核電廠反應堆保護系統可靠性分配研究

劉宏春，王 琳，徐霖野，陳 鵬鄭 杲，孫詩炎，吳志強

（1.中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213；2.中核核電運行管理有限公司，浙江 嘉興 314300）

0 引言

核電廠反應堆保護系統是電廠儀控系統中最重要的部分，它監測與反應堆安全有關的重要參數。當這些參數達到或超過安全分析確定的整定值時，觸發反應堆緊急停堆或啟動專設安全設施系統，防止反應堆狀態超過規定的安全限值，或減輕超過安全限值的事故后果。可見，反應堆保護系統的可靠性對于核電廠的安全運行具有不可替代的作用。

核電廠反應堆保護系統的整個信號通道上包含傳感器、信號采集處理以及驅動控制等環節，為了設計出高可靠的反應堆保護系統，需要上述各環節均具備與系統總體可靠性目標相匹配的可靠性水平。這就需要將反應堆保護系統總體可靠性指標合理地分配到相關的組成環節上，作為設備采購或產品研發的基礎。以研制一套全新的用于反應堆保護系統的數字化儀控平臺為例，由于需要提前確定各類功能模塊（輸入/輸出模塊、處理器模塊等）的可靠性水平，因而在儀控平臺研發之初便需要適配不同的反應堆保護系統結構和可靠性指標，開展功能模塊級的可靠性分配設計，并參考工業領域電子器件的可靠性水平現狀，確定一套合理可行且具備先進性和經濟性特征的功能模塊可靠性設計目標值。

本文旨在通過研究，提出一種較為合理且可操作性強的反應堆保護系統可靠性分配策略。

1 可靠性分配介紹

可靠性分配是指把系統的可靠性指標逐級分配到各個單元的過程。對可靠性進行分配，需要一個系統的可靠性模型，然后進行系統功能模塊的可靠性分配。分配給系統本身的初始值應該是系統可靠性指標要求值，有時會為系統分配比要求值略高的可靠性值，以允許以后的系統功能增長，并允許系統中無法達到其分配值的子系統在設計過程后期獲得一些額外的可靠性裕量。

可靠性分配過程包括求解如下基本不等式[1]：

其中，：分配給第i 個子系統的可靠性參數；R*：系統需要滿足的可靠性參數；f：子系統可靠性和系統可靠性之間的函數關系。

理論上，如果對可靠性分配沒有任何約束條件，上面的不等式可以有無數解，即分配方案有無限多個。一個合理的可靠性分配，就是能產生合理的一個或者有限數量的分配方法。

不同子系統和部件之間的可靠性值的分配可以基于復雜性、重要性、可實現的可靠性，或任何其它分析人員認為合適的因素進行分配。一般來說，使用可靠性模型進行可靠性分配是一個持續迭代的過程，直到將一組適當的可靠性度量分配給系統的每個功能模塊。

常用的可靠性分配方法包括等分配法、評分分配法、比例組合法、Agree 分配法等[2]。

2 反應堆保護系統可靠性分配方法

2.1 基本思路

針對核電廠反應堆保護系統的可靠性分配，直接應用等分配法等方法的工程可行性不強，原因如下：

1）多數分配方法比較適用于串聯系統（如等分配法、評分分配法等），而核電廠反應堆保護系統結構較為復雜，其為高冗余度的串并聯組合系統。

2）核電廠反應堆保護系統的限制條件多（如系統冗余度、多樣化設計、系統機柜數量等），且往往采用經過工程驗證的系統結構設計，結構和可靠性分配調整的靈活性較低。

在進行系統可靠性分配之前，應事先確定一個典型的保護系統結構。目前，反應堆保護系統主要有兩種典型結構，即“4 個保護組”和“4 個保護組+2 個邏輯系列”[4]。本文基于“4 個保護組+2 個邏輯系列”的典型反應堆保護系統結構對可靠性分配方法進行研究，該典型結構如圖1所示。

