林穎杰,鄭偉智,劉靜波,孫洪濤

(北京廣利核系統(tǒng)工程有限公司,北京100093)

隨著科學(xué)技術(shù)的高速發(fā)展,核電儀控系統(tǒng)已經(jīng)由傳統(tǒng)的模擬系統(tǒng)逐步轉(zhuǎn)變?yōu)閿?shù)字化的分布式控制系統(tǒng)(Distributed Control System,DCS),在國(guó)內(nèi)外核電DCS工程中由于采用多重冗余的結(jié)構(gòu)、自診斷功能設(shè)計(jì)等提高了系統(tǒng)的穩(wěn)定性和可靠性,而共因故障的存在使得冗余設(shè)備的可靠性大幅降低。從以往的商用核電廠概率安全分析(Probabilistic Safety Assessment,PSA)評(píng)估報(bào)告中不難發(fā)現(xiàn),共因故障是導(dǎo)致核電站冗余系統(tǒng)不可用的主要原因。美國(guó)壓水堆風(fēng)險(xiǎn)評(píng)估報(bào)告WASH-1400中曾經(jīng)提到,考慮共因故障的失效率計(jì)算結(jié)果比不考慮而獨(dú)立計(jì)算的結(jié)果要大兩個(gè)數(shù)量級(jí)。并且ASME RAS—2002系統(tǒng)分析中提到的高級(jí)別要求,系統(tǒng)分析應(yīng)合理、全面的考慮共因失效以及系統(tǒng)之間和系統(tǒng)內(nèi)的相關(guān)性。除了設(shè)置多樣性系統(tǒng)來(lái)防止共因故障之外,如何對(duì)共因故障展開(kāi)定量分析也尤為重要。因此,在實(shí)際工程中冗余設(shè)備的共因故障分析是亟待解決的重要問(wèn)題[2]。

通過(guò)分析,本文采用參數(shù)簡(jiǎn)單、便于理解的β因子法,給出兩種β因子法的評(píng)估模型,針對(duì)核電安全級(jí)DCS中RTS的2oo4架構(gòu)進(jìn)行建模,推導(dǎo)出其平均失效概率PFD的計(jì)算模型,最后給出了可有效降低系統(tǒng)共因故障的措施及方法。

1 共因失效及分析模型

共因故障(Common Cause Fault,CCF)是指兩個(gè)或多個(gè)部件在同一時(shí)間或在相對(duì)很短時(shí)間間隔內(nèi)由于共同原因所導(dǎo)致的失效[3]。而這些原因包括了系統(tǒng)除由于自身原因,如元器件的老化、疲勞、磨損、腐蝕等導(dǎo)致系統(tǒng)單元故障外,在使用過(guò)程中還常受到外界環(huán)境偶然因素的影響,如地震、雷擊、沖撞、著火等[4]。這些破壞性很大的偶然因素的發(fā)生將導(dǎo)致系統(tǒng)中部分或全部單元同時(shí)故障。而共因故障的存在抵消了冗余系統(tǒng)的優(yōu)點(diǎn)。

目前,隨著研究的推進(jìn)分析人員陸續(xù)提出了許多模型和方法,其中包括一些單參數(shù)模型:α因子法、β因子法;也有復(fù)雜的多參數(shù)模型:二項(xiàng)失效率模型(Binomial Failure Rate Model,BFR)、基本參數(shù)模型(Basic Parameter Model,BP)、多希臘字母模型(Multiple Greek Letter Model,MGL)。無(wú)論是復(fù)雜的多參數(shù)模型,還是較為簡(jiǎn)單的單參數(shù)模型都面臨著一個(gè)問(wèn)題,就是關(guān)于參數(shù)的設(shè)定。在上述共因故障的計(jì)算模型中許多參數(shù)只能依靠專家經(jīng)驗(yàn)或者是半經(jīng)驗(yàn)公式得出,若采用無(wú)統(tǒng)一認(rèn)可的參數(shù)確認(rèn)方法,則關(guān)于共因故障的計(jì)算結(jié)果也是存疑的。相比于多參數(shù)模型、單參數(shù)模型有著參數(shù)簡(jiǎn)單、表達(dá)直觀的優(yōu)勢(shì),而其中β因子的確定即可通過(guò)其基本概念及設(shè)定進(jìn)行推導(dǎo)得出,也可以借由IEC61508標(biāo)準(zhǔn)中所給的經(jīng)驗(yàn)公式得出。因此,β因子法被廣泛的應(yīng)用在實(shí)際的工程中。本文也將采用β因子法對(duì)共因故障開(kāi)展定量分析。

