基于概率模型检测器的核电厂蒸汽发生器水位控制系统可靠性分析

2020-02-23 03:31周世梁陈浠毓夏林路
核科学与工程 2020年6期
关键词:马尔可夫水流量蒸汽

周世梁,陈浠毓,张 磊,夏林路

(1.华北电力大学 核科学与工程学院,北京 102206;2.非能动核能安全技术北京市重点实验室,北京 102206)

现阶段,核电厂安全/非安全相关的系统主要采用数字化仪控系统。数字化仪控系统的可靠性对核电厂安全运行过程的操作和维护至关重要[1]。厦门大学陈培锋等人、上海交通大学张小琴等人使用DFM方法分别分析了无保护系统的情况下蒸汽发生器水位控制系统导致蒸汽发生器高高水位、低低水位的概率,有保护系统的情况下蒸汽发生器水位控制系统导致蒸汽发生器高高水位、低低水位的概率[2,3]。DFM方法继承了传统概率安全分析方法的优点,并且实现了多故障情况下的概率安全分析。其具有多态特性并考虑了控制过程中因软件缺陷导致的故障[4]。但是DFM方法不能精确考虑系统部件的可修复性。静态故障树方法既不能精确考虑系统部件的可修复性,也难以完全反映数字化仪控系统的复杂和动态特性[5],这影响了系统可用率分析的准确性。马尔可夫过程是一种动态可靠性建模方法,可以直观的具体的描述系统中部件的失效、修复以及运行部件与备用部件的切换,其已被用于核电厂保护系统可靠性分析[6-8]。

概率模型检测器PRISM使用以状态为基础的语言描述概率模型,模块和变量是模型的基本组成单位。可以将独立的设备故障用单个模块表示,将具有相互关联关系的设备故障放入一个模块表示,这种建模方法提高了建立大型模型的效率。

通过使用概率模型检测器PRISM建立蒸汽发生器水位控制系统马尔可夫模型,并进行定量分析,计算出了系统的不可用率,并对比分析提高仪表可维修性或增加冗余装置对系统可用性的影响。

1 概率模型检测器PRISM

PRISM是一个概率模型检查器,一个验证存在随机行为的系统的形式化验证工具。概率模型检验是一种基于数值分析的验证技术。PRISM通过生成支持概率特性的系统模型来计算模型的状态空间,然后分析需求规约,通过合适的模型检测算法来验证模型是否满足规约。

PRISM支持四种概率模型:离散时间马尔可夫链(DTMC)、连续时间马尔可夫链(CTMC)、马尔可夫决策过程(MDP)、概率时间自动机(PTA)。PRISM模型由模块和变量组成,模块的定义格式如下:

(1)

模块的行为由命令描述,命令的表达方式如下:

(2)

其中,guard卫式用来描述概率行为发生的条件;采用的是连续时间马尔可夫模型,rate用来描述概率迁移速率;update用来描述变量所产生的变化。

PRISM工具已被用于从无线通信协议到量子密码到系统生物学的广泛领域中的定量验证:确定最差性能情况下蓝牙缺陷或异常行为,以及用于生物信号传导途径的行为预测[9]。目前,PRISM已被用于动态故障树的可靠性分析[10,11]。

假设一个控制器包含两个热备互投的处理器模件A和B,当A和B全部失效时控制器失效,控制器失效的马尔可夫模型如图1所示,标黄的状态为失效状态。初始情况下,控制器处于A运行B热备用。若A发生失效,立即启动B,进入A故障B运行状态;若B在备用状态下失效,系统进入A运行B故障状态。当系统处于A故障B运行状态,若A发生修复,系统进入A备用B运行状态;若B发生失效,系统进入A故障B故障状态。当系统处于A备用B运行状态,若B发生失效,立即启动A,进入A运行B故障状态;若A在备用状态下失效,系统进入A故障B运行状态。当系统处于A运行B故障状态,若B修复,系统进入A运行B备用状态;若A失效,系统进入A故障B故障状态。当系统处于A故障B故障状态,若B发生修复,系统进入A故障B运行状态,若A发生修复,系统进入A运行B故障状态。

