基于馬爾科夫模型分析DCS 系統(tǒng)可靠性

劉子琪， 袁 霞， 白 丹

（中國(guó)兵器裝備集團(tuán)自動(dòng)化研究所， 四川 綿陽(yáng) 621000）

0 引言

在安全等級(jí)SIL3 的核電工程中， 安全性檢測(cè)DCS平臺(tái)系統(tǒng)擔(dān)當(dāng)著安全核心作用。在以往，為了達(dá)到國(guó)際上SIL3 高安全性級(jí)別，所采用的安全檢測(cè)DCS 系統(tǒng)均是采自于國(guó)外公司。運(yùn)用可靠性框圖、FTA 故障樹(shù)從可能發(fā)生故障的方面來(lái)分析系統(tǒng)故障，對(duì)其可靠性進(jìn)行分析。但這種方法去掉了隨時(shí)間轉(zhuǎn)變狀態(tài)的系統(tǒng)情況， 如果考慮核電系統(tǒng)各種狀態(tài)之間相互轉(zhuǎn)換對(duì)其可靠性的影響則運(yùn)用馬爾科夫模型更為恰當(dāng)。

馬爾科夫模型是一種隨機(jī)過(guò)程，并且在每個(gè)時(shí)刻中所可能發(fā)生的情況遵循著一定的概率統(tǒng)計(jì)規(guī)律。在系統(tǒng)增加了可修復(fù)的情況下， 馬爾科夫模型能更好地描述投入使用后隨時(shí)間變化時(shí)，刻畫(huà)系統(tǒng)在某一時(shí)刻處于某種狀態(tài)的概率，從而分析系統(tǒng)可靠性。 馬爾科夫過(guò)程作為可靠性工程中的動(dòng)態(tài)理論工具，現(xiàn)已廣泛應(yīng)用于許多的領(lǐng)域[1]。

本文利用馬爾科夫模型對(duì)核電站安全性檢測(cè)平臺(tái)系統(tǒng)進(jìn)行可靠性預(yù)測(cè)。 將該DCS 控制系統(tǒng)在使用過(guò)程中可能出現(xiàn)的各種正常及故障狀態(tài)與馬爾科夫過(guò)程相結(jié)合，建立了該系統(tǒng)的可靠性評(píng)估模型， 分析了該系統(tǒng)的各個(gè)狀態(tài)概率。 為達(dá)到安全性級(jí)別要求和高可靠性提供了理論支持。

1 DCS 概念

核電廠DCS 數(shù)字化儀控系統(tǒng)。 核電廠DCS 系統(tǒng)可分為安全級(jí)（級(jí)） 非安全級(jí)（級(jí)） 。 在針對(duì)DCS 系統(tǒng)中的部分設(shè)計(jì)中，我們也采用了冗余設(shè)計(jì)的思路來(lái)符合核電控制儀安全性級(jí)別要求[2]。 1oo2D 結(jié)構(gòu)冗余設(shè)計(jì)的思路，運(yùn)用于所設(shè)計(jì)的輸入模塊、控制器模塊和輸出模塊。 每個(gè)控制模塊都設(shè)計(jì)有通道A、通道B 該兩個(gè)通道，并最終由表決/切換電路決定輸出。

2 馬爾科夫過(guò)程

2.1 概念

馬爾科夫過(guò)程在可靠性領(lǐng)域中是一種動(dòng)態(tài)的隨機(jī)過(guò)程。 如果其一步轉(zhuǎn)移概率pij 恒于時(shí)刻t 無(wú)關(guān)，則稱(chēng)為齊次（時(shí)齊）馬爾科夫。

本文研究的平穩(wěn)馬爾科夫模型是一種無(wú)記憶性的隨機(jī)模型[3]。 在分析系統(tǒng)可靠性時(shí)，假設(shè)發(fā)生事件的時(shí)間服從指數(shù)分布，反映在馬爾科夫轉(zhuǎn)移率就為常數(shù)，即研究的模型是齊次馬爾科夫模型。轉(zhuǎn)移率λij是指在單位時(shí)間△t，從狀態(tài)i→j 轉(zhuǎn)移的期望值，當(dāng)轉(zhuǎn)移率為常數(shù)時(shí)，有以下關(guān)系存在：

式中，pi（t+dt） 為系統(tǒng)在某狀態(tài)的概率；X（t）為系統(tǒng)在時(shí)刻t 的狀態(tài)；X （t+Δt） 為系統(tǒng)在時(shí)刻t+Δt 的狀態(tài)；ο（Δt）為在Δt 期間發(fā)生兩次以上轉(zhuǎn)移的概率。 當(dāng)Δt 足夠小時(shí)可得：

