基于序貫蒙特卡洛法的安全穩(wěn)定控制系統(tǒng)架構可靠性分析

朱介北，邱 威，孫 寧，朱學科，霍 超，荀思超

（1.天津大學電氣自動化與信息工程學院，天津市 300072；2.國家電網有限公司國家電力調度控制中心，北京市 100031；3.南瑞集團有限公司（國網電力科學研究院有限公司），江蘇省南京市 211106；4.國家電網有限公司西北分部，陜西省西安市 710048；5.國網江蘇省電力有限公司鹽城供電分公司，江蘇省鹽城市 224001）

0 引言

在中國，一次能源和高用電負荷中心的分布相逆，為了使負荷得到充足電力供應并且滿足節(jié)能減排和清潔能源送出的需求，多回跨區(qū)、大容量的特高壓交、直流工程相繼投運，電網特性也隨之發(fā)生重要變化［1］。與此同時，安全穩(wěn)定控制系統(tǒng)（簡稱穩(wěn)控系統(tǒng)）也呈現(xiàn)出大型化、廣域化和復雜化的變化趨勢，電網的正常穩(wěn)定運行對穩(wěn)控系統(tǒng)的要求越來越高，穩(wěn)控系統(tǒng)可靠性被破壞導致的誤動、拒動將給電網巨大的二次擾動和沖擊［2］。

國外曾多次出現(xiàn)由于穩(wěn)控系統(tǒng)執(zhí)行策略不當、誤操作或者缺少穩(wěn)控系統(tǒng)而造成大范圍停電并產生嚴重后果的案例［3-6］。當故障發(fā)生后，穩(wěn)控系統(tǒng)能夠按照預先制定的策略要求執(zhí)行正確的動作措施，使系統(tǒng)恢復穩(wěn)定，不拒動、不誤動，這是對電網安全穩(wěn)定運行的重要支撐。穩(wěn)控系統(tǒng)可靠性的研究一直受到人們的關注。文獻［2］從多角度分析了影響穩(wěn)控系統(tǒng)可靠性的因素，形成穩(wěn)控系統(tǒng)可靠性研究總體框架；文獻［7-8］依照馬爾可夫空間狀態(tài)轉移模型分別求取了單穩(wěn)控裝置硬件和單個廠站穩(wěn)控系統(tǒng)處于各狀態(tài)下的概率，分析其可靠性；文獻［9］基于分層馬爾可夫法，研究了自檢概率和檢修概率對穩(wěn)控系統(tǒng)整體可靠性的影響；文獻［10-13］研究了不同環(huán)境下傳統(tǒng)故障判據的適用性，并對其改進以提高穩(wěn)控系統(tǒng)的可靠性；文獻［14］提出了適用于特高壓直流穩(wěn)控系統(tǒng)的典型設計方案；文獻［15］基于穩(wěn)控系統(tǒng)功能受損情況的不同進行模式分類，通過局部異常分析不同受損模式的概率，提出穩(wěn)控系統(tǒng)可靠性評估的新思路；文獻［16-18］分析了雙裝置系統(tǒng)在主輔以及并列運行模式下動作措施集在異常狀態(tài)可能出現(xiàn)失誤的情況，并提出雙裝置間進行信息交互的解決方法。

目前，大多數(shù)研究是對穩(wěn)控裝置硬件、單站系統(tǒng)、故障判據以及運行模式單方面的考量，缺少考慮裝置運行模式的穩(wěn)控系統(tǒng)整體可靠性分析以及不同運行模式下穩(wěn)控系統(tǒng)可靠性的比較研究。同時，多采用馬爾可夫狀態(tài)空間法進行建模分析，這需要大量的樣本空間對其結果準確性進行支撐，計算量巨大。蒙特卡洛法則是通過隨機模擬系統(tǒng)可能出現(xiàn)的狀態(tài)來獲得可靠性指標；序貫蒙特卡洛法能夠模擬出隨時序變化的系統(tǒng)運行狀態(tài)，得到具有時序特征的可靠性指標。該方法受限小且原理簡單，適用于復雜系統(tǒng)的可靠性評估。

