動態(tài)故障樹在反應(yīng)堆保護(hù)系統(tǒng)可靠性評估中的實踐應(yīng)用

李學(xué)禮 戈道川 林志賢 王韶軒 汪建業(yè)

1（中國科學(xué)院合肥物質(zhì)科學(xué)研究院核能安全技術(shù)研究所 合肥 230031）

2（中國科學(xué)技術(shù)大學(xué) 合肥 230026）

反應(yīng)堆保護(hù)系統(tǒng)（Reactor Protection System，RPS）通過各種核測與過程儀表監(jiān)測整個反應(yīng)堆的運行狀態(tài)，能夠在反應(yīng)堆某些狀態(tài)參數(shù)達(dá)到設(shè)定的整定值時實現(xiàn)自動停堆、啟動專設(shè)安全設(shè)施及限制事故產(chǎn)生的后果，在核電廠安全可靠運行中起到了至關(guān)重要的作用［1］。RPS由緊急停堆子系統(tǒng)和專設(shè)安全設(shè)施驅(qū)動裝置組成，RPS 結(jié)構(gòu)復(fù)雜、設(shè)備數(shù)量多，存在時序失效行為。目前針對RPS 可靠性的評價方法主要基于傳統(tǒng)靜態(tài)故障樹（Static Fault Tree，SFT），該方法無法對PRS時序失效行為進(jìn)行有效建模，可靠性評價結(jié)果不準(zhǔn)確。目前，國際上針對含有時序失效行為的工業(yè)系統(tǒng)，普遍采用動態(tài)故障樹（Dynamic Fault Tree，DFT）進(jìn)行可靠性建模和定量分析［2-4］。DFT 是在SFT 的基礎(chǔ)上建立和發(fā)展起來的，通過引入多種動態(tài)邏輯門實現(xiàn)對系統(tǒng)時序失效行為建模。DFT 的典型分析方法包括：馬爾科夫鏈法［5-6］、不交化積之和（Sum of Disjoint Products，SDP）模型法［7］、蒙特卡羅模擬［8-9］等，其中，SDP模型法由于具有路徑不交化的優(yōu)良特性，成為當(dāng)前DFT快速分析的一種常用方法。同時，由于RPS 的DFT模型輸入?yún)?shù)眾多且存在不確定性，使用簡單的蒙特卡羅模擬仿真，需要較多的實驗次數(shù)，會造成分析結(jié)果不準(zhǔn)確與實驗效率低下。目前，國際上LHS結(jié)合SFT應(yīng)用［10-11］與可靠性分析［12-13］較多，但是還沒有與DFT 結(jié)合的先例。在本文通過使用拉丁超立方抽樣（Latin Hypercube Sampling，LHS）并結(jié)合動態(tài)二叉樹SDP 模型實現(xiàn)對RPS 高效可靠性分析，為RPS后期優(yōu)化設(shè)計提供有益見解。

1 理論基礎(chǔ)

1.1 動態(tài)故障樹

DFT是一種通過引入動態(tài)邏輯門來描述系統(tǒng)順序失效行為的系統(tǒng)可靠性建模和分析工具。動態(tài)邏輯門主要包括［14］：優(yōu)先與（Priority And，PAND）門、順序強制（Sequence-Enforcing，SEQ）門、功能相關(guān)（Functional-Dependence，F(xiàn)DEP）門、備用（SPARE）門，具體如圖1所示。

圖1 動態(tài)邏輯門Fig.1 Dynamic logic gates

PAND 門是AND 門的特例，如果其輸入事件以從左到右的順序失效，則PAND 門將被觸發(fā)。SEQ門只有一個故障順序（即從左到右），并且只有當(dāng)所有輸入事件均失效時，SEQ 門將被觸發(fā)。FDEP 門的觸發(fā)事件的失效將導(dǎo)致所有從屬基本事件的失效，而任何從屬基本事件的失效都不會對觸發(fā)事件產(chǎn)生影響。SPARE 門通常具有一個主要輸入事件和一些備用輸入事件，當(dāng)主輸入和所有備用輸入事件代表的設(shè)備都失效時，則SPARE門將產(chǎn)生失效輸出。SPARE 門包含熱備（Hot Spare，HSP）門和冷備（Cold Spare，CSP）門。當(dāng)備用輸入事件處于工作狀態(tài)時，使用HSP 來表示；當(dāng)備用輸入事件處于零功率狀態(tài)時，使用CSP來表示。

