王征勇　陳偉

【摘 要】冗余是DCS高可靠性設(shè)計(jì)中常用的一種技術(shù)，是提高系統(tǒng)可靠性最有效的方法之一。本文簡要說明了冗余技術(shù)的原理，以福清核電1、2號(hào)機(jī)組DCS IA平臺(tái)中供電、網(wǎng)絡(luò)通訊、控制器、工作站/服務(wù)器、時(shí)鐘等方面的冗余技術(shù)應(yīng)用和設(shè)計(jì)特點(diǎn)，結(jié)合個(gè)人調(diào)試、維修經(jīng)驗(yàn)，從中歸納總結(jié)出冗余的幾項(xiàng)關(guān)鍵技術(shù)要求。

【關(guān)鍵詞】冗余；可靠性；故障檢測；時(shí)鐘同步

中圖分類號(hào)： TJ765 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2018）36-0193-003

DOI：10.19694/j.cnki.issn2095-2457.2018.36.082

0 概述

高可靠性是過程控制系統(tǒng)的第一要求。冗余技術(shù)是DCS系統(tǒng)設(shè)計(jì)中常采用的一種技術(shù)，是提高DCS系統(tǒng)可靠性最有效方法之一。為了達(dá)到高可靠性和低失效率相統(tǒng)一的目的，我們通常會(huì)在控制系統(tǒng)的設(shè)計(jì)和應(yīng)用中采用冗余技術(shù)。合理的冗余設(shè)計(jì)將大大提高系統(tǒng)的可靠性，本文簡述冗余技術(shù)在福清核電1、2號(hào)機(jī)組DCS IA平臺(tái)的應(yīng)用，從而驗(yàn)證了冗余技術(shù)的重要性。

1 冗余技術(shù)

冗余技術(shù)就是增加多余的設(shè)備，以保證系統(tǒng)更加可靠、安全地工作。按照冗余的程度可分為1：1冗余、1：2冗余、1：n冗余等多種。在當(dāng)前元器件可靠性不斷提高的情況下，和其它形式的冗余方式相比，1：1的部件級(jí)熱冗余是一種有效而又相對(duì)簡單、配置靈活的冗余技術(shù)實(shí)現(xiàn)方式，如I/O卡件冗余、電源冗余、主控制器冗余等。因此，目前國內(nèi)外主流的過程控制系統(tǒng)中大多采用了這種方式。當(dāng)然，在某些局部設(shè)計(jì)中也有采用元件級(jí)或多種冗余方式組合的成功范例。

2 冗余應(yīng)用

2.1 電源系統(tǒng)冗余

電源做為設(shè)備的動(dòng)力源，是設(shè)備能正常工作的前提。為使控制系統(tǒng)能夠安全、可靠、長期、穩(wěn)定地運(yùn)行，必須要保證電源的穩(wěn)定性。故重要的設(shè)備和系統(tǒng)都要求經(jīng)過多組電源同時(shí)冗余供電。在福清核電1、2號(hào)機(jī)組DCS IA平臺(tái)中用到以下兩種電源冗余方式：

熱備冗余：2路電源經(jīng)過一個(gè)電源切換控制器后輸出一路電源，當(dāng)一路電源故障失去時(shí)，控制器將自動(dòng)切換到另一路供電，從而實(shí)現(xiàn)電源冗余。此類切換過程會(huì)造成短暫的失電，為確保設(shè)備和系統(tǒng)不受影響保持正常運(yùn)行，對(duì)電源切換控制器切換的時(shí)間要求非常嚴(yán)格，基本都在10ms以內(nèi)。IA的工作站、服務(wù)器都使用此種方式，2路220V電源經(jīng)過電源切換控制器供電，實(shí)現(xiàn)供電冗余。

熱供冗余：兩路冗余電源以并聯(lián)方式，同時(shí)給下游設(shè)備供電。此類方式消除了熱備冗余切換過程中短暫失電的弊端。為防止并聯(lián)的2路熱供電源間產(chǎn)生電勢差造成回流，2路電源的正極一般都經(jīng)過二級(jí)管單向?qū)Я?。DCS控制柜中給電磁閥供電的外部48V電源，均使用熱供冗余方式。

DCS系統(tǒng)電源冗余設(shè)計(jì)時(shí)，必須根據(jù)所用電源的功率、可靠性、空開和電纜額定電流以及系統(tǒng)所規(guī)定的最短無故障時(shí)間等參數(shù)考慮電源個(gè)數(shù)、結(jié)構(gòu)等。