本文根據穩(wěn)控系統(tǒng)的物理架構特點，提出了具有一定普適性的按層穩(wěn)控系統(tǒng)可靠性分析模型。依照該模型上層站運行模式的不同以及有無數(shù)據交換，建立不同情況下層間失效的故障樹模型，進而得到區(qū)域穩(wěn)控系統(tǒng)可靠性整體分析模型。采用序貫蒙特卡洛法對模型進行仿真求解，比較同一穩(wěn)控系統(tǒng)在不同運行模式下的可靠性并分析系統(tǒng)容易出現(xiàn)故障的環(huán)節(jié)和裝置。

1 穩(wěn)控系統(tǒng)架構和運行模式

1.1 總體架構

為保障電網區(qū)域范圍內數(shù)據信息的采集，穩(wěn)控系統(tǒng)通過多層級的架構來實現(xiàn)電網保護。典型的穩(wěn)控系統(tǒng)架構如圖1所示，可以分為3個層次:控制主站、控制子站和執(zhí)行站。故障發(fā)生后，控制主站根據控制策略表，控制整個區(qū)域電網，通過通信通道實時交換運行信息，傳送控制命令；控制子站起到承上啟下的樞紐作用，向上傳輸本站和相關站點的信息到主站，向下傳輸主站的控制措施到執(zhí)行站，必要時根據局部電網的控制策略表采取控制措施；執(zhí)行站接受并執(zhí)行主站或子站的指令，并采集本站信息向它們傳輸［19］。為了保證系統(tǒng)的安全性，各站均按照雙重化配置，實現(xiàn)冗余設計。

圖1 穩(wěn)控系統(tǒng)架構示意圖Fig.1 Schematic diagr am of secur ity and stability contr ol system ar chitectur e

1.2 運行模式

常見穩(wěn)控系統(tǒng)同站雙機運行模式分為主輔、并列2種方式。在主輔運行模式下，由主運裝置動作出口并立即閉鎖輔運裝置。如果主運裝置拒動，或在一定延時內沒有動作，則由輔運裝置延時動作出口，同時閉鎖主運裝置［19］。并列運行模式下，雙機出口有并聯(lián)和串聯(lián)2種方式，分別對應“二取一”和“二取二”的邏輯方式。并聯(lián)時執(zhí)行2套裝置動作集合的并集；串聯(lián)時執(zhí)行2套裝置動作集合的交集。

然而，只依靠運行模式仍然會有錯誤情況出現(xiàn)，為解決這一問題，在雙裝置間增加了數(shù)據交換。如圖1中虛線框內部分，當執(zhí)行站1的A裝置因為故障、檢修等原因退出運行之后，子站1的A裝置只能接收到執(zhí)行站2的A裝置反饋信息，而子站1的B裝置仍能接收到執(zhí)行站1、2的B裝置反饋信息。決策依據的不同導致兩子站的控制策略有所差異，合并之后的控制策略無法滿足電網故障后恢復穩(wěn)定。當雙機間采用數(shù)據交換，發(fā)生相同故障后，子站1的A裝置會通過子站1的B裝置接收到執(zhí)行站1的B裝置信息，反饋路徑如圖1中紅線所示。這樣2套裝置的決策依據將會保持一致，提高系統(tǒng)可靠性。

2 穩(wěn)控系統(tǒng)可靠性分析框架

將失效率和修復率作為穩(wěn)控系統(tǒng)可靠性評價的基本指標，對造成穩(wěn)控系統(tǒng)失效的原因進行梳理，并根據穩(wěn)控系統(tǒng)的架構特點，提出分析其可靠性的統(tǒng)一框架。

2.1 失效率和修復率

穩(wěn)控系統(tǒng)是一個可修復的系統(tǒng)，在其可靠性分析中，失效率λ與修復率μ為最基本的指標。

式中:λ(t)為系統(tǒng)已經正常工作到t時刻之后單位時間內失效的次數(shù)；P（·）為條件概率函數(shù)；Δt為采樣時間；T為系統(tǒng)故障前正常工作時間。

