基于PLOAS方法的安全性评估及其发展历程

李 彪，郭 明，吴 飞

（海军工程大学核科学技术学院，武汉 430030）

高后果系统的安全性评估是当前安全分析与评估领域的难点与热点问题之一。常见的高后果系统有：核武器、核电厂、化工厂、发电厂等，这些系统储存和传输大量的能量，往往由于意外或人为的恶意破坏而遭受灾难性的损失，因此，需要设计特殊的安全系统，以使其事故发生的概率降至最低。对高后果系统的安全性评估，由于无法开展系统级的安全试验，采用常规的手段难以获得较高的预测性和可信度。

针对上述难题，美国桑迪亚国家实验室以核武器起爆安全为研究对象，提出了3个安全原则：隔离、非操作性和互斥性［1，2］，建立了丧失确定性安全概率（Probability of loss of assured safe⁃ty，PLOAS）模型，并逐步应用于核武器安全性的评估。PLOAS为高后果系统安全性评估提供了一套全新的思路，随着PLOAS相关理论的发展，PLOAS模型开始在核反应堆、化工厂等多个高后果系统的安全性评估中应用。本文从基本原理、发展历程和发展趋势等方面对PLOAS相关理论进行总结，为高后果系统安全性评估提供参考。

1 PLOAS方法概述

PLOAS方法是在核武器起爆安全性评估的基础上发展起来的，同时对其他高后果系统的安全设计有着深刻的影响。本节主要简介高后果系统主要原则，并通过一个燃气炉的安全控制系统实例，给出PLOAS的基本原理。

1.1 可预测的安全设计原则

为了强调高后果系统可预测的安全性评估，文献［1］和文献［2］提出了隔离、非操作性和互斥性3项安全设计原则。隔离，即通过坚固的物理屏障将内部运行系统和外部环境进行隔离，使得内部控制系统不会暴露在异常环境中，同时免受虚假能量或信息的无意激活。在正常操作环境和低至中等强度的异常环境中隔离装置能确保系统的安全。但是，在高强度环境中，如在高速撞击或推进剂火灾情况下，屏障最终会失效，此时需要应用非操作性原则，即在内部系统中，通过一个或多个脆弱元件在隔离屏障失效之前永久故障或失效，来阻止灾难性后果的发生，因为脆弱元件的永久失效会使控制系统失效，从而关闭内部系统的运行。这些脆弱元件被设计成依赖于可预测的化学或物理性质，对异常环境作出被动响应（即不需要任何操作就可以自动永久失效），因此更具可预测性［3］。实际上，脆弱元件可能需要多个弱点来覆盖可能威胁隔离的各种环境（如热环境、挤压环境等）。互斥性原则即实现隔离屏障内外正常的通信能可靠的传递，而意外生成的通信无法兼容，从而确保无论是正常环境还是异常环境，正常的通信信息不可复制。不同的高后果系统，通信具有不同的特点，如核武器系统中，通信仅在精心控制的作战行动下传递一次，在某些高后果系统，通信可能不是人为控制，而是由其他信息（如温度等）进行控制。

1.2 燃气炉安全控制系统设计示例

为直观地介绍PLOAS的基本原理，以燃气炉为研究实例，假设燃气炉为高后果系统，异常环境主要是热环境和电磁环境（如火灾和雷电）。为简单起见，我们主要目的是想防止控制阀的意外激活，其他情况，如控制系统上游的输气管道破裂将不在此讨论。按照隔离、非操作性和互斥性原则，设计可预测的安全控制系统如图1所示。首先，通过金属等加固壳体将燃气阀与外部环境隔离，从而屏蔽雷电等常见的异常环境。外部驱动信号通过一个通道与内部燃气阀连接，这个通道是隔离屏障的组成部分，称之为强链接（StrongLink，SL）。然后，在隔离屏障内部的燃气管线上设计一个脆弱元件，当外部出现强烈的热环境（如火灾），在热环境突破隔离屏障之前，脆弱元件已经永久失效，从而阻止系统的运行，避免高后果事故的发生，这个脆弱元件部分，称之为弱链接（WeakLink，WL）。遵循非操作性原则，脆弱元件的设计目标需要根据物理特性设计成被动的、直接的和不可逆的失效，比如本案例可以通过在燃气管道内插入某种易熔线来实现。最后是逻辑控制系统的设计，该系统的目的是根据温度传感器传回的温度和温度调节器的设置，控制强链接，并通过强链接给燃气阀发送驱动信号。逻辑系统需要通过独特码（UN码）启动强链接，驱动信号才能通过启动的强链接传送至燃气阀。UN码由一系列的长脉冲和短脉冲组成，每一个脉冲单独发送，选择脉冲的总数和模式能实现互斥性原则［4］。强链接只有收到完整正确的脉冲序列后，才会处于启用状态，否则触动工程锁定响应，确保安全状态。

