基于故障樹分析法（FTA）的阿爾塔什水利樞紐電氣二次系統可靠性設計

姜 睿

（新疆水利水電勘測設計研究院有限責任公司，新疆 烏魯木齊 830000）

0 引言

電氣二次系統是水電站的“大腦與神經”，其所包含的計算機監控系統、繼電保護系統、通信系統等環節對電力生產與水利調度起著至關重要的作用。隨著我國信息化與數字化進程的不斷推進，水力發電廠計算機技術也不斷發展進步，電氣二次系統功能越發完備和全面，采用新技術、新設備對水利工程項目的設備與管理進行現代化和智能化建設已是歷史發展的必然趨勢，但隨著計算機通信網絡和自動裝置的大量采用，也使系統內控制保護設備及通信網絡的數據交互日漸龐大、系統結構愈發復雜，影響其穩定性的故障環節也呈現增多趨勢。水電站、大壩、水庫作為重要的基礎設施，其監視、控制及保護系統的可靠性關乎生產安全與社會穩定，在此背景之下，探究電氣二次系統的可靠性設計的分析與研究具有非常重要的現實意義。

阿爾塔什水利樞紐工程作為國家“十三五”期間的重大項目之一，是國家172項節水供水重大項目之一，同時也是目前新疆規模最大的水利樞紐工程，是具有防洪、灌溉和發電等綜合利用任務的控制性水利樞紐工程[1]。工程水庫總庫容22.49億m3，灌溉控制面積630.89萬畝，工程同時具有主電站及生態流量電站，總裝機容量755 MW，主電站廠房內裝設4臺175 MW水輪發電機組，發電機變壓器組合方式為單元接線，升壓站電壓等級為220 kV，采用雙母線接線，母線配置有220 kV并聯電抗器，出線5回。生態電站裝設2臺額定功率27.5 MW水輪發電機組，發電機變壓器組合方式為單元接線，升壓站電壓等級為220 kV，采用單母線接線，出線1回至主電站220 kV升壓站。

阿爾塔什水利樞紐具有“一庫兩站”的特點，其電氣二次系統按照“無人值班（少人值守）”原則配置，具有系統復雜、設備數量多、系統接口多的特點，擔負著監視、控制、保護樞紐各部生產環節的重大使命，若電氣二次系統因其自身故障或自然人為災害破壞失效，將引發更加嚴重的次生災害后果，因而其可靠性需要高度關注，在設計中有必要對電氣二次系統的可靠性進行研究。

1 可靠性理論及可靠性工程應用

可靠性是指系統或設備產品在規定條件下和規定時間內完成規定功能的能力[2]。隨著科技高速發展，技術裝備日趨復雜，其目標是提高技術裝備的效能，然而越復雜的設備，其失效概率就越大。若系統的復雜性對裝備可靠性最終造成了負面影響，則裝備的復雜性也就變得毫無意義?？煽啃岳碚撚?0世紀30年代由此起源，初期被應用于機械維修領域的研究，收到良好效果，隨著科學技術不斷進步及可靠性理論的迅速發展，可靠度研究已推廣到機電、建筑等工程行業，形成了可靠性工程。

可靠性工程是提高系統在整個壽命周期內可靠性的有關設計、分析、試驗的工程技術。通過可靠性理論的應用，可提高工程結構和工程系統抵御自然災害和人為災害的能力，已廣泛應用于航天軍工、電力系統、結構工程、通信工程等交叉學科領域的研究，并各自總結出一套保證元件及系統有效完成其預定功能的科學方法[2]。目前系統工程可靠性分析常用的方法主要有馬爾可夫模型法、蒙特卡洛模型法、故障樹分析法（FTA）、FMEA方法等。

蒙特卡洛法主要理論基礎是概率統計理論，主要手段是隨機抽樣及統計試驗[3]；馬爾可夫模型是一種基于一組具有馬爾可夫性質的離散隨機變量集合的統計模型；這兩種方法需要較多的數學支撐與試驗數據，水電站二次系統是一個由多個部件構成的特定控制系統，難以通過試驗來獲得其失效時間的分布，從而無法對其進行可靠度的判定。由于各組成部分及各子系統的失效對整個系統的失效造成直接的影響，因而可將各部件及各子系統的失效概率作為評估系統失效的依據。因此，電站二次系統可靠性研究的核心問題，就轉化成了電力二次系統可靠性與部件可靠性的關聯，及其對部件性能的影響。

