双余度核电DEH设计与马尔科夫模型分析

牛其磊，张卫东

(上海交通大学 电子信息与电气工程学院,上海 200240)

0 引言

可靠性的研究早在20世纪初期就已经开始了，伴随着数理统计理论的发展，相关研究在20世纪中后期逐渐形成体系，标准不断完善，在工业上的应用也逐渐普及。核电汽轮机控制系统的可靠性预测即是其中受关注较多的一个领域。作为核电厂核心的汽轮机控制系统以往更多的使用常规DCS控制系统，但随着机组容量不断扩大，工业需求日益复杂，使用专用的汽轮机数字电液控制系统就显得尤为重要了[1-2]。汽轮机数字电液控制系统(digital electro-hydraulic control system，DEH)不仅肩负着数据采集、处理，汽轮机状态监视等任务，更承担着汽轮机转速的控制与调节，同时也要与常规DCS系统之间保持稳定的通讯与信息传输。仅仅依靠提高系统各部件质量已无法满足日益严苛的可靠性要求[3]。因此，设计一套可靠的核电DEH系统并对其可靠性进行分析就显得十分重要且必要。本文设计了基于异构处理器的核电DEH，并分析了双余度核电DEH基于马尔科夫(Markov)的可靠度模型，结合失效率、维修率、共因失效因子、诊断覆盖率等参数综合研究了可靠性变化趋势，最后使用实例检验了双余度核电DEH的可靠性，为核电DEH的可靠性分析提供了一种更加全面精准的预测方法。

1 双余度核电DEH控制原理与设计

1.1 核电DEH控制原理

核电发电的原理就是由原子核反应堆释放的核能通过一套动力装置将核能转为蒸汽的动能，进而转变为电能。而汽轮机即是以水汽为介质，并把水汽的热量变换为动能的大型旋转设备。汽轮机牵引发电机的同时，将动能转为电能。在核电发电系统里，汽轮机是必要的组件，因此控制汽轮机安全可靠的运转就变得至关重要。

DEH是一种根据电网负荷变化来调整汽轮机进汽量以达到稳定汽轮机转速，平衡电网负荷的控制装置[4]。DEH主要包括磁阻/霍尔型转速测量仪表、IO模块、控制模块、电动执行机构等。DEH的原理框图如图1所示。

图1 DEH控制原理框图

转速仪表采集汽轮机转速值，经过IO模块调理为脉冲量信号，控制器将转速实测值与设定值比较后进行PID调节；汽轮机的转速输出调节作为位置调节回路的给定值，经过IO模块调理为电压信号，控制器通过将位置反馈值与设定值比较后进行PID运算产生最终驱动执行机构的模拟量输出信号，以满足稳定汽轮机转速的调节需求。

1.2 双余度核电DEH架构设计

如图2所示为某型双余度核电DEH设计方案，其使用快速处理控制器模块和混合型智能快速IO模块来完成对汽轮机的安全可靠调节。控制器可通过工业以太网连接上位机软件，进行监控数据的输入输出和组态策略的运算，并基于IO总线与快速IO模块互相交换数据，起到承上启下的作用。

图2 某型双余度核电DEH系统架构图

快速处理控制器模块采用三层PCI总线堆叠设计方案，第一层板卡通过总线接口和若干快速IO模块通讯，主要负责总线协议的处理和底层硬件接口的驱动；中间一层是嵌入式x86模块，主要通过PCI总线和另两块板卡交互数据，带Linux操作系统，负责组态逻辑运算、以太网通讯等功能；最上层是另一层总线接口板，主要负责与其他快速处理控制器模块之间的数据交互，并实现系统的扩展。控制器结构图如图3所示。

图3 核电DEH控制器结构图

快速IO模块可实现转速采样、线性可变差动变压器位移传感器的4～20 mA电流采样、4～20 mA电流输出、数字量输入输出等功能。快速IO模块结构图如图4所示。

图4 双余度核电DEH快速IO模块结构图

快速IO模块基于总线与控制器连接，模块上的 ARM7负责并行总线通讯协议，2块Cortex M3负责模拟量与数字量的输入输出，微控制器芯片与通道部分线路全部通过磁耦或者光耦隔离。

