非能动系统可靠性评价方法的研究

郭海宽，赵新文，蔡 琦，张永发，黄丽琴

(1.海军工程大学 核能科学与工程系，湖北 武汉 430033；2.南昌航空大学 材料科学与工程学院，江西 南昌 330063)

非能动系统可靠性评价方法的研究

郭海宽1，赵新文1，蔡 琦1，张永发1，黄丽琴2

(1.海军工程大学 核能科学与工程系，湖北 武汉 430033；2.南昌航空大学 材料科学与工程学院，江西 南昌 330063)

本文首先详细解释了非能动系统可靠性概念，分析各种非能动系统可靠性评价方法的特点，对比各种方法之间的区别，并指出这些可靠性评价方法共同存在的不足：没有一种方法可同时兼顾非能动系统设备可靠性与功能可靠性，不能科学地整合两者的可靠性，并且未将非能动系统整体可靠性融合进概率安全评价(PSA)模型；针对各种方法存在的不足，本文在国内外研究基础上提出研究问题与思路，而且展望了非能动系统可靠性评价方法未来的发展方向。

非能动系统可靠性；设备可靠性；功能可靠性；PSA

核反应堆运行时，人为因素和机械故障不可避免地给反应堆安全运行带来隐患，为提高反应堆的安全性和可靠性，经过多年发展，非能动安全概念在核反应堆设计中逐渐得到应用。目前，非能动技术是先进压水堆核电厂的主要特点，很多先进反应堆的主要安全系统均采用非能动技术，如美国西屋公司的AP600和AP1000、日本的SBWR、俄罗斯的WWER1000等[1]，成为保证核电安全不可或缺的手段。

20世纪80年代首次明确地设计出非能动系统，当时安全分析专家认为非能动系统几乎具有完美的可靠性(即可靠性约等于1)，忽略了非能动系统可靠性融合进核电厂整体概率安全评价(Probabilistic Safety Assessment，PSA)或核电厂可靠性模型的必要性。然而，自20世纪90年代以来实际观察到非能动系统与预期运行的一些偏差，人们开始逐渐意识到非能动系统与其他工程系统相似，同样会发生失效。在某些情况下，驱使非能动系统的自然法则的建立条件不成立或自然法则成立但系统提供的能力不足，导致非能动系统不能达到规定的功能效果(输出参量大于或小于规定值)时，非能动系统处于失效状态。所以为了能够分析非能动系统的优势，研究并定量化非能动系统可靠性是十分有必要的，同时对非能动系统可靠性融合进核电厂PSA模型也提出了迫切需求[2]。

本文首先详述非能动系统可靠性概念，之后叙述主要的非能动系统可靠性评价方法，分析对比非能动系统可靠性的评价方法并指出各种非能动系统可靠性评价方法共同存在的不足；针对不足，本文在国内外研究基础上提出了自己的研究思路，对未来非能动系统可靠性评价方法的发展方向进行了展望。

1 非能动系统可靠性概念

评价非能动系统可靠性的最终目的是评价系统在一定运行环境下及一定运行时间内能否完成其规定的系统功能，从而使反应堆达到或维持某种安全运行状态。非能动系统可靠性主要取决于各个设备是否完善，以及需要投入时能成功完成任务的可信度。造成非能动系统失效的原因有两类：(1) 组成非能动系统冷却剂边界的硬件失效，归为设备失效；(2) 获得系统设计功能的不确定性，归为物理过程失效或功能失效。

在能动系统通常不研究物理过程失效。因为在能动系统中，物理过程的运转是由外部能动设备驱动实现的，能动设备提供的驱动力通常不受事件序列演变的影响，只要能动设备一直正常工作，物理过程一般不会发生失效。然后将系统能否完成设计功能转化为相应的系统设备能否成功运行，然后采用故障树(Fault Tree，FTA)方法进行评价。而对于非能动系统可靠性，不仅需要考虑常规系统可靠性的设备失效，还需分析物理过程失效，而且物理过程失效是引起非能动系统运行失效的重要原因。因为非能动系统的物理过程不是依靠能动设备驱动，而是依靠自然力(依靠重力作用的自然对流、自然循环等)，其驱动力与阻力往往是同一数量级，均受到许多不确定性因素的影响。正是因为这些不确定性因素的存在，即使设备正常工作，物理过程正常运转，非能动系统提供的工作能力仍有可能达不到额定的工作要求。判断非能动系统物理过程是否成功的最终标准仍然是系统能否完成其设计的安全功能，评价非能动系统可靠性可根据系统的实际特性(系统功能、运行条件等)将其转化为便于分析判断的成功/失效准则，如：出现某种现象时将导致系统不能完成其设计的安全功能，即发生物理过程失效。因此分析非能动系统可靠性需对物理过程失效给予充分考虑，并且物理过程失效概率的分析与计算方法和能动系统可靠性的分析方法是完全不同的，是非能动系统可靠性研究的重点和难点之一。

2 目前主要的研究方法

近年来，国内外一些机构和学者对非能动系统可靠性评价方法进行了研究，目前为止还未形成统一的可靠性评价方法。研究非能动系统可靠性评价方法的主要机构有：第五届欧洲框架计划[3]结合PSA研究总结出非能动系统功能可靠性方法(Reliability Methods for Passive System，RMPS)；阿根廷CNEA机构[4]在RMPS方法基础上进行改进得到加强版方法(Reliability Methods for Passive System+，RMPS+)；ENEA、比萨大学和米兰理工大学研究非能动自然循环系统，提出非能动安全系统可靠性评估方法[5](Reliability Evaluation of Passive Safety Systems，REPAS)，其有利于评价特殊条件下自然循环系统的可靠性；Nayak等人[6]也提出一种估算非能动系统可靠性的方法，即(Assessment of Passive System Reliability，APSRA)；另外，ENEA为分析非能动系统可靠性、研究隔离冷凝器系统的更多特性[7]，该组织发展PSA模型上通用的非能动系统可靠性评价方法[8]。

