反应堆仪控HA设备冗余状态监测
2015-12-01汪全全孙雪静徐海霞陈永忠
张 宁 汪全全 郭 冰 孙雪静 徐海霞 陈永忠
反应堆仪控HA设备冗余状态监测
张 宁1,2汪全全1,3郭 冰1,2孙雪静1,2徐海霞1,2陈永忠1,2
1(中国科学院上海应用物理研究所 嘉定园区 上海 201800)2(中国科学院核辐射与核能技术重点实验室 上海 201800)3(中国科学院大学 北京 100049)
为了解冗余配置的高可用性(High Availability, HA)设备内部冗余单元的运行状态,以避免由于切换或冗余失效导致的严重后果或潜在风险,对基于EPICS (Experimental Physics and Industrial Control System)仪控系统样机中冗余配置的可编程序控制器(Programmable Logic Controller, PLC)和组件进行了冗余状态监测方法研究。通过修改输入/输出控制器(Input/Output Controller, IOC)冗余组件代码及开发PLC状态变量读取程序的方法,分别获取到二者的冗余单元状态并发布在监控层终端。实验证明此方法在几乎不增加系统资源的情况下可长期监测冗余单元状态,为进一步提高仪控系统的可用性提供技术支持。
冗余,分布式控制系统,EPICS,高可用性,状态监测
根据核电仪控规范对高可用性的要求[3−4]以及实际工程需求,过程控制层服务器硬件平台使用ATCA (Advanced Telecom Computing Architecture)[5]架构的高可用性(High Availability, HA)设备板卡并进行冗余配置,使用冗余监控任务(Redundant Monitor Task, RMT)[6]对服务器配置的输入/输出控制器(Input/Output Controller, IOC)进行冗余功能管理。现场设备层控制器采用具有硬件冗余配置的西门子S7-400H PLC (Programmable Logic Controller)。从设备外部整体看,IOC服务器组件及PLC均可实现极高的可用性。因此提升硬件及软件本身已经不是目前设备HA研究的重点,更进一步的研究要关注于冗余组件内部各单元设备状态变化,以及冗余连接本身对整体可靠性的影响,具体来说包括由于热备切换带来的可用性降低,以及冗余本身可能引起的“脑裂”和“Ping-Pong”效应[7−8]。为了对可能引起整体设备失效的因素进行实时的监控和及时的排除,需要在DCS监控界面对冗余单元设备的运行状态进行监测。
1 DCS HA设备的冗余配置及开发
在棒控棒位DCS样机中,PLC的功能主要是通过程序对驱动电机发布控制指令、驱动控制棒运动以及回读控制棒棒位信息。控制命令和棒位信息通过上层 ATCA/IOC程序映射为可被EPICS系统数据交换的过程变量(Process Variable, PV),并发布给上层操作界面(Operator Interface, OPI)。PLC与ATCA/IOC的冗余配置及开发就是为了保证DCS系统中上述流程的高可用性。
1.1 PLC的冗余配置
德国西门子公司为SIMATIC S7-400H PLC提供了用于双机冗余配置的组态软件及通信接口。棒控棒位DCS系统根据工程实际对PLC模块实现了硬件冗余配置,其中包括电源(PS)冗余、双CPU冗余以及具有双通道的Profibus总线连接,如图2。
图2 冗余配置的S7-400H系统结构图Fig.2 Redundancy configured S7-400H system diagram.
