反應(yīng)堆保護(hù)系統(tǒng)可靠性指標(biāo)的評價(jià)方法研究

王 偉，趙 軍，童節(jié)娟，周繼翔，肖 鵬

(1.清華大學(xué) 核能與新能源技術(shù)研究院，北京 100084；2.中國核動(dòng)力研究設(shè)計(jì)院，四川 成都 610041)

?

反應(yīng)堆保護(hù)系統(tǒng)可靠性指標(biāo)的評價(jià)方法研究

王 偉1，趙 軍1，童節(jié)娟1，周繼翔2，肖 鵬2

(1.清華大學(xué) 核能與新能源技術(shù)研究院，北京 100084；2.中國核動(dòng)力研究設(shè)計(jì)院，四川 成都 610041)

反應(yīng)堆保護(hù)系統(tǒng)的性能水平對核電廠安全、經(jīng)濟(jì)、可靠運(yùn)行有很大影響。而實(shí)踐中如何正確評價(jià)反應(yīng)堆保護(hù)系統(tǒng)的可靠性指標(biāo)，業(yè)界并未形成一致方法。本文選取簡化的典型反應(yīng)堆保護(hù)系統(tǒng)為研究對象，主要討論拒動(dòng)概率故障樹分析和誤動(dòng)率馬爾科夫方法的適用性，分析拒動(dòng)概率、誤動(dòng)率兩個(gè)指標(biāo)分別適用的評價(jià)方法，并對示例系統(tǒng)的可靠性指標(biāo)進(jìn)行定量計(jì)算。本研究對進(jìn)一步澄清國內(nèi)反應(yīng)堆保護(hù)系統(tǒng)可靠性評價(jià)中的方法問題，具有重要的參考價(jià)值。

反應(yīng)堆保護(hù)系統(tǒng)；拒動(dòng)概率；故障樹方法；誤動(dòng)率；馬爾科夫方法

核電廠反應(yīng)堆保護(hù)系統(tǒng)(RPS)是核電廠的重要部分之一，一方面用于確保核電廠的正常運(yùn)行，另一方面在事故后的電廠響應(yīng)和事故緩解中扮演著重要的角色。RPS的性能水平對核電廠機(jī)組的安全、經(jīng)濟(jì)、可靠運(yùn)行有很大影響。

盡管RPS具有自身的固有安全性，但其可靠性評價(jià)仍存在諸多問題。首先，保護(hù)系統(tǒng)一般較復(fù)雜，且隨著計(jì)算機(jī)技術(shù)的發(fā)展，RPS功能越強(qiáng)大，尺寸也越小，因此在可靠性分析建模時(shí)，數(shù)學(xué)建模方法與工程實(shí)際吻合的難度也越大；其次，RPS是人-機(jī)-環(huán)境共同構(gòu)成的整體，分析時(shí)必須考慮三者之間的相互作用與影響，同時(shí)還需考慮故障的先后順序、故障持續(xù)時(shí)間等因素，在當(dāng)前條件下，很難找到一種適合諸多因素的有效的可靠性建模工具[1]。因此，本文在澄清RPS可靠性指標(biāo)混淆問題的基礎(chǔ)上，以RPS兩個(gè)重要的設(shè)計(jì)指標(biāo)(拒動(dòng)概率及誤動(dòng)率)為依據(jù)，對RPS的可靠性定量評價(jià)方法進(jìn)行探討，并對所提出方法的適用性進(jìn)行分析。

1 RPS可靠性指標(biāo)及分析方法選擇

1.1 拒動(dòng)概率與誤動(dòng)率

《反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則》(GB/T 4083—2005)規(guī)定，動(dòng)力反應(yīng)堆的緊急停堆系統(tǒng)可靠性設(shè)計(jì)要求滿足如下兩個(gè)指標(biāo)[2]：1) 每個(gè)變量的系統(tǒng)安全故障率(誤停堆率)不大于每年1次；2) 每個(gè)變量在要求保護(hù)動(dòng)作時(shí)，系統(tǒng)因隨機(jī)故障而不動(dòng)作的概率不大于10-5。

