（核能科学与工程专业论文）大型故障树分析的算法研究与系统设计.pdf

摘要 摘要 大型故障树分析软件是核电站概率安全分析的核心工具，是核电站设计、运 行、维修和管理必不可少的基本分析工具。发展具有自主知识产权的大型故障树 分析工具是我国核电安全与高速发展的必然需要。 大型故障树分析软件研制的难点主要在于其分析计算量非常巨大，且随故障 树规模的增长而成指数增加。如何在有限的计算机资源内快速获得分析计算的结 果，一直是研究人员重点关注的问题。本文重点研究了解决此问题所涉及到的关 键算法：( 1 ) 在数据存储方面，提出了页式存储的数据结构来存储故障树，并采 用z b d d 来存储最小割集；( 2 ) 在故障树结构优化方面，基于f a u n e t 提出了 一条吸收化简规则，可以进一步简化故障树，并改进了d u t u i t r a u z y 线性模块化 算法：( 3 ) 在定性分析方面，基于z b d d 提出了一种基本事件排序方法和割集 截断策略，以减少存储空间的消耗，提高定性分析的效率；( 4 ) 在定量分析方面， 提出了不展开z b d d 模块直接进行顶事件概率计算的方法，以减少顶事件概率 计算的不确定性。并针对这些方法，研究开发了一套完整高效的基于z b d d 的 大型故障树分析算法。同时通过大量的实际例题测试与校核，证明了这些算法的 正确性和有效性。 本文还设计了r i s k a f t a 软件系统的总体构架模式，即数据抽象模式、层 次化模式和m e d i a t o r 设计模式的混合模式，使得系统能够达到可靠性高、可扩 展性强、易于维护和升级等设计要求，较大地提高了开发效率和软件质量。大量 实际例题对r i s k a f t a 系统进行的反复测试，结果表明其功能和性能达到了设 计目标。具有自主知识产权的大型故障树分析软件r i s k a f t a 的成功研发不仅 可以满足我国快速发展的核电工业概率安全分析的需要，也可为其他相关软件的 发展提供技术平台和有益借鉴。 关键词：大型故障树：二元决策图；最小割集；顶事件概率；系统构架 本论文丁作得到中国科学院合肥物质科学研究院院长基金项目的支持。 l a b s t r a c t a b s t r a c t p i n gl i u ( m a j o r ：n u c l e a rs c i e n c ea n de n g i n e e r i n g ) d i r e c t e db yp r o f y i c a n 、v u t h ep r o b a b i l i t ys a f e t ya s s e s s m e n t ( p s a ) i sa l la n a l y s i sm e t h o du s e db o t hf o rt h ed e s i g na n dt h e o p e r a t i o no f an u c l e a rp o w e rp l a n tt oi d e n t i f ya n dt oa n a l y z ee v e r yp o s s i b l es i t u a t i o na n ds e q u e n c e o fe v e n t st h a tm i g h tr e s u l ti ns e v e r ec o n s e q u e n c e s 、m t ht h er a p i dd e v e l o p m e n to fn u c l e a rp o w e r s t a t i o n si nc h i n a , d e v e l o p i n ge f f e c t i v es o f t w a r ew i t hi n d e p e n d e n ti n t e l l e c t u a lp r o p e r t yr i g h t si s b e c o m i n gm o r ea n dm o r ei m p o r t a n t t h ed i f f i c u l t yi nd e v e l o p i n gt h el a r g e s c a l ef a u l tt r e ea n a l y s i ss o f t w a r ei st h a tc o m p u t a t i o n o v e r h e a di n c r e a s e se x p o n e n t i a l l yw i t ht h en u m b e ro fg a t e sa n de v e n t si naf a u l tt r e e n o w a d a y s ，i t i saw o r l d w i d ek e yi s s u et oe v a l u a t eal a r g e s c a l ef a u l tt r e eq u i c k l yw i t hl i m i t e dc o m p u t e r r e s o u r c e s s e v e r a le s s e n t i a la l