核电厂数字仪控系统动态可靠性分析方法综述

黄晓津,朱云龙,周树桥，郭 超

(清华大学核能与新能源技术研究院,先进反应堆工程与安全教育部重点实验室,北京 100084)

0 引言

核电厂具有结构复杂、放射性强的特点，其典型结构具有两个回路，运行着许多关键设备(如堆芯、蒸汽发生器、冷却泵等)，一旦设备发生事故，将会对公共安全、周边环境以及核能产业发展造成巨大的负面影响[1]。对核电厂关键设备进行状态监测和控制，是确保核电厂安全运行的有效方式。仪表与控制(instrument and control，I&C)系统(简称仪控系统)是核电厂的神经中枢，对确保核电厂的安全、稳定、经济运行起着至关重要的作用。在早期核电厂设计中，状态监测和控制常使用基于模拟技术的仪控系统。其缺点是不够灵活、交互性差、功能升级困难、维护成本高、部件易老化等。因此，自20世纪末以来，核电厂逐渐使用数字化仪表与控制系统(digital I&C systems，DCS)取代模拟仪控系统。因其具有诸多技术优势，目前新建核电厂均采用数字化仪控系统[2]。中国核电厂仪控系统的数字化进程起步较晚，但发展较为迅速。中国最早在田湾核电站和岭澳二期核电站中使用仪控系统数字化技术[3-4]。10 MW高温气冷堆(high temperature gas-cooled reactor，HTR-10)全数字安全仪控系统应用高可靠性工业计算机、智能I/O模块，成为中国首个配备全数字化安全仪控系统的反应堆[5]。随着核电厂自动化和信息化水平的不断提高，数字化仪控系统在其中起着越来越重要的作用。因此，如何优化和完善其功能，已成为核电厂运行与控制的重要研究方向。

数字化仪控系统是一个包括硬件、软件、固件的复杂系统，其功能实现和逻辑运算均通过软件编程实现。通过在标准化的可编程硬件上执行代码，数字化仪控系统能够实现各种控制逻辑，并不断迭代升级算法，从而灵活地实现核电厂运行控制。数字化仪控系统的运行通过收集核电厂的各种模拟和数字信号，并在进行逻辑运算和处理之后，将控制指令发送到现场执行器，同时通过主控制室实现人机交互。典型的数字化仪控系统从下到上可以分为四个层次[6]。

①层次0：工艺系统接口层。该层由传感器、执行器及供电和功率放大部件等现场设备组成。

②层次1：自动控制和保护层。该层由反应堆保护机柜、核岛过程控制机柜、常规岛过程控制机柜、专用系统控制机柜等组成。

③层次2：操作和管理信息层。该层由后备盘、紧急控制盘、操纵员站、工程师站等组成。

④层次3：厂级管理层。该层负责信息收集和传输，对整个核电厂进行非实时功能和信息的综合处理。

相较于模拟仪控系统，数字化仪控系统的交互性、复杂性、非线性等特点，使得传统的可靠性分析方法并不完全适用。模拟仪控系统相当于一个硬编码系统，通过硬接线的方式将继电器、电阻、电容、电感等物理元器件连接成控制电路，从而实现各种控制功能。这种传统的硬编码系统在设计确定其功能和结构后难以更改和升级，并且会随着时间不断老化，造成控制失效，甚至严重事故[7]。对于传统的模拟仪控系统，核电厂常用的静态分析方法包括失效模式与影响分析、故障树/事件树、马尔科夫方法。失效模式与影响分析是一种依靠经验的分析方法，通过列出所需分析的部件及其功能、可能的故障原因、故障影响等信息，识别系统中的潜在失效隐患。但它无法详细描述失效机制和故障结构[8]。故障树/事件树分析是过去15年中广泛用于核电厂概率安全分析的技术手段[9]。但由于事件序列需要人为设定，当系统是动态不确定时，不同的分析可能导致不同的结果。马尔科夫方法的困难在于：当数字化仪控系统很复杂时，不能保证转移矩阵的准确性，并且复杂系统的转移矩阵建立也较为困难。静态分析方法的局限性主要体现在无法较好地描述系统的动态交互特性。这也就意味着，在数字化仪控系统可靠性分析中，需要应用动态分析方法来克服静态分析的局限性。