從上面的要求歸納，反應(yīng)堆保護(hù)系統(tǒng)的可靠性評價(jià)涉及兩個(gè)指標(biāo)，即拒動(dòng)概率和誤動(dòng)率。拒動(dòng)概率是指系統(tǒng)在要求保護(hù)動(dòng)作時(shí)，系統(tǒng)或其部件因隨機(jī)故障而不動(dòng)作的概率，主要與系統(tǒng)或部件自身的狀態(tài)有關(guān)，而與時(shí)間無關(guān)，是無量綱量，取值在0～1之間。誤動(dòng)率則是指系統(tǒng)或元件在單位時(shí)間內(nèi)發(fā)生誤動(dòng)作的次數(shù)，它是與時(shí)間有關(guān)的量。

1.2 可靠性指標(biāo)分析方法選擇

可靠性分析方法大致可分為定量分析法和定性分析法兩種[3]。在系統(tǒng)的可靠性分析中，有多種可靠性的建模方法，如可靠性邏輯框圖法、馬爾科夫(Markov)過程模型、故障樹方法、事件樹方法、GO圖模型等。需根據(jù)待評價(jià)可靠性指標(biāo)的特點(diǎn)，選擇合適的評價(jià)方法。

1) 拒動(dòng)概率

反應(yīng)堆保護(hù)系統(tǒng)是由所有電子器件、機(jī)械器件和線路(從傳感器一直到執(zhí)行機(jī)構(gòu)的輸入端)組成的產(chǎn)生保護(hù)信號的系統(tǒng)，它能滿足如下要求：自動(dòng)觸發(fā)有關(guān)的系統(tǒng)(需要時(shí)包括停堆系統(tǒng))動(dòng)作、檢測事故工況并觸發(fā)為減輕這些事故工況后果所需的系統(tǒng)動(dòng)作、抑制控制系統(tǒng)的不安全動(dòng)作。

通過保護(hù)系統(tǒng)的描述與作用可知，在發(fā)出保護(hù)信號時(shí)，各子系統(tǒng)及部件的動(dòng)作基本是順序的，無明顯的信號動(dòng)態(tài)反饋。因此若以保護(hù)系統(tǒng)拒動(dòng)為頂事件，可按照直接原因逐步反溯到更深層的原因。這種分析思路符合故障樹方法的原理。于文革等[4]的研究也表明這一分析思路確實(shí)可行。

基于上述考慮，選取故障樹分析方法進(jìn)行反應(yīng)堆保護(hù)系統(tǒng)拒動(dòng)概率的定性定量分析。

2) 誤動(dòng)率

誤動(dòng)率是保護(hù)系統(tǒng)單位時(shí)間發(fā)生誤動(dòng)作的次數(shù)的表征。對反應(yīng)堆保護(hù)系統(tǒng)的誤動(dòng)率進(jìn)行分析時(shí)，需考慮維修試驗(yàn)帶來的狀態(tài)變化，因而會有反饋邏輯、時(shí)序變化等方面的影響。

由于故障樹方法的根本原理是布爾代數(shù)，是一種靜態(tài)、不區(qū)分時(shí)序的方法，因此對維修試驗(yàn)、反饋等因素的構(gòu)模，只能按平均狀態(tài)來體現(xiàn)，很難準(zhǔn)確表示系統(tǒng)可靠性的狀態(tài)變化過程。

另外，故障樹最小割集的基本事件都是無量綱的概率型。若一個(gè)最小割集中出現(xiàn)多個(gè)失效率型的基本事件，則繼續(xù)采用故障樹定量化法計(jì)算后得到的結(jié)果不具有物理意義，在量綱上也不可能得到“次/年”等表征頻率的單位。因此，在進(jìn)行誤動(dòng)率的分析時(shí)，故障樹分析方法有困難。

馬爾科夫方法是表示時(shí)間函數(shù)狀態(tài)概率的常用方法。原則上，在馬爾科夫方法框架下，需求失效概率可通過將系統(tǒng)不響應(yīng)指令(失效危險(xiǎn)狀態(tài))的狀態(tài)的失效概率進(jìn)行加和得到，該值是時(shí)間的函數(shù)。安全失效平均間隔時(shí)間(MTTFS)、危險(xiǎn)失效平均間隔時(shí)間(MTTFD)及其他的平均失效時(shí)間均可利用馬爾科夫模型精確計(jì)算。所以，馬爾科夫方法可能是最全面的一種可用于評估控制系統(tǒng)可靠性的方法[4]，可適用于保護(hù)系統(tǒng)的可靠性建模，精確定量化保護(hù)系統(tǒng)的誤動(dòng)率。

