核電廠數(shù)字儀控系統(tǒng)動態(tài)可靠性分析方法綜述

黃曉津,朱云龍,周樹橋，郭 超

(清華大學(xué)核能與新能源技術(shù)研究院,先進反應(yīng)堆工程與安全教育部重點實驗室,北京 100084)

0 引言

核電廠具有結(jié)構(gòu)復(fù)雜、放射性強的特點，其典型結(jié)構(gòu)具有兩個回路，運行著許多關(guān)鍵設(shè)備(如堆芯、蒸汽發(fā)生器、冷卻泵等)，一旦設(shè)備發(fā)生事故，將會對公共安全、周邊環(huán)境以及核能產(chǎn)業(yè)發(fā)展造成巨大的負(fù)面影響[1]。對核電廠關(guān)鍵設(shè)備進行狀態(tài)監(jiān)測和控制，是確保核電廠安全運行的有效方式。儀表與控制(instrument and control，I&C)系統(tǒng)(簡稱儀控系統(tǒng))是核電廠的神經(jīng)中樞，對確保核電廠的安全、穩(wěn)定、經(jīng)濟運行起著至關(guān)重要的作用。在早期核電廠設(shè)計中，狀態(tài)監(jiān)測和控制常使用基于模擬技術(shù)的儀控系統(tǒng)。其缺點是不夠靈活、交互性差、功能升級困難、維護成本高、部件易老化等。因此，自20世紀(jì)末以來，核電廠逐漸使用數(shù)字化儀表與控制系統(tǒng)(digital I&C systems，DCS)取代模擬儀控系統(tǒng)。因其具有諸多技術(shù)優(yōu)勢，目前新建核電廠均采用數(shù)字化儀控系統(tǒng)[2]。中國核電廠儀控系統(tǒng)的數(shù)字化進程起步較晚，但發(fā)展較為迅速。中國最早在田灣核電站和嶺澳二期核電站中使用儀控系統(tǒng)數(shù)字化技術(shù)[3-4]。10 MW高溫氣冷堆(high temperature gas-cooled reactor，HTR-10)全數(shù)字安全儀控系統(tǒng)應(yīng)用高可靠性工業(yè)計算機、智能I/O模塊，成為中國首個配備全數(shù)字化安全儀控系統(tǒng)的反應(yīng)堆[5]。隨著核電廠自動化和信息化水平的不斷提高，數(shù)字化儀控系統(tǒng)在其中起著越來越重要的作用。因此，如何優(yōu)化和完善其功能，已成為核電廠運行與控制的重要研究方向。

數(shù)字化儀控系統(tǒng)是一個包括硬件、軟件、固件的復(fù)雜系統(tǒng)，其功能實現(xiàn)和邏輯運算均通過軟件編程實現(xiàn)。通過在標(biāo)準(zhǔn)化的可編程硬件上執(zhí)行代碼，數(shù)字化儀控系統(tǒng)能夠?qū)崿F(xiàn)各種控制邏輯，并不斷迭代升級算法，從而靈活地實現(xiàn)核電廠運行控制。數(shù)字化儀控系統(tǒng)的運行通過收集核電廠的各種模擬和數(shù)字信號，并在進行邏輯運算和處理之后，將控制指令發(fā)送到現(xiàn)場執(zhí)行器，同時通過主控制室實現(xiàn)人機交互。典型的數(shù)字化儀控系統(tǒng)從下到上可以分為四個層次[6]。