动态可靠性分析方法用于分析、描述系统的动态交互特性。目前，国内外学者针对动态可靠性分析方法开展了大量的研究工作。本文将根据典型动态可靠性分析方法、基于仿真以及其他动态分析方法，梳理、总结近年来国内外相关研究，为数字化仪控系统应用动态可靠性分析方法提供参考。

1 典型动态可靠性分析方法

典型动态可靠性分析方法是典型静态分析方法的动态应用，起到改善其动态交互特性的作用。本节将说明动态失效模式与影响分析、动态故障/事件树、动态流图方法、马尔科夫区间映射方法的原理及应用。

1.1 动态失效模式与影响分析

失效模式与影响分析是一种自下向上的、用于识别系统故障模式及其对系统的影响或后果的方法。通过这种方法，可以根据故障后果的严重程度、发生的频率以及检测的难易程度对故障模式进行分类[10]。传统的失效模式与影响分析以静态分析为主，对分析人员的经验依赖较大。而在面对具有复杂控制逻辑和系统结构的数字化仪控系统时，需要使用动态失效模式与影响分析考虑其固件、软件、硬件之间的交互作用，以及控制系统与被控对象之间的动态交互。

静态失效模式与影响分析通过分析员将系统分为多个分析层次。第一级粗略地分析整个系统，在后续的每个级别上都进行更精细的划分，以提高分析分辨率。上一级的分析可以用于执行下一级分析。分解将持续进行，直到可用信息无法支持更详细的分析或不需要再进行更详细的分析时停止。分析越详细，就能了解更多系统可能发生的故障信息。但这同时也会增加分析成本。动态失效模式与影响分析的优势在于：能够利用仿真技术，对数字化仪控系统的功能进行仿真，并由分析员动态插入、观察、分析不同故障带来的影响和后果，从而降低对分析员经验和核电厂运行数据的依赖[11]。目前，动态失效模式与影响分析已经应用于XDC800系列数字化仪控系统的实例分析研究。上海交通大学的李延凯已经研究了带硬件的分析工具包和不带硬件的分析工具包，允许分析员在XDC800机柜上进行故障分析。

1.2 动态故障/事件树

动态故障树由Dugan J B于1991年提出，并应用于计算机冗余系统的可靠性评估[12]。如今，动态故障树已广泛用于评估系统可靠性和核电厂安全。随着计算机技术的发展以及性能的显著提高，经典故障树方法得到长足发展。特别是当动态故障树独立或与事件树集成时[13]，可以提高核电厂的安全性[14]。与静态故障树相比，动态故障树的优点在于增加了动态逻辑门，例如优先级与门、顺序强制门、功能相关门、冷备份门、热备份门等。这使得它能够对系统的顺序故障行为进行建模，从而体现时间依赖特性。

在文献[15]中，动态故障树能够以两种方式对基于时间的模型进行建模。第一种方法是针对组件故障的概率(表示基本事件不可用)，引入时间相关模型。第二种方法是引入内部事件矩阵。该矩阵定义打开或关闭故障树的各个部分(代表系统的各个部分)。与Petri网或马尔科夫链相比，动态故障树的主要优点在于：对正在进行概率安全分析的人员而言，它更容易理解并且不需要补充其他更多的知识储备。动态故障树的应用可以评估与时间相关的风险状况，并在概率模型中优化参数，从而最大程度地降低总体风险。目前，动态故障树已经被应用于核电厂设备冷却水系统动态可靠性分析[16]。

