Research on the Reliability of Digital Control System in Nuclear Power Plants Based on PSA Sensitivity

目前，分散控制系统(Distributed Control System，DCS)在核电站的应用越来越广，DCS的可靠性关系到核电安全。DCS一旦故障，会使得核电站因收到错误的动作信号而不能正常运行，并引发反应堆停堆和专设安全设施投入，甚至会导致堆芯损伤 ^{[ 1]} 。因此，DCS有必要从改善堆芯损伤的角度进行可靠性设计，以提高核电站安全水平。

当前对于DCS可靠性的研究大多围绕DCS本身展开，采用故障树、多层流模型(Multilevel Flow Models，MFM)、失效模式及影响分析等方法对其可靠性进行定性和定量的分析，并根据可靠性分析结果制定DCS的优化策略 ^{[ 2- 5]} 。但均未将DCS的可靠性纳入到核电概率安全分析的体系中去，使得DCS的可靠性设计和分析不够全面准确。

因此，本文从改善堆芯损伤的角度出发，提出一种基于基于概率安全评价(Probabilistic Safety Assessment，PSA)敏感性分析的核电厂DCS可靠性设计方法：通过事故序列分析建立事件树模型，并在此基础上建立敏感性分析模型来指导DCS可靠性设计。该方法将DCS可靠性设计问题置于PSA研究体系中去，使可靠性设计更加全面准确。

DCS对堆芯损伤的敏感性分析模型的建立过程包括：DCS故障事故分析、事件树建模、堆芯损伤概率计算、敏感性分析指标提出 ^{[ 6]} 。本文以稳压器数字压力控制系统输入模块故障为始发事件展开分析，由于核电站分散控制系统各个系统结构的相似性，故本文所讲述的方法对于核电DCS的各个控制系统具有普遍适用性。本文中核电站稳压器数据参数来源于福清三号仿真机 ^{[ 7]} 。

核电站稳压器的功能是使核电一回路压力维持在其恒定的整定值15.5 MPa附近，使电厂在正常负荷瞬变以及汽轮机完全甩负荷的情况下不发生紧急停堆和安全阀动作。其压力控制功能如 图1所示。

根据核电站稳压器数字压力控制系统的压力控制原理可以进行仪控系统的硬件结构配置，具体配置如 图2所示。

从 图2可以看出，核电稳压器数字压力控制系统由控制器、电源、输入模块、输出模块等构成。其中，一对冗余的控制器用于对输入信号进行逻辑运算处理并将其转化为现场设备控制指令；一对冗余电源给控制器和卡件供电确保其正常工作；6个输出卡件用于将控制指令传送给加热器和喷淋阀等现场设备。出于可靠性的考虑，一般将现场设备各配置两组，共同分担压力控制指令，有一组发生故障，则由另一组承担全部的压力控制任务。而关于输入模块，则是通过采集现场压力并传送给控制器来产生的控制指令的，故输入模块逻辑结构的重要性不言而喻。本文拟针对输入逻辑展开研究，采用PSA敏感性分析方法从保证堆芯完整性的角度对输入逻辑可靠性设计提出指导意见。

根据稳压器压力控制系统的功能原理(如 图1)、硬件结构(如 图2)以及核电厂运行规程，可以对因输入模块故障引起的稳压器压力控制系统故障的事故进行如下分析：若稳压器压力控制系统输入模块出现高指示故障，在实际压力原本正常的情况下，控制器接收到压力偏高的信号，继而输出信号给喷淋阀。喷淋阀随即动作降低稳压器压力，但实际上稳压器压力原本是正常的，此时稳压器压力的降低完全是由于喷淋阀动作所致。只要这个故障存在，就意味着控制器一直认为稳压器压力偏高，喷淋阀就会持续开启 ^{[ 8- 9]} 。