g o r i t h m sf o rs o l v i n gt h o s ep r o b l e m sw i t ht h el a r g e s c a l ef a u l tt r e e sa r e p r e s e n t e di nt h et h e s i s ，w h i c hw e r ev e r i f i e db ya p p l i c a t i o nt op l e n t i f u lf a u l tt r e e so ft h en u c l e a r p o w e rp l a n t s 1 ) ad a t as t r u c t u r e ，c a l l e dp a g es t o r a g es t r u c t u r e ，i sp r e s e n t e df o rt h ef a u l tt r e e s s t o r a g e ，w h i l e m i n i m a lc u ts e t s 酃ee n c o d e di nz e r o s u p p r e s s e db i n a r yd e c i s i o nd i a g r a m s ( z b d d ) 2 ) an e wa b s o r b i n gr u l ei sp r e s e n t e da n du s e dt oc o m p l e m e n tt h ec l a s s i c a lf a u n e t , w h i c hi s u s e dt os i m p l i f yt h eb o o l e a ne x p r e s s i o nd u r i n gt h ep r e t r e a t m e n to ff a u l tt r e e s b e s i d e s ，t h e l i n e a r - t i m em o d u l a r i z a t i o na l g o r i t h mi si m p r o v e db a s e do nt h ep a g es t o r a g es t r u c t u r em e n t i o n e d a b o v e 3 ) a h e u r i s t i cv a r i a b l eo r d e r i n gs c h e m ea n dat r u n c a t i o ns t r a t e g ya r ep u tf o r w a r di no r d e rt o r e d u c et h ec o m p u t a t i o n a lc o s ta n di m p r o v et h ee f f i c i e n c yi nt h eq u a l i t a t i v ef a u l tt r e ea n a l y s i s 4 ) an e wm e t h o df o rc a l c u l a t i n gt h ep r o b a b i l i t yo ft h er o o te v e n tw i t h o u ts p r e a d i n go u tt h e m o d u l e si sp r o p o s e di nt h eq u a n t i t a t i v ef a u l tt r e ea n a l y s i s ，w h i c hc a p , r e d u c et h eu n c e r t a i n t yl y i n g i nt h er o o te v e n t sp r o b a b i l i t y 1 n h el a r g e s c a l es o r w a r er i s k a ，d e v e l o p e db yt h ef d st e a mi nt h ei n s t i t u t eo f p l a s m ap h y s i c s ， c h i n e s ea c a d e m yo fs c i e n c e s ，i sap r o f e s s i o n a ls o f t w a r es y s t e mu s e df o rp s aa n dr e l i a b i l i t y e v a l u a t i o n ah y b r i dd e s i g np a t t e r n ，w h i c hc o m b i n e st h ed a t aa b s t r a c tp a t t e r n ，m u l t i l e v e lp a t t e r n a n dm e d i a t o rp a r e r nt o g e t h e r , i sd e p l o y e di nr i s k a f t a sf r a m e w o r kd e s i g n t h i sp a t t e r nn o