大型钠冷快堆1E级DCS的紧急停堆系统可靠性计算分析与评价

张 强，李磊实，黄 婧，尹宝娟

大型钠冷快堆1E级DCS的紧急停堆系统可靠性计算分析与评价

张 强，李磊实，黄 婧，尹宝娟

（国防科工局核技术支持中心，北京 100080）

国产1E级分布式控制系统（DCS）首次应用于大型钠冷快堆，其可靠性对反应堆的安全至关重要。针对大型钠冷快堆，采用独立于设计方马尔可夫分析法的故障树分析方法，选择保护系统中紧急停堆系统的拒动概率进行审评复核计算，建立故障树可靠性计算分析模型进行计算，并与设计方提供的可靠性计算结果比较分析。结果表明，1E级DCS保护系统中紧急停堆系统的拒动概率计算结果与设计方计算结果相对偏差在8%以内，两种方法的计算结果符合技术规格书要求，表明设计方计算结果是可接受的，为大型钠冷快堆1E级DCS的核安全审评提供了技术支持。

DCS，可靠性，故障树，审评复核

随着关键核电设备国产化进程的持续推进，拟建和在建核电厂的安全重要仪表和控制系统普遍采用新研发的国产1E级分布式控制系统（DCS）[1]。国内具有自主知识产权的1E级DCS国产化也不断取得突破，如中国核动力研究设计院“龙鳞系统”将应用于大型钠冷快堆核电机组。在1E级DCS设计许可核安全审评中，可靠性是1E级DCS的一项重要技术指标，直接影响反应堆的安全性和运行经济性，也是核安全审评中关注的重点。

开展独立审评复核计算，是我国核安全监管技术审评单位在核安全审评中正在逐步使用的一项重要技术手段，可有效提高核安全审评的独立性、科学性和有效性[2]。相关核安全法规和标准对1E级DCS可靠性均有相应的安全要求，对1E级DCS可靠性开展独立审评复核计算，能够对1E级DCS设计方可靠性计算的可信性和有效性进行独立评价，为核安全审评奠定良好的技术基础。

1 核安全审评要求

我国相关核安全法规和标准对1E级DCS的可靠性核安全审评提出了明确的要求。《中华人民共和国核安全法》第10条规定：应当持续开发先进、可靠的核安全技术，充分利用先进的科学技术成果，提高核安全水平[3]。《核动力厂设计安全规定》（HAF102—2016）规定，核电厂设计必须适当考虑安全重要物项发生共因故障的可能性，以确定应该如何应用多样性、多重性和独立性原则来实现所需的可靠性[4,5]。

为细化核安全法规对1E级DCS可靠性的总体要求，相关标准对可靠性给出了具体技术要求。例如，《核反应堆保护系统安全准则》（GB/T 4083—2005）规定，核电厂紧急停堆系统的可靠性要求为：每个变量的系统安全故障率（误停堆）≤1次/年；每个变量在要求保护动作时，系统因随机故障而不动作的概率≤10-5[6-8]。根据设计方提供的大型钠冷快堆DCS技术规格书的规定，大型钠冷快堆1E级DCS保护系统中紧急停堆系统可靠性要求为：每个变量在要求保护动作时，系统因随机故障而不动作的概率≤10-7。

2 独立审评复核

紧急停堆系统作为1E级DCS中保护系统的重要组成部分，其可靠性直接关系到反应堆的运行安全，也是核安全审评中关注的重点。本文以大型钠冷快堆1E级DCS为例，选择保护系统中典型系统紧急停堆系统的拒动概率进行独立审评复核计算分析与评价，采用故障树分析方法进行可靠性建模，该计算方法有别于设计方采用的马尔科夫计算分析方法。

2.1　1E级DCS总体结构

大型钠冷快堆1E级DCS的典型系统为保护系统，其功能主要由保护组处理机柜（RPC）完成的紧急停堆功能、由RPC和专设系列处理机柜（ESFAC）共同完成的专设安全设施驱动功能构成。图1为设计方提供的大型钠冷快堆1E级DCS保护系统（紧急停堆系统和专设安全设施触发系统）总体架构。

2.2　紧急停堆系统

为了提高紧急停堆系统可靠性，大型钠冷快堆1E级DCS紧急停堆系统设计4个保护组（ⅠP、ⅡP、ⅢP、ⅣP），每个保护组均由2个互为冗余的保护子组构成[9]。其中，保护组ⅠP分为保护子组RPC-A和RPC-a、保护组ⅡP分为保护子组RPC-B和RPC-b、保护组IIIP分为保护子组RPC-C和RPC-c、保护组IVP分为保护子组RPC-D和RPC-d，如图2所示。紧急停堆系统相关的信号采集及逻辑处理在四个保护组内实现，每个保护子组均采用2个主从热备冗余中央处理器（CPU），即设置了主CPU和热备用CPU。

