陳銀萍，田 苗

（中國(guó)核電工程有限公司，北京 100840）

0 引言

PMS是核電廠重要的安全級(jí)儀控系統(tǒng)，對(duì)確保核電廠安全、可靠的運(yùn)行起著至關(guān)重要的作用。專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)（ESFAS）是PMS重要子系統(tǒng)之一，為了減少由于PMS設(shè)備故障導(dǎo)致的ESF誤觸發(fā)從而影響電廠的經(jīng)濟(jì)性，或是由于PMS設(shè)備故障導(dǎo)致ESF功能無(wú)法正確驅(qū)動(dòng)從而導(dǎo)致的電廠安全性降低，需對(duì)PMS的可靠性進(jìn)行分析，找到系統(tǒng)中可能存在的薄弱環(huán)節(jié)，采取有效的預(yù)防措施，以減少由于PMS設(shè)備故障影響電廠經(jīng)濟(jì)性降低事件的發(fā)生。本文采用了馬爾可夫方法對(duì)ESF功能可用性進(jìn)行分析，查找薄弱環(huán)節(jié)并給出提高PMS專設(shè)驅(qū)動(dòng)功能可靠性的建議，力求能夠使電廠更安全、可靠、經(jīng)濟(jì)地運(yùn)行。同時(shí)對(duì)于采用數(shù)字化控制的三代核電，需對(duì)保護(hù)系統(tǒng)的可靠性和可用性計(jì)算，該分析方法也為其進(jìn)行可靠性計(jì)算提供一種思路。

1 可靠性分析方法

1.1 馬爾可夫（Markov）模型

馬爾可夫模型是用一組概率Aij來(lái)定義的，其中Aij表示系統(tǒng)從狀態(tài)i轉(zhuǎn)移到狀態(tài)j的概率，其在可靠性研究中有著廣泛應(yīng)用。

考慮PMS單個(gè)設(shè)備只有“正常”或“故障”兩種狀態(tài)，分別記為狀態(tài)“0”和狀態(tài)“1”，且每個(gè)設(shè)備的故障率為λ，修復(fù)率為μ，則Markov狀態(tài)轉(zhuǎn)移概率：A00=1-λ△t；A01=λ△t； A10=μ△t；A11=1-μ△t。

根據(jù)Markov相關(guān)理論，每個(gè)設(shè)備的穩(wěn)態(tài)可用性為[1,2]：

其中設(shè)備故障率：

設(shè)備修復(fù)率：

1）當(dāng)設(shè)備故障能通過(guò)診斷立即探測(cè)到時(shí)，MTTR=設(shè)備更換時(shí)間。

2）當(dāng)設(shè)備故障不能完全通過(guò)診斷監(jiān)測(cè)到時(shí)，假設(shè)可立即探測(cè)到故障的概率為Pd，則不能通過(guò)立即診斷探測(cè)到的故障概率為（1-Pd），診斷出故障所需的平均時(shí)間為Ts/2，則：MTTR=（1－Pd）×Ts/2＋設(shè)備更換時(shí)間。

1.2 可用性計(jì)算方法

由于設(shè)備的可用性(A)與不可用性(U)互為補(bǔ)集，則該設(shè)備的不可用性可表示為[2]：

PMS是由多個(gè)設(shè)備組合共同完成EFS功能，則系統(tǒng)的可用性為：

對(duì)于由N個(gè)設(shè)備并聯(lián)組成的系統(tǒng)，其中任何一個(gè)設(shè)備都能完成某一功能，則并聯(lián)組合的可用性表示為：

