第41卷第12期2020年12月
自动化仪表
PROCESS AUT0M\TI0N INSTRl MKNTATION
Vol.41 No. 12
Dec.2020
核电厂数字仪控系统动态可靠性分析方法综述
黄晓津,朱云龙,周树桥,郭超
(淸屮大学核能与新能源技术研究院,先进反应堆丨:程与安全教部重点实验室,北京丨()()〇84)
摘要:仪表~拧制(I&C)系统是核电厂的屮枢神经,对确保核电厂的安全、稳定和经济运行起矜至关®要的作It丨早期使用基于模拟技术的仪控系统对核电厂的状态进行监测和控制,®部件易老化.U维护成本高昂:W此,0前核电厂使用数卞化仪控系统(DCS) 代替模拟仪控系统对于数字化仪控系统软件、硬件耦合以及人因复杂交互等特点,传统的静态可靠性分析方法无法完全适用动态可靠性分析方法可以发现设计中的薄
弱环节,改善或增强数字化仪控系统的可靠性总结了动态可靠性分析方法:①当前典型的动态可靠性分折7/法,包括动态失效模式与影响分析(FMEA)、动态故障/事件树(D FT/ET)、动态流图方法(DFM ))、马尔科夫区间映 射方法(Markm/CCMT);②堪于仿K的方法,包括动态决策事忭树(〇[)KT)和连续事件树(CET)方法;③}1;他动态分析方法.包括GO- FLOW、扩展事件序列罔,P etri网该分析为该领域的进一步研究提供参%,
关键词:核电厂;数字化仪控系统;动态分析:可靠性;模拟仪控系统;静态可靠性分析
中图分类号:TH-86 文献标志码:A D0I: 10. 16086/j. cnki. issn 1000-0380. 2020080019
Review of Dynamic Reliability Analysis Methods
for NPP Digital Instrument and Control System
HUANG X iao jin,Z H U Y u n lo n g,Z H O U S h u q iao,G U O Chao
(Key I^ihoraton of Advanced Reactor Engineering and Safety of Ministn of Education,
Institute of Nuclear and N t»w Energy Technology of Tsinghua University, Beijing 100084, China)
Abstract :Instrument and control ( l&C) system is the central nerve of nuclear power plants and plays a vital role in ensuring the safety,stability and economic operation of nuclear power plants. In the past,analog I&C system were used to monitor and control the state of nuclear power plants,but the components were prone to aging and high maintenance costs. Therefore,cunently nuclear power plants have used digital I&C systems ( DCS) to substitute analog I&C systems. Traditional static reliahililv analysis methods are not fully qualified,as DCS is rendered by the complex interactions of the software,hardware and human components. Using the dynamic reliability analysis methods, designers can find weaknesses in the DCS design, improve or strengtlien the reliability of these stages. This article summarizes dynamic reliability analysis methods:1the current typical dynamic reliability analysis methods including dynamic failure modes and effect analysis (FM KA) ,dynamic fault/event tree (D F T/E T) ,dynamic flowgraph methodology ( D F M),Markov cell-to-cell mapping technology ( M arkov/CCM T);②simulation-based methods including dynamic decision-event tree ( DDET) and continuous event tree ( C E T) ;(3) other dynamic analysis methods including GO-FLOW, extended event sequence diagram (E SD) ,and Petri net and provide reference for further research in this field.
Keywords:Nuclear power plant;Digital instrument and control system;Dynaniic analysis;Reliability;Analog instRiment control system;Static reliability analysis
〇引言
核电厂具有结构复杂、放射性强的特点,其典型结 构具有两个冋路,运行着许多关键设备(如堆芯、蒸汽 发生器、冷却杲等),一旦设备发生事故,将会对公共 安全、周边环境以及核能产业发展造成巨大的负面影响~。对核电厂关键设备进行状态监测和控制,是确 保核电厂安全运行的有效方式仪表与控制(instrum ent and control,I&C)系统(简称仪控系统)是 核电厂的神经中枢,对确保核电厂的安全、稳定、经济 运行起着至关重要的作用。在早期核电厂设计中,状 态监测和控制常使用基于模拟技术的仪控系统。其缺
收稿日期:2020-08-10
作者简介:黄晓律(1971 —),男,博丨:,教授,主要从$核电厂仪表和校制领域的研究丁.作,卜:-1113丨丨:丨111311糾@丨8丨1尽丨11^1.<*(丨11.「11;
周树桥(通信作者),男,博士,副研究员,主要从事反应堆仪控方向的研究,E-mail:*******************.
