Rapport
INTERUNIVERSITAIR REACTOR INSTITUUT te DELFT
We regret that some of the pages in the microfiche copy of this report may not be up to the proper legibility standards, even though the best possible copy was used for preparing the master fiche.
IRI-131-73-01
Berekening van aanvaardbare testintervallen en reparatietijden voor componenten van meervoudige beveiligingssystemen
H. van Dam
November 1973
1. Algemene inleiding
Teneinde de met het bedrijven van een installatie samenhangende risico's binnen aanvaardbare grenzen te houden, worden beveiligingssystemen toegepast. Deze systemen grijpen in, wanneer bepaalde limietwaarden bij het proces worden overschreden en sturen dan het proces in een veilige richting; bij situaties, die als een ongeval kunnen worden aangemerkt, kunuen dergelijke systemen dienen om de gevolgen te verkleinen. Het opleggen van een risicobegrenzing impliceert uiteraard het stellen van eisen ten aanzien van de betrouwbaarheid van beveiligingssystemen.
In dit rapport wordt de vraag, wat een aanvaardbaar risico is, niet geanalyseerd. Het doel van dit rapport is, enige veel gebruikte systeemprincipes aan te geven en de grondslagen van de betrouwbaarheidsanalyse te behandelen. De te beantwoorden kernvragen zijn : - hoe groot is de faalkans van een uit meerdere componenten opgebouwd beveiligingssysteem bij gegeven faalkansen voor de componenten. - hoe bepaalt men veilige testintervallen voor beveiligingssystemen. - hoe bepaalt men aanvaardbare reparatietijden, indien bij testen êên of meerdere componenten niet blijken te functioneren.
2. Redundantie bij beveiligingssystemen
Teneinde de kans, dat bij ongewenste situaties de juiste acties niet tot stand komen, aanvaardbaar klein te houden worden beveiligingssystemen veelal meervoudig uitgevoerd (principe van redundantie). Dit heeft uiteraard een maximaal succes, wanneer de systemen onafhankelijk van elkaar werken, zodat ook een eventueel falen van een systeem onafhankelijk is van de toestand van de andere systemen. Is aan de laatste voorwaarde voldaan, dan zal gebruik kunnen worden gemaakt van de productregel voor faalkansen; indien bijvoorbeeld twee onafhankelijke systemen elk gedurende een bepaalde periode een faalkans van 10
hebben, dan zal de kans dat
beide systemen falen in diezelfde periode 10* bedragen.
-2-
Indien bij het laatstgenoemde voorbeeld de goede werking van een systeem voldoende is voor het goed vervullen van de veiligheidsfunctie, spreekt men van een 1-uit-2-systeem (zie schets).
>
l/2-systeem
В
Men kan twee manieren van falen onderscheiden : - onveilig falen : het falen leidt ertoe, dat het systeem niet meer een beveiligingsactie kan uitvoeren. - veilig falen : het falen heeft tot gevolg, dat zonder noodzaak tot een beveiligingsactie wordt overgegaan, hetgeen uiteraard nadelig werkt op de bedrijfsvoering van het beveiligde proces.
Het geschetste 1~uit-2-systeem is ten aanzien van "onveilig falen" betrouwbaarder, maar de kans op "veilig falen" is verdubbeld (ter vereenvoudiging is aangenomen dat A en В qua faalkansen identiek zijn). De betrouwbaarheid ten aanzien van veilig falen kan worden vergroot door toepassing van een systeem waarbij meerdere componenten een positieve indicatie moeten geven voordat een beveiligingsactie intreedt. Een voorbeeld hiervan is de 2-uit-3-schakeling (zie schets) waarbij van tenminste 2 componenten een signaal moet worden verkregen, zodat een onveilig falen van een component niet tot wegvallen van de beveiliging leidt, terwijl veilig falen van'een component niet tot ongewenste "bedrij f sonderbreking aanleiding geeft; tevens is reparatie van een defecte component mogelijk zonder het bedrijf te onderbreken.
2/3-systeem
In het algemene geval van een systeem, bestaande uit n componenten waarvan tenminste 8 goed moeten functioneren, spreekt men van s-uit-n-red'indantie.
Als laatste voorbeeld kan worden genoemd de tweevoudige 1-uit-2-redundantie, die in een aantal beveiligingssystemen van de General Electric BWR wordt toegepast (zie onderstaande schets).
