殷 勇,叶顺流,周 勇

(1.中广核研究院有限公司，广东 深圳 518116；2.大亚湾核电运营管理有限公司，广东 深圳 518116)

0 引言

核电厂应急柴油发电机组(emergency diesel generator,EDG)是核电厂用电系统6.6 kV应急母线的厂内备用电源，用于确保发生停电事故时反应堆紧急安全停堆。其电控系统主要实现应急和非应急状态下的启停控制、信号采集、逻辑控制和对外通信等功能，部分功能为1E级。由于安全级软件的验证与确认(verification & validation,V&V)较为困难，目前国内1E级柴油机的电气保护仍以传统继电器保护为主[1]。

相比传统继电器控制系统，新型数字化电控系统具有灵活性好、响应速度快和可靠性高等优势。随着安全级数字化仪控技术的发展，已有国产核级仪控系统通过独立第三方的软件V&V，上述问题正逐步解决并得到工程检验[2]。为进一步从可靠性方面评估数字化控制方案替代部分继电器控制系统的可行性，本文对一种基于安全级数字化专用仪控平台的柴油机电控系统进行了可靠性分析和计算。

1 数字化电控系统设计

1.1 控制柜设计

控制柜架构设计如图1所示。

图1 控制柜架构设计图

EDG电控系统由安全级控制柜(1E级)、非安全级控制柜(NC级)、中压柜、直流柜、电气保护柜、就地仪表监测箱和同期小车等组成，主要实现EDG在各种工况下的状态控制。本文以安全级和非安全级控制柜为研究重点，介绍电控系统的可靠性设计和计算。

控制柜基于一种安全级数字化专用仪控平台设计实现。该平台硬件可配置，软件可组态，可根据应用场景实现多种系统设计。平台硬件包括主控、通信、扩展、电源和I/O等功能模块，主要实现信号采集、逻辑处理、通信和信号输出等功能。平台嵌入式软件基于IEC 60880等安全标准开发，并依据IEEE 1012执行V&V，主要实现程序下装、数据处理和故障诊断等功能。本文暂不涉及平台上位机软件。

安全级控制柜由1E级主控机箱、箱内各种功能模块和滤波器等配件组成，主要实现机组启停控制、辅机启停控制等功能。

非安全级控制柜是安全级控制柜的补充，由NC级主控机箱和I/O机箱、箱内各种功能模块、网关和工控机等配件组成，主要实现可视化界面、现场操作和定期试验等功能。机柜间可通过协议转换模块和交换机进行数据交互，从而实现对EDG相关1E级和NC级现场信号的独立采集、处理和输出，并支持在不同工作模式下实现1E级和NC级机柜间可控的单向或双向数据传输。

其中，主控机箱和I/O机箱中各种功能模块基于1E级产品标准要求开发，实现控制柜核心的逻辑控制功能，为可靠性计算主要考虑部分；工控机、交换机和触摸屏等为一般工业级产品，实现非安全级通信和人机交互等辅助功能，主要从质检、运行和维护方面进行可靠性管理。

1.2 机箱设计

根据某项目对EDG相关I/O信号点的处理需求，在机箱级进行相应硬件模块配置设计，如图1中机箱部分所示。其中，主控模块执行逻辑运算功能，I/O模块进行信号采集和输出，通信和扩展模块实现数据安全传输。同时，对系统架构中关键的主控、电源、通信I和扩展模块进行了冗余配置。

柴油机1E级现场I/O信号由1E级主控机箱中AI和DI模块采集，并通过安全通信协议经由背板传输到主控模块进行数据处理，处理结果通过AO和DO模块输出到现场或机柜间接口。现场NC级I/O信号以类似的工作方式由NC级主控机箱和I/O机箱进行数据处理。I/O机箱作为主控机箱，对I/O信号处理能力的扩展；其I/O模块可通过扩展模块与主控机箱中通信模块I进行数据交互，并由主控模块进行数据处理。通过主控模块运行的嵌入式软件和下装的组态算法，实现对各个采集信号的逻辑运算，如柴油机转速信号、高温水入口温度信号等，进而实现对EDG的逻辑控制和状态显示。

2 系统可靠性分析计算

2.1 系统可靠性框图建模

考虑到评估架构设计对系统可靠性的影响，并对系统设计提出优化参考建议，选用贴近系统架构的可靠性框图模型(reliability block diagram,RBD)对系统进行可靠性建模。RBD表示了系统可靠工作的逻辑和模块间的相互关系。冗余模块为并联结构，包括主控、通信I和扩展模块；非冗余模块为串联结构，主要为I/O模块。机柜中配置普尔世电源为机箱中的电源模块分别供电，两者为串联后再并联的混联结构。由于通信模块IV负责与工程师站进行通信，实现上位机显示和辅助功能，建模时仅进行示意，计算时暂不作考虑。结合上述系统设计，分别对安全级控制柜和非安全级控制柜建立RBD模型。RBD模型示意图如图2所示。

