兩種安全級儀控系統拒動率計算方法的比較

張 蔚，張淑慧，徐冬苓

（上海核工程研究設計院有限公司，上海 200233）

0 引言

2000年功能安全的基礎標準IEC61508出臺，它提出了一種全新的保障安全的原理與方法。其中，IEC61508標準第六部分屬于參考性資料，它給出了計算簡單系統失效概率的方法。目前，IEC61508中的原理與方法已經被國際上流程工業、機械工業、醫藥、交通等與安全相關的控制領域廣泛接受[1]。但是在核電儀控領域，相比較故障樹、可靠性框圖、馬爾科夫等可靠性計算方法，IEC61508的應用并不廣泛。因此，本文采用IEC61508第六部分對典型的核電廠反應堆保護系統可靠性進行計算，并與可靠性框圖計算方法比較，驗證IEC61508中的可靠性計算結果相比可靠性框圖計算數量級一致且略微保守，可以在核電儀控領域推廣使用。

1 可用性計算方法和公式

可靠性框圖是從可靠性角度出發研究系統與部件之間關系的邏輯圖，這種圖反映了部件之間的串并聯關系[2]。計算系統可用性時，先計算可靠性框圖中每個部件的可用性，再根據部件之間的串并聯關系，計算出整個系統的可用性。

1.1 部件可用性

部件的可用性即某一時刻部件處于正常狀態，能夠執行自身功能的概率，它是隨時間變化的。而工程應用中比較關心的是一個部件的平均可用性（An）或平均不可用性（Un）。可用性An是指部件的無故障運行時間與部件總運行時間之比，用百分數表示[3]：

假設除非部件發生故障，否則部件一直是正常運行的。平均無故障時間（MTTF，Mean Time to Failure）是指失效前時間的數學期望值，對于不可修復系統，MTTF是指系統故障前運行時間的數學期望值；對于可修復系統，MTTF是指系統每次修復后正常運行時間的數學期望值[4]。對于電子設備來說，它的可靠度分布為指數分布，且故障率為常數，故障率與MTTF之間存在倒數關系。

平均故障間隔時間（MTBF，Mean Time Between Failure），是指系統相鄰兩次故障發生時刻之間的時間的平均值[5]。MTBF=MTTF+MTTR；平均修復時間（MTTR，Mean Time to Repair），是指系統從故障開始到恢復正常的平均時間。在當MTTR<

離線時間=探測故障的平均時間+平均修復時間MTTR(TR)。需要分兩種情況考慮，一種情況是一個物項一出現故障即被發現（自顯示），立即進行修理（沒有時間延遲），對這種情況，可假設不工作時間等于維修時間；另一種情況是故障不是自顯示的，只能由定期試驗發現，則不工作時間是出現故障到下次試驗的時間間隔加上維修時間[6]。第一種情況是可通過自診斷自動探測到的故障，這部分故障數量占所有故障數量的比值為Pd。由于系統自動檢測的速度很快，所以這部分時間可以忽略不計。第二種情況是需要通過定期監督試驗，由維修人員手動檢查出來的故障，這部分故障占所有故障的比值為（1-Pd）。

基于通常核電站的維護流程，定期測試以固定的時間間隔進行，而一旦通過定期測試確定某模塊發生了某失效，即可立刻開始對應的維修工作[7]。假設某不可探測的失效發生在時刻t，定期測試時間間隔為TS，且不可探測的故障一定會在定期測試時被維修人員手動檢查出來。對于不可探測的故障，探測故障的平均時間為（TS-t）在（0

因為電子設備的壽命服從指數分布，f(t)=(1-e-λt)'≈(λt)'=λ，代入上述公式（3），得到對于不可探測的故障，探測故障的平均時間為Ts/2。綜合以上兩種情況，得到離線時間的計算公式：

將公式（2）和公式（4）帶入公式（1），得到部件在某一時刻能執行其功能的概率即為該部件的可用性，具體公式如下：

式（5）中：

An-第n個部件的可用性。

λ-部件故障率。

Pd-通過診斷立即探測到故障的概率。

Ts-定期監督試驗間隔。

TR-故障的平均修復時間。

部件不可用性為：

1.2 系統可用性

當多個部件組合成系統完成某個功能，系統可用性可采用下述公式由單個部件可用性計算得到。

對于串聯系統，任一部件故障會導致系統故障，系統可用性可表示為：

對于并聯系統，任一部件無故障即可執行功能，系統可用性可表示為：

對于表決邏輯（N取M），系統可用性可表示為：

圖1 1取1可靠性框圖Fig.1 1oo1 Reliability blcok diagram

系統不可用性可表示為：

2 IEC 61508中的PFD計算方法和公式

2.1 部件的PFD

PFD（Probability of Failure on Demand） 是 IEC 61508標準中的專有名詞，用于評價低要求操作模式下，在出現危險事件，要求安全系統執行正確的安全功能時，安全系統失效的概率[8]。IEC61508中故障分為危險可識別、危險不可識別、不危險可識別、不危險不可識別4種類型。對系統的失效概率進行研究，只考慮危險識別和危險不可識別兩種故障[9]。危險可識別和危險不可識別故障的故障率分別表示為λDD和λDU。對于危險可識別故障，故障發生后立刻維修，平均離線時間為MTTR（Mean Time to Restoration）；危險不可識別故障需在周期性檢測試驗（Periodical Proof Test）時被檢測并進行維修，平均離線時間為檢測時間與實際維修時間之和，即T1/2+MRT。假設自動探測故障所需的時間遠遠小于維修工作所花的時間，那 么 MTTR（mean time to restoration）=MRT（Mean Repair Time）。

