周世梁，陳浠毓，張 磊，夏林路

(1.華北電力大學(xué) 核科學(xué)與工程學(xué)院，北京 102206;2.非能動(dòng)核能安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室，北京 102206)

現(xiàn)階段，核電廠安全/非安全相關(guān)的系統(tǒng)主要采用數(shù)字化儀控系統(tǒng)。數(shù)字化儀控系統(tǒng)的可靠性對(duì)核電廠安全運(yùn)行過程的操作和維護(hù)至關(guān)重要[1]。廈門大學(xué)陳培鋒等人、上海交通大學(xué)張小琴等人使用DFM方法分別分析了無保護(hù)系統(tǒng)的情況下蒸汽發(fā)生器水位控制系統(tǒng)導(dǎo)致蒸汽發(fā)生器高高水位、低低水位的概率，有保護(hù)系統(tǒng)的情況下蒸汽發(fā)生器水位控制系統(tǒng)導(dǎo)致蒸汽發(fā)生器高高水位、低低水位的概率[2,3]。DFM方法繼承了傳統(tǒng)概率安全分析方法的優(yōu)點(diǎn),并且實(shí)現(xiàn)了多故障情況下的概率安全分析。其具有多態(tài)特性并考慮了控制過程中因軟件缺陷導(dǎo)致的故障[4]。但是DFM方法不能精確考慮系統(tǒng)部件的可修復(fù)性。靜態(tài)故障樹方法既不能精確考慮系統(tǒng)部件的可修復(fù)性，也難以完全反映數(shù)字化儀控系統(tǒng)的復(fù)雜和動(dòng)態(tài)特性[5]，這影響了系統(tǒng)可用率分析的準(zhǔn)確性。馬爾可夫過程是一種動(dòng)態(tài)可靠性建模方法，可以直觀的具體的描述系統(tǒng)中部件的失效、修復(fù)以及運(yùn)行部件與備用部件的切換，其已被用于核電廠保護(hù)系統(tǒng)可靠性分析[6-8]。

概率模型檢測(cè)器PRISM使用以狀態(tài)為基礎(chǔ)的語言描述概率模型，模塊和變量是模型的基本組成單位?？梢詫ⅹ?dú)立的設(shè)備故障用單個(gè)模塊表示，將具有相互關(guān)聯(lián)關(guān)系的設(shè)備故障放入一個(gè)模塊表示，這種建模方法提高了建立大型模型的效率。

通過使用概率模型檢測(cè)器PRISM建立蒸汽發(fā)生器水位控制系統(tǒng)馬爾可夫模型，并進(jìn)行定量分析，計(jì)算出了系統(tǒng)的不可用率，并對(duì)比分析提高儀表可維修性或增加冗余裝置對(duì)系統(tǒng)可用性的影響。

1 概率模型檢測(cè)器PRISM

PRISM是一個(gè)概率模型檢查器，一個(gè)驗(yàn)證存在隨機(jī)行為的系統(tǒng)的形式化驗(yàn)證工具。概率模型檢驗(yàn)是一種基于數(shù)值分析的驗(yàn)證技術(shù)。PRISM通過生成支持概率特性的系統(tǒng)模型來計(jì)算模型的狀態(tài)空間，然后分析需求規(guī)約，通過合適的模型檢測(cè)算法來驗(yàn)證模型是否滿足規(guī)約。

PRISM支持四種概率模型：離散時(shí)間馬爾可夫鏈(DTMC)、連續(xù)時(shí)間馬爾可夫鏈(CTMC)、馬爾可夫決策過程(MDP)、概率時(shí)間自動(dòng)機(jī)(PTA)。PRISM模型由模塊和變量組成，模塊的定義格式如下：

(1)

模塊的行為由命令描述，命令的表達(dá)方式如下：

(2)

其中，guard衛(wèi)式用來描述概率行為發(fā)生的條件；采用的是連續(xù)時(shí)間馬爾可夫模型，rate用來描述概率遷移速率；update用來描述變量所產(chǎn)生的變化。

PRISM工具已被用于從無線通信協(xié)議到量子密碼到系統(tǒng)生物學(xué)的廣泛領(lǐng)域中的定量驗(yàn)證：確定最差性能情況下藍(lán)牙缺陷或異常行為，以及用于生物信號(hào)傳導(dǎo)途徑的行為預(yù)測(cè)[9]。目前，PRISM已被用于動(dòng)態(tài)故障樹的可靠性分析[10,11]。