所有的DCS系統(tǒng)的供電基本上都是冗余設(shè)計(jì)，冗余降低了非計(jì)劃性失去一路電源的風(fēng)險(xiǎn)，在提高系統(tǒng)持續(xù)運(yùn)行的穩(wěn)定性外，還保證了上游一路供電電源試驗(yàn)或維護(hù)時(shí)，DCS系統(tǒng)能繼續(xù)正常運(yùn)行。

2.2 通訊網(wǎng)絡(luò)冗余

通訊網(wǎng)絡(luò)是DCS的基礎(chǔ)骨架，所有DCS都是一種基于網(wǎng)絡(luò)的分層、分布式機(jī)構(gòu)，其配置的優(yōu)劣和可靠性直接影響到DCS系統(tǒng)性能。通訊接口、載體（光纖、網(wǎng)線）等硬件故障率高的特點(diǎn)，要求必須使用冗余技術(shù)，提高網(wǎng)絡(luò)的可靠性，才能確保DCS系統(tǒng)穩(wěn)定運(yùn)行。

福清核電1、2號(hào)DCS IA平臺(tái)的MESH網(wǎng)絡(luò)，采用樹形拓?fù)浣Y(jié)構(gòu)。房間級(jí)、機(jī)組級(jí)和全廠級(jí)的三層交換機(jī)中都設(shè)有A、B兩列冗余交換機(jī)。FCP控制器經(jīng)冗余A、B通訊網(wǎng)接入A、B列上游冗余交換機(jī)中。整個(gè)MESH網(wǎng)滿足多點(diǎn)容錯(cuò)功能。

2.3 控制器冗余

DCS系統(tǒng)控制器基本都采取了冗余配置。兩塊互為冗余的控制器配置完全相同，具有相同的操作系統(tǒng)、組態(tài)軟件、控制信息。在冗余邏輯電路的控制下，主控制器處于運(yùn)行控制狀態(tài)，另一個(gè)控制器處在熱備狀態(tài)。

IA平臺(tái)的FCP控制器使用容錯(cuò)技術(shù)。主FCP負(fù)責(zé)與I/O卡件數(shù)據(jù)通訊，進(jìn)行邏輯運(yùn)算和控制，同時(shí)將信息同步給從FCP，使主、從FCP的組態(tài)軟件數(shù)據(jù)時(shí)刻保持一致。FCP具有故障自檢功能，冗余的FCP對(duì)之間建有故障信息傳遞和故障判斷機(jī)制，當(dāng)前主FCP故障時(shí)，當(dāng)前從FCP立即接手成為主FCP執(zhí)行控制功能，從而實(shí)現(xiàn)無擾切換和無延滯切換。FCP具有在線熱更換功能，當(dāng)其中一塊FCP故障時(shí)，可直接拔除，更換新的FCP。新更換的FCP將自動(dòng)同步當(dāng)前主FCP的組態(tài)軟件和系統(tǒng)配置信息。

2.4 I/O卡件冗余功能

為降低I/O卡件故障導(dǎo)致信號(hào)采集斷開的風(fēng)險(xiǎn)，重要的I/O點(diǎn)都設(shè)冗余配置?；旧纤械腄CS系統(tǒng)都可以實(shí)現(xiàn)I/O冗余。福清核電1、2號(hào)機(jī)組DCS IA平臺(tái)的I/O冗余卡件主要用到FBM204、208等模擬量采集卡件和FBM231、233等第三方通訊接口卡件。

模擬量采集卡件FBM204、FBM208的冗余設(shè)計(jì)方式為：FBM的底板上有一通訊線，用于交換兩個(gè)模塊的狀態(tài)信息，并且確定邏輯上的主從關(guān)系。兩個(gè)FBM都正常時(shí)，首先上電的FBM為主，另一個(gè)為從。兩個(gè)模塊都從現(xiàn)場設(shè)備采集數(shù)據(jù)并實(shí)時(shí)更新，但是FCP只從主FBM讀取數(shù)據(jù)。FBM具有自診斷功能，當(dāng)主采集FBM故障時(shí)，發(fā)送一個(gè)故障信息給FCP，F(xiàn)CP自動(dòng)從另外一塊FBM讀取數(shù)據(jù)。