但用馬爾科夫方法分析復(fù)雜系統(tǒng)時(shí)，其狀態(tài)數(shù)目的增長非常迅速，從而使模型的分析非常困難。

因此，本文提出一種利用馬爾科夫方法的基本原理，結(jié)合保護(hù)系統(tǒng)特點(diǎn)，進(jìn)行“模塊化”處理建模的方法。反應(yīng)堆保護(hù)系統(tǒng)包含多個(gè)子系統(tǒng)，每個(gè)子系統(tǒng)中，根據(jù)部件所在的位置、作用及部件間的相互影響，可劃分為不同的模塊，每個(gè)模塊通過某一信號進(jìn)行前后聯(lián)系。依據(jù)上述模塊劃分，在進(jìn)行系統(tǒng)的誤動(dòng)率分析中，基于每個(gè)模塊的特定且唯一的功能及其模塊間的串并聯(lián)關(guān)系，采用“模塊化處理——綜合建?！钡乃悸?。首先建立每個(gè)模塊的馬爾科夫模型，在此基礎(chǔ)上，將各模塊的馬爾科夫模型進(jìn)行串并聯(lián)分析與整合，得到系統(tǒng)級的馬爾科夫模型。在進(jìn)行定量分析時(shí)，首先對各模塊的馬爾科夫模型分別進(jìn)行定量計(jì)算，得到模塊級的失效率與維修率，然后將其應(yīng)用于系統(tǒng)級馬爾科夫模型并進(jìn)行綜合的定量分析，最終依據(jù)各狀態(tài)轉(zhuǎn)移率求得系統(tǒng)的誤動(dòng)率。

2 典型系統(tǒng)分析

2.1 典型系統(tǒng)描述

為驗(yàn)證上述拒動(dòng)概率和誤動(dòng)率分析方法的適用性，以簡化的核電廠RPS為模型進(jìn)行分析，簡化的系統(tǒng)包含A、B兩個(gè)子系統(tǒng)，并假定子系統(tǒng)之間實(shí)體隔離，其結(jié)構(gòu)如圖1所示。在該系統(tǒng)中，每個(gè)子系統(tǒng)使用兩套獨(dú)立的傳感器(S-A和S-B)，它們分別對應(yīng)的測量值由相應(yīng)的子系統(tǒng)進(jìn)行處理后與設(shè)定值進(jìn)行比較，如果測量值超過預(yù)先設(shè)定值，則該子系統(tǒng)由雙穩(wěn)態(tài)處理器邏輯(BPL-A或BPL-B)產(chǎn)生1個(gè)局部脫扣信號。每個(gè)子系統(tǒng)的信號處理過程相同。產(chǎn)生的局部脫扣信號分別發(fā)送至兩個(gè)子系統(tǒng)的局部符合邏輯(LCL-A和LCL-B)。

每個(gè)LCL對接收的局部脫扣信號進(jìn)行二取二表決。如果某個(gè)LCL接收并處理2條來自不同子系統(tǒng)的局部脫扣信號，將對其相連接的2個(gè)停堆邏輯處理器(RT-A1、RT-A2，RT-B1、RT-B2)產(chǎn)生相應(yīng)的電信號。每個(gè)停堆邏輯處理器將電信號轉(zhuǎn)換之后，分別向與之對應(yīng)的繼電器觸點(diǎn)(M1、M2、M3及M4)發(fā)出1條繼電器斷電信號。

圖1 典型系統(tǒng)結(jié)構(gòu)Fig.1 Scheme of simplified system

M1、M2、M3和M4共同構(gòu)成停堆觸發(fā)邏輯矩陣(RTM)。在RTM中，M1與M2進(jìn)行二取一表決，M3與M4進(jìn)行二取一表決，兩個(gè)表決出的信號分別將相關(guān)的中間繼電器斷電(二取二表決)，同時(shí)RTM發(fā)出停堆信號。

