尚彥龍 陳力生 蔡 琦 趙新文

海軍工程大學(xué) 船舶與動力學(xué)院，湖北 武漢 430033

基于GO－FLOW方法反應(yīng)堆凈化系統(tǒng)動態(tài)可靠性分析

尚彥龍 陳力生 蔡 琦 趙新文

海軍工程大學(xué) 船舶與動力學(xué)院，湖北 武漢 430033

傳統(tǒng)上的系統(tǒng)風(fēng)險分析實質(zhì)上是一種靜態(tài)分析方法（如事件樹/故障樹方法），在描述影響系統(tǒng)狀態(tài)變化的諸多因素方面存在諸多困難，如時間、過程變量、硬件狀態(tài)、歷史場景和人因等。研究將GO-FLOW用于動態(tài)特性顯著的反應(yīng)堆凈化系統(tǒng)可靠性分析，改進備用單元的GO-FLOW動態(tài)模型，構(gòu)建的系統(tǒng)GO-FLOW模型圖有效模擬了初因事件下系統(tǒng)結(jié)構(gòu)和配置的改變以及操作員的狀態(tài)和行為。實例分析表明，在初因擾動下反應(yīng)堆凈化系統(tǒng)的失效概率變化顯著，操作員的干預(yù)有效降低了因硬件失效所導(dǎo)致的系統(tǒng)風(fēng)險；GO-FLOW是分析包含人因的動態(tài)系統(tǒng)的有效而實用的方法。

GO－FLOW；反應(yīng)堆凈化系統(tǒng)；動態(tài)；可靠性分析；人因

1 引言

大多數(shù)工程系統(tǒng)的一個重要特征就是系統(tǒng)行為表現(xiàn)出明顯的動態(tài)特性，傳統(tǒng)的系統(tǒng)風(fēng)險分析方法（如事件樹／故障樹方法）其實質(zhì)是靜態(tài)分析方法，在描述影響系統(tǒng)狀態(tài)變化的諸因素，如時間、過程變量、硬件狀態(tài)、歷史場景和人因等方面存在諸多困難［1］。

GO－FLOW方法是一種新的有效的系統(tǒng)可靠性分析方法，它采用圖形建模技術(shù)來描述系統(tǒng)結(jié)構(gòu)的動態(tài)變化和相關(guān)關(guān)系［2］，GO－FLOW操作符不僅可以描述硬件 （部件或可等效為單部件的單元以及子系統(tǒng)等）狀態(tài)，而且還可以模擬操作員的狀態(tài)與行為［3］，反映在系統(tǒng)模型中的過程變量信息可以通過確定的熱工水力計算或相應(yīng)的物理模型預(yù)先獲得［4］。GO－FLOW方法適用于動態(tài)系統(tǒng)和包含時序操作的系統(tǒng)分析，已成功應(yīng)用于核動力系統(tǒng)概率風(fēng)險分析［5］。

在反應(yīng)堆凈化系統(tǒng)工作過程中，受冷卻劑溫度的影響，其自身的保護裝置以及操作員的干預(yù)會導(dǎo)致系統(tǒng)結(jié)構(gòu)和配置發(fā)生某些改變，這一過程為典型的人—機交互過程。本文綜合考慮了系統(tǒng)單元間備用相關(guān)關(guān)系、系統(tǒng)的結(jié)構(gòu)變化以及人因等影響因素，采用GO－FLOW方法構(gòu)建了系統(tǒng)工作過程的動態(tài)模型，在此基礎(chǔ)上對系統(tǒng)進行了動態(tài)可靠性分析。

2 改進的備用單元動態(tài)模型

2.1 問題描述

圖1中單元1所示的冗余泵組廣泛應(yīng)用于核動力系統(tǒng)中，該單元包含2條支路，各支路分別由1臺泵和1個止回閥串聯(lián)組成。泵組的功能是從水源汲水并輸出，單元工作時，通常1臺泵投入運行，另一臺泵備用，當(dāng)工作泵失效時，備用泵投入運行。

