李力，肖長(zhǎng)歌

(國(guó)核電力規(guī)劃設(shè)計(jì)研究院，北京 100094)

0 引言

不論在常規(guī)火電廠還是在核電廠中，除氧器水位都是機(jī)組運(yùn)行的一個(gè)重要控制參數(shù)，因此除氧器水位保護(hù)系統(tǒng)的安全性和可靠性就成為系統(tǒng)設(shè)計(jì)的重要指標(biāo)。本文以非能動(dòng)安全先進(jìn)核電廠AP1000的除氧器水位保護(hù)系統(tǒng)［1］為依托，從整個(gè)測(cè)量控制回路的結(jié)構(gòu)、診斷覆蓋率以及共因［2］影響等方面進(jìn)行分析，進(jìn)而對(duì)整個(gè)系統(tǒng)的平均故障前時(shí)間(MTTF)、需求失效概率(PFD)和安全故障概率(PFS)等指標(biāo)進(jìn)行評(píng)價(jià)，為除氧器水位保護(hù)系統(tǒng)的設(shè)計(jì)提供可靠性數(shù)據(jù)支持。

1 除氧器水位保護(hù)系統(tǒng)的構(gòu)成及其特性

1.1 系統(tǒng)構(gòu)成

本文以山東海陽(yáng)核電廠一期工程中除氧器高－3水位保護(hù)系統(tǒng)為研究對(duì)象，建立系統(tǒng)可靠性模型并對(duì)系統(tǒng)的可靠性指標(biāo)進(jìn)行分析。

除氧器高－3水位保護(hù)系統(tǒng)由3個(gè)液位測(cè)量開關(guān)、3個(gè)DI模塊、1個(gè)帶冗余的控制器、2個(gè)DO模塊及2個(gè)串聯(lián)的氣動(dòng)逆止閥等構(gòu)成，如圖1所示。

1.2 系統(tǒng)特性

當(dāng)除氧器水位達(dá)到高－3水位之上時(shí)，液位開關(guān)閉合，DI信號(hào)為高電平，控制器經(jīng)過2oo3(3取2)的邏輯輸出DO為高電平信號(hào)去關(guān)閉2個(gè)串聯(lián)的氣動(dòng)逆止閥，從而切斷四抽來汽至除氧器的管路通道，防止除氧器中的水倒流入汽輪機(jī)，避免汽輪機(jī)損壞。

2 系統(tǒng)可靠性分析

2.1 系統(tǒng)的失效模式

圖1 除氧器高－3水位保護(hù)系統(tǒng)控制回路

根據(jù)除氧器高－3水位保護(hù)系統(tǒng)測(cè)量控制回路的構(gòu)成，從構(gòu)成系統(tǒng)的基本模件入手，對(duì)其進(jìn)行失效模式和影響分析(FMEA)，見表1。

FMEA表明了2個(gè)重要的失效分類:安全失效(誤關(guān)閥門)和危險(xiǎn)失效(不能關(guān)閉閥門)。安全失效時(shí)，除氧器應(yīng)該正常運(yùn)行，即抽汽逆止閥應(yīng)該處于打開狀態(tài)，但由于某種故障使得抽汽逆止閥關(guān)閉，除氧器解裂，因?yàn)樵摖顟B(tài)是一種安全狀態(tài)，所以稱這種失效為安全失效模式。危險(xiǎn)失效時(shí)，抽汽逆止閥應(yīng)該處于關(guān)閉狀態(tài)，從而隔離除氧器與汽輪機(jī)之間的管道，防止除氧器中的水倒流入汽輪機(jī)中造成汽輪機(jī)的損壞，但由于某種故障使得抽汽逆止閥不能正常關(guān)閉，由于該狀態(tài)會(huì)造成汽輪機(jī)的損壞，所以稱這種失效為危險(xiǎn)失效模式。

總失效率可根據(jù)公式λ=λS+λD進(jìn)行計(jì)算，式中:上標(biāo)S代表安全失效;上標(biāo)D代表危險(xiǎn)失效。

由于系統(tǒng)中采用了大量的冗余設(shè)備，因此共因失效是系統(tǒng)失效的重要因素。共因失效可能會(huì)導(dǎo)致安全失效，也可能導(dǎo)致危險(xiǎn)失效，因此設(shè)備的失效率可以分為2個(gè)互斥的失效:安全共因失效與危險(xiǎn)共因失效，這里采用β模型來對(duì)共因失效進(jìn)行描述。

式中:上標(biāo)SC代表安全共因失效;上標(biāo)SN代表安全一般應(yīng)力失效。其中λSC=β×λS，λSN=(1－β)×λS，β為共因失效因子，它取決于由于共因應(yīng)力導(dǎo)致的復(fù)合冗余單元失效的幾率。

