殷 勇,葉順流,周 勇

(1.中廣核研究院有限公司，廣東 深圳 518116；2.大亞灣核電運營管理有限公司，廣東 深圳 518116)

0 引言

核電廠應急柴油發(fā)電機組(emergency diesel generator,EDG)是核電廠用電系統(tǒng)6.6 kV應急母線的廠內(nèi)備用電源，用于確保發(fā)生停電事故時反應堆緊急安全停堆。其電控系統(tǒng)主要實現(xiàn)應急和非應急狀態(tài)下的啟?？刂啤⑿盘柌杉?、邏輯控制和對外通信等功能，部分功能為1E級。由于安全級軟件的驗證與確認(verification & validation,V&V)較為困難，目前國內(nèi)1E級柴油機的電氣保護仍以傳統(tǒng)繼電器保護為主[1]。

相比傳統(tǒng)繼電器控制系統(tǒng)，新型數(shù)字化電控系統(tǒng)具有靈活性好、響應速度快和可靠性高等優(yōu)勢。隨著安全級數(shù)字化儀控技術(shù)的發(fā)展，已有國產(chǎn)核級儀控系統(tǒng)通過獨立第三方的軟件V&V，上述問題正逐步解決并得到工程檢驗[2]。為進一步從可靠性方面評估數(shù)字化控制方案替代部分繼電器控制系統(tǒng)的可行性，本文對一種基于安全級數(shù)字化專用儀控平臺的柴油機電控系統(tǒng)進行了可靠性分析和計算。

1 數(shù)字化電控系統(tǒng)設計

1.1 控制柜設計

控制柜架構(gòu)設計如圖1所示。

圖1 控制柜架構(gòu)設計圖

EDG電控系統(tǒng)由安全級控制柜(1E級)、非安全級控制柜(NC級)、中壓柜、直流柜、電氣保護柜、就地儀表監(jiān)測箱和同期小車等組成，主要實現(xiàn)EDG在各種工況下的狀態(tài)控制。本文以安全級和非安全級控制柜為研究重點，介紹電控系統(tǒng)的可靠性設計和計算。

控制柜基于一種安全級數(shù)字化專用儀控平臺設計實現(xiàn)。該平臺硬件可配置，軟件可組態(tài)，可根據(jù)應用場景實現(xiàn)多種系統(tǒng)設計。平臺硬件包括主控、通信、擴展、電源和I/O等功能模塊，主要實現(xiàn)信號采集、邏輯處理、通信和信號輸出等功能。平臺嵌入式軟件基于IEC 60880等安全標準開發(fā)，并依據(jù)IEEE 1012執(zhí)行V&V，主要實現(xiàn)程序下裝、數(shù)據(jù)處理和故障診斷等功能。本文暫不涉及平臺上位機軟件。

安全級控制柜由1E級主控機箱、箱內(nèi)各種功能模塊和濾波器等配件組成，主要實現(xiàn)機組啟?？刂?、輔機啟?？刂频裙δ?。

非安全級控制柜是安全級控制柜的補充，由NC級主控機箱和I/O機箱、箱內(nèi)各種功能模塊、網(wǎng)關(guān)和工控機等配件組成，主要實現(xiàn)可視化界面、現(xiàn)場操作和定期試驗等功能。機柜間可通過協(xié)議轉(zhuǎn)換模塊和交換機進行數(shù)據(jù)交互，從而實現(xiàn)對EDG相關(guān)1E級和NC級現(xiàn)場信號的獨立采集、處理和輸出，并支持在不同工作模式下實現(xiàn)1E級和NC級機柜間可控的單向或雙向數(shù)據(jù)傳輸。

其中，主控機箱和I/O機箱中各種功能模塊基于1E級產(chǎn)品標準要求開發(fā)，實現(xiàn)控制柜核心的邏輯控制功能，為可靠性計算主要考慮部分；工控機、交換機和觸摸屏等為一般工業(yè)級產(chǎn)品，實現(xiàn)非安全級通信和人機交互等輔助功能，主要從質(zhì)檢、運行和維護方面進行可靠性管理。

1.2 機箱設計

根據(jù)某項目對EDG相關(guān)I/O信號點的處理需求，在機箱級進行相應硬件模塊配置設計，如圖1中機箱部分所示。其中，主控模塊執(zhí)行邏輯運算功能，I/O模塊進行信號采集和輸出，通信和擴展模塊實現(xiàn)數(shù)據(jù)安全傳輸。同時，對系統(tǒng)架構(gòu)中關(guān)鍵的主控、電源、通信I和擴展模塊進行了冗余配置。

