周 洁,苏晓燕,钱 虹
(上海电力大学自动化工程学院,上海 200090)
安全性是一切电力系统经济运行的前提,一旦电力系统发生事故,那么对于地方的生产生活都将产生巨大影响,因此保证电力系统的可靠性尤为重要[1]。核电系统复杂,装置众多,因此对核电的可靠性评估提出了更高要求。由于设备本身的复杂性和运行环境的不稳定性,在核电运行过程中存在很多不确定性,如果不能很好地解决不确定性问题,将会导致可靠性评估结果存在较大偏差,从而带来不可估量的后果。
目前评系统可靠性和安全性的主要方法包括:故障树[2-3]、Markov[4-5]、GO-FLOW[6]、贝叶斯方法[7]、证据理论[8-9]、模糊GO法[10]等。其中,证据理论在表达不确定性信息方面优势显著,它最早由Dempster在1967年提出[11],后由Shafer在1976年将其完善[12]。证据理论可以很好地表达随机性、模糊性等,并在风险评估、多属性决策、数据融合等方面得到广泛应用[13-16]。证据网络[17]是对证据理论的扩展,结合图模型,能够直观地表达不确定性之间的因果关系。Zhang等[18]提出用证据网络评估电网络的可靠性,但是该方法没有考虑复杂系统的多态性以及非布尔逻辑关系。
布尔逻辑是一种二值逻辑,用于描述日常对象。现代计算机就是基于这种逻辑。微观实体或量子实体的干涉项的存在清楚地表明了三值或非布尔逻辑的存在[18]。传统的可靠性分析仅考虑两种状态:正常和故障,忽略了故障程度,Roy[19]提出在实际运行中考虑三种状态:正常、一般故障和严重故障三种状态。同时,考虑到性能退化,使得系统运行时的状态会变得复杂。此外,人为因素是影响系统运行的重要因素,考虑人为因素在核电厂可靠性评估中不可或缺[20]。
因此,现提出复杂情境下的基于证据网络的核电系统可靠性模型,提出一种新的基于语言变量的基本信度指派生成方法,对于在故障树映射到证据网络中存在的非布尔逻辑关系,建立一种新的条件信度表(condition belief table,CBT),结合前人对多态变量的研究,分析复杂情境下的核电系统可靠性。
定义2两个证据m1和m2,由Dempster组合公式进行融合,公式表示为
(1)
定义3概率转换:利用式(2)将基本概率赋值(basic belief assignment,BBA)转换成概率,公式为
(2)
定义4假设识别框架Θ上有m个BBA,BBA的加权平均值[11]为
(3)
式(3)中:wi为权重,表示第i个证据重要性。
证据网络(evidence network,EN)是一种有向无环图(direct acyclic graph,DAG)模型,由结点、有向边以及相应的关系参数构成,是图论与证据理论的结合。形式化表示为EN={(N,A),B},N为结点的集合,A为结点间连接弧的集合,(N,A)即为一个具有N个结点的有向无环图G;B为结点之间的信度函数关系集合;用条件信度表来表示逻辑门。
针对复杂情境下核电系统做可靠性研究,建立可靠性模型,分为5个部分,如图1所示。
图1 待评估系统的可靠性模型
核电系统可靠性研究中,常以大量数据作为样本,然后利用统计学方法进行分析,但有的数据很难用简单的数值表示出来,例如一些专家的语言变量等。
例如:有三位专家对某一部件A的可靠性进行评估,他们给出的语言评价如下。
专家1:部件A正常运行的状态的概率为0.92,存在发生故障的概率为0.08。
专家2:部件A正常运行的状态的概率为0.95,存在发生故障的概率为0.03,专家对自己评估意见的自信程度为98%,即有0.02的不确定性。
专家3:由于知识水平和经验等方面的限制,对部件A的状态无法判断。
基于专家意见构建BBA,同时通过式(2)来融合BBA。
例如:将2.1节中的专家语言变量转换为BBA,如下所示:
m({Work},{Failure})=(0.92,0.08);
m({Work},{Failure},{Work,Failure})=(0.95,0.03,0.02);
m({Work},{Failure},{Work,Failure})=1。
