基于概率模型檢測器的核電廠蒸汽發(fā)生器水位控制系統(tǒng)可靠性分析

周世梁，陳浠毓，張 磊，夏林路

(1.華北電力大學(xué) 核科學(xué)與工程學(xué)院，北京 102206;2.非能動核能安全技術(shù)北京市重點實驗室，北京 102206)

現(xiàn)階段，核電廠安全/非安全相關(guān)的系統(tǒng)主要采用數(shù)字化儀控系統(tǒng)。數(shù)字化儀控系統(tǒng)的可靠性對核電廠安全運行過程的操作和維護至關(guān)重要[1]。廈門大學(xué)陳培鋒等人、上海交通大學(xué)張小琴等人使用DFM方法分別分析了無保護系統(tǒng)的情況下蒸汽發(fā)生器水位控制系統(tǒng)導(dǎo)致蒸汽發(fā)生器高高水位、低低水位的概率，有保護系統(tǒng)的情況下蒸汽發(fā)生器水位控制系統(tǒng)導(dǎo)致蒸汽發(fā)生器高高水位、低低水位的概率[2,3]。DFM方法繼承了傳統(tǒng)概率安全分析方法的優(yōu)點,并且實現(xiàn)了多故障情況下的概率安全分析。其具有多態(tài)特性并考慮了控制過程中因軟件缺陷導(dǎo)致的故障[4]。但是DFM方法不能精確考慮系統(tǒng)部件的可修復(fù)性。靜態(tài)故障樹方法既不能精確考慮系統(tǒng)部件的可修復(fù)性，也難以完全反映數(shù)字化儀控系統(tǒng)的復(fù)雜和動態(tài)特性[5]，這影響了系統(tǒng)可用率分析的準確性。馬爾可夫過程是一種動態(tài)可靠性建模方法，可以直觀的具體的描述系統(tǒng)中部件的失效、修復(fù)以及運行部件與備用部件的切換，其已被用于核電廠保護系統(tǒng)可靠性分析[6-8]。

概率模型檢測器PRISM使用以狀態(tài)為基礎(chǔ)的語言描述概率模型，模塊和變量是模型的基本組成單位?？梢詫ⅹ毩⒌脑O(shè)備故障用單個模塊表示，將具有相互關(guān)聯(lián)關(guān)系的設(shè)備故障放入一個模塊表示，這種建模方法提高了建立大型模型的效率。

通過使用概率模型檢測器PRISM建立蒸汽發(fā)生器水位控制系統(tǒng)馬爾可夫模型，并進行定量分析，計算出了系統(tǒng)的不可用率，并對比分析提高儀表可維修性或增加冗余裝置對系統(tǒng)可用性的影響。

1 概率模型檢測器PRISM

PRISM是一個概率模型檢查器，一個驗證存在隨機行為的系統(tǒng)的形式化驗證工具。概率模型檢驗是一種基于數(shù)值分析的驗證技術(shù)。PRISM通過生成支持概率特性的系統(tǒng)模型來計算模型的狀態(tài)空間，然后分析需求規(guī)約，通過合適的模型檢測算法來驗證模型是否滿足規(guī)約。

PRISM支持四種概率模型：離散時間馬爾可夫鏈(DTMC)、連續(xù)時間馬爾可夫鏈(CTMC)、馬爾可夫決策過程(MDP)、概率時間自動機(PTA)。PRISM模型由模塊和變量組成，模塊的定義格式如下：

(1)

模塊的行為由命令描述，命令的表達方式如下：

(2)

其中，guard衛(wèi)式用來描述概率行為發(fā)生的條件；采用的是連續(xù)時間馬爾可夫模型，rate用來描述概率遷移速率；update用來描述變量所產(chǎn)生的變化。

PRISM工具已被用于從無線通信協(xié)議到量子密碼到系統(tǒng)生物學(xué)的廣泛領(lǐng)域中的定量驗證：確定最差性能情況下藍牙缺陷或異常行為，以及用于生物信號傳導(dǎo)途徑的行為預(yù)測[9]。目前，PRISM已被用于動態(tài)故障樹的可靠性分析[10,11]。

