刘宏春，王 琳，徐霖野，陈 鹏郑 杲，孙诗炎，吴志强

（1.中国核动力研究设计院 核反应堆系统设计技术重点实验室，成都 610213；2.中核核电运行管理有限公司，浙江 嘉兴 314300）

0 引言

核电厂反应堆保护系统是电厂仪控系统中最重要的部分，它监测与反应堆安全有关的重要参数。当这些参数达到或超过安全分析确定的整定值时，触发反应堆紧急停堆或启动专设安全设施系统，防止反应堆状态超过规定的安全限值，或减轻超过安全限值的事故后果。可见，反应堆保护系统的可靠性对于核电厂的安全运行具有不可替代的作用。

核电厂反应堆保护系统的整个信号通道上包含传感器、信号采集处理以及驱动控制等环节，为了设计出高可靠的反应堆保护系统，需要上述各环节均具备与系统总体可靠性目标相匹配的可靠性水平。这就需要将反应堆保护系统总体可靠性指标合理地分配到相关的组成环节上，作为设备采购或产品研发的基础。以研制一套全新的用于反应堆保护系统的数字化仪控平台为例，由于需要提前确定各类功能模块（输入/输出模块、处理器模块等）的可靠性水平，因而在仪控平台研发之初便需要适配不同的反应堆保护系统结构和可靠性指标，开展功能模块级的可靠性分配设计，并参考工业领域电子器件的可靠性水平现状，确定一套合理可行且具备先进性和经济性特征的功能模块可靠性设计目标值。

本文旨在通过研究，提出一种较为合理且可操作性强的反应堆保护系统可靠性分配策略。

1 可靠性分配介绍

可靠性分配是指把系统的可靠性指标逐级分配到各个单元的过程。对可靠性进行分配，需要一个系统的可靠性模型，然后进行系统功能模块的可靠性分配。分配给系统本身的初始值应该是系统可靠性指标要求值，有时会为系统分配比要求值略高的可靠性值，以允许以后的系统功能增长，并允许系统中无法达到其分配值的子系统在设计过程后期获得一些额外的可靠性裕量。

可靠性分配过程包括求解如下基本不等式[1]：

其中，：分配给第i 个子系统的可靠性参数；R*：系统需要满足的可靠性参数；f：子系统可靠性和系统可靠性之间的函数关系。

理论上，如果对可靠性分配没有任何约束条件，上面的不等式可以有无数解，即分配方案有无限多个。一个合理的可靠性分配，就是能产生合理的一个或者有限数量的分配方法。

不同子系统和部件之间的可靠性值的分配可以基于复杂性、重要性、可实现的可靠性，或任何其它分析人员认为合适的因素进行分配。一般来说，使用可靠性模型进行可靠性分配是一个持续迭代的过程，直到将一组适当的可靠性度量分配给系统的每个功能模块。

常用的可靠性分配方法包括等分配法、评分分配法、比例组合法、Agree 分配法等[2]。

2 反应堆保护系统可靠性分配方法

2.1 基本思路

针对核电厂反应堆保护系统的可靠性分配，直接应用等分配法等方法的工程可行性不强，原因如下：

1）多数分配方法比较适用于串联系统（如等分配法、评分分配法等），而核电厂反应堆保护系统结构较为复杂，其为高冗余度的串并联组合系统。

2）核电厂反应堆保护系统的限制条件多（如系统冗余度、多样化设计、系统机柜数量等），且往往采用经过工程验证的系统结构设计，结构和可靠性分配调整的灵活性较低。

在进行系统可靠性分配之前，应事先确定一个典型的保护系统结构。目前，反应堆保护系统主要有两种典型结构，即“4 个保护组”和“4 个保护组+2 个逻辑系列”[4]。本文基于“4 个保护组+2 个逻辑系列”的典型反应堆保护系统结构对可靠性分配方法进行研究，该典型结构如图1所示。

