大型鈉冷快堆1E級DCS的緊急停堆系統(tǒng)可靠性計算分析與評價

張 強，李磊實，黃 婧，尹寶娟

大型鈉冷快堆1E級DCS的緊急停堆系統(tǒng)可靠性計算分析與評價

張 強，李磊實，黃 婧，尹寶娟

（國防科工局核技術支持中心，北京 100080）

國產(chǎn)1E級分布式控制系統(tǒng)（DCS）首次應用于大型鈉冷快堆，其可靠性對反應堆的安全至關重要。針對大型鈉冷快堆，采用獨立于設計方馬爾可夫分析法的故障樹分析方法，選擇保護系統(tǒng)中緊急停堆系統(tǒng)的拒動概率進行審評復核計算，建立故障樹可靠性計算分析模型進行計算，并與設計方提供的可靠性計算結(jié)果比較分析。結(jié)果表明，1E級DCS保護系統(tǒng)中緊急停堆系統(tǒng)的拒動概率計算結(jié)果與設計方計算結(jié)果相對偏差在8%以內(nèi)，兩種方法的計算結(jié)果符合技術規(guī)格書要求，表明設計方計算結(jié)果是可接受的，為大型鈉冷快堆1E級DCS的核安全審評提供了技術支持。

DCS，可靠性，故障樹，審評復核

隨著關鍵核電設備國產(chǎn)化進程的持續(xù)推進，擬建和在建核電廠的安全重要儀表和控制系統(tǒng)普遍采用新研發(fā)的國產(chǎn)1E級分布式控制系統(tǒng)（DCS）[1]。國內(nèi)具有自主知識產(chǎn)權的1E級DCS國產(chǎn)化也不斷取得突破，如中國核動力研究設計院“龍鱗系統(tǒng)”將應用于大型鈉冷快堆核電機組。在1E級DCS設計許可核安全審評中，可靠性是1E級DCS的一項重要技術指標，直接影響反應堆的安全性和運行經(jīng)濟性，也是核安全審評中關注的重點。

開展獨立審評復核計算，是我國核安全監(jiān)管技術審評單位在核安全審評中正在逐步使用的一項重要技術手段，可有效提高核安全審評的獨立性、科學性和有效性[2]。相關核安全法規(guī)和標準對1E級DCS可靠性均有相應的安全要求，對1E級DCS可靠性開展獨立審評復核計算，能夠?qū)?E級DCS設計方可靠性計算的可信性和有效性進行獨立評價，為核安全審評奠定良好的技術基礎。

1 核安全審評要求

我國相關核安全法規(guī)和標準對1E級DCS的可靠性核安全審評提出了明確的要求?！吨腥A人民共和國核安全法》第10條規(guī)定：應當持續(xù)開發(fā)先進、可靠的核安全技術，充分利用先進的科學技術成果，提高核安全水平[3]?！逗藙恿S設計安全規(guī)定》（HAF102—2016）規(guī)定，核電廠設計必須適當考慮安全重要物項發(fā)生共因故障的可能性，以確定應該如何應用多樣性、多重性和獨立性原則來實現(xiàn)所需的可靠性[4,5]。

為細化核安全法規(guī)對1E級DCS可靠性的總體要求，相關標準對可靠性給出了具體技術要求。例如，《核反應堆保護系統(tǒng)安全準則》（GB/T 4083—2005）規(guī)定，核電廠緊急停堆系統(tǒng)的可靠性要求為：每個變量的系統(tǒng)安全故障率（誤停堆）≤1次/年；每個變量在要求保護動作時，系統(tǒng)因隨機故障而不動作的概率≤10-5[6-8]。根據(jù)設計方提供的大型鈉冷快堆DCS技術規(guī)格書的規(guī)定，大型鈉冷快堆1E級DCS保護系統(tǒng)中緊急停堆系統(tǒng)可靠性要求為：每個變量在要求保護動作時，系統(tǒng)因隨機故障而不動作的概率≤10-7。

2 獨立審評復核

緊急停堆系統(tǒng)作為1E級DCS中保護系統(tǒng)的重要組成部分，其可靠性直接關系到反應堆的運行安全，也是核安全審評中關注的重點。本文以大型鈉冷快堆1E級DCS為例，選擇保護系統(tǒng)中典型系統(tǒng)緊急停堆系統(tǒng)的拒動概率進行獨立審評復核計算分析與評價，采用故障樹分析方法進行可靠性建模，該計算方法有別于設計方采用的馬爾科夫計算分析方法。

