反應堆保護系統可靠性指標的評價方法研究

王 偉，趙 軍，童節娟，周繼翔，肖 鵬

(1.清華大學 核能與新能源技術研究院，北京 100084；2.中國核動力研究設計院，四川 成都 610041)

?

反應堆保護系統可靠性指標的評價方法研究

王 偉1，趙 軍1，童節娟1，周繼翔2，肖 鵬2

(1.清華大學 核能與新能源技術研究院，北京 100084；2.中國核動力研究設計院，四川 成都 610041)

反應堆保護系統的性能水平對核電廠安全、經濟、可靠運行有很大影響。而實踐中如何正確評價反應堆保護系統的可靠性指標，業界并未形成一致方法。本文選取簡化的典型反應堆保護系統為研究對象，主要討論拒動概率故障樹分析和誤動率馬爾科夫方法的適用性，分析拒動概率、誤動率兩個指標分別適用的評價方法，并對示例系統的可靠性指標進行定量計算。本研究對進一步澄清國內反應堆保護系統可靠性評價中的方法問題，具有重要的參考價值。

反應堆保護系統；拒動概率；故障樹方法；誤動率；馬爾科夫方法

核電廠反應堆保護系統(RPS)是核電廠的重要部分之一，一方面用于確保核電廠的正常運行，另一方面在事故后的電廠響應和事故緩解中扮演著重要的角色。RPS的性能水平對核電廠機組的安全、經濟、可靠運行有很大影響。

盡管RPS具有自身的固有安全性，但其可靠性評價仍存在諸多問題。首先，保護系統一般較復雜，且隨著計算機技術的發展，RPS功能越強大，尺寸也越小，因此在可靠性分析建模時，數學建模方法與工程實際吻合的難度也越大；其次，RPS是人-機-環境共同構成的整體，分析時必須考慮三者之間的相互作用與影響，同時還需考慮故障的先后順序、故障持續時間等因素，在當前條件下，很難找到一種適合諸多因素的有效的可靠性建模工具[1]。因此，本文在澄清RPS可靠性指標混淆問題的基礎上，以RPS兩個重要的設計指標(拒動概率及誤動率)為依據，對RPS的可靠性定量評價方法進行探討，并對所提出方法的適用性進行分析。

1 RPS可靠性指標及分析方法選擇

1.1 拒動概率與誤動率

《反應堆保護系統安全準則》(GB/T 4083—2005)規定，動力反應堆的緊急停堆系統可靠性設計要求滿足如下兩個指標[2]：1) 每個變量的系統安全故障率(誤停堆率)不大于每年1次；2) 每個變量在要求保護動作時，系統因隨機故障而不動作的概率不大于10-5。

從上面的要求歸納，反應堆保護系統的可靠性評價涉及兩個指標，即拒動概率和誤動率。拒動概率是指系統在要求保護動作時，系統或其部件因隨機故障而不動作的概率，主要與系統或部件自身的狀態有關，而與時間無關，是無量綱量，取值在0～1之間。誤動率則是指系統或元件在單位時間內發生誤動作的次數，它是與時間有關的量。

1.2 可靠性指標分析方法選擇

可靠性分析方法大致可分為定量分析法和定性分析法兩種[3]。在系統的可靠性分析中，有多種可靠性的建模方法，如可靠性邏輯框圖法、馬爾科夫(Markov)過程模型、故障樹方法、事件樹方法、GO圖模型等。需根據待評價可靠性指標的特點，選擇合適的評價方法。

1) 拒動概率

反應堆保護系統是由所有電子器件、機械器件和線路(從傳感器一直到執行機構的輸入端)組成的產生保護信號的系統，它能滿足如下要求：自動觸發有關的系統(需要時包括停堆系統)動作、檢測事故工況并觸發為減輕這些事故工況后果所需的系統動作、抑制控制系統的不安全動作。

通過保護系統的描述與作用可知，在發出保護信號時，各子系統及部件的動作基本是順序的，無明顯的信號動態反饋。因此若以保護系統拒動為頂事件，可按照直接原因逐步反溯到更深層的原因。這種分析思路符合故障樹方法的原理。于文革等[4]的研究也表明這一分析思路確實可行。