假設(shè)一個(gè)控制器包含兩個(gè)熱備互投的處理器模件A和B，當(dāng)A和B全部失效時(shí)控制器失效，控制器失效的馬爾可夫模型如圖1所示，標(biāo)黃的狀態(tài)為失效狀態(tài)。初始情況下，控制器處于A運(yùn)行B熱備用。若A發(fā)生失效，立即啟動(dòng)B，進(jìn)入A故障B運(yùn)行狀態(tài)；若B在備用狀態(tài)下失效，系統(tǒng)進(jìn)入A運(yùn)行B故障狀態(tài)。當(dāng)系統(tǒng)處于A故障B運(yùn)行狀態(tài)，若A發(fā)生修復(fù)，系統(tǒng)進(jìn)入A備用B運(yùn)行狀態(tài)；若B發(fā)生失效，系統(tǒng)進(jìn)入A故障B故障狀態(tài)。當(dāng)系統(tǒng)處于A備用B運(yùn)行狀態(tài)，若B發(fā)生失效，立即啟動(dòng)A，進(jìn)入A運(yùn)行B故障狀態(tài)；若A在備用狀態(tài)下失效，系統(tǒng)進(jìn)入A故障B運(yùn)行狀態(tài)。當(dāng)系統(tǒng)處于A運(yùn)行B故障狀態(tài)，若B修復(fù)，系統(tǒng)進(jìn)入A運(yùn)行B備用狀態(tài)；若A失效，系統(tǒng)進(jìn)入A故障B故障狀態(tài)。當(dāng)系統(tǒng)處于A故障B故障狀態(tài)，若B發(fā)生修復(fù)，系統(tǒng)進(jìn)入A故障B運(yùn)行狀態(tài)，若A發(fā)生修復(fù)，系統(tǒng)進(jìn)入A運(yùn)行B故障狀態(tài)。

圖1 控制器失效馬爾可夫模型Fig.1 Controller Failure Markov Model

因?yàn)槟＜嗀與模件B的失效相互影響，所以需要將A與B放進(jìn)一個(gè)模塊中進(jìn)行描述。假設(shè)該模型中控制器的失效率為0.001，備用失效率是0.0001，修復(fù)率是0.1。該控制器失效的PRISM模型如圖2所示，其中使用formula公式來判斷馬爾可夫模型中的狀態(tài)是否為故障狀態(tài)，如果g1值為真，則代表控制失效。

圖2 控制器失效Prism模型Fig.2 Controller Failure Prism Model

假設(shè)圖一所示控制器左側(cè)串聯(lián)一個(gè)模擬量輸入模件，右側(cè)串聯(lián)一個(gè)模擬量輸出模件組成了一個(gè)控制系統(tǒng)。兩個(gè)模件的失效率均為0.000 01，修復(fù)率均為0.25。這個(gè)控制系統(tǒng)失效的PRISM模型如圖3所示，其中module ai、module ao、module control_comb分別代表模擬量輸入模件、模擬量輸出模件、控制器，因?yàn)槭谴?lián)結(jié)構(gòu)，當(dāng)其中任何一個(gè)裝置失效時(shí)，控制系統(tǒng)失效，此時(shí)g2為真。衛(wèi)式中的!g2的含義是當(dāng)系統(tǒng)失效時(shí)，系統(tǒng)進(jìn)入檢修狀態(tài)，不再發(fā)生新的失效，設(shè)備的維修不受系統(tǒng)失效狀態(tài)的影響。

ctmcformula g1=(c1=1)&(c2=1);formula g2=(ai1=1)|(ao1=1)|g1;const double faiao =0.00001;const double raiao =0.25;const double fc =0.001;const double fc_standby = 0.0001;const double rc = 0.1;module aiai1 :[0..1]init 0;[](ai1=1)-> raiao:( ai1'=0);[](!g2)&(ai1=0)-> faiao:( ai1'=1);endmodulemodule aoao1 :[0..1]init 0;[](ao1=1)-> raiao:( ao1'=0);[](!g2)&(ao1=0)-> faiao:( ao1'=1);endmodulemodulecontrol_combc1 :[0..1]init 0;c2 :[0..1]init 0;cr :[0..4]init 0;[](c1=1)&(c2=0)&(cr=1)-> rc:(c1'=0)&(cr'=2);[](c1=0)&(c2=1)&(cr=3)-> rc:(c2'=0)&(cr'=0);[](c1=1)&(c2=1)&(cr=4)-> rc:(c1'=0)&(cr'=3)+ rc:(c2'=0)&(cr'=1);[](!g2)&(c1=1)&(c2=0)&(cr=1)->fc:(c2'=1)&(cr'=4);[](!g2)&(c1=0)&(c2=0)&(cr=2)->fc:(c2'=1)&(cr'=3)+fc_standby:(c1'=1)&(cr'=4);[](!g2)&(c1=0)&(c2=1)&(cr=3)->fc:(c1'=1)&(cr'=4);endmodule