2.1 RMPS方法

RMPS方法由第五届欧洲框架计划提出，Michel Marques等人结合PSA研究总结出非能动安全功能可靠性方法，主要分析了以下问题：

(1) 识别、定量化不确定性来源，以及确定重要变量[10-11]；

(2) 通过热工水力模型的不确定性传播，分析热工水力非能动系统不可靠性[12]；

(3) 将非能动系统不可靠性融合进事故序列分析[13-14]。

RMPS方法流程图，如图1所示：

图1 RMPS方法流程图Fig.1 Flow diagram of the RMPS methodology

2.2 RMPS+方法

RMPS+方法由阿根廷CNEA机构在RMPS方法基础上进行改进得到[15]，如图2所示。该方法包括3个关键模块：

(1) 模块1：包括步骤1-3，主要分析系统[16]；

(2) 模块2：包括步骤4-7，获得非能动系统可靠性，以及参数不稳定性引起的系统敏感性，所有的结果都是基于最佳估算程序得到[17]；

(3) 模块3：包括步骤8-11，明确增加失效界面附近的估计案例的次数，为提高之前模块的准确性。

图2 RMPS+方法流程图Fig.2 Flow diagram of the RMPS+ methodology

2.3 REPAS方法

D’Auria和Galassi等人[18]研究非能动自然循环系统提出REPAS方法[19-20]，该方法是评价非能动系统热工水力可靠性的一种方法[21]，REPAS流程图如图3所示[22-23]。

图3 REPAS方法流程图Fig.3 Flow diagram of the REPAS methodology

2.4 APSRA方法

APSRA方法从系统未能完成设计功能的概率出发对非能动系统的可靠性进行评价，由于非能动系统的最佳估算程序既没有得到充分证明也没有完全理解内部机理，所以APSRA方法更多的依赖自然循环各方面的实验数据，方法流程图如图4所示。

APSRA方法首先确定系统操作参数及失效准则，但是分析的参数可能会降低系统性能，需要识别系统不同失效模式及原因。组合影响非能动系统运行的关键参数，然后计算参数组合得到非能动系统能否成功的失效面。最后，通过根源诊断寻找导致关键参数产生变化的原因。APSRA认为一些物理参数变化的原因是某些机械设备的失效(阀门，控制系统等)。通过PSA方法计算机械设备失效概率，从而得到系统失效概率。另外，BARC组织计划进行一些整体实验以及单独设备测试以降低程序模型的不确定性。APSRA方法己用来分析印度先进重水堆(Advanced Heavy Water Reactors，AHWR)的自然循环系统，方法第5步为失效界面的产生与实验数据验证，确定失效界面预测基准示意图如图5所示。

图4 APSRA方法流程图Fig.4 Flow diagram of the APSRA methodology

图5 确定失效界面基准点的流程图Fig.5 The programme for benchmarking the failure surface

2.5 PSA框架可靠性分析方法

ENEA为分析非能动系统可靠性、研究隔离冷凝器系统的更多特性，该组织发展了三种PSA模型上通用的非能动系统可靠性评价方法。

2.5.1 基于独立失效模式的方法

该方法以非能动系统不同独立失效模式的发生概率评价系统失效概率，优先考虑破坏非能动系统成功运行边界条件或物理机理的原因，认为非能动系统可靠性主要有两方面[24-25]：(1) 系统或设备可靠性(阀门、管道)；(2) 物理过程可靠性。前者分析完整的工程安全设备，其可靠性至少与能动设备是同一水平，可以使用传统方法处理；后者分析由物理过程支持的非能动安全系统功能，周围环境长期影响其性能或稳定性，涉及关键失效，其削弱或降级维持非能动系统运行的自然机理。非能动系统失效概率根据独立影响系统安全功能的关键失效模型的发生概率估计，不同失效模式改变非能动系统成功运行所需的边界条件和物理机理。

2.5.2 基于非能动系统硬件设备失效模式的方法

为克服基于独立失效模式方法显著的缺陷，可尝试将物理失效模式与硬件设备的失效模式相结合，硬件设备为确保满足非能动安全系统性能所必需的条件而设计。物理失效可破坏或降级非能动系统运行依赖的机理，简化物理失效概率为设备不可靠性，设备失效阻碍非能动系统的成功运行。该方法一方面在理论上是可行的，另一方面，在所有失效模式范围内性能分析的有效性与完整性带来一些关键问题，所有失效模式包括系统潜在承受的和与系统相关的硬件失效。

2.5.3 功能失效法

Burgazzi等人[5]在研究中引入了功能可靠性概念，即系统执行功能并成功完成的概率[26]。非能动系统完成任务时需考虑系统功能问题，任务由选定的典型参数随时间的演化设定。正常的演化是可接受的范围，图6说明当反应堆参数在允许范围以外时任务失效。该方法来自应力-负荷干涉模式。在非能动系统可靠性分析框架中R和S分别代表安全物理参数的安全功能要求，例如：为了保证系统循环满足其性能，要求冷却剂质量流量的最小阈值；系统状态，例如：循环中水的实际质量流量。R

图6 非能动系统可接受的任务Fig.6 Allowable mission for a passive system

按失效标准的设定，将功能失效法分为两类[27]：(1) 超越概率模型，使用特定极限值作为失效标准；(2) 应力-强度干涉模型，使用概率分布函数作为失效标准。

3 对比各种方法的特点

目前一些组织或机构如欧洲委员会、CNEA、ENEA、比萨大学和米兰理工大学等，根据研究对象与关注点的不同分别提出各自的方法评价非能动系统可靠性，这些方法各有侧重点，本节将分析上述方法的特点并进行对比。

3.1 RMPS方法的特点

RMPS方法重点是计算非能动系统的功能可靠性，不涉及设备可靠性。方法最后一步将非能动系统可靠性融合进核电厂特定PSA模型，然而，由于项目时间限制，第五届欧洲框架计划仅是提出此要求并未进行融合PSA模型的实际案例分析。RMPS方法在如何将非能动系统可靠性融合进核电厂特定PSA模型方面没有得到最终决议，参与者只是提出了概念性建议。

3.2 对比RMPS与RMPS+方法

RMPS+与RMPS方法的区别在于：RMPS+方法首次抽样通过最佳估算程序得到输出变量，根据输出变量建立性能指标(index of performance，IP)与输入变量的响应面，之后大量抽样对建立的响应面进行训练直至达到收敛，使用最终训练完成的响应面评价非能动系统可靠性；而RMPS方法直接使用首次抽样通过最佳估算程序得到的结果，或使用首轮输出变量建立的IP与输入变量的响应面，不进行后续的大量训练，而是直接评价非能动系统可靠性。

