劉 標(biāo)

（三門核電有限公司，浙江 臺州 317112）

0 引言

冗余是出于系統(tǒng)可靠性等方面的考慮，對一些關(guān)鍵設(shè)備進(jìn)行重復(fù)配置，不影響或改變系統(tǒng)的功能。當(dāng)系統(tǒng)發(fā)生故障時(shí)，冗余配置的部件介入并承擔(dān)故障部件的工作，由此減少系統(tǒng)的故障時(shí)間，采用冗余技術(shù)可以明顯地提高系統(tǒng)的可靠性[1]。為了保證DCS系統(tǒng)的可靠性，絕大多數(shù)DCS系統(tǒng)都采用了冗余設(shè)計(jì)，冗余設(shè)計(jì)可以保證在系統(tǒng)中的某一個硬件設(shè)備出現(xiàn)故障或損壞時(shí)，系統(tǒng)不會因此而出現(xiàn)失控，導(dǎo)致被控對象發(fā)生事故。三門AP1000項(xiàng)目非安全級儀控平臺采用OVATION系統(tǒng)[2]，用于實(shí)現(xiàn)電廠非核安全相關(guān)的控制、監(jiān)測和保護(hù)等功能。本文介紹了三門AP1000 OVATION系統(tǒng)冗余設(shè)計(jì)，并針對調(diào)試中發(fā)現(xiàn)的冗余問題進(jìn)行了分析。

1 OVATION冗余設(shè)計(jì)及其特點(diǎn)分析

OVATION系統(tǒng)的硬件具有較高可靠性，這種高可靠性的重要實(shí)現(xiàn)方法之一是采用冗余設(shè)計(jì)。采用冗余設(shè)計(jì)的OVATION系統(tǒng)不受硬件單一故障的影響，同時(shí)故障部件的維護(hù)對系統(tǒng)的功能也不會產(chǎn)生太大的影響。OVATION主要采用雙重冗余方式，雙重冗余是一種有效而相對簡單、配置靈活的冗余技術(shù)。OVATION通過電源冗余，網(wǎng)絡(luò)冗余，控制器冗余，I/O卡冗余等方法提高信號采集、傳輸、處理的可靠性，OVATION系統(tǒng)冗余結(jié)構(gòu)圖如圖1所示。

1.1 電源冗余

OVATION系統(tǒng)采用并聯(lián)冗余，配置為1：1冗余，OVATION機(jī)柜由EDS（非1E級電源和UPS系統(tǒng)）提供冗余電源，一路采用UPS電源供電作為主電源（優(yōu)先電源），另一路正常調(diào)壓變交流電供電作為次路電源，如圖2所示。

圖1 OVATION系統(tǒng)冗余結(jié)構(gòu)簡圖Fig.1 Diagram of redundant structure of ovation system

兩路220VAC電源通過機(jī)柜內(nèi)兩個冗余電源模塊共同分擔(dān)機(jī)柜負(fù)荷。Ovation電源模件接受AC輸入，輸出兩路彼此隔離并獨(dú)立的DC輸出。每個電源模塊均能承擔(dān)全部負(fù)荷，失去UPS電源或正常調(diào)壓變交流電源中的一路時(shí)，另一路電源可以提供穩(wěn)定可靠的電源輸出，向控制機(jī)柜的控制器，I/O卡、風(fēng)扇以及就地變送器供電，從而保證機(jī)柜能執(zhí)行正常的控制功能。

AP1000機(jī)柜電源冗余采用并聯(lián)冗余，無主、備之分，主路電源與次路電源熱備用共同承擔(dān)機(jī)柜內(nèi)負(fù)荷，無擾切換[3]，以保證機(jī)柜內(nèi)控制器、I/O卡可靠供電。

1.2 通訊網(wǎng)絡(luò)冗余

AP1000 OVATION網(wǎng)絡(luò)是實(shí)時(shí)、冗余網(wǎng)絡(luò)，用來連接工作站、控制器以及通訊網(wǎng)關(guān)等，OVATION冗余高速網(wǎng)絡(luò)采用快速以太網(wǎng)，傳遞輸入、輸出數(shù)據(jù)到工作站和控制器，網(wǎng)絡(luò)硬件采用交換機(jī)作為網(wǎng)絡(luò)的通訊設(shè)備。正常情況下主交換機(jī)構(gòu)成的主網(wǎng)通信，并監(jiān)測從網(wǎng)的狀態(tài)，一旦主網(wǎng)異常自動切換到從網(wǎng)。