2 核電廠蒸汽發(fā)生器水位控制系統(tǒng)

2.1 給水流量調(diào)節(jié)系統(tǒng)

蒸汽發(fā)生器水位控制系統(tǒng)由蒸汽發(fā)生器給水流量調(diào)節(jié)系統(tǒng)和主給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)組成的，前者是對(duì)每個(gè)蒸汽發(fā)生器分別調(diào)節(jié)流量；后者將給水母管與蒸汽母管之間的差壓維持在程序值。以某核電廠為例，該核電廠采用I/A Series的過程控制系統(tǒng)。

每一臺(tái)蒸汽發(fā)生器都有一個(gè)獨(dú)立的蒸汽發(fā)生器給水流量調(diào)節(jié)系統(tǒng)，通過控制并聯(lián)安裝在蒸汽發(fā)生器入口側(cè)的主給水調(diào)節(jié)閥和旁路給水調(diào)節(jié)閥的開度，控制給水流量，從而控制蒸汽發(fā)生器水位。在高負(fù)荷運(yùn)行的情況下(18%～100%額定功率)，旁路給水調(diào)節(jié)閥全開，系統(tǒng)采用主給水調(diào)節(jié)閥調(diào)節(jié)給水流量，主給水調(diào)節(jié)閥由一個(gè)三沖量(蒸汽發(fā)生器水位、給水流量、蒸汽流量)控制通道進(jìn)行控制。在低負(fù)荷運(yùn)行的情況下(小于18%額定功率)，主給水調(diào)節(jié)閥全閉，系統(tǒng)采用旁路給水調(diào)節(jié)閥調(diào)節(jié)給水流量，旁路調(diào)節(jié)閥由一個(gè)單沖量(蒸汽發(fā)生器水位)控制通道進(jìn)行控制。

高負(fù)荷時(shí)，主蒸汽流量信號(hào)，在被主蒸汽壓力信號(hào)校正后，與主給水流量信號(hào)在加法器作差得到汽水失配信號(hào)。蒸汽發(fā)生器水位信號(hào)與液位整定值在加法器做差得出水位偏差信號(hào)，水位偏差信號(hào)由給水溫度確定的增益補(bǔ)償后，輸入水位調(diào)節(jié)通道生成給水流量給定值信號(hào)。給水流量信號(hào)與汽水失配信號(hào)經(jīng)加法器輸入流量調(diào)節(jié)通道(PI控制器)，從而產(chǎn)生主調(diào)閥的開度信號(hào)，控制給水流量，實(shí)現(xiàn)液位控制。給水流量調(diào)節(jié)系統(tǒng)結(jié)構(gòu)如圖4所示。

圖4 給水流量調(diào)節(jié)系統(tǒng)結(jié)構(gòu)圖Fig.4 Structure Chart of Feedwater Flow Regulation System

2.2 主給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)

主給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)的主要功能是將蒸汽母管和給水母管之間的壓差保持在預(yù)定值上，該值隨負(fù)荷增加而增加。系統(tǒng)輸入信號(hào)為代表全負(fù)荷的主蒸汽流量信號(hào)和主蒸汽母管/主給水母管壓差不匹配信號(hào)，輸出為泵轉(zhuǎn)速整定值。對(duì)每臺(tái)蒸汽發(fā)生器來的蒸汽流量信號(hào)進(jìn)行求和，生成全負(fù)荷信號(hào)，生成的全負(fù)荷信號(hào)由函數(shù)發(fā)生模塊轉(zhuǎn)換成一個(gè)壓降整定值，該整定值經(jīng)過濾波與給水母管與蒸汽母管之間的實(shí)測(cè)壓降經(jīng)加法器產(chǎn)生壓差偏差信號(hào)，再輸入PI控制器，產(chǎn)生泵轉(zhuǎn)速整定信號(hào)。泵轉(zhuǎn)速調(diào)節(jié)器產(chǎn)生泵轉(zhuǎn)速調(diào)節(jié)信號(hào)，以控制給水泵轉(zhuǎn)速。給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)結(jié)構(gòu)如圖5所示。

