王征勇　陈伟

【摘 要】冗余是DCS高可靠性设计中常用的一种技术，是提高系统可靠性最有效的方法之一。本文简要说明了冗余技术的原理，以福清核电1、2号机组DCS IA平台中供电、网络通讯、控制器、工作站/服务器、时钟等方面的冗余技术应用和设计特点，结合个人调试、维修经验，从中归纳总结出冗余的几项关键技术要求。

【关键词】冗余；可靠性；故障检测；时钟同步

中图分类号： TJ765 文献标识码： A 文章编号： 2095-2457（2018）36-0193-003

DOI：10.19694/j.cnki.issn2095-2457.2018.36.082

0 概述

高可靠性是过程控制系统的第一要求。冗余技术是DCS系统设计中常采用的一种技术，是提高DCS系统可靠性最有效方法之一。为了达到高可靠性和低失效率相统一的目的，我们通常会在控制系统的设计和应用中采用冗余技术。合理的冗余设计将大大提高系统的可靠性，本文简述冗余技术在福清核电1、2号机组DCS IA平台的应用，从而验证了冗余技术的重要性。

1 冗余技术

冗余技术就是增加多余的设备，以保证系统更加可靠、安全地工作。按照冗余的程度可分为1：1冗余、1：2冗余、1：n冗余等多种。在当前元器件可靠性不断提高的情况下，和其它形式的冗余方式相比，1：1的部件级热冗余是一种有效而又相对简单、配置灵活的冗余技术实现方式，如I/O卡件冗余、电源冗余、主控制器冗余等。因此，目前国内外主流的过程控制系统中大多采用了这种方式。当然，在某些局部设计中也有采用元件级或多种冗余方式组合的成功范例。

2 冗余应用

2.1 电源系统冗余

电源做为设备的动力源，是设备能正常工作的前提。为使控制系统能够安全、可靠、长期、稳定地运行，必须要保证电源的稳定性。故重要的设备和系统都要求经过多组电源同时冗余供电。在福清核电1、2号机组DCS IA平台中用到以下两种电源冗余方式：

热备冗余：2路电源经过一个电源切换控制器后输出一路电源，当一路电源故障失去时，控制器将自动切换到另一路供电，从而实现电源冗余。此类切换过程会造成短暂的失电，为确保设备和系统不受影响保持正常运行，对电源切换控制器切换的时间要求非常严格，基本都在10ms以内。IA的工作站、服务器都使用此种方式，2路220V电源经过电源切换控制器供电，实现供电冗余。

热供冗余：两路冗余电源以并联方式，同时给下游设备供电。此类方式消除了热备冗余切换过程中短暂失电的弊端。为防止并联的2路热供电源间产生电势差造成回流，2路电源的正极一般都经过二级管单向导流。DCS控制柜中给电磁阀供电的外部48V电源，均使用热供冗余方式。

DCS系统电源冗余设计时，必须根据所用电源的功率、可靠性、空开和电缆额定电流以及系统所规定的最短无故障时间等参数考虑电源个数、结构等。

所有的DCS系统的供电基本上都是冗余设计，冗余降低了非计划性失去一路电源的风险，在提高系统持续运行的稳定性外，还保证了上游一路供电电源试验或维护时，DCS系统能继续正常运行。

2.2 通讯网络冗余

通讯网络是DCS的基础骨架，所有DCS都是一种基于网络的分层、分布式机构，其配置的优劣和可靠性直接影响到DCS系统性能。通讯接口、载体（光纤、网线）等硬件故障率高的特点，要求必须使用冗余技术，提高网络的可靠性，才能确保DCS系统稳定运行。

福清核电1、2号DCS IA平臺的MESH网络，采用树形拓扑结构。房间级、机组级和全厂级的三层交换机中都设有A、B两列冗余交换机。FCP控制器经冗余A、B通讯网接入A、B列上游冗余交换机中。整个MESH网满足多点容错功能。

2.3 控制器冗余

DCS系统控制器基本都采取了冗余配置。两块互为冗余的控制器配置完全相同，具有相同的操作系统、组态软件、控制信息。在冗余逻辑电路的控制下，主控制器处于运行控制状态，另一个控制器处在热备状态。

IA平台的FCP控制器使用容错技术。主FCP负责与I/O卡件数据通讯，进行逻辑运算和控制，同时将信息同步给从FCP，使主、从FCP的组态软件数据时刻保持一致。FCP具有故障自检功能，冗余的FCP对之间建有故障信息传递和故障判断机制，当前主FCP故障时，当前从FCP立即接手成为主FCP执行控制功能，从而实现无扰切换和无延滞切换。FCP具有在线热更换功能，当其中一块FCP故障时，可直接拔除，更换新的FCP。新更换的FCP将自动同步当前主FCP的组态软件和系统配置信息。

2.4 I/O卡件冗余功能

为降低I/O卡件故障导致信号采集断开的风险，重要的I/O点都设冗余配置。基本上所有的DCS系统都可以实现I/O冗余。福清核电1、2号机组DCS IA平台的I/O冗余卡件主要用到FBM204、208等模拟量采集卡件和FBM231、233等第三方通讯接口卡件。

模拟量采集卡件FBM204、FBM208的冗余设计方式为：FBM的底板上有一通讯线，用于交换两个模块的状态信息，并且确定逻辑上的主从关系。两个FBM都正常时，首先上电的FBM为主，另一个为从。两个模块都从现场设备采集数据并实时更新，但是FCP只从主FBM读取数据。FBM具有自诊断功能，当主采集FBM故障时，发送一个故障信息给FCP，FCP自动从另外一块FBM读取数据。