①層次0：工藝系統(tǒng)接口層。該層由傳感器、執(zhí)行器及供電和功率放大部件等現(xiàn)場設(shè)備組成。

②層次1：自動控制和保護層。該層由反應(yīng)堆保護機柜、核島過程控制機柜、常規(guī)島過程控制機柜、專用系統(tǒng)控制機柜等組成。

③層次2：操作和管理信息層。該層由后備盤、緊急控制盤、操縱員站、工程師站等組成。

④層次3：廠級管理層。該層負(fù)責(zé)信息收集和傳輸，對整個核電廠進行非實時功能和信息的綜合處理。

相較于模擬儀控系統(tǒng)，數(shù)字化儀控系統(tǒng)的交互性、復(fù)雜性、非線性等特點，使得傳統(tǒng)的可靠性分析方法并不完全適用。模擬儀控系統(tǒng)相當(dāng)于一個硬編碼系統(tǒng)，通過硬接線的方式將繼電器、電阻、電容、電感等物理元器件連接成控制電路，從而實現(xiàn)各種控制功能。這種傳統(tǒng)的硬編碼系統(tǒng)在設(shè)計確定其功能和結(jié)構(gòu)后難以更改和升級，并且會隨著時間不斷老化，造成控制失效，甚至嚴(yán)重事故[7]。對于傳統(tǒng)的模擬儀控系統(tǒng)，核電廠常用的靜態(tài)分析方法包括失效模式與影響分析、故障樹/事件樹、馬爾科夫方法。失效模式與影響分析是一種依靠經(jīng)驗的分析方法，通過列出所需分析的部件及其功能、可能的故障原因、故障影響等信息，識別系統(tǒng)中的潛在失效隱患。但它無法詳細(xì)描述失效機制和故障結(jié)構(gòu)[8]。故障樹/事件樹分析是過去15年中廣泛用于核電廠概率安全分析的技術(shù)手段[9]。但由于事件序列需要人為設(shè)定，當(dāng)系統(tǒng)是動態(tài)不確定時，不同的分析可能導(dǎo)致不同的結(jié)果。馬爾科夫方法的困難在于：當(dāng)數(shù)字化儀控系統(tǒng)很復(fù)雜時，不能保證轉(zhuǎn)移矩陣的準(zhǔn)確性，并且復(fù)雜系統(tǒng)的轉(zhuǎn)移矩陣建立也較為困難。靜態(tài)分析方法的局限性主要體現(xiàn)在無法較好地描述系統(tǒng)的動態(tài)交互特性。這也就意味著，在數(shù)字化儀控系統(tǒng)可靠性分析中，需要應(yīng)用動態(tài)分析方法來克服靜態(tài)分析的局限性。

動態(tài)可靠性分析方法用于分析、描述系統(tǒng)的動態(tài)交互特性。目前，國內(nèi)外學(xué)者針對動態(tài)可靠性分析方法開展了大量的研究工作。本文將根據(jù)典型動態(tài)可靠性分析方法、基于仿真以及其他動態(tài)分析方法，梳理、總結(jié)近年來國內(nèi)外相關(guān)研究，為數(shù)字化儀控系統(tǒng)應(yīng)用動態(tài)可靠性分析方法提供參考。

1 典型動態(tài)可靠性分析方法

典型動態(tài)可靠性分析方法是典型靜態(tài)分析方法的動態(tài)應(yīng)用，起到改善其動態(tài)交互特性的作用。本節(jié)將說明動態(tài)失效模式與影響分析、動態(tài)故障/事件樹、動態(tài)流圖方法、馬爾科夫區(qū)間映射方法的原理及應(yīng)用。

1.1 動態(tài)失效模式與影響分析

失效模式與影響分析是一種自下向上的、用于識別系統(tǒng)故障模式及其對系統(tǒng)的影響或后果的方法。通過這種方法，可以根據(jù)故障后果的嚴(yán)重程度、發(fā)生的頻率以及檢測的難易程度對故障模式進行分類[10]。傳統(tǒng)的失效模式與影響分析以靜態(tài)分析為主，對分析人員的經(jīng)驗依賴較大。而在面對具有復(fù)雜控制邏輯和系統(tǒng)結(jié)構(gòu)的數(shù)字化儀控系統(tǒng)時，需要使用動態(tài)失效模式與影響分析考慮其固件、軟件、硬件之間的交互作用，以及控制系統(tǒng)與被控對象之間的動態(tài)交互。

