林颖杰,郑伟智,刘静波,孙洪涛

(北京广利核系统工程有限公司,北京100093)

随着科学技术的高速发展,核电仪控系统已经由传统的模拟系统逐步转变为数字化的分布式控制系统(Distributed Control System,DCS),在国内外核电DCS工程中由于采用多重冗余的结构、自诊断功能设计等提高了系统的稳定性和可靠性,而共因故障的存在使得冗余设备的可靠性大幅降低。从以往的商用核电厂概率安全分析(Probabilistic Safety Assessment,PSA)评估报告中不难发现,共因故障是导致核电站冗余系统不可用的主要原因。美国压水堆风险评估报告WASH-1400中曾经提到,考虑共因故障的失效率计算结果比不考虑而独立计算的结果要大两个数量级。并且ASME RAS—2002系统分析中提到的高级别要求,系统分析应合理、全面的考虑共因失效以及系统之间和系统内的相关性。除了设置多样性系统来防止共因故障之外,如何对共因故障展开定量分析也尤为重要。因此,在实际工程中冗余设备的共因故障分析是亟待解决的重要问题[2]。

通过分析,本文采用参数简单、便于理解的β因子法,给出两种β因子法的评估模型,针对核电安全级DCS中RTS的2oo4架构进行建模,推导出其平均失效概率PFD的计算模型,最后给出了可有效降低系统共因故障的措施及方法。

1 共因失效及分析模型

共因故障(Common Cause Fault,CCF)是指两个或多个部件在同一时间或在相对很短时间间隔内由于共同原因所导致的失效[3]。而这些原因包括了系统除由于自身原因,如元器件的老化、疲劳、磨损、腐蚀等导致系统单元故障外,在使用过程中还常受到外界环境偶然因素的影响,如地震、雷击、冲撞、着火等[4]。这些破坏性很大的偶然因素的发生将导致系统中部分或全部单元同时故障。而共因故障的存在抵消了冗余系统的优点。

目前,随着研究的推进分析人员陆续提出了许多模型和方法,其中包括一些单参数模型:α因子法、β因子法;也有复杂的多参数模型:二项失效率模型(Binomial Failure Rate Model,BFR)、基本参数模型(Basic Parameter Model,BP)、多希腊字母模型(Multiple Greek Letter Model,MGL)。无论是复杂的多参数模型,还是较为简单的单参数模型都面临着一个问题,就是关于参数的设定。在上述共因故障的计算模型中许多参数只能依靠专家经验或者是半经验公式得出,若采用无统一认可的参数确认方法,则关于共因故障的计算结果也是存疑的。相比于多参数模型、单参数模型有着参数简单、表达直观的优势,而其中β因子的确定即可通过其基本概念及设定进行推导得出,也可以借由IEC61508标准中所给的经验公式得出。因此,β因子法被广泛的应用在实际的工程中。本文也将采用β因子法对共因故障开展定量分析。

2 2oo4架构安全级DCS紧急停堆系统

四取二的安全级DCS紧急停堆系统的架构图如图1所示,一共有四个保护通道,每个通道设立两个子组。现场设备和传感器的信号经过采集和预处理,转换成标准的工业信号调理分配后进入四个通道进行逻辑运算和处理,系统的逻辑表决器处理后输出至停堆断路器进行2oo4逻辑表决输出[5]。

图1 2oo4停堆系统架构Fig.1 2 out of 4 trip logic system architecture

3 β因子推导

3.1 模型假设

为了使模型建立更加简明以及合理,避免不必要的重复计算,若考虑的系统由M个相同的元件组成,本文采用如下假设:

(1)系统中的每个原则在未发生共因故障的情况下,其寿命服从指数分布,且互相独立。

(2)系统受到同一原因的影响而使得N个原件同时失效的事件记为EN,则E1,E2,…,EN发生的共因冲击之间相互独立,且与独立失效间也独立。

(3)系统作为可维修系统,可诊断故障与误动故障可被立即发现,并维修。

3.2 β因子推导

下述共给出了两种β因子的评估方法,其一根据基本模型假设通过数理关系估算推导,其二为根据IEC标准所给出半经验公式的β因子评估方法。

3.2.1 使用公式来估算β

以β因子为代表的单参数模型以及多参数模型包括多希腊字母模型(MGL)、二项失效率模型(BFR)等,这些基本模型都是基于一般性的Poisson模型推导,根据上节假设,易得β因子模型的参数估计为:

假设整个系统的总运行时间为T,且在时间T内,N个元件同时失效的次数为M N,λN为N个元件同时失效的失效率,则M N服从于参数为的Poisson分布,即

则在一般性Poisson模型假设下,β因子法参数的MLE估计为:

3.2.2 使用表来估算β

IEC 61508-6中给出了β因子查表估算法,β因子的评分判断表将每种措施的总贡献分为X,Y两类,其中X为诊断测试能够增加防止共因故障的特性,Y为诊断测试不能增加防止共因故障的特性。每种措施的X∶Y比值,表示了诊断测试能提高该措施对抗共因故障的作用程度。首先,应确定系统使用哪些措施,并把每个逻辑子系统列的XLS、YLS列中所示的值相加,它们的总和即为X,Y的值。其中S值可以通过下列公式进行计算:

S=X+Y可以得到β的值;

SD=X（Z+1）+Y可以得到βD的值。

这里的S与SD可用来确定相应β系数值得得分。表1给出β因子表的部分节选,详情可参考标准。

表1 β因子评估表(节选)Table 1 βfactor assessment form (omitted)

