本發(fā)明涉及數(shù)字化儀控系統(tǒng)領域,具體涉及安全級核電廠數(shù)字化儀控系統(tǒng)及表決方法。
背景技術:
核電廠數(shù)字化儀控系統(tǒng)(DSC)用于監(jiān)視、控制核電站運行狀態(tài),尤其是在核電廠正常運行中發(fā)生異常工況或事故工況時,該系統(tǒng)啟動安全系統(tǒng)有關設施對核電廠進行保護,防止核電廠設備損壞和放射性物質(zhì)向環(huán)境釋放。
目前,核電廠常采用安全級數(shù)字化儀控系統(tǒng)(SDCS),在滿足總體需求和保證系統(tǒng)可靠性指標的前提下,提高系統(tǒng)的安全完整性等級,實現(xiàn)數(shù)字化儀控系統(tǒng)反應堆保護系統(tǒng)單通道達到SIL3的水平。針對低操作模式,B類安全子系統(tǒng),IEC61508.2和IEC61508.6中關于系統(tǒng)達到SIL3的要求如下。
根據(jù)硬件安全完整性的結構約束要求,在硬件故障裕度為0時,其安全失效分數(shù)要求≥99%,而在實現(xiàn)相同的失效率和故障診斷率的前提下,其PFD比硬件故障裕度為1的系統(tǒng)要大一個數(shù)量級,因此,在實現(xiàn)數(shù)字化儀控系統(tǒng)達到SIL3的要求時,需讓系統(tǒng)的硬件故障裕度至少為1。
目前,達到硬件故障裕度為1的系統(tǒng)結構主要包括:二取一和三取二。二取一結構為常用于兩個獨立控制器、并各自帶有自己獨立 I/O的場合。如果一個通道故障發(fā)生危險失效,另一個通道正常工作,系統(tǒng)仍能處于安全狀態(tài)。如專利號“201310269579.7”《一種核電站雙數(shù)字量輸出卡配置系統(tǒng)和方法》、美國專利“WOUS40170”’Electronic circuit system for use with self-failure recovery function copying differentiation of cell’。三取二結構由三個并聯(lián)子通道構成,三個子通道在輸出端進行“三選二”表決。三取二安全性高,但是架構復雜、實現(xiàn)成本較高,如專利號“201110337167.3”《核電站反應堆停堆信號傳輸系統(tǒng)和方法》。二取一結構雖然硬件失效裕度提高了1,但是由于這種結構不會改變?nèi)魏屋敵鰻顟B(tài)或輸出表決,所以這種結構的安全失效分數(shù)較低,使得整個安全功能很難達到一個較高的SIL等級。
技術實現(xiàn)要素:
本發(fā)明為了解決上述技術問題提供一種二取一冗余控制系統(tǒng)及其多重表決方法,其系統(tǒng)架構簡單,不會因為某個模塊失效而喪失整個系統(tǒng)的可用性,系統(tǒng)的安全性高。
本發(fā)明通過下述技術方案實現(xiàn):
一種控制系統(tǒng)的多重表決方法,包括以下步驟,
系統(tǒng)中互為冗余的模塊分別對接收到的信號進行處理、編碼后信號互傳,模塊再根據(jù)自身信號編碼和冗余模塊的信號編碼進行表決后判斷是否向下一級傳送信息編碼。根據(jù)系統(tǒng)的不同,其互為冗余的模塊數(shù)量不同,除互為冗余的模塊之外不同模塊之間對信號處理的方式不同。本方法的模塊對信號進行處理后并編碼,根據(jù)模塊自身信號編碼和互為冗余的模塊的信號編碼進行表決以判斷是否向下一級傳送信號編碼,采用本方法,其可有效的避免在二取一冗余控制系統(tǒng)中因為某個模塊失效導致整個系統(tǒng)不能用的問題,使整個系統(tǒng)的安全性達到較高的等級。
