基于TRACE MODE 5.09的控制器自动冗余

在本篇文章中，作者将与读者分享自动控制系统中冗余控制器的应用和运转经验，以及独特的软硬件解决方案。 如果在控制具有潜在危险性或者价值不菲的工艺流程的时侯，控制器意外失灵，将会出现什么情况，其后果又会怎样呢？在最糟糕的情况下，这会造成巨大的物质损失和环境污染，而操作人员的心情会长时间地受到不良影响。在切尔诺贝利核电站发生的事故及其所引起的生态灾难所造成的影响至今仍然存在。 在设计工作中，对于自动控制系统中控制器功能的可靠性的要求是由它们发生工作间断和故障的后果决定的。设计工作是按照俄罗斯国家标准GOST和俄罗斯联邦采矿业和工业监察局所确定的规则完成的。可靠性的提高，需要增加购买备份控制器和实现自动冗余的软件的投入。实现冗余的投入是一次性的。应用了冗余之后所带来的效果会超过此项投入，而且还能长期发挥作用。15年来，在对易燃易爆的化肥生产的控制过程中，我们通过使用带有自动冗余设备ТВСО СМ1634的自动控制系统已经证实了以下特点： 1.保证在不间断的生产周期中对工艺流程实现全昼夜的可靠监测和控制； 2.由于简化了对整个系统可靠性的维护，实际上，与非冗余的情况相比，用于冗余设备的养护和维修费用减少了； 3.提高了自动控制系统的技术使用寿命； 4.为进行预防性维护、修理和预防潜在故障检测创造了很好的条件； 5.可以达到软件功能的完善和在备用控制器上进行实时调整，同时使之作为自动控制系统中的基本部发挥其作用； 6.自动冗余的另一优点在于能够将可靠性低的元件组成一个可靠性高的系统。 2000年，通过替换技术老化设备的方法对自动控制系统进行了改造。现在，自动控制系统中使用的是“Tecon”公司的3个现代化的多功能成套控制器。它们是在TRACE MODE 5实时监控器的控制下工作。其中两个控制器在系统中正常运转,　第三个则处于“冷”冗余状态。在其中的一个控制器中集中了控制、管理和保证具有潜在危险性的工艺流程的安全的主要核心软件。经验告诉我们，在5—10年间，这个控制器完全可能由于不同的原因而突然发生工作间断或故障。尽管自动控制系统整体上具有很高的可靠性，实施人员在没有邀请承包单位的情况下，还是独立决定将处于“冷”状态的控制器转换到了支持自动冗余的备份模式下。 ■冗余结构 对用户来说，实现自动控制系统所有功能的全面冗余是十分昂贵的。按元件（按节点）进行冗余则是更加能够接受的方式。在这里，我们使用节点冗余比全面冗余更加有利，因为我们是对自动控制系统中负责生产安全的最主要节点进行冗余。 在规定功能状态下，冗余系统的控制器中的一个是主要控制器“Master”(主机)，而另一个是跟随后备控制器“Slave”（从机）。来自于传感器的信息进入两个控制器，但是，只有处于“Master”状态的控制器才能够发出控制工艺流程的输出信号。后备控制器中的输出信号应该是以电子方式封闭，或借助终端继电器截断。在自动冗余结构图（见图1）中，独立判优器完成以下功能： 1.在备份控制器中记录电子组件的工作间断和故障，软件的“过载”和与操纵站的网络联系的中断； 2.如果基本上记录了故障和工作间断（自动复原性的故障），则向后备控制器发出指令，使其转换状态； 3.为了排除虚假磨损，弥补“Master\Slave”状态转换时设定的暂时性延误； 4.如果相邻控制器的状态码显示相邻控制器无法工作或不存在，禁止将主控制器转入“Slave”状态。 图1，控制器自动冗余结构图 在结构上，它是处于带有时间设定RC电路的微电路K155AG3上的监视定时自动开关。它们由控制器发出的 “回纹”（meandr）型程序信号控制。 维修人员具有调整判优器的权限。 1.在系统的正常工作过程中，操作员可以通过手动扳倒开关来改变控制器的“Master\Slave”状态； 2.在通过扳倒开关对两个控制器加载工程程序时，可以首先设定哪一个为“Master”，哪一个为“Slave”。 冗余过程中，控制器的辅助索引开始发挥作用。通过这个索引完成所有冗余功能的基本指令。在这个索引中，可根据01FF端口在控制器输入输出地址范围上的地址存取数据。同时，在 “Slave”状态下，辅助索引的信号不会在控制器上受到硬件封闭。 