1概述
随着科学技术的发展，电厂过程控制理论的成熟，控制仪表制造工艺的不断改良，分散分布式控制系统（ddcs）在电厂的广泛应用，电厂过程控制的程序化、模块化、智能化、调节参数的自整定、故障的自诊断报警等，无不为机组过程控制的优化提供极大的便利。正常运行中对仪表的维护量已经降到极点。方便的人机界面、直观的过程显示，使操作员与生产过程控制的联络更方便、更直观。
人们关注的焦点已经集中到ddcs的安全性，担心一旦整个ddcs故障，那是灾难性的。这种担心是很正常的，这也是设计阶段尤其要考虑的问题。对于控制水平较高的电厂，控制系统的可利用率、可靠性指标已成为评估电厂性能的主要因素之一。
2监控系统安全常用基本概念
2.1故障率λ：指部件或系统发生故障的频率。它不是常数，取决于部件的使用运行时间，对环境条件很敏感。在部件使用寿命期间，故障率曲线类似浴缸。
2.2可靠性r：指系统或部件在特定的工作环境，在给定时间内不发生故障的概率
2.3平均*时间mtbf：指系统或部件正常工作，*的平均时间间隔。是故障率的倒数。即：mtbf=1/λ
2.4下均查找故障时间mttd：指从系统或部件发生故障到找出故障的时间。（由于系统有自诊断功能，对于大多数主要部件
来说，一般可不考虑该时间。）
2.5平均修复时间mttr：指从找出故障到修复的时间。
2.6平均停用时间mtd：从发生故障到修复的时间。mdt=mttd+mttr
2.7即时可用率a（t）：指部件或系统在特定运行环境下，在某时*运行的概率。
2.8渐进可用率a：指部件或系统平均*时间与总过程时间（*时间+停用时间）之比。a=mtbf／（mtbf+mdt）
2.9即时不可用率u（t）：指部件或系统在特定运行环境下，在某时不工作的概率。它是a（t）的补数。即u（t）=i-a（t）
2.10渐近不可用率u：指部件或系统平均不工作时间与总过程时间之比。它是a的补数u=mdt／（mtbf+mdt）=l-a
3可靠性计算基本结构：
3.1串联结构：
设两部件c1、c2的故障率分别为λ1、λ2
则：λ0＝λ1+λ2；mtbf0＝1/（λ1+λ2）
若λ1＝10mtbf1＝11.4；
λ2＝100mtbf2＝1.14
则λ0＝110mtbf0＝1.04
上述计算说明，在串联结构中，故障率zui高的部件，对结构的可靠性起着支配作用。因此，如果结构中存在一个或几个故障率高的部件，那么即使选择的其它部件再可靠，也不能明显改变系统的可靠性。
3.2并联（冗余）结构：
如图2所示：
并联配置结构有2个或多个部件（一般为2个），只有其中1个实现系统功能，其它的处于热备用状态。
并联结构一般只用于较重要的控制单元、通讯总线、耦合器、过程操作员站、服务器等。
3.2.1不带热维修冗余结构：
即一块模件故障时，不进行维修，直到所有并联模件故障，系统停止工作，才去处理。
设两模件故障率分别为λ1、λ2
则1/λ0＝1/λ1+1/λ2-1/（λ1+λ2）
λ0＝（λ1+λ2）/（1+λ1/λ2+λ2/λ1）
若λ1＝10λ2＝100
则λ0＝9.9mtbf0＝11.5
上述分析表明，系统的可靠性主要取决于故障率低的模件。
3.2.2带热维修的冗余结构：
即借助于ddcs的自诊断及报警功能，及时发现并在线更换故障的模件。可大大提高冗余结构的可靠性。
设部件的故障率分别为λ1λ2
则λ0＝2λ1*λ2*mdtmtbf0＝1/2λ1*λ2*mdt
若λ1＝10,λ2＝100,mdt＝6小时
则λ0＝0.012mtbf0＝9513
上面分析结果表明，只要有备件，维修人员能够正确掌握模件的组态方法及更换程序（决定了mdt），及时更换故障部件整个冗余结构的