假設(shè)一個控制器包含兩個熱備互投的處理器模件A和B，當A和B全部失效時控制器失效，控制器失效的馬爾可夫模型如圖1所示，標黃的狀態(tài)為失效狀態(tài)。初始情況下，控制器處于A運行B熱備用。若A發(fā)生失效，立即啟動B，進入A故障B運行狀態(tài)；若B在備用狀態(tài)下失效，系統(tǒng)進入A運行B故障狀態(tài)。當系統(tǒng)處于A故障B運行狀態(tài)，若A發(fā)生修復(fù)，系統(tǒng)進入A備用B運行狀態(tài)；若B發(fā)生失效，系統(tǒng)進入A故障B故障狀態(tài)。當系統(tǒng)處于A備用B運行狀態(tài)，若B發(fā)生失效，立即啟動A，進入A運行B故障狀態(tài)；若A在備用狀態(tài)下失效，系統(tǒng)進入A故障B運行狀態(tài)。當系統(tǒng)處于A運行B故障狀態(tài)，若B修復(fù)，系統(tǒng)進入A運行B備用狀態(tài)；若A失效，系統(tǒng)進入A故障B故障狀態(tài)。當系統(tǒng)處于A故障B故障狀態(tài)，若B發(fā)生修復(fù)，系統(tǒng)進入A故障B運行狀態(tài)，若A發(fā)生修復(fù)，系統(tǒng)進入A運行B故障狀態(tài)。

圖1 控制器失效馬爾可夫模型Fig.1 Controller Failure Markov Model

因為模件A與模件B的失效相互影響，所以需要將A與B放進一個模塊中進行描述。假設(shè)該模型中控制器的失效率為0.001，備用失效率是0.0001，修復(fù)率是0.1。該控制器失效的PRISM模型如圖2所示，其中使用formula公式來判斷馬爾可夫模型中的狀態(tài)是否為故障狀態(tài)，如果g1值為真，則代表控制失效。

圖2 控制器失效Prism模型Fig.2 Controller Failure Prism Model

假設(shè)圖一所示控制器左側(cè)串聯(lián)一個模擬量輸入模件，右側(cè)串聯(lián)一個模擬量輸出模件組成了一個控制系統(tǒng)。兩個模件的失效率均為0.000 01，修復(fù)率均為0.25。這個控制系統(tǒng)失效的PRISM模型如圖3所示，其中module ai、module ao、module control_comb分別代表模擬量輸入模件、模擬量輸出模件、控制器，因為是串聯(lián)結(jié)構(gòu)，當其中任何一個裝置失效時，控制系統(tǒng)失效，此時g2為真。衛(wèi)式中的!g2的含義是當系統(tǒng)失效時，系統(tǒng)進入檢修狀態(tài)，不再發(fā)生新的失效，設(shè)備的維修不受系統(tǒng)失效狀態(tài)的影響。

ctmcformula g1=(c1=1)&(c2=1);formula g2=(ai1=1)|(ao1=1)|g1;const double faiao =0.00001;const double raiao =0.25;const double fc =0.001;const double fc_standby = 0.0001;const double rc = 0.1;module aiai1 :[0..1]init 0;[](ai1=1)-> raiao:( ai1'=0);[](!g2)&(ai1=0)-> faiao:( ai1'=1);endmodulemodule aoao1 :[0..1]init 0;[](ao1=1)-> raiao:( ao1'=0);[](!g2)&(ao1=0)-> faiao:( ao1'=1);endmodulemodulecontrol_combc1 :[0..1]init 0;c2 :[0..1]init 0;cr :[0..4]init 0;[](c1=1)&(c2=0)&(cr=1)-> rc:(c1'=0)&(cr'=2);[](c1=0)&(c2=1)&(cr=3)-> rc:(c2'=0)&(cr'=0);[](c1=1)&(c2=1)&(cr=4)-> rc:(c1'=0)&(cr'=3)+ rc:(c2'=0)&(cr'=1);[](!g2)&(c1=1)&(c2=0)&(cr=1)->fc:(c2'=1)&(cr'=4);[](!g2)&(c1=0)&(c2=0)&(cr=2)->fc:(c2'=1)&(cr'=3)+fc_standby:(c1'=1)&(cr'=4);[](!g2)&(c1=0)&(c2=1)&(cr=3)->fc:(c1'=1)&(cr'=4);endmodule

