冗余技術(shù)在核電站DCS平臺(tái)的應(yīng)用

楊 斌

（中核檢修有限公司陽江分公司）

1 引言

高可靠性是過程控制系統(tǒng)的第一要求。冗余技術(shù)是DCS系統(tǒng)設(shè)計(jì)中常采用的一種技術(shù)，是提高DCS系統(tǒng)可靠性最有效方法之一。為了達(dá)到高可靠性和低失效率相統(tǒng)一的目的，我們通常會(huì)在控制系統(tǒng)的設(shè)計(jì)和應(yīng)用中采用冗余技術(shù)。合理的冗余設(shè)計(jì)將大大提高系統(tǒng)的可靠性，本文簡述冗余技術(shù)在核電站DCS平臺(tái)的應(yīng)用，從而驗(yàn)證了冗余技術(shù)的重要性。

2 冗余技術(shù)

冗余技術(shù)就是增加多余的設(shè)備，以保證系統(tǒng)更加可靠、安全地工作。按照冗余的程度可分為1:1冗余、1:2冗余、1:n冗余等多種。在當(dāng)前元器件可靠性不斷提高的情況下，和其它形式的冗余方式相比，1:1的部件級(jí)熱冗余是一種有效而又相對(duì)簡單、配置靈活的冗余技術(shù)實(shí)現(xiàn)方式，如I/O卡件冗余、電源冗余、主控制器冗余等。因此，目前國內(nèi)外主流的過程控制系統(tǒng)中大多采用了這種方式。當(dāng)然，在某些局部設(shè)計(jì)中也有采用元件級(jí)或多種冗余方式組合的成功范例。

目前，DCS系統(tǒng)的部件級(jí)熱冗余通常采用并聯(lián)結(jié)構(gòu)，如圖1所示。只有當(dāng)組成系統(tǒng)的并聯(lián)部件全部失效時(shí)，系統(tǒng)才會(huì)停止工作。

圖1

如各個(gè)子設(shè)備的可靠度分別為R1，R2…Rn,則系統(tǒng)的可靠度Rs可以表示為：Rs=1-（1-R1）（1-R2）…（1-Rn）

假設(shè)并聯(lián)系統(tǒng)由可靠度為0.70的兩臺(tái)裝置組成，按并聯(lián)系統(tǒng)的可靠度計(jì)算公式可得可靠度為0.91，提高了0.21。

DCS控制系統(tǒng)冗余設(shè)計(jì)的目的：系統(tǒng)運(yùn)行不受局部故障的影響，而且故障部件的維護(hù)對(duì)整個(gè)系統(tǒng)的功能實(shí)現(xiàn)沒有影響，并可以實(shí)現(xiàn)在線維護(hù)，使故障部件得到及時(shí)的修復(fù)。冗余設(shè)計(jì)會(huì)增加系統(tǒng)設(shè)計(jì)的難度，冗余配置會(huì)增加用戶系統(tǒng)的投資，但這種投資換來了系統(tǒng)的可靠性。它提高了整個(gè)用戶系統(tǒng)的平均無故障時(shí)間，縮短了平均故障修復(fù)時(shí)間。因此，應(yīng)用在重要場合的控制系統(tǒng)，冗余是非常必要的。

3 冗余應(yīng)用

3.1 電源系統(tǒng)冗余

電源做為設(shè)備的動(dòng)力源，是設(shè)備能正常工作的前提。為使控制系統(tǒng)能夠安全、可靠、長期、穩(wěn)定地運(yùn)行，必須要保證電源的穩(wěn)定性。故重要的設(shè)備和系統(tǒng)都要求經(jīng)過多組電源同時(shí)冗余供電。

熱備冗余：在2路電源經(jīng)過一個(gè)電源切換控制器后輸出一路電源，當(dāng)一路電源故障失去時(shí)，控制器將自動(dòng)切換到另一路供電，從而實(shí)現(xiàn)電源冗余。此類切換過程會(huì)造成短暫的失電，為確保設(shè)備和系統(tǒng)不受影響保持正常運(yùn)行，對(duì)電源切換控制器切換的時(shí)間要求非常嚴(yán)格，基本都在10ms以內(nèi)。