1.2 動態(tài)二叉樹分析方法

動態(tài)二叉樹（Dynamic Binary Tree，DBT）是一種定量分析DFT的常用方法，是DFT不交化積之和（Sum of Disjoint Products，SDP）模型的一種表現(xiàn)形式。DFT 利用通用香農(nóng)分解定理［15］（如式（1）所示）將其結(jié)構(gòu)函數(shù)分解成含有順序布爾變量的DBT。在DBT 中每條路徑都彼此互斥，每條終節(jié)點為1 的路徑都代表著DFT 頂事件發(fā)生的一種場景。DFT頂事件發(fā)生概率可以通過將所有終點為1的路徑的概率相加來獲得。

式中：f表示DFT 的結(jié)構(gòu)函數(shù)；Ci表示一個靜態(tài)或者順序的布爾變量；f|Ci=b表示f在Ci=b時的布爾表達(dá)式；b為布爾常量0或1。

1.3 LHS方法

LHS 是一種分層隨機抽樣技術(shù)［16］，是能夠真實反映變量分布的無偏估計，方差較小，輸出的實驗樣本點具有良好的一維投影均勻性，不會產(chǎn)生樣本點的坍塌現(xiàn)象［17］，能有效提高抽樣效率，防止樣本點的聚集，符合RPS這種結(jié)構(gòu)復(fù)雜、系統(tǒng)規(guī)模大的系統(tǒng)可靠性分析要求。

LHS方法定義：對于一個實驗樣本數(shù)為n，輸入變量數(shù)為s的n×s的LHS 矩陣，LHS 矩陣每一列都滿足在任意區(qū)間中有且只有一個設(shè)計點，LHS矩陣的構(gòu)造方法如下［18］：

其中：LHS 的列H(i，j)都是［1，n］的隨機不重復(fù)排列；ε(i，j)是［0，1）均勻分布的隨機獨立變量。

2 基于LHS的RPS動態(tài)可靠性分析方法

為了對RPS 進(jìn)行動態(tài)可靠性評估，本文提出一種基于DFT 的RPS 可靠性分析方法。該方法的主要分析步驟如下：1）建立RPS的DFT模型，計算RPS的結(jié)構(gòu)函數(shù)；2）使用DBT方法，得到SDP模型；3）利用設(shè)備失效率的不確定信息，使用LHS產(chǎn)生設(shè)備失效率的樣本數(shù)據(jù)；4）將樣本數(shù)據(jù)代入SDP 模型計算RPS的失效概率；5）利用數(shù)理統(tǒng)計方法，獲取RPS失效概率的95%置信區(qū)間。RPS動態(tài)可靠性分析詳細(xì)流程如圖2所示。

圖2 可靠性分析流程圖Fig.2 Reliability analysis flowchart

3 案例分析

3.1 系統(tǒng)描述

本文對西屋的RPS 設(shè)計方案進(jìn)行分析，其大致分為4 個部分：控制棒、跳閘斷路器、邏輯柜（列組）和儀表架（通道）。控制棒段包含控制棒控制組件（Rod Control Cluster Assemblies，RCCA）和控制棒驅(qū)動機構(gòu)（Control Rod Drive Mechanisms，CRDM），跳閘斷路器段具有兩組跳閘斷路器以及相關(guān)的欠壓跳閘裝置和并聯(lián)跳閘裝置，邏輯柜具有兩列稱為固態(tài)保護(hù)系統(tǒng)（Solid State Protection System，SSPS）的固態(tài)邏輯列組，儀表架為每個列組提供4個通道（A、B、C、D）的系統(tǒng)信號［19］。RPS 的列組從4 個通道接收跳閘信號，當(dāng)通道信號組合適當(dāng)時，打開反應(yīng)堆跳閘斷路器，其系統(tǒng)結(jié)構(gòu)如圖3 所示。西屋的RPS 包含許多不同類型的過程信號，為了簡化研究，本文僅對超功率ΔT和穩(wěn)壓器高壓兩個跳閘信號進(jìn)行建模。

圖3 反應(yīng)堆保護(hù)系統(tǒng)的結(jié)構(gòu)圖Fig.3 Structure diagram of reactor protection system

3.2 RPS的動態(tài)失效模型及設(shè)備失效參數(shù)

RPS的失效行為存在著明顯的動態(tài)順序失效過程，即設(shè)備的失效順序會對系統(tǒng)的失效與否產(chǎn)生影響。其中，RPS 通道中的雙穩(wěn)態(tài)模塊和邏輯柜中的SSPS 通用卡都是熱冗余狀態(tài)，符合動態(tài)邏輯門中HSP 的邏輯關(guān)系；RPS 的通道和列組中都使用兩條獨立電源供給，當(dāng)主電源失效時，冷備電源啟動對其進(jìn)行供電，符合動態(tài)邏輯門中CSP的邏輯關(guān)系。

