1 引言

    冗余技術(shù)作為提高系統可靠性非常重要的一種手段，越來(lái)越被現代工業(yè)的設計者們所采用，它在現代工業(yè)生產(chǎn)中扮演越來(lái)越重要的角色，尤其是在重要工業(yè)生產(chǎn)線(xiàn)上承擔神經(jīng)大腦的數字控制系統更是大量采用冗余設計的理念，比如核電站儀控系統就大量采用了冗余設計的方法來(lái)提高系統可靠性。本文從冗余方法、冗余機理、和與它相關(guān)聯(lián)的技術(shù)及在實(shí)際中的工程應用來(lái)闡述數字儀控系統的冗余設計。

    2 冗余技術(shù)應用

    系統的冗余一般都是通過(guò)設備并聯(lián)來(lái)實(shí)現的，比如N取P系統中的二取一冗余方法、三取二冗余方法、四取二冗余方法、二取二方法、五取四方法等。每種冗余方法的基本機理都是通過(guò)設備并聯(lián)并輔以相應的決策機制來(lái)完成冗余設計的，高冗余機制在其中有設備發(fā)生故障時(shí)，可以降級到低冗余機制運行，比如：四取二冗余方法當出現兩個(gè)設備同時(shí)故障時(shí)，可以降級到二取二方法運行。下面介紹一下具體冗余方法在實(shí)際工程中的一些應用：
?
    控制器冗余

    控制器是整個(gè)數字儀控系統的核心，絕大多數的控制任務(wù)都由它來(lái)完成，控制器冗余配置后，一對控制器按照主從二取一冗余模式運行，在工作模式下，主機承擔系統的控制命令的發(fā)出，從機則處于熱備狀態(tài)，在執行對主機診斷、監視任務(wù)時(shí)，實(shí)時(shí)同步系統的運行數據，在主機功能異常的情況下，接替主機，成為系統任務(wù)的發(fā)出者。在考慮主從機切換時(shí)，必須實(shí)現主從無(wú)擾切換，從而保持系統工藝運行的平穩性。

    在具體實(shí)現控制器冗余時(shí)，有的平臺系統是以從機定時(shí)拷貝主機運行數據的方式運行，有的系統通過(guò)主從機自然同步的方法（即通過(guò)主從控制器上冗余的通信接口各自同時(shí)獲取同一信息源相同的信息）實(shí)現從機對系統信息的獲取，無(wú)論采用哪種方法，都要保證主從機切換對系統的影響滿(mǎn)足現場(chǎng)工藝無(wú)擾切換要求。采用主從機自然同步機制，系統的無(wú)擾能力會(huì )更好。

    主從控制器在自然同步過(guò)程中必然會(huì )面臨主從數據可能不一致的問(wèn)題，一旦差異產(chǎn)生，數據很難消除，所以當系統發(fā)現主從數據有不一致時(shí)必須有機制保障主從機數據的一致性，通常采用數據強制的方法，可采用初始化全盤(pán)賦值或者在運行的每個(gè)周期對重要變量進(jìn)行比較賦值的方法來(lái)保障主從機數據的一致性。
?
    數據服務(wù)器冗余

    數據服務(wù)器作為系統數據的核心及數據鏈路的橋梁，它的健康狀況直接影響系統的正常運行。在單層網(wǎng)系統中，數據服務(wù)器為系統提供數據查詢(xún)服務(wù)，當數據服務(wù)器工作異常時(shí)，會(huì )導致上位機相關(guān)的數據查詢(xún)統計工作失效。在雙層網(wǎng)絡(luò )中，數據服務(wù)器承擔著(zhù)更為重要的工作，比如輸入輸出轉換、歷史數據存儲、趨勢、報警、日志查詢(xún)服務(wù)、特殊運行復雜工藝數據的統計計算等任務(wù)，數據站的工作異常，直接會(huì )導致上位機操作故障，系統只能依賴(lài)下位機控制器的自主判斷及連鎖保護，系統的運行是非常危險的。所以在重要的儀控系統中，必須為儀控系統提供冗余的數據源，保證系統整體數據鏈路的正常工作，一般儀控系統采用二取一冗余方法運行。

