考慮啟動時間和啟動失效的核電廠冷冗余系統(tǒng)可靠性數(shù)值模擬方法

王韶軒林志賢戈道川吳 潔郁 杰

1（中國科學(xué)院合肥物質(zhì)科學(xué)研究院核能安全技術(shù)研究所 合肥 230031）

2（中國科學(xué)技術(shù)大學(xué) 合肥 230026）

安全是核電產(chǎn)業(yè)健康發(fā)展的前提，為保障安全，核電廠大量采用冗余設(shè)計。對于一些關(guān)鍵設(shè)備如泵、發(fā)電機等往往采用冗余配置以滿足單一故障準(zhǔn)則［1］。這些冗余設(shè)備平時處于冷備狀態(tài)（即零功率狀態(tài)），只有當(dāng)主件失效后才會啟動，在啟動過程中需要一定的啟動時間且存在啟動失敗可能。設(shè)備的啟動時間是指設(shè)備從啟動到正常工作或從初始狀態(tài)完全轉(zhuǎn)換到另一狀態(tài)所需要的時間。設(shè)備啟動時間的形成原因有很多：設(shè)備的正常運行需要滿足一定的條件、設(shè)備的初始狀態(tài)有所限制、人的操作行為需要時間等。在啟動過程中設(shè)備可能會由于自身部件老化、工作環(huán)境變化、操作行為出現(xiàn)失誤等原因而啟動失敗，在核電廠中某些特定的緊急情況下，部分關(guān)鍵設(shè)備的啟動失敗被視為失效，不考慮其二次啟動。文獻［2］分析了核電廠中應(yīng)急柴油發(fā)電機啟動失效和超時的原因；文獻［3］探究了核電廠水壓試驗泵啟動失效的問題。核電廠中存在大量對反應(yīng)堆安全有重要影響的冷冗余設(shè)備，針對其啟動時間與啟動失效進行相應(yīng)的可靠性建模分析對提高核電廠整體安全性有重要意義。

在靜態(tài)故障樹（Static Fault Tree，SFT）分析方法中，通常不考慮設(shè)備啟動時間，一般將啟動失效視為基本事件以做簡化處理。傳統(tǒng)SFT模型無法有效地對核電廠冷冗余系統(tǒng)中蘊含的動態(tài)失效行為進行建模，國際上普遍采用動態(tài)故障樹（Dynamic Fault Tree，DFT）分析方法對含有時序失效行為的系統(tǒng)進行可靠性評估［4?5］。目前在DFT分析方法中，對于冷冗余設(shè)備啟動時間與啟動失效的處理依舊與SFT類似。針對上述問題，本文將采用蒙特卡羅數(shù)值模擬方法分析啟動時間與啟動失效對冷冗余系統(tǒng)可靠性的影響，并以核電廠應(yīng)急柴油發(fā)電機組為例開展工程應(yīng)用研究。

1 理論基礎(chǔ)

1.1 動態(tài)故障樹模型

DFT作為SFT的延伸，引入優(yōu)先與（Priority And，PAND）門、功能相關(guān)（Functional-Dependence，F(xiàn)DEP）門、順序強制（Sequence-Enforcing，SEQ）門、冷備（Cold Spare，CSP）門、溫備（Warm Spare，WSP）門和熱備（Hot Spare，HSP）門來描述系統(tǒng)中的時序失效行為［6］。圖1展示了本文案例分析中涉及的三種動態(tài)門（CSP門、SEQ門和FDEP門），下面將對這三類動態(tài)門進行詳細闡述。

CSP門如圖1（a）所示，其包含一個主輸入事件A1，兩個備用輸入事件A2和A3。A1開始處于工作狀態(tài)，A2在A1發(fā)生失效后立即激活并轉(zhuǎn)入工作狀態(tài)，隨后A2失效，A3被激活并轉(zhuǎn)入工作狀態(tài)，當(dāng)A3失效時門事件發(fā)生。用割序可表示為，其中表示部件X作為Y的備件，且在備用狀態(tài)下的失效率為0。