在本文中，不考慮人工控制環(huán)節(jié)，忽略設(shè)備的可修復(fù)性。列組T1與列組T2是相同且獨立的，采用4取2的邏輯結(jié)構(gòu)，4個通道也是相同且獨立的。本文以RPS 無法緊急停堆為頂事件，對系統(tǒng)進(jìn)行動態(tài)故障樹建模分析，其動態(tài)故障樹模型如圖4 所示。由于4 個通道的結(jié)構(gòu)相同，所以僅對通道A 進(jìn)行動態(tài)故障樹的建模，其動態(tài)故障樹模型如圖5所示。

圖4 RPS的動態(tài)故障樹Fig.4 Dynamic fault tree of RPS

圖5 通道A的動態(tài)故障樹Fig.5 Dynamic fault tree of Channel A

根據(jù)RPS的失效模式，利用時序規(guī)則，得到RPS的動態(tài)故障樹結(jié)構(gòu)函數(shù)表達(dá)式為：

由于4 個通道的結(jié)構(gòu)相同，本文只顯示了通道A的動態(tài)故障樹結(jié)構(gòu)函數(shù)：

從RPS 的結(jié)構(gòu)原理圖來看，可以將其系統(tǒng)劃分為兩個獨立模塊，即右側(cè)通道模塊（IM1）與左側(cè)列組模塊（IM2）。根據(jù)DBT 分析方法，利用通用香農(nóng)分解定理對結(jié)構(gòu)函數(shù)表達(dá)式（3）進(jìn)行DBT分解。礙于篇幅限制，給出右側(cè)通道模塊IM1 的DBT 模型（如圖6所示），其中fi表示子結(jié)構(gòu)函數(shù)。

圖6 獨立模塊IM1的動態(tài)二叉樹模型Fig.6 Dynamic binary tree model of independent module IM1

RPS設(shè)備失效參數(shù)信息如表1所示。部分相關(guān)設(shè)備的失效數(shù)據(jù)參考文獻(xiàn)［19-20］，考慮到設(shè)備失效率在日常統(tǒng)計中的不確定性，本文假設(shè)所有設(shè)備失效率λ服從正態(tài)分布。

表1 RPS系統(tǒng)設(shè)備的失效信息Table 1 Failure information of RPS system equipment

3.3 計算分析

3.3.1 RPS失效概率分析

本文假設(shè)設(shè)備失效時間分布服從指數(shù)分布，選定系統(tǒng)的工作時間為720 h（即1 個月）。本文基于Window 平 臺，在Intel（R）Core（TM）i5-4288U 2.1 GHz 的工作平臺上對DFT 模型進(jìn)行了數(shù)值模擬仿真。根據(jù)RPS 設(shè)備的失效信息，通過設(shè)計的LHS抽樣程序獲得1 000個設(shè)備失效率樣本，將樣本數(shù)據(jù)輸入到建立的DFT 模型程序中，獲得1 000 次樣本模擬的失效概率，將1 000個RPS失效概率繪制成頻率直方圖（如圖7 所示）。整個算法執(zhí)行時間為1 149.9 s。

從圖7 中可以看出，RPS 的失效概率服從正態(tài)分布。評估RPS 發(fā)生失效概率均值、方差的置信區(qū)間，結(jié)果如表2 所示。由表2 可知，在720 h 內(nèi)，RPS發(fā)生失效概率的置信水平為95 %的置信區(qū)間為0.015 306～0.015 721。

表2 LHS獲得的參數(shù)估計結(jié)果Table 2 Parameter estimation results obtained by LHS

圖7 RPS失效概率的頻率直方圖Fig.7 Frequency histogram of RPS failure probability

為了展示LHS 與傳統(tǒng)蒙特卡羅模擬方法的計算差異，本文同樣計算了1 000 次蒙特卡羅模擬的RPS 發(fā)生失效概率均值、方差（如表3 所示）。在720 h內(nèi)，RPS發(fā)生失效概率的置信水平為95%的置信區(qū)間為0.013 822～0.014 356。

表3 蒙特卡羅模擬獲得的參數(shù)估計結(jié)果Table 3 Parameter estimation results obtained by Monte Carlo simulation

為了展示DFT 與SFT 計算結(jié)果差異，本文分別使用DFT 和SFT 對RPS 及其電源系統(tǒng)進(jìn)行可靠性分析。在相同的條件下，模擬在任務(wù)時間t=104h 內(nèi)RPS與電源的失效概率，計算結(jié)果如圖8所示，其中圖8（c）為SFT 和DFT 計算出的電源失效概率差值。