靜態(tài)失效模式與影響分析通過分析員將系統(tǒng)分為多個分析層次。第一級粗略地分析整個系統(tǒng)，在后續(xù)的每個級別上都進行更精細(xì)的劃分，以提高分析分辨率。上一級的分析可以用于執(zhí)行下一級分析。分解將持續(xù)進行，直到可用信息無法支持更詳細(xì)的分析或不需要再進行更詳細(xì)的分析時停止。分析越詳細(xì)，就能了解更多系統(tǒng)可能發(fā)生的故障信息。但這同時也會增加分析成本。動態(tài)失效模式與影響分析的優(yōu)勢在于：能夠利用仿真技術(shù)，對數(shù)字化儀控系統(tǒng)的功能進行仿真，并由分析員動態(tài)插入、觀察、分析不同故障帶來的影響和后果，從而降低對分析員經(jīng)驗和核電廠運行數(shù)據(jù)的依賴[11]。目前，動態(tài)失效模式與影響分析已經(jīng)應(yīng)用于XDC800系列數(shù)字化儀控系統(tǒng)的實例分析研究。上海交通大學(xué)的李延凱已經(jīng)研究了帶硬件的分析工具包和不帶硬件的分析工具包，允許分析員在XDC800機柜上進行故障分析。

1.2 動態(tài)故障/事件樹

動態(tài)故障樹由Dugan J B于1991年提出，并應(yīng)用于計算機冗余系統(tǒng)的可靠性評估[12]。如今，動態(tài)故障樹已廣泛用于評估系統(tǒng)可靠性和核電廠安全。隨著計算機技術(shù)的發(fā)展以及性能的顯著提高，經(jīng)典故障樹方法得到長足發(fā)展。特別是當(dāng)動態(tài)故障樹獨立或與事件樹集成時[13]，可以提高核電廠的安全性[14]。與靜態(tài)故障樹相比，動態(tài)故障樹的優(yōu)點在于增加了動態(tài)邏輯門，例如優(yōu)先級與門、順序強制門、功能相關(guān)門、冷備份門、熱備份門等。這使得它能夠?qū)ο到y(tǒng)的順序故障行為進行建模，從而體現(xiàn)時間依賴特性。

在文獻[15]中，動態(tài)故障樹能夠以兩種方式對基于時間的模型進行建模。第一種方法是針對組件故障的概率(表示基本事件不可用)，引入時間相關(guān)模型。第二種方法是引入內(nèi)部事件矩陣。該矩陣定義打開或關(guān)閉故障樹的各個部分(代表系統(tǒng)的各個部分)。與Petri網(wǎng)或馬爾科夫鏈相比，動態(tài)故障樹的主要優(yōu)點在于：對正在進行概率安全分析的人員而言，它更容易理解并且不需要補充其他更多的知識儲備。動態(tài)故障樹的應(yīng)用可以評估與時間相關(guān)的風(fēng)險狀況，并在概率模型中優(yōu)化參數(shù)，從而最大程度地降低總體風(fēng)險。目前，動態(tài)故障樹已經(jīng)被應(yīng)用于核電廠設(shè)備冷卻水系統(tǒng)動態(tài)可靠性分析[16]。

動態(tài)事件樹在概率安全評估方法中受到廣泛關(guān)注。從原則上來看，動態(tài)事件樹與傳統(tǒng)的事件樹相似。其不同之處在于：傳統(tǒng)事件樹初始事件發(fā)生之后的系統(tǒng)響應(yīng)序列是由分析員預(yù)先定義的。在動態(tài)事件樹中，系統(tǒng)響應(yīng)的時間和序列是由系統(tǒng)演化的時間依賴模型，以及分析員確定的條件分支所確定的[17]。穩(wěn)壓器動態(tài)事件樹(部分)[18]如圖1所示。

圖1 穩(wěn)壓器動態(tài)事件樹(部分)

