黃曉津,朱云龍,周樹橋，郭 超

(清華大學(xué)核能與新能源技術(shù)研究院,先進(jìn)反應(yīng)堆工程與安全教育部重點(diǎn)實(shí)驗(yàn)室,北京 100084)

0 引言

核電廠具有結(jié)構(gòu)復(fù)雜、放射性強(qiáng)的特點(diǎn)，其典型結(jié)構(gòu)具有兩個(gè)回路，運(yùn)行著許多關(guān)鍵設(shè)備(如堆芯、蒸汽發(fā)生器、冷卻泵等)，一旦設(shè)備發(fā)生事故，將會(huì)對公共安全、周邊環(huán)境以及核能產(chǎn)業(yè)發(fā)展造成巨大的負(fù)面影響[1]。對核電廠關(guān)鍵設(shè)備進(jìn)行狀態(tài)監(jiān)測和控制，是確保核電廠安全運(yùn)行的有效方式。儀表與控制(instrument and control，I&C)系統(tǒng)(簡稱儀控系統(tǒng))是核電廠的神經(jīng)中樞，對確保核電廠的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行起著至關(guān)重要的作用。在早期核電廠設(shè)計(jì)中，狀態(tài)監(jiān)測和控制常使用基于模擬技術(shù)的儀控系統(tǒng)。其缺點(diǎn)是不夠靈活、交互性差、功能升級困難、維護(hù)成本高、部件易老化等。因此，自20世紀(jì)末以來，核電廠逐漸使用數(shù)字化儀表與控制系統(tǒng)(digital I&C systems，DCS)取代模擬儀控系統(tǒng)。因其具有諸多技術(shù)優(yōu)勢，目前新建核電廠均采用數(shù)字化儀控系統(tǒng)[2]。中國核電廠儀控系統(tǒng)的數(shù)字化進(jìn)程起步較晚，但發(fā)展較為迅速。中國最早在田灣核電站和嶺澳二期核電站中使用儀控系統(tǒng)數(shù)字化技術(shù)[3-4]。10 MW高溫氣冷堆(high temperature gas-cooled reactor，HTR-10)全數(shù)字安全儀控系統(tǒng)應(yīng)用高可靠性工業(yè)計(jì)算機(jī)、智能I/O模塊，成為中國首個(gè)配備全數(shù)字化安全儀控系統(tǒng)的反應(yīng)堆[5]。隨著核電廠自動(dòng)化和信息化水平的不斷提高，數(shù)字化儀控系統(tǒng)在其中起著越來越重要的作用。因此，如何優(yōu)化和完善其功能，已成為核電廠運(yùn)行與控制的重要研究方向。

數(shù)字化儀控系統(tǒng)是一個(gè)包括硬件、軟件、固件的復(fù)雜系統(tǒng)，其功能實(shí)現(xiàn)和邏輯運(yùn)算均通過軟件編程實(shí)現(xiàn)。通過在標(biāo)準(zhǔn)化的可編程硬件上執(zhí)行代碼，數(shù)字化儀控系統(tǒng)能夠?qū)崿F(xiàn)各種控制邏輯，并不斷迭代升級算法，從而靈活地實(shí)現(xiàn)核電廠運(yùn)行控制。數(shù)字化儀控系統(tǒng)的運(yùn)行通過收集核電廠的各種模擬和數(shù)字信號(hào)，并在進(jìn)行邏輯運(yùn)算和處理之后，將控制指令發(fā)送到現(xiàn)場執(zhí)行器，同時(shí)通過主控制室實(shí)現(xiàn)人機(jī)交互。典型的數(shù)字化儀控系統(tǒng)從下到上可以分為四個(gè)層次[6]。

①層次0：工藝系統(tǒng)接口層。該層由傳感器、執(zhí)行器及供電和功率放大部件等現(xiàn)場設(shè)備組成。

②層次1：自動(dòng)控制和保護(hù)層。該層由反應(yīng)堆保護(hù)機(jī)柜、核島過程控制機(jī)柜、常規(guī)島過程控制機(jī)柜、專用系統(tǒng)控制機(jī)柜等組成。