2.2 利用故障樹方法求解拒動(dòng)概率

2.2.1 建模方法及說明

針對本示例系統(tǒng)停堆信號拒發(fā)故障樹的依據(jù)分析方法的適用性，作如下假設(shè)：

1) 對本示例系統(tǒng)進(jìn)行拒動(dòng)分析，即認(rèn)為RTM拒發(fā)出停堆信號。因此，本工作選取“停堆信號拒發(fā)”作為頂事件，自頂向下識別系統(tǒng)故障原因并建立故障樹。

2) 系統(tǒng)中每個(gè)部件的拒發(fā)信號事件分別考慮“自身故障失效”及“未從上一環(huán)節(jié)接收到信號”兩種失效模式。

3) 分別考慮RT-A1與RT-A2、RT-B1與RT-B2、M1與M2、M3與M4的共因失效，選取BETA模型進(jìn)行共因參數(shù)選值，其中共因因子β=0.1。同時(shí)，基于子系統(tǒng)之間實(shí)體隔離，因此在建模時(shí)不考慮子系統(tǒng)間對應(yīng)設(shè)備(如LCL-A與LCL-B)之間的共因失效。

2.2.2 建模過程及圖示

根據(jù)示例系統(tǒng)說明及故障樹建模假設(shè)，可建立該系統(tǒng)的停堆信號拒發(fā)故障樹，如圖2所示。

圖2 停堆信號拒發(fā)的故障樹Fig.2 Fault tree of failing to send out shutdown signal on demand

2.3 利用馬爾科夫方法求解誤動(dòng)率

2.3.1 建模方法及說明

本示例系統(tǒng)的構(gòu)造相對非常簡化，但系統(tǒng)內(nèi)部包含2個(gè)子系統(tǒng)，且每個(gè)子系統(tǒng)可劃分為多個(gè)模塊，因此在本示例系統(tǒng)的誤動(dòng)率分析中，采用2.2節(jié)中提出的“模塊化處理——綜合建?！钡慕７椒?，對示例系統(tǒng)進(jìn)行馬爾科夫建模，并定量分析系統(tǒng)誤動(dòng)率。

系統(tǒng)狀態(tài)劃分是馬爾科夫建模的第1步，針對本序列的馬爾科夫建模作如下假設(shè)：

1) 系統(tǒng)中包含的所有部件只考慮兩種狀態(tài)，即故障和成功。

2) 為集中體現(xiàn)系統(tǒng)中邏輯處理的特點(diǎn)，并考慮對工作量的簡化，在系統(tǒng)建模中將采取模塊化分步建模處理。

3) 系統(tǒng)的初始狀態(tài)為系統(tǒng)中所有部件均為成功狀態(tài)。

4) 考慮系統(tǒng)的維修與診斷等的維修率。

5) 模型中分別考慮RT-A1與RT-A2、RT-B1與RT-B2、M1與M2、M3與M4的共因失效，選取BETA模型進(jìn)行共因參數(shù)選值，其中β=0.1。同時(shí)，基于子系統(tǒng)之間實(shí)體隔離，因此在建模時(shí)不考慮子系統(tǒng)間對應(yīng)設(shè)備(如LCL-A與LCL-B)之間的共因失效。

在進(jìn)行示例系統(tǒng)的誤發(fā)停堆信號的馬爾科夫建模時(shí)，根據(jù)系統(tǒng)功能及失效后的影響，將該系統(tǒng)劃分為以下幾個(gè)模塊：

1) BPL模塊：BPL(BPL-A或BPL-B)誤發(fā)局部脫扣信號，建模以BPL-A為例；

2) LCL模塊：LCL模塊(含LCL與RT)誤發(fā)出繼電器斷電信號，建模以LCL-A、RT-A1及RT-A2為例；

3) RTM模塊： RTM誤發(fā)出停堆信號。

2.3.2 建模過程及分析

1) BPL模塊誤發(fā)信號的馬爾科夫建模過程

示例系統(tǒng)中，BPL共發(fā)出4路局部脫扣信號，這4路信號由兩個(gè)BPL分別產(chǎn)生，且產(chǎn)生過程完全相同。因此，在建模時(shí)選取1路局部脫扣信號的誤發(fā)即可，以A1為例，其產(chǎn)生過程如下：(1) 傳感器S-A輸入?yún)?shù)通過通道檢查及傳感器校驗(yàn)，測量值與設(shè)定值進(jìn)行比較；(2) 傳感器參數(shù)傳遞到ADC-A，輸入?yún)?shù)由ADC-A轉(zhuǎn)換為電信號；(3) 電信號經(jīng)BPL-A處理后形成局部脫扣信號A1并傳入下一模塊。

