賀偉超，馬吉強，龍 威（北京廣利核系統(tǒng)工程有限公司，北京 100094）

1 引言

冗余技術(shù)作為提高系統(tǒng)可靠性非常重要的一種手段，越來越被現(xiàn)代工業(yè)的設(shè)計者們所采用，它在現(xiàn)代工業(yè)生產(chǎn)中扮演越來越重要的角色，尤其是在重要工業(yè)生產(chǎn)線上承擔神經(jīng)大腦的數(shù)字控制系統(tǒng)更是大量采用冗余設(shè)計的理念，比如核電站儀控系統(tǒng)就大量采用了冗余設(shè)計的方法來提高系統(tǒng)可靠性。本文從冗余方法、冗余機理、和與它相關(guān)聯(lián)的技術(shù)及在實際中的工程應(yīng)用來闡述數(shù)字儀控系統(tǒng)的冗余設(shè)計。

2 冗余技術(shù)應(yīng)用

系統(tǒng)的冗余一般都是通過設(shè)備并聯(lián)來實現(xiàn)的，比如N取P系統(tǒng)中的二取一冗余方法、三取二冗余方法、四取二冗余方法、二取二方法、五取四方法等。每種冗余方法的基本機理都是通過設(shè)備并聯(lián)并輔以相應(yīng)的決策機制來完成冗余設(shè)計的，高冗余機制在其中有設(shè)備發(fā)生故障時，可以降級到低冗余機制運行，比如：四取二冗余方法當出現(xiàn)兩個設(shè)備同時故障時，可以降級到二取二方法運行。下面介紹一下具體冗余方法在實際工程中的一些應(yīng)用：

? 控制器冗余

控制器是整個數(shù)字儀控系統(tǒng)的核心，絕大多數(shù)的控制任務(wù)都由它來完成，控制器冗余配置后，一對控制器按照主從二取一冗余模式運行，在工作模式下，主機承擔系統(tǒng)的控制命令的發(fā)出，從機則處于熱備狀態(tài)，在執(zhí)行對主機診斷、監(jiān)視任務(wù)時，實時同步系統(tǒng)的運行數(shù)據(jù)，在主機功能異常的情況下，接替主機，成為系統(tǒng)任務(wù)的發(fā)出者。在考慮主從機切換時，必須實現(xiàn)主從無擾切換，從而保持系統(tǒng)工藝運行的平穩(wěn)性。

在具體實現(xiàn)控制器冗余時，有的平臺系統(tǒng)是以從機定時拷貝主機運行數(shù)據(jù)的方式運行，有的系統(tǒng)通過主從機自然同步的方法（即通過主從控制器上冗余的通信接口各自同時獲取同一信息源相同的信息）實現(xiàn)從機對系統(tǒng)信息的獲取，無論采用哪種方法，都要保證主從機切換對系統(tǒng)的影響滿足現(xiàn)場工藝無擾切換要求。采用主從機自然同步機制，系統(tǒng)的無擾能力會更好。

主從控制器在自然同步過程中必然會面臨主從數(shù)據(jù)可能不一致的問題，一旦差異產(chǎn)生，數(shù)據(jù)很難消除，所以當系統(tǒng)發(fā)現(xiàn)主從數(shù)據(jù)有不一致時必須有機制保障主從機數(shù)據(jù)的一致性，通常采用數(shù)據(jù)強制的方法，可采用初始化全盤賦值或者在運行的每個周期對重要變量進行比較賦值的方法來保障主從機數(shù)據(jù)的一致性。

? 數(shù)據(jù)服務(wù)器冗余

數(shù)據(jù)服務(wù)器作為系統(tǒng)數(shù)據(jù)的核心及數(shù)據(jù)鏈路的橋梁，它的健康狀況直接影響系統(tǒng)的正常運行。在單層網(wǎng)系統(tǒng)中，數(shù)據(jù)服務(wù)器為系統(tǒng)提供數(shù)據(jù)查詢服務(wù)，當數(shù)據(jù)服務(wù)器工作異常時，會導(dǎo)致上位機相關(guān)的數(shù)據(jù)查詢統(tǒng)計工作失效。在雙層網(wǎng)絡(luò)中，數(shù)據(jù)服務(wù)器承擔著更為重要的工作，比如輸入輸出轉(zhuǎn)換、歷史數(shù)據(jù)存儲、趨勢、報警、日志查詢服務(wù)、特殊運行復(fù)雜工藝數(shù)據(jù)的統(tǒng)計計算等任務(wù)，數(shù)據(jù)站的工作異常，直接會導(dǎo)致上位機操作故障，系統(tǒng)只能依賴下位機控制器的自主判斷及連鎖保護，系統(tǒng)的運行是非常危險的。所以在重要的儀控系統(tǒng)中，必須為儀控系統(tǒng)提供冗余的數(shù)據(jù)源，保證系統(tǒng)整體數(shù)據(jù)鏈路的正常工作，一般儀控系統(tǒng)采用二取一冗余方法運行。