③層次2：操作和管理信息層。該層由后備盤、緊急控制盤、操縱員站、工程師站等組成。

④層次3：廠級管理層。該層負(fù)責(zé)信息收集和傳輸，對整個(gè)核電廠進(jìn)行非實(shí)時(shí)功能和信息的綜合處理。

相較于模擬儀控系統(tǒng)，數(shù)字化儀控系統(tǒng)的交互性、復(fù)雜性、非線性等特點(diǎn)，使得傳統(tǒng)的可靠性分析方法并不完全適用。模擬儀控系統(tǒng)相當(dāng)于一個(gè)硬編碼系統(tǒng)，通過硬接線的方式將繼電器、電阻、電容、電感等物理元器件連接成控制電路，從而實(shí)現(xiàn)各種控制功能。這種傳統(tǒng)的硬編碼系統(tǒng)在設(shè)計(jì)確定其功能和結(jié)構(gòu)后難以更改和升級，并且會(huì)隨著時(shí)間不斷老化，造成控制失效，甚至嚴(yán)重事故[7]。對于傳統(tǒng)的模擬儀控系統(tǒng)，核電廠常用的靜態(tài)分析方法包括失效模式與影響分析、故障樹/事件樹、馬爾科夫方法。失效模式與影響分析是一種依靠經(jīng)驗(yàn)的分析方法，通過列出所需分析的部件及其功能、可能的故障原因、故障影響等信息，識(shí)別系統(tǒng)中的潛在失效隱患。但它無法詳細(xì)描述失效機(jī)制和故障結(jié)構(gòu)[8]。故障樹/事件樹分析是過去15年中廣泛用于核電廠概率安全分析的技術(shù)手段[9]。但由于事件序列需要人為設(shè)定，當(dāng)系統(tǒng)是動(dòng)態(tài)不確定時(shí)，不同的分析可能導(dǎo)致不同的結(jié)果。馬爾科夫方法的困難在于：當(dāng)數(shù)字化儀控系統(tǒng)很復(fù)雜時(shí)，不能保證轉(zhuǎn)移矩陣的準(zhǔn)確性，并且復(fù)雜系統(tǒng)的轉(zhuǎn)移矩陣建立也較為困難。靜態(tài)分析方法的局限性主要體現(xiàn)在無法較好地描述系統(tǒng)的動(dòng)態(tài)交互特性。這也就意味著，在數(shù)字化儀控系統(tǒng)可靠性分析中，需要應(yīng)用動(dòng)態(tài)分析方法來克服靜態(tài)分析的局限性。

動(dòng)態(tài)可靠性分析方法用于分析、描述系統(tǒng)的動(dòng)態(tài)交互特性。目前，國內(nèi)外學(xué)者針對動(dòng)態(tài)可靠性分析方法開展了大量的研究工作。本文將根據(jù)典型動(dòng)態(tài)可靠性分析方法、基于仿真以及其他動(dòng)態(tài)分析方法，梳理、總結(jié)近年來國內(nèi)外相關(guān)研究，為數(shù)字化儀控系統(tǒng)應(yīng)用動(dòng)態(tài)可靠性分析方法提供參考。

1 典型動(dòng)態(tài)可靠性分析方法

典型動(dòng)態(tài)可靠性分析方法是典型靜態(tài)分析方法的動(dòng)態(tài)應(yīng)用，起到改善其動(dòng)態(tài)交互特性的作用。本節(jié)將說明動(dòng)態(tài)失效模式與影響分析、動(dòng)態(tài)故障/事件樹、動(dòng)態(tài)流圖方法、馬爾科夫區(qū)間映射方法的原理及應(yīng)用。

