殷 勇,葉順流,周 勇

(1.中廣核研究院有限公司，廣東 深圳 518116；2.大亞灣核電運(yùn)營管理有限公司，廣東 深圳 518116)

0 引言

核電廠應(yīng)急柴油發(fā)電機(jī)組(emergency diesel generator,EDG)是核電廠用電系統(tǒng)6.6 kV應(yīng)急母線的廠內(nèi)備用電源，用于確保發(fā)生停電事故時(shí)反應(yīng)堆緊急安全停堆。其電控系統(tǒng)主要實(shí)現(xiàn)應(yīng)急和非應(yīng)急狀態(tài)下的啟?？刂?、信號(hào)采集、邏輯控制和對(duì)外通信等功能，部分功能為1E級(jí)。由于安全級(jí)軟件的驗(yàn)證與確認(rèn)(verification & validation,V&V)較為困難，目前國內(nèi)1E級(jí)柴油機(jī)的電氣保護(hù)仍以傳統(tǒng)繼電器保護(hù)為主[1]。

相比傳統(tǒng)繼電器控制系統(tǒng)，新型數(shù)字化電控系統(tǒng)具有靈活性好、響應(yīng)速度快和可靠性高等優(yōu)勢(shì)。隨著安全級(jí)數(shù)字化儀控技術(shù)的發(fā)展，已有國產(chǎn)核級(jí)儀控系統(tǒng)通過獨(dú)立第三方的軟件V&V，上述問題正逐步解決并得到工程檢驗(yàn)[2]。為進(jìn)一步從可靠性方面評(píng)估數(shù)字化控制方案替代部分繼電器控制系統(tǒng)的可行性，本文對(duì)一種基于安全級(jí)數(shù)字化專用儀控平臺(tái)的柴油機(jī)電控系統(tǒng)進(jìn)行了可靠性分析和計(jì)算。

1 數(shù)字化電控系統(tǒng)設(shè)計(jì)

1.1 控制柜設(shè)計(jì)

控制柜架構(gòu)設(shè)計(jì)如圖1所示。

圖1 控制柜架構(gòu)設(shè)計(jì)圖

EDG電控系統(tǒng)由安全級(jí)控制柜(1E級(jí))、非安全級(jí)控制柜(NC級(jí))、中壓柜、直流柜、電氣保護(hù)柜、就地儀表監(jiān)測(cè)箱和同期小車等組成，主要實(shí)現(xiàn)EDG在各種工況下的狀態(tài)控制。本文以安全級(jí)和非安全級(jí)控制柜為研究重點(diǎn)，介紹電控系統(tǒng)的可靠性設(shè)計(jì)和計(jì)算。

控制柜基于一種安全級(jí)數(shù)字化專用儀控平臺(tái)設(shè)計(jì)實(shí)現(xiàn)。該平臺(tái)硬件可配置，軟件可組態(tài)，可根據(jù)應(yīng)用場(chǎng)景實(shí)現(xiàn)多種系統(tǒng)設(shè)計(jì)。平臺(tái)硬件包括主控、通信、擴(kuò)展、電源和I/O等功能模塊，主要實(shí)現(xiàn)信號(hào)采集、邏輯處理、通信和信號(hào)輸出等功能。平臺(tái)嵌入式軟件基于IEC 60880等安全標(biāo)準(zhǔn)開發(fā)，并依據(jù)IEEE 1012執(zhí)行V&V，主要實(shí)現(xiàn)程序下裝、數(shù)據(jù)處理和故障診斷等功能。本文暫不涉及平臺(tái)上位機(jī)軟件。

安全級(jí)控制柜由1E級(jí)主控機(jī)箱、箱內(nèi)各種功能模塊和濾波器等配件組成，主要實(shí)現(xiàn)機(jī)組啟停控制、輔機(jī)啟停控制等功能。