当稳压器压力低于12.482 MPa时，反应堆停堆保护系统动作停堆并发出“S”信号。堆芯补水箱收到“S”信号后，隔离阀开启，并在重力压头的驱动作用下向反应堆冷却剂系统(RCS)注入含硼水，“S”信号产生经过一段时间延迟后，反应堆冷却剂泵自动停运。故堆芯衰变热的导出依靠RCS的自然循环进行，同时主给水隔离阀关闭隔离主给水，蒸汽发生器由启动给水系统提供给水排出堆芯衰变热。若蒸汽发生器二次侧排热出现故障，则非能动余热排出系统(PRHR)投入排出堆芯衰变热，导出堆芯衰变热，以避免因核燃料重新加热导致的锆外壳熔化和堆芯熔化等严重后果。

由于故障尚未排除，稳压器压力继续下降。堆芯补水箱水位降至67.5%并延迟一定时间后，自动卸压系统(ADS)第1级阀门自动开启，接着第2、3级阀门顺序开启，稳压器压力更快地下降，第4级ADS阀门口径大，可使得RCS快速卸压。若堆芯补水箱水位低于20%时，一回路压力仍未降至安注箱的整定压力，则第4级ADS阀门开启，使稳压器几乎完全卸压。当RCS压力降低至4.8 MPa时，安注箱(ACC)开始注水，ACC几分钟大流量的注射可快速淹没堆芯以保证堆芯的应急冷却。ADS阀门几乎完全卸压后，安全壳内置换料水箱(IRWST)即在重力作用下注入，提供堆芯的长期冷却，使得堆芯维持在冷停堆状态。

根据上述事故分析，可确定事件树题头事件包括：稳压器压力输入模块高指示故障、反应堆停堆保护系统、堆芯补水箱、蒸汽发生器二次侧排热、PRHR、自动卸压系统、安注箱、安全壳内置换料水箱。据此，建立数字仪控系统的堆芯损伤事件树如 图3所示。

由 图3可知，稳压器压力输入模块高指示故障的事故共有11个事故序列，其中除事故序列1和5以外，其余序列均会造成堆芯损伤。

事故序列1和5表示事故成功缓解的两个序列；

事故序列2和6的区别在于2中蒸汽发生器的排热路径正常，而6中蒸汽发生器二次侧未能正常热导出。因此启动PRHR进行热导出，两者均可使堆芯冷却。但由于安全壳内置换料水箱的长期冷却失效造成堆芯损伤；

事故序列3和7堆芯衰变热导出成功，但由于安注箱注入失败导致IRWST的重力注入不够快速，因此无法防止堆芯熔化；

事件序列4和8堆芯衰变热导出成功，但由于ADS未能成功投入导致反应堆卸压失败，同时反应堆不能完全卸压也使得ACC和IRWST不能成功注入，反应堆因高压或堆芯裸露而受损；

事件序列9中由于蒸汽发生器二次侧排热和非能动余热排出系统均故障导致无法排出堆芯衰变热使得堆芯损伤；

事件序列10因堆芯补水箱故障，导致ADS无法成功投入。同时RCS卸压失败，ACC和IRWST也无法成功注入，反应堆堆芯严重受损；

事件序列11表示未能正常停堆，而故障也并未排除，所以稳压器压力过低使得反应堆堆芯必然受到损伤。

假设事件树各题头事件的发生概率为：始发事件发生概率为 $ F(t) $ ；反应堆停堆保护系统故障概率为 $ {p_1} $ ；堆芯补水箱故障概率为 $ {p_2} $ ；蒸汽发生器二次侧排热故障为 $ {p_3} $ ；PRHR故障为 $ {p_4} $ ；ADS故障为 $ {p_5} $ ；安注箱故障为 $ {p_6} $ ；安全壳内置换料水箱故障为 $ {p_7} $ 。据此计算出各个事故序列的发生概率如下：

