核電站西門子TXP系統時鐘同步機制及問題優化

韓江濤　趙起海

【摘? 要】論文分析TXP系統（西門子公司非安全級DCS控制系統，與該系統相配套的時鐘分配器為HOPF服務器）的時間同步原理，并結合DCS時鐘的故障問題提出優化方法。

【Abstract】This paper analyzes the time synchronization principle of TXP system （non safety level DCS control system of Siemens Company， and the clock distributor matched with this system is HOPF server）， and puts forward the optimization methods combined with the failures and problems of DCS clock.

【關鍵詞】DCS;時鐘;同步誤差;GPS

【Keywords】DCS; clock; synchronization error; GPS

【中圖分類號】TM623? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）03-0172-02

1 引言

該核電DCS分為1E、SR、NC三個級別。其中，1E指安全級DCS系統TXS，在TXS中只有AV42優選模塊需要進行時鐘同步，AV42通過PROFBUS與SR、NC級非安全級DCS系統TXP通訊，AV42控制的設備其狀態信號時標在AV42中，其時鐘需要與TXP保持一致，AV42時鐘同步信號來自TXP的主時鐘服務器HOPF。TXP系統中，NC級的汽機控制系統自身帶有時鐘服務器，外部時鐘源均來自于DTV輸出。

2 時鐘同步方式

2.1 TXP時鐘同步方式

TXP的核電站總線是以CSMA/CD為基礎的以太網，在總線上有三個主時鐘：HOPF時鐘服務器（RTT）、最小號AP的主CP1430通訊/時鐘卡、最大號AP（主控制器）的備用CP1430通訊/時鐘卡。該核電站TXP系統的主時鐘為RTT，CP1430為備用時鐘（RTT故障后自動替代）。

HOPF作為TXP的主時鐘接收來自DTV的外部時鐘信號，使用RS422端口訪問。HOPF將接收的時間信號經過主時鐘模塊處理后通過專用模塊來將時間信號分發給各用戶。HOPF每10s會向核電站總線上發送一個時鐘信號報文以實現整個系統的時鐘同步。

AV42的時間同步使用脈沖來實現，脈沖為1PPM輸出（50s信號為“1”，后1s信號為“0”）作為AV42相對時間的修正，AV42根據自身的時鐘計時和標準脈沖對比并修正偏差。AV42的絕對時間通過PROFBUS總線從AP獲取。

當DTV故障時HOPF可作為主時鐘自由走時。HOPF故障約40s后最小AP號的主CP1430作為主時鐘向系統發送時間報文，最大AP號的備用CP1430作為備用主時鐘，但是HOPF故障后AV42將失去時鐘的同步。

2.2 汽機控制系統時鐘同步方式

該核電站汽機控制系統時鐘同步器，支持IRIG-B、5s/1mn脈沖、GPS三種輸入類型，核電站使用IRIG-B輸入。一個信號源輸入，同步器輸出20路脈沖給下游設備提供標準同步脈沖。DTV系統將全廠標準時鐘信號通過IRIG-B發送給TGC系統時鐘同步器，時鐘同步器接收后分別輸出1PPS、5PPM脈沖以及絕對時間信號，送至L101C控制器和網關，網關通過通訊方式獲取時鐘分配器輸出的絕對時間信號，其產生的時間誤差由脈沖來修正。

3 時鐘偏差原因分析

3.1 時鐘誤差

DCS系統當中的時鐘必須不定期同步校準，否則會產生誤差。誤差的來源就在于計算機時鐘所采用的晶體振蕩器。計算機時鐘的時間值通過計數器累計晶振體產生的時鐘脈沖得到的。由于晶體振蕩器受到環境溫度、激勵電平或者晶體老化等因素的影響，時鐘脈沖最終累計的時間值必然會產生誤差，一天累計的誤差可能在1～2s。一個循環的運行時間是18個月，累計誤差會很大。

3.2 時鐘同步誤差

DCS的絕對對時誤差是在TXP的時鐘同步過程中產生的，由三部分組成：

①由于GPS時鐘精度的原因，GPS時鐘與衛星發射的UTC之間存在誤差。常用的輸出時鐘精度一般都在幾十納秒到一微秒，不同的產品不同的偏差計算方式，最高可能到達0.2ms的精度。這就使得GPS時鐘與UTC之間會出現偏差，在同步過程中累計誤差。②GPS時鐘在與DCS主時鐘同步過程中存在誤差。由于目前兩者之間的同步基本上采用的是硬接線的方式。DCS站點當中的時鐘同步卡與GPS時鐘的輸出匹配并接收對應的時間編碼。通過使用一定的補償方式對發送延時進行補償，使用高頻銷相的解碼卡等可以很好地提升DCS主時鐘與GPS時鐘的同步精度。③DCS各站點主從時鐘的同步而產生的誤差。DCS主時鐘與各個站點之間的時鐘同步是通過時鐘報文來實現的。時鐘報文的發送、傳播和處理，每個環節都會受到軟件、硬件、網絡、協議、計算方式等的影響，每個環節都需要時間。首先，網絡傳輸無法瞬時完成，網絡是否正在被使用，時間報文能否第一時間發出去，發送不成功還涉及重發的問題;其次，時鐘報文在網絡中的傳輸也是需要一定的時間。整個系統的各個環節之間的時延就會造成DCS主從時鐘之間、從從時鐘之間的時間同步誤差。當然，不同網絡類型的DCS、不同的時鐘通信協議和同步算法，可使網絡對時的同步精度各不相同。