非安全級(jí)控制柜是安全級(jí)控制柜的補(bǔ)充，由NC級(jí)主控機(jī)箱和I/O機(jī)箱、箱內(nèi)各種功能模塊、網(wǎng)關(guān)和工控機(jī)等配件組成，主要實(shí)現(xiàn)可視化界面、現(xiàn)場(chǎng)操作和定期試驗(yàn)等功能。機(jī)柜間可通過協(xié)議轉(zhuǎn)換模塊和交換機(jī)進(jìn)行數(shù)據(jù)交互，從而實(shí)現(xiàn)對(duì)EDG相關(guān)1E級(jí)和NC級(jí)現(xiàn)場(chǎng)信號(hào)的獨(dú)立采集、處理和輸出，并支持在不同工作模式下實(shí)現(xiàn)1E級(jí)和NC級(jí)機(jī)柜間可控的單向或雙向數(shù)據(jù)傳輸。

其中，主控機(jī)箱和I/O機(jī)箱中各種功能模塊基于1E級(jí)產(chǎn)品標(biāo)準(zhǔn)要求開發(fā)，實(shí)現(xiàn)控制柜核心的邏輯控制功能，為可靠性計(jì)算主要考慮部分；工控機(jī)、交換機(jī)和觸摸屏等為一般工業(yè)級(jí)產(chǎn)品，實(shí)現(xiàn)非安全級(jí)通信和人機(jī)交互等輔助功能，主要從質(zhì)檢、運(yùn)行和維護(hù)方面進(jìn)行可靠性管理。

1.2 機(jī)箱設(shè)計(jì)

根據(jù)某項(xiàng)目對(duì)EDG相關(guān)I/O信號(hào)點(diǎn)的處理需求，在機(jī)箱級(jí)進(jìn)行相應(yīng)硬件模塊配置設(shè)計(jì)，如圖1中機(jī)箱部分所示。其中，主控模塊執(zhí)行邏輯運(yùn)算功能，I/O模塊進(jìn)行信號(hào)采集和輸出，通信和擴(kuò)展模塊實(shí)現(xiàn)數(shù)據(jù)安全傳輸。同時(shí)，對(duì)系統(tǒng)架構(gòu)中關(guān)鍵的主控、電源、通信I和擴(kuò)展模塊進(jìn)行了冗余配置。

柴油機(jī)1E級(jí)現(xiàn)場(chǎng)I/O信號(hào)由1E級(jí)主控機(jī)箱中AI和DI模塊采集，并通過安全通信協(xié)議經(jīng)由背板傳輸?shù)街骺啬K進(jìn)行數(shù)據(jù)處理，處理結(jié)果通過AO和DO模塊輸出到現(xiàn)場(chǎng)或機(jī)柜間接口。現(xiàn)場(chǎng)NC級(jí)I/O信號(hào)以類似的工作方式由NC級(jí)主控機(jī)箱和I/O機(jī)箱進(jìn)行數(shù)據(jù)處理。I/O機(jī)箱作為主控機(jī)箱，對(duì)I/O信號(hào)處理能力的擴(kuò)展；其I/O模塊可通過擴(kuò)展模塊與主控機(jī)箱中通信模塊I進(jìn)行數(shù)據(jù)交互，并由主控模塊進(jìn)行數(shù)據(jù)處理。通過主控模塊運(yùn)行的嵌入式軟件和下裝的組態(tài)算法，實(shí)現(xiàn)對(duì)各個(gè)采集信號(hào)的邏輯運(yùn)算，如柴油機(jī)轉(zhuǎn)速信號(hào)、高溫水入口溫度信號(hào)等，進(jìn)而實(shí)現(xiàn)對(duì)EDG的邏輯控制和狀態(tài)顯示。

