王韶軒，郭丁情，李學(xué)禮，林志賢，戈道川，汪建業(yè)

（1.中國(guó)科學(xué)院合肥物質(zhì)科學(xué)研究院，中子輸運(yùn)理論與輻射安全重點(diǎn)實(shí)驗(yàn)室，合肥 230031；2.中國(guó)科學(xué)技術(shù)大學(xué)，合肥 230026；3.上海交通大學(xué)，核科學(xué)與工程學(xué)院，上海 200240；4.中廣核工程設(shè)計(jì)有限公司，廣東深圳 518000）

動(dòng)態(tài)故障樹(shù)（DFT）概念最早由弗吉尼亞大學(xué)Dugan教授于1992年提出［1］，其誕生背景是計(jì)算機(jī)容錯(cuò)系統(tǒng)因采用冗余設(shè)計(jì)、動(dòng)態(tài)冗余管理以及復(fù)雜故障恢復(fù)技術(shù)而導(dǎo)致的系統(tǒng)時(shí)序失效行為。Dugan教授為描述系統(tǒng)這一時(shí)序失效行為，并對(duì)其可靠性進(jìn)行精準(zhǔn)的建模和分析，發(fā)展了6種動(dòng)態(tài)邏輯門，因此DFT被定義為至少包含一種動(dòng)態(tài)邏輯門的故障樹(shù)。由于集成了動(dòng)態(tài)邏輯門，DFT具備比靜態(tài)故障樹(shù)更強(qiáng)大的系統(tǒng)失效建模能力，一經(jīng)提出，便引起了可靠性領(lǐng)域?qū)＜业淖⒁獠⒃趯?shí)踐中獲得大量應(yīng)用。目前，DFT的三大主要分析方法為：Monte Carlo數(shù)值仿真、馬爾科夫鏈模型以及被統(tǒng)稱為“組合法”的容斥原理法和不交化積之和模型法。隨著快速定量分析技術(shù)的提升以及系統(tǒng)可靠性學(xué)科的發(fā)展，DFT也開(kāi)始在其他安全重要領(lǐng)域得到應(yīng)用，例如核能系統(tǒng)、化工過(guò)程系統(tǒng)和航空航天系統(tǒng)等。

尤其是核能系統(tǒng)，安全一直是其可持續(xù)健康發(fā)展的生命線［2］。為了保障安全，核電廠大量采用冗余管理和設(shè)計(jì)理念，比如縱深防御和單一故障準(zhǔn)則［3］。由于大量冗余系統(tǒng)/設(shè)備的存在，使得核電廠系統(tǒng)廣泛存在復(fù)雜時(shí)序失效行為，例如大亞灣核電站給水泵系統(tǒng)采用2×65%汽動(dòng)泵+1×65%電動(dòng)泵配置方式。正常運(yùn)行時(shí)，2臺(tái)汽動(dòng)泵工作，另一電動(dòng)泵作為冷備用。在一臺(tái)汽動(dòng)泵跳閘的情況下，電動(dòng)泵在極短時(shí)間內(nèi)啟動(dòng)并替換跳閘的汽動(dòng)泵。給水泵系統(tǒng)功能失效的DFT模型如下圖1所示。顯然，給水泵系統(tǒng)存在四種時(shí)序失效模式：A→S，A→B，B→S，B→A［4］。這種時(shí)序失效行為給利用傳統(tǒng)故障樹(shù)對(duì)系統(tǒng)進(jìn)行可靠性建模和分析的方式提出了挑戰(zhàn)。核電廠時(shí)序失效行為不僅影響系統(tǒng)失效概率也會(huì)影響事故后果。在對(duì)失效概率的影響方面，有研究結(jié)果表明［5］：對(duì)于兩輸入優(yōu)先與門和靜態(tài)與門，當(dāng)設(shè)備的失效率λ和修復(fù)率μ滿足一定關(guān)系時(shí)（λA>>λB，μA>>μB或λA<<λB，μA<<μB），DFT與靜態(tài)故障樹(shù)的計(jì)算結(jié)果存在量級(jí)的差別。即便不考慮設(shè)備的維修性，DFT與靜態(tài)故障樹(shù)的計(jì)算結(jié)果往往也存在倍數(shù)的差別，而差別大小是由系統(tǒng)時(shí)序失效特性以及設(shè)備失效可靠性參數(shù)共同決定。本文中時(shí)序失效特性主要是指系統(tǒng)時(shí)序失效行為的類型、時(shí)序失效行為之間的耦合度，以及系統(tǒng)的結(jié)構(gòu)和規(guī)模等。對(duì)事故后果的影響方面，有研究結(jié)果表明［6］：事故后安全系統(tǒng)發(fā)生失效的前后順序不同，則導(dǎo)致事故后果嚴(yán)重程度不一。因此，應(yīng)用DFT對(duì)核能系統(tǒng)的時(shí)序失效行為進(jìn)行建模分析，有助于識(shí)別核電廠危險(xiǎn)的事故場(chǎng)景、釋放保守的事故風(fēng)險(xiǎn)，對(duì)提升核電廠的經(jīng)濟(jì)性和安全性具有重要的現(xiàn)實(shí)意義。

