雙余度核電DEH設計與馬爾科夫模型分析

牛其磊，張衛東

(上海交通大學 電子信息與電氣工程學院,上海 200240)

0 引言

可靠性的研究早在20世紀初期就已經開始了，伴隨著數理統計理論的發展，相關研究在20世紀中后期逐漸形成體系，標準不斷完善，在工業上的應用也逐漸普及。核電汽輪機控制系統的可靠性預測即是其中受關注較多的一個領域。作為核電廠核心的汽輪機控制系統以往更多的使用常規DCS控制系統，但隨著機組容量不斷擴大，工業需求日益復雜，使用專用的汽輪機數字電液控制系統就顯得尤為重要了[1-2]。汽輪機數字電液控制系統(digital electro-hydraulic control system，DEH)不僅肩負著數據采集、處理，汽輪機狀態監視等任務，更承擔著汽輪機轉速的控制與調節，同時也要與常規DCS系統之間保持穩定的通訊與信息傳輸。僅僅依靠提高系統各部件質量已無法滿足日益嚴苛的可靠性要求[3]。因此，設計一套可靠的核電DEH系統并對其可靠性進行分析就顯得十分重要且必要。本文設計了基于異構處理器的核電DEH，并分析了雙余度核電DEH基于馬爾科夫(Markov)的可靠度模型，結合失效率、維修率、共因失效因子、診斷覆蓋率等參數綜合研究了可靠性變化趨勢，最后使用實例檢驗了雙余度核電DEH的可靠性，為核電DEH的可靠性分析提供了一種更加全面精準的預測方法。

1 雙余度核電DEH控制原理與設計

1.1 核電DEH控制原理

核電發電的原理就是由原子核反應堆釋放的核能通過一套動力裝置將核能轉為蒸汽的動能，進而轉變為電能。而汽輪機即是以水汽為介質，并把水汽的熱量變換為動能的大型旋轉設備。汽輪機牽引發電機的同時，將動能轉為電能。在核電發電系統里，汽輪機是必要的組件，因此控制汽輪機安全可靠的運轉就變得至關重要。

DEH是一種根據電網負荷變化來調整汽輪機進汽量以達到穩定汽輪機轉速，平衡電網負荷的控制裝置[4]。DEH主要包括磁阻/霍爾型轉速測量儀表、IO模塊、控制模塊、電動執行機構等。DEH的原理框圖如圖1所示。

圖1 DEH控制原理框圖

轉速儀表采集汽輪機轉速值，經過IO模塊調理為脈沖量信號，控制器將轉速實測值與設定值比較后進行PID調節；汽輪機的轉速輸出調節作為位置調節回路的給定值，經過IO模塊調理為電壓信號，控制器通過將位置反饋值與設定值比較后進行PID運算產生最終驅動執行機構的模擬量輸出信號，以滿足穩定汽輪機轉速的調節需求。

1.2 雙余度核電DEH架構設計

如圖2所示為某型雙余度核電DEH設計方案，其使用快速處理控制器模塊和混合型智能快速IO模塊來完成對汽輪機的安全可靠調節。控制器可通過工業以太網連接上位機軟件，進行監控數據的輸入輸出和組態策略的運算，并基于IO總線與快速IO模塊互相交換數據，起到承上啟下的作用。

圖2 某型雙余度核電DEH系統架構圖

快速處理控制器模塊采用三層PCI總線堆疊設計方案，第一層板卡通過總線接口和若干快速IO模塊通訊，主要負責總線協議的處理和底層硬件接口的驅動；中間一層是嵌入式x86模塊，主要通過PCI總線和另兩塊板卡交互數據，帶Linux操作系統，負責組態邏輯運算、以太網通訊等功能；最上層是另一層總線接口板，主要負責與其他快速處理控制器模塊之間的數據交互，并實現系統的擴展。控制器結構圖如圖3所示。

圖3 核電DEH控制器結構圖

快速IO模塊可實現轉速采樣、線性可變差動變壓器位移傳感器的4～20 mA電流采樣、4～20 mA電流輸出、數字量輸入輸出等功能。快速IO模塊結構圖如圖4所示。

圖4 雙余度核電DEH快速IO模塊結構圖

快速IO模塊基于總線與控制器連接，模塊上的 ARM7負責并行總線通訊協議，2塊Cortex M3負責模擬量與數字量的輸入輸出，微控制器芯片與通道部分線路全部通過磁耦或者光耦隔離。