4 系统失效概率计算公式推导

首先,要定量计算共因故障失效率就必须得承认一个前提,总故障率将分为由共因故障引起的失效以及独立失效,如图2所示。

在概率安全评估计算期间根据上述章节给出的β因子相关评估方式,针对实际情况,若简单的将故障模式分类为可诊断故障和不可诊断故障时,对其可维修系统的平均修复时间的计算就会使得与实际误差较大、结果偏离现实。所以在这里将不可诊断故障详细分类成拒动和误动。并且做出假设发生不可诊断故障时既有可能是拒动,也有可能是误动,二者为独立且互斥事件。

图2 系统失效顶层故障树Fig.2 System failure top-level fault tree

对于整体而言其失效率可以表示成:

式中:λD——可被检测到的故障失效率;

λU——不可被检测到的故障失效率;

βD——可被检测的共因故障失效系数;

β——不能被检测到的共因故障失效系数。

4.1 单通道失效模型构建

若要研究冗余表决结构的共因故障的定量计算,需对单通道失效模型做出相应的假设和推导。这种结构仅包括一条通道,任意模式的失效都会导致其功能不可用。

通过图3的设定,该通道的失效模型可以认为是由两大部分组成,其中一个是可被检测到的故障失效,另一部分为不可被检测到的故障失效。其中,不可被检测到的故障失效率又可以进一步细分为拒动失效率λUR,以及误动失效率λUM。为了使计算方便,设定tCE为某一通道的等效平均停止时间,MTTR为平均恢复时间,T1为检测时间间隔。

图3 单通道失效模型Fig.3 Single channel failure model

总的失效率可以理解为二者之和:

其中,根据之前的假定,不可诊断故障可能导致拒动、误动两种结果,可将其表达为:

而通道的等效平均停止工作时间tCE,应等于两个部分各自的停止工作时间相加表示可探测失效的等效平均停止时间表示不可探测失效的等效平均停止时间,它与各部分对通道失效概率的贡献直接成比例,由可诊断故障、误动、拒动三者对应的失效时间与其概率的权积构成,如下:

因此,对于单通道而言:

因为其λtCE≪1,则整体的平均失效概率PFDG为:

4.2 三取二逻辑计算推导

通过上述单一通道的失效模型的推导,将其应用推广至最为常用的2oo3逻辑类型,可对逻辑表决架构做出如图4设定。

图4 2oo3失效模型Fig.4 2 out of 3 failure model

其中,单一通道的等效平均停止时间tCE同上述:

整个表决环节的等效平均停止时间对于三个通道整体表决环节而言,当发生拒动时,其等效平均停止时间应存在不同的时间系数,三个通道中有两个通道在指定时间内发生拒动,该表决环节失效。为求解该系数,设定一个随机数方程:

则有其整个表决环节的等效平均失效时间为:

对于整个2oo3环节来说,可以将其失效概率分为由共因故障引起的失效和非共因故障所引起的失效。其中非共因故障引起的失效可以理解为三个通道中有一个通道在发生非共因失效故障期间叠加另一通道非共因失效故障所导致的整个表决逻辑失效:

则整体的平均失效概率PFDG为:

4.3 四取二逻辑计算推导

四取二逻辑作为反应堆保护系统中RTS的主要逻辑类型,如图5所示。

此结构由4个并联通道构成,其输出信号取决于其中至少两个通道的表决结果。这里假设故障诊断可改变输出状态,例如发生可诊断故障时该通道输出故障安全值。由此分析其表决的失效模式应为:至少三个通道发生可诊断故障、至少三个通道发生拒动、至少两个通道发生误动。

图5 2oo4失效模型Fig.5 2 out of 4 failure model

单通道的平均停止时间同上,整个环节的平均停止时间的系数求解亦同样可设定一个随机数方程:

整体的平均失效概率PFDG为:

5 实例分析

参考实际某工程单一通道失效率指标如表2所示,其中MTTR=4 h,T1=18 m,β=1%。

表2 单一通道失效数据Table 2 Single channel failure data

根据上述2oo4计算公式的推导,则有整体的平均失效概率PFDG为:

经过计算则有包含共因故障的RTS总体硬件失效率为:

通过上述实际工程项目的应用可以看出,该共因故障模型应用简单,利于推广,针对不同核电DCS项目只需根据相应冗余通道整理出相关失效数据即可得到总体硬件失效率。

6 总结

本文阐述了一种共因故障定量分析评估的方法,选取安全级DCS紧急停堆系统作为分析对象,使用可靠性框图分析方法(BRD)来对分析对象建立分析模型,实际上可靠性框图法与故障树分析法有多相似之处,二者本可互相转换。根据建立的可靠性框图模型推导出了相应的数学模型,最后通过实际项目数据对模型进行计算,验证了该方法以及模型的可行性,可为核电安全级DCS可靠性分析提供参考。

可靠性框图相比广泛应用的马尔科夫模型有着便于理解[6],模型简单,易于维护的优点,并且不会像马尔科夫模型那样出现组合爆炸的问题,更加适用于实际。通过计算结果可知,其β因子越小则共因故障影响则越小,要有效的控制共因失效,除了避免采用2oo3/3oo4/4oo5的逻辑架构以外,还应该在设计阶段尽量满足IEC61508-6中的附表要求,例如部件、设备都经过适当的降额,系统有高诊断覆盖率等。