圖1 大亞灣核電廠給水泵系統(tǒng)功能失效DFT模型Fig.1 DFT model of failure of feedwater pump system in Daya Bay nuclear power plant

當(dāng)前，DFT已經(jīng)在核能系統(tǒng)可靠性評(píng)價(jià)中得到了初步應(yīng)用，但也僅限于時(shí)間相關(guān)的失效系統(tǒng)或部件。核能系統(tǒng)中的共因失效、設(shè)備啟動(dòng)失敗、稀有始發(fā)事件發(fā)生（如LLOCA）概率/頻率等并沒(méi)有顯著的時(shí)間分布特性，常表現(xiàn)為一個(gè)獨(dú)立于時(shí)間維度的概率值或頻率值，這給DFT傳統(tǒng)定量求解算法提出了挑戰(zhàn)，目前很少有文獻(xiàn)對(duì)此開(kāi)展研究。本文對(duì)近30年DFT分析方法進(jìn)行綜述，介紹國(guó)內(nèi)外DFT理論、方法和核安全領(lǐng)域的研究現(xiàn)狀和未來(lái)趨勢(shì)，并分析不同分析方法的特點(diǎn)與適用場(chǎng)合，最后結(jié)合核能系統(tǒng)的時(shí)序失效行為特性，給出核電領(lǐng)域DFT未來(lái)的發(fā)展方向及待解決的問(wèn)題，為DFT方法在我國(guó)核能系統(tǒng)可靠性和概率安全分析中的進(jìn)一步應(yīng)用與研究提供有益的幫助。

1 DFT理論及分析方法

1.1 DFT理論及研究現(xiàn)狀

DFT具備對(duì)復(fù)雜系統(tǒng)的時(shí)序失效行為進(jìn)行系統(tǒng)可靠性建模的能力，其是在靜態(tài)故障樹(shù)的基礎(chǔ)上集成了6種動(dòng)態(tài)邏輯門，分別為優(yōu)先與門（PAND）、功能相關(guān)門（FDEP）、順序強(qiáng)制門（SEQ）、冷備門（CSP）、溫備門（WSP）和熱備門（HSP），如圖2所示［1］。國(guó)內(nèi)外眾多研究機(jī)構(gòu)和學(xué)者均開(kāi)展了DFT建模理論及分析方法研究，早期主要側(cè)重單個(gè)動(dòng)態(tài)邏輯門的失效語(yǔ)義表述、時(shí)序失效邏輯表達(dá)、時(shí)序失效邏輯運(yùn)算以及時(shí)序失效概率計(jì)算，分析對(duì)象的規(guī)模相對(duì)較小、系統(tǒng)時(shí)序失效邏輯相對(duì)簡(jiǎn)單［7，8］。近年來(lái)，得益于系統(tǒng)可靠性理論的進(jìn)步以及快速評(píng)價(jià)方法的發(fā)展，DFT建模能力和求解效率得到了很大提升。其中，動(dòng)態(tài)邏輯門失效語(yǔ)義的明確和統(tǒng)一［9，10］，加深了人們對(duì)系統(tǒng)時(shí)序失效行為的理解，進(jìn)一步明晰了動(dòng)態(tài)邏輯門與系統(tǒng)時(shí)序失效行為之間的映射關(guān)系，為建立更大規(guī)模的時(shí)序失效系統(tǒng)的DFT模型提供了理論依據(jù)。此外，基于DFT不交化積之和模型［11，12］，有學(xué)者發(fā)展了系列DFT快速計(jì)算方法，為分析更大規(guī)模系統(tǒng)DFT提供了技術(shù)支持，但是這種快速計(jì)算方法也存在一定的局限性，如分析對(duì)象必須是不可修系統(tǒng)、系統(tǒng)部件失效時(shí)間必須服從指數(shù)分布，這也在一定程度上限制了這些方法在核能系統(tǒng)中的實(shí)際應(yīng)用。當(dāng)前，學(xué)者正圍繞DFT的兩個(gè)方面開(kāi)展深入研究，一是研究更加快速的計(jì)算方法，使之能夠同時(shí)適用于分析可修和不可修系統(tǒng)；另一個(gè)是開(kāi)展廣泛的工程應(yīng)用研究，優(yōu)化系統(tǒng)設(shè)計(jì)以提高系統(tǒng)運(yùn)行安全和經(jīng)濟(jì)性。尤其對(duì)安全和經(jīng)濟(jì)性極為重視的核能系統(tǒng)，開(kāi)展相適應(yīng)的DFT快速計(jì)算方法以及工程應(yīng)用研究更具有現(xiàn)實(shí)意義。

