Reliability Analysis of Charging Function of Digital Chemistry and Volume Control System in Nuclear Power Plant

目前，全球每年核动力所产生的能量超过70%用于发电。核能发电对全球电力生产的贡献约为10%，在我国大陆地区，核电占总发电量的5%，并在持续增长之中，堆型以水冷热中子反应堆中的压水型反应堆(Pressurized Water Reactor, PWR)为主^[1]。

核能用于电力生产的首要问题是确保其安全性，应避免发生放射性物质外泄从而危害公众及环境的事故发生，对于可能发生的事故应尽量缓解期后果。因此，压水堆核电厂的主、辅系统在设计上应满足核安全要求，并设有一系列专设安全设施以保证其安全屏障的完整性。其中，化学与容积控制系统(Reactor Chemical and Volume control system, RCV)是压水堆核电厂重要的一回路辅助系统，一方面该系统功能及工艺较为复杂，系统失效概率相对较高，对核电厂正常工况下安全、经济运行具有影响；另一方面在某些核电厂的设计中，该系统部分设备与专设安全设施兼用，从而影响到事故工况下核电厂专设安全设施顺利投入的概率。国内新建的核电厂都将采用全厂数字化控制系统(Digital I&C System, DCS)，因此，研究核电厂数字化化学与容积控制装置的可靠性具有重要意义。在系统级可靠性研究方面，文献[2-5]大多数是对安全级保护系统和非安全级蒸汽发生器水位控制系统、稳压器压力控制系统的可靠性研究，对化学与容积控制系统的可靠性研究还比较少。在设备级可靠性研究方面，文献[4-6]多是基于单一功能设备中的处理器、输入输出卡件、电源和传感器等失效模式下的可靠性分析，很少考虑DCS其他功能设备如1E机柜、开关柜、网络等的可靠性。在系统可靠性建模和分析方面，文献[6]采用故障树对核电厂数字化反应堆功率控制系统进行可靠性分析。文献[7]采用可靠性框图对核电站非安全级仪控系统冗余控制器的架构配置进行可用率计算。以上方法均是对静态故障模式的可靠性分析，但是静态建模无法反映系统动态切换过程等。在系统可靠性评估方面，文献[8]仅从部件概率重要度角度分析部件对系统的影响及薄弱环节的识别，没有多角度分析部件对顶事件的影响，存在分析角度单一问题。

针对上述问题，本文对DCS化学与容积控制系统进行可靠性分析。根据上充控制结构和上充泵冷热备用控制，建立以上充功能失效为顶事件，DCS机柜、电缆等关键设备失效为底事件的动态故障树模型；采用Markov模型进行可靠性分析，旨在分析核电厂DCS上充控制装置在设计和维修中的薄弱环节，从而确保核电厂能够高效安全运行。

上充功能即上充流量控制，其流程如图1所示，一台上充泵从容控箱吸水，并以高于反应堆冷却剂系统的压力输送反应堆冷却剂；上充流分成两部分，大部分通过上充调节阀RCV046VP和上充管线隔离阀RCV048VP进入反应堆厂房中，再经过再热交换器的管侧，被加热到接近反应堆冷却剂温度，然后流经上充管线隔离阀RCV050VP注入RCP冷段。另一部分上充流用于反应堆冷却剂泵的密封注入。另外还有一条从再热交换器出口到稳压器喷淋的管线，一旦反应堆冷却剂不能用时，该管线提供辅助喷淋功能。正常工况下，上充泵RCV002PO正常运行，RCV001PO、RCV003PO为备用泵。

数字化上充流量控制装置如图2所示，它采用双重冗余结构，分为A列和B列。DCS二层为操作和管理信息层，包含主控室操纵人员工作站(KIC)和主控室后备盘(BUP)。核电站正常运行模式时，KIC确保上充功能的执行和参数控制。在KIC不可用的情况下，BUP将保证操作员控制电站。DCS一层为自动控制层，有安全级(1E)控制系统、非安全级(NC)系统等。硬件设备有1E机柜和过程控制系统(KCP)机柜。1E机柜为安全级DCS，由Triconex硬件平台、优选模块、网关模块、隔离模块组成；KCP机柜为非安全级DCS，由处理器、AI、AO、DI、DO组成。DCS 0层为工艺系统接口层，包含执行机构和传感器等^[9-10]。