    一般系統配置兩臺數據站，在系統規模較大、計算處理任務(wù)較多時(shí)系統需要配置多于兩臺的數據站，分別具體處理特殊的交換任務(wù)。比如歷史數據站、打印服務(wù)站、計算服務(wù)站、輸入輸出轉換服務(wù)站等。為了進(jìn)一步增加數據站的可靠性，每臺數據站本身還需要配置冗余的電源模塊、磁盤(pán)陣列、冗余風(fēng)扇、冗余網(wǎng)卡等設備。當主數據站故障時(shí)系統可以無(wú)擾的切換到輔助數據站進(jìn)行正常運行。
?
    電源冗余

    電源作為儀控系統的能量來(lái)源，它的可靠性直接決定了儀控系統的可靠度，所以必須保障電源系統能夠安全、可靠、長(cháng)期、穩定的運行。在儀控系統的設計中，經(jīng)常采用多組電源模塊組成冗余電路對系統進(jìn)行供電，比如采用二取一冗余方法的1+1型、N+1型等供電設計。當某一組或幾組電源出現故障無(wú)法正常工作時(shí)，則由其他熱備電源進(jìn)行供電。因此，在對控制系統進(jìn)行電源冗余設計時(shí)，必須根據所用電源的功率、可靠性以及系統所規定的最短平均無(wú)故障時(shí)間等參數來(lái)考慮電源的搭配設計。
典型電源組合示意圖：

                      
                                                      圖1 1+1型
                                          
                      
                                                     圖2 N+1型

?


    網(wǎng)絡(luò )冗余

    數字儀控系統的各個(gè)組成部分包括主控制器、網(wǎng)關(guān)、網(wǎng)絡(luò )連接模件、輸入輸出模件，它們之間的通信都是通過(guò)網(wǎng)絡(luò )通訊的方式來(lái)實(shí)現，比如DCS（FCS）系統的設計極大的發(fā)揮了現代通訊技術(shù)的優(yōu)勢，極大的提升了現代工業(yè)的制造能力，所以網(wǎng)絡(luò )作為數字儀控系統的核心部件之一，它的可靠性是非常重要的。數字儀控系統的通訊技術(shù)中大量植入了冗余的設計理念，一般通過(guò)雙網(wǎng)進(jìn)行通訊，一條網(wǎng)絡(luò )的缺失不會(huì )影響到系統本身的功能運行，給在線(xiàn)維修工作帶來(lái)了可能，并能保障生產(chǎn)系統的連續運行，其中各層的網(wǎng)絡(luò )設備通過(guò)冗余配置的交換機進(jìn)行鏈路通訊連接。

    在工控行業(yè)中，根據各自技術(shù)的特點(diǎn)采用的網(wǎng)絡(luò )結構也不同，有把儀控系統網(wǎng)絡(luò )分成三層網(wǎng)運行的：控制器到輸入輸出模塊級網(wǎng)絡(luò )、控制器到數據服務(wù)器網(wǎng)絡(luò )、數據服務(wù)器到操作員站網(wǎng)絡(luò )；有把儀控系統網(wǎng)絡(luò )分成兩層網(wǎng)運行的：控制器到輸入輸出模塊級網(wǎng)絡(luò )、控制器到數據站/操作站網(wǎng)絡(luò )，雖然具體網(wǎng)絡(luò )形態(tài)不同，但網(wǎng)絡(luò )都采用了冗余的設計理念。

    在正常運行時(shí)，系統能夠對通訊網(wǎng)絡(luò )狀態(tài)進(jìn)行檢測，并選擇其中一條作為工作數據鏈路，另一條備用。當某工作鏈路出現故障時(shí)，系統能夠自動(dòng)的判斷并無(wú)擾的將通信任務(wù)切換到另一條鏈路上以保障通訊的正常進(jìn)行，同時(shí)給出網(wǎng)絡(luò )狀態(tài)提示信息。

    典型的網(wǎng)絡(luò )結構：

                      
                                          圖3兩層網(wǎng)絡(luò )結構

                    
                                                 圖4 三層網(wǎng)絡(luò )結構

    散熱設備冗余

    儀控系統工作時(shí)需要考慮環(huán)境溫度的因素，周?chē)h(huán)境溫度太高會(huì )影響系統的穩定性，當系統自然通風(fēng)不能滿(mǎn)足系統環(huán)境溫度要求時(shí)，需要設計系統為強制通風(fēng)散熱。在重要的儀控系統中采用冗余的散熱設備，比如采用二取一冗余方法的1+1散熱風(fēng)扇設計，保障在其中一臺風(fēng)扇故障時(shí)，另外一臺風(fēng)扇單獨工作也能保持儀控系統溫度場(chǎng)的穩定性。
?
    操作站、工程師站冗余