圖2 6種動(dòng)態(tài)邏輯門Fig.2 6 kindsof dynamic logic gates

1.2 DFT分析方法分類

經(jīng)過(guò)近20年的發(fā)展，目前DFT分析方法主要分為以下幾類（如圖3所示）：狀態(tài)空間法、組合法、隨機(jī)法以及其他方法（貝葉斯網(wǎng)絡(luò)法和Petri Net法）。其中馬爾科夫鏈模型法、組合法以及其他方法屬于解析法，隨機(jī)法則屬于近似法。

圖3 DFT分析方法分類Fig.3 Classification of DFT analysismethods

1.2.1 狀態(tài)空間法

狀態(tài)空間法，即Markov鏈模型法，其主要研究系統(tǒng)“狀態(tài)”與“狀態(tài)”之間的概率轉(zhuǎn)移特性，在DFT的定量計(jì)算中的到了廣泛的應(yīng)用。1992年，Dugan JB首次利用基于系統(tǒng)狀態(tài)空間的馬爾科夫鏈模型實(shí)現(xiàn)了對(duì)DFT的定量分析［1］，但也明確指出馬爾科夫鏈狀態(tài)空間會(huì)隨著系統(tǒng)部件的增加呈指數(shù)級(jí)增長(zhǎng)，對(duì)規(guī)模較大的系統(tǒng)而言，計(jì)算成本較高。對(duì)于一個(gè)含有n個(gè)部件的二元狀態(tài)系統(tǒng)，其馬爾科夫鏈模型計(jì)算復(fù)雜度為o（m3），其中m為馬爾科夫鏈中的狀態(tài)個(gè)數(shù)，大小為o（2n）［13］。隨后，為提高計(jì)算效率，大量學(xué)者開(kāi)展縮減馬爾科夫鏈狀態(tài)空間的技術(shù)研究［14，15］。而實(shí)際上，工業(yè)系統(tǒng)DFT的規(guī)模往往較大，即使馬爾科夫鏈模型能縮減規(guī)模，但仍面臨“狀態(tài)空間爆炸”難題。其次，馬爾科夫鏈模型要求設(shè)備失效時(shí)間和修復(fù)時(shí)間均服從指數(shù)分布以滿足時(shí)間無(wú)記憶性，即無(wú)法對(duì)非指數(shù)失效時(shí)間分布的設(shè)備系統(tǒng)進(jìn)行分析。

1.2.2 組合法

組合法基本克服了Markov狀態(tài)空間爆炸的問(wèn)題和強(qiáng)制要求設(shè)備服從指數(shù)失效時(shí)間分布的約束，具有較好的求解效率和適用性。因該方法的實(shí)施基于DFT結(jié)構(gòu)函數(shù)，所以也被稱之為結(jié)構(gòu)函數(shù)法。研究人員就如何獲取DFT的結(jié)構(gòu)函數(shù)，已經(jīng)開(kāi)展大量研究并取得了系列成果［16-18］。關(guān)于組合法的研究現(xiàn)主要集中在兩個(gè)方面：一個(gè)是容斥原理（Inclusive-Exclusive Principle，IEP）法；另一個(gè)是不交化積之和（Sumof disjointproducts，SDP）法。

