三门AP1000 OVATION系统冗余设计的应用

刘 标

（三门核电有限公司，浙江 台州 317112）

0 引言

冗余是出于系统可靠性等方面的考虑，对一些关键设备进行重复配置，不影响或改变系统的功能。当系统发生故障时，冗余配置的部件介入并承担故障部件的工作，由此减少系统的故障时间，采用冗余技术可以明显地提高系统的可靠性[1]。为了保证DCS系统的可靠性，绝大多数DCS系统都采用了冗余设计，冗余设计可以保证在系统中的某一个硬件设备出现故障或损坏时，系统不会因此而出现失控，导致被控对象发生事故。三门AP1000项目非安全级仪控平台采用OVATION系统[2]，用于实现电厂非核安全相关的控制、监测和保护等功能。本文介绍了三门AP1000 OVATION系统冗余设计，并针对调试中发现的冗余问题进行了分析。

1 OVATION冗余设计及其特点分析

OVATION系统的硬件具有较高可靠性，这种高可靠性的重要实现方法之一是采用冗余设计。采用冗余设计的OVATION系统不受硬件单一故障的影响，同时故障部件的维护对系统的功能也不会产生太大的影响。OVATION主要采用双重冗余方式，双重冗余是一种有效而相对简单、配置灵活的冗余技术。OVATION通过电源冗余，网络冗余，控制器冗余，I/O卡冗余等方法提高信号采集、传输、处理的可靠性，OVATION系统冗余结构图如图1所示。

1.1 电源冗余

OVATION系统采用并联冗余，配置为1：1冗余，OVATION机柜由EDS（非1E级电源和UPS系统）提供冗余电源，一路采用UPS电源供电作为主电源（优先电源），另一路正常调压变交流电供电作为次路电源，如图2所示。

图1 OVATION系统冗余结构简图Fig.1 Diagram of redundant structure of ovation system

两路220VAC电源通过机柜内两个冗余电源模块共同分担机柜负荷。Ovation电源模件接受AC输入，输出两路彼此隔离并独立的DC输出。每个电源模块均能承担全部负荷，失去UPS电源或正常调压变交流电源中的一路时，另一路电源可以提供稳定可靠的电源输出，向控制机柜的控制器，I/O卡、风扇以及就地变送器供电，从而保证机柜能执行正常的控制功能。

AP1000机柜电源冗余采用并联冗余，无主、备之分，主路电源与次路电源热备用共同承担机柜内负荷，无扰切换[3]，以保证机柜内控制器、I/O卡可靠供电。

1.2 通讯网络冗余

AP1000 OVATION网络是实时、冗余网络，用来连接工作站、控制器以及通讯网关等，OVATION冗余高速网络采用快速以太网，传递输入、输出数据到工作站和控制器，网络硬件采用交换机作为网络的通讯设备。正常情况下主交换机构成的主网通信，并监测从网的状态，一旦主网异常自动切换到从网。

AP1000 OVAITON系统网络主要由主、备根交换机以及8个主FAN-OUT交换机和8个备FAN-OUT交换机组成，主、备根交换机各有一台24个网口和2个SFP接口的交换机和一台12个网口的交换机组成。每个主FAN-OUT交换机通过SFP2口与备FAN-OUT交换机SFP2口连接以实现主备FAN-OUT交换机冗余连接，而根交换机主备连接通过12口来实现。每个主FAN-OUT交换机通过SFP1口与上层主根交换机连接，每个备FAN-OUT交换机仅与备根交换机连接。主FAN-OUT交换机与主控制器的N2以及备用控制器的N3口连接，备FAN-OUT交换机与主控制器N3以及备用控制器N2口连接。

图2 机柜供电简图Fig.2 Power supply diagram of cabinet

国内部分火电项目采用OVATION系统，其网络同样由根交换机和FAN-OUT交换机组成，但其交换机的连接方式与AP1000 网络架构存在一定的差异性，最重要的差异在于AP1000 OVATION网络主FAN-OUT交换机仅与主根交换机相连，备FAN-OUT交换机仅与备根交换机相连，而国内火电项目OVAITON 网络连接中主FAN-OUT交换机与主、备根交换机连接，备FAN-OUT交换机与主备根交换机连接。

AP1000冗余设计在于可避免单一故障，当OVATION网络主FAN-OUT交换机仅与主根交换机相连，备FAN-OUT交换机仅与备根交换机相连；当网络中FAN-OUT交换机与主根交换机相连或备FAN-OUT交换机与备根交换机相连的光缆故障时，不会对系统功能造成影响，满足单一故障准则；当这两根光缆同时故障时，会造成此FAN-OUT交换机所连接的工作站与控制器失去网络通讯，但是这已不是单一故障，故AP1000采用的冗余连接方式，满足单一故障原则。

1.3 控制器冗余

每个OVATION控制器机柜配置有两个完全相同的冗余控制器。两个控制器具有相同的操作系统、组态软件、组态信息。一个运行在工作状态（主控制器），另外一个运行在热备用状态（备用控制器）。正常运行时，主控制器接受过程信息并进行运算处理。同时备用冗余控制器执行诊断程序，监视主控制器的工作状态，周期查询主控制器中的数据存储器，接受主控制器发送的实时控制运行信息。主控制器起着控制、输出、实时过程信息发布等决定性的作用。主控制器故障时，备用控制器使用上一个周期主控制器的执行结果，重新执行出现故障时的任务。在切换过程中，不会出现数据的丢失和突变，实现主备控制器的无扰切换。主控制器和备用控制器数据状态时刻保持同步。主控制器监视备用控制器及其网络运行情况。备用控制器实时监控主控制器数据及信息。冗余切换条件为控制处理器故障、网络通讯故障、控制器电源断电、控制处理器复位。

