CN103745410B

CN103745410B - 基于dft定性定量分析的系统可靠性评估方法和设备

Info

Publication number: CN103745410B
Application number: CN201310660944.7A
Authority: CN
Inventors: 戈道川; 丑强; 张若兴; 周全
Original assignee: China Nuclear (beijing) Science And Technology Research Institute Co Ltd
Current assignee: China Nuclear (beijing) Science And Technology Research Institute Co Ltd
Priority date: 2013-12-09
Filing date: 2013-12-09
Publication date: 2015-08-05
Anticipated expiration: 2033-12-09
Also published as: CN103745410A

Abstract

本发明示例性实施例提供了针对核电厂等的安全系统可靠性评估方法和设备，能够快速地对系统级DFT进行定性定量分析，给出精确的定性定量分析结果，并且能够分析可修或不可修系统。在定性分析中，将系统建模为包括动态模块分支的动态故障树DFT，将DFT动态模块分支转化为包含动态事件的FT，将FT转化为包含动态节点的二元决策图BDD，并使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为系统可靠性评估的定性信息。在定量分析中提出了基于动态模块级MCS的数值积分方法，根据独立随机变量并借助部件顺序失效图，导出一般模块级MCS的积分表达式并进行定量计算。

Description

基于DFT定性定量分析的系统可靠性评估方法和设备

技术领域

本发明示例性实施例总体上涉及安全系统的可靠性评估，具体涉及基于动态故障树(DFT，Dynamic Fault Tree)定性定量分析的系统可靠性评估方法和设备。

背景技术

为了保证例如核电厂等需要确保安全性的工业的设计平衡以及运行安全，对安全运行系统，尤其是重要安全系统的可靠性评估一直是所属技术领域的技术人员研究的重点和难点。

以核电厂为例，传统的核电厂概率安全性分析(PSA，ProbabilisticSafety Analysis)是基于静态故障树(SFT，Static Fault Tree)的建模方法，并通过将故障树转化为逻辑等价的二元决策图(BDD，Binary DecisionDiagram)，实现对故障树的快速定性定量分析。目前，基于BDD的核电厂PSA定性定量分析技术已基本趋于成熟，并在很多核电厂PSA分析软件中得到了广泛应用。

实际中，工业系统/部件之间往往存在交互的动态行为(即系统/部件之间的优先发生、强制发生、功能相关以及冗余设备管理)，传统的静态故障树无法对这些行为进行建模。因此，有学者在静态故障树的基础上引入动态逻辑门来表征这些行为，并逐步发展为以动态故障树(DFT)为基础的动态系统可靠性评价技术。考虑到动态行为往往过于复杂，使得对具有一定规模的动态系统进行可靠性数学建模及分析变得极为困难。目前这种技术正处在进一步的发展与完善之中。

鉴于DFT的直观性和强大描述性，一般采用DFT来描述系统/部件之间的动态特性。目前，针对动态故障树的定量计算，常用方法有：(1)Markov模型法；(2)数值积分法；(3)Monte Carlo仿真法。这三种方法在处理实际问题时存在一定的缺陷：

①Markov模型法广泛应用于核电厂可修或不可修系统的可靠性评估中，但该方法要求部件的寿命和修复时间服从指数分布，即满足马尔科夫特性(时间无记忆性)，且随着系统规模的增加，Markov模型法会产生“状态空间爆炸”难题，使得问题的求解过程变得复杂甚至无法求解；

②数值积分法避免了“状态空间爆炸”，甚至在某些特殊的情况下允许部件的寿命可服从任意分布，但是目前这种方法主要面是面向动态逻辑门的且无法处理可修复问题；

③Monte Carlo仿真虽然克服了以上两种方法的缺陷，但是针对小概率事件，因仿真成本太高而无法普遍采用。

而针对核电厂DFT的定性分析，目前仍少有文献涉及。

需要一种安全系统的可靠性评估方法，能够快速地对动态系统的DFT进行定性定量分析，并给出精确的定性定量分析结果。

发明内容

本发明示例性实施例提供了针对核电厂等的安全系统可靠性评估方法和设备，能够快速地对系统级DFT进行定性定量分析，给出精确的定性定量分析结果，并且能够分析可修或不可修系统。

根据本发明一方面，一种基于动态故障树DFT定性分析的系统可靠性评估方法，包括步骤：将系统建模为包括动态模块分支的动态故障树DFT；将DFT的动态模块分支转化为包含动态事件的FT；将FT转化为包含动态节点的二元决策图BDD；以及使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为系统可靠性评估的定性信息。

在一个实施例中，如果动态故障树DFT还包括静态模块分支，则所述方法还包括：将DFT的静态模块分支转化为包含静态节点的BDD；以及将动态节点BDD与静态节点BDD结合起来形成系统级BDD；