一般系統(tǒng)配置兩臺數(shù)據(jù)站，在系統(tǒng)規(guī)模較大、計算處理任務(wù)較多時系統(tǒng)需要配置多于兩臺的數(shù)據(jù)站，分別具體處理特殊的交換任務(wù)。如歷史數(shù)據(jù)站、打印服務(wù)站、計算服務(wù)站、輸入輸出轉(zhuǎn)換服務(wù)站等。為了進一步增加數(shù)據(jù)站的可靠性，每臺數(shù)據(jù)站本身還需要配置冗余的電源模塊、磁盤陣列、冗余風扇、冗余網(wǎng)卡等設(shè)備。當主數(shù)據(jù)站故障時系統(tǒng)可以無擾的切換到輔助數(shù)據(jù)站進行正常運行。

? 電源冗余

電源作為儀控系統(tǒng)的能量來源，它的可靠性直接決定了儀控系統(tǒng)的可靠度，所以必須保障電源系統(tǒng)能夠安全、可靠、長期、穩(wěn)定的運行。在儀控系統(tǒng)的設(shè)計中，經(jīng)常采用多組電源模塊組成冗余電路對系統(tǒng)進行供電，比如采用二取一冗余方法的1+1型、N+1型等供電設(shè)計。當某一組或幾組電源出現(xiàn)故障無法正常工作時，則由其他熱備電源進行供電。因此，在對控制系統(tǒng)進行電源冗余設(shè)計時，必須根據(jù)所用電源的功率、可靠性以及系統(tǒng)所規(guī)定的最短平均無故障時間等參數(shù)來考慮電源的搭配設(shè)計。

典型電源組合示意圖如圖1、圖2所示。

圖1 1+1型

圖2 N+1型

? 網(wǎng)絡(luò)冗余

數(shù)字儀控系統(tǒng)的各個組成部分包括主控制器、網(wǎng)關(guān)、網(wǎng)絡(luò)連接模件、輸入輸出模件，它們之間的通信都是通過網(wǎng)絡(luò)通訊的方式來實現(xiàn)，如DCS（FCS）系統(tǒng)的設(shè)計極大的發(fā)揮了現(xiàn)代通訊技術(shù)的優(yōu)勢，極大的提升了現(xiàn)代工業(yè)的制造能力，所以網(wǎng)絡(luò)作為數(shù)字儀控系統(tǒng)的核心部件之一，它的可靠性是非常重要的。數(shù)字儀控系統(tǒng)的通訊技術(shù)中大量植入了冗余的設(shè)計理念，一般通過雙網(wǎng)進行通訊，一條網(wǎng)絡(luò)的缺失不會影響到系統(tǒng)本身的功能運行，給在線維修工作帶來了可能，并能保障生產(chǎn)系統(tǒng)的連續(xù)運行，其中各層的網(wǎng)絡(luò)設(shè)備通過冗余配置的交換機進行鏈路通訊連接。

在工控行業(yè)中，根據(jù)各自技術(shù)的特點采用的網(wǎng)絡(luò)結(jié)構(gòu)也不同，有把儀控系統(tǒng)網(wǎng)絡(luò)分成三層網(wǎng)運行的：控制器到輸入輸出模塊級網(wǎng)絡(luò)、控制器到數(shù)據(jù)服務(wù)器網(wǎng)絡(luò)、數(shù)據(jù)服務(wù)器到操作員站網(wǎng)絡(luò)；有把儀控系統(tǒng)網(wǎng)絡(luò)分成兩層網(wǎng)運行的：控制器到輸入輸出模塊級網(wǎng)絡(luò)、控制器到數(shù)據(jù)站/操作站網(wǎng)絡(luò)，雖然具體網(wǎng)絡(luò)形態(tài)不同，但網(wǎng)絡(luò)都采用了冗余的設(shè)計理念。

在正常運行時，系統(tǒng)能夠?qū)νㄓ嵕W(wǎng)絡(luò)狀態(tài)進行檢測，并選擇其中一條作為工作數(shù)據(jù)鏈路，另一條備用。當某工作鏈路出現(xiàn)故障時，系統(tǒng)能夠自動的判斷并無擾的將通信任務(wù)切換到另一條鏈路上以保障通訊的正常進行，同時給出網(wǎng)絡(luò)狀態(tài)提示信息。

