基于序贯蒙特卡洛法的安全稳定控制系统架构可靠性分析

朱介北，邱 威，孙 宁，朱学科，霍 超，荀思超

（1.天津大学电气自动化与信息工程学院，天津市 300072；2.国家电网有限公司国家电力调度控制中心，北京市 100031；3.南瑞集团有限公司（国网电力科学研究院有限公司），江苏省南京市 211106；4.国家电网有限公司西北分部，陕西省西安市 710048；5.国网江苏省电力有限公司盐城供电分公司，江苏省盐城市 224001）

0 引言

在中国，一次能源和高用电负荷中心的分布相逆，为了使负荷得到充足电力供应并且满足节能减排和清洁能源送出的需求，多回跨区、大容量的特高压交、直流工程相继投运，电网特性也随之发生重要变化［1］。与此同时，安全稳定控制系统（简称稳控系统）也呈现出大型化、广域化和复杂化的变化趋势，电网的正常稳定运行对稳控系统的要求越来越高，稳控系统可靠性被破坏导致的误动、拒动将给电网巨大的二次扰动和冲击［2］。

国外曾多次出现由于稳控系统执行策略不当、误操作或者缺少稳控系统而造成大范围停电并产生严重后果的案例［3-6］。当故障发生后，稳控系统能够按照预先制定的策略要求执行正确的动作措施，使系统恢复稳定，不拒动、不误动，这是对电网安全稳定运行的重要支撑。稳控系统可靠性的研究一直受到人们的关注。文献［2］从多角度分析了影响稳控系统可靠性的因素，形成稳控系统可靠性研究总体框架；文献［7-8］依照马尔可夫空间状态转移模型分别求取了单稳控装置硬件和单个厂站稳控系统处于各状态下的概率，分析其可靠性；文献［9］基于分层马尔可夫法，研究了自检概率和检修概率对稳控系统整体可靠性的影响；文献［10-13］研究了不同环境下传统故障判据的适用性，并对其改进以提高稳控系统的可靠性；文献［14］提出了适用于特高压直流稳控系统的典型设计方案；文献［15］基于稳控系统功能受损情况的不同进行模式分类，通过局部异常分析不同受损模式的概率，提出稳控系统可靠性评估的新思路；文献［16-18］分析了双装置系统在主辅以及并列运行模式下动作措施集在异常状态可能出现失误的情况，并提出双装置间进行信息交互的解决方法。

目前，大多数研究是对稳控装置硬件、单站系统、故障判据以及运行模式单方面的考量，缺少考虑装置运行模式的稳控系统整体可靠性分析以及不同运行模式下稳控系统可靠性的比较研究。同时，多采用马尔可夫状态空间法进行建模分析，这需要大量的样本空间对其结果准确性进行支撑，计算量巨大。蒙特卡洛法则是通过随机模拟系统可能出现的状态来获得可靠性指标；序贯蒙特卡洛法能够模拟出随时序变化的系统运行状态，得到具有时序特征的可靠性指标。该方法受限小且原理简单，适用于复杂系统的可靠性评估。

本文根据稳控系统的物理架构特点，提出了具有一定普适性的按层稳控系统可靠性分析模型。依照该模型上层站运行模式的不同以及有无数据交换，建立不同情况下层间失效的故障树模型，进而得到区域稳控系统可靠性整体分析模型。采用序贯蒙特卡洛法对模型进行仿真求解，比较同一稳控系统在不同运行模式下的可靠性并分析系统容易出现故障的环节和装置。

1 稳控系统架构和运行模式

1.1 总体架构

为保障电网区域范围内数据信息的采集，稳控系统通过多层级的架构来实现电网保护。典型的稳控系统架构如图1所示，可以分为3个层次:控制主站、控制子站和执行站。故障发生后，控制主站根据控制策略表，控制整个区域电网，通过通信通道实时交换运行信息，传送控制命令；控制子站起到承上启下的枢纽作用，向上传输本站和相关站点的信息到主站，向下传输主站的控制措施到执行站，必要时根据局部电网的控制策略表采取控制措施；执行站接受并执行主站或子站的指令，并采集本站信息向它们传输［19］。为了保证系统的安全性，各站均按照双重化配置，实现冗余设计。