图1 大型钠冷快堆1E级DCS系统总体结构图

图2　大型钠冷快堆1E级DCS紧急停堆系统

保护系统所需的现场一次仪表传感器信号，首先经过程仪表处理系统（PIPS）中的信号采集、隔离和分配等模块处理后，再送至相应的保护组处理模块（RPC）[10]。每个保护子组均对所在保护子组产生和接收的触发信号进行4取2（2oo4）逻辑表决；若表决通过，则该保护子组将产生保护子组紧急停堆信号。该保护子组紧急停堆信号产生后，将被送往停堆断路器（RTB），停堆断路器对所接收的保护子组紧急停堆信号进行2oo4逻辑表决；若表决通过，则将断开电路。

2.3　1E级DCS紧急停堆系统可靠性模型

2.3.1四通道冗余结构拒动失效故障树模型

大型钠冷快堆1E级DCS紧急停堆系统建立故障树可靠性计算分析模型主要考虑PIPS和RPC部分。针对1E级DCS紧急停堆系统四个保护组2oo4架构，当3个或3个以上PIPS或者RPC发生拒动时，将会导致紧急停堆系统发生拒动。当PIPS或者RPC发生共因失效时，也将直接导致紧急停堆系统发生失效。构建的拒动故障树模型如图3所示。

图3　四通道冗余结构拒动故障树

2.3.2紧急停堆系统拒动失效故障树模型

大型钠冷快堆1E级DCS紧急停堆系统拒动失效作为顶事件，根据图2紧急停堆系统整体架构和图3四通道冗余结构拒动故障树，建立了如图4所示的大型钠冷快堆1E级DCS紧急停堆系统拒动失效故障树模型。

2.3.3转化计算模型

将图4故障树模型转化为如式（1）所示的计算关系。

其中，变量（）——t时刻时的紧急停堆系统拒动概率；

PIPS（）——PIPS拒动概率；

PIPS-NC（）——PIPS非共因拒动概率；

PIPS-C（）——PIPS共因拒动概率；

RPC（）——保护组拒动概率；

RPC-NC（）和RPC-C（）——保护组非共因拒动概率和保护组共因拒动概率。

根据图4故障树逻辑结构可得：

（3）

根据参考文献[11，12]，（）可表示为式（6），式中的D表示拒动率。

将公式（2）、公式（3）、公式（4）、公式（5）和公式（6）分别代入公式（1）中可得计算关系公式（7）。

其中，DDNCPU表示CPU危险可检测非共因失效率；DUNCPU表示CPU危险不可检测非共因失效率；DDNI表示I卡危险可检测非共因失效率；DUNI表示I卡危险不可检测非共因失效率；DDNO表示O卡危险可检测非共因失效率；DUNO表示O卡危险不可检测非共因失效率；DDNPIPS表示PIPS危险可检测非共因失效率；DUNPIPS表示PIPS危险不可检测非共因失效率；DDC表示RPC危险可检测共因失效率；DUC表示RPC危险不可检测共因失效率；DDCPIPS表示PIPS危险可检测共因失效率；DUCPIPS表示PIPS危险不可检测共因失效率；MTTR表示维修时间。

采用平均需求时失效概率avg表示大型钠冷快堆紧急停堆系统拒动概率，如公式（8）所示。其中，表示紧急停堆系统的定期试验周期。

2.3.4计算分析

（1）基本输入参数

选取3种典型变量，即模拟量调理信号PIPSA21、开关量调理信号PIPSD和热电偶调理信号PIPSTC。可靠性基本输入参数由设计方提供，表1为紧急停堆系统中关键模块及其失效率。根据大型钠冷快堆相关技术规定，1E级DCS紧急停堆系统平均修复时间=4 h，可检测共因失效因子D=0.3%，不可检测共因失效因子=0.6%，=3个月。

表1　相关模块失效率

续表

（2）分析结果

将（1）中假设数据代入式（7）和式（8）中，可以得出当=3个月时，以模拟量调理信号PIPSA21对应的PIPS模块为例，对应紧急停堆系统拒动概率为：

avg_PIPSA21=1.55×10-9

同理，可得其余典型模块的计算结果如下：

avg_PIPSD=1.27×10-9

avg_PIPSTC=1.71×10-9

分析结果表明，紧急停堆系统拒动概率为10-9量级，低于技术规格书规定的大型钠冷快堆1E级DCS保护系统中紧急停堆系统拒动概率10-7的设计目标。

2.4　分析与讨论

根据第2.3.4章紧急停堆系统拒动概率安全审评复核的计算结果，与设计方对比如表2所示。结果表明，大型钠冷快堆1E级DCS紧急停堆系统拒动概率审评复核计算结果与设计方的计算结果都在同一个数量级，相对偏差在8%以内，属于可接受的范围，两种计算方法的计算结果均符合DCS技术规格书规定。

