唐錨 趙鵬程 李文杰 王凱

（南華大學 核科學技術學院 衡陽 421000）

鉛冷快堆被認為具備良好的安全性、可靠性和經(jīng)濟性，這使其成為第四代核能系統(tǒng)中有望首先實現(xiàn)工業(yè)示范化的候選方案，第四代核能系統(tǒng)國際論壇（The Generation IV International Forum，GIF）將其列為重點發(fā)展項目之一。預計在2030～2040年期間，鉛冷快堆有望實現(xiàn)商業(yè)化應用［1-4］。鉛冷快堆通常采用一體化池式結構布置，能夠有效提高系統(tǒng)運行可靠性和固有安全性。歐盟鉛冷系統(tǒng)（EuropeanLead-cooled System，ELSY）和歐盟鉛冷示范堆（European Advanced Lead-cooled Demonstration Fast Reactor，ALFRED）等采用基于一回路蒸汽發(fā)生器（Steam Generator，SG）的非能動余熱排出系統(tǒng)（Passive Residual Heat Removal System，PRHRS）設計方案，其中ELSY是鉛冷快堆主流的三種非能動余熱排出系統(tǒng)設計方案之一［5-6］。

然而，鉛冷快堆非能動余熱排出系統(tǒng)設計主要采用傳統(tǒng)基于文檔為基線來組織設計和改進優(yōu)化。由此易產(chǎn)生以下問題：1）需求信息不斷演進，存在信息孤島，造成技術狀態(tài)難以管理；2）缺乏對系統(tǒng)及體系結構的前期驗證，存在許多產(chǎn)品設計迭代，導致總體設計方案難以固化；3）文檔規(guī)模較大，版本較多，難以保證系統(tǒng)設計信息的一致性與完整性［7-8］。結合傳統(tǒng)基于文檔的系統(tǒng)工程方法特點，在需求牽引和模型化技術的推動下，國際系統(tǒng)工程學會（International Council On Systems Engineering，INCOSE）于2007年正式提出基于模型的系統(tǒng)工程（Model-based System Engineering，MBSE），它支持以概念設計階段開始，并持續(xù)貫穿于開發(fā)和后期的生命周期階段系統(tǒng)需求、分析、設計、檢驗和確認活動等形式化應用［9］。MBSE通過系統(tǒng)建模語言［10］（System Modeling Language，SysML）構建需求、功能、參數(shù)等指標實現(xiàn)需求到功能和參數(shù)的分解，并獲得完整的架構模型以及它們之間的追溯關系［11］。

近年來，國外眾多研究機構已開展相關的理論研究與實踐［12-13］，法國Areva公司則將MBSE應用于核電項目中［8］。國內將MBSE主要標準應用于航空航天領域［14］，旨在提高設計與分析效率。對標航空航天領域，在復雜的核能領域內，它需要多個學科領域的專業(yè)知識和技術的綜合應用，采用MBSE可將各個學科領域的專業(yè)知識和技術整合在一個模型中，使得系統(tǒng)開發(fā)過程更具協(xié)調和性與可行性［15］。朱俊志等［16］將MBSE初步應用于先進壓水堆安注系統(tǒng)中，而以鉛冷快堆為代表的第四代反應堆由于具有反應堆系統(tǒng)構成復雜化、技術精細化和信息數(shù)據(jù)化等革新型體系特點［17］，目前MBSE在其中的應用研究基礎薄弱，經(jīng)驗相對較少。

因此，本研究將MBSE初步應用于鉛冷快堆非能動余熱排出系統(tǒng)設計需求過程，其中鉛冷快堆非能動余熱排出系統(tǒng)相關參數(shù)及功能參考吳國偉［6］設計的基于SG的非能動余熱排出系統(tǒng)。本研究首先介紹基于MBSE非能動余熱排出系統(tǒng)架構設計流程，其次從頂層利益攸關者需求出發(fā)設計基于模型的非能動余熱排出系統(tǒng)架構，該架構涵蓋需求分析、功能分析和設計綜合三大部分。

