冗余技術(shù)在核電站DCS平臺的應(yīng)用

楊 斌

（中核檢修有限公司陽江分公司）

1 引言

高可靠性是過程控制系統(tǒng)的第一要求。冗余技術(shù)是DCS系統(tǒng)設(shè)計中常采用的一種技術(shù)，是提高DCS系統(tǒng)可靠性最有效方法之一。為了達(dá)到高可靠性和低失效率相統(tǒng)一的目的，我們通常會在控制系統(tǒng)的設(shè)計和應(yīng)用中采用冗余技術(shù)。合理的冗余設(shè)計將大大提高系統(tǒng)的可靠性，本文簡述冗余技術(shù)在核電站DCS平臺的應(yīng)用，從而驗證了冗余技術(shù)的重要性。

2 冗余技術(shù)

冗余技術(shù)就是增加多余的設(shè)備，以保證系統(tǒng)更加可靠、安全地工作。按照冗余的程度可分為1:1冗余、1:2冗余、1:n冗余等多種。在當(dāng)前元器件可靠性不斷提高的情況下，和其它形式的冗余方式相比，1:1的部件級熱冗余是一種有效而又相對簡單、配置靈活的冗余技術(shù)實(shí)現(xiàn)方式，如I/O卡件冗余、電源冗余、主控制器冗余等。因此，目前國內(nèi)外主流的過程控制系統(tǒng)中大多采用了這種方式。當(dāng)然，在某些局部設(shè)計中也有采用元件級或多種冗余方式組合的成功范例。

目前，DCS系統(tǒng)的部件級熱冗余通常采用并聯(lián)結(jié)構(gòu)，如圖1所示。只有當(dāng)組成系統(tǒng)的并聯(lián)部件全部失效時，系統(tǒng)才會停止工作。

圖1

如各個子設(shè)備的可靠度分別為R1，R2…Rn,則系統(tǒng)的可靠度Rs可以表示為：Rs=1-（1-R1）（1-R2）…（1-Rn）

假設(shè)并聯(lián)系統(tǒng)由可靠度為0.70的兩臺裝置組成，按并聯(lián)系統(tǒng)的可靠度計算公式可得可靠度為0.91，提高了0.21。

DCS控制系統(tǒng)冗余設(shè)計的目的：系統(tǒng)運(yùn)行不受局部故障的影響，而且故障部件的維護(hù)對整個系統(tǒng)的功能實(shí)現(xiàn)沒有影響，并可以實(shí)現(xiàn)在線維護(hù)，使故障部件得到及時的修復(fù)。冗余設(shè)計會增加系統(tǒng)設(shè)計的難度，冗余配置會增加用戶系統(tǒng)的投資，但這種投資換來了系統(tǒng)的可靠性。它提高了整個用戶系統(tǒng)的平均無故障時間，縮短了平均故障修復(fù)時間。因此，應(yīng)用在重要場合的控制系統(tǒng)，冗余是非常必要的。

3 冗余應(yīng)用

3.1 電源系統(tǒng)冗余

電源做為設(shè)備的動力源，是設(shè)備能正常工作的前提。為使控制系統(tǒng)能夠安全、可靠、長期、穩(wěn)定地運(yùn)行，必須要保證電源的穩(wěn)定性。故重要的設(shè)備和系統(tǒng)都要求經(jīng)過多組電源同時冗余供電。

熱備冗余：在2路電源經(jīng)過一個電源切換控制器后輸出一路電源，當(dāng)一路電源故障失去時，控制器將自動切換到另一路供電，從而實(shí)現(xiàn)電源冗余。此類切換過程會造成短暫的失電，為確保設(shè)備和系統(tǒng)不受影響保持正常運(yùn)行，對電源切換控制器切換的時間要求非常嚴(yán)格，基本都在10ms以內(nèi)。

熱供冗余：兩路冗余電源以并聯(lián)方式，同時給下游設(shè)備供電。此類方式消除了熱備冗余切換過程中短暫失電的弊端。為防止并聯(lián)的2路熱供電源間產(chǎn)生電勢差造成回流，2路電源的正極一般都經(jīng)過二級管單向?qū)Я鳌CS控制柜中給電磁閥供電的外部48V電源，均使用熱供冗余方式。

DCS系統(tǒng)電源冗余設(shè)計時，必須根據(jù)所用電源的功率、可靠性、空開和電纜額定電流以及系統(tǒng)所規(guī)定的最短無故障時間等參數(shù)考慮電源個數(shù)、結(jié)構(gòu)等。如圖2，因1KCP403AR下游電磁閥較多，負(fù)荷大。上游LCA 48V電源經(jīng)TB配電箱給下游1KCP403AR供電時，受限于TB柜每個空開額定電流不能高于15A的原因，每個TB分別引了5路支路給1KCP403AR供電，以分?jǐn)傌?fù)荷。