图1 控制器失效马尔可夫模型Fig.1 Controller Failure Markov Model

因为模件A与模件B的失效相互影响,所以需要将A与B放进一个模块中进行描述。假设该模型中控制器的失效率为0.001,备用失效率是0.0001,修复率是0.1。该控制器失效的PRISM模型如图2所示,其中使用formula公式来判断马尔可夫模型中的状态是否为故障状态,如果g1值为真,则代表控制失效。

图2 控制器失效Prism模型Fig.2 Controller Failure Prism Model

假设图一所示控制器左侧串联一个模拟量输入模件,右侧串联一个模拟量输出模件组成了一个控制系统。两个模件的失效率均为0.000 01,修复率均为0.25。这个控制系统失效的PRISM模型如图3所示,其中module ai、module ao、module control_comb分别代表模拟量输入模件、模拟量输出模件、控制器,因为是串联结构,当其中任何一个装置失效时,控制系统失效,此时g2为真。卫式中的!g2的含义是当系统失效时,系统进入检修状态,不再发生新的失效,设备的维修不受系统失效状态的影响。

ctmcformula g1=(c1=1)&(c2=1);formula g2=(ai1=1)|(ao1=1)|g1;const double faiao =0.00001;const double raiao =0.25;const double fc =0.001;const double fc_standby = 0.0001;const double rc = 0.1;module aiai1 :[0..1]init 0;[](ai1=1)-> raiao:( ai1'=0);[](!g2)&(ai1=0)-> faiao:( ai1'=1);endmodulemodule aoao1 :[0..1]init 0;[](ao1=1)-> raiao:( ao1'=0);[](!g2)&(ao1=0)-> faiao:( ao1'=1);endmodulemodulecontrol_combc1 :[0..1]init 0;c2 :[0..1]init 0;cr :[0..4]init 0;[](c1=1)&(c2=0)&(cr=1)-> rc:(c1'=0)&(cr'=2);[](c1=0)&(c2=1)&(cr=3)-> rc:(c2'=0)&(cr'=0);[](c1=1)&(c2=1)&(cr=4)-> rc:(c1'=0)&(cr'=3)+ rc:(c2'=0)&(cr'=1);[](!g2)&(c1=1)&(c2=0)&(cr=1)->fc:(c2'=1)&(cr'=4);[](!g2)&(c1=0)&(c2=0)&(cr=2)->fc:(c2'=1)&(cr'=3)+fc_standby:(c1'=1)&(cr'=4);[](!g2)&(c1=0)&(c2=1)&(cr=3)->fc:(c1'=1)&(cr'=4);endmodule

2 核电厂蒸汽发生器水位控制系统

2.1 给水流量调节系统

蒸汽发生器水位控制系统由蒸汽发生器给水流量调节系统和主给水泵转速调节系统组成的,前者是对每个蒸汽发生器分别调节流量;后者将给水母管与蒸汽母管之间的差压维持在程序值。以某核电厂为例,该核电厂采用I/A Series的过程控制系统。

每一台蒸汽发生器都有一个独立的蒸汽发生器给水流量调节系统,通过控制并联安装在蒸汽发生器入口侧的主给水调节阀和旁路给水调节阀的开度,控制给水流量,从而控制蒸汽发生器水位。在高负荷运行的情况下(18%~100%额定功率),旁路给水调节阀全开,系统采用主给水调节阀调节给水流量,主给水调节阀由一个三冲量(蒸汽发生器水位、给水流量、蒸汽流量)控制通道进行控制。在低负荷运行的情况下(小于18%额定功率),主给水调节阀全闭,系统采用旁路给水调节阀调节给水流量,旁路调节阀由一个单冲量(蒸汽发生器水位)控制通道进行控制。

