胡清仁，彭 浩，黄 俊，张 旭，李 俊

（中国核动力研究设计院 核反应堆系统设计技术重点实验室，成都 610213）

0 引言

核电厂安全级DCS作为整个核电厂的中枢神经，除了执行保护功能之外，安全级DCS系统应具备可靠的故障探测、监视和诊断信息显示功能，以便维护人员通过相关故障诊断信息，及时对系统内部故障设备进行识别、定位和更换。核电厂日常维护主要由预防性维修和纠正性维修组成[1]，对于安全级DCS系统而言，预防性维修应提供设备自诊断，检测保护系统内部潜在故障，保证安全级DCS系统的可用性；纠正性维修应提供硬件故障的更换和应用软件修改等功能。因此，需要安全级DCS能通过专用维护工具和维护网络，实现应用软件组态、编译、下装，在线监视，变量强制，定期试验，I&C故障显示等维护功能[2]。本文基于NASPIC平台就安全级DCS的故障诊断和维护策略，提出具体的维护系统设计思路。

1 安全级DCS的维护策略

安全级DCS的I&C故障及状态通常以报警或指示的方式报出，为了便于故障识别和分析，帮助维护人员准确地确认和排除故障，为纠正性维修行动的制定提供决策建议[3]。安全级DCS通过搭建专用的维护网络，将各个控制站与工程师站进行连接，并实时接收安全级DCS的设备状态信息，可实现在线监视、故障诊断功能[3]。

安全级DCS维护系统的维护范围包括4个保护组、两个逻辑序列的各个控制站以及GW、SVDU等设备单元，能通过专用维护工具和维护网络，实现应用软件组态、编译、下装，在线监视，变量强制，定期试验，仪控故障显示等维护功能[2]。

1）应用软件组态、编译和下装

◇ 设备组态、算法组态、图形组态、变量组态。

◇ 组态文件的有效性检查和编译。

◇ 组态文件下装等功能。

2）参数修改、变量强制和释放

通过维护系统可对相关可调参数变量进行修改，如保护定值、回差、延时常数、缺省值等参数变量。

3）在线监视和故障诊断

通过维护系统能够监测影响DCS系统运行的故障，包括模块自诊断、通信校验、数据合理性校验、电源检测、断线检测等诊断功能，能够实现对影响安全级功能执行的故障进行探测[3]；同时诊断的信息应及时地被运行或维护人员知悉，并根据故障的等级和严重程度，进行相应的报警，以便于系统的故障探测和模块更换[3,5]。

4）定期试验

按计划的时间间隔，通过维护系统可对安全级DCS执行定期试验功能，以检测系统内部潜在故障，验证保护逻辑功能的完整性和有效性，从而保证系统能够实现预期的可用性[6]。

核电厂安全级DCS通用的维护系统架构设计示意图如图1。

图1 通用的维护系统架构设计示意图Fig.1 Schematic diagram of general maintenance system architecture design

采用上述的维护系统架构设计，安全级DCS平台通过其自诊断功能，可以发现平台的故障，但是由于没有引入服务器，诊断出的故障信息无法完整地记录，以及详细地反馈给维护人员，不便于维护人员进一步分析故障，还存在以下几方面的不足：

a）安全级DCS系统的故障信息历史数据无法长期保存，以及不能够记录、追踪、导出，不便于后期核电厂的数据分析及健康管理。

b）闪发故障无法记录并进行追踪，不便于故障排查。

c）单个工程师站变量监视和算法监视不支持同时两个站点监视。

d）无法实现多个工程师站之间数据共享等问题。

2 一种新型的维护系统架构设计

2.1 引入客户端-服务器架构的维护系统设计

为增强易用性和集中管理功能，通过配置服务器设计，实现诊断信息的收集，便于核电厂后续导出历史数据以实现健康管理；同时为了解决当前核电厂安全级DCS的维护系统历史数据无法长期存储，同一控制器同一时刻只能连接一个工程师站，单个工程师站变量监视和算法监视不支持同时两个站点监视，工程师站监视历史数据本地存储等问题，引入一种新型的维护系统架构设计。

为便于故障诊断，增强易用性和集中管理功能，采用客户端-服务器架构的维护系统设计，可实现以下功能：

1）在线协同：多个机柜诊断数据的同时监视；多个工程师站之间数据共享。

2）历史数据服务：故障信息历史数据长期保存。

引入客户端-服务器架构的维护系统设计，在线协同指工程师站协同软件服务端软件的服务集合，包含调度服务进程及业务服务进程：调度服务用于接收和管理客户端连接、业务服务启动与管理；业务服务以工程为进程单位（即一个工程对应一个业务服务进程），负责对应工程数据的加载和维护管理、业务功能逻辑实现、在线监视数据的订阅及分发。