式中:{Work}和{Failure}分别表示部件运行在正常状态和故障状态,{Work,Failure}也可表示为{Unknown},表示专家对于部件A运行在哪一个状态无法做出准确判断。后文中提到的{W}即表示{Work},{F}表示{Failure}。
在信息融合过程中,由于不同的专家知识背景、经验不同,分配的权重也是不同的。比如一个领域专家和一个接触此领域不久的研究员同时给出评估结果,一般来说,领域专家给出的评估结果更加可信。因此在BBA合成之前需要考虑专家的权重,然后利用式(3),得到一个新的BBA。在此例中,假设3个专家的权重分别为0.3、0.4、0.3,那么得到的最终结果为
m({W},{F},{Unknown})=(0.656,0.036,
0.308)。
分析系统结构,确定顶事件、中间事件、基本事件,根据各顶事件、中间事件和基本事件之间的逻辑关系,应用与门、或门将各事件自上而下逐层串接,构建成一个系统故障树。
依据以下规则将故障树转换成证据网络:①将故障树的事件转换为证据网络的节点;②故障树中间环节的节点逻辑关系转换为有向弧;③逻辑门规则转换为CBT。
在构建CBT的过程中,主要分以下3种情况讨论。
2.4.1 经典的逻辑门转换规则
经典与门规则转换:只要有一个基本事件处于正常工作状态,那么事件就处于正常工作状态;当且仅当两个基本事件都处于失效状态时,事件才会失效;当一个基本事件状态不确定,另一个处于失效或不确定状态时,事件就处于不确定状态。经典或门规则和与门规则不同,只要有一个基本事件失效,事件就失效;当且仅当两个基本事件都处于正常工作状态时,事件处于正常状态;当一个基本事件状态不确定,另一个处于正常或者不确定状态时,事件处于不确定状态。转换规则如表1和表2所示。
表1 经典与门转换的条件信度表
表2 经典或门转换的条件信度表
2.4.2 非布尔逻辑关系
某些系统的故障由一个“与”逻辑门来定义。但现实中可能存在这样的情况:即使部件处于正常工作状态,但仍有可能发生失效的情况。例如,假设稳压器中两个互为备用的喷淋阀1和喷淋阀2为逻辑“与”关系,正常情况下二者都失效时,稳压器发生故障。但实际情况会出现电磁或噪声干扰,这使得PID调节控制产生偏差,此时喷淋阀1和2没有都失效(即都正常,仅1失效、仅2失效),其他部件也都未失效,但却出现了系统失效的情况,与传统的逻辑“与”不符。因此,提出一种改进的条件概率表(表3),表达系统中存在的非布尔逻辑关系,作为非布尔逻辑表达中的一种情况。设计的改进的条件信度表可以看成是非布尔逻辑关系的一种呈现,具体数值需要根据特定的非布尔逻辑关系由仿真实验或专家评估决定。
表3 非布尔逻辑与门条件信度表
当两个部件都处于正常运行状态时,假设事件发生失效的概率为0.01,因此{Failure}的值不再是0,而是0.01;当一个部件处于正常运行状态,另一个部件处于失效状态时,发生失效的概率为0.1,也不再是经典逻辑门下的0;具体概率值可能需要根据具体的系统设定,由专家评估、数据分析等得到,仅采用0.01及0.1作为示例说明。系统中假设两个部件一个正常工作和一个失效要比两个都正常工作的失效概率大,两个部件一个处于正常或失效状态,一个处于不确定性状态时,系统发生失效的概率处于上述两种情况之间。
2.4.3 多状态变量
大部分研究中只讨论两种状态(0和1),但是有些事件不能只通过发生和不发生来定义。比如在失效和正常之间,可能存在“中间状态(M)”(这一假设的物理意义是基于系统性能的状态本质上是连续的这一事实),同样是通过修改CBT来实现。修改的规则[15]如表4和表5所示。
表4 考虑多态的与门条件信度表
表5 考虑多态的或门条件信度表
通过证据网络推理获得系统可靠性,计算顶事件BBA,将其通过式(2)进行概率转换,得到系统发生概率,分析可靠性。
以核电厂除氧器水位控制系统的集散控制系统为例,说明所提出方法的使用步骤和流程,通过设计对照实验(修改系统结构及参数调整),证明方法的有效性。
