双重冗余PLC控制系统的可靠性与可用性研究

　　引言

　　随着现代工业自动化的迅速发展，工矿企业对生产设备及控制系统的可靠性要求也越来越高，如何提高系统的可靠性逐渐成为人们共同关注的课题。在工程设计中，采用控制器(CPU)冗余控制技术是提高控制系统可靠性的有效方法和主要措施。CPU冗余控制使得系统在运行时不受局部单一故障的影响，可实现在线维护;同时，故障部件离线修理时也不影响系统正常运行，从而可达到提高系统可靠性和降低失效率的目的。合理的冗余设计将大大提高系统的可靠性，有效避免由于控制系统出现故障而引起的停产或者设备损坏造成的经济损失。因此冗余控制技术的推广应用对提高控制系统的可靠性具有十分重要的意义。

　　一、冗余控制原理与结构

　　1.1冗余控制原理

　　冗余控制一般采用硬件冗余或软件冗余。其中，硬件冗余是指通过热设备或冷备系统硬件实现冗余控所需要的数据同步和主从切换;软件冗余是指通过程序实现数据同步和主从切换。

　　PLC控制器是面向工业现场过程控制而专门设计的，应用于可靠性要求较高的控制系统中，可以满足大多数控制系统对可靠性的要求，但是在一些要求苛刻的应用中，仍然需要通过其他技术(如冗余技术)进行辅助以提高系统可靠性。为此，许多PLC生产厂家都提出了自己的冗余方案，如Rockwell公司的ControlLogix硬件冗余、西门子S7-300的软冗余和S7-400H的硬冗余等。

　　PLC控制器在一个工作周期内的主要任务分为系统内务处理器、扫描输入映像表、执行程序和刷新输出映像表等。冗余平台上的一对控制器1#CPU和2#CPU,先上电者为主控制器，后上电者为从控制器。从控制器加电以后，自动完成同步过程;同步后，主CPU中的部分或全部内容实时地交叉加载到从CPU中，加载内容包括在线编程、强置数值、属性和数值改变以及程序执行结果等。

　　在Contro1Logix冗余系统中，当主控制器执行完相关程序之后，会将所有输出指令的结果输出给从控制。由于Contro1Logix冗余系统所有的I/O设备都连接在控制网ControlNet网络上，所以可通过设置ControlNet网络的“producer/consumer”通信模式，将从控制器设置为“consumer”，于是它就可以与主控制器以同样的地位获得I/O串口的信息，这就确保了主从控制器内部输人、输出映像表的一致性。如果在执行某个任务时，主控制器出现了故障，从控制器便会立即自动接替主控制器，重新执行出现故障时的那段任务。此刻，从控制器使用的输出映像表数据来自于主控制器上一个工作周期的执行结果。但是，如果在用户将编人的程序下载到控制器之前发生切换，则该次编辑无效，这样就防止了由于错误的在线编程可能造成的主从控制器故障，保证了系统的安全性。由此可见，在冗余热备系统的切换过程中，不会出现数据的丢失和突变现象，实现了系统的无扰动切换。

　　1.2冗余控制系统结构

　　ControlLogix系统硬件冗余配置结构如图1所示。

　　冗余系统由两个结构完全相同的ControlLogix、机架组成，它们各自的电源适配器PSCA分别由冗余电源P1与P2供电。每个机架上有多个模块插槽，包括一个控制器模块CPU(L63)、ControlNet通信模块CN-BR、冗余模块SRM等。CNBR为ControlNet网络接口的信息转换模块，CPU可通过该模块接人ControlNet网络。ControlLogix系统支持热插拔技术，它可以选择混合网络通信以满足实际应用需要。

　　与ContmlNet网络连接的所有模块一般都有两个独立的ControlNet通道A和B。CNBR模块可连接两个独立的链路，每条介质链路可支持卯个节点，从而实现介质冗余及CPU模块的冗余。

