陳 強(qiáng)，楊 明

（哈爾濱工程大學(xué) 核安全與仿真技術(shù)國(guó)防重點(diǎn)學(xué)科實(shí)驗(yàn)室，黑龍江 哈爾濱 150001）

多層流模型（MFM）是一種以目標(biāo)為導(dǎo)向的系統(tǒng)功能性建模方法，相對(duì)于故障樹分析法，MFM 更適合系統(tǒng)的建模，尤其是復(fù)雜系統(tǒng)［1-2］；MFM 能更清晰地描述復(fù)雜系統(tǒng)工藝過程，高度抽象化、層次化地組織系統(tǒng)結(jié)構(gòu)知識(shí)。MFM 模型易理解、易建立、易維護(hù)，若能實(shí)現(xiàn)MFM 向故障樹的自動(dòng)轉(zhuǎn)換，可大幅減少建立及維護(hù)復(fù)雜系統(tǒng)故障樹的工作量，且不易遺漏導(dǎo)致系統(tǒng)失效的重要事件；MFM 作為一種功能模型，即使在缺乏詳細(xì)系統(tǒng)資料的情況下，也可有效描述系統(tǒng)設(shè)計(jì)的意圖，且隨系統(tǒng)資料的完善可拓展系統(tǒng)的多層流模型。MFM 在核電站可靠性評(píng)價(jià)［3-4］、故障診斷［5］、警報(bào)分析［6］、危險(xiǎn)與可操作性分析［7］等方面均有應(yīng)用，因此可開發(fā)MFM 的統(tǒng)一建模平臺(tái)用于各種工程需求。本文在基于MFM的系統(tǒng)可靠性定量分析方法［3］的基礎(chǔ)上，研究MFM 向故障樹轉(zhuǎn)換的方法，以實(shí)現(xiàn)基于MFM 的系統(tǒng)可靠性定性分析。

1 多層流模型建模

1.1 安全注入系統(tǒng)

簡(jiǎn)化后的安全注入系統(tǒng)（SIS）原理圖如圖1所示。SIS由高壓、低壓2 條注入回路組成，主要包括高壓安注泵、低壓安注泵、管道、換料水存儲(chǔ)箱、安全殼地坑、電動(dòng)隔離閥等設(shè)備［3］。高壓注入回路包括高壓安注泵、向一回路冷管段和熱管段的注入管道，以及高壓安注泵從換料水存儲(chǔ)箱的吸水管道和電動(dòng)隔離閥。低壓注入回路包括低壓安注泵、向一回路冷管段和熱管段的注入管道，以及低壓安注泵與換料水存儲(chǔ)箱和安全殼地坑的連接管道和電動(dòng)隔離閥。

圖1 簡(jiǎn)化的安全注入系統(tǒng)原理圖Fig.1 Simplified structure of SIS

高壓安注回路的水源是換料水箱，低壓安注泵一般作為高壓安注泵的增壓泵，若低壓安注增壓失效，高壓安注泵則直接從換料水箱吸水。在發(fā)生小破口失水事故或主蒸汽管道破裂時(shí)，穩(wěn)壓器水位和壓力一旦低于規(guī)定值，高壓安注系統(tǒng)啟動(dòng)。

低壓安注回路的水源也是換料水箱，但在換料水箱水位低到一定程度時(shí)，安全殼地坑將作為其水源。在發(fā)生中破口或大破口失水事故時(shí)，穩(wěn)壓器的水位和壓力迅速降低，一旦低于低壓安注壓力整定值，低壓安注系統(tǒng)啟動(dòng)。

1.2 安全注入系統(tǒng)的多層流模型［3］

建立SIS的多層流模型如圖2所示。多層流模型中各目標(biāo)及子目標(biāo)的含義列于表1，表2列出多層流模型中的單元功能描述及其各功能對(duì)應(yīng)的物理部件描述。

表1 安全注入系統(tǒng)MFM 目標(biāo)描述Table 1 Goal description of SIS MFM

圖2 安全注入系統(tǒng)多層流模型Fig.2 MFM of safety injection system

表2 安全注入系統(tǒng)MFM 功能描述及對(duì)應(yīng)物理部件Table 2 Function description of SIS MFM and corresponding physical component

續(xù)表2

2 多層流模型轉(zhuǎn)故障樹規(guī)則及實(shí)現(xiàn)

MFM 和故障樹以不同的形式描述系統(tǒng)知識(shí)，在相同的系統(tǒng)邊界條件和基本假設(shè)下，兩者在表達(dá)系統(tǒng)可靠性邏輯關(guān)系上是等效的。以SIS的MFM 為例說明MFM 向故障樹轉(zhuǎn)化的過程和規(guī)則。