其中使用系统级BDD，确定系统级DFT顶事件发生的事故序列。

根据本发明另一方面，一种基于动态故障树DFT定量分析的系统可靠性评估方法，包括步骤：将系统建模为包括动态模块分支的动态故障树DFT；获得DFT的动态模块分支的所有最小割序，并确定每一最小割序的对应系统部件的顺序失效图、独立变量和各独立变量的积分区间，其中独立变量是指系统部件相对于对应状态启动时刻的失效时间；利用确定的顺序失效图、独立变量和积分区间，产生每一最小割序的积分表达式；以及根据容斥定理，利用产生的积分表达式，产生动态模块分支的顶事件发生概率的最终表达式，并求解顶事件发生概率，作为系统可靠性评估的定量信息。

在一个实施例中，如果动态故障树DFT还包括静态模块分支，则所述方法还包括对DFT的静态模块分支进行定量分析，

其中系统可靠性评估的定量信息还包括静态模块分支的定量分析结果。

根据本发明再一方面，一种基于动态故障树DFT定性定量分析的系统可靠性评估方法，包括步骤：将系统建模为包括动态模块分支的动态故障树DFT；将DFT的动态模块分支转化为包含动态事件的FT，并判断动态模块分支是否属于不可修部分；如果动态模块分支属于不可修部分，利用数值积分法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果，如果动态模块分支不属于不可修部分，利用Markov模型法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果；将FT转化为包含动态节点的二元决策图BDD；使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为定性分析结果；以及基于定量分析结果和定性分析结果，获得系统可靠性评估。

根据本发明一方面，一种基于动态故障树DFT定性分析的系统可靠性评估设备，包括：建模装置，将系统建模为包括动态模块分支的动态故障树DFT；FT转化装置，将DFT的动态模块分支转化为包含动态事件的FT；BDD转化装置，将FT转化为包含动态节点的二元决策图BDD；以及分析装置，使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为系统可靠性评估的定性信息。

根据本发明另一方面，一种基于动态故障树DFT定量分析的系统可靠性评估设备，包括：建模装置，将系统建模为包括动态模块分支的动态故障树DFT；最小割序确定装置，获得DFT的动态模块分支的所有最小割序，并确定每一最小割序的对应系统部件的顺序失效图、独立变量和各独立变量的积分区间，其中独立变量包括系统部件的相对于对应状态启动时刻的失效时间；积分确定装置，利用确定的顺序失效图、独立变量和积分区间，产生每一最小割序的积分表达式；以及求解装置，根据容斥定理，利用产生的积分表达式，产生动态模块分支的顶事件发生概率的最终表达式，并求解顶事件发生概率，作为系统可靠性评估的定量信息。

根据本发明再一方面，一种基于动态故障树DFT定性定量分析的系统可靠性评估设备，包括步骤：建模装置，将系统建模为包括动态模块分支的动态故障树DFT；FT转化判断装置，将DFT的动态模块分支转化为包含动态事件的FT，并判断动态模块分支是否属于不可修部分；定量分析装置，如果动态模块分支属于不可修部分，利用数值积分法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果，如果动态模块分支不属于不可修部分，利用Markov模型法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果；BDD转化装置，将FT转化为包含动态节点的二元决策图BDD；定性分析装置，使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为定性分析结果；以及评估信息获得装置，基于定量分析结果和定性分析结果，获得系统可靠性评估。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的说明，其中：

图1示出了根据本发明实施例的基于动态故障树DFT定性分析的系统可靠性评估方法的流程图；

图2示出了在图1方法中得到的DFT的SFT表示；

图3示出了在图1方法中得到的DFT的BDD表示；

图4示出了根据本发明实施例的基于动态故障树DFT定性分析的系统可靠性评估设备的示意框图；

图5示出了根据本发明实施例的基于动态故障树DFT定量分析的系统可靠性评估方法的流程图；

图6是用于说明图5方法的DFT示例的示意图；

图7示出了用于说明图5方法的DFT示例的最小割序的顺序失效图；

图8示出了根据本发明实施例的基于动态故障树DFT定量分析的系统可靠性评估设备的示意框图；

图9示出了根据本发明实施例的基于动态故障树DFT定性定量分析的系统可靠性评估方法的流程图；

图10示出了根据本发明另一实施例的图9的流程图的更详细的实施过程；

图11示出了根据本发明实施例的基于动态故障树DFT定性定量分析的系统可靠性评估设备的示意框图；

图12示出了用于说明本发明方法和设备的示例系统DFT；

图13示出了根据本发明方法和设备转化得到的系统DFT的逻辑等价表示；以及

图14示出了根据本发明方法和设备转化得到的含有动态节点的BDD。

具体实施方式

下面结合附图对本发明的示例实施例进行详述。以下描述包括各种具体细节以辅助理解，但这些具体细节应仅被示为示例性的。因此，本领域普通技术人员将认识到，可以在不脱离本公开范围和精神的情况下对这里描述的各个实施例进行各种改变和修改。此外，为了清楚和简明起见，省略了公知功能和结构的描述。

