基于ＰＲＡ方法風險評價系統(tǒng)的設計與研究

摘 要：針對動態(tài)系統(tǒng)安全性分析的需要，設計并實現(xiàn)了一個新的風險評價系統(tǒng)。該系統(tǒng)在PRA方法的基礎上，在風險評估過程中綜合運用多種動態(tài)系統(tǒng)的安全性建模和危險分析技術，能夠較好地適應動態(tài)系統(tǒng)風險評估的需求。

關鍵詞：概率風險評估; 動態(tài)系統(tǒng); 安全性分析

中圖分類號：TP302文獻標志碼：A

文章編號：1001-3695(2007)06-0091-03

0 引言

隨著科技的發(fā)展，現(xiàn)實系統(tǒng)變得越來越復雜，并表現(xiàn)出明顯的動態(tài)特性，系統(tǒng)安全狀態(tài)隨著時間及運行過程不斷變化。為了更加準確地描述系統(tǒng)運行的安全狀態(tài)，采取有效的措施維持系統(tǒng)安全運行，必須開展動態(tài)系統(tǒng)安全性分析。目前用于支持動態(tài)系統(tǒng)進行安全性分析的方法和技術主要有主邏輯框圖法（MLD）、事件序列圖法（ESD）、動態(tài)故障樹分析法（DFTA）、動態(tài)事件樹分析法（DETA）、危險與運行性分析法（HAZOP）、Petri網安全性建模和仿真方法等［1］。這些方法和技術具有各自的特點和應用范圍。對于復雜動態(tài)系統(tǒng)而言，單一地采用上述任一種方法或技術進行安全性分析，均無法有效地完成分析工作，需要將它們有機地結合起來進行綜合分析才能得到全面的分析和評價結論。PRA是多種安全性分析技術的綜合集成。它是一種全面的、結構化的、邏輯的分析方法，是對復雜系統(tǒng)進行風險評估的一種重要工具。應用PRA方法， 可以使系統(tǒng)設計人員對復雜系統(tǒng)的特性有全面深刻的了解，有助于找出系統(tǒng)的薄弱環(huán)節(jié)，提高系統(tǒng)的安全性；并可以定量地區(qū)分各種不同因素對風險影響的重要程度，為風險決策提供有價值的定量信息。

從20世紀60年代中期開始發(fā)展以來，PRA方法已在核電站、化工等復雜系統(tǒng)的定量風險評估中取得了廣泛應用。在航天領域，美國國家航天管理局（NASA）曾于20世紀80年代提出使用PRA方法對航天飛機的安全性進行定量評估， 但一直沒有受到重視。1986年“挑戰(zhàn)者”號出現(xiàn)事故以后， 美國國會及社會各界都對NASA 在航天系統(tǒng)的風險評估中只采用定性評估而沒有定量評估的做法提出了批評，促使NASA 轉變了對定量風險評估的認識， 重新開始重視PRA。PRA在歐洲空間局（ESA）也得到了廣泛應用，并形成了相應的標準。目前在國內，核電站、航天領域也已經開始采用PRA分析方法。

目前的PRA，在風險評估過程中所使用的安全性建模和危險分析技術不能夠很好地適應系統(tǒng)的動態(tài)特性。針對動態(tài)系統(tǒng)安全性分析的需要，本文設計并實現(xiàn)了一個新的風險評估系統(tǒng)。

1 PRA過程

從開始確定對系統(tǒng)進行概率風險評估到整個評估結束，PRA是一個復雜的系統(tǒng)工程；它涉及多種安全性建模和危險分析方法。一個完整的PRA分析過程由圖1所示［2］。

(1)目標確定與系統(tǒng)熟悉

在進行PRA之前，安全性分析人員首先應該熟悉所分析系統(tǒng)的設計、運行及環(huán)境，并定義安全性分析的目標、類型、范圍。由于分析人員對系統(tǒng)的熟悉程度將直接影響到以后風險模型的建立。這一步是整個安全性分析工作的基礎， 是至關重要的。

(2)確定初始事件

初始事件一般是一個對系統(tǒng)的擾動因素。每一個事故都是由初始事件引發(fā)的，通常使用MLD法確定初始事件。MLD是一種層次結構圖， 是用于搜索、分類初始事件的簡便方法。MLD上面的頂事件是被分析的系統(tǒng)頂級或系統(tǒng)單元的不期望發(fā)生的事件（事故或風險狀態(tài)）；下面各級事件是子系統(tǒng)或部件的功能失效。MLD的底層事件可作為導致頂事件發(fā)生的初始事件。