SEQ門如圖1（b）所示，其包含3個輸入事件A1、A2和A3，強制其門下的輸入事件以從左到右的順序發(fā)生，其割序可邏輯等價地表示為：SEQ門與CSP門的失效模式非常相似，唯一的區(qū)別在于SEQ門的輸入事件可以是基本事件也可以是門事件。

FDEP門如圖1（c）所示，其包含一個觸發(fā)事件AT，兩個相關(guān)基本事件A1和A2。當(dāng)AT發(fā)生失效時，A1、A2也隨之發(fā)生失效，反之A1、A2是否失效，對AT的狀態(tài)沒有影響。

圖1 動態(tài)邏輯門(a)冷備門，(b)順序強制門，(c)功能相關(guān)門Fig.1 Dynamic logic gates(a)Cold spare gate,(b)Sequence-enforcing gate,(c)Functional-dependence gate

1.2 蒙特卡羅數(shù)值模擬

蒙特卡羅數(shù)值模擬方法的基本思想就是將解析模型轉(zhuǎn)化為概率模型，通過重復(fù)構(gòu)造符合一定規(guī)則的計算機隨機數(shù)來求解問題［7?8］。最小割序是指導(dǎo)致DFT頂事件發(fā)生的一組最少先后發(fā)生的基本事件，其狀態(tài)決定系統(tǒng)狀態(tài)。最小割序集是指所有導(dǎo)致DFT頂事件發(fā)生的最小割序的集合。因此，利用最小割序集可以對DFT頂事件的發(fā)生概率進行數(shù)值模擬。本文采用“最小割序集+順序失效域”的數(shù)值模擬方法分析DFT［9］。順序失效域則是指由圖形化描述的順序失效邏輯圖所確定的帶有一定順序性的失效域［10］。以割序為例，其順序失效邏輯圖如圖2所示。

圖2 A1→0A1 A2→…→ 0An?1 An的順序失效邏輯圖Fig.2 Sequence failure logic diagram for case:A1→0A1 A2→…→ 0An?1 An

圖2中，tm為任務(wù)時間；ai表示事件Ai的起始點；τi表示失效時間（即設(shè)備壽命）；R（τi）表示τi的有效失效時間段，即導(dǎo)致割序發(fā)生的有效時間段。對于任意一個R（τi），當(dāng)i=1時，R(τ1)={τ1|0<τ1

DFT蒙特卡羅數(shù)值模擬方法的主要流程為：首先根據(jù)基本事件發(fā)生的概率分布抽取隨機數(shù)來判斷某一時刻對應(yīng)設(shè)備的狀態(tài)，再結(jié)合所得隨機數(shù)與最小割序的順序失效域判斷該最小割序是否發(fā)生，如果發(fā)生（即系統(tǒng)失效），則跳入下一次模擬；如果不發(fā)生則進行下一個最小割序的判斷，以此類推，直到完成所有最小割序的判斷。當(dāng)模擬次數(shù)足夠多時，便可根據(jù)模擬結(jié)果得到DFT頂事件的發(fā)生概率，該方法的整體流程圖如圖3所示。其中：N是總模擬次數(shù)，在相對誤差為0.05并且置信水平為0.95的情況下即可確保模擬的結(jié)果足夠可靠為事件的統(tǒng)計頻率［11］。m表示最小割序的個數(shù)為失效時間τt=(τ1，τ2，...，τn)的第t次隨機抽樣樣本點。割序的發(fā)生概率可以表示為：

圖3 基于最小割序集的動態(tài)故障樹蒙特卡羅數(shù)值模擬流程圖Fig.3 Flow chart of Monte Carlo numerical simulation of DFTs based on minimum cut sequence sets

2 考慮設(shè)備啟動時間與啟動失效的冷冗余系統(tǒng)可靠性數(shù)值模擬方法

數(shù)值模擬作為一種虛擬現(xiàn)實技術(shù)可以直接仿真設(shè)備的啟動時間以及啟動狀態(tài)過程，因此可用于冷冗余系統(tǒng)可靠性分析。

