喬 寧，劉景賓

（生態(tài)環(huán)境部核與輻射安全中心，北京 100082）

隨著數(shù)字化技術的發(fā)展，數(shù)字化儀控系統(tǒng)（DCS）已廣泛應用于國內(nèi)外核電廠。由于核電廠安全運行需要反應堆保護系統(tǒng)執(zhí)行安全功能，因此，儀控系統(tǒng)的可靠性定量分析得到了越來越多的重視。經(jīng)過多年的運行，國內(nèi)某核電廠積累了一定的數(shù)字化儀控系統(tǒng)部件運行數(shù)據(jù)。本文使用故障樹（FTA）可靠性分析法，依據(jù)保護系統(tǒng)的信號流程圖建立以緊急停堆失效（保護系統(tǒng)拒動）為頂事件的故障樹，利用部件實際的故障率數(shù)據(jù)作為輸入，對建立的故障樹進行定量分析，得到保護系統(tǒng)緊急停堆功能的故障概率和對應的最小割集，為核電站儀控系統(tǒng)設計的改進和運行維護提供指導［1］。

1 故障樹的建模

1.1 分析流程

數(shù)字化保護系統(tǒng)是保證核電廠安全的重要組成部分，用于防止反應堆工況超過規(guī)定的安全限值，或減輕反應堆超過安全限值所造成的后果。保護系統(tǒng)的典型故障模式為在事故工況下不能產(chǎn)生觸發(fā)停堆斷路器動作信號（拒動），稱為預期瞬態(tài)未緊急停堆（ATWT）。故障樹建模分析是以系統(tǒng)層面不希望發(fā)生的事件為分析目標，逐層分析導致系統(tǒng)各層故障出現(xiàn)的直接原因，最終分析除導致頂事件發(fā)生的原因（或原因的組合），評估頂事件發(fā)生概率的一種技術方法，該方法非常適合用來分析復雜系統(tǒng)的不希望發(fā)生的事件。本文以保護系統(tǒng)拒動為頂事件，采用故障樹建模分析技術評估保護系統(tǒng)的拒動概率。

圖1是一種典型的故障樹分析流程。首先，應根據(jù)保護系統(tǒng)的構架和功能確定分析范圍。然后，根據(jù)保護系統(tǒng)的設備組成，包括其板卡通信和供電方案，繪制保護系統(tǒng)的信號流圖。根據(jù)信號流圖，以及板卡的故障模式和處理機制，進行故障樹模型的建立。將板卡的運行數(shù)據(jù)處理后輸入模型進行計算，即可得到保護系統(tǒng)拒動的概率，以及進行后續(xù)的數(shù)據(jù)分析。

1.2 保護系統(tǒng)總體結構

圖1 故障樹建模分析流程圖Fig.1 Modeling analysis flow chart fault tree

保護系統(tǒng)的主要功能是在事故工況下執(zhí)行安全功能：觸發(fā)緊急停堆和啟動專設安全設施驅(qū)動系統(tǒng)。該系統(tǒng)通常由4個冗余的通道構成，每個通道滿足獨立性、隔離等要求。通道由多個功能模塊組成，包括信號的采集模塊、信號的處理模塊以及信號的輸出模塊等。

核電廠數(shù)字化保護系統(tǒng)結構如圖2所示，當反應堆參數(shù)接近安全運行范圍限值時，反應堆保護系統(tǒng)通過停閉反應堆自動阻止反應堆在不安全范圍內(nèi)運行。安全級過程儀表和核儀表產(chǎn)生的保護信號經(jīng)過保護系統(tǒng)的采集、運算，與整定值比較后產(chǎn)生反應堆緊急停堆驅(qū)動信號。

圖2 數(shù)字化保護系統(tǒng)結構原理圖Fig.2 Structure diagram of digital protection system

停堆變量（過程變量、中子注量率等）由2～4個冗余的測量儀表通道進行測量，相應的采集及邏輯處理通道（保護組）對測得的信號進行采集、運算和定值比較，產(chǎn)生用于邏輯表決的“局部脫扣”信號，然后將此“局部脫扣”信號送至除自身以外的其他3個保護組，因而，每個保護組都得到了與測量通道數(shù)目相對應的“局部脫扣”信號。然后，每個保護組對這些“局部脫扣”信號進行表決和邏輯處理，當滿足規(guī)定的邏輯組合要求時便發(fā)出停堆信號用于打開停堆斷路器。

1.3 故障樹建模

故障樹建模的首要任務是確定頂事件，本文中故障樹的頂事件為保護系統(tǒng)保護功能拒動。

建立故障樹應從頂事件觸發(fā)由上而下，循序漸進逐級進行，故障樹演繹過程是逐層尋找事件直接原因的過程。根據(jù)故障判據(jù)將故障樹頂事件的直接原因作為中間事件用邏輯符號（或門、非門等）與頂事件相連，將該中間事件繼續(xù)向下分解，重復上述過程直至所有事件無法向下分解或不必要向下分解，這些事件即為故障樹的底事件，或稱基本事件［2］。建模開始前，應嚴格定義頂事件、中間事件和基本事件。

