專設安全設施驅動可靠性分析

陳銀萍，田 苗

（中國核電工程有限公司，北京 100840）

0 引言

PMS是核電廠重要的安全級儀控系統，對確保核電廠安全、可靠的運行起著至關重要的作用。專設安全設施驅動系統（ESFAS）是PMS重要子系統之一，為了減少由于PMS設備故障導致的ESF誤觸發從而影響電廠的經濟性，或是由于PMS設備故障導致ESF功能無法正確驅動從而導致的電廠安全性降低，需對PMS的可靠性進行分析，找到系統中可能存在的薄弱環節，采取有效的預防措施，以減少由于PMS設備故障影響電廠經濟性降低事件的發生。本文采用了馬爾可夫方法對ESF功能可用性進行分析，查找薄弱環節并給出提高PMS專設驅動功能可靠性的建議，力求能夠使電廠更安全、可靠、經濟地運行。同時對于采用數字化控制的三代核電，需對保護系統的可靠性和可用性計算，該分析方法也為其進行可靠性計算提供一種思路。

1 可靠性分析方法

1.1 馬爾可夫（Markov）模型

馬爾可夫模型是用一組概率Aij來定義的，其中Aij表示系統從狀態i轉移到狀態j的概率，其在可靠性研究中有著廣泛應用。

考慮PMS單個設備只有“正常”或“故障”兩種狀態，分別記為狀態“0”和狀態“1”，且每個設備的故障率為λ，修復率為μ，則Markov狀態轉移概率：A00=1-λ△t；A01=λ△t； A10=μ△t；A11=1-μ△t。

根據Markov相關理論，每個設備的穩態可用性為[1,2]：

其中設備故障率：

設備修復率：

1）當設備故障能通過診斷立即探測到時，MTTR=設備更換時間。

2）當設備故障不能完全通過診斷監測到時，假設可立即探測到故障的概率為Pd，則不能通過立即診斷探測到的故障概率為（1-Pd），診斷出故障所需的平均時間為Ts/2，則：MTTR=（1－Pd）×Ts/2＋設備更換時間。

1.2 可用性計算方法

由于設備的可用性(A)與不可用性(U)互為補集，則該設備的不可用性可表示為[2]：

PMS是由多個設備組合共同完成EFS功能，則系統的可用性為：

對于由N個設備并聯組成的系統，其中任何一個設備都能完成某一功能，則并聯組合的可用性表示為：

系統的可用性(Asys）與該系統的不可用性(Usys)互為補集，則該系統的不可用性可表示為：

2 ESF驅動功能可靠性分析

2.1 ESF驅動功能路徑框圖的建立

保護和安全監測系統由4個冗余通道A、B、C、D組成，序列內部存在兩個子通道的冗余。4個冗余序列使用4套獨立的傳感器，傳感器將現場重要過程參數送至本通道的兩個雙穩態邏輯處理器（BPL）與設定值進行比較。當過程參數超過ESF驅動設定值時，產生部分觸發信號，并將信號送至本通道的局部符合邏輯處理器（LCL），通過HSL送至其他通道。在LCL中，對每個通道送來的兩個BPL信號執行“1/2”邏輯并產生一個專設觸發信號，當4通道滿足“2/4”邏輯時，產生系統級驅動信號并送往集成邏輯處理器（ILP）。在ILP中，對LCL送來的信號執行“2/2”邏輯，并將驅動信號通過SRNC送至CIM，在CIM中對本通道兩個ILP送來的信號執行“2/2”后驅動現場設備[3]。據此，PMS專設安全設施驅動功能的路徑框圖如圖1所示，其中A序列有3個ILC機柜（ILP所在機柜），B序列有4個ILC機柜（ILP所在機柜），C序列有2個ILC機柜（ILP所在機柜），D序列有4個ILC機柜（ILP所在機柜），圖1中每個序列僅畫出一個ILC機柜的布置。

圖1 PMS專設安全設施驅動功能的路徑框圖Fig.1 The path block diagram of the drive function of the dedicated safety facility of the PMS