隨著主壓力的增加，當(dāng)?shù)竭_(dá)26 s的第一個壓力設(shè)定點時，噴霧應(yīng)有助于降低壓力，因此有了三個事件分支。它反映了系統(tǒng)的三個可能路徑：①噴霧器正常工作(閥門完全打開)；②噴霧器不正常工作(部分閥門打開)；③噴霧器不起作用(閥門卡住關(guān)閉)。假設(shè)噴霧閥門完全打開，則壓力繼續(xù)緩慢降低，直到157 s時的第二個壓力設(shè)定點。此時，蒸汽排放閥應(yīng)打開以釋放壓力。在這一點上，蒸汽排放閥的操作又有三種可能的結(jié)果：①正常操作(完全打開)；②卡住關(guān)閉；③部分打開。其分別構(gòu)成圖1中的場景1、場景2和場景3。每個分支的可能結(jié)果顯示在所附標(biāo)簽中，并且分支概率在括號中給出。

1.3 動態(tài)流圖法

動態(tài)流圖法是一種基于狀態(tài)和離散時間的有向圖。它表示系統(tǒng)的邏輯和動態(tài)行為，是根據(jù)系統(tǒng)和軟件參數(shù)之間的因果關(guān)系和時變關(guān)系的多狀態(tài)細(xì)節(jié)建立的動態(tài)網(wǎng)絡(luò)。動態(tài)流圖建模的主要元素是過程變量節(jié)點、條件節(jié)點、傳遞框、過渡框、因果關(guān)系邊和條件邊。目前，動態(tài)流圖法在核電廠中的應(yīng)用包括先進反應(yīng)堆、人員績效和團隊影響建模[19]、運行中的壓水堆數(shù)字化給水控制系統(tǒng)相類似的概率安全評估建模[20]。

對于一個儲氣系統(tǒng)及其相關(guān)的壓力控制系統(tǒng)，對應(yīng)的簡單數(shù)字化控制系統(tǒng)及其動態(tài)流圖模型如圖2所示[21]。

圖2 簡單數(shù)字化控制系統(tǒng)及其動態(tài)流圖模型

動態(tài)流圖法的分析執(zhí)行主要包括三個步驟：①建立安全分析的數(shù)字化控制系統(tǒng)模型，使其包含控制軟件和被控系統(tǒng)；②使用步驟①中構(gòu)建的模型，識別系統(tǒng)和過程中可能發(fā)生的故障模式；③根據(jù)動態(tài)流圖法分析的結(jié)果，通過集成測試驗證數(shù)字化儀控系統(tǒng)是否表現(xiàn)出動態(tài)流圖法所預(yù)測的行為，并對其進行校正。動態(tài)流圖法的主要優(yōu)勢之一是它依賴于時間的邏輯建模能力，為故障樹和失效模式與影響分析提供了多個狀態(tài)和時間相關(guān)的等效信息。

1.4 馬爾科夫區(qū)間映射方法

馬爾科夫區(qū)間映射方法是分析數(shù)字化儀控系統(tǒng)可靠性的有效方法。它考慮了系統(tǒng)各組件之間的相互作用以及與運行過程之間的影響，是一種時間依賴的方法。它結(jié)合了傳統(tǒng)離散狀態(tài)馬爾科夫方法和區(qū)間映射方法，表示失效事件之間可能出現(xiàn)的耦合情況。這些失效事件可能來源于兩種類型的交互：一種是數(shù)字化儀控系統(tǒng)與受控過程之間的相互作用，另一種是數(shù)字化儀控系統(tǒng)不同組成部分的相互作用[22]。對于儀控系統(tǒng)，馬爾科夫區(qū)間映射方法應(yīng)用流程如圖3所示[23]。

圖3 馬爾科夫區(qū)間映射方法應(yīng)用流程圖

區(qū)間映射方法能夠描述離散系統(tǒng)在離散時間和狀態(tài)空間下的線性和非線性系統(tǒng)動態(tài)特性。動態(tài)行為由一組微分或代數(shù)方程式描述。馬爾科夫方法通過系統(tǒng)狀態(tài)之間的轉(zhuǎn)移概率來描述系統(tǒng)的隨機演化。其中，狀態(tài)轉(zhuǎn)移可以用馬爾科夫有向圖表示。