上充功能由上充泵RCV001/002/003PO、辅助油泵RCV004/005/006PO、阀门RCV046VP、阀门RCV048/050VP实现，其中RCV109SP/209SP/309SP为油压传感器。这些设备均受DCS二层到0层的逻辑控制。

(1) 上充泵的备用自投

自动调节：当上充流量低和上充泵出口压力低时，来自RCP系统的稳压器液位控制信号进入RCP，经KCP机柜逻辑处理，送出调节指令给RCV001/003PO进行备用切换。

(2) 上充泵正常启动

以RCV002PO为例描述上充泵的控制功能，RCV001/003PO的上充功能控制逻辑与RCV002PO相同，执行上充功能仅需要其中一台泵。

a. 通过KIC操作：KIC手动按钮启动命令，启动RCV005PO；RCV209SP信号不低于阈值且KIC手动按钮命令，启动RCV002PO；

b. 通过BUP操作：1E BUP手动按钮启动命令且RCV209SP信号不低于阈值，启动RCV002PO；NC BUP手动按钮启动命令，启动RCV005PO。

(3) 上充管线流量调节阀RCV046VP 的调节

a. 当KIC和BUP是自动位置时，来自RCP系统的稳压器液位控制信号进入RCP，经KCP机柜逻辑处理，送出调节指令给RCV046VP进行自动调节；

b. 当KIC和BUP是手动位置时，KIC和BUP手动输出调节指令给RCV046VP进行手动调节。

(4) 上充管线隔离RCV0048/050VP的打开

a. 通过KIC操作：KIC手动按钮开命令，打开RCV048/050VP；

b. 通过BUP操作：1E BUP手动按钮开命令，打开RCV048/050VP。

DCS二层至0层的信号逻辑上任何一环出现故障，就会中断RCV系统与操作员站的数据交互以及处理过程，使得上充控制无法实现。

本文对DCS关键设备进行可靠性评价，需要明确其建模条件。其中不考虑执行机构的共因故障，建模条件如下：

(1) 网络失效：网络故障和网络接线导致的故障合并为网络失效；

(2) 软件失效：开发人员在软件开发过程中出现的失误导致的故障为软件失效；

(3) 只考虑系统的自动动作，不考虑人为操作失误。

网络失效涉及信息安全，其可靠性分析方法有Petri网、图论等。软件失效的可靠性分析方法有GO模型、贝叶斯估计模型等。本文侧重于DCS硬件设备的可靠性分析，为了便于模型计算，将其模块化处理，且对可靠性计算结果影响较小。

传统的故障树分析方法是一种基于静态逻辑或静态故障机制的可靠性分析方法。动态故障树^[8]是在传统故障树基础上引入功能相依门、序列门、备用门等表征动态特性的逻辑门的动态分析方法。动态故障树分析方法用符号将逻辑关系、事件等形象地表示出来，并采用基本术语来描述事件之间的因果、逻辑关系。

上充功能中的三台上充泵的冷、热备用控制逻辑可用动态故障树的动态逻辑门中的冷、热备件门表示，因此采用动态故障树模型分析上充功能的可靠性。

上充功能是通过上充泵调节和调节阀实现稳压器液位控制，其中一个失效即认为上充功能失效，两者之间的关系用或门表示。三个阀门其中一个失效即为上充阀门失效，三者为逻辑或的关系。上充泵的失效过程包含上充泵自动切换失效和备用失效，两者为逻辑与关系。