根據(jù)不同的模塊,其編碼的具體內(nèi)容有所差異。
所述編碼的具體內(nèi)容為:數(shù)字化模擬量、標記質(zhì)量位、增加校驗碼。對于直接接收模擬信號的模塊來說,需對其進行數(shù)字化模擬量操作,便于對信號標記質(zhì)量位、增加校驗碼,譬如,對信號進行調(diào)理的輸入模塊。
所述編碼的具體內(nèi)容為:標記質(zhì)量位、增加校驗碼。對于接收數(shù)字信號的模塊來說,其不需要數(shù)字化模擬量的過程,譬如,對信號進行閾值判斷的邏輯處理模塊、輸出表決命令的輸出模塊。
所述表決的方法為:
若模塊本身和冗余模塊的質(zhì)量位和校驗碼分別均一致,則互為冗余的模塊分別向各自通道的下一級模塊傳輸各自的信號編碼;
若模塊本身和冗余模塊中有一個的質(zhì)量位或/和校驗碼分別不一致,則檢測到發(fā)生錯誤的模塊丟棄自身信號編碼,向該通道的下一級模塊傳輸冗余模塊的信號編碼;
若互為冗余的模塊的質(zhì)量位或/和校驗碼均分別不一致,且均檢測到本模塊發(fā)生錯誤,則均不向各自通道的下一級模塊傳輸信號編碼。
為了提高數(shù)據(jù)傳輸?shù)乃俣龋龌槿哂嗟哪K在信息互傳時利用全雙工數(shù)據(jù)傳輸通道進行現(xiàn)場信息編碼的交互。
一種二取一冗余控制系統(tǒng),包括依次連接的通道模塊和表決模塊,所述通道模塊包括互為冗余的子通道A和子通道B;
所述子通道A包括依次相連的輸入模塊A、邏輯處理模塊A和輸出模塊A;
所述子通道B包括依次相連的輸入模塊B、邏輯處理模塊B和輸出模塊B;
所述輸入模塊A和輸入模塊B相連,所述邏輯處理模塊A和邏輯處理模塊B相連,所述輸出模塊A和輸出模塊B相連。
所述輸入模塊A和輸入模塊B的輸入端連接在同一數(shù)據(jù)采集裝置上。
為了提高互為冗余的模塊之間信號傳輸?shù)乃俣?,所述子通道A和子通道B的至少一個冗余模塊之間通過全雙工通道實現(xiàn)數(shù)據(jù)傳送。
本發(fā)明與現(xiàn)有技術相比,具有如下的優(yōu)點和有益效果:
本發(fā)明的裝置和方法對采用多重表決方法,其系統(tǒng)架構簡單仍然保留二取一的系統(tǒng)架構,且使得系統(tǒng)不再因為某一冗余模塊失效而喪失整個架構的可用性,從而讓二取一冗余架構的可用性得到提高。
附圖說明
此處所說明的附圖用來提供對本發(fā)明實施例的進一步理解,構成本申請的一部分,并不構成對本發(fā)明實施例的限定。在附圖中:
圖1為本發(fā)明的二取一冗余控制系統(tǒng)的結構示意圖。
具體實施方式
為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明白,下面結合實施例和附圖,對本發(fā)明作進一步的詳細說明,本發(fā)明的示意性實施方式及其說明僅用于解釋本發(fā)明,并不作為對本發(fā)明的限定。
實施例
一種控制系統(tǒng)的多重表決方法,包括以下步驟,
系統(tǒng)中互為冗余的模塊分別對接收到的信號進行處理、編碼后信號互傳,模塊再根據(jù)自身信號編碼和冗余模塊的信號編碼進行表決后判斷是否向下一級傳送信息編碼。
所述編碼的具體內(nèi)容為:數(shù)字化模擬量、標記質(zhì)量位、增加校驗碼;也可以是標記質(zhì)量位、增加校驗碼。
所述表決的方法為:
若模塊本身和冗余模塊的質(zhì)量位和校驗碼分別均一致,即模塊本身和冗余模塊的質(zhì)量位一致且模塊本身和冗余模塊的校驗碼一致,則兩個模塊分別向各自通道的下一級模塊傳輸各自的信號編碼;