式中：n—總的狀態(tài)數(shù)；I—單位矩陣。

在大多數(shù)情況下， 我們要得到的是系統(tǒng)長(zhǎng)期工作時(shí)的平穩(wěn)狀態(tài)概率pi ，可求解線(xiàn)性代數(shù)方程組

式中，P—各平穩(wěn)狀態(tài)概率pi 組成的矩陣。 由此得馬爾科夫過(guò)程的研究對(duì)象是可修復(fù)系統(tǒng)。 到系統(tǒng)在各個(gè)可能狀態(tài)的狀態(tài)概率， 并可進(jìn)一步求出其它的系統(tǒng)可靠性指標(biāo)。

2.2 核電安全性檢測(cè)平臺(tái)系統(tǒng)的可靠性特征

首先該系統(tǒng)是一個(gè)可修復(fù)系統(tǒng)。當(dāng)系統(tǒng)發(fā)生故障后，一首先診斷故障部位，對(duì)其進(jìn)行修理或更換，直到恢復(fù)到正常工作狀態(tài)，該工作過(guò)程即為修復(fù)過(guò)程。電子器件的老化過(guò)程是一個(gè)呈“浴盆曲線(xiàn)”，一般是從正常工作狀態(tài)轉(zhuǎn)移到故障狀態(tài)，然后經(jīng)過(guò)修復(fù)回到正常狀態(tài)，如此往復(fù)循環(huán)下去。 失效狀態(tài)轉(zhuǎn)移到另一種狀態(tài)的“狀態(tài)轉(zhuǎn)移”完全是隨機(jī)的。 但是在診斷出失效后，進(jìn)行故障修復(fù)。 這種修復(fù)狀態(tài)轉(zhuǎn)移是可以刻畫(huà)為常數(shù)矩陣的。 用馬爾科夫過(guò)程求DCS 平臺(tái)的可靠性指標(biāo)時(shí)，主要討論的是核電安全性檢測(cè)平臺(tái)投入使用后達(dá)到平衡狀態(tài)時(shí)的工作情況， 即故障率和修復(fù)率都為常數(shù)， 各部件的壽命和維修時(shí)間均服從指數(shù)分布，讓這些條件滿(mǎn)足馬爾科夫過(guò)程的基本假設(shè)。

3 核電安全性檢測(cè)平臺(tái)馬爾科夫模型的建立

3.1 劃分故障狀態(tài)

由于DCS 及其外部電路都是由半導(dǎo)體集成電路（IC）、晶體管和電阻電容等器件構(gòu)成，這些電子器件不可避免的存在失效率的問(wèn)題。 所以這些器件的可靠性將直接影響DCS 系統(tǒng)的可靠性用狀態(tài)，將系統(tǒng)的非運(yùn)行狀態(tài)進(jìn)行分類(lèi)，作為獨(dú)立的狀態(tài)變量予以考慮。 系統(tǒng)運(yùn)行后，就作為統(tǒng)計(jì)對(duì)象進(jìn)入使用狀態(tài)， 使用狀態(tài)分為可用狀態(tài)和不可用狀態(tài)，其狀態(tài)分類(lèi)如圖1 所示。

圖1 帶雙通道使用狀態(tài)分類(lèi)

圖2 1oo2D 結(jié)構(gòu)冗余設(shè)計(jì)

為提高DCS 的可靠性， 具體設(shè)計(jì)的I/O 模塊， 控制器，電源，網(wǎng)絡(luò)以及服務(wù)器，都進(jìn)行1oo2D 冗余設(shè)計(jì)。

該結(jié)構(gòu)未專(zhuān)門(mén)設(shè)置備用通道 （不采取3oo2D 結(jié)構(gòu)），只要不處于故障維修或預(yù)防檢修的狀態(tài)， 所有板卡均全部投入使用。

3.2 馬爾科夫模型的建立

假設(shè)在上述圖2 的模型中輸入模塊、主控制模塊、輸出模塊進(jìn)行每運(yùn)行一段時(shí)間τ，診斷電路對(duì)系統(tǒng)進(jìn)行一次診斷。多通道馬爾科夫原理見(jiàn)下圖3。工作（W）、未被檢測(cè)到的危險(xiǎn)失效（DU）、正在進(jìn)行修復(fù)（R）。

圖3 帶診斷電路的DCS 系統(tǒng)馬爾科夫模型

圖3 所描述的馬爾科夫過(guò)程為在診斷間隔的系統(tǒng)工作時(shí)間段τ 中： 多冗余通道的系統(tǒng)某一通道部位可能從工作狀態(tài)變?yōu)槲ｋU(xiǎn)失效（W→DU）也可能處于修復(fù)到工作狀態(tài)（R→W）。 在這期間因?yàn)闆](méi)有發(fā)生診斷工作，所以不可能出現(xiàn)DU→R。

