核安全级DCS系统的可用性评估方法和装置与流程

本发明涉及核电安全控制的技术领域，尤其涉及一种核安全级dcs系统的可用性评估方法和装置。

背景技术：

核电相对于火电，凭借着对环保、发电量大等优势，得到了很好的发展，但是2011年的日本福岛核电站事故，让核电站安全问题成为一个非常关注的问题，所以对核电站仪控系统的设计过程中对安全因素有增加了多种考量。而核安全级数字仪控系统(digitalcontrolsystem，简称dcs)作为核电站的核心控制系统，而核安全级dcs系统的可用性，用以评估核安全级dcs系统故障及维修过程的指标；因此，核安全级dcs系统自身的可用性对整个核电站的安全也显得相当重要。

一种可能想到实现核安全级dcs系统自身的可用性的技术方案：采用马尔可夫方法进行评估核安全级dcs系统的可用性，具体地，马尔可夫理论计算方法包括：

1、确定系统状态：假设一个具有两个同样的、独立冗余部件所构成的系统，可能存在3种状态：状态0、两个部件都在工作，状态1、两个部件中的一个故障(故障率为λ)，并进行维修(维修率为μ)，状态2、两个部件都发生故障并处于维修。

2、确定转移矩阵：a)、从状态0至状态1：p01＝2λdt，b)、从状态1至状态0：p10＝μdt，c)、从状态1至状态2：p12＝λdt，d)、从状态2至状态1：p21＝μdt；对应的转移率如图1所示。根据这四种状态，确定bp(t)，其中矩阵b为：

3、解微分方程确定各个状态的失效率。

4、根据哪些状态可用的定义，确定最终的可用性。

但是发明人在实现本发明的过程中发现：核安全级dcs系统中最小可维修单元为板卡，板卡数量多，故障状态组合多；如果直接马尔可夫理论计算方法应用于核安全级dcs系统的可用性评估，必将导致马尔可夫状态很多，状态之间的转移概率很难确定，并且对于相应的微分方程不易收敛，绘制的状态图比较复杂。

另外，需要说明的是，上述技术方案仅仅是为了便于本领域技术人员更容易理解本发明，上述技术方案并非属于现有技术，而是发明人实现本发明的分析过程。

技术实现要素：

为了解决现有技术中马尔可夫理论计算方法应用于核安全级dcs系统的可用性评估中，存在的计算过程过于复杂等技术问题，本发明提供一种核安全级dcs系统的可用性评估方法和装置，通过利用故障树进行可用性评价，建模方法比较直观，便于评审，计算方法较为简单易于收敛，适合工程应用。

为了实现上述目的，本发明提供的技术方案包括：

本发明一方面提供一种核安全级dcs系统的可用性评估方法，其特征在于，包括：

以所述核安全级dcs系统不可用为顶事件，按照不可用判据，分析所述核安全级dcs系统的冗余结构和功能逻辑，自顶向下建立故障树；其中，当所述核安全级dcs系统在故障树中对应的子系统包括板卡时，在所述故障树中，所述子系统中各功能单元的最低层为板卡；

获取所述故障树中每个板卡的失效率参数和平均故障维修时间，并以所述板卡对应的功能单元的失效率和平均故障维修时间，再获取所述功能单元的可用性参数，并结合所述故障树中各功能单元的可用性、冗余结构和功能逻辑，分析所述核安全级dcs系统的可用性。

本发明实施例优选地，所述板卡的失效率由所述板卡中各个元器件失效率累加而成，所述平均故障维修时间可以根据实测或者提前预设。

本发明实施例优选地，上述方法还包括：确认导致所述核安全级dcs系统退出运行或导致误动影响电站的经济性的因素，并作为所述核安全级dcs系统不可用的判据。

本发明实施例优选地，上述方法中分析所述核安全级dcs系统的可用性包括：结合所述故障树中各功能单元的可用性、冗余结构和功能逻辑，进行所述核安全级dcs系统的可用性建模，并基于建模后的数学模型，分析所述核安全级dcs系统的可用性；并且所述数学模型中，如果一个板卡能够完成多个功能，则在所述数学模型和所述故障树中对应有多个不同的功能单元。