1.1 動(dòng)態(tài)失效模式與影響分析

失效模式與影響分析是一種自下向上的、用于識(shí)別系統(tǒng)故障模式及其對系統(tǒng)的影響或后果的方法。通過這種方法，可以根據(jù)故障后果的嚴(yán)重程度、發(fā)生的頻率以及檢測的難易程度對故障模式進(jìn)行分類[10]。傳統(tǒng)的失效模式與影響分析以靜態(tài)分析為主，對分析人員的經(jīng)驗(yàn)依賴較大。而在面對具有復(fù)雜控制邏輯和系統(tǒng)結(jié)構(gòu)的數(shù)字化儀控系統(tǒng)時(shí)，需要使用動(dòng)態(tài)失效模式與影響分析考慮其固件、軟件、硬件之間的交互作用，以及控制系統(tǒng)與被控對象之間的動(dòng)態(tài)交互。

靜態(tài)失效模式與影響分析通過分析員將系統(tǒng)分為多個(gè)分析層次。第一級粗略地分析整個(gè)系統(tǒng)，在后續(xù)的每個(gè)級別上都進(jìn)行更精細(xì)的劃分，以提高分析分辨率。上一級的分析可以用于執(zhí)行下一級分析。分解將持續(xù)進(jìn)行，直到可用信息無法支持更詳細(xì)的分析或不需要再進(jìn)行更詳細(xì)的分析時(shí)停止。分析越詳細(xì)，就能了解更多系統(tǒng)可能發(fā)生的故障信息。但這同時(shí)也會(huì)增加分析成本。動(dòng)態(tài)失效模式與影響分析的優(yōu)勢在于：能夠利用仿真技術(shù)，對數(shù)字化儀控系統(tǒng)的功能進(jìn)行仿真，并由分析員動(dòng)態(tài)插入、觀察、分析不同故障帶來的影響和后果，從而降低對分析員經(jīng)驗(yàn)和核電廠運(yùn)行數(shù)據(jù)的依賴[11]。目前，動(dòng)態(tài)失效模式與影響分析已經(jīng)應(yīng)用于XDC800系列數(shù)字化儀控系統(tǒng)的實(shí)例分析研究。上海交通大學(xué)的李延凱已經(jīng)研究了帶硬件的分析工具包和不帶硬件的分析工具包，允許分析員在XDC800機(jī)柜上進(jìn)行故障分析。

1.2 動(dòng)態(tài)故障/事件樹

動(dòng)態(tài)故障樹由Dugan J B于1991年提出，并應(yīng)用于計(jì)算機(jī)冗余系統(tǒng)的可靠性評估[12]。如今，動(dòng)態(tài)故障樹已廣泛用于評估系統(tǒng)可靠性和核電廠安全。隨著計(jì)算機(jī)技術(shù)的發(fā)展以及性能的顯著提高，經(jīng)典故障樹方法得到長足發(fā)展。特別是當(dāng)動(dòng)態(tài)故障樹獨(dú)立或與事件樹集成時(shí)[13]，可以提高核電廠的安全性[14]。與靜態(tài)故障樹相比，動(dòng)態(tài)故障樹的優(yōu)點(diǎn)在于增加了動(dòng)態(tài)邏輯門，例如優(yōu)先級與門、順序強(qiáng)制門、功能相關(guān)門、冷備份門、熱備份門等。這使得它能夠?qū)ο到y(tǒng)的順序故障行為進(jìn)行建模，從而體現(xiàn)時(shí)間依賴特性。

在文獻(xiàn)[15]中，動(dòng)態(tài)故障樹能夠以兩種方式對基于時(shí)間的模型進(jìn)行建模。第一種方法是針對組件故障的概率(表示基本事件不可用)，引入時(shí)間相關(guān)模型。第二種方法是引入內(nèi)部事件矩陣。該矩陣定義打開或關(guān)閉故障樹的各個(gè)部分(代表系統(tǒng)的各個(gè)部分)。與Petri網(wǎng)或馬爾科夫鏈相比，動(dòng)態(tài)故障樹的主要優(yōu)點(diǎn)在于：對正在進(jìn)行概率安全分析的人員而言，它更容易理解并且不需要補(bǔ)充其他更多的知識(shí)儲(chǔ)備。動(dòng)態(tài)故障樹的應(yīng)用可以評估與時(shí)間相關(guān)的風(fēng)險(xiǎn)狀況，并在概率模型中優(yōu)化參數(shù)，從而最大程度地降低總體風(fēng)險(xiǎn)。目前，動(dòng)態(tài)故障樹已經(jīng)被應(yīng)用于核電廠設(shè)備冷卻水系統(tǒng)動(dòng)態(tài)可靠性分析[16]。

