張 磊，夏林路，周世梁，陳浠毓

核電廠數(shù)字化儀控系統(tǒng)I/O卡件備件數(shù)量優(yōu)化

張 磊1，夏林路1，周世梁1，陳浠毓2

（1. 華北電力大學(xué) 核科學(xué)與工程學(xué)院，北京 102206；2. 中國核電工程有限公司，北京 100840）

數(shù)字化儀控系統(tǒng)（DCS）是核電廠的神經(jīng)中樞，是一種以微處理器為基礎(chǔ)，采用控制功能分散顯示、操作集中、兼顧分而自治和綜合協(xié)調(diào)的設(shè)計原則的儀表控制系統(tǒng)，它對機組的安全、經(jīng)濟運行起著至關(guān)重要的作用。I/O卡件是DCS與現(xiàn)場儀表交互的關(guān)鍵部件，當(dāng)I/O卡件出現(xiàn)故障時，需要及時更換，所以I/O卡件需要一定數(shù)量的備件。如果備件過少，系統(tǒng)可用率達不到要求，反之會導(dǎo)致總費用過高?；隈R爾可夫模型，提出了一種可用率約束條件下，考慮共因失效的I/O卡件備件數(shù)量優(yōu)化方法。并采用概率檢測器PRSIM實現(xiàn)了對馬爾可夫模型的定量分析，得出了滿足可用率的約束條件的最少備件數(shù)，達到降低核電廠DCS運行維護費用的同時，保證其安全可靠運行的優(yōu)化效果。

I/O卡件；馬爾可夫模型；共因失效；備件數(shù)量；PRISM

核電廠DCS是核電廠的“神經(jīng)系統(tǒng)”，它是以計算機、網(wǎng)絡(luò)通訊為基礎(chǔ)的分布式控制系統(tǒng)，它對于核電廠的安全運行至關(guān)重要[1]。在核電廠儀控系統(tǒng)中I/O卡件幾乎包含了所有常規(guī)卡件，如模擬量輸入（包括差分輸入、熱電偶和電阻溫度傳感器）、模擬量輸出、數(shù)字量輸入、轉(zhuǎn)速、速度傳感器的輸入和脈沖計數(shù)等[2]。整個儀控系統(tǒng)中，一般I/O卡件故障率相對較高，常見的失效模式有電極開路或時通時斷、點擊短路、可焊接性差、無法工作等。I/O卡件一旦失效，核電廠運行的信息無法得到正常的傳輸，會直接影響到整個核電廠安全穩(wěn)定的運行。

因此為了保證核電廠的安全穩(wěn)定運行，都會準備一定數(shù)量的備件。備件數(shù)會影響故障設(shè)備的修復(fù)時間和系統(tǒng)的可用率，同時備件配置在整個維修保障經(jīng)費中占有很大的一部分，如果不能合理的配置備件的數(shù)量，將會直接影響核電廠運行的可靠性和經(jīng)濟性。I/O卡件備件的數(shù)量優(yōu)化目標是盡可能提高系統(tǒng)可用性，降低系統(tǒng)的運行成本和維修費用。

I/O模塊控制卡件失效時，可以系統(tǒng)帶電更換，因此為了保證故障及時修復(fù)，卡件備件更是至關(guān)重要的。傳統(tǒng)的備件計算方法大多采用公式法，沒有考慮備件維修更換、冗余卡件的共因失效等因素，計算得到的備件數(shù)量過于保守。本文應(yīng)用連續(xù)時間的馬爾可夫鏈來解決核電廠儀控系統(tǒng)I/O卡件備件數(shù)量優(yōu)化問題，考慮備件維修更換和冗余結(jié)構(gòu)的共因失效帶來的影響，在保證系統(tǒng)可靠性的同時使保障費用最小，確定最優(yōu)的備件庫存量。