自动化仪表
第41卷
点是不够灵活、交互性差、功能升级闲难、维护成本高、 部件易老化等。因此,自20世纪末以来,核电厂逐渐 使用数字化仪表与控制系统(digital  l&C  systems ,
DCS )取代模拟仪控系统,因其具有诸多技术优势,0
前新建核电厂均采用数字化仪控系统2中国核电厂
仪控系统的数字化进程起步较晚,但发展较为迅速。 中国最早在田湾核电站和岭澳二期核电站中使用仪控 系统数字化技术34 , 10 M W 高温气冷堆(high
temperature  gas -c 'oole(l  reactor , HT 丨■{- 10)全数字安全仪
控系统应用高可靠性丁.业计算机、智能丨八> 模块,成为 中国首个配备全数字化安全仪控系统的反应堆,随 着核电厂自动化和信息化水平的不断提高,数字化仪 控系统在其中起着越来越重要的作用:.W 此,如何优 化和完善其功能,已成为核电厂运行与控制的重要研 究方向。
数字化仪控系统是一个包括硬件、软件、固件的复 杂系统,其功能实现和逻辑运算均通过软件编程实现、 通过在标准化的可编程硬件上执行代码,数字化仪控 系统能够实现各种控制逻辑,并不断迭代升级算法,从 而灵活地实现核电厂运行控制。数字化仪控系统的运 行通过收集核电厂的各种模拟和数字信号,并在进行 逻辑运算和处理之后,将控制指令发送到现场执行器, 同时通过主控制室实现人机交
互。典型的数字化仪控 系统从下到上可以分为四个层次6
reactor软件层次0:工艺系统接口层。该层由传感器、执行 器及供电和功率放大部件等现场设备组成
② 层次1:自动控制和保护层。该层由反应堆保 护机柜、核岛过程控制机柜、常规岛过程控制机柜、专 用系统控制机柜等组成
③ 层次2:操作和管理信息层该层由后备盘、紧 急控制盘、操纵员站、T 程师站等组成1
层次3:厂级管理层该层负责信息收集和传 输,对整个核电厂进行非实时功能和信息的综合处理。
相较于模拟仪控系统,数字化仪控系统的交互性、 复杂性、非线性等特点,使得传统的可靠性分析方法并 不完全适用模拟仪控系统相当于一个硬编码系统, 通过硬接线的方式将继电器、电阻、电容、电感等物理 元器件连接成控制电路,从而实现各种控制功能这 种传统的硬编码系统在设计确定其功能和结构后难以 更改和升级,并且会随着时间不断老化,造成控制失 效,甚至严重事故7。对于传统的模拟仪控系统,核电 厂常用的静态分析方法包括失效模式与影响分析、故 障树/事件树、马尔科夫方法失效模式与影响分析是
一种依靠经验的分析方法,通过列出所需分析的部件 及其功能、可能的故障原因、故障影响等信息,识別系 统中的潜在失效隐患但它无法详细描述失效机制和 故障结构8 ,故障树/事件树分析是过去15年中广泛 用于核电厂概率安全分析的技术手段9
但由于事件
序列需要人为设定,当系统是动态不确定时,不同的分 析可能导致不同的结果马尔科夫方法的困难在于: 当数字化仪控系统很复杂时,不能保证转移矩阵的准 确性,并且复杂系统的转移矩阵建立也较为困难静 态分析方法的局限性主要体现在无法较好地描述系统 的动态交互特性_这也就意味着,在数字化仪控系统 可靠性分析中,需要应用动态分析方法来克服静态分 析的局限性
动态可靠性分析方法用于分析、描述系统的动态 交互特性0前,国内外学者针对动态可靠性分析方 法开展了大M 的研究1:作本文将根据典型动态可靠 性分析方法、基于仿真以及其他动态分析方法,梳理、 总结近年来国内外相关研究,为数字化仪控系统应用 动态可靠性分析方法提供参考。
1典型动态可靠性分析方法
典型动态可靠性分析方法是典型静态分析方法的
动态应用,起到改善其动态交互特性的作用。本节将
说明动态失效模式与影响分析、动态故障/事件树、动
态流图方法、马尔科夫区间映射方法的原理及应用
1.1动态失效模式与影响分析
失效模式与影响分析是一种纟1下向上的、用于识 別系统故障模式及其对系统的影响或后果的方法通 过这种方法,可以根据故障后果的严重程度、发生的频