基于上述考慮，選取故障樹分析方法進行反應堆保護系統拒動概率的定性定量分析。

2) 誤動率

誤動率是保護系統單位時間發生誤動作的次數的表征。對反應堆保護系統的誤動率進行分析時，需考慮維修試驗帶來的狀態變化，因而會有反饋邏輯、時序變化等方面的影響。

由于故障樹方法的根本原理是布爾代數，是一種靜態、不區分時序的方法，因此對維修試驗、反饋等因素的構模，只能按平均狀態來體現，很難準確表示系統可靠性的狀態變化過程。

另外，故障樹最小割集的基本事件都是無量綱的概率型。若一個最小割集中出現多個失效率型的基本事件，則繼續采用故障樹定量化法計算后得到的結果不具有物理意義，在量綱上也不可能得到“次/年”等表征頻率的單位。因此，在進行誤動率的分析時，故障樹分析方法有困難。

馬爾科夫方法是表示時間函數狀態概率的常用方法。原則上，在馬爾科夫方法框架下，需求失效概率可通過將系統不響應指令(失效危險狀態)的狀態的失效概率進行加和得到，該值是時間的函數。安全失效平均間隔時間(MTTFS)、危險失效平均間隔時間(MTTFD)及其他的平均失效時間均可利用馬爾科夫模型精確計算。所以，馬爾科夫方法可能是最全面的一種可用于評估控制系統可靠性的方法[4]，可適用于保護系統的可靠性建模，精確定量化保護系統的誤動率。

但用馬爾科夫方法分析復雜系統時，其狀態數目的增長非常迅速，從而使模型的分析非常困難。

因此，本文提出一種利用馬爾科夫方法的基本原理，結合保護系統特點，進行“模塊化”處理建模的方法。反應堆保護系統包含多個子系統，每個子系統中，根據部件所在的位置、作用及部件間的相互影響，可劃分為不同的模塊，每個模塊通過某一信號進行前后聯系。依據上述模塊劃分，在進行系統的誤動率分析中，基于每個模塊的特定且唯一的功能及其模塊間的串并聯關系，采用“模塊化處理——綜合建模”的思路。首先建立每個模塊的馬爾科夫模型，在此基礎上，將各模塊的馬爾科夫模型進行串并聯分析與整合，得到系統級的馬爾科夫模型。在進行定量分析時，首先對各模塊的馬爾科夫模型分別進行定量計算，得到模塊級的失效率與維修率，然后將其應用于系統級馬爾科夫模型并進行綜合的定量分析，最終依據各狀態轉移率求得系統的誤動率。

2 典型系統分析

2.1 典型系統描述

為驗證上述拒動概率和誤動率分析方法的適用性，以簡化的核電廠RPS為模型進行分析，簡化的系統包含A、B兩個子系統，并假定子系統之間實體隔離，其結構如圖1所示。在該系統中，每個子系統使用兩套獨立的傳感器(S-A和S-B)，它們分別對應的測量值由相應的子系統進行處理后與設定值進行比較，如果測量值超過預先設定值，則該子系統由雙穩態處理器邏輯(BPL-A或BPL-B)產生1個局部脫扣信號。每個子系統的信號處理過程相同。產生的局部脫扣信號分別發送至兩個子系統的局部符合邏輯(LCL-A和LCL-B)。

每個LCL對接收的局部脫扣信號進行二取二表決。如果某個LCL接收并處理2條來自不同子系統的局部脫扣信號，將對其相連接的2個停堆邏輯處理器(RT-A1、RT-A2，RT-B1、RT-B2)產生相應的電信號。每個停堆邏輯處理器將電信號轉換之后，分別向與之對應的繼電器觸點(M1、M2、M3及M4)發出1條繼電器斷電信號。

