曹枭虓，熊华胜，郭 超，张皓景，李 铎，黄晓津

(清华大学核能与新能源技术研究院，先进核能技术协同创新中心，先进反应堆工程与安全教育部重点实验室，北京 100084)

0 引言

传统的反应堆保护系统(reactor protiction system,RPS)可靠性分析方法主要是故障树和马尔科夫方法[1]。故障树[2-4]是一种静态的方法，难以描述定期试验和维修等动态过程。马尔科夫方法[5-7]是动态的方法，一般适用于指数分布的过程；而反应堆保护系统的失效和维修过程并不都服从指数分布。因此，在传统方法的基础上，建立更符合工程实际的反应堆保护系统动态可靠性模型，具有工程意义和学术价值。本文基于Petri网，建立了反应堆保护系统动态可靠性模型。模型考虑了在确定周期开展定期试验，以及定期试验只维修故障通道(否则通道依然如旧运行)的情况，更准确地量化了定期试验对系统可靠性的影响。在假设保护通道失效过程服从不同分布的情况下，进行了可靠性分析，得到了系统的瞬时可靠性结果。

1 HTR-PM反应堆保护系统Petri网模型

1.1 HTR-PM反应堆保护系统简介

10 MW高温气冷堆保护系统是我国第一个自主设计并投入实际使用的数字化反应堆保护系统[8]。位于山东石岛湾的200 MW球床模块式高温气冷堆(high-temperature gas-cooled reactor-pebble bed module，HTR-PM)核电站示范工程同样采用了数字化反应堆保护系统。该保护系统由清华大学核能与新能源技术研究院设计，具有完全自主知识产权。HTR-PM反应堆保护系统由四个冗余通道组成。每个通道的主要包括：传感器/变送器、信号隔离装置、信号处理装置、逻辑符合装置、通道监测装置、旁通逻辑装置[9]。A、B、C、D四个通道分别输出独立的紧急停堆触发信号和专设触发信号；信号经过四取二后，触发反应堆紧急停堆和相应的专设安全设施动作。HTR-PM反应堆保护系统结构框图如图1所示。

图1 HTR-PM反应堆保护系统结构框图

1.2 反应堆保护系统可靠性建模适用方法分析

传统反应堆保护系统可靠性模型特点如表1所示。

表1 传统反应堆保护系统可靠性模型特点

表1中，故障树等静态方法不能进行动态分析，难以反映定期试验等检测和维修活动对系统可靠性的影响。每棵故障树只能描述一个顶事件，只要顶事件变化就必须重新建模。马尔科夫模型所描述的过程一般需严格服从指数分布，所以一般都将维修或者定期试验假设为服从指数分布的事件。其实，定期试验具有周期性，一般在确定时间开展，马尔科夫模型的假设与实际情况存在差异。此外，多数利用传统方法建立的模型都假设反应堆保护系统的各通道经过定期试验后，通道修复如新。事实上，定期试验一般只是检测系统状态，并不是每次定期试验都对通道进行维修。因此，考虑定期试验只对故障通道进行维修，否则该通道如旧运行也有实际意义。由此可见，传统的可靠性模型在描述反应堆保护系统的失效、检测和维修过程方面存在局限，有必要建立更符合工程实践过程的模型。

Petri网是一种图形和数学相结合的建模工具。作为一种图形建模工具，Petri网能可视化地描述系统模型；同时也可以通过代数方程等数学方法对系统建模[10-11]。目前，Petri网被广泛地用于动态可靠性建模。基于Petri网的可靠性模型可以广泛地描述服从各种分布的事件，也能对在确定时间发生的确定事件进行建模[12]。模型的规模随着所描述组件数量的增长呈线性增长，较马尔科夫模型的指数增长具备一定优势。此外，利用Petri网得到的结果是系统的瞬时可靠性，便于寻找和分析薄弱环节。

相较于传统方法，采用Petri网作为分析反应堆保护系统可靠性的工具具有以下优点：①能描述系统的动态转移过程，评估检测和维修等活动系统可靠性影响；②能广泛适用于各种类型的分布，例如失效过程服从非指数分布的情况；③能准确描述定期试验是在确定周期开展的确定的检测活动。综上所述，本文选择Petri网作为分析反应堆保护系统可靠性的建模工具。

1.3 单通道Petri网模型

定期试验在反应堆保护系统的四个通道中轮流进行，以通道为单位开展检测，所以选择以通道为最小单位进行建模。反应堆保护系统的失效分为误动和拒动两种情况。误动将产生非预期的停堆信号，导致反应堆误停堆，一般不影响安全；拒动是指在需要触发反应堆停堆时，反应堆保护系统拒绝动作，这是反应堆保护系统最坏的情况。本文只考虑拒动的情况。为便于构建和说明模型，需要先作以下说明和假设。

①以通道为单位进行建模，将通道视为整体。每个通道考虑两种状态：正常状态和故障状态。

②系统失效考虑的是拒动的情况，即四个通道中三个及其以上的通道故障时，整个反应堆保护系统失效；若其中一个或两个通道失效时，系统将降级运行；通道的故障状态能且只能被定期试验发现。