此泵組中，止回閥的作用比較特殊，不考慮其運行時會發(fā)生泄露這一故障模式，其需求故障模式有2種：即打不開和關(guān)不上。在系統(tǒng)運行過程中，工作和備用支路的止回閥都要處于工作狀態(tài)，即工作支路的止回閥要求打開，備用支路的止回閥要求止回。也就是說，當(dāng)主工作泵失效，備用泵按需求投入時，要求備用泵所在支路的止回閥能夠打開，同時另一支路的止回閥能夠關(guān)閉，否則此環(huán)路就會出現(xiàn)冷卻水自循環(huán)的現(xiàn)象。

2.2 模型的改進

Matsuoka T對單元1建模時，忽略了止回閥對單元功能的影響［6］，本文采用轉(zhuǎn)換開關(guān)不完全可靠的儲備模型，考慮止回閥對單元失效的影響，建立的單元GO－FLOW模型如圖2a所示。本文通過研究模型圖中信號流的概率計算表達(dá)式，闡明了該種模型構(gòu)建方法在表達(dá)單元邏輯關(guān)系方面的正確性。

圖2中操作符水平線上方數(shù)字代表操作符類型，下方數(shù)字代表操作符編號，信號線按序進行編號，各操作符代表的部件及其失效模式均在圖中標(biāo)出。圖2a中，操作符1為信號發(fā)生器操作符，代表水源輸出信號；操作符2為類型37操作符，模擬水源的失效；代表泵1的操作符3為類型37操作符，用于模擬初始時刻成功投入的泵1的運行失效。泵2采用操作符4（非門）、操作符5（與門）、操作符6（類型21操作符，模擬泵2的需求失效）和操作符7（類型37操作符，模擬泵2的運行失效）組合模擬。與門操作符5和或門操作符10的輸出信號代表的含義反映了這一動態(tài)模型的邏輯關(guān)系。設(shè)Ri（t）表示編號為i的信號流在時間點t上的信號強度，PCj（t）表示編號為j的操作符在時間點t上的成功概率。對共有信號2進行修正后［7］，得到信號5和信號10的成功概率表達(dá)式：

式中，PC3（t）代表泵 1 的成功概率；［1.0 － PC3（t）］代表泵1的失效概率；R2（t）代表水源有水流輸出的成功概率，因此，R5（t）代表泵1失效而有水流輸出的聯(lián)合概率。因此式（1）表明信號5所代表的含義是：泵1失效同時有水源向備用泵2輸水。同理，根據(jù)式（2）可知信號10代表的含義是：在時間點t，單元的成功概率為以下兩部分之和，即泵1的成功概率和泵1失效時泵2能正常工作的條件概率。

3 反應(yīng)堆凈化系統(tǒng)可靠性分析

3.1 系統(tǒng)功能描述與分析目標(biāo)的確定

反應(yīng)堆凈化系統(tǒng)擔(dān)負(fù)凈化主冷卻劑的功能，系統(tǒng)原理圖如圖1所示。其中控制閥C常閉，控制閥A、B和D常開。系統(tǒng)正常工作時，從主系統(tǒng)輸出的高溫冷卻劑由2臺互為備用的泵增壓后，經(jīng)熱交換器冷卻并在凈化器中完成水質(zhì)凈化后經(jīng)控制閥D流回主系統(tǒng)。系統(tǒng)工作時會因某種原因（如設(shè)備冷卻水流量降低）導(dǎo)致從熱交換器輸出的冷卻劑溫度過高，從而導(dǎo)致凈化器中的水質(zhì)凈化材質(zhì)燒毀。為此，設(shè)置了旁通控制閥C以隔離凈化器?？刂崎yC和控制閥B由高溫隔離控制器聯(lián)鎖控制，高溫信號在管道g處測得。當(dāng)g處冷卻劑溫度高于溫度限值時，高溫隔離控制器發(fā)出關(guān)閉控制閥B而開啟控制閥C的請求信號；當(dāng)高溫隔離控制器失效時，控制閥B下游溫度測點q處的測溫儀會發(fā)出高溫信號，提示1號操作員手動關(guān)閉控制閥B，2號操作員手動開啟控制閥C，使高溫冷卻劑通過控制閥C流入主回路。當(dāng)冷卻劑溫度達(dá)到正常值時，由高溫隔離控制器或由操作員手動恢復(fù)控制閥B和控制閥C的狀態(tài)。系統(tǒng)的成功準(zhǔn)則為：當(dāng)測點g處溫度正常時，系統(tǒng)能夠為主系統(tǒng)提供足夠流量的冷卻水；當(dāng)測點g處溫度超限時，能夠?qū)㈦x子交換器安全隔離。