事故序列1发生概率： P ₁= F( t) · p ₁ · p ₂ · p ₃ · p ₅ · p ₆ · p _7；

事件序列2发生概率： P ₂= F( t) · p ₁ · p ₂ · p ₃ · p ₅ · p ₆ ·(1– p ₇)；

事件序列3发生概率： P ₃= F( t) · p ₁ · p ₂ · p ₃ · p ₅ ·(1– p ₆) ；

事件序列4发生概率： P ₄= F( t) · p ₁ · p ₂ · p ₃ ·(1– p ₅)；

事件序列5发生概率： P ₅= F( t) · p ₁ · p ₂ ·(1– p ₃) · p ₄ · p ₅ · p ₆ · p _7；

事件序列6发生概率： P ₆= F( t) · p ₁ · p ₂ ·(1– p ₃) · p ₄ · p ₅ · p ₆ ·(1– p ₇)；

事件序列7发生概率： P ₇= F( t) · p ₁ · p ₂ ·(1– p ₃) · p ₄ · p ₅ ·(1– p ₆)；

事件序列8发生概率： P ₈= F( t) · p ₁ · p ₂ ·(1– p ₃) · p ₄ ·(1– p ₅)；

事件序列9发生概率： P ₉= F( t) · p ₁ · p ₂ ·(1– p ₃) ·(1– p ₄)；

事件序列10发生概率： P ₁₀= F( t) · p ₁ ·(1– p ₂)；

事件序列11发生概率： P ₁₁= F( t) ·(1– p ₁) 。

其中，事件序列2、3、4、6、7、8、9、10、11会导致堆芯受到损伤，因此堆芯损伤的概率为

在上述分析的基础上，进行PSA敏感性分析，计算配置不同输入模块的稳压器压力控制系统发生故障时，其输入模块对堆芯完整性的敏感度。

敏感性分析就是确定系统单个参数对系统输出中不确定性贡献的重要程度，是一种不确定性分析方法，具有量化不确定因素、确定不确定性的影响、以及确定在对模型预测时模型变化的影响的作用 ^{[ 9- 10]} 。

敏感性分析的具体步骤如下：

(1)对目标部件进行模型设计，根据其结构计算该部件的失效概率值；

(2)在(1)的情况下，保持其它部件的结构不变，即其它部件的失效概率为原值，然后计算堆芯损伤的概率值 Q _TOP.L；

(3)对该部件重新设定一个新的模型结构，根据逻辑结构计算该部件的失效概率值；

(4)在(3)的情况下，保持其它部件的结构不变，即其它部件的失效概率为原值，计算堆芯损伤概率值 Q _TOP.U；

(5)计算选定部件的敏感度。敏感度定义为两种情况下堆芯损伤概率的比值，即用部件失效概率值上下浮动时系统失效概率值的比值来表示堆芯损伤对部件失效的敏感度。

敏感性分析结果可以反映不同输入模型的设定对堆芯损伤的影响程度，敏感度值与1距离越大，说明模块结构或参数取值的改变对于堆芯损伤的影响就越大。另外，根据敏感度值与1的大小关系，可以从保证堆芯完整性的角度为DCS选择优化效果更好的逻辑结构或参数取值，据此可以对DCS的可靠性设计提供指导意义。

为了研究稳压器压力控制系统输入模块对堆芯损伤的影响，对通常采用的三取中逻辑的输入模块进行优化设计。在三输入通道的基础上增加一个备用通道，为了保证压力测量的准确性，备用通道只能代替一个故障的主输入通道来输入压力信号。增加备用通道后的输入逻辑为：如果主输入通道中有一个通道发生高指示故障，就启用备用通道测得的压力作为三取中逻辑的输入之一。

当三个主输入通道中有两个通道都出现高指示故障时，若不加备用通道，则输入模块发生高指示故障，加入备用通道后，备用通道代替发生高指示故障的一个通道输入压力测量值，这样最终的压力输入值就不会高于实际值，故障不会发生，因此，增加备用通道从定性的角度来看对输入模块故障起到一定的改善作用。