3.3 对比REPAS与APSRA方法

REPAS方法仅研究非能动系统可靠性，重点分析功能失效；而APSRA方法认为非能动系统的失效由能动或非能动设备引起，没有功能失效的概念。另外APSRA使用最佳估算程序建立响应面并更新；REPAS有简化模型与详细模型(最佳估算程序)之分，既可以单独使用其中一项也可以两者组合使用，单独使用详细模型时不建立响应面，只有涉及到简化模型时才有可能建立响应面，响应面只是简化模型的一种备选方法。

REPAS方法主要目的是分析非能动系统性能特征，比较能动与非能动系统性能以及不同非能动系统的性能。因此，REPAS能为更复杂的安全性能评估提供参考，与PSA模型的故障树方法类似。另外，REPAS可以优化非能动系统，但系统有些方面是不能进行优化的，如：设备组件及系统解决方案的成本。

3.4 对比APSRA与RMPS+方法

APSRA与RMPS+方法相似之处为：两种方法均是首先通过最佳估算程序初步建立响应面，之后使用新数据更新初步建立的响应面，得到符合基准的最终响应面后再评价非能动系统可靠性。不同之处为：(1) APSRA认为非能动系统的失效仅由能动或非能动设备引起，没有功能失效的概念，而RMPS+认为非能动系统可靠性包括设备可靠性与功能可靠性；(2) APSRA使用设备的实验数据更新初步建立的响应面，而RMPS+使用各种抽样技术的大量样本更新初步建立的响应面。

3.5 对比基于独立失效模式方法与APSRA方法

基于独立失效模式的方法将非能动系统可靠性分为设备可靠性与功能可靠性，而APSRA方法未出现功能可靠性的概念，这是两种方法在形式上的区别；但实际分析时两种方法都将导致非能动系统失效的原因归于设备失效，从这个角度看两种方法是没有区别的。但是基于独立失效模式的方法评价非能动系统可靠性仅使用每种设备失效模式的概率分布与失效标准，未涉及抽样技术与建立响应面的过程，也没有应用最佳估算程序，这是两种方法的本质区别。基于独立失效模式方法最大困难在于通用实验和运行数据库的不可用性，致使表征失效模式和失效标准(失效阈值)的关键参数范围与概率密度函数的设定是非常困难的，由于缺乏实验数据促使很大程度转向专家或工程判断，使得非能动系统可靠性的评价具有较大人为主观性。

3.6 对比基于独立失效模式与非能动系统硬件设备失效模式方法

基于非能动系统硬件设备失效模式与独立失效模式方法的区别在于：基于非能动系统硬件设备失效模式方法分析非能动系统可靠性时明确考虑了非能动设备的失效，而基于独立失效模式方法主要考虑能动设备的失效，没有考虑非能动设备失效对非能动系统性能的影响。另外，基于非能动系统硬件设备失效模式方法的局限性是：(1) 任何一个物理失效无法确认是由能动或非能动设备失效引起，还是由两者共同引起；(2) 该方法使用故障树替代复杂的热工水力程序分解物理过程，故障树的分解不能很好预测物理过程之间的影响，所以很难真实分析参数不确定性对非能动系统性能的影响。

3.7 功能失效法的特点

该方法重点考虑功能失效未涉及设备失效，在评价非能动系统可靠性时与前述两种方法有区别：前面两种方法评价非能动系统可靠性的原理为，求解系统每种失效模式的概率分布，以及与相应失效模式的失效标准分别进行对比得到每种失效模式的失效概率，之后将每种失效模式的失效概率求和得到非能动系统总的失效概率；而功能失效法将非能动系统看成一个整体，求得系统应力分布之后与系统失效标准进行对比得到系统失效概率。

根据各种方法本身的特点以及方法之间的区别，将非能动系统可靠性评价方法特点汇总为表1，并绘制非能动系统可靠性评价方法体系图，如图7所示。

表1 非能动系统可靠性评价方法特点汇总Table 1 Characteristics for reliability methods of passive system

图7 非能动系统可靠性评价方法体系图Fig.7 System diagram for reliability methods of passive system

综上所述，因各个组织或机构研究的对象以及分析非能动系统性能的不同，所提出的方法也各有侧重点与关注点，有些方法仅分析功能可靠性，如RMPS、RMPS+、功能失效法等，另一些方法仅分析设备可靠性，如基于独立失效模式方法、基于非能动系统硬件设备失效模式方法等。目前没有一种评价方法可同时兼顾非能动系统设备可靠性与功能可靠性，设备可靠性与功能可靠性的整合是非能动系统可靠性分析领域亟待解决的问题。

对于非能动堆型，非能动安全系统的PSA分析是反应堆整体PSA模型的重要组成部分，目前先进核反应堆的PSA模型仅是考虑了非能动系统的设备可靠性，未考虑系统功能可靠性。各种非能动系统可靠性评价方法中，只有RMPS方法提出将非能动系统可靠性融合进核电厂特定PSA模型的需求，但由于项目时间限制未进行融合PSA模型的实际案例分析，在如何将非能动系统可靠性融合进核电厂特定PSA模型方面没有得到最终决议，参与者只是提出了概念性建议。如何将非能动系统可靠性融合进PSA模型，目前尚有一定困难，也是非能动系统可靠性研究的热点与难点。

4 非能动系统可靠性研究现状

4.1 国内非能动系统可靠性研究现状

关于非能动系统设备可靠性与功能可靠性的整合以及系统可靠性融合进PSA模型等方面，还没有一种统一方法[28]。国内在这两方面做了些试探性研究与概念性分析，总体处于起步阶段，涉及两方面研究内容的单位较少，有：清华大学、上海交通大学、华北电力大学等，具体研究现状如下：