2.2 ESF驅動功能可靠性計算與分析

2.2.1 ESF可用性計算與分析

在計算每個ESF驅動功能可用性時，采用設計文件中提供的每個設備的平均無故障時間（MTBF），并根據式（1）～式（3）計算出每個模塊的可用性。機柜供電可用性計算：包括1塊線路濾波器、2塊冗余的電源模塊，根據式（5）、式（6）計 算 可 得：APOWER=0.999998853。BPL可用性計算，根據其結構及式（5）計算可得其可靠性為：ABPL=0.984748871。

傳感器、電源、BPL、FOM總的可用性計算，根據式（5）可 得：A傳感器+電源+BPL+FOM=0.983956496。據 此，4取2邏輯后的可用性為：2取1邏輯（A1/2BPL）可用性為0.999742606，4取2邏輯（A2/4BPL）可用性為1。

LCL可用性計算，根據LCL結構圖及式（5）計算可得其可靠性為：ALCL= 0.996858371。

LCL、FOM總的可用性計算，根據式（5）可得：ALCL+FOM= 0.996852539。據此，2取2邏輯后的可用性為：A2/2LCL= 0.999990093。

ILP可用性計算，ILP包含通信模塊CI631、處理器模塊PM646，根據式（5）可得：AILP= 0.998403202。

每個ILC機柜中的兩個BPL將信號分別通過SRNC送至CIM，并在CIM中執行2取2邏輯后觸發專設驅動信號。若其中一個ILP信號失效，則在CIM中執行1取1邏輯。根據此邏輯和式（5）、式（6），可計算得：A2/2(ILP+SRNC)= 0.999997433。ILC機柜的電源可用性為：APOWER=0.999998853。

對大多數ESF功能，從工藝角度設置了不同程度的冗余，即冗余的現場設備由不同CIM分別控制，只要成功觸發一個設備，即可完成相應ESF功能。如：主泵跳閘，每個主泵(RCS-MP-01A/01B/02A/02B)由兩個斷路器串聯控制，其中任意一個斷路器斷開就可實現此主泵跳閘功能。兩個斷路器分別由位于ILCC01、ILCB01的兩個不同的CIM控制。根據工藝設備的不同冗余程度，ESF功能的可用性見表1。本文采用的方法更為精確地計算了ESF功能的可用性，但計算結果較設計文件計算而言，保守性相對差些。由表1可知，ESF的可用性可以達到10-6。

表1 ESF功能不同冗余程度可靠性Table 1 Reliability of ESF functions with different degrees of redundancy

2.2.2 關鍵敏感設備（SPV）設備分析

PMS通過設備接口模塊（CIM）實現現場設備的控制。當CIM所在機柜失電或CIM故障，都將導致CIM輸出失電，這將導致正常處于得電狀態的電磁閥失電并使主閥門趨于安全狀態，其中9個CIM控制的設備將導致反應堆停堆，見表2CIM輸出失電將導致停堆的情況。

表2 CIM輸出失電將導致停堆的情況Table 2 Situations in which the loss of power to the CIM output will result in a shutdown

由 上 述 分 析 可 知，7個ILC機 柜（ILCA01、ILCA02、ILCB01、ILCC01、ILCD01、ILCD02、ILCD04）中任一機柜的線性濾波器(ILF)、超壓保護裝置(OVP)，或上述9個CIM模塊故障會導致反應堆停堆，即關鍵敏感設備（SPV），共23個“薄弱點”。注意，雖然控制上述9個設備的CIM故障會導致設備動作，但其動作的結果是停堆，是趨于安全狀態的，但是會對電廠經濟性產生影響。

以PRHR HX流量控制閥（PXS-PL-V108A /V108B）的控制為例，兩個閥門并聯，其中任一閥門開啟即可使非能動余熱導出子系統投運，即：工藝冗余度為2。若控制閥門PXS-PL-V108A /V108B的任一CIM故障輸出OFF，或CIM所在機柜失電，將導致閥門失效開啟，趨于安全狀態。而任一閥門開啟信號將直接觸發反應堆停堆。根據上述 分 析，即 使1個CIM故 障，有：λ(CIM)= 2.06×10-6事件/小時=0.018事件/年>0.002事件/年。共9個CIM失效導致停堆，因此故障率為：λ9(CIM)= 9×2.06×10-6事件/小時=0.16事件/年。