我们放弃了通过控制器和TRACE MODE软件实现冗余的某些其它结构方案，如： 1.当向触发器的两个输入口同时输入控制信号时，为了排除静态触发器的不确定状态，未使用额定电缆将用于控制器"Master"\"Slave"状态转换的分布式触发器的二分之一部分连接起来； 2.未启动“Watch Dog”，即由硬件控制自动清除处理程序OCTAGON5066的监视定时开关。这是因为，在安装操作系统和工程时，工艺流程不受控制，而这可能导致事故的发生； 3.放弃了基于TRACE MODE FBD模块的程序监视开关，因为，在这种情况下，独立判优器的一部分功能是在控制器或者是第三节点中完成的,而这与独立评判和冗余结构的可靠性是相矛盾的。 图2，使用稳压管KC147的模拟信号接通图 图3，使用标准电阻器的模拟信号接通图 模拟输入的电流统一信号的传送，可以通过图2和图3的两种方式实现。电流去耦的离散输入输出信号和模拟输出信号的传送是按照“装配ILI”结构图完成的。备份控制器中的热电偶、应变传感器所发出的毫伏信号可以通过继电器的接触片来转换。但是，较好的方式是将下游信号转换为统一电流信号。 将冗余控制器划分为“Master”和“Slave”两个节点只是相对的。它们完全可以相互替换，但是，在使用中，为了避免混淆，最好将部件的功能固定下来。 ■故障诊断算法 在多功能控制器（МFК）中，内置了故障自动诊断、识别故障模块和故障报警的硬件手段。SCADA系统为实现操作站和控制器冗余提供了各种通用的算法程序。根据所使用的控制器的型号不同，用户创建自己的FBD，即用于发现软硬件系统故障和控制“Master|Slave”模式的程序。图4显示了这种程序的一种方案。FBD程序在每一个环节上完成以下功能： 1.跟踪数学处理服务器的工作能力； 2.按照模块驱动器完成工作的代码监控与目标相联系模块的工作； 3.监控相邻控制器的状态代码： “0” 相邻的控制器不存在； “200”相邻控制器完成主控制器的功能； “300”相邻控制器处于热冗余状态； 4.检查回声控制网路交换的运行。 图4，FBD自动冗余程序 当没有发现故障时，会有“Meandr”信号发入判优器的监视定时开关中。而在亚类型的专门通道中控制器“Master”的系统代码为“2”，而在冗余通道中为代码为“3”。即使是在发现一处故障的情况下，便会中止向判优器的监视定时开关中发送“Meandr”信号。如果在12秒内（符合俄罗斯联邦采矿业和工业监察局对于工艺流程要求的时间常量）没有实现自动恢复，判优器会对基本控制器发出指令，使其转换到“Slave”状态，而对相邻控制器会发出指令，使其转换为“Master”状态。“TRACE MODE”可支持在工艺流程调节电路中实现无冲击转换。在发现冗余控制器FBD中存在故障的情况时，程序会将其通知判优器，而判优器在这种情况下不会进行状态的转换。 ■在控制器中发生故障和的原因 由于网络电压短时间下降到额定标准以下，控制器硬件平台和软件运行就发生故障。通过使用无间歇供给电源可以保证控制器不受电压降低的影响。 故障是由有隐性瑕疵的零件造成的。电子器件是容易损耗的。这种损耗与其内部的半导体性质结构变化相联系，而且是不能通过肉眼发现的。最好不要经常开启和闭合控制器的电路供电。此时所发生的电流转换过程会缩短电子器件的寿命。在开启电源的情况下替换模块会导致控制器的损坏。 如果工程改版不正确，软件在工作状态中会发生故障和间断的情况。最糟糕的情况是，一些没有被操作员和仪表系统及时发现的错误，在经过较长的一段时间后，将以故障的形式出现。应该时刻牢记，人为因素既可以极大的提高可靠性，也可以降低这种可靠性。此外，由于配置文件config.sys中未对主存储器、扩展存储器、辅助存储器进行优化，以及控制器和线路通道中的临时资源超载，也会引起故障，造成很多麻烦。 基于"TRACE MODE"的控制器自动冗余所具有的效能 1.可回收用于应用冗余的那部分投资； 2.提高自动控制系统的寿命； 3.减少技术维护的使用支出； 4.不需要购买实现冗余的专门软件； 5.在基本节点配置改变的情况下，"TRACE MODE"可以简便地创建后备节点和自动更新工程。