图1 稳控系统架构示意图Fig.1 Schematic diagr am of secur ity and stability contr ol system ar chitectur e

1.2 运行模式

常见稳控系统同站双机运行模式分为主辅、并列2种方式。在主辅运行模式下，由主运装置动作出口并立即闭锁辅运装置。如果主运装置拒动，或在一定延时内没有动作，则由辅运装置延时动作出口，同时闭锁主运装置［19］。并列运行模式下，双机出口有并联和串联2种方式，分别对应“二取一”和“二取二”的逻辑方式。并联时执行2套装置动作集合的并集；串联时执行2套装置动作集合的交集。

然而，只依靠运行模式仍然会有错误情况出现，为解决这一问题，在双装置间增加了数据交换。如图1中虚线框内部分，当执行站1的A装置因为故障、检修等原因退出运行之后，子站1的A装置只能接收到执行站2的A装置反馈信息，而子站1的B装置仍能接收到执行站1、2的B装置反馈信息。决策依据的不同导致两子站的控制策略有所差异，合并之后的控制策略无法满足电网故障后恢复稳定。当双机间采用数据交换，发生相同故障后，子站1的A装置会通过子站1的B装置接收到执行站1的B装置信息，反馈路径如图1中红线所示。这样2套装置的决策依据将会保持一致，提高系统可靠性。

2 稳控系统可靠性分析框架

将失效率和修复率作为稳控系统可靠性评价的基本指标，对造成稳控系统失效的原因进行梳理，并根据稳控系统的架构特点，提出分析其可靠性的统一框架。

2.1 失效率和修复率

稳控系统是一个可修复的系统，在其可靠性分析中，失效率λ与修复率μ为最基本的指标。

式中:λ(t)为系统已经正常工作到t时刻之后单位时间内失效的次数；P（·）为条件概率函数；Δt为采样时间；T为系统故障前正常工作时间。

式中:μ(t)表示当系统在t时刻尚未被修复，在t时刻之后单位时间内被修复的概率；TY为系统故障持续时间。

2.2 稳控系统失效分类

根据稳控系统可靠性的影响因素［2］，将稳控系统失效分为以下4种情况。

1）稳控系统硬件失效，主要包括稳控装置的硬件设备和装置间的通信通道。

2）稳控系统软件失效，主要是跳闸判据设定的不合理以及参数的误整定、错发信号等。

3）稳控系统原理性失效，由于稳控系统多层次的架构以及装置间运行模式、逻辑选择造成的原理性失效。

4）人为或环境原因造成的失效，包括运行维护失误、误接线和误操作等，也包含环境或者恶劣天气的影响，例如:高温、雷雨、台风等。由于这类原因所占比例较小且统计起来较为复杂，本文暂不考虑。

2.3 稳控系统可靠性分析框架模型

稳控系统包括主站层、子站层和执行层。每层的功能、作用和目的各不相同，并且不同系统每层的站数目、装置间的运行模式也不确定，彼此间差异较大。但是根据稳控系统的物理架构特性，主站层到子站层、子站层到执行层可以用同一种方式统一表达，如图2所示。

图2 稳控系统层次间架构模型Fig.2 Architecture model between two levels of security and stability control system

图2中，{U Pi，i=1，2，…，m}为上层控制站的集合，既可以表示主站也可以表示子站。m为上层控制站的总数，UPiA和UPiB分别为第i个控制站A套、B套稳控装置；{ D Nij，i=1，2，…，n}为第i个上层控制站控制的下层控制站集合。当UPi表示主站时，DNij表示子站；当UPi表示子站时，DNij表示执行站。n为第i个上层站控制的下层站总数，DNijA和DNijB分别为上层第i个控制站控制下的第j个下层站A套、B套稳控装置；LINEijA和LINEijB分别为上层第i个控制站与其控制的第j个下层站A套和B套稳控装置间的通信通道。