1　傳統(tǒng)備件計算模型

控制卡件的壽命分布一般服從指數(shù)分布或威布爾分布，傳統(tǒng)方法所需備件的數(shù)量可按公式（1）進行計算[3]：

公式（1）中：——需要備件時能得到概率，等價于系統(tǒng)的可用率；——所需的備件數(shù)量；——系統(tǒng)的總卡件數(shù)量；——卡件失效概率；——累計工作時間，—失效卡件的數(shù)量。

通過上面的公式可以計算系統(tǒng)工作一定時間內(nèi)，系統(tǒng)的可用度與備件數(shù)量的關(guān)系。這種方法的局限是沒有考慮到系統(tǒng)的修復(fù)率和同類卡件的共因失效。所以在備件配置的過程中，可能得到過于樂觀的結(jié)果，雖然經(jīng)濟性得到了提高，但會影響系統(tǒng)整體運行的可靠性。因此這種方法具有一定的局限性。不能夠完全應(yīng)用于高安全級別的核電廠儀控系統(tǒng)I/O卡件備件數(shù)量優(yōu)化。

2　基于馬爾可夫模型的備件數(shù)量優(yōu)化方法

2.1　連續(xù)時間馬爾可夫鏈

設(shè)隨機過程{（），≥0}，狀態(tài)空間={i，≥0}，若對任意0≤1＜2＜…＜t+1及1，2，…，i+1∈，有

則稱｛（）≥0｝為連續(xù)馬爾可夫鏈。

式（2）的意義在于，過程（或系統(tǒng)）在時刻所處的狀態(tài)（t）=i為已知的條件下，過程在時刻（n+1）所處狀態(tài)（t+1）=i+1的條件分布只與時刻t的狀態(tài)（t）=i有關(guān)，而與過程在時刻t之前所處的狀態(tài)無關(guān)，即所謂的“馬爾可夫性（無后效性）”[4]。

2.2　建立模型

馬爾可夫鏈是指對于任意一個隨機過程，當(dāng)在某一時刻所處的狀態(tài)為已知時，此后的狀態(tài)只與該時刻的狀態(tài)有關(guān)，而與該時刻以前的狀態(tài)無關(guān)[5]。馬爾可夫模型采用狀態(tài)轉(zhuǎn)移圖建模方法，考慮系統(tǒng)的維修和共因失效對整個系統(tǒng)可靠性帶來的影響，計算系統(tǒng)的時變可用率。在確保系統(tǒng)連續(xù)運行的時間滿足要求的前提下，使備件總費用盡可能的少。

備件的備用量為，正常運行的同類卡件數(shù)量為，每個卡件的平均費用為。設(shè)卡件單一隨機失效率為N，共因失效率為C，模塊修復(fù)率為。模型如圖1所示。

圖1　備件系統(tǒng)馬爾可夫模型

表示狀態(tài)的圓中當(dāng)前備件數(shù)量，正常運行卡件數(shù)量，為狀態(tài)編號。編號有兩種形式。第一種是整數(shù)0，1，…，2，2+1，其中偶數(shù)表示系統(tǒng)中所有卡件正常，奇數(shù)表示系統(tǒng)中有一個卡件失效；第二種為12形式，表示系統(tǒng)從編號為1的狀態(tài)，兩個卡件發(fā)生共因失效，轉(zhuǎn)移到12狀態(tài)，然后一起修復(fù)，進入編號為2的狀態(tài)。單圓圈的狀態(tài)表示系統(tǒng)中卡件均正常運行；雙圓圈的狀態(tài)表示系統(tǒng)中有一個卡件發(fā)生了單一隨機失效。雙斜杠圓圈的狀態(tài)表示系統(tǒng)中有兩個卡件發(fā)生了共因失效；灰色圓圈的狀態(tài)表示因為系統(tǒng)中失效的卡件數(shù)量大于備件數(shù)量，導(dǎo)致系統(tǒng)不可完全修復(fù)，系統(tǒng)功能失效。