针对三取中逻辑和增加备用通道后的三取中逻辑两种不同的输入模型，分析输入模型对堆芯损伤的敏感性。

其中， $ {\lambda _1} $ 、 $ {\lambda _2} $ 、 $ {\lambda _3} $ 、 $ {\lambda _4} $ 、 $ {\lambda _5} $ 分别表示操作员站、控制器、输出卡件、输入卡件和电源的失效率。根据以上所述的稳压器压力控制系统输入逻辑的结构及工作原理，可求得：输入逻辑采用带有备用通道的三取中逻辑时，始发事件即输入通道高指示引起核电站稳压器压力控制系统故障的发生概率为

同理，可计算出稳压器压力控制系统输入逻辑采用三取中逻辑时始发事件的发生概率为

查阅核电DCS的相关资料 ^{[ 7]} 可知，操作员站失效率 $ {\lambda _1} = 7.3 \times {10^{ - 7}} $ ；控制器失效率 $ {\lambda _2} = 2.8 \times {10^{ - 7}} $ ；输出卡件失效率 $ {\lambda _3} = 6.11 \times {10^{ - 7}} $ ；输入卡件失效率 $ {\lambda _4} = 2.3 \times {10^{ - 6}} $ ；电源失效率 $ {\lambda _5} = 6.5 \times {10^{ - 7}} $ 。一般认为设备运行在稳定失效期，则指数分布的密度函数为 $ F(t) = 1 - {{\text{e}}^{ - \lambda t}} $ ，可靠度函数为 $ R(t) = 1 - F(t) = {{\text{e}}^{ - \lambda t}} $ 。

将失效率值代入式(1)和(2)得到始发事件发生概率关于时间的函数，将两种逻辑设计下输入模块发生高指示故障的概率进行对比，并绘制变化曲线如 图4所示。

由 图4可以看出，优化后输入模块的故障概率较之优化前有了明显的降低，说明通过增加备用通道，降低了始发事件发生的可能性。

将稳压器压力控制系统输入模型作为敏感性分析的对象，分析输入模型中有无备用通道对堆芯损伤概率的影响程度，求得敏感度 S的表达式并化简如下：

从敏感度的表达式中可以看出：当 S<1时，增加备用通道有利于堆芯损伤概率的降低；当 S>1时，增加备用通道会导致堆芯损伤的概率增大。同时， S距离1越近，说明输入模块逻辑结构的改变对堆芯损伤的影响不大。相反，距离越远，则说明输入模块逻辑结构对堆芯损伤的影响较大，用Matlab绘制敏感度变化曲线如 图5所示。

由 图5可以看出，运行时间在10万h之前， S远小于1，也就是说稳压器数字压力控制系统输入模型中增加备用通道后，在分散控制系统开始运行的一段时间内，始发事件的发生引起堆芯损伤的概率大大降低。在开始运行的十几年内，备用通道的增加对于DCS的优化以及堆芯损伤概率的降低的效果显著的。

核电站DCS在设计过程中，可以根据PSA敏感性分析结果，从改善系统故障引起堆芯损伤的角度对DCS进行可靠性设计。基于上述分析结果，对于稳压器压力控制系统输入模块的逻辑设计应采用带有备用通道的三取中输入逻辑，该输入模型不仅可以提高DCS的可靠性，同时降低了因输入模块高指示故障引起误停堆的几率，也大大降低了仪控系统故障引起堆芯损伤的概率。

DCS是核电站的重要组成部分，其可靠性与核电安全有关。本文基于敏感性分析提出了一种从改善堆芯损伤的角度对DCS进行可靠性设计的方法。首先，分析DCS故障后的事故序列，构建事件树模型。然后，在事件树分析的基础上，构建了敏感性分析模型来指导DCS可靠性设计。最后，利用一个算例验证了该方法的有效性。结果表明，基于该方法的DCS可靠性设计对于降低核电站堆芯损伤具有良好的性能。