t o n l ye n s u r e st h es y s t e m sr e l i a b i l i t y , e x p a n d a b i l i t ya n dm a i n t a i n a b i l i t y , b u ta l s oi m p r o v e st h e s o f t w a r e sq u a l i t y t h es u c c e s s f u ld e s i g na n dd e v e l o p m e n to fr i s k a f 1 aw o u l do f f e rap l a t f o r m a n d 锄b er e f e r e n c e db yo t h e rs o f t w a r e ，i n c l u d i n ge v e n tt r e ea n a l y s i ss o f t w a r e ，r i s km o n i t o r s y s t e m ，a n ds oo n k e yw o r d s ：l a r g e s c a l ef a u l tt r e e ；b i n a r yd e c i s i o nd i a g r a m ；m i n i m a lc u ts e t ；p r o b a b i l i t yo ft o p e v e n t ；d e s i g np a r e m 1 1 l i sw o r kh a sb e e ns e p p o r t e db yt h es p e c i a lf o t m d m i o no f h 痢i n s t i t u t e so f p i 聊i a is c i a i c c c h i n e s ea 臼d 咖吖o f s o e n s 独创性声明 本人呈交的学位论文，是在导师的指导下，独立进行研究工作所取得的成果， 所有数据、图片资料真实可靠尽我所知，除文中已经注明引用的内容外，本学 位论文的研究成果不包含他人享有著作权的内容对本论文所涉及的研究工作做 出贡献的其他个人和团体，均已在文中以明确的方式表明本学位论文的知识产 权归属于培养单位 学位论文作者签名： 签字日期：年月1 3 学位论文版权使用授权书 本学位论文作者完全了解 有关保留使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和 借阅本人授权 可以将学位论文的全部或部分内容输入有关 数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文 ( 保密的学位论文在解密后适用本授权书) 学文论文作者签名：导师签名： 签字日期：年月 日 签字日期：年, e 1日 学位论文作者毕业去向： 工作单位： 通信地址： 电话： 邮编： 第一章前言 第一章前言 1 1 研究背景 概率安全分析( p s a ，p r o b a b i l i s t i es a f e t ya n a l y s i s ) 又称概率风险分析( p r a ， p r o b a b i l i s t i cr i s ka n a l y s i s ) 或定量风险分析( q r a ，q u a n t i t a t i v er i s ka n a l y s i s ) ，是 2 0 世纪7 0 年代以后发展起来的一种系统工程方法。它采用系统可靠性评价技术 和概率风险评价方法对复杂系统的各种可能事故的发生和发展过程进行全面分 析，综合考虑它们的发生概率以及造成的后果，从而全面研究核电厂系统设计和 运行的风斟。 概率安全分析自1 9 7 4 年首次在大型核电站的事故风险分析中使用以来，已 引起全世界的普遍关注并得到广泛的应用乜m m 。特别是1 9 7 9 年美国的三哩岛核 电站发生的空前严重的事故进一步证明单纯使用确定论评估法米进行安全评价 是不够的。确定论评估法是一种以设计基准事故( 指核电厂按确定的设计原则在 设计中采取了针对性措施的那些事故工况) 为基础进行安全评价的方法哺1 。该方 法认为所设置的安全设施若能够防范这些假想事故，就必然能防范其他各种事 故，至于比设计基准事故更为严重的事故，则因为它们发生的概率较低而不予考 虑。确定论评估法会使人们忽视一些看来不太严重的随机事件，而在复杂系统中 这类事件却可能产生极为严重的后果。因此，国际核能界在总结美国三哩岛核事 故和前苏联切尔诺贝利核事故经验教训的基础上，在核安全的相应法规条文中明 确提出要使用概率安全分析的方法进行风险评估1 。国家核安全局为适应我国当 前核电发展的需要，使新建核电厂的安全水平与国际水平基本接轨，在充分研究 国际核安全标准以及我国现行标准和综合技术能力之后，在广泛征求国内有关政 府部门、核电企业集团、研究单位和核电厂意见的基础上，于2 0 0 2 年8 月颁布 了新建核电厂设计中几个重要安全问题的技术政策。该文件阐明了在设计中 必须进行概率安全分析的原则。随后颁布的新版核动力厂设计安全规定更是 明确提出了需要使用概率论方法口，即在假设始发事件、安全重要物项所受影响、 破坏后果以及后果的全面评价等方面，均要求使用确定论评估方法和概率安全分 析方法来进行审查。 