如圖1所示，將一個部件看作兩部分組成，一部分只發生危險不可識別失效，另一部分只發生危險可識別失效。

根據定義：

在IEC 61508中，離線時間用tCE表示，在線時間=MTBF，因此：

根據公式（2），且只考慮危險故障：

由于安全系統的可靠性較高，λDtCE時間遠遠小于1，所以：

其中：

2.2 系統的PFD

IEC 61508中給出了簡單系統的PFD計算公式，比如簡單串聯系統，1OO2、2OO3等。這里引用IEC61508中的串聯系統和3取2符合邏輯的計算公式。

對于串聯系統：

其中，PFDGi是串聯系統中每個子系統的失效概率。

對于3取2表決結構的系統：

不考慮共因故障，假設βD=β=0，則：

其中：

3 反應堆保護系統基本結構以及可靠性框圖建模

核電廠反應堆保護系統是一個邏輯保護系統，它是根據電廠運行參數的變化產生與保護任務有關的信號，通過驅動反應堆緊急停堆裝置和專設安全設施動作，防止反應堆狀態超過規定的安全極限或減輕超過安全極限所造成的損壞和損壞后果的系統[10]。目前的核電廠反應堆保護系統基本采用三序列或四序列的架構，也有一部分核電站安全系統采用兩序列架構。采用三序列架構時一般采用3取2符合邏輯，即3個通道中至少有兩個通道正常工作時系統保持正常工作。本文以核電站安全儀控系統中3取2冗余結構為例，對失效概率計算方法進行研究。

圖3 RT功能的可靠性框圖Fig.3 RBD Diagram for RT functions

圖2 典型的2oo3反應堆保護系統架構Fig.2 RPS System structure(2oo3)

圖2為典型的3取2反應堆保護系統架構圖。保護系統分為3個冗余且獨立的序列，每個序列中，變送器信號會送到信號采集和數據處理模塊進行整定值比較，然后比較的結果送到2oo3符合邏輯模塊與來自其他兩個序列的整定值比較結果進行2oo3運算。對于停堆功能來說，2oo3符合邏輯的結果直接驅動對應序列的停堆斷路器（RTCB）。3個序列的停堆斷路器會布置為2oo3結構，即3個序列中有兩個序列的停堆斷路器打開，反應堆就真正停堆。對于專設功能來說，2oo3符合邏輯的結果會送到設備接口模塊進行擴展，驅動不同的設備。

如果將信號采集分配和整定值比較模塊和3取2表決邏輯模塊中的不同卡件看作一個整體，可以得到RT功能的可靠性框圖如圖3所示。

4 計算和分析

反應堆保護系統為安全級設備，采用1E級平臺，一般都具有很高的可靠性。例如美國西屋公司的AC160設備，其MTBF為70年，MTTR為1小時；德國AREVA公司的TXS平臺MTBF為360年。這里假設反應堆保護系統的MTBF為1個保守值11.4年，那么λD為1.0×10-5。隨著數字化技術的發展，故障探測率可以達到90%甚至更高。假設診斷率為 0.9，那么 λDD為 9×10-6, λDU為 1×10-6。目前核電站一般一年至兩年大修一次，這里假設定期監督試驗的周期（TS）為一年，即8760小時。MTTR包括了從探測到故障組件，到將組件恢復到正常狀態的時間，這里采取一個較為保守的假設值8小時。表1為假設的可靠性參數匯總。

計算過程中不考慮共因故障。將表1中的可靠性參數代入到第1節中的公式（5），計算得到信號采集和分配處理塊以及3取2表決邏輯處理塊的可用性0.999941。將可用性計算結果代入到公式（7）和公式（10），得到整個系統的不可用性，也就是拒動率為1.18×10-4。將表1中的可靠性參數代入第2節中的公式（16）和公式（19）計算得到信號采集和分配處理塊以及3取2表決邏輯處理塊的tCE為446小時，tGE為300小時。將計算得到的tCE和tGE代入到公式（17）和公式（19），得到整個系統的不可用性是1.61×10-4。計算的結果可以看到，兩種計算方法的計算結果接近，基本在一個數量級上。方法2的計算結果更為保守一些。

表1 假設的可靠性參數Table 1 Minimal cut sets before improvement

為了更好地分析方法1和方法2的結果產生差異的原因，先將方法1的設備可用性計算公式改寫為λD、λDU、λDD的形式。

而 IEC 61508中，對于 1OO1 模塊，PFDAVG=λDtCE，其 中，λD=λDU+λDD，tCE=λDU/λD(T1/2+MRT)+λDD/λDMTTR。 因此，PFDAVG=λDU(T1/2+MRT)+λDDMTTR；其中 ：T1=TS，MRT=MTTR=TR。對比一下，可以看到，方法1的公式（1）相比方法2計算1OO1模塊PFDAVG的公式，分母多了λDU·(Ts/2+TR)+λDD·TR。方法 2 認為 λDU·(Ts/2+TR)+λDD·TR<<1，做了一定的近似，結果更加保守一些。

5 總結

通過第1節和第2節的公式推導，可以看到傳統的RBD框圖分析方法以及IEC61508標準第六部分計算簡單系統失效概率的方法都需要一個假設，即系統的故障率很低而診斷覆蓋率很高，安全級儀控系統恰好滿足這個假設。在對典型的3取2結構反應堆保護系統采用以上兩種方法進行可靠性分析后發現，兩種方法分析結果數量級基本一致，IEC61508標準第六部分計算簡單系統失效概率的方法略微保守，同樣適合工程應用。