動(dòng)態(tài)事件樹在概率安全評估方法中受到廣泛關(guān)注。從原則上來看，動(dòng)態(tài)事件樹與傳統(tǒng)的事件樹相似。其不同之處在于：傳統(tǒng)事件樹初始事件發(fā)生之后的系統(tǒng)響應(yīng)序列是由分析員預(yù)先定義的。在動(dòng)態(tài)事件樹中，系統(tǒng)響應(yīng)的時(shí)間和序列是由系統(tǒng)演化的時(shí)間依賴模型，以及分析員確定的條件分支所確定的[17]。穩(wěn)壓器動(dòng)態(tài)事件樹(部分)[18]如圖1所示。

圖1 穩(wěn)壓器動(dòng)態(tài)事件樹(部分)

隨著主壓力的增加，當(dāng)?shù)竭_(dá)26 s的第一個(gè)壓力設(shè)定點(diǎn)時(shí)，噴霧應(yīng)有助于降低壓力，因此有了三個(gè)事件分支。它反映了系統(tǒng)的三個(gè)可能路徑：①噴霧器正常工作(閥門完全打開)；②噴霧器不正常工作(部分閥門打開)；③噴霧器不起作用(閥門卡住關(guān)閉)。假設(shè)噴霧閥門完全打開，則壓力繼續(xù)緩慢降低，直到157 s時(shí)的第二個(gè)壓力設(shè)定點(diǎn)。此時(shí)，蒸汽排放閥應(yīng)打開以釋放壓力。在這一點(diǎn)上，蒸汽排放閥的操作又有三種可能的結(jié)果：①正常操作(完全打開)；②卡住關(guān)閉；③部分打開。其分別構(gòu)成圖1中的場景1、場景2和場景3。每個(gè)分支的可能結(jié)果顯示在所附標(biāo)簽中，并且分支概率在括號(hào)中給出。

1.3 動(dòng)態(tài)流圖法

動(dòng)態(tài)流圖法是一種基于狀態(tài)和離散時(shí)間的有向圖。它表示系統(tǒng)的邏輯和動(dòng)態(tài)行為，是根據(jù)系統(tǒng)和軟件參數(shù)之間的因果關(guān)系和時(shí)變關(guān)系的多狀態(tài)細(xì)節(jié)建立的動(dòng)態(tài)網(wǎng)絡(luò)。動(dòng)態(tài)流圖建模的主要元素是過程變量節(jié)點(diǎn)、條件節(jié)點(diǎn)、傳遞框、過渡框、因果關(guān)系邊和條件邊。目前，動(dòng)態(tài)流圖法在核電廠中的應(yīng)用包括先進(jìn)反應(yīng)堆、人員績效和團(tuán)隊(duì)影響建模[19]、運(yùn)行中的壓水堆數(shù)字化給水控制系統(tǒng)相類似的概率安全評估建模[20]。

對于一個(gè)儲(chǔ)氣系統(tǒng)及其相關(guān)的壓力控制系統(tǒng)，對應(yīng)的簡單數(shù)字化控制系統(tǒng)及其動(dòng)態(tài)流圖模型如圖2所示[21]。