只有玉宇和黄昌蕃明确指出分析非能动系统功能可靠性必须与事件序列相结合。玉宇通过研究冷源、热源温度在合理范围内变化对自然循环系统运行可靠性的影响，得出结论：自然循环系统的运行失效是物理过程失效与设备失效综合作用的结果，但并非两者的简单叠加，物理过程失效与设备失效是互为条件的[29]。玉宇、童节娟等人提出非能动系统可靠性分析框架[30]，主要包括两个步骤：(1) 识别影响系统运行的关键参数；(2) 结合事件序列发展，评价系统在事故情景下的运行可靠性；明确指出非能动系统的运行可靠性与事故情景密不可分，结合事件序列分析非能动系统的运行可靠性是十分必要的。黄昌蕃认为筛选出对非能动系统物理过程失效有重要影响的因素，并针对性地详细分析这些因素可有效的节省大量计算资源，对于不同参数组合下分析非能动系统状态随事故情景的变化是条可行途径。黄昌蕃据此也提出了非能动安全系统可靠性分析框架，指出应根据具体事故场景设定非能动系统失效准则，为AP1000 PRHRS设定了3个失效准则[31-32]。但文中有些未解释透彻的地方：未指明3个失效准则具体对应丧失主给水事故下PRHRS的功能，也未说明失效准则值的来源。玉宇和黄昌蕃均提出非能动系统可靠性分析框架，将两人方案进行对比：(1) 黄方案(指黄昌蕃提出的非能动系统可靠性分析框架)定义失效准则的初衷是依据非能动系统在不同事故场景中的功能——不同事故场景下非能动系统具有不同功能，对应的失效准则也不同，论文实际上将此思路实现的不够彻底，而玉方案(指玉宇提出的非能动系统可靠性分析框架)并未出现定义失效准则的内容，极可能默认根据设计资料定义失效准则；(2) 对初步确认的关键因素，通过敏感性分析进一步确认关键因素。

还有些机构或学者虽未涉及非能动系统设备可靠性与功能可靠性的整合以及系统可靠性融合进PSA模型等两方面的内容，但在评价非能动系统可靠性方面也做出了工作。华北电力大学钱晓明选取AP1000 PRHRS为研究对象，采用故障树分析与蒙特卡洛相结合的方法评价系统在内部事件及地震情况下的可靠性，基于故障树分析结果提出优化PRHRS的两种方案并进行对比[33]；清华大学刘强以丧失主给水事故下AP1000 PRHRS为研究对象，建立神经网络和二次响应面的回归模型，代替原始热工程序分析PRHRS可靠性[34]；上海交通大学谭国成与刘昊基于非能动系统功能可靠性分别对IVR-ERVC保温层和火箭发动机预冷系统进行了优化设计[35-36]。另外，一些机构或学者主要研究事故工况下非能动系统的热工水力性能，并未涉及非能动系统可靠性的内容。哈尔滨工程大学陈士强[37]、李明岩[38]、岳芷廷[39]、严春[40]，海军工程大学袁添鸿[41]等，对事故下AP1000 PRHRS的热工水力性能进行研究；上海交通大学张顺香[42]、倪超[43]、殷煜皓[44]、张中伟[45]等人分析了事故下AP1000的不确定性；华东理工大学王争昪[46]、周响[47]和华北电力大学夏会宁[48]等人研究PRHRS热交换器的优化设计。

综上所述，哈尔滨工程大学和上海交通大学较为充分的研究了事故工况下非能动系统的热工水力性能，华东理工大学则偏重于优化设计PRHRS热交换器的研究。一些机构如：华北电力大学仅评价了非能动系统设备可靠性，而清华大学、上海交通大学等只是对非能动系统功能可靠性进行了分析，还未有机构同时兼顾非能动系统设备可靠性与功能可靠性以及整合两者可靠性。根据公开发表文献，国内只有玉宇和黄昌蕃涉及到非能动系统可靠性融合进PSA模型，玉宇还研究了非能动系统设备可靠性与功能可靠性的整合。但在非能动系统设备可靠性与功能可靠性的整合以及系统可靠性融合进PSA模型两方面均没有做出实例分析与研究，只是提出需求与概念性建议，所以国内在两方面的总体研究还处于起步阶段。

4.2 国外非能动系统可靠性研究现状

国外研究非能动系统可靠性比国内起步较早，在非能动系统设备可靠性与功能可靠性的整合、系统可靠性融合进PSA模型等方面取得了具有重要意义的研究成果与初步进展，并且涉及两方面研究内容的单位或机构较多，有：第五届欧洲框架项目、阿根廷的CNEA机构、意大利的ENEA组织、比萨大学、米兰理工大学等，具体研究现状如下：

Christian Kirchsteiger等人[49]指出设备可靠性是分析非能动系统可靠性的重要组成部分，虽然将非能动可靠性融合进PSA模型是必要的，但RMPS项目在如何将非能动系统可靠性融合进核电厂特定PSA模型方面没有得到最终决议，一些参与者只是提出概念性建议，图8是RMPS方法考虑整体非能动系统可靠性的示意图。

图8 整合设备失效与功能失效的非能动系统整体失效Fig.8 Combination of components failure and function failure to describe passive system failure

Christian Kirchsteiger认为传统的PSA模型包含大量静态事件树与故障树，因此，从原理上将非能动系统可靠性融合进PSA模型中有两种方法：(1) 事件树上接入一个非能动系统成功或失效分支的题头；(2) 事件树上为非能动系统接入两个题头，第一个题头是针对非能动系统启动设备，第二个则是针对非能动系统功能的运行过程(即物理过程)。第一种方法存在的问题是：将非能动系统整体可靠性融合进PSA模型，系统可靠性是否包括了设备可靠性与功能可靠性以及两者如何整合；第二种方法的问题是：分离非能动系统可靠性单独处理其中一项，将设备可靠性与功能可靠性分别融合进PSA模型，但非能动可靠性是否能这样分离以及事故的发展是否影响非能动系统设备可靠性等问题均未进行深入讨论。

第五届欧洲框架项目也发布了关于整合非能动系统设备可靠性与功能可靠性、系统可靠性融合进PSA模型等方面的报告，文献[9]为具有两种非能动安全系统的虚构反应堆建立简单PSA模型，选择一棵事件树描述事故场景，文章提出的方法允许评价非能动系统在事故场景中的影响，特定的情形中也可以测试非能动系统代替能动系统的效果。文献[13]提供了一种将非能动系统物理不确定性融合进PSA模型的方法。文献[3]基于RMPS系列报告获得的结果，在非能动系统融合进PSA模型、指导补充方法的发展方面提出相应建议。非能动系统以前沿系统形式融合进事故序列还是以PSA框架的形式，关于此方面的讨论对动态事件树(Dynamic Event Tree，DET)的发展提出了强烈需求。