由于上充功能失效的动态故障树模型规模较大，将动态故障树进行模块化分解，得到相应的一层上充泵失效的动态子树M1和阀门失效的静态子树M2，二层静态子树包括上充泵自动切换失效M3、上充泵备用失效M4、RCV046VP调节失效M5、RCV048VP打开失效M6、RCV050VP打开失效M7。上充功能失效动态故障树如图3所示。

当运行中的上充泵发生故障，导致上充流量低和上充泵出口压力低时，备用上充泵自动投入运行；其失效模式考虑到KCP机柜、接线箱和设备电缆的失效，三者逻辑关系为或，其故障树模型图4所示。

上充泵的备用失效为动态过程，RCV003PO 作为RCV002PO 的冷备用^[11]，用CSP 门进行描述；RCV001PO作为热备用，用HSP 门进行描述。其中，RCV003PO处于冷备用状态，只有RCV003PO启动成功后才能投入运行，因此RCV003PO失效有两种失效模式，启动失效和运行失效，两种模式之间为逻辑或的关系。其故障树模型见图5。

对于上充泵运行失效，考虑油压传感器触发和软件故障引起的KIC、BUP停指令误触发；软件故障引起的缺省值误触发和辅助油泵故障一并导致了油压传感器触发。RCV003PO运行失效的故障树M9模型见图6。因为RCV001PO/002PO运行失效故障树M8、M11触发逻辑与M9相同，所以M8、M9、M11故障树模型相似。

对上充泵的启动失效模式，考虑KIC/BUP指令启动上充泵失效、油压传感器通道失效和辅助油泵的启动失效。结合图2，KIC指令启动上充泵的发送路径是经过网络信号至KCP机柜，由KCP处理器后传输到1E机柜，后经电气开关柜控制上充泵的启动；1E BUP指令启动上充泵的发送路径是直接经1E机柜后，由电气开关柜控制上充泵的启动。油压传感器的通道是油压信号经接线箱直接传输至KCP机柜。辅助油泵启动也是由KIC、BUP指令启动，不同的是，KIC指令启动是经过网络信号至KCP机柜后，直接经电气开关柜控制辅助油泵的启动；NC BUP指令启动是经KCP机柜后，由电气开关柜控制辅助油泵的启动。据上述分析，RCV003PO启动失效M10模型见图7。

M5子树为RCV046VP调节失效模块，其失效模式有手动调节失效和自动调节失效。当手动调节时，其KIC指令经网络信号发送至KCP机柜，经KCP处理器后直接发送控制指令到阀门；BUP指令直接发送至KCP机柜后，发送控制指令到阀门。当自动调节时，阀门的上充流量参数经接线箱反馈至KCP机柜，经KCP处理器后发送控制指令到阀门。其失效模型见图8。

M6子树的触发逻辑与M7模块相同，其失效原因考虑到阀门指令失效和阀门供电故障。KIC阀门打开指令由网络信号传送至KCP机柜，经KCP处理器后传输到1E机柜，后经电气开关柜控制上充阀门的打开；BUP阀门打开指令是发送至1E机柜后，由电气开关柜控制上充阀门的打开。RCV048VP打开失效模型M6见图9。

根据上述各故障子树的建立与分析，得到动态子树M4和静态子树M3、M5、M6、M7，并建立以上充功能失效为顶事件，上充泵和相关阀门的控制失效为子树顶事件，硬件失效、指令误触发、网络失效、电缆失效、供电故障以及各种控制机柜失效为底事件的数字化上充功能失效的动态故障树模型，如图10所示。

本文求解顶事件T发生概率时，先计算二层静态子树M3、M5~M11的发生概率和一层静态子树M2的发生概率，再采用Markov模型计算出一层动态子树M4的发生概率。最后，以T为顶事件，M1、M2为基本事件，求出顶事件T的发生概率。

Markov模型有两种基本类型^[12]。第一种是离散时间模型或称作Markov链。第二种是连续时间模型或称作Markov过程模型。任何一个Markov模型均是用一组概率P_ij来定义的，P_ij表示系统从状态i转移到状态j的概率。Markov模型的解就是一个系统在任一离散的时间点(就Markov链而言)或在某一时刻(就Markov过程而言)处于每种可能的状态中的无条件概率。这些概率在Markov链的情况下可以把P_ij作为矩阵的元素得到齐次状态转移概率矩阵A，那么可以根据状态方程：