通過備件數(shù)量與正常運行卡件數(shù)量的比值來定義系統(tǒng)所處的狀態(tài)，它們的比值按來表示，關(guān)系如公式（3）所示。

在公式3中，分子代表備件剩余數(shù)量，分母代表I/O正常運行卡件數(shù)量。分子加分母大于等于，系統(tǒng)不會觸發(fā)危險失效。I代表系統(tǒng)所處的狀態(tài)編號。1系統(tǒng)處于單一隨機失效狀態(tài)，-2系統(tǒng)處于共因失效狀態(tài)。0_4表示從0狀態(tài)到4狀態(tài)系統(tǒng)發(fā)生了共因失效。

在上述描述的過程中，系統(tǒng)狀態(tài)有系統(tǒng)正常、可維修的單一隨機失效、可維修的共因失效、不可維修系統(tǒng)失效。這里的可維修指的是系統(tǒng)更換備件，不考慮系統(tǒng)重啟后性能恢復(fù)的故障形式，只考慮需要更換備件的故障形式。當(dāng)系統(tǒng)故障時無備件可更換時，系統(tǒng)處于吸收狀態(tài)，即不可維修系統(tǒng)失效狀態(tài)。更換備件后不影響系統(tǒng)的卡件非共因失效概率和共因失效概率。一塊I/O卡件失效短時間內(nèi)不會導(dǎo)致核電廠停運，通過短時間的維修即可恢復(fù)正常運行。

系統(tǒng)正常：系統(tǒng)的正常工作的I/O卡件數(shù)目為，且備件數(shù)量大于等于零。

可維修單一隨機失效：系統(tǒng)正常工作的I/O卡件數(shù)目為-1，失效類型為單一隨機失效，備件數(shù)量大于零。

可維修的共因失效：系統(tǒng)正常工作的I/O卡件數(shù)目為-2，失效類型為共因失效備件數(shù)量大于等于2。

不可維修系統(tǒng)失效：系統(tǒng)正常工作的I/O卡件數(shù)目為卡件數(shù)目為-1或-2，備件數(shù)量為零。

2.3　建立模型共因失效因數(shù)的估計

在核電廠的儀控系統(tǒng)中大部分I/O模塊采用了冗余分配原則。根據(jù)IEEE379中單一故障準則的要求，對冗余的設(shè)備，不能由于其中一個設(shè)備出現(xiàn)故障而影響整個核電廠的運行[6]，所以要考慮同類控制卡件的共因失效對整個核電廠儀控系統(tǒng)運行的影響。

表1　β因數(shù)估計表

核電廠儀控系統(tǒng)中冗余的I/O模塊安裝同一種卡件，它們之間設(shè)置了物理隔離，在設(shè)計上是相同的，因子的估計值是0.032。

3　概率模型檢測器PRISM

PRISM是一個概率模型檢測器，一個驗證存在隨機行為的系統(tǒng)的形式化驗證工具。概率模型檢驗是一種基于數(shù)值分析的驗證技術(shù)。PRISM通過生成支持概率特性的系統(tǒng)模型來計算模型的狀態(tài)空間，然后分析需求規(guī)約，通過合適的模型檢測算法來驗證模型是否滿足規(guī)約。

PRISM支持四種概率模型：離散時間馬爾可夫鏈（DTMC）、連續(xù)時間馬爾可夫鏈（CTMC）、馬爾可夫決策過程（MDP）、概率時間自動機（PTA）。PRISM模型由模塊和變量組成，模塊的定義格式如下：

模塊的行為由衛(wèi)式描述，衛(wèi)式的表達方式如下：

其中，guard衛(wèi)式用來描述概率行為發(fā)生的條件；采用的是連續(xù)時間馬爾可夫模型，rate用來描述概率遷移速率；update用來描述變量所產(chǎn)生的變化。

PRISM工具已被用于從無線通信協(xié)議到量子密碼到系統(tǒng)生物學(xué)的廣泛領(lǐng)域中的定量驗證：確定最差性能情況下藍牙缺陷或異常行為，以及用于生物信號傳導(dǎo)途徑的行為預(yù)測[9]。

