分散控制系统冗余性能测试方法的研究

张 锷，祝广场，余小敏

（华电电力科学研究院 中南区域中心，武汉 430062）

随着计算机过程控制技术的发展和国内电力企业自动控制水平的提高，分散控制系统已经在电厂得到广泛的应用。DCS作为发电厂过程控制的“大脑”，其系统的稳定和可靠性直接关系到机组的安全稳定运行[1]。

由于设备厂家较多，设计理念和设备的工艺制作水平不一样，DCS系统在实际运行过程中暴露诸多问题。查看近几年各发电集团的事故非停调查报告，发现多起因DCS系统的容错与冗余功能可靠性低引起的事故。各种事故非停和降出力，有的是由控制器切换过程中未实现冗余切换，信号误发导致机组非停；有的是由电源切换过程中没有实现冗余切换使有关辅机设备跳闸导致机组降出力；还有的是由于通信网络暂时失电导致控制器脱网引发事故等。

针对因容错与冗余切换导致事故频发的情况，如何从应用角度对DCS系统容错与冗余切换测试作出评价越来越受到发电企业的关注。有关热工技术标准虽然提到系统容错与冗余测试定性的测试方法和指标，但在实际工作中缺乏具有指导意义的定量测试方法和系统性能评估体系。

本文在查找众多文献与资料的基础上提出一种较全面的容错与冗余切换测试方法及评价体系。本文就控制器冗余切换、控制系统电源冗余切换、通信网络的冗余切换测试等具体项目的测试方法进行介绍、并提供相关的试验数据给予定量的性能评估方法，说明测试结果。

1 DCS系统冗余测试

1.1 控制器切换测试

DCS控制器主要功能是将接收到的现场信号和数据进行计算和处理后转化为相应的控制量输出值送至执行机构驱动就地控制对象。若控制器出现故障将导致失去对重要参数的监视和对工艺过程的控制能力。因此所有的DCS都对控制器进行冗余设计。

工业生产中DCS控制器采用完整的热备用冗余，一台主控制器，另一台为备用，并设立了故障判断机制，当主控制器发生故障，备用控制器立即投入运行。为保证控制器能实现无扰切换，必须保证主备控制器在任何时候都具备相同的状态。

目前控制器冗余切换都是采用定性方法进行测试，人为模拟主控制器故障时，备用控制器应自动投入工作，备用控制器不得出错、脱网，控制系统状态指示应正确，控制输出不产生扰动和突变。采用定量方法进行控制器切换时间测试，建立如图1所示控制逻辑。

图1 控制器切换时间测试逻辑Fig.1 Logic diagram of controller switching time test

图1中非门的输出接输入，并同时连接到过程站内的一路DO通道，考虑到控制器周期在一个页面运算周期内完成 “接收采集的新数据—数据处理—发送处理数据结果”的循环，非门的输出端在一个处理周期内的状态会改变一次，表现为开关量的0和1之间进行系统的翻转，将DO通道接入高速数据采集装置，测试在切换过程中控制器周期是否发生变化[2]。

该方法是通过一路DO通道，使其输出状态在控制器的每一个周期进行交替变化，测试在冗余切换过程中这种交替变化的输出规律能否得到保持。

如图2所示为控制器切换测试过程中记录的运算周期波形。

图2 控制器切换波形Fig.2 Waveform of controller switching

从图2可知，切换之前的每一个低电平或高电平持续时间是主控制器的处理周期，而在周期突变后平稳的每一个低电平或高电平持续时间是备用控制器的处理周期。

通过该方法可以计算出主备控制器的处理周期，从图中可以看出，周期突变部分即为控制器切换的时刻。其切换时间为突变部分的时间与实际处理周期的差。

该测试可以提醒热工维护人员当发现某个控制器的切换时间较大，特别是切换时间达到4～5个扫描周期时，则需要检查控制器的运行性能和控制器的运行负荷，对于特别重要的系统如FSSS、CCS，则联系厂家更换新的控制器，保证系统的安全稳定运行。另外可以将该测试项目图发给DCS厂家作为参考，有利于产品的更新换代。

