基于PXI系统的核电热工实验装置冗余控制系统设计

基于PXI系统的核电热工实验装置冗余控制系统设计

包志为王春意颜阳施吉

（中广核研究院有限公司广东深圳）

摘要：核电热工实验装置多用来模拟反应堆破口、临界等反应堆事故或危险工况，装置运行过程中危险性高。为了降低实验人员安全风险，实验运行过程中实验人员是禁止进入装置现场进行操作的，这就对实验装置的控制系统稳定性提出了较高要求。双机冗余系统能够提高控制系统稳定性，在控制系统出现严重故障时也能够保证实验装置的正常运行。PXI系统具有运行稳定、扩展性高等优点，相较于其他控制系统，在实验装置中应用具有较大优势。

关键词：PXI系统；冗余控制系统；数据同步；心跳检测

核电热工水力实验研究中，为模拟核反应堆热工水力特性，实验装置的工况与核电站工况基本一致，存在高温、高压、高加热功率等风险。有些实验装置需要模拟反应堆事故工况，这就进一步增加了实验装置运行的危险性。为保证实验过程中人员安全，测控系统需要确保实验人员能够调节实验装置的各项参数以便控制实验装置运行状态。一旦测控系统失效，则会失去对实验装置的参数监控及控制，后果非常严重。因此，如何提高测控系统的可靠性和稳定性[1]，是热工水力实验研究必须面对的关键问题。

冗余控制技术是提高系统可靠性的有效手段之一。冗余控制技术可解释为系统在设计时包含两套同样的独立配置，一主一备，当主系统出现重大故障停止运行时，备用系统可以快速投用保证系统功能的正常工作[2]。

PXI平台是NI公司基于PC机的测量控制平台。其优势是可以在一台机箱中集成了包括温度、电压、应变等多种信号的测量模块。并且PXI平台易于进行系统的开发与拓展，在实验的背景下，使控制系统测试平台具有较高的灵活性，便于系统功能的创新和改造[3]。

一、常规系统设计

1.1常规系统结构

在通用系统设计中，通常应用主站、从站的结构进行搭建。主站做为系统操作人员的人机交互窗口，具有信号的计算、显示、存储、输出等功能，通过通讯链路与从站进行通讯；从站与现场传感器、控制设备等直接接口，负责传感器信号的采集和控制信号的输出。

图1常规系统结构

1.2常规系统稳定性分析

在常规系统硬件的设计中，存在以下风险。

（1）受控设备与下位机是以星型的形式进行数据交互，当下位机掉电或者因操作系统崩溃宕机时，控制信息就无法通过下位机下达到受控设备对实验运行造成安全隐患；

（2）主站与从站的通讯链路通常有通讯转换设备实现，如果通讯转换设备停止工作，控制信息同样无法下达下位机；

（3）上位系统崩溃或掉电，失去功能，下位机接收不到指令，同时实验人员也无法对装置参数进行监控。

可以得到结论，通用系统在面对严重故障时，可靠性不足，会造成控制系统失效。如果在实验装置运行状态下发生故障，装置只有紧急停机。

二、冗余控制系统

针对常规系统可能出现的问题，实验装置搭建冗余控制系统需要在硬件搭建和软件实现上综合考虑系统的冗余能力。

2.1硬件结构设计

冗余控制系统在设计中包括控制器冗余、通信冗余、I/O冗余等[4]。

（1）控制器冗余

控制器是控制系统的核心部件，在冗余系统的设计中，将负责处理数据的上位机和采集数据的下位机都设计为一主一备。这样设计的优势在于无论哪台控制器出现故障都能够保证有一套系统正常工作。

（2）通讯冗余

在主从站的控制系统中，主从站的通讯是至关重要的，实验人员的监控信息都通过通讯机制进行传播。为了提供控制系统的可靠性，冗余系统设计中将上下位机的通讯进行了冗余。主备系统的通讯链路相互独立，彼此无交叉。

（3）控制信号冗余

主系统和备用系统在正常运行中都对外输出控制信号，输出的控制信号由信号切换装置QM进行输出，切换装置联通主系统信号，隔离备用系统信号。当系统运行故障时，切换装置联通备用系统，备用系统控制输出。通过信号切换装置实现输出信号的冗余。

图2信号切换装置电气图

（4）采集信号冗余

现场信号通过一入二出的隔离模块将信号传入两套系统进行采集。对于实验装置中的重要信号，还做到传感器冗余，既同一测点安装两套传感器采集信号。

2.2软件设计

主备系统的软件设计采用双机并行结构，两套系统同时运行一套冗余程序完成设备的控制和数据采集。

（1）数据同步设计

为了保证备用系统在切换过程中能够快速代替主系统的功能，在两套系统运行的过程中要保持双系统对数据的处理过程一致，或者两系统数据处理后的差异在装置运行的允许的范围内[5]。这就要求软件在设计过程中，针对双系统的同步性具有单独的模块进行监控。主系统在完成每个控制和采集动作后会向备用系统同步一次动作数据，备用系统完成动作同步之后会向主系统反馈同步标志位。这样可以在程序运行过程中保证双系统的同步性。系统的控制输出端由切换装置控制，切换装置在的时间内会接收到主系统的输出信号及备用系统的同步输出信号。在主系统控制时，切换装置能够保证输出端与备用系统控制信号之间的隔离，从而避免受控对象接收信号的重复。