熱供冗余：兩路冗余電源以并聯(lián)方式，同時(shí)給下游設(shè)備供電。此類方式消除了熱備冗余切換過程中短暫失電的弊端。為防止并聯(lián)的2路熱供電源間產(chǎn)生電勢差造成回流，2路電源的正極一般都經(jīng)過二級(jí)管單向?qū)Я鳌CS控制柜中給電磁閥供電的外部48V電源，均使用熱供冗余方式。

DCS系統(tǒng)電源冗余設(shè)計(jì)時(shí)，必須根據(jù)所用電源的功率、可靠性、空開和電纜額定電流以及系統(tǒng)所規(guī)定的最短無故障時(shí)間等參數(shù)考慮電源個(gè)數(shù)、結(jié)構(gòu)等。如圖2，因1KCP403AR下游電磁閥較多，負(fù)荷大。上游LCA 48V電源經(jīng)TB配電箱給下游1KCP403AR供電時(shí)，受限于TB柜每個(gè)空開額定電流不能高于15A的原因，每個(gè)TB分別引了5路支路給1KCP403AR供電，以分?jǐn)傌?fù)荷。

圖2

所有的DCS系統(tǒng)的供電基本上都是冗余設(shè)計(jì)，冗余降低了非計(jì)劃性失去一路電源的風(fēng)險(xiǎn)，在提高系統(tǒng)持續(xù)運(yùn)行的穩(wěn)定性外，還保證了上游一路供電電源試驗(yàn)或維護(hù)時(shí)，DCS系統(tǒng)能繼續(xù)正常運(yùn)行。

3.2 通訊網(wǎng)絡(luò)冗余

通訊網(wǎng)絡(luò)是DCS的基礎(chǔ)骨架，所有DCS都是一種基于網(wǎng)絡(luò)的分層、分布式機(jī)構(gòu)，其配置的優(yōu)劣和可靠性直接影響到DCS系統(tǒng)性能。通訊接口、載體（光纖、網(wǎng)線）等硬件故障率高的特點(diǎn)，要求必須使用冗余技術(shù)，提高網(wǎng)絡(luò)的可靠性，才能確保DCS系統(tǒng)穩(wěn)定運(yùn)行。

以某核電機(jī)組DCS IA平臺(tái)的MESH網(wǎng)絡(luò)為例，采用樹形拓?fù)浣Y(jié)構(gòu)。如圖3所示，房間級(jí)、機(jī)組級(jí)和全廠級(jí)的三層交換機(jī)中都設(shè)有A、B兩列冗余交換機(jī)。FCP控制器經(jīng)冗余A、B通訊網(wǎng)接入A、B列上游冗余交換機(jī)中。整個(gè)MESH網(wǎng)滿足多點(diǎn)容錯(cuò)功能。

圖3

3.3 控制器冗余

DCS系統(tǒng)控制器基本都采取了冗余配置。兩塊互為冗余的控制器配置完全相同，具有相同的操作系統(tǒng)、組態(tài)軟件、控制信息。在冗余邏輯電路的控制下，主控制器處于運(yùn)行控制狀態(tài)，另一個(gè)控制器處在熱備狀態(tài)。

平臺(tái)的FCP控制器使用容錯(cuò)技術(shù)。主FCP負(fù)責(zé)與I/O卡件數(shù)據(jù)通訊，進(jìn)行邏輯運(yùn)算和控制，同時(shí)將信息同步給從FCP，使主、從FCP的組態(tài)軟件數(shù)據(jù)時(shí)刻保持一致。FCP具有故障自檢功能，冗余的FCP對(duì)之間建有故障信息傳遞和故障判斷機(jī)制，當(dāng)前主FCP故障時(shí)，當(dāng)前從FCP立即接手成為主FCP執(zhí)行控制功能，從而實(shí)現(xiàn)無擾切換和無延滯切換。FCP具有在線熱更換功能，當(dāng)其中一塊FCP故障時(shí)，可直接拔除，更換新的FCP。新更換的FCP將自動(dòng)同步當(dāng)前主FCP的組態(tài)軟件和系統(tǒng)配置信息。