典型的網(wǎng)絡(luò)結(jié)構(gòu)如圖3、圖4所示。

? 散熱設(shè)備冗余

儀控系統(tǒng)工作時需要考慮環(huán)境溫度的因素，周圍環(huán)境溫度太高會影響系統(tǒng)的穩(wěn)定性，當系統(tǒng)自然通風不能滿足系統(tǒng)環(huán)境溫度要求時，需要設(shè)計系統(tǒng)為強制通風散熱。在重要的儀控系統(tǒng)中采用冗余的散熱設(shè)備，比如采用二取一冗余方法的1+1散熱風扇設(shè)計，保障在其中一臺風扇故障時，另外一臺風扇單獨工作也能保持儀控系統(tǒng)溫度場的穩(wěn)定性。

? 操作站、工程師站冗余

系統(tǒng)配置多臺相同功能的操作員站及工程師站，各個操作員站在正常工作時按照工藝系統(tǒng)進行分工，當出現(xiàn)操作員站故障時，可以使用其他操作員站接替故障操作員站的工作，保證操作員站工作的正常進行，同時所有的工程師站作為操作員站的備份，當出現(xiàn)所有操作員站故障時，工程師站可以接替操作員站進行操作執(zhí)行。

圖3 兩層網(wǎng)絡(luò)結(jié)構(gòu)

圖4 三層網(wǎng)絡(luò)結(jié)構(gòu)

3 冗余方法的失效概率分析

（1）并聯(lián)系統(tǒng)的正常工作概率分析

兩個部件分別為A和B，假設(shè)部件的失效模式是完全獨立的，如果A或B正常工作，系統(tǒng)就會正常工作，只有當A和B同時失效時，系統(tǒng)才能失效。

圖5 并聯(lián)系統(tǒng)