DCS系統中的時鐘在自上而下的同步過程中這些誤差是一個逐步累積的過程，機組在運轉過程中實際上這個偏差是可能逐步加大的。

4 現存問題及優化改進

核電站TXP、P320汽機控制系統的標準時鐘源都取自于DTV系統，但DTV時鐘為全核電站通用標準時間源，DTV系統故障導致DCS時間突變的事件在核電站投運以來出現過多次，由其為現場重要的控制系統提供時鐘源不合理。

DTV系統結構龐大、故障率高。其在停電或檢修期間也會影響DCS、P320系統的時鐘同步。核電站DTV外部時鐘信號跳變會導致DCS系統主PU服務器重啟，造成主從服務器切換。DTV送P320時鐘分配器信號頻繁丟失后恢復，觸發綜合報警并引起P320系統內外部時鐘頻繁切換，P320控制器也發生主從切換，使送至下游RGL系統的負荷參考值信號變化從而導致閃發G棒下插。說明DTV時鐘信號可靠性不滿足DCS、P320系統對時鐘同步的要求。

核電站目前的做法是評估后將DTV送至DCS、P320系統的時鐘信號斷開，DCS、GRE系統以內部時鐘方式運行。DCS系統通過HOPF時鐘為系統內部各服務器和控制器統一授時，P320系統通過5s/1min的PULSE DIFFUSER時鐘分配器為系統工作站、網關、控制器統一授時。采用這種方案后DCS和P320系統各自運行正常，但隨著運行時間加長，與標準時間出現偏差，幾臺機組的DCS系統之間、DCS系統與P320系統之間的時鐘也逐漸出現偏差。不同機組DCS系統之間存在數據互送，P320數據也最終傳送到DCS系統，而系統間時鐘偏差對部分事件日志和信號曲線記錄時標的準確性產生影響，影響不同機組間和DCS、P320系統間的信號時序判斷分析。

由于HOPF與P320的時鐘模塊時間不同步以及時間傳輸過程中產生誤差，機組運行一個循環最大有20s的偏差，這樣的時間偏差對機組瞬態時的事件分析影響很大，時間偏差過大會可能導致相關的服務器重新啟動。這個偏差在大修期間臨時通過DTV系統重新對時。

基于核電站設備分級情況，采用將DTV永久性脫開，并在TXP加裝GPS作為標準時鐘源，P320系統由TXP解決授時方案。將DTV授時取消，用GPS來作為授時源，TXP內部時鐘同步機制不變。取消DTV給P320的授時，將P320授時改為HOPF的脈沖輸出。采用該方案的優點在于：①GPS的時鐘精度很高而且具有很高的可靠性。GPS時鐘是一種接收GPS衛星發射的低功率無線電信號，通過計算得出GPS時間的接收裝置。為獲得準確的GPS時間，GPS時鐘必須先接收至少4顆GPS衛星的信號，計算出自己所在的三維位置。在已經得出具體位置后，GPS時鐘只要接收1顆GPS衛星信號就能保證時鐘的走時準確性。作為核電站的標準時鐘，一般對GPS時鐘的基本要求是至少能同時跟蹤8顆衛星，有盡可能短的冷、熱啟動時間，配有后備電池，有高精度、可靈活配置的時鐘輸出信號。②P320采用脈沖授時既能提高精度又能保證高可靠性。1PPS/1PPM脈沖并不傳送TOD信息，但其同步精度較高。脈沖同步還有一大優勢，只有斷線或者信號中斷故障模式，即使信號故障也不會導致P320時鐘跳變。P320使用HOPF輸出脈沖作為同步時鐘源可保證兩者之間的時間同步，減少因兩者時間偏差大導致系統故障的可能。③TXP內部原有的時間同步機制沒有改變，不會引入額外的故障風險。關于外部時鐘信號時間跳變，GPS信號服務為全球通用服務，可靠性高，一般只會因天氣狀況差而導致GPS信號丟失中斷，一般不會出現時間跳變。對于短時內的時間跳變，HOPF時鐘已設置3min的濾波判斷，從而保證下游DCS系統內部授時信號和送GRE系統的授時信號不受影響。由于DCS時鐘同步在控制系統中具有很高的重要性，需要保證其具有很高的可靠性，各系統是否共用一套GPS時鐘裝置，應根據系統時鐘接口配合的難易程度、系統所在地理位置等綜合考慮。盡量減少專業間的相互牽制，使各系統時鐘同步方案更易實現。