率以及检测的难易程度对故障模式进行分类:1"传 统的失效模式与影响分析以静态分析为主,对分析人 员的经验依赖较大而在面对具有复杂控制逻辑和系
统结构的数字化仪控系统时,需要使用动态失效模式 与影响分析考虑其固件、软件、硬件之间的交互作用, 以及控制系统与被控对象之间的动态交互。
静态失效模式与影响分析通过分析员将系统分为 多个分析层次,第一级粗略地分析整个系统,在后续 的每个级别上都进行更精细的划分,以提高分析分辨 率。上一级的分析可以用于执行下一级分析。分解将 持续进行,直到可W 信息无法支持更详细的分析或不 需要冉进行更详细的分析时停止分析越详细,就能 了解更多系统可能发生的故障信息,,但这同时也会增 加分析成本,动态失效模式与影响分析的优势在于:
第12期核电厂数字仪控系统动态可靠性分析方法综述黄晓津,等
能够利丨丨丨仿真技术,对数字化仪控系统的功能进行仿 真,并由分析员动态插入、观察、分析不同故障带来的 影响和后果,从而降低对分析员经验和核电厂运行数 据的依赖110前,动态失效模式与影响分析已经应 用于XDC800系列数字化仪控系统的实例分析研究 上海交通大学的李延凯已经研究了带硬件的分析T:具 包和不带硬件的分析T.具包,允许分析员在XDC800 机柜上进行故障分析
1.2动态故障/事件树
动态故障树由Dugan .1B于1991年提出,并应用 于计算机冗余系统的可靠性评估12如今,动态故障 树已广泛用于评估系统可靠性和核电厂安全随着计 算机技术的发展以及性能的®.著提高,经典故障树方 法得到长足发展。特別是当动态故障树独立或与事件 树集成时1V,可以提高核电厂的安全性14与静态 故障树相比,动态故障树的优点在于增加了动态逻辑 门,例如优先级与门、顺序强制门、功能相关门、冷备份 门、热备份门等.这使得它能够对系统的顺序故障行 为进行逮模.从而体现时间依赖特性
在义献[15]中,动态故障树能够以两种方式对基 于时间的模型进行建模第一种方法是针对组件故障 的概韦(表示基本事件不可用),引入时间相关模型。第二种方法是引人内部事件矩阵,该矩阵定义打开或 关闭故障树的各个部分(代表系统的各个部分)与P e lri网或马尔科夫链相比,动态故障树的主要优点在 F-:对正在进行概率安全分析的人员而言,它更容易理 解并且不需要补充其他更多的知识储备:动
态故障树 的应用可以评估与时间相关的风险状况,并在概率模 型中优化参数,从而最大程度地降低总体风险。目前,动态故障树已经被应用于核电厂设备冷却水系统动态 可靠性分析16
动态事件树在概率安全评估方法中受到广泛关 注从原则上来看,动态事件树与传统的事件树相似。K-不同之处在于:传统事件树初始事件发生之后的系 统响应序列是由分析员预先定义的在动态事件树中,系统响应的时间和序列是由系统演化的时间依赖 模型,以及分析员确定的条件分支所确定的n7。稳压 器动态事件树(部分)18如图I所示
蒸汽排放阀打开压力减小
(0.95)正常运行(场景1>
蒸汽排放阀部分打开(0.05x0.25=0.012 5)
蒸汽排放阀失效(0.05x0.75=0.037 5)
压力减小
非正常运行(场景3)
压力增加超出
限制范围(场景
人为操作,压力加快
下降,恢复正常
无操作,发生事故
人为操作,压力加快
下降,恢复正常
1无操作,发生i
图1稳压器动态事件树(部分)
Fig I Part of a dynamic event tree for a pressurizer
随着主压力的增加,当到达26 s的第一个压力设 定点时,喷雾应有助于降低压力,因此有了三个事件分 支。它反映了系统的=个可能路径:①喷雾器正常T.作(阀门完全打开);②喷雾器不正常T:作(部分阀门 打开);③喷雾器不起作用(阀门卡住关闭)。假设喷 雾阀门完全打开,则压力继续缓慢降低,
