李 伟，青先国，王官勇，唐 涛，黄 奇

（中国核动力研究设计院 核反应堆系统设计技术国家级重点实验室，成都 610041）

0 引言

针对传统报警系统的缺陷[1]，国际上已经开发了许多先进的报警处理技术[2-5]，其中最简单的利用低通滤波技术消除参数在短时间内振荡进入和超出额定工作范围时产生的震荡报警；另一种报警处理技术是逻辑滤波，用于减少干扰报警，逻辑滤波方法采用某种类型的逻辑，如电厂工况、参数的重要性或因果关系，而不是低通滤波所采用的信号本身的时间特性；第三种先进的警报处理技术是报警优先级排序，可以基于不同的准则，例如响应时间对电厂安全的威胁等。报警优先级处理技术是从低层次信号或报警中推导出高层次报警，至少可以划分为基于事件和基于模型两种处理算法。基于事件的报警分析是通过一组特定的前提条件来识别特定的报警事件。因此，无法提供对意外事件的支持，这被认为是该技术的一个重要局限性。在基于模型的警报分析中，报警分析模型描述了在电厂正常运行时必须保持的属性，这些属性在电厂运行期间可能受到故障等异常事件的干扰，从而引发报警发生，对这些属性进行分析，可以识别引发报警事件的原因。基于模型的报警分析即使与特定的报警事件无关，不需要像基于事件的报警分析方法需要事先定义一组有限的事件集合。因此，被认为是一种具有发展前景的报警分析技术。

图1 多层流模型要素及标识Fig.1 MFM elements and symbols

1 多层流模型原理

多层流模型由丹麦学者M. Lind 于1980 年提出，是一种分析由物质、能量和信息交互构成的复杂过程系统的功能模型方法[6,7]。多层流模型利用一组包含因果关系的基本功能要素组成流结构，表示系统如何组织资源实现预定目标的特性。多层流模型的基本要素归纳如下，具体的细节请参阅文献[8]。

1.1 功能（Function）

如图1 所示，多层流模型提供了一组流功能元件，常用功能包括源（source）、传输（transport）、存储（storage）、平衡（balance ）、阻碍（barrier）以及阱（sink）分别表示系统物理元件提供、传输、储存、平衡、阻碍以及消耗物质（能量）的能力。

多层流模型还提供了4 个控制功能，假设S2 是由S1控制的被控系统：

1）引导（Steer）：表示S1 在S2 中产生一个新状态的能力。

2）停止（Trip）：表示S1 终止S2 当前状态的能力。

3）调整（Regulate）：表示S1 维持 S2 当前状态的能力。

4）抑制（Suppress）：表示S1 抑制S2 产生新状态的能力。

1.2 目标（Objective）

目标表示系统需要产生、维持、抑制或消除的某种状态，目标通过手段——目的关系与功能结构相连。

1.3 功能结构（Function Structure）

功能结构也称为流网（Flow Network），是一组由影响关系（Influence Relations）连接的物质、能量或信息功能组成，分别对应为物质流、能量流和信息流。

1.4 关系（Relations）

1）影响关系（Influence）是指影响关系描述相连两个功能之间的因果关系，由以下两种类型的影响关系：

影响者（Influencer）：将功能F（源、阱、存储或平衡）连接至传输功能T 的入口或出口，表示功能F 主动影响功能T。

参与者（Participant）：将功能F（源、阱、存储或平衡）连接至传输功能T 的入口或出口，表示功能F 被动地将物质或能力提供给功能T 或被动地接受来自功能T 的物质或能量。

2）手段——目的关系（Means-end Relations）：多层流模型提供了多种手段——目的关系，将目标连接至流结构，流结构包含一个或多个功能，这些功能对产生、维持、消除或抑制该目标发挥作用。

1.5 层次化结构（Hierarchical Structure）

多层流模型在不同抽象层次上描述电厂信息，相邻两个层次由手段——目的关系连接。对于由手段——目的连接的两个层次中的功能而言，较低层次的功能是实现高一层次功能的手段，高一层次的功能是较低层次功能的目的。多层流模型的层次化结构利用手段——目的关系为基于目标的问题求解和信息搜寻提供了有力支持，根据手段——目的关系，操纵员可以聚焦于目的以及与其关联的功能，而不需要关注所有系统元件。因此，多层流模型非常适合用于核电厂等复杂系统的运行监测、报警分析、故障诊断和预测。

2 利用多层流模型进行核电厂建模

利用多层流模型进行核电厂建模涉及以下步骤：

1）选择电厂工况。

2）识别在该工况下电厂的运行目标（主要目标）。

3）识别各系统为实现电厂目标而需实现的子目标。

4）选择一个目标（通常为主要目标）开始分析。

5）识别实现该目标的功能及对应的物理部件。

6）逐一识别功能的入口（输入）功能和出口（输出）功能，直至达到预先确定的分析边界。

7）选择恰当的影响关系将功能连接起来。

8）对于每一功能，如果存在实现功能的条件，则利用手段——目的关系将功能向下与子目标或支持功能连接起来，重复这一步骤直至达到预先确定的最低的分析层次为止。

9）如果功能由子目标支持，则转入步骤5）；如果功能由Producer-Product 关系连接，将支持功能作为分析对象，转入步骤6）进行进一步分析。

10）检查模型，确认没有遗漏任何功能和目标。

3 基于多层流模型的报警分析

3.1 报警分类

进行报警分析的目的是减少提供给操纵员的报警数量，并帮助操纵员进行故障定位和故障原因识别，为此将功能状态（报警事件）划分为以下类型：

1）主要报警：引发其他报警事件的原因性报警。

2）次要报警：由原因性报警引发的结果性报警。

3）未知报警：报警事件的初始状态。

3.2 功能状态离散化

通常将多层流模型的功能状态离散为高（hiflo）、正常（normal 或OK）以及低（loflo）3 种状态，表示高、正常或低流量、水位、压力等状态，此外还包括以下两种状态：

