1、文章编号:0258-0926(2023)02-0159-07;DOI:10.13832/j.jnpe.2023.02.0159考虑自诊断的反应堆保护系统停堆功能可靠度评估模型研究王明洋,张蔚,徐冬苓,程玉玉,郑明光上海核工程研究设计院有限公司,上海,200233摘要:“在线自诊断”作为数字化仪控系统的重要特征,对核电厂反应堆保护系统(RPS)停堆功能的可靠性分析具有重要作用。通过分析自诊断对人因、定期试验等因素的影响,建立设备级误动模型;以典型 RPS TX 为例,通过马尔科夫方法建立动态的 TX 序列级和系统级模块误动模型;利用系统级模块误动模型定量计算 TX 停堆功能可靠度与自诊断的关系。
2、通过定性分析与定量计算论证了综合考虑自诊断对 RPS停堆功能可靠性分析的必要性,为后续国内 RPS 停堆功能的可靠性评价提供了借鉴。关键词:反应堆保护系统(RPS);自诊断;系统可靠度;误动作;可靠度模型;马尔科夫方法;失效率中图分类号:TB114.3;TL363文献标志码:AStudy on Reliability Evaluation Model for the Reactor ProtectionSystem Shutdown Function Considering Self-diagnosticsWang Mingyang,Zhang Wei,Xu Dongling,Cheng Yu
3、yu,Zheng MingguangShanghai Nuclear Engineering Research&Design Institute Co.,Ltd.,Shanghai,200233,ChinaAbstract:As an important feature of digital instrument control system,online self-diagnosticsplays an important role in the reliability analysis of shutdown function of reactor protection system(RP
4、S)in nuclear power plant.By analyzing the influence of self-diagnostics on human factors andperiodic testing,the component-level spurious actuation model was established.Taking a typicalRPS TX as an example,the dynamic TX sequence-level and system-level module spurious actuationmodels are establishe
5、d by Markov method.The relationship between TX shutdown functionreliability and self-diagnostics is quantitatively calculated by using the system-level modulespurious actuation model.Through qualitative analysis and quantitative calculation,the necessity ofcomprehensive consideration of self-diagnos
6、tics in RPS shutdown function reliability analysis isdemonstrated,which provides a reference for the subsequent reliability evaluation of RPS shutdownfunction in China.Key words:Reactor protection system(RPS),Self-diagnostics,System reliability,Spuriousactuation,Reliability model,Markov method,Failu
7、re rate 0 引言核电厂反应堆保护系统(RPS)是用于监测核电厂安全参数的重要系统,在非安全状态下,具备为电厂提供紧急停堆和驱动专设安全设施的能力,以保证核电厂维持在安全停堆状态。RPS由核安全级设备组成,在正常运行时不易发生误动,但定期试验与维修中引入的人因失误会导致 RPS 中设备/子系统的误动率上升1。停堆功能误触发虽属于安全性故障,但频繁的非预期停堆会影响核电厂的运营成本以及电网负荷。因此,收稿日期:2022-04-12;修回日期:2022-12-12作者简介:王明洋(1997),男,硕士研究生,现主要从事反应堆保护系统相关研究,E-mail: 第 44 卷第 2 期核 动 力
8、工 程Vol.44 No.22 0 2 3 年 4 月Nuclear Power EngineeringApr.2023RPS 停堆功能的可靠性对核电厂运行具有重要作用。当前,研究主要侧重于考虑设备随机故障率、可维修性2以及定期试验和维修中的人因失误3对 RPS 停堆功能可靠性的影响。在系统可靠度建模中仅考虑自诊断对设备故障的快速定位作用,并将其作为固定因数计算设备/系统的静态可靠度4。相关研究中尚未动态考虑数字化自诊断对 RPS 设备修复率、定期试验频度以及故障后系统逻辑切换的影响。因此,本文介绍了 RPS和自诊断的相关概念,在考虑自诊断多重影响的基础上,从设备到系统建立了完整的停堆功能可靠
