核電廠安全級DCS維護系統(tǒng)架構(gòu)設計研究

胡清仁，彭 浩，黃 俊，張 旭，李 俊

（中國核動力研究設計院 核反應堆系統(tǒng)設計技術(shù)重點實驗室，成都 610213）

0 引言

核電廠安全級DCS作為整個核電廠的中樞神經(jīng)，除了執(zhí)行保護功能之外，安全級DCS系統(tǒng)應具備可靠的故障探測、監(jiān)視和診斷信息顯示功能，以便維護人員通過相關(guān)故障診斷信息，及時對系統(tǒng)內(nèi)部故障設備進行識別、定位和更換。核電廠日常維護主要由預防性維修和糾正性維修組成[1]，對于安全級DCS系統(tǒng)而言，預防性維修應提供設備自診斷，檢測保護系統(tǒng)內(nèi)部潛在故障，保證安全級DCS系統(tǒng)的可用性；糾正性維修應提供硬件故障的更換和應用軟件修改等功能。因此，需要安全級DCS能通過專用維護工具和維護網(wǎng)絡，實現(xiàn)應用軟件組態(tài)、編譯、下裝，在線監(jiān)視，變量強制，定期試驗，I&C故障顯示等維護功能[2]。本文基于NASPIC平臺就安全級DCS的故障診斷和維護策略，提出具體的維護系統(tǒng)設計思路。

1 安全級DCS的維護策略

安全級DCS的I&C故障及狀態(tài)通常以報警或指示的方式報出，為了便于故障識別和分析，幫助維護人員準確地確認和排除故障，為糾正性維修行動的制定提供決策建議[3]。安全級DCS通過搭建專用的維護網(wǎng)絡，將各個控制站與工程師站進行連接，并實時接收安全級DCS的設備狀態(tài)信息，可實現(xiàn)在線監(jiān)視、故障診斷功能[3]。

安全級DCS維護系統(tǒng)的維護范圍包括4個保護組、兩個邏輯序列的各個控制站以及GW、SVDU等設備單元，能通過專用維護工具和維護網(wǎng)絡，實現(xiàn)應用軟件組態(tài)、編譯、下裝，在線監(jiān)視，變量強制，定期試驗，儀控故障顯示等維護功能[2]。

1）應用軟件組態(tài)、編譯和下裝

◇ 設備組態(tài)、算法組態(tài)、圖形組態(tài)、變量組態(tài)。

◇ 組態(tài)文件的有效性檢查和編譯。

◇ 組態(tài)文件下裝等功能。

2）參數(shù)修改、變量強制和釋放

通過維護系統(tǒng)可對相關(guān)可調(diào)參數(shù)變量進行修改，如保護定值、回差、延時常數(shù)、缺省值等參數(shù)變量。

3）在線監(jiān)視和故障診斷

通過維護系統(tǒng)能夠監(jiān)測影響DCS系統(tǒng)運行的故障，包括模塊自診斷、通信校驗、數(shù)據(jù)合理性校驗、電源檢測、斷線檢測等診斷功能，能夠?qū)崿F(xiàn)對影響安全級功能執(zhí)行的故障進行探測[3]；同時診斷的信息應及時地被運行或維護人員知悉，并根據(jù)故障的等級和嚴重程度，進行相應的報警，以便于系統(tǒng)的故障探測和模塊更換[3,5]。

4）定期試驗

按計劃的時間間隔，通過維護系統(tǒng)可對安全級DCS執(zhí)行定期試驗功能，以檢測系統(tǒng)內(nèi)部潛在故障，驗證保護邏輯功能的完整性和有效性，從而保證系統(tǒng)能夠?qū)崿F(xiàn)預期的可用性[6]。

核電廠安全級DCS通用的維護系統(tǒng)架構(gòu)設計示意圖如圖1。

圖1 通用的維護系統(tǒng)架構(gòu)設計示意圖Fig.1 Schematic diagram of general maintenance system architecture design

采用上述的維護系統(tǒng)架構(gòu)設計，安全級DCS平臺通過其自診斷功能，可以發(fā)現(xiàn)平臺的故障，但是由于沒有引入服務器，診斷出的故障信息無法完整地記錄，以及詳細地反饋給維護人員，不便于維護人員進一步分析故障，還存在以下幾方面的不足：

a）安全級DCS系統(tǒng)的故障信息歷史數(shù)據(jù)無法長期保存，以及不能夠記錄、追蹤、導出，不便于后期核電廠的數(shù)據(jù)分析及健康管理。