第一片Cortex M3負責處理4通道4～20 mA電流輸入的模數轉換和4路獨立模擬量輸出的數模轉換。模擬量輸出分別為2路4～20 mA電流(輸出反饋)和2路±10 V電壓，±10 V電壓在后端子板上調理成±50 mA電流信號。±50 mA輸出的電流信號通道帶有輸出反饋檢測，以確保輸出回路工作正常。該Cortex M3同時還處理一路轉速信號，轉速信號通過后端子板調理成3.3 V方波，由微控制器計算頻率。

第二片Cortex M3處理另外4路電流信號輸入和4路模擬輸出，以及全部的數字輸入輸出通道。模擬量輸入輸出與前一部分電路相同。12路數字量輸入通道經過后端子板處理內供電和外供電兩種供電方式，將信號轉換為0 V/48 V電平信號，在快速IO模塊上實現電平轉換和采樣，同時帶有10 ms濾波，以避免現場干擾。8路數字量輸出通道由處理器發出指令，通過邏輯轉換、輸出驅動后，轉換為24 V電壓，驅動后端子板上的繼電器。

模擬端子板是該DEH中的一個子卡，主要作用是隔離現場和快速IO模塊，保護快速IO模塊不受損壞，以及根據現場需求配置快速IO模塊輸出并為快速IO模塊提供必需的控制反饋，從而完成閉環控制。根據設計需求，后端子板含有4路電流輸入通道，4路模擬量輸出通道(2路4～20 mA和2路±50 mA)和1路轉速通道，不同信號之間相互隔離，單獨供電。同時后端子板提供EMC防護、熱插拔沖擊和其他保護。

數字量后端子板是閥門定位器的一個子卡，其在系統中的作用是根據控制器的數字輸出指令產生繼電器輸出；接收現場開關信號，輸出給控制器；另外提供EMC防護、熱插拔沖擊和其他保護。

整套雙余度核電DEH的工作原理為：系統通過快速IO模塊的轉速通道接收來自汽輪機的轉速值，通過控制器模塊對頻率做邏輯判斷和運算，再由快速IO模塊的模擬量輸出通道來改變汽輪機的閥門開度的大小，同時通過快速IO模塊的模擬量輸入通道采樣汽輪機的位移，實現閉環反饋，以實現穩定汽輪機速度的目標。快速處理控制器模塊與快速IO模塊等均采用冗余結構，互為冗余的兩個模塊一個處于正常工作狀態，一個處于熱備冗余狀態，當處于工作狀態的模塊出現異常后將通過同步與狀態檢查機制及時檢出，并自動切到處在熱備冗余的模塊，完成系統的無擾切換。

2 雙余度核電DEH的Markov模型

2.1 求解Markov模型

如果某系統具有有限的狀態個數，且其狀態方程中的轉移概率只和時移有關，和起點時刻無關，則可以用Markov模型的方法研究該系統狀態變化規律。Markov過程是看待系統變化的一種眼光，這是因為系統的變動往往可以看作是在若干個狀態之間遷移[5]。Markov模型可以實時地體現系統從運行到故障再到經過維修回到正常狀態的一系列事件，既能反映系統設備之間的靜態關系又能反映其動態關系，可靠性分析精度高。

圖5為雙余度核電DEH的 Markov模型[6]，該模型包含6個狀態，在圖中分別用6個圓圈表示。分別是狀態0為OK(正常)，狀態1為DDN(正常測出的危險失效)，狀態2為DUN(正常未測出的危險失效)，狀態3為FS(安全失效)，狀態4為FDD(測出的危險失效)，狀態5為FDU(未測出的危險失效)[7]。該結構的狀態0、1、2都能夠正常運行。當任意一個模塊產生安全失效后，DEH隨即進入狀態3。在狀態1和狀態2時，DEH由1oo2降級為1oo1，這時對于1oo1的系統而言，如果產生安全失效，則進入狀態3；若發生危險失效，則系統進入狀態4或狀態5。由于多通道的存在，共因失效的發生成為可能，當系統發生共因危險失效時，系統會從狀態0轉移到狀態4或狀態5。此外，狀態1、3、4都可以通過修復轉移到狀態0。

圖5 雙余度核電DEH的Markov模型

其中，μ0為系統從檢測到的危險失效轉移到安全運行的幾率；μSD為維修率(h-1)；λ代表失效率，s代表安全，D代表危險，C代表共因失效，N代表正常，DD代表可測的危險失效，U代表不可檢測；如參數λsDc表示檢測出的共因安全失效率，其余參數可以此類推。各參數及相關衍生參數計算公式如表1所示。

