冗余技術(shù)在DCS平臺應(yīng)用分析

王征勇　陳偉

【摘 要】冗余是DCS高可靠性設(shè)計中常用的一種技術(shù)，是提高系統(tǒng)可靠性最有效的方法之一。本文簡要說明了冗余技術(shù)的原理，以福清核電1、2號機組DCS IA平臺中供電、網(wǎng)絡(luò)通訊、控制器、工作站/服務(wù)器、時鐘等方面的冗余技術(shù)應(yīng)用和設(shè)計特點，結(jié)合個人調(diào)試、維修經(jīng)驗，從中歸納總結(jié)出冗余的幾項關(guān)鍵技術(shù)要求。

【關(guān)鍵詞】冗余；可靠性；故障檢測；時鐘同步

中圖分類號： TJ765 文獻標識碼： A 文章編號： 2095-2457（2018）36-0193-003

DOI：10.19694/j.cnki.issn2095-2457.2018.36.082

0 概述

高可靠性是過程控制系統(tǒng)的第一要求。冗余技術(shù)是DCS系統(tǒng)設(shè)計中常采用的一種技術(shù)，是提高DCS系統(tǒng)可靠性最有效方法之一。為了達到高可靠性和低失效率相統(tǒng)一的目的，我們通常會在控制系統(tǒng)的設(shè)計和應(yīng)用中采用冗余技術(shù)。合理的冗余設(shè)計將大大提高系統(tǒng)的可靠性，本文簡述冗余技術(shù)在福清核電1、2號機組DCS IA平臺的應(yīng)用，從而驗證了冗余技術(shù)的重要性。

1 冗余技術(shù)

冗余技術(shù)就是增加多余的設(shè)備，以保證系統(tǒng)更加可靠、安全地工作。按照冗余的程度可分為1：1冗余、1：2冗余、1：n冗余等多種。在當前元器件可靠性不斷提高的情況下，和其它形式的冗余方式相比，1：1的部件級熱冗余是一種有效而又相對簡單、配置靈活的冗余技術(shù)實現(xiàn)方式，如I/O卡件冗余、電源冗余、主控制器冗余等。因此，目前國內(nèi)外主流的過程控制系統(tǒng)中大多采用了這種方式。當然，在某些局部設(shè)計中也有采用元件級或多種冗余方式組合的成功范例。

2 冗余應(yīng)用

2.1 電源系統(tǒng)冗余

電源做為設(shè)備的動力源，是設(shè)備能正常工作的前提。為使控制系統(tǒng)能夠安全、可靠、長期、穩(wěn)定地運行，必須要保證電源的穩(wěn)定性。故重要的設(shè)備和系統(tǒng)都要求經(jīng)過多組電源同時冗余供電。在福清核電1、2號機組DCS IA平臺中用到以下兩種電源冗余方式：

熱備冗余：2路電源經(jīng)過一個電源切換控制器后輸出一路電源，當一路電源故障失去時，控制器將自動切換到另一路供電，從而實現(xiàn)電源冗余。此類切換過程會造成短暫的失電，為確保設(shè)備和系統(tǒng)不受影響保持正常運行，對電源切換控制器切換的時間要求非常嚴格，基本都在10ms以內(nèi)。IA的工作站、服務(wù)器都使用此種方式，2路220V電源經(jīng)過電源切換控制器供電，實現(xiàn)供電冗余。

熱供冗余：兩路冗余電源以并聯(lián)方式，同時給下游設(shè)備供電。此類方式消除了熱備冗余切換過程中短暫失電的弊端。為防止并聯(lián)的2路熱供電源間產(chǎn)生電勢差造成回流，2路電源的正極一般都經(jīng)過二級管單向?qū)Я?。DCS控制柜中給電磁閥供電的外部48V電源，均使用熱供冗余方式。

DCS系統(tǒng)電源冗余設(shè)計時，必須根據(jù)所用電源的功率、可靠性、空開和電纜額定電流以及系統(tǒng)所規(guī)定的最短無故障時間等參數(shù)考慮電源個數(shù)、結(jié)構(gòu)等。

所有的DCS系統(tǒng)的供電基本上都是冗余設(shè)計，冗余降低了非計劃性失去一路電源的風(fēng)險，在提高系統(tǒng)持續(xù)運行的穩(wěn)定性外，還保證了上游一路供電電源試驗或維護時，DCS系統(tǒng)能繼續(xù)正常運行。

2.2 通訊網(wǎng)絡(luò)冗余

通訊網(wǎng)絡(luò)是DCS的基礎(chǔ)骨架，所有DCS都是一種基于網(wǎng)絡(luò)的分層、分布式機構(gòu)，其配置的優(yōu)劣和可靠性直接影響到DCS系統(tǒng)性能。通訊接口、載體（光纖、網(wǎng)線）等硬件故障率高的特點，要求必須使用冗余技術(shù)，提高網(wǎng)絡(luò)的可靠性，才能確保DCS系統(tǒng)穩(wěn)定運行。