9、度评估模型;利用该模型定量分析了 TX 停堆功能的故障率与自诊断的关系,并进行了敏感性分析。1 概念介绍 1.1 RPS 停堆功能介绍RPS 由 4 个冗余的序列构成,自上而下可以分为 3 个层级,如图 1 所示。Level1 用于信号的处理以及定值比较,Level2 用于逻辑表决,Level3 用于停堆断路器的驱动。来自现场传感器的模拟信号,在冗余的“定值比较模块”(BL)中进行信号处理并与预设整定值进行比较,输出结果通过光纤送入到本序列以及其他序列 2 个冗余的符合逻辑模块(CL)中。CL 接收来自全部序列 BL 的 8 个信号,首先对来自同序列的 2 个BL 信号进行 2 取 1(1oo
10、2,其余同)表决;之后通过 2 个处理器(RT)对 4 个序列 1oo2 的信号进行 2oo4 表决。最后,本序列 2 个 CL 将输出信号送入停堆逻辑矩阵(RTM)中,驱动本序列控制的 2 个停堆断路器(RTCB)。4 个序列中有 2 个序列控制的 RTCB 触发,则触发停堆。在核电厂运行期间,操纵员通过定期试验对 RPS 的停堆功能逻辑与设备进行阶段性确认,试验频度由核电厂技术规格书确定5。在 RPS 内部控制设备处于故障状态时,RPS 可以对故障设备所属的序列进行旁通并切换符合逻辑,利用剩余工作序列完成停堆功能。1.2 在线自诊断RPS 内部存在 2 种在线自诊断方式:平台自诊断和应用自
11、诊断。平台自诊断是由设备制造商提供的设备“自试验”和嵌入式故障检测功能;应用自诊断是由设计人员软件组态提供的故障检测功能。设备级自诊断模块(PSD)是执行安全功能的“RPS 系统设备”的一部分,因此两者具有相同的设计、实现、测试和配置管理流程;其诊断功能包括:对中央处理器(CPU)进行监视并计时,CPU 过载、超载以及内存完整性检验等。PSD 可以对上游输入信号的质量进行判断,在质量为差时发送故障信号到系统级自诊断模块(ASD)。ASD 利用自诊断程序实现序列间比较、序列内比较等功能。并且,ASD 可以对PSD 发现的故障进行报警,并将故障序列置于维修旁通状态,切换 RPS 的表决逻辑。RPS
12、 紧急停堆子系统的大多数逻辑都由数字化设备构成,且均被 PSD 所覆盖6。与手动定期试验对比,自诊断的效率更高,可以执行在线监测,并在设备故障时立即报警。但由于 PSD 同样由硬件和软件构成,仍应考虑其发生随机故障和共因故障的可能性。因此,自诊断模块具有以下特性:PSD 和 ASD 可以降低定期试验的频度7;PSD 可以快速定位故障设备,提升维修效率;PSD 和 ASD 可以降低定期试验中的人因失误;ASD 可以旁通故障序列并进行 RPS 图 1 RPS 单序列逻辑架构图Fig.1 RPS Single Sequence Logic Architecture Diagram160核 动 力 工
13、 程Vol.44 No.2 2023 表决逻辑转换;PSD 失效会导致发生误报警和误旁通。1.3 RPS 误动故障RPS 安全性故障分为 3 种类型:设备级误动、序列级误动以及系统级误动。对于设备级误动,RPS 满足单一故障准则,即系统中发生单一故障,并不会发生保护功能的误执行或无法执行。对于序列级误动,每个安全级序列由 2 个半通道组成,当 RPS 中同时发生多个设备故障导致同一序列的 2 个半通道同时触发时,该序列将处于触发状态。对于系统级误动,根据停堆断路器矩阵2oo4 表决逻辑,当不少于 2 个序列动作时,RPS驱动停堆断路器执行紧急停堆功能。RPS 由安全级设备和平台构成,每个序列内
14、存在相应的通道冗余,目的是减少反应堆停堆和专设驱动的误触发,保证在试验或维护时旁通一个通道或序列,RPS 仍满足单一故障准则。因此,仅由设备发生随机故障导致系统误动触发停堆的概率很小。触发停堆的故障类型分为:设备随机故障;试验和维修中发生人因失误;维修旁通导致系统 2oo4 表决逻辑降级。实际过程中,故障模式可能是 3 种类型的一种或多种组合,因此需要对不同模式之间的动态转化进行定性分析。2 RPS 停堆功能可靠度评估模型以核电厂的 1 个换料循环(12960 h)为研究周期,周期内设备发生的定期试验次数和自诊断对系统设备故障的探测率均基于核电厂技术规格书,在建立模型时采用的假设:设备的寿命与
15、维修时间服从指数分布;设备的随机误动率等于随机故障率为常数;定期试验和维修引入的人因失误率为常数8;PSD 和 ASD 的失效率为常数;所有设备均可维修;设备发生误动作后会立即报警并进行维修;仅考虑会导致 RPS 发生误动的子系统和有源卡件。2.1 设备级误动模型由于 PSD 嵌入到 RPS 设备中,在建模中考虑 PSD 通信故障会导致其关联的 RPS 设备误驱动,并且 PSD 输入/输出故障会导致其无法识别关联 RPS 设备的故障信号。qd=1edt(1)qddt式中,为 PSD 发生随机通信故障的概率,与发生随机输入/输出故障的概率相同;为自诊断模块的随机故障率;为设备的任务时间。qh设每
16、次定期试验由于人因失误导致设备在恢复运行时发生误动的概率为。在建模中考虑PSD 具有降低定期试验频度、对人因失误导致的设备误动进行报警的能力,得到任意时刻 t 由于定期试验中的人因失误导致 RPS 设备在运行过程中发生误动的概率()为:qh=N(1Pd)qd(2)式中,Pd为自诊断对系统设备故障的探测率,大多数 RPS 设备的自诊断可探测率为 90%9,处理器的故障可探测率为 99%;N 为定期试验频度,在模型中设为 RPS 设备在一个换料循环中进行定期试验的次数。qr=1ert(3)qrr式中,为 RPS 设备由于随机故障发生误动的概率;为系统内部设备出厂时的随机故障率。PSD 故障既会导致设备误动,又会导致其无法识别设备故障,但两者成因不同,在分析中考虑两者相互独立。因此,操纵员判断当前设备发生故障且需要进行修复性维修的概率(P)为:P=1est(4)s=d+r+N(1Pd)ds=(1+Pd)(5)st(1+Pd)t式中,为被自诊断所覆盖的设备在单位时间内完成修复性维修的概率;为平均修复率。RPS设备的平均维修时间为 5 h8,则由指数分布假设可知,RPS 设备的 为 0.2。在修