图2 RBD模型示意图

2.2 可靠性设计分析

基于安全级数字化平台的柴油机电控系统综合了多重冗余设计、独立性设计、故障诊断设计等多种可靠性设计方法，从设计层面提高系统的固有可靠性。以下对部分可用性计算相关设计进行说明。

2.2.1 冗余设计

冗余技术是从系统架构上提高可靠性的重要方法[3]。柴油机电控系统对主控、电源和通信等模块进行冗余设计，确保公共通路不因单一故障造成系统核心功能失效。在电路层级，对热插拔、闭锁信号通路等关键电路采取冗余设计，对现场可编程门阵列(field programmable gate array,FPGA)内部数据处理功能块也采取冗余设计，从而充分降低模块掉电、闭锁拒动、数据错误的失效风险。计算系统可靠性指标时，主要考虑模块级冗余设计。

2.2.2 故障诊断设计

IEC 61508标准将故障分为安全、危险、可诊断和不可诊断等多种类型[4]。其中，不可诊断的危险故障对系统造成影响的严酷度最高。从安全可用的角度考虑，通过故障诊断设计可及时发现故障，并指导采取相应措施，如告警、丢弃数据帧、故障安全输出和维修等，从而降低故障带来的风险。故障诊断设计虽然不直接提高可靠性，但可以降低不可诊断的危险故障，结合故障维修活动可有效提高系统可用性。

柴油机电控系统各个模块采用的自诊断设计包括电源诊断、微控制单元(micro control unit,MCU)自诊断、时钟诊断、看门狗诊断、循环冗余校验(cyclic redundancy check,CRC)以及通道诊断等。当功能模块发生故障时，状态指示灯将直接提示部分故障，且所有故障信息将通过安全通信协议传输到主控模块并存储到SDRAM中。故障诊断时间作为影响系统可用性的重要指标，包含上述所有可诊断项的时间消耗。

分析系统故障诊断时间发现，FPGA诊断时间为15 ms左右；主控ARM诊断与运行周期和数据量有关，一次完整的自诊断时间消耗主要集中在主控模块对SDRAM数据的诊断。主控每个固定运行周期为30 ms，其中2 ms用于故障诊断。诊断项分4块进行串行处理，每4个周期可对SDRAM中的64 B数据进行校验。由于系统使用数据空间为2 MB，计算得到进行一次完全覆盖的故障诊断需要65.5 min，约为1 h。

2.2.3 维修性设计

当系统发生故障且被诊断识别后，通过故障修复措施可使系统恢复工作，提高系统使用可靠性和可用性。维修性设计直接影响故障修复的难易程度和对维修资源的需求，并表现在维修时间长短。维修性设计与上述故障诊断设计共同影响着系统可用性，其定量表征参数为平均修复时间(mean time to repair,MTTR)，即故障维修时间和故障诊断时间之和。以下对维修性设计和MTTR进行说明。

电控系统控制柜采用核电厂机柜常用的框架式结构，机箱通过紧固件连接在安装导轨上，易于维护。模块安装于插件盒中，通过导轨从机箱前面插入，以导轨和螺钉固定。各模块印刷电路板为标准化尺寸设计，并支持热插拔功能。设备在运行现场的维修方式以更换故障模块为主，只需按产品维修手册中的操作规程进行插件盒拆卸、更换和安装等操作即可实现故障完全修复。基于GJB/Z 57标准中的维修性基础数据[3-5]以及实际测试情况可知，在备用模块可用时，模块更换时间小于10 min。考虑到核电厂实际运行环境下存在物料领取、检查等时间消耗，维修时间简化预计为1 h。综上，MTTR合计约为2 h。

2.3 模块可靠性分析

为得到各个功能模块的失效率，基于仪控行业广泛采用的SN 29500标准，对各个模块电路进行可靠性分析。综合考虑电路结构、器件类型、制造工艺、集成度、工作温度和电应力等信息，转换成标准中的失效因子，结合产品寿命服从指数分布的协变量失效模型(λ=λref×ΠπI)，计算得到模块失效率[6]。为评估故障诊断设计对降低不可诊断的危险失效的作用，同时采用了综合定量诊断评价的失效模式、影响及其诊断分析 (failure modes effects and diagnostic analysis，FMEDA)分析，对模块失效率进行分类计算[7]。