将稳控系统的可靠性分为主站层-子站层和子站层-执行层的可靠性进行分析。这两者有着可统一表示的相同物理架构，故采用同样方法进行层次间的可靠性分析。这样既简化了分析过程，又不失分析效果的一般性。

3 稳控系统失效故障树模型建立

为建立稳控系统失效的故障树模型，首先，将层次间失效归分为上层站及其所控制下层站共同组成的m个基础单元系统的失效。然后，依照上层站装置间运行模式、数据交换情况、下层站装置间运行模式，构建不同情况下的基础单元系统失效故障树模型。最终，建立稳控系统失效的故障树模型。

3.1 层次架构间可靠性分析

通过层次架构模型的特点，建立稳控系统层次间的故障树模型如图3所示。

该故障树模型对主站层到子站层和子站层到执行层的可靠性分析均适用。每个上层站和其所控制的下层站看作一个系统（下文称作基础单元系统），当这个系统失效时，层次间系统便会失效，进而导致稳控系统失效。

可见，通过对每个基础单元系统进行可靠性分析，能够完成对稳控系统整体架构的可靠性分析。并且对于每个这样的基础单元系统，不论是在主站层到子站层还是在子站层到执行层的层次中，对应的分析都不失一般性。

图3 稳控系统层次间失效的故障树模型Fig.3 Fault tree model of failure between two levels of secur ity and stability control system

稳控系统的失效包括拒动和误动2个方面，考虑每个基础单元系统的架构模型，从装置硬件拒动、装置软件拒动、装置硬件误动、装置软件误动和通信通道安全几个方面对其进行可靠性分析。

3.2 上层站主辅模式下基础单元可靠性分析

UPi站两装置在主辅运行（本文考虑的主辅运行中均为A装置主运）模式下的基础单元系统失效的故障树模型如附录A图A 1所示。

基础单元系统i失效分为上层站失效和下层站失效两部分。上层站失效为以下2种情况:①UPiA误动；②UPiA拒动且UPiB失效（拒动和误动）。下层站失效由DNij控制不正常导致，分为2种情况:①DNij能够正确反馈信息给上层站但却不能够正确动作；②DNij无法向上层站反馈信息。下面针对UPi站装置间是否进行信息交换来对DNij失效进行分析。

当UPi站双装置间无信息交换时，DNij失效如附录A图A 2所示，分为4种情况:①当所有下层控制站A装置信息反馈失效，UPi辅运装置决策工作时，DNijB误动或在DNij并列运行出口串联下DNijA误动会导致失效；②当DNijA正常反馈信息，UPi主运决策工作时，DNijA误动或DNij并列运行出口串联下DNijB失效或DNij并列运行出口并联下DNijB误动会导致失效；③当DNijA无法进行信息反馈时，由于其他下层站A装置反馈信息的影响，在UPi主辅模式下DNijB的反馈信息被抑制，最终导致UPiA没有收到DNij反馈信息；④DNijA和DNijB的信息反馈均失效，DNij无法反馈信息。

当UPi双装置间进行信息交换时，DNij失效的故障树模型如附录A图A 3所示。共有3种情况:①当DNijA无法反馈信息时，UPiA可以通过DNijB得到DNij反馈信息，进行动作决策，不会受到其他下层站A装置反馈信息的抑制，主运和辅运决策相同，此时的失效原因同无信息交换时的情况①；②当DNijA正常反馈信息时，相当于UPi主运决策工作，此时的失效原因同无信息交换时的情况②；③DNijA和DNijB的信息反馈均失效，DNij无法反馈信息。

3.3 上层站并列模式下基础单元可靠性分析

UPi站两装置在并列运行模式下基础单元系统失效的故障树模型如附录A图A 4所示。出口串联时上层站失效分为以下2种情况:①UPiA失效；②UPiB失效。下层站失效原因为DNij控制不正常。在出口并联时上层站失效分为以下3种情况:①UPiA误动；②UPiB误动；③UPiA和UPiB均拒动。下层站失效情况不变。