旁路給水調(diào)節(jié)閥控制器的馬爾科夫有向圖如圖4所示[22]。馬爾科夫區(qū)間映射方法的輸入分為5個部分，分別是：①系統(tǒng)動力學(xué)模型(仿真器)；②在正常運行和故障條件下系統(tǒng)的控制律和控制邏輯；③通過失效模式與影響分析得到的離散系統(tǒng)狀態(tài)，以及系統(tǒng)動態(tài)特性和控制律；④每種需求的硬件/軟件/固件狀態(tài)轉(zhuǎn)換概率或故障概率；⑤模型時間序列。

圖4 旁路給水調(diào)節(jié)閥控制器的馬爾科夫有向圖

2 基于仿真的方法

基于仿真方法進行的動態(tài)可靠性分析可以分為兩種類型，即時間離散方法和時間連續(xù)方法。時間離散方法通常使用核電廠仿真技術(shù)建立數(shù)學(xué)和物理模型，并描述系統(tǒng)的響應(yīng)，以跟蹤系統(tǒng)在各個狀態(tài)分支下的動態(tài)演化結(jié)果；但是，系統(tǒng)僅在離散時間點分支。時間連續(xù)方法主要為連續(xù)事件樹方法。

2.1 時間離散方法

基于核電廠仿真技術(shù)的時間離散方法主要包括動態(tài)決策事件樹以及由此派生的方法，例如動態(tài)邏輯分析方法[24]、事故動態(tài)模擬器[25]、動態(tài)事件樹分析方法[26]。動態(tài)決策事件樹是事件樹的擴展。事件樹是水平構(gòu)建的樹狀結(jié)構(gòu)，以啟動事件建模為根，從根出發(fā)到端節(jié)點的每條路徑代表一個序列或場景，并產(chǎn)生相應(yīng)的結(jié)果。動態(tài)決策事件樹擴展了概率風(fēng)險評估的觀點，創(chuàng)新引入決策節(jié)點概念。在決策節(jié)點中，能夠采取行動以有效避免或減輕事件后果；同時，它根據(jù)一組分支規(guī)則進行增長，因此是動態(tài)的。樹結(jié)構(gòu)、分支概率、結(jié)果值和決策也都會被更新，它們能夠反映出物理網(wǎng)絡(luò)中的變化[27]。

動態(tài)決策事件樹主要由預(yù)測器、事件選擇器、漏洞評估、操作空間生成器、操作選擇器、樹存儲和樹更新構(gòu)成。動態(tài)決策事件樹的動態(tài)特性體現(xiàn)在三個方面：①系統(tǒng)的樹對于不同系統(tǒng)配置而言是不同的，并會隨著時間進行更新；②事件發(fā)生時的系統(tǒng)狀態(tài)由微分方程和代數(shù)方程描述，使用時域仿真構(gòu)造樹；③樹結(jié)構(gòu)的增長和更新過程根據(jù)算力大小持續(xù)進行。

2.2 時間連續(xù)方法

連續(xù)事件樹方法是最早提出的時間連續(xù)方法[28-29]。它能夠?qū)⑦^程、硬件、軟件、固件、人為交互導(dǎo)致的故障之間的可能依賴性通過一個積分方程統(tǒng)一表示。

(1)

(2)

(3)

(4)

上述公式所得的較為復(fù)雜的積分方程，可以通過蒙特卡洛方法進行求解。

3 其他動態(tài)分析方法

除上述方法外，研究人員還提出了一些其他動態(tài)分析方法，例如GO-FLOW[30]、擴展事件序列圖(event sequence diagram,ESD)[31]、Petri網(wǎng)[32]等。