b）閃發(fā)故障無法記錄并進行追蹤，不便于故障排查。

c）單個工程師站變量監(jiān)視和算法監(jiān)視不支持同時兩個站點監(jiān)視。

d）無法實現(xiàn)多個工程師站之間數(shù)據(jù)共享等問題。

2 一種新型的維護系統(tǒng)架構(gòu)設計

2.1 引入客戶端-服務器架構(gòu)的維護系統(tǒng)設計

為增強易用性和集中管理功能，通過配置服務器設計，實現(xiàn)診斷信息的收集，便于核電廠后續(xù)導出歷史數(shù)據(jù)以實現(xiàn)健康管理；同時為了解決當前核電廠安全級DCS的維護系統(tǒng)歷史數(shù)據(jù)無法長期存儲，同一控制器同一時刻只能連接一個工程師站，單個工程師站變量監(jiān)視和算法監(jiān)視不支持同時兩個站點監(jiān)視，工程師站監(jiān)視歷史數(shù)據(jù)本地存儲等問題，引入一種新型的維護系統(tǒng)架構(gòu)設計。

為便于故障診斷，增強易用性和集中管理功能，采用客戶端-服務器架構(gòu)的維護系統(tǒng)設計，可實現(xiàn)以下功能：

1）在線協(xié)同：多個機柜診斷數(shù)據(jù)的同時監(jiān)視；多個工程師站之間數(shù)據(jù)共享。

2）歷史數(shù)據(jù)服務：故障信息歷史數(shù)據(jù)長期保存。

引入客戶端-服務器架構(gòu)的維護系統(tǒng)設計，在線協(xié)同指工程師站協(xié)同軟件服務端軟件的服務集合，包含調(diào)度服務進程及業(yè)務服務進程：調(diào)度服務用于接收和管理客戶端連接、業(yè)務服務啟動與管理；業(yè)務服務以工程為進程單位（即一個工程對應一個業(yè)務服務進程），負責對應工程數(shù)據(jù)的加載和維護管理、業(yè)務功能邏輯實現(xiàn)、在線監(jiān)視數(shù)據(jù)的訂閱及分發(fā)。

歷史數(shù)據(jù)服務指歷史服務器中的運行軟件，包含數(shù)據(jù)解析、數(shù)據(jù)存儲查詢等模塊，提供下位機連接管理、下裝業(yè)務實現(xiàn)、監(jiān)視數(shù)據(jù)接收與解析、監(jiān)視數(shù)據(jù)發(fā)送、監(jiān)視數(shù)據(jù)加密存儲、歷史數(shù)據(jù)查詢、證書管理、冗余切換、數(shù)據(jù)同步等業(yè)務功能。具體的客戶端-服務器架構(gòu)維護系統(tǒng)示意圖如圖2。

圖2 客戶端-服務器架構(gòu)的維護系統(tǒng)設計Fig.2 Maintenance system design of client-server architecture

客戶端-服務器架構(gòu)的維護系統(tǒng)設計說明，協(xié)同服務器定位為業(yè)務處理服務器，數(shù)據(jù)服務器定位為監(jiān)視數(shù)據(jù)解析及存儲服務器，具體的軟件處理流程如圖3。

圖3 客戶端-服務器架構(gòu)的軟件處理流程Fig.3 Software processing flow of client-server architecture

◇ 監(jiān)視數(shù)據(jù)從各個機柜的控制器發(fā)往數(shù)據(jù)服務器。

◇ 數(shù)據(jù)服務器負責解析數(shù)據(jù)并轉(zhuǎn)發(fā)給協(xié)同服務器。

◇ 協(xié)同服務器負責多個工程師站客戶端數(shù)據(jù)分發(fā)和管理。

2.2 數(shù)據(jù)服務器的主從設計

數(shù)據(jù)服務器主從冗余，并在雙機的基礎上做了負載均衡，即主機負責數(shù)據(jù)的存儲入庫，而從機負責提供數(shù)據(jù)查詢服務,當其中一個數(shù)據(jù)服務器主機發(fā)生故障后，另一主機會動態(tài)切換繼續(xù)保存歷史數(shù)據(jù)[4]。

通過主從管理模塊進行主從服務器的心跳檢測,當任何一方出現(xiàn)異常后，進行主從身份的切換操作，主機啟動后運行對應的軟件模塊并執(zhí)行數(shù)據(jù)恢復、下裝配置文件、用戶數(shù)據(jù)改動的同步操作。

◇ 從機啟動時，連接主機，如果連接不上，切換到主機工作模式。

◇ 從機啟動后，連接主機，連接上發(fā)送心跳（預設值為10ms一次），主機收到后會回復心跳,如果從機1000ms都沒有收到心跳，則認為主機工作異常，從機將自動切換為主機工作，并且記錄切換時間作為主機數(shù)據(jù)恢復的時間節(jié)點。