式中:μ(t)表示當系統(tǒng)在t時刻尚未被修復，在t時刻之后單位時間內被修復的概率；TY為系統(tǒng)故障持續(xù)時間。

2.2 穩(wěn)控系統(tǒng)失效分類

根據穩(wěn)控系統(tǒng)可靠性的影響因素［2］，將穩(wěn)控系統(tǒng)失效分為以下4種情況。

1）穩(wěn)控系統(tǒng)硬件失效，主要包括穩(wěn)控裝置的硬件設備和裝置間的通信通道。

2）穩(wěn)控系統(tǒng)軟件失效，主要是跳閘判據設定的不合理以及參數(shù)的誤整定、錯發(fā)信號等。

3）穩(wěn)控系統(tǒng)原理性失效，由于穩(wěn)控系統(tǒng)多層次的架構以及裝置間運行模式、邏輯選擇造成的原理性失效。

4）人為或環(huán)境原因造成的失效，包括運行維護失誤、誤接線和誤操作等，也包含環(huán)境或者惡劣天氣的影響，例如:高溫、雷雨、臺風等。由于這類原因所占比例較小且統(tǒng)計起來較為復雜，本文暫不考慮。

2.3 穩(wěn)控系統(tǒng)可靠性分析框架模型

穩(wěn)控系統(tǒng)包括主站層、子站層和執(zhí)行層。每層的功能、作用和目的各不相同，并且不同系統(tǒng)每層的站數(shù)目、裝置間的運行模式也不確定，彼此間差異較大。但是根據穩(wěn)控系統(tǒng)的物理架構特性，主站層到子站層、子站層到執(zhí)行層可以用同一種方式統(tǒng)一表達，如圖2所示。

圖2 穩(wěn)控系統(tǒng)層次間架構模型Fig.2 Architecture model between two levels of security and stability control system

圖2中，{U Pi，i=1，2，…，m}為上層控制站的集合，既可以表示主站也可以表示子站。m為上層控制站的總數(shù)，UPiA和UPiB分別為第i個控制站A套、B套穩(wěn)控裝置；{ D Nij，i=1，2，…，n}為第i個上層控制站控制的下層控制站集合。當UPi表示主站時，DNij表示子站；當UPi表示子站時，DNij表示執(zhí)行站。n為第i個上層站控制的下層站總數(shù)，DNijA和DNijB分別為上層第i個控制站控制下的第j個下層站A套、B套穩(wěn)控裝置；LINEijA和LINEijB分別為上層第i個控制站與其控制的第j個下層站A套和B套穩(wěn)控裝置間的通信通道。

將穩(wěn)控系統(tǒng)的可靠性分為主站層-子站層和子站層-執(zhí)行層的可靠性進行分析。這兩者有著可統(tǒng)一表示的相同物理架構，故采用同樣方法進行層次間的可靠性分析。這樣既簡化了分析過程，又不失分析效果的一般性。

3 穩(wěn)控系統(tǒng)失效故障樹模型建立

為建立穩(wěn)控系統(tǒng)失效的故障樹模型，首先，將層次間失效歸分為上層站及其所控制下層站共同組成的m個基礎單元系統(tǒng)的失效。然后，依照上層站裝置間運行模式、數(shù)據交換情況、下層站裝置間運行模式，構建不同情況下的基礎單元系統(tǒng)失效故障樹模型。最終，建立穩(wěn)控系統(tǒng)失效的故障樹模型。

3.1 層次架構間可靠性分析

通過層次架構模型的特點，建立穩(wěn)控系統(tǒng)層次間的故障樹模型如圖3所示。

該故障樹模型對主站層到子站層和子站層到執(zhí)行層的可靠性分析均適用。每個上層站和其所控制的下層站看作一個系統(tǒng)（下文稱作基礎單元系統(tǒng)），當這個系統(tǒng)失效時，層次間系統(tǒng)便會失效，進而導致穩(wěn)控系統(tǒng)失效。

可見，通過對每個基礎單元系統(tǒng)進行可靠性分析，能夠完成對穩(wěn)控系統(tǒng)整體架構的可靠性分析。并且對于每個這樣的基礎單元系統(tǒng)，不論是在主站層到子站層還是在子站層到執(zhí)行層的層次中，對應的分析都不失一般性。

圖3 穩(wěn)控系統(tǒng)層次間失效的故障樹模型Fig.3 Fault tree model of failure between two levels of secur ity and stability control system

穩(wěn)控系統(tǒng)的失效包括拒動和誤動2個方面，考慮每個基礎單元系統(tǒng)的架構模型，從裝置硬件拒動、裝置軟件拒動、裝置硬件誤動、裝置軟件誤動和通信通道安全幾個方面對其進行可靠性分析。