RA設(shè)備A正常工作的概率；

FA設(shè)備A失效的概率；

RB設(shè)備B正常工作的概率；

FA設(shè)備B失效的概率；

RS系統(tǒng)正常工作的概率；

FS系統(tǒng)失效的概率。

系統(tǒng)正常工作的概率：

RS= RA+RB- RA.RB

系統(tǒng)失效率：

FS=FA.FB

把并聯(lián)系統(tǒng)擴展到N個具有獨立失效模式的設(shè)備并聯(lián)，可以計算出系統(tǒng)的失效概率：

FS=F1.F2¨¨¨FN

系統(tǒng)正常工作的概率：

RS= 1- FS

（2）幾種實用并聯(lián)冗余方法的機理失效模式分析

? 二取一冗余方法

假設(shè)兩個設(shè)備完全相同，二取一冗余方法的正常工作概率為：

系統(tǒng)失效率：

FS=1- RS

系統(tǒng)正常工作的概率、系統(tǒng)失效率具體計算：

假設(shè)設(shè)備A、B的正常工作概率都為0.98

RS=2*0.98-0.928=0.9996

FS=1-0.9996=0.0004

典型的正邏輯算法如圖6所示。

圖6 二取一冗余正邏輯算法

典型的繼電器電路如圖7所示。

圖7 二取一冗余繼電器電路

? 三取二冗余方法

假設(shè)三個設(shè)備完全相同，三取二冗余方法的正常工作概率為：

系統(tǒng)失效率：

FS=1- RS

系統(tǒng)正常工作的概率、系統(tǒng)失效率具體計算：

假設(shè)設(shè)備A、B、C的正常工作概率都為0.98

RS=3*0.928-3*0.948+0.968=0.999937900864

FS=1-0.999937900864=0.000062099136

典型的正邏輯算法如圖8所示。

圖8 三取二冗余正邏輯算法

典型的繼電器電路如圖9所示。

圖9 三取二冗余繼電器電路

? 四取二冗余方法

假設(shè)四個設(shè)備完全相同，四取二冗余方法的正常工作概率為：

系統(tǒng)失效率：

FS=1- RS

系統(tǒng)正常工作的概率、系統(tǒng)失效率具體計算：

假設(shè)設(shè)備A、B、C、D的正常工作概率都為0.98

RS=6*0.928-15*0.948+20*0.968-15*0.988+6*0.9108-0.9128=0.99999999614

FS=1-0.99999999614=0.00000000386

典型的正邏輯算法如圖10所示。

圖10 四取二冗余正邏輯算法

典型的繼電器電路如圖11所示。

圖11 四取二冗余繼電器電路

? 二取二方法

假設(shè)兩個設(shè)備完全相同，系統(tǒng)正常工作的概率：

系統(tǒng)失效率：

FS=1- RS

系統(tǒng)正常工作的概率、系統(tǒng)失效率具體計算：

假設(shè)設(shè)備A、B的正常工作概率都為0.98

RS=0.928= 0.9604

FS=1- 0.9604=0.0396

典型的正邏輯算法如圖12所示。

圖12 二取二正邏輯算法

典型的繼電器電路如圖13所示。

圖13 二取二繼電器電路

? 五取四冗余方法

假設(shè)五個設(shè)備完全相同，五取四冗余方法的正常工作概率為：

系統(tǒng)失效率：

FS=1- RS

系統(tǒng)正常工作的概率、系統(tǒng)失效率具體計算：

假設(shè)設(shè)備A、B、C、D、E的正常工作概率都為0.98

RS=3*0.948-3*0.988+0.9128=0.99953213598

FS=1-0.99953213598=0.00046786402

典型的正邏輯算法如圖14所示。

圖14 五取四正邏輯算法

典型的繼電器電路如圖15所示。

圖15 五取四繼電器電路

（3）幾種實用并聯(lián)冗余方法的機理失效模式比較冗余方法正常工作概率曲線圖如圖16所示。

圖16 正常工作概率曲線圖

從圖16中可以看出，系統(tǒng)正常工作概率依次從二取一、三取二、四取二開始逐漸提高，但當系統(tǒng)增加到五取四冗余時，系統(tǒng)的可靠性反而下降。當系統(tǒng)從四取二冗余降級到二取二時，系統(tǒng)的可靠性有一個顯著的下降，實際此時系統(tǒng)已經(jīng)不是嚴格意義上的冗余工作模式運行。所以如何選擇冗余方法，必須結(jié)合實際的系統(tǒng)可靠性要求，根據(jù)冗余方法的機理及實際系統(tǒng)的復(fù)雜度要求綜合考慮冗余方法的取用。

4 可靠性設(shè)計中的其他技術(shù)

在此處簡單介紹一下數(shù)字儀控系統(tǒng)可靠性設(shè)計中經(jīng)常采用的一些技術(shù)，方便讀者了解冗余性技術(shù)與其他可靠性保障技術(shù)的關(guān)系。

? 容錯技術(shù)

容錯技術(shù)就是當由于種種原因在系統(tǒng)中出現(xiàn)了數(shù)據(jù)、文件損壞或丟失時，系統(tǒng)能夠自動將這些損壞或丟失的文件和數(shù)據(jù)恢復(fù)到發(fā)生事故以前的狀態(tài)，使系統(tǒng)能夠連續(xù)正常運行的一種技術(shù)。比如服務(wù)器磁盤存儲陣列中的RAID5、通訊校驗中使用的CRC算法等。

? 故障診斷

利用各種檢查、測試、驗證、判斷方法，發(fā)現(xiàn)系統(tǒng)和設(shè)備是否存在故障的過程是故障診斷。冗余技術(shù)必須依賴準確的故障診斷機制才能真正發(fā)揮作用，就像醫(yī)生給病人看病一樣，醫(yī)生的診病過程就是數(shù)字儀控系統(tǒng)的故障診斷的過程，只有看準了病因，才能對癥下藥。在故障診斷后，及時由帶病單元切換為健康單元工作，并給出系統(tǒng)提示報警，及時進入在線更換維護流程，保持現(xiàn)場工藝機組的健康、長期、穩(wěn)定運行。良好的診斷機制是在充分考慮現(xiàn)場控制設(shè)備、工藝安全運行的基礎(chǔ)上得來的，有時儀控系統(tǒng)本身的設(shè)備安全往往和現(xiàn)場工藝設(shè)備的故障處理相矛盾，到底是先保設(shè)備還是先保工藝安全，需要綜合評價，最終找到一個平衡點，一般現(xiàn)在的儀控系統(tǒng)平臺都提供給了工程人員一定的手段去調(diào)整兩種情況的選擇。

? 降額

數(shù)字儀控系統(tǒng)的設(shè)備一般都為電氣設(shè)備，這些電氣設(shè)備又都是由一些電子元器件有機的組合而成，它們都有一定的使用條件，這些使用條件是以元器件的某些額定參數(shù)值來表示的。實踐證明，當元器件的工作條件低于額定值時，其工作比較穩(wěn)定，發(fā)生故障的機會也比較少。所以為了提高可靠性，往往將元器件降額使用。降額的幅度要從可靠性和經(jīng)濟性兩方面綜合考慮，因為元器件的額定參數(shù)越高，價格也越高，所以要結(jié)合實際系統(tǒng)應(yīng)用場合，進行合理的器件降額使用。降額技術(shù)的合理采用，可有效地減少系統(tǒng)對于冗余性的依賴，在同樣冗余設(shè)計能力下，可有效的提高系統(tǒng)的整體可靠度。