圖5 主給水泵轉(zhuǎn)速調(diào)節(jié)系統(tǒng)結(jié)構(gòu)圖Fig.5 Structural Chart of Speed Regulation System of Main Feed Pump

3 核電廠蒸汽發(fā)生器水位控制系統(tǒng)可靠性建模

3.1 建模假設(shè)

鑒于蒸汽發(fā)生器水位控制系統(tǒng)的復(fù)雜性，建模前作出以下假設(shè)：(1)因?yàn)閿?shù)字化控制系統(tǒng)的診斷覆蓋率一般達(dá)到90%以上，為了簡化模型，假設(shè)控制系統(tǒng)模件的失效均為可檢測(cè)故障；(2)熱備用模件在備用狀態(tài)下是處于工作狀態(tài)的，在缺乏備用失效率的情況下，假設(shè)備用失效率和正常運(yùn)行狀態(tài)運(yùn)行失效率相等；(3)假設(shè)電廠在大于20%FP的工況下運(yùn)行，此時(shí)旁路調(diào)節(jié)閥全開，不考慮旁路調(diào)節(jié)閥的失效;(4)根據(jù)安全儀控系統(tǒng)模件、電源的平均修復(fù)時(shí)間的要求，模件的平均修復(fù)時(shí)間小于4 h，電源的平均修復(fù)時(shí)間小于2 h，所以假設(shè)模件、電源的維修率分別為0.25、0.5; (5)限于篇幅，以1號(hào)蒸汽發(fā)生器為例，對(duì)其水位控制系統(tǒng)進(jìn)行可靠性分析，不考慮2號(hào)、3號(hào)蒸汽發(fā)生器控制系統(tǒng)及其他系統(tǒng)設(shè)備的失效。

3.2 核電廠蒸汽發(fā)生器水位控制系統(tǒng)馬爾可夫模型

核電廠蒸汽發(fā)生器水位控制系統(tǒng)失效連續(xù)時(shí)間馬爾可夫模型如圖6所示，為了便于展示，對(duì)模型圖形進(jìn)行了簡化處理。因?yàn)樘幚砥髂＜M和電源模件組都是熱備互投的，所以處理器模件組失效、電源模件組失效的馬爾可夫模型與圖1所示模型結(jié)構(gòu)相同。

圖6 蒸汽發(fā)生器水位控制系統(tǒng)馬爾可夫模型Fig.6 Markov Model of Steam Generator Water Level Control System

圖6 蒸汽發(fā)生器水位控制系統(tǒng)馬爾可夫模型(續(xù))Fig.6 Markov Model of Steam Generator Water Level Control System

在這個(gè)控制系統(tǒng)中，對(duì)于有三個(gè)測(cè)量通道的信號(hào)，當(dāng)其中兩個(gè)通道失效時(shí)，認(rèn)為該信號(hào)失效，信號(hào)維持上一刻值不變。對(duì)于有兩個(gè)測(cè)量通道的信號(hào)，當(dāng)其中一通道失效時(shí)，認(rèn)為該信號(hào)失效，信號(hào)維持上一刻值不變，這種失效用或門來表示。

系統(tǒng)主要設(shè)備失效率與維修率如表1所示。

表1 系統(tǒng)主要設(shè)備可靠性參數(shù)Table 1 Reliability parameters of main equipment in the system

3.3 PRISM分析結(jié)果

一臺(tái)蒸汽發(fā)生器的蒸汽發(fā)生器水位控制系統(tǒng)的不可用率如圖7所示，系統(tǒng)的穩(wěn)態(tài)不可用率約為2.3×10-4。

圖7 蒸汽發(fā)生器水位控制系統(tǒng)不可用率Fig.7 Unavailability of Steam Generator Water Level Control System

將考慮修復(fù)時(shí)整個(gè)系統(tǒng)的馬爾可夫模型近似等效為一個(gè)可修復(fù)部件，該部件的不可用率滿足式3。使用式3對(duì)圖8所示曲線計(jì)算，得到系統(tǒng)的失效率約為1.1×10-5，維修率約為0.047。

圖8 蒸汽發(fā)生器水位控制系統(tǒng)不可用率(改進(jìn)后)Fig.8 Unavailability of Steam Generator Water Level Control System(After Improvement)

(3)

系統(tǒng)的平均故障間隔時(shí)間(MTBF)和平均修復(fù)前時(shí)間(MTTR)應(yīng)分別滿足公式(4)與公式(5)。將系統(tǒng)的失效率與修復(fù)率代入公式(4)和公式(5)，可得系統(tǒng)的MTBF、MTTR約為9.1×104h、21 h。