目前故障樹分析（FTA）被廣泛應用于各大工程領域的系統安全性與可靠性分析，用以理解系統發生故障的原因，并尋找減少風險的最佳方法，或確定某個安全事故或某個系統發生故障的概率，其研究成果還可應用于復雜系統的風險辨識。

2 故障樹可靠性分析方法

故障樹分析（FTA）是一種特殊的因果關系圖，它用邏輯門（與門、或門等）和規定符號描述系統中各事件間的因果關系，邏輯門的輸入事件是因，輸出事件是果[3]。

故障樹分析（FTA）是一類以與門、或門等邏輯門及指定的符號來刻畫系統內所有事件關聯的因果聯系圖，故障樹從不希望出現的初始事件開始，根據可能的系統事件而得到一系列的最終結果。FTA分析法多遵循以下步驟進行：

(1)給出對系統失效進行分析的指標，作為FTA的頂部事件。

(2)建立基于頂部事件的系統失效樹。

(3)在此基礎上，通過對故障樹整體極小割集和最小路集的計算，對所有的故障類型進行定量分析，并對各個基礎事件的重要性進行分析，從而實現對故障的定性分析。

(4)求解最大事故的出現幾率、各個基礎事故的概率重要性以及各個基礎事故的重要性，完成事故樹的量化分析。

通過故障樹分析法，綜合考慮水電站內機械、電氣、通風等多個專業工作流程及其對應的電氣二次系統內的控制、保護原理，分別對信號采集、通信、處理、執行進行可靠性分析，同時還需考慮系統部件或元件失效對系統造成的可靠性下降。在可靠性理論中，根據技術系統組件之間的連接與幾何圖形相似的特點分為串聯系統、并聯系統、旁聯系統、串-并聯系統、并-串聯系統和M/N（G）表決系統等。根據各控制系統原理圖，繪制可靠性框圖并將其簡化為可靠性等效圖，進而可將其轉化為可靠性數學模型，水電站內控制系統的方式有多種，必須依據具體的系統選型分析其可靠性，為方便處理，假設各元件壽命均服從參數為λ的指數分布，其元件可靠度為R0（t），失效率為F0（t），則常見系統可靠性等效圖及其可靠度數學函數見圖1。

圖1 可靠性等效圖及其可靠度數學函數

水電站電氣二次系統的可靠與否，不僅依賴于各個部件的可靠度，還依賴于部件間的邏輯關系。為了確定整個系統的可靠度指標，需對造成該系統失效的部件進行分析計算。通過擬定出分析對象的簡圖，對維持系統可靠度所需的組元數量及其組合進行分析，可得出該系統的可靠度指數。以水輪發電機組功率、頻率調節系統為例，作為水力發電廠電能生產的核心調節指標，上位機對于水輪發電機組的功率、頻率的調節分別通過勵磁系統及調速系統完成，其簡化的系統原理框圖見圖2。

圖2 功率、頻率調節系統原理框圖

根據其系統原理框圖、相關的系統組成及環節可知功率與頻率調節由勵磁系統及調速系統各自完成，向上接受機組監控系統發出指令，最終作用于水輪發電機組，勵磁系統及調速系統并無功能替代關系，因此其總體可靠性結構為串聯結構，簡化合并各環節后，得出其串聯結構可靠性等效框圖見圖3。

圖3 功率、頻率調節系統串聯結構可靠性等效圖

由可靠性框圖可表明，使系統正常運行時哪些元件或設備必須工作，哪些元件和設備可以退出，此處引出一個可靠性設計概念，如果某一元件或設備發生故障而導致系統失靈，這一元件稱作最弱故障點。根據功率、頻率調節串聯結構特性可知，其系統可靠度為各單元可靠度之積，只要其各單元可靠度不為100%，則其系統可靠度低于各單元可靠度。假定其各環節可靠度均為99%，則該系統可靠度R(t)=0.996=0.941，即其功率、頻率調節可靠度為94.1%，且采集、傳輸、勵磁控制、調速控制、監控系統、執行元件均為最弱故障點，顯然對于水力發電廠最重要的調節控制指標而言，若使用串聯結構其可靠度是不能夠令人滿意的。