表3 CIM失效對設備狀態影響Table 3 Influence of CIM failure on equipment status

3 提高PMS可靠性建議

由上節分析可知，PMS設備的可靠性，特別是CIM、ILF、OVP模塊的可靠性，直接影響著專設安全設施觸發功能的可靠性和電廠的經濟性，必須給予足夠的重視。對此，從下面幾方面給出建議：

1）建立全廠PMS設備可靠性數據庫

首先，要求設計方提供固化的、準確全面的PMS設備的平均無故障時間（MTBF）。其次，建議生產部門據此建立全場PMS設備可靠性數據庫，記錄每個設備的生產日期、設備故障數量、原因及時間等配置信息，作為后續模塊老化、降級更換及趨勢分析的依據。此外，隨著電廠的運行，建議根據本廠PMS設備的實際故障情況更新數據庫中各模塊故障率，建立更適用于電廠設備可靠性的數據。

2）定期刷新FPGA

由于CIM模塊基于FPGA實現其控制功能，但FPGA的性能有效期為20年，且與CIM模塊是否運行無關，即：現場機柜中安裝的CIM、倉庫中未使用的CIM備件的FPGA有效期都為20年。因此，需在可靠性數據中特別記錄CIM模塊最后一次刷新日期，以便定期刷新和測試，防止由于FPGA未及時刷新而導致的模塊性能下降。此外，建議與設計方明確一塊CIM刷新測試所需時間，以便電廠合理安排238塊CIM模塊的刷新時間。

3）關注CIM模塊的更換，避免設備狀態誤改變

CIM為PMS和1E級現場設備間提供控制接口，其控制的設備類型包括：AOV（氣動閥）、MOV（電動閥）、CB（斷路器）、Squib（爆破閥）、PHV（氣/液聯動閥）、SOV（電磁閥）。其中，AOV、SOV、PHV、CB由IDS為其提供250VDC，CIM只是串聯在其中充當開關作用。當CIM輸出K1（K2）=1時，AOV先導電磁閥得電，氣源為氣動閥供氣。當CIM輸出為0時，AOV失氣，閥門趨于安全狀態。經統計，約42個AOV和SOV通常為得電狀態（即：失電驅動），控制這些負載的CIM分布在不同ILC機柜中。當CIM模塊故障時，為避免CIM模塊更換過程中導致的設備狀態改變，可將其K1或K2端子用跳線短接。但要特別注意，在CIM更換后務必將短接線移除，避免專設安全功能不可用的情況發生。

4）其他注意事項

第一，生產期間需時刻關注PMS設備的運行狀態，特別是CIM、ILF、OVP模塊，并根據數據庫信息定期更換老化模塊；第二，生產技術部門需密切關注設備停產狀態，尋找可替代產品。設備升級或技術改造后，對PMS可靠性重新計算，保證不造成系統可靠性的降級；第三，與同行電廠保持良好的合作關系，隨時關注同行電廠保護系統中經驗反饋，學習其良好運行實踐；第四，建議運行人員根據本文分析結果檢查運行規程是否已針對上述問題制定了完善詳細的響應流程及應急預案，確保發生本文分析的狀況時保持電廠的安全性。

4 結語

本文采用了一種新方法（Markov方法）對保護與安全監控系統專設驅動功能的可靠性進行分析，為后續設計改造PMS可靠性的評估提供了一種新思路，也為采用全數字化儀控系統的三代核電提供一種可靠性分析思路，如華龍后續機組的可靠性分析也可根據本文方法進行計算分析。通過分析，查找薄弱環節，并通過改造和日常運維以提高機組的可靠性和經濟性。此外，本文給出了一系列生產維護方面的建議，望對提高PMS的可靠性給予支持。