2.1　1E級DCS總體結(jié)構(gòu)

大型鈉冷快堆1E級DCS的典型系統(tǒng)為保護系統(tǒng)，其功能主要由保護組處理機柜（RPC）完成的緊急停堆功能、由RPC和專設系列處理機柜（ESFAC）共同完成的專設安全設施驅(qū)動功能構(gòu)成。圖1為設計方提供的大型鈉冷快堆1E級DCS保護系統(tǒng)（緊急停堆系統(tǒng)和專設安全設施觸發(fā)系統(tǒng)）總體架構(gòu)。

2.2　緊急停堆系統(tǒng)

為了提高緊急停堆系統(tǒng)可靠性，大型鈉冷快堆1E級DCS緊急停堆系統(tǒng)設計4個保護組（ⅠP、ⅡP、ⅢP、ⅣP），每個保護組均由2個互為冗余的保護子組構(gòu)成[9]。其中，保護組ⅠP分為保護子組RPC-A和RPC-a、保護組ⅡP分為保護子組RPC-B和RPC-b、保護組IIIP分為保護子組RPC-C和RPC-c、保護組IVP分為保護子組RPC-D和RPC-d，如圖2所示。緊急停堆系統(tǒng)相關的信號采集及邏輯處理在四個保護組內(nèi)實現(xiàn)，每個保護子組均采用2個主從熱備冗余中央處理器（CPU），即設置了主CPU和熱備用CPU。

圖1 大型鈉冷快堆1E級DCS系統(tǒng)總體結(jié)構(gòu)圖

圖2　大型鈉冷快堆1E級DCS緊急停堆系統(tǒng)

保護系統(tǒng)所需的現(xiàn)場一次儀表傳感器信號，首先經(jīng)過程儀表處理系統(tǒng)（PIPS）中的信號采集、隔離和分配等模塊處理后，再送至相應的保護組處理模塊（RPC）[10]。每個保護子組均對所在保護子組產(chǎn)生和接收的觸發(fā)信號進行4取2（2oo4）邏輯表決；若表決通過，則該保護子組將產(chǎn)生保護子組緊急停堆信號。該保護子組緊急停堆信號產(chǎn)生后，將被送往停堆斷路器（RTB），停堆斷路器對所接收的保護子組緊急停堆信號進行2oo4邏輯表決；若表決通過，則將斷開電路。

2.3　1E級DCS緊急停堆系統(tǒng)可靠性模型

2.3.1四通道冗余結(jié)構(gòu)拒動失效故障樹模型

大型鈉冷快堆1E級DCS緊急停堆系統(tǒng)建立故障樹可靠性計算分析模型主要考慮PIPS和RPC部分。針對1E級DCS緊急停堆系統(tǒng)四個保護組2oo4架構(gòu)，當3個或3個以上PIPS或者RPC發(fā)生拒動時，將會導致緊急停堆系統(tǒng)發(fā)生拒動。當PIPS或者RPC發(fā)生共因失效時，也將直接導致緊急停堆系統(tǒng)發(fā)生失效。構(gòu)建的拒動故障樹模型如圖3所示。

圖3　四通道冗余結(jié)構(gòu)拒動故障樹

2.3.2緊急停堆系統(tǒng)拒動失效故障樹模型

大型鈉冷快堆1E級DCS緊急停堆系統(tǒng)拒動失效作為頂事件，根據(jù)圖2緊急停堆系統(tǒng)整體架構(gòu)和圖3四通道冗余結(jié)構(gòu)拒動故障樹，建立了如圖4所示的大型鈉冷快堆1E級DCS緊急停堆系統(tǒng)拒動失效故障樹模型。

