任丽霞，胡文军，宋 维，钱鸿涛，乔雪冬

（中国原子能科学研究院，北京102413）

概率安全分析（PSA）技术是一门迅速发展的学科，自1979年美国三哩岛事故之后，PSA技术在核电安全领域得到大力发展。随着PSA技术在核电站的不断应用，越来越多的国家对于核电站PSA应用的理解和需求已经逐渐发展出核电站动态概率安全分析（以下简称Living PSA）概念。

核电站Living PSA的开发和应用是PSA技术的发展方向，随着国内核电技术和核电工程的快速发展，国内也由最初单纯的核电站PSA分析开始考虑如何开发更具系统化和应用性的核电站Living PSA，组织力量自主开发适用于Living PSA开发和应用要求的PSA计算分析变得十分必要和迫切。

由此，组织了核电站快速风险分析软件（以下简称NFRisk）其研究和开发着眼于研究Living PSA的管理和技术要求，基于这些要求开发PSA模型开发和维护的计算机程序，实现故障树建立和分析、不可用度分析、重要度分析、敏感性分析和时间相关性分析，以及事件树建立和分析等功能，并具备能够对大型PSA故障树进行快速分析和定量化的能力；同时NFRisk软件还包括数据库分析和管理程序包，与目前商用PSA软件的数据接口程序等，最终构建成一个可进行多种应用开发的NFRisk软件包。本文主要介绍NFRisk软件的开发设想、方案设计以及主要功能。

1 设计思想

NFRisk采用通用的、成熟商业软件的界面风格，自主设计和开发核心算法，同时集成定量分析工具和二次开发接口，兼容Risk Spectrum等商业软件的数据文件格式，从而使NFRisk软件在友好性、适用性和功能完整性方面达到一定的要求。

1.1 功能分析

一套完备的概率安全分析软件要求具有友好的模型开发界面和便捷的模型编辑功能，快速的系统分析计算能力，数据分析和直观的后处理能力，同时还应包括文档管理的程序。

基于上述原则，NFRisk具备文本输入卡建模能力和图形建模能力，同时具备项目管理的特性，具有完整的故障树，事件树编辑功能，多种图形显示功能，同时也具备了多种管理界面，如“启动界面”、“主管理界面”、“故障树建模界面”、“事件编辑界面”、“参数编辑界面”、“共因编辑界面”、“事件树建模界面”等若干管理界面。NFRisk程序的用户界面是基于java的Swing图形库，该图形库的特点是整合了符合操作习惯的用户界面。

在分析方面，NFRisk能快速的求解核电厂规模的事件树或者故障树的最小割集，与此同时，也能在最小割集的基础上，进行整个系统的共因分析、不确定度分析、重要度和灵敏度分析。

1.2 设计指标

作为一个面向应用的概率安全分析软件，NFRisk软件的自主化研发应满足以下设计要求：

（1）具备图形和文本两种建模方式；

（2）可独立于平台运行，便于实现NFRisk软件的分布式发展；

（3）具有两种故障树图形显示模式以及图形缩放功能；

（4）采取点对点映射管理各类参数和数据，不需要建立额外的数据库管理数据，可以有效地进行数据的存档管理；

（5）支持故障树快速模块化，该模块化方法在时间规模上是线性的；

（6）集成故障树下行法和二元决策图法这两类最小割集分析方法；

（7）具有包括不确定分析、灵敏度和重要度分析、时间相关性分析和共因分析的完整定量分析功能。

2 模型编辑及资料存贮模块设计

NFRisk软件通过设计用户界面、图形编辑功能以及数据存贮结构，能够容易地创建和更改故障树和事件树模型，方便更改和管理基本事件数据库、部件可靠性数据库等，从而达到具有良好的模型编辑功能。同时，由于大型故障树具有相当庞大的基本事件和相应的可靠性参数等，NFRisk软件还将对编辑能力进行设计，减小由于用户失误引入编辑或输入错误的概率。针对上述要求，NFRisk设计了有效的数据库存贮结构和相应的模型编辑界面。