AP1000 OVAITON系統(tǒng)網(wǎng)絡(luò)主要由主、備根交換機(jī)以及8個主FAN-OUT交換機(jī)和8個備FAN-OUT交換機(jī)組成，主、備根交換機(jī)各有一臺24個網(wǎng)口和2個SFP接口的交換機(jī)和一臺12個網(wǎng)口的交換機(jī)組成。每個主FAN-OUT交換機(jī)通過SFP2口與備FAN-OUT交換機(jī)SFP2口連接以實(shí)現(xiàn)主備FAN-OUT交換機(jī)冗余連接，而根交換機(jī)主備連接通過12口來實(shí)現(xiàn)。每個主FAN-OUT交換機(jī)通過SFP1口與上層主根交換機(jī)連接，每個備FAN-OUT交換機(jī)僅與備根交換機(jī)連接。主FAN-OUT交換機(jī)與主控制器的N2以及備用控制器的N3口連接，備FAN-OUT交換機(jī)與主控制器N3以及備用控制器N2口連接。

圖2 機(jī)柜供電簡圖Fig.2 Power supply diagram of cabinet

國內(nèi)部分火電項(xiàng)目采用OVATION系統(tǒng)，其網(wǎng)絡(luò)同樣由根交換機(jī)和FAN-OUT交換機(jī)組成，但其交換機(jī)的連接方式與AP1000 網(wǎng)絡(luò)架構(gòu)存在一定的差異性，最重要的差異在于AP1000 OVATION網(wǎng)絡(luò)主FAN-OUT交換機(jī)僅與主根交換機(jī)相連，備FAN-OUT交換機(jī)僅與備根交換機(jī)相連，而國內(nèi)火電項(xiàng)目OVAITON 網(wǎng)絡(luò)連接中主FAN-OUT交換機(jī)與主、備根交換機(jī)連接，備FAN-OUT交換機(jī)與主備根交換機(jī)連接。

AP1000冗余設(shè)計(jì)在于可避免單一故障，當(dāng)OVATION網(wǎng)絡(luò)主FAN-OUT交換機(jī)僅與主根交換機(jī)相連，備FAN-OUT交換機(jī)僅與備根交換機(jī)相連；當(dāng)網(wǎng)絡(luò)中FAN-OUT交換機(jī)與主根交換機(jī)相連或備FAN-OUT交換機(jī)與備根交換機(jī)相連的光纜故障時(shí)，不會對系統(tǒng)功能造成影響，滿足單一故障準(zhǔn)則；當(dāng)這兩根光纜同時(shí)故障時(shí)，會造成此FAN-OUT交換機(jī)所連接的工作站與控制器失去網(wǎng)絡(luò)通訊，但是這已不是單一故障，故AP1000采用的冗余連接方式，滿足單一故障原則。

1.3 控制器冗余

每個OVATION控制器機(jī)柜配置有兩個完全相同的冗余控制器。兩個控制器具有相同的操作系統(tǒng)、組態(tài)軟件、組態(tài)信息。一個運(yùn)行在工作狀態(tài)（主控制器），另外一個運(yùn)行在熱備用狀態(tài)（備用控制器）。正常運(yùn)行時(shí)，主控制器接受過程信息并進(jìn)行運(yùn)算處理。同時(shí)備用冗余控制器執(zhí)行診斷程序，監(jiān)視主控制器的工作狀態(tài)，周期查詢主控制器中的數(shù)據(jù)存儲器，接受主控制器發(fā)送的實(shí)時(shí)控制運(yùn)行信息。主控制器起著控制、輸出、實(shí)時(shí)過程信息發(fā)布等決定性的作用。主控制器故障時(shí)，備用控制器使用上一個周期主控制器的執(zhí)行結(jié)果，重新執(zhí)行出現(xiàn)故障時(shí)的任務(wù)。在切換過程中，不會出現(xiàn)數(shù)據(jù)的丟失和突變，實(shí)現(xiàn)主備控制器的無擾切換。主控制器和備用控制器數(shù)據(jù)狀態(tài)時(shí)刻保持同步。主控制器監(jiān)視備用控制器及其網(wǎng)絡(luò)運(yùn)行情況。備用控制器實(shí)時(shí)監(jiān)控主控制器數(shù)據(jù)及信息。冗余切換條件為控制處理器故障、網(wǎng)絡(luò)通訊故障、控制器電源斷電、控制處理器復(fù)位。