1 基于MBSE的PRHRS架構設計流程

MBSE中經(jīng)典的“V”模型是一種系統(tǒng)工程的開發(fā)模型，它描述了開發(fā)過程中各個階段之間的關系，從需求分析到系統(tǒng)驗證［18］。對于鉛冷快堆這種復雜的系統(tǒng)工程項目，采用“V”模型可以有效地管理和控制開發(fā)過程，有助于解決鉛冷快堆中關鍵系統(tǒng)需求復雜、前后一致性差等設計需求問題。鉛冷快堆非能動余熱排出系統(tǒng)的初步架構設計流程［18］將結合“V”模型，從利益攸關者需求出發(fā)，經(jīng)過需求分析迭代，在用例驅動下進行功能分析并驗證需求模型，再經(jīng)過功能分析迭代將功能賦予設計綜合（包括架構分析與架構設計），相關階段描述如下：需求分析階段即通過分析和收集用戶和利益相關者的需求，確定系統(tǒng)的功能和性能等要求，并建立系統(tǒng)用例模型將其轉化為系統(tǒng)的需求規(guī)范；功能分析階段在需求分析迭代下通過分析系統(tǒng)的需求規(guī)范，確定系統(tǒng)的各個功能模塊以及它們之間的關系和交互，建立系統(tǒng)的功能模型，本研究建立時序圖與活動圖實現(xiàn)相互追溯，最后通過狀態(tài)機圖實現(xiàn)早期需求驗證與確認；設計綜合階段通過對系統(tǒng)的功能模型識別并迭代進行細化和優(yōu)化，確定系統(tǒng)的具體設計方案，并進行系統(tǒng)的綜合和評估，同時還需要對系統(tǒng)的架構分析與架構設計相互完善，確保系統(tǒng)滿足設計要求。具體相關流程如圖1所示。

圖1 基于MBSE的非能動余熱排出系統(tǒng)架構設計流程圖Fig.1 MBSE-based architecture design flow chart of PRHRS

圖1中需求驗證同時是眾多系統(tǒng)設計流程中不可或缺的一部分，若設計系統(tǒng)時未考慮設計流程中的早期需求驗證部分，可能導致利益攸關者需求捕獲不全面則易產(chǎn)生較嚴重的后果。如在福島事故中，一號堆監(jiān)控室未及時發(fā)現(xiàn)存在一根控制棒沒有迅速插入堆芯的應急行為，導致堆芯局部溫度升高引發(fā)堆芯融化。如果在控制棒插入環(huán)節(jié)設計成“不達標即報警”的并聯(lián)獨立檢測系統(tǒng)，能夠有效避免此次危險事故的發(fā)生及帶來的重大損失［16，20］。

2 基于MBSE的PRHRS案例應用

2.1 需求分析

需求分析是系統(tǒng)設計中重要的環(huán)節(jié)之一，提供了深入理解系統(tǒng)需求的方法，這有助于確保系統(tǒng)開發(fā)符合用戶期望。通過對需求進行分析，可以更好地理解系統(tǒng)所需的功能、性能和可靠性要求等，其結果決定了產(chǎn)品各項指標能否符合用戶要求，是系統(tǒng)設計成功的關鍵部分。

需求分析第一步的目的是將利益攸關者需求轉換為定義系統(tǒng)達到所需功能的系統(tǒng)需求。可通過訪談、調查與文獻調研等方式有效提高捕獲系統(tǒng)利益攸關者需求的全面性與準確性。參考吳國偉［6］設計的基于SG的非能動余熱排出系統(tǒng)設計需求與參數(shù)大致將捕獲的需求分解為功能需求、性能需求、環(huán)境適應性需求和可靠性需求［6］，并借助需求圖可將需求表示進一步條目化與模型化，如圖2所示，圖中id代表不同需求下子需求歸屬標識，僅代表分類作用。

圖2 非能動余熱排出系統(tǒng)需求圖Fig.2 Requirements diagram of passive residual heat removal system

需求分析第二步是建立系統(tǒng)用例模型，用例模型主要功能是定義系統(tǒng)功能的使用環(huán)境以及系統(tǒng)固有的頂層功能需求。用例模型通常包括利益攸關者、用例與用例場景，其中利益攸關者是通過系統(tǒng)邊界進行識別，可能是用戶也可能是系統(tǒng)，用例是描述系統(tǒng)功能的一種模型，它描述了系統(tǒng)的一個或多個功能，以及它們之間的交互關系，用例場景描述一個或多個用戶角色與系統(tǒng)進行交互的具體場景。即根據(jù)系統(tǒng)需求識別系統(tǒng)用例并定義用例場景，從而支持非能動余熱排出系統(tǒng)架構設計。用例是利益攸關者能夠直接觸發(fā)或參與系統(tǒng)行為，只有這部分行為才需要使用用例建模［21］。首先識別非能動余熱排出系統(tǒng)用例，假設一個系統(tǒng)S一共包含m個系統(tǒng)需求，記為SR={SR1，SR2，…，SRi，…，SRm}，1≤i≤m，建立l個用例U=(U1，U2，…，Uk，…，Ul)，1≤k≤l，第k個用例包含的需求個數(shù)為nk，則需滿足：