2 核電廠蒸汽發(fā)生器水位控制系統(tǒng)

2.1 給水流量調(diào)節(jié)系統(tǒng)

蒸汽發(fā)生器水位控制系統(tǒng)由蒸汽發(fā)生器給水流量調(diào)節(jié)系統(tǒng)和主給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)組成的，前者是對每個蒸汽發(fā)生器分別調(diào)節(jié)流量；后者將給水母管與蒸汽母管之間的差壓維持在程序值。以某核電廠為例，該核電廠采用I/A Series的過程控制系統(tǒng)。

每一臺蒸汽發(fā)生器都有一個獨立的蒸汽發(fā)生器給水流量調(diào)節(jié)系統(tǒng)，通過控制并聯(lián)安裝在蒸汽發(fā)生器入口側(cè)的主給水調(diào)節(jié)閥和旁路給水調(diào)節(jié)閥的開度，控制給水流量，從而控制蒸汽發(fā)生器水位。在高負荷運行的情況下(18%～100%額定功率)，旁路給水調(diào)節(jié)閥全開，系統(tǒng)采用主給水調(diào)節(jié)閥調(diào)節(jié)給水流量，主給水調(diào)節(jié)閥由一個三沖量(蒸汽發(fā)生器水位、給水流量、蒸汽流量)控制通道進行控制。在低負荷運行的情況下(小于18%額定功率)，主給水調(diào)節(jié)閥全閉，系統(tǒng)采用旁路給水調(diào)節(jié)閥調(diào)節(jié)給水流量，旁路調(diào)節(jié)閥由一個單沖量(蒸汽發(fā)生器水位)控制通道進行控制。

高負荷時，主蒸汽流量信號，在被主蒸汽壓力信號校正后，與主給水流量信號在加法器作差得到汽水失配信號。蒸汽發(fā)生器水位信號與液位整定值在加法器做差得出水位偏差信號，水位偏差信號由給水溫度確定的增益補償后，輸入水位調(diào)節(jié)通道生成給水流量給定值信號。給水流量信號與汽水失配信號經(jīng)加法器輸入流量調(diào)節(jié)通道(PI控制器)，從而產(chǎn)生主調(diào)閥的開度信號，控制給水流量，實現(xiàn)液位控制。給水流量調(diào)節(jié)系統(tǒng)結(jié)構(gòu)如圖4所示。

圖4 給水流量調(diào)節(jié)系統(tǒng)結(jié)構(gòu)圖Fig.4 Structure Chart of Feedwater Flow Regulation System

2.2 主給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)

主給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)的主要功能是將蒸汽母管和給水母管之間的壓差保持在預(yù)定值上，該值隨負荷增加而增加。系統(tǒng)輸入信號為代表全負荷的主蒸汽流量信號和主蒸汽母管/主給水母管壓差不匹配信號，輸出為泵轉(zhuǎn)速整定值。對每臺蒸汽發(fā)生器來的蒸汽流量信號進行求和，生成全負荷信號，生成的全負荷信號由函數(shù)發(fā)生模塊轉(zhuǎn)換成一個壓降整定值，該整定值經(jīng)過濾波與給水母管與蒸汽母管之間的實測壓降經(jīng)加法器產(chǎn)生壓差偏差信號，再輸入PI控制器，產(chǎn)生泵轉(zhuǎn)速整定信號。泵轉(zhuǎn)速調(diào)節(jié)器產(chǎn)生泵轉(zhuǎn)速調(diào)節(jié)信號，以控制給水泵轉(zhuǎn)速。給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)結(jié)構(gòu)如圖5所示。

