基于概率模型檢測器的核電廠蒸汽發生器水位控制系統可靠性分析

周世梁，陳浠毓，張 磊，夏林路

(1.華北電力大學 核科學與工程學院，北京 102206;2.非能動核能安全技術北京市重點實驗室，北京 102206)

現階段，核電廠安全/非安全相關的系統主要采用數字化儀控系統。數字化儀控系統的可靠性對核電廠安全運行過程的操作和維護至關重要[1]。廈門大學陳培鋒等人、上海交通大學張小琴等人使用DFM方法分別分析了無保護系統的情況下蒸汽發生器水位控制系統導致蒸汽發生器高高水位、低低水位的概率，有保護系統的情況下蒸汽發生器水位控制系統導致蒸汽發生器高高水位、低低水位的概率[2,3]。DFM方法繼承了傳統概率安全分析方法的優點,并且實現了多故障情況下的概率安全分析。其具有多態特性并考慮了控制過程中因軟件缺陷導致的故障[4]。但是DFM方法不能精確考慮系統部件的可修復性。靜態故障樹方法既不能精確考慮系統部件的可修復性，也難以完全反映數字化儀控系統的復雜和動態特性[5]，這影響了系統可用率分析的準確性。馬爾可夫過程是一種動態可靠性建模方法，可以直觀的具體的描述系統中部件的失效、修復以及運行部件與備用部件的切換，其已被用于核電廠保護系統可靠性分析[6-8]。

概率模型檢測器PRISM使用以狀態為基礎的語言描述概率模型，模塊和變量是模型的基本組成單位?？梢詫ⅹ毩⒌脑O備故障用單個模塊表示，將具有相互關聯關系的設備故障放入一個模塊表示，這種建模方法提高了建立大型模型的效率。

通過使用概率模型檢測器PRISM建立蒸汽發生器水位控制系統馬爾可夫模型，并進行定量分析，計算出了系統的不可用率，并對比分析提高儀表可維修性或增加冗余裝置對系統可用性的影響。

1 概率模型檢測器PRISM

PRISM是一個概率模型檢查器，一個驗證存在隨機行為的系統的形式化驗證工具。概率模型檢驗是一種基于數值分析的驗證技術。PRISM通過生成支持概率特性的系統模型來計算模型的狀態空間，然后分析需求規約，通過合適的模型檢測算法來驗證模型是否滿足規約。

PRISM支持四種概率模型：離散時間馬爾可夫鏈(DTMC)、連續時間馬爾可夫鏈(CTMC)、馬爾可夫決策過程(MDP)、概率時間自動機(PTA)。PRISM模型由模塊和變量組成，模塊的定義格式如下：

(1)

模塊的行為由命令描述，命令的表達方式如下：

(2)

其中，guard衛式用來描述概率行為發生的條件；采用的是連續時間馬爾可夫模型，rate用來描述概率遷移速率；update用來描述變量所產生的變化。

PRISM工具已被用于從無線通信協議到量子密碼到系統生物學的廣泛領域中的定量驗證：確定最差性能情況下藍牙缺陷或異常行為，以及用于生物信號傳導途徑的行為預測[9]。目前，PRISM已被用于動態故障樹的可靠性分析[10,11]。

假設一個控制器包含兩個熱備互投的處理器模件A和B，當A和B全部失效時控制器失效，控制器失效的馬爾可夫模型如圖1所示，標黃的狀態為失效狀態。初始情況下，控制器處于A運行B熱備用。若A發生失效，立即啟動B，進入A故障B運行狀態；若B在備用狀態下失效，系統進入A運行B故障狀態。當系統處于A故障B運行狀態，若A發生修復，系統進入A備用B運行狀態；若B發生失效，系統進入A故障B故障狀態。當系統處于A備用B運行狀態，若B發生失效，立即啟動A，進入A運行B故障狀態；若A在備用狀態下失效，系統進入A故障B運行狀態。當系統處于A運行B故障狀態，若B修復，系統進入A運行B備用狀態；若A失效，系統進入A故障B故障狀態。當系統處于A故障B故障狀態，若B發生修復，系統進入A故障B運行狀態，若A發生修復，系統進入A運行B故障狀態。