2.1 数据存贮结构

随着项目的编辑，其存贮信息也是实时变更的，一个良好的存贮结构可以加速数据交换。NFRisk不采用一般商业软件的数据库管理模式，而是采用独立设计各个存贮数据的存贮结构和数据映射关系。NFRisk存贮的信息包括基本事件的资料、中间门的资料、顶事件的资料、事件树的资料、功能事件的资料、初因事件的资料、共因组的资料和参数类别资料等，这些存贮信息的数据结构在NFRisk程序中主要有以下几类：节点类、树类、共因类和参数类，其中节点类包括门、基本事件、功能事件和初因事件，树类包括故障树和事件树，共因类单指共因组别，参数类单指参数组别。每一类别都被设置成单独的类，其映射关系通过映射关键值联系。这些信息都存贮在一个具有多重映射关系的多维对象矩阵／数据库中。

2.2 模型编辑界面

依据NFRisk具有的设计特征，管理界面模块主要包括启动界面、主管理界面、故障树管理界面、事件管理界面、参数管理界面、共因管理界面和事件树管理界面等模块。下面按照程序流程介绍各个界面的设计方案。

（1）启动界面

启动界面主要用于指定工作目录和临时文件的存贮目录，工作目录和存贮目录的路径指定方式都采用标准的Windows操作方式。显示方式为模态对话框，主要提供的消息包括“临时目录路径”、“工作目录路径”和“工作空间是否设置为默认的”等消息。

（2）项目管理主界面

项目管理主界面提供了与其他功能界面的登陆接口，是整个分析程序的一个主要界面。在项目管理主界面上，可以浏览所参与工程项目的整个信息，也可以对整个工程项目的信息进行编辑，局部也提供了详细的查询功能。主界面采用了左右分页式的设计风格，左边是一个提供项目所有信息链接的树形结构，其选择方式为“左击弹开式”；右边则为左边树形结构共享的一个列表式详细信息显示子窗口，通过该子窗口可以浏览编辑整个项目的详细信息，同时也可以通过鼠标左击方式登陆其他功能界面，同时支持鼠标的左击和右击、双击和单击的功能，每种不同的鼠标击打方式对应于不同的操作功能。项目管理主界面设计最大的特点是“局部显示区共享”和“项目信息的层次结构清楚”。主要提供的信息包括“基本事件”及其层次结构、“事件树”及其层次结构、“参数”及其层次结构、“共因事件”及其层次结构、以及“故障树”及其层次结构，其中参数的层次结构包括七类参数，事件树的层次结构包括三类与其有关的信息，其余的目前暂时都只包括一类信息。

（3）故障树管理主界面

故障树管理界面是用于故障树建模的界面，在该界面可操作的功能有“故障树图显示方式”、“故障树节点的改变（包括修改，删除，增加）”、“故障树图的缩放”和“不同故障树的切换”。该界面主要采用上下分页式设计风格，上方为故障树的显示区，以图形显示方式提供显示故障树的基本结构和其内部节点的信息，故障树的改变方式采用了“所见即所得”设计理念；下方为工程项目里面的不同故障树的列表信息，并且在此页具有故障树的登陆功能。该界面支持“弹出菜单”、“按钮选择”、鼠标单击和双击的操作方式，以上都采用了符合Windows操作习惯的操作方式。

（4）基本事件管理主界面

基本事件管理界面是用于基本事件编辑的界面。该界面可以编辑的信息包括“基本事件的ID”、“基本事件的描述”、“基本事件的状态”、“基本事件的可靠性参数模型”和“基本事件的参数设置”。其显示方式为对话框模态形式，登陆方式有两种：1）故障树管理界面双击基本事件图形，2）项目管理主界面基本事件的列表。

（5）参数管理界面

参数管理界面主要用于基本事件参数的编辑。该界面可以编辑的信息包括“参数的描述”、“分布类型”、“参数值”、“5%参数值”、“95%参数值”和“误差因子”等。其显示方式为对话框模态形式，登陆方式有两种：1）基本事件管理界面，2）项目管理主界面参数的列表。

（6）共因管理界面

共因管理界面主要用于故障树中共因组信息的编辑。该界面可以编辑的信息包括“共因组的名称”、“共因组的描述”、“共因模型”、“共因组中的事件”和“共因参数”。其显示方式为对话框模态形式，可以从项目管理主界面共因组的列表中登陆该管理界面。