圖5 主給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)結(jié)構(gòu)圖Fig.5 Structural Chart of Speed Regulation System of Main Feed Pump

3 核電廠蒸汽發(fā)生器水位控制系統(tǒng)可靠性建模

3.1 建模假設(shè)

鑒于蒸汽發(fā)生器水位控制系統(tǒng)的復(fù)雜性，建模前作出以下假設(shè)：(1)因為數(shù)字化控制系統(tǒng)的診斷覆蓋率一般達到90%以上，為了簡化模型，假設(shè)控制系統(tǒng)模件的失效均為可檢測故障；(2)熱備用模件在備用狀態(tài)下是處于工作狀態(tài)的，在缺乏備用失效率的情況下，假設(shè)備用失效率和正常運行狀態(tài)運行失效率相等；(3)假設(shè)電廠在大于20%FP的工況下運行，此時旁路調(diào)節(jié)閥全開，不考慮旁路調(diào)節(jié)閥的失效;(4)根據(jù)安全儀控系統(tǒng)模件、電源的平均修復(fù)時間的要求，模件的平均修復(fù)時間小于4 h，電源的平均修復(fù)時間小于2 h，所以假設(shè)模件、電源的維修率分別為0.25、0.5; (5)限于篇幅，以1號蒸汽發(fā)生器為例，對其水位控制系統(tǒng)進行可靠性分析，不考慮2號、3號蒸汽發(fā)生器控制系統(tǒng)及其他系統(tǒng)設(shè)備的失效。

3.2 核電廠蒸汽發(fā)生器水位控制系統(tǒng)馬爾可夫模型

核電廠蒸汽發(fā)生器水位控制系統(tǒng)失效連續(xù)時間馬爾可夫模型如圖6所示，為了便于展示，對模型圖形進行了簡化處理。因為處理器模件組和電源模件組都是熱備互投的，所以處理器模件組失效、電源模件組失效的馬爾可夫模型與圖1所示模型結(jié)構(gòu)相同。

圖6 蒸汽發(fā)生器水位控制系統(tǒng)馬爾可夫模型Fig.6 Markov Model of Steam Generator Water Level Control System

圖6 蒸汽發(fā)生器水位控制系統(tǒng)馬爾可夫模型(續(xù))Fig.6 Markov Model of Steam Generator Water Level Control System

在這個控制系統(tǒng)中，對于有三個測量通道的信號，當其中兩個通道失效時，認為該信號失效，信號維持上一刻值不變。對于有兩個測量通道的信號，當其中一通道失效時，認為該信號失效，信號維持上一刻值不變，這種失效用或門來表示。

系統(tǒng)主要設(shè)備失效率與維修率如表1所示。

表1 系統(tǒng)主要設(shè)備可靠性參數(shù)Table 1 Reliability parameters of main equipment in the system

3.3 PRISM分析結(jié)果

一臺蒸汽發(fā)生器的蒸汽發(fā)生器水位控制系統(tǒng)的不可用率如圖7所示，系統(tǒng)的穩(wěn)態(tài)不可用率約為2.3×10-4。

圖7 蒸汽發(fā)生器水位控制系統(tǒng)不可用率Fig.7 Unavailability of Steam Generator Water Level Control System

將考慮修復(fù)時整個系統(tǒng)的馬爾可夫模型近似等效為一個可修復(fù)部件，該部件的不可用率滿足式3。使用式3對圖8所示曲線計算，得到系統(tǒng)的失效率約為1.1×10-5，維修率約為0.047。

圖8 蒸汽發(fā)生器水位控制系統(tǒng)不可用率(改進后)Fig.8 Unavailability of Steam Generator Water Level Control System(After Improvement)

(3)