高负荷时,主蒸汽流量信号,在被主蒸汽压力信号校正后,与主给水流量信号在加法器作差得到汽水失配信号。蒸汽发生器水位信号与液位整定值在加法器做差得出水位偏差信号,水位偏差信号由给水温度确定的增益补偿后,输入水位调节通道生成给水流量给定值信号。给水流量信号与汽水失配信号经加法器输入流量调节通道(PI控制器),从而产生主调阀的开度信号,控制给水流量,实现液位控制。给水流量调节系统结构如图4所示。

图4 给水流量调节系统结构图Fig.4 Structure Chart of Feedwater Flow Regulation System

2.2 主给水泵转速调节系统

主给水泵转速调节系统的主要功能是将蒸汽母管和给水母管之间的压差保持在预定值上,该值随负荷增加而增加。系统输入信号为代表全负荷的主蒸汽流量信号和主蒸汽母管/主给水母管压差不匹配信号,输出为泵转速整定值。对每台蒸汽发生器来的蒸汽流量信号进行求和,生成全负荷信号,生成的全负荷信号由函数发生模块转换成一个压降整定值,该整定值经过滤波与给水母管与蒸汽母管之间的实测压降经加法器产生压差偏差信号,再输入PI控制器,产生泵转速整定信号。泵转速调节器产生泵转速调节信号,以控制给水泵转速。给水泵转速调节系统结构如图5所示。

图5 主给水泵转速调节系统结构图Fig.5 Structural Chart of Speed Regulation System of Main Feed Pump

3 核电厂蒸汽发生器水位控制系统可靠性建模

3.1 建模假设

鉴于蒸汽发生器水位控制系统的复杂性,建模前作出以下假设:(1)因为数字化控制系统的诊断覆盖率一般达到90%以上,为了简化模型,假设控制系统模件的失效均为可检测故障;(2)热备用模件在备用状态下是处于工作状态的,在缺乏备用失效率的情况下,假设备用失效率和正常运行状态运行失效率相等;(3)假设电厂在大于20%FP的工况下运行,此时旁路调节阀全开,不考虑旁路调节阀的失效;(4)根据安全仪控系统模件、电源的平均修复时间的要求,模件的平均修复时间小于4 h,电源的平均修复时间小于2 h,所以假设模件、电源的维修率分别为0.25、0.5; (5)限于篇幅,以1号蒸汽发生器为例,对其水位控制系统进行可靠性分析,不考虑2号、3号蒸汽发生器控制系统及其他系统设备的失效。

3.2 核电厂蒸汽发生器水位控制系统马尔可夫模型

核电厂蒸汽发生器水位控制系统失效连续时间马尔可夫模型如图6所示,为了便于展示,对模型图形进行了简化处理。因为处理器模件组和电源模件组都是热备互投的,所以处理器模件组失效、电源模件组失效的马尔可夫模型与图1所示模型结构相同。

图6 蒸汽发生器水位控制系统马尔可夫模型Fig.6 Markov Model of Steam Generator Water Level Control System

图6 蒸汽发生器水位控制系统马尔可夫模型(续)Fig.6 Markov Model of Steam Generator Water Level Control System

在这个控制系统中,对于有三个测量通道的信号,当其中两个通道失效时,认为该信号失效,信号维持上一刻值不变。对于有两个测量通道的信号,当其中一通道失效时,认为该信号失效,信号维持上一刻值不变,这种失效用或门来表示。

系统主要设备失效率与维修率如表1所示。

表1 系统主要设备可靠性参数Table 1 Reliability parameters of main equipment in the system

3.3 PRISM分析结果

一台蒸汽发生器的蒸汽发生器水位控制系统的不可用率如图7所示,系统的稳态不可用率约为2.3×10-4。

图7 蒸汽发生器水位控制系统不可用率Fig.7 Unavailability of Steam Generator Water Level Control System

将考虑修复时整个系统的马尔可夫模型近似等效为一个可修复部件,该部件的不可用率满足式3。使用式3对图8所示曲线计算,得到系统的失效率约为1.1×10-5,维修率约为0.047。

图8 蒸汽发生器水位控制系统不可用率(改进后)Fig.8 Unavailability of Steam Generator Water Level Control System(After Improvement)

