陈荣超，崔振武

(浙江浙能镇海发电有限责任公司，浙江 宁波 315208)

0 引言

随着控制功能和范围的扩大，火力发电厂分散控制系统 (Distributed Control System，DCS)系统的复杂性和故障的离散性增加，而其可靠性下降，DCS系统的某些故障引发、导致机组被迫停运的情况时有发生。DCS所处的地位决定了要求其保持安全、连续稳定、经济低耗的可靠性。可靠性技术始于20世纪40年代，美国军事工业、航天航天等一些技术密集型行业中对电子设备及其系统要进行可靠性分析。目前，此项研究课题在国内发电行业的应用中，有专家针对电力设备兼顾可靠性和经济性的最优状态维修策略进行了研究[1]，也有研究人员根据现场经验提出了许多针对DCS可靠性技术的改善措施[2，3]，但对于火力发电厂DCS可靠性的专门研究还比较欠缺。

本文将立足于某火力发电厂6号机组DCS系统 (以下没有特别注明的地方，提及的DCS系统都是指6号机组DCS系统)近年来的实际运行和维修情况，根据DCS设备的软硬件特点，分析DCS系统硬件和软件可靠性，依据软件测试来度量软件系统可靠性，并评估出DCS系统设备的可靠性特征量。

1 火电厂DCS系统可靠性分析

系统可分为可修复和不可修复系统，实际工程应用中，可修复系统可靠性模型复杂，分析较为困难，当系统满足两个条件 (一、系统运行条件是否恒定不变;二、系统是否具有“修故如新”的特性。)的情况下，可以将可修复系统假设为不可修复系统进行分析。火电厂DCS系统的运行条件有规范要求，并基本维持不变，系统中的设备故障后以更换为主，DCS系统具备“修故如新”的特点，因此本文中，可将火电厂DCS系统假设为不可修复系统来进行可靠性分析。

DCS系统可靠性分析通常将硬件可靠性和软件可靠性分别讨论。硬件可靠性技术主要包括部件、元件、产品或系统的可靠性研究，其理论和实用工具都已日趋成熟;软件可靠性评估方法没有硬件成熟，其不同的评估方法适用的局限性也较大。

1.1 DCS系统硬件可靠性分析

6号机组DCS系统改造于2006年，图1是改造结束后的DCS系统结构图。该系统的物理分布主要有三层网络，分别是冗余的监控网络、系统网络和控制站内的控制网络;有17个控制站分别控制全厂的锅炉、汽机、电气等专业的设备;有主、备两个服务器，互为冗余;人机接口设备中4台操作员站用于运行人员操作，另有1台工程师站用于软件修改、信号强制等工作。

图1 6号机组DCS系统结构Fig.1 No.6 unit DCS system structure

可靠性框图是按单一和可视的方式表示系统中单元之间可靠性关系的一种方法，与单元的物理连接无关。根据DCS系统结构图，可以得出以下DCS系统、子系统的可靠性框图。图2是DCS系统层次的可靠性框图，是一个串—并联系统可靠性框图。图中，A表示控制站的可靠度;B1，B2表示系统网络1，2的可靠度;C1，C2表示服务器1，2的可靠度;D1，D2表示监控网络1，2的可靠度;E表示人机接口设备的可靠度。

图2 6号机组DCS系统可靠性框图Fig.2 No.6 unit DCS reliability block diagram analysis

由图2可得DCS系统硬件的系统总可靠度为

框图中，A是各个控制站的串联集合，根据17个控制站的串联组合，可以得到控制站子系统层次的可靠度的算法公式

框图中，E是人机接口设备的集合，包括4台操作员站和1台工程师站。在DCS系统正常运行时，工程师站设置为操作员口令，等同于操作员站，因此，人机接口站子系统可以看作是并联组合，其算法公式可以表示为