3.4 I/O卡件冗余功能

為降低I/O卡件故障導(dǎo)致信號(hào)采集斷開的風(fēng)險(xiǎn)，重要的I/O點(diǎn)都設(shè)冗余配置。基本上所有的DCS系統(tǒng)都可以實(shí)現(xiàn)I/O冗余。其中I/O冗余卡件主要用到FBM204、208等模擬量采集卡件和FBM231、233等第三方通訊接口卡件。

模擬量采集卡件FBM204、FBM208的冗余設(shè)計(jì)方式為：FBM的底板上的通訊線，用于交換兩個(gè)模塊的狀態(tài)信息，并且確定邏輯上的主從關(guān)系。兩個(gè)FBM都正常時(shí)，首先上電的FBM為主，另一個(gè)為從。兩個(gè)模塊都從現(xiàn)場設(shè)備采集數(shù)據(jù)并實(shí)時(shí)更新，但是FCP只從主FBM讀取數(shù)據(jù)。FBM具有自診斷功能，當(dāng)主采集FBM故障時(shí)，發(fā)送一個(gè)故障信息給FCP，F(xiàn)CP自動(dòng)從另外一塊FBM讀取數(shù)據(jù)。

第三方通訊接口卡件FBM231、FBM233的冗余設(shè)計(jì)方式為：FBM背板上的通訊線，用于交換兩個(gè)模塊的狀態(tài)信息，并且確定邏輯上的主從關(guān)系。兩個(gè)FBM都正常時(shí)，首先上電的FBM為主，另一個(gè)為從。兩個(gè)模塊都從現(xiàn)場設(shè)備接收數(shù)據(jù)，但是FCP只從主FBM讀取數(shù)據(jù)，F(xiàn)CP同時(shí)發(fā)送數(shù)據(jù)給主從FBM，兩個(gè)FBM都將數(shù)據(jù)傳遞給現(xiàn)場設(shè)備。現(xiàn)場設(shè)備必須每隔一段時(shí)間發(fā)送一個(gè)“故障診斷信號(hào)”給FBM，F(xiàn)BM以此判斷現(xiàn)場設(shè)備的狀態(tài)。初始時(shí)，兩個(gè)FBM都管理一張內(nèi)容一致的設(shè)備列表，當(dāng)其中一個(gè)FBM的設(shè)備列表項(xiàng)減少時(shí)，說明該FBM有通訊故障，需要解決。通訊故障的FBM將置于故障狀態(tài)，不再參與信號(hào)采集和控制功能。

3.5 GPS時(shí)鐘冗余

GPS時(shí)鐘常作為DCS的基準(zhǔn)時(shí)鐘，為DCS控制器、工作站、服務(wù)器定義了同一時(shí)間標(biāo)簽。避免了時(shí)鐘偏差造成控制邏輯的時(shí)序紊亂，SOE順序事故記錄、趨勢記錄等不能正確記錄事件發(fā)生的正確時(shí)間等問題。基準(zhǔn)時(shí)

鐘精度的重要性，使大部分DCS系統(tǒng)的GPS時(shí)鐘都實(shí)現(xiàn)了冗余配置。

核電站DCS平臺(tái)同樣配置了冗余的GPS時(shí)鐘。以某核電站機(jī)組為例，1MTKHC和2BTKHC工作站裝有GPS時(shí)鐘通訊卡，分別接收1路GPS時(shí)鐘源，作為KCP系統(tǒng)的冗余的GPS時(shí)鐘服務(wù)器。工作站和服務(wù)器通過網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）同步主時(shí)鐘服務(wù)器的時(shí)鐘，精度達(dá)到ms級(jí)。控制器的GPS時(shí)鐘通過光纖直接同步時(shí)鐘服務(wù)器的GPS時(shí)鐘。2臺(tái)冗余的時(shí)鐘服務(wù)器經(jīng)HUB將GPS時(shí)鐘信號(hào)分發(fā)送到有IA控制柜的每個(gè)電氣房間中的一個(gè)控制器機(jī)柜，控制柜間再經(jīng)過光纜相互傳遞GPS時(shí)鐘信號(hào)。每個(gè)電氣房間形成2路冗余的GPS時(shí)鐘鏈。