RMPS项目的参与者L.Burgazzi在整合设备可靠性与功能可靠性方面提出了自己的方法[50]：第一部分处理设备的传统可靠性分析，第二部分处理功能可靠性，通过分析确保非能动系统安全功能最优条件的设备可靠性得到。这种方法本质上与RMPS方法的简单FT融合是一致的，但在如何评价功能可靠性方面有所不同：为了能够得到非能动系统任务，首先分析一部分“传统”设备(热交换器、管道、非冷凝汽释放管)的各自任务；另外分析一部分能够影响物理过程性能的关键参数(非冷凝汽份额、热交换器结垢)。该方法假设两种设备的失效模式可从运行经验得到，整个物理过程使用包含这些设备的FT建模，但方法有两个不足：(1) 功能失效总是与能动或非能动设备相关，仅根据不理想的初始或边界条件不能确认任何失效概率；(2) FT替代复杂的热工水力程序对系统物理过程进行建模，但FT不能很好的预测物理过程间的交互作用，很难分析参数不确定性对系统性能的影响。Luciano Burgazzi和Michel Marques等人以前沿系统或人因操作的形式为非能动安全系统融合进PSA模型提供了一种统一的方法[51]。

Federico Mezio等人[52]基于RMPS+方法采用两种形式把非能动系统功能不可靠性融合进PSA模型中，两种融合形式均是分离设备可靠性与功能可靠性，单独处理其中一项作为事件树题头进行融合；Federico Mezio也研究了设备可靠性与功能可靠性整合。T. Sajith Mathews等人[53]在PRHRS设备可靠性与功能可靠性整合以及将系统可靠性融合进PSA模型方面都作出了些研究。文中系统可靠性整合公式中设备可靠性包括了运行失效，从这个角度看设备可靠性与功能可靠性的整合方法是可行的，但是整合公式对需求失效与运行失效的区分又不够明确，所以整合方法不完全可行。并且文章融合系统可靠性时，从初因事件到非能动系统的投入之间没有任何系统的动作，即没有体现事故的动态性对非能动系统可靠性的影响。Michel Marques 等人[54]提出非能动系统可靠性融合进PSA模型的方法考虑了设备可靠性与功能可靠性的整合，文中事件树上PRHRS可用环路数题头属于设备失效，具体是系统投入前的需求失效；3条系统环路至少1条发生传热管破裂属于运行失效，是系统投入后的设备(非能动)失效；第4个题头是物理过程失效，功能失效。事件树的确是整合了非能动系统的设备可靠性与功能可靠性，而且还整合了系统投入后的运行失效。但在第2个题头上还应考虑，PRHRS的功能失效与失效环路发生失效的时间关系，失效环路不一定在需求是发生失效，极有可能在系统运行期间发生设备(能动或非能动)失效。系统运行期间能动设备(阀门)与非能动设备(管道)均有可能发生失效。所以融合时不但要考虑非能动系统设备失效还应考虑功能失效，设备失效与功能失效互为条件相互影响。设备失效有系统投入前、投入后两个时段，每一时段又分为能动设备失效与非能动设备失效。能动设备(阀门)的失效(误关闭)可能仅影响设备所在的非能动系统环路，而非能动设备(传热管)的失效(破裂)不但影响设备所在的非能动系统环路还会影响其他环路，因为非能动设备的失效有可能破坏主回路的压力边界。Seok-Jung Han等人[27]指出基于单失效状态的传统非能动系统可靠性方法不能直接应用到超高温反应堆(Very High Temperature Reactor，VHTR)的PSA模型中，多状态的超越概率方法为VHTR的PSA分析非能动系统可靠性提供了一个切实可行的解决方案。但由于VHTR的燃料性能，使得非能动系统多失效标准成为VHTR PSA模型的固有特性，所以非能动系统多失效标准仅适用于VHTR。另外，文章仅将非能动系统可靠性融合进PSA模型，并未考虑设备与功能的整合以及融合进PSA模型的内容。

综上所述，国外研究机构和学者在整合非能动系统设备可靠性与功能可靠性、融合系统可靠性到PSA模型等方面取得了具有重要意义的研究成果与初步进展，但在两方面研究上均存在不足之处。

5 研究问题的提出

综合国内外研究现状可知，虽然国外研究非能动系统可靠性比国内起步较早，并且在设备可靠性与功能可靠性的整合、系统可靠性融合进PSA模型等方面取得了部分研究成果与进展，但国内外在两方面研究内容上均有不足，具体问题如下。

整合设备可靠性与功能可靠性时，系统整体可靠性不是二者的简单叠加，如条件概率，系统成功投入后设备可靠性不变或设备一直成功运行，不再考虑系统运行对设备可靠性的影响。这是静态方法分析非能动系统设备可靠性，仅考虑系统投入的设备可靠性，忽略了系统运行后环境对设备可靠性的影响以及设备可靠性的变化，应着重考虑对运行环境(压力、温度)敏感的设备可靠性。如非能动系统成功投入后，运行环境恶劣致使部分设备失效，非能动系统的运行也随之终止。

目前均是分离设备可靠性与功能可靠性，单独处理其中一项作为事件树题头融合进PSA模型。但系统的设备可靠性与功能可靠性互为条件，相互影响，不能单独分离处理。系统投入前考虑设备可靠性时，重点在于能动设备即考虑需求失效；系统投入后还应考虑设备可靠性，重点兼顾能动设备与非能动设备即需求失效与运行失效，系统投入后的功能可靠性与失效环路发生故障的时间有关系，这些都应整合后融合进PSA模型。

将非能动系统可靠性融合进PSA模型存在一些不足之处，主要在于PSA传统建模工具ET没有考虑系统的动态交互作用、热工水力诱发的失效、人员操作等瞬变过程的动态性。系统的动态交互作用也是由热工水力程序自身考虑的，并且先进反应堆非能动系统固有存在人的操作与干涉，所以ET方法在非能动系统可靠性融合方面仅是一种简化的事故序列分析方法。