MFM 目標(biāo)G0～G14 轉(zhuǎn)化為故障樹的事件，事件的描述分別為目標(biāo)G0～G14未實(shí)現(xiàn)。若目標(biāo)由功能直接實(shí)現(xiàn)，則故障樹中目標(biāo)未實(shí)現(xiàn)事件的輸入事件為功能失效，如功能G10是由功能so6、tr11、si8共同作用實(shí)現(xiàn)的，對(duì)應(yīng)于故障樹中事件G10 未實(shí)現(xiàn)是由于功能so6、tr11、si8失效導(dǎo)致。其中，主目標(biāo)對(duì)應(yīng)頂事件，中間目標(biāo)對(duì)應(yīng)中間事件，基本目標(biāo)對(duì)應(yīng)底事件或未展開事件。頂事件沒有輸出，底事件或未展開事件沒有輸入，中間事件和底事件的輸出為上一層次目標(biāo)或功能的失效原因。

因?yàn)镸FM 和故障樹分別從成功和失效的角度對(duì)系統(tǒng)功能進(jìn)行描述，所以MFM 中與門（或門）對(duì)應(yīng)故障樹中或門（與門）。若目標(biāo)由下游子目標(biāo)實(shí)現(xiàn)，則故障樹中目標(biāo)未實(shí)現(xiàn)事件的輸入為各子目標(biāo)未實(shí)現(xiàn)，輸出是上一層次目標(biāo)未實(shí)現(xiàn)的故障原因。如目標(biāo)G0下的或門對(duì)應(yīng)故障樹中的與門，G0未實(shí)現(xiàn)事件的輸入為子目標(biāo)G1和G2未實(shí)現(xiàn)，G0未實(shí)現(xiàn)作為頂事件沒有輸出。

功能（表1中的so1、tr1、bal1等）轉(zhuǎn)化成故障樹中的中間事件，描述為相應(yīng)的功能故障，中間事件下加一個(gè)或門，其輸入為功能的部件故障事件和系統(tǒng)故障事件。部件故障事件只考慮功能的本質(zhì)故障。系統(tǒng)故障事件下加一個(gè)或門，其輸入事件分別是該功能的上游功能故障和支持功能故障事件。若功能存在多個(gè)上游功能，上游功能是與（或）關(guān)系時(shí)，則在上游功能故障事件下添加或門（與門），并依次為或門（與門）添加上游功能故障原因。如功能tr4對(duì)應(yīng)故障樹中的中間事件tr4失效，其下面連接一個(gè)或門，或門的輸入為事件tr4本質(zhì)故障（電動(dòng)閥A 失效）和上游功能bal2失效以及目標(biāo)G14未實(shí)現(xiàn)。

總之，根據(jù)MFM 中的總目標(biāo)對(duì)應(yīng)于故障樹中的頂事件，然后依據(jù)上述規(guī)則將MFM 中的目標(biāo)和功能單元轉(zhuǎn)換成故障樹中的中間事件和基本事件，并根據(jù)多層流模型中各目標(biāo)和功能的連接關(guān)系（流結(jié)構(gòu)）確定事件的輸入輸出關(guān)系和邏輯門的類型。編寫程序?qū)FM 轉(zhuǎn)換成可靠性商業(yè)軟件Isograph Reliability Workbench 11.0可識(shí)別的XML 格式的故障樹文件，利用Isograph Reliability Workbench 11.0的二次開發(fā)功能編寫接口程序?qū)崿F(xiàn)MFM 到故障樹的自動(dòng)生成。最終在Isograph Reliability Workbench 11.0自動(dòng)生成的故障樹示于圖3。

3 算例分析

通過RWB 的分析，得到8 個(gè)一階最小割集，49個(gè)二階最小割集和62個(gè)三階最小割集。表3列出全部的一階最小割集和部分二階和三階最小割集。多層流模型是功能模型，功能失效最終要反映到相應(yīng)的物理部件上，對(duì)全部一階最小割集及部分典型的二、三階最小割集進(jìn)行分析。

對(duì)8個(gè)一階最小割集分析可看出，這些失效集中在380V 低壓交流應(yīng)急電源系統(tǒng)（為各電動(dòng)閥供電）和6.6kV 交流應(yīng)急配電系統(tǒng)（為高壓安注泵和低壓安注泵供電）兩個(gè)供電系統(tǒng)，以及各電動(dòng)閥的控制單元、高壓安注泵和低壓安注泵的控制單元上。上述各設(shè)備單獨(dú)失效就會(huì)引起系統(tǒng)失效，所以安全注入系統(tǒng)的兩個(gè)電源系統(tǒng)及電動(dòng)閥和泵的控制系統(tǒng)是影響系統(tǒng)可靠性的關(guān)鍵因素。

