核電廠設備冷卻水系統(tǒng)動態(tài)可靠性評估方法

邢尚鵬， 隋陽,2*

(1.南華大學核科學技術學院， 衡陽 421001； 2.福建福清核電有限公司， 福清 350300)

中國政府承諾：“二氧化碳排放力爭于2030年前達到峰值，力取 2060年前實現(xiàn)碳中和?！辈⒃诘谑龑萌舜笏拇螘h上的《政府工作報告》中明確了核電是實用的脫碳能源。中國核電要形成與碳達峰、碳中和目標相匹配的裝機規(guī)模，定會迎來進一步發(fā)展，但安全性始終是核電發(fā)展的前提。

設備冷卻水系統(tǒng)RRI的安全穩(wěn)定運行是核電廠正常運行的前提條件，核電廠RRI系統(tǒng)為核島和常規(guī)島的相關設備提供冷源以實現(xiàn)核電廠(nuclear power plant，NPP)在正常運行工況和事故工況下的熱量載出，可實現(xiàn)安全功能、非安全相關功能和縱深防御功能，是重要的輔助系統(tǒng)[1]。RRI系統(tǒng)的功能決定了其在核電廠正常運行工況和各種事故運行工況下均需運行穩(wěn)定，這對RRI系統(tǒng)可靠性提出了更高的要求。 RRI系統(tǒng)可靠性評估可以有效指導核電廠的運行和維修管理任務，提高系統(tǒng)可靠性。 因此，評估RRI系統(tǒng)的可靠性具有重要意義。但目前并沒有針對核電廠核級設備完整的可靠性評估、鑒定方法，因此核電廠RRI系統(tǒng)可靠性評估方法需要進一步深入研究和發(fā)展[2]。近年來，不同工業(yè)領域的專家學者對系統(tǒng)可靠性評估方法開展研究，如胡鈞銘等[3]基于模糊層次分析法建立了工業(yè)機器人可靠性分配的層次結構，獲得各子系統(tǒng)的可靠性分配方案并確定了影響整機可靠性的關鍵部件。周潔等[4]提出了一種基于證據網絡的可靠性模型，用于解決復雜情境下核電系統(tǒng)可靠性評估中的不確定性問題。閆鋒等[5]采用蒙特卡羅方法模擬了不同修復率下航空發(fā)動機喪失推力控制事件的發(fā)生頻率，并以此判斷發(fā)動機控制系統(tǒng)是否滿足適航安全審定要求。

為了提高系統(tǒng)可靠性，RRI系統(tǒng)采用雙列冗余設置，運行列設備發(fā)生故障，備用列投入運行，運行列故障設備可進行維修。每一列并聯(lián)兩個泵，采用冷備設置，常運泵工作時，備用泵不會發(fā)生失效，兩者失效具有順序相關性。故障樹分析法作為一種傳統(tǒng)的系統(tǒng)可靠性分析工具，在核能關鍵領域被廣泛研究和應用[6-8]。文獻[9]對恰?，敽穗姀SRRI系統(tǒng)進行了故障樹分析，確定了喪失設備冷卻水始發(fā)事件頻率。但傳統(tǒng)故障樹分析法受限于描述能力，無法捕捉系統(tǒng)順序失效、故障修復和冷備用等動態(tài)行為[10]。針對這一問題，姚成玉等[11]在傳統(tǒng)故障樹的基礎上定義了一組動態(tài)邏輯門，提出動態(tài)故障樹分析法。雖然動態(tài)故障樹(dynamic fault tree, DFT)對動態(tài)失效行為有良好的刻畫能力，但需借助其他工具進行定量分析，主要有狀態(tài)空間法和容斥原理法?；?Markov 模型的狀態(tài)空間法，存在組合爆炸的先天劣勢，難以對大型動態(tài)故障樹進行分析[12-13]?；谇蠼獠唤换钚虬l(fā)生概率的容斥原理法僅適用于不可修系統(tǒng)，無法對有定期試驗和維修的系統(tǒng)進行動態(tài)故障樹定量分析[14]。此外，作為模擬法代表的蒙特卡洛方法必須生成大量的樣本才能保證計算的精確性，計算成本過高[15]。