    系統配置多臺相同功能的操作員站及工程師站，各個(gè)操作員站在正常工作時(shí)按照工藝系統進(jìn)行分工，當出現操作員站故障時(shí)，可以使用其他操作員站接替故障操作員站的工作，保證操作員站工作的正常進(jìn)行，同時(shí)所有的工程師站作為操作員站的備份，當出現所有操作員站故障時(shí)，工程師站可以接替操作員站進(jìn)行操作執行。

    3 冗余方法的失效概率分析

    1）并聯(lián)系統的正常工作概率分析：

    兩個(gè)部件分別為A和B，假設部件的失效模式是完全獨立的，如果A或B正常工作，系統就會(huì )正常工作，只有當A和B同時(shí)失效時(shí)，系統才能失效。
 
                    
                                             圖5 并聯(lián)系統

    R_A 設備A正常工作的概率；

    F_A 設備A失效的概率；

    R_B 設備B正常工作的概率；

    F_A 設備B失效的概率；

    R_S 系統正常工作的概率；

    F_S 系統失效的概率。

    系統正常工作的概率：

    R_S= R_A+R_B- R_A.R_B

    系統失效率：

    F_S=F_A.F_B

    我們把并聯(lián)系統擴展到N個(gè)具有獨立失效模式的設備并聯(lián)，可以計算出系統的失效概率：

    F_S=F₁.F₂¨¨¨F_N

    系統正常工作的概率：

    R_S= 1- F_S

    2）幾種實(shí)用并聯(lián)冗余方法的機理失效模式分析：
?
    二取一冗余方法

    假設兩個(gè)設備完全相同，二取一冗余方法的正常工作概率為：

    R_S= 2_R1- R₁

    系統失效率：

    F_S=1- R_S

    系統正常工作的概率、系統失效率具體計算：

    假設設備A、B的正常工作概率都為0.98

    R_S=2*0.98-0.98=0.9996

    F_S=1-0.9996=0.0004

    典型的正邏輯算法：

                        
                                      圖6 二取一冗余正邏輯算法

    典型的繼電器電路:
  
                
                                        圖7 二取一冗余繼電器電路
?
    三取二冗余方法

    假設三個(gè)設備完全相同，三取二冗余方法的正常工作概率為：

    R_S= 3 R²₁-3 R⁴₁+R⁶₁

    系統失效率：

    F_S=1- R_S

    系統正常工作的概率、系統失效率具體計算：

    假設設備A、B、C的正常工作概率都為0.98

    R_S=3*0.9²8-3*0.9⁴8+0.9⁶8=0.999937900864

    F_S=1-0.999937900864=0.000062099136

    典型的正邏輯算法：
  
                        
                                   圖8 三取二冗余正邏輯算法

    典型的繼電器電路:
   
                     
                                  圖9 三取二冗余繼電器電路
?
    四取二冗余方法

    假設四個(gè)設備完全相同，四取二冗余方法的正常工作概率為：

    R_S=6R²₁-15 R⁴₁+20R⁶₁-15R⁸₁+6R¹⁰₁-R¹²₁

    系統失效率：

    F_S=1- R_S

    系統正常工作的概率、系統失效率具體計算：

    假設設備A、B、C、D的正常工作概率都為0.98

    R_S=6*0.9²8-15*0.9⁴8+20*0.9⁶8-15*0.9⁸8+6*0.9¹⁰8-0.9²8=0.99999999614

    F_S=1-0.99999999614=0.00000000386

典型的正邏輯算法：
  
                    
                                圖10 四取二冗余正邏輯算法

     典型的繼電器電路:
  
                 
                               圖11 四取二冗余繼電器電路
?
    二取二方法

    假設兩個(gè)設備完全相同，系統正常工作的概率：

    R_S= R₁ R₂=R₁

    系統失效率：

    F_S=1- R_S

    系統正常工作的概率、系統失效率具體計算：

    假設設備A、B的正常工作概率都為0.98

    R_S=0.98= 0.9604

    F_S=1- 0.9604=0.0396

    典型的正邏輯算法：
  
                   
                              圖12 二取二正邏輯算法

    典型的繼電器電路:
  
