喬 寧，劉景賓

（生態(tài)環(huán)境部核與輻射安全中心，北京 100082）

隨著數(shù)字化技術(shù)的發(fā)展，數(shù)字化儀控系統(tǒng)（DCS）已廣泛應(yīng)用于國內(nèi)外核電廠。由于核電廠安全運(yùn)行需要反應(yīng)堆保護(hù)系統(tǒng)執(zhí)行安全功能，因此，儀控系統(tǒng)的可靠性定量分析得到了越來越多的重視。經(jīng)過多年的運(yùn)行，國內(nèi)某核電廠積累了一定的數(shù)字化儀控系統(tǒng)部件運(yùn)行數(shù)據(jù)。本文使用故障樹（FTA）可靠性分析法，依據(jù)保護(hù)系統(tǒng)的信號流程圖建立以緊急停堆失效（保護(hù)系統(tǒng)拒動）為頂事件的故障樹，利用部件實(shí)際的故障率數(shù)據(jù)作為輸入，對建立的故障樹進(jìn)行定量分析，得到保護(hù)系統(tǒng)緊急停堆功能的故障概率和對應(yīng)的最小割集，為核電站儀控系統(tǒng)設(shè)計(jì)的改進(jìn)和運(yùn)行維護(hù)提供指導(dǎo)［1］。

1 故障樹的建模

1.1 分析流程

數(shù)字化保護(hù)系統(tǒng)是保證核電廠安全的重要組成部分，用于防止反應(yīng)堆工況超過規(guī)定的安全限值，或減輕反應(yīng)堆超過安全限值所造成的后果。保護(hù)系統(tǒng)的典型故障模式為在事故工況下不能產(chǎn)生觸發(fā)停堆斷路器動作信號（拒動），稱為預(yù)期瞬態(tài)未緊急停堆（ATWT）。故障樹建模分析是以系統(tǒng)層面不希望發(fā)生的事件為分析目標(biāo)，逐層分析導(dǎo)致系統(tǒng)各層故障出現(xiàn)的直接原因，最終分析除導(dǎo)致頂事件發(fā)生的原因（或原因的組合），評估頂事件發(fā)生概率的一種技術(shù)方法，該方法非常適合用來分析復(fù)雜系統(tǒng)的不希望發(fā)生的事件。本文以保護(hù)系統(tǒng)拒動為頂事件，采用故障樹建模分析技術(shù)評估保護(hù)系統(tǒng)的拒動概率。

圖1是一種典型的故障樹分析流程。首先，應(yīng)根據(jù)保護(hù)系統(tǒng)的構(gòu)架和功能確定分析范圍。然后，根據(jù)保護(hù)系統(tǒng)的設(shè)備組成，包括其板卡通信和供電方案，繪制保護(hù)系統(tǒng)的信號流圖。根據(jù)信號流圖，以及板卡的故障模式和處理機(jī)制，進(jìn)行故障樹模型的建立。將板卡的運(yùn)行數(shù)據(jù)處理后輸入模型進(jìn)行計(jì)算，即可得到保護(hù)系統(tǒng)拒動的概率，以及進(jìn)行后續(xù)的數(shù)據(jù)分析。

1.2 保護(hù)系統(tǒng)總體結(jié)構(gòu)

圖1 故障樹建模分析流程圖Fig.1 Modeling analysis flow chart fault tree

保護(hù)系統(tǒng)的主要功能是在事故工況下執(zhí)行安全功能：觸發(fā)緊急停堆和啟動專設(shè)安全設(shè)施驅(qū)動系統(tǒng)。該系統(tǒng)通常由4個(gè)冗余的通道構(gòu)成，每個(gè)通道滿足獨(dú)立性、隔離等要求。通道由多個(gè)功能模塊組成，包括信號的采集模塊、信號的處理模塊以及信號的輸出模塊等。

核電廠數(shù)字化保護(hù)系統(tǒng)結(jié)構(gòu)如圖2所示，當(dāng)反應(yīng)堆參數(shù)接近安全運(yùn)行范圍限值時(shí)，反應(yīng)堆保護(hù)系統(tǒng)通過停閉反應(yīng)堆自動阻止反應(yīng)堆在不安全范圍內(nèi)運(yùn)行。安全級過程儀表和核儀表產(chǎn)生的保護(hù)信號經(jīng)過保護(hù)系統(tǒng)的采集、運(yùn)算，與整定值比較后產(chǎn)生反應(yīng)堆緊急停堆驅(qū)動信號。