圖1 典型系統結構Fig.1 Scheme of simplified system

M1、M2、M3和M4共同構成停堆觸發邏輯矩陣(RTM)。在RTM中，M1與M2進行二取一表決，M3與M4進行二取一表決，兩個表決出的信號分別將相關的中間繼電器斷電(二取二表決)，同時RTM發出停堆信號。

2.2 利用故障樹方法求解拒動概率

2.2.1 建模方法及說明

針對本示例系統停堆信號拒發故障樹的依據分析方法的適用性，作如下假設：

1) 對本示例系統進行拒動分析，即認為RTM拒發出停堆信號。因此，本工作選取“停堆信號拒發”作為頂事件，自頂向下識別系統故障原因并建立故障樹。

2) 系統中每個部件的拒發信號事件分別考慮“自身故障失效”及“未從上一環節接收到信號”兩種失效模式。

3) 分別考慮RT-A1與RT-A2、RT-B1與RT-B2、M1與M2、M3與M4的共因失效，選取BETA模型進行共因參數選值，其中共因因子β=0.1。同時，基于子系統之間實體隔離，因此在建模時不考慮子系統間對應設備(如LCL-A與LCL-B)之間的共因失效。

2.2.2 建模過程及圖示

根據示例系統說明及故障樹建模假設，可建立該系統的停堆信號拒發故障樹，如圖2所示。

圖2 停堆信號拒發的故障樹Fig.2 Fault tree of failing to send out shutdown signal on demand

2.3 利用馬爾科夫方法求解誤動率

2.3.1 建模方法及說明

本示例系統的構造相對非常簡化，但系統內部包含2個子系統，且每個子系統可劃分為多個模塊，因此在本示例系統的誤動率分析中，采用2.2節中提出的“模塊化處理——綜合建模”的建模方法，對示例系統進行馬爾科夫建模，并定量分析系統誤動率。

系統狀態劃分是馬爾科夫建模的第1步，針對本序列的馬爾科夫建模作如下假設：

1) 系統中包含的所有部件只考慮兩種狀態，即故障和成功。

2) 為集中體現系統中邏輯處理的特點，并考慮對工作量的簡化，在系統建模中將采取模塊化分步建模處理。

3) 系統的初始狀態為系統中所有部件均為成功狀態。

4) 考慮系統的維修與診斷等的維修率。

5) 模型中分別考慮RT-A1與RT-A2、RT-B1與RT-B2、M1與M2、M3與M4的共因失效，選取BETA模型進行共因參數選值，其中β=0.1。同時，基于子系統之間實體隔離，因此在建模時不考慮子系統間對應設備(如LCL-A與LCL-B)之間的共因失效。

在進行示例系統的誤發停堆信號的馬爾科夫建模時，根據系統功能及失效后的影響，將該系統劃分為以下幾個模塊：

1) BPL模塊：BPL(BPL-A或BPL-B)誤發局部脫扣信號，建模以BPL-A為例；

2) LCL模塊：LCL模塊(含LCL與RT)誤發出繼電器斷電信號，建模以LCL-A、RT-A1及RT-A2為例；

3) RTM模塊： RTM誤發出停堆信號。

2.3.2 建模過程及分析

1) BPL模塊誤發信號的馬爾科夫建模過程

示例系統中，BPL共發出4路局部脫扣信號，這4路信號由兩個BPL分別產生，且產生過程完全相同。因此，在建模時選取1路局部脫扣信號的誤發即可，以A1為例，其產生過程如下：(1) 傳感器S-A輸入參數通過通道檢查及傳感器校驗，測量值與設定值進行比較；(2) 傳感器參數傳遞到ADC-A，輸入參數由ADC-A轉換為電信號；(3) 電信號經BPL-A處理后形成局部脫扣信號A1并傳入下一模塊。

根據上述分析及其之前的建模假設，對本模塊狀態進行劃分，并以此建立該模塊的馬爾科夫模型，如圖3所示。

以局部脫扣信號A1誤發為例

在此模型中，A0為工作狀態，即所有部件都成功；A1、A2、A3分別為傳感器S-A對輸入參數的校驗或比較失效、數模轉換器ADC-A失效、雙穩態邏輯處理器BPL-A失效的狀態，均為吸收態。其中，λA1、λA2、λA3分別為S-A誤動、ADC-A誤動及BPL-A誤動的失效率，這些誤動主要是由于自身設備故障造成的失效；μA1、μA2、μA3分別為S-A、ADC-A及BPL-A失效后的維修率。