文章使用PRISM工具，采用連續(xù)時間的馬爾可夫模型，定義I/O卡件的各個狀態(tài)，描述I/O卡件的失效與修復(fù)過程，分別計算不同備件數(shù)量下，I/O卡件的失效率。

4　數(shù)值驗證

對于核電廠儀控系統(tǒng)I/O模塊的控制卡件而言，一旦出現(xiàn)重啟后無法消除的故障，一般都要做卡件更換處理。更換時間限制針對核電廠而言，主要基于所涉及的信號在核電站運行技術(shù)規(guī)范或限制運行條件里面的要求。規(guī)定時間內(nèi)不能更換備件的，需要做機組降功率或停機停堆處理。因此在核電廠儀控系統(tǒng)中，輸入輸出卡件需要進行備份，備份量一般在5%～10%左右，但對于具體備件數(shù)目并沒有統(tǒng)一的標準。某核電廠的一臺機組某種I/O卡件總數(shù)達183個之多，一個8通道隔離型電流輸入模塊單價要在3萬元左右，配置備件的數(shù)量約為9～18，所需費用高。所以備件數(shù)量的優(yōu)化對于核電廠經(jīng)濟可靠的運行有著至關(guān)重要的作用。

某核電廠某類型卡件的總數(shù)為60個，卡件單價4萬元，備件數(shù)量為3～6個，卡件壽命服從指數(shù)分布，故障率為一常數(shù)[10]。普通失效率=1/4 000，共因失效率C=8×10-6，單一隨機失效率N=24.2×10-5。修復(fù)實際上就是直接采用備件更換，假設(shè)人手充足更換一組卡件與更換兩組時間是一樣的，一般更換作業(yè)時間不會拖延，工作準備風(fēng)險措施到實施取4 h，修復(fù)率=1/4。針對本文具體實例，針對不同卡件數(shù)量設(shè)置了4種情況，使用PRISM編寫相應(yīng)馬爾可夫模型的可靠性計算程序，備件程序關(guān)鍵語句介紹圖如圖2所示，六備件系統(tǒng)PRSIM模型如圖3所示。

圖2　備件程序關(guān)鍵語句介紹

圖3　六備件配置下系統(tǒng)的PRISM模型

程序中以備件數(shù)量和正?？倲?shù)為研究對象，分別求出各種情況在18個月內(nèi)的可用率和總費用，所得結(jié)果如表2所示。

表2　不同情況的備件需求量

考慮到當(dāng)備件數(shù)量低于某個庫存時會觸發(fā)采購，假設(shè)當(dāng)18個月的可用率達到0.88以上時就能滿足核電廠運行可靠性，此時選擇卡件的備份數(shù)量為5。不同備件數(shù)量下系統(tǒng)的失效概率和可用率如圖4、圖5所示。圖4、5表明，備件數(shù)量一定的情況下，系統(tǒng)的失效率會隨時間的增加而增大，系統(tǒng)的可用率隨時間的增加而減小。相同系統(tǒng)運行時間下，備件數(shù)量越充足系統(tǒng)失效率降低，可用率越高。所以，核電廠在采購滿足系統(tǒng)可用率數(shù)量的備件的基礎(chǔ)上，及時補充維修更換后的系統(tǒng)的所需備件數(shù)量，才能保證核電廠DCS安全穩(wěn)定運行。

圖4　不同備件數(shù)量下系統(tǒng)的失效概率

圖5　不同備件數(shù)量下系統(tǒng)的可用率

5　結(jié)論

核電廠DCS各類卡件的備件數(shù)量是影響其可靠性和經(jīng)濟性的關(guān)鍵參數(shù)之一，根據(jù)DCS任務(wù)時間內(nèi)可用率的要求，確定最少備件數(shù)量需求，可在保障DCS安全性前提下，合理減少備件費用支出。針對傳統(tǒng)備件數(shù)量確定方法不能考慮共因失效的局限性，本文提出了一種基于馬爾可夫模型的備件數(shù)量優(yōu)化方法。本文通過I/O卡件備件數(shù)量與儀控系統(tǒng)中配備的I/O卡件總數(shù)的比值判斷系統(tǒng)所處的狀態(tài)，建立連續(xù)時間狀態(tài)離散的馬爾科夫鏈。所建立的馬爾可夫模型考慮了系統(tǒng)的可修復(fù)性和冗余卡件的共因失效，采用PRISM對模型進行定量分析，得到了滿足換料周期內(nèi)系統(tǒng)可用度要求的備件策略，使得核電廠更加安全、穩(wěn)定、經(jīng)濟的運行。