圖1 控制器失效馬爾可夫模型Fig.1 Controller Failure Markov Model

因為模件A與模件B的失效相互影響，所以需要將A與B放進一個模塊中進行描述。假設該模型中控制器的失效率為0.001，備用失效率是0.0001，修復率是0.1。該控制器失效的PRISM模型如圖2所示，其中使用formula公式來判斷馬爾可夫模型中的狀態是否為故障狀態，如果g1值為真，則代表控制失效。

圖2 控制器失效Prism模型Fig.2 Controller Failure Prism Model

假設圖一所示控制器左側串聯一個模擬量輸入模件，右側串聯一個模擬量輸出模件組成了一個控制系統。兩個模件的失效率均為0.000 01，修復率均為0.25。這個控制系統失效的PRISM模型如圖3所示，其中module ai、module ao、module control_comb分別代表模擬量輸入模件、模擬量輸出模件、控制器，因為是串聯結構，當其中任何一個裝置失效時，控制系統失效，此時g2為真。衛式中的!g2的含義是當系統失效時，系統進入檢修狀態，不再發生新的失效，設備的維修不受系統失效狀態的影響。

ctmcformula g1=(c1=1)&(c2=1);formula g2=(ai1=1)|(ao1=1)|g1;const double faiao =0.00001;const double raiao =0.25;const double fc =0.001;const double fc_standby = 0.0001;const double rc = 0.1;module aiai1 :[0..1]init 0;[](ai1=1)-> raiao:( ai1'=0);[](!g2)&(ai1=0)-> faiao:( ai1'=1);endmodulemodule aoao1 :[0..1]init 0;[](ao1=1)-> raiao:( ao1'=0);[](!g2)&(ao1=0)-> faiao:( ao1'=1);endmodulemodulecontrol_combc1 :[0..1]init 0;c2 :[0..1]init 0;cr :[0..4]init 0;[](c1=1)&(c2=0)&(cr=1)-> rc:(c1'=0)&(cr'=2);[](c1=0)&(c2=1)&(cr=3)-> rc:(c2'=0)&(cr'=0);[](c1=1)&(c2=1)&(cr=4)-> rc:(c1'=0)&(cr'=3)+ rc:(c2'=0)&(cr'=1);[](!g2)&(c1=1)&(c2=0)&(cr=1)->fc:(c2'=1)&(cr'=4);[](!g2)&(c1=0)&(c2=0)&(cr=2)->fc:(c2'=1)&(cr'=3)+fc_standby:(c1'=1)&(cr'=4);[](!g2)&(c1=0)&(c2=1)&(cr=3)->fc:(c1'=1)&(cr'=4);endmodule

2 核電廠蒸汽發生器水位控制系統

2.1 給水流量調節系統

蒸汽發生器水位控制系統由蒸汽發生器給水流量調節系統和主給水泵轉速調節系統組成的，前者是對每個蒸汽發生器分別調節流量；后者將給水母管與蒸汽母管之間的差壓維持在程序值。以某核電廠為例，該核電廠采用I/A Series的過程控制系統。

每一臺蒸汽發生器都有一個獨立的蒸汽發生器給水流量調節系統，通過控制并聯安裝在蒸汽發生器入口側的主給水調節閥和旁路給水調節閥的開度，控制給水流量，從而控制蒸汽發生器水位。在高負荷運行的情況下(18%～100%額定功率)，旁路給水調節閥全開，系統采用主給水調節閥調節給水流量，主給水調節閥由一個三沖量(蒸汽發生器水位、給水流量、蒸汽流量)控制通道進行控制。在低負荷運行的情況下(小于18%額定功率)，主給水調節閥全閉，系統采用旁路給水調節閥調節給水流量，旁路調節閥由一個單沖量(蒸汽發生器水位)控制通道進行控制。