3.2 上層站主輔模式下基礎單元可靠性分析

UPi站兩裝置在主輔運行（本文考慮的主輔運行中均為A裝置主運）模式下的基礎單元系統(tǒng)失效的故障樹模型如附錄A圖A 1所示。

基礎單元系統(tǒng)i失效分為上層站失效和下層站失效兩部分。上層站失效為以下2種情況:①UPiA誤動；②UPiA拒動且UPiB失效（拒動和誤動）。下層站失效由DNij控制不正常導致，分為2種情況:①DNij能夠正確反饋信息給上層站但卻不能夠正確動作；②DNij無法向上層站反饋信息。下面針對UPi站裝置間是否進行信息交換來對DNij失效進行分析。

當UPi站雙裝置間無信息交換時，DNij失效如附錄A圖A 2所示，分為4種情況:①當所有下層控制站A裝置信息反饋失效，UPi輔運裝置決策工作時，DNijB誤動或在DNij并列運行出口串聯(lián)下DNijA誤動會導致失效；②當DNijA正常反饋信息，UPi主運決策工作時，DNijA誤動或DNij并列運行出口串聯(lián)下DNijB失效或DNij并列運行出口并聯(lián)下DNijB誤動會導致失效；③當DNijA無法進行信息反饋時，由于其他下層站A裝置反饋信息的影響，在UPi主輔模式下DNijB的反饋信息被抑制，最終導致UPiA沒有收到DNij反饋信息；④DNijA和DNijB的信息反饋均失效，DNij無法反饋信息。

當UPi雙裝置間進行信息交換時，DNij失效的故障樹模型如附錄A圖A 3所示。共有3種情況:①當DNijA無法反饋信息時，UPiA可以通過DNijB得到DNij反饋信息，進行動作決策，不會受到其他下層站A裝置反饋信息的抑制，主運和輔運決策相同，此時的失效原因同無信息交換時的情況①；②當DNijA正常反饋信息時，相當于UPi主運決策工作，此時的失效原因同無信息交換時的情況②；③DNijA和DNijB的信息反饋均失效，DNij無法反饋信息。

3.3 上層站并列模式下基礎單元可靠性分析

UPi站兩裝置在并列運行模式下基礎單元系統(tǒng)失效的故障樹模型如附錄A圖A 4所示。出口串聯(lián)時上層站失效分為以下2種情況:①UPiA失效；②UPiB失效。下層站失效原因為DNij控制不正常。在出口并聯(lián)時上層站失效分為以下3種情況:①UPiA誤動；②UPiB誤動；③UPiA和UPiB均拒動。下層站失效情況不變。

當UPi站兩裝置間無信息交換時，DNij失效故障樹模型如附錄A圖A 5所示。當出口串聯(lián)時分為2種情況:①由于DNijA誤動或者DNij并列運行下DNijB誤動；②DNijA和DNijB任意一個無法正常反饋信息。因為串聯(lián)模式下，UPiA和UPiB決策動作相同才可以執(zhí)行正確動作，這需要二者接收到相同的反饋信息。出口并聯(lián)時分為3種情況:①同串聯(lián)模式下的情況①；②DNij一裝置能正常反饋信息，另一裝置失效且UPi對應反饋失效的裝置同時有收到其他下層站的反饋信息。因為并列運行下，只有UPiA和UPiB決策動作相同或者一個無決策，另一個進行決策才能夠執(zhí)行正確動作；③DNijA和DNijB均無法反饋信息。

當進行信息交換時，UPi不論出口串聯(lián)還是并聯(lián)，雙裝置接收到相同的反饋信息，DNij失效的故障樹模型相同，如附錄A圖A 6所示，有2種情況:①DNijA誤動或者DNij并列運行下DNijB誤動造成失效；②DNij無法反饋信息。

3.4 穩(wěn)控系統(tǒng)整體可靠性模型分析

根據以上各系統(tǒng)的可靠性分析，可以得到穩(wěn)控系統(tǒng)整體可靠性分析的故障樹模型，如附錄A圖A 7所示。由UPi的運行模式選擇對應的單元系統(tǒng)失效故障樹模型，再通過UPi裝置間是否進行信息交換，選擇DNij失效的故障樹模型來進行分析。