第三方通訊接口卡件FBM231、FBM233的冗余設(shè)計(jì)方式為：FBM背板上有一通訊線，用于交換兩個(gè)模塊的狀態(tài)信息，并且確定邏輯上的主從關(guān)系。兩個(gè)FBM都正常時(shí)，首先上電的FBM為主，另一個(gè)為從。兩個(gè)模塊都從現(xiàn)場設(shè)備接收數(shù)據(jù)，但是FCP只從主FBM讀取數(shù)據(jù)，F(xiàn)CP同時(shí)發(fā)送數(shù)據(jù)給主從FBM，兩個(gè)FBM都將數(shù)據(jù)傳遞給現(xiàn)場設(shè)備?，F(xiàn)場設(shè)備必須每隔一段時(shí)間發(fā)送一個(gè)“故障診斷信號(hào)”給FBM，F(xiàn)BM以此判斷現(xiàn)場設(shè)備的狀態(tài)。初始時(shí)，兩個(gè)FBM都管理一張內(nèi)容一致的設(shè)備列表，當(dāng)其中一個(gè)FBM的設(shè)備列表項(xiàng)減少時(shí)，說明該FBM有通訊故障，需要解決。通訊故障的FBM將置于故障狀態(tài)，不再參與信號(hào)采集和控制功能。

2.5 GPS時(shí)鐘冗余

福清核電1、2號(hào)機(jī)組DCS IA平臺(tái)也配置了冗余的GPS時(shí)鐘。1、2號(hào)機(jī)組的1MTKHC和2BTKHC工作站裝有GPS時(shí)鐘通訊卡，分別接收1路GPS時(shí)鐘源，作為1、2號(hào)機(jī)組KCP系統(tǒng)的冗余的GPS時(shí)鐘服務(wù)器。工作站和服務(wù)器通過網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）同步主時(shí)鐘服務(wù)器的時(shí)鐘，精度達(dá)到ms級(jí)?？刂破鞯腉PS時(shí)鐘通過光纖直接同步時(shí)鐘服務(wù)器的GPS時(shí)鐘。2臺(tái)冗余的時(shí)鐘服務(wù)器經(jīng)HUB將GPS時(shí)鐘信號(hào)分發(fā)送到有IA控制柜的每個(gè)電氣房間中的一個(gè)控制器機(jī)柜，控制柜間再經(jīng)過光纜相互傳遞GPS時(shí)鐘信號(hào)。每個(gè)電氣房間形成2路冗余的GPS時(shí)鐘鏈。

2.6 工作站/服務(wù)器冗余

福清核電1、2號(hào)機(jī)組DCS IA平臺(tái)設(shè)置了30多臺(tái)工作站和服務(wù)器，根據(jù)不同的功能劃分，分擔(dān)一層的所有功能需求。其中一層的和二層交接處理服務(wù)器，設(shè)置有冗余的A、B列，每一列可獨(dú)立起到完整處理和傳遞一二層數(shù)據(jù)的功能。正常來說，2-3臺(tái)工作站/服務(wù)器就可以冗余實(shí)現(xiàn)一層的功能，但是實(shí)際中卻使用多臺(tái)實(shí)現(xiàn)，主要原因?yàn)椋簩⑺泄δ苘浖呙芏劝惭b于同一臺(tái)服務(wù)器上，將影響服務(wù)器處理性能，降低響應(yīng)時(shí)間；不同系統(tǒng)和工作場合要求獨(dú)立的工作站/服務(wù)器，以滿足日常操作、和維護(hù)工作。

3 控制系統(tǒng)冗余的關(guān)鍵技術(shù)

冗余是一種高級(jí)的可靠性設(shè)計(jì)技術(shù)，1：1熱冗余也就是所謂的雙重化，是其中一種有效的冗余方式，但它并不是兩個(gè)部件簡單的并聯(lián)運(yùn)行，而是需要硬件、軟件、通訊等協(xié)同工作來實(shí)現(xiàn)。將互為冗余的兩個(gè)部件構(gòu)成一個(gè)有機(jī)的整體，通常包括以下多個(gè)技術(shù)要點(diǎn)：

3.1 信息同步技術(shù)

