李 彪，郭 明，吳 飛

（海軍工程大學(xué)核科學(xué)技術(shù)學(xué)院，武漢 430030）

高后果系統(tǒng)的安全性評(píng)估是當(dāng)前安全分析與評(píng)估領(lǐng)域的難點(diǎn)與熱點(diǎn)問(wèn)題之一。常見(jiàn)的高后果系統(tǒng)有：核武器、核電廠、化工廠、發(fā)電廠等，這些系統(tǒng)儲(chǔ)存和傳輸大量的能量，往往由于意外或人為的惡意破壞而遭受災(zāi)難性的損失，因此，需要設(shè)計(jì)特殊的安全系統(tǒng)，以使其事故發(fā)生的概率降至最低。對(duì)高后果系統(tǒng)的安全性評(píng)估，由于無(wú)法開(kāi)展系統(tǒng)級(jí)的安全試驗(yàn)，采用常規(guī)的手段難以獲得較高的預(yù)測(cè)性和可信度。

針對(duì)上述難題，美國(guó)桑迪亞國(guó)家實(shí)驗(yàn)室以核武器起爆安全為研究對(duì)象，提出了3個(gè)安全原則：隔離、非操作性和互斥性［1，2］，建立了喪失確定性安全概率（Probability of loss of assured safe?ty，PLOAS）模型，并逐步應(yīng)用于核武器安全性的評(píng)估。PLOAS為高后果系統(tǒng)安全性評(píng)估提供了一套全新的思路，隨著PLOAS相關(guān)理論的發(fā)展，PLOAS模型開(kāi)始在核反應(yīng)堆、化工廠等多個(gè)高后果系統(tǒng)的安全性評(píng)估中應(yīng)用。本文從基本原理、發(fā)展歷程和發(fā)展趨勢(shì)等方面對(duì)PLOAS相關(guān)理論進(jìn)行總結(jié)，為高后果系統(tǒng)安全性評(píng)估提供參考。

1 PLOAS方法概述

PLOAS方法是在核武器起爆安全性評(píng)估的基礎(chǔ)上發(fā)展起來(lái)的，同時(shí)對(duì)其他高后果系統(tǒng)的安全設(shè)計(jì)有著深刻的影響。本節(jié)主要簡(jiǎn)介高后果系統(tǒng)主要原則，并通過(guò)一個(gè)燃?xì)鉅t的安全控制系統(tǒng)實(shí)例，給出PLOAS的基本原理。

1.1 可預(yù)測(cè)的安全設(shè)計(jì)原則

為了強(qiáng)調(diào)高后果系統(tǒng)可預(yù)測(cè)的安全性評(píng)估，文獻(xiàn)［1］和文獻(xiàn)［2］提出了隔離、非操作性和互斥性3項(xiàng)安全設(shè)計(jì)原則。隔離，即通過(guò)堅(jiān)固的物理屏障將內(nèi)部運(yùn)行系統(tǒng)和外部環(huán)境進(jìn)行隔離，使得內(nèi)部控制系統(tǒng)不會(huì)暴露在異常環(huán)境中，同時(shí)免受虛假能量或信息的無(wú)意激活。在正常操作環(huán)境和低至中等強(qiáng)度的異常環(huán)境中隔離裝置能確保系統(tǒng)的安全。但是，在高強(qiáng)度環(huán)境中，如在高速撞擊或推進(jìn)劑火災(zāi)情況下，屏障最終會(huì)失效，此時(shí)需要應(yīng)用非操作性原則，即在內(nèi)部系統(tǒng)中，通過(guò)一個(gè)或多個(gè)脆弱元件在隔離屏障失效之前永久故障或失效，來(lái)阻止災(zāi)難性后果的發(fā)生，因?yàn)榇嗳踉挠谰檬?huì)使控制系統(tǒng)失效，從而關(guān)閉內(nèi)部系統(tǒng)的運(yùn)行。這些脆弱元件被設(shè)計(jì)成依賴于可預(yù)測(cè)的化學(xué)或物理性質(zhì)，對(duì)異常環(huán)境作出被動(dòng)響應(yīng)（即不需要任何操作就可以自動(dòng)永久失效），因此更具可預(yù)測(cè)性［3］。實(shí)際上，脆弱元件可能需要多個(gè)弱點(diǎn)來(lái)覆蓋可能威脅隔離的各種環(huán)境（如熱環(huán)境、擠壓環(huán)境等）。互斥性原則即實(shí)現(xiàn)隔離屏障內(nèi)外正常的通信能可靠的傳遞，而意外生成的通信無(wú)法兼容，從而確保無(wú)論是正常環(huán)境還是異常環(huán)境，正常的通信信息不可復(fù)制。不同的高后果系統(tǒng)，通信具有不同的特點(diǎn)，如核武器系統(tǒng)中，通信僅在精心控制的作戰(zhàn)行動(dòng)下傳遞一次，在某些高后果系統(tǒng)，通信可能不是人為控制，而是由其他信息（如溫度等）進(jìn)行控制。

