基于PLOAS方法的安全性評估及其發展歷程

李 彪，郭 明，吳 飛

（海軍工程大學核科學技術學院，武漢 430030）

高后果系統的安全性評估是當前安全分析與評估領域的難點與熱點問題之一。常見的高后果系統有：核武器、核電廠、化工廠、發電廠等，這些系統儲存和傳輸大量的能量，往往由于意外或人為的惡意破壞而遭受災難性的損失，因此，需要設計特殊的安全系統，以使其事故發生的概率降至最低。對高后果系統的安全性評估，由于無法開展系統級的安全試驗，采用常規的手段難以獲得較高的預測性和可信度。

針對上述難題，美國桑迪亞國家實驗室以核武器起爆安全為研究對象，提出了3個安全原則：隔離、非操作性和互斥性［1，2］，建立了喪失確定性安全概率（Probability of loss of assured safe?ty，PLOAS）模型，并逐步應用于核武器安全性的評估。PLOAS為高后果系統安全性評估提供了一套全新的思路，隨著PLOAS相關理論的發展，PLOAS模型開始在核反應堆、化工廠等多個高后果系統的安全性評估中應用。本文從基本原理、發展歷程和發展趨勢等方面對PLOAS相關理論進行總結，為高后果系統安全性評估提供參考。

1 PLOAS方法概述

PLOAS方法是在核武器起爆安全性評估的基礎上發展起來的，同時對其他高后果系統的安全設計有著深刻的影響。本節主要簡介高后果系統主要原則，并通過一個燃氣爐的安全控制系統實例，給出PLOAS的基本原理。

1.1 可預測的安全設計原則

為了強調高后果系統可預測的安全性評估，文獻［1］和文獻［2］提出了隔離、非操作性和互斥性3項安全設計原則。隔離，即通過堅固的物理屏障將內部運行系統和外部環境進行隔離，使得內部控制系統不會暴露在異常環境中，同時免受虛假能量或信息的無意激活。在正常操作環境和低至中等強度的異常環境中隔離裝置能確保系統的安全。但是，在高強度環境中，如在高速撞擊或推進劑火災情況下，屏障最終會失效，此時需要應用非操作性原則，即在內部系統中，通過一個或多個脆弱元件在隔離屏障失效之前永久故障或失效，來阻止災難性后果的發生，因為脆弱元件的永久失效會使控制系統失效，從而關閉內部系統的運行。這些脆弱元件被設計成依賴于可預測的化學或物理性質，對異常環境作出被動響應（即不需要任何操作就可以自動永久失效），因此更具可預測性［3］。實際上，脆弱元件可能需要多個弱點來覆蓋可能威脅隔離的各種環境（如熱環境、擠壓環境等）?；コ庑栽瓌t即實現隔離屏障內外正常的通信能可靠的傳遞，而意外生成的通信無法兼容，從而確保無論是正常環境還是異常環境，正常的通信信息不可復制。不同的高后果系統，通信具有不同的特點，如核武器系統中，通信僅在精心控制的作戰行動下傳遞一次，在某些高后果系統，通信可能不是人為控制，而是由其他信息（如溫度等）進行控制。

1.2 燃氣爐安全控制系統設計示例

為直觀地介紹PLOAS的基本原理，以燃氣爐為研究實例，假設燃氣爐為高后果系統，異常環境主要是熱環境和電磁環境（如火災和雷電）。為簡單起見，我們主要目的是想防止控制閥的意外激活，其他情況，如控制系統上游的輸氣管道破裂將不在此討論。按照隔離、非操作性和互斥性原則，設計可預測的安全控制系統如圖1所示。首先，通過金屬等加固殼體將燃氣閥與外部環境隔離，從而屏蔽雷電等常見的異常環境。外部驅動信號通過一個通道與內部燃氣閥連接，這個通道是隔離屏障的組成部分，稱之為強鏈接（StrongLink，SL）。然后，在隔離屏障內部的燃氣管線上設計一個脆弱元件，當外部出現強烈的熱環境（如火災），在熱環境突破隔離屏障之前，脆弱元件已經永久失效，從而阻止系統的運行，避免高后果事故的發生，這個脆弱元件部分，稱之為弱鏈接（WeakLink，WL）。遵循非操作性原則，脆弱元件的設計目標需要根據物理特性設計成被動的、直接的和不可逆的失效，比如本案例可以通過在燃氣管道內插入某種易熔線來實現。最后是邏輯控制系統的設計，該系統的目的是根據溫度傳感器傳回的溫度和溫度調節器的設置，控制強鏈接，并通過強鏈接給燃氣閥發送驅動信號。邏輯系統需要通過獨特碼（UN碼）啟動強鏈接，驅動信號才能通過啟動的強鏈接傳送至燃氣閥。UN碼由一系列的長脈沖和短脈沖組成，每一個脈沖單獨發送，選擇脈沖的總數和模式能實現互斥性原則［4］。強鏈接只有收到完整正確的脈沖序列后，才會處于啟用狀態，否則觸動工程鎖定響應，確保安全狀態。