2.1 包含冷冗余設(shè)備的割序失效域

假設(shè)某最小割序為：

其中：基本事件Ai（i=2，…，n）表示冷冗余設(shè)備。下面以冷冗余設(shè)備Ai為例進行討論，假設(shè)Ai啟動時間為Δti，啟動失效概率為Pi，其存在兩種失效模式：1）啟動未成功，即在啟動過程中直接失效，用符號Ai.a表示；2）設(shè)備成功啟動，在后續(xù)工作過程中發(fā)生隨機失效，用符號Ai.w表示。本文中用隨機數(shù)Ri=rand來模擬設(shè)備啟動的結(jié)果，若Ri

針對割序：

設(shè)備Ai在啟動中直接失效，不存在后續(xù)隨機失效情況，其對應(yīng)的順序失效邏輯圖如圖4所示。由圖可得，當(dāng)k＜i時，各基本事件的有效失效時間段表達式與§1.2中一致，可寫為R(τk)a={τk|0<τk

對于割序：

設(shè)備成功啟動后發(fā)生隨機失效，對應(yīng)的順序失效邏輯圖如圖5所示。由圖5可得，當(dāng)k＜i時，各基本事件的有效失效時間段的表達式可表示為R(τk)w={τk|0<τk

R(τk)w=

因此，

的失效域Ωw可以表達為：

2.2 基于最小割序集的數(shù)值模擬方法

本方法與“最小割序集+順序失效域”的DFT數(shù)值模擬方法類似。首先判斷一個割序是否發(fā)生，如果發(fā)生則跳出本次模擬；如果不發(fā)生，則模擬下一個割序，以此類推。模擬流程如圖6所示，其中：Gj表示在最小割序j中需要考慮啟動時間與啟動失效的冷冗余設(shè)備個數(shù)，其余符號的含義與圖3一致。

圖6中如何“計算當(dāng)前最小割序j的失效域”為本文討論的重點，該過程主要包括三部分：1）對最小割序進行分類；2）對設(shè)備啟動過程進行模擬；3）最小割序失效域的計算。首先根據(jù)當(dāng)前最小割序中是否含有需要考慮啟動時間與啟動失效的冷冗余設(shè)備進行分類討論。對于不含此類冷冗余設(shè)備的最小割序，按§1.2中所提到的方法計算其失效域；對于包含的最小割序，則§2.1中的方法對所含設(shè)備的啟動狀態(tài)用隨機數(shù)進行模擬，并記錄模擬結(jié)果。最后依據(jù)模擬結(jié)果求解最小割序所對應(yīng)的失效域Ωj，如式（7）所示。通過Ωj與τ?t判斷本次模擬中當(dāng)前最小割序是否發(fā)生，如式（8）所示。如果發(fā)生則跳出本次模擬；如果不發(fā)生，則模擬下一個割序，以此類推。

圖6 基于蒙特卡羅數(shù)值模擬的DFT中設(shè)備啟動時間與啟動失效建模方法Fig.6 Modeling method of equipment startup time and startup failure in DFT based on Monte Carlo numerical simulation

最終，系統(tǒng)的失效概率（Psystem）可計算為所有最小割序發(fā)生的次數(shù)（SUM）除于總仿真次數(shù)N。冷冗余系統(tǒng)失效概率的統(tǒng)計量表達式為：

3 案例分析

3.1 事故描述

應(yīng)急柴油發(fā)電機組（Emergency Diesel Generators，EDGs）是核電廠重要的專設(shè)安全設(shè)施之一。作為核電廠內(nèi)的應(yīng)急電源，在喪失廠用主電源和外電源后，EDGs要及時啟動為應(yīng)急廠用設(shè)備供電，以保證反應(yīng)堆安全停堆并防止主要設(shè)備損壞。圖7展示的是某核電廠單機組的電力供應(yīng)系統(tǒng)結(jié)構(gòu)簡圖［12］。其中EDGs共包含5臺柴油發(fā)電機（4臺常規(guī)柴油發(fā)電機+1臺備用柴油發(fā)電機）。4臺常規(guī)柴油發(fā)電機被分為兩個應(yīng)急發(fā)電機組：應(yīng)急發(fā)電機組A（包含柴油發(fā)電機A1與柴油發(fā)電機A2）和應(yīng)急發(fā)電機組B（包含柴油發(fā)電機B1與柴油發(fā)電機B2）。