图1 典型反应堆保护系统结构Fig.1 Typical structure of reactor protection system

4 个保护组的过程仪表预处理单元（PIPS）为现场传感器进行供电，采集代表电厂状态的传感器信号，将调理后的信号分配给采集处理单元（APU）。APU 单元进行信号处理以及定值比较，产生“局部脱扣”信号，然后送至下游两个逻辑系列的驱动逻辑单元（ALU），在其中进行逻辑表决（例如，2/4 表决）、保护逻辑运算及保护动作信号输出。系统内部设计了两个参数多样性子组，对应每个保护组内的APU-*1 和APU-*2（*代表1 ～4）以及每个逻辑系列内的ALU-*1 和ALU-*2（*代表A 或B）。每个子组由一套处理器单元及外围输入/输出模块实现。两个子组的输出做“或”后产生本子组对应的紧急停堆信号或者专设驱动信号，紧急停堆信号被送往停堆断路器，专设驱动信号被送往优先级驱动机柜（PLM-A 或PLM-B)，经过优先级判断后，最终被输出至专设驱动器。

表1 层级内仪控单元的可靠性分配Table 1 Reliability distribution value for each I&C unit of each I&C level

本文基于图1 中的反应堆保护系统结构，提出一种按照系统的不同层级逐步进行可靠性分配的方法。

2.2 分配步骤

按照反应堆保护系统的不同层级，逐步进行可靠性分配的步骤如下：

1）子系统间的可靠性分配。针对含有多样性子系统的反应堆保护系统，根据系统级可靠性指标，在子系统间进行分配。对于两个多样性子系统，可按照子系统独立失效计算可靠性指标，系统失效概率为各子系统失效概率的乘积。

2）子系统内各仪控层级的可靠性分配。可近似将反应堆保护系统不同层级间考虑为串联关系，并基于以往类似系统的可靠性经验反馈为子系统内不同仪控层级分配可靠性指标。反应堆保护系统的各仪控层级包括：仪表层、信号调理层、采集处理层、逻辑表决层和优选层。

3）层级内仪控单元的可靠性分配。此步骤的分配可根据层级内仪控单元的冗余度及共因参数，使用简化计算方式估算各层级内设备和单元的可靠性指标。

4）仪控单元内功能模块的可靠性分配。此步骤针对需要继续分解的仪控单元，在其内部组成的功能模块间进行可靠性分配。此步骤可以假设每个仪控单元实现最复杂保护功能时需要的功能模块类型和数量，并保守地按照串联模型进行考虑。

3 应用实例

3.1 分配目标和约束条件

为图1 中所示的典型反应堆保护系统结构进行可靠性分配，需考虑以下因素：

1）系统可靠性设计目标为：系统总体拒动率≤1.0E-7（考虑两个多样性子系统的共同作用）[3]。

2）在特定数据不可用时，使用通用数据或工程假设处理。

3.2 可靠性分配过程

3.2.1 子系统间的可靠性分配

系统总体拒动率设计目标为1.0E-07，为简化处理，按照子系统独立失效计算可靠性指标，系统失效概率为各子系统失效概率的乘积。可得到每个子系统的拒动率目标为：

3.2.2 子系统内各仪控层级的可靠性分配

单个子系统的拒动率目标为3.16E-04。针对反应堆保护系统的5 个仪控层级，参考以往类似系统的经验反馈和专家判断可给出各层级的拒动率占比，则可以根据子系统拒动率目标在层级间进行分配。例如，为仪表层、信号调理层、采集处理层、逻辑表决层和优选层分别分配30%、5%、20%、20%以及20%的拒动率占比，从而得到它们的拒动率分配值分别为9.49E-05、1.58E-05、6.32E-05、6.32E-05 和6.32E-05。由于已将5%的拒动率占比分配给了仪控系统软件，因而分配给各仪控层级的拒动率占比总份额为95%。

3.2.3 仪控层级内仪控单元的可靠性分配

针对反应堆保护系统，仪控层级内的仪控单元即为组成该仪控层级的各冗余组成单元。基于3.2.2 节中已分配给各层级仪控系统的拒动率指标，按照如下方式开展层级内仪控单元的可靠性分配。

1）使用本层级可靠性分配指标作为输入。

2）考虑本层级仪控单元的冗余设计和逻辑表决关系，确定关键共因组合。

3）根据共因模型和参数计算每个单元的可靠性分配指标，由于多重失效主要原因是共因失效，因而为进行简化，仅考虑共因失效。

以α 共因模型为例，在定期试验按照非交错试验进行考虑时，针对由m 个部件组成的共因部件组，每个共因事件的失效概率计算公式如下：

反应堆保护系统的仪表层、信号调理层以及采集处理层均为4 冗余度设计，采取2/4 表决逻辑设计，3 个或4 个仪控单元的失效（可检测或不可检测失效）将导致该层级失效。基于α 共因模型（非交错试验），可得到层级失效概率Qlevel，约等于3 个或4 个仪控单元共因失效的失效概率，可用以下公式表述：