表1 除氧器高－3水位保護(hù)系統(tǒng)的FMEA

式中:上標(biāo)DC代表危險(xiǎn)共因失效;上標(biāo)DN代表危險(xiǎn)一般應(yīng)力失效。其中λDC=β×λD，λDN=(1－β)×λD，β為共因失效因子，它取決于由于共因應(yīng)力導(dǎo)致的復(fù)合冗余單元失效的幾率。

一般來說，控制系統(tǒng)中的在線診斷功能是一個(gè)重要的功能，準(zhǔn)確的診斷既能提高安全性又能增強(qiáng)可用性。為了定量描述系統(tǒng)診斷的能力，定義采用診斷覆蓋率C，它是指發(fā)生失效時(shí)被檢測(cè)到的概率，它大于0并且小于1。

當(dāng)增加診斷功能時(shí)，所有可維修控制系統(tǒng)(包括冗余和非冗余的)的可用性和安全性都得到增強(qiáng)，減少了系統(tǒng)在危險(xiǎn)模式及降級(jí)模式(不能完全正常運(yùn)行)下的運(yùn)行時(shí)間。

式中:CS為安全失效診斷覆蓋率;CD為危險(xiǎn)失效診斷覆蓋率;上標(biāo)中間字母D代表已檢測(cè)到的失效;上標(biāo)中間字母U代表未檢測(cè)到的失效。

2.2 三冗余單元的結(jié)構(gòu)及其降級(jí)模式

2oo3(3取2)結(jié)構(gòu)容許一個(gè)單元的任何失效:危險(xiǎn)失效或安全失效。這時(shí)系統(tǒng)發(fā)生了一次降級(jí)，若發(fā)生開路(危險(xiǎn)失效)，系統(tǒng)降級(jí)到1oo2(2取1)結(jié)構(gòu);若發(fā)生短路(安全失效)，系統(tǒng)降級(jí)到2oo2(2取2)結(jié)構(gòu)。

2oo3結(jié)構(gòu)在發(fā)生了一次降級(jí)后，若又有一個(gè)單元發(fā)生了另一種失效(即一個(gè)單元發(fā)生了危險(xiǎn)失效后又有一個(gè)單元發(fā)生了安全失效)，或一個(gè)單元發(fā)生了安全失效后又有一個(gè)單元發(fā)生了危險(xiǎn)失效，那么2oo3結(jié)構(gòu)就發(fā)生了二次降級(jí)，即系統(tǒng)降為1oo1(1取1)結(jié)構(gòu)，二次降級(jí)并不影響系統(tǒng)正常工作。2oo3結(jié)構(gòu)及其降級(jí)模式如圖2所示。

圖2 3取2結(jié)構(gòu)及其降級(jí)模式

2.3 輸入單元的馬爾可夫模型

輸入單元為2oo3結(jié)構(gòu)，其馬爾可夫模型［3］的建立起始于3個(gè)支路完全處于正常工作的狀態(tài)0。然后，輸入單元從狀態(tài)0以一定的概率轉(zhuǎn)移到4種一次降級(jí)模式(狀態(tài)1～狀態(tài)4)、安全失效模式(狀態(tài)9)、可檢測(cè)到的危險(xiǎn)失效模式(狀態(tài)10)、未檢測(cè)到的危險(xiǎn)失效模式(狀態(tài)11)。之后，輸入單元分別從4種一次降級(jí)模式以一定的概率轉(zhuǎn)移到4種二次降級(jí)模式(狀態(tài)5～狀態(tài)8)、狀態(tài)9、狀態(tài)10、狀態(tài)11。針對(duì)可以檢測(cè)到的失效模式或降級(jí)模式，增加了維修功能，并且假定一旦檢測(cè)到某一設(shè)備發(fā)生故障，維修人員可以一次完全修復(fù)所有的故障。輸入單元的馬爾可夫模型如圖3所示。

輸入單元馬爾可夫模型的轉(zhuǎn)移矩陣P可以表示如下(其中的1－Σ表示1減去此行中其他元素之和):

2.4 輸出單元的馬爾可夫模型

輸出單元為1oo2結(jié)構(gòu)，其馬爾可夫模型的建立起始于2個(gè)支路完全處于正常工作的狀態(tài)0。然后，輸入單元從狀態(tài)0以一定的概率轉(zhuǎn)移到2種降級(jí)模式(狀態(tài)1～狀態(tài)2)、安全失效模式(狀態(tài)3)、可檢測(cè)到的危險(xiǎn)失效模式(狀態(tài)4)、未檢測(cè)到的危險(xiǎn)失效模式(狀態(tài)5)。之后，輸入單元分別從2種降級(jí)模式以一定的概率轉(zhuǎn)移到狀態(tài)3、狀態(tài)4、狀態(tài)5。針對(duì)可以檢測(cè)到的失效模式或降級(jí)模式，增加了維修功能，并且假定一旦檢測(cè)到某一設(shè)備發(fā)生故障，維修人員可以一次完全修復(fù)所有的故障。輸出單元的馬爾可夫模型如圖4所示。