图2中核心组件为双CPU (CPU0和CPU1),分别位于两个设备机架rack0和rack1上,设备正常运行时,主状态(Master) CPU负责运行内置的棒控棒位应用程序,主要包括接收上层ATCA/IOC发出的控制指令并转换成数字信号发送给驱动电机,以及回读棒位信息发布给上层IOC。从状态(Slave) CPU通过与Master连接的“心跳”光纤实现数据和程序同步。当Master出现故障,Slave会立即在“故障点”投入运行状态,负担全部系统任务,其切换时间约为50 ms。上层设备可通过双通道Profibus的I/O口与PLC进行数据交换。
1.2 ATCA/IOC的冗余配置及开发
通过开发冗余控制软件RMT的IOC驱动接口,ATCA/IOC实现与底层PLC通信驱动程序的冗余控制。硬件配置为两台接入控制系统局域网的ATCA服务器板卡,此局域网连接被称为RMT冗余系统的“公有网络”。两个服务器板卡还需用网线连接各自的另外一组网卡。此网络被称为“私有网络”,主要用于冗余IOC对之间数据同步的“心跳”服务,管理软件为RMT的数据同步组件命令控制设备(Continuous Control Executive, CCE)。ATCA/IOC冗余系统结构图如图3所示。
图3 基于RMT的ATCA/IOC冗余结构图Fig.3 RMT based ATCA/IOC redundancy diagram.
RMT软件包的核心部分是实现冗余判选机制的“状态机(State Machine)”。状态机通过监测和管理主要冗余资源(Primary Redundancy Resources, PRR),来判选和控制PRR状态。其中PRR主要包括公有网络、私有网络以及全局网络的连接状态,下层支持模块或驱动模块的运行状态,CA server以及数据库的扫描任务等。其结构如图4所示。
RMT的IOC驱动接口主要为IOC支持模块中供上层RMT调用的一组控制函数,根据实际需求,在样机工程中开发了如下函数,如表1所示。
图4 RMT冗余软件运行结构图Fig.4 RMT software running diagram.
表1 RMT冗余驱动函数Table 1 RMT redundant driver function.
2 DCS HA设备的冗余状态获取
对于PLC和ATCA/IOC冗余状态的获取,目标就是把二者的冗余状态以及能够表征冗余状态的相关参量以PV变量的形式映射在信道接入服务(Channel Access Server, CA Server)中,然后为监控管理层的OPI端提供可视化的冗余状态监控途径。
2.1 PLC冗余状态的获取
在PLC运行过程中,控制器内部的不同信息都被保存在CPU的内部存储器中,并根据运行情况由控制器内部的操作系统实时进行更新。在冗余配置的S7-400H PLC中,这些内部信息也包含了关于冗余状态的内部变量。这些变量给出来自各个服务器角度的系统冗余状态信息。为了能让ATCA/IOC的驱动模块可以获取这些状态信息,需要通过PLC程序将这些信息映射到用于外部访问的数据块中。
S7-400H状态信息作为静态变量,主要通过功能块SFC51来获取。其系统变量列表(System Status List, SSL)-ID表征不同的信息类型,INDEX表征某个类型的具体状态。其中需要读取的与冗余状态有关的SSL-ID及INDEX描述如表2所示。
表2 SFC51块中冗余状态信息Table 2 Redundant information in Block SFC51.
为了获得冗余状态的可靠性,在PLC的程序中需要对SSL-ID=W#16#0174的0与1位数据做或(OR)逻辑运算结果表征系统是否处于冗余状态。所有表征冗余相关的状态量以Bit形式通过STEP 7程序输出到DB10模块。ATCA/IOC通过基于TCP/IP的驱动模块可读取DB10数据并通过新建IOC的DB文件转化为PV值发布。其映射关系如图5。
图5 冗余状态数据在PLC与PV变量中的映射关系图Fig.5 Redundant state block diagram between PLC and PV values.
