牛其磊，張衛(wèi)東

(上海交通大學 電子信息與電氣工程學院,上海 200240)

0 引言

可靠性的研究早在20世紀初期就已經(jīng)開始了，伴隨著數(shù)理統(tǒng)計理論的發(fā)展，相關研究在20世紀中后期逐漸形成體系，標準不斷完善，在工業(yè)上的應用也逐漸普及。核電汽輪機控制系統(tǒng)的可靠性預測即是其中受關注較多的一個領域。作為核電廠核心的汽輪機控制系統(tǒng)以往更多的使用常規(guī)DCS控制系統(tǒng)，但隨著機組容量不斷擴大，工業(yè)需求日益復雜，使用專用的汽輪機數(shù)字電液控制系統(tǒng)就顯得尤為重要了[1-2]。汽輪機數(shù)字電液控制系統(tǒng)(digital electro-hydraulic control system，DEH)不僅肩負著數(shù)據(jù)采集、處理，汽輪機狀態(tài)監(jiān)視等任務，更承擔著汽輪機轉速的控制與調節(jié)，同時也要與常規(guī)DCS系統(tǒng)之間保持穩(wěn)定的通訊與信息傳輸。僅僅依靠提高系統(tǒng)各部件質量已無法滿足日益嚴苛的可靠性要求[3]。因此，設計一套可靠的核電DEH系統(tǒng)并對其可靠性進行分析就顯得十分重要且必要。本文設計了基于異構處理器的核電DEH，并分析了雙余度核電DEH基于馬爾科夫(Markov)的可靠度模型，結合失效率、維修率、共因失效因子、診斷覆蓋率等參數(shù)綜合研究了可靠性變化趨勢，最后使用實例檢驗了雙余度核電DEH的可靠性，為核電DEH的可靠性分析提供了一種更加全面精準的預測方法。

1 雙余度核電DEH控制原理與設計

1.1 核電DEH控制原理

核電發(fā)電的原理就是由原子核反應堆釋放的核能通過一套動力裝置將核能轉為蒸汽的動能，進而轉變?yōu)殡娔?。而汽輪機即是以水汽為介質，并把水汽的熱量變換為動能的大型旋轉設備。汽輪機牽引發(fā)電機的同時，將動能轉為電能。在核電發(fā)電系統(tǒng)里，汽輪機是必要的組件，因此控制汽輪機安全可靠的運轉就變得至關重要。

DEH是一種根據(jù)電網(wǎng)負荷變化來調整汽輪機進汽量以達到穩(wěn)定汽輪機轉速，平衡電網(wǎng)負荷的控制裝置[4]。DEH主要包括磁阻/霍爾型轉速測量儀表、IO模塊、控制模塊、電動執(zhí)行機構等。DEH的原理框圖如圖1所示。

圖1 DEH控制原理框圖

轉速儀表采集汽輪機轉速值，經(jīng)過IO模塊調理為脈沖量信號，控制器將轉速實測值與設定值比較后進行PID調節(jié)；汽輪機的轉速輸出調節(jié)作為位置調節(jié)回路的給定值，經(jīng)過IO模塊調理為電壓信號，控制器通過將位置反饋值與設定值比較后進行PID運算產(chǎn)生最終驅動執(zhí)行機構的模擬量輸出信號，以滿足穩(wěn)定汽輪機轉速的調節(jié)需求。

1.2 雙余度核電DEH架構設計

如圖2所示為某型雙余度核電DEH設計方案，其使用快速處理控制器模塊和混合型智能快速IO模塊來完成對汽輪機的安全可靠調節(jié)。控制器可通過工業(yè)以太網(wǎng)連接上位機軟件，進行監(jiān)控數(shù)據(jù)的輸入輸出和組態(tài)策略的運算，并基于IO總線與快速IO模塊互相交換數(shù)據(jù)，起到承上啟下的作用。