圖1 典型反應堆保護系統結構Fig.1 Typical structure of reactor protection system

4 個保護組的過程儀表預處理單元（PIPS）為現場傳感器進行供電，采集代表電廠狀態的傳感器信號，將調理后的信號分配給采集處理單元（APU）。APU 單元進行信號處理以及定值比較，產生“局部脫扣”信號，然后送至下游兩個邏輯系列的驅動邏輯單元（ALU），在其中進行邏輯表決（例如，2/4 表決）、保護邏輯運算及保護動作信號輸出。系統內部設計了兩個參數多樣性子組，對應每個保護組內的APU-*1 和APU-*2（*代表1 ～4）以及每個邏輯系列內的ALU-*1 和ALU-*2（*代表A 或B）。每個子組由一套處理器單元及外圍輸入/輸出模塊實現。兩個子組的輸出做“或”后產生本子組對應的緊急停堆信號或者專設驅動信號，緊急停堆信號被送往停堆斷路器，專設驅動信號被送往優先級驅動機柜（PLM-A 或PLM-B)，經過優先級判斷后，最終被輸出至專設驅動器。

表1 層級內儀控單元的可靠性分配Table 1 Reliability distribution value for each I&C unit of each I&C level

本文基于圖1 中的反應堆保護系統結構，提出一種按照系統的不同層級逐步進行可靠性分配的方法。

2.2 分配步驟

按照反應堆保護系統的不同層級，逐步進行可靠性分配的步驟如下：

1）子系統間的可靠性分配。針對含有多樣性子系統的反應堆保護系統，根據系統級可靠性指標，在子系統間進行分配。對于兩個多樣性子系統，可按照子系統獨立失效計算可靠性指標，系統失效概率為各子系統失效概率的乘積。

2）子系統內各儀控層級的可靠性分配。可近似將反應堆保護系統不同層級間考慮為串聯關系，并基于以往類似系統的可靠性經驗反饋為子系統內不同儀控層級分配可靠性指標。反應堆保護系統的各儀控層級包括：儀表層、信號調理層、采集處理層、邏輯表決層和優選層。

3）層級內儀控單元的可靠性分配。此步驟的分配可根據層級內儀控單元的冗余度及共因參數，使用簡化計算方式估算各層級內設備和單元的可靠性指標。

4）儀控單元內功能模塊的可靠性分配。此步驟針對需要繼續分解的儀控單元，在其內部組成的功能模塊間進行可靠性分配。此步驟可以假設每個儀控單元實現最復雜保護功能時需要的功能模塊類型和數量，并保守地按照串聯模型進行考慮。

3 應用實例

3.1 分配目標和約束條件

為圖1 中所示的典型反應堆保護系統結構進行可靠性分配，需考慮以下因素：

1）系統可靠性設計目標為：系統總體拒動率≤1.0E-7（考慮兩個多樣性子系統的共同作用）[3]。

2）在特定數據不可用時，使用通用數據或工程假設處理。

3.2 可靠性分配過程

3.2.1 子系統間的可靠性分配

系統總體拒動率設計目標為1.0E-07，為簡化處理，按照子系統獨立失效計算可靠性指標，系統失效概率為各子系統失效概率的乘積。可得到每個子系統的拒動率目標為：

3.2.2 子系統內各儀控層級的可靠性分配

單個子系統的拒動率目標為3.16E-04。針對反應堆保護系統的5 個儀控層級，參考以往類似系統的經驗反饋和專家判斷可給出各層級的拒動率占比，則可以根據子系統拒動率目標在層級間進行分配。例如，為儀表層、信號調理層、采集處理層、邏輯表決層和優選層分別分配30%、5%、20%、20%以及20%的拒動率占比，從而得到它們的拒動率分配值分別為9.49E-05、1.58E-05、6.32E-05、6.32E-05 和6.32E-05。由于已將5%的拒動率占比分配給了儀控系統軟件，因而分配給各儀控層級的拒動率占比總份額為95%。

3.2.3 儀控層級內儀控單元的可靠性分配

針對反應堆保護系統，儀控層級內的儀控單元即為組成該儀控層級的各冗余組成單元。基于3.2.2 節中已分配給各層級儀控系統的拒動率指標，按照如下方式開展層級內儀控單元的可靠性分配。

1）使用本層級可靠性分配指標作為輸入。

2）考慮本層級儀控單元的冗余設計和邏輯表決關系，確定關鍵共因組合。

3）根據共因模型和參數計算每個單元的可靠性分配指標，由于多重失效主要原因是共因失效，因而為進行簡化，僅考慮共因失效。

以α 共因模型為例，在定期試驗按照非交錯試驗進行考慮時，針對由m 個部件組成的共因部件組，每個共因事件的失效概率計算公式如下：

反應堆保護系統的儀表層、信號調理層以及采集處理層均為4 冗余度設計，采取2/4 表決邏輯設計，3 個或4 個儀控單元的失效（可檢測或不可檢測失效）將導致該層級失效。基于α 共因模型（非交錯試驗），可得到層級失效概率Qlevel，約等于3 個或4 個儀控單元共因失效的失效概率，可用以下公式表述：