3.1 GO-FLOW方法

GO-FLOW方法采用一組標(biāo)準(zhǔn)化的運算符來描述GO-FLOW過程中物理設(shè)備的邏輯操作、交互和組合，以此評估系統(tǒng)的可靠性/可用性。通過將輸入數(shù)據(jù)提供給操作員，由操作員給出組件操作的特定概率。為了對給定系統(tǒng)進行建模，操作員需要選擇輸入輸出的相互作用，以生成GO-FLOW圖表。該圖表表示組件/子系統(tǒng)/系統(tǒng)的工程功能。GO-FLOW方法適用于具有復(fù)雜系統(tǒng)操作序列或系統(tǒng)狀態(tài)隨時間變化的系統(tǒng)。因此，GO-FLOW可以處理定期任務(wù)問題或與時間相關(guān)的不可用性分析。它具備以下特點。①GO-FLOW圖表對應(yīng)于系統(tǒng)的物理分布，易于構(gòu)建和驗證。；②GO-FLOW圖表的修改和更新較易完成；③GO-FLOW包含所有可能的系統(tǒng)運行狀態(tài)。

在文獻[33]中，采用GO-FLOW對AP1000自動降壓系統(tǒng)進行可靠性分析。AP1000自動降壓系統(tǒng)由四階段減壓閥構(gòu)成。四階段自動降壓系統(tǒng)的示意圖模型如圖5所示。其中，每一級自動降壓系統(tǒng)是互鎖的，由第一級先啟動，直到前一階段被激活才能啟動下一級。自動降壓系統(tǒng)的1～3級分為兩組，每組都有一個連接至穩(wěn)壓器頂端的公共入口和一個通向冷卻水儲存箱的噴頭公共排放管。由于有兩個冗余的并行路徑，因此在啟動自動降壓系統(tǒng)時不會發(fā)生單一故障。

以在結(jié)冰條件下飛行的飛機為例，該動態(tài)情況下構(gòu)建的事件序列圖如圖6所示[31]。

圖6 結(jié)冰條件下飛行的飛機事件序列圖

通過定義的14種不同類型的GO-FLOW運算符，AP1000自動減壓系統(tǒng)的GO-FLOW圖表能實現(xiàn)如下功能：①對各階段執(zhí)行的任務(wù)問題進行分析；②老化和維護的影響；③識別最小割集，模型參數(shù)學(xué)習(xí)；④通過參數(shù)模型分析共因故障；⑤不確定性分析；⑥敏感度分析。

3.2 擴展事件序列圖

事件序列圖能夠幫助操作員在事故演變過程中監(jiān)測事件進程。在核工業(yè)領(lǐng)域中,該方法也被用作事件樹構(gòu)建的定性輔助工具來識別可能的事故場景。擴展的事件序列圖框架可以促進動態(tài)方案的建模和動態(tài)方法的利用，有助于識別和構(gòu)建按時間順序排列的事件序列，并能夠以有限的方式處理過程變量的影響。其與流程圖相似，較為容易被理解。擴展的事件序列圖由六元組{E，C，G，P，CB，DR}構(gòu)成，表示事件、條件、門、過程參數(shù)集、約束/邊界、依賴規(guī)則。

事件序列圖框架提供了一種在概率風(fēng)險建模分析中的獲取大多數(shù)復(fù)雜動態(tài)現(xiàn)象的簡單方法。尤其是對于擴展事件序列圖的框架，能夠捕獲更多動態(tài)現(xiàn)象，例如時間條件、物理條件、競爭事件、同步及并發(fā)獨立過程、互斥過程、循環(huán)場景等。因此，事件序列圖框架促進了動態(tài)方法的實際使用。這使得它們在工業(yè)應(yīng)用中更為普遍適用。