圖7 某核電廠簡化電力供應(yīng)系統(tǒng)圖Fig.7 System diagram of simplified power supply for nuclear power plant

喪失場外電事件發(fā)生后，首先啟動A，此時B處于冷備狀態(tài)。A可能會由于自身發(fā)生隨機失效或者應(yīng)急安全母線LHA故障而失效。當(dāng)A失效后，B才會啟動。同樣地，B可能會由于自身發(fā)生隨機失效或者應(yīng)急安全母線LHB故障而失效［13］。當(dāng)A、B都失效后備用柴油發(fā)電機才會啟動，當(dāng)備用柴油發(fā)電機也失效后，SBO事故發(fā)生。在這種情況下EDGs的故障順序是：首先A發(fā)生失效，接著B啟動并失效，最后備用柴油發(fā)電機啟動并失效，SBO事故發(fā)生。本文將使用DFT對系統(tǒng)順序失效行為進行建模，并將在§3.2中進行詳細說明。

3.2 應(yīng)急柴油發(fā)電機系統(tǒng)的動態(tài)失效模型及設(shè)備失效參數(shù)

應(yīng)急發(fā)電機組B與備用柴油發(fā)電機平時處于冷備用狀態(tài)，由于發(fā)電機組放置區(qū)域、人員的操作和設(shè)備的狀態(tài)等一系列不確定性因素，到備用柴油發(fā)電機真正投入使用需要一定的啟動時間Δt。在核電廠運行的歷史上曾出現(xiàn)過應(yīng)急柴油發(fā)電機啟動失敗的案例［14?15］。啟動油量的控制［2］、快速啟動導(dǎo)致的柴油發(fā)電機老化［16］、系統(tǒng)接線和現(xiàn)場布置錯誤［17］等都是影響柴油發(fā)電機能否正常啟動的因素。本文假這些處于冷備狀態(tài)的柴油發(fā)電機具有一定的啟動失效概率P。EDGs中相關(guān)設(shè)備的失效參數(shù)參考文獻［12］與［13］，具體如表1所示。以EDGs供電失效為頂事件，根據(jù)§3.1中描述的失效行為對系統(tǒng)進行DFT建模分析，DFT模型如圖8所示。SEQ門表征EDGs備件中存在的強制順序失效行為，F(xiàn)DEP門表征LHA/LHB與A/B之間的依賴關(guān)系。

圖8 EDGs的DFT模型[13]Fig.8 DFT model of EDGs[13]

表1 EDGs設(shè)備的失效信息Table 1 Failure information of EDGs

3.3 計算分析

3.3.1失效概率對比分析

采用所提方法、傳統(tǒng)DFT方法和SFT方法分別計算EDGs在任務(wù)時間t=24 h內(nèi)的失效概率，并著重比較了所提方法與傳統(tǒng)DFT方法的計算差異，即兩種方法所得結(jié)果的相對誤差ε=（PD?PP）/PD×100%，其中：PD為傳統(tǒng)DFT方法的計算結(jié)果；PP為所提方法的計算結(jié)果；ε計算結(jié)果如圖9（a）所示。計算平臺為MATLAB軟件，樣本數(shù)的設(shè)置同§1.2一致，事件的統(tǒng)計頻率Pf用傳統(tǒng)DFT方法對應(yīng)的結(jié)果做代替。從圖9（a）可以看出，由于考慮了柴油發(fā)電機的冷備特性與啟動時間，本文所提方法得到的系統(tǒng)失效概率較SFT與傳統(tǒng)DFT方法更低。由于考慮了啟動時間，本文所提方法的計算結(jié)果較傳統(tǒng)DFT方法有明顯的改善，尤其是在任務(wù)初期。啟動時間所產(chǎn)生的影響有限，且隨著任務(wù)時間的增加ε不斷減小，在24 h時，ε=10.20%。此外，本文進一步探究了影響此概率差的因素以及這些影響因素單獨所占的份額，結(jié)果如圖9（b）所示。εB1、εB2和εSDG分別表示只考慮對應(yīng)柴油發(fā)電機啟動時間時，所提方法與傳統(tǒng)DFT方法計算結(jié)果的相對誤差；ε0則表示不考慮啟動時間時的相對誤差。從圖9（b）可以看出，在不考慮啟動時間時，本文所提方法與傳統(tǒng)DFT方法結(jié)果一致，即所提方法中對啟動失效概率的處理符合傳統(tǒng)方法中“將設(shè)備的啟動失效視為基本事件”的假設(shè)，因此兩種方法的結(jié)果差異來自于啟動時間。而在B1、B2和SDG這三個設(shè)備的啟動時間中，SDG的啟動時間對結(jié)果的影響最大。