根據(jù)上述分析及其之前的建模假設(shè)，對本模塊狀態(tài)進(jìn)行劃分，并以此建立該模塊的馬爾科夫模型，如圖3所示。

以局部脫扣信號A1誤發(fā)為例

在此模型中，A0為工作狀態(tài)，即所有部件都成功；A1、A2、A3分別為傳感器S-A對輸入?yún)?shù)的校驗(yàn)或比較失效、數(shù)模轉(zhuǎn)換器ADC-A失效、雙穩(wěn)態(tài)邏輯處理器BPL-A失效的狀態(tài)，均為吸收態(tài)。其中，λA1、λA2、λA3分別為S-A誤動(dòng)、ADC-A誤動(dòng)及BPL-A誤動(dòng)的失效率，這些誤動(dòng)主要是由于自身設(shè)備故障造成的失效；μA1、μA2、μA3分別為S-A、ADC-A及BPL-A失效后的維修率。

2) LCL模塊誤發(fā)繼電器斷電信號的馬爾科夫建模過程

示例系統(tǒng)包含兩個(gè)相同且平行的LCL模塊(含LCL與RT)，其信號的接收、處理及發(fā)送過程完全相同；同時(shí)每個(gè)RT接收及發(fā)出繼電器斷電信號的過程相同。因此，在建模時(shí)取1組LCL模塊進(jìn)行分析即可，以LCL-A、RT-A1、RT-A2為例。

通過分析得知，導(dǎo)致RT-A1誤發(fā)出繼電器斷電信號的原因如下：

(1) LCL模塊本身成功，但LCL-A接收到兩個(gè)子系統(tǒng)誤發(fā)出的局部脫扣信號。此時(shí)，該兩路局部脫扣信號在LCL模塊中經(jīng)LCL-A、RT-A1及RT-A2的接收、處理后將發(fā)出繼電器斷電信號。

(2) LCL模塊中LCL-A、RT-A1或RT-A2由于自身設(shè)備故障造成信號誤發(fā)。此時(shí)需考慮RT-A1、RT-A2共因故障。

根據(jù)建模假設(shè)及上述分析，對LCL模塊誤發(fā)信號進(jìn)行狀態(tài)劃分，并由此建立相應(yīng)的馬爾科夫模型，如圖4所示。

圖4 LCL模塊誤發(fā)繼電器斷電信號的馬爾科夫模型Fig.4 Markov model of mistakenly sending cut-off signal from LCL to relays

在該模型中，B0為初始狀態(tài)，系統(tǒng)正常運(yùn)行；B1為LCL-A接收到某子系統(tǒng)誤發(fā)出的局部脫扣信號，但此時(shí)不予以做信號處理，但仍為工作狀態(tài)；B2、C1、C2、C3為吸收態(tài)，分別為LCL-A接收到兩條誤發(fā)出的局部脫扣信號、LCL-A自身故障誤發(fā)電信號、RT-A1自身故障誤發(fā)繼電器斷電信號、RT-A1與RT-A2共因失效。其中，λB、μB分別為BPL-A(或BPL-B)誤發(fā)出局部脫扣信號的失效率和維修率，這兩項(xiàng)參數(shù)通過2.3.2條中的BPL模塊信號誤發(fā)馬爾科夫模型的定量計(jì)算求得；λC1、λC2、λC2c分別為局部符合邏輯LCL-A誤動(dòng)的失效率、停堆邏輯處理器RT-A1誤動(dòng)的失效率及RT-A1與RT-A2的共因失效率；μC1、μC2分別為LCL-A與RT-A1失效后的維修率。