圖2 某型雙余度核電DEH系統(tǒng)架構圖

快速處理控制器模塊采用三層PCI總線堆疊設計方案，第一層板卡通過總線接口和若干快速IO模塊通訊，主要負責總線協(xié)議的處理和底層硬件接口的驅動；中間一層是嵌入式x86模塊，主要通過PCI總線和另兩塊板卡交互數(shù)據(jù)，帶Linux操作系統(tǒng)，負責組態(tài)邏輯運算、以太網(wǎng)通訊等功能；最上層是另一層總線接口板，主要負責與其他快速處理控制器模塊之間的數(shù)據(jù)交互，并實現(xiàn)系統(tǒng)的擴展?？刂破鹘Y構圖如圖3所示。

圖3 核電DEH控制器結構圖

快速IO模塊可實現(xiàn)轉速采樣、線性可變差動變壓器位移傳感器的4～20 mA電流采樣、4～20 mA電流輸出、數(shù)字量輸入輸出等功能?？焖買O模塊結構圖如圖4所示。

圖4 雙余度核電DEH快速IO模塊結構圖

快速IO模塊基于總線與控制器連接，模塊上的 ARM7負責并行總線通訊協(xié)議，2塊Cortex M3負責模擬量與數(shù)字量的輸入輸出，微控制器芯片與通道部分線路全部通過磁耦或者光耦隔離。

第一片Cortex M3負責處理4通道4～20 mA電流輸入的模數(shù)轉換和4路獨立模擬量輸出的數(shù)模轉換。模擬量輸出分別為2路4～20 mA電流(輸出反饋)和2路±10 V電壓，±10 V電壓在后端子板上調理成±50 mA電流信號。±50 mA輸出的電流信號通道帶有輸出反饋檢測，以確保輸出回路工作正常。該Cortex M3同時還處理一路轉速信號，轉速信號通過后端子板調理成3.3 V方波，由微控制器計算頻率。

第二片Cortex M3處理另外4路電流信號輸入和4路模擬輸出，以及全部的數(shù)字輸入輸出通道。模擬量輸入輸出與前一部分電路相同。12路數(shù)字量輸入通道經(jīng)過后端子板處理內供電和外供電兩種供電方式，將信號轉換為0 V/48 V電平信號，在快速IO模塊上實現(xiàn)電平轉換和采樣，同時帶有10 ms濾波，以避免現(xiàn)場干擾。8路數(shù)字量輸出通道由處理器發(fā)出指令，通過邏輯轉換、輸出驅動后，轉換為24 V電壓，驅動后端子板上的繼電器。

模擬端子板是該DEH中的一個子卡，主要作用是隔離現(xiàn)場和快速IO模塊，保護快速IO模塊不受損壞，以及根據(jù)現(xiàn)場需求配置快速IO模塊輸出并為快速IO模塊提供必需的控制反饋，從而完成閉環(huán)控制。根據(jù)設計需求，后端子板含有4路電流輸入通道，4路模擬量輸出通道(2路4～20 mA和2路±50 mA)和1路轉速通道，不同信號之間相互隔離，單獨供電。同時后端子板提供EMC防護、熱插拔沖擊和其他保護。

數(shù)字量后端子板是閥門定位器的一個子卡，其在系統(tǒng)中的作用是根據(jù)控制器的數(shù)字輸出指令產(chǎn)生繼電器輸出；接收現(xiàn)場開關信號，輸出給控制器；另外提供EMC防護、熱插拔沖擊和其他保護。

整套雙余度核電DEH的工作原理為：系統(tǒng)通過快速IO模塊的轉速通道接收來自汽輪機的轉速值，通過控制器模塊對頻率做邏輯判斷和運算，再由快速IO模塊的模擬量輸出通道來改變汽輪機的閥門開度的大小，同時通過快速IO模塊的模擬量輸入通道采樣汽輪機的位移，實現(xiàn)閉環(huán)反饋，以實現(xiàn)穩(wěn)定汽輪機速度的目標?？焖偬幚砜刂破髂K與快速IO模塊等均采用冗余結構，互為冗余的兩個模塊一個處于正常工作狀態(tài)，一個處于熱備冗余狀態(tài)，當處于工作狀態(tài)的模塊出現(xiàn)異常后將通過同步與狀態(tài)檢查機制及時檢出，并自動切到處在熱備冗余的模塊，完成系統(tǒng)的無擾切換。