任何系統的可靠性，取決于他們組件的可靠性，實際應用中由于各組件的生產廠家已對其設備開展了可靠性設計，所以實際連接結構并不是簡單系統，多為混合連接，其中主要為串-并聯系統及并-串聯系統，由可靠性理論可知，只要系統中單元的可靠度不為1，并-串聯系統的可靠度高于串-并系統，以此為出發點，對功率、頻率調節系統各環節進行冗余設計，可得到優化后的功率、頻率調節系統并-串聯結構可靠性等效圖見圖4。

圖4 功率、頻率調節系統冗余設計后并-串聯結構可靠性等效圖

圖5 冗余設計后繼電保護系統串-并聯結構可靠性等效圖

根據功率、頻率調節并-串聯結構特性可知，只要其各單元可靠度不為1，則其系統可靠度高于各單元可靠度。假定其各環節可靠度均為99%，則該系統可靠度R(t)={1-[1-R0(t)]2}6={1-[1-0.99]2}6=0.999 4，即其功率、頻率調節系統可靠度為99.94%，且無最弱故障點，顯然使用并-串聯結構其可靠度得到顯著提升。

在實際配置中，電氣二次系統內各控制單元由于其功能及配置需求特性不同，并非都適合采用并-串聯結構，如繼電保護系統為防止雙套故障，更適宜采用串-并聯結構。

對于機械系統、電路系統和自動控制系統設備及裝置而言，較多采用最簡單的2/3（G）表決系統[1]，水電站內防水淹廠房水位信號判別單元組件要求3個信號器2臺發信即判別為有效，也是典型的2/3（G）表決系統。其可靠性等效圖見圖6。

圖6 防水淹廠房水位信號2/3表決系統可靠性等效圖

圖7 阿爾塔什水利樞紐工程防水淹廠房緊急關閉系統示意圖

本文僅對水電站功率、頻率調節系統的可靠性進行了研究，并簡單舉例了繼保系統及防水淹廠房信號系統，其他類型可根據相同的原理與方法進行分析。

3 可靠性設計方法與實現

當控制保護回路較復雜時，可能因為一個或是多個子系統失效而讓整個電氣二次系統失效，因此需通過系統可靠性設計降低系統整體失效的可能性。系統的可靠性設計是指在系統設計階段遵循系統工程規范的基礎上，在事先就考慮系統可靠性諸多因素影響，采用以提高系統可靠性為目的的設計技術和措施，預先采用系統抗災抗干擾等措施，從而滿足系統可靠性要求的設計方法。

水電站電氣二次系統中，多系統及組部件的組成方式多為混聯結構，提高各子系統的可靠性是提高整個系統可靠性的主要途徑，其總體思路是通過在各子系統或組件加設旁聯結構或并聯結構，從而構成比單一結構更加可靠的并-串結構或串-并結構，通過可靠性設計消除最弱故障點。

可靠性設計可以分為兩個出發點，第一個就是“完美性設計”，盡量在各個環節保障最終產品的完美，但由于設備及組件的自限性，系統不可能完美無缺，即100%可靠度并不真實存在，因而需要考慮可靠性設計第二個出發點，即 “容錯設計”，提前考慮若系統出現問題應如何應對。通過采用逆向的容錯設計，先判斷可能導致故障事件的組件或環節，進而分析故障事件的檢測方法、隔離措施以及安全防護措施等。對于阿爾塔什水利樞紐而言，其電氣二次系統主要的關鍵環節和可靠性設計主要總結為以下幾個方面。

（1）針對軟硬件故障進行關鍵部位冗余設計

系統結構冗余：主電站及生態電站實時控制區網絡結構采用冗余設計，網絡型式上組成了雙星型網，傳輸介質采用了雙路單模光纖，接入系統的主機實時檢測冗余網絡的狀態，并及時由故障部分網絡切換到冗余的正常網絡[4]。主電站及生態電站的廠站層關鍵設備，如數據采集服務器、通信服務器均采用冗余設備，設備工作在熱備狀態，單臺設備故障或維護時不影響系統的正常工作。主電站及生態電站與省網調度中心及地網調度中心均采用冗余通信設備和通信通道。各LCU與主控級網絡之間的網絡通信設備、通信通道也采用冗余設計。

