文献标识码：B文章编号：1003-0492（2024）07-086-04中图分类号：TP273

★刘昕亚，宋宪均（北京广利核系统工程有限公司，北京100094）

★张天元（辽宁红沿河核电有限公司，辽宁大连116319）

关键词：DCS；冗余；切换；电源；服务器

1　引言

核电站DCS系统是保证核电安全的重要设备，当DCS系统某一设备发生故障或损坏时，必须要有备用部件运行并承担故障部件的工作，自动启用后备设备替代故障设备，由此减少系统设备的故障时间，自动备援，保障DCS系统的安全性和稳定性，提升设备的可用性。为了检测备用设备的功能和性能指标，核电DCS系统配备了冗余机制，当系统中的某个设备被诊断出故障时，设备自动重启或主备切换^[1]。冗余切换试验系统测试每个设备的冗余功能，在核电机组每个换料周期必须检查设备的冗余功能。所以，核电站DCS系统定期进行冗余设备切换试验，对切换试验不合格的设备进行更换或维修。核电DCS控制系统的冗余技术，大大提高了系统的可用性，降低了设备的失效率，但同时增加了设计的复杂度和设计难度。

2　DCS冗余策略介绍

冗余是指系统或设备增加一套功能或部件相同，故障时保证系统正常工作降低故障率的技术。DCS系统冗余的分类方法多种多样，按照冗余的程度可分为2取1、3取2、4取2和N取1冗余等多种，其中2取1的部件级热冗余是国内外主流方向，核电DCS设备都是2取1冗余，系统结构如图1所示。

基于核电厂DCS系统冗余配置，计算得出了系统的稳态可用度和平均无故障工作时间^[2]，最终可以提高整个系统的平均无故障时间（MTBF），缩短平均故障修复时间（MTTR）。本文介绍了主要设备冗余，如服务器、主控制器、电源和网络，其他附属设备与主设备冗余功能和原理相同，不再累述。

图1 系统冗余结构图

3　DCS冗余试验介绍

本文主要介绍服务器、控制器、电源和网络冗余试验，试验设备类型如图2所示。

图2 试验设备类型图

3.1服务器切换试验

核电厂DCS系统服务器是管理资源并为用户提供服务的计算机设备，服务器响应服务请求并进行计算处理，为使用者提供准确可靠的服务。服务器根据服务类型分为计算服务器、I/O服务器和历史服务器。计算服务器负责为管理层提供实时库服务，管理和维护实时数据库，记录实时采集的工艺数据和运算中间量结果，判断报警，产生相关日志和报警事件，并提供历史数据库的读写访问。I/O服务器负责与I/O数据采集，实现数据交换。历史服务器负责存档服务。计算服务器是主从方式冗余配置，服务器主机采集数据，将采集到的数据存储在相应的输入存储单元中，经过数据处理，逻辑运算，然后再进行输出；而作为从机的热备用服务器不采集外部数据，而是从服务器主机输入存储单元中拷贝数据，并进行数据处理和运算但不输出，只是输入数据信息时刻与主机运行的服务器保持一致；当主机服务器出现故障时，服务器从机自动切换为主机，把从主机的输入数据拷贝过来，进行数据处理运算，然后进行数据输出。本文主要介绍计算服务器切换试验，I/O服务器属于并行冗余设备不做切换试验。

计算服务器冗余切换试验是主用和备用设备间的切换试验，目的是检验备用状态下的设备随时可以投入运行。核电机组大修进行服务器切换试验，切换前后对试验设备和相关系统进行详细记录和检查，试验中出现异常问题要停止试验，操作时防止人因失误，对预期出现相应的报警提前告知运行操纵员。下面以计算服务器为例说明试验步骤：

（1）试验前，登录DCS系统检查两台计算服务器的状态，在操作员站上选取物理点的实时趋势曲线，在画面上调出故障信息列表，确认无计算服务器相关报警。

（2）打开服务器切换界面，计算服务器主机状态为绿色，从机状态为黄色，当前两台服务器A机为主机，B机为从机；将A机为主切换到B机为主，在“服务器切换”界面中，选中“设置计算服务器B为主”。在界面中点击“切换计算服务器”按钮，切换后弹出“切换计算服务器成功”提示。