信息同步是主、備用部件之間實(shí)現(xiàn)無擾動(dòng)（Bumpless）切換技術(shù)的前提，只有按控制實(shí)時(shí)性要求進(jìn)行高速有效的信息同步，保證主、備用部件步調(diào)一致地工作，才能實(shí)現(xiàn)冗余部件之間的無擾動(dòng)切換。如容錯(cuò)的2個(gè)FCP間，主FCP實(shí)現(xiàn)系統(tǒng)的數(shù)據(jù)采集、運(yùn)算、控制輸出等功能；同時(shí)實(shí)時(shí)將數(shù)據(jù)更新、同步給從FCP，從而2個(gè)FCP的軟件信息時(shí)刻保持一致。

3.2 故障檢測技術(shù)

為了保證系統(tǒng)在出現(xiàn)故障時(shí)及時(shí)將冗余部分投入工作，必須有高精確的在線故障檢測技術(shù)，實(shí)現(xiàn)故障發(fā)現(xiàn)、故障定位、故障隔離和故障報(bào)警。故障檢測包括電源、微處理器、數(shù)據(jù)通訊鏈路、數(shù)據(jù)總線及I/O狀態(tài)等。其中故障診斷包括故障自診斷和故障互檢（主、備用卡件之間的相互檢查）。

3.3 高速切換

在發(fā)現(xiàn)當(dāng)前主設(shè)備故障后，備用設(shè)備必須快速、無擾動(dòng)地接替故障設(shè)備的職能，對(duì)現(xiàn)場控制不造成任何影響。同時(shí)要求切換時(shí)間應(yīng)為毫秒級(jí)，甚至是微秒級(jí)，這樣就不會(huì)因?yàn)樵摬考墓收隙斐赏獠靠刂茖?duì)象的失控或檢測信息失效等

3.4 故障報(bào)警

冗余技術(shù)確保單一故障發(fā)生時(shí)，系統(tǒng)能夠繼續(xù)正常的工作外。還需要及時(shí)將故障信息作為報(bào)警信號(hào)觸發(fā)出來，以便通知工程師及時(shí)檢修維護(hù)，恢復(fù)冗余性。如上述提到的福清核電1、2號(hào)機(jī)組DCS IA平臺(tái)的冗余應(yīng)用，在設(shè)備發(fā)生故障時(shí)均能在一層系統(tǒng)監(jiān)測站（SMON）中觸發(fā)報(bào)警信息。一層DCS工程師通過日常巡檢查看SMON狀態(tài)，可及時(shí)發(fā)現(xiàn)和檢修故障設(shè)備。

3.5 熱檢修技術(shù)

為了保證容錯(cuò)系統(tǒng)具有高可靠性，必須盡量減少系統(tǒng)的平均修復(fù)時(shí)間MTBR。要做到這一點(diǎn)，在設(shè)計(jì)上應(yīng)努力提高單元的獨(dú)立性、可修復(fù)性、故障可維護(hù)性。實(shí)現(xiàn)故障部件的在線維護(hù)和更換也是冗余技術(shù)的重要組成部分，它是實(shí)現(xiàn)控制系統(tǒng)故障部件快速修復(fù)技術(shù)的關(guān)鍵。部件的熱插拔功能可以在不中斷系統(tǒng)正?？刂乒δ艿那闆r下增加或更換組件，使系統(tǒng)平穩(wěn)地運(yùn)行。如IA系統(tǒng)的FBM和FCP均能熱插拔檢修。

4 結(jié)束語

冗余技術(shù)普遍運(yùn)用于DCS系統(tǒng)，但不同的DCS廠家基于本身平臺(tái)特點(diǎn)以及采購方的技術(shù)要求，冗余設(shè)計(jì)會(huì)有差異，包括冗余設(shè)備的范圍和冗余程度。采購方在選擇DCS平臺(tái)以及考慮冗余配置時(shí)，需要結(jié)合電廠運(yùn)行地可靠性和經(jīng)濟(jì)性綜合考慮，同時(shí)需重點(diǎn)關(guān)注文中提到的幾項(xiàng)關(guān)鍵的冗余技術(shù)。

【參考文獻(xiàn)】

[1]查方興，I/A Series系統(tǒng)及應(yīng)用，上海：?？怂共_有限公司，2009.

[2]Thomas Keith，DCS NC/CN+電源單線圖，美國：英維思公司，2012.

[3]Jelena Yeo，福清核電1、2號(hào)機(jī)組NC/NC+系統(tǒng)設(shè)計(jì)圖紙，美國：英維思公司，2013.