1.2 燃?xì)鉅t安全控制系統(tǒng)設(shè)計(jì)示例

為直觀地介紹PLOAS的基本原理，以燃?xì)鉅t為研究實(shí)例，假設(shè)燃?xì)鉅t為高后果系統(tǒng)，異常環(huán)境主要是熱環(huán)境和電磁環(huán)境（如火災(zāi)和雷電）。為簡(jiǎn)單起見(jiàn)，我們主要目的是想防止控制閥的意外激活，其他情況，如控制系統(tǒng)上游的輸氣管道破裂將不在此討論。按照隔離、非操作性和互斥性原則，設(shè)計(jì)可預(yù)測(cè)的安全控制系統(tǒng)如圖1所示。首先，通過(guò)金屬等加固殼體將燃?xì)忾y與外部環(huán)境隔離，從而屏蔽雷電等常見(jiàn)的異常環(huán)境。外部驅(qū)動(dòng)信號(hào)通過(guò)一個(gè)通道與內(nèi)部燃?xì)忾y連接，這個(gè)通道是隔離屏障的組成部分，稱之為強(qiáng)鏈接（StrongLink，SL）。然后，在隔離屏障內(nèi)部的燃?xì)夤芫€上設(shè)計(jì)一個(gè)脆弱元件，當(dāng)外部出現(xiàn)強(qiáng)烈的熱環(huán)境（如火災(zāi)），在熱環(huán)境突破隔離屏障之前，脆弱元件已經(jīng)永久失效，從而阻止系統(tǒng)的運(yùn)行，避免高后果事故的發(fā)生，這個(gè)脆弱元件部分，稱之為弱鏈接（WeakLink，WL）。遵循非操作性原則，脆弱元件的設(shè)計(jì)目標(biāo)需要根據(jù)物理特性設(shè)計(jì)成被動(dòng)的、直接的和不可逆的失效，比如本案例可以通過(guò)在燃?xì)夤艿纼?nèi)插入某種易熔線來(lái)實(shí)現(xiàn)。最后是邏輯控制系統(tǒng)的設(shè)計(jì)，該系統(tǒng)的目的是根據(jù)溫度傳感器傳回的溫度和溫度調(diào)節(jié)器的設(shè)置，控制強(qiáng)鏈接，并通過(guò)強(qiáng)鏈接給燃?xì)忾y發(fā)送驅(qū)動(dòng)信號(hào)。邏輯系統(tǒng)需要通過(guò)獨(dú)特碼（UN碼）啟動(dòng)強(qiáng)鏈接，驅(qū)動(dòng)信號(hào)才能通過(guò)啟動(dòng)的強(qiáng)鏈接傳送至燃?xì)忾y。UN碼由一系列的長(zhǎng)脈沖和短脈沖組成，每一個(gè)脈沖單獨(dú)發(fā)送，選擇脈沖的總數(shù)和模式能實(shí)現(xiàn)互斥性原則［4］。強(qiáng)鏈接只有收到完整正確的脈沖序列后，才會(huì)處于啟用狀態(tài)，否則觸動(dòng)工程鎖定響應(yīng)，確保安全狀態(tài)。

