核电厂数字化仪控系统I/O卡件备件数量优化

张 磊，夏林路，周世梁，陈浠毓

核电厂数字化仪控系统I/O卡件备件数量优化

张 磊1，夏林路1，周世梁1，陈浠毓2

（1. 华北电力大学 核科学与工程学院，北京 102206；2. 中国核电工程有限公司，北京 100840）

数字化仪控系统（DCS）是核电厂的神经中枢，是一种以微处理器为基础，采用控制功能分散显示、操作集中、兼顾分而自治和综合协调的设计原则的仪表控制系统，它对机组的安全、经济运行起着至关重要的作用。I/O卡件是DCS与现场仪表交互的关键部件，当I/O卡件出现故障时，需要及时更换，所以I/O卡件需要一定数量的备件。如果备件过少，系统可用率达不到要求，反之会导致总费用过高。基于马尔可夫模型，提出了一种可用率约束条件下，考虑共因失效的I/O卡件备件数量优化方法。并采用概率检测器PRSIM实现了对马尔可夫模型的定量分析，得出了满足可用率的约束条件的最少备件数，达到降低核电厂DCS运行维护费用的同时，保证其安全可靠运行的优化效果。

I/O卡件；马尔可夫模型；共因失效；备件数量；PRISM

核电厂DCS是核电厂的“神经系统”，它是以计算机、网络通讯为基础的分布式控制系统，它对于核电厂的安全运行至关重要[1]。在核电厂仪控系统中I/O卡件几乎包含了所有常规卡件，如模拟量输入（包括差分输入、热电偶和电阻温度传感器）、模拟量输出、数字量输入、转速、速度传感器的输入和脉冲计数等[2]。整个仪控系统中，一般I/O卡件故障率相对较高，常见的失效模式有电极开路或时通时断、点击短路、可焊接性差、无法工作等。I/O卡件一旦失效，核电厂运行的信息无法得到正常的传输，会直接影响到整个核电厂安全稳定的运行。

因此为了保证核电厂的安全稳定运行，都会准备一定数量的备件。备件数会影响故障设备的修复时间和系统的可用率，同时备件配置在整个维修保障经费中占有很大的一部分，如果不能合理的配置备件的数量，将会直接影响核电厂运行的可靠性和经济性。I/O卡件备件的数量优化目标是尽可能提高系统可用性，降低系统的运行成本和维修费用。

I/O模块控制卡件失效时，可以系统带电更换，因此为了保证故障及时修复，卡件备件更是至关重要的。传统的备件计算方法大多采用公式法，没有考虑备件维修更换、冗余卡件的共因失效等因素，计算得到的备件数量过于保守。本文应用连续时间的马尔可夫链来解决核电厂仪控系统I/O卡件备件数量优化问题，考虑备件维修更换和冗余结构的共因失效带来的影响，在保证系统可靠性的同时使保障费用最小，确定最优的备件库存量。

1　传统备件计算模型

控制卡件的寿命分布一般服从指数分布或威布尔分布，传统方法所需备件的数量可按公式（1）进行计算[3]：

公式（1）中：——需要备件时能得到概率，等价于系统的可用率；——所需的备件数量；——系统的总卡件数量；——卡件失效概率；——累计工作时间，—失效卡件的数量。

通过上面的公式可以计算系统工作一定时间内，系统的可用度与备件数量的关系。这种方法的局限是没有考虑到系统的修复率和同类卡件的共因失效。所以在备件配置的过程中，可能得到过于乐观的结果，虽然经济性得到了提高，但会影响系统整体运行的可靠性。因此这种方法具有一定的局限性。不能够完全应用于高安全级别的核电厂仪控系统I/O卡件备件数量优化。

2　基于马尔可夫模型的备件数量优化方法

2.1　连续时间马尔可夫链

设随机过程{（），≥0}，状态空间={i，≥0}，若对任意0≤1＜2＜…＜t+1及1，2，…，i+1∈，有

则称｛（）≥0｝为连续马尔可夫链。

式（2）的意义在于，过程（或系统）在时刻所处的状态（t）=i为已知的条件下，过程在时刻（n+1）所处状态（t+1）=i+1的条件分布只与时刻t的状态（t）=i有关，而与过程在时刻t之前所处的状态无关，即所谓的“马尔可夫性（无后效性）”[4]。

2.2　建立模型

马尔可夫链是指对于任意一个随机过程，当在某一时刻所处的状态为已知时，此后的状态只与该时刻的状态有关，而与该时刻以前的状态无关[5]。马尔可夫模型采用状态转移图建模方法，考虑系统的维修和共因失效对整个系统可靠性带来的影响，计算系统的时变可用率。在确保系统连续运行的时间满足要求的前提下，使备件总费用尽可能的少。