2x(1/2)-syst
Bij dit systeem wordt een actie ingeleid indien (A of B) èn (C of D) een limietbegrenzing signaleren.
Voorbeelden van de laatstgenoemde configuratie vindt men bij het LPCS en het RHR-systeem. Hierbij zijn A en С niveau-indicatoren, die bij een te laag reactorwaterniveau alarmeren, terwijl В en D drukschakelaars zijn die bij een te hoge druk in de "drywell" alarmeren. Pij het HPCS-systeem is de redundantie nog verder doorgevoerd. Schematisch kan het systeem als volgt worden weergegeven (L = niveau-indicator reactorwater in het vat, P = indicator voor druk in de drywell):
parallelschakeling van twee 2x(1/2)-systemen.
L
L
start HPCS
Д-
3. Betrouwbaarheidsanalyse
Een belangrijke grootheid is het faalkanstempo X van een component. Aannemende,dat het falen van een component een zuiver toevallige gebeurtenis is (dus geen systematische effecten als "kinderziekten" of veroudering), kan de uitval in een verzameling van een zeer groot aantal componenten worden beschreven met eenzelfde vergelijking als die ъг1ке het radioactief verval van een groot aantal instabiele atoomkernen beschrijft :
Het te verwachten aantal intact zijnde componenten ten tijde t, uitgaande van N
goede componenten ten tijde t = 0 is dus : N(t) = N o e" Xt
(2)
waaruit voor de gemiddelde levensduur T van een component volgt :
In de praktijk dient men altijd te werken met perioden die klein zijn ten opzichte van de gemiddelde levensduur van een component. De faalkans van een component gedurende een tijdsinterval 9 bedraagt dan Л8, waarbij ХЭ « 1.
Beschouwt men. nu een systeem met een zekere graad van redundantie, dan doet zich de vraag voor welk risico gelopen wordt gedurende de periode 8 tussen twee testen (verder te noemen testperiode) in verband met de kans dat zoveel componenten falen dat het gehele systeem faalt.
Voor het geval van s-uit-n-redundantie zal van algeheel falen sprake zijn indien tenminste (n-s+1) componenten falen. De kans op falen van (n-s+1) componenten is : r
P
. n ! ge)""8*1 • (n-s+1) I (s-1> !
(h) W
-5-
De kans dat meer componenten falen is op grond van de eerdere aanname dat X0 «
1 is, tenminste een grootteorde
De factor (X0) ~"
kleiner en wordt verder verwaarloosd.
volgt uit de eerdergenoemde productregel : eenvoudigheids-
halve wordt hier en ook verder aangenomen dat alle componenten eenzelfd' faalkanstempo hebben. De breuk met de faculteitsuitdrukkingen vloeit voort uit de permutaties die mogelijk zijn om van n componenten er n-s+1 te laten falen. Voorbeeld : 2/U systeem. ,3
Р г = ¥ 1мг = мхе)
3
er zijn immers h combinaties mogelijk van drie defecte componenten : A+B+C, A+B+D, A+C+D en B+C+D Een tweede vraag is echter, gedurende welk deel van de testperiode n-s+1 systemen defect zijn geweest volgens de waarschijnlijkheidsrekening. De afleiding hiervan kan als volgt geschieden : De faalkans voor n-s+1 componenten voor de periode 9 is :
F(0) = u e ) n ~ s + 1 De faalkansdichtheic'sfunctie f(6) is de afgeleide van de faalkans naar de tijd :
f(t) - (n-s+i)x n - s+1 e n - 3 welke functie de kans per tijdseenheid geeft dat de (n-s+1)-de component faalt. De te verwachten tijdeduur tot falen van deze component is : 9 /t f(t)dt o n-s+1 n
u -
FT§1 "ïï=i+2'
6
-. (5)
zodat het "onbeschermde"deel van het interval, nadat de (n-s+1)-de component heeft opgehouden te functioneren, gelijk is aan :
n-s+2 De niet-beschikbaarheid van het systeem is nu gelijk aan het product van faalkans (k) en de fractie van het testinterval gedurende welke het systeem niet meer kan functioneren:
{0)
-б-
д А
-• п ! (ле)»-* 1 (n-s-H)i(n-s+2).(s-l)!