圖1 燃?xì)鉅t安全控制系統(tǒng)示意圖Fig.1 Safe design for gas furnace control system

1.3 PLOAS基本原理

上述安全系統(tǒng)的核心是強(qiáng)鏈接和弱鏈接。在這種設(shè)計(jì)中，SL系統(tǒng)是非常健壯的，其目的是允許系統(tǒng)在并且僅在預(yù)定條件下運(yùn)行（例如通過(guò)發(fā)送UN碼）。相反，WL系統(tǒng)在事故條件下（如發(fā)生火災(zāi)）以可預(yù)測(cè)和不可逆的方式失效，并在SL系統(tǒng)意外運(yùn)行之前使整個(gè)系統(tǒng)不工作。圖2給出了具有一個(gè)WL和一個(gè)SL的WL/SL系統(tǒng)的邏輯圖。在正常環(huán)境下，系統(tǒng)非運(yùn)行狀態(tài)如圖2A所示，WL關(guān)閉，SL打開(kāi)，運(yùn)行狀態(tài)如圖2B所示，SL接收UN碼后啟動(dòng)（即打開(kāi)），驅(qū)動(dòng)信號(hào)通過(guò)SL控制系統(tǒng)；在異常環(huán)境下，WL在SL故障之前失效，因此無(wú)論是系統(tǒng)處于非運(yùn)行狀態(tài)（如圖2C）還是運(yùn)行狀態(tài)（如圖2D），WL的失效均使得驅(qū)動(dòng)信號(hào)無(wú)法通過(guò)，整個(gè)系統(tǒng)停止運(yùn)行。但是，由于系統(tǒng)制造工藝或其他隨機(jī)因素，在異常環(huán)境下，外部載荷突破隔離屏障，使得SL失效前而WL尚未失效，從而使整個(gè)系統(tǒng)處于不安全狀態(tài)，出現(xiàn)這種狀態(tài)的概率稱之為PLOAS。喪失確定性安全并非指系統(tǒng)出現(xiàn)安全事故，而是指確保系統(tǒng)安全的WL沒(méi)有按要求失效，從而導(dǎo)致系統(tǒng)處于不安全的狀態(tài)。因此，PLOAS對(duì)系統(tǒng)安全性的評(píng)估更為保守。另外，由于隔離屏障、SL和WL的失效分布可以通過(guò)試驗(yàn)驗(yàn)證，因此，PLOAS具有較高的預(yù)測(cè)性和可信度。

圖2 一個(gè)SL和一個(gè)WL的WL/SL系統(tǒng)邏輯示意圖Fig.2 Logic diagram of WL/SL system with one SL and one WL

2 PLOAS發(fā)展歷程

在PLOAS方法中，系統(tǒng)所處異常環(huán)境下載荷的類型、載荷隨時(shí)間變化的規(guī)律及分布、不同載荷下SL和WL的失效分布是PLOAS評(píng)估的基礎(chǔ)數(shù)據(jù)。

在美國(guó)能源部的資助下，PLOAS相關(guān)理論經(jīng)過(guò)近20年的持續(xù)研究，桑迪亞國(guó)家實(shí)驗(yàn)室先后建立了溫度相關(guān)性和時(shí)間相關(guān)性的多SLs和WLs系統(tǒng)模型（其中時(shí)間相關(guān)性系統(tǒng)通用性更強(qiáng)），采用梯形法、辛普森法、蒙特卡羅抽樣法等多種方法開(kāi)展數(shù)值計(jì)算，并開(kāi)發(fā)了CPLOAS軟件平臺(tái)支持上述方法［5］，同時(shí)建立一套方法對(duì)數(shù)學(xué)模型和軟件計(jì)算進(jìn)行校核，確保模型和數(shù)值計(jì)算的準(zhǔn)確性。目前，該方法體系得到美國(guó)軍方的認(rèn)可，為美軍核武器安全性評(píng)估發(fā)揮了很大的作用。具體而言，其發(fā)展歷程包括以下方面。

2.1 溫度相關(guān)系統(tǒng)中的PLOAS模型

2006年J.C.Helton等人針對(duì)溫度相關(guān)系統(tǒng)，采用傳統(tǒng)的概率統(tǒng)計(jì)方法，首次建立系統(tǒng)的PLOAS模型［6，7］。在該系統(tǒng)中，假設(shè)WL和SL隨著溫度變化的失效概率是已知的，實(shí)際上，這種分布概論是可以通過(guò)試驗(yàn)回歸分析獲得。在火災(zāi)異常環(huán)境中，WL和SL的溫度是隨時(shí)間變化的函數(shù)。論文針對(duì)以下幾種WL/SL配置建立數(shù)學(xué)模型：

（1）一個(gè)WL，一個(gè)SL；

（2）多個(gè)WLs，多個(gè)SLs，任何SL在任何WL之前失效，都會(huì)導(dǎo)致整個(gè)安全系統(tǒng)失效；

我像一匹健碩的駿馬，馳騁在珠三角這片廣袤的熱土上。北方已是清涼的秋天了，南中國(guó)仍沉浸在熱浪滔天中。陽(yáng)光潑下來(lái)，硫酸似的灼人，滾滾車輪之后，黃塵囂囂，公交車?yán)锏暮钩艉蜐嵛叮裎涹ㄒ粯优赖脻M身都是。我要和金融危機(jī)拼一場(chǎng)，不惜犧牲我的青春和汗水。我每天把自己像水餃似的扔進(jìn)一輛輛公交車?yán)?，又像水餃似的從一輛輛公交車?yán)锏钩鰜?lái)。為了拉訂單，為了建立業(yè)務(wù)關(guān)系，跑遍了東莞的企石，寮步，石龍，跑遍了寶安的西鄉(xiāng)，松崗，還跑到廣州的鐘村等地，極其耐心地和客戶交談，宣傳景花廠的信譽(yù)，員工的素質(zhì)，拋光的質(zhì)量。我的優(yōu)勢(shì)是拋光技術(shù)過(guò)得硬，面對(duì)客戶侃侃而談，不管什么異型產(chǎn)品，我都能表達(dá)出解決的方法。