圖3 I/O卡冗余Fig.3 I/O Card redundancy

處于主控狀態(tài)的控制器，直接處理I/O的讀寫，執(zhí)行數(shù)據(jù)的獲取和控制功能；同時(shí)還監(jiān)視備用控制器及網(wǎng)絡(luò)的運(yùn)行情況，處于備用狀態(tài)的控制器實(shí)現(xiàn)診斷和監(jiān)視主控制器的狀態(tài)。其通過實(shí)時(shí)檢測主控處理器的數(shù)據(jù)內(nèi)存和接收主控處理器發(fā)往OVATION網(wǎng)絡(luò)的信息來維護(hù)數(shù)據(jù)的最新狀態(tài)，以保證備用控制器實(shí)時(shí)跟隨主控制器。

OVATION控制器冗余是為了實(shí)現(xiàn)自動故障切換運(yùn)行功能而裝配。自動故障切換是指若控制狀態(tài)處理失敗、監(jiān)視器檢測到未驅(qū)動主處理器的I/O接口就通知備用處理器，然后備用處理器就執(zhí)行I/O控制并且開始執(zhí)行過程控制。

1.4 I/O卡冗余

I/O卡冗余設(shè)計(jì)是OVATION在核電廠中提高控制可靠性的一個典型應(yīng)用。這種冗余的配置主要應(yīng)用在控制AP1000重要設(shè)備中。如穩(wěn)壓器電加熱器啟動，穩(wěn)壓器噴淋閥的開啟，這些設(shè)備要求控制系統(tǒng)的單一故障不會引起設(shè)備的相關(guān)功能喪失。文章前面已指出，OVATION系統(tǒng)配置了電源冗余，網(wǎng)絡(luò)冗余，控制器冗余，為了防止單一的I/O卡故障引起控制功能失效，OVATION設(shè)計(jì)了I/O卡冗余。如圖3是典型的冗余AO輸出方式，正常情況下主備I/O卡同時(shí)工作共同輸出目標(biāo)值，當(dāng)其中一塊AO卡故障時(shí)，系統(tǒng)自動由另一塊AO卡承擔(dān)全部輸出。

2 冗余切換問題分析

2.1 OVATION控制器冗余切換

OVATION控制器冗余切換試驗(yàn)是通過斷開控制器電源方式，即斷開主控制器電源，觀察備用控制器能夠正常工作；恢復(fù)主控制器電源，斷開備用控制器電源，觀察主控制器是否能夠正常工作。而在冗余控制器都正常運(yùn)行的狀況下，當(dāng)主控制器網(wǎng)絡(luò)故障時(shí)，系統(tǒng)會自動切換至備用控制器；當(dāng)主控制器網(wǎng)絡(luò)恢復(fù)后，此時(shí)切斷處于主控地位的控制器網(wǎng)絡(luò)后，系統(tǒng)并不能實(shí)現(xiàn)再次切換。此時(shí)兩個控制器的故障指示燈均亮。當(dāng)冗余控制器首次故障切換后，須盡快排查故障控制器；當(dāng)故障（光纜、光纜接頭、光電媒介轉(zhuǎn)換器等）修復(fù)后，控制器仍將處于故障狀態(tài)，應(yīng)確保其正常且實(shí)現(xiàn)重啟（故障指示燈恢復(fù)正常），可通過硬重啟或軟件重啟控制器，否則下次將無法冗余切換。