图1 燃气炉安全控制系统示意图Fig.1 Safe design for gas furnace control system

1.3 PLOAS基本原理

上述安全系统的核心是强链接和弱链接。在这种设计中，SL系统是非常健壮的，其目的是允许系统在并且仅在预定条件下运行（例如通过发送UN码）。相反，WL系统在事故条件下（如发生火灾）以可预测和不可逆的方式失效，并在SL系统意外运行之前使整个系统不工作。图2给出了具有一个WL和一个SL的WL/SL系统的逻辑图。在正常环境下，系统非运行状态如图2A所示，WL关闭，SL打开，运行状态如图2B所示，SL接收UN码后启动（即打开），驱动信号通过SL控制系统；在异常环境下，WL在SL故障之前失效，因此无论是系统处于非运行状态（如图2C）还是运行状态（如图2D），WL的失效均使得驱动信号无法通过，整个系统停止运行。但是，由于系统制造工艺或其他随机因素，在异常环境下，外部载荷突破隔离屏障，使得SL失效前而WL尚未失效，从而使整个系统处于不安全状态，出现这种状态的概率称之为PLOAS。丧失确定性安全并非指系统出现安全事故，而是指确保系统安全的WL没有按要求失效，从而导致系统处于不安全的状态。因此，PLOAS对系统安全性的评估更为保守。另外，由于隔离屏障、SL和WL的失效分布可以通过试验验证，因此，PLOAS具有较高的预测性和可信度。

图2 一个SL和一个WL的WL/SL系统逻辑示意图Fig.2 Logic diagram of WL/SL system with one SL and one WL

2 PLOAS发展历程

在PLOAS方法中，系统所处异常环境下载荷的类型、载荷随时间变化的规律及分布、不同载荷下SL和WL的失效分布是PLOAS评估的基础数据。

在美国能源部的资助下，PLOAS相关理论经过近20年的持续研究，桑迪亚国家实验室先后建立了温度相关性和时间相关性的多SLs和WLs系统模型（其中时间相关性系统通用性更强），采用梯形法、辛普森法、蒙特卡罗抽样法等多种方法开展数值计算，并开发了CPLOAS软件平台支持上述方法［5］，同时建立一套方法对数学模型和软件计算进行校核，确保模型和数值计算的准确性。目前，该方法体系得到美国军方的认可，为美军核武器安全性评估发挥了很大的作用。具体而言，其发展历程包括以下方面。

2.1 温度相关系统中的PLOAS模型

2006年J.C.Helton等人针对温度相关系统，采用传统的概率统计方法，首次建立系统的PLOAS模型［6，7］。在该系统中，假设WL和SL随着温度变化的失效概率是已知的，实际上，这种分布概论是可以通过试验回归分析获得。在火灾异常环境中，WL和SL的温度是随时间变化的函数。论文针对以下几种WL/SL配置建立数学模型：

（1）一个WL，一个SL；

（2）多个WLs，多个SLs，任何SL在任何WL之前失效，都会导致整个安全系统失效；

我像一匹健硕的骏马，驰骋在珠三角这片广袤的热土上。北方已是清凉的秋天了，南中国仍沉浸在热浪滔天中。阳光泼下来，硫酸似的灼人，滚滚车轮之后，黄尘嚣嚣，公交车里的汗臭和浊味，像蚂蟥一样爬得满身都是。我要和金融危机拼一场，不惜牺牲我的青春和汗水。我每天把自己像水饺似的扔进一辆辆公交车里，又像水饺似的从一辆辆公交车里倒出来。为了拉订单，为了建立业务关系，跑遍了东莞的企石，寮步，石龙，跑遍了宝安的西乡，松岗，还跑到广州的钟村等地，极其耐心地和客户交谈，宣传景花厂的信誉，员工的素质，抛光的质量。我的优势是抛光技术过得硬，面对客户侃侃而谈，不管什么异型产品，我都能表达出解决的方法。

（3）多个WLs，多个SLs，所有SL在任何WL之前失效，会导致整个安全系统失效；

（4）多个WLs，多个SLs以及SL具有多个子链接（任何子链接都能导致其关联的SL的失效），所有SL在任何WL之前失效，会导致整个安全系统失效。

PLOAS来自WL/SL系统中随时间变化的温度以及该系统各个组件失效时的温度的变化性（即不确定性），其表达形式为一个多维积分，文献［8］研究了具体的数值计算方案，并给出了计算机模型的校核方法［8］。文献［9］讨论了链路达到失效温度的时间与实际失效时间之间存在与温度相关的延迟系统，建立了存在延迟系统情况下PLOAS模型［9］。