圖2

所有的DCS系統(tǒng)的供電基本上都是冗余設(shè)計，冗余降低了非計劃性失去一路電源的風(fēng)險，在提高系統(tǒng)持續(xù)運(yùn)行的穩(wěn)定性外，還保證了上游一路供電電源試驗或維護(hù)時，DCS系統(tǒng)能繼續(xù)正常運(yùn)行。

3.2 通訊網(wǎng)絡(luò)冗余

通訊網(wǎng)絡(luò)是DCS的基礎(chǔ)骨架，所有DCS都是一種基于網(wǎng)絡(luò)的分層、分布式機(jī)構(gòu)，其配置的優(yōu)劣和可靠性直接影響到DCS系統(tǒng)性能。通訊接口、載體（光纖、網(wǎng)線）等硬件故障率高的特點(diǎn)，要求必須使用冗余技術(shù)，提高網(wǎng)絡(luò)的可靠性，才能確保DCS系統(tǒng)穩(wěn)定運(yùn)行。

以某核電機(jī)組DCS IA平臺的MESH網(wǎng)絡(luò)為例，采用樹形拓?fù)浣Y(jié)構(gòu)。如圖3所示，房間級、機(jī)組級和全廠級的三層交換機(jī)中都設(shè)有A、B兩列冗余交換機(jī)。FCP控制器經(jīng)冗余A、B通訊網(wǎng)接入A、B列上游冗余交換機(jī)中。整個MESH網(wǎng)滿足多點(diǎn)容錯功能。

圖3

3.3 控制器冗余

DCS系統(tǒng)控制器基本都采取了冗余配置。兩塊互為冗余的控制器配置完全相同，具有相同的操作系統(tǒng)、組態(tài)軟件、控制信息。在冗余邏輯電路的控制下，主控制器處于運(yùn)行控制狀態(tài)，另一個控制器處在熱備狀態(tài)。

平臺的FCP控制器使用容錯技術(shù)。主FCP負(fù)責(zé)與I/O卡件數(shù)據(jù)通訊，進(jìn)行邏輯運(yùn)算和控制，同時將信息同步給從FCP，使主、從FCP的組態(tài)軟件數(shù)據(jù)時刻保持一致。FCP具有故障自檢功能，冗余的FCP對之間建有故障信息傳遞和故障判斷機(jī)制，當(dāng)前主FCP故障時，當(dāng)前從FCP立即接手成為主FCP執(zhí)行控制功能，從而實(shí)現(xiàn)無擾切換和無延滯切換。FCP具有在線熱更換功能，當(dāng)其中一塊FCP故障時，可直接拔除，更換新的FCP。新更換的FCP將自動同步當(dāng)前主FCP的組態(tài)軟件和系統(tǒng)配置信息。

3.4 I/O卡件冗余功能

為降低I/O卡件故障導(dǎo)致信號采集斷開的風(fēng)險，重要的I/O點(diǎn)都設(shè)冗余配置。基本上所有的DCS系統(tǒng)都可以實(shí)現(xiàn)I/O冗余。其中I/O冗余卡件主要用到FBM204、208等模擬量采集卡件和FBM231、233等第三方通訊接口卡件。

模擬量采集卡件FBM204、FBM208的冗余設(shè)計方式為：FBM的底板上的通訊線，用于交換兩個模塊的狀態(tài)信息，并且確定邏輯上的主從關(guān)系。兩個FBM都正常時，首先上電的FBM為主，另一個為從。兩個模塊都從現(xiàn)場設(shè)備采集數(shù)據(jù)并實(shí)時更新，但是FCP只從主FBM讀取數(shù)據(jù)。FBM具有自診斷功能，當(dāng)主采集FBM故障時，發(fā)送一個故障信息給FCP，F(xiàn)CP自動從另外一塊FBM讀取數(shù)據(jù)。

第三方通訊接口卡件FBM231、FBM233的冗余設(shè)計方式為：FBM背板上的通訊線，用于交換兩個模塊的狀態(tài)信息，并且確定邏輯上的主從關(guān)系。兩個FBM都正常時，首先上電的FBM為主，另一個為從。兩個模塊都從現(xiàn)場設(shè)備接收數(shù)據(jù)，但是FCP只從主FBM讀取數(shù)據(jù)，F(xiàn)CP同時發(fā)送數(shù)據(jù)給主從FBM，兩個FBM都將數(shù)據(jù)傳遞給現(xiàn)場設(shè)備。現(xiàn)場設(shè)備必須每隔一段時間發(fā)送一個“故障診斷信號”給FBM，F(xiàn)BM以此判斷現(xiàn)場設(shè)備的狀態(tài)。初始時，兩個FBM都管理一張內(nèi)容一致的設(shè)備列表，當(dāng)其中一個FBM的設(shè)備列表項減少時，說明該FBM有通訊故障，需要解決。通訊故障的FBM將置于故障狀態(tài)，不再參與信號采集和控制功能。