对控制站可靠性的分析可分析到控制站单元层次的可靠性，每个控制站由I/O模块、冗余控制网络、冗余主控单元和冗余电源模块组成，DCS系统控制站 (以10号站为例)的可靠性框图如图3。图3中，R10pa，R10pb分别是电源模块A，B的可靠度;R10ca，R10cb分别是主控制器A，B的可靠度;R10na，R10nb分别是串行网络A，B的可靠度;R10mo是模块的可靠度。因而可由图3得到10号控制站的可靠度计算公式 (4)，DCS系统各控制站结构相同，可通过式 (4)得出其他各控制站的可靠度。

图3 6号机组DCS系统10号控制站可靠性框图Fig.3 No.6 unit DCS No.10 control station reliable diagram

1.2 根据故障数据分析子系统可靠性

在计算DCS系统可靠度时，一种方法是可根据电子元器件的可靠度逐一向上计算模块单元可靠度、子系统可靠度，直至计算出系统的可靠度。这种计算方法，需要知道模块单元中电子元器件的排列结构和所有元器件的固有可靠度，计算过程繁琐并且有些元器件的固有可靠度等数据作为设备使用单位无法得到，不适合单位对系统实际使用中的可靠度分析，使用部门通过分析设备发生的故障来分析可靠性，是一种合适的可靠性分析方法。系统的可靠性分析可以通过收集到的故障数据分析来进行。

大量统计资料证明，电子产品失效机理随着时间的增长，失效率趋近于一个稳定值，见式(5)。在电厂MAXIMO缺陷管理系统中，可以查阅到DCS系统中发生的设备故障详细情况以及故障发生的时间和原因等，通过收集2006年升级改造后一个大修周期内产生的与DCS系统有关的故障数据，可以得出DCS系统单元模块的MTTF。在得到了单元、子系统的MTTF以后，就可以计算得出单元、子系统的故障率和可靠度。

以下将通过整理一个大修周期之内 (2006年12月11日至2010年9月21日)的故障数据得到的各控制站子系统、人机接口站子系统等的MTTF、故障率λ以及可靠度R(t)。在故障统计中发现，控制站16号、23号、25号站，工程师站，以及监控网1在大修周期内没有故障发生，根据DCS系统硬件生产厂家的说明，将这部分没有发生故障的设备的可靠性时间确定为100 000 h。根据式 (4)可以得出各控制站的可靠度，以10号控制站为例，式 (6)就是其可靠度计算公式

同理，可以得出人机接口、服务器、系统网、监控网等子系统的MTTF、故障率λ，以及可靠度R(t)的计算结果，见表1。

表1 6号机组DCS系统设备的MTTF、故障率λ，以及可靠度R(t)Tab.1 MTTF，failure rate，reliability of No.6 unit DCS equipment

由上可得DCS子系统硬件的可靠度RE(t)，RH(t)

1.3 火电厂DCS系统软件可靠性分析

软件可靠性较难用一个特征量来完全代表所有软件，不同类型的软件在不同的情况下可以采用不同的可靠性模型和可靠性特征量。有技术人员提出了基于缺陷度量的软件可靠性度量方法[4]。有专家探讨了软件失效的机理并提出了基于三角形模糊数算术运算的软件可靠性评估方法[5]。

软件测试是根据软件开发的要求和软件内部结构而设计的测试用例，并利用这些测试用例去执行程序，以发现软件错误的过程。在软件的开发过程中，往往通过软件测试来度量软件的可靠性。在DCS软件现场使用中，可以考虑先通过故障模式及影响分析确认DCS软件的失效模式及其各故障的分类等级，再根据软件测试中的可靠性度量方法来估计DCS软件的可靠性。为了方便计算和比较，统计时间定为100天。从MAXIMO缺陷管理系统DCS软件故障数据记录中可以查到，DCS软件运行100天之内，出现了各1次的逻辑程序故障 (C级故障)、内部计算出错 (C级故障)、操作显示故障 (D级故障)、报表数据统计错误 (E级故障)以及打印错误信息 (E级故障)等，以及多达7次的自动系统未达性能要求故障(E级故障)，根据生产厂家提供的软件测试估算公式，可以得到DCS软件运行100天之后的可靠度估算值:

将t=2 400代入计算各式，可得以下DCS各子系统和整个系统的可靠度:

即DCS系统工作2 400 h(100天)后的可靠度为0.452，其中硬件可靠度为0.536 5，软件可靠度为0.842 3。

2 提高DCS系统可靠性的技术措施

由上文对火电厂DCS系统的可靠度探讨可知火电厂DCS系统的故障率是比较高的，究其原因，主要有以下几点:

(1)火电厂DCS系统实际运行环境和试验时的条件差别甚大，存在诸多干扰源。

(2)生产厂家的提供的理论计算是在理想化情况下的计算结果，而且生产厂家的试验只是涵盖了部分DCS系统的软硬件，不能完全仿真实际运行状态。

(3)火电厂现场操作、维护人员工作失误等影响了可靠性。

(4)火电厂DCS系统设备安装过程不规范也会导致DCS设备可靠性的降低。

为了克服上述问题对火电厂DCS系统可靠性的影响，需要在DCS系统的可靠性技术措施上进行分析、研究。针对目前的DCS系统的特点，结合分析了DCS系统的故障，提出了几项提高电厂DCS系统可靠性的技术措施并加以实施:

(1)部分控制站负荷率较高并达到45%及以上，而一般要求分散控制单元负荷率不超过40%。主控单元负荷率相对较高是诱发主控单元故障的重要原因，为此对部分负荷率较高的I/O站进行改进，尽量分散I/O模块到其他站内，同时将部分性能计算方案的扫描周期由250 ms改为1 s，另对一些相对次要的控制算法的扫描周期由250 ms改为500 ms，将负荷率控制在30%以内。

(2)根据控制站控制网Profibus-DP协议的要求，总线的特性阻抗应该为110 Ω左右，如果总线连接出现“虚接”，则总线的特性阻抗将发生改变。当总线虚接阻抗过大时，终端匹配器会产生过匹配的现象，从而使终端匹配器失去匹配的作用，导致控制网离线故障的产生。造成DP总路“虚接”有多种原因，其中主要是安装不够紧固，垂直安装的模块底座受机械振动引起触点松动和现场环境不佳 (如湿热等)引起触点氧化。在停机检修时应紧固模块底座，同时用万用表测量一串底座DP链路的电阻值，确认是否小于2Ω。机组运行时如出现此现象，则可临时并接底座上的DP通讯端子，能有效防止此类故障的发生。

通过采取技术措施，确实可以减少DCS系统设备故障，提高DCS系统可靠性。更适宜的方法是针对DCS系统设备进行RCM分析，执行RCM过程，通过确定重要功能设备或单元，进行故障模式及影响分析，应用逻辑决断选择维修类型并最终形成火电厂DCS系统的以可靠性为中心的维修决策，提高DCS系统可靠性。

[1]张宏，王健，文福拴，等.兼顾可靠性和经济性的电力设备最优状态维修策略[J].电力科学与工程，2006，(2):8-13.Zhang Hong，Wanf Jian，Wen Fushuan，et al.Optimal scheduling of condition-based maintenance for electric equipment considering reliability and economy[J].Electric Power Science and Engineering，2006，(2):8-13.

[2]孙立军，丁伟玲.集散控制系统的可靠性分析[J].船电技术，2008，28(2):127-128.Sun Lijun，Ding Weiling.Analysis on reliability of distributed control system[J].Marine Electric and Electronic Engineering，2008，28(2):127-128.

[3]王建锋，罗振新，薛鹏.影响DCS可靠性的因素分析[J].华东电力，2008，36(4):109-112.Wang Jianfeng，Luo Zhenxin，Xue Peng.Analysis of factors influencing DCS reliability[J].East China Eletric Power，2008，36(4):109-112.

[4]徐燕，钟德明，付文佳.基于缺陷的软件可靠性度量方法研究[J].测控技术，2009，29(3):67-70，73.Xu Yan，Zhong Deming，Fu Wenjia.Research on software reliability metric based on defect[J].Measurement＆ Control Technology，2009，29(3):67-70，73.

[5]石柱.控制软件可靠性设计和评估方法[J].航天控制，2004，22(1):58-62.Shi Zhu.Control software reliablity design and assessment method[J].Aerospace Control，2004，22(1):58-62.