2 系統(tǒng)可靠性分析計(jì)算

2.1 系統(tǒng)可靠性框圖建模

考慮到評(píng)估架構(gòu)設(shè)計(jì)對(duì)系統(tǒng)可靠性的影響，并對(duì)系統(tǒng)設(shè)計(jì)提出優(yōu)化參考建議，選用貼近系統(tǒng)架構(gòu)的可靠性框圖模型(reliability block diagram,RBD)對(duì)系統(tǒng)進(jìn)行可靠性建模。RBD表示了系統(tǒng)可靠工作的邏輯和模塊間的相互關(guān)系。冗余模塊為并聯(lián)結(jié)構(gòu)，包括主控、通信I和擴(kuò)展模塊；非冗余模塊為串聯(lián)結(jié)構(gòu)，主要為I/O模塊。機(jī)柜中配置普爾世電源為機(jī)箱中的電源模塊分別供電，兩者為串聯(lián)后再并聯(lián)的混聯(lián)結(jié)構(gòu)。由于通信模塊IV負(fù)責(zé)與工程師站進(jìn)行通信，實(shí)現(xiàn)上位機(jī)顯示和輔助功能，建模時(shí)僅進(jìn)行示意，計(jì)算時(shí)暫不作考慮。結(jié)合上述系統(tǒng)設(shè)計(jì)，分別對(duì)安全級(jí)控制柜和非安全級(jí)控制柜建立RBD模型。RBD模型示意圖如圖2所示。

圖2 RBD模型示意圖

2.2 可靠性設(shè)計(jì)分析

基于安全級(jí)數(shù)字化平臺(tái)的柴油機(jī)電控系統(tǒng)綜合了多重冗余設(shè)計(jì)、獨(dú)立性設(shè)計(jì)、故障診斷設(shè)計(jì)等多種可靠性設(shè)計(jì)方法，從設(shè)計(jì)層面提高系統(tǒng)的固有可靠性。以下對(duì)部分可用性計(jì)算相關(guān)設(shè)計(jì)進(jìn)行說明。

2.2.1 冗余設(shè)計(jì)

冗余技術(shù)是從系統(tǒng)架構(gòu)上提高可靠性的重要方法[3]。柴油機(jī)電控系統(tǒng)對(duì)主控、電源和通信等模塊進(jìn)行冗余設(shè)計(jì)，確保公共通路不因單一故障造成系統(tǒng)核心功能失效。在電路層級(jí)，對(duì)熱插拔、閉鎖信號(hào)通路等關(guān)鍵電路采取冗余設(shè)計(jì)，對(duì)現(xiàn)場(chǎng)可編程門陣列(field programmable gate array,FPGA)內(nèi)部數(shù)據(jù)處理功能塊也采取冗余設(shè)計(jì)，從而充分降低模塊掉電、閉鎖拒動(dòng)、數(shù)據(jù)錯(cuò)誤的失效風(fēng)險(xiǎn)。計(jì)算系統(tǒng)可靠性指標(biāo)時(shí)，主要考慮模塊級(jí)冗余設(shè)計(jì)。

2.2.2 故障診斷設(shè)計(jì)

IEC 61508標(biāo)準(zhǔn)將故障分為安全、危險(xiǎn)、可診斷和不可診斷等多種類型[4]。其中，不可診斷的危險(xiǎn)故障對(duì)系統(tǒng)造成影響的嚴(yán)酷度最高。從安全可用的角度考慮，通過故障診斷設(shè)計(jì)可及時(shí)發(fā)現(xiàn)故障，并指導(dǎo)采取相應(yīng)措施，如告警、丟棄數(shù)據(jù)幀、故障安全輸出和維修等，從而降低故障帶來的風(fēng)險(xiǎn)。故障診斷設(shè)計(jì)雖然不直接提高可靠性，但可以降低不可診斷的危險(xiǎn)故障，結(jié)合故障維修活動(dòng)可有效提高系統(tǒng)可用性。