式中：P(t)为t时刻各状态概率的行向量；P(t+1)为t+1时刻各状态概率的行向量，确定时间t，可求出事件在t时刻发生的概率。

为了便于动态故障树的求解，先计算故障树的静态子树，本文采用最小割集法^[12]求解静态子树发生概率。RCV003PO运行失效的故障子树M9的最小割集${C_1}=\left\{ {{X_1}} \right\};{C_2}=\left\{ {{X_2}} \right\};{C_3}=\left\{ {{X_3}} \right\};{C_4}=\left\{ {{X_4}} \right\}$，其中，X_i,i=1,2,3,4为图6中M9子树对应标号的基本事件；则M9的结构函数$T={C_1} + {C_2} + {C_3} + {C_4}$，由此可计算出M9的发生概率${P_{{\rm{M9}}}}$：

同理：M3、M5、M6、M10子树的发生概率$ {P}_{\rm{M3}}{\text{、}}{P}_{\rm{M5}}{\text{、}}{P}_{\rm{M6}}{\text{、}}{P}_{\rm{M10}}$分别为

静态子树M8、M11触发逻辑与M9相同，静态子树M6的触发逻辑与M7相同，所以M7、M8、M11的发生概率$ {P}_{{\rm{M}}7}{\text{、}}{P}_{\rm{M8}}{\text{、}}{P}_{\rm{M11}}$分别为

根据图3的一层M1和M2子树和上述分析，可得上充泵失效M1和阀门失效M2的发生概率$ {P}_{\rm{M1}}{\text{、}}{P}_{\rm{M2}}$分别为

根据动态故障树模块化分析，对于动态子树上充泵备用失效M4，采用Markov模型求解。动态子树M4中包含两个动态逻辑门，冷备门和热备门。RCV003PO作为冷备件，有启动和运行两种失效状态，本文将RCV003PO两种失效状态都考虑到，比只考虑一种失效状态下的建立的Markov链更复杂，但求解顶事件的失效概率更准确。

根据图5将两个动态门从功能上转化为Markov链，如图11所示，图中圆圈代表系统当前时刻的状态，有向线段表示状态的转移方向，上面的权值则表示状态的转移概率。

图11中共有6种状态，其中“0”表示设备正常，“1”表示设备失效，“0*”表示设备处于冷备用状态。Markov链的状态表示和设备状态的一一对应关系见表1。

根据图11可得状态转移概率矩阵：

设初始条件：

将初始条件和状态转移概率矩阵A代入4.1节状态方程式(1)，可得到各个状态随时间变化的失效概率，其中状态S5(111)的时间函数为上充泵备用失效M4的发生概率P_M4。

若设备失效率为常数，如果计算使命时间内设备的不可靠性，则对于i部件的故障概率公式^[4]：

设备的可靠度公式^[4]：

根据上充控制功能失效的动态故障树一层逻辑关系，求出RCV上充控制的可靠度函数为

式中：${P_{{\rm{M1}}}}(t)$为上充泵失效概率函数；${P_{{\rm{M2}}}}(t)$为阀门失效概率函数。

计算结果分析：

本文对RCV上充控制的可靠性分析中，考虑了三台上充泵的动态特性，相较于未考虑上充泵冷、热备用的系统静态故障树的可靠性分析，动态故障树对系统的可靠性分析更符合实际核电厂的设备情况。以下定量分析静态故障树与动态故障树对系统可靠性分析的优劣。