3) RTM模塊誤發(fā)停堆信號的馬爾科夫建模過程

在停堆觸發(fā)邏輯矩陣RTM中，若繼電器觸點(diǎn)M1、M2至少有一個(gè)觸點(diǎn)因誤動(dòng)而斷開，同時(shí)M3、M4也至少有一個(gè)觸點(diǎn)因誤動(dòng)而斷開，則RTM會誤發(fā)出停堆信號。由此可知，導(dǎo)致停堆信號誤發(fā)的原因是：(1) RTM本身成功，繼電器觸點(diǎn)接收到誤發(fā)出的繼電器斷電信號而使RTM斷路誤發(fā)出停堆信號；(2) 繼電器觸點(diǎn)由于自身故障而斷開，致使RTM誤發(fā)停堆信號。

此時(shí)，為方便系統(tǒng)分析，假設(shè)上述兩種情況不同時(shí)發(fā)生。如M1、M2中某一觸點(diǎn)由于自身故障而斷開，同時(shí)M3、M4中某一觸點(diǎn)由于接收到誤發(fā)出的繼電器斷電信號而斷開的情況不存在。

上述兩種情況建立誤動(dòng)馬爾科夫模型時(shí)，因涉及的部件及狀態(tài)轉(zhuǎn)移數(shù)量較多，建立一個(gè)模型分析較為復(fù)雜。因此，在RTM模塊中對上述兩種情況分別建模。

圖5 繼電器觸點(diǎn)接收到誤發(fā)繼電器斷電信號導(dǎo)致RTM誤動(dòng)的馬爾科夫模型Fig.5 Markov model of RTM malfunction since relay contacts received cut-off signals mistakenly sent

(1) 繼電器觸點(diǎn)接收到誤發(fā)出的繼電器斷電信號時(shí)相應(yīng)的馬爾科夫模型如圖5所示。在這一模型中，D0為初始狀態(tài)，系統(tǒng)正常運(yùn)行；D1、D3為觸點(diǎn)M1、M2中1個(gè)、2個(gè)接收到誤發(fā)的繼電器斷電信號而誤斷開；D2、D4為M3、M4的對應(yīng)狀態(tài)，均為工作狀態(tài)；D5為M1、M2中1個(gè)觸點(diǎn)及M3、M4中1個(gè)觸點(diǎn)均接收到誤發(fā)出的繼電器斷電信號誤斷開；D6為M1、M2中2個(gè)觸點(diǎn)及M3、M4中2個(gè)觸點(diǎn)均接收到誤發(fā)出的繼電器斷電信號誤斷開；D7為M1、M2中2個(gè)觸點(diǎn)及M3、M4中1個(gè)觸點(diǎn)接收到誤發(fā)出的繼電器斷電信號誤斷開；D5、D6、D7為吸收態(tài)；λD為某一繼電器觸點(diǎn)誤斷開的失效率；μD為某一繼電器觸點(diǎn)的維修率。

圖6 RTM模塊繼電器觸點(diǎn)自身故障誤發(fā)停堆信號的馬爾科夫模型Fig.6 Markov model of RTM malfunction caused by self-faults of relay contacts

(2) 繼電器觸點(diǎn)由于自身故障而斷開時(shí)，分別考慮M1與M2、M3與M4之間的共因失效。此時(shí)，繼電器觸點(diǎn)M1、M2至少有1個(gè)觸點(diǎn)因誤動(dòng)而斷開，同時(shí)M3、M4也至少有1個(gè)觸點(diǎn)因誤動(dòng)而斷開，則導(dǎo)致RTM誤發(fā)停堆信號。相應(yīng)的馬爾科夫模型如圖6所示。此模型中，E0為初始狀態(tài)；E1、E3分別為觸點(diǎn)M1、M2中1個(gè)、2個(gè)自身故障誤開；E2、E4為M3、M4的對應(yīng)狀態(tài)，均為工作狀態(tài)；E5為M1、M2中1個(gè)觸點(diǎn)及M3、M4中1個(gè)觸點(diǎn)自身故障誤斷開；E6為M1、M2中1個(gè)觸點(diǎn)及M3、M4中2個(gè)觸點(diǎn)自身故障；E7為M1、M2中2個(gè)觸點(diǎn)及M3、M4中1個(gè)觸點(diǎn)自身故障；D5、D6、D7為吸收態(tài)；λE、λEc分別為某一繼電器觸點(diǎn)誤斷開的失效率以及M1、M2(或M3、M4)2個(gè)觸點(diǎn)共因失效的失效率；μE為某一繼電器觸點(diǎn)的維修率。