柴油機1E級現(xiàn)場I/O信號由1E級主控機箱中AI和DI模塊采集，并通過安全通信協(xié)議經(jīng)由背板傳輸?shù)街骺啬K進行數(shù)據(jù)處理，處理結(jié)果通過AO和DO模塊輸出到現(xiàn)場或機柜間接口。現(xiàn)場NC級I/O信號以類似的工作方式由NC級主控機箱和I/O機箱進行數(shù)據(jù)處理。I/O機箱作為主控機箱，對I/O信號處理能力的擴展；其I/O模塊可通過擴展模塊與主控機箱中通信模塊I進行數(shù)據(jù)交互，并由主控模塊進行數(shù)據(jù)處理。通過主控模塊運行的嵌入式軟件和下裝的組態(tài)算法，實現(xiàn)對各個采集信號的邏輯運算，如柴油機轉(zhuǎn)速信號、高溫水入口溫度信號等，進而實現(xiàn)對EDG的邏輯控制和狀態(tài)顯示。

2 系統(tǒng)可靠性分析計算

2.1 系統(tǒng)可靠性框圖建模

考慮到評估架構(gòu)設計對系統(tǒng)可靠性的影響，并對系統(tǒng)設計提出優(yōu)化參考建議，選用貼近系統(tǒng)架構(gòu)的可靠性框圖模型(reliability block diagram,RBD)對系統(tǒng)進行可靠性建模。RBD表示了系統(tǒng)可靠工作的邏輯和模塊間的相互關(guān)系。冗余模塊為并聯(lián)結(jié)構(gòu)，包括主控、通信I和擴展模塊；非冗余模塊為串聯(lián)結(jié)構(gòu)，主要為I/O模塊。機柜中配置普爾世電源為機箱中的電源模塊分別供電，兩者為串聯(lián)后再并聯(lián)的混聯(lián)結(jié)構(gòu)。由于通信模塊IV負責與工程師站進行通信，實現(xiàn)上位機顯示和輔助功能，建模時僅進行示意，計算時暫不作考慮。結(jié)合上述系統(tǒng)設計，分別對安全級控制柜和非安全級控制柜建立RBD模型。RBD模型示意圖如圖2所示。

圖2 RBD模型示意圖

2.2 可靠性設計分析

基于安全級數(shù)字化平臺的柴油機電控系統(tǒng)綜合了多重冗余設計、獨立性設計、故障診斷設計等多種可靠性設計方法，從設計層面提高系統(tǒng)的固有可靠性。以下對部分可用性計算相關(guān)設計進行說明。

2.2.1 冗余設計

冗余技術(shù)是從系統(tǒng)架構(gòu)上提高可靠性的重要方法[3]。柴油機電控系統(tǒng)對主控、電源和通信等模塊進行冗余設計，確保公共通路不因單一故障造成系統(tǒng)核心功能失效。在電路層級，對熱插拔、閉鎖信號通路等關(guān)鍵電路采取冗余設計，對現(xiàn)場可編程門陣列(field programmable gate array,FPGA)內(nèi)部數(shù)據(jù)處理功能塊也采取冗余設計，從而充分降低模塊掉電、閉鎖拒動、數(shù)據(jù)錯誤的失效風險。計算系統(tǒng)可靠性指標時，主要考慮模塊級冗余設計。

2.2.2 故障診斷設計

IEC 61508標準將故障分為安全、危險、可診斷和不可診斷等多種類型[4]。其中，不可診斷的危險故障對系統(tǒng)造成影響的嚴酷度最高。從安全可用的角度考慮，通過故障診斷設計可及時發(fā)現(xiàn)故障，并指導采取相應措施，如告警、丟棄數(shù)據(jù)幀、故障安全輸出和維修等，從而降低故障帶來的風險。故障診斷設計雖然不直接提高可靠性，但可以降低不可診斷的危險故障，結(jié)合故障維修活動可有效提高系統(tǒng)可用性。

柴油機電控系統(tǒng)各個模塊采用的自診斷設計包括電源診斷、微控制單元(micro control unit,MCU)自診斷、時鐘診斷、看門狗診斷、循環(huán)冗余校驗(cyclic redundancy check,CRC)以及通道診斷等。當功能模塊發(fā)生故障時，狀態(tài)指示燈將直接提示部分故障，且所有故障信息將通過安全通信協(xié)議傳輸?shù)街骺啬K并存儲到SDRAM中。故障診斷時間作為影響系統(tǒng)可用性的重要指標，包含上述所有可診斷項的時間消耗。