圖9 EDGs失效概率對比分析(a)失效概率對比，(b)設(shè)備啟動時間對EDGs失效概率的影響Fig.9 Comparison of EDGs failure probability(a)Failure probability comparison,(b)Effect of equipment startup time on EDGs failure probability

3.3.2參數(shù)敏感性分析

為了評估各參數(shù)對系統(tǒng)失效概率不確定性貢獻的重要程度，本文對EDGs中相關(guān)參數(shù)進行了敏感性分析，計算公式如下所示：

式中：RU為參數(shù)X的值是原來的10倍時系統(tǒng)失效概率；RL為參數(shù)X的值是原來的0.1倍時系統(tǒng)失效概率。SX為參數(shù)X的敏感度，當(dāng)SX>1，表示該參數(shù)對系統(tǒng)失效具有正面影響，而SX越偏離1表示參數(shù)對系統(tǒng)失效概率的影響越大。圖10展示了在任務(wù)時間24 h內(nèi)設(shè)備參數(shù)的敏感度變化曲線，表2為各參數(shù)在t為2 h和24 h時對EDGs系統(tǒng)失效概率的敏感度及其排名，其中PB1、PB2和PSDG分別表示對應(yīng)柴油發(fā)電機的啟動失效概率；λLHA和λLHB分別表示應(yīng)急安全母線LHA和LHB的失效率；λA1、λA2、λB1、λB2和λSDG分別表示對應(yīng)柴油發(fā)電機的失效率。

圖10 設(shè)備參數(shù)的敏感度變化曲線Fig.10 The sensitivity change curve of equipment parameters

由圖10和表2可知，在初始階段“λA2”和“λA1”是最敏感的參數(shù)，敏感度為88.02和87.32。啟動失效參數(shù)“PSDG”、“PB1”和“PB2”分別排在第3、4、5位，敏感度為42.38、19.08和18.13，對系統(tǒng)的失效有顯著影響。隨著任務(wù)時間的增加，在24 h時最敏感的參數(shù)為“λA2”和“λA1”，敏感度為38.45和37.89。排在第3位和第4位的則分別是“λB2”和“λB1”。而啟動失效參數(shù)“PSDG”、“PB2”和“PB1”分別排在第6、7、8位，敏感度為3.38、2.17和2.09。綜上所述，由于啟動相關(guān)參數(shù)是固定值，因此在初始階段對結(jié)果影響較大，隨著任務(wù)時間的增加，影響逐漸減小。因此，提高柴油發(fā)電機的啟動可靠性尤其是在初始階段，對提高EDG的整體安全性具有重要意義。

表2 EDGs設(shè)備參數(shù)的敏感性指標(biāo)Table 2 Sensitivity index of EDGs equipment parameters

3.3.3不確定性分析

考慮到設(shè)備啟動時間的隨機性，本文對EDGs失效概率進行不確定性分析。假設(shè)設(shè)備啟動時間服從正態(tài)分布，具體如表3所示。系統(tǒng)任務(wù)時間設(shè)置為24 h，通過抽樣程序獲得1 000組啟動時間的樣本，然后將每一組樣本輸入到所提方法的計算模型中產(chǎn)生一個隨機輸出樣本（EDGs失效概率）。最后將1 000個EDGs失效概率繪制成頻率直方圖，如圖11所示。