（3）多個(gè)WLs，多個(gè)SLs，所有SL在任何WL之前失效，會(huì)導(dǎo)致整個(gè)安全系統(tǒng)失效；

（4）多個(gè)WLs，多個(gè)SLs以及SL具有多個(gè)子鏈接（任何子鏈接都能導(dǎo)致其關(guān)聯(lián)的SL的失效），所有SL在任何WL之前失效，會(huì)導(dǎo)致整個(gè)安全系統(tǒng)失效。

PLOAS來(lái)自WL/SL系統(tǒng)中隨時(shí)間變化的溫度以及該系統(tǒng)各個(gè)組件失效時(shí)的溫度的變化性（即不確定性），其表達(dá)形式為一個(gè)多維積分，文獻(xiàn)［8］研究了具體的數(shù)值計(jì)算方案，并給出了計(jì)算機(jī)模型的校核方法［8］。文獻(xiàn)［9］討論了鏈路達(dá)到失效溫度的時(shí)間與實(shí)際失效時(shí)間之間存在與溫度相關(guān)的延遲系統(tǒng)，建立了存在延遲系統(tǒng)情況下PLOAS模型［9］。

2.2 時(shí)間相關(guān)系統(tǒng)中的PLOAS模型

溫度相關(guān)系統(tǒng)主要適用于火災(zāi)環(huán)境條件下的分析，顯然對(duì)于其他異常環(huán)境，該模型無(wú)法適用。文獻(xiàn)［10］針對(duì)該局限性，建立時(shí)間相關(guān)系統(tǒng)的PLOAS模型。在該系統(tǒng)中，將WL和SL的屬性值（根據(jù)異常環(huán)境可以是溫度、沖擊、壓力等）隨時(shí)間的變化描述為一簇隨機(jī)函數(shù)，具體可以表達(dá)為一個(gè)中心函數(shù)乘以隨機(jī)變量，同理，WL和SL的失效屬性值也是一簇隨時(shí)間變化的隨機(jī)函數(shù)。由于屬性值沒(méi)有明確的定義，顯然該模型具有更強(qiáng)的適用性。文獻(xiàn)［10］建立時(shí)間相關(guān)系統(tǒng)的PLOAS數(shù)學(xué)模型，給出了數(shù)值計(jì)算方法，文獻(xiàn)［11］建立了系統(tǒng)中存在隨機(jī)不確定性延遲失效鏈路情況下的PLOAS模型［10，11］。

2.3 PLOAS中的認(rèn)知不確定性研究

對(duì)于復(fù)雜系統(tǒng)的設(shè)計(jì)與分析，分離隨機(jī)不確定性和認(rèn)知不確定性，并分開(kāi)討論是十分重要的［12-14］。因?yàn)?，隨機(jī)不確定性源于所研究系統(tǒng)行為的固有特性，是系統(tǒng)的行為屬性，可以統(tǒng)計(jì)和估計(jì)，無(wú)法消除；而認(rèn)知不確定性源于人的認(rèn)知能力的局限性，造成對(duì)某些參數(shù)的真實(shí)值缺乏了解，這些參數(shù)在特定分析的背景下往往是客觀的、固定的，它是由于人的知識(shí)缺乏而對(duì)系統(tǒng)固定參數(shù)值產(chǎn)生誤差，是可以消除的。在許多研究中［15-17］還討論了隨機(jī)不確定性和認(rèn)知不確定性在復(fù)雜系統(tǒng)分析中的作用。核電廠的概率風(fēng)險(xiǎn)評(píng)估實(shí)現(xiàn)了隨機(jī)性不確定性和認(rèn)知性不確定性的分離，有時(shí)被描述為“頻率概率”方法，因?yàn)槭褂妙l率來(lái)描述核電廠發(fā)生始發(fā)事件時(shí)的隨機(jī)性不確定性事故，使用概率描述認(rèn)知不確定性特征。文獻(xiàn)［10］針對(duì)PLOAS系統(tǒng)中認(rèn)知不確定性的概念和表示方法，文獻(xiàn)［18］基于證據(jù)理論，建立了PLOAS中認(rèn)知不確定性模型，并給出了數(shù)值計(jì)算方法［18］。