第三方通讯接口卡件FBM231、FBM233的冗余设计方式为：FBM背板上有一通讯线，用于交换两个模块的状态信息，并且确定逻辑上的主从关系。两个FBM都正常时，首先上电的FBM为主，另一个为从。两个模块都从现场设备接收数据，但是FCP只从主FBM读取数据，FCP同时发送数据给主从FBM，两个FBM都将数据传递给现场设备。现场设备必须每隔一段时间发送一个“故障诊断信号”给FBM，FBM以此判断现场设备的状态。初始时，两个FBM都管理一张内容一致的设备列表，当其中一个FBM的设备列表项减少时，说明该FBM有通讯故障，需要解决。通讯故障的FBM将置于故障状态，不再参与信号采集和控制功能。

2.5 GPS时钟冗余

福清核电1、2号机组DCS IA平台也配置了冗余的GPS时钟。1、2号机组的1MTKHC和2BTKHC工作站装有GPS时钟通讯卡，分别接收1路GPS时钟源，作为1、2号机组KCP系统的冗余的GPS时钟服务器。工作站和服务器通过网络时间协议（NTP）同步主时钟服务器的时钟，精度达到ms级。控制器的GPS时钟通过光纤直接同步时钟服务器的GPS时钟。2台冗余的时钟服务器经HUB将GPS时钟信号分发送到有IA控制柜的每个电气房间中的一个控制器机柜，控制柜间再经过光缆相互传递GPS时钟信号。每个电气房间形成2路冗余的GPS时钟链。

2.6 工作站/服务器冗余

福清核电1、2号机组DCS IA平台设置了30多台工作站和服务器，根据不同的功能划分，分担一层的所有功能需求。其中一层的和二层交接处理服务器，设置有冗余的A、B列，每一列可独立起到完整处理和传递一二层数据的功能。正常来说，2-3台工作站/服务器就可以冗余实现一层的功能，但是实际中却使用多台实现，主要原因为：将所有功能软件高密度安装于同一台服务器上，将影响服务器处理性能，降低响应时间；不同系统和工作场合要求独立的工作站/服务器，以满足日常操作、和维护工作。

3 控制系统冗余的关键技术

冗余是一种高级的可靠性设计技术，1：1热冗余也就是所谓的双重化，是其中一种有效的冗余方式，但它并不是两个部件简单的并联运行，而是需要硬件、软件、通讯等协同工作来实现。将互为冗余的两个部件构成一个有机的整体，通常包括以下多个技术要点：

3.1 信息同步技术

信息同步是主、备用部件之间实现无扰动（Bumpless）切换技术的前提，只有按控制实时性要求进行高速有效的信息同步，保证主、备用部件步调一致地工作，才能实现冗余部件之间的无扰动切换。如容错的2个FCP间，主FCP实现系统的数据采集、运算、控制输出等功能；同时实时将数据更新、同步给从FCP，从而2个FCP的软件信息时刻保持一致。

3.2 故障检测技术

为了保证系统在出现故障时及时将冗余部分投入工作，必须有高精确的在线故障检测技术，实现故障发现、故障定位、故障隔离和故障报警。故障检测包括电源、微处理器、数据通讯链路、数据总线及I/O状态等。其中故障诊断包括故障自诊断和故障互检（主、备用卡件之间的相互检查）。

3.3 高速切换

在发现当前主设备故障后，备用设备必须快速、无扰动地接替故障设备的职能，对現场控制不造成任何影响。同时要求切换时间应为毫秒级，甚至是微秒级，这样就不会因为该部件的故障而造成外部控制对象的失控或检测信息失效等

3.4 故障报警

冗余技术确保单一故障发生时，系统能够继续正常的工作外。还需要及时将故障信息作为报警信号触发出来，以便通知工程师及时检修维护，恢复冗余性。如上述提到的福清核电1、2号机组DCS IA平台的冗余应用，在设备发生故障时均能在一层系统监测站（SMON）中触发报警信息。一层DCS工程师通过日常巡检查看SMON状态，可及时发现和检修故障设备。

3.5 热检修技术

为了保证容错系统具有高可靠性，必须尽量减少系统的平均修复时间MTBR。要做到这一点，在设计上应努力提高单元的独立性、可修复性、故障可维护性。实现故障部件的在线维护和更换也是冗余技术的重要组成部分，它是实现控制系统故障部件快速修复技术的关键。部件的热插拔功能可以在不中断系统正常控制功能的情况下增加或更换组件，使系统平稳地运行。如IA系统的FBM和FCP均能热插拔检修。

4 结束语

冗余技术普遍运用于DCS系统，但不同的DCS厂家基于本身平台特点以及采购方的技术要求，冗余设计会有差异，包括冗余设备的范围和冗余程度。采购方在选择DCS平台以及考虑冗余配置时，需要结合电厂运行地可靠性和经济性综合考虑，同时需重点关注文中提到的几项关键的冗余技术。

【参考文献】

[1]查方兴，I/A Series系统及应用，上海：福克斯波罗有限公司，2009.

[2]Thomas Keith，DCS NC/CN+电源单线图，美国：英维思公司，2012.

[3]Jelena Yeo，福清核电1、2号机组NC/NC+系统设计图纸，美国：英维思公司，2013.