高負荷時，主蒸汽流量信號，在被主蒸汽壓力信號校正后，與主給水流量信號在加法器作差得到汽水失配信號。蒸汽發生器水位信號與液位整定值在加法器做差得出水位偏差信號，水位偏差信號由給水溫度確定的增益補償后，輸入水位調節通道生成給水流量給定值信號。給水流量信號與汽水失配信號經加法器輸入流量調節通道(PI控制器)，從而產生主調閥的開度信號，控制給水流量，實現液位控制。給水流量調節系統結構如圖4所示。

圖4 給水流量調節系統結構圖Fig.4 Structure Chart of Feedwater Flow Regulation System

2.2 主給水泵轉速調節系統

主給水泵轉速調節系統的主要功能是將蒸汽母管和給水母管之間的壓差保持在預定值上，該值隨負荷增加而增加。系統輸入信號為代表全負荷的主蒸汽流量信號和主蒸汽母管/主給水母管壓差不匹配信號，輸出為泵轉速整定值。對每臺蒸汽發生器來的蒸汽流量信號進行求和，生成全負荷信號，生成的全負荷信號由函數發生模塊轉換成一個壓降整定值，該整定值經過濾波與給水母管與蒸汽母管之間的實測壓降經加法器產生壓差偏差信號，再輸入PI控制器，產生泵轉速整定信號。泵轉速調節器產生泵轉速調節信號，以控制給水泵轉速。給水泵轉速調節系統結構如圖5所示。

圖5 主給水泵轉速調節系統結構圖Fig.5 Structural Chart of Speed Regulation System of Main Feed Pump

3 核電廠蒸汽發生器水位控制系統可靠性建模

3.1 建模假設

鑒于蒸汽發生器水位控制系統的復雜性，建模前作出以下假設：(1)因為數字化控制系統的診斷覆蓋率一般達到90%以上，為了簡化模型，假設控制系統模件的失效均為可檢測故障；(2)熱備用模件在備用狀態下是處于工作狀態的，在缺乏備用失效率的情況下，假設備用失效率和正常運行狀態運行失效率相等；(3)假設電廠在大于20%FP的工況下運行，此時旁路調節閥全開，不考慮旁路調節閥的失效;(4)根據安全儀控系統模件、電源的平均修復時間的要求，模件的平均修復時間小于4 h，電源的平均修復時間小于2 h，所以假設模件、電源的維修率分別為0.25、0.5; (5)限于篇幅，以1號蒸汽發生器為例，對其水位控制系統進行可靠性分析，不考慮2號、3號蒸汽發生器控制系統及其他系統設備的失效。

3.2 核電廠蒸汽發生器水位控制系統馬爾可夫模型

核電廠蒸汽發生器水位控制系統失效連續時間馬爾可夫模型如圖6所示，為了便于展示，對模型圖形進行了簡化處理。因為處理器模件組和電源模件組都是熱備互投的，所以處理器模件組失效、電源模件組失效的馬爾可夫模型與圖1所示模型結構相同。

圖6 蒸汽發生器水位控制系統馬爾可夫模型Fig.6 Markov Model of Steam Generator Water Level Control System

圖6 蒸汽發生器水位控制系統馬爾可夫模型(續)Fig.6 Markov Model of Steam Generator Water Level Control System

在這個控制系統中，對于有三個測量通道的信號，當其中兩個通道失效時，認為該信號失效，信號維持上一刻值不變。對于有兩個測量通道的信號，當其中一通道失效時，認為該信號失效，信號維持上一刻值不變，這種失效用或門來表示。

系統主要設備失效率與維修率如表1所示。

表1 系統主要設備可靠性參數Table 1 Reliability parameters of main equipment in the system

3.3 PRISM分析結果

一臺蒸汽發生器的蒸汽發生器水位控制系統的不可用率如圖7所示，系統的穩態不可用率約為2.3×10-4。

圖7 蒸汽發生器水位控制系統不可用率Fig.7 Unavailability of Steam Generator Water Level Control System