2) LCL模塊誤發繼電器斷電信號的馬爾科夫建模過程

示例系統包含兩個相同且平行的LCL模塊(含LCL與RT)，其信號的接收、處理及發送過程完全相同；同時每個RT接收及發出繼電器斷電信號的過程相同。因此，在建模時取1組LCL模塊進行分析即可，以LCL-A、RT-A1、RT-A2為例。

通過分析得知，導致RT-A1誤發出繼電器斷電信號的原因如下：

(1) LCL模塊本身成功，但LCL-A接收到兩個子系統誤發出的局部脫扣信號。此時，該兩路局部脫扣信號在LCL模塊中經LCL-A、RT-A1及RT-A2的接收、處理后將發出繼電器斷電信號。

(2) LCL模塊中LCL-A、RT-A1或RT-A2由于自身設備故障造成信號誤發。此時需考慮RT-A1、RT-A2共因故障。

根據建模假設及上述分析，對LCL模塊誤發信號進行狀態劃分，并由此建立相應的馬爾科夫模型，如圖4所示。

圖4 LCL模塊誤發繼電器斷電信號的馬爾科夫模型Fig.4 Markov model of mistakenly sending cut-off signal from LCL to relays

在該模型中，B0為初始狀態，系統正常運行；B1為LCL-A接收到某子系統誤發出的局部脫扣信號，但此時不予以做信號處理，但仍為工作狀態；B2、C1、C2、C3為吸收態，分別為LCL-A接收到兩條誤發出的局部脫扣信號、LCL-A自身故障誤發電信號、RT-A1自身故障誤發繼電器斷電信號、RT-A1與RT-A2共因失效。其中，λB、μB分別為BPL-A(或BPL-B)誤發出局部脫扣信號的失效率和維修率，這兩項參數通過2.3.2條中的BPL模塊信號誤發馬爾科夫模型的定量計算求得；λC1、λC2、λC2c分別為局部符合邏輯LCL-A誤動的失效率、停堆邏輯處理器RT-A1誤動的失效率及RT-A1與RT-A2的共因失效率；μC1、μC2分別為LCL-A與RT-A1失效后的維修率。

3) RTM模塊誤發停堆信號的馬爾科夫建模過程

在停堆觸發邏輯矩陣RTM中，若繼電器觸點M1、M2至少有一個觸點因誤動而斷開，同時M3、M4也至少有一個觸點因誤動而斷開，則RTM會誤發出停堆信號。由此可知，導致停堆信號誤發的原因是：(1) RTM本身成功，繼電器觸點接收到誤發出的繼電器斷電信號而使RTM斷路誤發出停堆信號；(2) 繼電器觸點由于自身故障而斷開，致使RTM誤發停堆信號。

此時，為方便系統分析，假設上述兩種情況不同時發生。如M1、M2中某一觸點由于自身故障而斷開，同時M3、M4中某一觸點由于接收到誤發出的繼電器斷電信號而斷開的情況不存在。

上述兩種情況建立誤動馬爾科夫模型時，因涉及的部件及狀態轉移數量較多，建立一個模型分析較為復雜。因此，在RTM模塊中對上述兩種情況分別建模。

圖5 繼電器觸點接收到誤發繼電器斷電信號導致RTM誤動的馬爾科夫模型Fig.5 Markov model of RTM malfunction since relay contacts received cut-off signals mistakenly sent