［1］ 劉朋波，周韋，張淑慧．核電廠數(shù)字化儀控系統(tǒng)測試綜述［J］．自動化儀表，2012，33（02）：51-54+57.

［2］ 王強．核電廠DCS控制系統(tǒng)I/O分配的原則和方法［J］．自動化儀表，2014，35（02）：50-52+57.

［3］ 李金國，丁紅兵．備件需求量計算模型分析［J］．電子產(chǎn)品可靠性與環(huán)境試，2000（03）：11-14，.

［4］ 依溥治，王健，徐人恒．基于馬爾可夫修正的負荷預(yù)測模型在電力能效監(jiān)測終端中的應(yīng)用［J］．電測與儀表，2015，52（009）：11-18.

［5］ 李燕斌，張久菊，肖俊明．灰色-馬爾可夫鏈統(tǒng)計組合模型在光伏發(fā)電功率短期預(yù)測中的應(yīng)用［J］．電測與儀表，2015，52（23）：111-116.

［6］ 劉沖，陽小華，趙立宏．核電廠數(shù)字化儀表與控制系統(tǒng)［M］．中國原子能出版社，2016．

［7］ 曹山根，常玉國，吳剛．考慮共因失效的某發(fā)控系統(tǒng)可靠性分析［J］．四川兵工學(xué)報，2009，30（11）：78-80.

［8］ 威廉?戈布爾．控制系統(tǒng)的安全評估與可靠性［M］．中國電力出版社，2008.

［9］ Kwiatkowska M，Norman G，Parker D.PRISM 4.0：Verification of Probabilistic Real-Time Systems［C］// Computer Aided Verification-，International Conference，CAV 2011，Snowbird，Ut，Usa，July 14-20，2011. Proceedings. DBLP，2011：585-591.

［10］錢虹，趙先浩，張棟良．基于環(huán)境溫度在線監(jiān)測的I/O卡件故障率的研究［J］．電測與儀表，2017，54（19）：113-116，1.

Optimization of the Quantity of I/O Card Spare Parts of the Digital I&C System in Nuclear Power Plant

ZHANG Lei1，XIA Linlu1，ZHOU Shiliang1，CHEN Xiyu2

（1. School of Nuclear Science and Engineering，North China Electric Power University，Beijing，102206，China；2. China Nuclear Power Engineering Co.LTD，Beijing，100840，China）

The digital I&C system (DCS) is the nerve center of nuclear power plant, which plays a vital role in the safe and economical operation of the unit. The I/O cards are key components for the DCS to interact with field instruments. When the I/O cards fail, they need to be replaced in time to ensure the safe operation of nuclear power plant. Therefore, a certain number of spare parts are required for the I/O cards. If the spare parts are rather few, the system availability cannot meet the requirements, otherwise the total cost will be too high. Based on the Markov model, an optimization method for the number of the I/O card spare parts under the condition of availability constraint and considering common cause failure is proposed. The probability detector PRSIM is used to analyze the Markov model quantitatively, and the minimum number of spare parts satisfying the availability constraints is obtained.

I/O cards; Markov model; Common cause failure; Quantity of spare parts; PRISM

TL48

A

0258-0918（2021）06-1189-06

2020-10-09

裝備預(yù)研重點實驗室基金項目資助（6142A07200311）

張 磊（1994—），河北唐山人，碩士，現(xiàn)從事核電廠數(shù)字化儀控系統(tǒng)可靠性方面研究

周世梁，E-mail：zhoushiliang@ncepu.edu.cn