μ 代表組件部位的修復(fù)率（μ=1/MRT），λ 表示失效率。

在單通道診斷系統(tǒng)時(shí)刻， 發(fā)現(xiàn)危險(xiǎn)失效并開(kāi)始修復(fù)（狀態(tài)轉(zhuǎn)換為DU→R），工作運(yùn)行正常（W→W），正在修復(fù)（R→R）[4]。 因此，帶診斷電路的狀態(tài)轉(zhuǎn)移矩陣如下：

圖4 中字母A 和B 代表雙通道，粗字體代表通道處于工作狀態(tài)，細(xì)字體代表通道處于失效狀態(tài)。 λa、λb表示A、B 通道的失效率，λccf表示系統(tǒng)的失效率；μa、μb表示修復(fù)率。

圖4 雙通道帶診斷的系統(tǒng)狀態(tài)圖

根據(jù)圖4 的雙通道帶診斷該1oo2D 結(jié)構(gòu)系統(tǒng)狀態(tài)圖，以及上述公式，可推出轉(zhuǎn)移矩陣[M]：

式中：θ—在每次診斷間隔期間的任意時(shí)間。

根據(jù)西門(mén)子電子器件失效率數(shù)據(jù)手冊(cè)計(jì)算各個(gè)板卡模塊（例如通信模塊、AI 模塊、表決模塊等）的失效率，再加總得通道A 的失效率。 假設(shè)通道A、B 選擇的電子器件一致，則λa=λb=1.56×10-5。 μ=1/MTTF。 求得轉(zhuǎn)移矩陣[M]，再帶入式（9）。可以得到如圖5 的階段性鋸齒狀失效率圖。可知在每次診斷修復(fù)后，失效率大幅降低，在隨后使用過(guò)程中失效率升高。 又到下次診斷修復(fù)后， 失效率大幅下降。 繼而形成一種隨診斷時(shí)間間隔而來(lái)回波動(dòng)的狀態(tài)。

4 基于馬爾科夫核電檢測(cè)平臺(tái)冗余模塊可靠性

圖5 中虛線(xiàn)用PFDavg（T）表示整個(gè)過(guò)程中系統(tǒng)平均失效率。

帶有下標(biāo)k 表示在時(shí)間段T 期間的狀態(tài)k 的失效率，qk表示狀態(tài)k 的權(quán)重。 qk在此一般為0 或者為1。

5 結(jié)束語(yǔ)

圖5 鋸齒狀多通道馬爾科夫過(guò)程圖

本文將DCS 系統(tǒng)雙通道A、B 運(yùn)行后可能所處的狀態(tài)劃分為系統(tǒng)正常運(yùn)行、通道A失效狀態(tài)、 通道B 失效狀態(tài)，以及整個(gè)系統(tǒng)失效。 在這種狀態(tài)轉(zhuǎn)移分析下，給出轉(zhuǎn)移矩陣[M]。 不僅如此，在每間隔時(shí)間τ 進(jìn)行診斷的基礎(chǔ)上提出了帶系統(tǒng)修復(fù)的情況，給出了修復(fù)矩陣[L]。 在系統(tǒng)運(yùn)行時(shí)，既發(fā)生狀態(tài)轉(zhuǎn)移[M]又在間隔時(shí)間診斷后發(fā)生修復(fù)狀態(tài)轉(zhuǎn)移[L]。

因此該模型能很好地反映出DCS 系統(tǒng)在各個(gè)時(shí)間處于各個(gè)狀態(tài)的概率， 給出了帶診斷且發(fā)生修復(fù)的實(shí)際過(guò)程中的可靠性指標(biāo)。

從擬合數(shù)據(jù)圖5 看出， 該模型能通過(guò)計(jì)算隨時(shí)間t狀態(tài)變換矩陣以及在間隔時(shí)間診斷后進(jìn)行修復(fù)時(shí)的狀態(tài)變換矩陣， 通過(guò)雙重分析能較準(zhǔn)確地對(duì)DCS 平臺(tái)1oo2D可靠性進(jìn)行量化評(píng)估。 反映出一段時(shí)間內(nèi)系統(tǒng)失效率增高，在診斷后進(jìn)行修復(fù)有效地降低了失效率。在隨后系統(tǒng)失效率又開(kāi)始增高，又通過(guò)診斷修復(fù)降低失效率。周而復(fù)始，形成鋸齒狀的系統(tǒng)失效走勢(shì)。本文所探討的馬爾科夫過(guò)程還可以應(yīng)用于其它帶診斷修復(fù)領(lǐng)域的失效率預(yù)測(cè)中，對(duì)1oo2D 結(jié)構(gòu)平臺(tái)實(shí)際運(yùn)行過(guò)程進(jìn)行可靠性的預(yù)測(cè)。