輸出單元馬爾可夫模型的轉(zhuǎn)移矩陣P可以表示為

其中，1－Σ表示1減去此行中其他元素之和。

由于處理單元的結(jié)構(gòu)與輸出單元的結(jié)構(gòu)一樣，都為一個(gè)1oo2的結(jié)構(gòu)，因此處理單元的馬爾可夫模型同輸出單元一樣，這里不再贅述。

3 系統(tǒng)的仿真與計(jì)算分析

在除氧器高－3水位保護(hù)系統(tǒng)控制回路中，假定其平均維修時(shí)間是8 h，因?yàn)榛芈氛`動(dòng)作造成系統(tǒng)運(yùn)行停止后(即抽汽逆止閥關(guān)閉)再重新啟動(dòng)的平均時(shí)間為24 h。假定液位開關(guān)、輸入信號(hào)線、DI模塊、控制器、DO模塊、輸出信號(hào)線、氣動(dòng)閥的平均故障前時(shí)間(MTTF)分別為10年、60年、100年、100年、100年、60年、10年，λS分別為 20% λ，5% λ，50%λ，50%λ，50% λ，5%λ，20% λ。針對(duì)輸入單元(2oo3結(jié)構(gòu))，研究診斷覆蓋率和共因?qū)TTF的影響:

(1)將共因 β固定為0.05，診斷覆蓋率 C以0.01為基準(zhǔn)單位從1到0進(jìn)行仿真，研究MTTF的變化情況，如圖5所示。

(2)將診斷覆蓋率 C固定為0.95，共因 β以0.01為基準(zhǔn)單位從1到0進(jìn)行仿真，研究MTTF的變化情況，如圖5所示。

仿真數(shù)據(jù)表明，在2oo3結(jié)構(gòu)中，診斷覆蓋率C在［0.9，1.0］之間MTTF 的變化非?？?，說明高診斷覆蓋率對(duì)系統(tǒng)MTTF的增加是非常有效的。為了提高診斷覆蓋率，系統(tǒng)需要增加相應(yīng)的診斷系統(tǒng)，但增加診斷系統(tǒng)使得系統(tǒng)整體的失效率在增加，需要在高診斷率和高失效率之間尋找一個(gè)平衡，使得系統(tǒng)整體的MTTF符合需求。

仿真數(shù)據(jù)表明，在2oo3結(jié)構(gòu)中，共因β在［0.0，0.1］之間的變化非常快，說明低共因?qū)ο到y(tǒng)的MTTF的增加是非常有效的。

采用相同的參數(shù)設(shè)置，研究診斷覆蓋率和共因?qū)π枨笫Ц怕?PFD)和安全故障概率(PFS)的影響，如圖6所示。

仿真數(shù)據(jù)表明，在2oo3結(jié)構(gòu)中，隨著診斷覆蓋率C的降低或共因β的增大，PFD在不斷增大，但PFS并沒有顯著增大，并且PFD和PFS在數(shù)量級(jí)上的差別比較大。由此可見，診斷覆蓋率C的降低或共因β的增大將主要增加系統(tǒng)危險(xiǎn)失效的概率。

圖3 輸入單元的馬爾可夫模型

圖4 輸出單元的馬爾可夫模型

圖5 MTTF與診斷覆蓋率和共因的關(guān)系(2oo3)

針對(duì)輸出單元(1oo2結(jié)構(gòu))，研究診斷覆蓋率和共因?qū)TTF的影響:

(1)將共因 β固定為0.05，診斷覆蓋率 C以0.01為基準(zhǔn)單位從1到0進(jìn)行仿真，研究MTTF的變化情況，如圖7所示。

(2)將診斷覆蓋率 C固定為0.95，共因 β以0.01為基準(zhǔn)單位從1到0進(jìn)行仿真，研究MTTF的變化情況，如圖7所示。

圖6 PFD和PFS與診斷覆蓋率和共因的關(guān)系(2oo3)

圖7 MTTF與診斷覆蓋率和共因的關(guān)系(1oo2)

仿真數(shù)據(jù)表明，在1oo2結(jié)構(gòu)中，隨著診斷覆蓋率C的增大或共因β的減小，MTTF都在增大，但增大的幅度有限，若要提高系統(tǒng)的MTTF，一方面可以提高元件的MTTF，另一方面可以改變系統(tǒng)的結(jié)構(gòu)，例如采用2oo3結(jié)構(gòu)。