以下描述和权利要求中使用的术语和词语不限于其字面含义，而是仅由发明人用于实现本发明的清楚一致的理解。因此，本领域技术人员应当清楚，对本发明各个示例实施例的以下描述仅被提供用于说明目的，而不意在限制由所附权利要求及其等同物限定的本发明。

本发明实施例包括基于动态故障树DFT定性和/或定量分析的系统可靠性评估方法和设备。本发明的方法和设备可应用于核电厂等需要确保安全性的工业场合，并且基于动态节点BDD进行系统级DFT定性和/或定量分析，克服了传统技术中各方法的不足之处，能够快速地对动态系统的系统级DFT进行定性定量分析，并给出精确的定性定量分析结果。这里，定性分析指的是导致DFT顶事件发生的事故序列，定量分析指的是DFT顶事件发生的概率。

图1示出了根据本发明实施例的基于动态故障树DFT定性分析的系统可靠性评估方法的流程图。如图1所示，在步骤S100，对系统建模，例如模型为包括动态模块分支的动态故障树DFT。在一个实施例中，系统可以是核电厂的安全系统，DFT可以基于系统中各部件的失效率或寿命参数。在一个实施例中，DFT还可能包括静态模块分支。这样，系统级DFT包括动态模块分支和静态模块分支。

在步骤S102，将DFT的动态模块分支转化为包含动态事件的FT。具体地，通过将动态逻辑门或模块转换为动态事件的最小割序的逻辑“或”形式，获得转化后的FT。在步骤S104，将FT转化为包含动态节点的二元决策图BDD。具体地，用动态节点替换最小割序，将DFT转化为含有动态节点的静态故障树SFT，然后将SFT转化为逻辑等价的BDD。在一个实施例中，在将FT转化为包含动态节点的BDD的步骤中，采用构件连接法。下面结合一个示例来进一步解释步骤S102和S104。

对于DFT的一个动态模块分支，确定其所有的最小割序(MCSs)，相应地，动态模块的顶事件转化为最小割序逻辑之“或”的形式，如下式(1)所示：

G_{DTOP} = Σ_{i = 1}^{n} {MCS}_{i} - - - (1)

其中，n表示最小割序的数目，n为自然数，i表示索引，1≤i≤n。

接着，将式(1)中MCS_i用动态节点DN_i替换，式(1)可进一步用式(2)表达：

G_{DTOP} = Σ_{i = 1}^{n} {DN}_{i} - - - (2)

然后，将动态故障树DFT转化为含有动态节点DN_i的静态故障树SFT，即，将动态模块特征方程(式(2))用一棵SFT形式表示，如图2所示。

接下来，将含有动态节点的SFT转化为含有动态节点的BDD。考虑到动态节点DN_i的具有“两态性”，图2所示的含有动态节点的SFT可以转化为逻辑等价的BDD，如图3所示。

这里，由于核电厂动态系统动态子模块的规模相对较小，且MCS彼此不同(即动态节点DN_i不含有重复的节点)，同时为了摆脱BDD规模对基本事件指标排序的依赖，在DFT转化为含有动态节点的BDD过程中，可以采用构件连接法，这样可以提高转化的效率，快速实现DFT定性分析。

以上举例说明了转化过程，但是该示例，例如包括的节点数目、系统级DFT的逻辑关系等，仅仅是示意性的，本发明实施例不限于此。

在步骤S106，使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为系统可靠性评估的定性信息。在一个实施例中，如果DFT还包括静态模块分支，则将DFT的静态模块分支转化为包含静态节点的BDD，并且将动态节点BDD与静态节点BDD结合起来形成系统级BDD。通过使用系统级BDD，可以确定整个系统级DFT的顶事件发生的事故序列，作为系统可靠性评估的定性信息。

下文中将结合具体示例更详细地描述上述方法流程。

图4示出了根据本发明实施例的基于动态故障树DFT定性分析的系统可靠性评估设备的示意框图。如图4所示，该设备包括：建模装置400，将系统建模为包括动态模块分支的动态故障树DFT；FT转化装置402，将DFT的动态模块分支转化为包含动态事件的FT；BDD转化装置404，将FT转化为包含动态节点的二元决策图BDD；以及分析装置406，使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为系统可靠性评估的定性信息。

在一个实施例中，如果DFT还包括静态模块分支，则该设备还将DFT的静态模块分支转化为包含静态节点的BDD，并且将动态节点BDD与静态节点BDD结合起来形成系统级BDD。分析装置406通过使用系统级BDD，可以确定整个系统级DFT的顶事件发生的事故序列。