分析系統(tǒng)故障診斷時間發(fā)現(xiàn)，F(xiàn)PGA診斷時間為15 ms左右；主控ARM診斷與運行周期和數(shù)據(jù)量有關(guān)，一次完整的自診斷時間消耗主要集中在主控模塊對SDRAM數(shù)據(jù)的診斷。主控每個固定運行周期為30 ms，其中2 ms用于故障診斷。診斷項分4塊進行串行處理，每4個周期可對SDRAM中的64 B數(shù)據(jù)進行校驗。由于系統(tǒng)使用數(shù)據(jù)空間為2 MB，計算得到進行一次完全覆蓋的故障診斷需要65.5 min，約為1 h。

2.2.3 維修性設計

當系統(tǒng)發(fā)生故障且被診斷識別后，通過故障修復措施可使系統(tǒng)恢復工作，提高系統(tǒng)使用可靠性和可用性。維修性設計直接影響故障修復的難易程度和對維修資源的需求，并表現(xiàn)在維修時間長短。維修性設計與上述故障診斷設計共同影響著系統(tǒng)可用性，其定量表征參數(shù)為平均修復時間(mean time to repair,MTTR)，即故障維修時間和故障診斷時間之和。以下對維修性設計和MTTR進行說明。

電控系統(tǒng)控制柜采用核電廠機柜常用的框架式結(jié)構(gòu)，機箱通過緊固件連接在安裝導軌上，易于維護。模塊安裝于插件盒中，通過導軌從機箱前面插入，以導軌和螺釘固定。各模塊印刷電路板為標準化尺寸設計，并支持熱插拔功能。設備在運行現(xiàn)場的維修方式以更換故障模塊為主，只需按產(chǎn)品維修手冊中的操作規(guī)程進行插件盒拆卸、更換和安裝等操作即可實現(xiàn)故障完全修復?；贕JB/Z 57標準中的維修性基礎(chǔ)數(shù)據(jù)[3-5]以及實際測試情況可知，在備用模塊可用時，模塊更換時間小于10 min?？紤]到核電廠實際運行環(huán)境下存在物料領(lǐng)取、檢查等時間消耗，維修時間簡化預計為1 h。綜上，MTTR合計約為2 h。

2.3 模塊可靠性分析

為得到各個功能模塊的失效率，基于儀控行業(yè)廣泛采用的SN 29500標準，對各個模塊電路進行可靠性分析。綜合考慮電路結(jié)構(gòu)、器件類型、制造工藝、集成度、工作溫度和電應力等信息，轉(zhuǎn)換成標準中的失效因子，結(jié)合產(chǎn)品壽命服從指數(shù)分布的協(xié)變量失效模型(λ=λref×ΠπI)，計算得到模塊失效率[6]。為評估故障診斷設計對降低不可診斷的危險失效的作用，同時采用了綜合定量診斷評價的失效模式、影響及其診斷分析 (failure modes effects and diagnostic analysis，F(xiàn)MEDA)分析，對模塊失效率進行分類計算[7]。

功能模塊的失效率如表1所示。

表1 功能模塊的失效率

表1中:λS為安全失效率;λD為危險失效率;λDU為不可診斷的危險失效率;λ為總體失效率，失效率的單位為FIT(10-9/h)。

計算時，假定工作溫度為50 ℃。由表1可知，當前故障診斷設計方案使硬件危險失效概率降低了73.1%(診斷覆蓋率算數(shù)平均值)，并有效降低系統(tǒng)拒動率等指標，此處不作展開。查詢普爾世電源選型手冊數(shù)據(jù)得到，控制柜CP10.242的電源平均失效前時間(mean time to failure，MTTF)為667 kh(計算條件:+40 ℃，SN 29500)，依據(jù)Arrhenius公式粗略換算出50 ℃時的MTTF約為446 kh，即λ普爾世約為2 242 FIT。

2.4 系統(tǒng)可靠性計算

2.4.1 可靠性數(shù)學模型

基于上述控制柜系統(tǒng)RBD模型，由模塊間的連接拓撲和任務成功概率關(guān)系，得到的安全級控制柜和非安全級控制柜的可靠性數(shù)學模型如下:

(1-R電源R普爾世)2]

(1)

RNC級控制柜=RNC級主控機箱RNC級IO機箱

(2)