圖2 簡單數(shù)字化控制系統(tǒng)及其動(dòng)態(tài)流圖模型

動(dòng)態(tài)流圖法的分析執(zhí)行主要包括三個(gè)步驟：①建立安全分析的數(shù)字化控制系統(tǒng)模型，使其包含控制軟件和被控系統(tǒng)；②使用步驟①中構(gòu)建的模型，識(shí)別系統(tǒng)和過程中可能發(fā)生的故障模式；③根據(jù)動(dòng)態(tài)流圖法分析的結(jié)果，通過集成測試驗(yàn)證數(shù)字化儀控系統(tǒng)是否表現(xiàn)出動(dòng)態(tài)流圖法所預(yù)測的行為，并對其進(jìn)行校正。動(dòng)態(tài)流圖法的主要優(yōu)勢之一是它依賴于時(shí)間的邏輯建模能力，為故障樹和失效模式與影響分析提供了多個(gè)狀態(tài)和時(shí)間相關(guān)的等效信息。

1.4 馬爾科夫區(qū)間映射方法

馬爾科夫區(qū)間映射方法是分析數(shù)字化儀控系統(tǒng)可靠性的有效方法。它考慮了系統(tǒng)各組件之間的相互作用以及與運(yùn)行過程之間的影響，是一種時(shí)間依賴的方法。它結(jié)合了傳統(tǒng)離散狀態(tài)馬爾科夫方法和區(qū)間映射方法，表示失效事件之間可能出現(xiàn)的耦合情況。這些失效事件可能來源于兩種類型的交互：一種是數(shù)字化儀控系統(tǒng)與受控過程之間的相互作用，另一種是數(shù)字化儀控系統(tǒng)不同組成部分的相互作用[22]。對于儀控系統(tǒng)，馬爾科夫區(qū)間映射方法應(yīng)用流程如圖3所示[23]。

圖3 馬爾科夫區(qū)間映射方法應(yīng)用流程圖

區(qū)間映射方法能夠描述離散系統(tǒng)在離散時(shí)間和狀態(tài)空間下的線性和非線性系統(tǒng)動(dòng)態(tài)特性。動(dòng)態(tài)行為由一組微分或代數(shù)方程式描述。馬爾科夫方法通過系統(tǒng)狀態(tài)之間的轉(zhuǎn)移概率來描述系統(tǒng)的隨機(jī)演化。其中，狀態(tài)轉(zhuǎn)移可以用馬爾科夫有向圖表示。

旁路給水調(diào)節(jié)閥控制器的馬爾科夫有向圖如圖4所示[22]。馬爾科夫區(qū)間映射方法的輸入分為5個(gè)部分，分別是：①系統(tǒng)動(dòng)力學(xué)模型(仿真器)；②在正常運(yùn)行和故障條件下系統(tǒng)的控制律和控制邏輯；③通過失效模式與影響分析得到的離散系統(tǒng)狀態(tài)，以及系統(tǒng)動(dòng)態(tài)特性和控制律；④每種需求的硬件/軟件/固件狀態(tài)轉(zhuǎn)換概率或故障概率；⑤模型時(shí)間序列。

圖4 旁路給水調(diào)節(jié)閥控制器的馬爾科夫有向圖

2 基于仿真的方法

基于仿真方法進(jìn)行的動(dòng)態(tài)可靠性分析可以分為兩種類型，即時(shí)間離散方法和時(shí)間連續(xù)方法。時(shí)間離散方法通常使用核電廠仿真技術(shù)建立數(shù)學(xué)和物理模型，并描述系統(tǒng)的響應(yīng)，以跟蹤系統(tǒng)在各個(gè)狀態(tài)分支下的動(dòng)態(tài)演化結(jié)果；但是，系統(tǒng)僅在離散時(shí)間點(diǎn)分支。時(shí)間連續(xù)方法主要為連續(xù)事件樹方法。