表2　安全审评复核结果比较分析

对于设计方与审评复核计算结果存在些许偏差的原因进行了初步分析，主要由两种计算方法的差异所致。审评复核计算采用的是故障树分析方法，故障树是一种自上而下的逻辑演绎模型，属于静态分析方法，未考虑故障后的修复过程；设计方采用的是马尔可夫分析法，马尔可夫是逻辑状态转移模型，属于动态分析方法，考虑了故障后的维修和状态动态转移等因素。上述两种分析方法均是反应堆保护系统可靠性分析中常用的分析方法，已在核电厂行业内多个核电机组中得到了广泛应用。因此，通过故障树方法的独立审评复核计算并与设计方提供的计算值进行比较，也说明了设计方可靠性有关计算是有效的和可信的。

3 结论

针对大型钠冷快堆，利用故障树分析方法对1E级DCS中保护系统紧急停堆系统拒动概率进行了独立审评复核计算，并将审评复核计算与设计方的计算值进行了对比，结果表明：紧急停堆系统拒动概率审评复核计算结果与设计方的计算值相对偏差在8%以内，该偏差在可接受的范围内，满足DCS技术规格书规定，也说明设计方的有关计算是有效和可信的。本文介绍的大型钠冷快堆1E级DCS紧急停堆系统可靠性独立审评复核计算分析，对于大型钠冷快堆紧急停堆系统可靠性核安全审评和设计方开展相关设计工作有重要参考价值。

［1］ 张强，毛虎，黄婧．核电厂安全级DCS安全审评重要关注点探讨［J］．上海交通大学学报，2018，52（增刊1）：151-158.

［2］ 刘巧凤，韩静茹．CAP1400反应堆压力容器快中子注量独立审核计算［J］．中国核电，2018，4：462-465.

［3］ 中华人民共和国核安全法［Z］．2017.

［4］ 国家核安全局．核动力厂设计安全规定［Z］．北京：国家核安全局，2016.

［5］ 刘泽军，李华升，刘宇，等．核电厂应急给水系统的设计配置及多样性问题研究［J］．核安全，2018，17（4）：44-50.

［6］ 中华人民共和国国家质量监督检验检疫总局．核反应堆保护系统安全准则：GB/T 4083—2005［S］．2005.

［7］ 王伟，赵军，童节娟，等．反应堆保护系统可靠性指标的评价方法研究［J］．原子能科学技术，2015，49（06）：1101-1108.

［8］ 郑伟智．核电站反应堆保护系统故障对策分析与应用［J］．核电子学与探测技术，2012，32（3）：337-341.

［9］ 李洪光．反应堆保护系统与汽轮机保护系统——设计准则比对分析［J］．科技创新导报，2019，20：90-92.

［10］何正熙，刘宏春，肖鹏，等．CENTER高通量工程试验堆保护系统设计［J］．科技视界，2018，33：21-24.

［11］张庆，马权，韩文兴，等．考虑系统共因失效的核电厂安全级DCS可靠性分析［M］．中国核科学技术进展报告（第五卷），2017：92-97.

［12］威廉·戈布尔．控制系统的安全评估与可靠性［M］. 白焰，董玲，杨国田，译．北京：中国电力出版社，2008：193-207.

The Reliability Calculation Analysis and Evaluation of the Safety DCS Emergency Shutdown System of the Large-scale Sodium Cooled Fast Reactor

ZHANG Qiang，LI Leishi，HUANG Jing，YIN Baojuan

（Nuclear Technology Support Center，State Administration of Science，Technology and Industry for National Defense，Beijing 100080，China）

The domestically-made safety distributed control system (DCS) was first applied to the large-scale sodium cooled fast reactor, and its reliability is very important to the safety of reactor. For large-scale sodium cooled fast reactors, a fault tree analysis method independent of the designer’s Markov analysis method is used to select the rejection probability of the emergency shutdown system in the protection system for review and review calculations, and establish a fault tree reliability calculation analysis model, example calculation and analysis, and comparison with the reliability calculation results provided by the designer. The results show that the relative deviation between the rejection probability calculation results of the emergency shutdown system in the safety-level DCS protection system and the designer’s calculation is within 8%. The calculation results of the two methods meet the requirements of the technical specifications, indicate that the designer’s calculation is effective and credible, it provides technical support for the nuclear safety review of the safety-level DCS of the large-scale sodium cooled fast reactor.

Distributed control system (DCS); Reliability; Fault tree analysis; Verification calculation

TP31

A

0258-0918（2021）06-1268-07

2020-11-01

张 强（1986—），安徽淮南市人，高级工程师，现主要从事核安全审评机关研究