系統(tǒng)的可用性(Asys）與該系統(tǒng)的不可用性(Usys)互為補(bǔ)集，則該系統(tǒng)的不可用性可表示為：

2 ESF驅(qū)動(dòng)功能可靠性分析

2.1 ESF驅(qū)動(dòng)功能路徑框圖的建立

保護(hù)和安全監(jiān)測(cè)系統(tǒng)由4個(gè)冗余通道A、B、C、D組成，序列內(nèi)部存在兩個(gè)子通道的冗余。4個(gè)冗余序列使用4套獨(dú)立的傳感器，傳感器將現(xiàn)場(chǎng)重要過(guò)程參數(shù)送至本通道的兩個(gè)雙穩(wěn)態(tài)邏輯處理器（BPL）與設(shè)定值進(jìn)行比較。當(dāng)過(guò)程參數(shù)超過(guò)ESF驅(qū)動(dòng)設(shè)定值時(shí)，產(chǎn)生部分觸發(fā)信號(hào)，并將信號(hào)送至本通道的局部符合邏輯處理器（LCL），通過(guò)HSL送至其他通道。在LCL中，對(duì)每個(gè)通道送來(lái)的兩個(gè)BPL信號(hào)執(zhí)行“1/2”邏輯并產(chǎn)生一個(gè)專設(shè)觸發(fā)信號(hào)，當(dāng)4通道滿足“2/4”邏輯時(shí)，產(chǎn)生系統(tǒng)級(jí)驅(qū)動(dòng)信號(hào)并送往集成邏輯處理器（ILP）。在ILP中，對(duì)LCL送來(lái)的信號(hào)執(zhí)行“2/2”邏輯，并將驅(qū)動(dòng)信號(hào)通過(guò)SRNC送至CIM，在CIM中對(duì)本通道兩個(gè)ILP送來(lái)的信號(hào)執(zhí)行“2/2”后驅(qū)動(dòng)現(xiàn)場(chǎng)設(shè)備[3]。據(jù)此，PMS專設(shè)安全設(shè)施驅(qū)動(dòng)功能的路徑框圖如圖1所示，其中A序列有3個(gè)ILC機(jī)柜（ILP所在機(jī)柜），B序列有4個(gè)ILC機(jī)柜（ILP所在機(jī)柜），C序列有2個(gè)ILC機(jī)柜（ILP所在機(jī)柜），D序列有4個(gè)ILC機(jī)柜（ILP所在機(jī)柜），圖1中每個(gè)序列僅畫出一個(gè)ILC機(jī)柜的布置。

圖1 PMS專設(shè)安全設(shè)施驅(qū)動(dòng)功能的路徑框圖Fig.1 The path block diagram of the drive function of the dedicated safety facility of the PMS

2.2 ESF驅(qū)動(dòng)功能可靠性計(jì)算與分析

2.2.1 ESF可用性計(jì)算與分析

在計(jì)算每個(gè)ESF驅(qū)動(dòng)功能可用性時(shí)，采用設(shè)計(jì)文件中提供的每個(gè)設(shè)備的平均無(wú)故障時(shí)間（MTBF），并根據(jù)式（1）～式（3）計(jì)算出每個(gè)模塊的可用性。機(jī)柜供電可用性計(jì)算：包括1塊線路濾波器、2塊冗余的電源模塊，根據(jù)式（5）、式（6）計(jì) 算 可 得：APOWER=0.999998853。BPL可用性計(jì)算，根據(jù)其結(jié)構(gòu)及式（5）計(jì)算可得其可靠性為：ABPL=0.984748871。

傳感器、電源、BPL、FOM總的可用性計(jì)算，根據(jù)式（5）可 得：A傳感器+電源+BPL+FOM=0.983956496。據(jù) 此，4取2邏輯后的可用性為：2取1邏輯（A1/2BPL）可用性為0.999742606，4取2邏輯（A2/4BPL）可用性為1。

LCL可用性計(jì)算，根據(jù)LCL結(jié)構(gòu)圖及式（5）計(jì)算可得其可靠性為：ALCL= 0.996858371。

LCL、FOM總的可用性計(jì)算，根據(jù)式（5）可得：ALCL+FOM= 0.996852539。據(jù)此，2取2邏輯后的可用性為：A2/2LCL= 0.999990093。

ILP可用性計(jì)算，ILP包含通信模塊CI631、處理器模塊PM646，根據(jù)式（5）可得：AILP= 0.998403202。

每個(gè)ILC機(jī)柜中的兩個(gè)BPL將信號(hào)分別通過(guò)SRNC送至CIM，并在CIM中執(zhí)行2取2邏輯后觸發(fā)專設(shè)驅(qū)動(dòng)信號(hào)。若其中一個(gè)ILP信號(hào)失效，則在CIM中執(zhí)行1取1邏輯。根據(jù)此邏輯和式（5）、式（6），可計(jì)算得：A2/2(ILP+SRNC)= 0.999997433。ILC機(jī)柜的電源可用性為：APOWER=0.999998853。

