高可靠性是过程控制系统的首要要求。 冗馀技术是计算机系统可靠性设计中经常采用的技术是提高计算机系统可靠性的最有效的方法之一为了达到统一高可靠性和低效率的目的,我们通常在控制系统的设计和应用中采用冗馀的技术。 合理的冗馀设计大大提高了系统的可靠性,同时也增加了系统的复杂性和设计难度,应用冗馀配置的系统增加了用户投资。 因此,如何合理有效地进行控制系统的冗馀设计是一个值得研究的课题。
1 :冗馀技术
冗馀技术概述:冗馀技术是增加冗馀设备,以确保系统运行更可靠、更安全。 冗馀分类方法多种多样,根据在系统中的位置,冗馀可以分为部件级、部件级和系统级; 根据冗馀性的程度,可以分为1:1冗馀性、1:2冗馀性、1:n冗馀性等各种各样的种类。 在当前部件可靠性不断提高的情况下,与其他形式的冗馀方式相比,1:1部件级热冗馀是一种有效、相对简单、配置灵活的冗馀技术实现方式,如I/O卡部件冗馀、电源冗馀、主控制器冗馀等因此,目前国内外主流过程控制系统多采用这种方式。 当然,一些本地设计也提供了组件级或多种冗馀方式相结合的成功示例。
控制系统冗馀设计的目的:系统运行不受局部故障的影响,且故障部件的维护不影响整个系统的功能实现,可以实现在线维护,及时修复故障部件。 冗馀设计增加了系统设计的难度,冗馀配置增加了用户系统的投资。 然而,这种投资以系统可靠性换取整个用户系统的平均无故障时间(MTBF ),缩短平均故障修复时间(MTTR )。 因此,在重要场合应用于控制系统中非常需要冗馀性。
由两个部件组成的并联系统(相互冗馀)与一个部件相比,平均无故障时间增加1.5倍。 系统可用性指标可以用两个参数轻松描述:平均无故障时间(MTBF )和平均修复时间(MTBR )。 系统的可用性由以下公式表示:
系统可用性=mtbf/(mtbfmtbr )
当可用性达到99.999%时,系统每年停止服务的时间仅为6分钟。
2 )控制系统冗馀化关键技术
冗馀是一种高级可靠性设计技术,1:1热冗馀是所谓的双重化,是有效的冗馀方式之一。 但是,它需要两个部件通过硬件、软件、通信等协同工作来实现,而不是简单地并行工作。 将相互冗馀的两个部件构成为一个有机整体,通常包括以下多个技术要点。
1 )信息同步技术
这是实现工作备用部件间无扰动(Bumpless )开关技术的前提,只有根据控制的实时性要求进行高速高效的信息同步,保证工作备用部件间的步调一致地工作,才能实现冗馀部件间的无扰动开关
在热备用工作模式下,其中一个处于工作状态(工作卡),实现系统的数据采集、运算、控制输出、网络通信等功能; 另一块处于待机状态(备用卡),实时跟踪工件卡的内部控制状态(即状态同步)。 工作/备用卡之间的正/负逻辑是互斥的,一个是工作卡,另一个一定是备用卡,它们之间有冗馀的控制电路(也称为工作/备用控制电路)和信息通信电路,两块卡协调同时且有序也就是说,用户要使用,被认为只有一个部件。 通常,动作、备用部件之间通过高速且冗馀的通信信道(串行或并行),实现运转状态的相互检查和控制状态的同步(例如,配置信息、输出阀位、控制参数等)。
2 )故障检测技术
为了在系统故障时及时将冗馀部分投入工作,必须具备高精度的在线故障检测技术,实现故障发现、故障定位、故障隔离和故障报警。 故障检测包括电源、微处理器、数据通信链路、数据总线、I/O状态等。 其中故障诊断包括故障自诊断和故障互检(工作、备用插件部件之间的互检)
3 )故障仲裁技术和切换技术
准确发现故障后,还需及时确定故障部位,分析故障严重程度,依赖上述冗馀控制电路对动作、备用故障状态进行分析、比较和仲裁,判断是否需要动作/备用之间的状态切换。 把控制权换成冗馀的备用部件,还必须保证高速、安全、无干扰。 处于工作状态的部件发生故障(停电、复位、软件故障、硬件故障等)或工作部件故障严重于备用部件时,备用部件应及时无干扰地交接工作部件的所有控制任务,不影响现场控制此外,切换时间需要为毫秒级,进而为微秒级,使得外部控制对象的失控和检测信息的失效等不由于该部件的故障而发生。 此外,还需要尽快通过网络通信和当场的LED显示进行警报,向用户告知故障的部件和故障状况,进行及时维护。
4 )热插拔技术
为了保证容错系统的高可靠性,必须尽量缩短系统的平均修复时间MTBR。 为此,必须设计为提高单元的独立性、修复性、故障维护性。 实现故障部件的在线维护和更换也是冗馀技术的重要组成部分,是实现控制系统故障部件快速修复技术的关键。 部件热插拔功能可在不中断系统正常控制功能的情况下添加或更换组件,使系统顺利运行。