圖2 數(shù)字化保護(hù)系統(tǒng)結(jié)構(gòu)原理圖Fig.2 Structure diagram of digital protection system

停堆變量（過程變量、中子注量率等）由2～4個(gè)冗余的測量儀表通道進(jìn)行測量，相應(yīng)的采集及邏輯處理通道（保護(hù)組）對測得的信號進(jìn)行采集、運(yùn)算和定值比較，產(chǎn)生用于邏輯表決的“局部脫扣”信號，然后將此“局部脫扣”信號送至除自身以外的其他3個(gè)保護(hù)組，因而，每個(gè)保護(hù)組都得到了與測量通道數(shù)目相對應(yīng)的“局部脫扣”信號。然后，每個(gè)保護(hù)組對這些“局部脫扣”信號進(jìn)行表決和邏輯處理，當(dāng)滿足規(guī)定的邏輯組合要求時(shí)便發(fā)出停堆信號用于打開停堆斷路器。

1.3 故障樹建模

故障樹建模的首要任務(wù)是確定頂事件，本文中故障樹的頂事件為保護(hù)系統(tǒng)保護(hù)功能拒動。

建立故障樹應(yīng)從頂事件觸發(fā)由上而下，循序漸進(jìn)逐級進(jìn)行，故障樹演繹過程是逐層尋找事件直接原因的過程。根據(jù)故障判據(jù)將故障樹頂事件的直接原因作為中間事件用邏輯符號（或門、非門等）與頂事件相連，將該中間事件繼續(xù)向下分解，重復(fù)上述過程直至所有事件無法向下分解或不必要向下分解，這些事件即為故障樹的底事件，或稱基本事件［2］。建模開始前，應(yīng)嚴(yán)格定義頂事件、中間事件和基本事件。

保護(hù)系統(tǒng)由4個(gè)冗余的通道構(gòu)成，4個(gè)通道的輸出執(zhí)行2/4表決邏輯輸出動作信號，則3個(gè)或3個(gè)以上的通道同時(shí)發(fā)生拒動將導(dǎo)致保護(hù)系統(tǒng)拒動。

保護(hù)系統(tǒng)的每個(gè)通道由多個(gè)功能模塊（如輸入、處理和輸出模塊）組成。依據(jù)保護(hù)系統(tǒng)的信號流程圖，可分析各個(gè)功能模塊的故障狀態(tài)，如何決定該通道的狀態(tài)，即故障模塊之間的邏輯關(guān)系。

功能模塊由不同類型的板卡構(gòu)成，應(yīng)考慮板卡的故障模式，故障模式是否可診斷以及故障模式的處理機(jī)制。對于可以自檢的模塊，如處理器，分為可探測故障和不可探測故障兩類故障機(jī)制。對于可探測故障，描述可以立刻探測到故障，并進(jìn)行維修的部件，數(shù)學(xué)上認(rèn)為這類部件的故障是時(shí)間獨(dú)立的，單位時(shí)間發(fā)生的故障與前后的狀態(tài)無關(guān)。對于不可探測的故障，認(rèn)為只能由定期試驗(yàn)探測出。本文通過調(diào)研多家設(shè)計(jì)單位、核電業(yè)主公司得知，不可探測故障通常占到探測故障的1%～10%，本報(bào)告中取平均值5%，即不可探測故障為占總故障的5%。此外，在工程實(shí)踐中，對于某些自檢周期極短的模塊，如網(wǎng)卡或通訊模塊，不考慮其發(fā)生不可探測故障。

1.4 共因失效

共因失效（Common Cause Failure，簡稱CCF）是指在一個(gè)系統(tǒng)中由于某種共同的故障機(jī)理而引起兩個(gè)或兩個(gè)以上部件同時(shí)失效。共因失效是冗余系統(tǒng)失效的主要根源，從工程實(shí)踐角度來講，對執(zhí)行同一功能的同類型部件因工作原理相似、共因失效可能性較大，應(yīng)設(shè)為共因組。

共因失效參數(shù)需要大量的統(tǒng)計(jì)數(shù)據(jù)才能得到，我國目前還沒有積累足夠的可靠性運(yùn)行數(shù)據(jù)，也缺乏對數(shù)字化儀控系統(tǒng)數(shù)據(jù)的統(tǒng)計(jì)管理，因此，共因參數(shù)參考NUREG 5497—2015［11］中3.1節(jié)給出的共因參數(shù)，見表1。該標(biāo)準(zhǔn)統(tǒng)計(jì)了1997—2015年中3224次數(shù)字化儀控系統(tǒng)獨(dú)立隨機(jī)故障中的116次共因故障，包括旁通、控制、超馳等類型，具有較強(qiáng)的參考性。