理想情況下式（1）為等式。根據(jù)上述條件并結合系統(tǒng)需求將用例名稱定義為建立余熱排出穩(wěn)定的自然循環(huán)，前置條件和后置條件分別為：余熱排出系統(tǒng)正常工作，非能動余熱排出系統(tǒng)處于備用狀態(tài)與余熱排出系統(tǒng)失效，二回路汽輪機等設備隔絕。此處PRHRS是在余熱排出系統(tǒng)基礎上設計自然循環(huán)冷卻裝置與連接管道，前者“余熱排出系統(tǒng)”相比后者屬于包含關系。從此角度出發(fā)通過系統(tǒng)邊界識別系統(tǒng)利益攸關者如反應堆保護系統(tǒng)，一、二回路冷卻劑系統(tǒng)，操作員等得出此用例，生成用例圖如圖3所示。

圖3 非能動余熱排出系統(tǒng)用例圖Fig.3 Use case diagram of passive residual heat removal system

其次根據(jù)系統(tǒng)用例定義用例場景，用例場景需滿足以下條件。假設第k個用例包含m個場景，記為SEk={SEk1，SEk2，…，SEki，…，SEkm}。第t個場景中包含的需求個數(shù)為rt，則需滿足：

理想情況下式（2）為等式。根據(jù)上述條件和文獻［6］中系統(tǒng)設計目標、工作原理與特點［22］，系統(tǒng)用例正常工作場景為：1）反應堆保護系統(tǒng)向非能動余熱排除系統(tǒng)先后發(fā)出冷凝器下隔離閥與泄壓閥閥位等控制信號；2）非能動余熱排出系統(tǒng)自動啟動；3）非能動余熱排出系統(tǒng)先后向冷卻劑系統(tǒng)注水排氣；4）已建立穩(wěn)定的余熱排出自然循環(huán)，通知操作員等待關閉信號。該用例只存在一個正常工作場景，其余不同于正常工作場景的都屬于異常工作場景范疇。從識別系統(tǒng)用例到定義系統(tǒng)用例場景，此用例滿足獨立性與合適粒度原則的同時與系統(tǒng)行為緊密耦合，能夠單獨對系統(tǒng)行為進行推斷與約束，具體用例描述如表1所示。

2.2 功能分析

功能分析的目的是分析系統(tǒng)自身運行狀態(tài)和系統(tǒng)與外部的信息交互模式（即黑盒測試過程），進而搭建非能動余熱排出系統(tǒng)功能架構。系統(tǒng)的功能架構表示了系統(tǒng)為實現(xiàn)用例所述功能而執(zhí)行的各項任務或功能的順序安排和并發(fā)行為［23］。在需求分析階段的系統(tǒng)用例模型驅動下及文獻［6］中系統(tǒng)工作原理，功能分析通過繪制時序圖、活動圖和狀態(tài)圖將功能性系統(tǒng)需求轉換成直觀圖形化模型。通過時序圖分析系統(tǒng)在不同使用場景下如何與外部進行交互，以及消息交換和動作執(zhí)行的時間順序。鉛冷快堆非能動余熱排出系統(tǒng)正常工作場景下時序圖如圖4所示，圖中展示出反應堆保護系統(tǒng)，一、二回路冷卻劑系統(tǒng)，操作員等利益攸關者在不同時刻每條生命線之間不同的交互情況。當非能動余熱排出系統(tǒng)收到來自反應堆保護系統(tǒng)發(fā)出的各種信號時，非能動余熱排除系統(tǒng)將自動解讀相應信號并將相應的功能信息傳遞給執(zhí)行者（利益攸關者），并將完成動作信息反饋給該系統(tǒng)。

圖4 非能動余熱排出系統(tǒng)時序圖Fig.4 Time sequence diagram of passive residual heat removal system

站在系統(tǒng)整體功能的角度，時序圖重點關注系統(tǒng)中特定部分之間隨時間推移產(chǎn)生的信息交互。為展示系統(tǒng)用例連續(xù)的運行流程，需采用活動圖對時序圖邏輯上繼續(xù)細化。非能動余熱排除系統(tǒng)活動圖比時序圖更全面，如圖5所示，當系統(tǒng)接收到反應堆保護系統(tǒng)信號時，非能動余熱排出系統(tǒng)出現(xiàn)兩種運行狀態(tài)即自動啟動成功和自動啟動失敗，當系統(tǒng)自動啟動成功時，系統(tǒng)會自動建立余熱排出自然循環(huán)。當系統(tǒng)接收信號失效時，系統(tǒng)立即報警并通知操作員手動啟動。從接收反應堆保護系統(tǒng)信號開始到通知操作員等待關閉信號結束，圖中相關功能可以同利益相關者需求相對應，從而實現(xiàn)需求、利益相關者及系統(tǒng)功能相互關聯(lián)與相互追溯。