對(duì)大多數(shù)ESF功能，從工藝角度設(shè)置了不同程度的冗余，即冗余的現(xiàn)場(chǎng)設(shè)備由不同CIM分別控制，只要成功觸發(fā)一個(gè)設(shè)備，即可完成相應(yīng)ESF功能。如：主泵跳閘，每個(gè)主泵(RCS-MP-01A/01B/02A/02B)由兩個(gè)斷路器串聯(lián)控制，其中任意一個(gè)斷路器斷開就可實(shí)現(xiàn)此主泵跳閘功能。兩個(gè)斷路器分別由位于ILCC01、ILCB01的兩個(gè)不同的CIM控制。根據(jù)工藝設(shè)備的不同冗余程度，ESF功能的可用性見表1。本文采用的方法更為精確地計(jì)算了ESF功能的可用性，但計(jì)算結(jié)果較設(shè)計(jì)文件計(jì)算而言，保守性相對(duì)差些。由表1可知，ESF的可用性可以達(dá)到10-6。

表1 ESF功能不同冗余程度可靠性Table 1 Reliability of ESF functions with different degrees of redundancy

2.2.2 關(guān)鍵敏感設(shè)備（SPV）設(shè)備分析

PMS通過(guò)設(shè)備接口模塊（CIM）實(shí)現(xiàn)現(xiàn)場(chǎng)設(shè)備的控制。當(dāng)CIM所在機(jī)柜失電或CIM故障，都將導(dǎo)致CIM輸出失電，這將導(dǎo)致正常處于得電狀態(tài)的電磁閥失電并使主閥門趨于安全狀態(tài)，其中9個(gè)CIM控制的設(shè)備將導(dǎo)致反應(yīng)堆停堆，見表2CIM輸出失電將導(dǎo)致停堆的情況。

表2 CIM輸出失電將導(dǎo)致停堆的情況Table 2 Situations in which the loss of power to the CIM output will result in a shutdown

由 上 述 分 析 可 知，7個(gè)ILC機(jī) 柜（ILCA01、ILCA02、ILCB01、ILCC01、ILCD01、ILCD02、ILCD04）中任一機(jī)柜的線性濾波器(ILF)、超壓保護(hù)裝置(OVP)，或上述9個(gè)CIM模塊故障會(huì)導(dǎo)致反應(yīng)堆停堆，即關(guān)鍵敏感設(shè)備（SPV），共23個(gè)“薄弱點(diǎn)”。注意，雖然控制上述9個(gè)設(shè)備的CIM故障會(huì)導(dǎo)致設(shè)備動(dòng)作，但其動(dòng)作的結(jié)果是停堆，是趨于安全狀態(tài)的，但是會(huì)對(duì)電廠經(jīng)濟(jì)性產(chǎn)生影響。

以PRHR HX流量控制閥（PXS-PL-V108A /V108B）的控制為例，兩個(gè)閥門并聯(lián)，其中任一閥門開啟即可使非能動(dòng)余熱導(dǎo)出子系統(tǒng)投運(yùn)，即：工藝冗余度為2。若控制閥門PXS-PL-V108A /V108B的任一CIM故障輸出OFF，或CIM所在機(jī)柜失電，將導(dǎo)致閥門失效開啟，趨于安全狀態(tài)。而任一閥門開啟信號(hào)將直接觸發(fā)反應(yīng)堆停堆。根據(jù)上述 分 析，即 使1個(gè)CIM故 障，有：λ(CIM)= 2.06×10-6事件/小時(shí)=0.018事件/年>0.002事件/年。共9個(gè)CIM失效導(dǎo)致停堆，因此故障率為：λ9(CIM)= 9×2.06×10-6事件/小時(shí)=0.16事件/年。

表3 CIM失效對(duì)設(shè)備狀態(tài)影響Table 3 Influence of CIM failure on equipment status

3 提高PMS可靠性建議

由上節(jié)分析可知，PMS設(shè)備的可靠性，特別是CIM、ILF、OVP模塊的可靠性，直接影響著專設(shè)安全設(shè)施觸發(fā)功能的可靠性和電廠的經(jīng)濟(jì)性，必須給予足夠的重視。對(duì)此，從下面幾方面給出建議：

1）建立全廠PMS設(shè)備可靠性數(shù)據(jù)庫(kù)

首先，要求設(shè)計(jì)方提供固化的、準(zhǔn)確全面的PMS設(shè)備的平均無(wú)故障時(shí)間（MTBF）。其次，建議生產(chǎn)部門據(jù)此建立全場(chǎng)PMS設(shè)備可靠性數(shù)據(jù)庫(kù)，記錄每個(gè)設(shè)備的生產(chǎn)日期、設(shè)備故障數(shù)量、原因及時(shí)間等配置信息，作為后續(xù)模塊老化、降級(jí)更換及趨勢(shì)分析的依據(jù)。此外，隨著電廠的運(yùn)行，建議根據(jù)本廠PMS設(shè)備的實(shí)際故障情況更新數(shù)據(jù)庫(kù)中各模塊故障率，建立更適用于電廠設(shè)備可靠性的數(shù)據(jù)。