（3）切换成功后，服务器A机状态显示黄色，B机状态显示绿色；查看所选测点信号趋势无断线和跃变，仪控故障报警信息全部恢复正常，记录试验结果。

（4）切换成功后，再用相同操作步骤将服务器由B机切换到A机为主；查看测点信号趋势和仪控故障报警信息，并记录试验结果。历史服务器切换方法相同。

切换过程中，仪控故障报警列表中服务器相关报警正常；试验点历史趋势无虚线、跳变等异常曲线；系统状态图中，服务器的状态变化正常，判断为试验合格。切换试验中发现设备或系统异常，应停止工作及时反馈。试验必须严格执行唱票操作监护制度，按试验程序逐项进行操作。

3.2　控制器切换试验

核电厂DCS系统运行控制程序的设备为主控制器模块，作用是实现对I/O模块的数据采集和运算，以及上位机的数据交换，是系统网和控制网之间的枢纽。每个控制站由两块主控制器组成主备冗余配置。故障检测技术，仲裁和切换技术是DCS系统实现模块冗余的关键，实现看门狗复位切主、自动抢主和智能升主等冗余切换逻辑^[3]。主控制器采用主备运算同步方式实现无扰切换。两个主控制器运算保持同步，输出单一结果。控制器自动切换原理如图3所示。

图3 控制器自动切换原理

DCS系统控制冗余试验是验证冗余切换功能和启动时间测试。冗余切换操作时，控制器A与控制器B是一对冗余控制器，它们与I/O卡在同一条总线上^[4]。下面介绍控制器切换试验方法，主控制器切换方法如下：

试验开始，工作人员通知操纵员控制器冗余切换试验会产生相关的报警。先记录主控制器主从状态，选择一组模拟量和开关量信号作为试验观察信号，添加到趋势组查看切换前后的曲线。两个切换方式如下：

第一种方法，打开系统状态图，确认控制站两个主控制器和网络状态均正常，在控制站里查看主控制器与I/O模块网络正常，系统无任何主控制器的故障报警。在工程师站使用网络远程登录控制站后，使用Reboot指令重启主控制器A机，使A机自动无扰切换B机为主运行，控制器A机变成从机。待切换完成后10分钟，主从控制器数据完成同步传输，再进行B机重启操作，方法同上。

第二种方法，采用机柜内切换操作，检查两个控制器状态灯正常，确认功能位置码，按下主控制器Reset键进行重启，主控制器复位后所有指示灯熄灭，系统状态图中主控制器主机状态由绿色变成红色，主控制器从机升为主机状态由黄色变成绿色，检查所有I/O模块状态正常，模拟量和开关量趋势曲线无断线、无虚线、无突变等异常情况。间隔10分钟后，再对主控制器B机重启，方法同A机操作相同。

在系统日志里记录每次主控制器重启时间，主控制器冗余切换不超过1分钟，判定试验合格。经过多次切换时间统计，按最大时间记录，试验结果见表1。

表1 控制器切换时间

切换试验分析表明，控制器冗余切换没有对信号回路和网络造成影响，切换时间满足程序要求。多次试验证明，主控制器冗余功能在核电厂DCS系统应用中完全满足系统技术要求。

3.3　电源切换试验

核电备用电源自动投切装置尤为重要^[5]。核电厂DCS电压类型分为交流和直流电源，交流220V电源为配电柜、现场控制站、服务器柜、网关柜、网络柜等供电，直流48V、24V、5V电源为机柜内设备供电。

核电厂交直流转换电源模块需要定期切换试验，以24V直流电源模块检查切换为例，试验方法如下：

（1）工作前，核对设备标牌，确认DCS系统画面上无相关电源报警；检查电源模块外观良好、整洁、无异味、无噪声，电源指示灯正常。

（2）用万用表交流电压档测量两路220V交流电压，电压的允许误差为量程±10%即电压输出范围198～242VAC，判断输入电压合格做好记录，如果电压超出此范围，则需另行处理。

