劉子琪， 袁 霞， 白 丹

（中國兵器裝備集團自動化研究所， 四川 綿陽 621000）

0 引言

在安全等級SIL3 的核電工程中， 安全性檢測DCS平臺系統(tǒng)擔當著安全核心作用。在以往，為了達到國際上SIL3 高安全性級別，所采用的安全檢測DCS 系統(tǒng)均是采自于國外公司。運用可靠性框圖、FTA 故障樹從可能發(fā)生故障的方面來分析系統(tǒng)故障，對其可靠性進行分析。但這種方法去掉了隨時間轉變狀態(tài)的系統(tǒng)情況， 如果考慮核電系統(tǒng)各種狀態(tài)之間相互轉換對其可靠性的影響則運用馬爾科夫模型更為恰當。

馬爾科夫模型是一種隨機過程，并且在每個時刻中所可能發(fā)生的情況遵循著一定的概率統(tǒng)計規(guī)律。在系統(tǒng)增加了可修復的情況下， 馬爾科夫模型能更好地描述投入使用后隨時間變化時，刻畫系統(tǒng)在某一時刻處于某種狀態(tài)的概率，從而分析系統(tǒng)可靠性。 馬爾科夫過程作為可靠性工程中的動態(tài)理論工具，現(xiàn)已廣泛應用于許多的領域[1]。

本文利用馬爾科夫模型對核電站安全性檢測平臺系統(tǒng)進行可靠性預測。 將該DCS 控制系統(tǒng)在使用過程中可能出現(xiàn)的各種正常及故障狀態(tài)與馬爾科夫過程相結合，建立了該系統(tǒng)的可靠性評估模型， 分析了該系統(tǒng)的各個狀態(tài)概率。 為達到安全性級別要求和高可靠性提供了理論支持。

1 DCS 概念

核電廠DCS 數(shù)字化儀控系統(tǒng)。 核電廠DCS 系統(tǒng)可分為安全級（級） 非安全級（級） 。 在針對DCS 系統(tǒng)中的部分設計中，我們也采用了冗余設計的思路來符合核電控制儀安全性級別要求[2]。 1oo2D 結構冗余設計的思路，運用于所設計的輸入模塊、控制器模塊和輸出模塊。 每個控制模塊都設計有通道A、通道B 該兩個通道，并最終由表決/切換電路決定輸出。

2 馬爾科夫過程

2.1 概念

馬爾科夫過程在可靠性領域中是一種動態(tài)的隨機過程。 如果其一步轉移概率pij 恒于時刻t 無關，則稱為齊次（時齊）馬爾科夫。

本文研究的平穩(wěn)馬爾科夫模型是一種無記憶性的隨機模型[3]。 在分析系統(tǒng)可靠性時，假設發(fā)生事件的時間服從指數(shù)分布，反映在馬爾科夫轉移率就為常數(shù)，即研究的模型是齊次馬爾科夫模型。轉移率λij是指在單位時間△t，從狀態(tài)i→j 轉移的期望值，當轉移率為常數(shù)時，有以下關系存在：

式中，pi（t+dt） 為系統(tǒng)在某狀態(tài)的概率；X（t）為系統(tǒng)在時刻t 的狀態(tài)；X （t+Δt） 為系統(tǒng)在時刻t+Δt 的狀態(tài)；ο（Δt）為在Δt 期間發(fā)生兩次以上轉移的概率。 當Δt 足夠小時可得：

式中：n—總的狀態(tài)數(shù)；I—單位矩陣。

在大多數(shù)情況下， 我們要得到的是系統(tǒng)長期工作時的平穩(wěn)狀態(tài)概率pi ，可求解線性代數(shù)方程組

式中，P—各平穩(wěn)狀態(tài)概率pi 組成的矩陣。 由此得馬爾科夫過程的研究對象是可修復系統(tǒng)。 到系統(tǒng)在各個可能狀態(tài)的狀態(tài)概率， 并可進一步求出其它的系統(tǒng)可靠性指標。

2.2 核電安全性檢測平臺系統(tǒng)的可靠性特征

首先該系統(tǒng)是一個可修復系統(tǒng)。當系統(tǒng)發(fā)生故障后，一首先診斷故障部位，對其進行修理或更換，直到恢復到正常工作狀態(tài)，該工作過程即為修復過程。電子器件的老化過程是一個呈“浴盆曲線”，一般是從正常工作狀態(tài)轉移到故障狀態(tài)，然后經(jīng)過修復回到正常狀態(tài)，如此往復循環(huán)下去。 失效狀態(tài)轉移到另一種狀態(tài)的“狀態(tài)轉移”完全是隨機的。 但是在診斷出失效后，進行故障修復。 這種修復狀態(tài)轉移是可以刻畫為常數(shù)矩陣的。 用馬爾科夫過程求DCS 平臺的可靠性指標時，主要討論的是核電安全性檢測平臺投入使用后達到平衡狀態(tài)時的工作情況， 即故障率和修復率都為常數(shù)， 各部件的壽命和維修時間均服從指數(shù)分布，讓這些條件滿足馬爾科夫過程的基本假設。

3 核電安全性檢測平臺馬爾科夫模型的建立

3.1 劃分故障狀態(tài)