(4)

(5)

馬爾可夫模型中導(dǎo)致蒸汽發(fā)生器水位控制系統(tǒng)失效的主要故障組合如表2所示，可以發(fā)現(xiàn)由于主給水流量測(cè)量，主蒸汽流量測(cè)量，主蒸汽壓力測(cè)量未采用三通道冗余，其相關(guān)測(cè)量儀表成為導(dǎo)致系統(tǒng)失效的主要原因，表中各故障組合穩(wěn)態(tài)不可用率及占總不可用率百分比一致。因?yàn)檎羝l(fā)生器水位信號(hào)的采集是三通道冗余的，需要使用采集模件1、2、3，當(dāng)失效兩個(gè)模件時(shí)，信號(hào)采集失效。但是，當(dāng)采集模件1、2、3其中任何一個(gè)模件失效，都會(huì)導(dǎo)致蒸汽發(fā)生器水位控制系統(tǒng)失效，因此在蒸汽發(fā)生器水位采集失效發(fā)生之前，一定會(huì)有主給水流量信號(hào)、主蒸汽流量信號(hào)、主蒸汽壓力信號(hào)之一采集發(fā)生失效。

表2 馬爾可夫模型主要故障組合及其穩(wěn)態(tài)概率Table 2 Major failure states and steady-state probabilities of Markov model

3.4 系統(tǒng)可靠性設(shè)計(jì)

因?yàn)楹穗姀SDCS可用性要優(yōu)于99.99%，所以儀表維修時(shí)間為24 h不滿足要求，要提高系統(tǒng)可靠性，降低系統(tǒng)不可用率，可以采取以下兩種方式：(1)改變儀表的平均維修時(shí)間，提高儀表設(shè)備的修復(fù)率，增強(qiáng)儀表的可修復(fù)性;(2)將主給水流量信號(hào)，主蒸汽流量信號(hào)，主蒸汽壓力信號(hào)的測(cè)量由兩通道改變成三通道，提高信號(hào)測(cè)量的冗余性。

將儀表平均修復(fù)時(shí)間降低到12 h、8 h、4 h時(shí)、以及增加冗余儀表時(shí)系統(tǒng)不可用率如圖8所示，系統(tǒng)不可用率分別約為1.3×10-4、9.7×10-5、6.3×10-5、2.1×10-6，系統(tǒng)不可用率分別下降44%、58%、73%、99%。對(duì)比可以得到，增加冗余裝置對(duì)系統(tǒng)可用率的提升效果更明顯。

4 結(jié)論

建立了核電廠數(shù)字化蒸汽發(fā)生器水位控制系統(tǒng)的馬爾可夫模型，使用PRISM對(duì)模型進(jìn)行了可靠性分析。PRISM通過模塊化建模，提高了建模效率，可大幅度降低可靠性工程師建模工作量。通過PRISM直接描述馬爾可夫模型，描述能力更強(qiáng)，可描述自備互投等具有復(fù)雜時(shí)序和相關(guān)性的故障情景。

可靠性模型描述了系統(tǒng)的傳感器、采集模件、處理器、輸出模件、電源模件、閥門和泵共計(jì)35部件的狀態(tài)，系統(tǒng)狀態(tài)總數(shù)達(dá)到百萬量級(jí)。

模型中考慮了多處復(fù)雜的失效相關(guān)性和失效時(shí)序，比如主處理器模件、熱備用處理器模件的熱備互投，主電源、熱備用電源的熱備互投，熱備用模件在備用狀態(tài)下的失效。考慮了電動(dòng)主給水泵組中備用泵的啟動(dòng)失效。

結(jié)果表明主給水流量計(jì)失效、主蒸汽流量計(jì)失效、主蒸汽壓力計(jì)失效是導(dǎo)致失效發(fā)生的主要原因，共占系統(tǒng)不可用率的90%。通過對(duì)比兩種提升系統(tǒng)可靠性的方案，增加冗余儀表帶來的系統(tǒng)可用率提升最為明顯，使系統(tǒng)不可用率降低了99%，提高儀表維修率，降低儀表平均維修時(shí)間帶來的可用率提升相對(duì)較弱。為了保證系統(tǒng)可用性，儀表的平均維修時(shí)間應(yīng)該小于8 h，對(duì)于采用三通道測(cè)量的儀表，其平均維修時(shí)間可以延長至24 h。