                   
                             圖13 二取二繼電器電路
?
     五取四冗余方法

    假設五個(gè)設備完全相同，五取四冗余方法的正常工作概率為：

    R_S=3R⁴₁-3 R⁸₁+R¹²₁

    系統失效率：

    F_S=1- R_S

    系統正常工作的概率、系統失效率具體計算：

    假設設備A、B、C、D、E的正常工作概率都為0.98

    R_S=3*0.9⁴8-3*0.9⁸8+0.9¹²8=0.99953213598

    F_S=1-0.99953213598=0.00046786402

    典型的正邏輯算法：

                 
                             圖14 五取四正邏輯算法 

    典型的繼電器電路:
  
                            
                           圖15 五取四繼電器電路

    3）幾種實(shí)用并聯(lián)冗余方法的機理失效模式比較：

    冗余方法正常工作概率曲線(xiàn)圖：
  
                      
                              圖16 正常工作概率曲線(xiàn)圖

    從圖上中可以看出，系統正常工作概率依次從二取一、三取二、四取二開(kāi)始逐漸提高，但當系統增加到五取四冗余時(shí)，系統的可靠性反而下降。當系統從四取二冗余降級到二取二時(shí)，系統的可靠性有一個(gè)顯著(zhù)的下降，實(shí)際此時(shí)系統已經(jīng)不是嚴格意義上的冗余工作模式運行。所以如何選擇冗余方法，必須結合實(shí)際的系統可靠性要求，根據冗余方法的機理及實(shí)際系統的復雜度要求綜合考慮冗余方法的取用。

    4 可靠性設計中的其他技術(shù)

    在此處我們簡(jiǎn)單介紹數字儀控系統可靠性設計中經(jīng)常采用的一些技術(shù)，方便讀者了解冗余性技術(shù)與其他可靠性保障技術(shù)的關(guān)系。
?
    容錯技術(shù)

    容錯技術(shù)就是當由于種種原因在系統中出現了數據、文件損壞或丟失時(shí)，系統能夠自動(dòng)將這些損壞或丟失的文件和數據恢復到發(fā)生事故以前的狀態(tài)，使系統能夠連續正常運行的一種技術(shù)。比如服務(wù)器磁盤(pán)存儲陣列中的RAID5、通訊校驗中使用的CRC算法等。
?
    故障診斷

    利用各種檢查、測試、驗證、判斷方法，發(fā)現系統和設備是否存在故障的過(guò)程是故障診斷。冗余技術(shù)必須依賴(lài)準確的故障診斷機制才能真正發(fā)揮作用，就像醫生給病人看病一樣，醫生的診病過(guò)程就是數字儀控系統的故障診斷的過(guò)程，只有看準了病因，才能對癥下藥。在故障診斷后，及時(shí)由帶病單元切換為健康單元工作，并給出系統提示報警，及時(shí)進(jìn)入在線(xiàn)更換維護流程，保持現場(chǎng)工藝機組的健康、長(cháng)期、穩定運行。良好的診斷機制是在充分考慮現場(chǎng)控制設備、工藝安全運行的基礎上得來(lái)的，有時(shí)儀控系統本身的設備安全往往和現場(chǎng)工藝設備的故障處理相矛盾，到底是先保設備還是先保工藝安全，需要綜合評價(jià)，最終找到一個(gè)平衡點(diǎn)，一般現在的儀控系統平臺都提供給了工程人員一定的手段去調整兩種情況的選擇。
?
     降額

    數字儀控系統的設備一般都為電氣設備，這些電氣設備又都是由一些電子元器件有機的組合而成，它們都有一定的使用條件，這些使用條件是以元器件的某些額定參數值來(lái)表示的。實(shí)踐證明，當元器件的工作條件低于額定值時(shí)，其工作比較穩定，發(fā)生故障的機會(huì )也比較少。所以為了提高可靠性，往往將元器件降額使用。降額的幅度要從可靠性和經(jīng)濟性?xún)煞矫婢C合考慮，因為元器件的額定參數越高，價(jià)格也越高，所以我們要結合實(shí)際系統應用場(chǎng)合，進(jìn)行合理的器件降額使用。降額技術(shù)的合理采用，可有效地減少系統對于冗余性的依賴(lài)，在同樣冗余設計能力下，可有效的提高系統的整體可靠度。
?
    后備盤(pán)設備