动态事件树在概率安全评估方法中受到广泛关注。从原则上来看，动态事件树与传统的事件树相似。其不同之处在于：传统事件树初始事件发生之后的系统响应序列是由分析员预先定义的。在动态事件树中，系统响应的时间和序列是由系统演化的时间依赖模型，以及分析员确定的条件分支所确定的[17]。稳压器动态事件树(部分)[18]如图1所示。

图1 稳压器动态事件树(部分)

随着主压力的增加，当到达26 s的第一个压力设定点时，喷雾应有助于降低压力，因此有了三个事件分支。它反映了系统的三个可能路径：①喷雾器正常工作(阀门完全打开)；②喷雾器不正常工作(部分阀门打开)；③喷雾器不起作用(阀门卡住关闭)。假设喷雾阀门完全打开，则压力继续缓慢降低，直到157 s时的第二个压力设定点。此时，蒸汽排放阀应打开以释放压力。在这一点上，蒸汽排放阀的操作又有三种可能的结果：①正常操作(完全打开)；②卡住关闭；③部分打开。其分别构成图1中的场景1、场景2和场景3。每个分支的可能结果显示在所附标签中，并且分支概率在括号中给出。

1.3 动态流图法

动态流图法是一种基于状态和离散时间的有向图。它表示系统的逻辑和动态行为，是根据系统和软件参数之间的因果关系和时变关系的多状态细节建立的动态网络。动态流图建模的主要元素是过程变量节点、条件节点、传递框、过渡框、因果关系边和条件边。目前，动态流图法在核电厂中的应用包括先进反应堆、人员绩效和团队影响建模[19]、运行中的压水堆数字化给水控制系统相类似的概率安全评估建模[20]。

对于一个储气系统及其相关的压力控制系统，对应的简单数字化控制系统及其动态流图模型如图2所示[21]。

图2 简单数字化控制系统及其动态流图模型

动态流图法的分析执行主要包括三个步骤：①建立安全分析的数字化控制系统模型，使其包含控制软件和被控系统；②使用步骤①中构建的模型，识别系统和过程中可能发生的故障模式；③根据动态流图法分析的结果，通过集成测试验证数字化仪控系统是否表现出动态流图法所预测的行为，并对其进行校正。动态流图法的主要优势之一是它依赖于时间的逻辑建模能力，为故障树和失效模式与影响分析提供了多个状态和时间相关的等效信息。

1.4 马尔科夫区间映射方法

马尔科夫区间映射方法是分析数字化仪控系统可靠性的有效方法。它考虑了系统各组件之间的相互作用以及与运行过程之间的影响，是一种时间依赖的方法。它结合了传统离散状态马尔科夫方法和区间映射方法，表示失效事件之间可能出现的耦合情况。这些失效事件可能来源于两种类型的交互：一种是数字化仪控系统与受控过程之间的相互作用，另一种是数字化仪控系统不同组成部分的相互作用[22]。对于仪控系统，马尔科夫区间映射方法应用流程如图3所示[23]。

图3 马尔科夫区间映射方法应用流程图

区间映射方法能够描述离散系统在离散时间和状态空间下的线性和非线性系统动态特性。动态行为由一组微分或代数方程式描述。马尔科夫方法通过系统状态之间的转移概率来描述系统的随机演化。其中，状态转移可以用马尔科夫有向图表示。

旁路给水调节阀控制器的马尔科夫有向图如图4所示[22]。马尔科夫区间映射方法的输入分为5个部分，分别是：①系统动力学模型(仿真器)；②在正常运行和故障条件下系统的控制律和控制逻辑；③通过失效模式与影响分析得到的离散系统状态，以及系统动态特性和控制律；④每种需求的硬件/软件/固件状态转换概率或故障概率；⑤模型时间序列。