1.2 控制系统电源切换测试

电源系统是DCS的关键部分，它承担了向各个控制设备提供工作电源的任务。主要包括给控制机柜提供220 V电源，给打印机、操作员站等设备提供220 V电源，给热工动力电源柜提供220 V交流、380 V交流、110 V直流电源等。一旦电源发生故障，将导致整个控制系统瘫痪，因此实际应用中电源都采用了冗余设计[3]。生产试验中目前主要从事控制机柜和热工动力电源柜的电源切换方面的测试工作。下文就具体的电源切换予以说明。

1.2.1 控制机柜电源切换测试

通过对多台机组进行电源性能测试，目前DCS机柜电源模块的冗余方式主要分以下2种：（1）采用2组电源模块分别对UPS电源和保安电源进行转换，其输出采用切换模块给系统的负载，如图3所示；（2）两路电源通过电源模块后的输出端通过二极管并联，正常情况下，输出电压高的电源模块承担所有负载的电流，另一路电流处于空载运行，当主电源失压时，备用电源模块立即投入运行，如图4所示。

图3 单路输入负载接入方式Fig.3 Access mode of single input load

图4 二极管并联方式Fig.4 Paralleling mode of diode

第一种负载接入方式中，两路电源的等级一样，切换前找出供电的工作电源，假如A电源工作，那么电源测试方式如表1所示。

表1 单路输入负载接入方式电源切换测试步骤Tab.1 Procedure of power switching test on access mode of single input load

实际试验用录波仪记录第1、3、5、7次的电压波形即可。因为两路电源等级一样，恢复电源过程中不会对负载的供电产生影响。

二极管并联方式接入负载时，输出电压高的电源给负载供电。实际电源切换过程中，无法确认哪一路为主电源，通常的测试方法如表2所示。

表2 二极管并联方式电源切换方法Tab.2 Step of power switch on overlap mode of diode

当一路电源失电，一路供电时，供电的电源由于给负载提供电压，所以失电的那一路电源恢复时，恢复的电源电压要比前一路供电电压高，因此在测试的第2和4步出现电源切换过程。实际试验用录波仪记录第2和4次的电压波形即可。

1.2.2 热工动力电源柜切换测试

热工动力电源柜主要包括热控总电源柜、汽机电源柜、锅炉电源柜、热工阀门柜、仪表电源柜等，这些机柜给就地阀门、电动开关门、电动调节阀、流量调节阀、给水泵勺管、就地仪表供电。多台机组测试发现，现场的交流动力电源柜电源切换装置分为2种：存在默认主回路和无默认主回路。试验中不但要注意电源切换时系统的表现，还要关注电源恢复过程中系统的影响是否正常。无默认主回路完整的测试步骤如表3所示。

表3 无默认主回路电源柜切换测试步骤Tab.3 Step of power cabinet no default primary loop

如果系统存在默认主回路，假设A路为主电源，这时只存在一种状态，A为主，B为备。其测试步骤如表4所示。

表4 默认主回路电源柜切换测试步骤Tab.4 Procedure of switching test for default man loop power cabinet

有默认主回路的电源柜进行电源切换时，第1次为A电源切换为B电源，第二次为B电源切换为A电源，因此试验用录波仪记录第1和2次的电压波形即可。

1.3 通信网络冗余切换测试

通信网络是DCS的重要组成部件，电力生产过程中的大量监测和控制数据均需通过实时网络进行传递，相当于DCS的中枢神经系统，可靠性和实时性要求很高，所有的DCS都对通信网络进行了冗余设计。

目前通信冗余切换都是采用定性方法进行测试，人为断开一路网络接口故障时，备用网络应自动投入工作，控制系统不得有出错或死机的情况。

通信冗余测试方法为在一个控制站逻辑中加入翻转模块并将该模块输出设置为上网点，通过通讯卡发送到通讯总线，在另一个站接收该上网点，在该站逻辑中加入上网点状态并直接通过该站的备用DO通道输出。通过高速数据记录功能采集该DO通道的状态变化数据进行分析。