Ш
In Ref. [1] wordt het begrip risicotempo("risk rate") gebruikt. Onder risico wordt algemeen verstaan het product van de kans op een ongeval en de gevolgen van een ongeval. Duidt men het kanstempo (kans per uur bv.) voor het optreden van een conditie die ingrijpen door het beveiligings systeem vereist aan met у (konstant verondersteld) en de gevolgen met D, dan kan het risicotempo R gedurende het testinterval als volgt worden afgeleid : R = {kans op falen van het systeem volgens vgl. (k)
} .1
{onbeschermde deel van het testinterval volgens vgl. (6) } x {kanstempo у voor het optreden van een situatie, die ingrijpen door het systeem vereist} x {gevolgen van het ongeval = D} : {lengte van het testinterval} =
Zoals te verwachten, is het risicotempo evenredig met de niet-beschikbaarheid van het beveiligingssysteem.
Voor enkele veel voorkomende configuraties gelden de volgende waarden voor de niet-beschikbaarheid : redundantie :
1/2 1/3
1A
niet-beschikbaarheid :
^xe) 2 £ue) 3
2/3
jUe) u U6)2
2/k
(A6) 3
ЗА
ЗШ) 2 §U6)2
2х(1/2)
Aan de hand van vgl. (7) kan men het gewenste testinterval berekenen, uitgaande van het faalkanetempo per component en de geaccepteerde niet-beschikbaarheid.
-7-
Voorbeeld. Stel X = 10
/uur, dus gemiddelde levensduur van een component
is 10.000 uur - 1 jaar. Geaccepteerd wordt bijv. A « 10 Volgt : voor een 1/2-systeem : 6 = 17^ uur voor een 2/3-systeem : 8 « 100 uur voor een 1/3-systeem : 6 = 7^0 uur In het voorgaande is aangenomen dat na het verstrijken van een testinterval alle componenten worden getest. Een andere methode kan worden gevolgd, waarbij de componenten een voor een worden getest met gelijke tijds intervallen die zodanig gekozen zijn dat in de loop van een tijdsinterval 6 alle componenten aan de beurt zijn geweest ("perfectly staggered testing"). Omdat de componenten nu meer homogeen over de tijd gespreid worden getest, is de verwachte beschikbaarheid van het systeem groter. Voor dit geval van gespreid testen geldt [Ref. 1]: redundantie :
A :
1/2
(5/210U6) 2
1/3
(1/12ИА6) 3
1A
(251/7680)(A6)4
2/3
(2/3)(X0)2
2/k
(3/8)(A9) 3
ЗА
(11/8)(Л0)2
2х(1/2)
(5/12НХ9) 2
k, Reparatie van componenten Wanneer bij het testen een of meerdere componenten blijken te falen, zal de niet-beschikbaarheid van bet systeem worden vergroot indien een defecte component niet onmiddellijk kan worden hersteld of door een goede component vervangen. Men dient nu te berekenen, hoe groot de additionele niet-beschikbaarheid van het systeem is ten gevolge van een reparatietijd T voor defecte componenten.
-8-
Stel, dat r componenten defect blijken te zijn, dan wordt de over de reparatietijflïT gemiddelde niet-beschikbaarheid gevonden door in vgl. (7) n te vervangen door (n-r) en 6 door т : (n-r) i (XT) n " r " s + 1 (n-r-s+2).(n-r-s+1)!(s-1)!
(8)
De kans, dat bij het testen r componenten defect zijn is :
n! r
(9)
(n-r)Ir!
waarbij weer aangenomen is dat X0 «
1 is, zodat zelfs de kans dat bij
testen één component defect blijkt te zijn klein is.