系統配置冗余：現地LCU中可編程控制器采用雙CPU、雙CPU熱備方式運行時相互之間采用心跳檢測，在線運行的備用控制器同步接收數據，一旦主控制器出現故障，備用控制器立即執行控制任務，并與主用控制器之間采用內存映射技術同步內存中的數據，使整個系統的控制流程不會發生停頓，控制指令也不會重復或遺漏[4]?，F地LCU同時配置雙機架背板、雙I/O總線、雙電源模塊、雙通信模塊等冗余設計，構成高可靠性現地控制系統。主電站及生態電站主控級的UPS電源采用冗余技術，給具備冗余電源模塊的主控級設備或機柜分別供電?，F地控制單元供電電源采用冗余方式，采用雙高頻開關電源、雙電源切換器、雙供電母線設計為LCU控制設備CPU、機架供電，采用獨立的直流電源為水機保護PLC供電。對機組水力機械事故，除了在LCU 的雙套主控制器中設置機組電氣事故停機功能、水力機械事故停機功能，另外還配置了獨立的水力機械事故停機PLC及其配套電源及繼電器回路，構建冗余的自動保護功能?；赑LC的水機后備保護可以方便的通過編程實現各種保護邏輯，同時其信號采集能力強，事故信號的開入、開出均由相關模件完成，并且可以有效防止外部自動化元件信號抖動造成的誤動作，依靠PLC的自診斷及通信功能，通過雙網卡將之與監控系統上位機相連接，便可實現水機后備保護裝置其本身的運行狀態監測，并將相關信息記錄于歷史數據庫，便于事故分析[5]。運用先進的計算機網絡技術，克服了傳統繼電器回路水機后備保護的可靠性較低、可擴展性差、可追憶性差等局限性，適應了智能化潮流發展。

控制調節冗余：對機組有功、無功、轉速調節采用功能冗余設計，勵磁、調速器均采用雙套完全獨立的、并聯冗余容錯結構控制器，兩套系統采用雙機在線熱備用運行方式，兩套調節器同時接收輸入的控制與調節信號并執行操作與調節，但只有處于工作狀態的有輸出信號和觸發脈沖，一旦工作調節器發生故障則備用調節器自動投入運行，兩套系統的采樣、控制回路完全獨立，實現無擾動切換。

繼電保護冗余：作為電氣二次系統最后一道防線，對于電氣事故等嚴重故障，主要電氣設備如發電機、主變壓器、220 kV GIS升壓站、220 kV線路等均采用了雙重化保護冗余設計，各雙重配置的繼電保護裝置的電壓、電流及控制信號通過完全獨立的回路采集自不同的互感器或裝置，并作用于各自獨立的斷路器跳、合閘線圈，形成了前述串-并聯系統，提升了繼電保護系統的可靠度。同時雙重化配置的保護裝置采用不同廠家產品，有效避免因制造廠商家族化故障導致的雙套同時失效。

信息采集冗余：為了避免重要信號在采樣環節出錯而導致控制策略的錯誤執行，在計算機監控系統和現地智能設備設計時，各機組現地LCU分別使用主控SOE模板及水利保護獨立PLC SOE模板同步采集發變組繼電保護裝置的電氣事故停機信號，并從不同的DO開出板卡輸出跳GCB、跳直流滅磁開關信號至雙路跳閘回路[5]，形成重要繼保信號的冗余。監控系統采用功率變送器和交流采樣裝置兩種類型的元器件對機組的有功功率、無功功率進行采集，獲取定子電壓、定子電流、轉子電流、轉子電壓、功率因數等關鍵信息，對于機組勵磁信息及調速器導葉信號，現地控制設備均采用雙路配置，機組LCU也采用雙路檢測，兩組信號互為驗證，保證重要電氣信息的不間斷冗余輸入。機組測溫系統所采集的機組軸瓦及定子RTD溫度傳感器，采用雙支路配置，一路采集至主控PLC的RTD溫度采集回路，一路采集進機組LCU配置的溫度巡檢裝置，同時獨立的水機后備保護PLC溫度采集回路同步采集對稱配置的軸瓦及定子RTD溫度傳感器和上層定子繞組RTD溫度傳感器，如果同一軸承的任意2個RTD溫度同時超標，監控系統將執行減負荷、事故停機，形成重要軸瓦的溫度保護的冗余[4]。滲漏排水及檢修排水的水位信號分別采用壓力式液位傳感器和投入式液位開關，監控系統分別采集開關量及模擬量兩種不同原理的水位信號，互為驗證，實時監視和報警，同時在電站廠房最低層要設置不少于3套水位信號器，當同時有2套水位信號器第二上限信號動作時，作用于緊急事故停機，避免出現集水井水位過高造成水淹廠房事故或誤動作[5]。