2.2 電源切換導(dǎo)致交換機(jī)意外重啟

主網(wǎng)絡(luò)柜主電源斷電，備用電源提供所有主網(wǎng)絡(luò)交換機(jī)電源，主電源恢復(fù)后，所有主網(wǎng)絡(luò)交換機(jī)電源仍由備用電源供電。當(dāng)備用電源斷電后，所有主網(wǎng)絡(luò)交換機(jī)失去電源且重啟。經(jīng)研究發(fā)現(xiàn)廠家絕大部分型號的交換機(jī)和冗余電源設(shè)備（RPS）配合使用時(shí)，由于兩者接口不完全兼容，均存在該固有特性即當(dāng)交換機(jī)內(nèi)部工作電源由次路直流電源提供時(shí)，即使主路電源恢復(fù)，也無法自動切換回主路電源，甚至當(dāng)冗余電源設(shè)備（RPS）停止提供直流電源時(shí)也無法切換回主路電源，從而導(dǎo)致交換機(jī)瞬時(shí)失電并重啟。交換機(jī)意外重啟，主網(wǎng)絡(luò)通訊瞬時(shí)中斷，接入網(wǎng)絡(luò)的所有設(shè)備（包括控制器、服務(wù)器和工作站主機(jī)）失去主網(wǎng)通訊，切換到次網(wǎng)，同時(shí)主網(wǎng)通訊的中斷也觸發(fā)大量通訊故障報(bào)警，給整個平臺的穩(wěn)定運(yùn)行造成影響。

交換機(jī)冗余電源切換問題可能導(dǎo)致交換機(jī)重啟，使得OVATION網(wǎng)絡(luò)處于不穩(wěn)定的狀態(tài)。如果在某種原因下優(yōu)先電源斷電，當(dāng)優(yōu)先電源恢復(fù)時(shí)，需在保證備用網(wǎng)絡(luò)交換機(jī)無故障的情況下，人為干預(yù)進(jìn)行交換機(jī)重啟切換，以減少對DCIS網(wǎng)絡(luò)帶來的潛在影響。

3 結(jié)語

冗余設(shè)計(jì)在AP1000 控制系統(tǒng)中得到了廣泛的應(yīng)用。相比常規(guī)的控制系統(tǒng)，AP1000冗余設(shè)計(jì)有自身的優(yōu)點(diǎn)：

1）冗余電源設(shè)計(jì)采用的熱備用方式，而不是采用電源自動切換裝置。電源自動切換裝置在切換時(shí)會造成ms級斷電，采用熱備用電源冗余的方式，一路電源故障由另一路電源承擔(dān)全部負(fù)荷，可以實(shí)現(xiàn)無擾切換。

2）OVATION網(wǎng)絡(luò)采用通用的冗余網(wǎng)絡(luò)，采用高速、高容量的商業(yè)化網(wǎng)絡(luò)硬件，基于開放式工業(yè)標(biāo)準(zhǔn)，OVATION系統(tǒng)能將第三方的產(chǎn)品很容易集成在一起。即使因交換機(jī)固有特性造成意外重啟，因采用冗余網(wǎng)絡(luò)，不會對整個平臺造成大的影響。

3）應(yīng)用了I/O卡冗余設(shè)計(jì)方法。除了采用常規(guī)DCS廠家設(shè)計(jì)的電源冗余，網(wǎng)絡(luò)冗余，控制器構(gòu)成DCS系統(tǒng)之外，將I/O卡冗余設(shè)計(jì)也應(yīng)用到DCS系統(tǒng)中，可以有效地應(yīng)對控制系統(tǒng)單一故障。

可靠性是DCS系統(tǒng)設(shè)計(jì)中一個重要的性能指標(biāo)，也是核電廠安全、高效、經(jīng)濟(jì)運(yùn)行的重要保障。除非有特別的需要或特別重要的部分，一般不輕易采用冗余的設(shè)計(jì)：第一是將大大提高系統(tǒng)的成本；第二是冗余設(shè)計(jì)是一種相當(dāng)復(fù)雜的技術(shù)，它可以解決很多可靠性問題，同時(shí)它本身也會帶來可靠性問題（如故障切換設(shè)備的不可冗余和切換過程帶來的干擾等）。AP1000 OVAITON系統(tǒng)電源、網(wǎng)絡(luò)、控制器以及部分I/O卡等采用了冗余設(shè)計(jì)，提高了系統(tǒng)可靠性。