分布式控制系统用于核电站除氧器水位的自动调节。控制柜如图2所示。
图2 核电站除氧器控制柜示意图
有一对分布式处理单元(distributed processing unit, DPU)执行基本的逻辑控制功能,3个输入通道信号分别分布在3个控制卡IN1、IN2和IN3中。3个输出通道信号分别分布在3个输出控制卡OUT11、OUT12和OUT13中,以控制正常水位。输出控制卡OUT2用于紧急情况下控制水位调节。此外,主电源和不间断电源(uninterruptible power supply, UPS)电源保证供电。评估控制柜的可靠性的过程如下。
(1)分析系统结构,构建系统故障树。所构建的控制柜故障树如图3所示。
图3 控制柜的故障树
(2)通过专家评估,获得BBAs。由于目前无法实际执行,BBA的获取主要依靠专家评估,为了说明问题,取几个基本事件说明情况。以电源和输入端IN1、IN2、IN3、P1和P2为例,假设专家对其做出评估,根据2.1节,假设将专家语言变量转变为BBA,表示分别为
mIN1({W},{F},{Unknown})=(0.95,0.03,0.02);
mIN2({W},{F},{Unknown})=(0.96,0.02,0.02);
mIN3({W},{F},{Unknown})=(0.94,0.04,0.02);
mP1({W},{F},{Unknown})=(0.96,0.03,0.01);
mP2({W},{F})=(0.97,0.03)。
(3)故障树转换成证据网络。故障树转换成证据网络的图形如图4所示。
图4 控制柜证据网络
(4)得到系统可靠性。根据式(2)中给出的BBA,以及上述经典逻辑门组合规则,得到输入端和电源的BBA为
mIN({W},{F},{Unknown})=(0.85,0.09,0.06);
mP({W},{F},{Unknown})=(0.99,0.007,0.003)。
为方便计算,假设输出端OUT11、OUT12、OUT13和OUT2的BBA表示为
mOUT11({W},{F})=(1,0);
mOUT12({W},{F})=(1,0);
mOUT13({W},{F})=(1,0);
mOUT2({W},{F})=(1,0)。
最终系统的BBA和概率为
mS({W},{F},{Unknown})=(0.84,0.1,
0.06);
BetP(W)=0.87,BetP(F)=0.13。
计算结果说明系统的正常工作概率为0.87,失效概率为0.13。
3.2.1 考虑核电人因可靠性对系统可靠性的影响
在构建故障树的过程中,除了系统逻辑结构,提出将人因加入系统故障树中。在工业化社会高度发展的今天,作为机器操控者的人,其出现的失误对各行各业带来的损失和风险不言而喻。在很多故障分析中,人们常常忽略人为操作对系统的影响,但是很多情况下,某些故障是由于人因造成的[21]。因此在构建故障树中加入人因这一事件,这将导致系统的失效概率可能会略有增加。新建立的系统故障树和证据网络分别如图5和图6所示。
H1表示信息沟通出现偏差,H2表示人员工作压力大
图6 新的控制柜证据网络
假设H1和H2的BBA分别为
mH1({W},{F},{Unknown})=(0.98,0.01,0.01);
mH2({W},{F},{Unknown})=(0.96,0.03,0.01)。
得到人因事件的BBA为
mH({W},{F},{Unknown})=(0.94,0.04,
0.02)。
取P1、P2、IN1、IN2和IN3的BBA与3.1节中相同,为简化计算,取其他事件的BBA为
mT11({W},{F})=(1,0);
mT12({W},{F})=(1,0);
mT13({W},{F})=(1,0);
mT2({W},{F})=(1,0);
mD2({W},{F})=(1,0);
mD2({W},{F})=(1,0)。
从而得到系统新的BBA和失效概率分别为
mS({W},{F},{Unknown})=(0.79,0.14,0.07);