圖5 非能動余熱排除系統(tǒng)活動圖Fig.5 Activity diagram of passive residual heat removal system

完成時序圖和活動圖之后，通過狀態(tài)機圖可看出所描述對象（非能動余熱排出系統(tǒng)）在生命周期里隨行為改變所引起狀態(tài)的改變以及狀態(tài)改變的條件。狀態(tài)機的運行結果也是檢驗系統(tǒng)設計是否符合需求的重要手段之一。非能動余熱排出系統(tǒng)狀態(tài)機圖如圖6所示，圖6描述非能動余熱排出系統(tǒng)收到制動信號后由備用狀態(tài)轉為運行狀態(tài)，啟動失敗時，系統(tǒng)立即報警并反饋至操作員請求手動啟動。通過狀態(tài)機圖執(zhí)行可以展示在信號觸發(fā)下非能動余熱排出系統(tǒng)產(chǎn)生的連鎖反應，當故障信號注入時也可獲取系統(tǒng)異常的狀態(tài)響應，從而保證系統(tǒng)設計滿足系統(tǒng)需求和利益攸關者的期望。

圖6 非能動余熱排出系統(tǒng)狀態(tài)機圖Fig.6 State machine diagram of passive residual heat removal system

2.3 設計綜合

設計綜合的目標是在整合功能分析階段模型元素基礎上進行系統(tǒng)架構分析與設計，將系統(tǒng)拆分成若干子系統(tǒng)的過程［24］。該過程主要建立子系統(tǒng)功能及各子系統(tǒng)間交互關系的白盒模型，具體包括權衡分析階段、架構設計階段和詳細架構設計階段。首先進行系統(tǒng)架構分析，根據(jù)確定系統(tǒng)作用、特征、限制、重要數(shù)據(jù)集合和來源等劃分原則［25］，本文將非能動余熱排出系統(tǒng)劃分為自動控制子系統(tǒng)、手動控制子系統(tǒng)、警報子系統(tǒng)、邏輯判斷子系統(tǒng)和執(zhí)行子系統(tǒng)等5種分單元式子系統(tǒng)。當子系統(tǒng)存在多個備選架構方案時，須咨詢有關方面專家綜合考慮系統(tǒng)質量、成本、性能等指標，根據(jù)賦予權重原則進行權衡分析［26］，最后確定最佳架構方案。以非能動余熱排出執(zhí)行子系統(tǒng)為例，本文子系統(tǒng)組成方案參考文獻［6］，初步確定組成為冷凝管采用逆流垂直式管殼型換熱管、閥門、蒸汽發(fā)生器、一個大水池和一個小水池，其余相關材料可參考文獻［6］。

其次進行系統(tǒng)架構設計，通過用模型的方式建立系統(tǒng)白盒模型。此階段根據(jù)上述劃分的5種單元式子系統(tǒng)以及舉例建立非能動余熱排出系統(tǒng)模塊定義圖（Block Definition Diagram，BDD），非能動余熱排出系統(tǒng)模塊定義圖可用于確定系統(tǒng)中的子系統(tǒng)?？梢酝ㄟ^將多個塊組合成一個名為“子系統(tǒng)”的塊來完成這個過程，這樣做有助于前后設計人員明確模塊劃分、描述模塊間的具體關系。圖7初步展示了非能動余熱排除系統(tǒng)內部邏輯架構與并將系統(tǒng)分配給各個子系統(tǒng)。

圖7 非能動余熱排出系統(tǒng)模塊定義圖Fig.7 Block definition diagram of passive residual heat removal system

在建立系統(tǒng)模塊圖的基礎上，白盒模型需進一步細化，此時同樣需要建立時序圖、活動分析子系統(tǒng)之間的交互及子系統(tǒng)與外部的交互關系。此過程與功能分析階段類似，此處不再贅述，但此處時序圖是在活動圖生成模型的基礎上進行修改完善。建立白盒模型的關鍵是通過內部模塊圖（Internal Block Diagram，IBD）展示子系統(tǒng)間的信息傳遞關系與子系統(tǒng)間的端口和接口關系，幫助設計人員更好地理解系統(tǒng)的結構和功能，非能動余熱排出系統(tǒng)內部模塊圖如圖8所示。圖8展示安全保護信號注入下，自動控制子系統(tǒng)接收信號并傳給邏輯判斷子系統(tǒng)，邏輯判斷子系統(tǒng)將系統(tǒng)自動啟動成功或失敗反饋給自動控制子系統(tǒng)或手動控制子系統(tǒng)，隨后執(zhí)行子系統(tǒng)執(zhí)行系統(tǒng)功能并將信號成功輸出，實現(xiàn)白盒模型的轉換。