2 雙余度核電DEH的Markov模型

2.1 求解Markov模型

如果某系統(tǒng)具有有限的狀態(tài)個數(shù)，且其狀態(tài)方程中的轉移概率只和時移有關，和起點時刻無關，則可以用Markov模型的方法研究該系統(tǒng)狀態(tài)變化規(guī)律。Markov過程是看待系統(tǒng)變化的一種眼光，這是因為系統(tǒng)的變動往往可以看作是在若干個狀態(tài)之間遷移[5]。Markov模型可以實時地體現(xiàn)系統(tǒng)從運行到故障再到經(jīng)過維修回到正常狀態(tài)的一系列事件，既能反映系統(tǒng)設備之間的靜態(tài)關系又能反映其動態(tài)關系，可靠性分析精度高。

圖5為雙余度核電DEH的 Markov模型[6]，該模型包含6個狀態(tài)，在圖中分別用6個圓圈表示。分別是狀態(tài)0為OK(正常)，狀態(tài)1為DDN(正常測出的危險失效)，狀態(tài)2為DUN(正常未測出的危險失效)，狀態(tài)3為FS(安全失效)，狀態(tài)4為FDD(測出的危險失效)，狀態(tài)5為FDU(未測出的危險失效)[7]。該結構的狀態(tài)0、1、2都能夠正常運行。當任意一個模塊產(chǎn)生安全失效后，DEH隨即進入狀態(tài)3。在狀態(tài)1和狀態(tài)2時，DEH由1oo2降級為1oo1，這時對于1oo1的系統(tǒng)而言，如果產(chǎn)生安全失效，則進入狀態(tài)3；若發(fā)生危險失效，則系統(tǒng)進入狀態(tài)4或狀態(tài)5。由于多通道的存在，共因失效的發(fā)生成為可能，當系統(tǒng)發(fā)生共因危險失效時，系統(tǒng)會從狀態(tài)0轉移到狀態(tài)4或狀態(tài)5。此外，狀態(tài)1、3、4都可以通過修復轉移到狀態(tài)0。

圖5 雙余度核電DEH的Markov模型

其中，μ0為系統(tǒng)從檢測到的危險失效轉移到安全運行的幾率；μSD為維修率(h-1)；λ代表失效率，s代表安全，D代表危險，C代表共因失效，N代表正常，DD代表可測的危險失效，U代表不可檢測；如參數(shù)λsDc表示檢測出的共因安全失效率，其余參數(shù)可以此類推。各參數(shù)及相關衍生參數(shù)計算公式如表1所示。

表1 可靠性參數(shù)含義表

其中，β為共因失效因子；Cs為安全覆蓋因子；CD為危險覆蓋因子。

根據(jù)圖5所示的Markov模型，雙余度DEH系統(tǒng)狀態(tài)轉移矩陣如式(1)所示：

(1)

2.2 基于Markov模型的可靠性

核電DEH的可靠性一般用DEH在指定的前提和指定的時刻，實現(xiàn)指定任務的幾率表示[8]。如果DEH的壽命滿足負指數(shù)分布特征，那么其可靠度如式(2)所示：

R(t)=e-λt

(2)

由上述分析可知，系統(tǒng)在時刻t處于狀態(tài)n(n=0,1,2,3,4,5)的概率為：

(3)

DEH處于0、1、2均能夠安全運行，所以DEH安全運行的概率為：

Pok(t)=po(t)+p1(t)+p2(t)

(4)

DEH可以細分為多個分系統(tǒng)，各個部分又由多個串、并聯(lián)模塊構成，所以基于Markov模型的可靠性為：

(5)