近年來發(fā)展起來的動態(tài)貝葉斯網絡(dynamic Bayesian network, DBN)為分析設備冷卻水系統(tǒng)可靠性提供了一種新思路，與上述方法相比，動態(tài)貝葉斯網絡具有以下優(yōu)點：①只需定義初始網絡和轉移網絡，可以有效避免Markov模型組合爆炸的問題；②繼承了DFT的狀態(tài)描述及貝葉斯網絡雙向推理功能，可以有效處理時序性、可修復性問題；③可利用消息傳遞算法、聯(lián)結樹算法等多種精確推理算法，實現(xiàn)貝葉斯網絡的快速精確求解。

因此，現(xiàn)綜合運用DFT和DBN，提出一種核電廠RRI系統(tǒng)動態(tài)可靠性評估方法。首先，基于RRI系統(tǒng)功能結構建立DFT模型；其次，根據轉化規(guī)則將DFT模型轉化為DBN模型；最后，通過DBN正向推理、反向推理以及敏感性分析，實現(xiàn)RRI系統(tǒng)可靠性評估，為提高系統(tǒng)智能維修維護水平和可靠性提供依據。

1 設備冷卻水系統(tǒng)DFT建模

1.1 設備冷卻水系統(tǒng)功能概述

核電廠RRI系統(tǒng)的主要功能是冷卻各種核島輔助系統(tǒng)的熱交換器，并將熱負荷經過重要廠用水系統(tǒng)SEC傳至最終熱阱。RRI系統(tǒng)包括A、B兩個獨立的安全系列和一個公共列。每個安全系列主要包含兩臺臥式離心泵(常運泵和冷備泵)、兩臺熱交換器和一個波動箱。在核電廠正常運行時，一個安全系列運行，另一個系列備用；同一系列中的任一臺設備冷卻水熱交換器可以和任一臺設備冷卻水泵組合運行，提供100%的應急冷卻能力。公用環(huán)路主要以電氣廠房冷凍水系統(tǒng)、控制棒驅動機構通風系統(tǒng)和蒸汽發(fā)生器排污系統(tǒng)中熱交換器為冷卻對象，可以通過任一安全系列供水。RRI系統(tǒng)A、B系列失水事故的事故進程相似，選擇RRI系統(tǒng)A列進行建模分析，RRI系統(tǒng)熱交換器由SEC系統(tǒng)冷卻，SEC系統(tǒng)的失效將造成RRI系統(tǒng)喪失其功能，所以也對SEC系統(tǒng)一并進行建模。RRI系統(tǒng)A系列流程圖如圖1所示，對應的SEC系統(tǒng)流程圖如圖2所示。

圖1 核電廠RRI系統(tǒng)A系列流程圖Fig.1 Flowchart showing A train of RRI for NPP

1.2 DFT方法

DFT方法通過定義動態(tài)邏輯門將動態(tài)特性引入傳統(tǒng)故障樹，把傳統(tǒng)故障樹分析擴展至動態(tài)系統(tǒng)性能。在動態(tài)故障樹中至少包含一個專用動態(tài)邏輯門，表征系統(tǒng)動態(tài)時序特性，可用于復雜冗余系統(tǒng)的分析求解。動態(tài)邏輯門主要包括優(yōu)先與門(priority and gate, PAND)、順序相關門(sequence enforcing gate, SEQ)、功能相關門(functional dependency gate, FDEP)、冷備件門(cold spare gate, CSP)、溫備用門(warm spare gate, WSP)和熱備件門(hot spare gate, HSP)。

1.3 設備冷卻水系統(tǒng)動態(tài)故障樹模型

參考核電廠功率運行工況概率安全分析報告，將RRI系統(tǒng)A列供水失效作為頂事件，應用故障模式與影響分析方法，根據RRI系統(tǒng)的結構功能，從上至下層層分析導致RRI系統(tǒng)A列失效的中間事件和基本事件，并引入邏輯門，表達其邏輯關系，建立RRI系統(tǒng)A列失效的動態(tài)故障樹，如圖3所示。由于RRI系統(tǒng)A列失效的動態(tài)故障樹規(guī)模較大，將其進行模塊化分解，其中得到3個動態(tài)子樹RRI001/003RF熱交換器回路工作失效M1，RRI001/003PO泵故障M2和SEC A列泵或閥組失效M3。