3 可靠性指標(biāo)定量分析

本文中，拒動(dòng)概率、誤動(dòng)率分析所采用的基礎(chǔ)失效數(shù)據(jù)主要參考美國用戶要求文件URD中的參考數(shù)據(jù)[5]。

3.1 拒動(dòng)概率的定量分析

觸發(fā)停堆時(shí)，每個(gè)部件的觸發(fā)時(shí)間很短，一般為秒量級，但此處為保守計(jì)算，選取停堆觸發(fā)的任務(wù)時(shí)間為1 h。對于圖2所示的停堆信號拒發(fā)故障樹進(jìn)行定量化分析，得到頂事件“停堆信號拒發(fā)”的發(fā)生概率Q=4.26×10-6。

通過Risk Spectrum運(yùn)算可得對頂事件發(fā)生概率貢獻(xiàn)處于前8位的重要最小割集(表1)。同時(shí)，計(jì)算結(jié)果顯示，這8項(xiàng)最小割集對頂事件的貢獻(xiàn)超過99.8%。

表1 圖2所示停堆信號拒發(fā)故障樹的重要最小割集Table 1 Significant minimum cut sets obtained from fault tree model in Fig.2

3.2 誤動(dòng)率的定量分析

馬爾科夫模型定量分析時(shí)，假設(shè)定期試驗(yàn)間隔TI=1 a，設(shè)備的實(shí)際修復(fù)時(shí)間(TR)均為8 h，則設(shè)備平均維修時(shí)間[6]計(jì)算如下：

MTTR=TI/2+TR=4 388h

其維修率為：

μ=1/MTTR=2.28×10-4h-1

因此，示例系統(tǒng)定量分析時(shí)，μA1、μA2、μA3、μC1、μC2、μE3取值均為2.28×10-4h-1。

1) 模塊級維修率的求解

計(jì)算某系統(tǒng)的維修率時(shí)，為保守計(jì)算，通常選取該系統(tǒng)馬爾科夫模型中MTTR最大的部件作為整個(gè)模型的MTTR，因此該系統(tǒng)的維修率為MTTR的倒數(shù)。

因此，圖3所示BPL模塊誤發(fā)信號的馬爾科夫模型中，BPL模塊的模塊級維修率采用上述保守計(jì)算方法。本示例系統(tǒng)中各部件的維修率μ=2.28×10-4h-1，BPL模塊的馬爾科夫模型的模塊級維修率μB=2.28×10-4h-1。由此可知，LCL模塊的模塊級維修率μD=2.28×10-4h-1。

2) 模塊級失效率的求解

在本工作馬爾科夫模型中，模塊級失效率即為模型的失效率，數(shù)值上等于模型平均首次故障前時(shí)間MTTFF的倒數(shù)。MTTFF是可維修產(chǎn)品首次故障時(shí)間的平均值，它反映了產(chǎn)品的制造及出廠前對產(chǎn)品早期故障采取措施的水平[7]。計(jì)算MTTFF可采用以下公式[8]：

λ=1/MTTFF

其中，f(t)為產(chǎn)品的概率密度函數(shù)。

MTTFF可通過馬爾科夫模型的轉(zhuǎn)移率矩陣求得。因此，圖3～6所示馬爾科夫模型各自的模塊級失效率分別為：

λB=1/MTTFFB=

同理，求得：

3) 系統(tǒng)誤動(dòng)率λM的求解

圖5、6所示的馬爾科夫模型為并聯(lián)關(guān)系，因此系統(tǒng)失效率為圖5、6模型的模塊級失效率之和：

4 結(jié)論

故障樹方法可適用于估算保護(hù)系統(tǒng)的拒動(dòng)概率。因保護(hù)系統(tǒng)拒發(fā)信號分析是一順序執(zhí)行的過程，故障樹分析能有效對保護(hù)系統(tǒng)故障類型進(jìn)行拆分，建立相應(yīng)的邏輯關(guān)系后進(jìn)行定性定量分析。