IEP是分析DFT的常用方法，該方法首先對(duì)DFT的結(jié)構(gòu)函數(shù)按照容斥原理進(jìn)行展開(kāi)，通過(guò)求解每個(gè)容斥項(xiàng)的發(fā)生概率最終得到整個(gè)DFT的發(fā)生概率［8］。需要注意的是，對(duì)一個(gè)結(jié)構(gòu)函數(shù)含有m個(gè)邏輯項(xiàng)的DFT，IEP法展開(kāi)后將產(chǎn)生2m-1個(gè)容斥項(xiàng)。因此，這種方法在處理大型DFT時(shí)也較容易產(chǎn)生因組合爆炸而導(dǎo)致無(wú)法求解的問(wèn)題。

SDP法是目前求解不可修D(zhuǎn)FT的最高效算法之一，該方法將DFT的割序集轉(zhuǎn)化為“不交化積之和”形式，從而將求解過(guò)程簡(jiǎn)化為對(duì)各不交化割序的概率進(jìn)行直接求和。近年來(lái)，多名學(xué)者針對(duì)SDP法的理論與應(yīng)用進(jìn)行了深入研究，逐步解決了使用SDP法求解DFT的技術(shù)障礙，并且發(fā)現(xiàn)SDP法計(jì)算復(fù)雜度與不交化路徑的個(gè)數(shù)成線性關(guān)系，通過(guò)大量的案例分析表明，SDP法比馬爾科夫鏈模型法以及容斥原理法計(jì)算效率都要高［18-20］。

1.2.3 隨機(jī)法

DFT的隨機(jī)量化方法主要有兩種：一種是基于蒙特卡洛的隨機(jī)抽樣方法［22］，另一種是基于非伯努利隨機(jī)序列的試驗(yàn)方法［23-25］。蒙特卡洛方法又稱為隨機(jī)模擬法、隨機(jī)抽樣法、統(tǒng)計(jì)實(shí)驗(yàn)法等，該方法以概率論和數(shù)理統(tǒng)計(jì)為基礎(chǔ)，利用重復(fù)抽樣、計(jì)算機(jī)生成的隨機(jī)數(shù)、統(tǒng)計(jì)實(shí)驗(yàn)來(lái)求解一些可以用隨機(jī)過(guò)程來(lái)描述的問(wèn)題，并且隨著計(jì)算機(jī)的快速發(fā)展，蒙特卡洛法得到了越來(lái)越廣泛的應(yīng)用。該方法的優(yōu)點(diǎn)在于收斂速度與問(wèn)題維度無(wú)關(guān)、計(jì)算誤差可以度量、解決問(wèn)題時(shí)受限小、適應(yīng)性廣。但其復(fù)雜度與結(jié)果要求的精度有關(guān)，對(duì)于小概率事件，該方法的計(jì)算成本較大且只能提供一個(gè)在統(tǒng)計(jì)學(xué)意義下的近似解，且與其他方法相比該方法在處理低維數(shù)的實(shí)際情況時(shí)效果可能不是很好，在保持置信水平不變抽樣數(shù)為N時(shí)，收斂速度較慢為o（1/N）［26］。

基于非伯努利隨機(jī)序列的試驗(yàn)方法，其利用0，1隨機(jī)排列組成的非伯努利序列作為基本事件的概率來(lái)分析DFT，與傳統(tǒng)的伯努利序列在隨機(jī)計(jì)算中的使用相反，該方法將非伯努利序列（作為固定數(shù)目的1和0的隨機(jī)排列）用于初始輸入與門故障概率。相關(guān)學(xué)者通過(guò)對(duì)兩輸入和三輸入不可修復(fù)優(yōu)先與門的計(jì)算，發(fā)現(xiàn)相比于蒙特卡洛抽樣法，該方法有更高的計(jì)算精度和更快的收斂速度［24］。但是目前僅適用于不可修D(zhuǎn)FT，計(jì)算效率依賴于隨機(jī)伯努利序列長(zhǎng)度。