圖3 核電廠RRI系統(tǒng)動態(tài)故障樹Fig.3 DFT of RRI for NPP

對M1、M2和M3 3個動態(tài)子樹進行詳細描述。在系統(tǒng)圖1中，RRI015/019VN分別位于換熱器RRI001/003RF的上游，閥門的無正常供水會導致相應換熱器工作失效，當RRI015和019VN出口都無正常供水時會導致RRI系統(tǒng)熱交換器因喪失熱阱而失效，兩個事件由與門連接。RRI001/003PO位于RRI015/019VN出口的上游，當RRI001PO和003PO因故障無正常供水時，會導致RRI015/019VN出口無正常供水，使用功能相關門進行處理。將事件“RRI015/019VN無正常供水”向下展開，換熱器RRI001/003RF的失效會使RRI015/019VN無正常供水。當SEC系統(tǒng)失效時，A列RRI熱交換器會因失去熱阱失效，這里用功能相關門描述熱交換器失去熱阱導致相關事件“RRI001/003RF失效”發(fā)生。當RRI001/003自身發(fā)生內漏，檢修人員未能及時發(fā)現(xiàn)并恢復也會導致失效，這個失效過程采用優(yōu)先與門表示。RRI001/003RF換熱器回路工作失效動態(tài)子樹M1如圖4所示。

在系統(tǒng)正常運行時，RRI/SEC001PO處于運行狀態(tài)，RRI/SEC003PO處于冷備用狀態(tài)，只有001PO失效，對應的003PO才會投運并有失效的可能性，所以兩個泵用CSP門進行描述。隔離閥003VN處于常閉狀態(tài)，只有在備用泵003PO投運時才會開啟，所以考慮其拒開的失效情況。泵的失效模式可分為泵本體失效和支持系統(tǒng)失效，本體失效由啟動和運轉失效組成，任一事件發(fā)生都會導致泵的失效；常運泵默認已經成功啟動，所以不存在啟動失效。RRI系統(tǒng)泵組失效動態(tài)子樹M2如圖5所示，SEC系統(tǒng)泵組失效動態(tài)子樹M3如圖6所示。

圖4 熱交換器回路工作失效的動態(tài)子樹M1Fig.4 Dynamic subtree of heat exchanger loop failure M1

圖5 RRI系統(tǒng)泵組失效動態(tài)子樹M2Fig.5 Dynamic subtree of pump set failure for RRI M2

圖6 SEC系統(tǒng)泵組失效動態(tài)子樹M3Fig.6 Dynamic subtree of pump set failure for SEC M3

2 基于DBN的RRI系統(tǒng)可靠性建模

2.1 DBN 簡介

DBN是靜態(tài)BN在時間領域的拓展，即在原來網絡結構上加上時間屬性的約束，所以DBN依然是一個有向無環(huán)圖，不僅可以用來表示因果關系、條件關系，還可以進行時序性描述，刻畫系統(tǒng)動態(tài)失效行為。由于DBN引入時間因素，一般通過離散時間變量，將DBN劃分為有關時間序列的片段，如圖7(a)所示包含T個時間片的DBN。DBN可表示為(B0，B→)，B0為先驗網，如圖7(b)所示，定義了各節(jié)點在初始狀態(tài)聯(lián)合概率分布，可以得到任意節(jié)點的先驗概率；B→為轉移網，如圖7(c)所示，表示變量在相鄰時間片間的狀態(tài)轉移概率。

相鄰兩個時間片各變量之間的條件分布表示為

(1)

當貝葉斯網絡的結構參數(shù)不隨時間發(fā)生變化，DBN中任一節(jié)點的聯(lián)合分布概率可表示為

(2)

式(2)中：X1:T={X1,X2,…,XT}。

圖7 DBN模型示意圖Fig.7 Schematic diagram of DBN model

2.2 DFT向DBN的轉化

根據轉化規(guī)則，將DFT模型轉化為相應的 DBN模型，對所用到的功能相關門、冷備件門和優(yōu)先與門進行轉化分析。假設相鄰時間片的時間間隔為Δt，W和F分別代表節(jié)點的工作、失效狀態(tài)，根節(jié)點失效概率密度函數(shù)為f(t)。FDEP包括觸發(fā)事件T(trigger)和基本事件A、B，當T發(fā)生時，事件A、B被迫發(fā)生，F(xiàn)DEP對應的DBN模型如圖8所示。由FDEP事件發(fā)生機理可知，事件T在t+Δt時刻的狀態(tài)T(t+Δt)由其在t時刻的狀態(tài)T(t)決定，而事件A、B在t+Δt時刻的狀態(tài)則由事件A、B以及事件T在t時刻的狀態(tài)共同決定，各節(jié)點條件概率如式(3)所示；冷備件門包括主部件A和備用部件S，備用部件在主部件工作時的失效率為0，主部件失效后備用部件投入工作，當A和S都失效則上級事件失效，冷備件門對應的DBN模型如圖9所示，條件概率如式(4)所示；優(yōu)先與門包括基本事件A、B，基本事件按照從左到右的順序依次發(fā)生才會導致上級事件的發(fā)生，優(yōu)先與門對應的DBN模型如圖10所示，條件概率表達式為