该设备的各个装置与上述参照图1所述方法的各个步骤对应，在此省略对其操作细节的赘述。

图5示出了根据本发明实施例的基于动态故障树DFT定量分析的系统可靠性评估方法的流程图。如图5所示，在步骤S500，将系统建模为包括动态模块分支的动态故障树DFT。这可以与图1中步骤S100对应，在此不再赘述。

在步骤S502，获得DFT的动态模块分支的所有最小割序，并确定每一最小割序的对应系统部件的顺序失效图、独立变量和各独立变量的积分区间，其中独立变量是指系统部件的相对于对应状态启动时刻的失效时间。在步骤S504，利用确定的顺序失效图、独立变量和积分区间，产生每一最小割序的积分表达式。最后，在步骤S506，根据容斥定理，利用产生的积分表达式，产生动态模块分支的顶事件发生概率的最终表达式，并求解顶事件发生概率，作为系统可靠性评估的定量信息。

在一个实施例中，如果动态故障树DFT还包括静态模块分支，则图5所示方法还包括对DFT的静态模块分支进行定量分析。这样，系统可靠性评估的定量信息还包括静态模块分支的定量分析结果。

下面结合一个示例来详细解释图5中的步骤S502-506。在该示例中，根据本发明实施例的方法可以看作是一种基于动态模块级MCSs的数值积分方法，这种方法根据独立随机变量(系统中部件相对于对应状态启动时刻的失效时间)并借助部件顺序失效图，导出一般模块级MCS的积分表达式并进行定量计算。

图6是用于说明图5方法的DFT示例的示意图。以图6为例，首先，通过动态逻辑门或模块的转化，得到动态模块F的所有最小割序MCSs，如下式(3)所示。

\begin{matrix} {MCS}_{1} = A &RightArrow; {B &RightArrow; C &RightArrow; D_{C}^{1}}_{A}^{0} \\ {MCS}_{2} = A &RightArrow; C &RightArrow; B_{A}^{0} &RightArrow; D_{C}^{1} \\ {MCS}_{3} = C &RightArrow; A &RightArrow; B_{A}^{0} &RightArrow; D_{C}^{1} \\ {MCS}_{4} = A &RightArrow; {D &RightArrow; {B &RightArrow; C}_{A}^{0}}_{C}^{a} \\ {MCS}_{5} = A &RightArrow; B_{A}^{0} &RightArrow; D_{C}^{a} &RightArrow; C \\ {MCS}_{6} = D_{C}^{a} &RightArrow; A &RightArrow; B_{A}^{0} &RightArrow; C \end{matrix} - - - (3)

式中“→”是时序连接符，表示左边事件先于右边发生，“_P ^aS”表示失效行为特征符：当a＝a时，它表示S是P的温备件且S在备用状态下失效，即S在P前失效；当a＝1，它表示S是P的温备件且S在运行状态下失效，也即S在P后失效；当a＝0，它表示S是P的冷备件，则S必在P后失效。它们共同确定了积分的先后顺序、积分区间和积分函数，这样可以表示对任意MCS的积分。接着，确定每一最小割序的对应系统部件的顺序失效图、独立变量和各独立变量的积分区间。例如，以上述式(3)中第二个最小割序为例，其顺序失效图如图7所示。

在图7中，τ′_A，τ′_B，τ′_C和τ′_D是相互独立的随机变量，表示部件相对于对应状态启动时刻的失效时间，τ_D表示部件D在备用状态下的失效时间。根据图4所示，利用简单的加减运算可以求得各变量的积分区间为：τ′_A(0，t_m)、τ′_C(τ′_A，t_m)、τ′_B(τ′_C-τ′_A，t_m-τ′_A)、τ_D(0，τ′_C)、以及τ′_D(τ′_A+τ′_B-τ′_C，t_m-τ′_C)。

考虑到τ′_A，τ′_B，τ′_C，τ′_D和τ_D是相互独立的随机变量，可以容易获得最小割序的积分表达式如下式(4)，需要注意的是，积分的顺序与最小割序的发生顺序相反。同理，可以求出其它各个割序的积分表达式。