1.2.4 其他方法

其他方法主要是指貝葉斯網(wǎng)絡(luò)分析法和Petri Net法。貝葉斯網(wǎng)絡(luò)分析法將DFT轉(zhuǎn)化為貝葉斯網(wǎng)絡(luò)再進(jìn)行相應(yīng)的求解［27，28］。貝葉斯網(wǎng)絡(luò)（Bayesian Networks，BN）又稱信任網(wǎng)絡(luò)（Belief Networks），是近10年來(lái)受到廣泛關(guān)注的可靠性模型，其結(jié)合了概率論和圖論，是一個(gè)賦值的因果關(guān)系圖，本質(zhì)上是一種基于概率推理的數(shù)學(xué)模型，具有堅(jiān)實(shí)的概率論基礎(chǔ)。這種方法的計(jì)算復(fù)雜度類似容斥原理法，避免了全局狀態(tài)空間爆炸的問(wèn)題，但其也存在條件概率表的參數(shù)組合爆炸和備件節(jié)點(diǎn)失效時(shí)間僅能是指數(shù)分布的不足。

Codetta-Reiteri提出一種廣義Petri Net來(lái)分析DFT［29］。Petri網(wǎng)（Petri Net，PN）是一種用來(lái)描述離散系統(tǒng)的數(shù)學(xué)建模工具，提出后被廣泛用于各種實(shí)際系統(tǒng)的建模和分析。關(guān)于這種方法的研究目前還比較少，其在DFT領(lǐng)域的應(yīng)用仍處于探索階段，對(duì)于大型復(fù)雜系統(tǒng)，因?yàn)镻N模型的可達(dá)圖難以獲取，故而很難進(jìn)行定性和定量分析。此外，PN可靠性指標(biāo)求解是基于馬爾可夫或半-馬爾可夫理論，也面臨著適用范圍較窄和指數(shù)爆炸的問(wèn)題。目前，這兩種方法僅限于不可修D(zhuǎn)FT。

以上DFT分析方法的優(yōu)缺點(diǎn)對(duì)比如表1所示。這些分析方法除了Markov鏈模型法都是建立在基本事件不具有維修性這一假設(shè)的基礎(chǔ)上，但是在現(xiàn)實(shí)中系統(tǒng)部件普遍具有可修復(fù)性。因此，發(fā)展可修D(zhuǎn)FT的快速計(jì)算方法具有重要的現(xiàn)實(shí)意義。

表1 DFT分析方法優(yōu)缺點(diǎn)對(duì)比Table 1 Comparison of advantagesand disadvantagesof DFT analysismethods

2 核能系統(tǒng)中的時(shí)序失效行為及其特性

縱深防御理念和單一故障準(zhǔn)則是保障核安全的基本思想和重要途徑。采用大量冗余設(shè)計(jì)是核電廠安全設(shè)計(jì)的一個(gè)重要方面，這也決定了核能系統(tǒng)廣泛存在時(shí)序失效行為。通過(guò)對(duì)核能系統(tǒng)進(jìn)行設(shè)計(jì)和運(yùn)行分析，核能系統(tǒng)的時(shí)序失效行為主要存在于如圖4所示的幾種情況：

圖4 時(shí)序失效行為的存在場(chǎng)景Fig.4 Scenarioswith temporal failurebehaviors

（1）數(shù)字化儀控系統(tǒng)（Digital I&C System）。數(shù)字化儀控系統(tǒng)通過(guò)計(jì)算機(jī)硬件和控制系統(tǒng)軟件平臺(tái)執(zhí)行各種復(fù)雜的核電廠控制功能，與純硬件系統(tǒng)相比，計(jì)算機(jī)軟件系統(tǒng)具有顯著的冗余設(shè)計(jì)特性，廣泛存在時(shí)序失效行為。例如反應(yīng)堆功率數(shù)字化冗余控制系統(tǒng)（簡(jiǎn)稱RRS）采用熱冗余雙處理器配置，分別為系統(tǒng)A和系統(tǒng)B，每一個(gè)系統(tǒng)又都含有雙冗余微處理器，時(shí)序失效行為顯著。

（2）安全系統(tǒng)內(nèi)部。核能安全系統(tǒng)需要在事故工況下執(zhí)行規(guī)定的安全功能，需要較高的運(yùn)行可靠性，因此，關(guān)鍵安全系統(tǒng)內(nèi)部一般采用多樣化冗余設(shè)計(jì)，比如壓水堆，其高壓安注系統(tǒng)中泵往往采用三組備用列配置。此外，給水泵系統(tǒng)也采用主給水泵和備用給水泵的冗余配置結(jié)構(gòu)。

