打开文本图片集

摘要：本文以核电厂反应堆停堆保护系统为例，通过系统功能结构分解，实现数字化系统设备的故障模式及影响分析，根据系统共因部件组的定义划分，分别利用β和α共因失效因子模型对系统共因失效影响进行了对比分析。系统共因失效影响分析对比结果表明，；考虑四通道PIPS模块共因失效时，系统不可靠度在α因子模型和β因子模型基础上分别提高了655%和200%，证实了β因子模型在二阶以上冗余结构共因失效中的局限性。相较而言，共因失效是引起系统可靠性下降的重要影响因素，在实际系统设计和运行中应加以重点关注和预防。

关键词：数字化反应堆停堆保护系统；共因失效；故障树模型；β因子模型；α因子模型

1引言

增加系统可靠度最普遍的方法就是在系统设计过程中增加冗余配置，冗余结构系统的的设计增加了控制系统的容错能力，同时也不可避免的引入了共因失效问题。因此，在工程实际应用中特别是核电厂工程设计中关键的问题之一就是冗余结构系统共因失效分析。反应堆停堆保护系统作为数字化仪表与控制系统的重要组成部分，其安全性相关问题一直是国内外研究人员关注的重点，反应堆停堆保护系统在设计过程中通常都会采用多通道冗余结构以便减少其失效概率。可是，共因失效问题的存在会显著降低该系统的可靠性。

2 共因失效概念及计算模型

2.1 共因失效基本概念

共因失效（Common Cause Failure CCF）指的是因为一个或者多个共同事件使得冗余结构系统的两个及以上部件同一时间或在很短的时间间隔内处于功能故障状态下。

每个能够引起系统组件故障的的要素都有可能导致系统发生共因失效事件。这些要素既有可能的内在原因，比如设计错误和制造误差，也有可能是外部原因，比如维护不当、操作错误、环境应力。

2.2 共因失效参数模型

本文在研究过程中主要采用了基本参数模型结合β因子模型或α因子模型的方法进行共因失效分析。下面针对这三种参数模型进行了介绍。

1）基本参数模型（Basic Parameters BP）

BP模型是用系统所有可能发生的基本事件（包括共因失效事件）来对系统进行建模描述并用基本事件的发生概率来计算系统的总失效概率，基本事件指的是系统逻辑模型中部件或部件组处于故障状态的最小割集事件，相对应的系统总的故障概率就是系统所有最小割集事件发生概率的总和。

以一个由三个相同部件（A、B、C）组成的2/3表决系统为例，若三个部件相互独立，此时系统的最小割集为：{A，B}、{B，C}、{A，C}，要是考虑共因失效那么部件A的总失效概率就可以表示为：

2）β因子模型

β因子模型将系统部件总的失效分为两部分依次是部件共因失效和部件独立失效。β为部件共因失效率与部件总失效率之比，具体公式如下：

其中λc为共因失效率；λt为部件总失效率；λI为部件独立失效率。

很显然有：

3）α因子模型

αk定义为共因失效导致的k个部件一起故障的概率与部件总失效率之比，有：

Qk可以通过Qt和αk计算。

式中Qk为k个部件同时故障的概率，Qt为部件总的失效概率。

3 数字化反应堆停堆保护系统可靠性分析

如图3-1所示，该系统包括四个通道（即，IP、IIP、IIIP和IVP）。每个通道又包括两个子通道以及构成子通道-1和子通道-2的八个子部件组。每个子部件组（见图3-2）包含三种类型的信号调节模块，即模拟信号调节模块（ACM），数字信号调节模块（DCM）和热电偶信号调节模块（TCM），两种类型的输入模块，即模拟输入模块（AI）和数字输入模块（DI）、输入/输出扩展模块（EXT）、数字输出模块（DO）、处理器模块（CPU）和通信模块（COM）。其中CPU和COM为热备冗余配置。

3.1 系统故障模式分析

参考实际工程经验，结合标准SN29500， 假设各模块故障模式失效概率如表3-1所示。

3.2 系统故障树建模

故障树建模基于以下假设：

1）分析侧重于数字化系统本身，没有考虑传感器，输入停堆断路器的硬接线以及相关继电器的故障。

2）由于对供电系统的了解还不充分，本文不考虑供电系统的分析。

3）不考虑系统可修复性。

4）假设每个子通道的每个模块（除所研究的部件）都是相互独立的。

以反应堆停堆保护系统功能失效作为故障树建模的顶事件。

1、顶事件发生原因分析

在特殊情况下，该系统中的四个保护组都接受到了停堆保护的命令信号但系统又没法正常停堆的原因主要有两个：一是停堆断路器故障；二是四冗余保护组输出停堆信号失败也就是收四个保护组中三个或三个以上的通道都没法正常输出停堆信号，具体见表3-2。