表1 共因參數(shù)Table 1 Common cause parameter

1.5 軟件可靠性

目前，核電廠儀控系統(tǒng)使用的工業(yè)計(jì)算機(jī)中普遍部署Linux、Windows等操作系統(tǒng)，安全級儀控系統(tǒng)的平臺軟件和應(yīng)用軟件也是基于上述系統(tǒng)開發(fā)的。軟件因具有有別于硬件設(shè)備的、獨(dú)特的失效機(jī)理，評估軟件可靠性非常困難。

目前，國內(nèi)外尚無公認(rèn)的儀控系統(tǒng)軟件可靠性定量分析的計(jì)算方法，工業(yè)界提出了很多軟件可靠性定量評估方法，然而這些方法是否適用于核電廠安全級儀控系統(tǒng)軟件的可靠性評估，至今業(yè)界未達(dá)成共識，各國都制訂了相關(guān)法規(guī)標(biāo)準(zhǔn)對儀控系統(tǒng)可靠性總體指標(biāo)進(jìn)行規(guī)定，例如《核動力廠設(shè)計(jì)安全規(guī)定》（HAF 102—2016）［6］要求“必須設(shè)置適當(dāng)且可靠的控制系統(tǒng)，使相關(guān)過程變量保持在規(guī)定的運(yùn)行范圍內(nèi)”，但仍缺乏系統(tǒng)性、規(guī)范性的可靠性評價(jià)方法。

工程實(shí)踐中，西門子公司依據(jù)其安全級和非安全級儀控平臺的國內(nèi)外運(yùn)行經(jīng)驗(yàn)，將整個(gè)序列的軟件故障率作為整體進(jìn)行考慮，根據(jù)其安全級儀控平臺技術(shù)規(guī)格書故障率推薦使用1.0×10-6，本文為保守起見，使用1.0×10-5。

2 故障樹模型計(jì)算

2.1 數(shù)據(jù)處理

目前的核電廠儀控系統(tǒng)可靠性計(jì)算中，對于板卡級的故障率多數(shù)采用供貨商提供的數(shù)據(jù)，本文采用核電廠實(shí)際運(yùn)行的部件級故障率，可以更好地反映實(shí)際情況。根據(jù)故障樹模型的輸入要求，應(yīng)給出部件故障率的值和分布，但是，實(shí)際工作中提供的是故障次數(shù)和運(yùn)行時(shí)長，因此，需要對數(shù)據(jù)進(jìn)行轉(zhuǎn)化處理。此外，對于運(yùn)行期間無故障的部件，需要給出故障率的估算。

本文涉及的核電廠已經(jīng)運(yùn)行多個(gè)燃料循環(huán)，渡過了部件的早期失效期，可以認(rèn)為安全級儀控系統(tǒng)部件的故障是隨機(jī)分布的，故障的分布是均勻的，因此，單位時(shí)間（每小時(shí)）的故障率等于故障次數(shù)除以運(yùn)行時(shí)間［9］。

圖3 失效率-時(shí)間曲線Fig.3 Failure rat-time curve

對于運(yùn)行期間無故障的部件（例如，某些試驗(yàn)時(shí)才動作的），應(yīng)給出其故障率的估算。按照上述假定，失效概率在整個(gè)試驗(yàn)中均保持不變。對于按需動作的部件，進(jìn)行n次獨(dú)立試驗(yàn)，每次試驗(yàn)只有兩種結(jié)果——成功和失敗。如果連續(xù)n次動作均無故障，按照《核電廠安全系統(tǒng)可靠性分析一般原則》（GB/T 9225—1999）［9］中8.7.1節(jié)的方法，可估算該部件的故障率和置信區(qū)間。

根據(jù)定義：

式中，n——次數(shù)；

P0——故障率；

a——置信區(qū)間。即執(zhí)行n次試驗(yàn)成功，置信度100（1-α）%時(shí)，失敗概率P的上置信限小于或等于P0，或者說，可靠性的下置信限大于或等于1-P0。

上式變形可得：

由此可估算在要求的置信度下n次試驗(yàn)成功時(shí)的故障率。

2.2 故障樹建模

本文使用瑞典開發(fā)的Risk Spectrum軟件進(jìn)行故障樹的分析計(jì)算，故障數(shù)簡圖如圖4所示。該軟件是核電業(yè)界廣泛使用的概率安全分析軟件。