如圖4，A路時(shí)鐘從1MTKHC時(shí)鐘服務(wù)器經(jīng)HUB通過光纜送到9KCP581AR，再通過柜間光纜傳遞到下一個(gè)控制柜直至9KCP588AR；B路時(shí)鐘從2BTKHC時(shí)鐘服務(wù)器經(jīng)HUB通過光纜送到9KCP588AR，再通過柜間光纜傳遞到下一個(gè)控制柜直至9KCP581AR。其中A網(wǎng)的始發(fā)控制柜9KCP581AR作為B網(wǎng)的終點(diǎn)控制柜；A網(wǎng)的終點(diǎn)控制柜9KCP588AR作為B網(wǎng)的始發(fā)控制柜。這樣2路時(shí)鐘倒流的設(shè)計(jì)，使得其中一個(gè)控制柜因斷電或其他故障原因失去2路時(shí)鐘，不影響其他控制柜的時(shí)鐘同步。如2路時(shí)鐘同向傳遞，若其中一個(gè)控制柜2路時(shí)鐘斷開，將直接導(dǎo)致下游控制柜的時(shí)鐘也全部斷開。

圖4

當(dāng)冗余的2路GPS時(shí)鐘都正常時(shí)，1臺(tái)機(jī)組選擇1MTKHC為主時(shí)鐘服務(wù)器，另外一臺(tái)機(jī)組選擇2BTKHC為主時(shí)鐘服務(wù)器。當(dāng)其中一路時(shí)鐘故障或斷開時(shí)，工作站或控制器將自動(dòng)選擇另一路正常的時(shí)鐘源為基準(zhǔn)時(shí)鐘，從而保證了整個(gè)系統(tǒng)時(shí)鐘標(biāo)簽的準(zhǔn)確性。

3.6 工作站/服務(wù)器冗余

工作站/服務(wù)器作為DCS人機(jī)接口和數(shù)據(jù)處理單元，每個(gè)中、大型控制系統(tǒng)中按功能、監(jiān)測和操作的需求都會(huì)冗余設(shè)置多臺(tái)。

某核電機(jī)組DCS平臺(tái)設(shè)置了30多臺(tái)工作站和服務(wù)器，按圖5“IA工作站軟件需求清單”安裝有不同功能軟件，從而分擔(dān)一層功能需求。其中一層的API服務(wù)器和二層CFR服務(wù)器，作為一二層數(shù)據(jù)處理的接口服務(wù)器，設(shè)置有冗余的A、B列，每一列可獨(dú)立起到完整處理和傳遞一二層數(shù)據(jù)的功能。正常來說，2-3臺(tái)工作站/服務(wù)器就可以冗余實(shí)現(xiàn)一層的功能，但是實(shí)際中卻使用多臺(tái)實(shí)現(xiàn)，主要原因?yàn)椋簩⑺泄δ苘浖呙芏劝惭b于同一臺(tái)服務(wù)器上，將影響服務(wù)器處理性能，降低響應(yīng)時(shí)間；不同系統(tǒng)和工作場合要求獨(dú)立的工作站/服務(wù)器，以滿足日常操作、和維護(hù)工作，如KSN、KDO、KME系統(tǒng)都有相應(yīng)的工作站/服務(wù)器。

另外DCS一層IA工作站/服務(wù)器除KDO的ARC1HC、IS1HC兩臺(tái)服務(wù)器外，其他均裝有IA 8.4.3套件，即都能夠作為工程師站查看、控制DCS一層軟件參數(shù)。同時(shí)，兩臺(tái)機(jī)組的一層IA在同一MESH網(wǎng)中，能相互訪問和控制。這一特征在實(shí)現(xiàn)多重冗余的便利性外，同時(shí)也帶來了機(jī)組日常調(diào)試、運(yùn)行期間的跨機(jī)組誤操作風(fēng)險(xiǎn)，需做好DCS一層工程站權(quán)限控制。

圖5

4 控制系統(tǒng)冗余的關(guān)鍵技術(shù)

冗余是一種高級(jí)的可靠性設(shè)計(jì)技術(shù)，1:1熱冗余也就是所謂的雙重化，是其中一種有效的冗余方式，但它并不是兩個(gè)部件簡單的并聯(lián)運(yùn)行，而是需要硬件、軟件、通訊等協(xié)同工作來實(shí)現(xiàn)。將互為冗余的兩個(gè)部件構(gòu)成一個(gè)有機(jī)的整體，通常包括以下多個(gè)技術(shù)要點(diǎn)：