(3)

圖8 功能相關門對應的DBN模型Fig.8 DBN model corresponding to FDEP

圖9 冷備件門對應的DBN模型Fig.9 DBN model corresponding to CSP

圖10 優(yōu)先與門對應的DBN模型Fig.10 DBN model corresponding to PAND

(4)

(5)

2.3 RRI系統(tǒng)的DBN模型

在已建立的DFT模型基礎上，采用貝葉斯網絡仿真軟件GeNIe，構建核電廠RRI系統(tǒng)動態(tài)可靠性評估DBN模型的步驟如下。

(1)參考DFT向DBN轉化規(guī)則，將DFT的頂事件、中間事件和基本事件分別轉化為DBN模型的葉節(jié)點、中間節(jié)點和根節(jié)點，用有向邊和條件概率表達邏輯門代表事件間的依賴關系，完成DBN模型的圖形轉化如圖11所示。

(2)假設在初始時刻(t=0)，系統(tǒng)完全可靠，即基本事件對應根節(jié)點先驗概率為0。

(3)根據參考文獻[16]和核電廠RRI系統(tǒng)可靠性數(shù)據[17]，確定核電廠RRI系統(tǒng)基本事件失效率λ(表1)，假設事件相互獨立且失效概率服從指數(shù)分布，即失效概率密度函數(shù)f(t)=λe-λ將相鄰時間片間的時間間隔設置為1 h，確定對應根節(jié)點在相鄰時間片間的狀態(tài)轉移概率，表征系統(tǒng)的時間依賴性。以節(jié)點“RRI001PO泵運轉失效”為例，得到該節(jié)點在兩個相鄰時間片間的狀態(tài)轉移概率，表達式為

(6)

表1 核電廠RRI系統(tǒng)基本事件失效率Table 1 Failure rates of RRI basic events for NPP

3 設備冷卻水系統(tǒng)的可靠性分析

3.1 系統(tǒng)可靠性分析

基于RRI系統(tǒng)的DFT模型，構建RRI系統(tǒng)的DBN模型，利用DBN正向推理，得到設備冷卻水系統(tǒng)和其泵組可靠度曲線，將其與靜態(tài)故障樹(static fault tree, SFT)方法所得的可靠度結果進行對比，如圖12所示。

由圖12 可知，DFT-DBN和SFT兩種方法所得到可靠度曲線整體趨勢一致，但通過DFT-DBN方法得到的設備冷卻水系統(tǒng)和泵組可靠度曲線高于SFT。這是因為RRI系統(tǒng)中的設備冷卻水泵采用冗余冷備用設計，常運泵運行時，備用泵處于冷備用狀態(tài)失效率為0，DFT-DBN方法可以準確地表達這一動態(tài)失效過程，而SFT方法缺乏對時間因素的描述，只能將兩個泵用與門連接，忽略了備用泵不可能在常運泵之前失效這一實際情況，從而低估了冷備用系統(tǒng)的可靠性。

圖11 RRI系統(tǒng)DBN模型Fig.11 DBN model of RRI

圖12 DFT-DBN方法與SFT方法可靠度結 果對比Fig.12 Comparison of reliability results between DFT-DBN method and SFT method

以可靠性為中心的維修(reliability centered maintenance, RCM)是核電廠重要的維修優(yōu)化方法，其中狀態(tài)監(jiān)測、定期維護和定期試驗等維修策略是提高系統(tǒng)可靠性的有效措施。根據設備冷卻水系統(tǒng)手冊中維修和定期試驗原則，保守認為定期試驗和預防性維修周期為60 d，即維修率μ=6.94 44×10-4h-1。式(6)可修改為

(7)

同理，更新其他根節(jié)點的狀態(tài)轉移概率，得到定期試驗和預防性維修條件下的設備冷卻水系統(tǒng)的可靠度曲線，如圖13所示。設備冷卻水系統(tǒng)在投入運行后，可靠度迅速下降，最終在t=0.285×105h，穩(wěn)定在0.993 132 88，達到了穩(wěn)態(tài)可靠性。