由于DCS 及其外部電路都是由半導體集成電路（IC）、晶體管和電阻電容等器件構成，這些電子器件不可避免的存在失效率的問題。 所以這些器件的可靠性將直接影響DCS 系統(tǒng)的可靠性用狀態(tài)，將系統(tǒng)的非運行狀態(tài)進行分類，作為獨立的狀態(tài)變量予以考慮。 系統(tǒng)運行后，就作為統(tǒng)計對象進入使用狀態(tài)， 使用狀態(tài)分為可用狀態(tài)和不可用狀態(tài)，其狀態(tài)分類如圖1 所示。

圖1 帶雙通道使用狀態(tài)分類

圖2 1oo2D 結構冗余設計

為提高DCS 的可靠性， 具體設計的I/O 模塊， 控制器，電源，網(wǎng)絡以及服務器，都進行1oo2D 冗余設計。

該結構未專門設置備用通道 （不采取3oo2D 結構），只要不處于故障維修或預防檢修的狀態(tài)， 所有板卡均全部投入使用。

3.2 馬爾科夫模型的建立

假設在上述圖2 的模型中輸入模塊、主控制模塊、輸出模塊進行每運行一段時間τ，診斷電路對系統(tǒng)進行一次診斷。多通道馬爾科夫原理見下圖3。工作（W）、未被檢測到的危險失效（DU）、正在進行修復（R）。

圖3 帶診斷電路的DCS 系統(tǒng)馬爾科夫模型

圖3 所描述的馬爾科夫過程為在診斷間隔的系統(tǒng)工作時間段τ 中： 多冗余通道的系統(tǒng)某一通道部位可能從工作狀態(tài)變?yōu)槲ｋU失效（W→DU）也可能處于修復到工作狀態(tài)（R→W）。 在這期間因為沒有發(fā)生診斷工作，所以不可能出現(xiàn)DU→R。

μ 代表組件部位的修復率（μ=1/MRT），λ 表示失效率。

在單通道診斷系統(tǒng)時刻， 發(fā)現(xiàn)危險失效并開始修復（狀態(tài)轉換為DU→R），工作運行正常（W→W），正在修復（R→R）[4]。 因此，帶診斷電路的狀態(tài)轉移矩陣如下：

圖4 中字母A 和B 代表雙通道，粗字體代表通道處于工作狀態(tài)，細字體代表通道處于失效狀態(tài)。 λa、λb表示A、B 通道的失效率，λccf表示系統(tǒng)的失效率；μa、μb表示修復率。

圖4 雙通道帶診斷的系統(tǒng)狀態(tài)圖

根據(jù)圖4 的雙通道帶診斷該1oo2D 結構系統(tǒng)狀態(tài)圖，以及上述公式，可推出轉移矩陣[M]：

式中：θ—在每次診斷間隔期間的任意時間。

根據(jù)西門子電子器件失效率數(shù)據(jù)手冊計算各個板卡模塊（例如通信模塊、AI 模塊、表決模塊等）的失效率，再加總得通道A 的失效率。 假設通道A、B 選擇的電子器件一致，則λa=λb=1.56×10-5。 μ=1/MTTF。 求得轉移矩陣[M]，再帶入式（9）?？梢缘玫饺鐖D5 的階段性鋸齒狀失效率圖?？芍诿看卧\斷修復后，失效率大幅降低，在隨后使用過程中失效率升高。 又到下次診斷修復后， 失效率大幅下降。 繼而形成一種隨診斷時間間隔而來回波動的狀態(tài)。

4 基于馬爾科夫核電檢測平臺冗余模塊可靠性

圖5 中虛線用PFDavg（T）表示整個過程中系統(tǒng)平均失效率。

帶有下標k 表示在時間段T 期間的狀態(tài)k 的失效率，qk表示狀態(tài)k 的權重。 qk在此一般為0 或者為1。

5 結束語

圖5 鋸齒狀多通道馬爾科夫過程圖

本文將DCS 系統(tǒng)雙通道A、B 運行后可能所處的狀態(tài)劃分為系統(tǒng)正常運行、通道A失效狀態(tài)、 通道B 失效狀態(tài)，以及整個系統(tǒng)失效。 在這種狀態(tài)轉移分析下，給出轉移矩陣[M]。 不僅如此，在每間隔時間τ 進行診斷的基礎上提出了帶系統(tǒng)修復的情況，給出了修復矩陣[L]。 在系統(tǒng)運行時，既發(fā)生狀態(tài)轉移[M]又在間隔時間診斷后發(fā)生修復狀態(tài)轉移[L]。

因此該模型能很好地反映出DCS 系統(tǒng)在各個時間處于各個狀態(tài)的概率， 給出了帶診斷且發(fā)生修復的實際過程中的可靠性指標。

從擬合數(shù)據(jù)圖5 看出， 該模型能通過計算隨時間t狀態(tài)變換矩陣以及在間隔時間診斷后進行修復時的狀態(tài)變換矩陣， 通過雙重分析能較準確地對DCS 平臺1oo2D可靠性進行量化評估。 反映出一段時間內系統(tǒng)失效率增高，在診斷后進行修復有效地降低了失效率。在隨后系統(tǒng)失效率又開始增高，又通過診斷修復降低失效率。周而復始，形成鋸齒狀的系統(tǒng)失效走勢。本文所探討的馬爾科夫過程還可以應用于其它帶診斷修復領域的失效率預測中，對1oo2D 結構平臺實際運行過程進行可靠性的預測。