本发明第二方面还提供一种核安全级dcs系统的可用性评估装置，其特征在于，包括：

故障树建立单元，用于以所述核安全级dcs系统不可用为顶事件，按照不可用判据，分析所述核安全级dcs系统的冗余结构和功能逻辑，自顶向下建立故障树；其中，当所述核安全级dcs系统在故障树中对应的子系统包括板卡时，在所述故障树中，所述子系统中各功能单元的最低层为板卡；

系统可用性分析单元，用于获取所述故障树中每个板卡的失效率参数和平均故障维修时间，并以所述板卡对应的功能单元的失效率和平均故障维修时间，再获取所述功能单元的可用性参数，并结合所述故障树中各功能单元的可用性、冗余结构和功能逻辑，分析所述核安全级dcs系统的可用性。

本发明实施例优选地，所述系统可用性分析单元用于获取所述故障树中每个板卡的失效率参数和平均故障维修时间的方法包括：由所述板卡中各个元器件失效率累加而获取所述板卡的失效率，根据实测或者提前预设获取所述平均故障维修时间。

本发明实施例优选地，上述装置还包括：不可用判据确认单元，用于确认导致所述核安全级dcs系统退出运行或导致误动影响电站的经济性的因素，并作为所述核安全级dcs系统不可用的判据。

本发明实施例优选地，上述装置中分析所述核安全级dcs系统的可用性包括：结合所述故障树中各功能单元的可用性、冗余结构和功能逻辑，进行所述核安全级dcs系统的可用性建模，并基于建模后的数学模型，分析所述核安全级dcs系统的可用性；并且所述数学模型中，如果一个板卡能够完成多个功能，则在所述数学模型和所述故障树中对应有多个不同的功能单元。

本发明第三方面还提供一种系统可用性计算装置，其特征在于，包括：

存储器；

处理器；以及

计算机程序；

其中，所述计算机存储存储在所述存储器中，并配置为由所述处理器执行以实现如第一方面提供的上述方法中任一项所述的方法。

本发明第四方面还提供一种计算机可读存储介质，其特征在于，包括：其上存储有计算机程序；所述计算机程序被处理器执行以实现如第一方面提供的上述方法中任一项所述的方法。

采用本发明提供的上述技术方案可以至少获得以下有益效果中的一种：

1、与现有技术中的马尔可夫相比，本发明采用故障树分析方法，可以直接关注于故障事件对应的功能单元之间的逻辑关系，而不是转移概率，建模方法也比较直观，便于理解(例如便于评审)，并且对应的可用性计算方法也较为简单易于收敛，更加适用于工程应用。

2、由于发明人在实现本发明的过程中发现，板卡的失效率和平均故障维修时间等易于确定；因此，通过将故障树中各功能单元的最低层为板卡，也就能够更加易于确定整个核安全级dcs系统的可用性，而且还可以提高计算结果的准确性。

发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书变得显而易见，或者通过实施本发明的技术方案而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构和/或流程来实现和获得。

附图说明

图1为现有技术中马尔可夫方法的原理示意图。

图2为本发明实施例提供一种核安全级dcs系统的可用性评估方法的流程图。

图3为本发明另一实施例提供一种核安全级dcs系统的可用性评估方法的流程图。

图4为本发明实施例提供一种核安全级dcs系统不可用模型的结构示意图。

图5为本发明实施例提供一种核安全级dcs系统部分冗余模块的结构示意图。

图6为本发明实施例提供一种核安全级dcs系统的可用性评估装置的构成框图。

图7为本发明实施例提供一种系统可用性计算装置的构成框图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，这些具体的说明只是让本领域普通技术人员更加容易、清晰理解本发明，而非对本发明的限定性解释；并且只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。

另外，在附图的流程图示出的步骤可以在诸如一组控制器可执行指令的控制系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

下面通过附图和具体实施例，对本发明的技术方案进行详细描述：

实施例

如图2所示，本实施例提供一种核安全级dcs系统(英文全称digitalcontrolsysytem，数字化仪控系统，也称dcs系统)的可用性评估方法，该方法包括：

s110、以核安全级dcs系统不可用为顶事件，按照不可用判据，分析核安全级dcs系统的冗余结构和功能逻辑，自顶向下建立故障树；其中，当核安全级dcs系统在故障树中对应的子系统包括板卡时，在故障树中，子系统中各功能单元的最低层为板卡。