2.2 ATCA/IOC冗余状态的获取
IOC自身的冗余状态主要是通过冗余控制软件RMT来实现,因此对于ATCA/IOC自身状态的获取就需要能够实时调取RMT软件运行时对本IOC运行状态的判选结果,并通过建立IOC运行数据库来映射成PV变量。由于RMT的作用是实现冗余判选并向下控制IOC的运行状态,出于安全考虑,RMT并未提供IOC代码向上访问其软件内核的渠道。因此,获取IOC冗余状态需要对RMT软件包及IOC代码进行修改。
IOC接受RMT冗余控制的渠道是通过访问包含头文件rmtDrvIf.h来实现。其代码中提供了冗余控制函数地址入口表,以结构体rmtEntryTabType的形式来实现。具体的各个冗余控制函数需要在IOC中实例化并通过函数RmtRegister()注册而进入RMT的控制列表中。为了实现读取RMT状态机的判选信息,在rmtDrvIf.h中新建用于表征IOC冗余状态及相关信息的结构体RedStateInfoType。由于ATCA设备的网络连接及运行程序数量远比PLC设备复杂,因此在RedStateInfoType的成员变量中增加了与冗余相关的更多变量信息,其结构成员如表3所示。
然后需要在RMT软件包内核程序中修改函数RmtRegister()及RMT的控制列表结构,使RedStateInfoType以参数的形式通过注册而进入到RMT状态机控制列表中,并在运行RMT时RedStateInfoType内各个成员变量根据状态机对IOC状态的判选而相应改变。且此结构体在IOC中为只读,以防止其内容的意外被修改。修改后的IOC与RMT的连接结构如图6所示。
表3 结构体RedStateInfoType成员变量Table 3 Variables in Struct RedStateInfoType.
图6 代码修改后的IOC与RMT数据交换结构图Fig.6 Diagram of data exchange between IOC and RMT after code modification.
3 冗余状态监测界面的实现与测试
为了使PLC与ATCA/IOC的冗余状态等内部信息能够被更有效的监测,在样机DCS系统监控管理层的人机界面(Human Machine Interface, HMI)设备中用控制系统工作室(Control System Studio, CSS)设计开发了设备冗余状态监控界面,此界面通过接收下层IOC中表示冗余状态的PV变量,可监测不同设备的冗余状态信息。其结构如图7所示。
图7 冗余状态监测CSS界面Fig.7 CSS interface of redundant state monitor.
为验证整个冗余状态监测系统的有效性,我们进行了相关测试实验。首先通过修改相关环境变量对网络连接状态的确认频率进行了优化,使上层界面对冗余切换带来的设备重连接时间主要集中于网络中断响应及重新连接响应,经过优化后重连时间好于1 s。在此基础上,在一周内进行了多次不同方式的冗余测试,主要包括样机在PV变量数量变化的情况下对IOC与PLC进行主动及被动切换或关机。测试表明各种冗余状态变化均可成功在CSS界面上准确显示。显示效果和各个冗余设备系统资源在PV变量数量从50增加到400情况下,且均无明显变化。
4 结语
通过对西门子S7-400H PLC、ATCA/IOC和冗余控制软件RMT进行程序重新设计,以及开发上层界面软件,在TMSR DCS样机开发中成功实现了对系统内HA设备的冗余状态监测,测试结果表明此方法性能可靠。在下一步的工作中,此系统将与历史存档数据库连接,用于自动监测和历史数据统计。在未来的控制系统中,冗余状态界面程序将作为插件应用于系统总体状态监测界面层中。
1 江绵恒, 徐洪杰, 戴志敏. 未来先进核裂变能——TMSR核能系统[J]. 中国科学院院刊, 2012, 27(3): 366−376 JIANG Mianheng, XU Hongjie, DAI Zhimin. Advanced fission energy program-TMSR nuclear energy system[J]. Bulletin of the Chinese Academy of Sciences, 2012, 27(3): 366−376
2 周海翔, 徐玮瑛. 三代核电机组数字化仪控系统及其国产化分析[J]. 自动化仪表, 2010, 31(8): 61−66 ZHOU Haixiang, XU Weiying. Digitized I&C system of the 3rdgeneration nuclear power units and its localization[J]. Process Automation Instrumentation, 2010, 31(8): 61−66
3 Implementing digital instrumentation and control modernization of nuclear power plants[R]. Vienna: International Atomic Energy Agency, 2009
4 IEC 61226-2009, Nuclear power plants-instrumentation and control important to safety-classification of instrumentation and control functions[S]. GB-BSI, 2009
5 Advanced TCA, PCIMG 3.0 short form specification[S]. PCI Industrial Computers Manufacturers Group, 2003
6 Clausen M, Liu G, Shoeneburg B. Proceedings of international conference on accelerator and large experimental physics control systems[C]. Knoxville: [s.n.], 2007
7 Clausen M. IOCs with redundancy support[R]. Menlo Park U.S: [s.n.], 2012
8 Bottomley J J. Proceedings of the FREENIX track: 2004 USENIX annual technical conference[C]. Boston: [s.n.], 2004
CLC TL362+.5
Redundant state monitoring of the HA devices in reactor I&C system
ZHANG Ning1,2WANG Quanquan1,3GUO Bing1,2SUN Xuejing1,2XU Haixia1,2CHEN Yongzhong1,2
