基于簡化模型馬爾可夫法的核電廠儀控系統(tǒng)可靠性評估方法

張 慶，魏新宇

（西安交通大學(xué) 能源與動力工程學(xué)院，西安 710049）

0 引言

IEC 61508[1]推薦了幾種用于評估核電廠數(shù)字化儀控系統(tǒng)（DCS，Digital Control System）可靠性的計算方法，其中包括馬爾可夫方法。馬爾可夫方法是利用馬爾可夫鏈，表示出系統(tǒng)的狀態(tài)轉(zhuǎn)移圖，可完整表達出系統(tǒng)的全部狀態(tài)，包括正常狀態(tài)、降級狀態(tài)和失效狀態(tài)。馬爾可夫模型中的一個狀態(tài)轉(zhuǎn)移到另一個狀態(tài)的概率僅僅取決于系統(tǒng)當前的狀態(tài)，與其歷史狀態(tài)無關(guān)。馬爾可夫模型的特點決定了它不僅可清楚地表達出系統(tǒng)的每一個狀態(tài)在某一條件下的下一個的狀態(tài)轉(zhuǎn)移情況，也可清晰反映出系統(tǒng)現(xiàn)處于某一功能降級的狀態(tài)下，經(jīng)有效的維修處理后返回的狀態(tài)，在各行各業(yè)得到極大認可與應(yīng)用[2-11]。

然而，當針對狀態(tài)數(shù)量較多的復(fù)雜系統(tǒng)建立馬爾可夫模型時，會使得模型極為巨大，極易出現(xiàn)狀態(tài)組合爆炸問題，這也是制約馬爾可夫方法應(yīng)用的一個重要因素。因此，研究設(shè)計一種應(yīng)用于復(fù)雜系統(tǒng)的馬爾可夫模型構(gòu)建簡化方法是目前急需解決的問題。

為解決核電廠DCS 建立馬爾可夫模型時容易出現(xiàn)組合爆炸問題，本研究提出一種應(yīng)用于復(fù)雜系統(tǒng)的馬爾可夫模型構(gòu)建簡化方法。進一步地，通過選取1oo2 架構(gòu)作為實施案例，對提出的簡化方法進行應(yīng)用驗證。

1 同類項篩查

如圖1 所示，在對復(fù)雜系統(tǒng)進行分析時發(fā)現(xiàn)，系統(tǒng)實際運行過程中，不同設(shè)備在同一故障模式下對系統(tǒng)變量的影響相同，對下一級（系統(tǒng)）的影響也相同。在以往馬爾可夫模型的建立過程中，需對每種設(shè)備的不同故障模式進行狀態(tài)轉(zhuǎn)移的建立。因此，傳統(tǒng)的馬爾可夫模型往往會出現(xiàn)組合爆炸的問題。本研究中，可對此種情況進行簡化，分析設(shè)備或系統(tǒng)狀態(tài)，將設(shè)備作為一個整體，根據(jù)其外部系統(tǒng)的影響情況進行劃分，合并影響相同或近似的狀態(tài)。

圖1 復(fù)雜系統(tǒng)馬爾可夫模型Fig.1 Markov model of complex system

首先，通過對馬爾可夫模型中的狀態(tài)進行檢測，篩選出具有相同轉(zhuǎn)移率的狀態(tài)后組成簡化狀態(tài)組。簡化狀態(tài)組之間相互獨立，且每個簡化狀態(tài)組中的成員數(shù)量不低于兩個。其中，不同狀態(tài)進入的概率相同，同時不同狀態(tài)轉(zhuǎn)移出去的概率相同，即為具有相同轉(zhuǎn)移率的狀態(tài)。

狀態(tài)2 的轉(zhuǎn)移率計算具體為：

其中，P2(t+Δt)為系統(tǒng)在t+Δt時刻處于狀態(tài)2 的概率；P2(t)表示在時刻t 的狀態(tài)2 的概率；λ表示失效率。

以此類推，對于狀態(tài)n 的轉(zhuǎn)移率可以得到：

式（2）中，Pn(t+Δt)為復(fù)雜系統(tǒng)在t+Δt時刻處于狀態(tài)n 的概率；Pn(t)為復(fù)雜系統(tǒng)在t 時刻處于狀態(tài)n 的概率；P1(t)為復(fù)雜系統(tǒng)在t 時刻處于狀態(tài)1 的概率，λn-1Δt為復(fù)雜系統(tǒng)狀態(tài)1 到狀態(tài)n 的轉(zhuǎn)移概率；λΔt為復(fù)雜系統(tǒng)狀態(tài)2 到狀態(tài)n+1 的轉(zhuǎn)移概率。

