尹慧琳，楊筱菡

(同濟大學a.中德安全儀控實驗室 上海 200092;b.數學系 上海 200092)

0 引言

核電儀控系統(tǒng)控制著整個電能生產的主要和輔助過程，并在所有運行模式及緊急情況下維護電站的安全性、可靠性及可用性，以及在正常運行工況下維護環(huán)境的正常狀態(tài)。其中安全儀控系統(tǒng)負責執(zhí)行必要的安全保護功能，以保證被保護對象處于安全狀態(tài)。當危險事件發(fā)生時，安全儀控系統(tǒng)將采取適當的動作和措施，防止被保護對象進入危險狀態(tài)。隨著核電站安全儀控系統(tǒng)服役時間加長，其硬件系統(tǒng)可靠性下降，系統(tǒng)安全等級隨之下降，安全儀控系統(tǒng)作為保證受控設備安全狀態(tài)的關鍵，其自身的安全性、可靠性問題日益成為研究的焦點。

國內核電安全儀控系統(tǒng)的設計主要依據為《核電廠設計安全規(guī)定》、《核電廠安全系統(tǒng)設計基準》以及《核電廠常規(guī)島儀表與控制系統(tǒng)設計規(guī)程》等。這些規(guī)程規(guī)定關注的是單一設備的安全性能，而對于不同生產廠商的單一安全產品集成為系統(tǒng)后的安全性，以及當某些設備出現故障時系統(tǒng)整體的安全性，都沒有明確的評價依據。功能安全的設計和評估從對單一設備和系統(tǒng)發(fā)展到對安全儀控系統(tǒng)整個安全生命周期提出安全要求，確保安全系統(tǒng)在整個安全生命周期中都能正常工作。國際上已建立了功能安全的標準體系，如IEC61508等。國內對安全儀表系統(tǒng)功能安全的研究越來越重視，引進了國際標準并制訂了相應的國家標準，但核電領域還未建立功能安全認證體系，進行系統(tǒng)功能安全測試成為目前核電站面臨的新課題。

在功能安全研究中，安全完整性等級 (Safety Integrity Level，SIL)是一個核心概念，衡量在一定時間、條件下，安全系統(tǒng)執(zhí)行其安全功能的可靠程度［1］。如何計算安全相關系統(tǒng)的失效概率是IEC61508在確定安全完整性等級時研究的主要問題之一，失效概率具體指高要求操作模式或連續(xù)操作模式下的PFH(Probability of Failure per Hour)和低要求操作模式下的PFD(Probability of Failure on Demand)，操作模式取決于具體應用情況，本文對失效概率統(tǒng)一進行研究。IEC61508中只是對參數相同并且簡單的冗余結構，如二取一、三取二冗余結構的失效概率給出了計算方法，對更復雜的系統(tǒng)尚未涉及。核電站數字化儀控系統(tǒng)［］的反應堆限制系統(tǒng)及反應堆保護系統(tǒng)中都采用四取二冗余結構，即當四個通道中至少有兩個通道正常工作時系統(tǒng)保持正常工作。本文對核電站安全儀控系統(tǒng)中四取二冗余結構的失效概率計算方法進行研究。

常用的失效概率計算方法有故障樹分析、可靠性方塊圖法、Markov方法及Petri網方法等［3-4］。本文借鑒IEC61508標準第六部分中計算簡單系統(tǒng)失效概率的方法，對四取二系統(tǒng)進行可靠性分析，提出一種面向工程應用的失效概率計算新方法POPFA(Practice-oriented Probability of Failure Analysis)。以數字化核電安全儀控系統(tǒng)TXS的四取二冗余結構為計算實例，通過與Markov方法進行比較，表明POPFA方法計算結果正確并且計算復雜度遠小于Markov方法，適合于工程應用。該方法為核電站安全儀控系統(tǒng)的安全性、可靠性分析及認證提供工程應用參考及理論基礎。

1 四取二冗余系統(tǒng)的POPFA方法

從可靠性和安全性角度，對四取二冗余結構做以下假設及定義:

(1)四個通道結構相同，皆為可修復系統(tǒng)，可靠性參數完全相同，且連續(xù)工作時間和故障修復時間服從負指數分布;

(2)除共因故障外，在任一時刻，不會有兩個或兩個以上的通道同時出現故障;發(fā)生共因故障時，該四取二結構失效，但并不意味整個系統(tǒng)失效，因為該四取二結構只是安全儀控系統(tǒng)的其中一個子系統(tǒng)，整個系統(tǒng)還采用了物理多樣性等方法;

(3)初始時刻，四個通道均工作正常。

故障分為危險可識別、危險不可識別、不危險可識別、不危險不可識別四種類型。對系統(tǒng)的失效概率進行研究，只考慮危險可識別和危險不可識別兩種故障。首先對四取二冗余系統(tǒng)的危險不可識別故障導致的系統(tǒng)失效概率進行分析，在此基礎上對系統(tǒng)的失效概率進行求解。

1.1 危險不可識別故障導致的系統(tǒng)失效概率計算

危險可識別和危險不可識別故障的故障率分別表示為λDD、λDU，對于危險可識別故障，故障發(fā)生后立刻維修，平均修復時間為MTTR(mean time to repair);危險不可識別故障需在周期性檢測試驗(periodical proof test)時故障被檢測并進行維修，平均修復時間為檢測時間與實際維修時間之和。假設故障發(fā)生在任何時間，平均檢測時間為檢測試驗周期T的一半，通常實際維修時間遠遠小于檢測試驗周期時，平均修復時間近似為T/2。危險可識別、危險不可識別故障相應的修復率分別表示為μDD=1/MTTR，μDU=2/T。對于多通道冗余系統(tǒng)，每個通道要分別進行周期性檢測試驗，Hilderbrandt［5］證明，各通道檢測時間交替情況下系統(tǒng)的失效概率小于各通道同時檢測時系統(tǒng)的失效概率，本文采用各通道檢測交替進行的方法降低系統(tǒng)失效概率，如圖 1，每個通道的檢測周期為 T，各通道檢測的時間間隔為T/4。圖中曲線U1(t)為通道1的失效概率曲線，可近似視為正比曲線:

圖1 四取二冗余系統(tǒng)各通道及系統(tǒng)的失效概率

失效概率最大值U1max=λDU·T及最小值U1min=0分別出現在檢修開始時刻T-及結束時刻T+。

設第四通道檢修開始時刻為t1(如圖1)，該時刻各通道的失效概率分別為:

當三個或四個通道失效時該冗余系統(tǒng)失效，所以該時刻系統(tǒng)的失效概率為:

該時刻的失效概率為系統(tǒng)失效概率的最大值，即:

同樣的方法可求得系統(tǒng)失效概率的最小值:

圖1中U(t)表示系統(tǒng)的失效概率曲線，近似為一正比曲線，失效概率均值為:

1.2 系統(tǒng)的失效概率計算

單通道危險可識別故障導致的失效概率為:

三個或四個通道同時發(fā)生故障時，系統(tǒng)失效，所以相應的系統(tǒng)失效概率為:

可識別共因故障、不可識別共因故障因子分別設為βD、β。危險可識別共因故障導致的系統(tǒng)失效概率為:

危險不可識別共因故障，各通道的周期檢測時間間隔為T/4，任何通道檢測時都會檢測到共因故障，所以系統(tǒng)失效概率為:

系統(tǒng)的失效概率由四部分組成:可識別故障、不可識別故障、可識別共因故障、不可識別共因故障，即:

2 Markov方法的實現

根據四取二冗余系統(tǒng)中各通道的運行狀態(tài)，Markov模型的狀態(tài)空間包括S0至S11的十二個狀態(tài)。如圖2，狀態(tài)S0表示四個通道都正常工作，狀態(tài)S1表示三個通道正常工作、一個通道存在危險不可識別故障，狀態(tài)S2表示三個通道正常工作、一個通道存在危險可識別故障，狀態(tài)S10表示危險不可識別共因故障，狀態(tài)S11為危險可識別共因故障。