系統(tǒng)正常工作時，假設(shè)泵1是主工作泵，泵2備用，且系統(tǒng)工作過程中不可修。本文假設(shè)系統(tǒng)運行過程中發(fā)生一初因事件，即冷卻水流量降低導(dǎo)致從熱交換器輸出的冷卻劑溫度超限，系統(tǒng)可靠性分析的目標(biāo)是：定量給出初因影響下的系統(tǒng)失效概率隨時間變化情況。

3.2 系統(tǒng)的GO－FLOW建模

根據(jù)系統(tǒng)功能及其原理圖，建立的系統(tǒng)GOFLOW模型圖如圖2所示。其中，系統(tǒng)中冗余泵組單元GO－FLOW模型圖（圖2a）的構(gòu)建采用2.2節(jié)構(gòu)建的動態(tài)模型。圖2b中，控制閥B和控制閥C分別由T1高溫信號聯(lián)鎖控制和操作員手動控制，因此采用或門操作符24（或操作符25）連接高溫隔離控制器的輸出信號23和1號（或2號操作員動作輸出信號18（或21），表示兩輸出信號都失效時凈化器隔離失效。其中操作員行為受T2高溫信號支配，在T2高溫信號發(fā)出后，1號操作員先后經(jīng)判讀（操作符16）、決策（操作符17）和行動（操作符18）三個過程進而完成動作［8］，假設(shè)2號操作員行為與1號操作員相同。信號28為系統(tǒng)的最終輸出信號，其強度值代表系統(tǒng)的成功概率。

3.3 時間點定義

為分析計，定義了7個時間點反映系統(tǒng)的運行時序，具體含義見表1。

表1 系統(tǒng)分析定義的時間點Tab.1 The defined time point for system analysis

3.4 分析計算

假設(shè)設(shè)備壽命服從指數(shù)分布，失效率為常數(shù)。不考慮部件在未接到請求信號時的提前動作，假設(shè)水源無失效。對于控制閥B和C，僅考慮需求失效；控制閥A和D僅考慮其運行失效，其初始狀態(tài)（常開）成功概率均為1。設(shè)備失效數(shù)據(jù)以及人因可靠性數(shù)據(jù)采用IEEE sfd－1984報告推薦數(shù)據(jù)［9］，見表 2。表 2中，對于有需求信號控制動作的部件，Pg表示部件在有次輸入信號時，成功動作的概率；對于兩狀態(tài)部件Pg表示部件初始成功狀態(tài)的概率；λ為部件的失效率。

GO－FLOW的定量分析從起始操作符開始，沿信號流序列，按操作符運算規(guī)則，逐步計算信號流在給定時間點上的存在概率，直至得到系統(tǒng)的最終輸出信號。操作符狀態(tài)概率計算過程中，對于采用類型21操作符描述的考慮運行失效的部件（即熱交換器和凈化器），其狀態(tài)概率的計算采用單部件狀態(tài)轉(zhuǎn)移方程［10］：P（t）為部件在t時刻的成功概率；P0為部件的初始成功概率；μ為維修率，為常數(shù)。由于本文不考慮維修，即令式（3）中 μ ＝0，則應(yīng)用式（4）可以計算代表部件的兩狀態(tài)操作符的成功概率。

表2 凈化系統(tǒng)操作符數(shù)據(jù)表Tab.2 The operator data of the purification system

根據(jù)系統(tǒng)在各階段狀態(tài)概率計算式，計算得到系統(tǒng)失效概率隨時間變化情況如圖3所示，圖3中不考慮人因是指在高溫隔離控制器失效后無操作員的干預(yù)。由圖3可知，系統(tǒng)在運行過程中失效概率隨時間變化顯著，在各階段內(nèi)系統(tǒng)失效概率均不斷增加，同時，階段間系統(tǒng)配置的改變導(dǎo)致了系統(tǒng)失效概率發(fā)生躍變。在第2和第3階段，考慮人因條件下，操作員的有效干預(yù)較大程度上降低了因控制部件（硬件）失效所導(dǎo)致的系統(tǒng)風(fēng)險。