(3)事故序列建模

PRA是針對多個事故序列的分析。一個完整的事故序列通常由一個初始事件開始；初始事件需要系統(tǒng)或操作人員作出某種響應。隨后是一個或多個環(huán)節(jié)事件；環(huán)節(jié)事件是對初始事件成功與否的響應，或者是某種外部條件或現(xiàn)象的發(fā)生與否。最終是結果狀態(tài)的發(fā)生，即所期望的控制結果或不期望發(fā)生的事故。事故序列模型如圖2所示。

在事故序列建模過程中，事件序列圖和事件樹是兩種常用工具。針對一個初始事件，首先將其發(fā)展成為一個ESD。ESD實質上是一個流程圖，它能夠較詳細地記錄事故的發(fā)展過程；它的每一條路徑導致不同的結果狀態(tài)，也就是一個事故序列。但是ESD的格式不夠嚴格，結果不夠規(guī)范，不便于直接進行定量分析。因此在得到ESD后還需要將它轉換為具有較為嚴格數(shù)學基礎的ET。目前的PRA分析一般都是直接基于多個ET的事故序列集合。

(4)環(huán)節(jié)事件建模

通常使用故障樹對環(huán)節(jié)事件進行建模。故障樹分析法以不希望發(fā)生的，作為系統(tǒng)失效判據的一個事件作為頂事件，以圖形的方式表明系統(tǒng)是怎樣失效的。通過FT可以清楚地了解系統(tǒng)通過何種途徑失效，找出導致系統(tǒng)失效的基本事件。構造故障樹的過程是一個系統(tǒng)的、不斷詢問和回答問題“頂事件是如何發(fā)生”的演繹推理過程。故障樹通常用來建立事件的層次，為事件樹中的環(huán)節(jié)事件提供更多的細節(jié)以幫助量化。事件樹和故障樹通常一起使用， 表示從初始事件到結果狀態(tài)的系統(tǒng)響應。兩者結合使用比只使用其中一種能夠更加完全、精確、清晰地構造和記錄事故序列。

（5）數(shù)據收集與分析

數(shù)據收集與分析模塊跨越了多個模塊。這個模塊與許多其他模塊相互影響，貫穿于PRA分析過程的始終。該模塊的主要任務就是收集所有與PRA有關的數(shù)據信息，并對這些數(shù)據進行分析。其分析結果主要用于支持獲得基本事件的發(fā)生概率或概率分布；某一基本事件在其他基本事件發(fā)生的條件下的條件概率；兩個基本事件的聯(lián)合發(fā)生概率，以及所有其他與PRA有關的概率分布信息。基本事件既可以對應于組件的失效（可以用可靠性模型）也可以對應于人因錯誤，或簡單地對應于失效率。這一步對于PRA分析結果的可信性是非常重要的。

（6）結果分析

2 風險評價系統(tǒng)的設計與實現(xiàn)

2.1 系統(tǒng)結構

綜上所述，PRA實際上是對多種安全性分析技術的綜合運用，主要強調多種方法的綜合集成。本文提出的風險評估系統(tǒng)的設計思想，就是要以PRA分析的基本步驟為主線，以目前較為成熟的系統(tǒng)安全性建模與危險分析技術為基礎，同時加入動態(tài)系統(tǒng)安全性建模與危險分析技術，形成一個能夠對動態(tài)系統(tǒng)進行風險評估的系統(tǒng)［5，6］。其系統(tǒng)結構如圖3所示。 

該風險評估系統(tǒng)由人機交互總控程序、模型與方法支持、知識與數(shù)據支持三大模塊構成。

人機交互總控程序模塊控制整個風險評估過程。應用總控程序，以圖形化的方式編輯風險評估的分析流程；在不同的分析階段根據實際問題的需要選擇不同的分析工具進行分析。在每一步分析結束后，用戶可以查看分析結果，判斷是重新進行該步分析，還是轉入下一步分析的功能；最終形成一個完整的分析流程。

模型與方法支持模塊對風險評估分析過程中需要使用的各種系統(tǒng)安全性建模方法和危險分析方法進行有效的管理；對各種模型與方法同數(shù)據庫的接口進行定義和編輯，方便總控程序調用不同的模型與方法，能夠增加新的或刪除過時的模型和方法；對每一種模型或方法，能夠深入模型或方法內部，修改完善其處理實際問題的方式；對風險評估過程中的數(shù)據處理方法進行維護，以多種方式尤其是圖形化的方式輸出分析結果。便于使用者對分析結果的理解。其中重要度分析的結果還能夠為將來的動態(tài)系統(tǒng)風險監(jiān)控、維修決策提供支持。該模塊中有一些模型和方法以及數(shù)據處理方法是用虛線框起來的。本文認為這些方法是可以用于PRA分析過程的；但在目前的系統(tǒng)中，這些方法還沒有應用到風險評估過程中去。