进行概率安全分析的基本工具就是p s a 软件。目前在核领域比较著名的p s a 软件包括r e l c o na b 公司的r i s k s p e c t r u m 、s c i e n t e c h 公司的w i n n u p r a 、 大型故障树分析的算法研究与系统设计 i n e e l 的s a p h i r e 、e p r i 的c a f t a 、i s o g r a p h 公司的f a u l tt r e e 十、i t e m 公司 的i t e mt 0 0 i k i t 等。我国在核电概率风险评价方面还处于探索起步阶段，到目前 为止，还没有具有自主知识产权并经过认证的p s a 基本分析工具。目前，核电 行业的概率安全分析使用的均为国外的商用软件。由于体制、利益等方面的原因， 国外公司不可能根据我国不同核电站需要及时改变其软件的功能，或专门为我国 开发以p s a 为核心的特殊应用软件，如用于核电站风险安全监控、优化核电站 维修计划和核电管理等方面的软件。对国外软件的依赖必将会制约p s a 方法在 我国核电站的深入应用。因此，在我国核电正进入高速发展期的今天，发展具有 自主知识产权的p s a 软件工具以对核电站的运行、维修和管理进行优化已成为 非常紧迫的任务。 为此，中国科学院等离子体所反应堆技术研究室与国内外多家科研机构协作 建立的f d s 团队专门成立了p s a 研究课题组，目前正在从事具有自主知识产权 的p s a 系列工具r i s k a 及其相关应用方面的研究，以期为优化核电站的运行、 维修和管理提供必不可少的技术支撑。 p s a 是把整个系统的失效概率通过结构的逻辑性推理与它各个层次的子系 统、部件的失效概率及外界条件等联系起来，从而找出各种事故发生的概率。它 是一种能够进行定量风险评估的方法，以事件树和故障树作为基本分析工具隆】。 而事件树分析的基础是故障树分析臼1 ，因此故障树分析是进行p s a 的基础，它的 性能直接影响着p s a 的效果，是整个p s a 中最重要、最核心的部分。 1 2 大型故障树分析软件发展现状 自1 9 6 1 年故障树分析的方法提出以来，已经发展了许多故障树分析代码。 l i t t o n 和e r i c s o n 将故障树的分析代码按在大型机还是在微机上开发运行分为两个 阶段儿引：一个阶段是1 9 6 5 年至1 9 9 0 年；另一个阶段是1 9 9 1 年至今。 在1 9 6 5 1 9 9 0 年期间的特点是： 1 ) 发展了各种各样的故障树分析方法： 2 ) 在大型计算机上使用f o r t r a n 或f o r t r a n 加汇编代码开发故障树分 析代码； 3 ) 计算机的处理性能有限。 这个阶段比较著名的代码有p r e p k i t r 、e l r a f t 、m o c u s 、t r e e la n d 2 第一章前言 m i c s u p 、s e t s 、f t a p 等。这个时期，由于计算机内存比较小、计算速度不够 快以及分析方法不完善等方面的原因，故障树分析软件还无法处理大型故障树。 自1 9 9 1 年以后，随着故障树分析算法不断改进和计算机技术突飞猛进的发 展，故障树分析软件主要进行了下列方面的改进： 1 ) 将故障树分析软件开发和运行移植到微机上： 2 ) 用可视化的图形输入代替原来的文件输入形式： 3 ) 改进了分析算法，提高了分析效率和处理速度，能够处理更大规模的故 障树； 4 ) 用户界面更友好、使用更方便。 目前在核领域比较著名的故障树分析软件有r e l c o na b 公司的r i s k s p e c t r u m 、 d s & s ( d a t as y s t c m sa n ds o l u t i o n ) 的f o r t e 、s c i e n t e c h 公司的w i n n u p r a 、 f n e e l 的s a p h i l 迮、e p r j 的c a f t a 等。这些软件的主要功能有：能够编辑故障 树图形；编辑基本事件、参数等数据；能够分析大型故障树的最小割集；能够对 故障树进行量化分析，包括顶事件失效概率的计算、不确定性分析和重要度分析 等。但各软件也存在一些细微功能上的差别如w i n n u p r a 可以导入s e t s 的文件， f o r t e 可以导入f t a p 、k i r a p 或s e t s 的文件，r i s k s p e c t r u m 可以合并故障树等。 按可靠性数据的存储方式可以分为两类：一类是使用数据库，如r i s k s p e c t r u m 的 数据存于a c c e s s 数据库，s a p h i r e 的数据存储于s a g e 数据库等；另一类是使用 文件方式保存，如w i n n u p r a 、c a f t a 、f o r t e 等。在软件系统的构架上，可 以分为紧耦合型和松散型。