3.3 Petri網(wǎng)

Petri網(wǎng)由Carl Adam Petri于20世紀(jì)60年代提出。該模型是基于系統(tǒng)各部分異步和并發(fā)操作，各部分之間的關(guān)系可以用圖形或網(wǎng)絡(luò)表示[34]。Petri網(wǎng)由兩個部件組成，庫所P和變遷T。定義庫所與變遷之間的關(guān)系是由輸入函數(shù)I和輸出函數(shù)O來實現(xiàn)。這四個部分構(gòu)成了Petri網(wǎng)的結(jié)構(gòu)，C=(P,T,I,O)。但上述表示并不直觀，因此用空心圓表示庫所、長條表示變遷、有向弧表示輸入輸出關(guān)系、托肯表示信息或資源，以構(gòu)成Petri網(wǎng)。Petri網(wǎng)組成元素如圖7所示。它是一種圖形與數(shù)學(xué)相結(jié)合的建模工具，能夠描述系統(tǒng)的事件、條件以及二者的關(guān)系。在系統(tǒng)中，某些條件的成立會導(dǎo)致某些事件的發(fā)生。這些事件的發(fā)生又會更改系統(tǒng)的狀態(tài)，從而導(dǎo)致某些以前的條件停止。因此，Petri網(wǎng)是動態(tài)的。

圖7 Petri網(wǎng)組成元素

目前，清華大學(xué)的曹梟虓已經(jīng)將Petri網(wǎng)應(yīng)用于反應(yīng)堆保護系統(tǒng)(reactor protection system,RPS)動態(tài)可靠性的建模與分析。反應(yīng)堆保護系統(tǒng)Petri網(wǎng)模型如圖8所示。

圖8 反應(yīng)堆保護系統(tǒng)Petri網(wǎng)模型示意圖

反應(yīng)堆保護系統(tǒng)Petri網(wǎng)模型的優(yōu)勢體現(xiàn)在三個方面：①能夠描述系統(tǒng)狀態(tài)的轉(zhuǎn)移過程，評估檢測和維修等活動的系統(tǒng)可靠性影響；②適用于各種類型的分布；③能夠準(zhǔn)確描述定期試驗是在確定周期開展的、確定的檢測活動[35]。

4 結(jié)論

通過核電廠可靠性分析可以發(fā)現(xiàn)設(shè)計中的薄弱環(huán)節(jié)，確保核電廠的安全運行。目前，由于數(shù)字化儀控系統(tǒng)在核電廠中的廣泛應(yīng)用，其動態(tài)可靠性已成為核電廠可靠性研究的關(guān)鍵領(lǐng)域。本文首先介紹了核電廠儀控系統(tǒng)從模擬到數(shù)字的發(fā)展過程，并比較了兩者之間的異同。根據(jù)數(shù)字化儀控系統(tǒng)和模擬儀控系統(tǒng)的動態(tài)特性之間的差異，現(xiàn)在通常使用動態(tài)分析方法代替靜態(tài)分析方法進行可靠性分析。

本文總結(jié)的動態(tài)可靠性分析方法包括典型動態(tài)可靠性分析方法、基于仿真的方法、其他動態(tài)分析方法。典型動態(tài)可靠性分析方法包含對靜態(tài)分析方法的動態(tài)改進。其中：動態(tài)失效模式與影響分析能夠降低對分析員經(jīng)驗的依賴；動態(tài)故障/事件樹能夠顯示出對時間的依賴性，動態(tài)流圖法能夠表示系統(tǒng)的邏輯和動態(tài)行為；馬爾科夫區(qū)間映射方法可以表示出儀控系統(tǒng)與受控對象以及內(nèi)部各組件之間的耦合情況。基于仿真的方法分為時間離散和時間連續(xù)兩種。其中：動態(tài)決策事件樹可以按分支規(guī)則進行增長；連續(xù)事件樹使用蒙特卡羅方法求解積分方程。其他動態(tài)分析方法(包括GO-FLOW)可以描述物理設(shè)備的邏輯操作、交互和組合，擴展事件序列圖能幫助操作員監(jiān)測事件全進程，Petri網(wǎng)可以對系統(tǒng)狀態(tài)轉(zhuǎn)移進行建模計算分析。

這些方法構(gòu)成了當(dāng)前動態(tài)可靠性分析方法的主要技術(shù)框架。本文所綜述的技術(shù)能夠為核電廠數(shù)字化儀控系統(tǒng)動態(tài)可靠性分析的進一步研究提供理論基礎(chǔ)和參考。