    后備盤(pán)設計本身也是一種冗余的理念設計，設計者對重要設備或控制回路可以采用手動(dòng)后備的方法來(lái)提高整個(gè)系統的可靠性。一旦主設備操作失靈，可以切換到后備裝置控制生產(chǎn)過(guò)程。具體的后備設備可以由純電氣操作盤(pán)組成，也可以由獨立的數字系統組成，比如：核電數字儀控系統中：提供緊急停堆后備盤(pán)，來(lái)應對處理反應堆緊急狀態(tài)下的停堆操作。

    系統故障輸出保持鎖定

    當系統關(guān)鍵設備損壞（包含冗余設備）時(shí)，根據現場(chǎng)工藝系統設備安全位的要求，儀控系統通過(guò)輸出卡件故障保持安全輸出的方式來(lái)為現場(chǎng)工藝運行增加一道安全保護，把因為儀控系統本身故障造成的損失減少到最小。
?
    電氣輔助回路保護

    儀控系統指令信號的執行一般都是通過(guò)電氣輔助回路進(jìn)行轉換控制的，當儀控系統本身故障，失去相關(guān)機能時(shí)，我們可以通過(guò)電氣輔助回路保護回路的設計進(jìn)一步減小故障造成的設備、工藝運行的損失，達到系統整體安全性的更優(yōu)化。
?
    耐環(huán)境設計技術(shù)

    在系統硬件的設計上，需要充分考慮各種環(huán)境因素的影響，采用適當的冷卻、抗震、防塵、防腐等技術(shù)措施，以提高系統抵御外部環(huán)境侵襲的能力。比如：核電儀控系統中不同安全等級的儀控設備對抗震、防塵的要求都不同，設計者必須根據實(shí)際核安全要求，定制進(jìn)行抗震、防塵、防腐設計，保障核電儀控系統的可靠性。

    信號隔離

    在機組信號通道分配時(shí)，注意機組重要信號的隔離，使同一設備的重要信號不在同一模件上配置。同時(shí)系統采用繼電器隔離的方式來(lái)實(shí)現模塊通道與現場(chǎng)全部隔離的要求，使現場(chǎng)的故障最大限度的與控制裝置本身隔離。隔離的技術(shù)從深層次上還是冗余設計的思想，保障系統關(guān)鍵部件在損壞的情況下，對系統造成的影響最小。

    5 結論

    數字儀控系統冗余設計策略作為一種被動(dòng)的可靠性保障技術(shù)已經(jīng)廣泛的應用到了我們實(shí)際的生產(chǎn)生活之中，從圖16中的數據可以得出，過(guò)于復雜的冗余設計并不一定能夠取得滿(mǎn)意的效果，隨著(zhù)系統復雜性的提高，導致系統失效的故障也將隨之增多，系統反而可靠性下降，所以一套冗余系統是否可靠，必須結合生產(chǎn)工藝的實(shí)際情況進(jìn)行設計，比如：核電廠(chǎng)中安全級儀控系統，儀控系統的冗余機制必須實(shí)際結合核安全保護系統實(shí)際的工藝需求進(jìn)行量身定制（包含硬件、軟件），這樣才能夠真正保障核電站的可靠穩定運行。

    參考文獻：

    【1】 控制系統的安全評估與可靠性. 中國電力出版社. 2008,10

    【2】 控制系統的冗余策略和實(shí)現準則. 儀器儀表學(xué)報.2004,8

    【3】 GB/T13626-2008單一故障準則應用于核電廠(chǎng)安全系統. 中華人民共和國國家標準. 中華人民共和國國家質(zhì)量監督檢驗檢疫總局、中國國家標準化管理委員會(huì ).2008,7,18

    【4】 系統測試性設計分析與驗證. 北京航空航天大學(xué)出版社. 田仲 石君友2003,4,1

    作者簡(jiǎn)介： 

    賀偉超（1979-）男，工程師，2003年畢業(yè)于燕山大學(xué)電氣工程學(xué)院自動(dòng)化系?，F從事核電站數字化儀控系統的工程設計、實(shí)現。

    馬吉強（1974-）高級工程師，畢業(yè)于華北電力大學(xué)。北京廣利核系統工程有限公司工程部經(jīng)理。

    龍威（1968-）畢業(yè)于華中理工大學(xué)電信系?，F從事核電站數字化儀控系統的硬件質(zhì)量控制工作。

     摘自《自動(dòng)化博覽》2011年第六期