1）未知状态：功能的初始状态。

2）高-低状态（Hi-loflo）：表示不能检测或推理得到的不确定的功能状态。

3.3 功能状态之间的因果关系

一个功能所处状态依赖于其输入功能、输出功能以及条件。多层流模型元件所包含的因果关系可从领域的第一原理得到。根据物质和能量的守恒原理，可以归纳一组通用的因果关系，可作为报警分析的基础，表1 给出了多层流模型部分报警推理规则。

利用因果关系图可以说明多层流模型功能状态之间的因果依存关系和报警分析原理。以图2 所示正常工况下简化的压水堆核电厂二回路物质流为例，说明多层流模型的报警分析原理。M1 为二回路物质流结构，实现两个目标：

1）G1：维持蒸汽发生器（SG）水位。

2）G2：提供蒸汽。

物质流结构包括5 个功能：

① F1：给水箱提供给水。

② F2：给水泵将给水传输至SG。

③ F3：SG 存储给水，产生蒸汽。

④ F4：蒸汽传输至汽轮机。

⑤ F5：蒸汽驱动汽轮机做工。

在蒸汽发生器丧失给水的情况下，通过辅助给水G3维持SG 水位。

图3 给出了上述多层流模型蕴含的部分因果关系。一旦传感器检测确认了功能状态（报警事件），多层流模型可以用于：

预测：在流结构中，将一个报警事件按多层流模型因果关系传播进行影响传播，从而对未知的功能状态进行预测。如图3 所示，当F2 检测处于低状态（给水流量低），可以预测F3（SG 水位）和F4（主蒸汽流量）也将处于低状态。

表1 多层流模型报警分析推理规则Table 1 Reasoning rules of alarm analysis by MFM

因果路径识别：通过因果分析识别主要报警。如图3所示，进一步假设F3 和F4 均处于低状态，即SG 水位低且主蒸汽流量低，因而如图4 所示存在从F2（loflo）→F3（loflo）→F4（loflo）的因果路径，覆盖上述功能状态，路径起点所对应的功能状态称为主要报警，路径上其他功能状态为次要报警。

图2 简化的压水堆核电厂二回路物质流Fig.2 A simplified MFM of the mass flow for the secondary loop of PWR

3.4 主要/次要报警自动判别方法

本文给出如下自动判别报警类别的方法，包括两个主要步骤：

1）预测：将每一由传感器检测的报警事件（对应特定的功能状态）沿着多层流模型因果路径进行影响传播，由此可以识别模型中所有未知功能状态。

2）报警类别识别：根据多层流模型的因果关系确定每一报警的类型。

由于功能能否实现依赖其入口功能、出口功能和条件状态，因而判断某个功能的异常状态为主要报警的条件为：

①该功能的异常状态应由传感器直接探测，而非经过模型推理得到。

②该功能的条件正常。

③如果该功能的入口功能与出口功能处于异常状态，则根据表1 给出的因果规则，可以判明入口和出口功能的异常状态为该功能状态的结果。

以给水泵性能劣化故障为例，该故障将引发给水流量低（F2 loflow）、SG 水位低（F3 loflow）以及主蒸汽流量低（F4 loflow）报警。根据如图3 所示功能状态的因果依存关系，当F3 不处于高状态时，F2 的低状态应被判别为主要报警，图5 给出了F2 低状态为主要报警或次要报警的判别逻辑。在该例中，由于给水流量低为“真”，SG 水位高为“假”，因此判别“给水流量低为次要报警”为“假”，“给水流量低为主要报警”为“真”。同理，图6 和图7 分别给出了用于判断SG 水位低和主蒸汽流量低报警是否为主要报警的判断逻辑。

如果功能A 与功能B 相连，且功能B 的状态未被传感器直接探测，在以下两个情况下，功能A 的异常状态不能被判别为主要报警或次要报警，此时功能A 的异常状态将不能被抑制：

a）功能B 的状态不能入口功能和出口功能唯一确定。

b）功能A 和功能B 状态之间存在互为因果的关系。

图3 多层流模型所蕴含的因果关系图Fig.3 Causalities of MFM expressed by causal dependency graph

4 结论

图4 推理后的多层流模型因果关系Fig.4 Inferred causal dependency graph

图5 给水流量低为主要报警的判别逻辑Fig.5 Logic model for alarm analysis of low flow rate of feed water

本文提出了一种基于多层流模型的报警分析方法，用于在减少异常/事故工况下提示给主控制室操纵员的报警的数量，论文给出了一组基于守恒原理的报警推理规则，可用于预测未知功能状态。论文给出了判别报警类别的方法，次要报警可以结合其优先级或重要性得到抑制，从而减少操纵员进行报警分析和运行决策的负担。

在论文给出的基于多层流模型的报警分析方法中，报警是否为主要报警主要依赖于功能的入口功能、出口功能和条件。因此，很容易进行形式化和程序化。目前，作者正在利用实时专家系统开发多层流模型建模和报警分析平台，也将利用全范围模拟器对本文所提方法的有效性进行验证。

图6 SG水位低为主要报警的判别逻辑Fig.6 Logic model for alarm analysis of low level of SG

图7 主蒸汽流量低为主要报警的判别逻辑Fig.7 Logic model for alarm analysis of low rate of main steam