其中，Qunit為儀控單元失效概率值，根據式（4）即可以得到：

基于參考文獻[4]中的通用CCF 數據，4 個設備共因故障組的α 參數如下：α1=9.74E-01，α2=1.70E-02，α3=5.89E-03，α4=2.98E-03，由此可得到：Qunit=29.2×Qlevel。

反應堆保護系統的邏輯表決層和優選層采用1/2 表決邏輯設計，2 個儀控單元的失效（可檢測或不可檢測失效）導致該層級失效。基于α 共因模型（非交錯試驗），可得到層級失效概率Qlevel約等于2 個儀控單元共因失效的失效概率，可用以下公式表述：

根據式（6）即可以得到：

基于參考文獻[4]中的通用CCF 數據，2 個設備的共因故障組的α 參數如下：α1=9.74E-01，α2=2.57E-02。由此可得到：Qunit=20×Qlevel。

由此可得層級內儀控單元的可靠性分配見表1。

3.2.4 儀控單元內功能模塊的可靠性分配

在得到反應堆保護系統各儀控層級內儀控單元的失效概率后，需要進一步將可靠性分配至各功能模塊。這可以按照串聯模型進行考慮，儀控單元的失效概率Qunit與功能模塊失效概率λ 的計算公式如下：

其中：為模塊i 的失效概率；為模塊i 的安全可檢測失效率（單位為/h）；為模塊i 的危險可檢測失效率（單位為/h）；為模塊i 的危險不可檢測失效率（單位為/h）；MTTRi為模塊i 的平均維修時間（單位h）；TIi為模塊i 的定期試驗間隔（單位為h）。

以儀表層以及采集處理層兩個層級為例，對將儀控單元的失效概率分配到功能模塊的過程進行說明。

針對測量儀表，根據以往經驗可知，儀表典型的自檢覆蓋率為85%，且安全失效和危險失效各占50%，定期試驗周期為18 個月（13140h），平均維修時間為1 周（168h）。儀表總失效率為λsensor，由公式（9）和（10）可得到儀表總失效率指標為4.35E-06/h：

對于采集處理層，假設其定期試驗周期為18 個月（13140h），平均維修時間為8h。假設執行一個儀控功能需要包含2 個模擬量輸入模塊（AI）、2 個數字量輸入模塊（DI）、2 個通信模塊（COM）、1 個處理器模塊（CPU）、2個數字量輸出模塊（DO）以及1 個電源模塊（PW）。對這些模塊按照串聯進行儀控單元層級失效概率的計算，計算公式如下：

從式（11）可見，由1 個Qunit值推導各功能模塊的λSD，λDD，λDU，它的解會有無窮多種組合。此時，可基于行業平均水平和專家經驗，以同類型儀控平臺可靠性數據作為各功能模塊的初始失效率數據，代入上述公式進行驗算后，再對數據進行調整。

本文以表2 所示的某安全級DCS 平臺功能模塊失效率數據作為各功能模塊的初始失效率數據，將這些數據代入公式后計算得到儀控單元層失效概率為4.40E-04，小于儀控單元層的失效率分配值1.85E-03，這表明該組初始失效數據能夠滿足保護系統總體可靠性目標的要求。此時，可再綜合考慮系統各功能模塊的復雜度、重要度、技術成熟度、任務時間的長短，以及實現可靠性要求所花費的代價及時間周期等因素，對初始失效率數據進行調整，直至得到一組滿意的數據。

表2 某安全級DCS平臺功能模塊失效率數據Table 2 Failure rate of functional module for one safety DCS system platform

4 結論

本文針對核電廠反應堆保護系統的可靠性分配設計，基于對常用可靠性分配方法的研究，并考慮反應堆保護系統冗余度高、系統結構復雜等特點，提出了一種按照系統的不同層級逐步進行分配的思路。并以一個典型的反應堆保護系統結構為例，對該分配方法進行了詳細的說明。可以看出，本文所提方法思路清晰且可操作性強，可為今后開展反應堆保護系統設備采購或產品研發提供基礎可靠性數據指標，并可推廣應用至其他復雜系統可靠性分配中。