表1 可靠性參數含義表

其中，β為共因失效因子；Cs為安全覆蓋因子；CD為危險覆蓋因子。

根據圖5所示的Markov模型，雙余度DEH系統狀態轉移矩陣如式(1)所示：

(1)

2.2 基于Markov模型的可靠性

核電DEH的可靠性一般用DEH在指定的前提和指定的時刻，實現指定任務的幾率表示[8]。如果DEH的壽命滿足負指數分布特征，那么其可靠度如式(2)所示：

R(t)=e-λt

(2)

由上述分析可知，系統在時刻t處于狀態n(n=0,1,2,3,4,5)的概率為：

(3)

DEH處于0、1、2均能夠安全運行，所以DEH安全運行的概率為：

Pok(t)=po(t)+p1(t)+p2(t)

(4)

DEH可以細分為多個分系統，各個部分又由多個串、并聯模塊構成，所以基于Markov模型的可靠性為：

(5)

3 可靠性預測與試驗分析

3.1 雙余度核電DEH可靠性預測

由上述分析可知，某型雙余度核電DEH共由4個部分組成，可進一步將每個部分劃分為3個模塊，如圖6為其可靠性結構示意圖。

圖6 某型雙余度核電DEH可靠性結構示意圖

以該型DEH中分系統1為例，其余分系統可類比分析。依據國軍標查詢對應的失效率，獲得分系統1各參數如表2所示。

表2 雙余度DEH分系統1可靠性參數值

設定DEH各模塊在啟動時為安全運行狀態，根據表2中的數據，使用公式(4)求出該型DEH分系統1各個模塊在時刻t為安全運行的幾率,然后將結果代入(5)式,得出該型DEH分系統1的可靠性隨時間變化的曲線[9]如圖7所示。

圖7 分系統1的Markov可靠度變化曲線

由圖7可以看出,該型DEH的可靠度隨著時間的增加而逐漸減小,且在其不同生命周期可靠度與時間并非線性化關系。在DEH安全運行的情況下,隨著時間推移,DEH的壽命超過當前時間的幾率越來越小。

3.2 雙余度核電DEH可靠性評估試驗

在可靠性分析的基礎上設計試驗進一步評估DEH可靠性。考慮到核電的特殊性，為使實驗結果盡可能接近DEH的真實壽命狀況，對其進行無替換定時截尾壽命試驗。抽取同一批生產的五套某型核電DEH，在試驗場地使用信號源、萬用表等儀器模擬現場工況進行測試。截尾時間選取為350小時、700小時、1 400小時、2 100小時、2 800小時。

根據可靠性試驗相關理論[10]，無替換定時截尾壽命試驗如圖8所示。

圖8 無替換定時截尾壽命試驗

總試驗時間為：

(6)

式中，n為子樣系統的個數，t(i,i=0,1,2...)為壽命數據，τ為截尾時間，r為失效個數。

平均壽命為：

(7)

預定任務時間t0內的可靠度估計為：

(8)

根據試驗得到的數據，繪制系統在每次試驗總實驗時間內的可靠度變化曲線如圖9所示。

圖9 某型核電DEH可靠度評估曲線

從圖9與圖7的對比可以大致看出實際系統的可靠度變化趨勢與基于Markov模型的預測基本一致。驗證了基于Markov模型分析核電DEH可靠性的可行性。根據可靠性預測與評估試驗結果，工程設計與實施人員在產品投入使用前進行老化試驗，檢出不合格模塊，使產品進入穩定工作期，在其運行期間定期進行巡檢，以此來提高核電DEH的可靠性，延長系統的壽命。

4 結束語

本文基于異構處理器設計雙余度核電DEH，通過隔離、防護、同步、冗余等措施保證了系統的安全可靠運行。核電汽輪機的DEH可靠性研究本身是一項復雜的工程,在研究其可靠性時借助于Markov過程模型，將DEH的工作狀況進行劃分，可以有效地評估DEH在不同工況之間的轉移概率，進而可以針對系統的可靠性進行量化分析。從截尾壽命試驗結果來看，基于Markov模型的可靠性分析更能反映系統的實際情況。相較于傳統的可靠性框圖和故障樹分析方法，不僅綜合考慮了失效率、維修率、診斷覆蓋率等因素，而且可以大大簡化計算，同時確定了DEH的多類可靠性參數，預測精度更高。對于提高核電DEH的工程應用水準以及確保核電安全運轉都具有現實意義。