基本事件失效率列于表2，其中各控制柜的失效率参考了文献[5]中机柜代表单元内含模块的数量及其失效率。

将表2的失效数据代入4.2节的式(2)~(4)中，得到静态子树M3、M5~M11的发生概率函数如下：

将P_M5、P_M6、P_M7代入式(6)得：

将P_M8~P_M11代入4.3节的Morkov模型，求解得到上充泵备用失效发生概率P_M4；将P_M4和上充泵自动切换失效概率P_M3代入公式4.2节的公式(5)，得到上充泵失效的发生概率函数${P_{M1}}(t)$；再结合5.1节的式(11)，得到上充泵和上充功能的可靠度函数，将其与未考虑上充泵冷、热备用系统的静态故障树可靠度进行对比，结果见图12。

由图12(a)可以看出，考虑了冷备用、热备用的动态故障树可靠度比静态故障树的可靠度更高。由图12(b)可以看出，考虑上充泵冷热备用后，上充功能的可靠度也有显著提高。

在系统中一个部分或最小割集对顶事件发生的贡献大小称为重要度。重要度对改进系统设计是十分有用的信息。不同重要度从不同的角度反映了部件对顶事件发生影响大小。本文采用Birnbaum重要度和关键重要度分析动态故障树的基本事件重要度。

(1)Birnbaum重要度

从Birnbaum重要度角度^[16]，可发现系统的薄弱环节，可通过优化系统设计，提高系统可靠性。Birnbaum重要度的表达式如式(14)所示：

式中，g[1_i,P_i(t)]和g[0_i,P_i(t)]分别为基本事件i发生和未发生时系统的发生概率。由定义可知，Birnbaum重要度表示基本事件可靠性的改变对系统可靠性的影响程度。

(2)关键重要度

从关键重要度角度^[16]，可优化系统检测维修，提高系统的可靠性。关键重要度的表达式见式(15)所示：

式中：$ P_i(t)\times I_i^{Pr}(t)$表示基本事件i触发系统故障的概率。由定义可知，关键重要度表示部件i发生概率的相对变化率与顶事件发生概率的相对变化率之比。P_i(t)*I_i^Pr(t)越大表明由基本事件i触发系统故障的可能性越大。于是可以按关键重要度的大小，列出系统设备诊断检查的顺序来指导系统的运行和维修，以利用最快的速度排查系统的故障。

计算结果分析：

图13为基本事件的Birnbaum重要度和关键重要度随时间变化曲线。表3列出了t=100 000 h时，基本事件Birnbaum重要度${I^{\Pr }}$和关键重要度${I^{{\rm{Cr}}}}$的数值及其排序。

由图13和表3可知，在重要度数值上，基本事件中电气开关柜的Birnbaum重要度和关键重要度系数最高，说明电气开关柜是上充流量控制最薄弱的环节，因此减小电气开关柜的失效率能迅速减小顶事件的发生概率。在重要度排序上，基本事件Birnbaum重要度和关键重要度的排序不同，电缆的Birnbaum重要度排序第六，但在关键重要度中排序第八，因此为了系统的安全可靠，应从多角度分析系统的可靠度。为了提高DCS上充功能的可靠性，从系统优化设计的角度，应先考虑电气开关柜和接线箱，从检测维修的角度，应优先考虑电气开关柜、KCP机柜的维护。

本文主要研究的是核电站数字化化学与容积控制系统上充功能的可靠性，采用动态故障树建立了其可靠性模型，用最小割集法和Markov对所建故障树进行定性定量分析；分析指标包括系统可靠度和基本事件重要度。分析结果表明：(1)上充泵的冗余和备用提高了系统的可靠性；(2)重要度是系统可靠性评价的重要指标，可定位到系统最薄弱的环节，从Birnbaum重要度方面，应优先考虑电气开关柜和接线箱的优化设计；从关键重要度方面，应加大对电气开关柜和KCP控制柜的定期试验和维修，两种重要度分析均为提高系统可靠性提供理论依据；(3)本文在故障树建立的过程中，将软件失效和网络失效模块化处理，主要分析了DCS关键设备对系统可靠性的影响；亦可以从软件/网络特殊失效模式考虑，分析数字化仪控系统的可靠性。