(1) 繼電器觸點接收到誤發出的繼電器斷電信號時相應的馬爾科夫模型如圖5所示。在這一模型中，D0為初始狀態，系統正常運行；D1、D3為觸點M1、M2中1個、2個接收到誤發的繼電器斷電信號而誤斷開；D2、D4為M3、M4的對應狀態，均為工作狀態；D5為M1、M2中1個觸點及M3、M4中1個觸點均接收到誤發出的繼電器斷電信號誤斷開；D6為M1、M2中2個觸點及M3、M4中2個觸點均接收到誤發出的繼電器斷電信號誤斷開；D7為M1、M2中2個觸點及M3、M4中1個觸點接收到誤發出的繼電器斷電信號誤斷開；D5、D6、D7為吸收態；λD為某一繼電器觸點誤斷開的失效率；μD為某一繼電器觸點的維修率。

圖6 RTM模塊繼電器觸點自身故障誤發停堆信號的馬爾科夫模型Fig.6 Markov model of RTM malfunction caused by self-faults of relay contacts

(2) 繼電器觸點由于自身故障而斷開時，分別考慮M1與M2、M3與M4之間的共因失效。此時，繼電器觸點M1、M2至少有1個觸點因誤動而斷開，同時M3、M4也至少有1個觸點因誤動而斷開，則導致RTM誤發停堆信號。相應的馬爾科夫模型如圖6所示。此模型中，E0為初始狀態；E1、E3分別為觸點M1、M2中1個、2個自身故障誤開；E2、E4為M3、M4的對應狀態，均為工作狀態；E5為M1、M2中1個觸點及M3、M4中1個觸點自身故障誤斷開；E6為M1、M2中1個觸點及M3、M4中2個觸點自身故障；E7為M1、M2中2個觸點及M3、M4中1個觸點自身故障；D5、D6、D7為吸收態；λE、λEc分別為某一繼電器觸點誤斷開的失效率以及M1、M2(或M3、M4)2個觸點共因失效的失效率；μE為某一繼電器觸點的維修率。

3 可靠性指標定量分析

本文中，拒動概率、誤動率分析所采用的基礎失效數據主要參考美國用戶要求文件URD中的參考數據[5]。

3.1 拒動概率的定量分析

觸發停堆時，每個部件的觸發時間很短，一般為秒量級，但此處為保守計算，選取停堆觸發的任務時間為1 h。對于圖2所示的停堆信號拒發故障樹進行定量化分析，得到頂事件“停堆信號拒發”的發生概率Q=4.26×10-6。

通過Risk Spectrum運算可得對頂事件發生概率貢獻處于前8位的重要最小割集(表1)。同時，計算結果顯示，這8項最小割集對頂事件的貢獻超過99.8%。

表1 圖2所示停堆信號拒發故障樹的重要最小割集Table 1 Significant minimum cut sets obtained from fault tree model in Fig.2

3.2 誤動率的定量分析

馬爾科夫模型定量分析時，假設定期試驗間隔TI=1 a，設備的實際修復時間(TR)均為8 h，則設備平均維修時間[6]計算如下：

MTTR=TI/2+TR=4 388h

其維修率為：

μ=1/MTTR=2.28×10-4h-1

因此，示例系統定量分析時，μA1、μA2、μA3、μC1、μC2、μE3取值均為2.28×10-4h-1。

1) 模塊級維修率的求解

計算某系統的維修率時，為保守計算，通常選取該系統馬爾科夫模型中MTTR最大的部件作為整個模型的MTTR，因此該系統的維修率為MTTR的倒數。

因此，圖3所示BPL模塊誤發信號的馬爾科夫模型中，BPL模塊的模塊級維修率采用上述保守計算方法。本示例系統中各部件的維修率μ=2.28×10-4h-1，BPL模塊的馬爾科夫模型的模塊級維修率μB=2.28×10-4h-1。由此可知，LCL模塊的模塊級維修率μD=2.28×10-4h-1。

2) 模塊級失效率的求解

在本工作馬爾科夫模型中，模塊級失效率即為模型的失效率，數值上等于模型平均首次故障前時間MTTFF的倒數。MTTFF是可維修產品首次故障時間的平均值，它反映了產品的制造及出廠前對產品早期故障采取措施的水平[7]。計算MTTFF可采用以下公式[8]：

