基于多層流模型和故障樹的可靠性分析方法研究

陳 強，楊 明

（哈爾濱工程大學 核安全與仿真技術國防重點學科實驗室，黑龍江 哈爾濱 150001）

多層流模型（MFM）是一種以目標為導向的系統功能性建模方法，相對于故障樹分析法，MFM 更適合系統的建模，尤其是復雜系統［1-2］；MFM 能更清晰地描述復雜系統工藝過程，高度抽象化、層次化地組織系統結構知識。MFM 模型易理解、易建立、易維護，若能實現MFM 向故障樹的自動轉換，可大幅減少建立及維護復雜系統故障樹的工作量，且不易遺漏導致系統失效的重要事件；MFM 作為一種功能模型，即使在缺乏詳細系統資料的情況下，也可有效描述系統設計的意圖，且隨系統資料的完善可拓展系統的多層流模型。MFM 在核電站可靠性評價［3-4］、故障診斷［5］、警報分析［6］、危險與可操作性分析［7］等方面均有應用，因此可開發MFM 的統一建模平臺用于各種工程需求。本文在基于MFM的系統可靠性定量分析方法［3］的基礎上，研究MFM 向故障樹轉換的方法，以實現基于MFM 的系統可靠性定性分析。

1 多層流模型建模

1.1 安全注入系統

簡化后的安全注入系統（SIS）原理圖如圖1所示。SIS由高壓、低壓2 條注入回路組成，主要包括高壓安注泵、低壓安注泵、管道、換料水存儲箱、安全殼地坑、電動隔離閥等設備［3］。高壓注入回路包括高壓安注泵、向一回路冷管段和熱管段的注入管道，以及高壓安注泵從換料水存儲箱的吸水管道和電動隔離閥。低壓注入回路包括低壓安注泵、向一回路冷管段和熱管段的注入管道，以及低壓安注泵與換料水存儲箱和安全殼地坑的連接管道和電動隔離閥。

圖1 簡化的安全注入系統原理圖Fig.1 Simplified structure of SIS

高壓安注回路的水源是換料水箱，低壓安注泵一般作為高壓安注泵的增壓泵，若低壓安注增壓失效，高壓安注泵則直接從換料水箱吸水。在發生小破口失水事故或主蒸汽管道破裂時，穩壓器水位和壓力一旦低于規定值，高壓安注系統啟動。

低壓安注回路的水源也是換料水箱，但在換料水箱水位低到一定程度時，安全殼地坑將作為其水源。在發生中破口或大破口失水事故時，穩壓器的水位和壓力迅速降低，一旦低于低壓安注壓力整定值，低壓安注系統啟動。

1.2 安全注入系統的多層流模型［3］

建立SIS的多層流模型如圖2所示。多層流模型中各目標及子目標的含義列于表1，表2列出多層流模型中的單元功能描述及其各功能對應的物理部件描述。

表1 安全注入系統MFM 目標描述Table 1 Goal description of SIS MFM

圖2 安全注入系統多層流模型Fig.2 MFM of safety injection system

表2 安全注入系統MFM 功能描述及對應物理部件Table 2 Function description of SIS MFM and corresponding physical component

續表2

2 多層流模型轉故障樹規則及實現

MFM 和故障樹以不同的形式描述系統知識，在相同的系統邊界條件和基本假設下，兩者在表達系統可靠性邏輯關系上是等效的。以SIS的MFM 為例說明MFM 向故障樹轉化的過程和規則。

MFM 目標G0～G14 轉化為故障樹的事件，事件的描述分別為目標G0～G14未實現。若目標由功能直接實現，則故障樹中目標未實現事件的輸入事件為功能失效，如功能G10是由功能so6、tr11、si8共同作用實現的，對應于故障樹中事件G10 未實現是由于功能so6、tr11、si8失效導致。其中，主目標對應頂事件，中間目標對應中間事件，基本目標對應底事件或未展開事件。頂事件沒有輸出，底事件或未展開事件沒有輸入，中間事件和底事件的輸出為上一層次目標或功能的失效原因。

因為MFM 和故障樹分別從成功和失效的角度對系統功能進行描述，所以MFM 中與門（或門）對應故障樹中或門（與門）。若目標由下游子目標實現，則故障樹中目標未實現事件的輸入為各子目標未實現，輸出是上一層次目標未實現的故障原因。如目標G0下的或門對應故障樹中的與門，G0未實現事件的輸入為子目標G1和G2未實現，G0未實現作為頂事件沒有輸出。

功能（表1中的so1、tr1、bal1等）轉化成故障樹中的中間事件，描述為相應的功能故障，中間事件下加一個或門，其輸入為功能的部件故障事件和系統故障事件。部件故障事件只考慮功能的本質故障。系統故障事件下加一個或門，其輸入事件分別是該功能的上游功能故障和支持功能故障事件。若功能存在多個上游功能，上游功能是與（或）關系時，則在上游功能故障事件下添加或門（與門），并依次為或門（與門）添加上游功能故障原因。如功能tr4對應故障樹中的中間事件tr4失效，其下面連接一個或門，或門的輸入為事件tr4本質故障（電動閥A 失效）和上游功能bal2失效以及目標G14未實現。