（3）安全系統(tǒng)之間。核能系統(tǒng)發(fā)生始發(fā)事件后，會(huì)觸發(fā)安全系統(tǒng)系列響應(yīng)，這些安全系統(tǒng)會(huì)以一定的響應(yīng)規(guī)程依次投入運(yùn)行，同時(shí)安全系統(tǒng)的響應(yīng)依賴于某些監(jiān)測(cè)設(shè)備的觸發(fā)信號(hào)，一旦這些監(jiān)測(cè)設(shè)備提前失效，安全系統(tǒng)就無(wú)法正常啟動(dòng)。因此，始發(fā)事件發(fā)生后，安全系統(tǒng)之間會(huì)呈現(xiàn)時(shí)序失效行為。

（4）能動(dòng)系統(tǒng)與動(dòng)力源。核能系統(tǒng)采用大量的能動(dòng)系統(tǒng)，如泵系統(tǒng)、閥系統(tǒng)、控制棒系統(tǒng)，儀表系統(tǒng)等，這些能動(dòng)設(shè)備的功能依賴廠內(nèi)或場(chǎng)外的動(dòng)力源支持（如電、壓縮空氣等），一旦喪失動(dòng)力源，所有相關(guān)系統(tǒng)就會(huì)失效，而相關(guān)系統(tǒng)失效對(duì)動(dòng)力源不產(chǎn)生影響，其屬于功能相關(guān)失效（時(shí)序失效的一種）。因此，能動(dòng)系統(tǒng)與動(dòng)力源之間往往出現(xiàn)功能相關(guān)時(shí)序失效行為。

（5）操作員的干預(yù)行為。按照操作規(guī)程，核電廠發(fā)生事故后，在某些設(shè)備（如能動(dòng)閥門、自動(dòng)開(kāi)關(guān)等）無(wú)法正常開(kāi)啟時(shí)需要操作員手動(dòng)干預(yù)。在某些事故場(chǎng)景下，操作員會(huì)隨著事故演進(jìn)進(jìn)行不同的干預(yù)，由于受到各種主觀和客觀因素的影響，操作員可能會(huì)干預(yù)失敗。因此，在核能系統(tǒng)事故進(jìn)程中，操作員的干預(yù)行為可能會(huì)出現(xiàn)時(shí)序失效行為。

為確保反應(yīng)堆的安全，核能安全系統(tǒng)往往需要發(fā)揮三大安全功能：反應(yīng)性控制、余熱排除、放射性物質(zhì)包容。這些安全功能的實(shí)現(xiàn)往往需要投入大量的安全系統(tǒng)、操作人員、儀表儀控以及其他輔助設(shè)施協(xié)同執(zhí)行。由于人機(jī)交互、軟硬件交互、嚴(yán)格的操作規(guī)程以及安全系統(tǒng)遵循縱深防御理念依次投入，相對(duì)于其他工業(yè)系統(tǒng)，核能系統(tǒng)的時(shí)序失效特性更為復(fù)雜，主要表現(xiàn)為復(fù)雜耦合的時(shí)序失效行為以及系統(tǒng)規(guī)模較大。其中，復(fù)雜耦合的時(shí)序失效行為體現(xiàn)在系統(tǒng)和設(shè)備兩個(gè)層級(jí)，在系統(tǒng)層面，由于多個(gè)系統(tǒng)因共享設(shè)備的耦合，可能出現(xiàn)多種時(shí)序失效行為在時(shí)間和空間上的深度耦合；在設(shè)備層面，設(shè)備的失效概率可能在特定的任務(wù)時(shí)間上出現(xiàn)頻率型、概率型以及時(shí)間分布型的疊加效應(yīng)。