圖1 燃氣爐安全控制系統示意圖Fig.1 Safe design for gas furnace control system

1.3 PLOAS基本原理

上述安全系統的核心是強鏈接和弱鏈接。在這種設計中，SL系統是非常健壯的，其目的是允許系統在并且僅在預定條件下運行（例如通過發送UN碼）。相反，WL系統在事故條件下（如發生火災）以可預測和不可逆的方式失效，并在SL系統意外運行之前使整個系統不工作。圖2給出了具有一個WL和一個SL的WL/SL系統的邏輯圖。在正常環境下，系統非運行狀態如圖2A所示，WL關閉，SL打開，運行狀態如圖2B所示，SL接收UN碼后啟動（即打開），驅動信號通過SL控制系統；在異常環境下，WL在SL故障之前失效，因此無論是系統處于非運行狀態（如圖2C）還是運行狀態（如圖2D），WL的失效均使得驅動信號無法通過，整個系統停止運行。但是，由于系統制造工藝或其他隨機因素，在異常環境下，外部載荷突破隔離屏障，使得SL失效前而WL尚未失效，從而使整個系統處于不安全狀態，出現這種狀態的概率稱之為PLOAS。喪失確定性安全并非指系統出現安全事故，而是指確保系統安全的WL沒有按要求失效，從而導致系統處于不安全的狀態。因此，PLOAS對系統安全性的評估更為保守。另外，由于隔離屏障、SL和WL的失效分布可以通過試驗驗證，因此，PLOAS具有較高的預測性和可信度。

圖2 一個SL和一個WL的WL/SL系統邏輯示意圖Fig.2 Logic diagram of WL/SL system with one SL and one WL

2 PLOAS發展歷程

在PLOAS方法中，系統所處異常環境下載荷的類型、載荷隨時間變化的規律及分布、不同載荷下SL和WL的失效分布是PLOAS評估的基礎數據。

在美國能源部的資助下，PLOAS相關理論經過近20年的持續研究，桑迪亞國家實驗室先后建立了溫度相關性和時間相關性的多SLs和WLs系統模型（其中時間相關性系統通用性更強），采用梯形法、辛普森法、蒙特卡羅抽樣法等多種方法開展數值計算，并開發了CPLOAS軟件平臺支持上述方法［5］，同時建立一套方法對數學模型和軟件計算進行校核，確保模型和數值計算的準確性。目前，該方法體系得到美國軍方的認可，為美軍核武器安全性評估發揮了很大的作用。具體而言，其發展歷程包括以下方面。

2.1 溫度相關系統中的PLOAS模型

2006年J.C.Helton等人針對溫度相關系統，采用傳統的概率統計方法，首次建立系統的PLOAS模型［6，7］。在該系統中，假設WL和SL隨著溫度變化的失效概率是已知的，實際上，這種分布概論是可以通過試驗回歸分析獲得。在火災異常環境中，WL和SL的溫度是隨時間變化的函數。論文針對以下幾種WL/SL配置建立數學模型：

（1）一個WL，一個SL；

（2）多個WLs，多個SLs，任何SL在任何WL之前失效，都會導致整個安全系統失效；

我像一匹健碩的駿馬，馳騁在珠三角這片廣袤的熱土上。北方已是清涼的秋天了，南中國仍沉浸在熱浪滔天中。陽光潑下來，硫酸似的灼人，滾滾車輪之后，黃塵囂囂，公交車里的汗臭和濁味，像螞蟥一樣爬得滿身都是。我要和金融危機拼一場，不惜犧牲我的青春和汗水。我每天把自己像水餃似的扔進一輛輛公交車里，又像水餃似的從一輛輛公交車里倒出來。為了拉訂單，為了建立業務關系，跑遍了東莞的企石，寮步，石龍，跑遍了寶安的西鄉，松崗，還跑到廣州的鐘村等地，極其耐心地和客戶交談，宣傳景花廠的信譽，員工的素質，拋光的質量。我的優勢是拋光技術過得硬，面對客戶侃侃而談，不管什么異型產品，我都能表達出解決的方法。

（3）多個WLs，多個SLs，所有SL在任何WL之前失效，會導致整個安全系統失效；

（4）多個WLs，多個SLs以及SL具有多個子鏈接（任何子鏈接都能導致其關聯的SL的失效），所有SL在任何WL之前失效，會導致整個安全系統失效。

PLOAS來自WL/SL系統中隨時間變化的溫度以及該系統各個組件失效時的溫度的變化性（即不確定性），其表達形式為一個多維積分，文獻［8］研究了具體的數值計算方案，并給出了計算機模型的校核方法［8］。文獻［9］討論了鏈路達到失效溫度的時間與實際失效時間之間存在與溫度相關的延遲系統，建立了存在延遲系統情況下PLOAS模型［9］。