3 可靠性預測與試驗分析

3.1 雙余度核電DEH可靠性預測

由上述分析可知，某型雙余度核電DEH共由4個部分組成，可進一步將每個部分劃分為3個模塊，如圖6為其可靠性結構示意圖。

圖6 某型雙余度核電DEH可靠性結構示意圖

以該型DEH中分系統(tǒng)1為例，其余分系統(tǒng)可類比分析。依據(jù)國軍標查詢對應的失效率，獲得分系統(tǒng)1各參數(shù)如表2所示。

表2 雙余度DEH分系統(tǒng)1可靠性參數(shù)值

設定DEH各模塊在啟動時為安全運行狀態(tài)，根據(jù)表2中的數(shù)據(jù)，使用公式(4)求出該型DEH分系統(tǒng)1各個模塊在時刻t為安全運行的幾率,然后將結果代入(5)式,得出該型DEH分系統(tǒng)1的可靠性隨時間變化的曲線[9]如圖7所示。

圖7 分系統(tǒng)1的Markov可靠度變化曲線

由圖7可以看出,該型DEH的可靠度隨著時間的增加而逐漸減小,且在其不同生命周期可靠度與時間并非線性化關系。在DEH安全運行的情況下,隨著時間推移,DEH的壽命超過當前時間的幾率越來越小。

3.2 雙余度核電DEH可靠性評估試驗

在可靠性分析的基礎上設計試驗進一步評估DEH可靠性?？紤]到核電的特殊性，為使實驗結果盡可能接近DEH的真實壽命狀況，對其進行無替換定時截尾壽命試驗。抽取同一批生產(chǎn)的五套某型核電DEH，在試驗場地使用信號源、萬用表等儀器模擬現(xiàn)場工況進行測試。截尾時間選取為350小時、700小時、1 400小時、2 100小時、2 800小時。

根據(jù)可靠性試驗相關理論[10]，無替換定時截尾壽命試驗如圖8所示。

圖8 無替換定時截尾壽命試驗

總試驗時間為：

(6)

式中，n為子樣系統(tǒng)的個數(shù)，t(i,i=0,1,2...)為壽命數(shù)據(jù)，τ為截尾時間，r為失效個數(shù)。

平均壽命為：

(7)

預定任務時間t0內的可靠度估計為：

(8)

根據(jù)試驗得到的數(shù)據(jù)，繪制系統(tǒng)在每次試驗總實驗時間內的可靠度變化曲線如圖9所示。

圖9 某型核電DEH可靠度評估曲線

從圖9與圖7的對比可以大致看出實際系統(tǒng)的可靠度變化趨勢與基于Markov模型的預測基本一致。驗證了基于Markov模型分析核電DEH可靠性的可行性。根據(jù)可靠性預測與評估試驗結果，工程設計與實施人員在產(chǎn)品投入使用前進行老化試驗，檢出不合格模塊，使產(chǎn)品進入穩(wěn)定工作期，在其運行期間定期進行巡檢，以此來提高核電DEH的可靠性，延長系統(tǒng)的壽命。

4 結束語

本文基于異構處理器設計雙余度核電DEH，通過隔離、防護、同步、冗余等措施保證了系統(tǒng)的安全可靠運行。核電汽輪機的DEH可靠性研究本身是一項復雜的工程,在研究其可靠性時借助于Markov過程模型，將DEH的工作狀況進行劃分，可以有效地評估DEH在不同工況之間的轉移概率，進而可以針對系統(tǒng)的可靠性進行量化分析。從截尾壽命試驗結果來看，基于Markov模型的可靠性分析更能反映系統(tǒng)的實際情況。相較于傳統(tǒng)的可靠性框圖和故障樹分析方法，不僅綜合考慮了失效率、維修率、診斷覆蓋率等因素，而且可以大大簡化計算，同時確定了DEH的多類可靠性參數(shù)，預測精度更高。對于提高核電DEH的工程應用水準以及確保核電安全運轉都具有現(xiàn)實意義。