2.3.3轉(zhuǎn)化計算模型

將圖4故障樹模型轉(zhuǎn)化為如式（1）所示的計算關系。

其中，變量（）——t時刻時的緊急停堆系統(tǒng)拒動概率；

PIPS（）——PIPS拒動概率；

PIPS-NC（）——PIPS非共因拒動概率；

PIPS-C（）——PIPS共因拒動概率；

RPC（）——保護組拒動概率；

RPC-NC（）和RPC-C（）——保護組非共因拒動概率和保護組共因拒動概率。

根據(jù)圖4故障樹邏輯結(jié)構(gòu)可得：

（3）

根據(jù)參考文獻[11，12]，（）可表示為式（6），式中的D表示拒動率。

將公式（2）、公式（3）、公式（4）、公式（5）和公式（6）分別代入公式（1）中可得計算關系公式（7）。

其中，DDNCPU表示CPU危險可檢測非共因失效率；DUNCPU表示CPU危險不可檢測非共因失效率；DDNI表示I卡危險可檢測非共因失效率；DUNI表示I卡危險不可檢測非共因失效率；DDNO表示O卡危險可檢測非共因失效率；DUNO表示O卡危險不可檢測非共因失效率；DDNPIPS表示PIPS危險可檢測非共因失效率；DUNPIPS表示PIPS危險不可檢測非共因失效率；DDC表示RPC危險可檢測共因失效率；DUC表示RPC危險不可檢測共因失效率；DDCPIPS表示PIPS危險可檢測共因失效率；DUCPIPS表示PIPS危險不可檢測共因失效率；MTTR表示維修時間。

采用平均需求時失效概率avg表示大型鈉冷快堆緊急停堆系統(tǒng)拒動概率，如公式（8）所示。其中，表示緊急停堆系統(tǒng)的定期試驗周期。

2.3.4計算分析

（1）基本輸入?yún)?shù)

選取3種典型變量，即模擬量調(diào)理信號PIPSA21、開關量調(diào)理信號PIPSD和熱電偶調(diào)理信號PIPSTC?？煽啃曰据斎?yún)?shù)由設計方提供，表1為緊急停堆系統(tǒng)中關鍵模塊及其失效率。根據(jù)大型鈉冷快堆相關技術規(guī)定，1E級DCS緊急停堆系統(tǒng)平均修復時間=4 h，可檢測共因失效因子D=0.3%，不可檢測共因失效因子=0.6%，=3個月。

表1　相關模塊失效率

續(xù)表

（2）分析結(jié)果

將（1）中假設數(shù)據(jù)代入式（7）和式（8）中，可以得出當=3個月時，以模擬量調(diào)理信號PIPSA21對應的PIPS模塊為例，對應緊急停堆系統(tǒng)拒動概率為：

avg_PIPSA21=1.55×10-9

同理，可得其余典型模塊的計算結(jié)果如下：

avg_PIPSD=1.27×10-9

avg_PIPSTC=1.71×10-9

分析結(jié)果表明，緊急停堆系統(tǒng)拒動概率為10-9量級，低于技術規(guī)格書規(guī)定的大型鈉冷快堆1E級DCS保護系統(tǒng)中緊急停堆系統(tǒng)拒動概率10-7的設計目標。

2.4　分析與討論

根據(jù)第2.3.4章緊急停堆系統(tǒng)拒動概率安全審評復核的計算結(jié)果，與設計方對比如表2所示。結(jié)果表明，大型鈉冷快堆1E級DCS緊急停堆系統(tǒng)拒動概率審評復核計算結(jié)果與設計方的計算結(jié)果都在同一個數(shù)量級，相對偏差在8%以內(nèi)，屬于可接受的范圍，兩種計算方法的計算結(jié)果均符合DCS技術規(guī)格書規(guī)定。

表2　安全審評復核結(jié)果比較分析

對于設計方與審評復核計算結(jié)果存在些許偏差的原因進行了初步分析，主要由兩種計算方法的差異所致。審評復核計算采用的是故障樹分析方法，故障樹是一種自上而下的邏輯演繹模型，屬于靜態(tài)分析方法，未考慮故障后的修復過程；設計方采用的是馬爾可夫分析法，馬爾可夫是邏輯狀態(tài)轉(zhuǎn)移模型，屬于動態(tài)分析方法，考慮了故障后的維修和狀態(tài)動態(tài)轉(zhuǎn)移等因素。上述兩種分析方法均是反應堆保護系統(tǒng)可靠性分析中常用的分析方法，已在核電廠行業(yè)內(nèi)多個核電機組中得到了廣泛應用。因此，通過故障樹方法的獨立審評復核計算并與設計方提供的計算值進行比較，也說明了設計方可靠性有關計算是有效的和可信的。