2.1 時(shí)間離散方法

基于核電廠仿真技術(shù)的時(shí)間離散方法主要包括動(dòng)態(tài)決策事件樹以及由此派生的方法，例如動(dòng)態(tài)邏輯分析方法[24]、事故動(dòng)態(tài)模擬器[25]、動(dòng)態(tài)事件樹分析方法[26]。動(dòng)態(tài)決策事件樹是事件樹的擴(kuò)展。事件樹是水平構(gòu)建的樹狀結(jié)構(gòu)，以啟動(dòng)事件建模為根，從根出發(fā)到端節(jié)點(diǎn)的每條路徑代表一個(gè)序列或場景，并產(chǎn)生相應(yīng)的結(jié)果。動(dòng)態(tài)決策事件樹擴(kuò)展了概率風(fēng)險(xiǎn)評估的觀點(diǎn)，創(chuàng)新引入決策節(jié)點(diǎn)概念。在決策節(jié)點(diǎn)中，能夠采取行動(dòng)以有效避免或減輕事件后果；同時(shí)，它根據(jù)一組分支規(guī)則進(jìn)行增長，因此是動(dòng)態(tài)的。樹結(jié)構(gòu)、分支概率、結(jié)果值和決策也都會(huì)被更新，它們能夠反映出物理網(wǎng)絡(luò)中的變化[27]。

動(dòng)態(tài)決策事件樹主要由預(yù)測器、事件選擇器、漏洞評估、操作空間生成器、操作選擇器、樹存儲(chǔ)和樹更新構(gòu)成。動(dòng)態(tài)決策事件樹的動(dòng)態(tài)特性體現(xiàn)在三個(gè)方面：①系統(tǒng)的樹對于不同系統(tǒng)配置而言是不同的，并會(huì)隨著時(shí)間進(jìn)行更新；②事件發(fā)生時(shí)的系統(tǒng)狀態(tài)由微分方程和代數(shù)方程描述，使用時(shí)域仿真構(gòu)造樹；③樹結(jié)構(gòu)的增長和更新過程根據(jù)算力大小持續(xù)進(jìn)行。

2.2 時(shí)間連續(xù)方法

連續(xù)事件樹方法是最早提出的時(shí)間連續(xù)方法[28-29]。它能夠?qū)⑦^程、硬件、軟件、固件、人為交互導(dǎo)致的故障之間的可能依賴性通過一個(gè)積分方程統(tǒng)一表示。

(1)

(2)

(3)

(4)

上述公式所得的較為復(fù)雜的積分方程，可以通過蒙特卡洛方法進(jìn)行求解。

3 其他動(dòng)態(tài)分析方法

除上述方法外，研究人員還提出了一些其他動(dòng)態(tài)分析方法，例如GO-FLOW[30]、擴(kuò)展事件序列圖(event sequence diagram,ESD)[31]、Petri網(wǎng)[32]等。

3.1 GO-FLOW方法

GO-FLOW方法采用一組標(biāo)準(zhǔn)化的運(yùn)算符來描述GO-FLOW過程中物理設(shè)備的邏輯操作、交互和組合，以此評估系統(tǒng)的可靠性/可用性。通過將輸入數(shù)據(jù)提供給操作員，由操作員給出組件操作的特定概率。為了對給定系統(tǒng)進(jìn)行建模，操作員需要選擇輸入輸出的相互作用，以生成GO-FLOW圖表。該圖表表示組件/子系統(tǒng)/系統(tǒng)的工程功能。GO-FLOW方法適用于具有復(fù)雜系統(tǒng)操作序列或系統(tǒng)狀態(tài)隨時(shí)間變化的系統(tǒng)。因此，GO-FLOW可以處理定期任務(wù)問題或與時(shí)間相關(guān)的不可用性分析。它具備以下特點(diǎn)。①GO-FLOW圖表對應(yīng)于系統(tǒng)的物理分布，易于構(gòu)建和驗(yàn)證。；②GO-FLOW圖表的修改和更新較易完成；③GO-FLOW包含所有可能的系統(tǒng)運(yùn)行狀態(tài)。