通過DBN反向推理，得到各根節(jié)點后驗概率，當系統(tǒng)發(fā)生故障時，可以根據后驗概率排序依次排查根節(jié)點對應的部件，為系統(tǒng)的故障維修提供輔助決策。在設備冷卻水系統(tǒng)DBN模型中，將葉節(jié)點“RRI系統(tǒng)A列供水失效”設置為“set evidence=F”狀態(tài)，通過GeNIe軟件的診斷功能得到RRI系統(tǒng)DBN模型中各根節(jié)點的后驗概率排序，如圖14所示。

圖13 定期試驗和預防性維修條件下 核電廠RRI系統(tǒng)可靠度曲線Fig.13 Reliability curve of the RRI under conditions of periodic test and predictable maintenance for NPP

圖14 RRI系統(tǒng)各根節(jié)點后驗概率排序Fig.14 Posterior probability ranking of root nodes for RRI

圖14表明，當RRI系統(tǒng)A列功能喪失時，RRI系統(tǒng)故障排查順序為：RRI001PO泵運轉失效>RRI003VN拒開>波動箱001BA運行失效>RRI003PO泵運轉失效>RRIRF內漏未能及時發(fā)現(xiàn)并恢復>RRI系統(tǒng)A列設備破裂外漏> RRI 系統(tǒng)公共列設備泄露>RRI003PO泵啟動失效>RRI003PO泵支持系統(tǒng)失效>RRI001PO泵支持系統(tǒng)失效>RRI003FD運行失效>RRIRF內漏；SEC系統(tǒng)故障排查順序為：SEC任一設備破裂>SEC/CFI濾網運行失效>SEC001PO泵支持系統(tǒng)失效>SEC003PO泵啟動失效>SEC001PO泵運轉失效>SEC003PO泵支持系統(tǒng)失效> SEC003PO泵運轉失效>SEC003VN拒開。

3.2 DBN敏感性分析

DBN敏感性分析是一個量化根節(jié)點故障狀態(tài)變化導致葉節(jié)點故障狀態(tài)變化快慢，識別貝葉斯網絡模型關鍵因素的過程。在GeNIe軟件中將葉節(jié)點“RRI系統(tǒng)A列供水失效”設置為“Set Target”狀態(tài)，不確定性設置10%，執(zhí)行敏感性分析，得出DBN模型中的敏感節(jié)點，如圖15所示，其中節(jié)點的顏色深度與敏感性成正比。

圖15表明節(jié)點的敏感度可根據其顏色深度分為高度敏感、較高度敏感、中度敏感、較低敏感、低敏感和不敏感6個等級，其中高度敏感節(jié)點：RRI系統(tǒng)A列設備破裂外漏、RRI系統(tǒng)公共列泄露、波動箱001BA運行失效、SEC任一設備破裂和SEC濾網運行失效為系統(tǒng)的薄弱環(huán)節(jié)，提高對應部件的可靠性對系統(tǒng)可靠性的提高更為有效。例如針對RRI系統(tǒng)設備、管道的破裂問題，在維修策略中應優(yōu)先考慮對系統(tǒng)進行定期管壁測厚檢測，監(jiān)測溫度/壓差變化，以及時判斷系統(tǒng)破損狀況，提高系統(tǒng)的可靠性。

4 結論

基于DFT和DBN，提出了一種核電廠RRI系統(tǒng)動態(tài)可靠性評估方法，對RRI系統(tǒng)可靠性進行評估，分析和討論結果主要如下。

(1)通過DBN模型正向推理實現(xiàn)了RRI系統(tǒng)的動態(tài)可靠性評估，與傳統(tǒng)故障樹分析方法對比，所提方法考慮了設備冷卻水泵動態(tài)失效行為，更加貼近核電廠實際運行情況，驗證了所提方法的可行性和有效性。

(2)將DFT-DBN方法用于定期試驗和預防性維修條件下的RRI系統(tǒng)動態(tài)可靠性評估，擴展了DFT-DBN方法的應用范圍。

(3)通過DBN模型反向推理得到根節(jié)點后驗概率排序，敏感性分析識別出系統(tǒng)的薄弱環(huán)節(jié)，為提高核電廠智能檢修能力、制定和優(yōu)化維修策略提供依據。

圖15 核電廠RRI系統(tǒng)DBN模型節(jié)點敏感性示意圖Fig.15 The diagram showing sensitivity of nodes in DBN model of RRI for NPP