测试逻辑如下，假如测试第一个控制站到第二个控制站的通信冗余试验，则在第一个控制站中加入如图5所示的逻辑，第二个控制站中加入如图6所示的逻辑。

图5 通信冗余测试第一个控制站逻辑Fig.5 Logical diagram of the first control station in communication redundancy test

图6 通信冗余测试第二个控制站逻辑Fig.6 Logical diagram of the second control station in communication redundancy test

第二个控制站的上网点接收的是第一个控制站的网间变量。这样数据采集的图形是2个控制器的处理周期和网间传输的时间之和。图7所示为某电厂通信冗余切换的测试图。

图7 通信冗余测试图（A网切B网）Fig.7 Diagram of communication redundancy test（network A switch to network B）

2 DCS系统冗余测试试验案例

（1）某厂在大修期间进行#2机组控制器周期及控制器冗余切换测试。发现该机组控制器周期不满足《火力发电厂分散控制系统技术条件》DL/T 1083—2008“模拟量控制回路的控制周期一般要求为250 ms，对于要求快速处理的控制回路可为125 ms；开关量控制回路的控制周期一般要求为100 ms；汽轮机保护（ETS）应不大于50 ms的要求”的规定；

（2）某厂在大修期间进行#2机组控制器周期及控制器冗余切换测试。发现某些控制器切换过程中有周期突变、动态扰动现象，如图8所示。

图8 控制器切换周期突变Fig.8 Cycle mutaion of controller switching

（3）在DCS机柜电源切换过程中，某电厂DCS机柜两路电源一路来自于UPS，一路来自于保安电源，测试机柜的电源切换时间大于5 ms；某机组的一些机柜电源设计为单路电源，没有进行冗余设置；某些机组的电源切换时部分机柜掉电。

（4）在热工动力电源柜切换过程中，某些机组的动力电源柜电源切换时某些阀门掉电，某些调节阀门的反馈信号会发生突变，在4 s或更长的时间才恢复至切换前的状态。

（5）某厂的通信冗余试验时，当拔掉主网络网线时，辅助网络没有切换过来，导致试验机组该控制器的网络脱落；某厂通信冗余试验中，切换前后网间变量的传送时间由1 s变为2 s，如图9所示。

图9 网间变量传送时间Fig.9 Transfer time of variable in inter network

（6）某电厂通信冗余试验中，试验前后图形由规则变为不规则，如图10所示。

（7）某电厂通信冗余切换时，A网和B网的网间的传送时间均达到4 s，A网切B网和B网切A网过程中均无明显变化，如图11所示。

图10 A网切至B网段Fig.10 Network A switch to network B

图11 网间传输时间达到4 sFig.11 Time of inter network transmission is 4 s

网间变量传送时间过大，是由网络传输时延大引起的，建议进行DCS网络性能测试。

3 结语

本文从应用角度阐述了控制器切换测试、控制系统电源切换测试、通信冗余切换测试等几个项目的冗余性能测试试验方法，这些测试方法已经在诸多电厂的工程实践中得到广泛的应用，取得了良好的效果。利用本文的测试方法对多个电厂进行性能测试，发现了运行机组的DCS在实际中存在的问题，直接为DCS厂家的系统升级提供依据，同时也为新建机组的DCS选型提供技术性能方面的依据[4]。

通过开展DCS冗余性能测试，使热工维护人员对DCS冗余性能有更全面的了解，并可以作为今后的检修依据，保证机组的稳定运行。

[1]李欣梅，杨莉莉，莫恭坤.分散控制系统性能测试探讨与建议[J]红水河，2014，33（3）：84-85.

[2]张锷，马一鸣.神华国能宁夏煤电有限公司#1机组DCS系统性能测试报告[R].银川：国网宁夏电力科学研究院，2015.

[3]张锷，祝广场.华电渠东发电有限公司#1机组控制系统电源性能测试报告[R].武汉：华电电力科学研究院，2016.

[4]陈起.火电机组分散控制系统性能测试分析[J]内蒙古电力技术，2010，28（S2）：38-40.