备件的备用量为，正常运行的同类卡件数量为，每个卡件的平均费用为。设卡件单一随机失效率为N，共因失效率为C，模块修复率为。模型如图1所示。

图1　备件系统马尔可夫模型

表示状态的圆中当前备件数量，正常运行卡件数量，为状态编号。编号有两种形式。第一种是整数0，1，…，2，2+1，其中偶数表示系统中所有卡件正常，奇数表示系统中有一个卡件失效；第二种为12形式，表示系统从编号为1的状态，两个卡件发生共因失效，转移到12状态，然后一起修复，进入编号为2的状态。单圆圈的状态表示系统中卡件均正常运行；双圆圈的状态表示系统中有一个卡件发生了单一随机失效。双斜杠圆圈的状态表示系统中有两个卡件发生了共因失效；灰色圆圈的状态表示因为系统中失效的卡件数量大于备件数量，导致系统不可完全修复，系统功能失效。

通过备件数量与正常运行卡件数量的比值来定义系统所处的状态，它们的比值按来表示，关系如公式（3）所示。

在公式3中，分子代表备件剩余数量，分母代表I/O正常运行卡件数量。分子加分母大于等于，系统不会触发危险失效。I代表系统所处的状态编号。1系统处于单一随机失效状态，-2系统处于共因失效状态。0_4表示从0状态到4状态系统发生了共因失效。

在上述描述的过程中，系统状态有系统正常、可维修的单一随机失效、可维修的共因失效、不可维修系统失效。这里的可维修指的是系统更换备件，不考虑系统重启后性能恢复的故障形式，只考虑需要更换备件的故障形式。当系统故障时无备件可更换时，系统处于吸收状态，即不可维修系统失效状态。更换备件后不影响系统的卡件非共因失效概率和共因失效概率。一块I/O卡件失效短时间内不会导致核电厂停运，通过短时间的维修即可恢复正常运行。

系统正常：系统的正常工作的I/O卡件数目为，且备件数量大于等于零。

可维修单一随机失效：系统正常工作的I/O卡件数目为-1，失效类型为单一随机失效，备件数量大于零。

可维修的共因失效：系统正常工作的I/O卡件数目为-2，失效类型为共因失效备件数量大于等于2。

不可维修系统失效：系统正常工作的I/O卡件数目为卡件数目为-1或-2，备件数量为零。

2.3　建立模型共因失效因数的估计

在核电厂的仪控系统中大部分I/O模块采用了冗余分配原则。根据IEEE379中单一故障准则的要求，对冗余的设备，不能由于其中一个设备出现故障而影响整个核电厂的运行[6]，所以要考虑同类控制卡件的共因失效对整个核电厂仪控系统运行的影响。

表1　β因数估计表

核电厂仪控系统中冗余的I/O模块安装同一种卡件，它们之间设置了物理隔离，在设计上是相同的，因子的估计值是0.032。

3　概率模型检测器PRISM

PRISM是一个概率模型检测器，一个验证存在随机行为的系统的形式化验证工具。概率模型检验是一种基于数值分析的验证技术。PRISM通过生成支持概率特性的系统模型来计算模型的状态空间，然后分析需求规约，通过合适的模型检测算法来验证模型是否满足规约。

PRISM支持四种概率模型：离散时间马尔可夫链（DTMC）、连续时间马尔可夫链（CTMC）、马尔可夫决策过程（MDP）、概率时间自动机（PTA）。PRISM模型由模块和变量组成，模块的定义格式如下：

模块的行为由卫式描述，卫式的表达方式如下：

其中，guard卫式用来描述概率行为发生的条件；采用的是连续时间马尔可夫模型，rate用来描述概率迁移速率；update用来描述变量所产生的变化。

PRISM工具已被用于从无线通信协议到量子密码到系统生物学的广泛领域中的定量验证：确定最差性能情况下蓝牙缺陷或异常行为，以及用于生物信号传导途径的行为预测[9]。

文章使用PRISM工具，采用连续时间的马尔可夫模型，定义I/O卡件的各个状态，描述I/O卡件的失效与修复过程，分别计算不同备件数量下，I/O卡件的失效率。

4　数值验证

对于核电厂仪控系统I/O模块的控制卡件而言，一旦出现重启后无法消除的故障，一般都要做卡件更换处理。更换时间限制针对核电厂而言，主要基于所涉及的信号在核电站运行技术规范或限制运行条件里面的要求。规定时间内不能更换备件的，需要做机组降功率或停机停堆处理。因此在核电厂仪控系统中，输入输出卡件需要进行备份，备份量一般在5%～10%左右，但对于具体备件数目并没有统一的标准。某核电厂的一台机组某种I/O卡件总数达183个之多，一个8通道隔离型电流输入模块单价要在3万元左右，配置备件的数量约为9～18，所需费用高。所以备件数量的优化对于核电厂经济可靠的运行有着至关重要的作用。

某核电厂某类型卡件的总数为60个，卡件单价4万元，备件数量为3～6个，卡件寿命服从指数分布，故障率为一常数[10]。普通失效率=1/4 000，共因失效率C=8×10-6，单一随机失效率N=24.2×10-5。修复实际上就是直接采用备件更换，假设人手充足更换一组卡件与更换两组时间是一样的，一般更换作业时间不会拖延，工作准备风险措施到实施取4 h，修复率=1/4。针对本文具体实例，针对不同卡件数量设置了4种情况，使用PRISM编写相应马尔可夫模型的可靠性计算程序，备件程序关键语句介绍图如图2所示，六备件系统PRSIM模型如图3所示。