2.2 时间相关系统中的PLOAS模型

温度相关系统主要适用于火灾环境条件下的分析，显然对于其他异常环境，该模型无法适用。文献［10］针对该局限性，建立时间相关系统的PLOAS模型。在该系统中，将WL和SL的属性值（根据异常环境可以是温度、冲击、压力等）随时间的变化描述为一簇随机函数，具体可以表达为一个中心函数乘以随机变量，同理，WL和SL的失效属性值也是一簇随时间变化的随机函数。由于属性值没有明确的定义，显然该模型具有更强的适用性。文献［10］建立时间相关系统的PLOAS数学模型，给出了数值计算方法，文献［11］建立了系统中存在随机不确定性延迟失效链路情况下的PLOAS模型［10，11］。

2.3 PLOAS中的认知不确定性研究

对于复杂系统的设计与分析，分离随机不确定性和认知不确定性，并分开讨论是十分重要的［12-14］。因为，随机不确定性源于所研究系统行为的固有特性，是系统的行为属性，可以统计和估计，无法消除；而认知不确定性源于人的认知能力的局限性，造成对某些参数的真实值缺乏了解，这些参数在特定分析的背景下往往是客观的、固定的，它是由于人的知识缺乏而对系统固定参数值产生误差，是可以消除的。在许多研究中［15-17］还讨论了随机不确定性和认知不确定性在复杂系统分析中的作用。核电厂的概率风险评估实现了随机性不确定性和认知性不确定性的分离，有时被描述为“频率概率”方法，因为使用频率来描述核电厂发生始发事件时的随机性不确定性事故，使用概率描述认知不确定性特征。文献［10］针对PLOAS系统中认知不确定性的概念和表示方法，文献［18］基于证据理论，建立了PLOAS中认知不确定性模型，并给出了数值计算方法［18］。

3 PLOAS发展趋势

由于PLOAS对安全性的评估仅适用于特定设计的高后果系统的安全性评估，目前在公开报道中，仅有美军核武器安全性评估得到成功的应用，但美国桑迪亚国家实验室自2000年至今，从未停止对PLOAS基础理论的研究。目前，关于PLOAS的研究主要有以下趋势。

3.1 SL/WL系统认知不确定性的深化研究

为了获得异常环境下SL、WL载荷分布和失效分布，需要通过试验进行回归分析，确定上述分布的相关参数。然而，即使采用大量的试验样本，也往往存在一定的误差，这些误差对PLO⁃AS评估的影响是不能忽略的，因此需要深化认知不确定性研究，包括认知不确定性表示方法、计算方法、灵敏度分析等。

3.2 和裕量与不确定性量化（Quantification of Margins and Uncertainties，QMU）理论的结合应用

3.3 PLOAS对高后果系统安全性设计的指导方法

由于保密等原因，PLOAS应用于实际装备的安全性评估尚无公开资料，但PLOAS如何对高后果系统安全性设计提供指导也是目前研究的一个重点，文献［22］针对温度相关性的高后果系统，估计了SL和WL最小失效温度的均值和方差，为关键部件的设计提供指导［22］。

3.4 PLOAS方法的推广应用

PLOAS方法在核电厂等领域的推广应用也是当前研究的重点之一。由于PLOAS理论是伴随着可预测的安全设计方法而发展起来的，因此，PLOAS方法在核电厂等领域的应用，对于老一代核反应堆的安全系统难以直接应用，但对于新一代核反应堆安全系统的设计和安全性评估需要开展深入的研究，尤其是SL和WL的设计、异常环境下载荷变化及分布等，文献［22］在该领域进行了初步的探讨。

4 结论

对于核武器等高后果系统，由于严重事故几乎无法试验，因此对其灾难性事故发生概率的评估十分困难，PLOAS为此类系统的安全性评估开辟了一条蹊径，即在异常环境下，不去评估系统出现事故的概率，而是评估确保系统安全的相关措施失效的概率，显然，后者评估结论更保守，由于确保系统安全的措施的失效分布容易试验验证，因此具有更高的预测性和可信度。

目前，PLOAS基础理论有了较好的发展，温度相关系统和时间相关系统中PLOAS数学模型、数值计算和模型校验均有了较为成熟研究，PLOAS理论研究中，有关认知不确定性研究、与QMU的结合应用、PLOAS对高后果系统安全性设计的指导方法和PLOAS方法的推广应用是当前的研究重点。