\begin{matrix} F_{2} (τ_{A}^{'}, τ_{C}^{'}, τ_{B}^{'}, τ_{D}, τ_{D}^{'}, t_{m}) \\ = P_{r} (0 < τ_{A}^{'} < t_{m}, τ_{A}^{'} < τ_{C}^{'} < t_{m}, τ_{C}^{'} - τ_{A}^{'} < τ_{B}^{'} < t_{m} - τ_{A}^{'}, τ_{D} > τ_{C}^{'}, τ_{A}^{'} + τ_{B}^{'} - τ_{C}^{'} < τ_{D}^{'} < t_{m} - τ_{C}^{'}) \\ = {&Integral;}_{0}^{t_{m}} {&Integral;}_{τ_{A}^{'}}^{t_{m}} {&Integral;}_{τ_{C}^{'} - τ_{A}^{'}}^{t_{m} - τ_{A}^{'}} {&Integral;}_{τ_{C}^{'}}^{+ \infty} {&Integral;}_{τ_{A}^{'} + τ_{B}^{'} - τ_{C}^{'}}^{t_{m} - τ_{C}^{'}} f_{D} (τ_{D}) g_{A} (τ_{A}^{'}) g_{B} (τ_{B}^{'}) g_{C} (τ_{C}^{'}) g_{D} (τ_{D}^{'}) {dτ}_{D}^{'} {dτ}_{D} {dτ}_{B}^{'} {dτ}_{C}^{'} {dτ}_{A}^{'} \\ = {&Integral;}_{0}^{t_{m}} {&Integral;}_{τ_{A}^{'}}^{t_{m}} {&Integral;}_{τ_{C}^{'} - τ_{A}^{'}}^{t_{m} - τ_{A}^{'}} (1 - {&Integral;}_{0}^{τ_{C}^{'}} f_{D} (τ_{D}) {dτ}_{d}) {&Integral;}_{τ_{A}^{'} + τ_{B}^{'} - τ_{C}^{'}}^{t_{m} - τ_{C}^{'}} \times g_{A} (τ_{A}^{'}) g_{B} (τ_{B}^{'}) g_{C} (τ_{C}^{'}) g_{D} (τ_{D}^{'}) {dτ}_{D}^{'} {dτ}_{B}^{'} {dτ}_{C}^{'} {dτ}_{A}^{'} \end{matrix} - - - (4)

最后，根据容斥定理，考虑到最小割序彼此互斥，动态模块顶事件发生概率的最终表达式可以写为如下式(5)：

\begin{matrix} F (τ_{A}^{'}, τ_{B}^{'}, τ_{C}^{'}, τ_{D}^{'}, τ_{D}, t_{m}) \\ = {&Integral;}_{0}^{t_{m}} {&Integral;}_{τ_{A}^{'}}^{t_{m}} {&Integral;}_{τ_{C}^{'} - τ_{A}^{'}}^{t_{m} - τ_{A}^{'}} {&Integral;}_{τ_{A}^{'} + τ_{B}^{'} - τ_{C}^{'}}^{t_{m} - τ_{C}^{'}} (1 - {&Integral;}_{0}^{τ_{C}^{'}} f_{D} (τ_{D}) {dτ}_{D}) \times {Qdτ}_{A}^{'} {dτ}_{B}^{'} {dτ}_{C}^{'} τ_{D}^{'} \\ + {&Integral;}_{0}^{t_{m}} {&Integral;}_{0}^{t_{m} - τ_{A}^{'}} {&Integral;}_{τ_{A}^{'} + τ_{B}^{'}}^{t_{m}} {&Integral;}_{0}^{t_{m} - τ_{C}^{'}} (1 - {&Integral;}_{0}^{τ_{C}^{'}} f_{D} (τ_{D}) {dτ}_{D}) {\times Qdτ}_{A}^{'} {dτ}_{B}^{'} {dτ}_{C}^{'} {dτ}_{D}^{'} \\ + {&Integral;}_{0}^{t_{m}} {&Integral;}_{τ_{C}^{'}}^{t_{m}} {&Integral;}_{0}^{t_{m} - τ_{A}^{'}} {&Integral;}_{τ_{A}^{'} + τ_{B}^{'} - τ_{C}^{'}}^{t_{m} - τ_{C}^{'}} (1 - {&Integral;}_{0}^{τ_{C}^{'}} f_{D} (τ_{D}) {dτ}_{D}) \times {Qdτ}_{A}^{'} {dτ}_{B}^{'} {dτ}_{C}^{'} τ_{D}^{'} \\ + {&Integral;}_{0}^{t_{m}} {&Integral;}_{0^{'}}^{t_{m} - τ_{A}^{'}} {&Integral;}_{τ_{A}^{'} + τ_{B}^{'}}^{t_{m}} {&Integral;}_{τ_{D}}^{t_{m}} {Hdτ}_{C}^{'} {dτ}_{D} {dτ}_{B}^{'} {dτ}_{A}^{'} \\ + {&Integral;}_{0}^{t_{m}} {&Integral;}_{τ_{A}^{'}}^{t_{m}} {&Integral;}_{τ_{D} - τ_{A}^{'}}^{t_{m} - τ_{A}^{'}} {&Integral;}_{τ_{A}^{'} + τ_{B}^{'}}^{t_{m}} {Hdτ}_{C}^{'} {dτ}_{D} {dτ}_{B}^{'} {dτ}_{A}^{'} \\ + {&Integral;}_{0}^{t_{m}} {&Integral;}_{τ_{D}}^{t_{m}} {&Integral;}_{0}^{t_{m} - τ_{A}^{'}} {&Integral;}_{τ_{A}^{'} + τ_{B}^{'}}^{t_{m}} {Hdτ}_{C}^{'} {dτ}_{D} {dτ}_{B}^{'} {dτ}_{A}^{'} \end{matrix} - - - (5)