6 研究思路

本文在国内外学者的研究基础上，对整合非能动系统设备可靠性与功能可靠性、融合系统可靠性到PSA模型等以及内容提出自己的研究思路，具体内容如下：

6.1 设备可靠性与功能可靠性的整合

非能动系统的设备可靠性与功能可靠性是互为条件，相互影响的，不能单独分割处理。系统投入前考虑设备可靠性时，重点在于能动设备即考虑需求失效；系统投入后还应继续考虑设备可靠性，重点兼顾能动设备与非能动设备即需求失效与运行失效。发生需求失效的设备一般是能动设备(阀门)，故障树方法适合分析能动设备可靠性，而发生运行失效的设备一般是非能动设备(管道)，故障树方法是静态方法，不适合分析非能动设备可靠性。原因是非能动系统成功投入后，系统运行参数一直处于变化状态，设备所处的环境也是变化的，故障树方法不适用动态的情形。可以考虑采用结构可靠性理论分析非能动设备可靠性，关键是建立可信的非能动设备应力-干涉模型，评价非能动设备可靠性。

6.2 系统整体可靠性融合进PSA模型

事件树题头分析两类失效：启动失效，除了分析设备失效，还应分析系统投入运行的机理与初始条件；运行失效，除了分析自然循环的稳定性和系统依赖的初始或边界条件、开始或维持固有现象的机理失效，还应分析系统运行过程中设备的运行失效！

本文以压水堆全厂断电事故为例，分析连接在主回路非能动余热排出系统的事故序列以说明作者的研究思路，事件树如图9所示。

图9 全厂断电事故下压水堆非能动余热排出系统的事件树Fig.9 Event tree of total loss of power supply on a PWR equipped with the RP2 system

事件树中非能动余热排出系统可用环路数的题头(第2个题头)属于设备失效，具体是系统投入前与运行中的需求失效。第3个题头：2条环路有1条环路的传热管发生破裂属于运行失效，是系统投入后的设备(非能动)失效。第4个题头是余热排出系统的物理过程失效，即功能失效。事件树整合了非能动系统的设备可靠性与功能可靠性，而且还包括了系统投入后的设备运行失效。在第2个题头上还考虑了非能动系统功能失效概率与失效环路发生失效时间的关系，不能正常运行的环路不一定在需求时发生失效，极有可能是系统运行期间发生设备(能动设备与非能动设备)运行失效。系统运行期间能动设备(阀门)与非能动设备(管道)均有可能发生失效。所以融合时不但要考虑非能动系统设备失效还应考虑功能失效，两者是互为条件相互影响的，设备失效在时间上分为系统投入前与投入后，每一时段又分为能动设备失效与非能动设备失效，能动设备(阀门)的失效(误关闭)可能仅是影响设备所在的非能动系统环路，而非能动设备(传热管)的失效(破裂)不但影响设备所在的非能动环路还会影响其他环路，因为非能动设备失效可能会破坏主回路的压力边界。

另一方面，非能动系统的失效准则可反映事故发展的动态性，即不同事故、不同初始条件、不同失效准则。需要投入非能动系统的事故场景不只有一种，应分析投入非能动系统尽量完整的事故场景，统计非能动系统成功或失败的场景，界定出非能动系统成功场景的下限与失败场景的上限。筛选对功能失效有重要影响的事故场景是减少计算量的一条可行途径，可对每一种事故场景做敏感性分析，确定出重要的事故序列。筛选出3种事故场景：(1) 非能动系统绝对成功的事故场景；(2) 成功与失效并存的场景；(3) 绝对失效的事故场景。非能动系统建模时应详细分析第2种事故场景，因为此时事故场景对应的输入参数存在一定的变化范围，有些参数组合下非能动系统成功，另一些时非能动系统失效，研究非能动系统输入参数的不确定性才是模型的重点与难点。

不同的事故场景实质上是不同物理过程量的组合，所以动态事故发展也是物理过程量的演化，对关键过程量抽样组合进行大量计算，实质也是计算了大量的不同事故场景。但两者之间也不完全是等同关系，不同的事故场景对应的物理过程量是间断的，过程量之间的差别较大；而抽样组合对应的物理过程量几乎是连续的，过程量之间的差别较小，在很小范围内有大量的样本。

7 总结与展望

7.1 总结

本文首先详述非能动系统可靠性，之后叙述主要的非能动系统可靠性评价方法，分析对比非能动系统可靠性的评价方法并指出各种非能动系统可靠性评价方法共同存在的不足：没有一种方法可以同时兼顾非能动系统设备可靠性与功能可靠性，设备可靠性与功能可靠性的整合是非能动系统可靠性分析领域亟待解决的问题；并且如何将非能动系统可靠性融合进PSA模型，也是非能动系统可靠性研究的热点与难点。

本文充分调研国内外非能动系统设备可靠性与功能可靠性整合、系统可靠性融合进PSA模型等方面的研究，分析了研究问题并针对问题提出自己的研究思路：(1) 非能动系统投入前考虑设备可靠性时，重点在于能动设备即考虑需求失效，系统投入后还应继续考虑设备可靠性，重点兼顾能动设备与非能动设备即需求失效与运行失效，系统投入后的功能可靠性与失效环路发生故障的时间有关系；(2) 事件树题头分析两类失效：启动失效，除了分析设备失效，还应分析系统投入运行的机理与初始条件；运行失效，除了分析非能动系统的稳定性和系统依赖的初始或边界条件、开始或维持固有现象的机理失效，还应分析系统运行过程的设备运行失效；(3) 非能动系统的失效准则反映事故发展的动态性，即不同事故、不同初始条件、不同失效准则；(4) 筛选对物理过程失效有重要影响的事故场景可以减少计算量，对每一个事故场景做敏感性分析，确定出重要的事故序列，筛选出3种事故场景：(1) 非能动系统绝对成功的事故场景；(2) 成功与失效并存的场景；(3) 绝对失效的事故场景。

7.2 展望

目前国内外将非能动系统可靠性融合进PSA模型，均是与PSA传统建模工具ET方法进行融合，然而传统ET方法在非能动系统可靠性与PSA模型融合方面存在一些不足之处，主要原因在于ET方法没有考虑系统的动态交互作用、热工水力诱发的失效、人员操作等瞬变过程的动态性。系统的动态交互作用也是由热工水力程序自身考虑的，并且先进反应堆非能动系统固有存在人的操作与干涉，所以传统ET方法在非能动系统可靠性融合方面仅是一种简化的事故序列分析方法。