在文獻(xiàn)[33]中，采用GO-FLOW對AP1000自動(dòng)降壓系統(tǒng)進(jìn)行可靠性分析。AP1000自動(dòng)降壓系統(tǒng)由四階段減壓閥構(gòu)成。四階段自動(dòng)降壓系統(tǒng)的示意圖模型如圖5所示。其中，每一級自動(dòng)降壓系統(tǒng)是互鎖的，由第一級先啟動(dòng)，直到前一階段被激活才能啟動(dòng)下一級。自動(dòng)降壓系統(tǒng)的1～3級分為兩組，每組都有一個(gè)連接至穩(wěn)壓器頂端的公共入口和一個(gè)通向冷卻水儲(chǔ)存箱的噴頭公共排放管。由于有兩個(gè)冗余的并行路徑，因此在啟動(dòng)自動(dòng)降壓系統(tǒng)時(shí)不會(huì)發(fā)生單一故障。

以在結(jié)冰條件下飛行的飛機(jī)為例，該動(dòng)態(tài)情況下構(gòu)建的事件序列圖如圖6所示[31]。

圖6 結(jié)冰條件下飛行的飛機(jī)事件序列圖

通過定義的14種不同類型的GO-FLOW運(yùn)算符，AP1000自動(dòng)減壓系統(tǒng)的GO-FLOW圖表能實(shí)現(xiàn)如下功能：①對各階段執(zhí)行的任務(wù)問題進(jìn)行分析；②老化和維護(hù)的影響；③識(shí)別最小割集，模型參數(shù)學(xué)習(xí)；④通過參數(shù)模型分析共因故障；⑤不確定性分析；⑥敏感度分析。

3.2 擴(kuò)展事件序列圖

事件序列圖能夠幫助操作員在事故演變過程中監(jiān)測事件進(jìn)程。在核工業(yè)領(lǐng)域中,該方法也被用作事件樹構(gòu)建的定性輔助工具來識(shí)別可能的事故場景。擴(kuò)展的事件序列圖框架可以促進(jìn)動(dòng)態(tài)方案的建模和動(dòng)態(tài)方法的利用，有助于識(shí)別和構(gòu)建按時(shí)間順序排列的事件序列，并能夠以有限的方式處理過程變量的影響。其與流程圖相似，較為容易被理解。擴(kuò)展的事件序列圖由六元組{E，C，G，P，CB，DR}構(gòu)成，表示事件、條件、門、過程參數(shù)集、約束/邊界、依賴規(guī)則。

事件序列圖框架提供了一種在概率風(fēng)險(xiǎn)建模分析中的獲取大多數(shù)復(fù)雜動(dòng)態(tài)現(xiàn)象的簡單方法。尤其是對于擴(kuò)展事件序列圖的框架，能夠捕獲更多動(dòng)態(tài)現(xiàn)象，例如時(shí)間條件、物理?xiàng)l件、競爭事件、同步及并發(fā)獨(dú)立過程、互斥過程、循環(huán)場景等。因此，事件序列圖框架促進(jìn)了動(dòng)態(tài)方法的實(shí)際使用。這使得它們在工業(yè)應(yīng)用中更為普遍適用。

3.3 Petri網(wǎng)

Petri網(wǎng)由Carl Adam Petri于20世紀(jì)60年代提出。該模型是基于系統(tǒng)各部分異步和并發(fā)操作，各部分之間的關(guān)系可以用圖形或網(wǎng)絡(luò)表示[34]。Petri網(wǎng)由兩個(gè)部件組成，庫所P和變遷T。定義庫所與變遷之間的關(guān)系是由輸入函數(shù)I和輸出函數(shù)O來實(shí)現(xiàn)。這四個(gè)部分構(gòu)成了Petri網(wǎng)的結(jié)構(gòu)，C=(P,T,I,O)。但上述表示并不直觀，因此用空心圓表示庫所、長條表示變遷、有向弧表示輸入輸出關(guān)系、托肯表示信息或資源，以構(gòu)成Petri網(wǎng)。Petri網(wǎng)組成元素如圖7所示。它是一種圖形與數(shù)學(xué)相結(jié)合的建模工具，能夠描述系統(tǒng)的事件、條件以及二者的關(guān)系。在系統(tǒng)中，某些條件的成立會(huì)導(dǎo)致某些事件的發(fā)生。這些事件的發(fā)生又會(huì)更改系統(tǒng)的狀態(tài)，從而導(dǎo)致某些以前的條件停止。因此，Petri網(wǎng)是動(dòng)態(tài)的。