式(5)中Q＝f_A(t)·f_B(t)·f_C(t)·f_D(t)，H＝f_A(t)·f_B(t)·f_C(t)·g_D(t)，其中f_A(t)，f_B(t)，f_C(t)和f_D(t)分别是部件A，B，C，D正常运行状态下失效概率密度函数，g_D(t)是部件D在备用状态下的失效概率密度函数。由此，可以求解出动态模块分支的顶事件发生概率。

以上描述的数值积分方法可以应用于不可修系统。在本发明另一实施例中，可以判断动态模块分支的系统部件是否属于不可修系统，如果属于不可修系统，则可以按照上述数值积分方法进行动态模块分支的定量化处理；如果不属于，则可以采用Markov模型化法来进行定量分析。

此外，对DFT的静态模块分支的定量分析可以采用针对SFT的传统方法来处理，对于其细节，这里不再赘述。

结合动态模块分支和静态模块分支的定量分析，可以获得系统级DFT的定量分析结果。下文中将结合具体示例更详细地描述上述方法流程。

图8示出了根据本发明实施例的基于动态故障树DFT定量分析的系统可靠性评估设备的示意框图。如图8所示，该设备包括：建模装置800，将系统建模为包括动态模块分支的动态故障树DFT；最小割序确定装置802，获得DFT的动态模块分支的所有最小割序，并确定每一最小割序的对应系统部件的顺序失效图、独立变量和各独立变量的积分区间，其中独立变量包括系统部件的相对于对应状态启动时刻的失效时间；积分确定装置804，利用确定的顺序失效图、独立变量和积分区间，产生每一最小割序的积分表达式；以及求解装置806，根据容斥定理，利用产生的积分表达式，产生动态模块分支的顶事件发生概率的最终表达式，并求解顶事件发生概率，作为系统可靠性评估的定量信息。

在一个实施例中，如果动态故障树DFT还包括静态模块分支，则图8的设备还包括对DFT的静态模块分支进行定量分析的装置。

该设备的各个装置与上述参照图5所述方法的各个步骤对应，在此省略对其操作细节的赘述。

图9示出了根据本发明实施例的基于动态故障树DFT定性定量分析的系统可靠性评估方法的流程图。如图9所示，在步骤S900，将系统建模为包括动态模块分支的动态故障树DFT。该步骤可以对应于图1中步骤S100或图5中步骤S500。在步骤S902，将DFT的动态模块分支转化为包含动态事件的FT，并判断动态模块分支是否属于不可修部分。步骤S902中的转化可以对应于图1中步骤S102，并且该步骤中的判断可以手动进行。

如果在步骤S902中判断动态模块分支属于不可修部分，则在步骤S904，利用数值积分法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果。这里，可以按照结合图5所述的步骤S502-S506来执行步骤S904。

如果在步骤S902中判断动态模块分支不属于不可修部分，则在步骤S906，利用Markov模型法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果。这可以参照现有的Markov模型法来执行。

在步骤S908，将FT转化为包含动态节点的二元决策图BDD，并且在步骤S910，使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为定性分析结果。可以按照结合图1所述的步骤S104和S106来执行步骤S908和S910。

在步骤S912，基于定量分析结果和定性分析结果，获得系统可靠性评估。

图10示出了针对根据本发明另一实施例的图9的流程图的更为详细的实施过程。如图10所示，首先，构建目标系统的动态故障树DFT模型，一般情况下建立的动态故障树DFT含有动态模块和静态模块。然后采用“分而治之”的策略对动态故障树进行独立模块化，将整个动态故障树转化为各个独立的动态模块和静态模块。

在定性分析方面，静态模块利用ite规则转化为模块级BDD；动态模块先转化为含有动态事件(对应模块的最小割序)的故障树，然后再利用构件连接法生成模块级含有动态节点的BDD。最后结合静态模块级BDD和动态模块级BDD形成系统级BDD并实现对系统动态故障树的定性分析。

在定量分析方面，首先完成各动态模块的定量计算。如图10所示，当动态模块含有可维修部件时，则采用Markov模型法进行定量分析，在这个过程中，为了降低分析的复杂性，可对系统的状态进行“紧缩”化简；当动态模块不可维修时，则采用上文所述的基于独立变量的积分方法进行求解。然后将每个动态模块用一个等值失效概率的超级动态事件替换，即将每个动态模块看作一个超级动态事件。此刻，整棵动态故障树已经转化为只含有静态模块和超级动态事件的形式，然后根据传统BDD定量分析方法可实现对动态故障树的定量分析。