（2）針對網絡安全攻擊進行防范攻擊能力設計

2010年伊朗核電站“震網”病毒事件打破了封閉系統“絕對安全”的神話，需針對網絡安全攻擊及內網不安全行為進行可靠性設計，其中分為靜態防御及動態管控兩個方式。

靜態防御：阿爾塔什水利樞紐計算機監控系統按照“安全分區、網絡專用、橫向隔離、縱向認證”的方針部署了電力專用安全設備和通用安全設備，具備完善的柵格狀電力監控系統安全防護靜態防御體系。主電站及生態電站的生產控制大區與調度數據網的縱向連接處設置有電力專用縱向加密認證裝置，實現雙向身份認證、數據加密及訪問控制[6]；生產控制大區主干網A、B套交換機部署有入侵檢測系統（IDS）以及日志審計系統，在生產控制大區和管理信息大區之間還部署了經國家指定部門檢測認證的惡意代碼防護裝置以及電力專用橫向單向安全隔離裝置[7]；安全Ⅰ區與安全Ⅱ區、安全III區與互聯網之間存在數據通信或交換需求處還部署有硬件防火墻。

動態管控：為進一步貫徹網絡安全事件“事中發現處置、事后審計分析”的設計原則，阿爾塔什水利樞紐計算機監控系統在設計中，在主電站及生態電站的涉網區域安全Ⅰ、Ⅱ區各部署一臺網絡安全監測裝置，由網絡安全監測裝置通過連接計算機監控系統主干控制網A、B套交換機和調度專網交換機，采集電廠涉網部分各服務器、工作站、網絡設備和安全防護設備的操作信息、運行信息及安全事件，并將告警信息轉發至調度端網絡安全管理平臺[6]，將網絡安全監測關口前移到主機設備，在網絡接觸發生之時、攻擊條件建立之前，發現風險位置并進行阻斷，防止形成事實的危害，保障樞紐監控系統安全，實現了全站計算機監控系統網絡安全的動態管控，阻斷各種形式的網絡攻擊行為，維持樞紐計算機監控系統安防體系的強健性。

（3）針對核心控制系統癱瘓進行防災備份設計

為吸取國內外如俄羅斯薩揚水電站“8.17”水淹廠房事故的經驗教訓，作為全站二次系統癱瘓時的防災備份，應用旁聯結構原理，全站配置獨立的防水淹廠房緊急關閉系統作為全站計算機監控系統癱瘓時的防災備份系統。系統要求能夠在監控系統發生故障或者水淹廠房的情況下，主電站及生態電站值班人員仍然能在任一電站的中控室及機旁通過獨立于監控系統硬布線回路，完成事故閘門緊急關閉及機組緊急停機操作[1]。通過在主電站和生態電站的中控室設置緊急關閉按鈕、在兩站機旁部署防水淹廠房控制柜中設置事故閘門緊急關閉按鈕，在緊急情況下值班人員可以在任一中控室及機旁區域通過緊急關閉按鈕直接作用機組LCU水機保護回路與事故閘門啟閉機控制回路，實現值班人員在任一中控室完成事故閘門緊急關閉及機組緊急停機操作，保持對大壩閘門設備、機組流道及其他重要設備的控制[1]。

4 結語

通過文中分析對比可知，實施可靠性設計的電氣二次系統的可靠性顯著提高，隨著數字化、信息化的不斷推進以及水利數字孿生建設，控制系統的安全穩定要求將越來越高，隨著系統本身的復雜程度不斷增加以及外部影響因素的日益變化，加強可靠性理論在水利水電工程的電氣二次系統中應用的研究具有重要的現實意義。阿爾塔什水利樞紐工程6臺機組已全部并網發電，其主電站在一個月內實現4臺機組高質量并網投產發電，機組運行期間各項試驗數據及運行參數均優于標準要求，全站電氣二次系統運行穩定動作可靠，系統設計與實施過程中的可靠性分析及設計應用，為后續其他新建工程的設計及已建工程，提供了可行的分析手段及設計思路，具有一定參考意義。