3 DFT在核能系統(tǒng)可靠性評(píng)估中的應(yīng)用現(xiàn)狀與前景展望

核能系統(tǒng)由于冗余設(shè)計(jì)而廣泛存在時(shí)序失效行為，傳統(tǒng)靜態(tài)故障樹(shù)無(wú)法對(duì)此進(jìn)行建模分析。近年來(lái)，基于DFT的系統(tǒng)可靠性評(píng)估方法在核能領(lǐng)域有了初步的應(yīng)用，2008年，Dehlinger J對(duì)核電廠數(shù)字化給水控制系統(tǒng)可靠性進(jìn)行了DFT建模和分析，并就DFT如何在核電廠PSA應(yīng)用給出了建議［30］。2009年，K.Durga Rao使用DFT對(duì)核電廠電力供應(yīng)系統(tǒng)和功率控制系統(tǒng)進(jìn)行建模并使用蒙特卡羅模擬的方法進(jìn)行求解，論證了DFT方法應(yīng)用于解決大規(guī)模問(wèn)題的可行性［31］。2015年，戈道川通過(guò)DFT建模和數(shù)值仿真，對(duì)含有多失效行為的核電廠供電系統(tǒng)進(jìn)行了可靠性分析，結(jié)果顯示相比于以往方法DFT方法更具優(yōu)勢(shì)［32］。2018年，吳鏘針對(duì)AP1000安全級(jí)儀控系統(tǒng)的PMS系統(tǒng)進(jìn)行了DFT建模，最終得到了安全技術(shù)儀控系統(tǒng)的失效模式和對(duì)系統(tǒng)失效影響較大的部件［33］。2019年，錢虹針對(duì)核反應(yīng)堆穩(wěn)壓器數(shù)字壓力控制裝置開(kāi)展了基于DFT的可靠性分析，給出了可靠性優(yōu)化程度相對(duì)較高的控制邏輯模塊［34］。2020年，戈道川對(duì)聚變裝置一體化除氚系統(tǒng)可靠性進(jìn)行了DFT建模分析，得到關(guān)鍵部件的重要度排序，并就系統(tǒng)可靠性優(yōu)化給出了見(jiàn)解［5］?？傮w而言，DFT在核能系統(tǒng)中應(yīng)用范圍和深度較為有限，主要限于關(guān)鍵安全系統(tǒng)以及儀表儀控系統(tǒng)的可靠性評(píng)估。

DFT在核能系統(tǒng)可靠性評(píng)估中所具有的優(yōu)勢(shì)是無(wú)法被忽視的，DFT集成動(dòng)態(tài)邏輯門可以對(duì)核能系統(tǒng)的時(shí)序失效行為進(jìn)行精確建模，分析的結(jié)果更加貼近實(shí)際。大量研究結(jié)果表明，DFT可以識(shí)別潛在的事故場(chǎng)景以及釋放核能系統(tǒng)被保守評(píng)估的風(fēng)險(xiǎn)，有助于提高核能系統(tǒng)的安全性和經(jīng)濟(jì)性。未來(lái)可利用DFT建模和分析技術(shù)對(duì)核能系統(tǒng)進(jìn)行可靠性分析，識(shí)別潛在隱含的設(shè)計(jì)薄弱環(huán)節(jié)，進(jìn)行有針對(duì)性的優(yōu)化設(shè)計(jì)，進(jìn)而提高核能系統(tǒng)整體安全性；此外，利用DFT還可以對(duì)核能系統(tǒng)的維修大綱進(jìn)行優(yōu)化，減緩由于保守風(fēng)險(xiǎn)導(dǎo)致過(guò)高的維修強(qiáng)度（減少維修頻次和持續(xù)時(shí)間等），提高經(jīng)濟(jì)性。目前核電廠概率安全研究趨勢(shì)正朝著對(duì)真實(shí)系統(tǒng)的失效行為進(jìn)行精確建模分析（即最佳估算）的方向發(fā)展，雖然現(xiàn)在DFT在核能系統(tǒng)中的應(yīng)用并不充分，但其特性決定了其在核能系統(tǒng)可靠性精確評(píng)估與概率安全分析有著廣闊的應(yīng)用前景和較大的研究?jī)r(jià)值。受限于建模方法和分析技術(shù)，DFT的分析對(duì)象相對(duì)簡(jiǎn)單，規(guī)模較?。ㄏ抻谙到y(tǒng)級(jí)），未能針對(duì)核能系統(tǒng)的時(shí)序失效特點(diǎn)進(jìn)行深度DFT建模和分析，未能研究時(shí)序失效對(duì)整個(gè)核能系統(tǒng)事故風(fēng)險(xiǎn)的影響。當(dāng)前設(shè)備失效類型也僅限于時(shí)間相關(guān)失效，未能分析設(shè)備頻率型和概率型失效的疊加影響。此外，鑒于核能系統(tǒng)可靠性和風(fēng)險(xiǎn)模型規(guī)模較大，需要高效的求解算法，這些都為未來(lái)發(fā)展先進(jìn)核電廠DFT評(píng)價(jià)方法和技術(shù)提出了新的要求。