3 結(jié)論

針對大型鈉冷快堆，利用故障樹分析方法對1E級DCS中保護系統(tǒng)緊急停堆系統(tǒng)拒動概率進行了獨立審評復核計算，并將審評復核計算與設計方的計算值進行了對比，結(jié)果表明：緊急停堆系統(tǒng)拒動概率審評復核計算結(jié)果與設計方的計算值相對偏差在8%以內(nèi)，該偏差在可接受的范圍內(nèi)，滿足DCS技術規(guī)格書規(guī)定，也說明設計方的有關計算是有效和可信的。本文介紹的大型鈉冷快堆1E級DCS緊急停堆系統(tǒng)可靠性獨立審評復核計算分析，對于大型鈉冷快堆緊急停堆系統(tǒng)可靠性核安全審評和設計方開展相關設計工作有重要參考價值。

［1］ 張強，毛虎，黃婧．核電廠安全級DCS安全審評重要關注點探討［J］．上海交通大學學報，2018，52（增刊1）：151-158.

［2］ 劉巧鳳，韓靜茹．CAP1400反應堆壓力容器快中子注量獨立審核計算［J］．中國核電，2018，4：462-465.

［3］ 中華人民共和國核安全法［Z］．2017.

［4］ 國家核安全局．核動力廠設計安全規(guī)定［Z］．北京：國家核安全局，2016.

［5］ 劉澤軍，李華升，劉宇，等．核電廠應急給水系統(tǒng)的設計配置及多樣性問題研究［J］．核安全，2018，17（4）：44-50.

［6］ 中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局．核反應堆保護系統(tǒng)安全準則：GB/T 4083—2005［S］．2005.

［7］ 王偉，趙軍，童節(jié)娟，等．反應堆保護系統(tǒng)可靠性指標的評價方法研究［J］．原子能科學技術，2015，49（06）：1101-1108.

［8］ 鄭偉智．核電站反應堆保護系統(tǒng)故障對策分析與應用［J］．核電子學與探測技術，2012，32（3）：337-341.

［9］ 李洪光．反應堆保護系統(tǒng)與汽輪機保護系統(tǒng)——設計準則比對分析［J］．科技創(chuàng)新導報，2019，20：90-92.

［10］何正熙，劉宏春，肖鵬，等．CENTER高通量工程試驗堆保護系統(tǒng)設計［J］．科技視界，2018，33：21-24.

［11］張慶，馬權，韓文興，等．考慮系統(tǒng)共因失效的核電廠安全級DCS可靠性分析［M］．中國核科學技術進展報告（第五卷），2017：92-97.

［12］威廉·戈布爾．控制系統(tǒng)的安全評估與可靠性［M］. 白焰，董玲，楊國田，譯．北京：中國電力出版社，2008：193-207.

The Reliability Calculation Analysis and Evaluation of the Safety DCS Emergency Shutdown System of the Large-scale Sodium Cooled Fast Reactor

ZHANG Qiang，LI Leishi，HUANG Jing，YIN Baojuan

（Nuclear Technology Support Center，State Administration of Science，Technology and Industry for National Defense，Beijing 100080，China）

The domestically-made safety distributed control system (DCS) was first applied to the large-scale sodium cooled fast reactor, and its reliability is very important to the safety of reactor. For large-scale sodium cooled fast reactors, a fault tree analysis method independent of the designer’s Markov analysis method is used to select the rejection probability of the emergency shutdown system in the protection system for review and review calculations, and establish a fault tree reliability calculation analysis model, example calculation and analysis, and comparison with the reliability calculation results provided by the designer. The results show that the relative deviation between the rejection probability calculation results of the emergency shutdown system in the safety-level DCS protection system and the designer’s calculation is within 8%. The calculation results of the two methods meet the requirements of the technical specifications, indicate that the designer’s calculation is effective and credible, it provides technical support for the nuclear safety review of the safety-level DCS of the large-scale sodium cooled fast reactor.

Distributed control system (DCS); Reliability; Fault tree analysis; Verification calculation

TP31

A

0258-0918（2021）06-1268-07

2020-11-01

張 強（1986—），安徽淮南市人，高級工程師，現(xiàn)主要從事核安全審評機關研究