保護系統(tǒng)由4個冗余的通道構成，4個通道的輸出執(zhí)行2/4表決邏輯輸出動作信號，則3個或3個以上的通道同時發(fā)生拒動將導致保護系統(tǒng)拒動。

保護系統(tǒng)的每個通道由多個功能模塊（如輸入、處理和輸出模塊）組成。依據(jù)保護系統(tǒng)的信號流程圖，可分析各個功能模塊的故障狀態(tài)，如何決定該通道的狀態(tài)，即故障模塊之間的邏輯關系。

功能模塊由不同類型的板卡構成，應考慮板卡的故障模式，故障模式是否可診斷以及故障模式的處理機制。對于可以自檢的模塊，如處理器，分為可探測故障和不可探測故障兩類故障機制。對于可探測故障，描述可以立刻探測到故障，并進行維修的部件，數(shù)學上認為這類部件的故障是時間獨立的，單位時間發(fā)生的故障與前后的狀態(tài)無關。對于不可探測的故障，認為只能由定期試驗探測出。本文通過調(diào)研多家設計單位、核電業(yè)主公司得知，不可探測故障通常占到探測故障的1%～10%，本報告中取平均值5%，即不可探測故障為占總故障的5%。此外，在工程實踐中，對于某些自檢周期極短的模塊，如網(wǎng)卡或通訊模塊，不考慮其發(fā)生不可探測故障。

1.4 共因失效

共因失效（Common Cause Failure，簡稱CCF）是指在一個系統(tǒng)中由于某種共同的故障機理而引起兩個或兩個以上部件同時失效。共因失效是冗余系統(tǒng)失效的主要根源，從工程實踐角度來講，對執(zhí)行同一功能的同類型部件因工作原理相似、共因失效可能性較大，應設為共因組。

共因失效參數(shù)需要大量的統(tǒng)計數(shù)據(jù)才能得到，我國目前還沒有積累足夠的可靠性運行數(shù)據(jù)，也缺乏對數(shù)字化儀控系統(tǒng)數(shù)據(jù)的統(tǒng)計管理，因此，共因參數(shù)參考NUREG 5497—2015［11］中3.1節(jié)給出的共因參數(shù)，見表1。該標準統(tǒng)計了1997—2015年中3224次數(shù)字化儀控系統(tǒng)獨立隨機故障中的116次共因故障，包括旁通、控制、超馳等類型，具有較強的參考性。

表1 共因參數(shù)Table 1 Common cause parameter

1.5 軟件可靠性

目前，核電廠儀控系統(tǒng)使用的工業(yè)計算機中普遍部署Linux、Windows等操作系統(tǒng)，安全級儀控系統(tǒng)的平臺軟件和應用軟件也是基于上述系統(tǒng)開發(fā)的。軟件因具有有別于硬件設備的、獨特的失效機理，評估軟件可靠性非常困難。

目前，國內(nèi)外尚無公認的儀控系統(tǒng)軟件可靠性定量分析的計算方法，工業(yè)界提出了很多軟件可靠性定量評估方法，然而這些方法是否適用于核電廠安全級儀控系統(tǒng)軟件的可靠性評估，至今業(yè)界未達成共識，各國都制訂了相關法規(guī)標準對儀控系統(tǒng)可靠性總體指標進行規(guī)定，例如《核動力廠設計安全規(guī)定》（HAF 102—2016）［6］要求“必須設置適當且可靠的控制系統(tǒng)，使相關過程變量保持在規(guī)定的運行范圍內(nèi)”，但仍缺乏系統(tǒng)性、規(guī)范性的可靠性評價方法。

工程實踐中，西門子公司依據(jù)其安全級和非安全級儀控平臺的國內(nèi)外運行經(jīng)驗，將整個序列的軟件故障率作為整體進行考慮，根據(jù)其安全級儀控平臺技術規(guī)格書故障率推薦使用1.0×10-6，本文為保守起見，使用1.0×10-5。

2 故障樹模型計算

2.1 數(shù)據(jù)處理

目前的核電廠儀控系統(tǒng)可靠性計算中，對于板卡級的故障率多數(shù)采用供貨商提供的數(shù)據(jù)，本文采用核電廠實際運行的部件級故障率，可以更好地反映實際情況。根據(jù)故障樹模型的輸入要求，應給出部件故障率的值和分布，但是，實際工作中提供的是故障次數(shù)和運行時長，因此，需要對數(shù)據(jù)進行轉(zhuǎn)化處理。此外，對于運行期間無故障的部件，需要給出故障率的估算。

本文涉及的核電廠已經(jīng)運行多個燃料循環(huán)，渡過了部件的早期失效期，可以認為安全級儀控系統(tǒng)部件的故障是隨機分布的，故障的分布是均勻的，因此，單位時間（每小時）的故障率等于故障次數(shù)除以運行時間［9］。