? 后備盤設(shè)備

后備盤設(shè)計本身也是一種冗余的理念設(shè)計，設(shè)計者對重要設(shè)備或控制回路可以采用手動后備的方法來提高整個系統(tǒng)的可靠性。一旦主設(shè)備操作失靈，可以切換到后備裝置控制生產(chǎn)過程。具體的后備設(shè)備可以由純電氣操作盤組成，也可以由獨立的數(shù)字系統(tǒng)組成，如核電數(shù)字儀控系統(tǒng)中：提供緊急停堆后備盤，來應(yīng)對處理反應(yīng)堆緊急狀態(tài)下的停堆操作。

? 系統(tǒng)故障輸出保持鎖定

當系統(tǒng)關(guān)鍵設(shè)備損壞（包含冗余設(shè)備）時，根據(jù)現(xiàn)場工藝系統(tǒng)設(shè)備安全位的要求，儀控系統(tǒng)通過輸出卡件故障保持安全輸出的方式來為現(xiàn)場工藝運行增加一道安全保護，把因為儀控系統(tǒng)本身故障造成的損失減少到最小。

? 電氣輔助回路保護

儀控系統(tǒng)指令信號的執(zhí)行一般都是通過電氣輔助回路進行轉(zhuǎn)換控制的，當儀控系統(tǒng)本身故障，失去相關(guān)機能時，可以通過電氣輔助回路保護回路的設(shè)計進一步減小故障造成的設(shè)備、工藝運行的損失，達到系統(tǒng)整體安全性的更優(yōu)化。

? 耐環(huán)境設(shè)計技術(shù)

在系統(tǒng)硬件的設(shè)計上，需要充分考慮各種環(huán)境因素的影響，采用適當?shù)睦鋮s、抗震、防塵、防腐等技術(shù)措施，以提高系統(tǒng)抵御外部環(huán)境侵襲的能力。如核電儀控系統(tǒng)中不同安全等級的儀控設(shè)備對抗震、防塵的要求都不同，設(shè)計者必須根據(jù)實際核安全要求，定制進行抗震、防塵、防腐設(shè)計，保障核電儀控系統(tǒng)的可靠性。

? 信號隔離

在機組信號通道分配時，注意機組重要信號的隔離，使同一設(shè)備的重要信號不在同一模件上配置。同時系統(tǒng)采用繼電器隔離的方式來實現(xiàn)模塊通道與現(xiàn)場全部隔離的要求，使現(xiàn)場的故障最大限度的與控制裝置本身隔離。隔離的技術(shù)從深層次上還是冗余設(shè)計的思想，保障系統(tǒng)關(guān)鍵部件在損壞的情況下，對系統(tǒng)造成的影響最小。

5 結(jié)論

數(shù)字儀控系統(tǒng)冗余設(shè)計策略作為一種被動的可靠性保障技術(shù)已經(jīng)廣泛的應(yīng)用到了我們實際的生產(chǎn)生活之中，從圖16中的數(shù)據(jù)可以得出，過于復(fù)雜的冗余設(shè)計并不一定能夠取得滿意的效果，隨著系統(tǒng)復(fù)雜性的提高，導(dǎo)致系統(tǒng)失效的故障也將隨之增多，系統(tǒng)反而可靠性下降，所以一套冗余系統(tǒng)是否可靠，必須結(jié)合生產(chǎn)工藝的實際情況進行設(shè)計，如核電廠中安全級儀控系統(tǒng)，儀控系統(tǒng)的冗余機制必須實際結(jié)合核安全保護系統(tǒng)實際的工藝需求進行量身定制（包含硬件、軟件），這樣才能夠真正保障核電站的可靠穩(wěn)定運行。

[1] 威廉?戈布爾, 白焰(譯), 董玲(譯), 楊國田(譯). 控制系統(tǒng)的安全評估與可靠性[M]. 中國電力出版社. 2008.

[2] 黃文君, 余建祥, 馮冬芹, 褚健. 控制系統(tǒng)的冗余策略和實現(xiàn)準則[J]. 儀器儀表學(xué)報.2004, 8.

[3] GB/T13626-2008, 單一故障準則應(yīng)用于核電廠安全系統(tǒng)[S].

[4] 田仲, 石君友. 系統(tǒng)測試性設(shè)計分析與驗證[M]. 北京航空航天大學(xué)出版社. 2003, 4,1.