4 序貫蒙特卡洛可靠性仿真分析

4.1 方法介紹

蒙特卡洛仿真［20］是一種以概率和統(tǒng)計理論為核心，通過計算機仿真大量隨機物理過程，從而得到可靠性指標的一種方法。序貫蒙特卡洛仿真是模擬系統(tǒng)內裝置元件運行狀態(tài)隨時間序列的變化對系統(tǒng)的影響，來獲得系統(tǒng)具有時序特性的可靠性指標。

在采用序貫蒙特卡洛仿真時，需要通過裝置元件的失效率λ與修復率μ，以及產生的隨機數(shù)來確定各裝置元件的時序狀態(tài)轉移過程。將各裝置元件的時序狀態(tài)通過“與”“或”的邏輯關系進行合并，從而得到系統(tǒng)的時序狀態(tài)轉移過程，進而可以得到系統(tǒng)的可靠性指標。在仿真中，假定元件的正常工作時間和故障維修時間分別為服從負指數(shù)分布的隨機變量t1和t2，則t1和t2的取值按式（3）進行抽樣。

式中:ε1和ε2均為［0，1］間均勻分布的隨機數(shù)。

以UPi站兩裝置在主輔運行模式下，基礎單元系統(tǒng)上層站失效的分析過程為例進行說明，如附錄B圖B1所示。首先，依照元件的故障率和修復率，由式（3）分別模擬出UPiA和UPiB的軟、硬件拒動和誤動時的時序狀態(tài)轉移過程。然后，根據設置的故障樹模型，通過穩(wěn)控系統(tǒng)各組成裝置的邏輯關系耦合得到上層站運行狀態(tài)的時序狀態(tài)及其失效的情況。最后，由該狀態(tài)圖計算可靠性指標，分析失效的原因。圖B1中:1表示誤動；0表示正常運行。

4.2 仿真流程圖

基于故障樹的序貫蒙特卡洛仿真流程如下:①輸入系統(tǒng)基礎信息，確定系統(tǒng)初始狀態(tài)，通常均為正常運行；②確定仿真的最大時長和步長；③根據式（3）和元件的故障率和修復率得到各底層事件在仿真時間內的時序狀態(tài)變化；④依照故障樹模型，由底事件的狀態(tài)變化推導出整個系統(tǒng)在最大仿真時間內的狀態(tài)變化序列；⑤多次仿真，得到平均值，計算系統(tǒng)可靠性指標。

單次序貫蒙特卡洛仿真流程如圖4所示。其中，Tmax為最大仿真時間。

5 仿真實例

以復奉特高壓直流送端瀘復穩(wěn)控系統(tǒng)架構［21］進行仿真，如圖5所示。按照上述模型和分析方法，分別比較瀘州站在主輔、并列并聯(lián)運行模式時，有無信息交換4種情況下瀘復穩(wěn)控系統(tǒng)架構的可靠性。

圖5 瀘州-復龍穩(wěn)控系統(tǒng)架構示意圖Fig.5 Schematic diagram of Luzhou-Fulong security and stability control system architecture

復龍站關注故障時四川電網總切除容量，相當于主站；瀘州站對切機容量進行分配，發(fā)送到二灘、瀑布溝電廠，相當于子站；二灘、瀑布溝電廠執(zhí)行切機命令，相當于執(zhí)行站。其中，主站為主輔運行且無信息交換模式；執(zhí)行站為并列運行、出口并聯(lián)。瀘州站既是主站到子站層的下層站，也是子站到執(zhí)行站層的上層站。因此，選擇將主站和執(zhí)行站的運行方式固定后，分析穩(wěn)控系統(tǒng)在瀘州站不同運行模式下的可靠性。這樣既可以全面體現(xiàn)該方法的仿真過程，又減少了大量的重復分析。

本文側重于對不同運行模式下穩(wěn)控系統(tǒng)架構可靠性的比較和規(guī)律性分析，在模型參數(shù)選取時存在一定假設。本文仿真假定為某型號穩(wěn)控裝置［7］，其裝置硬件失效率λYJ=5.93×10－6次/h；通信通道選擇為同步數(shù)字體系（SDH）單根光纖，依據文獻［22］其失效率λTX=13.92×10－6次/h；軟件失效率為λRJ=7.5×10－6次/h。假定硬件和軟件的拒動、誤動失效率相同，軟、硬件修復時間分別為12 h和24 h。底層事件各數(shù)據如附錄C表C1所示。準確數(shù)據還需要工程上大量應用統(tǒng)計后，分析處理得到。