2 狀態(tài)合并原則

通過對馬爾可夫模型中的狀態(tài)進行檢測，將符合要求的簡化狀態(tài)組中的成員狀態(tài)以進入率相加、退出率保持不變的原則合并簡化成一個狀態(tài)。通過該狀態(tài)合并原則，可以將多個狀態(tài)合并為一個狀態(tài)，減少馬爾可夫模型的狀態(tài)數(shù)量，從而達到簡化效果。

簡化狀態(tài)組的合并簡化計算具體為：

公式（3）驗證了當多個狀態(tài)具有相同的轉(zhuǎn)換率時，多個狀態(tài)就可以合并為一個狀態(tài)，進入率相加，退出率保持不變。

3 簡化模型可靠性評估

拒動概率是核電廠數(shù)字化儀控系統(tǒng)的一個重要可靠性指標要求。在IEC 61508 以及其他相關(guān)文獻[11,12]中提出，對核電廠數(shù)字化儀控系統(tǒng)進行可靠性評估時，可以采用平均需求時失效概率PFDavg（Average Probability of a dangerous Failure on Demand）對系統(tǒng)拒動概率進行表征。

根據(jù)馬爾可夫法的求解原理，當應(yīng)用馬爾可夫模型對核電廠數(shù)字化儀控系統(tǒng)PFDavg 進行求解時，首先需給定系統(tǒng)的初始矩陣P’如式（4）所示，即表示系統(tǒng)處于狀態(tài)0。

式（4）表示系統(tǒng)在初始時刻處于第一個狀態(tài)的概率為1。

然后，可以通過設(shè)置馬爾可夫步長Δt=1h 來繼續(xù)對馬爾可夫相關(guān)解析式進行求解。通過式（4），可以推斷出核電廠數(shù)字化儀控系統(tǒng)處于第n 小時的狀態(tài)轉(zhuǎn)移矩陣Pn，如式（5）所示。

式（5）中，轉(zhuǎn)移矩陣Pn中各列對應(yīng)的概率為系統(tǒng)第n 小時時所處該列對應(yīng)狀態(tài)的概率；P為根據(jù)馬爾可夫模型求解得出的馬爾可夫狀態(tài)轉(zhuǎn)移矩陣。因此，可求得核電廠數(shù)字化儀控系統(tǒng)處于拒動狀態(tài)時，對應(yīng)的第n 小時需求時失效概率PFDn。

最后，通過對PFDn 進行時間0 ～t 上的積分，再將積分結(jié)果進行t 等分，即可得到核電廠數(shù)字化儀控系統(tǒng)對應(yīng)第n 小時時的平均失效概率PFDavg，如式（6）所示。

4 實例分析

4.1 模型建立及簡化

假設(shè)某核電廠反應(yīng)堆數(shù)字化儀控系統(tǒng)采取如圖2 所示1oo2 架構(gòu)，該架構(gòu)由兩個通道并聯(lián)組成，任意一個通道都能執(zhí)行安全功能，且只要有任意一個通道執(zhí)行了安全功能，系統(tǒng)安全功能正常。因此，當且僅當兩個通道都發(fā)生危險失效時，需求時安全功能才會失效。