当UPi站两装置间无信息交换时，DNij失效故障树模型如附录A图A 5所示。当出口串联时分为2种情况:①由于DNijA误动或者DNij并列运行下DNijB误动；②DNijA和DNijB任意一个无法正常反馈信息。因为串联模式下，UPiA和UPiB决策动作相同才可以执行正确动作，这需要二者接收到相同的反馈信息。出口并联时分为3种情况:①同串联模式下的情况①；②DNij一装置能正常反馈信息，另一装置失效且UPi对应反馈失效的装置同时有收到其他下层站的反馈信息。因为并列运行下，只有UPiA和UPiB决策动作相同或者一个无决策，另一个进行决策才能够执行正确动作；③DNijA和DNijB均无法反馈信息。

当进行信息交换时，UPi不论出口串联还是并联，双装置接收到相同的反馈信息，DNij失效的故障树模型相同，如附录A图A 6所示，有2种情况:①DNijA误动或者DNij并列运行下DNijB误动造成失效；②DNij无法反馈信息。

3.4 稳控系统整体可靠性模型分析

根据以上各系统的可靠性分析，可以得到稳控系统整体可靠性分析的故障树模型，如附录A图A 7所示。由UPi的运行模式选择对应的单元系统失效故障树模型，再通过UPi装置间是否进行信息交换，选择DNij失效的故障树模型来进行分析。

4 序贯蒙特卡洛可靠性仿真分析

4.1 方法介绍

蒙特卡洛仿真［20］是一种以概率和统计理论为核心，通过计算机仿真大量随机物理过程，从而得到可靠性指标的一种方法。序贯蒙特卡洛仿真是模拟系统内装置元件运行状态随时间序列的变化对系统的影响，来获得系统具有时序特性的可靠性指标。

在采用序贯蒙特卡洛仿真时，需要通过装置元件的失效率λ与修复率μ，以及产生的随机数来确定各装置元件的时序状态转移过程。将各装置元件的时序状态通过“与”“或”的逻辑关系进行合并，从而得到系统的时序状态转移过程，进而可以得到系统的可靠性指标。在仿真中，假定元件的正常工作时间和故障维修时间分别为服从负指数分布的随机变量t1和t2，则t1和t2的取值按式（3）进行抽样。

式中:ε1和ε2均为［0，1］间均匀分布的随机数。

以UPi站两装置在主辅运行模式下，基础单元系统上层站失效的分析过程为例进行说明，如附录B图B1所示。首先，依照元件的故障率和修复率，由式（3）分别模拟出UPiA和UPiB的软、硬件拒动和误动时的时序状态转移过程。然后，根据设置的故障树模型，通过稳控系统各组成装置的逻辑关系耦合得到上层站运行状态的时序状态及其失效的情况。最后，由该状态图计算可靠性指标，分析失效的原因。图B1中:1表示误动；0表示正常运行。

4.2 仿真流程图

基于故障树的序贯蒙特卡洛仿真流程如下:①输入系统基础信息，确定系统初始状态，通常均为正常运行；②确定仿真的最大时长和步长；③根据式（3）和元件的故障率和修复率得到各底层事件在仿真时间内的时序状态变化；④依照故障树模型，由底事件的状态变化推导出整个系统在最大仿真时间内的状态变化序列；⑤多次仿真，得到平均值，计算系统可靠性指标。

单次序贯蒙特卡洛仿真流程如图4所示。其中，Tmax为最大仿真时间。

5 仿真实例

以复奉特高压直流送端泸复稳控系统架构［21］进行仿真，如图5所示。按照上述模型和分析方法，分别比较泸州站在主辅、并列并联运行模式时，有无信息交换4种情况下泸复稳控系统架构的可靠性。

图5 泸州-复龙稳控系统架构示意图Fig.5 Schematic diagram of Luzhou-Fulong security and stability control system architecture