3 分析计算模块设计

Living PSA开发以及Living PSA的应用（风险监测系统等）要求模型开发和维护的计算机软件能够对核电站大型复杂的PSA模型进行快速定量化分析，而PSA分析中几乎所有定量分析都是基于最小割集的，因此，NFRisk软件要解决的关键问题就集中于快速求解故障树或者事件树的最小割集问题。

3.1 最小割集求解

大多数最小割集求解算法的思路都是按结构简化——模块化——割集生成——割集最小化——顶事件概率。在遵循该思路的前提下，综合分析主要的求解算法，优化设计了NFRisk软件中的最小割集草案。

在求解最小割集之前，会将存贮的故障树转化为可用于计算的故障树，计算所用故障树相比于存贮所用故障树，信息减少，映射关系相对简单明了，并添加了一些用于计算分析的信息。这一部分相当于故障树分析计算前的转换处理，即完成了故障树由存贮故障树向计算故障树的转换。在转换处理完成之后，调用故障树的前处理模块对计算故障树进行化简，包括结构简化、同类型门的合并、故障树模块化等多项简化技术。在简化完成之后，调用计算故障树的专用转化模块完成计算故障树部分结构向二元决策图的转换，对应于故障树不同的结构，分别调用下行法和二元决策图法来得到相应部分的割集，再调用割集最小化算法，从而得到了包含模块的顶事件的最小割集，进而对模块化最小割集在概率截断和阶数截断的情况下解除模块，就得到了顶事件的最小割集。

3.2 定量分析

在NFRisk软件中，有如下定量计算模型：1）基本事件的无效度，2）共因事件模型，3）最小割集的无效度，4）模块的无效度，5）顶事件的无效度，6）不确定度分析，7）时间相关性分析，8）重要度和灵敏度分析。

（1）基本事件的无效度

基本事件的无效度计算有六类可靠性参数模型，分别为：1）恒定无效度模型（Probability），2）周期试验模型（Tested），3）固定任务时间模型（Mission Time），4）恒定频率模型（Frequency），5）可修复模型（Repairable），6）不可修复模型（Non－repairable）。每类模型需要一个或者多个以上参数，不同的基本事件无效度由不同的程序模块计算完成。

（2）共因事件组

在NFRisk程序中，有三种共因模型，分别为Beta共因模型、MGL共因模型和Alpha因子模型。每种共因模型都需要指定相应的基本事件组和共因参数等。

共因故障事件组包含的基本事件≥2，共因派生的基本事件个数随着共因故障模型的不同而不同，但是NFRisk程序中不生成超过4个基本事件共同失效的共因派生事件。Beta共因模型仅包括独立事件和共因事件，也就是共因组中的一个基本事件将派生出两个共因派生事件。MGL共因模型和Alpha共因模型中的派生事件随基本事件组中基本事件个数的不同而不同。派生事件的生成和定量分析也有专门的程序模块计算完成。

（3）最小割集的无效度计算模型

在NFRisk软件中，最小割集的无效度计算采用了一级近似，N个基本事件组成的最小割集一级近似计算公式为在实际应用中，由于基本事件的不可用度都很小，通常小于1.0E－3，因此采用一级近似就能给出很好的近似结果。

（4）模块的无效度计算模型

在NFRisk软件中，在模块化完成后，就计算出了各个模块的最小割集，因此模块的无效度是基于模块的最小割集一级近似计算得出来的。计算公式如下：

（5）顶事件的无效度计算模型

在NFRisk软件中，在基于模块的顶事件的最小割集计算完成后，将采用一级近似计算顶事件的无效度。

（6）不确定度分析

不确定度分析是为了解决基本事件或设备的可靠性参数的统计误差或者偏差而提供的一种分析手段，它能定量给出整个分析系统或设备的不可用度的置信区间。在NFRisk软件设计中，不确定度分析是基于最小割集的。该定量分析设计的程序模块包括抽样程序模块和不确定度主分析模块。