將考慮修復時整個系統的馬爾可夫模型近似等效為一個可修復部件，該部件的不可用率滿足式3。使用式3對圖8所示曲線計算，得到系統的失效率約為1.1×10-5，維修率約為0.047。

圖8 蒸汽發生器水位控制系統不可用率(改進后)Fig.8 Unavailability of Steam Generator Water Level Control System(After Improvement)

(3)

系統的平均故障間隔時間(MTBF)和平均修復前時間(MTTR)應分別滿足公式(4)與公式(5)。將系統的失效率與修復率代入公式(4)和公式(5)，可得系統的MTBF、MTTR約為9.1×104h、21 h。

(4)

(5)

馬爾可夫模型中導致蒸汽發生器水位控制系統失效的主要故障組合如表2所示，可以發現由于主給水流量測量，主蒸汽流量測量，主蒸汽壓力測量未采用三通道冗余，其相關測量儀表成為導致系統失效的主要原因，表中各故障組合穩態不可用率及占總不可用率百分比一致。因為蒸汽發生器水位信號的采集是三通道冗余的，需要使用采集模件1、2、3，當失效兩個模件時，信號采集失效。但是，當采集模件1、2、3其中任何一個模件失效，都會導致蒸汽發生器水位控制系統失效，因此在蒸汽發生器水位采集失效發生之前，一定會有主給水流量信號、主蒸汽流量信號、主蒸汽壓力信號之一采集發生失效。

表2 馬爾可夫模型主要故障組合及其穩態概率Table 2 Major failure states and steady-state probabilities of Markov model

3.4 系統可靠性設計

因為核電廠DCS可用性要優于99.99%，所以儀表維修時間為24 h不滿足要求，要提高系統可靠性，降低系統不可用率，可以采取以下兩種方式：(1)改變儀表的平均維修時間，提高儀表設備的修復率，增強儀表的可修復性;(2)將主給水流量信號，主蒸汽流量信號，主蒸汽壓力信號的測量由兩通道改變成三通道，提高信號測量的冗余性。

將儀表平均修復時間降低到12 h、8 h、4 h時、以及增加冗余儀表時系統不可用率如圖8所示，系統不可用率分別約為1.3×10-4、9.7×10-5、6.3×10-5、2.1×10-6，系統不可用率分別下降44%、58%、73%、99%。對比可以得到，增加冗余裝置對系統可用率的提升效果更明顯。

4 結論

建立了核電廠數字化蒸汽發生器水位控制系統的馬爾可夫模型，使用PRISM對模型進行了可靠性分析。PRISM通過模塊化建模，提高了建模效率，可大幅度降低可靠性工程師建模工作量。通過PRISM直接描述馬爾可夫模型，描述能力更強，可描述自備互投等具有復雜時序和相關性的故障情景。

可靠性模型描述了系統的傳感器、采集模件、處理器、輸出模件、電源模件、閥門和泵共計35部件的狀態，系統狀態總數達到百萬量級。

模型中考慮了多處復雜的失效相關性和失效時序，比如主處理器模件、熱備用處理器模件的熱備互投，主電源、熱備用電源的熱備互投，熱備用模件在備用狀態下的失效?？紤]了電動主給水泵組中備用泵的啟動失效。

結果表明主給水流量計失效、主蒸汽流量計失效、主蒸汽壓力計失效是導致失效發生的主要原因，共占系統不可用率的90%。通過對比兩種提升系統可靠性的方案，增加冗余儀表帶來的系統可用率提升最為明顯，使系統不可用率降低了99%，提高儀表維修率，降低儀表平均維修時間帶來的可用率提升相對較弱。為了保證系統可用性，儀表的平均維修時間應該小于8 h，對于采用三通道測量的儀表，其平均維修時間可以延長至24 h。