r i s k s p e c t r u m 为紧耦合型，软件系统为一个整体，功 能模块是通过函数调用的方式进行关联的，用户可通过基于w i n d o w s 界面使用所 有的功能；c a f t a 、w i n n u p r a 和f o r l r e 为松散型结构，功能模块为独立的 程序，用户通过命令行的方式使用这些功能，如w i n n u p r a 包括五个独立的模 块，模块之间关联通过数据文件来完成。在处理故障树的规模上各有不同，如 r i s k s p e c t r u m n 蚰对基本事件、门和最小割集数没有数量上的限制，唯一的限制是 运行分析的计算机内存；f o r t e t m 对基本事件、门、初因事件和房型事件的总和 的限制是2 剐一1 ，对个门下的最小割集的限制数为2 劓一l ：w i n n u p r a 【l 妇的最 小割集限制数为6 0 0 0 0 ，最小割集项( 布尔项) 为1 0 0 0 0 0 0 。在运行速度方面这 些软件都得到用户的接受，并己被广泛应用。 我国核电行业对p s a 的研究起步于1 9 8 6 年，当时国家核安伞局组织清华大 大型故障树分析的算法研究与系统设计 学、中国原子能科学研究院以及核工业部第二设计研究院等单位对正在新建的大 亚湾核电站进行了p s a 。由于当时我国并没有经过认证的用于核电行业的大型 p s a 软件，所以选用的是美国研制的经典p s a 程序s e t s 。由于s e t s 程序对故障 树的规模有限制，而且处理速度比较慢，现已很少被使用。现在我国核电行业的 p s a 主要是使用瑞典r e l c o na b 公司的r i s k s p e c t r u m 。中国科学院等离子体所反应 堆技术研究室与国内外多家科研机构协作建立的f d s 团队从2 0 0 2 年起开始发展 一套具有自主知识产权的概率安全可靠性分析专业软件系统r i s k a n 9 1 ，可用于 核能、航空、航天、兵器、电子、国防、通讯、石油化工等复杂系统领域。目前 r i s k a 的原型已完成。r i s k a 的研制成功将能为我国核电p s a 研究领域提供具有自 主知识产权的分析工具，以满足我国快速发展的核电工业概率安全分析的需要。 1 3 大型故障树分析方法的关键点 故障树的最小割集分析算法复杂度是随故障树的规模成指数增长的旺1 ，数百 个基本事件和逻辑门就可能产生百万割集，如一棵由2 9 9 个基本事件和3 4 2 个逻 辑门构成的故障树，它的最小割集数目就超过6 4 0 0 0 0 0 0 阻1 。分析这类大型故障树 需要耗费大量的计算机资源，甚至利用现有的计算机资源无法分析出结果。而核 电站是用反应堆将核燃料裂变产生的能量转变为电能的发电厂，是由核岛( 主要 包括反应堆、蒸汽发生器) 、常规岛( 主要包括汽轮机、发电机) 和配套设施组 成的大型复杂系统，通常包括了几十甚至几百个子系统以及成千上万的部件。因 而，它的故障树分析模型含有几百个基本事件和逻辑门是很常见的，如某核电站 概率分析模型包含1 2 大类初因事件、6 4 个子初因事件、6 6 棵事件树、3 个核安 全相关系统的可靠性分析及相关设备的失效模式与效应分析、2 5 8 1 个基本事件、 4 9 0 个严重安= 拿= 事故序列( 导致堆芯熔化) 例。 由于计算机的资源( 内存和运算速度) 是有限的，因此，不可能在有限的时 间内处理无限规模的故障树模型。如何有效地利用有限的计算机资源在尽可能短 的时间( 秒级) 内分析大型复杂故障树模型，主要存在下列几个方面的关键点： ( 1 ) 故障树结构优化 分析人员在构建故障树时，一般不考虑构建的故障树是否有冗余、结构上是 否优化、节点是否为最少或是否存在循环等问题。故障树分析的工作量将随着故 障树规模成指数的增长，因此需要分析并优化故障树模型，在不改变故障树模型 4 第一章前言 的逻辑关系情况下尽量减少故障树节点数( 包括基本事件和逻辑门的数目) ，才 能提高故障树分析的效率。因此，故障树智能优化是减小计算量、提高分析效率 一个关键点。 ( 2 ) 定性分析 故障树定性分析目的是找出系统或单元可能出现的故障模式。所谓故障模式 是指这样的基本事件集合：当集合中的基本事件全部发生时，顶事件必然发生： 且若集合中的基本事件不完全发生，顶事件必然不发生。在故障树分析中把故障 模式也称为最小割集。n 个基本事件的故障树，最多可以有( l ；j ) 个最小割集心。 故障树的定性分析计算量非常大，是一个n p 问题阳1 。对于核电站这样的复杂系统， 求解更为困难，耗时更长。因此定性分析算法的好坏直接决定着故障树分析的效 率。设计一个快速高效的定性分析算法，一直是故障树分析软件设计者孜孜追求 的目标，也是这种软件能否满足核电运行时概率安全分析的关键所在。 ( 3 ) 截断与化简技术 故障树分析是利用布尔代数规则展开故障树的结构函数，求出割集，再对所 有割集进行布尔吸收归并得到最小割集。对于大型故障树来说，由于割集数目巨 大( 对于几百个基本事件和逻辑门的故障树的割集数目就可能超过千万个) ，需 要耗费大量的化简时间，这将对分析效率产生很大的影响。因此，如何设计并实 现布尔化简算法使之能在尽可能短的时间内化简割集得到最小割集是直接影响 分析效率的一个关键因素。 