λ=1/MTTFF

其中，f(t)為產品的概率密度函數。

MTTFF可通過馬爾科夫模型的轉移率矩陣求得。因此，圖3～6所示馬爾科夫模型各自的模塊級失效率分別為：

λB=1/MTTFFB=

同理，求得：

3) 系統誤動率λM的求解

圖5、6所示的馬爾科夫模型為并聯關系，因此系統失效率為圖5、6模型的模塊級失效率之和：

4 結論

故障樹方法可適用于估算保護系統的拒動概率。因保護系統拒發信號分析是一順序執行的過程，故障樹分析能有效對保護系統故障類型進行拆分，建立相應的邏輯關系后進行定性定量分析。

運用“模塊化處理——綜合建模”的馬爾科夫方法，可有效解決馬爾科夫方法難以勝任復雜系統的誤動率分析的困難。一方面它很好地解決了分析復雜系統時模型中狀態轉移數目增長迅速帶來的計算困難，同時借助于系統分析時模塊內部、模塊之間的相互串并聯關系，使模塊之間的分析結構更加清晰。

未來需進一步研究的是，馬爾科夫方法中單元發生故障和修復的過程默認假設服從泊松過程，即一段時間內狀態轉移的概率隨時間增長而增長，而實際系統中還會出現與時間無關的事件，如繼電器需求拒開，馬爾科夫方法對于這類情形的表征和模化還存在一定的困難。

[1] 方濤. 核電站數字化控制系統可靠性評價方法的研究[D]. 北京：華北電力大學，2013.

[2] GB/T 4083—2005 核反應堆保護系統安全準則[S]. 北京：中華人民共和國國家質量監督檢驗檢疫總局，中國國家標準化管理委員會，2005.

[3] 李良巧. 機械可靠性設計與分析[M]. 北京：國防工業出版社，1998.

[4] 于文革，張志儉，黃衛剛，等. 大亞灣核電站反應堆保護系統可靠性分析[J]. 核動力工程，2003，24(1)：63-67.

YU Wenge, ZHANG Zhijian, HUANG Wei-gang, et al. Reactor protection system reliability analysis of Daya Bay NPP[J]. Nuclear Power Engineering, 2003, 24(1): 63-67(in Chinese).

[5] EPRI. Utility requirement document annex a reliability data base for passive ALWR PRAs[R]. US: EPRI, 2008.

[6] 威廉·戈布爾(美). 控制系統的安全評估與可靠性[M]. 白焰，董玲，楊國田，譯. 北京：中國電力出版社，2008.

[7] 趙眾. 可靠性工程[M]. 北京：石油大學出版社，1997.

[8] 喬巍巍. 數控系統可靠性建模及熵權模糊綜合評價[D]. 長春：吉林大學，2008.

Evaluation Method of Reliability Indicator of Reactor Protection System

WANG Wei1, ZHAO Jun1, TONG Jie-juan1, ZHOU Ji-xiang2, XIAO Peng2

(1.InstituteofNuclearandNewEnergyTechnology,TsinghuaUniversity,Beijing100084,China; 2.NuclearPowerInstituteofChina,Chengdu610041,China)

The performance level of reactor protection system is of a great effect on nuclear power plant safety, economy and reliable operation. However, the industry has not formed a consistent methodology on how to correctly evaluate the reliability index of the reactor protection system in practice. In this paper, the applicabilities of fault tree analysis on the probability of failure on demand and Markov method on the malfunction rate were mainly discussed based on a simplified typical reactor protection system. The evaluation methods applicable respectively for the following two indicators, namely the probability of failure on demand and the malfunction rate of the typical system were estimated, and the reliability indicators of the sample system were quantitatively calculated. This research has clarified methodologically problem in the analysis on the reliability evaluations of reactor protection system in China and is of significant value as a reference.

reactor protection system; probability of failure on demand; fault tree analysis; malfunction rate; Markov method

2014-01-20;

2014-03-05

王 偉(1987—)，男，山東日照人，碩士研究生，核能與核技術工程專業

TB114.3

A

1000-6931(2015)06-1101-08

10.7538/yzk.2015.49.06.1101