（7）时间相关性分析

通常情况下，基本事件的可靠性参数都是和时间相关的，同一个基本事件在不同的时间对应的可靠性参数一般是不同的。由于基本事件的概率与时间相关，必然导致了顶事件的不可用度和时间有相应的关系。在NFRisk软件设计中，时间相关性的分析也是基于最小割集的。该定量分析设计的程序模块包括所有基本事件时间点采集程序和时间相关性主分析模块。

（8）灵敏度和重要度分析

系统中各单元并不同样重要，例如有的单元一旦出现故障就会引起系统故障，有的则不然，由此引入重要度的概念。事件的重要度是指相应的底事件对顶事件发生的贡献大小，是系统结构、单元的寿命分布和时间的函数。进行重要度分析，按照底事件引发顶事件发生的重要性来排队，对改进系统设计是十分必要的。不同基本事件故障概率同样的变化量引起顶事件的故障概率的变化量是不一样的，从而引入灵敏度的概念。灵敏度是指将某个基本事件的故障概率乘以或者除以灵敏度因子后得到的顶事件无效度与原无效度的比值，而获取比值的计算过程，就称为“灵敏度分析”，灵敏度因子总是大于1的。重要度给出设备在系统中的重要程度，而灵敏度给出了改进后的收益效果。在NFRisk软件设计中，灵敏度和重要度分析也是基于最小割集的。该定量分析设计的程序模块包括最小割集遍历、重要度分析和灵敏度分析程序模块。

3.3 分析计算的算法

分析计算算法的优劣决定了整个NFRisk软件的性能，是决定整个NFRisk软件计算速度的关键。NFRisk软件的设计需要掌握概率安全分析的基本理论和方法学，建立概率安全分析中部分数学模型，在NFRisk软件中需要设计或开发以下算法：二元决策图算法、故障树定量分析算法、三类共因组求解算法、下行法的割集求解算法、故障树和事件树的内部数据结构的映射表及映射操作算法、高效的故障树模块化算法、高效的故障树向二元决策图的转换算法、二元决策图求解割集的算法、以及两种割集最小化的求解算法。各种算法的关系详见图1。

4 软件接口和兼容性设计

为了解决NFRisk软件的适用性和验证问题，NFRisk程序提供专用的接口函数用于访问甚至编辑程序的内核数据，提供完整的命令流方式用于建模、分析计算和后处理等整个过程的管理。接口函数和命令流将会被标准化，这样就能保证整个软件具有良好的可扩展性、二次开发性和批量分析特征。

与此同时，为了兼容核电行业内广泛应用的概率安全分析软件Risk Spectrum的数据，专门设置了程序模块用于转换Risk Spectrum的数据文件，其主要工作是将Risk Spectrum的数据结构有效而合理的转化成NFRisk的数据结构。这样可以方便的将Risk Spectrum的数据文件导入NFRisk中，保证了NFRisk软件的兼容性。

5 结论

综上所述，整个软件的设计包括三个方面，分别是模型编辑、分析计算和软件接口。模型编辑分别包括数据存贮结构、启动界面、主管理界面、故障树管理界面、事件管理界面、参数管理界面、共因管理界面和事件树管理界面；分析计算功能包括最小割集和定量计算模型；软件接口包括二次开发接口和数据兼容接口。

图1 NFRisk程序算法关系图Fig.1 NFRish programmed algorithm relations

[1]李兆桓 .概率安全分析讲义[M］.北京：中国原子能科学研究院研究生部，1987.

[2]BOUISSOU M.An ordering heuristic for building binary decision diagrams from fault－trees[C］Proceedings of the Annual Reliability and Maintainability Symposium.Las Vegas，Nevada 1996：208－214.

[3]ANTOINE R.New algorithms for fault tree analysis[J］.Reliability Engineering and System Safety，1993（40）：203－210.

[4]杨红义 .中国实验快堆设计阶段内部事件一级概率安全评价[D］.北京：中国原子能科学研究院，2004.

[5]W.E.维齐利，等 .故障树手册[M］.北京：原子能出版社，1987.

[6]曾声奎，等 .系统可靠性设计分析教程[M］.2001.

[7]Risk Spectrum Professional User Manual[Z］.1998.

[8]Risk Spectrum Analysis Tools User's Manual[Z］.1998.