图4 旁路给水调节阀控制器的马尔科夫有向图

2 基于仿真的方法

基于仿真方法进行的动态可靠性分析可以分为两种类型，即时间离散方法和时间连续方法。时间离散方法通常使用核电厂仿真技术建立数学和物理模型，并描述系统的响应，以跟踪系统在各个状态分支下的动态演化结果；但是，系统仅在离散时间点分支。时间连续方法主要为连续事件树方法。

2.1 时间离散方法

基于核电厂仿真技术的时间离散方法主要包括动态决策事件树以及由此派生的方法，例如动态逻辑分析方法[24]、事故动态模拟器[25]、动态事件树分析方法[26]。动态决策事件树是事件树的扩展。事件树是水平构建的树状结构，以启动事件建模为根，从根出发到端节点的每条路径代表一个序列或场景，并产生相应的结果。动态决策事件树扩展了概率风险评估的观点，创新引入决策节点概念。在决策节点中，能够采取行动以有效避免或减轻事件后果；同时，它根据一组分支规则进行增长，因此是动态的。树结构、分支概率、结果值和决策也都会被更新，它们能够反映出物理网络中的变化[27]。

动态决策事件树主要由预测器、事件选择器、漏洞评估、操作空间生成器、操作选择器、树存储和树更新构成。动态决策事件树的动态特性体现在三个方面：①系统的树对于不同系统配置而言是不同的，并会随着时间进行更新；②事件发生时的系统状态由微分方程和代数方程描述，使用时域仿真构造树；③树结构的增长和更新过程根据算力大小持续进行。

2.2 时间连续方法

连续事件树方法是最早提出的时间连续方法[28-29]。它能够将过程、硬件、软件、固件、人为交互导致的故障之间的可能依赖性通过一个积分方程统一表示。

(1)

(2)

(3)

(4)

上述公式所得的较为复杂的积分方程，可以通过蒙特卡洛方法进行求解。

3 其他动态分析方法

除上述方法外，研究人员还提出了一些其他动态分析方法，例如GO-FLOW[30]、扩展事件序列图(event sequence diagram,ESD)[31]、Petri网[32]等。

3.1 GO-FLOW方法

GO-FLOW方法采用一组标准化的运算符来描述GO-FLOW过程中物理设备的逻辑操作、交互和组合，以此评估系统的可靠性/可用性。通过将输入数据提供给操作员，由操作员给出组件操作的特定概率。为了对给定系统进行建模，操作员需要选择输入输出的相互作用，以生成GO-FLOW图表。该图表表示组件/子系统/系统的工程功能。GO-FLOW方法适用于具有复杂系统操作序列或系统状态随时间变化的系统。因此，GO-FLOW可以处理定期任务问题或与时间相关的不可用性分析。它具备以下特点。①GO-FLOW图表对应于系统的物理分布，易于构建和验证。；②GO-FLOW图表的修改和更新较易完成；③GO-FLOW包含所有可能的系统运行状态。

在文献[33]中，采用GO-FLOW对AP1000自动降压系统进行可靠性分析。AP1000自动降压系统由四阶段减压阀构成。四阶段自动降压系统的示意图模型如图5所示。其中，每一级自动降压系统是互锁的，由第一级先启动，直到前一阶段被激活才能启动下一级。自动降压系统的1～3级分为两组，每组都有一个连接至稳压器顶端的公共入口和一个通向冷却水储存箱的喷头公共排放管。由于有两个冗余的并行路径，因此在启动自动降压系统时不会发生单一故障。

以在结冰条件下飞行的飞机为例，该动态情况下构建的事件序列图如图6所示[31]。

图6 结冰条件下飞行的飞机事件序列图

通过定义的14种不同类型的GO-FLOW运算符，AP1000自动减压系统的GO-FLOW图表能实现如下功能：①对各阶段执行的任务问题进行分析；②老化和维护的影响；③识别最小割集，模型参数学习；④通过参数模型分析共因故障；⑤不确定性分析；⑥敏感度分析。