3.5 GPS時鐘冗余

GPS時鐘常作為DCS的基準(zhǔn)時鐘，為DCS控制器、工作站、服務(wù)器定義了同一時間標(biāo)簽。避免了時鐘偏差造成控制邏輯的時序紊亂，SOE順序事故記錄、趨勢記錄等不能正確記錄事件發(fā)生的正確時間等問題。基準(zhǔn)時

鐘精度的重要性，使大部分DCS系統(tǒng)的GPS時鐘都實(shí)現(xiàn)了冗余配置。

核電站DCS平臺同樣配置了冗余的GPS時鐘。以某核電站機(jī)組為例，1MTKHC和2BTKHC工作站裝有GPS時鐘通訊卡，分別接收1路GPS時鐘源，作為KCP系統(tǒng)的冗余的GPS時鐘服務(wù)器。工作站和服務(wù)器通過網(wǎng)絡(luò)時間協(xié)議（NTP）同步主時鐘服務(wù)器的時鐘，精度達(dá)到ms級。控制器的GPS時鐘通過光纖直接同步時鐘服務(wù)器的GPS時鐘。2臺冗余的時鐘服務(wù)器經(jīng)HUB將GPS時鐘信號分發(fā)送到有IA控制柜的每個電氣房間中的一個控制器機(jī)柜，控制柜間再經(jīng)過光纜相互傳遞GPS時鐘信號。每個電氣房間形成2路冗余的GPS時鐘鏈。

如圖4，A路時鐘從1MTKHC時鐘服務(wù)器經(jīng)HUB通過光纜送到9KCP581AR，再通過柜間光纜傳遞到下一個控制柜直至9KCP588AR；B路時鐘從2BTKHC時鐘服務(wù)器經(jīng)HUB通過光纜送到9KCP588AR，再通過柜間光纜傳遞到下一個控制柜直至9KCP581AR。其中A網(wǎng)的始發(fā)控制柜9KCP581AR作為B網(wǎng)的終點(diǎn)控制柜；A網(wǎng)的終點(diǎn)控制柜9KCP588AR作為B網(wǎng)的始發(fā)控制柜。這樣2路時鐘倒流的設(shè)計，使得其中一個控制柜因斷電或其他故障原因失去2路時鐘，不影響其他控制柜的時鐘同步。如2路時鐘同向傳遞，若其中一個控制柜2路時鐘斷開，將直接導(dǎo)致下游控制柜的時鐘也全部斷開。

圖4

當(dāng)冗余的2路GPS時鐘都正常時，1臺機(jī)組選擇1MTKHC為主時鐘服務(wù)器，另外一臺機(jī)組選擇2BTKHC為主時鐘服務(wù)器。當(dāng)其中一路時鐘故障或斷開時，工作站或控制器將自動選擇另一路正常的時鐘源為基準(zhǔn)時鐘，從而保證了整個系統(tǒng)時鐘標(biāo)簽的準(zhǔn)確性。

3.6 工作站/服務(wù)器冗余

工作站/服務(wù)器作為DCS人機(jī)接口和數(shù)據(jù)處理單元，每個中、大型控制系統(tǒng)中按功能、監(jiān)測和操作的需求都會冗余設(shè)置多臺。

某核電機(jī)組DCS平臺設(shè)置了30多臺工作站和服務(wù)器，按圖5“IA工作站軟件需求清單”安裝有不同功能軟件，從而分擔(dān)一層功能需求。其中一層的API服務(wù)器和二層CFR服務(wù)器，作為一二層數(shù)據(jù)處理的接口服務(wù)器，設(shè)置有冗余的A、B列，每一列可獨(dú)立起到完整處理和傳遞一二層數(shù)據(jù)的功能。正常來說，2-3臺工作站/服務(wù)器就可以冗余實(shí)現(xiàn)一層的功能，但是實(shí)際中卻使用多臺實(shí)現(xiàn)，主要原因為：將所有功能軟件高密度安裝于同一臺服務(wù)器上，將影響服務(wù)器處理性能，降低響應(yīng)時間；不同系統(tǒng)和工作場合要求獨(dú)立的工作站/服務(wù)器，以滿足日常操作、和維護(hù)工作，如KSN、KDO、KME系統(tǒng)都有相應(yīng)的工作站/服務(wù)器。