圖8 RPS失效概率對比圖Fig.8 Comparison of RPS failure probability related results

3.3.2 RPS設(shè)備的敏感性分析

為了確定設(shè)備對RPS失效概率輸出不確定性的影響重要程度，本文使用如下步驟進(jìn)行設(shè)備的敏感性分析：1）設(shè)定設(shè)備失效率為其初始值的10 倍時，計算RPS 的失效概率，設(shè)為RU；2）設(shè)定設(shè)備失效率為其初始值的十分之一時，計算RPS的失效概率，設(shè)為RL；3）將比值RU/RL 作為衡量設(shè)備敏感性的指標(biāo)。

當(dāng)RU/RL>1時，則表明設(shè)備對系統(tǒng)失效產(chǎn)生正面影響；當(dāng)RU/RL<1 時，則表明設(shè)備對系統(tǒng)失效產(chǎn)生負(fù)面影響。當(dāng)RU/RL 的值越接近1，表明設(shè)備對系統(tǒng)失效影響越小；反之，RU/RL 值越偏離1，表明設(shè)備對系統(tǒng)失效影響越大。通過計算單個設(shè)備在t=720 h時的RU/RL值，獲得的設(shè)備敏感性指標(biāo)結(jié)果如圖9所示。

3.4 結(jié)果對比分析

從表2與表3可以看出，傳統(tǒng)蒙特卡羅模擬計算得到的RPS 的失效概率95% 置信區(qū)間的值小于LHS 計算得到的失效概率的95% 置信區(qū)間的值，這是因為蒙特卡羅模擬方法抽取的設(shè)計樣本空間填充性差，不能有效獲取設(shè)備失效率分布區(qū)間的全部失效信息，無法模擬RPS的真實極限失效情況。

通過圖8（a）可以看出，相較于SFT，DFT在計算RPS整體失效概率的結(jié)果上并無顯著差異。這是因為動態(tài)邏輯門所處位置較低，導(dǎo)致對RPS 整體失效概率的影響較小，很容易被系統(tǒng)中較大的失效概率所覆蓋。但是從圖8（b）卻可以發(fā)現(xiàn)，在計算電源失效概率時，SFT 計算的電源失效概率較DFT 高估了約一倍。而且從圖8（c）可以看出，隨著時間推移，SFT 的失效概率與DFT 的失效概率差值越來越大，從1000 h 的差距為9.94×10?6到10 000 h 的差距為9.42 × 10?4。而從圖9可以看出，所有設(shè)備都對RPS失效概率產(chǎn)生正面影響，其中敏感性最高的兩個設(shè)備是欠壓驅(qū)動卡（Q1）和欠壓繼電器（J1），而通道主電源（T1）與通道備用電源（T2）是最不敏感的兩個設(shè)備。所以提高欠壓驅(qū)動卡（Q1）和欠壓繼電器（J1）的可靠性，對于提高RPS 整體可靠性有重要意義。

圖9 設(shè)備敏感性指標(biāo)Fig.9 Equipment sensitivity index

4 結(jié)語

本文利用動態(tài)故障樹對核電廠RPS進(jìn)行了可靠性建模，并利用動態(tài)二叉樹分析方法與拉丁超立方抽樣方法對核電廠RPS進(jìn)行了可靠性定量分析。案例分析結(jié)果表明：1）動態(tài)故障樹在對核電廠RPS 可靠性建模分析時，能更加準(zhǔn)確直觀地反映RPS 實際運行狀態(tài)和真實失效場景；2）在720 h 內(nèi)，RPS 發(fā)生無法緊急停堆事件概率的置信水平為95% 的置信區(qū)間為0.015 306～0.015 721。因此，一個月內(nèi)RPS發(fā)生無法緊急停堆事件的概率很低；3）在所有RPS 的設(shè)備中，敏感性最高的是欠壓驅(qū)動卡（Q1）和欠壓繼電器（J1）。因此，提高欠壓驅(qū)動卡（Q1）和欠壓繼電器（J1）的可靠性對提高RPS 整體可靠性有重要意義。

目前，DFT 僅能對系統(tǒng)時間時序相關(guān)失效進(jìn)行建模，無法對其他更為復(fù)雜的失效行為進(jìn)行建模分析。此外，當(dāng)前DFT在求解較大規(guī)模系統(tǒng)的可靠性時，仍會存在求解效率低的問題。超功率ΔT和穩(wěn)壓器高壓是RPS 兩種最常見且最重要的失效模式，本文僅對超功率ΔT和穩(wěn)壓器高壓兩個跳閘信號進(jìn)行了建模分析，并未考慮RPS的其他失效模式，當(dāng)前國際上對RPS 可靠性建模也主要考慮這兩個失效模式。后期，會針對RPS開展更為詳細(xì)的DFT建模工作以及快速可靠性評價方法研究。