圖3 多層流模型轉(zhuǎn)化的故障樹Fig.3 Fault tree transformed from MFM

表3 最小割集Table 3 Minimal cut sets

二階最小割集中，Tr 1和Tr 7同時(shí)失效則無法向一回路注入冷卻劑；So3和So2相當(dāng)于系統(tǒng)失去水源；So1和So4同時(shí)失效時(shí)，高壓安注泵和低壓安注泵均不能向一回路注入冷卻劑；So4和Tr 1同時(shí)失效將導(dǎo)致高壓安注和低壓安注失效。最終均將導(dǎo)致無法完成向一回路提供足量冷卻劑的主目標(biāo)。三階最小割集中，Tr 4、Tr 5和Tr 6同時(shí)失效時(shí)，換料水箱和安全殼地坑中的水無法輸送到高壓安注泵和低壓安注泵中，無法向一回路注入冷卻劑；Tr 4和Tr 5同時(shí)失效將導(dǎo)致水源只能來自安全殼地坑，此時(shí)So3也失效，相當(dāng)于系統(tǒng)失去水源；Tr 5和So3失效則水源只能來自換料水箱，而Tr 2失效則導(dǎo)致?lián)Q料水箱中的水無法注入一回路。最終均將導(dǎo)致無法完成向一回路提供足量冷卻劑的主目標(biāo)。

Tr5和Si3 在最小割集中出現(xiàn)次數(shù)最高，均為21次。Tr5 或Si3 失效均將導(dǎo)致低壓安注泵不能利用來自換料水箱的水，也不能在高壓安注泵工作時(shí)充當(dāng)增壓泵的功能。盡管Tr5或Si3失效，系統(tǒng)不會(huì)失效，但會(huì)使安注系統(tǒng)的可靠性整體降低較多，所以Tr5和Si3對(duì)應(yīng)的物理部件的可靠性也是需要關(guān)注的重點(diǎn)。

4 結(jié)論

通過分析可看出，MFM 轉(zhuǎn)換為故障樹的邏輯是正確的。多層流模型清晰易懂，易于修改，適合復(fù)雜系統(tǒng)建模。同一系統(tǒng)的多層流模型的規(guī)模遠(yuǎn)小于故障樹模型，多層流模型向故障樹轉(zhuǎn)化算法提供了一種快速建造故障樹的方法，作為文獻(xiàn)［3］中基于多層流可靠性定量分析算法的補(bǔ)充實(shí)現(xiàn)了基于多層流模型的可靠性定性分析方法，具有良好的應(yīng)用價(jià)值。

［1］ LIND M，YOSHIKAWA H，J?RGENSEN S B，et al.Multilevel flow modeling of Monju Nuclear Power Plant［J］.Nuclear Safety and Simulation，2011，2（3）：274-284.

［2］ LIU J，YOSHIKAWA H，ZHOU Y.Application of multilevel flow modeling to describe complex processes in a nuclear fuel cycle［C］∥Proceedings of Cognitive Systems Engineering in Process Control（CSEPC2004）.Sendai，Japan：［s.n.］，2004：114-120.

［3］ 楊明，張志儉.基于多層流模型的核電廠可靠性分析方法研究［J］.核動(dòng)力工程，2011，32（4）：72-76.YANG Ming，ZHANG Zhijian.Study on quantitative reliability analysis by multilevel flow models for nuclear power plant［J］.Nuclear Power Engineering，2011，32（4）：72-76（in Chinese）.

［4］ 陳萬青.基于MFM 的核電廠DCS可靠性分析方法研究［D］.哈爾濱：哈爾濱工程大學(xué)，2013.

［5］ 哈爾濱工程大學(xué).船用核動(dòng)力裝置基于多層流模型的不確定性故障診斷方法：中國(guó)，CN201110127128.0［P］.2011-12-28.

［6］ 張健德，楊明，張志儉.基于多層流模型的核電站警報(bào)分析系統(tǒng)的開發(fā)［J］.核科學(xué)與工程，2008，28（1）：66-74.ZHANG Jiande，YANG Ming，ZHANG Zhijian.Development of an alarm analysis system based on multi-level flow models for nuclear power plant［J］.Chinese Journal of Nuclear Science and Engineering，2008，28（1）：66-74（in Chinese）.

［7］ ROSSING N L，LIND M，JENSEN N，et al.A goal based methodology for hazop analysis［J］.International Journal of Nuclear Safety and Simulation，2010，1（2）：134-142.