3 PLOAS發(fā)展趨勢(shì)

由于PLOAS對(duì)安全性的評(píng)估僅適用于特定設(shè)計(jì)的高后果系統(tǒng)的安全性評(píng)估，目前在公開(kāi)報(bào)道中，僅有美軍核武器安全性評(píng)估得到成功的應(yīng)用，但美國(guó)桑迪亞國(guó)家實(shí)驗(yàn)室自2000年至今，從未停止對(duì)PLOAS基礎(chǔ)理論的研究。目前，關(guān)于PLOAS的研究主要有以下趨勢(shì)。

3.1 SL/WL系統(tǒng)認(rèn)知不確定性的深化研究

為了獲得異常環(huán)境下SL、WL載荷分布和失效分布，需要通過(guò)試驗(yàn)進(jìn)行回歸分析，確定上述分布的相關(guān)參數(shù)。然而，即使采用大量的試驗(yàn)樣本，也往往存在一定的誤差，這些誤差對(duì)PLO?AS評(píng)估的影響是不能忽略的，因此需要深化認(rèn)知不確定性研究，包括認(rèn)知不確定性表示方法、計(jì)算方法、靈敏度分析等。

3.2 和裕量與不確定性量化（Quantification of Margins and Uncertainties，QMU）理論的結(jié)合應(yīng)用

3.3 PLOAS對(duì)高后果系統(tǒng)安全性設(shè)計(jì)的指導(dǎo)方法

由于保密等原因，PLOAS應(yīng)用于實(shí)際裝備的安全性評(píng)估尚無(wú)公開(kāi)資料，但PLOAS如何對(duì)高后果系統(tǒng)安全性設(shè)計(jì)提供指導(dǎo)也是目前研究的一個(gè)重點(diǎn)，文獻(xiàn)［22］針對(duì)溫度相關(guān)性的高后果系統(tǒng)，估計(jì)了SL和WL最小失效溫度的均值和方差，為關(guān)鍵部件的設(shè)計(jì)提供指導(dǎo)［22］。

3.4 PLOAS方法的推廣應(yīng)用

PLOAS方法在核電廠等領(lǐng)域的推廣應(yīng)用也是當(dāng)前研究的重點(diǎn)之一。由于PLOAS理論是伴隨著可預(yù)測(cè)的安全設(shè)計(jì)方法而發(fā)展起來(lái)的，因此，PLOAS方法在核電廠等領(lǐng)域的應(yīng)用，對(duì)于老一代核反應(yīng)堆的安全系統(tǒng)難以直接應(yīng)用，但對(duì)于新一代核反應(yīng)堆安全系統(tǒng)的設(shè)計(jì)和安全性評(píng)估需要開(kāi)展深入的研究，尤其是SL和WL的設(shè)計(jì)、異常環(huán)境下載荷變化及分布等，文獻(xiàn)［22］在該領(lǐng)域進(jìn)行了初步的探討。

4 結(jié)論

對(duì)于核武器等高后果系統(tǒng)，由于嚴(yán)重事故幾乎無(wú)法試驗(yàn)，因此對(duì)其災(zāi)難性事故發(fā)生概率的評(píng)估十分困難，PLOAS為此類系統(tǒng)的安全性評(píng)估開(kāi)辟了一條蹊徑，即在異常環(huán)境下，不去評(píng)估系統(tǒng)出現(xiàn)事故的概率，而是評(píng)估確保系統(tǒng)安全的相關(guān)措施失效的概率，顯然，后者評(píng)估結(jié)論更保守，由于確保系統(tǒng)安全的措施的失效分布容易試驗(yàn)驗(yàn)證，因此具有更高的預(yù)測(cè)性和可信度。

目前，PLOAS基礎(chǔ)理論有了較好的發(fā)展，溫度相關(guān)系統(tǒng)和時(shí)間相關(guān)系統(tǒng)中PLOAS數(shù)學(xué)模型、數(shù)值計(jì)算和模型校驗(yàn)均有了較為成熟研究，PLOAS理論研究中，有關(guān)認(rèn)知不確定性研究、與QMU的結(jié)合應(yīng)用、PLOAS對(duì)高后果系統(tǒng)安全性設(shè)計(jì)的指導(dǎo)方法和PLOAS方法的推廣應(yīng)用是當(dāng)前的研究重點(diǎn)。