可靠性指标会大大提高。在整个使用寿命期，冗余结构不会影响系统的运行。
3.3串-并联结构
如图3所示：
在串-并联结构中，串联部件g3的故障率应远小于c1、c2的故障率。否则，g3也应采用冗余结构。才能使整个回路的可靠性得到保证。
3.3.1不带热维修的串-并联结构
设部件的故障率分别为c1、g2、g3，由前面计算结果可得出：
λ0＝（λ1+λ2）/（1+λ1/λ2+λ2/λ1）+λ3
若λ1＝10,λ2＝100,λ3＝1,
则λ0＝10.9，mtbf0＝10.5
3.3.2带热维修的串-并联结构
由前面的计算结果可得出：λ0＝2λ1*λ2*mde+λ3由于带热维修并联结构的故障率2λ1*λ2*mde很低，因此与串联部件c3相比，2λ1*λ2*mdt*可以忽略。
因此得出：λ0≈λ3
如λ1＝10,λ2＝100,λ3＝1,（mtbf3＝114.2），mtd＝6小时
则λ0＝1.012≈1，mtbf0＝112.8≈114.2
由上述分析表明：串-并联结构的故障率主要取决与串联部件，冗余并联部件部分的故障率可忽略不计。这种结构在控制回路中应用较多。上面仅对三种较简单的结构进行了分析计算，其实ddcs远比这些结构复杂得多。类似于顺序控制的梯形图。相互交叉连接较多，但对于交叉连接较少的配置部分来说，上述三种结构的计算结果是十分有效的。对于复杂的系统配置，光采用上述三种结构调整是无能为力的。就要采用马尔可夫模型进行计算，它是分析复杂控制系统可靠性强有力的工具。但也有其缺点，即状态数是按指数增加的。如系统有n个部件组成，则其状态数可达到2n个。而一个ddcs其部件数达到数百上千个，如果仍采用马而可夫模型计算系统的可靠性，则其工作量是可想而知的。因此，对于仅用于定性分析系统配置的可靠性、比较系统配置方案来说，也是没有必要的。
对于定性分析复杂控制系统的可靠性，就是要尽量简化系统的复杂性，充分利用上述简单的计算方法。减少问题复杂性的方法就是系统结构的分解。即把复杂系统划分成易于分析计算的若干个子系统（一般以过程站为单位划分）。分别解决这些子系统，把各子系统答案与可靠性方块图结合，就能容易计算出整个复杂系统的可靠性指标。
4系统可靠性、可利用率分析：
监控制系统的可靠性及可利用率是电厂性能评价的一个重要因素。它直接关系到机组能否长期稳定经济运行。下面结合德国abb-k生产的procontrol-p控制仪表，分析监控系统的可靠性、可利用率。
如图4是过程站不带冗余的系统zui小配置。
如图5是冗余过程站的系统zui小配置。
procontrol-p的特点如下：
①等级结构：即机组控制级；协调选择、切换控制级；驱动级控制级。
②分散结构：所有重要的驱动器及执行器的控制由独立的控制模件完成。
③分割结构：将控制任务分配给几个独立的控制模件或控制站。
④分布原理：将硬件从物理上分布到若干不同的过程站或机柜中。
⑤故障自诊断、报警。
⑥预设置故障后果。
现根据图4、图5分别对系统的三大组成部分进行可靠性分析。
4.1入机接口（man-machineinterface）
入机接口是操作员与控制过程联络交换信息的通道。其配置方式均为冗余配置。mmi的运行，仅降低系统的冗余度。它由2台服务器及连接器（n+1冗余）两个彼此独立的局域网lan及网间连接桥。4台操作员终端组成。
●每两台操作员终端分配给一台服务器，每台服务器通过连接器与远程总线相接。这样，一台服务器或连接器故障，只要对应的lan及桥正常运行，不影响4台终端的正常运行，只降低冗余度。
●如果一台服务器故障，且同侧的lan或连接桥故障，系统可正常运行。因为mmi是按100％冗余配置。这种故障只降低系统的冗余度。在考虑配置方案时就认为2台操作员终端已能完成人机联络任务。