De over het testinterval 8 gemiddelde niet-beschikbaarheid als gevolg van reparaties is gelijk aan het product van de uitdrukkingen (8) en (9) en de fractie т/8 :
д
T n ; (Ат) п ~ г " 5 * 1 це) г
,lM U U j
r " <8* (n-r-s+2)(n-r-e+1)! (s-1) !r! Men dient nu een keuze te maken, welke verhouding tussen A
en A men
aanvaardbaar acht. Stelt men bijv. als voorwaarde : n-s E, А « А r—i г dan volgt door substitutie van (7) en (10) een uitdrukking voor de maximaal aanvaardbare reparatietijd T, die echter als gevolg van de sommering moeilijk hanteerbaar is. Ter vereenvoudiging kan men nu in (11) uitsluitend de term voor r - 1 meenemen, waaruit als maximaal aan vaardbare reparatietijd volgt :
zodat voor het geval, dat bij testen één component defect blijkt, de volgende reparatietijden gelden :
(11)
-9-
s/n :
X :
1/2 1/3
6//3 в/#»
1A
6/У5
2/3
9//3
2/U
6/ft
3/U
0//3
Voor meervoudig falen kan nu geëist vorden dat het t o t a l e r i s i c o voor de reparatietijd gelijk i s aan het totale r i s i c o voor het geval van enkelvoudig falen. Als voorbeeld nemen ve een 2/U-systeem. Als één component defect b l i j k t , zal het systeem gedurende de reparatietijd als 2/3-systeem fungeren. Het r i s i c o tijdens reparatie i s dan evenredig met : (XT1)2.T1
2 immers de niet-beschikbaarheid is ( A T . )
en de kans op het optreden van
een situatie, waarbij ingrijpen van het systeem noodzakelijk is, is evenredig met T...
Als tvee componenten defect blijken zal het systeem gedurende de reparatietijd T- als 2/2-systeem fungeren, waarbij het risico evenredig is met : Vr 2 .x 2
Gelijkstellen van beide r i s i c o ' s geeft :
т2.т,Лт, . e / i | Langs deze veg kan de volgende tabel vorden samengesteld voor de toelaatbare reparatietijden bij meervoudig falen : e/n :
т2 :
т3 :
1/3
e / * |
1/1*
e ?&£
AJL
20
/10
' 2Л
w
6/^|
-10-
De hier beschreven methode garandeert dat de totale risicofactor slechts weinig hoger is dan het risico voortvloeiende uit reparaties bij enkelvoudig falen.
Voorts blijkt uit een analyse voor redundante systemen in serie [Ref. 1] dat de toelaatbare reparatietijd bepaald wordt door het aantal redundante "paden" in een systeem en niet afhangt van het aantal systemen in serie met elkaar; een 2x(1/2)-systeem is dus in dit opzicht equivalent aan een 1/2-systeem.
Indien een component niet binnen de gewenste reparatietijd kan werden gerepareerd, ligt het voor de hand het interval voor de nog in bedrijf zijnde componenten te bekorten [RefL 1].
5. Slotopmerkingen
Op basis van de in de voorgaande paragrafen gegeven analyse kan men, na keuze van een aanvaardbaar risico, testintervallen en toelaatbare reparatietijden berekenen voor componenten indien de faalkansen voor de afzonderlijke componenten bekend zijn; deze faalkansen tracht men thans op enkele plaatsen in de wereld te evalueren door zoveel mogelijk bedrijfservaring te verwerken. Voor een veilige bedrijfsvoering is het noodzakelijk de volgende punten in acht te nemen : (1) de toelaatbare reparatietijd moet alleen worden gebruikt voor herstel van defecte componenten, niet voor routinematig onderhoud. Dit laatste moet gebeuren wanneer de componenten niet benodigd zijn. (2) Wanneer bij testen een defect wordt ontdekt, moeten alle redundante componenten worden getest teneittde na te gaan of er geen defecten van dezelfde aard zijn in de andere componenten. Is dit wel het geval ("common mode failure") dan moet over worden gegaan op een zodanige bedrij fstoestand, dat de beveiligingsfunctie van het betreffende systeem niet essentieel is voor het vermijden van niet-acceptabele gevolgen. (3) bij voltooiing van de reparatie moet de gerepareerde component na testen opnieuw in bedrijf worden gesteld, waarbij de redundante componenten opnieuw moeten worden getest teneinde na te gaan of de reparatie geen nadelige invloed heeft gehad op eèn andere component.
-11-
(h) r e p a r a t i e s dienen a l t i j d zo snel mogelijk t e worden uitgevoerd.
Literatuur (1) General E l e c t r i c Report NEDO-10739 : "Methods for calculating safe test intervals and allowable repair times for enigneered safeguard systems" by H.M. Hirsch, jan. 1973. (2) "Zuverlassigkeit von Mesz-, Steuer, Regel und Sicherheitssystemen". W. Hofmann. Thiemig-Taschenbiicher - Band 32. Verlag Karl Thienig KG - München 1968.
Afkortingen
BWR
-
Boiling Water Reactor.
LPCS
-
Low Pressure Core Spray.
RHR
-
Residual Heat Removal.
HPCS
-
High Pressure Core Spray.