此外，在核电站的故障树分析中，往往只关心符合一定要求的最小割集，如 割集概率大于某个值或割集阶数( 项数) 小于某个值的最小割集。如果能提前舍 去不符合要求的最小割集，则可以较大地减小故障树分析的工作量。在故障树展 开过程中，采取怎样的策略提前预估割集概率或割集阶数，尽早舍去不符合要求 的割集，以减少分析的工作量提高分析效率，是直接影响分析效率的另一关键因 素。 ( 4 ) 定量分析算法 故障树的定量分析主要包括：故障树顶事件的发生概率的计算、不确定性分 析以及底事件或割集的重要度计算等。故障树顶事件发生概率有精确计算和近似 计算两种计算。如果欲求出精确值。原则上可用概率论中的“容斥原理”计算， 5 大型故障树分析的算法研究与系统设计 但计算过程繁琐。尤其当最小割集数目很大时，就会产生“组合爆炸”问题。例 如某包含4 0 个最小割集的故障树，如按容斥原理计算其失效概率，共有2 如一1 1 1x1 0 控项，且每一项又是许多底事件的连乘积。因此需要设计一种策略或算 法来快速计算顶事件的概率。同样的问题也存在于不确定性分析和重要度分析 中。 总之，大型故障树的分析非常繁琐，需要耗费大量计算机资源，而且耗时很 长。因此，如何设计实现快速高效分析算法是设计人员一直在研究的热点问题。 它既是核电运行时的概率安全分析的前提，也是大型故障树分析软件所追求的目 标。各著名的核电概率安全分析公司还在不断地改进、完善其推出的软件版本， 提高处理性能。如r e l c o na b 公司自1 9 7 8 年推出第一个故障树分析软件以来一 直在不断地完善其功能、提高其性能，并于2 0 0 6 年推出了能够计算精确顶事件 概率的版本，并正在研究用b d d 方法处理的新版故障树分析软件。 1 4 论文研究目标与内容框架 1 4 1 论文研究目标 分析当今世界范围内比较先进的商用故障树分析软件，结合核电站的要求， 确定r i s k a f t a 的功能需求和设计原则，设计p d s k a f t a 的总体构架，使其达 到高可靠性、可扩展性、可维护性、易升级、可定制化等设计e l 标。 系统分析目前先进的大型复杂故障树定性和定量分析算法，研究发展一套完 整高效的定性定量分析算法，并实现一个软件系统，使之能在微机上完成大型故 障树分析，为p s a 在核电领域或其他领域的深入应用提供基础支持。 r i s k a f t a 的成功研制，将能够为我国核电领域提供具有自主知识产权的大 型故障树分析工具，摆脱国外软件的束缚，进一步推进p s a 技术的深入应用， 对于我国核电的安全发展具有重要的意义。 1 4 2 主要内容框架 第一章是文章的前言部分，在这一章中介绍了论文的研究背景，分析了大型 故障树分析软件发展现状，并指出发展这类软件的技术关键点，最后给出了论文 研究目标和主要内容框架。 第二章根据核电站p s a 对故障树分析系统的要求以及r i s k a f t a 系统在 r i s k a 系列软件的地位，确定了r i s k a f t a 系统的设计目标、功能需求和设计原 6 第一章前言 则，并给出了r i s k a - f t a 系统中故障树分析的流程：描述了软件系统构架设计 的概念和目标，分析了软件系统构架搭建的难点，设计了r i s k a f t a 系统的体 系构架：并采用面向对象的系统分析方法划分了功能模块；在分析大型故障树结 构特点的基础上，提出了故障树页式存储的数据结构，并分析了这个数据结构的 特点。 第三章主要研究大型故障树预处理过程中所涉及的各种算法，重点研究了故 障树逻辑化简和模块化算法。针对r i s k a f t a 的故障树分析流程的特点，设计 了r i s k a - f t a 故障树预处理流程；在故障树f a u n e t 化简规则的基础上，提出 了条新的化简规则吸收规则，可以进步化简故障树；设计了r i s k a f t a 故障树逻辑化简的算法，并用实际例题测试了其效果；分析了d u t u i t r a u z y 线性 模块化算法，结合故障树页式存储的数据结构改进了该算法；设计了改进的线性 模块化方法的递归算法。 第四章主要研究了大型故障树定性分析过程中所涉及的各种算法。简单介绍 了故障树定性分析相关的基本概念；系统描述了基于b d d 的故障树分析方法的 相关理论；分析了z b d d 的定义、与b d d 的区别以及使用z b d d 编码大型故障 树的优势；提出了基于z b d d 的大型定性分析方法流程及相关处理方法：根据 z b d d 的特点，提出了一种基于z b d d 的基本事件排序方法来减少z b d d 结构 的规模，并通过实际的故障树测试了其有效性；为高效地处理大规模故障树，提 出了基于z b d d 的截断策略和截断方法，并给出了其递归算法等。最后设计了 r i s k a - f t a 使用的基于z b d d 定性分析所涉及的全部算法，论文中还给出了部 分主要算法并通过实际故障树测试了算法的效果。 第五章主要研究大型故障树的顶事件概率计算、不确定性分析和重要度分析 等定量分析方法。