4 結(jié)論

本文研究了將GO－FLOW方法用于分析初因事件下包含人因的反應(yīng)堆凈化系統(tǒng)動態(tài)可靠性，具有以下先進性：

1）構(gòu)建的GO－FLOW模型圖能夠清晰和直觀地反映不同的工作階段系統(tǒng)結(jié)構(gòu)和配置的改變、系統(tǒng)各單元間的邏輯關(guān)系以及事件發(fā)生的時序問題。

2）能夠綜合分析部件需求失效和運行失效這類多態(tài)問題，從而評估系統(tǒng)與時間相關(guān)的狀態(tài)概率。

3）過程變量信息可通過相應(yīng)的物理模型預(yù)先進行定量，進而結(jié)合系統(tǒng)時間點的定義在系統(tǒng)分析中得到反映。

4）能夠有效地模擬人—機之間的相互依賴關(guān)系和交互過程，對人因的模擬比事件樹／故障樹模型更為精確。

因此，GO－FLOW方法是分析包含人因的動態(tài)系統(tǒng)的有效而適用的方法。

［1］SIU N.Risk assessment for dynamic systems：An overview［J］.Reliability Engineering and System Safety，1994，43（1）：43－73.

［2］MATSUOKA T.Improvement of the GO－FLOW methodology［C］//PSAM VII，2004：1152－1157.

［3］MATSUKURA H，MITOMO N，MATSUOKA T.A reliability analysis of man－machine system （holdup tank system）by the GO－FLOW［C］//PSAM V，2000：1185－1191.

［4］MATSUOKA T，MICHIYUKI K.An analysia of a dynamic system by the GO－FLOW methodology ［C］//Proceeding of the PSAM－III，1996：1547－1552.

［5］沈祖培，黃祥瑞.GO法原理及應(yīng)用［M］.北京：清華大學(xué)出版社，2004.

［6］MATSUOKA T.An application of the GO－FLOW methodology－h(huán)azard and operability analysis of olefin plant［C］//PSAM－IV，1998：431－436.

［7］林潔，顏兆林，龔時雨，等.GO－FLOW方法及其改進的精確算法［J］.系統(tǒng)工程與電子技術(shù)，2005，27（1）：193－196.

［8］GERTMAN D，HANEY L，SIU N.Representing context，cognition，and crew performance in a shutdown risk assessment［J］.Reliability Engineering and System Safety，1996，52（3）：261－278.

［9］閻鳳文.設(shè)備故障和人誤數(shù)據(jù)分析評價方法［M］.北京：原子能出版社，1988.

［10］ 黃祥瑞.可靠性工程［M］.北京：清華大學(xué)出版社，1990.

Dynamic Reliability Analysis of the Nuclear Reactor Purification System Based on GO－FLOW Methodology

Shang Yan－long Chen Li－sheng Cai Qi Zhao Xin－wen
College of Naval Architecture and Power， Naval University of Engineering， Wuhan 430033， China

The conventional methods used for system risk analysis are static in nature，such as event tree or fault tree method.To describe the system state variation， we must take multiple factors into account，which include time， procedure variables， hardware， historical events and human factor.For this purpose， GO－FLOW was applied to the reliability analysis of the nuclear reactor purification system with obvious dynamic characteristics.GO－FLOW dynamic model of standby unit was improved， and established system GO－FLOW chart has effectively modeled the changing process of system＇s structure and configuration， as well as the operator＇s quality state and behavior under initial event.The analysis results show that the probability of the purification system failure changes significantly and the intervention by the operator can effectively mitigate the system risk due to hardware failure.It is also verified that the GO－FLOW methodology is an effective and useful analysis tool for dynamic system.

GO－FLOW；nuclear reactor purification system；dynamic；reliability analysis；human factor

TL364

A

1673－3185（2011）01－73－05

10.3969/j.issn.1673-3185.2011.01.014

2009－09-16

尚彥龍（1984－），男，碩士研究生。研究方向：核動力裝置可靠性。E-mail：shangyanlong001＠ yahoo.com.cn

陳力生（1962－），男，教授，碩士生導(dǎo)師。研究方向：核動力裝置可靠性