2.2 時間相關系統中的PLOAS模型

溫度相關系統主要適用于火災環境條件下的分析，顯然對于其他異常環境，該模型無法適用。文獻［10］針對該局限性，建立時間相關系統的PLOAS模型。在該系統中，將WL和SL的屬性值（根據異常環境可以是溫度、沖擊、壓力等）隨時間的變化描述為一簇隨機函數，具體可以表達為一個中心函數乘以隨機變量，同理，WL和SL的失效屬性值也是一簇隨時間變化的隨機函數。由于屬性值沒有明確的定義，顯然該模型具有更強的適用性。文獻［10］建立時間相關系統的PLOAS數學模型，給出了數值計算方法，文獻［11］建立了系統中存在隨機不確定性延遲失效鏈路情況下的PLOAS模型［10，11］。

2.3 PLOAS中的認知不確定性研究

對于復雜系統的設計與分析，分離隨機不確定性和認知不確定性，并分開討論是十分重要的［12-14］。因為，隨機不確定性源于所研究系統行為的固有特性，是系統的行為屬性，可以統計和估計，無法消除；而認知不確定性源于人的認知能力的局限性，造成對某些參數的真實值缺乏了解，這些參數在特定分析的背景下往往是客觀的、固定的，它是由于人的知識缺乏而對系統固定參數值產生誤差，是可以消除的。在許多研究中［15-17］還討論了隨機不確定性和認知不確定性在復雜系統分析中的作用。核電廠的概率風險評估實現了隨機性不確定性和認知性不確定性的分離，有時被描述為“頻率概率”方法，因為使用頻率來描述核電廠發生始發事件時的隨機性不確定性事故，使用概率描述認知不確定性特征。文獻［10］針對PLOAS系統中認知不確定性的概念和表示方法，文獻［18］基于證據理論，建立了PLOAS中認知不確定性模型，并給出了數值計算方法［18］。

3 PLOAS發展趨勢

由于PLOAS對安全性的評估僅適用于特定設計的高后果系統的安全性評估，目前在公開報道中，僅有美軍核武器安全性評估得到成功的應用，但美國桑迪亞國家實驗室自2000年至今，從未停止對PLOAS基礎理論的研究。目前，關于PLOAS的研究主要有以下趨勢。

3.1 SL/WL系統認知不確定性的深化研究

為了獲得異常環境下SL、WL載荷分布和失效分布，需要通過試驗進行回歸分析，確定上述分布的相關參數。然而，即使采用大量的試驗樣本，也往往存在一定的誤差，這些誤差對PLO?AS評估的影響是不能忽略的，因此需要深化認知不確定性研究，包括認知不確定性表示方法、計算方法、靈敏度分析等。

3.2 和裕量與不確定性量化（Quantification of Margins and Uncertainties，QMU）理論的結合應用

3.3 PLOAS對高后果系統安全性設計的指導方法

由于保密等原因，PLOAS應用于實際裝備的安全性評估尚無公開資料，但PLOAS如何對高后果系統安全性設計提供指導也是目前研究的一個重點，文獻［22］針對溫度相關性的高后果系統，估計了SL和WL最小失效溫度的均值和方差，為關鍵部件的設計提供指導［22］。

3.4 PLOAS方法的推廣應用

PLOAS方法在核電廠等領域的推廣應用也是當前研究的重點之一。由于PLOAS理論是伴隨著可預測的安全設計方法而發展起來的，因此，PLOAS方法在核電廠等領域的應用，對于老一代核反應堆的安全系統難以直接應用，但對于新一代核反應堆安全系統的設計和安全性評估需要開展深入的研究，尤其是SL和WL的設計、異常環境下載荷變化及分布等，文獻［22］在該領域進行了初步的探討。

4 結論

對于核武器等高后果系統，由于嚴重事故幾乎無法試驗，因此對其災難性事故發生概率的評估十分困難，PLOAS為此類系統的安全性評估開辟了一條蹊徑，即在異常環境下，不去評估系統出現事故的概率，而是評估確保系統安全的相關措施失效的概率，顯然，后者評估結論更保守，由于確保系統安全的措施的失效分布容易試驗驗證，因此具有更高的預測性和可信度。

目前，PLOAS基礎理論有了較好的發展，溫度相關系統和時間相關系統中PLOAS數學模型、數值計算和模型校驗均有了較為成熟研究，PLOAS理論研究中，有關認知不確定性研究、與QMU的結合應用、PLOAS對高后果系統安全性設計的指導方法和PLOAS方法的推廣應用是當前的研究重點。