2 2oo4架構(gòu)安全級(jí)DCS緊急停堆系統(tǒng)

四取二的安全級(jí)DCS緊急停堆系統(tǒng)的架構(gòu)圖如圖1所示,一共有四個(gè)保護(hù)通道,每個(gè)通道設(shè)立兩個(gè)子組。現(xiàn)場(chǎng)設(shè)備和傳感器的信號(hào)經(jīng)過(guò)采集和預(yù)處理,轉(zhuǎn)換成標(biāo)準(zhǔn)的工業(yè)信號(hào)調(diào)理分配后進(jìn)入四個(gè)通道進(jìn)行邏輯運(yùn)算和處理,系統(tǒng)的邏輯表決器處理后輸出至停堆斷路器進(jìn)行2oo4邏輯表決輸出[5]。

圖1 2oo4停堆系統(tǒng)架構(gòu)Fig.1 2 out of 4 trip logic system architecture

3 β因子推導(dǎo)

3.1 模型假設(shè)

為了使模型建立更加簡(jiǎn)明以及合理,避免不必要的重復(fù)計(jì)算,若考慮的系統(tǒng)由M個(gè)相同的元件組成,本文采用如下假設(shè):

(1)系統(tǒng)中的每個(gè)原則在未發(fā)生共因故障的情況下,其壽命服從指數(shù)分布,且互相獨(dú)立。

(2)系統(tǒng)受到同一原因的影響而使得N個(gè)原件同時(shí)失效的事件記為EN,則E1,E2,…,EN發(fā)生的共因沖擊之間相互獨(dú)立,且與獨(dú)立失效間也獨(dú)立。

(3)系統(tǒng)作為可維修系統(tǒng),可診斷故障與誤動(dòng)故障可被立即發(fā)現(xiàn),并維修。

3.2 β因子推導(dǎo)

下述共給出了兩種β因子的評(píng)估方法,其一根據(jù)基本模型假設(shè)通過(guò)數(shù)理關(guān)系估算推導(dǎo),其二為根據(jù)IEC標(biāo)準(zhǔn)所給出半經(jīng)驗(yàn)公式的β因子評(píng)估方法。

3.2.1 使用公式來(lái)估算β

以β因子為代表的單參數(shù)模型以及多參數(shù)模型包括多希臘字母模型(MGL)、二項(xiàng)失效率模型(BFR)等,這些基本模型都是基于一般性的Poisson模型推導(dǎo),根據(jù)上節(jié)假設(shè),易得β因子模型的參數(shù)估計(jì)為:

假設(shè)整個(gè)系統(tǒng)的總運(yùn)行時(shí)間為T(mén),且在時(shí)間T內(nèi),N個(gè)元件同時(shí)失效的次數(shù)為M N,λN為N個(gè)元件同時(shí)失效的失效率,則M N服從于參數(shù)為的Poisson分布,即

則在一般性Poisson模型假設(shè)下,β因子法參數(shù)的MLE估計(jì)為:

3.2.2 使用表來(lái)估算β

IEC 61508-6中給出了β因子查表估算法,β因子的評(píng)分判斷表將每種措施的總貢獻(xiàn)分為X,Y兩類,其中X為診斷測(cè)試能夠增加防止共因故障的特性,Y為診斷測(cè)試不能增加防止共因故障的特性。每種措施的X∶Y比值,表示了診斷測(cè)試能提高該措施對(duì)抗共因故障的作用程度。首先,應(yīng)確定系統(tǒng)使用哪些措施,并把每個(gè)邏輯子系統(tǒng)列的XLS、YLS列中所示的值相加,它們的總和即為X,Y的值。其中S值可以通過(guò)下列公式進(jìn)行計(jì)算:

S=X+Y可以得到β的值;

SD=X（Z+1）+Y可以得到βD的值。

這里的S與SD可用來(lái)確定相應(yīng)β系數(shù)值得得分。表1給出β因子表的部分節(jié)選,詳情可參考標(biāo)準(zhǔn)。

表1 β因子評(píng)估表(節(jié)選)Table 1 βfactor assessment form (omitted)