表3 啟動時間的分布參數(shù)Table 3 Distribution parameters of startup-time

圖11 EDGs失效概率的頻率直方圖Fig.11 Frequency histogram of EDGs failure probability

從圖11可以看出，EDGs失效概率服從正態(tài)分布。表4展示了EDGs失效概率均值、標(biāo)準(zhǔn)差以及對應(yīng)的置信區(qū)間。由表4可知，在24 h內(nèi)EDGs發(fā)生失效的概率的置信水平為95%的置信區(qū)間為（6.445~6.474）×10?4。

表4 參數(shù)估計結(jié)果Table 4 Results of parameters evaluations

3.3.4啟動特性對結(jié)果的影響

根據(jù)國內(nèi)外核電站運行經(jīng)驗，適當(dāng)延長柴油發(fā)電機啟動時間，有利于降低其啟動失敗概率，延長運行壽命［16］。因此，本文假設(shè)柴油發(fā)電機的啟動時間與啟動失效概率成反比，即啟動時間與啟動失效概率的乘積為一個定值K，本文稱之為啟動常數(shù)，具體如下所示：

式中：Δt為啟動時間；PΔt為Δt時間內(nèi)的啟動失效概率。K可以通過設(shè)備當(dāng)前的啟動時間和啟動失效概率乘積獲得，如表5所示。為評估啟動特性對EDGs失效概率的影響，啟動時間分別選取為表1中啟動時間的20%、60%、140%和180%。計算EDGs在任務(wù)時間t=24 h內(nèi)的失效概率，并與原結(jié)果進行比較，如圖12（a）所示。由于在不同啟動時間下系統(tǒng)失效概率間的數(shù)值差異過大，為了更直觀地比較系統(tǒng)失效概率變化趨勢，本文采用對數(shù)ln（θ）來展示，具體如圖12（b）所示，其中θ=PX/PP；PX為基于新的啟動參數(shù)的計算結(jié)果?？梢钥闯?，在任務(wù)初期，啟動時間變化對結(jié)果有較大影響，且隨著啟動時間的延長，系統(tǒng)失效概率隨之降低。

表5 設(shè)備的啟動常數(shù)Table 5 Startup constants of equipment

圖12 啟動特性對EDGs失效概率的影響(a)不同啟動時間下的概率值，(b)不同啟動時間下的ln(θ)值Fig.12 Effect of startup characteristics on EDGs failure probability(a)Probability under different start time,(b)ln(θ)under different start time

4 結(jié)語

本文重點研究了備用設(shè)備啟動時間與啟動失效對冷冗余系統(tǒng)失效概率的影響，提出了一種冗余系統(tǒng)可靠性數(shù)值模擬方法，利用所提方法對核電廠EDGs失效概率進行了分析。案例結(jié)果分析表明：1）本文所提方法能夠?qū)σ酝椒o法考慮冷備件啟動時間耦合啟動失效的問題進行建模分析，從而能更加準(zhǔn)確地反映冷冗余系統(tǒng)的實際運行狀態(tài)與真實的失效場景；2）啟動時間對結(jié)果影響在任務(wù)早期較大，后隨任務(wù)時間的增長而減?。?）設(shè)備參數(shù)的敏感性分析為后期提高系統(tǒng)可靠性提供了理論依據(jù)；4）在24 h內(nèi)EDGs發(fā)生失效的概率的置信水平為95%的置信區(qū)間為（6.445~6.474）×10?4；5）適當(dāng)延長柴油發(fā)電機啟動時間有利于降低EDGs系統(tǒng)的失效概率。本文中案例的計算結(jié)果展示了該方法在精確建模與釋放保守風(fēng)險方面的潛力，未來將針對核電廠復(fù)雜系統(tǒng)開展更為詳細的建模研究。

致謝感謝中國科學(xué)院合肥物質(zhì)科學(xué)研究院核能安全技術(shù)研究所公共技術(shù)中心提供測試平臺。

作者貢獻聲明王韶軒：起草文章、統(tǒng)計分析、設(shè)計分析案例；林志賢：技術(shù)支持、分析數(shù)據(jù)；戈道川：審閱文章內(nèi)容、技術(shù)指導(dǎo)；吳潔：審閱文章內(nèi)容；郁杰：形式檢查、方向指導(dǎo)。