU）。APU 單元進(jìn)行信號處理以及定值比較，產(chǎn)生“局部脫扣”信號，然后送至下游兩個邏輯系列的驅(qū)動邏輯單元（ALU），在其中進(jìn)行邏輯表決（例如，2/4 表決）、保護(hù)邏輯運算及保護(hù)動作信號輸出。系統(tǒng)內(nèi)部設(shè)計了兩個參數(shù)多樣性子組，對應(yīng)每個保護(hù)組內(nèi)的APU-*1 和APU-*2（*代表1 ～4）以及每個邏輯系列內(nèi)的ALU-*1 和ALU-*2（*代表A 或B）。每個子組由一套處理器單元及外圍輸入/輸出模塊實現(xiàn)。兩個子組的輸出做“或”后產(chǎn)生本子組對應(yīng)的緊急停堆信號或者專設(shè)驅(qū)動信號，緊急停堆信號被送往停堆斷路器，專設(shè)驅(qū)動信號被送往優(yōu)先級驅(qū)動機(jī)柜（PLM-A 或PLM-B)，經(jīng)過優(yōu)先級判斷后，最終被輸出至專設(shè)驅(qū)動器。

表1 層級內(nèi)儀控單元的可靠性分配Table 1 Reliability distribution value for each I&C unit of each I&C level

本文基于圖1 中的反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)，提出一種按照系統(tǒng)的不同層級逐步進(jìn)行可靠性分配的方法。

2.2 分配步驟

按照反應(yīng)堆保護(hù)系統(tǒng)的不同層級，逐步進(jìn)行可靠性分配的步驟如下：

1）子系統(tǒng)間的可靠性分配。針對含有多樣性子系統(tǒng)的反應(yīng)堆保護(hù)系統(tǒng)，根據(jù)系統(tǒng)級可靠性指標(biāo)，在子系統(tǒng)間進(jìn)行分配。對于兩個多樣性子系統(tǒng)，可按照子系統(tǒng)獨立失效計算可靠性指標(biāo)，系統(tǒng)失效概率為各子系統(tǒng)失效概率的乘積。

2）子系統(tǒng)內(nèi)各儀控層級的可靠性分配。可近似將反應(yīng)堆保護(hù)系統(tǒng)不同層級間考慮為串聯(lián)關(guān)系，并基于以往類似系統(tǒng)的可靠性經(jīng)驗反饋為子系統(tǒng)內(nèi)不同儀控層級分配可靠性指標(biāo)。反應(yīng)堆保護(hù)系統(tǒng)的各儀控層級包括：儀表層、信號調(diào)理層、采集處理層、邏輯表決層和優(yōu)選層。

3）層級內(nèi)儀控單元的可靠性分配。此步驟的分配可根據(jù)層級內(nèi)儀控單元的冗余度及共因參數(shù)，使用簡化計算方式估算各層級內(nèi)設(shè)備和單元的可靠性指標(biāo)。

4）儀控單元內(nèi)功能模塊的可靠性分配。此步驟針對需要繼續(xù)分解的儀控單元，在其內(nèi)部組成的功能模塊間進(jìn)行可靠性分配。此步驟可以假設(shè)每個儀控單元實現(xiàn)最復(fù)雜保護(hù)功能時需要的功能模塊類型和數(shù)量，并保守地按照串聯(lián)模型進(jìn)行考慮。

3 應(yīng)用實例

3.1 分配目標(biāo)和約束條件

為圖1 中所示的典型反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)進(jìn)行可靠性分配，需考慮以下因素：

1）系統(tǒng)可靠性設(shè)計目標(biāo)為：系統(tǒng)總體拒動率≤1.0E-7（考慮兩個多樣性子系統(tǒng)的共同作用）[3]。

2）在特定數(shù)據(jù)不可用時，使用通用數(shù)據(jù)或工程假設(shè)處理。

3.2 可靠性分配過程

3.2.1 子系統(tǒng)間的可靠性分配

系統(tǒng)總體拒動率設(shè)計目標(biāo)為1.0E-07，為簡化處理，按照子系統(tǒng)獨立失效計算可靠性指標(biāo)，系統(tǒng)失效概率為各子系統(tǒng)失效概率的乘積。可得到每個子系統(tǒng)的拒動率目標(biāo)為：