分析了几种常用的顶事件概率计算方法及特点，提出了一种基 于z b d d 的顶事件概率计算方法，并给出了其递归算法；设计了基于z b d d 的 f u s s e l l - v e s e l y 割集重要度和r a w 重要度的递归算法；系统分析了不确定性分析 的概念及常用方法的特点，给出了r i s k a f t a 的基于蒙特卡罗模拟的不确定性 分析方法；最后给出了r i s k a f t a 的校核与测试结果。 第六章给出了本文的总结和对未来研究的展望。 大型故障树分析的算法研究与系统设计 第二章系统的总体设计 2 1 系统设计目标与功能 2 1 1 系统设计目标 r i s k a f t a 是专门为核电站开发的并具有自主知识产权的故障树分析工具， 其目的是为了快速完成大型故障树的定性分析和定量计算，包括最小割集分析、 顶事件概率计算、不确定性计算和重要度计算等。它既可以作为独立的工具使用， 也可以为概率安全分析的其他功能或应用( 事件树分析、实时风险管理等) 提供 故障树分析支持。 2 1 2 系统功能需求 功能需求是指软件必须执行的功能，被用来定义系统的行为即软件在某 种输入条件下要给出确定的输出必须做的处理或转换，使用户利用系统能够完成 他们的任务，从而满足业务需求。功能需求通常是软件功能的“硬指标”。 r i s k a f t a 的功能需求是在充分分析现有核电行业流行的故障树分析软件功能 的基础上，结合我国核屯行业p s a 分析人员的实践经验并针对他们的使用特点， 遵循实用、合理、易用的原则而提出的。主要功能需求如下： ( 1 ) 能以图形方式直观地输入故障树。为了输入大型的故障树，故障树采用 分页管理的方式，页与页之间用转换门连接。并可用图形的方式方便直 观的新增、删除、搜索和修改故障树节点( 门或基本事件) 。同时具有跳 转、分割和合并转换页等功能。 ( 2 ) 能通过图形输入和基本事件管理列表两种方式来增加、修改和删除故障 树的基本事件，可以输入、查询、删除和编辑基本事件的信息。 ( 3 ) 可以新建、删除、查询、修改共因失效组和失效模型相关的六类参数信 息。 ( 4 ) 能以故障树的任何门结点作为顶事件进行定性定量分析，包括分析计算 该顶事件的最小割集、顶事件的平均失效概率、与时间相关的失效概率， 以及不确定性分析和各种重要度分析等。 ( 5 ) 通过建立分析实例的方式，能同时定性定量分析多棵故障树。 ( 6 ) 用户可设定输出格式，预览并打印故障树，并且能以表格或文档的形式 预览并打印故障树的分析计算结果及基本事件信息等，可在屏幕上输出 8 第二章系统的总体设计 分析计算结果的饼图、直方图、曲线图等。 ( 7 ) 能够方便导入其他p s a 软件的故障树模型，如r i s k s p e c t r u m 、c a f t a 等，并自动完成模型转换，避免了分析人员的重复建模。 2 2 系统设计原则 系统设计原则是设计时要考虑的总体原则。r i s k a f t a 必需满足核电行业对 使用软件特殊要求、p s a 软件各种应用和未来发展，为此，提出下列的设计原则： ( 1 ) 可信性原则 可信性是指系统分析计算的结果必须权威可信，能被核电p s a 分析人员理解 和认可。这是故障树分析软件成功的前提。对于大型故障树，由于计算机资源和 对分析时间的限制要求，不能获得所有的最小割集或因“组合爆炸”问题不能运 用容斥原理来精确计算项事件的失效概率，需要使用一些近似的方法来产生计算 结果。不同的软件用于分析相同的故障树因其近似处理方法的不同可能会产生微 小的差别。因此在系统设计时，使用的分析方法和近似手段必须得到认可。 ( 2 ) 可靠性原则 软件可靠性是软件按规定的条件，在规定的时间内运行而不发生故障的能 力。软件的故障是由于它固有的缺陷导致错误，进而使系统的输出不满足预定的 要求，造成的故障。所谓按规定的条件主要是指软件的运行( 使用) 环境，它涉 及软件运行所需要的一切支持系统及有关的因素，如支持硬件、操作系统及其他 支持软件、输入数据的规定格式和范围、操作规程等。在核电站使用的软件对可 靠性的要求特别高。为保证r i s k a f t a 软件可靠性，需在系统设计的各个环节 采取各种措施，如在需求分析阶段，制订出软件的技术规格书，说明测试软件的 方法、完整的软件技术要求、准确和规范用语等；在设计阶段采用自顶向下设 计、面向对象的程序设计、容错设计、模块化设计等；在编码阶段，应尽可能早 地查出缺陷并予以改正；在检验阶段，对软件进行静、动态调试，发现其中的缺 陷，并加以清除；软件的测试按照模块测试、集成测试和系统测试的次序依次进 行，最终确认软件的全部功能是否正确而完全地实现。另外，在容错设计上，对 于一般的用户操作或使用不当可采用提示警告；对于由于计算机资源限制不能 处理的超大型故障树，采用动态限制法：为保证软件故障时数据的安全，可采用 内外存数据隔离的方式等。 9 大型故障树分析的算法研究与系统设计 ( 3 ) 实用性原则 实用性是指软件的功能和性能满足核电站概率安全分析的需要。在核电站使 用这种软件的用户一般为专业的p s a 分析人员。针对其特点，除了在功能设计 上简单实用外，在界面设计上要采用专业的用语和表达方式：使用上要非常灵活。 性能上不仅要满足设计时概率安全分析的要求，而且要满足运行时概率安全分析 的要求。 ( 4 ) 可重用性原则 r i s k a f t a 为一个复杂的大型软件系统，其代码重用性高可以提高软件生产 率和可靠性。