4 系統(tǒng)失效概率計(jì)算公式推導(dǎo)

首先,要定量計(jì)算共因故障失效率就必須得承認(rèn)一個(gè)前提,總故障率將分為由共因故障引起的失效以及獨(dú)立失效,如圖2所示。

在概率安全評(píng)估計(jì)算期間根據(jù)上述章節(jié)給出的β因子相關(guān)評(píng)估方式,針對(duì)實(shí)際情況,若簡(jiǎn)單的將故障模式分類為可診斷故障和不可診斷故障時(shí),對(duì)其可維修系統(tǒng)的平均修復(fù)時(shí)間的計(jì)算就會(huì)使得與實(shí)際誤差較大、結(jié)果偏離現(xiàn)實(shí)。所以在這里將不可診斷故障詳細(xì)分類成拒動(dòng)和誤動(dòng)。并且做出假設(shè)發(fā)生不可診斷故障時(shí)既有可能是拒動(dòng),也有可能是誤動(dòng),二者為獨(dú)立且互斥事件。

圖2 系統(tǒng)失效頂層故障樹(shù)Fig.2 System failure top-level fault tree

對(duì)于整體而言其失效率可以表示成:

式中:λD——可被檢測(cè)到的故障失效率;

λU——不可被檢測(cè)到的故障失效率;

βD——可被檢測(cè)的共因故障失效系數(shù);

β——不能被檢測(cè)到的共因故障失效系數(shù)。

4.1 單通道失效模型構(gòu)建

若要研究冗余表決結(jié)構(gòu)的共因故障的定量計(jì)算,需對(duì)單通道失效模型做出相應(yīng)的假設(shè)和推導(dǎo)。這種結(jié)構(gòu)僅包括一條通道,任意模式的失效都會(huì)導(dǎo)致其功能不可用。

通過(guò)圖3的設(shè)定,該通道的失效模型可以認(rèn)為是由兩大部分組成,其中一個(gè)是可被檢測(cè)到的故障失效,另一部分為不可被檢測(cè)到的故障失效。其中,不可被檢測(cè)到的故障失效率又可以進(jìn)一步細(xì)分為拒動(dòng)失效率λUR,以及誤動(dòng)失效率λUM。為了使計(jì)算方便,設(shè)定tCE為某一通道的等效平均停止時(shí)間,MTTR為平均恢復(fù)時(shí)間,T1為檢測(cè)時(shí)間間隔。

圖3 單通道失效模型Fig.3 Single channel failure model

總的失效率可以理解為二者之和:

其中,根據(jù)之前的假定,不可診斷故障可能導(dǎo)致拒動(dòng)、誤動(dòng)兩種結(jié)果,可將其表達(dá)為:

而通道的等效平均停止工作時(shí)間tCE,應(yīng)等于兩個(gè)部分各自的停止工作時(shí)間相加表示可探測(cè)失效的等效平均停止時(shí)間表示不可探測(cè)失效的等效平均停止時(shí)間,它與各部分對(duì)通道失效概率的貢獻(xiàn)直接成比例,由可診斷故障、誤動(dòng)、拒動(dòng)三者對(duì)應(yīng)的失效時(shí)間與其概率的權(quán)積構(gòu)成,如下:

因此,對(duì)于單通道而言:

因?yàn)槠洇藅CE?1,則整體的平均失效概率PFDG為:

4.2 三取二邏輯計(jì)算推導(dǎo)

通過(guò)上述單一通道的失效模型的推導(dǎo),將其應(yīng)用推廣至最為常用的2oo3邏輯類型,可對(duì)邏輯表決架構(gòu)做出如圖4設(shè)定。

圖4 2oo3失效模型Fig.4 2 out of 3 failure model

其中,單一通道的等效平均停止時(shí)間tCE同上述:

整個(gè)表決環(huán)節(jié)的等效平均停止時(shí)間對(duì)于三個(gè)通道整體表決環(huán)節(jié)而言,當(dāng)發(fā)生拒動(dòng)時(shí),其等效平均停止時(shí)間應(yīng)存在不同的時(shí)間系數(shù),三個(gè)通道中有兩個(gè)通道在指定時(shí)間內(nèi)發(fā)生拒動(dòng),該表決環(huán)節(jié)失效。為求解該系數(shù),設(shè)定一個(gè)隨機(jī)數(shù)方程:

則有其整個(gè)表決環(huán)節(jié)的等效平均失效時(shí)間為:

對(duì)于整個(gè)2oo3環(huán)節(jié)來(lái)說(shuō),可以將其失效概率分為由共因故障引起的失效和非共因故障所引起的失效。其中非共因故障引起的失效可以理解為三個(gè)通道中有一個(gè)通道在發(fā)生非共因失效故障期間疊加另一通道非共因失效故障所導(dǎo)致的整個(gè)表決邏輯失效:

則整體的平均失效概率PFDG為:

4.3 四取二邏輯計(jì)算推導(dǎo)

四取二邏輯作為反應(yīng)堆保護(hù)系統(tǒng)中RTS的主要邏輯類型,如圖5所示。

此結(jié)構(gòu)由4個(gè)并聯(lián)通道構(gòu)成,其輸出信號(hào)取決于其中至少兩個(gè)通道的表決結(jié)果。這里假設(shè)故障診斷可改變輸出狀態(tài),例如發(fā)生可診斷故障時(shí)該通道輸出故障安全值。由此分析其表決的失效模式應(yīng)為:至少三個(gè)通道發(fā)生可診斷故障、至少三個(gè)通道發(fā)生拒動(dòng)、至少兩個(gè)通道發(fā)生誤動(dòng)。

圖5 2oo4失效模型Fig.5 2 out of 4 failure model

單通道的平均停止時(shí)間同上,整個(gè)環(huán)節(jié)的平均停止時(shí)間的系數(shù)求解亦同樣可設(shè)定一個(gè)隨機(jī)數(shù)方程:

整體的平均失效概率PFDG為:

5 實(shí)例分析

參考實(shí)際某工程單一通道失效率指標(biāo)如表2所示,其中MTTR=4 h,T1=18 m,β=1%。

表2 單一通道失效數(shù)據(jù)Table 2 Single channel failure data

根據(jù)上述2oo4計(jì)算公式的推導(dǎo),則有整體的平均失效概率PFDG為:

經(jīng)過(guò)計(jì)算則有包含共因故障的RTS總體硬件失效率為:

通過(guò)上述實(shí)際工程項(xiàng)目的應(yīng)用可以看出,該共因故障模型應(yīng)用簡(jiǎn)單,利于推廣,針對(duì)不同核電DCS項(xiàng)目只需根據(jù)相應(yīng)冗余通道整理出相關(guān)失效數(shù)據(jù)即可得到總體硬件失效率。

6 總結(jié)

本文闡述了一種共因故障定量分析評(píng)估的方法,選取安全級(jí)DCS緊急停堆系統(tǒng)作為分析對(duì)象,使用可靠性框圖分析方法(BRD)來(lái)對(duì)分析對(duì)象建立分析模型,實(shí)際上可靠性框圖法與故障樹(shù)分析法有多相似之處,二者本可互相轉(zhuǎn)換。根據(jù)建立的可靠性框圖模型推導(dǎo)出了相應(yīng)的數(shù)學(xué)模型,最后通過(guò)實(shí)際項(xiàng)目數(shù)據(jù)對(duì)模型進(jìn)行計(jì)算,驗(yàn)證了該方法以及模型的可行性,可為核電安全級(jí)DCS可靠性分析提供參考。

可靠性框圖相比廣泛應(yīng)用的馬爾科夫模型有著便于理解[6],模型簡(jiǎn)單,易于維護(hù)的優(yōu)點(diǎn),并且不會(huì)像馬爾科夫模型那樣出現(xiàn)組合爆炸的問(wèn)題,更加適用于實(shí)際。通過(guò)計(jì)算結(jié)果可知,其β因子越小則共因故障影響則越小,要有效的控制共因失效,除了避免采用2oo3/3oo4/4oo5的邏輯架構(gòu)以外,還應(yīng)該在設(shè)計(jì)階段盡量滿足IEC61508-6中的附表要求,例如部件、設(shè)備都經(jīng)過(guò)適當(dāng)?shù)慕殿~,系統(tǒng)有高診斷覆蓋率等。