5 )故障隔离技术
在冗馀设计的情况下,工作、备用部件之间的故障应尽量考虑相互不影响或影响的概率相当低(0.01% ),故障被认为是隔离的。 这样,处于备用状态的部件发生故障时,不会影响冗馀的工作部件和其他相关部件的正常运行,可以保证冗馀性的有效性。
3 :基于冗馀技术在控制系统中的应用分析
通过控制
系统冗余原理与方法的具体分析可以看到,系统的可用性在很大程度上取决于那些MTBF值较低而能对系统正常运行造成重大影响的部件,如主控制卡、网络、电源、通讯转发卡等。在系统设计中对关键部件进行冗余设计,可以大大提高系统的可用性。根据控制系统内各个部件功能定位的不同,采用了具体方式有所差别,具体策略为:
1)主控制卡的冗余
主控制卡是整个系统的核心控制单元,完成系统的控制任务。而冗余技术各个设计要点在此得到充分应用。互为冗余的两块主控制卡软件、硬件完全一致,它们执行同样的系统软件和应用程序,在工作/备用冗余逻辑电路的控制下,其中一个运行在工作状态(工作卡),另外一个运行在备用状态(备用卡)。工作卡和备用卡之间具有公共的冗余逻辑控制电路和专用的高速对等冗余通讯通道,同时也可以通过I/O总线和过程控制网络进行信息交互或故障诊测。互为冗余的主控制卡都能访问I/O和过程控制网络,备用模式下的主控制卡执行诊断程序,监视工作卡的状态,通过周期查询工作卡件中的数据存储器,接受工作卡发送的实时控制运行信息。备用处理器可随时保存最新的控制数据,以保证工作/备用的无扰动切换,但工作模式下的主控制卡起着控制、输出、实时过程信息发布,等决定性的作用(具有发言权)。冗余技术的关键在于实现信息同步,而信息同步的最终目的是为了实现冗余部件之间无扰动切换。我们把信息同步的方法分为“自然同步”和“强制同步”。
互为冗余的两个主控制卡作为一个整体与外界交换信息(网络通讯、I/O通讯 ),共享进入这个整体的输入信息,这就是冗余部件的同一性(也可以称为单一性)。对外输出信息时工作卡掌握主动权,代表这个整体发言,即冗余的协同性。通俗地讲,两个互为冗余的部件,对于用户使用和外部控制对象而言,可被视为一个整体。
为了保证互为冗余的两个卡件具有平等获取外部信息(I/O通讯、网络通讯)的权利,冗余部件具有同样的通讯接口,保证卡件内输入信息的一致。冗余的两块卡件有各自的通讯通路,只要保证相同的输入信息在两个通信通路上同时进行传输,两块卡件就可以获得相同的信息。这种凭借外部设备实现输入信息的同步称为“自然同步”。“自然同步”发生在冗余系统和外部设备之间。工作卡掌握主动权,代表整体发言,并通过冗余通信将各种状态信息传送给备用卡,达到控制任务的同步,这就是“强制同步”。“强制同步”通过冗余通信使备用卡内部控制状态与工作卡保持一致,它发生在互为冗余的卡件之间。根据变量特性的不同,具体采用的同步方式也各不相同。
2) 电源系统冗余。
电源是整个控制系统得以正常工作的动力源泉,一旦电源单元发生故障,往往会使整个控制系统的工作中断,造成严重后果。要使控制系统能够安全、可靠、长期、稳定地运行,首先稳定的供电必须得到保证。JX-300X型DCS采用可热插拔的冗余电源,正常工作时,两台电源各输出一半功率,从而使每一台电源都工作在轻负载状态,有利于电源稳定工作。当其中一台发生故障,短时由另一台接替其工作,并报警。设计为可热插拔的冗余电源,这样系统维护时可以在不影响系统正常运行的情况下更换故障的电源。
3) 网络系统冗余。
采用冗余网卡和冗余网络接口。正常工作时,冗余的两条数据高速通路同时并行运行,自动分摊网络流量,并考虑了负载均衡的冗余设计,使系统网络通信带宽提高。当其中一路故障(网卡损坏或出现线路故障)时,另一路自动地承担全部通信负载,保证通信的正常进行。
4)冷却系统冗余。
利用控制柜内可自动切换的冗余风扇,对风扇和机柜内温度进行实时监测,发现工作风扇故障或柜内温度过高时都会自动报警,并自动启动备用风扇。
5) 信息冗余。
信息冗余技术是指在通信过程中或存放组态信息(重要信息)时,利用增加的多余信息位提供检错甚至纠错的能力。该系统中SBUS总线通讯和SCnet控制网络都采用循环冗余码校验(CRC)方法。而重要组态信息(如系统配置)在主控制卡内的存放采用1:1冗余存放,使重要信息具备故障(出错)自我恢复能力,保证系统运行过程中重要信息的安全性。