其中，Qunit为仪控单元失效概率值，根据式（4）即可以得到：

基于参考文献[4]中的通用CCF 数据，4 个设备共因故障组的α 参数如下：α1=9.74E-01，α2=1.70E-02，α3=5.89E-03，α4=2.98E-03，由此可得到：Qunit=29.2×Qlevel。

反应堆保护系统的逻辑表决层和优选层采用1/2 表决逻辑设计，2 个仪控单元的失效（可检测或不可检测失效）导致该层级失效。基于α 共因模型（非交错试验），可得到层级失效概率Qlevel约等于2 个仪控单元共因失效的失效概率，可用以下公式表述：

根据式（6）即可以得到：

基于参考文献[4]中的通用CCF 数据，2 个设备的共因故障组的α 参数如下：α1=9.74E-01，α2=2.57E-02。由此可得到：Qunit=20×Qlevel。

由此可得层级内仪控单元的可靠性分配见表1。

3.2.4 仪控单元内功能模块的可靠性分配

在得到反应堆保护系统各仪控层级内仪控单元的失效概率后，需要进一步将可靠性分配至各功能模块。这可以按照串联模型进行考虑，仪控单元的失效概率Qunit与功能模块失效概率λ 的计算公式如下：

其中：为模块i 的失效概率；为模块i 的安全可检测失效率（单位为/h）；为模块i 的危险可检测失效率（单位为/h）；为模块i 的危险不可检测失效率（单位为/h）；MTTRi为模块i 的平均维修时间（单位h）；TIi为模块i 的定期试验间隔（单位为h）。

以仪表层以及采集处理层两个层级为例，对将仪控单元的失效概率分配到功能模块的过程进行说明。

针对测量仪表，根据以往经验可知，仪表典型的自检覆盖率为85%，且安全失效和危险失效各占50%，定期试验周期为18 个月（13140h），平均维修时间为1 周（168h）。仪表总失效率为λsensor，由公式（9）和（10）可得到仪表总失效率指标为4.35E-06/h：

对于采集处理层，假设其定期试验周期为18 个月（13140h），平均维修时间为8h。假设执行一个仪控功能需要包含2 个模拟量输入模块（AI）、2 个数字量输入模块（DI）、2 个通信模块（COM）、1 个处理器模块（CPU）、2个数字量输出模块（DO）以及1 个电源模块（PW）。对这些模块按照串联进行仪控单元层级失效概率的计算，计算公式如下：

从式（11）可见，由1 个Qunit值推导各功能模块的λSD，λDD，λDU，它的解会有无穷多种组合。此时，可基于行业平均水平和专家经验，以同类型仪控平台可靠性数据作为各功能模块的初始失效率数据，代入上述公式进行验算后，再对数据进行调整。

本文以表2 所示的某安全级DCS 平台功能模块失效率数据作为各功能模块的初始失效率数据，将这些数据代入公式后计算得到仪控单元层失效概率为4.40E-04，小于仪控单元层的失效率分配值1.85E-03，这表明该组初始失效数据能够满足保护系统总体可靠性目标的要求。此时，可再综合考虑系统各功能模块的复杂度、重要度、技术成熟度、任务时间的长短，以及实现可靠性要求所花费的代价及时间周期等因素，对初始失效率数据进行调整，直至得到一组满意的数据。

表2 某安全级DCS平台功能模块失效率数据Table 2 Failure rate of functional module for one safety DCS system platform

4 结论

本文针对核电厂反应堆保护系统的可靠性分配设计，基于对常用可靠性分配方法的研究，并考虑反应堆保护系统冗余度高、系统结构复杂等特点，提出了一种按照系统的不同层级逐步进行分配的思路。并以一个典型的反应堆保护系统结构为例，对该分配方法进行了详细的说明。可以看出，本文所提方法思路清晰且可操作性强，可为今后开展反应堆保护系统设备采购或产品研发提供基础可靠性数据指标，并可推广应用至其他复杂系统可靠性分配中。