另外DCS一層IA工作站/服務(wù)器除KDO的ARC1HC、IS1HC兩臺服務(wù)器外，其他均裝有IA 8.4.3套件，即都能夠作為工程師站查看、控制DCS一層軟件參數(shù)。同時，兩臺機(jī)組的一層IA在同一MESH網(wǎng)中，能相互訪問和控制。這一特征在實(shí)現(xiàn)多重冗余的便利性外，同時也帶來了機(jī)組日常調(diào)試、運(yùn)行期間的跨機(jī)組誤操作風(fēng)險，需做好DCS一層工程站權(quán)限控制。

圖5

4 控制系統(tǒng)冗余的關(guān)鍵技術(shù)

冗余是一種高級的可靠性設(shè)計技術(shù)，1:1熱冗余也就是所謂的雙重化，是其中一種有效的冗余方式，但它并不是兩個部件簡單的并聯(lián)運(yùn)行，而是需要硬件、軟件、通訊等協(xié)同工作來實(shí)現(xiàn)。將互為冗余的兩個部件構(gòu)成一個有機(jī)的整體，通常包括以下多個技術(shù)要點(diǎn)：

4.1 信息同步技術(shù)

信息同步是主、備用部件之間實(shí)現(xiàn)無擾動（Bumpless）切換技術(shù)的前提，只有按控制實(shí)時性要求進(jìn)行高速有效的信息同步，保證主、備用部件步調(diào)一致地工作，才能實(shí)現(xiàn)冗余部件之間的無擾動切換。如容錯的2個FCP間，主FCP實(shí)現(xiàn)系統(tǒng)的數(shù)據(jù)采集、運(yùn)算、控制輸出等功能；同時實(shí)時將數(shù)據(jù)更新、同步給從FCP，從而2個FCP的軟件信息時刻保持一致。

4.2 故障檢測技術(shù)

為了保證系統(tǒng)在出現(xiàn)故障時及時將冗余部分投入工作，必須有高精確的在線故障檢測技術(shù)，實(shí)現(xiàn)故障發(fā)現(xiàn)、故障定位、故障隔離和故障報警。故障檢測包括電源、微處理器、數(shù)據(jù)通訊鏈路、數(shù)據(jù)總線及I/O狀態(tài)等。其中故障診斷包括故障自診斷和故障互檢（主、備用卡件之間的相互檢查）

4.3 高速切換

在發(fā)現(xiàn)當(dāng)前主設(shè)備故障后，備用設(shè)備必須快速、無擾動地接替故障設(shè)備的職能，對現(xiàn)場控制不造成任何影響。同時要求切換時間應(yīng)為毫秒級，甚至是微秒級，這樣就不會因為該部件的故障而造成外部控制對象的失控或檢測信息失效等

4.4 故障報警

冗余技術(shù)確保單一故障發(fā)生時，系統(tǒng)能夠繼續(xù)正常的工作外。還需要及時將故障信息作為報警信號觸發(fā)出來，以便通知工程師及時檢修維護(hù)，恢復(fù)冗余性。在設(shè)備發(fā)生故障時均能在一層系統(tǒng)監(jiān)測站（SMON）中觸發(fā)報警信息。一層DCS工程師通過日常巡檢查看SMON狀態(tài)，可及時發(fā)現(xiàn)和檢修故障設(shè)備。

4.5 熱檢修技術(shù)

為了保證容錯系統(tǒng)具有高可靠性，必須盡量減少系統(tǒng)的平均修復(fù)時間MTBR。要做到這一點(diǎn)，在設(shè)計上應(yīng)努力提高單元的獨(dú)立性、可修復(fù)性、故障可維護(hù)性。實(shí)現(xiàn)故障部件的在線維護(hù)和更換也是冗余技術(shù)的重要組成部分，它是實(shí)現(xiàn)控制系統(tǒng)故障部件快速修復(fù)技術(shù)的關(guān)鍵。部件的熱插拔功能可以在不中斷系統(tǒng)正常控制功能的情況下增加或更換組件，使系統(tǒng)平穩(wěn)地運(yùn)行。如IA系統(tǒng)的FBM和FCP均能熱插拔檢修。

5 總結(jié)

因冗余技術(shù)的應(yīng)用，使核電站機(jī)組在調(diào)試期間和正常功率運(yùn)行期間，不再受局部故障的影響，故障部件的維護(hù)對整個系統(tǒng)的功能實(shí)現(xiàn)沒有影響，并可以實(shí)現(xiàn)在線維護(hù)，使故障部件得到及時修復(fù)。同時保證了各項在引起電源單列失去、網(wǎng)絡(luò)單網(wǎng)失去等試驗進(jìn)行時，機(jī)組能正常運(yùn)行。使冗余技術(shù)存在于DCS平臺的必要性再次得到驗證。