知識與數(shù)據支持模塊對整個風險評估過程提供數(shù)據和知識支持。該模塊包括知識庫和數(shù)據庫兩大部分。總控程序在運行過程中，調用不同的模型進行分析、控制程序流程、輸出分析結果等一些操作都需要知識庫和數(shù)據庫的支持；各種被總控程序調用的系統(tǒng)安全性建模和危險分析技術在運行前的輸入數(shù)據、運行后的輸出結果也都需要存儲在模型庫和知識庫中。因此，該模塊具備對風險評估全過程所需要的以及產生的數(shù)據和知識進行有效的管理能力。

圖3 風險評價系統(tǒng)結構圖

2.2 系統(tǒng)特點

（1）PRA由于其分析步驟多、過程復雜，使其應用比較困難。該系統(tǒng)單獨設計了一個總控程序。它將系統(tǒng)的各個模塊整合為一個有機整體。這個總控程序不僅可以與用戶交互，根據用戶要求調用各種不同的系統(tǒng)安全性建模和危險分析技術，還具備對數(shù)據庫和知識庫控制的能力，能夠有效地對整個分析過程進行控制。同時總控程序中加入了反饋控制，當用戶對某一分析步驟的結果不滿意時，可以返回該步驟，重新進行分析，提高分析質量。

（2）該系統(tǒng)加入了許多能夠適應系統(tǒng)動態(tài)特征的安全性建模和危險分析技術。在初始事件分析階段除了主邏輯框圖法，還可以選擇使用反映系統(tǒng)動態(tài)特性的危險與運行分析方法；在建立事故序列階段，可以使用動態(tài)事件樹分析方法；在事故序列分析階段，除了故障樹方法，還可以使用動態(tài)故障樹方法。這些反映動態(tài)系統(tǒng)特性的安全性建模和危險分析方法的加入，從一定程度上增強了該系統(tǒng)對復雜動態(tài)系統(tǒng)的適用性，能夠更好地體現(xiàn)系統(tǒng)的動態(tài)特性。（3）該系統(tǒng)不僅各模塊之間具有較強的獨立性和擴展性，即使同一個模塊中的不同分析工具也是相互獨立的。這主要體現(xiàn)在模型與方法支持模塊上。該模塊的各種模型和方法是相互獨立的，彼此不直接發(fā)生聯(lián)系；當一種模型或方法需要使用另一種模型或方法的分析結果時，它們之間的數(shù)據存取是通過總控程序操作數(shù)據數(shù)據庫來完成的。各種模型或方法在總控程序的控制下可以單獨存取數(shù)據庫中的數(shù)據，但不能直接使用另一種模型或方法的分析結果。模型和方法的這種獨立性，避免了存在不同的數(shù)據接口，造成接口不統(tǒng)一這種情況的出現(xiàn)，便于對各種模型和方法的維護；同時也為加入新的模型或方法提供了方便，使系統(tǒng)具有較好的可擴展性。

3 結束語

在風險評價過程中，所需要獲得的核心信息是一系列的事故序列；只要知道這些事故序列的初始事件、環(huán)節(jié)事件、后果事件的發(fā)生概率，或它們的概率分布，就可以進行最基本的風險評估分析。當前許多系統(tǒng)安全性建模與分析工具都可以獲得這樣的信息，如事件序列圖、Petri網等工具都可以獲得一系列的事故序列。如果PRA能夠直接對這些工具的分析結果進行評估，將會大大擴展PRA的應用范圍。為PRA的進一步發(fā)展注入新的活力。與此同時，在風險評估過程中，也要思考如何更有效地使用動態(tài)事件樹、動態(tài)故障樹的分析結果，使得風險評估結果，能夠更好地反映系統(tǒng)的動態(tài)特征。

在軟件實現(xiàn)上，一些安全性建模與危險分析方法還不能直接被本系統(tǒng)所用。下一步要將更多的安全性建模與危險分析方法加入到系統(tǒng)中去；總控程序的開發(fā)需要進一步完善，使它能夠更加有效地控制整個風險評估過程；針對風險評估的四個基本步驟，在模型與方法支持模塊，可選擇的工具很多，如何將在同一步驟使用不同工具的分析結果進行融合，發(fā)揮各種工具的特長，也是需要深入考慮的一個問題。

PRA作為一種全面的、結構化的、邏輯的分析方法，能夠有效地確定和評估復雜技術系統(tǒng)中的危險，達到在合理的效用和費用下，改善系統(tǒng)的安全性和性能的目的，在歐美國家得到了廣泛的應用。但目前國內PRA的應用還不多。希望本文提出的設計思想，能夠促進PRA在國內的應用與研究。

本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。