3.2.2 子系統(tǒng)內(nèi)各儀控層級的可靠性分配

單個子系統(tǒng)的拒動率目標(biāo)為3.16E-04。針對反應(yīng)堆保護(hù)系統(tǒng)的5 個儀控層級，參考以往類似系統(tǒng)的經(jīng)驗反饋和專家判斷可給出各層級的拒動率占比，則可以根據(jù)子系統(tǒng)拒動率目標(biāo)在層級間進(jìn)行分配。例如，為儀表層、信號調(diào)理層、采集處理層、邏輯表決層和優(yōu)選層分別分配30%、5%、20%、20%以及20%的拒動率占比，從而得到它們的拒動率分配值分別為9.49E-05、1.58E-05、6.32E-05、6.32E-05 和6.32E-05。由于已將5%的拒動率占比分配給了儀控系統(tǒng)軟件，因而分配給各儀控層級的拒動率占比總份額為95%。

3.2.3 儀控層級內(nèi)儀控單元的可靠性分配

針對反應(yīng)堆保護(hù)系統(tǒng)，儀控層級內(nèi)的儀控單元即為組成該儀控層級的各冗余組成單元。基于3.2.2 節(jié)中已分配給各層級儀控系統(tǒng)的拒動率指標(biāo)，按照如下方式開展層級內(nèi)儀控單元的可靠性分配。

1）使用本層級可靠性分配指標(biāo)作為輸入。

2）考慮本層級儀控單元的冗余設(shè)計和邏輯表決關(guān)系，確定關(guān)鍵共因組合。

3）根據(jù)共因模型和參數(shù)計算每個單元的可靠性分配指標(biāo)，由于多重失效主要原因是共因失效，因而為進(jìn)行簡化，僅考慮共因失效。

以α 共因模型為例，在定期試驗按照非交錯試驗進(jìn)行考慮時，針對由m 個部件組成的共因部件組，每個共因事件的失效概率計算公式如下：

反應(yīng)堆保護(hù)系統(tǒng)的儀表層、信號調(diào)理層以及采集處理層均為4 冗余度設(shè)計，采取2/4 表決邏輯設(shè)計，3 個或4 個儀控單元的失效（可檢測或不可檢測失效）將導(dǎo)致該層級失效。基于α 共因模型（非交錯試驗），可得到層級失效概率Qlevel，約等于3 個或4 個儀控單元共因失效的失效概率，可用以下公式表述：

其中，Qunit為儀控單元失效概率值，根據(jù)式（4）即可以得到：

基于參考文獻(xiàn)[4]中的通用CCF 數(shù)據(jù)，4 個設(shè)備共因故障組的α 參數(shù)如下：α1=9.74E-01，α2=1.70E-02，α3=5.89E-03，α4=2.98E-03，由此可得到：Qunit=29.2×Qlevel。

反應(yīng)堆保護(hù)系統(tǒng)的邏輯表決層和優(yōu)選層采用1/2 表決邏輯設(shè)計，2 個儀控單元的失效（可檢測或不可檢測失效）導(dǎo)致該層級失效。基于α 共因模型（非交錯試驗），可得到層級失效概率Qlevel約等于2 個儀控單元共因失效的失效概率，可用以下公式表述：

根據(jù)式（6）即可以得到：

基于參考文獻(xiàn)[4]中的通用CCF 數(shù)據(jù)，2 個設(shè)備的共因故障組的α 參數(shù)如下：α1=9.74E-01，α2=2.57E-02。由此可得到：Qunit=20×Qlevel。