圖8 非能動余熱排出系統(tǒng)內部模塊圖Fig.8 Internal block diagram of passive residual heat removal system

經(jīng)圖7與圖8對比發(fā)現(xiàn)，BDD是IBD的基礎：一個良好的IBD依賴于一個準確的BDD，BDD描述了系統(tǒng)中的塊及其屬性之間的關系，這些塊在IBD中被表示為組件。因此，BDD通常是IBD的基礎。通過定義塊和它們之間的關系，BDD和IBD都有助于支持系統(tǒng)的需求分析。BDD可以用于描述非能動余熱排出系統(tǒng)的高級結構，而IBD可以更詳細地描述塊之間的接口，它們彼此之間相互聯(lián)系與完善，兩者皆可展現(xiàn)部件架構信息和關系。

3 案例結果分析

本研究針對鉛冷快堆非能動余熱排出系統(tǒng)采用傳統(tǒng)基于文本為基線設計過程中遇到的諸如開發(fā)效率低、迭代周期長、模型二義性等前期需求問題展開分析。根據(jù)鉛冷快堆非能動余熱排出系統(tǒng)設計特點，將MBSE應用于鉛冷快堆非能動余熱排出系統(tǒng)設計需求過程進行架構設計。結合架構設計流程并采用分需求分析、功能分析、設計綜合三階段對鉛冷快堆非能動余熱排出系統(tǒng)進行層次式架構建模，能夠有效解決鉛冷快堆非能動余熱排出系統(tǒng)構成復雜化、技術精細化和信息數(shù)據(jù)化所帶來設計需求不一致與前期需求難以驗證等問題，具體分析結果如下：

1）需求分析環(huán)節(jié)用需求圖將捕獲的非能動余熱排出系統(tǒng)需求條目化并通過用例模型識別系統(tǒng)頂層用例和定義用例場景。

2）通過功能分析繪制的時序圖、活動圖分析實現(xiàn)功能所需展開的活動且利用狀態(tài)機圖執(zhí)行能提供系統(tǒng)早期需求驗證，從而提高設計迭代效率。

3）在設計綜合階段有序劃分非能動余熱排出系統(tǒng)子系統(tǒng)，同時采用模型圖分析子系統(tǒng)功能及各子系統(tǒng)間交互關系，從而達到黑盒至白盒轉換的目標，完成非能動余熱排出系統(tǒng)架構的設計。

4 結語

通過上述非能動余熱排出系統(tǒng)建模結果，與傳統(tǒng)基于文本的系統(tǒng)工程相比，將MBSE應用于鉛冷快堆非能動余熱排出系統(tǒng)設計需求研究中建立可需求同步的系統(tǒng)模型，保證了需求前后傳遞與轉化更加標準化；建立時序圖、活動圖以及狀態(tài)機圖仿真，早期能夠從多個維度出發(fā)檢驗并確認系統(tǒng)模型，有效地解決了系統(tǒng)設計及體系結構前期難以驗證的問題；以統(tǒng)一圖形化系統(tǒng)模型（需求圖、用例圖、活動圖和內部模塊定義圖等）為基線貫穿整個系統(tǒng)的設計需求研究過程，能夠提供迭代效率高、一致且完整的系統(tǒng)設計需求模型等初步優(yōu)勢。

鉛冷快堆非能動余熱排出系統(tǒng)設計正面臨著多學科技術融合及系統(tǒng)復雜精細化等亟待數(shù)字化發(fā)展的挑戰(zhàn)，MBSE的提出有利于系統(tǒng)設計完整、一致且可追溯性，進一步降低設計風險并提高設計效率。未來，可將MBSE與Simulink、NUMAP等仿真軟件聯(lián)合應用于鉛冷快堆非能動余熱排出系統(tǒng)的設計與優(yōu)化研究中，為實現(xiàn)數(shù)字化鉛冷快堆非能動余熱排出系統(tǒng)提供嶄新的解決方案。

作者貢獻聲明唐錨負責起草文章，醞釀和設計研究過程，分析；趙鵬程負責對文章的知識性內容作批評性審閱，獲取研究經(jīng)費，指導；李文杰負責支持性貢獻；王凱負責實施研究，技術支持。