(3)

(1-R電源R普爾世)2]

(4)

式中:R主控為主控模塊的可靠性；R通信I為通信模塊I的可靠性；R擴展為擴展模塊的可靠性；R電源為電源模塊的可靠性；R普爾世為普爾世電源的可靠性；RAI為AI模塊的可靠性；RAO為AO模塊的可靠性；RDI為DI模塊的可靠性；RDO為DO模塊的可靠性；RRTD為RTD模塊的可靠性；RTC為TC模塊的可靠性。

電子產(chǎn)品壽命通常符合指數(shù)分布，可靠性、失效率和平均嚴重故障間隔時間(mean time between critical failuire,MTBCF)的關(guān)系如下:

(5)

2.4.2 蒙特卡羅仿真計算

蒙特卡羅方法是通過生成隨機數(shù)進行隨機抽樣、概率模擬的計算方法，反映了系統(tǒng)發(fā)生隨機性故障的特點，是處理復雜系統(tǒng)可靠性問題的重要方法。通過建立概率模型，對模型進行抽樣試驗來計算參數(shù)的統(tǒng)計特征，并求出近似解?？紤]到對隨機性問題的適用性，為滿足復雜系統(tǒng)架構(gòu)和參數(shù)多次調(diào)整計算的需求，文獻[8]和文獻[9]中給出的蒙特卡羅通用仿真方法，對控制柜可靠性進行計算。

設置仿真次數(shù)為1 000 次，選用表1中各模塊的危險失效率(λD)作為故障分布參數(shù)，結(jié)合以上數(shù)學模型，分別對兩個控制柜進行計算；為對比冗余設計前后的可靠性差異，對去除模塊級冗余設計后的系統(tǒng)方案進行計算，得到控制柜在0～100 000 h的可靠性曲線如圖3所示。

圖3 可靠性曲線

以危險失效為故障判據(jù)：有冗余設計時，安全級控制柜和非安全級控制柜的MTBCF分別為38 940 h和26 005 h；無冗余設計時，MTBCF分別為36 310 h和22 625 h。模塊級冗余設計對控制柜可靠性分別提升了7.2%和14.9%。

2.4.3 系統(tǒng)可用性計算

穩(wěn)態(tài)可用性用于表征可修復物項的使用可靠性，與正常運行時間和維修時間有關(guān)，計算公式如下:

式中:A為系統(tǒng)可用性。

由于安全失效不影響系統(tǒng)可用，故以危險失效作為故障判據(jù)時，系統(tǒng)MTTF取值可采用上述MTBCF數(shù)值。根據(jù)電控系統(tǒng)故障診斷和維修性設計部分可知，MTTR約為2 h。控制柜可用性計算如下:

A1E=38 940 h/(38 940 h+2 h)=99.995%

ANC=26 005 h/(26 005 h+2 h)=99.992%

由于可用性要求的邊界精度為0.01%，MTTF與MTTR存在104數(shù)量級對應關(guān)系。為達到可用性要求，MTTR變化將顯著影響對MTTF的要求?？捎眯耘cMTTF、維修時間和診斷時間的關(guān)系如圖4所示。

圖4 可用性與MTTF、維修時間、診斷時間關(guān)系圖

圖4中：陰影截面上方為可用性大于99.99%的區(qū)域，診斷時間和維修時間越小，更容易以較低的MTTF滿足要求。當固有可靠性水平一定時，故障診斷和維修性設計的優(yōu)化，將更容易滿足系統(tǒng)可用性要求。

3 結(jié)論

本文對一種基于安全級數(shù)字化平臺的柴油機電控系統(tǒng)進行了系統(tǒng)架構(gòu)和可靠性分析，綜合RBD模型、FMEDA分析和蒙特卡羅方法進行了可靠性計算，從系統(tǒng)可用性方面評估了新型數(shù)字化控制方案替代部分傳統(tǒng)繼電器控制系統(tǒng)的可行性。從系統(tǒng)設計出發(fā)：冗余設計使安全級和非安全級控制柜的可靠性分別提升了7.2%和14.9%；故障診斷設計使硬件危險失效率降低了73.1%；故障診斷設計和維修性設計共同影響著系統(tǒng)可用性，使其達到核電廠要求的99.99%。該研究綜合了多種可靠性分析和計算方法，可有針對性地評估系統(tǒng)設計對可靠性、可用性的影響，對同類系統(tǒng)設計具有一定的參考意義，并對儀控設備運行和維護提出了時間要求。