福清核電1、2號DCS IA平臺的MESH網(wǎng)絡(luò)，采用樹形拓撲結(jié)構(gòu)。房間級、機組級和全廠級的三層交換機中都設(shè)有A、B兩列冗余交換機。FCP控制器經(jīng)冗余A、B通訊網(wǎng)接入A、B列上游冗余交換機中。整個MESH網(wǎng)滿足多點容錯功能。

2.3 控制器冗余

DCS系統(tǒng)控制器基本都采取了冗余配置。兩塊互為冗余的控制器配置完全相同，具有相同的操作系統(tǒng)、組態(tài)軟件、控制信息。在冗余邏輯電路的控制下，主控制器處于運行控制狀態(tài)，另一個控制器處在熱備狀態(tài)。

IA平臺的FCP控制器使用容錯技術(shù)。主FCP負責(zé)與I/O卡件數(shù)據(jù)通訊，進行邏輯運算和控制，同時將信息同步給從FCP，使主、從FCP的組態(tài)軟件數(shù)據(jù)時刻保持一致。FCP具有故障自檢功能，冗余的FCP對之間建有故障信息傳遞和故障判斷機制，當前主FCP故障時，當前從FCP立即接手成為主FCP執(zhí)行控制功能，從而實現(xiàn)無擾切換和無延滯切換。FCP具有在線熱更換功能，當其中一塊FCP故障時，可直接拔除，更換新的FCP。新更換的FCP將自動同步當前主FCP的組態(tài)軟件和系統(tǒng)配置信息。

2.4 I/O卡件冗余功能

為降低I/O卡件故障導(dǎo)致信號采集斷開的風(fēng)險，重要的I/O點都設(shè)冗余配置?；旧纤械腄CS系統(tǒng)都可以實現(xiàn)I/O冗余。福清核電1、2號機組DCS IA平臺的I/O冗余卡件主要用到FBM204、208等模擬量采集卡件和FBM231、233等第三方通訊接口卡件。

模擬量采集卡件FBM204、FBM208的冗余設(shè)計方式為：FBM的底板上有一通訊線，用于交換兩個模塊的狀態(tài)信息，并且確定邏輯上的主從關(guān)系。兩個FBM都正常時，首先上電的FBM為主，另一個為從。兩個模塊都從現(xiàn)場設(shè)備采集數(shù)據(jù)并實時更新，但是FCP只從主FBM讀取數(shù)據(jù)。FBM具有自診斷功能，當主采集FBM故障時，發(fā)送一個故障信息給FCP，F(xiàn)CP自動從另外一塊FBM讀取數(shù)據(jù)。

第三方通訊接口卡件FBM231、FBM233的冗余設(shè)計方式為：FBM背板上有一通訊線，用于交換兩個模塊的狀態(tài)信息，并且確定邏輯上的主從關(guān)系。兩個FBM都正常時，首先上電的FBM為主，另一個為從。兩個模塊都從現(xiàn)場設(shè)備接收數(shù)據(jù)，但是FCP只從主FBM讀取數(shù)據(jù)，F(xiàn)CP同時發(fā)送數(shù)據(jù)給主從FBM，兩個FBM都將數(shù)據(jù)傳遞給現(xiàn)場設(shè)備?，F(xiàn)場設(shè)備必須每隔一段時間發(fā)送一個“故障診斷信號”給FBM，F(xiàn)BM以此判斷現(xiàn)場設(shè)備的狀態(tài)。初始時，兩個FBM都管理一張內(nèi)容一致的設(shè)備列表，當其中一個FBM的設(shè)備列表項減少時，說明該FBM有通訊故障，需要解決。通訊故障的FBM將置于故障狀態(tài)，不再參與信號采集和控制功能。

2.5 GPS時鐘冗余

福清核電1、2號機組DCS IA平臺也配置了冗余的GPS時鐘。1、2號機組的1MTKHC和2BTKHC工作站裝有GPS時鐘通訊卡，分別接收1路GPS時鐘源，作為1、2號機組KCP系統(tǒng)的冗余的GPS時鐘服務(wù)器。工作站和服務(wù)器通過網(wǎng)絡(luò)時間協(xié)議（NTP）同步主時鐘服務(wù)器的時鐘，精度達到ms級。控制器的GPS時鐘通過光纖直接同步時鐘服務(wù)器的GPS時鐘。2臺冗余的時鐘服務(wù)器經(jīng)HUB將GPS時鐘信號分發(fā)送到有IA控制柜的每個電氣房間中的一個控制器機柜，控制柜間再經(jīng)過光纜相互傳遞GPS時鐘信號。每個電氣房間形成2路冗余的GPS時鐘鏈。