本实施例优选地，上述方法还包括：确认导致核安全级dcs系统退出运行或导致误动影响电站的经济性的因素，并作为核安全级dcs系统不可用的判据。

其中，以核安全级dcs系统的不可用是根据实际应用场景来确定，例如下面优选的实施方案中提及的：以核安全级dcs系统发生故障导致dcs系统退出运行或导致误动影响电站的经济性，作为系统不可用的判据。这里的dcs系统退出运行：是指dcs系统发生故障或者与电站规程相悖的情况下进入的一种状态，由操纵员进入停堆状态。系统误动，也是误停堆，停堆以后电厂将无法发电。当然本实施例不限于次，例如，不仅可以对整个dcs系统的可用i选哪个进行评估，还可以仅仅针对整个dcs系统中的某个子系统进行可用性进行评估；这样对应的不可用判据就是子系统不可用对应的要求。

其中，分析核安全级dcs系统的冗余结构和功能逻辑，即为了梳理dcs系统的功能关系，这样便于将对应的功能关系以故障树的形式展开。核安全级dcs系统按照完成的功能分为：反应堆停堆保护系统和专设安全设施保护系统，所谓的功能逻辑就是什么样的条件下启动停堆或者专设安全设施。核安全级dcs系统为了满足相应的准则要求，如单一故障准则，多设置冗余的系统完成相应的功能，具体如何冗余和产品的特点有关。如图5所示，为一种dcs系统中局部单元简单的示意，图5中可以看出四个通道的输入部分是冗余的，在处理单元要对冗余的信息进行冗余处理如2/3或者2/4，这些信息也是功能逻辑的一部分；处理和输出部分也是冗余的，一般在执行器侧有硬件的表决逻辑2/4。

s120、获取故障树中每个板卡的失效率参数和平均故障维修时间，并以板卡对应的功能单元的失效率和平均故障维修时间，再获取功能单元的可用性参数，并结合故障树中各功能单元的可用性、冗余结构和功能逻辑，分析核安全级dcs系统的可用性。

本实施例优选地，板卡的失效率由板卡中各个元器件失效率累加而成，平均故障维修时间可以根据实测或者提前预设。例如，失效率的获取在实际执行时需要通过fmea(一种分析软件的名称)分析，然后确定建立故障树时所用的失效模式对应的失效率；平均故障维修时间的获取方式：由于核电产品一般是模块化的，所以可以根据实测，或者合同约定(一般大于实测数据)。

本实施例优选地，上述方法中分析核安全级dcs系统的可用性包括：结合故障树中各功能单元的可用性、冗余结构和功能逻辑，进行核安全级dcs系统的可用性建模，并基于建模后的数学模型，分析核安全级dcs系统的可用性；并且数学模型中，如果一个板卡能够完成多个功能，则在数学模型和故障树中对应有多个不同的功能单元。

采用本实施例提供的故障树评估方法中：与现有技术中的马尔可夫相比，本发明采用故障树分析方法，可以直接关注于故障事件对应的功能单元之间的逻辑关系，而不是转移概率，建模方法也比较直观，便于理解(例如便于评审)，并且对应的可用性计算方法也较为简单易于收敛，更加适用于工程应用。

另外，本实施例提及的板卡是一种印制电路板，简称pcb板，制作时带有插芯，可以插入计算机的主电路板(主板)的插槽中，用来控制硬件的运行，比如显示器、采集卡等设备，安装驱动程序后，即可实现相应的硬件功能；所以也可以理解成i/o设备采集数据用的单元。由于板卡的失效率和平均故障维修时间等易于确定；因此，通过将故障树中各功能单元的最低层为板卡，也就能够更加易于确定整个核安全级dcs系统的可用性，而且还可以提高计算结果的准确性。

为了便于本领域技术人员更容易理解本实施例，下面以开发人员的角度对上述实施例进一步分析，本实施例提供的核安全级dcs系统的可用性评估方法，包括：

步骤一、明确分析对象，即明确核安全级dcs系统的冗余结构，功能逻辑。

步骤二、明确不可用的判据，例如，将核安全级dcs系统发生故障导致dcs系统退出运行或导致误动影响电站的经济性，作为系统不可用的判据。

步骤三、故障树建模，以系统不可用为顶事件，按照不可用判据，核安全级dcs系统不可用包括核安全级dcs系统故障导致电站不可用；然后自顶向下建立故障树，从子系统层到控制站再到板卡进行故障分析，最低层次到板卡。例如图4中，gt2这个表决门，就表示应用了4个通道有两个通道故障系统不可用的判据。