动态系统分析中时间变量起到关键作用：物理过程的确定轨迹受随机时间的影响，原因在于系统结构的随机变化、失效、控制、操作员行为等因素的作用[55]，基于静态场景的判断可能导致ET出现错误的功能时序。对于非能动系统，堆芯衰变热加重安全系统的负荷，并且“负荷”是时间函数；另外，随着非能动系统的运行，维持系统运行的边界条件也随着时间改变，所以分析非能动系统的可靠性应考虑随时间变化的功能可靠性。目前PSA研究中使用的静态模型并不能明确的描述系统随着时间的干扰分布，迫切需要发展时间模型来补充传统PSA建模方法的不足。

离散动态事件树(Dynamic Discrete Event Tree，DDET)在模拟事故场景时充分考虑到系统过程量、设备和人员操作的交互作用，可以很好的反应事故演化过程的动态性。原则上将非能动系统可靠性融合进动态PSA(Dynamic Probabilistic Safety Assessment，PSA)模型是合理的、不存在潜在问题，因为不需要解决额外的模拟问题，模拟自然循环的热工水力程序在动态事故分析方面具有广泛的应用。应重点研究如何实现非能动系统可靠性融合进DPSA模型以及分析事故发展的系统过程量、设备、人员操作对非能动系统可靠性的影响。然而，DPSA模型更为复杂，需要更多的计算成本，未来研究应发展更为有效的计算方法。

[1] 周涛，李精精. 核电机组非能动技术的应用及其发展[J]. 中国电机工程学报，2013，33(8)：81-89.

[2] Personal Communication with G.L. Fiorini，CEA，France，2004.

[3] Extended final report. Deliverable 12 of RMPS project. EVOL-RMPS-D12. March 2004.

[4] Marques，M.，Pignatel，J.F.，Saignes，P.，D’auria，F.，Burgazzi，L.，Miiller，C.，Bolado Lavin，R.，Kirchsteiger，C.，La Lumia，V.，Ivanov，L. Methodology for the reliability evaluation of a passive system and its integration into a probabilistic safety assessment. Nuclear Engineering and Design 2005(235)：2612-2635.

[5] D’Auria，F.，Bianchi，F.，Burgazzi，L.，Ricotti，M.E. The REPAS study：reliability evaluation of passive safety systems. In：Proceedings of the 10th International Conference on Nuclear Engineering ICONE 10-22414，Arlington，Virginia，USA，April 2002：14-18.

[6] Nayak A. K. et al. Reliability assessment of passive isolation condenser system of ASPRA methodology. Reliability Engineering and System Safety，2009(94)：1064-1075.

[7] Zio，E.，Pedroni，N. Building confidence in the reliability assessment of thermal-hydraulic passive systems. Reliabil. Eng. Syst. Safe，2009，(94)：268-281.

[8] Zio，E.，Pedroni，N. Estimation of the functional failure probability of a thermal-hydraulic passive system by subset simulation. Nucl. Eng. Des. 2009(239)：580-599.

[9] Industrial Study Case，part 3. Integration of passive system reliability in PSA. Deliverable 8 of RMPS project. EVOL-RMPS-D08. October 2003.

[10] GLASER，H.，Experience in application of uncertainty methods and review of methods used in licensing，Exploratory OECD meeting of experts on best estimate calculations and uncertainty analysis，Aix-en-Provence，France，2002：13-14.

[11] D’AURIA，F.，GIANNOTTI，W.，Development of a code with internal assessment of uncertainty，Nuclear Technology，2000(131)：159-196.

[12] SALTELLI，A.，et al.，Sensitivity Analysis，John Wiley & Sons，2000.

[13] Approaches for introducing passive system unreliability in accident sequence. Deliverable 7 of RMPS project. EVOL-RMPS-D07. May 2003.

[14] Proposition of a specific methodology. Deliverable 9 of RMPS project. EVOL-RMPS-D09. March 2004.

[15] Mezio，F. Assessment of the Thermo-Hydraulic Phen-omenology of an Isolation Condenser and its impact on the Nuclear Safety. Master Thesis of the Instituto Balseiro. S.C de Bariloche，Argentina，2010.

[16] BOLADO，L. R.，DEVICTOR，N.，Uncertainty and sensitivity methods in support of PSA level 2，Workshop on Evaluation of uncertainties in Relation to Severe Accidents and Level 2 PSA，OECD Nuclear Energy Agency，2006.

[17] GUBA，A.，MAKAI，M.，PAL，L.，Statistical aspects of best estimate method，Reliability Engineering and System Safety，2003(80)：217-232.

[18] D’Auria，F.，Galassi，G. M. Methodology for the evaluation of the reliability of passive systems. University of Pisa. DIMNPNT 2000(420)，Pisa，Italy..

[19] Krzykacz，B.，Hofer，E.，Kloos，M. A software system for probabilistic uncertainty and sensitivity analysis of results from computer models. In：Proceedings of PSAM-II，San Diego，CA，USA，1994：20-25.

[20] D’Auria，F.，Galassi，G.M. Code validation and uncertainties in system thermal hydraulics. J. Prog. Nucl. Energy，1998(33)：175-216.

[21] Bianchi，F.，Burgazzi，L.，D’Auria，F.，Galassi，G.M.，Ricotti，M.E.，Oriani，L. Evaluation of the reliability of a passive system. In：Proceedings of the International Conference on Nuclear Energy in Central Europe，Portoroz，Slovenia，2001：10-13.

[22] Jafari，J.，D’Auria，F.，Kazeminejad，H.，Davilu，H. Reliability evaluation of a natural circulation system. Nuclear Eng. Des. 2003(224)：79-104.

[23] Glaeser，H. Uncertainty evaluation of thermalhydraulic code results. In：ANS International Meeting on Best-Estimate Methods in Nuclear Installations Safety Analysis (BE-2000)，Washington，DC，USA，2000：17-20.