柴油機(jī)電控系統(tǒng)各個(gè)模塊采用的自診斷設(shè)計(jì)包括電源診斷、微控制單元(micro control unit,MCU)自診斷、時(shí)鐘診斷、看門狗診斷、循環(huán)冗余校驗(yàn)(cyclic redundancy check,CRC)以及通道診斷等。當(dāng)功能模塊發(fā)生故障時(shí)，狀態(tài)指示燈將直接提示部分故障，且所有故障信息將通過安全通信協(xié)議傳輸?shù)街骺啬K并存儲(chǔ)到SDRAM中。故障診斷時(shí)間作為影響系統(tǒng)可用性的重要指標(biāo)，包含上述所有可診斷項(xiàng)的時(shí)間消耗。

分析系統(tǒng)故障診斷時(shí)間發(fā)現(xiàn)，F(xiàn)PGA診斷時(shí)間為15 ms左右；主控ARM診斷與運(yùn)行周期和數(shù)據(jù)量有關(guān)，一次完整的自診斷時(shí)間消耗主要集中在主控模塊對(duì)SDRAM數(shù)據(jù)的診斷。主控每個(gè)固定運(yùn)行周期為30 ms，其中2 ms用于故障診斷。診斷項(xiàng)分4塊進(jìn)行串行處理，每4個(gè)周期可對(duì)SDRAM中的64 B數(shù)據(jù)進(jìn)行校驗(yàn)。由于系統(tǒng)使用數(shù)據(jù)空間為2 MB，計(jì)算得到進(jìn)行一次完全覆蓋的故障診斷需要65.5 min，約為1 h。

2.2.3 維修性設(shè)計(jì)

當(dāng)系統(tǒng)發(fā)生故障且被診斷識(shí)別后，通過故障修復(fù)措施可使系統(tǒng)恢復(fù)工作，提高系統(tǒng)使用可靠性和可用性。維修性設(shè)計(jì)直接影響故障修復(fù)的難易程度和對(duì)維修資源的需求，并表現(xiàn)在維修時(shí)間長(zhǎng)短。維修性設(shè)計(jì)與上述故障診斷設(shè)計(jì)共同影響著系統(tǒng)可用性，其定量表征參數(shù)為平均修復(fù)時(shí)間(mean time to repair,MTTR)，即故障維修時(shí)間和故障診斷時(shí)間之和。以下對(duì)維修性設(shè)計(jì)和MTTR進(jìn)行說明。

電控系統(tǒng)控制柜采用核電廠機(jī)柜常用的框架式結(jié)構(gòu)，機(jī)箱通過緊固件連接在安裝導(dǎo)軌上，易于維護(hù)。模塊安裝于插件盒中，通過導(dǎo)軌從機(jī)箱前面插入，以導(dǎo)軌和螺釘固定。各模塊印刷電路板為標(biāo)準(zhǔn)化尺寸設(shè)計(jì)，并支持熱插拔功能。設(shè)備在運(yùn)行現(xiàn)場(chǎng)的維修方式以更換故障模塊為主，只需按產(chǎn)品維修手冊(cè)中的操作規(guī)程進(jìn)行插件盒拆卸、更換和安裝等操作即可實(shí)現(xiàn)故障完全修復(fù)?；贕JB/Z 57標(biāo)準(zhǔn)中的維修性基礎(chǔ)數(shù)據(jù)[3-5]以及實(shí)際測(cè)試情況可知，在備用模塊可用時(shí)，模塊更換時(shí)間小于10 min。考慮到核電廠實(shí)際運(yùn)行環(huán)境下存在物料領(lǐng)取、檢查等時(shí)間消耗，維修時(shí)間簡(jiǎn)化預(yù)計(jì)為1 h。綜上，MTTR合計(jì)約為2 h。