圖2 1oo2系統(tǒng)結(jié)構(gòu)框圖Fig.2 The system block diagram of 1oo2

如圖3 所示，根據(jù)1oo2 系統(tǒng)架構(gòu)，按照傳統(tǒng)的馬爾可夫模型進行系統(tǒng)模型建立，得到馬爾可夫模型。核電廠數(shù)字化儀控系統(tǒng)起始于狀態(tài)0，該狀態(tài)表示系統(tǒng)處于正常工作狀態(tài)。當通道1 或者通道2 發(fā)生DDN（Dangerous Detected No-common-cause failure，危險可檢測非共因失效）時，系統(tǒng)由狀態(tài)0 轉(zhuǎn)移到狀態(tài)1 或者狀態(tài)3；當通道1或者通道2 發(fā)生DUN（Dangerous Undetected No-commoncause failure，危險不可檢測非共因失效）時，系統(tǒng)由狀態(tài)0 轉(zhuǎn)移到狀態(tài)2 或者狀態(tài)4；當發(fā)生SN（Safe No-commoncause failure，安全非共因失效）或者SC（Safe Commoncause failure，安全共因失效）時，系統(tǒng)將直接轉(zhuǎn)移到最終狀態(tài)5，即系統(tǒng)發(fā)生FS（Failure of Safe，安全失效）；當發(fā)生DDC（Dangerous Detected Common-cause failure，危險可檢測共因失效）時，系統(tǒng)將直接轉(zhuǎn)移到狀態(tài)6，即系統(tǒng)發(fā)生FDD（Failure of Dangerous Detected，危險可檢測失效）；當發(fā)生DUC（Dangerous Undetected Common-cause failure，危險不可檢測共因失效）時，系統(tǒng)將直接轉(zhuǎn)移到狀態(tài)7，即系統(tǒng)發(fā)生FDU（Failure of Dangerous Undetected，危險可檢測失效）。

圖3 傳統(tǒng)的1oo2結(jié)構(gòu)馬爾可夫模型Fig.3 Traditional Markov model of 1oo2 structure

當系統(tǒng)處于狀態(tài)1 或者狀態(tài)3 時，只要有任一通道再發(fā)生S（Safe failure，安全失效），系統(tǒng)將轉(zhuǎn)移到狀態(tài)5；只要有任一通道再發(fā)生D（Dangerous failure，危險失效），系統(tǒng)將轉(zhuǎn)移到狀態(tài)6。

當系統(tǒng)處于狀態(tài)2 或者狀態(tài)4 時，只要有任一通道再發(fā)生S，系統(tǒng)將轉(zhuǎn)移到狀態(tài)5；只要有任一通道再發(fā)生DD（Dangerous Detected failure，危險可檢測失效），系統(tǒng)將轉(zhuǎn)移到狀態(tài)6；只要有任一通道再發(fā)生DU（Dangerous Undetected failure，危險不可檢測失效），系統(tǒng)將轉(zhuǎn)移到狀態(tài)7。

μ0 表示系統(tǒng)維修率，在狀態(tài)轉(zhuǎn)移模型中，當系統(tǒng)發(fā)生可檢測失效時，可通過維修使得系統(tǒng)返回到狀態(tài)0，對應(yīng)的轉(zhuǎn)移率用μ0 表示；λ 表示失效率，通過不同下角標用于表示單通道發(fā)生不同失效所對應(yīng)的失效率。

通過圖3 所示核電廠數(shù)字化儀控系統(tǒng)傳統(tǒng)馬爾可夫模型，可以得到其對應(yīng)的狀態(tài)轉(zhuǎn)移矩陣P0，矩陣中首行首列為第0 行第0 列，然后依次展開，對應(yīng)不同狀態(tài)之間的轉(zhuǎn)移率。如：第0 行第1 列表示系統(tǒng)從狀態(tài)0 轉(zhuǎn)移到狀態(tài)1的轉(zhuǎn)移率，以此類推。通過觀察發(fā)現(xiàn)，通過傳統(tǒng)的馬爾可夫模型得到的狀態(tài)轉(zhuǎn)移矩陣P0為一個8 階狀態(tài)轉(zhuǎn)移矩陣。

此時，應(yīng)用本文提到的簡化方法對建立的傳統(tǒng)馬爾可夫模型進行簡化。

首先，篩選符合同類合并要求的相關(guān)狀態(tài)。對圖3 所示傳統(tǒng)的1oo2 架構(gòu)馬爾可夫模型分析可知，狀態(tài)1 與狀態(tài)3 具有相同的轉(zhuǎn)移率，即進入狀態(tài)1 和狀態(tài)3 的概率相同，從狀態(tài)1 和狀態(tài)3 轉(zhuǎn)移出去的概率相同，滿足所提出的簡化原則。同理可知，狀態(tài)2 與狀態(tài)4 同樣滿足所提出的簡化原則。