（3）万用表测量24V电源模块输出端正负间电压，电压允许误差为量程±10%即电压输出范围在21.6～26.4VDC内，判断输出电压合格则做好记录。若电源模块输出电压不合格，超过允许误差范围则进行调整，使电源输出电压处于合格范围内，再进行电源切换试验。

（4）在带负荷状态下断开A模块输出端开关，使负载全部加载B模块运行，使用万用表检测B模块电压值，输出电压范围不超过允许范围，闭合A模块下游开关，A模块切换完成。B模块检测方法与A模块相同，如果电源模块的电流值不满足设计要求，则更换电源模块。

测试前做好风险分析和预防措施，执行中防止出现短路和触电的风险。

3.4　网络冗余切换

核电站DCS系统数据每时每刻实时传输和计算，系统支持不同网段的相互冗余。非安全级DCS网络结构分为监控网（MNET）、系统网（SNET）、控制网（CNET）。

网络切换试验是通过停止一个或一列网络设备工作的方式，验证DCS系统网络的运行正常。每次只对一个网络制造故障，使网络通讯设备断电或网络断开，通常是对交换机断电重启试验网络冗余功能。监控网络和系统网络的试验方法相同，控制网通过主控制器切换验证。冗余网络如图4所示。

图4 冗余网络图

DCS网络由两个冗余环网组成，冗余切换试验是对所有交换机进行逐一断电操作，操作步骤如下：

开工前，检查监控网络状态无异常，通知操纵员开始冗余切换试验，在工程师站选择一组模拟量和开关量信号作为试验通道，添加到趋势组查看；对监控网的交换机逐一断开重启，确定产生的报警和风险；交换机重启时，在系统状态图检查交换机状态为故障，在工程师站上查看相关的报警信息；在选取的试验通道趋势组查看曲线无断线、无虚线异常情况；重启交换机后，检查系统状态图中对应的网络状态恢复正常；在系统报警列表中，无网络相关的故障报警，试验完成。

系统网络恢复后检查试验的交换机可用后，再对另外一个交换机进行断电重启操作。切换试验前后，检查信号可以正常显示，历史趋势无断线、变化、扰动等情况，证明试验切换成功，冗余功能完整可用。

4　结束语

冗余切换试验方法通过多轮机组大修活动的检验，充分验证了DCS系统冗余设备可用性，满足核电站对DCS冗余设备的检验结果。根据二取一（1+1）冗余方法计算，冗余配置的两个设备完全相同，RA为n个设备A级联正常工作的概率；R为系统正常工作的概率；F为系统失效的概率。

正常工作率为：R=2R_A-R²A，系统失效率：F=1-R。

系统正常工作的概率、系统失效率计算：假设A1、A2工作概率都是0.98，R_s=2×0.98-0.982=0.9996，系统失效率F_s=1-0.9996=0.0004^[6]。

我们通过冗余切换试验方法对DCS系统关键设备进行了冗余功能试验。该方法保障了冗余设备可信性、可用性，可以推广到其他非核行业DCS冗余设备的试验活动中，具有较高的可行性和应用价值。

作者简介：

刘昕亚（1973-），吉林白城人，学士，现就职于北京广利核系统工程有限公司，主要研究方向为核电站仪控系统工程设计。

参考文献：

[1] 李华龙, 张颖颖. 一种DCS系统冗余结构设计与实现[J]. 电脑知识与技术, 2009, 12 (15) : 1.

[2] 黎邵平, 李锡文. 双机热冗余控制系统的可靠性分析[J]. 自动化技术与应用, 2006, 25 (12) : 3.

[3] 李蒙, 史洪源, 董伟杰. 模块无扰冗余切换技术在DCS中的实现[J]. 自动化仪表, 2011, 32 (6) : 4.

[4] 侯红立. 电源切换装置在DCS系统中的应用[J]. 机电信息, 2010.

[5] 刘志凯, 梁成华. 安全级DCS平台零延时冗余切换方法: CN108227474A[P]. 2018.

[6] 贺伟超, 孟广国, 宋立新, 等. 冗余开关电源均流试验分析[J]. 电源技术与应用, 2012.

摘自《自动化博览》2024年7月刊