步骤四、获取板卡的基本可靠性数据，例如，明确板卡的失效率和平均故障维修时间。

步骤五、计算系统的可用性，其中，以功能逻辑为准，如果一个板卡完成多个功能，则同一个板卡出现在不同的单元，由故障树算法对这种事件进行处理。如图3所示，具体包括：

s210、板卡失效率(可诊断、不可诊断，由于板卡的失效有的可诊断，有的不可诊断，所以将失效率分为可诊断和不可诊断失效率)，可以直接通过软件可计算：计算原理包括：或门--失效率直接加；与门--可以采用现有技术中已知的通用公式，例如mttr＝4h、a＝1/(1+mttr*失效率)。

s220、功能单元失效率(可诊断、不可诊断)，以板卡失效率自下而上依次获取各功能单元的失效率。计算原理包括：

其中λ代表失效率，

s230、依据功能单元的失效率，确定功能单元的可用性，即依据失效率和预定的标准，确定该功能单元的可用性是否满足要求。例如：

其中λ代表失效率，mttr代表平均恢复时间，a代表可用性。

s240、基于各功能单元的可用性，进行可用性建模，计算dcs系统的可用性。

如图6所示，本实施例还提供一种核安全级dcs系统的可用性评估装置，该装置100包括：

故障树建立单元110，用于以核安全级dcs系统不可用为顶事件，按照不可用判据，分析核安全级dcs系统的冗余结构和功能逻辑，自顶向下建立故障树；其中，当核安全级dcs系统在故障树中对应的子系统包括板卡时，在故障树中，子系统中各功能单元的最低层为板卡；

系统可用性分析单元120，用于获取故障树中每个板卡的失效率参数和平均故障维修时间，并以板卡对应的功能单元的失效率和平均故障维修时间，再获取功能单元的可用性参数，并结合故障树中各功能单元的可用性、冗余结构和功能逻辑，分析核安全级dcs系统的可用性。

本实施例优选地，系统可用性分析单元120用于获取故障树中每个板卡的失效率参数和平均故障维修时间的方法包括：由板卡中各个元器件失效率累加而获取板卡的失效率，根据实测或者提前预设获取平均故障维修时间。

本实施例优选地，上述装置100还包括：不可用判据确认单元(未示出)，用于确认导致核安全级dcs系统退出运行或导致误动影响电站的经济性的因素，并作为核安全级dcs系统不可用的判据。

本实施例优选地，上述装置100中分析核安全级dcs系统的可用性包括：结合故障树中各功能单元的可用性、冗余结构和功能逻辑，进行核安全级dcs系统的可用性建模，并基于建模后的数学模型，分析核安全级dcs系统的可用性；并且数学模型中，如果一个板卡能够完成多个功能，则在数学模型和故障树中对应有多个不同的功能单元。

上述装置100在实施可用性评估过程中，其他相应的具体实施过程，可以与上述可用性评估方法相同，不再赘述。

如图7所示，本实施例还提供一种系统可用性计算装置，该装置包括：

存储器210；

处理器220；以及

计算机程序；

其中，计算机存储存储在存储器210中，并配置为由处理器220执行以实现如上述方法中任一项的可用性评估方法。

本实施例提供一种计算机可读存储介质，包括：其上存储有计算机程序；计算机程序被处理器执行以实现如上述方法中任一项的可用性评估方法。

采用本发明提供的上述技术方案可以至少获得以下有益效果中的一种：

1、与现有技术中的马尔可夫相比，本发明采用故障树分析方法，可以直接关注于故障事件对应的功能单元之间的逻辑关系，而不是转移概率，建模方法也比较直观，便于理解(例如便于评审)，并且对应的可用性计算方法也较为简单易于收敛，更加适用于工程应用。

2、由于发明人在实现本发明的过程中发现，板卡的失效率和平均故障维修时间等易于确定；因此，通过将故障树中各功能单元的最低层为板卡，也就能够更加易于确定整个核安全级dcs系统的可用性，而且还可以提高计算结果的准确性。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

最后需要说明的是，上述说明仅是本发明的最佳实施例而已，并非对本发明做任何形式上的限制。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围内，都可利用上述揭示的做法和技术内容对本发明技术方案做出许多可能的变动和简单的替换等，这些都属于本发明技术方案保护的范围。