●一条lan故障，仅影响2台操作员终端，但并不影响人机接口的功能，只降低冗余度。
●如果桥故障，则mmi被分解成2个独立的mmi系统，每个系统1台服务器及2台操作员终端。mmi的全部功能及性能仍是有效的。这就意味着，实际上并不影响mmi系统的可靠性。
由于mmi的冗余配置，其可靠性从前面并联及串联结构的计算就可以看出。
只有出现下列故障时，才会妨碍mmi的运行。
（1）2台服务器故障
（2）1台服务器故障及另一侧的lan故障
（3）两条lan故障
（4）1台操作员终端及另一条lan故障，这样只剩1台操作员终端运行。
4.2远程总线（remotebus）
mmi是与过程站连接的钮带，是重要的数据高速公路。它在系统中的重要性是*位的，因此采用冗余配置。它直接与服务器及过程站连接。一条远程站故障不会影响系统的任何功能及性能。服务器或过程站故障也不会影响远程站的正常运行。因此其可靠性是十分高的。这从前面的并联结构的计算结果就可看出。
在正常分析时，*可以不考虑单独冗余的子系统的故障率。
4.3过程站（processstation）
一个过程站可容纳7个输入模件，13个控制模件，每个输入模件zui多可有16个数字或模拟信号，一个控制模件zui多可控制4个数字或模拟量过程参数。
4.3.1非冗余过程站
过程站总线通过冗余的连接器分别与冗余的远程总线相连，站总线两端通过终端模件接有浪涌阻抗，保证数据传输时没有反射，两个终端模件内置的dc／dc转换器是相互冗余的。阻抗的故障率可以忽略。终端模件的故障不会影响到站总线的可靠性。单个连接器故障，不会妨害连接器的运行。单条远程总线故障不会妨害连接器的运行。任何模件故障不会妨害站总线的运行。
4.3.2冗余过程站
冗余过程站由两个*相同的单元组成，互为热备用。这种配置方式适合于较重要的控制系统。激活站中任何模件故障，其任务自动由热备用站中的同一模件承担。每一个单元通过连接器与冗余的远程总线相连。因此，单条远程总线故障不会妨害整个单元的运行。每一个单元包含有一个冗余控制模件，负责监督模件的运行状态，功能的切换。
发生下列问题时，冗余过程站的仪-控功能丧失：
●输入或控制模件及激活单元连接器发生未检测到的故障。
●备用单元发生上述故障，而激活单元又发生故障。
●激活或热备用单元冗余控制模件未检测到的故障，而激活单元内又发生输入或控制模件或连接器故障。
根据对典型系统配置的以上简单分析，不难得出结论，系统的配置是十分可靠的，涉及到整个站、整个系统安全的部位都采用冗余配置，很容易满足系统正常运行的要求。即：
（1）控制回路运行不受限制
（2）控制回路至少受到两个过程操作员站的监督控制
通过对系统进行简单分割，计算各个部分的可利用率及故障率，再使用马而可夫模型对系统可靠性进行分析计算。为了简化计算，假设故障率小于维修率。mdt=6小时，计算结果如下：
注意：过程站均带4个控制回路。1个输入模件。
5.0结束语
虽然上面计算的只是单个过程站配置系统的安全指标，对于多个过程站来说，并不影响整个系统的安全性能，因为各站基本上是相对独立
的，对整个系统安全有重大影响的只有远程总线及人机接口，通过上面的表格可以看出，这两部分的故障率*可以忽略不计。只是要充分考虑总线的通讯负荷率。
只要根据控制仪表制造商提供的参数（事件、电文、字长）及机组要求的事故时zui大通讯事件数和常规通过总线交换的信息数量，就能求出通讯负荷率。一般不应超过40％。
计算中所使用的数据，是根据长期对控制仪表的数理统计、在理想的工作环境下测得的数据的结果为基础的。因此要保证系统的安全性能，必须确保理想的仪表工作环境，防止灰尘在模件上的积聚，防止高压干扰信号进入控制系统，提高维护人员的工作技能。