[24] Burgazzi，L. State of the art in reliability of thermal-hydraulic passive systems. Reria.，Eng. Syst. Safe. 2007(92)：671-675.

[25] BURGAZZI，L. Addressing the uncertainties related to passive system reliability，Progress in Nuclear Energy，2007(49)：93-102.

[26] Pagani，L.P. On the quantification of safety margins. Ph.D Theses Massachusetts Institute of Technology，2004.

[27] Seok-Jung Han，Joon-Eon Yang. A quantitative evaluation of reliability of passive systems within probabilistic safety assessment framework for VHTR [J]. Annals of Nuclear Energy，2010.

[28] IAEA. Progress in Methodologies for the Assessment of Passive Safety System Reliability in Advanced Reactors[R]. 2014. TECDOC-1752.

[29] 玉宇，钱晓明，高庆瀚等. 冷源、热源温度对自然循环系统运行可靠性的影响分析[J]. 科技导报，2012，30(24)：62-65.

[30] 玉宇，童节娟，刘涛，等. 非能动系统可靠性分析方法探讨[J]. 中国核科学技术进展报告(第一卷)，2009：56-61.

[31] 黄昌蕃，匡波. 非能动安全系统可靠性评估方法初步研究[J]. 核安全，2012(1)：35-41.

[32] 黄昌蕃. 非能动安全系统可靠性评估方法初步研究[D]. 上海：上海交通大学，2012：12-13.

[33] 钱晓明. AP1000非能动余热排出系统可靠性分析及地震安全评价[D]. 保定：华北电力大学，2013.

[34] 刘强. 基于神经网络方法的AP1000 非能动系统可靠性分析[D]. 北京：清华大学，2014：48-61.

[35] 谭国成. 基于非能动系统功能可靠性的IVR-ERVC保温层优化设计与可靠性评估[D]. 上海：上海交通大学，2010：43-66.

[36] 刘昊. 基于非能动系统功能可靠性的火箭发动机预冷系统设计参数优化[D]. 上海：上海交通大学，2011：27-52.

[37] 陈士强. 核电站非能动安全注入系统仿真研究[D]. 黑龙江：哈尔滨工程大学，2008：47-67.

[38] 李明岩. 核电站非能动余热排出过程仿真研究[D]. 哈尔滨：哈尔滨工程大学，2009：35-49.

[39] 岳芷廷. 核动力装置非能动余热排出方法研究[D]. 哈尔滨：哈尔滨工程大学，2008：40-66.

[40] 严春. 先进反应堆非能动余热排出系统设计[D]. 哈尔滨：哈尔滨工程大学，2010：24-50.

[41] 袁添鸿. 先进压水堆非能动系统运行特性分析与仿真[D]. 武汉：海军工程大学，2011：37-52.

[42] 张顺香. AP1000 电厂状态参数不确定性对LBLOCA影响的量化分析[D]. 上海：上海交通大学，2013：41-51.

[43] 倪超. AP1000核电厂大破口失水事故最佳估算分析建模与不确定性研究[D]. 上海：上海交通大学，2011：47-80.

[44] 殷煜皓. AP1000先进核电厂大破口RELAP5建模及特性分析[D]. 上海：上海交通大学，2012：59-74.

[45] 张中伟. 保守分析与最佳估算相结合之LOCA认证分析方法论[D]. 上海：上海交通大学，2011：46-65.

[46] 王争昪. 先进压水堆非能动余热排出热交换器传热性能研究与计算[D]. 上海：华东理工大学，2011：25-57.

[47] 周响. 非能动余热排出热交换器传热机理研究及实验验证 [D]. 上海：华东理工大学，2015：24-53.

[48] 夏会宁. AP 1000核电厂非能动余热排出热交换器数值模拟及其设计优化[D]. 保定：华北电力大学，2014：38-43.

[49] Christian Kirchsteiger，Ricardo Bolado Lavin. Best Links Between PSA and Passive Safety Systems Reliability[R]. European Commission DG J RC，2004.

[50] Burgazzi，L. Passive system reliability analysis：a study on the isolation condenser. Nucl. Technol. 2002(139)：3-9.

[51] Luciano Burgazzi Michel Marques. Integration of passive system reliability in PSA studies. In：Proceedings of the 10th International Conference on Nuclear Engineering ICONE 14-89129，Miami，Florida，USA，JULY 17-20.

[52] Federico Mezioa，Mariela Grinbergb. Integration of the functional reliability of two passive safety systems to mitigate a SBLOCA+BO in a CAREM-like reactor PSA[J]. Nuclear Engineering and Design，2014(270)：109-118.

[53] Mathews. T.S. et al. Integration of functional reliability analysis with hardware reliability：an application to safety grade decay heat removal system of Indian 500 MWe PFBR. Ann. Nucl. Energy，2009(36)：481-492.

[54] Michel Marques .Methodology for the reliability evaluation of a passive system and its integration into a Probabilistic Safety Assessment [J]. Nuclear Engineering and Design，2005(235)：2612-2631.

[55] V. Kopustinskas，MEMO ON DYNAMIC RELIABILITY EXTENSION TO RMPS PROJECT，JRC，Petten，February 2004.

Researchreliabilityevaluationmethodsofpassivesystem

GUOHai-kuan1，ZHAOXin-wen1，CAIQi1，ZHANGYong-fa1，HUANGLi-qin2

(1. Department of Nuclear Energy Science and Engineering，Naval University of Engineering，Wuhan 430033，China；2. Material Science and Engineering academy，Nanchang Hangkong University，Nanchang 330063，China)

Firstly，this paper explains the concept of passive system detailedly，and analyze features for various reliability methods of passive system，compare their differences and point out common defect in them：there was not a method that taking count of equipment reliability and functional reliability，integrating their reliabilities into a PSA；aiming at the defect，this paper propose research problem and thought upon domestic and overseas foundation of research，and outlook the future developmental direction for reliability evaluation methods of passive system.

reliability of passive system；equipment reliability；functional reliability；probabilistic safety assessment

郭海宽(1988—)，男，汉族，河北邢台人，博士研究生，核反应堆非能动系统可靠性分析，E-mail：ghk_1988@163.com

核反应堆系统设计技术国家重点实验室基金资助项目(HT-JXYY-02-2014002)

TL364

A

0258-0918(2017)05-0704-17