圖3 失效率-時間曲線Fig.3 Failure rat-time curve

對于運行期間無故障的部件（例如，某些試驗時才動作的），應給出其故障率的估算。按照上述假定，失效概率在整個試驗中均保持不變。對于按需動作的部件，進行n次獨立試驗，每次試驗只有兩種結果——成功和失敗。如果連續(xù)n次動作均無故障，按照《核電廠安全系統(tǒng)可靠性分析一般原則》（GB/T 9225—1999）［9］中8.7.1節(jié)的方法，可估算該部件的故障率和置信區(qū)間。

根據(jù)定義：

式中，n——次數(shù)；

P0——故障率；

a——置信區(qū)間。即執(zhí)行n次試驗成功，置信度100（1-α）%時，失敗概率P的上置信限小于或等于P0，或者說，可靠性的下置信限大于或等于1-P0。

上式變形可得：

由此可估算在要求的置信度下n次試驗成功時的故障率。

2.2 故障樹建模

本文使用瑞典開發(fā)的Risk Spectrum軟件進行故障樹的分析計算，故障數(shù)簡圖如圖4所示。該軟件是核電業(yè)界廣泛使用的概率安全分析軟件。

Risk Spectrum采用了最小割集算法。底事件是指故障樹中不能再分解的基本事件。割集是故障樹中若干底事件的集合，如果這些底事件全部發(fā)生將導致頂事件發(fā)生。最小割集是底事件的數(shù)量不能再減少的割集，即在該最小割集中去掉任意一個底事件之后，剩下的底事件的集合就不是割集。一個最小割集代表會引起故障樹頂事件發(fā)生的一種故障模式。計算出該故障樹的最小割集后，即可利用底事件的故障率和多樣性組的故障率，得出每個割集的故障率和頂事件的故障率。

圖4 故障樹簡圖Fig.4 Fault tree diagram

2.3 計算結果

根據(jù)電廠提供的故障記錄，按照本文2.1節(jié)中的方法進行處理，輸入本文2.2節(jié)所描述的故障樹模型，得到總體故障率Q=2.03×10-7，滿足GB/T 4083中關于拒動率1×10-4的要求。前10個最小割集如表2所示。

表2 前10個最小割集Table 2 Top ten minimum cut sets

3 數(shù)據(jù)分析

3.1 共因故障是儀控系統(tǒng)失效的主要因素

如表2所示，關鍵設備的共因失效影響是儀控系統(tǒng)故障的主要因素。不考慮共因故障時，模型中不設置共因組，總體故障率為1.02×10-9，設置一組共因組的情況下總體故障率2.03×10-7，僅一項的貢獻就高達84.6%。共因失效的貢獻占如此比例的原因是4組同時失效“擊穿”了冗余機制，而且根據(jù)NUREG 5497的數(shù)據(jù)，其概率不是可以忽略的數(shù)字。因此，應充分重視共因故障的風險，采取有效措施減小共因故障的概率或緩解共因故障的后果。

3.2 多樣性分組可以有效緩解共因故障

為解決安全級儀控系統(tǒng)共因故障問題，除了設置非安全級的多樣性驅(qū)動系統(tǒng)外，模型顯示，對停堆變量設置多樣性分組是十分有效的手段，如對一回路溫度高停堆，對于停堆參數(shù)設置兩個多樣化的子組，如1、3序列和2、4序列使用不同的傳感器。在模型中，模擬量輸入模塊1、3和2、4分別設置共因組，可以看出，其對故障的貢獻大大減小。多樣性分組最小割集見表3。

表3 多樣性分組最小割集Table 3 Diversity group minimum cut set

3.3 不可探測故障的貢獻遠大于可探測故障

根據(jù)不可探測故障的假設，其只能在定期試驗中發(fā)現(xiàn)，無法通過自檢等方式發(fā)現(xiàn)。不可探測類型故障的貢獻遠大于可探測故障，舉例說明：模型計算結果中處理器不可探測故障的貢獻為3.36×10-10，可探測故障的貢獻為1.51×10-11，是僅次于共因故障的儀控系統(tǒng)失效原因。因此，應重視不可探測故障的排查。

4 結論

應充分重視共因故障對數(shù)字化儀控系統(tǒng)的影響，3.1節(jié)數(shù)據(jù)分析顯示，關鍵設備的共因故障是儀控系統(tǒng)故障的主要因素。因此，在數(shù)字化儀控系統(tǒng)的設計過程中，除設置非安全級的多樣性停堆系統(tǒng)和ATWT緩解系統(tǒng)外，應考慮盡量采取停堆參數(shù)的多樣性分組。

部件的不可探測故障是儀控系統(tǒng)故障的次要因素，3.3節(jié)數(shù)據(jù)分析顯示，部件的不可探測故障的貢獻是可探測故障的貢獻的數(shù)十倍。因此，在核電廠運行期間，對于故障率高的卡件或部件，應考慮減少其定期試驗周期，如轉(zhuǎn)日?；蛟诰€監(jiān)測。