BetP(W)=0.825,BetP(F)=0.175。
在此例中原先的失效概率为0.13,加入人为失误分析之后的失效概率为0.175,结果更保守,符合预期。
3.2.2 考虑非布尔逻辑关系
考虑非布尔逻辑关系,假设所改进的条件信度表(表3),可以得到输入端和电源更新后的BBA,其他部件的BBAs保持不变,与3.1节中结果相同,即
mIN({W},{F},{Unknown})=(0.85,0.09,0.06);
mP({W},{F},{Unknown})=(0.98,0.017,0.003)。
系统更新后的BBA和失效概率为
mS({W},{F},{Unknown})=(0.83,0.11,0.06);
BetP(W)=0.86,BetP(F)=0.14。
由3.1节可知,由经典逻辑门得到的系统失效概率为0.13,正常工作概率为0.87,通过比较可以发现,考虑非布尔逻辑关系之后的结果更加保守一些,符合预期。
目前关于非布尔逻辑关系的研究较少,还没有将其应用在证据网络中进行可靠性评估的先例。在基于证据网络的可靠性评估中加入对非布尔逻辑关系的考虑,拓展了经典逻辑门的范围,丰富了评估决策方法。
3.2.3 考虑多状态变量
根据表4和表5,添加中间状态,新的IN1、IN2、IN3、P1和P2的BBA为
mIN1({W},{M},{F},{Unknown})=
(0.92,0.03,0.03,0.02);
mIN2({W},{M},{F},{Unknown})=
(0.93,0.03,0.02,0.02);
mIN3({W},{M},{F},{Unknown})=
(0.92,0.02,0.04,0.02);
mP1({W},{M},{F},{Unknown})=
(0.94,0.03,0.02,0.01);
mP2({W},{M},{F},{Unknown})=
(0.91,0.04,0.03,0.01)。
最终合成结果为
mIN({W},{M},{F},{Unknown})=
(0.79,0.07,0.09,0.05);
mP({W},{M},{F},{Unknown})=
(0.99,0.004,0.001,0.005)。
系统的BBA和失效概率分别为
mS({W},{M},{F},{Unknown})=
(0.78,0.07,0.1,0.05);
BetP(W)=0.80,BetP(M)=
0.09,BetP(F)=0.11。
考虑多状态变量,解决了传统故障树不能表达系统故障多态性的问题。通过对比经典的二态系统,根据结果可以发现,系统失效概率减小,但中间状态需要给予更多关注。当系统可靠度比设定的检测阈值低时,才提出维修计划,从而更加合理安排检修频次。
现有关于多态的可靠性分析研究方法多集中于多态贝叶斯网络[22-23],该方法主要建立在贝叶斯网络的基础上,在不确定性及主观自信程度的表达和处理方面还存在一些不足。贝叶斯对多态的描述仅限于单子集的描述,比如{W}、{M}或者{F},而本文中采用的证据理论可以描述多子集无法确定具体信度分配的不确定性情形,比如{W,M}表达确定状态是W或者M,但不知如何分配具体信度。此外,多态贝叶斯网络无法表达专家自信度,即各位专家对自己评估结果的自信程度。采用全集表示未知信息,即专家的不自信程度。因为不同的专家对于自己的判断并不是有百分百的把握,能够表达专家的自信度使不确定性表达更加合理。将经典贝叶斯网络、多态贝叶斯网络和多态证据网络进行比较,如表6所示。
表6 不同方法的比较
研究了复杂情境下核电系统可靠性,将故障树映射到证据网络,可以更好地解决不确定性问题。提出一种将语言数据转换成BBA的方法,对于在故障树映射到证据网络中存在的非布尔逻辑关系,建立改进的条件信度表,同时结合前人对多态变量的研究,对复杂情境下核电系统可靠性进行分析。提出的模型可以解决复杂情境下可靠性研究中的不确定性问题,所得结果符合预期,说明所建立的模型是有效可行的。由于缺少足够的信息建立精确的条件信度表,结果可能存在偏差,有待于在今后的研究中提高结果的准确性。