4 未來(lái)DFT在核能系統(tǒng)中的發(fā)展方向

綜上所述，由于核能系統(tǒng)規(guī)模較大、設(shè)備部件失效類型復(fù)雜，加之當(dāng)前DFT的建模方法和分析技術(shù)有所不足，導(dǎo)致了DFT在復(fù)雜核能系統(tǒng)可靠性評(píng)價(jià)應(yīng)用范圍較小的現(xiàn)狀。為了進(jìn)一步提升和拓展DFT計(jì)算效率和建模能力，同時(shí)結(jié)合當(dāng)前DFT在核能系統(tǒng)實(shí)際應(yīng)用中存在的主要問(wèn)題，本文提出了5個(gè)未來(lái)發(fā)展方向（如圖5所示）：

圖5 未來(lái)DFT在核能系統(tǒng)中的發(fā)展方向Fig.5 The future development direction of DFT in nuclear energy systems

（1）高效分析方法：為了保障運(yùn)行安全，核能系統(tǒng)需要對(duì)高風(fēng)險(xiǎn)的配置進(jìn)行快速評(píng)估和響應(yīng)，而核能系統(tǒng)結(jié)構(gòu)復(fù)雜且規(guī)模較大，這為大型DFT的求解效率提出了更高的要求。尤其是含有維修事件的DFT，目前分析方法主要依賴于馬爾科夫鏈模型法，對(duì)大系統(tǒng)的求解效率低；

（2）精確建模技術(shù)：核能系統(tǒng)普遍存在典型的共因失效，共因失效分析是傳統(tǒng)PSA分析的重要內(nèi)容，這些共因失效可能與系統(tǒng)時(shí)序失效耦合在一起，形成更為復(fù)雜的失效行為，如何在DFT中體現(xiàn)對(duì)共因失效的建模能力，尚需要發(fā)展更為精確的建模技術(shù)；

（3）綜合概率求解模型：當(dāng)前DFT概率求解模型的建立依賴于設(shè)備或部件的失效時(shí)間，核能系統(tǒng)廣泛存在頻率型和概率型的設(shè)備失效事件，其發(fā)生概率在時(shí)間尺度上是一個(gè)獨(dú)立的常量，如何對(duì)含有頻率型和概率型的時(shí)序失效事件（割序）進(jìn)行概率建模和求解，仍然是一個(gè)技術(shù)挑戰(zhàn)；

（4）安全系統(tǒng)成功準(zhǔn)則修訂：傳統(tǒng)核能系統(tǒng)PSA模型的建立，需要借助確定論分析技術(shù)給定安全系統(tǒng)的成功準(zhǔn)則，而在動(dòng)態(tài)事件樹(shù)和故障樹(shù)的核能系統(tǒng)風(fēng)險(xiǎn)模型中，時(shí)序失效行為必將影響安全系統(tǒng)的成功準(zhǔn)則，未來(lái)利用DFT分析核能系統(tǒng)的事故風(fēng)險(xiǎn)時(shí)，必然要對(duì)安全系統(tǒng)成功準(zhǔn)則進(jìn)行修訂，以便建立的風(fēng)險(xiǎn)模型與客觀實(shí)際一致；

（5）統(tǒng)一建模準(zhǔn)則或約定：為了減少人為建模的不確定性，需要更全面地梳理和分析核能系統(tǒng)的時(shí)序失效特性，建立時(shí)序失效場(chǎng)景與動(dòng)態(tài)邏輯門之間的映射關(guān)系，制定統(tǒng)一的核能系統(tǒng)DFT建模準(zhǔn)則或約定，盡量在統(tǒng)一的建模準(zhǔn)則或約定下，建立的DFT模型相差不多，以更好地推動(dòng)DFT在核能系統(tǒng)可靠性和PSA中的應(yīng)用。

截至目前，DFT在核能系統(tǒng)可靠性評(píng)估中的應(yīng)用范圍和水平都較低，本文期望可以為動(dòng)態(tài)故障樹(shù)方法在核能系統(tǒng)可靠性和概率風(fēng)險(xiǎn)分析中的深入應(yīng)用提供理論依據(jù)和實(shí)踐指導(dǎo)，并為進(jìn)一步提升核能系統(tǒng)的安全性和經(jīng)濟(jì)性提供有益的參考和建議。