功能模块的失效率如表1所示。

表1 功能模块的失效率

表1中:λS为安全失效率;λD为危险失效率;λDU为不可诊断的危险失效率;λ为总体失效率，失效率的单位为FIT(10-9/h)。

计算时，假定工作温度为50 ℃。由表1可知，当前故障诊断设计方案使硬件危险失效概率降低了73.1%(诊断覆盖率算数平均值)，并有效降低系统拒动率等指标，此处不作展开。查询普尔世电源选型手册数据得到，控制柜CP10.242的电源平均失效前时间(mean time to failure，MTTF)为667 kh(计算条件:+40 ℃，SN 29500)，依据Arrhenius公式粗略换算出50 ℃时的MTTF约为446 kh，即λ普尔世约为2 242 FIT。

2.4 系统可靠性计算

2.4.1 可靠性数学模型

基于上述控制柜系统RBD模型，由模块间的连接拓扑和任务成功概率关系，得到的安全级控制柜和非安全级控制柜的可靠性数学模型如下:

(1-R电源R普尔世)2]

(1)

RNC级控制柜=RNC级主控机箱RNC级IO机箱

(2)

(3)

(1-R电源R普尔世)2]

(4)

式中:R主控为主控模块的可靠性；R通信I为通信模块I的可靠性；R扩展为扩展模块的可靠性；R电源为电源模块的可靠性；R普尔世为普尔世电源的可靠性；RAI为AI模块的可靠性；RAO为AO模块的可靠性；RDI为DI模块的可靠性；RDO为DO模块的可靠性；RRTD为RTD模块的可靠性；RTC为TC模块的可靠性。

电子产品寿命通常符合指数分布，可靠性、失效率和平均严重故障间隔时间(mean time between critical failuire,MTBCF)的关系如下:

(5)

2.4.2 蒙特卡罗仿真计算

蒙特卡罗方法是通过生成随机数进行随机抽样、概率模拟的计算方法，反映了系统发生随机性故障的特点，是处理复杂系统可靠性问题的重要方法。通过建立概率模型，对模型进行抽样试验来计算参数的统计特征，并求出近似解。考虑到对随机性问题的适用性，为满足复杂系统架构和参数多次调整计算的需求，文献[8]和文献[9]中给出的蒙特卡罗通用仿真方法，对控制柜可靠性进行计算。

设置仿真次数为1 000 次，选用表1中各模块的危险失效率(λD)作为故障分布参数，结合以上数学模型，分别对两个控制柜进行计算；为对比冗余设计前后的可靠性差异，对去除模块级冗余设计后的系统方案进行计算，得到控制柜在0～100 000 h的可靠性曲线如图3所示。

图3 可靠性曲线

以危险失效为故障判据：有冗余设计时，安全级控制柜和非安全级控制柜的MTBCF分别为38 940 h和26 005 h；无冗余设计时，MTBCF分别为36 310 h和22 625 h。模块级冗余设计对控制柜可靠性分别提升了7.2%和14.9%。

2.4.3 系统可用性计算

稳态可用性用于表征可修复物项的使用可靠性，与正常运行时间和维修时间有关，计算公式如下:

式中:A为系统可用性。

由于安全失效不影响系统可用，故以危险失效作为故障判据时，系统MTTF取值可采用上述MTBCF数值。根据电控系统故障诊断和维修性设计部分可知，MTTR约为2 h。控制柜可用性计算如下:

A1E=38 940 h/(38 940 h+2 h)=99.995%

ANC=26 005 h/(26 005 h+2 h)=99.992%

由于可用性要求的边界精度为0.01%，MTTF与MTTR存在104数量级对应关系。为达到可用性要求，MTTR变化将显著影响对MTTF的要求。可用性与MTTF、维修时间和诊断时间的关系如图4所示。

图4 可用性与MTTF、维修时间、诊断时间关系图

图4中：阴影截面上方为可用性大于99.99%的区域，诊断时间和维修时间越小，更容易以较低的MTTF满足要求。当固有可靠性水平一定时，故障诊断和维修性设计的优化，将更容易满足系统可用性要求。

3 结论

本文对一种基于安全级数字化平台的柴油机电控系统进行了系统架构和可靠性分析，综合RBD模型、FMEDA分析和蒙特卡罗方法进行了可靠性计算，从系统可用性方面评估了新型数字化控制方案替代部分传统继电器控制系统的可行性。从系统设计出发：冗余设计使安全级和非安全级控制柜的可靠性分别提升了7.2%和14.9%；故障诊断设计使硬件危险失效率降低了73.1%；故障诊断设计和维修性设计共同影响着系统可用性，使其达到核电厂要求的99.99%。该研究综合了多种可靠性分析和计算方法，可有针对性地评估系统设计对可靠性、可用性的影响，对同类系统设计具有一定的参考意义，并对仪控设备运行和维护提出了时间要求。