2）定期刷新FPGA

由于CIM模塊基于FPGA實(shí)現(xiàn)其控制功能，但FPGA的性能有效期為20年，且與CIM模塊是否運(yùn)行無(wú)關(guān)，即：現(xiàn)場(chǎng)機(jī)柜中安裝的CIM、倉(cāng)庫(kù)中未使用的CIM備件的FPGA有效期都為20年。因此，需在可靠性數(shù)據(jù)中特別記錄CIM模塊最后一次刷新日期，以便定期刷新和測(cè)試，防止由于FPGA未及時(shí)刷新而導(dǎo)致的模塊性能下降。此外，建議與設(shè)計(jì)方明確一塊CIM刷新測(cè)試所需時(shí)間，以便電廠合理安排238塊CIM模塊的刷新時(shí)間。

3）關(guān)注CIM模塊的更換，避免設(shè)備狀態(tài)誤改變

CIM為PMS和1E級(jí)現(xiàn)場(chǎng)設(shè)備間提供控制接口，其控制的設(shè)備類型包括：AOV（氣動(dòng)閥）、MOV（電動(dòng)閥）、CB（斷路器）、Squib（爆破閥）、PHV（氣/液聯(lián)動(dòng)閥）、SOV（電磁閥）。其中，AOV、SOV、PHV、CB由IDS為其提供250VDC，CIM只是串聯(lián)在其中充當(dāng)開關(guān)作用。當(dāng)CIM輸出K1（K2）=1時(shí)，AOV先導(dǎo)電磁閥得電，氣源為氣動(dòng)閥供氣。當(dāng)CIM輸出為0時(shí)，AOV失氣，閥門趨于安全狀態(tài)。經(jīng)統(tǒng)計(jì)，約42個(gè)AOV和SOV通常為得電狀態(tài)（即：失電驅(qū)動(dòng)），控制這些負(fù)載的CIM分布在不同ILC機(jī)柜中。當(dāng)CIM模塊故障時(shí)，為避免CIM模塊更換過(guò)程中導(dǎo)致的設(shè)備狀態(tài)改變，可將其K1或K2端子用跳線短接。但要特別注意，在CIM更換后務(wù)必將短接線移除，避免專設(shè)安全功能不可用的情況發(fā)生。

4）其他注意事項(xiàng)

第一，生產(chǎn)期間需時(shí)刻關(guān)注PMS設(shè)備的運(yùn)行狀態(tài)，特別是CIM、ILF、OVP模塊，并根據(jù)數(shù)據(jù)庫(kù)信息定期更換老化模塊；第二，生產(chǎn)技術(shù)部門需密切關(guān)注設(shè)備停產(chǎn)狀態(tài)，尋找可替代產(chǎn)品。設(shè)備升級(jí)或技術(shù)改造后，對(duì)PMS可靠性重新計(jì)算，保證不造成系統(tǒng)可靠性的降級(jí)；第三，與同行電廠保持良好的合作關(guān)系，隨時(shí)關(guān)注同行電廠保護(hù)系統(tǒng)中經(jīng)驗(yàn)反饋，學(xué)習(xí)其良好運(yùn)行實(shí)踐；第四，建議運(yùn)行人員根據(jù)本文分析結(jié)果檢查運(yùn)行規(guī)程是否已針對(duì)上述問(wèn)題制定了完善詳細(xì)的響應(yīng)流程及應(yīng)急預(yù)案，確保發(fā)生本文分析的狀況時(shí)保持電廠的安全性。

4 結(jié)語(yǔ)

本文采用了一種新方法（Markov方法）對(duì)保護(hù)與安全監(jiān)控系統(tǒng)專設(shè)驅(qū)動(dòng)功能的可靠性進(jìn)行分析，為后續(xù)設(shè)計(jì)改造PMS可靠性的評(píng)估提供了一種新思路，也為采用全數(shù)字化儀控系統(tǒng)的三代核電提供一種可靠性分析思路，如華龍后續(xù)機(jī)組的可靠性分析也可根據(jù)本文方法進(jìn)行計(jì)算分析。通過(guò)分析，查找薄弱環(huán)節(jié)，并通過(guò)改造和日常運(yùn)維以提高機(jī)組的可靠性和經(jīng)濟(jì)性。此外，本文給出了一系列生產(chǎn)維護(hù)方面的建議，望對(duì)提高PMS的可靠性給予支持。