4.1 信息同步技術(shù)

信息同步是主、備用部件之間實(shí)現(xiàn)無擾動(dòng)（Bumpless）切換技術(shù)的前提，只有按控制實(shí)時(shí)性要求進(jìn)行高速有效的信息同步，保證主、備用部件步調(diào)一致地工作，才能實(shí)現(xiàn)冗余部件之間的無擾動(dòng)切換。如容錯(cuò)的2個(gè)FCP間，主FCP實(shí)現(xiàn)系統(tǒng)的數(shù)據(jù)采集、運(yùn)算、控制輸出等功能；同時(shí)實(shí)時(shí)將數(shù)據(jù)更新、同步給從FCP，從而2個(gè)FCP的軟件信息時(shí)刻保持一致。

4.2 故障檢測技術(shù)

為了保證系統(tǒng)在出現(xiàn)故障時(shí)及時(shí)將冗余部分投入工作，必須有高精確的在線故障檢測技術(shù)，實(shí)現(xiàn)故障發(fā)現(xiàn)、故障定位、故障隔離和故障報(bào)警。故障檢測包括電源、微處理器、數(shù)據(jù)通訊鏈路、數(shù)據(jù)總線及I/O狀態(tài)等。其中故障診斷包括故障自診斷和故障互檢（主、備用卡件之間的相互檢查）

4.3 高速切換

在發(fā)現(xiàn)當(dāng)前主設(shè)備故障后，備用設(shè)備必須快速、無擾動(dòng)地接替故障設(shè)備的職能，對(duì)現(xiàn)場控制不造成任何影響。同時(shí)要求切換時(shí)間應(yīng)為毫秒級(jí)，甚至是微秒級(jí)，這樣就不會(huì)因?yàn)樵摬考墓收隙斐赏獠靠刂茖?duì)象的失控或檢測信息失效等

4.4 故障報(bào)警

冗余技術(shù)確保單一故障發(fā)生時(shí)，系統(tǒng)能夠繼續(xù)正常的工作外。還需要及時(shí)將故障信息作為報(bào)警信號(hào)觸發(fā)出來，以便通知工程師及時(shí)檢修維護(hù)，恢復(fù)冗余性。在設(shè)備發(fā)生故障時(shí)均能在一層系統(tǒng)監(jiān)測站（SMON）中觸發(fā)報(bào)警信息。一層DCS工程師通過日常巡檢查看SMON狀態(tài)，可及時(shí)發(fā)現(xiàn)和檢修故障設(shè)備。

4.5 熱檢修技術(shù)

為了保證容錯(cuò)系統(tǒng)具有高可靠性，必須盡量減少系統(tǒng)的平均修復(fù)時(shí)間MTBR。要做到這一點(diǎn)，在設(shè)計(jì)上應(yīng)努力提高單元的獨(dú)立性、可修復(fù)性、故障可維護(hù)性。實(shí)現(xiàn)故障部件的在線維護(hù)和更換也是冗余技術(shù)的重要組成部分，它是實(shí)現(xiàn)控制系統(tǒng)故障部件快速修復(fù)技術(shù)的關(guān)鍵。部件的熱插拔功能可以在不中斷系統(tǒng)正常控制功能的情況下增加或更換組件，使系統(tǒng)平穩(wěn)地運(yùn)行。如IA系統(tǒng)的FBM和FCP均能熱插拔檢修。

5 總結(jié)

因冗余技術(shù)的應(yīng)用，使核電站機(jī)組在調(diào)試期間和正常功率運(yùn)行期間，不再受局部故障的影響，故障部件的維護(hù)對(duì)整個(gè)系統(tǒng)的功能實(shí)現(xiàn)沒有影響，并可以實(shí)現(xiàn)在線維護(hù)，使故障部件得到及時(shí)修復(fù)。同時(shí)保證了各項(xiàng)在引起電源單列失去、網(wǎng)絡(luò)單網(wǎng)失去等試驗(yàn)進(jìn)行時(shí)，機(jī)組能正常運(yùn)行。使冗余技術(shù)存在于DCS平臺(tái)的必要性再次得到驗(yàn)證。