單通道發(fā)生危險不可識別故障的概率為(1- β)λDU，四個通道中有一個通道發(fā)生危險不可識別故障的概率為4(1- β)λDU，即為由 S0到S1的狀態(tài)轉換率。在任何通道檢測時，都可發(fā)現危險不可識別共因故障，各通道的檢測時間間隔為T/4，所以由S10到S0的狀態(tài)轉換率為4μDU。

有兩個以上通道發(fā)生故障時，冗余系統(tǒng)失效，即當系統(tǒng)處于狀態(tài)S6、S7…、S11時系統(tǒng)失效。

圖2 四取二冗余系統(tǒng)的Markov模型

3 算例分析

根據安全設計準則，核電安全儀控系統(tǒng)［6］TXS(比如田灣核電站采用)設計有兩個多樣性組，每個多樣性組具有四個冗余通道，主要包括測量回路、信號采集和處理計算機部分及表決計算機部分［7］。將各通道的參數設定如表1?；诒?各參數，分別用本文中新方法及Markov方法求得系統(tǒng)的失效概率為2.82 E-7和3.02 E-7?；赑OPFA方法的失效概率值列于表2。

表1 四取二冗余結構中各參數設定

表2 基于POPA方法的不可用度及失效概率值

基于Markov方法的系統(tǒng)處于失效狀態(tài)的概率P6、P7…、P11及PF示于圖3，其中:

表2中危險不可識別共因故障導致的系統(tǒng)失效概率UDUC遠大于其他失效概率值，接近系統(tǒng)的失效概率。同樣，由圖3也可看出，基于Markov方法的計算也存在同樣結果，P10遠遠大于其他狀態(tài)概率，即如果系統(tǒng)失效，危險不可識別共因故障的影響起

圖3 基于Markov方法的部分狀態(tài)概率及系統(tǒng)的失效概率主導作用。

在同樣的運行環(huán)境下(基于Intel(R)Core(TM)i3-2100 CPU@3.10GHz處理器、4.0 GB內存PC機由MATLAB程序實現運算)，POPFA與 Markov方法的運算時間分別為4E-6 s和1.31 s，POPFA運算成本遠低于Markov方法。

4 結束語

本文借鑒IEC61508標準第六部分計算簡單系統(tǒng)失效概率的方法，對四取二冗余結構進行可靠性分析，提出一種面向工程應用的失效概率計算新方法POPFA。以數字化核電安全儀控系統(tǒng)TXS的四取二冗余結構為算例，通過與Markov方法進行比較表明該方法計算結果正確并且計算復雜度遠小于Markov方法，適合于工程應用。POPFA方法可為核電站安全儀控系統(tǒng)的安全性、可靠性分析及功能安全認證提供工程應用參考及理論基礎。

［1］IEC 61508:Functionalsafety ofelectrical/electronic/programmable electronic safety related systems［S］.International Electro-technical Commission，2000.

［2］DING Y J.Unavailability analysis of a generic safety I＆C system with a 2004 redundant structure［J］.Automation，Oldenbourg Industrie-verlag，2010(5):32-36.

［3］HILDEBRANDT A.Calculation of the probability of failure on demand(PFD)of a heterogeneous 1002 structure following the EN 61508 ［J］.Automatisierungstechnische Praxis(atp)，Oldenbourg-Verlag，2007，10(1):64-68.

［4］HILDEBRANDT A.Calculating the“probability of failure on demand”(PFD)of complex structures by means of markov models［C］.Proceedingsofthe 4th European Conference on Electricaland Instrumentation Applications in the Petroleum and Chemical Industry(PCIC Europe 2007)，Paris，2007，6(1):36-40.

［5］HILDEBRANDT A.Smaller probability of failure with periodical proof test in multi-channel systems［J］.Automation Praxis(atp)，Oldenbourg-Verlag，2010，6(1):2-5.

［6］成衛(wèi)東，劉云，冷杉.安全儀控系統(tǒng)分布式控制器可靠性研究［J］.電力自動化設備，2014，34(2):165-169.

［7］周海翔.田灣核電站安全儀控系統(tǒng)(TXS系統(tǒng))失效概率估算［J］.核科學與工程，2007，27(1):86-92.