图3同步程序设计

（2）故障检测设计

除了同步性，系统的故障检测对主备系统的运行和切换具有重要影响。故障检测可以是自扫描检测和心跳检测。自扫描检测是在系统程序中嵌入检测模块，对程序中重要的数据处理部分进行定期循环检测，这种方式的有点在于检测周期短，但循环检测对处理器的资源占比高，检测精度与资源占比正相关。另外一种为心跳检测，即隔一段时间向外部广播系统自身的运行状态。由外部设备响应程序的运行情况。

图4自检程序模块

在本设计中采用了以上两种程序自检方式。自扫描检测应用于系统内部程序的容错判断，心跳检测应用于备用系统检测主系统运行状态。

在理想状态下，调试完成并投入运行的程序中不应含有错误，这在编写中是可以实现的。但是随着运行环境的改变，或者是操作人员造成的错误，程序应具有防止和提示的功能。自扫描检测就是在编程过程中，对错误数据敏感的模块进行检测，防止系统因较低级的错误输入造成系统崩溃；同时在检测到重要错误，并且无法恢复时能够快速的主动停止系统运行，及时的切换到备用系统，避免主系统的错误运行造成重大损失。

心跳检测是主备系统冗余的主要方式之一。备用系统通过心跳检测周期性的向主系统发送心跳信息，主系统收到心跳信息后会将自扫描检测的结果封装在心跳回复信息中，如果备份系统在一定时间内未收到主系统的回复信息则判断主系统失效，备份系统接管装置运行，输出切换装置动作，备用系统控制信号与输出端接通。

（3）手动主备系统切换

以上可知主备系统的切换是通过系统的自检及主备系统间心跳检测来实现的。但是任何系统都是在使用中逐步完善的，为了避免控制系统在使用过程中出现主系统功能错误但仍然无法切换到备用系统的情况发生，在备份系统中设计了手动强制切换功能。手动强制切换功能也能够方便备份系统的功能调试。

三、冗余系统架构

综上所述，核电热工水力实验装置冗余控制系统设计如下图所示。

图5冗余系统架构

冗余控制系统正常运行时，两套系统同时进行数据的采集和输出，输出信号的状态由同步程序进行同步，信号切换装置则断开备份系统输出端与受控设备的连接，这样受控设备就能够正常的接收主系统的控制命令了。

当主系统的上位机、下位机、通讯链路中发生错误时，备份系统收到主系统故障信息或者是收不到主系统的反馈信息，备份系统启动信号切换装置的转换，联通备用系统与受控设备的控制端口，备用系统接管主系统的控制任务，完成系统的切换。

相较于常规控制系统，在冗余控制系统中两套控制链路之一发生严重故障，另一套控制链路能够及时进行切换，接管控制功能，保证实验装置能够继续运行下去。

结语

控制系统的设计中，PXI系统双机冗余架构能够有效的提高系统的容错能力，提供系统的稳定性，从而降低了实验装置运行中人员的安全风险，为装置的正常运行提供了保障。双机冗余系统在设计中需要根据应用情况对通讯链路、控制器、电源等设备的冗余中进行取舍，这需要设计人员综合成本、稳定性、运行要求等多方考虑来确定。

参考文献：

[1]刘冲，核电厂反应堆功率数字冗余控制系统及其可靠性，北京：核电子学与探测技术，2009（29）：713-714

[2]陈子平，浅谈控制系统冗余控制实现，北京：自动化仪表，2005（26）：4-5

[3]朱海燕，故障监测技术在PXI热备冗余测控系统中的应用，北京：计算机测量与控制，2011：1879-1880

[4]贾新强，基于80C51FXX单片机的双冗余控制系统的实现，上海：航空计算技术，2007（37）：106-107

[5]裘坤，控制系统冗余设计和分析，上海：自动化仪表，2008（29）：52-53

作者简介：

包志为，男，黑龙江大庆人，蒙古族，硕士，工程师，主要从事热工水力实验仪控运行工作。

王春意，男，湖南衡阳人，汉族，本科，工程师，主要从事热工水力实验仪控运行工作。

颜阳，男，湖南长沙人，汉族，硕士，工程师，主要从事热工水力实验仪控运行工作。

施吉，男，江西南康人，汉族，硕士，工程师，主要从事热工水力实验仪控运行工作。