2.3 模塊可靠性分析

為得到各個(gè)功能模塊的失效率，基于儀控行業(yè)廣泛采用的SN 29500標(biāo)準(zhǔn)，對(duì)各個(gè)模塊電路進(jìn)行可靠性分析。綜合考慮電路結(jié)構(gòu)、器件類型、制造工藝、集成度、工作溫度和電應(yīng)力等信息，轉(zhuǎn)換成標(biāo)準(zhǔn)中的失效因子，結(jié)合產(chǎn)品壽命服從指數(shù)分布的協(xié)變量失效模型(λ=λref×ΠπI)，計(jì)算得到模塊失效率[6]。為評(píng)估故障診斷設(shè)計(jì)對(duì)降低不可診斷的危險(xiǎn)失效的作用，同時(shí)采用了綜合定量診斷評(píng)價(jià)的失效模式、影響及其診斷分析 (failure modes effects and diagnostic analysis，F(xiàn)MEDA)分析，對(duì)模塊失效率進(jìn)行分類計(jì)算[7]。

功能模塊的失效率如表1所示。

表1 功能模塊的失效率

表1中:λS為安全失效率;λD為危險(xiǎn)失效率;λDU為不可診斷的危險(xiǎn)失效率;λ為總體失效率，失效率的單位為FIT(10-9/h)。

計(jì)算時(shí)，假定工作溫度為50 ℃。由表1可知，當(dāng)前故障診斷設(shè)計(jì)方案使硬件危險(xiǎn)失效概率降低了73.1%(診斷覆蓋率算數(shù)平均值)，并有效降低系統(tǒng)拒動(dòng)率等指標(biāo)，此處不作展開。查詢普爾世電源選型手冊(cè)數(shù)據(jù)得到，控制柜CP10.242的電源平均失效前時(shí)間(mean time to failure，MTTF)為667 kh(計(jì)算條件:+40 ℃，SN 29500)，依據(jù)Arrhenius公式粗略換算出50 ℃時(shí)的MTTF約為446 kh，即λ普爾世約為2 242 FIT。

2.4 系統(tǒng)可靠性計(jì)算

2.4.1 可靠性數(shù)學(xué)模型

基于上述控制柜系統(tǒng)RBD模型，由模塊間的連接拓?fù)浜腿蝿?wù)成功概率關(guān)系，得到的安全級(jí)控制柜和非安全級(jí)控制柜的可靠性數(shù)學(xué)模型如下:

(1-R電源R普爾世)2]

(1)

RNC級(jí)控制柜=RNC級(jí)主控機(jī)箱RNC級(jí)IO機(jī)箱

(2)

(3)

(1-R電源R普爾世)2]

(4)

式中:R主控為主控模塊的可靠性；R通信I為通信模塊I的可靠性；R擴(kuò)展為擴(kuò)展模塊的可靠性；R電源為電源模塊的可靠性；R普爾世為普爾世電源的可靠性；RAI為AI模塊的可靠性；RAO為AO模塊的可靠性；RDI為DI模塊的可靠性；RDO為DO模塊的可靠性；RRTD為RTD模塊的可靠性；RTC為TC模塊的可靠性。

電子產(chǎn)品壽命通常符合指數(shù)分布，可靠性、失效率和平均嚴(yán)重故障間隔時(shí)間(mean time between critical failuire,MTBCF)的關(guān)系如下:

(5)

2.4.2 蒙特卡羅仿真計(jì)算

蒙特卡羅方法是通過生成隨機(jī)數(shù)進(jìn)行隨機(jī)抽樣、概率模擬的計(jì)算方法，反映了系統(tǒng)發(fā)生隨機(jī)性故障的特點(diǎn)，是處理復(fù)雜系統(tǒng)可靠性問題的重要方法。通過建立概率模型，對(duì)模型進(jìn)行抽樣試驗(yàn)來計(jì)算參數(shù)的統(tǒng)計(jì)特征，并求出近似解?？紤]到對(duì)隨機(jī)性問題的適用性，為滿足復(fù)雜系統(tǒng)架構(gòu)和參數(shù)多次調(diào)整計(jì)算的需求，文獻(xiàn)[8]和文獻(xiàn)[9]中給出的蒙特卡羅通用仿真方法，對(duì)控制柜可靠性進(jìn)行計(jì)算。