图11示出了根据本发明实施例的基于动态故障树DFT定性定量分析的系统可靠性评估设备的示意框图。如图11所示，该设备包括：建模装置1100，将系统建模为包括动态模块分支的动态故障树DFT；FT转化判断装置1102，将DFT的动态模块分支转化为包含动态事件的FT，并判断动态模块分支是否属于不可修部分；定量分析装置1104，如果动态模块分支属于不可修部分，利用数值积分法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果，如果动态模块分支不属于不可修部分，利用Markov模型法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果；BDD转化装置1106，将FT转化为包含动态节点的二元决策图BDD；定性分析装置1108，使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为定性分析结果；以及评估信息获得装置1110，基于定量分析结果和定性分析结果，获得系统可靠性评估。

该设备的各个装置与上述参照图9所述方法的各个步骤对应，在此省略对其操作细节的赘述。

下文中将结合具体示例更详细地描述上述方法流程。但是该示例，例如包括的节点数目、系统级DFT的逻辑关系等，仅仅是示意性的，本发明实施例不限于此。

图12示出了用于说明本发明方法和设备的示例系统DFT。该DFT(SYSTEM)表示核电厂设备的动力系统DFT，包括3个模块modulel，module2和module3，部件A、B、C、D、E、F、G_O、G_S、H和I的失效率或寿命参数如表1所示：

表1 部件寿命参数

表注：所有部件寿命服从指数分布

定性分析包括如下过程：

将动态逻辑门转化为最小割序的逻辑“或”形式，得到系统级DFT的逻辑等价转化，如图13所示。菱形符号“◇”表示动态事件，最小割序如式(6)所示。

\begin{matrix} {DE}_{1} = D &RightArrow; E \\ {DE}_{2} = F &RightArrow; G_{F}^{1} &RightArrow; H &RightArrow; I_{H}^{0} \\ {DE}_{3} = F &RightArrow; H &RightArrow; G_{F}^{1} &RightArrow; I_{H}^{0} \\ {DE}_{4} = {G &RightArrow; F &RightArrow; H &RightArrow; I_{H}^{0}}_{F}^{a} \\ {DE}_{5} = G_{F}^{a} &RightArrow; H &RightArrow; F &RightArrow; I_{H}^{0} \\ {DE}_{6} = H &RightArrow; F &RightArrow; G_{F}^{1} &RightArrow; I_{H}^{0} \\ {DE}_{7} = H &RightArrow; G_{F}^{a} &RightArrow; F &RightArrow; H I_{0} \end{matrix} - - - (6)

将含有动态事件的DFT(如图13所示)转化为含有动态节点DN_i的BDD，即用动态节点替换最小割序，如图14所示。

通过遍历和查询BDD数据结构，可以获取DFT的最小割集和割序(定性信息)，即{A，BC，DE₁，DE₂，DE₃，DE₄，DE₅，DE₆，DE₇}。

对于定量分析，为了验证根据本发明实施例的基于模块级MCS数值积分法的正确性，将module3(动态模块)积分结果与Markov模型法结果进行了比较，如表2所示。

表2 module3定量分析结果对照表

从表2中可以看出，数值积分法获得了与Markov模型法极为相近的结果，两者的差值可以认为是由于数值计算产生的误差造成，且随着时间的增加，两者越来越接近，并趋近一个稳态的值。这证明了基于模块级MCS数值积分法的正确性。但是需要注意的是，对module3进行Markov分析时，系统状态转移矩阵的阶数达到35×35，而输入事件只有4个，随着输入事件数的增加，这种方法会遭遇“空间爆炸”难题。而基于MCS的数值积分法则无此顾虑。此外，又分别采用数值积分法和Markov模型法对整个故障树系统进行了定量分析，其中，数值积分法和Markov模型法只针对动态子模块(即module2和module3)并且module3采用了一阶近似，计算结果如下表3所示。

表3 系统结果对照表

表注：Markov模型法获得的结果可以认为是系统的近似解析值。

从表3中可以看出，数值积分法(一阶近似)取得了与Markov法极为相近的保守值，当所有动态模块的MCSs以及MCSs发生概率已知的情况下，基于动态节点的BDD能够快速地给出系统的定性定量结果。

以上的详细描述通过使用示意图、流程图和/或示例，已经阐述了根据本发明实施例的方法和设备的众多实施例。在这种示意图、流程图和/或示例包含一个或多个功能和/或操作的情况下，本领域技术人员应理解，这种示意图、流程图或示例中的每一功能和/或操作可以通过各种结构、硬件、软件、固件或实质上它们的任意组合来单独和/或共同实现。在一个实施例中，本发明的实施例所述主题的若干部分可以通过专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、或其他集成格式来实现。然而，本领域技术人员应认识到，这里所公开的实施例的一些方面在整体上或部分地可以等同地实现在集成电路中，实现为在一台或多台计算机上运行的一个或多个计算机程序(例如，实现为在一台或多台计算机系统上运行的一个或多个程序)，实现为在一个或多个处理器上运行的一个或多个程序(例如，实现为在一个或多个微处理器上运行的一个或多个程序)，实现为固件，或者实质上实现为上述方式的任意组合，并且本领域技术人员根据本公开，将具备设计电路和/或写入软件和/或固件代码的能力。此外，本领域技术人员将认识到，本公开所述主题的机制能够作为多种形式的程序产品进行分发，并且无论实际用来执行分发的信号承载介质的具体类型如何，本公开所述主题的示例性实施例均适用。信号承载介质的示例包括但不限于：可记录型介质，如软盘、硬盘驱动器、紧致盘(CD)、数字通用盘(DVD)、数字磁带、计算机存储器等；以及传输型介质，如数字和/或模拟通信介质(例如，光纤光缆、波导、有线通信链路、无线通信链路等)。