图3 I/O卡冗余Fig.3 I/O Card redundancy

处于主控状态的控制器，直接处理I/O的读写，执行数据的获取和控制功能；同时还监视备用控制器及网络的运行情况，处于备用状态的控制器实现诊断和监视主控制器的状态。其通过实时检测主控处理器的数据内存和接收主控处理器发往OVATION网络的信息来维护数据的最新状态，以保证备用控制器实时跟随主控制器。

OVATION控制器冗余是为了实现自动故障切换运行功能而装配。自动故障切换是指若控制状态处理失败、监视器检测到未驱动主处理器的I/O接口就通知备用处理器，然后备用处理器就执行I/O控制并且开始执行过程控制。

1.4 I/O卡冗余

I/O卡冗余设计是OVATION在核电厂中提高控制可靠性的一个典型应用。这种冗余的配置主要应用在控制AP1000重要设备中。如稳压器电加热器启动，稳压器喷淋阀的开启，这些设备要求控制系统的单一故障不会引起设备的相关功能丧失。文章前面已指出，OVATION系统配置了电源冗余，网络冗余，控制器冗余，为了防止单一的I/O卡故障引起控制功能失效，OVATION设计了I/O卡冗余。如图3是典型的冗余AO输出方式，正常情况下主备I/O卡同时工作共同输出目标值，当其中一块AO卡故障时，系统自动由另一块AO卡承担全部输出。

2 冗余切换问题分析

2.1 OVATION控制器冗余切换

OVATION控制器冗余切换试验是通过断开控制器电源方式，即断开主控制器电源，观察备用控制器能够正常工作；恢复主控制器电源，断开备用控制器电源，观察主控制器是否能够正常工作。而在冗余控制器都正常运行的状况下，当主控制器网络故障时，系统会自动切换至备用控制器；当主控制器网络恢复后，此时切断处于主控地位的控制器网络后，系统并不能实现再次切换。此时两个控制器的故障指示灯均亮。当冗余控制器首次故障切换后，须尽快排查故障控制器；当故障（光缆、光缆接头、光电媒介转换器等）修复后，控制器仍将处于故障状态，应确保其正常且实现重启（故障指示灯恢复正常），可通过硬重启或软件重启控制器，否则下次将无法冗余切换。

2.2 电源切换导致交换机意外重启

主网络柜主电源断电，备用电源提供所有主网络交换机电源，主电源恢复后，所有主网络交换机电源仍由备用电源供电。当备用电源断电后，所有主网络交换机失去电源且重启。经研究发现厂家绝大部分型号的交换机和冗余电源设备（RPS）配合使用时，由于两者接口不完全兼容，均存在该固有特性即当交换机内部工作电源由次路直流电源提供时，即使主路电源恢复，也无法自动切换回主路电源，甚至当冗余电源设备（RPS）停止提供直流电源时也无法切换回主路电源，从而导致交换机瞬时失电并重启。交换机意外重启，主网络通讯瞬时中断，接入网络的所有设备（包括控制器、服务器和工作站主机）失去主网通讯，切换到次网，同时主网通讯的中断也触发大量通讯故障报警，给整个平台的稳定运行造成影响。

交换机冗余电源切换问题可能导致交换机重启，使得OVATION网络处于不稳定的状态。如果在某种原因下优先电源断电，当优先电源恢复时，需在保证备用网络交换机无故障的情况下，人为干预进行交换机重启切换，以减少对DCIS网络带来的潜在影响。

3 结语

冗余设计在AP1000 控制系统中得到了广泛的应用。相比常规的控制系统，AP1000冗余设计有自身的优点：

1）冗余电源设计采用的热备用方式，而不是采用电源自动切换装置。电源自动切换装置在切换时会造成ms级断电，采用热备用电源冗余的方式，一路电源故障由另一路电源承担全部负荷，可以实现无扰切换。

2）OVATION网络采用通用的冗余网络，采用高速、高容量的商业化网络硬件，基于开放式工业标准，OVATION系统能将第三方的产品很容易集成在一起。即使因交换机固有特性造成意外重启，因采用冗余网络，不会对整个平台造成大的影响。

3）应用了I/O卡冗余设计方法。除了采用常规DCS厂家设计的电源冗余，网络冗余，控制器构成DCS系统之外，将I/O卡冗余设计也应用到DCS系统中，可以有效地应对控制系统单一故障。

可靠性是DCS系统设计中一个重要的性能指标，也是核电厂安全、高效、经济运行的重要保障。除非有特别的需要或特别重要的部分，一般不轻易采用冗余的设计：第一是将大大提高系统的成本；第二是冗余设计是一种相当复杂的技术，它可以解决很多可靠性问题，同时它本身也会带来可靠性问题（如故障切换设备的不可冗余和切换过程带来的干扰等）。AP1000 OVAITON系统电源、网络、控制器以及部分I/O卡等采用了冗余设计，提高了系统可靠性。