1(Shanghai Institute of Applied Physics, Chinese Academy of Sciences, Jiading Campus, Shanghai 201800, China) 2(Key Laboratory of Nuclear Radiation and Nuclear Energy Technology, Chinese Academy of Sciences, Shanghai 201800, China) 3(University of Chinese Academy of Sciences, Beijing 100049, China)
Background: Redundancy configuration is widely adopted in the digitalized instrumentation and control (I&C) system of third-generation reactors. For further availability improvement, state monitoring method of redundant configured Programmable Logic Controller (PLCs) and Input/Output Controller (IOC) components in Experimental Physics and Industrial Control System (EPICS) based I&C system prototype was studied for the Thorium Molten Salt Reactor (TMSR) project. Purpose: In order to avoid serious consequence or potential risks caused by switch-over or redundancy failure, the running states of redundant units composed high availability (HA) devices in reactor I&C system are expected to be accessed in real-time in this study. Methods: By means of adding the unit state reporting channels which could be transferred into Process Variables (PVs) for the acquisition of EPICS upper tier application, a novel method of monitoring redundant states of device units was developed. Source code of redundant monitor task (RMT) was modified by adding a routine to record state-related information for the IOC pairs whilst a new state-read program block for local and remote units was developed for PLCs. All state monitoring related variables was acquired and passed into EPICS records by IOC driver. In terminal layer, a CSS (Control System Studio)-based OPI (Operator Interface) Plug-In was implemented for on-line state monitoring. Results: Redundant state-related information of each unit pair were successfully acquired as PV values and showed in the designed OPI interface by proposed method. Test proved it could achieve real-time monitoring of redundant state variation. Conclusion: By developing and modifying program for HA units, and designing OPI interface, reactor I&C system could monitor redundant unit state for a long-term with few additional system resources. It could provide technological support for further improvement of availability of the reactor I&C system.
Redundancy, Distributed Control Systems (DCS), Experimental Physics and Industrial Control System (EPICS), High availability, State monitoring
TL362+.5
10.11889/j.0253-3219.2015.hjs.38.040603
中国科学院钍基熔盐核能(Thorium Molten Salt Reactor, TMSR)项目的反应堆仪控系统[1]对可靠性和安全性有更高的要求,为应对第三代乃至更新一代核电项目对于仪控系统的技术需求[2],在TMSR实验堆前期研发中,设计了基于EPICS (Experimental Physics and Industrial Control System)软件平台的全数字化分布式控制系统(Distributed Control Systems, DCS)。此系统按照DCS的标准架构分为三层:监控管理层、过程控制层和现场设备层。监控管理层主要是监测和控制整个反应堆的运行状态及其他维护功能,主要包括各个控制台及支持中心等;过程控制层主要包括堆运行过程中各子控制系统;现场设备层是控制网络与底层设备的I/O接口。在DCS样机研发中,按照此结构建立了棒控棒位机构控制系统,其总体结构如图1所示。
图1 TMSR棒控棒位仪控样机系统结构图
Fig.1 Diagram of rod control and position indication I&C prototype system for TMSR.
中国科学院战略性先导科技专项(No.XDA02010300)资助
张宁,男,1980年出生,2012年于中国科学院上海应用物理研究所获博士学位,研究领域为核电仪控系统应用研究、加速器束流诊断研究
2014-11-26,
2015-01-06