◇ 當從機1000ms沒有收到主機的心跳消息的時候，就認定主機發(fā)生了宕機，然后開始按照送存儲的配置文件主動進行連接下位機,當連接失敗的時候，會再次連接主機，并設置從機的異常狀態(tài)，多次連接失敗后放棄自動連接，只能在管理中臺界面上的下位機狀態(tài)頁面手動進行連接,連接成功后會記錄宕機時間并開始對外服務。

當熱備冗余的兩個歷史服務器同時發(fā)生故障，協(xié)同服務器可通過用戶操作切換為直連至協(xié)議轉(zhuǎn)換模塊，繼續(xù)執(zhí)行相關(guān)功能。該冗余模式的雙機設計，做了負載均衡，即主機負責數(shù)據(jù)的存儲入庫，而從機負責提供數(shù)據(jù)查詢服務，該處理方式有以下幾方面的優(yōu)勢：

◇ 將數(shù)據(jù)的寫入和讀取拆分開來，可以減少硬件資源的開銷，提高整個系統(tǒng)的適應能力。

◇ 雙機的主從冗余模式可以為業(yè)務的長期穩(wěn)定運行提供保障，當設備出現(xiàn)單點故障的時候，可以保證業(yè)務不中斷。

◇ 雙機備份功能實際上是進行數(shù)據(jù)的實時備份，當系統(tǒng)發(fā)生單點故障的時候，就可以保證至始至終都有一份完整的數(shù)據(jù)存在于系統(tǒng)中提供數(shù)據(jù)服務，不會出現(xiàn)數(shù)據(jù)大規(guī)模斷層的情況。

2.3 協(xié)同服務器設計

協(xié)同服務器在設計上是進行業(yè)務處理而不是進行數(shù)據(jù)處理的，從總體架構(gòu)上將業(yè)務和數(shù)據(jù)分離是為了保障未來整個系統(tǒng)能夠更加穩(wěn)定地運行。協(xié)同服務器的調(diào)度服務主要負責管理客戶端連接、業(yè)務服務的維護等，業(yè)務服務提供各工程內(nèi)的具體業(yè)務處理實現(xiàn)接口。

在工程師站客戶端打開工程時連接協(xié)同服務器的調(diào)度服務，調(diào)度服務啟動與工程對應的業(yè)務服務。啟動后，客戶端啟用監(jiān)視時，業(yè)務服務記錄客戶端信息并向數(shù)據(jù)服務器訂閱對應監(jiān)視站的監(jiān)視數(shù)據(jù)。數(shù)據(jù)服務器則將下位機上傳的監(jiān)視數(shù)據(jù)發(fā)送至業(yè)務服務，業(yè)務服務根據(jù)客戶端信息分發(fā)至各監(jiān)視客戶端，最后客戶端進行數(shù)據(jù)呈現(xiàn)。

客戶端啟動監(jiān)視后，協(xié)同服務端內(nèi)部判斷是否已向數(shù)據(jù)服務器訂閱數(shù)據(jù)。若未訂閱則向數(shù)據(jù)服務器發(fā)起數(shù)據(jù)訂閱流程，若已訂閱則直接將該客戶端添加至數(shù)據(jù)轉(zhuǎn)發(fā)對象，具體的監(jiān)視請求流程如圖4、圖5。

圖4 首位發(fā)起控制站監(jiān)視請求Fig.4 The first person initiates the monitoring request of the control station

圖5 非首位發(fā)起控制站監(jiān)視請求Fig.5 Non-first initiates control station monitoring request

3 總結(jié)

基于上述的核電廠安全級DCS維護系統(tǒng)設計，解決了當前核電廠安全級DCS的維護系統(tǒng)歷史數(shù)據(jù)無法長期存儲的問題，同時支持單個工程師站同時監(jiān)視兩個機柜的變量和算法，實現(xiàn)了在線協(xié)同功能，對監(jiān)視模塊的多站跳轉(zhuǎn)功能。采用這種新型的主從冗余數(shù)據(jù)服務器設計，具有以下的優(yōu)勢：

1） 充分考慮業(yè)務的分離和容錯，分別配置主從歷史服務器和協(xié)同服務器，具有高可靠性。

2） 采用了雙機熱備的主從模式，通過心跳感知主服務器運行狀態(tài)，保證了數(shù)據(jù)的高可用狀態(tài)。

3） 同時實現(xiàn)了在線協(xié)同功能，多個機柜診斷數(shù)據(jù)的同時監(jiān)視，多個工程師站之間數(shù)據(jù)共享。

4） 具有180天的歷史信息存儲功能，可以充分指導維護工程師分析并定位故障，為糾正性維修提供決策建議，可為核電廠的健康管理提供支持。