系統(tǒng)的平均故障間隔時間(MTBF)和平均修復(fù)前時間(MTTR)應(yīng)分別滿足公式(4)與公式(5)。將系統(tǒng)的失效率與修復(fù)率代入公式(4)和公式(5)，可得系統(tǒng)的MTBF、MTTR約為9.1×104h、21 h。

(4)

(5)

馬爾可夫模型中導(dǎo)致蒸汽發(fā)生器水位控制系統(tǒng)失效的主要故障組合如表2所示，可以發(fā)現(xiàn)由于主給水流量測量，主蒸汽流量測量，主蒸汽壓力測量未采用三通道冗余，其相關(guān)測量儀表成為導(dǎo)致系統(tǒng)失效的主要原因，表中各故障組合穩(wěn)態(tài)不可用率及占總不可用率百分比一致。因為蒸汽發(fā)生器水位信號的采集是三通道冗余的，需要使用采集模件1、2、3，當失效兩個模件時，信號采集失效。但是，當采集模件1、2、3其中任何一個模件失效，都會導(dǎo)致蒸汽發(fā)生器水位控制系統(tǒng)失效，因此在蒸汽發(fā)生器水位采集失效發(fā)生之前，一定會有主給水流量信號、主蒸汽流量信號、主蒸汽壓力信號之一采集發(fā)生失效。

表2 馬爾可夫模型主要故障組合及其穩(wěn)態(tài)概率Table 2 Major failure states and steady-state probabilities of Markov model

3.4 系統(tǒng)可靠性設(shè)計

因為核電廠DCS可用性要優(yōu)于99.99%，所以儀表維修時間為24 h不滿足要求，要提高系統(tǒng)可靠性，降低系統(tǒng)不可用率，可以采取以下兩種方式：(1)改變儀表的平均維修時間，提高儀表設(shè)備的修復(fù)率，增強儀表的可修復(fù)性;(2)將主給水流量信號，主蒸汽流量信號，主蒸汽壓力信號的測量由兩通道改變成三通道，提高信號測量的冗余性。

將儀表平均修復(fù)時間降低到12 h、8 h、4 h時、以及增加冗余儀表時系統(tǒng)不可用率如圖8所示，系統(tǒng)不可用率分別約為1.3×10-4、9.7×10-5、6.3×10-5、2.1×10-6，系統(tǒng)不可用率分別下降44%、58%、73%、99%。對比可以得到，增加冗余裝置對系統(tǒng)可用率的提升效果更明顯。

4 結(jié)論

建立了核電廠數(shù)字化蒸汽發(fā)生器水位控制系統(tǒng)的馬爾可夫模型，使用PRISM對模型進行了可靠性分析。PRISM通過模塊化建模，提高了建模效率，可大幅度降低可靠性工程師建模工作量。通過PRISM直接描述馬爾可夫模型，描述能力更強，可描述自備互投等具有復(fù)雜時序和相關(guān)性的故障情景。

可靠性模型描述了系統(tǒng)的傳感器、采集模件、處理器、輸出模件、電源模件、閥門和泵共計35部件的狀態(tài)，系統(tǒng)狀態(tài)總數(shù)達到百萬量級。

模型中考慮了多處復(fù)雜的失效相關(guān)性和失效時序，比如主處理器模件、熱備用處理器模件的熱備互投，主電源、熱備用電源的熱備互投，熱備用模件在備用狀態(tài)下的失效?？紤]了電動主給水泵組中備用泵的啟動失效。

結(jié)果表明主給水流量計失效、主蒸汽流量計失效、主蒸汽壓力計失效是導(dǎo)致失效發(fā)生的主要原因，共占系統(tǒng)不可用率的90%。通過對比兩種提升系統(tǒng)可靠性的方案，增加冗余儀表帶來的系統(tǒng)可用率提升最為明顯，使系統(tǒng)不可用率降低了99%，提高儀表維修率，降低儀表平均維修時間帶來的可用率提升相對較弱。為了保證系統(tǒng)可用性，儀表的平均維修時間應(yīng)該小于8 h，對于采用三通道測量的儀表，其平均維修時間可以延長至24 h。