Risk Spectrum采用了最小割集算法。底事件是指故障樹中不能再分解的基本事件。割集是故障樹中若干底事件的集合，如果這些底事件全部發(fā)生將導(dǎo)致頂事件發(fā)生。最小割集是底事件的數(shù)量不能再減少的割集，即在該最小割集中去掉任意一個(gè)底事件之后，剩下的底事件的集合就不是割集。一個(gè)最小割集代表會引起故障樹頂事件發(fā)生的一種故障模式。計(jì)算出該故障樹的最小割集后，即可利用底事件的故障率和多樣性組的故障率，得出每個(gè)割集的故障率和頂事件的故障率。

圖4 故障樹簡圖Fig.4 Fault tree diagram

2.3 計(jì)算結(jié)果

根據(jù)電廠提供的故障記錄，按照本文2.1節(jié)中的方法進(jìn)行處理，輸入本文2.2節(jié)所描述的故障樹模型，得到總體故障率Q=2.03×10-7，滿足GB/T 4083中關(guān)于拒動率1×10-4的要求。前10個(gè)最小割集如表2所示。

表2 前10個(gè)最小割集Table 2 Top ten minimum cut sets

3 數(shù)據(jù)分析

3.1 共因故障是儀控系統(tǒng)失效的主要因素

如表2所示，關(guān)鍵設(shè)備的共因失效影響是儀控系統(tǒng)故障的主要因素。不考慮共因故障時(shí)，模型中不設(shè)置共因組，總體故障率為1.02×10-9，設(shè)置一組共因組的情況下總體故障率2.03×10-7，僅一項(xiàng)的貢獻(xiàn)就高達(dá)84.6%。共因失效的貢獻(xiàn)占如此比例的原因是4組同時(shí)失效“擊穿”了冗余機(jī)制，而且根據(jù)NUREG 5497的數(shù)據(jù)，其概率不是可以忽略的數(shù)字。因此，應(yīng)充分重視共因故障的風(fēng)險(xiǎn)，采取有效措施減小共因故障的概率或緩解共因故障的后果。

3.2 多樣性分組可以有效緩解共因故障

為解決安全級儀控系統(tǒng)共因故障問題，除了設(shè)置非安全級的多樣性驅(qū)動系統(tǒng)外，模型顯示，對停堆變量設(shè)置多樣性分組是十分有效的手段，如對一回路溫度高停堆，對于停堆參數(shù)設(shè)置兩個(gè)多樣化的子組，如1、3序列和2、4序列使用不同的傳感器。在模型中，模擬量輸入模塊1、3和2、4分別設(shè)置共因組，可以看出，其對故障的貢獻(xiàn)大大減小。多樣性分組最小割集見表3。

表3 多樣性分組最小割集Table 3 Diversity group minimum cut set

3.3 不可探測故障的貢獻(xiàn)遠(yuǎn)大于可探測故障

根據(jù)不可探測故障的假設(shè)，其只能在定期試驗(yàn)中發(fā)現(xiàn)，無法通過自檢等方式發(fā)現(xiàn)。不可探測類型故障的貢獻(xiàn)遠(yuǎn)大于可探測故障，舉例說明：模型計(jì)算結(jié)果中處理器不可探測故障的貢獻(xiàn)為3.36×10-10，可探測故障的貢獻(xiàn)為1.51×10-11，是僅次于共因故障的儀控系統(tǒng)失效原因。因此，應(yīng)重視不可探測故障的排查。

4 結(jié)論

應(yīng)充分重視共因故障對數(shù)字化儀控系統(tǒng)的影響，3.1節(jié)數(shù)據(jù)分析顯示，關(guān)鍵設(shè)備的共因故障是儀控系統(tǒng)故障的主要因素。因此，在數(shù)字化儀控系統(tǒng)的設(shè)計(jì)過程中，除設(shè)置非安全級的多樣性停堆系統(tǒng)和ATWT緩解系統(tǒng)外，應(yīng)考慮盡量采取停堆參數(shù)的多樣性分組。

部件的不可探測故障是儀控系統(tǒng)故障的次要因素，3.3節(jié)數(shù)據(jù)分析顯示，部件的不可探測故障的貢獻(xiàn)是可探測故障的貢獻(xiàn)的數(shù)十倍。因此，在核電廠運(yùn)行期間，對于故障率高的卡件或部件，應(yīng)考慮減少其定期試驗(yàn)周期，如轉(zhuǎn)日?；蛟诰€監(jiān)測。