历史数据服务指历史服务器中的运行软件，包含数据解析、数据存储查询等模块，提供下位机连接管理、下装业务实现、监视数据接收与解析、监视数据发送、监视数据加密存储、历史数据查询、证书管理、冗余切换、数据同步等业务功能。具体的客户端-服务器架构维护系统示意图如图2。

图2 客户端-服务器架构的维护系统设计Fig.2 Maintenance system design of client-server architecture

客户端-服务器架构的维护系统设计说明，协同服务器定位为业务处理服务器，数据服务器定位为监视数据解析及存储服务器，具体的软件处理流程如图3。

图3 客户端-服务器架构的软件处理流程Fig.3 Software processing flow of client-server architecture

◇ 监视数据从各个机柜的控制器发往数据服务器。

◇ 数据服务器负责解析数据并转发给协同服务器。

◇ 协同服务器负责多个工程师站客户端数据分发和管理。

2.2 数据服务器的主从设计

数据服务器主从冗余，并在双机的基础上做了负载均衡，即主机负责数据的存储入库，而从机负责提供数据查询服务,当其中一个数据服务器主机发生故障后，另一主机会动态切换继续保存历史数据[4]。

通过主从管理模块进行主从服务器的心跳检测,当任何一方出现异常后，进行主从身份的切换操作，主机启动后运行对应的软件模块并执行数据恢复、下装配置文件、用户数据改动的同步操作。

◇ 从机启动时，连接主机，如果连接不上，切换到主机工作模式。

◇ 从机启动后，连接主机，连接上发送心跳（预设值为10ms一次），主机收到后会回复心跳,如果从机1000ms都没有收到心跳，则认为主机工作异常，从机将自动切换为主机工作，并且记录切换时间作为主机数据恢复的时间节点。

◇ 当从机1000ms没有收到主机的心跳消息的时候，就认定主机发生了宕机，然后开始按照送存储的配置文件主动进行连接下位机,当连接失败的时候，会再次连接主机，并设置从机的异常状态，多次连接失败后放弃自动连接，只能在管理中台界面上的下位机状态页面手动进行连接,连接成功后会记录宕机时间并开始对外服务。

当热备冗余的两个历史服务器同时发生故障，协同服务器可通过用户操作切换为直连至协议转换模块，继续执行相关功能。该冗余模式的双机设计，做了负载均衡，即主机负责数据的存储入库，而从机负责提供数据查询服务，该处理方式有以下几方面的优势：

◇ 将数据的写入和读取拆分开来，可以减少硬件资源的开销，提高整个系统的适应能力。

◇ 双机的主从冗余模式可以为业务的长期稳定运行提供保障，当设备出现单点故障的时候，可以保证业务不中断。

◇ 双机备份功能实际上是进行数据的实时备份，当系统发生单点故障的时候，就可以保证至始至终都有一份完整的数据存在于系统中提供数据服务，不会出现数据大规模断层的情况。

2.3 协同服务器设计

协同服务器在设计上是进行业务处理而不是进行数据处理的，从总体架构上将业务和数据分离是为了保障未来整个系统能够更加稳定地运行。协同服务器的调度服务主要负责管理客户端连接、业务服务的维护等，业务服务提供各工程内的具体业务处理实现接口。

在工程师站客户端打开工程时连接协同服务器的调度服务，调度服务启动与工程对应的业务服务。启动后，客户端启用监视时，业务服务记录客户端信息并向数据服务器订阅对应监视站的监视数据。数据服务器则将下位机上传的监视数据发送至业务服务，业务服务根据客户端信息分发至各监视客户端，最后客户端进行数据呈现。

客户端启动监视后，协同服务端内部判断是否已向数据服务器订阅数据。若未订阅则向数据服务器发起数据订阅流程，若已订阅则直接将该客户端添加至数据转发对象，具体的监视请求流程如图4、图5。

图4 首位发起控制站监视请求Fig.4 The first person initiates the monitoring request of the control station

图5 非首位发起控制站监视请求Fig.5 Non-first initiates control station monitoring request

3 总结

基于上述的核电厂安全级DCS维护系统设计，解决了当前核电厂安全级DCS的维护系统历史数据无法长期存储的问题，同时支持单个工程师站同时监视两个机柜的变量和算法，实现了在线协同功能，对监视模块的多站跳转功能。采用这种新型的主从冗余数据服务器设计，具有以下的优势：

1） 充分考虑业务的分离和容错，分别配置主从历史服务器和协同服务器，具有高可靠性。

2） 采用了双机热备的主从模式，通过心跳感知主服务器运行状态，保证了数据的高可用状态。

3） 同时实现了在线协同功能，多个机柜诊断数据的同时监视，多个工程师站之间数据共享。

4） 具有180天的历史信息存储功能，可以充分指导维护工程师分析并定位故障，为纠正性维修提供决策建议，可为核电厂的健康管理提供支持。