③检测都通过定期试验实施，维修活动都采用替换。定期试验时，只对故障通道进行维修，否则该通道依然如旧运行。为简单起见，忽略通道进行维修和定期试验所需花费的时间。

④对于一套反应堆保护系统，每次只允许一个通道被检测或者维修。

⑤模型中将维修人员和定期试验装置作为维修资源引入模型中，通道进行定期试验或维修的前提是维修条件允许，即维修资源可用。

反应堆保护系统单通道Petri网模型如图2所示。通道将在以下两个状态之间转换：正常状态“P1ANorm”和故障状态“P1AFault”。正常状态下，当该通道的随机寿命截止，即变迁“T1ALife”触发后，系统向故障状态转移的变迁“T1ANormToFult”会立即触发，系统进入故障状态。当变迁“T1ATestIntvl”延时确定的定期试验时间间隔后被触发，代表该通道即将进入定期试验。在这种情况下，若系统处于正常状态，且维修条件允许，那么变迁“T1ATest”被触发，表示通道进行定期试验，不影响通道的寿命，通道如旧运行；若系统处于故障状态，且维修条件允许，则变迁“T1ARewl”被触发，表示通道故障在定期试验中被发现。该通道随后被维修。

图2 反应堆保护系统单通道Petri网模型示意图

1.4 系统级Petri网模型

反应堆保护系统Petri网模型示意图如图3所示。

图3 反应堆保护系统Petri网模型示意图

图3中，A、B、C、D四个通道被视为四个独立的整体，每个通道内部的结构与图2中的模型一致。定期试验在四个通道中轮流进行，调整库所和变迁的相对位置，可以改变各个通道进行定期试验的顺序。维修资源“P1SharedRepRes”通过维修资源分配系统“T1RepResToChan”分配到各个通道，在通道内完成检测或维修后被回收。当反应堆保护系统有三个以上通道失效时，系统不能完成逻辑表决，系统由正常状态“P1Up”转变为失效状态“P1Down”。当故障的通道被维修后，若系统能正常执行逻辑表决功能，则失效状态恢复为正常状态。

2 模型仿真分析

2.1 反应堆保护系统Petri网模型仿真验证

假设各通道的寿命独立同分布，其累积分布函数为F(t)，Δt表示相邻两通道定期试验时间间隔，那么保护系统在t时刻的拒动概率U(t)需要分阶段进行讨论。计算第一次定期试验和第二次定期试验之间(Δt3)区间的拒动概率将与(3Δt+τ)

F(t)=1-e-λtt>0

(1)

式中：λ为通道的故障率。

模型仿真验证参数如表2所示。

表2 模型仿真验证参数

采用表2中的参数，进行理论计算和仿真求解，得到的模型理论值和仿真值对比如图4所示。

图4 模型理论值和仿真值对比

图4显示的对比结果表明，利用Petri网建立的反应堆保护系统模型的仿真结果与理论值能基本一致，所建立的Petri网适用于反应堆保护系统的可靠性评估。需要说明的是，本节旨在验证模型的准确性，所以采用高故障率计算，以便通过有限次计算达到理想的精度。因此，本节采用的计算参数不代表反应堆保护系统的实际参数。

2.2 反应堆保护系统Petri网模型仿真对比

2.1节充分利用指数分布无记忆的特点，验证了模型的准确性和适用性。下面将考虑在更普遍的条件下运用反应堆保护系统Petri网模型。

很多模型都假设反应堆保护系统各通道经过定期试验后，通道修复如新。为方便表述，将这种模型命名为Model 1。实际上，定期试验一般只是检测系统状态，并不是每次定期试验都对通道进行维修或替换。这种假设与实际情况可能存在差异。根据实际情况，所建模型(Model 2)采用了定期试验只对故障通道进行维修，否则该通道依然如旧运行的假设。通过如图5所示的Model 1和Model 2仿真结果对比，可以量化地分析两者的可靠性结果的差异。同时，为了说明建立的Petri网模型适用于各种类型的分布，后面的仿真均假设各通道失效过程服从威布尔分布，则其累积分布函数为：

F(t)=1-e-(t/λ)k

(2)

式中：λ为比例参数，代表特征寿命；k为形状参数。

图5 Model 1和Model 2仿真结果对比

设置λ=104、k=1.5，其他参数保持不变，通过仿真得到了Model 1和Model 2的拒动概率。当Model 1和Model 2都采用威布尔分布时，运行一定时间后，Model1 和Model 2的拒动概率均逐渐呈周期性变化；但趋于稳定时，在同一t时刻两者拒动概率的差异十分显著。因此，模型应该根据实际情况选取定期试验后通道都修复如新或者定期试验只维修故障通道，否则通道依然如旧运行的假设。不然，由此造成的计算结果的误差可能难以被忽视。

3 结束语

本文利用Petri网建立了反应堆保护系统的动态可靠性模型，并进行了仿真分析。分析结果表明，Petri网是反应堆保护系统可靠性分析的有力工具。在故障树和马尔科夫方法的基础上，Petri网能更精确地对反应堆保护系统的维修及定期试验过程进行建模。通过算例，验证了所建模型的正确性，展示了所建模型适用于各种类型的分布。最后通过对比，说明了反应堆保护系统的通道在定期试验后是否都修复如新的两种假设的差异较大，应根据实际情况合理选择假设。