然后，應(yīng)用同類合并簡化原則對找到的狀態(tài)1 和狀態(tài)3、狀態(tài)2 和狀態(tài)4 進行狀態(tài)合并，以達到簡化馬爾可夫模型的效果。如圖4 所示，根據(jù)所提出的簡化原則，狀態(tài)1與狀態(tài)3、狀態(tài)2 與狀態(tài)4 分別滿足簡化原則，對其進行簡化合并，即“同類合并”。將狀態(tài)1 與狀態(tài)3 合并為一個狀態(tài)，輸入率相加，輸出率保持不變；將狀態(tài)2 與狀態(tài)4合并為一個狀態(tài)，輸入率相加，輸出率保持不變，對應(yīng)狀態(tài)轉(zhuǎn)移概率矩陣為P，具體為：

圖4 “同類合并”簡化后的1oo2結(jié)構(gòu)馬爾可夫模型Fig.4 Markov model of 1oo2 structure after simplified"like-kind merger"

通過對比圖3 所示的簡化前馬爾可夫模型和圖4 所示簡化后的馬爾可夫模型以及簡化前的狀態(tài)轉(zhuǎn)移矩陣P0和簡化后的狀態(tài)轉(zhuǎn)移矩陣P可知，運用本文提出的馬爾可夫模型簡化方法，將原本8 階模型矩陣簡化到6 階模型矩陣。

此實施例只是針對簡單的1oo2 架構(gòu)，通過實際應(yīng)用可知，當運用到更加復(fù)雜的系統(tǒng)時，簡化效果將非常明顯。不同結(jié)構(gòu)采用本文中提出的簡化方法與傳統(tǒng)方法之間馬爾可夫狀態(tài)轉(zhuǎn)移矩陣模型大小對比見表1。

表1 傳統(tǒng)方法與本文方法狀態(tài)轉(zhuǎn)移矩陣模型大小對比Table 1 Comparison of the size of the state transition matrix model between the traditional method and the proposed method

4.2 模型可靠性評估

假設(shè)該核電廠數(shù)字化儀控系統(tǒng)1oo2 架構(gòu)中：故障診斷覆蓋率DC（Diagnostic Coverage）=95%，系統(tǒng)故障重啟時間FRT（Fault Restart Time）=24h，平均維修時間MTTR（Mean Time To Repair）=4h，共因因子β=1.5%，系統(tǒng)定期試驗周期PTC（Periodic Test Cycle）=18 個月。

通道失效數(shù)據(jù)依據(jù)SN 29500 電子產(chǎn)品預(yù)計手冊標準，可得到對應(yīng)失效數(shù)據(jù)λ 為：通道安全失效率λS=515FIT，通道危險失效率λD=438FIT。將相關(guān)假設(shè)數(shù)據(jù)代入到簡化后1oo2 馬爾可夫轉(zhuǎn)移矩陣P中，得到：

通過公式（4）、公式（5）以及公式（6）推導(dǎo)得出的應(yīng)用馬爾可夫模型求解系統(tǒng)平均需求時失效概率PFDavg 的可靠性評估方法，可得PFDavg=5.069×10-13。

5 結(jié)論

本文提出了一種應(yīng)用于復(fù)雜系統(tǒng)的馬爾可夫模型構(gòu)建簡化方法，解決了現(xiàn)有復(fù)雜系統(tǒng)建立馬爾可夫模型時出現(xiàn)組合爆炸問題。通過對馬爾可夫模型中的狀態(tài)進行檢測，篩選出具有相同轉(zhuǎn)移率的狀態(tài)后組成簡化狀態(tài)組，將簡化狀態(tài)組中的成員狀態(tài)以進入率相加、退出率保持不變的原則合并簡化成一個狀態(tài)。通過合并同類狀態(tài)的方法來減少馬爾可夫模型狀態(tài)或狀態(tài)組以及對應(yīng)的狀態(tài)轉(zhuǎn)移矩陣，以此達到簡化馬爾可夫模型的效果。

本文提出的馬爾可夫模型簡化方法，可以在核電廠數(shù)字化儀控系統(tǒng)馬爾可夫模型建立過程中，極大降低系統(tǒng)狀態(tài)數(shù)量以及狀態(tài)轉(zhuǎn)移矩陣階數(shù)，以此減少馬爾可夫模型建模以及計算維度，使得采用馬爾可夫法用于核電廠數(shù)字化儀控系統(tǒng)可靠性評估工程應(yīng)用成為可能，并為核電廠數(shù)字化儀控系統(tǒng)可靠性評估提供參考。