直到157 s时 的第二个压力设定点此时,蒸汽排放阀应打开以释 放压力在这一点上,蒸汽排放阀的操作乂有三种可能的结果:①正常操作(完全打开);②卡住关闭;③部 分打开其分别构成图1中的场景1、场景2和场 景3每个分支的可能结果显示在所附标签中,并且 分支概率在括号中给出
1.3动态流图法
动态流图法是一种基于状态和离散时间的有向 罔它表示系统的逻辑和动态行为,是根据系统和软 件参数之间的W
果关系和时变关系的多状态细节建立
白 动化仪表第41卷
过程变量节点条件节点
传递框过渡框因果关系边 条件边
交流电源---SW S 阀门
电器开关位置
• 4 •的动态网络动态流图建模的主要元素是过程变M 节 点、条件节点、传递框、过渡框、W 果关系边和条件边。 目前,动态流图法在核电厂中的应用包括先进反应堆、 人员绩效和丨才丨队影响建模19]、运行中的压水堆数字化
给水控制系统相类似的概率安全评估建模::u。
对于一个储气系统及其相关的压力控制系统,对 应的简单数字化控制系统及其动态流图模型如图2所示2\,
图2Fig . 2 A  si 动态流图法的分析执行主要包括三z 立安全分析的数字化控制系统模型,使其 件和被控系统;②使用步骤①中构建的模:
和过程中可能发生的故障模式;③根据动
析的结果,通过集成测试验证数字化仪控 现出动态流图法所预测的行为,并对其进 态流图法的主要优势之一是它依赖于时间
能力,为故障树和失效模式与影响分析提供了多个状 态和时间相关的等效信息。
1.4马尔科夫区间映射方法
马尔科夫K 间映射方法是分析数字化仪控系统可 靠性的有效方法。它考虑了系统各组件之间的相互作 用以及与运行过程之间的影响,是一种时间依赖的方 法。它结合了传统离散状态马尔科夫方法和区间映射 方法,表示失效事件之间可能出现的耦合情况。这些 失效事件可能来源于两种类型的交互:•种是数字化 仪控系统与受控过程之间的相互作用,另一种是数字 化仪控系统不同组成部分的相互作用:22i 。对于仪控 系统,马尔科夫区间映射方法应用流程如图3 所示123 :。
区间映射方法能够描述离散系统在离散时间和状 态空间下的线性和非线性系统动态特性动态行为由
系统建模
马尔科夫 区间映射方法
3
马尔科夫区间映射方法应用流程图
Fig . 3 Flowchart  of  the  Markov/CCMT  application  steps
旁路给水调节阀控制器的马尔科夫有向图如图4 所示[22i 。马尔科夫区间映射方法的输人分为5个部 分,分别是:①系统动力学模型(仿真器);②在正常运 行和故障条件下系统的控制律和控制逻辑;③通过失 效模式与影响分析得到的离散系统状态,以及系统动 态特性和控制律;④每种需求的硬件/软件/固件状态
动态及控制率
简单数字化控制系统及其动态流图模型
mple  digital  control  system  and  its  DFM  model
一组微分或代数方程式描述。马尔科夫方法通过系统 状态之间的转移概率来描述系统的随机演化其中, 状态转移可以用马尔科夫有向图表示。
态流图法分 系统是否表 :行校正。动
1
•描
第一类型交互分析
第二类型交互分析
传感器状态
r .n 1
0(1)
1
电器开关位置1 L -d T n
[
系统分析
系统描述
©
>
□ I  I
力容
第12期核电厂数字仪控系统动态可靠性分析方法综述黄晓津,等
转换概率或故障概率;⑤模型时间序列
图4旁路给水调节阀控制器的马尔科夫有向图
Fig. 4 Markov transition diagram for bypass feedwater
regulation valve controller
2基于仿真的方法
基于仿真方法进行的动态可靠性分析可以分为两 种类型,即时间离散方法和时间连续方法时间离散方法通常使用核电厂仿真技术建立数学和物理模型,并描述系统的响应,以跟踪系统在各个状态分支下的 动态演化结果;但是,系统仅在离散时间点分支。时间 连续方法主要为连续事件树方法。