(3)

系统的平均故障间隔时间(MTBF)和平均修复前时间(MTTR)应分别满足公式(4)与公式(5)。将系统的失效率与修复率代入公式(4)和公式(5),可得系统的MTBF、MTTR约为9.1×104h、21 h。

(4)

(5)

马尔可夫模型中导致蒸汽发生器水位控制系统失效的主要故障组合如表2所示,可以发现由于主给水流量测量,主蒸汽流量测量,主蒸汽压力测量未采用三通道冗余,其相关测量仪表成为导致系统失效的主要原因,表中各故障组合稳态不可用率及占总不可用率百分比一致。因为蒸汽发生器水位信号的采集是三通道冗余的,需要使用采集模件1、2、3,当失效两个模件时,信号采集失效。但是,当采集模件1、2、3其中任何一个模件失效,都会导致蒸汽发生器水位控制系统失效,因此在蒸汽发生器水位采集失效发生之前,一定会有主给水流量信号、主蒸汽流量信号、主蒸汽压力信号之一采集发生失效。

表2 马尔可夫模型主要故障组合及其稳态概率Table 2 Major failure states and steady-state probabilities of Markov model

3.4 系统可靠性设计

因为核电厂DCS可用性要优于99.99%,所以仪表维修时间为24 h不满足要求,要提高系统可靠性,降低系统不可用率,可以采取以下两种方式:(1)改变仪表的平均维修时间,提高仪表设备的修复率,增强仪表的可修复性;(2)将主给水流量信号,主蒸汽流量信号,主蒸汽压力信号的测量由两通道改变成三通道,提高信号测量的冗余性。

将仪表平均修复时间降低到12 h、8 h、4 h时、以及增加冗余仪表时系统不可用率如图8所示,系统不可用率分别约为1.3×10-4、9.7×10-5、6.3×10-5、2.1×10-6,系统不可用率分别下降44%、58%、73%、99%。对比可以得到,增加冗余装置对系统可用率的提升效果更明显。

4 结论

建立了核电厂数字化蒸汽发生器水位控制系统的马尔可夫模型,使用PRISM对模型进行了可靠性分析。PRISM通过模块化建模,提高了建模效率,可大幅度降低可靠性工程师建模工作量。通过PRISM直接描述马尔可夫模型,描述能力更强,可描述自备互投等具有复杂时序和相关性的故障情景。

可靠性模型描述了系统的传感器、采集模件、处理器、输出模件、电源模件、阀门和泵共计35部件的状态,系统状态总数达到百万量级。

模型中考虑了多处复杂的失效相关性和失效时序,比如主处理器模件、热备用处理器模件的热备互投,主电源、热备用电源的热备互投,热备用模件在备用状态下的失效。考虑了电动主给水泵组中备用泵的启动失效。

结果表明主给水流量计失效、主蒸汽流量计失效、主蒸汽压力计失效是导致失效发生的主要原因,共占系统不可用率的90%。通过对比两种提升系统可靠性的方案,增加冗余仪表带来的系统可用率提升最为明显,使系统不可用率降低了99%,提高仪表维修率,降低仪表平均维修时间带来的可用率提升相对较弱。为了保证系统可用性,仪表的平均维修时间应该小于8 h,对于采用三通道测量的仪表,其平均维修时间可以延长至24 h。

猜你喜欢
马尔可夫水流量蒸汽
枯水期前婆桥村生态沟渠水体的污染指标削减状况研究
M701F4燃气轮机TCA系统冷却水流量异常分析
EGR冷却器液侧沸腾特性及流量参数优化研究
基于重力方向影响的低压涡轮叶片水流量测量数值计算
车坛往事3:蒸汽时代步入正轨!
面向电力系统的继电保护故障建模研究
基于马尔可夫链共享单车高校投放研究
基于马尔可夫链共享单车高校投放研究
基于马尔科夫算法对预测窗户状态模型的研究
事业单位财务风险预测建模及分析