3.2 扩展事件序列图

事件序列图能够帮助操作员在事故演变过程中监测事件进程。在核工业领域中,该方法也被用作事件树构建的定性辅助工具来识别可能的事故场景。扩展的事件序列图框架可以促进动态方案的建模和动态方法的利用，有助于识别和构建按时间顺序排列的事件序列，并能够以有限的方式处理过程变量的影响。其与流程图相似，较为容易被理解。扩展的事件序列图由六元组{E，C，G，P，CB，DR}构成，表示事件、条件、门、过程参数集、约束/边界、依赖规则。

事件序列图框架提供了一种在概率风险建模分析中的获取大多数复杂动态现象的简单方法。尤其是对于扩展事件序列图的框架，能够捕获更多动态现象，例如时间条件、物理条件、竞争事件、同步及并发独立过程、互斥过程、循环场景等。因此，事件序列图框架促进了动态方法的实际使用。这使得它们在工业应用中更为普遍适用。

3.3 Petri网

Petri网由Carl Adam Petri于20世纪60年代提出。该模型是基于系统各部分异步和并发操作，各部分之间的关系可以用图形或网络表示[34]。Petri网由两个部件组成，库所P和变迁T。定义库所与变迁之间的关系是由输入函数I和输出函数O来实现。这四个部分构成了Petri网的结构，C=(P,T,I,O)。但上述表示并不直观，因此用空心圆表示库所、长条表示变迁、有向弧表示输入输出关系、托肯表示信息或资源，以构成Petri网。Petri网组成元素如图7所示。它是一种图形与数学相结合的建模工具，能够描述系统的事件、条件以及二者的关系。在系统中，某些条件的成立会导致某些事件的发生。这些事件的发生又会更改系统的状态，从而导致某些以前的条件停止。因此，Petri网是动态的。

图7 Petri网组成元素

目前，清华大学的曹枭虓已经将Petri网应用于反应堆保护系统(reactor protection system,RPS)动态可靠性的建模与分析。反应堆保护系统Petri网模型如图8所示。

图8 反应堆保护系统Petri网模型示意图

反应堆保护系统Petri网模型的优势体现在三个方面：①能够描述系统状态的转移过程，评估检测和维修等活动的系统可靠性影响；②适用于各种类型的分布；③能够准确描述定期试验是在确定周期开展的、确定的检测活动[35]。

4 结论

通过核电厂可靠性分析可以发现设计中的薄弱环节，确保核电厂的安全运行。目前，由于数字化仪控系统在核电厂中的广泛应用，其动态可靠性已成为核电厂可靠性研究的关键领域。本文首先介绍了核电厂仪控系统从模拟到数字的发展过程，并比较了两者之间的异同。根据数字化仪控系统和模拟仪控系统的动态特性之间的差异，现在通常使用动态分析方法代替静态分析方法进行可靠性分析。

本文总结的动态可靠性分析方法包括典型动态可靠性分析方法、基于仿真的方法、其他动态分析方法。典型动态可靠性分析方法包含对静态分析方法的动态改进。其中：动态失效模式与影响分析能够降低对分析员经验的依赖；动态故障/事件树能够显示出对时间的依赖性，动态流图法能够表示系统的逻辑和动态行为；马尔科夫区间映射方法可以表示出仪控系统与受控对象以及内部各组件之间的耦合情况。基于仿真的方法分为时间离散和时间连续两种。其中：动态决策事件树可以按分支规则进行增长；连续事件树使用蒙特卡罗方法求解积分方程。其他动态分析方法(包括GO-FLOW)可以描述物理设备的逻辑操作、交互和组合，扩展事件序列图能帮助操作员监测事件全进程，Petri网可以对系统状态转移进行建模计算分析。

这些方法构成了当前动态可靠性分析方法的主要技术框架。本文所综述的技术能够为核电厂数字化仪控系统动态可靠性分析的进一步研究提供理论基础和参考。