運(yùn)用“模塊化處理——綜合建?！钡鸟R爾科夫方法，可有效解決馬爾科夫方法難以勝任復(fù)雜系統(tǒng)的誤動(dòng)率分析的困難。一方面它很好地解決了分析復(fù)雜系統(tǒng)時(shí)模型中狀態(tài)轉(zhuǎn)移數(shù)目增長迅速帶來的計(jì)算困難，同時(shí)借助于系統(tǒng)分析時(shí)模塊內(nèi)部、模塊之間的相互串并聯(lián)關(guān)系，使模塊之間的分析結(jié)構(gòu)更加清晰。

未來需進(jìn)一步研究的是，馬爾科夫方法中單元發(fā)生故障和修復(fù)的過程默認(rèn)假設(shè)服從泊松過程，即一段時(shí)間內(nèi)狀態(tài)轉(zhuǎn)移的概率隨時(shí)間增長而增長，而實(shí)際系統(tǒng)中還會出現(xiàn)與時(shí)間無關(guān)的事件，如繼電器需求拒開，馬爾科夫方法對于這類情形的表征和模化還存在一定的困難。

[1] 方濤. 核電站數(shù)字化控制系統(tǒng)可靠性評價(jià)方法的研究[D]. 北京：華北電力大學(xué)，2013.

[2] GB/T 4083—2005 核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則[S]. 北京：中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局，中國國家標(biāo)準(zhǔn)化管理委員會，2005.

[3] 李良巧. 機(jī)械可靠性設(shè)計(jì)與分析[M]. 北京：國防工業(yè)出版社，1998.

[4] 于文革，張志儉，黃衛(wèi)剛，等. 大亞灣核電站反應(yīng)堆保護(hù)系統(tǒng)可靠性分析[J]. 核動(dòng)力工程，2003，24(1)：63-67.

YU Wenge, ZHANG Zhijian, HUANG Wei-gang, et al. Reactor protection system reliability analysis of Daya Bay NPP[J]. Nuclear Power Engineering, 2003, 24(1): 63-67(in Chinese).

[5] EPRI. Utility requirement document annex a reliability data base for passive ALWR PRAs[R]. US: EPRI, 2008.

[6] 威廉·戈布爾(美). 控制系統(tǒng)的安全評估與可靠性[M]. 白焰，董玲，楊國田，譯. 北京：中國電力出版社，2008.

[7] 趙眾. 可靠性工程[M]. 北京：石油大學(xué)出版社，1997.

[8] 喬巍巍. 數(shù)控系統(tǒng)可靠性建模及熵權(quán)模糊綜合評價(jià)[D]. 長春：吉林大學(xué)，2008.

Evaluation Method of Reliability Indicator of Reactor Protection System

WANG Wei1, ZHAO Jun1, TONG Jie-juan1, ZHOU Ji-xiang2, XIAO Peng2

(1.InstituteofNuclearandNewEnergyTechnology,TsinghuaUniversity,Beijing100084,China; 2.NuclearPowerInstituteofChina,Chengdu610041,China)

The performance level of reactor protection system is of a great effect on nuclear power plant safety, economy and reliable operation. However, the industry has not formed a consistent methodology on how to correctly evaluate the reliability index of the reactor protection system in practice. In this paper, the applicabilities of fault tree analysis on the probability of failure on demand and Markov method on the malfunction rate were mainly discussed based on a simplified typical reactor protection system. The evaluation methods applicable respectively for the following two indicators, namely the probability of failure on demand and the malfunction rate of the typical system were estimated, and the reliability indicators of the sample system were quantitatively calculated. This research has clarified methodologically problem in the analysis on the reliability evaluations of reactor protection system in China and is of significant value as a reference.

reactor protection system; probability of failure on demand; fault tree analysis; malfunction rate; Markov method

2014-01-20;

2014-03-05

王 偉(1987—)，男，山東日照人，碩士研究生，核能與核技術(shù)工程專業(yè)

TB114.3

A

1000-6931(2015)06-1101-08

10.7538/yzk.2015.49.06.1101