复龙站关注故障时四川电网总切除容量，相当于主站；泸州站对切机容量进行分配，发送到二滩、瀑布沟电厂，相当于子站；二滩、瀑布沟电厂执行切机命令，相当于执行站。其中，主站为主辅运行且无信息交换模式；执行站为并列运行、出口并联。泸州站既是主站到子站层的下层站，也是子站到执行站层的上层站。因此，选择将主站和执行站的运行方式固定后，分析稳控系统在泸州站不同运行模式下的可靠性。这样既可以全面体现该方法的仿真过程，又减少了大量的重复分析。

本文侧重于对不同运行模式下稳控系统架构可靠性的比较和规律性分析，在模型参数选取时存在一定假设。本文仿真假定为某型号稳控装置［7］，其装置硬件失效率λYJ=5.93×10－6次/h；通信通道选择为同步数字体系（SDH）单根光纤，依据文献［22］其失效率λTX=13.92×10－6次/h；软件失效率为λRJ=7.5×10－6次/h。假定硬件和软件的拒动、误动失效率相同，软、硬件修复时间分别为12 h和24 h。底层事件各数据如附录C表C1所示。准确数据还需要工程上大量应用统计后，分析处理得到。

经过多次仿真后得到泸州站稳控装置在不同运行模式下泸复稳控系统架构的可靠性指标，仿真结果如图6（a）所示。最大仿真时长为106h，不可靠度为最大仿真时长内系统失效时长所占比例。

从图6（a）中可见，在进行信息交换的条件下，稳控系统的可靠性会大大增强；同时，针对该系统，控制子站在主辅运行模式下的可靠性要高于并列运行出口并联。

在稳控系统失效时，由序贯蒙特卡洛仿真的特点可以判断出各站稳控装置以及装置间的通信通道是否正常。通过故障树模型可以分析出系统失效的原因，得到对稳控系统可靠性影响较大的部分。以泸州站在主辅交换信息运行模式下为例，说明引起系统失效的不同故障情况占比，如图6（b）所示。

图6 仿真结果Fig.6 Simulation results

由图6（b）可知，该情况下主站至子站以及子站至执行站下层失效是引起系统故障的主要原因，占比达到76.78%。各装置设备失效的时长如图6（c）所示。在该运行模式下，通信通道的故障对装置可靠性几乎无影响，故没有标示其数据。可见装置的误动是造成系统失效的重要原因。对复龙站−泸州站层，两站均为主辅运行模式，主运装置误动是系统失效的主要原因；对泸州站−执行站（二滩、瀑布沟）层，由于下层站采用并列并联模式，故双装置中任何一个误动都会使系统失效。

6 结语

本文依照稳控系统的架构以及运行模式的特点，提出了通过故障树模型，采用序贯蒙特卡洛仿真分析稳控系统可靠性的方法。该方法将稳控系统的可靠性按层分析，分为主站层到子站层、子站层到执行层的可靠性。并以装置硬件、软件失效和通信通道故障为底层失效事件，分别建立上层站在不同运行模式下层间失效故障树模型。最后，利用序贯蒙特卡洛法进行仿真，对稳控系统可靠性求解。

提出的按层分析方法以及建立的层间故障树分析模型对不同的稳控系统都有一定适用性，可建立区域稳控系统可靠性分析的统一模型。在此基础上，通过序贯蒙特卡洛法进行仿真分析，可以比较选择出最为适合该系统的稳控装置运行模式，这给稳控系统架构设计和运行模式的选择提供了理论支撑。同时，该方法可以通过模拟系统长时间的运行过程，发现对稳控系统可靠性影响较大的装置和设备，这也给系统的运行维护和故障预防指出了重点方向。

稳控系统可靠性的分析角度众多，本文仅考虑了较为常见的运行模式以及简单的数据交换。数据交换所带来的稳控系统复杂度变化，以及随着特高压交直流电网的发展，未来稳控系统还可能会出现多数表决等其他运行模式，都可在此基础上进一步研究，分析它们对稳控系统可靠性的影响。

附录见本刊网络版（http：//www.aeps-info.com/aeps/ch/index.aspx），扫英文摘要后二维码可以阅读网络全文。