2.1时间离散方法
基于核电厂仿真技术的时间离散方法主要包括动 态决策事件树以及由此派生的方法,例如动态逻辑分
析方法241、事故动态模拟器25i、动态事件树分析方法:26:。动态决策事件树是事件树的扩展。事件树是 水平构建的树状结构,以启动事件建模为根,从根出发 到端节点的每条路径代表一个序列或场景,并产生相 应的结果动态决策事件树扩展了概率风险评估的观 点,创新引人决策节点概念。在决策节点中,能够采取 行动以有效避免或减轻事件后果;同时,它根据一组分 支规则进行增长,因此是动态的。树结构、分支概率、结果值和决策也都会被更新,它们能够反映出物理网 络中的变化:27]。
动态决策事件树主要由预测器、事件选择器、漏洞 评估、操作空间生成器、操作选择器、树存储和树更新 构成。动态决策事件树的动态特性体现在三个方面:①系统的树对于不同系统配置而言是不同的,并会随 着时间进行更新;②事件发生时的系统状态由微分方 程和代数方程描述,使用时域仿真构造树;③树结构的 增长和更新过程根据算力大小持续进行;
2.2时间连续方法
连续事件树方法是最早提出的时间连续方法[2!^ :它能够将过程、硬件、软件、固件、人为交互导致的故障 之间的可能依赖性通过一个积分方程统一表示。
\ti(x j)pn(x,t) =An(.r,0J d(i/)…(u,0)5[.r:-xn(u, /)][ 1- F (»,〇 ]+ X j x|Am(.r,r)p m(.v,/-
m^n〇
r) 1广s[x -x n(u,T) ](1FJ u,丁) du ( 1) Fn(x,t)= 1 - ex p[- [A;((x,/).r n(A:,.〇cl5] (2)
= S厶("丨m,i“)⑶
^ =/"(.r),n = 1,2,".,y V(4)
d/
式中:.r为A维向量表示过程变量,如压力、温度、水位 等;/i(n I m,:c,〇为系统在时间/、过程变量为x时,由状态为m变换为状态n的转移率;:f…(u,〇为式(4)在 初始状态;^ = «时的解;3(幻为狄拉克S函数
为系统空间在 <;时刻、系统处于状态〃时,过程变量位 于x处的X空间的每单位体积的概率
上述公式所得的较为复杂的积分方程,可以通过 蒙特卡洛方法进行求解。
3其他动态分析方法
除上述方法外,研究人员还提出了一些其他动态 分析方法,例如GO-FLOW、扩展事件序列图(event sequence diagram,ESD)丨3丨」、Petri 网丨乂 等。
3.1GO-FLOW 方法
GO-FLOW方法采用一组标准化的运算符来描述 GO-FLO W过程中物理设备的逻辑操作、交互和组合,以此评估系统的可靠性/可用性。通过将输入数据提 供给操作员,由操作员给出组件操作的特定概率。为了对给定系统进行建模,操作员需要选择输人输出的 相互作用,以生成GO-FLO W图表。该图表表示组件/ 子系统/系统的工程功能。GO-FLO W方法适用于具有 复杂系统操作序列或系统状态随时间变化的系统因 此,GO-FLO W可以处理定期任务问题或与时间相关的 不可用性分析。它具备以下特点。①GO-FL O W图表 对应于系统的物理分布,易于构建和验证。;②G0- H D W图表的修改和更新较易完成;③GO-FLO W包含 所有可能的系统运行状态。
在文献[33]中,采用GO-FLO W对A P1000自动降 压系统进行可靠性分析。A P I000自动降压系统由四 阶段减压阀构成。四阶段自动降压系统的示意图模型 如图5所示。其中,每一级ft动降压系统是互锁的,由第一级先启动,直到前一阶段被激活才能启动下一级: 自动降压系统的1〜3级分为两组,每组都有一个连接 至稳压器顶端的公共入口和一个通向冷却水储存箱的 喷头公共排放管。由于有两个冗余的并行路径,因此
在启动自动降压系统时不会发生单一故障

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。