設(shè)置仿真次數(shù)為1 000 次，選用表1中各模塊的危險(xiǎn)失效率(λD)作為故障分布參數(shù)，結(jié)合以上數(shù)學(xué)模型，分別對(duì)兩個(gè)控制柜進(jìn)行計(jì)算；為對(duì)比冗余設(shè)計(jì)前后的可靠性差異，對(duì)去除模塊級(jí)冗余設(shè)計(jì)后的系統(tǒng)方案進(jìn)行計(jì)算，得到控制柜在0～100 000 h的可靠性曲線如圖3所示。

圖3 可靠性曲線

以危險(xiǎn)失效為故障判據(jù)：有冗余設(shè)計(jì)時(shí)，安全級(jí)控制柜和非安全級(jí)控制柜的MTBCF分別為38 940 h和26 005 h；無冗余設(shè)計(jì)時(shí)，MTBCF分別為36 310 h和22 625 h。模塊級(jí)冗余設(shè)計(jì)對(duì)控制柜可靠性分別提升了7.2%和14.9%。

2.4.3 系統(tǒng)可用性計(jì)算

穩(wěn)態(tài)可用性用于表征可修復(fù)物項(xiàng)的使用可靠性，與正常運(yùn)行時(shí)間和維修時(shí)間有關(guān)，計(jì)算公式如下:

式中:A為系統(tǒng)可用性。

由于安全失效不影響系統(tǒng)可用，故以危險(xiǎn)失效作為故障判據(jù)時(shí)，系統(tǒng)MTTF取值可采用上述MTBCF數(shù)值。根據(jù)電控系統(tǒng)故障診斷和維修性設(shè)計(jì)部分可知，MTTR約為2 h?？刂乒窨捎眯杂?jì)算如下:

A1E=38 940 h/(38 940 h+2 h)=99.995%

ANC=26 005 h/(26 005 h+2 h)=99.992%

由于可用性要求的邊界精度為0.01%，MTTF與MTTR存在104數(shù)量級(jí)對(duì)應(yīng)關(guān)系。為達(dá)到可用性要求，MTTR變化將顯著影響對(duì)MTTF的要求?？捎眯耘cMTTF、維修時(shí)間和診斷時(shí)間的關(guān)系如圖4所示。

圖4 可用性與MTTF、維修時(shí)間、診斷時(shí)間關(guān)系圖

圖4中：陰影截面上方為可用性大于99.99%的區(qū)域，診斷時(shí)間和維修時(shí)間越小，更容易以較低的MTTF滿足要求。當(dāng)固有可靠性水平一定時(shí)，故障診斷和維修性設(shè)計(jì)的優(yōu)化，將更容易滿足系統(tǒng)可用性要求。

3 結(jié)論

本文對(duì)一種基于安全級(jí)數(shù)字化平臺(tái)的柴油機(jī)電控系統(tǒng)進(jìn)行了系統(tǒng)架構(gòu)和可靠性分析，綜合RBD模型、FMEDA分析和蒙特卡羅方法進(jìn)行了可靠性計(jì)算，從系統(tǒng)可用性方面評(píng)估了新型數(shù)字化控制方案替代部分傳統(tǒng)繼電器控制系統(tǒng)的可行性。從系統(tǒng)設(shè)計(jì)出發(fā)：冗余設(shè)計(jì)使安全級(jí)和非安全級(jí)控制柜的可靠性分別提升了7.2%和14.9%；故障診斷設(shè)計(jì)使硬件危險(xiǎn)失效率降低了73.1%；故障診斷設(shè)計(jì)和維修性設(shè)計(jì)共同影響著系統(tǒng)可用性，使其達(dá)到核電廠要求的99.99%。該研究綜合了多種可靠性分析和計(jì)算方法，可有針對(duì)性地評(píng)估系統(tǒng)設(shè)計(jì)對(duì)可靠性、可用性的影響，對(duì)同類系統(tǒng)設(shè)計(jì)具有一定的參考意義，并對(duì)儀控設(shè)備運(yùn)行和維護(hù)提出了時(shí)間要求。