采用相同的參數(shù)設(shè)置，研究診斷覆蓋率和共因?qū)π枨笫Ц怕?PFD)和安全故障概率(PFS)的影響，如圖8所示。

圖8 PFD和PFS與診斷覆蓋率和共因的關(guān)系(1oo2)

仿真數(shù)據(jù)表明，在1oo2結(jié)構(gòu)中，隨著診斷覆蓋率C的降低或共因β的增大，PFD在不斷地增大，但PFS并沒有顯著增大，并且PFD和PFS在數(shù)量級(jí)上的差別比較大。由此可見，診斷覆蓋率C的降低或共因β的增大將主要增加系統(tǒng)危險(xiǎn)失效的概率。

處理單元與輸出單元有著同樣的結(jié)構(gòu)，這里不再贅述。

有了對(duì)系統(tǒng)可靠性的分析，就可以對(duì)影響系統(tǒng)整體可靠性的環(huán)節(jié)有比較清楚的認(rèn)識(shí)，這將為系統(tǒng)可靠性分配提供理論分析的基礎(chǔ)。在設(shè)計(jì)時(shí)，需要把規(guī)定的可靠性指標(biāo)合理地分配給組成系統(tǒng)的各個(gè)單元，再將分配給各個(gè)單元的指標(biāo)合理地分配到模件直至組成系統(tǒng)的基本元件，這就需要對(duì)可靠性分配的方法［4］進(jìn)行研究，這屬于另一個(gè)研究范疇，這里不再贅述。

4 結(jié)束語(yǔ)

一般來說，影響系統(tǒng)可靠性的因素比較多，在提高系統(tǒng)可靠性方面除了增加組成系統(tǒng)基本元件的可靠性外，主要從系統(tǒng)的結(jié)構(gòu)、診斷覆蓋率及共因方面進(jìn)行研究，得到以下結(jié)論:

(1)系統(tǒng)結(jié)構(gòu)方面。在建立一個(gè)系統(tǒng)時(shí)，有多種方法來配置控制系統(tǒng)的元件。系統(tǒng)組成結(jié)構(gòu)常見的有單通道系統(tǒng)(1oo1)、雙通道系統(tǒng)(1oo2)、雙通道系統(tǒng)(2oo2)、三通道系統(tǒng)(2oo3)等。

雙通道系統(tǒng)(1oo2)能夠最有效地降低系統(tǒng)危險(xiǎn)失效的概率，但同時(shí)也增加了系統(tǒng)安全失效的概率。

雙通道系統(tǒng)(2oo2)正好相反，它能夠最有效地降低系統(tǒng)安全失效的概率，但同時(shí)也增加了系統(tǒng)危險(xiǎn)失效的概率。

三通道系統(tǒng)(2oo3)既能較好地降低系統(tǒng)危險(xiǎn)失效的概率，也能較好地降低系統(tǒng)安全失效的概率。

(2)系統(tǒng)診斷覆蓋率方面。具有高診斷覆蓋率的系統(tǒng)能夠有效減少系統(tǒng)在危險(xiǎn)失效模式下及降級(jí)模式下的運(yùn)行時(shí)間，另外，診斷直接干預(yù)系統(tǒng)的運(yùn)行，可以改善系統(tǒng)的安全性和可用性。

(3)系統(tǒng)共因方面。采用冗余技術(shù)可以大大提高系統(tǒng)的可靠性和可用率，但不能有效降低共因失效所引起的系統(tǒng)故障概率。所有級(jí)別控制系統(tǒng)的設(shè)計(jì)者都必須認(rèn)識(shí)到共因失效會(huì)嚴(yán)重降低系統(tǒng)的安全性并減少M(fèi)TTF。因此，應(yīng)該采取相應(yīng)的解決方法來消除共因失效，例如采用物理隔離的冗余單元、多樣性原則等。

［1］林誠(chéng)格，郁祖盛，歐陽(yáng)予.非能動(dòng)安全先進(jìn)核電廠AP1000［M］.北京:原子能出版社，2008.

［2］謝里陽(yáng)，林文強(qiáng).冗余系統(tǒng)共因失效的載荷－性能分析與概率估算［J］.核科學(xué)與工程，2003，23(4):289 －295.

［3］William M Goble.控制系統(tǒng)的安全評(píng)估與可靠性［M］.北京:中國(guó)電力出版社，2008.

［4］工業(yè)自動(dòng)化儀表與系統(tǒng)手冊(cè)編輯委員會(huì).工業(yè)自動(dòng)化儀表與系統(tǒng)手冊(cè)［M］.北京:中國(guó)電力出版社，2008.