圖7 Petri網(wǎng)組成元素

目前，清華大學(xué)的曹梟虓已經(jīng)將Petri網(wǎng)應(yīng)用于反應(yīng)堆保護(hù)系統(tǒng)(reactor protection system,RPS)動(dòng)態(tài)可靠性的建模與分析。反應(yīng)堆保護(hù)系統(tǒng)Petri網(wǎng)模型如圖8所示。

圖8 反應(yīng)堆保護(hù)系統(tǒng)Petri網(wǎng)模型示意圖

反應(yīng)堆保護(hù)系統(tǒng)Petri網(wǎng)模型的優(yōu)勢體現(xiàn)在三個(gè)方面：①能夠描述系統(tǒng)狀態(tài)的轉(zhuǎn)移過程，評估檢測和維修等活動(dòng)的系統(tǒng)可靠性影響；②適用于各種類型的分布；③能夠準(zhǔn)確描述定期試驗(yàn)是在確定周期開展的、確定的檢測活動(dòng)[35]。

4 結(jié)論

通過核電廠可靠性分析可以發(fā)現(xiàn)設(shè)計(jì)中的薄弱環(huán)節(jié)，確保核電廠的安全運(yùn)行。目前，由于數(shù)字化儀控系統(tǒng)在核電廠中的廣泛應(yīng)用，其動(dòng)態(tài)可靠性已成為核電廠可靠性研究的關(guān)鍵領(lǐng)域。本文首先介紹了核電廠儀控系統(tǒng)從模擬到數(shù)字的發(fā)展過程，并比較了兩者之間的異同。根據(jù)數(shù)字化儀控系統(tǒng)和模擬儀控系統(tǒng)的動(dòng)態(tài)特性之間的差異，現(xiàn)在通常使用動(dòng)態(tài)分析方法代替靜態(tài)分析方法進(jìn)行可靠性分析。

本文總結(jié)的動(dòng)態(tài)可靠性分析方法包括典型動(dòng)態(tài)可靠性分析方法、基于仿真的方法、其他動(dòng)態(tài)分析方法。典型動(dòng)態(tài)可靠性分析方法包含對靜態(tài)分析方法的動(dòng)態(tài)改進(jìn)。其中：動(dòng)態(tài)失效模式與影響分析能夠降低對分析員經(jīng)驗(yàn)的依賴；動(dòng)態(tài)故障/事件樹能夠顯示出對時(shí)間的依賴性，動(dòng)態(tài)流圖法能夠表示系統(tǒng)的邏輯和動(dòng)態(tài)行為；馬爾科夫區(qū)間映射方法可以表示出儀控系統(tǒng)與受控對象以及內(nèi)部各組件之間的耦合情況?；诜抡娴姆椒ǚ譃闀r(shí)間離散和時(shí)間連續(xù)兩種。其中：動(dòng)態(tài)決策事件樹可以按分支規(guī)則進(jìn)行增長；連續(xù)事件樹使用蒙特卡羅方法求解積分方程。其他動(dòng)態(tài)分析方法(包括GO-FLOW)可以描述物理設(shè)備的邏輯操作、交互和組合，擴(kuò)展事件序列圖能幫助操作員監(jiān)測事件全進(jìn)程，Petri網(wǎng)可以對系統(tǒng)狀態(tài)轉(zhuǎn)移進(jìn)行建模計(jì)算分析。

這些方法構(gòu)成了當(dāng)前動(dòng)態(tài)可靠性分析方法的主要技術(shù)框架。本文所綜述的技術(shù)能夠?yàn)楹穗姀S數(shù)字化儀控系統(tǒng)動(dòng)態(tài)可靠性分析的進(jìn)一步研究提供理論基礎(chǔ)和參考。