2、停堆断路器按需求失效分为运行失效和需求失效两个基本事件。

3、四冗余保护组输出停堆信号失败原因主要可以分为5种，见表3-3。

4、IP通道无法输出停堆保护信号的原因

将IP通道没法输出停堆保护信号看作这一子模块的顶事件，则有下列两个事件中的任何一个事件发生，顶事件都会发生，按照这一逻辑关系，这两个事件在故障树中以或门连接。

1）PIPS模块故障；

2）IP通道中两个RPC子通道故障。

5、RPC-11不能输出停堆保护信号的原因

RPC-11 中模拟信号调节模块（ACM），数字信号调节模块（DCM），热电偶信号调节模块（TCM），模拟输入模块（AI）和数字输入模块（DI）、输入/输出扩展模块（EXT）、数字输出模块（DO）、处理器模块（CPU）和通信模块（COM）在功能上是串联的关系任何一个模块失效都会导致总的RPC机柜故障。

最后可以得到数字化反应堆停堆子系统故障树模型。

3.3 系统失效概率计算

由布尔代数法计算的停堆保护系统失效的最小一阶割集有2个，最小三阶割集有4个，最小四阶割集有588个。

系统失效故障树中间事件与顶事件失效概率如表3-4所示：

4 存在共因失效的数字化反应堆停堆保护系统可靠性分析

4.1 共因部件组确定

共因部件组的选择确定对于整个分析过程来讲至关重要，不同的共因部件组对于分析结果有着决定性的影响，为了让研究的误差减少，应该按照以下的准则来确定：

在执行的功能上具有一定联系或者置于一样的工作环境的部件组很有可能为共因部件组。

本研究选择了共因部件组依次是：执行同一功能的多个PIPS模块。

4.2 共因失效故障树模型

在对所确定的共因部件组分析过程中需要将与之对应的基本事件加入进去。具体操作是以逻辑‘或’门的方法将与共因部件组相关联的独立失效事件和共因失效基本事件连接起来，进而创建出考虑共因失效之后的FTA模型。

在对其进行PIPS共因失效分析时不考虑模块的故障模式只考虑其共因失效和独非共因失效两种情况。

4.3 共因失效分析

对于所研究的共因部件组，通常进行这样的假定：

1）系统中所有部件在没有产生共因失效时，部件之间相互独立且寿命按照指数方式衰减。

2）不同数量的部件共因事件之间相互独立。

3）不同数量的部件同时失效的失效率只与部件数量有关。

4.3.1 PIPS模块共因失效分析

1）共因失效模型参数设置：

用β因子模型进行分析时，假定β=0.1，t=8760h；

使用α因子模型进行分析时，本文采用了文献[8]中对四阶共因组提供的α因子的值分别为α1=0.95231，α2=0.0147，α3=0.0102，α4=0.0059。

2）定性分析及结果：

由布尔代数法停堆保护系统功能失效的最小一阶割集为7个，最小三阶割集为4个，最小四阶割集为588个，与不考虑共因失效时相比系统的最小一阶割集数量有了比较大的增长，系统的失效概率必然也会大幅度增长。

3）定量分析及其结果：

计算结果见表3-6。

通过表格可以很明显的看出来在考虑PIPS模块的共因失效事件之后，系统的不可靠度增加的幅度非常大。这与割集方面的表现是一致的。而这还只是考虑了一个模块的共因失效，说明了在数字化反应堆停堆子系统中共因失效时主要的失效形式。

由表3-6可以看出对于高阶冗余结构系统用β因子模型时会有很大的误差而这与我们的理论认知时相符的。

5 结论

将故障树模型与β因子模型和α因子模型相结合，对所研究的两个共因部件组进行共因失效定量计算，最后发现考虑PIPS模块的共因失效用β因子模型计算时系统的失效率会增加200%，用α因子模型计算时系统总的不可靠度会增加655%，由此可见共因失效的确是数字化反应堆停堆保护系统冗余结构最主要的失效形式。

参考文献

[1] 王宁，李淑敏，蔡志强，胡大伟. 基于故障树理论的共因失效系统重要度分析[J]. 电子设计工程，2015， 23（14）：15-19.

[2] 周金宇，谢里阳，王学敏. 冗余结构系统共因失效相关性分析及概率预测[J]. 机械工程学报，2005，41（5）：44-48.