總之，根據MFM 中的總目標對應于故障樹中的頂事件，然后依據上述規則將MFM 中的目標和功能單元轉換成故障樹中的中間事件和基本事件，并根據多層流模型中各目標和功能的連接關系（流結構）確定事件的輸入輸出關系和邏輯門的類型。編寫程序將MFM 轉換成可靠性商業軟件Isograph Reliability Workbench 11.0可識別的XML 格式的故障樹文件，利用Isograph Reliability Workbench 11.0的二次開發功能編寫接口程序實現MFM 到故障樹的自動生成。最終在Isograph Reliability Workbench 11.0自動生成的故障樹示于圖3。

3 算例分析

通過RWB 的分析，得到8 個一階最小割集，49個二階最小割集和62個三階最小割集。表3列出全部的一階最小割集和部分二階和三階最小割集。多層流模型是功能模型，功能失效最終要反映到相應的物理部件上，對全部一階最小割集及部分典型的二、三階最小割集進行分析。

對8個一階最小割集分析可看出，這些失效集中在380V 低壓交流應急電源系統（為各電動閥供電）和6.6kV 交流應急配電系統（為高壓安注泵和低壓安注泵供電）兩個供電系統，以及各電動閥的控制單元、高壓安注泵和低壓安注泵的控制單元上。上述各設備單獨失效就會引起系統失效，所以安全注入系統的兩個電源系統及電動閥和泵的控制系統是影響系統可靠性的關鍵因素。

圖3 多層流模型轉化的故障樹Fig.3 Fault tree transformed from MFM

表3 最小割集Table 3 Minimal cut sets

二階最小割集中，Tr 1和Tr 7同時失效則無法向一回路注入冷卻劑；So3和So2相當于系統失去水源；So1和So4同時失效時，高壓安注泵和低壓安注泵均不能向一回路注入冷卻劑；So4和Tr 1同時失效將導致高壓安注和低壓安注失效。最終均將導致無法完成向一回路提供足量冷卻劑的主目標。三階最小割集中，Tr 4、Tr 5和Tr 6同時失效時，換料水箱和安全殼地坑中的水無法輸送到高壓安注泵和低壓安注泵中，無法向一回路注入冷卻劑；Tr 4和Tr 5同時失效將導致水源只能來自安全殼地坑，此時So3也失效，相當于系統失去水源；Tr 5和So3失效則水源只能來自換料水箱，而Tr 2失效則導致換料水箱中的水無法注入一回路。最終均將導致無法完成向一回路提供足量冷卻劑的主目標。

Tr5和Si3 在最小割集中出現次數最高，均為21次。Tr5 或Si3 失效均將導致低壓安注泵不能利用來自換料水箱的水，也不能在高壓安注泵工作時充當增壓泵的功能。盡管Tr5或Si3失效，系統不會失效，但會使安注系統的可靠性整體降低較多，所以Tr5和Si3對應的物理部件的可靠性也是需要關注的重點。

4 結論

通過分析可看出，MFM 轉換為故障樹的邏輯是正確的。多層流模型清晰易懂，易于修改，適合復雜系統建模。同一系統的多層流模型的規模遠小于故障樹模型，多層流模型向故障樹轉化算法提供了一種快速建造故障樹的方法，作為文獻［3］中基于多層流可靠性定量分析算法的補充實現了基于多層流模型的可靠性定性分析方法，具有良好的應用價值。

［1］ LIND M，YOSHIKAWA H，J?RGENSEN S B，et al.Multilevel flow modeling of Monju Nuclear Power Plant［J］.Nuclear Safety and Simulation，2011，2（3）：274-284.

［2］ LIU J，YOSHIKAWA H，ZHOU Y.Application of multilevel flow modeling to describe complex processes in a nuclear fuel cycle［C］∥Proceedings of Cognitive Systems Engineering in Process Control（CSEPC2004）.Sendai，Japan：［s.n.］，2004：114-120.

［3］ 楊明，張志儉.基于多層流模型的核電廠可靠性分析方法研究［J］.核動力工程，2011，32（4）：72-76.YANG Ming，ZHANG Zhijian.Study on quantitative reliability analysis by multilevel flow models for nuclear power plant［J］.Nuclear Power Engineering，2011，32（4）：72-76（in Chinese）.

［4］ 陳萬青.基于MFM 的核電廠DCS可靠性分析方法研究［D］.哈爾濱：哈爾濱工程大學，2013.

［5］ 哈爾濱工程大學.船用核動力裝置基于多層流模型的不確定性故障診斷方法：中國，CN201110127128.0［P］.2011-12-28.

［6］ 張健德，楊明，張志儉.基于多層流模型的核電站警報分析系統的開發［J］.核科學與工程，2008，28（1）：66-74.ZHANG Jiande，YANG Ming，ZHANG Zhijian.Development of an alarm analysis system based on multi-level flow models for nuclear power plant［J］.Chinese Journal of Nuclear Science and Engineering，2008，28（1）：66-74（in Chinese）.

［7］ ROSSING N L，LIND M，JENSEN N，et al.A goal based methodology for hazop analysis［J］.International Journal of Nuclear Safety and Simulation，2010，1（2）：134-142.