同时p d s k a f t a 又是p s a 的核心子系统，它不仅能独立地定性定 量分析大型故障树，还必须能为p s a 其他的分析提供故障树分析支持( 如事件 树分析、实时风险管理等) 。所以必须设计合理系统构架，提高设计结果的重用 性，方便其他系统的调用。 ( 5 ) 可扩展性原则 未来随着r i s k a f t a 应用的深入，其功能可能需要调整和扩展。为了满足这 个需求，必须采用分层的软件框架结构模型，避免功能的扩展与吏改时软件的重 构。在模块设计时采用面向对象设计中的开闭原则，即一个模块应该对功能的扩 展开放，支持新的行为，对自身的更改封闭，使扩展软件功能的时候不修改和影 响已有的功能。 ( 6 ) 可维护升级原则 软件可维护性是指维护人员理解、修改软件的难易程度。在软件的整个生命 周期内，可维护性是很重要的。软件的特点就是应变性比较差，好的系统构架可 以为系统带来了好的可维护性。同时故障树定性定量分析的技术还在不断发展 中，所以在设计时要充分考虑技术的升级不会导致软件的重构。因此可以采用面 向对象的单一职责原贝o ( s r p , s i n g l er e s p o n s i b i l i t yp r i n c i p l e ) ，一个模块的功能应 该尽可能的内聚。如果一个类发生了变化，引起变化的原因应该有且只有一个： 采用依赖倒置原则( d 1 只d e p e n d e n ti n v e r s ep r i n c i p l e ) ，高层模块不应该依赖于底层 模块，抽象不应该依赖于细节，细节应该依赖于抽象；采用针对于接口( 抽象) 编程，而不要针对于实现( 具体) 编程，降低程序各个部分之间的耦合性，使程 序模块互换成为可能，以提高可维护升级性。 l o 第二章系统的总体设计 2 3 故障树分析处理流程 r i s k a f t a 的主要功能是对输入的故障树模型进行最小割集分析、顶事件概 率计算、重要度分析、敏感性分析和不确定性分析等。根据系统的目的和功能需 求，可以确定其分析处理流程如图2 - 1 所示。 圈2 1r is k a - f t 的故障树分析处理漉程 分析处理流程主要分为三个部分：故障树输入修改、故障树分析计算和计算 结果显示打印。 ( 1 ) 在故障树的输入修改部分，主要进行故障树及相关信息的输入和修改， 包括故障树结构信息、基本事件属性及其失效模型、共因失效信息及模型、参数 信息等，并形成故障树存储的数据结构，为以后的分析计算提供条件。 ( 2 ) 故障树分析计算是通过故障树计算实例来管理的，每个故障树实例包含 一一：一：一一：一：一：一：一 大型故障树分析的算法研究与系统设计 故障树分析所需要的信息包括故障树项门、一组房型事件取值、计算结果类型、 概率截断值和阶数截断值以及敏感性和不确定性分析所需信息。一个故障树实例 只能管理一个顶事件，若需要处理多个顶事件，可以设定多个故障树实例来完成。 一个故障树实例分析主要由以下几个步骤构成： 第一步建立以选择的顶门为顶事件的故障树计算实例； 第二步形成该实例的故障树计算结构； 第三步对故障树进行预处理包括化简、模块化、重构等，目的是减小故障 树规模，提高分析速度； 第四步模块和基本事件编号，为计算作准备； 第五步分析故障树的最小割集； 第六步计算顶事件概率和各种重要度；若需要，还可进行敏感性和不确定 性分析。 ( 3 ) 计算结果的显示打印主要是实现在屏幕上或在打印机上输出故障树及其 计算结果。 2 4 r is k a - f t a 系统构架设计 构架代表了系统公共的高层次的抽象，是一个软件系统中的核心元素，是系 统中最难改变的部分，也是构建软件系统中其他部分所依赖的基础，因此系统构 架的好坏会从根本上决定基于这个构架所构建的软件系统的质量，它是系统设计 成败的关键恤1 。因此如果一个构架构建的正确，也就是说能够真实的反映出系统 的本质，那么就可以使基于该构架构建的系统具有比较长的生命力，否则该系统 的质量就会逐渐的降级，直至崩溃。系统构架的构建一直是软件开发过程中的一 项重要工作，同时也是一项很困难的工作。 2 4 1 构架设计的一般概述 ( 1 ) 构架概念 软件系统的构架是通过接口交互的重要构件( 在特定时间点) 的组织或结构， 这些构件又由一些更小的构件和接口组成。 一般而言，软件系统的构架有两个作用： 1 ) 是一个软件系统从整体到部分的最高层次的划分。一个系统通常是由构 件组成的，而这些构件如何形成、相互之间如何发生作用，则是关于这 1 2 第二章系统的总体设计 个系统本身结构的重要信息。 2 ) 是建造一个系统所做出的最高层次的、以后难以更改的、商业的和技术 的决定。在建造一个系统之前会有很多的重要决定需要事先做出，而一 旦系统开始进行详细设计甚至建造，这些决定就很难甚至无法更改。显 然，这样的决定必定是有关系统设计成败的最重要决定，必须经过非常 慎重的研究和考察。 ( 2 ) 构架设计的目标 软件构架设计主要达到如下的目标： 可靠性( r e l i a b l e ) 。软件系统对于用户的商业经营和管理来说极为重要， 因此软件系统必须非常可靠。 安全性( s e c u r e ) 。软件系统所承担的交易的商业