图2　备件程序关键语句介绍

图3　六备件配置下系统的PRISM模型

程序中以备件数量和正常卡件总数为研究对象，分别求出各种情况在18个月内的可用率和总费用，所得结果如表2所示。

表2　不同情况的备件需求量

考虑到当备件数量低于某个库存时会触发采购，假设当18个月的可用率达到0.88以上时就能满足核电厂运行可靠性，此时选择卡件的备份数量为5。不同备件数量下系统的失效概率和可用率如图4、图5所示。图4、5表明，备件数量一定的情况下，系统的失效率会随时间的增加而增大，系统的可用率随时间的增加而减小。相同系统运行时间下，备件数量越充足系统失效率降低，可用率越高。所以，核电厂在采购满足系统可用率数量的备件的基础上，及时补充维修更换后的系统的所需备件数量，才能保证核电厂DCS安全稳定运行。

图4　不同备件数量下系统的失效概率

图5　不同备件数量下系统的可用率

5　结论

核电厂DCS各类卡件的备件数量是影响其可靠性和经济性的关键参数之一，根据DCS任务时间内可用率的要求，确定最少备件数量需求，可在保障DCS安全性前提下，合理减少备件费用支出。针对传统备件数量确定方法不能考虑共因失效的局限性，本文提出了一种基于马尔可夫模型的备件数量优化方法。本文通过I/O卡件备件数量与仪控系统中配备的I/O卡件总数的比值判断系统所处的状态，建立连续时间状态离散的马尔科夫链。所建立的马尔可夫模型考虑了系统的可修复性和冗余卡件的共因失效，采用PRISM对模型进行定量分析，得到了满足换料周期内系统可用度要求的备件策略，使得核电厂更加安全、稳定、经济的运行。

［1］ 刘朋波，周韦，张淑慧．核电厂数字化仪控系统测试综述［J］．自动化仪表，2012，33（02）：51-54+57.

［2］ 王强．核电厂DCS控制系统I/O分配的原则和方法［J］．自动化仪表，2014，35（02）：50-52+57.

［3］ 李金国，丁红兵．备件需求量计算模型分析［J］．电子产品可靠性与环境试，2000（03）：11-14，.

［4］ 依溥治，王健，徐人恒．基于马尔可夫修正的负荷预测模型在电力能效监测终端中的应用［J］．电测与仪表，2015，52（009）：11-18.

［5］ 李燕斌，张久菊，肖俊明．灰色-马尔可夫链统计组合模型在光伏发电功率短期预测中的应用［J］．电测与仪表，2015，52（23）：111-116.

［6］ 刘冲，阳小华，赵立宏．核电厂数字化仪表与控制系统［M］．中国原子能出版社，2016．

［7］ 曹山根，常玉国，吴刚．考虑共因失效的某发控系统可靠性分析［J］．四川兵工学报，2009，30（11）：78-80.

［8］ 威廉・戈布尔．控制系统的安全评估与可靠性［M］．中国电力出版社，2008.

［9］ Kwiatkowska M，Norman G，Parker D.PRISM 4.0：Verification of Probabilistic Real-Time Systems［C］// Computer Aided Verification-，International Conference，CAV 2011，Snowbird，Ut，Usa，July 14-20，2011. Proceedings. DBLP，2011：585-591.

［10］钱虹，赵先浩，张栋良．基于环境温度在线监测的I/O卡件故障率的研究［J］．电测与仪表，2017，54（19）：113-116，1.

Optimization of the Quantity of I/O Card Spare Parts of the Digital I&C System in Nuclear Power Plant

ZHANG Lei1，XIA Linlu1，ZHOU Shiliang1，CHEN Xiyu2

（1. School of Nuclear Science and Engineering，North China Electric Power University，Beijing，102206，China；2. China Nuclear Power Engineering Co.LTD，Beijing，100840，China）

The digital I&C system (DCS) is the nerve center of nuclear power plant, which plays a vital role in the safe and economical operation of the unit. The I/O cards are key components for the DCS to interact with field instruments. When the I/O cards fail, they need to be replaced in time to ensure the safe operation of nuclear power plant. Therefore, a certain number of spare parts are required for the I/O cards. If the spare parts are rather few, the system availability cannot meet the requirements, otherwise the total cost will be too high. Based on the Markov model, an optimization method for the number of the I/O card spare parts under the condition of availability constraint and considering common cause failure is proposed. The probability detector PRSIM is used to analyze the Markov model quantitatively, and the minimum number of spare parts satisfying the availability constraints is obtained.

I/O cards; Markov model; Common cause failure; Quantity of spare parts; PRISM

TL48

A

0258-0918（2021）06-1189-06

2020-10-09

装备预研重点实验室基金项目资助（6142A07200311）

张 磊（1994—），河北唐山人，硕士，现从事核电厂数字化仪控系统可靠性方面研究

周世梁，E-mail：zhoushiliang@ncepu.edu.cn