第一片Cortex M3负责处理4通道4～20 mA电流输入的模数转换和4路独立模拟量输出的数模转换。模拟量输出分别为2路4～20 mA电流(输出反馈)和2路±10 V电压，±10 V电压在后端子板上调理成±50 mA电流信号。±50 mA输出的电流信号通道带有输出反馈检测，以确保输出回路工作正常。该Cortex M3同时还处理一路转速信号，转速信号通过后端子板调理成3.3 V方波，由微控制器计算频率。

第二片Cortex M3处理另外4路电流信号输入和4路模拟输出，以及全部的数字输入输出通道。模拟量输入输出与前一部分电路相同。12路数字量输入通道经过后端子板处理内供电和外供电两种供电方式，将信号转换为0 V/48 V电平信号，在快速IO模块上实现电平转换和采样，同时带有10 ms滤波，以避免现场干扰。8路数字量输出通道由处理器发出指令，通过逻辑转换、输出驱动后，转换为24 V电压，驱动后端子板上的继电器。

模拟端子板是该DEH中的一个子卡，主要作用是隔离现场和快速IO模块，保护快速IO模块不受损坏，以及根据现场需求配置快速IO模块输出并为快速IO模块提供必需的控制反馈，从而完成闭环控制。根据设计需求，后端子板含有4路电流输入通道，4路模拟量输出通道(2路4～20 mA和2路±50 mA)和1路转速通道，不同信号之间相互隔离，单独供电。同时后端子板提供EMC防护、热插拔冲击和其他保护。

数字量后端子板是阀门定位器的一个子卡，其在系统中的作用是根据控制器的数字输出指令产生继电器输出；接收现场开关信号，输出给控制器；另外提供EMC防护、热插拔冲击和其他保护。

整套双余度核电DEH的工作原理为：系统通过快速IO模块的转速通道接收来自汽轮机的转速值，通过控制器模块对频率做逻辑判断和运算，再由快速IO模块的模拟量输出通道来改变汽轮机的阀门开度的大小，同时通过快速IO模块的模拟量输入通道采样汽轮机的位移，实现闭环反馈，以实现稳定汽轮机速度的目标。快速处理控制器模块与快速IO模块等均采用冗余结构，互为冗余的两个模块一个处于正常工作状态，一个处于热备冗余状态，当处于工作状态的模块出现异常后将通过同步与状态检查机制及时检出，并自动切到处在热备冗余的模块，完成系统的无扰切换。

2 双余度核电DEH的Markov模型

2.1 求解Markov模型

如果某系统具有有限的状态个数，且其状态方程中的转移概率只和时移有关，和起点时刻无关，则可以用Markov模型的方法研究该系统状态变化规律。Markov过程是看待系统变化的一种眼光，这是因为系统的变动往往可以看作是在若干个状态之间迁移[5]。Markov模型可以实时地体现系统从运行到故障再到经过维修回到正常状态的一系列事件，既能反映系统设备之间的静态关系又能反映其动态关系，可靠性分析精度高。

图5为双余度核电DEH的 Markov模型[6]，该模型包含6个状态，在图中分别用6个圆圈表示。分别是状态0为OK(正常)，状态1为DDN(正常测出的危险失效)，状态2为DUN(正常未测出的危险失效)，状态3为FS(安全失效)，状态4为FDD(测出的危险失效)，状态5为FDU(未测出的危险失效)[7]。该结构的状态0、1、2都能够正常运行。当任意一个模块产生安全失效后，DEH随即进入状态3。在状态1和状态2时，DEH由1oo2降级为1oo1，这时对于1oo1的系统而言，如果产生安全失效，则进入状态3；若发生危险失效，则系统进入状态4或状态5。由于多通道的存在，共因失效的发生成为可能，当系统发生共因危险失效时，系统会从状态0转移到状态4或状态5。此外，状态1、3、4都可以通过修复转移到状态0。

图5 双余度核电DEH的Markov模型

其中，μ0为系统从检测到的危险失效转移到安全运行的几率；μSD为维修率(h-1)；λ代表失效率，s代表安全，D代表危险，C代表共因失效，N代表正常，DD代表可测的危险失效，U代表不可检测；如参数λsDc表示检测出的共因安全失效率，其余参数可以此类推。各参数及相关衍生参数计算公式如表1所示。