2.6 工作站/服務(wù)器冗余

福清核電1、2號機組DCS IA平臺設(shè)置了30多臺工作站和服務(wù)器，根據(jù)不同的功能劃分，分擔(dān)一層的所有功能需求。其中一層的和二層交接處理服務(wù)器，設(shè)置有冗余的A、B列，每一列可獨立起到完整處理和傳遞一二層數(shù)據(jù)的功能。正常來說，2-3臺工作站/服務(wù)器就可以冗余實現(xiàn)一層的功能，但是實際中卻使用多臺實現(xiàn)，主要原因為：將所有功能軟件高密度安裝于同一臺服務(wù)器上，將影響服務(wù)器處理性能，降低響應(yīng)時間；不同系統(tǒng)和工作場合要求獨立的工作站/服務(wù)器，以滿足日常操作、和維護工作。

3 控制系統(tǒng)冗余的關(guān)鍵技術(shù)

冗余是一種高級的可靠性設(shè)計技術(shù)，1：1熱冗余也就是所謂的雙重化，是其中一種有效的冗余方式，但它并不是兩個部件簡單的并聯(lián)運行，而是需要硬件、軟件、通訊等協(xié)同工作來實現(xiàn)。將互為冗余的兩個部件構(gòu)成一個有機的整體，通常包括以下多個技術(shù)要點：

3.1 信息同步技術(shù)

信息同步是主、備用部件之間實現(xiàn)無擾動（Bumpless）切換技術(shù)的前提，只有按控制實時性要求進行高速有效的信息同步，保證主、備用部件步調(diào)一致地工作，才能實現(xiàn)冗余部件之間的無擾動切換。如容錯的2個FCP間，主FCP實現(xiàn)系統(tǒng)的數(shù)據(jù)采集、運算、控制輸出等功能；同時實時將數(shù)據(jù)更新、同步給從FCP，從而2個FCP的軟件信息時刻保持一致。

3.2 故障檢測技術(shù)

為了保證系統(tǒng)在出現(xiàn)故障時及時將冗余部分投入工作，必須有高精確的在線故障檢測技術(shù)，實現(xiàn)故障發(fā)現(xiàn)、故障定位、故障隔離和故障報警。故障檢測包括電源、微處理器、數(shù)據(jù)通訊鏈路、數(shù)據(jù)總線及I/O狀態(tài)等。其中故障診斷包括故障自診斷和故障互檢（主、備用卡件之間的相互檢查）。

3.3 高速切換

在發(fā)現(xiàn)當前主設(shè)備故障后，備用設(shè)備必須快速、無擾動地接替故障設(shè)備的職能，對現(xiàn)場控制不造成任何影響。同時要求切換時間應(yīng)為毫秒級，甚至是微秒級，這樣就不會因為該部件的故障而造成外部控制對象的失控或檢測信息失效等

3.4 故障報警

冗余技術(shù)確保單一故障發(fā)生時，系統(tǒng)能夠繼續(xù)正常的工作外。還需要及時將故障信息作為報警信號觸發(fā)出來，以便通知工程師及時檢修維護，恢復(fù)冗余性。如上述提到的福清核電1、2號機組DCS IA平臺的冗余應(yīng)用，在設(shè)備發(fā)生故障時均能在一層系統(tǒng)監(jiān)測站（SMON）中觸發(fā)報警信息。一層DCS工程師通過日常巡檢查看SMON狀態(tài)，可及時發(fā)現(xiàn)和檢修故障設(shè)備。

3.5 熱檢修技術(shù)

為了保證容錯系統(tǒng)具有高可靠性，必須盡量減少系統(tǒng)的平均修復(fù)時間MTBR。要做到這一點，在設(shè)計上應(yīng)努力提高單元的獨立性、可修復(fù)性、故障可維護性。實現(xiàn)故障部件的在線維護和更換也是冗余技術(shù)的重要組成部分，它是實現(xiàn)控制系統(tǒng)故障部件快速修復(fù)技術(shù)的關(guān)鍵。部件的熱插拔功能可以在不中斷系統(tǒng)正常控制功能的情況下增加或更換組件，使系統(tǒng)平穩(wěn)地運行。如IA系統(tǒng)的FBM和FCP均能熱插拔檢修。

4 結(jié)束語

冗余技術(shù)普遍運用于DCS系統(tǒng)，但不同的DCS廠家基于本身平臺特點以及采購方的技術(shù)要求，冗余設(shè)計會有差異，包括冗余設(shè)備的范圍和冗余程度。采購方在選擇DCS平臺以及考慮冗余配置時，需要結(jié)合電廠運行地可靠性和經(jīng)濟性綜合考慮，同時需重點關(guān)注文中提到的幾項關(guān)鍵的冗余技術(shù)。

【參考文獻】

[1]查方興，I/A Series系統(tǒng)及應(yīng)用，上海：?？怂共_有限公司，2009.

[2]Thomas Keith，DCS NC/CN+電源單線圖，美國：英維思公司，2012.

[3]Jelena Yeo，福清核電1、2號機組NC/NC+系統(tǒng)設(shè)計圖紙，美國：英維思公司，2013.