虽然已参照几个典型实施例描述了本发明，但应当理解，所用的术语是说明和示例性、而非限制性的术语。由于本发明能够以多种形式具体实施而不脱离发明的精神或实质，所以应当理解，上述实施例不限于任何前述的细节，而应在随附权利要求所限定的精神和范围内广泛地解释，因此落入权利要求或其等效范围内的全部变化和改型都应为随附权利要求所涵盖。

Claims

1.一种基于动态故障树DFT定量分析的系统可靠性评估方法，包括步骤：

将系统建模为包括动态模块分支的动态故障树DFT；

获得DFT动态模块分支的所有最小割序，并确定每一最小割序的对应系统部件的顺序失效图、独立变量和各独立变量的积分区间，其中独立变量是指系统部件相对于对应状态启动时刻的失效时间；

利用确定的顺序失效图、独立变量和积分区间，产生每一最小割序的积分表达式；以及

根据容斥定理，利用产生的积分表达式，产生动态模块分支的顶事件发生概率的最终表达式，并求解顶事件发生概率，作为系统可靠性评估的定量信息。

2.根据权利要求1所述的方法，其中，所述系统包括核电厂安全系统，以及所述DFT基于系统中各部件的失效率。

3.根据权利要求1所述的方法，其中，如果动态故障树DFT还包括静态模块分支，则所述方法还包括对DFT的静态模块分支进行定量分析，

4.一种基于动态故障树DFT定性定量分析的系统可靠性评估方法，包括步骤：

将系统建模为包括动态模块分支的动态故障树DFT；

将DFT动态模块分支转化为包含动态事件的FT，并判断动态模块分支是否属于不可修部分；

如果动态模块分支属于不可修部分，利用数值积分法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果，如果动态模块分支不属于不可修部分，利用Markov模型法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果；

将FT转化为包含动态节点的二元决策图BDD；

使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为定性分析结果；以及

基于定量分析结果和定性分析结果，获得系统可靠性评估；

其中，利用数值积分法计算DFT动态模块分支的顶事件发生概率的步骤包括：

根据容斥定理，利用产生的积分表达式，产生动态模块分支的顶事件发生概率的最终表达式，并求解顶事件发生概率。

5.根据权利要求4所述的方法，其中，如果动态故障树DFT还包括静态模块分支，则所述方法还包括：将DFT的静态模块分支转化为包含静态节点的BDD；以及将动态节点BDD与静态节点BDD结合起来形成系统级BDD；

其中使用系统级BDD，确定系统级DFT顶事件发生的事故序列。

6.一种基于动态故障树DFT定量分析的系统可靠性评估设备，包括：

建模装置，将系统建模为包括动态模块分支的动态故障树DFT；

最小割序确定装置，获得DFT的动态模块分支的所有最小割序，并确定每一最小割序的对应系统部件的顺序失效图、独立变量和各独立变量的积分区间，其中独立变量是指系统部件相对于对应状态启动时刻的失效时间；

积分确定装置，利用确定的顺序失效图、独立变量和积分区间，产生每一最小割序的积分表达式；以及

求解装置，根据容斥定理，利用产生的积分表达式，产生动态模块分支的顶事件发生概率的最终表达式，并求解顶事件发生概率，作为系统可靠性评估的定量信息。

7.一种基于动态故障树DFT定性定量分析的系统可靠性评估设备，包括：

FT转化判断装置，将DFT动态模块分支转化为包含动态事件的FT，并判断动态模块分支是否属于不可修部分；

定量分析装置，如果动态模块分支属于不可修部分，利用数值积分法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果，如果动态模块分支不属于不可修部分，利用Markov模型法计算DFT动态模块分支的顶事件发生概率，作为定量分析结果；

BDD转化装置，将FT转化为包含动态节点的二元决策图BDD；

定性分析装置，使用动态节点BDD确定DFT动态模块分支的顶事件发生的事故序列，作为定性分析结果；以及

评估信息获得装置，基于定量分析结果和定性分析结果，获得系统可靠性评估；

其中，定量分析装置如下利用数值积分法计算DFT动态模块分支的顶事件发生概率：