　　在通信和控制时，冗余的两个链路和CPU模块同时树目同的作用。当A链路出现故障时，B链路仍起通信和控制作用;当一个CPU出现故障时，另一个冗余CPU则接替承担任务。这种双重CPU冗余方式解决了普通热备系统发生故障时存在切换时间过长的问题，保证了控制的实时性和可靠性圈。系统改造设计采用了电源、CPU和Contro1Net总线网络等多种冗余技术相结合的技术，系统可靠性得到了提高。

二、冗余控制系统可靠性

　　2.1可靠性评价指标

　　可靠性是指元件或系统在规定的工作条件下和规定的时间内具有正常工作性能的能力。衡量一个控制系统可靠性的指标通常有可靠度R(rehability)、平均无故障工作时间MTBF(mean time between failures)和故障率入等。

　　可靠度R指元件或系统从开始工作起，在规定条件下的工作周期内达到所规定的性能，即处于无故障的正常工作状态的概率，用R(t)表示。它是规定时间t的函数，规定时间t越长，R(t)越小。

　　平均无故障工作时间MTBF指可修复的元件或系统在相邻故障之间的平均正常工作时间。

　　故障率人通常指瞬时故障率，又称失效率，即指能工作到某个时间的元件或系统在连续单位时间内发生故障的比例。

　　2.2系统可靠性根据

　　ControlLogix系统硬件冗余配置的功能关联情况和可靠性框图模型分析方法，可建立如图2所示的PLC冗余控制系统的可靠性框图。

　　图2中：数字1-4为电源模块单元;5-6为电源适配器模块单元;7-8为控制器(CPU)模块单元;9-10为通信模块单元;11-12为冗余模块单元。

　　在可靠性研究过程中，人们常常把一些相互独立的单元等效组合在一起构成一个虚拟的单元，即所谓的“虚单元”。利用“虚单元”概念将图2所示的PLC冗余控制系统可靠性框图逐步简化为图3所示的等效简化可靠性框图。

　　2.3可靠性指标计算

三、冗余控制系统可用性

　　系统可用性是指当需要时系统在该时刻处于正常可用状态的能力。系统可用性的主要评价指标是可用度。如果假设以上组成PLC冗余控制系统的每个单元寿命分布、维修时间均服从指数分布规律，那么，其可用性可采用马尔可夫模型方法进行分析。

　　设图3(b)中等效单元的故障率为入(即入(1, 2,5,7.9.11或入(3,4,6,8, 10，12)、维修率为拜。当其中一个单元发生故障时，系统仍能正常工作，故障单元立即送修;当两个单元同时故障时，系统才停止工作，并处于待修状态。因此，系统可能的状态有：0状态，即两个单元都正常工作，系统正常运行;l状态，即两个单元中任意一个单元发生故障，另外一个单元故障待修，系统正常运行;2状态，即两个单元都发生故障，系统故障，停止运行。

　　由此可见，a越大，即修复率越高或故障率越低，则系统稳态可用度越高;反之，系统稳态可用度越低。因此，选用故障率低的元器件和提高维修效率也是提高控制系统可靠性和可用性的重要保障措施。

　　冗余设计虽然可以有效提高系统可靠性，但增加了成本，因此，只有在其他可靠性设计技术都不能使系统的可靠性达到预定目标值时，才考虑采用冗余设计技术。但在大型复杂系统的设计中，其关键部位一般都要采用冗余设计。

　　四、结束语

　　基于ControlLogix系统双重冗余的PLC控制系统已于2008年1月成功应用于秦山一期核电站反应堆棒控棒位功率控制系统的数字化改造项目。改造后的系统运行平稳，达到了集中监测、分散控制和连续长时间运行的高可靠性要求。

　　通过对双重冗余的 PLC 控制系统可靠性与可用性的分析研究表明，双CPU冗余PLC控制系统具有极高的可靠性和可用性，它的推广应用不仅可以降低生产企业事故风险、增强控制系统安全可靠性，而且能极大地减少系统因故障而引起的停产时间，提高企业自动化技术装备水平和生产效率，从而获得更大的经济效益和社会效益。