經過多次仿真后得到瀘州站穩(wěn)控裝置在不同運行模式下瀘復穩(wěn)控系統(tǒng)架構的可靠性指標，仿真結果如圖6（a）所示。最大仿真時長為106h，不可靠度為最大仿真時長內系統(tǒng)失效時長所占比例。

從圖6（a）中可見，在進行信息交換的條件下，穩(wěn)控系統(tǒng)的可靠性會大大增強；同時，針對該系統(tǒng)，控制子站在主輔運行模式下的可靠性要高于并列運行出口并聯(lián)。

在穩(wěn)控系統(tǒng)失效時，由序貫蒙特卡洛仿真的特點可以判斷出各站穩(wěn)控裝置以及裝置間的通信通道是否正常。通過故障樹模型可以分析出系統(tǒng)失效的原因，得到對穩(wěn)控系統(tǒng)可靠性影響較大的部分。以瀘州站在主輔交換信息運行模式下為例，說明引起系統(tǒng)失效的不同故障情況占比，如圖6（b）所示。

圖6 仿真結果Fig.6 Simulation results

由圖6（b）可知，該情況下主站至子站以及子站至執(zhí)行站下層失效是引起系統(tǒng)故障的主要原因，占比達到76.78%。各裝置設備失效的時長如圖6（c）所示。在該運行模式下，通信通道的故障對裝置可靠性幾乎無影響，故沒有標示其數(shù)據?？梢娧b置的誤動是造成系統(tǒng)失效的重要原因。對復龍站?瀘州站層，兩站均為主輔運行模式，主運裝置誤動是系統(tǒng)失效的主要原因；對瀘州站?執(zhí)行站（二灘、瀑布溝）層，由于下層站采用并列并聯(lián)模式，故雙裝置中任何一個誤動都會使系統(tǒng)失效。

6 結語

本文依照穩(wěn)控系統(tǒng)的架構以及運行模式的特點，提出了通過故障樹模型，采用序貫蒙特卡洛仿真分析穩(wěn)控系統(tǒng)可靠性的方法。該方法將穩(wěn)控系統(tǒng)的可靠性按層分析，分為主站層到子站層、子站層到執(zhí)行層的可靠性。并以裝置硬件、軟件失效和通信通道故障為底層失效事件，分別建立上層站在不同運行模式下層間失效故障樹模型。最后，利用序貫蒙特卡洛法進行仿真，對穩(wěn)控系統(tǒng)可靠性求解。

提出的按層分析方法以及建立的層間故障樹分析模型對不同的穩(wěn)控系統(tǒng)都有一定適用性，可建立區(qū)域穩(wěn)控系統(tǒng)可靠性分析的統(tǒng)一模型。在此基礎上，通過序貫蒙特卡洛法進行仿真分析，可以比較選擇出最為適合該系統(tǒng)的穩(wěn)控裝置運行模式，這給穩(wěn)控系統(tǒng)架構設計和運行模式的選擇提供了理論支撐。同時，該方法可以通過模擬系統(tǒng)長時間的運行過程，發(fā)現(xiàn)對穩(wěn)控系統(tǒng)可靠性影響較大的裝置和設備，這也給系統(tǒng)的運行維護和故障預防指出了重點方向。

穩(wěn)控系統(tǒng)可靠性的分析角度眾多，本文僅考慮了較為常見的運行模式以及簡單的數(shù)據交換。數(shù)據交換所帶來的穩(wěn)控系統(tǒng)復雜度變化，以及隨著特高壓交直流電網的發(fā)展，未來穩(wěn)控系統(tǒng)還可能會出現(xiàn)多數(shù)表決等其他運行模式，都可在此基礎上進一步研究，分析它們對穩(wěn)控系統(tǒng)可靠性的影響。

附錄見本刊網絡版（http：//www.aeps-info.com/aeps/ch/index.aspx），掃英文摘要后二維碼可以閱讀網絡全文。