表1 可靠性参数含义表

其中，β为共因失效因子；Cs为安全覆盖因子；CD为危险覆盖因子。

根据图5所示的Markov模型，双余度DEH系统状态转移矩阵如式(1)所示：

(1)

2.2 基于Markov模型的可靠性

核电DEH的可靠性一般用DEH在指定的前提和指定的时刻，实现指定任务的几率表示[8]。如果DEH的寿命满足负指数分布特征，那么其可靠度如式(2)所示：

R(t)=e-λt

(2)

由上述分析可知，系统在时刻t处于状态n(n=0,1,2,3,4,5)的概率为：

(3)

DEH处于0、1、2均能够安全运行，所以DEH安全运行的概率为：

Pok(t)=po(t)+p1(t)+p2(t)

(4)

DEH可以细分为多个分系统，各个部分又由多个串、并联模块构成，所以基于Markov模型的可靠性为：

(5)

3 可靠性预测与试验分析

3.1 双余度核电DEH可靠性预测

由上述分析可知，某型双余度核电DEH共由4个部分组成，可进一步将每个部分划分为3个模块，如图6为其可靠性结构示意图。

图6 某型双余度核电DEH可靠性结构示意图

以该型DEH中分系统1为例，其余分系统可类比分析。依据国军标查询对应的失效率，获得分系统1各参数如表2所示。

表2 双余度DEH分系统1可靠性参数值

设定DEH各模块在启动时为安全运行状态，根据表2中的数据，使用公式(4)求出该型DEH分系统1各个模块在时刻t为安全运行的几率,然后将结果代入(5)式,得出该型DEH分系统1的可靠性随时间变化的曲线[9]如图7所示。

图7 分系统1的Markov可靠度变化曲线

由图7可以看出,该型DEH的可靠度随着时间的增加而逐渐减小,且在其不同生命周期可靠度与时间并非线性化关系。在DEH安全运行的情况下,随着时间推移,DEH的寿命超过当前时间的几率越来越小。

3.2 双余度核电DEH可靠性评估试验

在可靠性分析的基础上设计试验进一步评估DEH可靠性。考虑到核电的特殊性，为使实验结果尽可能接近DEH的真实寿命状况，对其进行无替换定时截尾寿命试验。抽取同一批生产的五套某型核电DEH，在试验场地使用信号源、万用表等仪器模拟现场工况进行测试。截尾时间选取为350小时、700小时、1 400小时、2 100小时、2 800小时。

根据可靠性试验相关理论[10]，无替换定时截尾寿命试验如图8所示。

图8 无替换定时截尾寿命试验

总试验时间为：

(6)

式中，n为子样系统的个数，t(i,i=0,1,2...)为寿命数据，τ为截尾时间，r为失效个数。

平均寿命为：

(7)

预定任务时间t0内的可靠度估计为：

(8)

根据试验得到的数据，绘制系统在每次试验总实验时间内的可靠度变化曲线如图9所示。

图9 某型核电DEH可靠度评估曲线

从图9与图7的对比可以大致看出实际系统的可靠度变化趋势与基于Markov模型的预测基本一致。验证了基于Markov模型分析核电DEH可靠性的可行性。根据可靠性预测与评估试验结果，工程设计与实施人员在产品投入使用前进行老化试验，检出不合格模块，使产品进入稳定工作期，在其运行期间定期进行巡检，以此来提高核电DEH的可靠性，延长系统的寿命。

4 结束语

本文基于异构处理器设计双余度核电DEH，通过隔离、防护、同步、冗余等措施保证了系统的安全可靠运行。核电汽轮机的DEH可靠性研究本身是一项复杂的工程,在研究其可靠性时借助于Markov过程模型，将DEH的工作状况进行划分，可以有效地评估DEH在不同工况之间的转移概率，进而可以针对系统的可靠性进行量化分析。从截尾寿命试验结果来看，基于Markov模型的可靠性分析更能反映系统的实际情况。相较于传统的可靠性框图和故障树分析方法，不仅综合考虑了失效率、维修率、诊断覆盖率等因素，而且可以大大简化计算，同时确定了DEH的多类可靠性参数，预测精度更高。对于提高核电DEH的工程应用水准以及确保核电安全运转都具有现实意义。