由此可得層級內(nèi)儀控單元的可靠性分配見表1。

3.2.4 儀控單元內(nèi)功能模塊的可靠性分配

在得到反應(yīng)堆保護(hù)系統(tǒng)各儀控層級內(nèi)儀控單元的失效概率后，需要進(jìn)一步將可靠性分配至各功能模塊。這可以按照串聯(lián)模型進(jìn)行考慮，儀控單元的失效概率Qunit與功能模塊失效概率λ 的計算公式如下：

其中：為模塊i 的失效概率；為模塊i 的安全可檢測失效率（單位為/h）；為模塊i 的危險可檢測失效率（單位為/h）；為模塊i 的危險不可檢測失效率（單位為/h）；MTTRi為模塊i 的平均維修時間（單位h）；TIi為模塊i 的定期試驗間隔（單位為h）。

以儀表層以及采集處理層兩個層級為例，對將儀控單元的失效概率分配到功能模塊的過程進(jìn)行說明。

針對測量儀表，根據(jù)以往經(jīng)驗可知，儀表典型的自檢覆蓋率為85%，且安全失效和危險失效各占50%，定期試驗周期為18 個月（13140h），平均維修時間為1 周（168h）。儀表總失效率為λsensor，由公式（9）和（10）可得到儀表總失效率指標(biāo)為4.35E-06/h：

對于采集處理層，假設(shè)其定期試驗周期為18 個月（13140h），平均維修時間為8h。假設(shè)執(zhí)行一個儀控功能需要包含2 個模擬量輸入模塊（AI）、2 個數(shù)字量輸入模塊（DI）、2 個通信模塊（COM）、1 個處理器模塊（CPU）、2個數(shù)字量輸出模塊（DO）以及1 個電源模塊（PW）。對這些模塊按照串聯(lián)進(jìn)行儀控單元層級失效概率的計算，計算公式如下：

從式（11）可見，由1 個Qunit值推導(dǎo)各功能模塊的λSD，λDD，λDU，它的解會有無窮多種組合。此時，可基于行業(yè)平均水平和專家經(jīng)驗，以同類型儀控平臺可靠性數(shù)據(jù)作為各功能模塊的初始失效率數(shù)據(jù)，代入上述公式進(jìn)行驗算后，再對數(shù)據(jù)進(jìn)行調(diào)整。

本文以表2 所示的某安全級DCS 平臺功能模塊失效率數(shù)據(jù)作為各功能模塊的初始失效率數(shù)據(jù)，將這些數(shù)據(jù)代入公式后計算得到儀控單元層失效概率為4.40E-04，小于儀控單元層的失效率分配值1.85E-03，這表明該組初始失效數(shù)據(jù)能夠滿足保護(hù)系統(tǒng)總體可靠性目標(biāo)的要求。此時，可再綜合考慮系統(tǒng)各功能模塊的復(fù)雜度、重要度、技術(shù)成熟度、任務(wù)時間的長短，以及實現(xiàn)可靠性要求所花費的代價及時間周期等因素，對初始失效率數(shù)據(jù)進(jìn)行調(diào)整，直至得到一組滿意的數(shù)據(jù)。

表2 某安全級DCS平臺功能模塊失效率數(shù)據(jù)Table 2 Failure rate of functional module for one safety DCS system platform

4 結(jié)論

本文針對核電廠反應(yīng)堆保護(hù)系統(tǒng)的可靠性分配設(shè)計，基于對常用可靠性分配方法的研究，并考慮反應(yīng)堆保護(hù)系統(tǒng)冗余度高、系統(tǒng)結(jié)構(gòu)復(fù)雜等特點，提出了一種按照系統(tǒng)的不同層級逐步進(jìn)行分配的思路。并以一個典型的反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)為例，對該分配方法進(jìn)行了詳細(xì)的說明。可以看出，本文所提方法思路清晰且可操作性強(qiáng)，可為今后開展反應(yīng)堆保護(hù)系統(tǒng)設(shè)備采購或產(chǎn)品研發(fā)提供基礎(chǔ)可靠性數(shù)據(jù)指標(biāo)，并可推廣應(yīng)用至其他復(fù)雜系統(tǒng)可靠性分配中。