若模塊本身和冗余模塊中有一個的質(zhì)量位或/和校驗碼分別不一致,情況包括模塊本身的質(zhì)量位與冗余模塊的質(zhì)量位不一致、模塊本身的校驗碼與冗余模塊的校驗碼不一致等,則檢測到發(fā)生錯誤的模塊丟棄自身信號編碼,向該通道的下一級模塊傳輸冗余模塊的信號編碼;
若互為冗余的模塊的質(zhì)量位或/和校驗碼均分別不一致,即模塊本身和冗余模塊的質(zhì)量位不一致且模塊本身和冗余模塊的校驗碼不一致,且均檢測到本模塊發(fā)生錯誤,則均不向各自通道的下一級模塊傳輸信號編碼。
現(xiàn)以二取一冗余架構數(shù)字化儀控系統(tǒng)為例詳細說明。
如圖1所示,包括依次連接通道模塊和表決模塊,通道模塊包括互為冗余的子通道A和子通道B;子通道A和子通道B分別具有3個互為冗余的模塊,即子通道A包括依次相連的輸入模塊A、邏輯處理模塊A和輸出模塊A;子通道B包括依次相連的輸入模塊B、邏輯處理模塊B和輸出模塊B;子通道A和子通道B中的冗余模塊之間相互連接。
當傳感器信號進入通道模塊后,輸入模塊A和輸入模塊B分別對信號進行調(diào)理、編碼,其中,調(diào)理的具體內(nèi)容為濾波、放大或衰減、歸一化,編碼的具體內(nèi)容為:數(shù)字化模擬量、標記質(zhì)量位、增加校驗碼。輸入模塊A和輸入模塊B再將調(diào)理、編碼后的信號進行互傳,即輸入模塊A將調(diào)理、編碼后的信號傳輸給輸入模塊B,輸入模塊B將調(diào)理、編碼后的信號傳輸給輸入模塊A。輸入模塊A和輸入模塊B分別根據(jù)自身信號編碼和對方信號編碼進行表決,若兩者質(zhì)量位和校驗碼分別均一致,則輸入模塊A和輸入模塊B向邏輯處理模塊傳輸各自信號編碼,若輸入模塊A和輸入模塊B有一個通道質(zhì)量位或和/校驗碼分別不一致,則發(fā)生錯誤的輸入模塊丟棄自身信號編碼,向該通道邏輯處理模塊傳輸對方信號編碼;若兩者兩個通道質(zhì)量位或/和校驗碼均分別不一致,則判斷為輸入模塊故障,兩個通道均不向邏輯處理模塊傳輸信號編碼。
表決后,輸入模塊A和輸入模塊B將轉化后的信號送入各自所連接的邏輯處理模塊。
邏輯處理模塊A和邏輯處理模塊B對接收到的信號進行編碼解碼后,進行閾值比較并輸出動作命令,動作命令在邏輯處理模塊內(nèi)完成標記質(zhì)量位、增加校驗碼的編碼工作。邏輯處理模塊A將編碼后的動作命令傳輸至邏輯處理模塊B,邏輯處理模塊B將編碼后的動作命令傳輸至邏輯處理模塊A。邏輯處理模塊A和邏輯處理模塊B利用自身動作命令編碼和對方動作命令編碼進行表決。若兩者質(zhì)量位和校驗碼分別均一致,則邏輯處理模塊A和邏輯處理模塊B將預處理動作命令變更為動作命令,分別向各自通道的輸出模塊傳輸動作命令;若兩者有一個通道質(zhì)量位或/和校驗碼分別不一致,則發(fā)生錯誤的通道丟棄自身預處理動作編碼,將對方通道預處理動作命令作為自身通道動作命令,向輸出模塊傳輸動作命令;若兩者質(zhì)量位或(和)校驗碼均分別不一致,則判斷為邏輯處理模塊故障,兩個通道均不向輸出模塊傳輸動作命令。
表決后,邏輯處理模塊A和邏輯處理模塊B將動作命令傳輸給輸出模塊。
輸出模塊A和輸出模塊B將各自的邏輯處理模塊編碼解碼后,根據(jù)動作命令輸出表決命令,表決命令在輸出模塊內(nèi)完成標記質(zhì)量位、增加校驗碼的編碼工作。輸出模塊A和輸出模塊B將編碼后的信息互傳。輸出模塊A和輸出模塊B利用自身動作命令編碼和對方動作命令編碼進行表決,若輸出模塊A和輸出模塊B質(zhì)量位和校驗碼分別均一致,則向表決模塊傳輸表決命令;若兩者中有一個通道質(zhì)量位或/和校驗碼分別不一致,則該通道丟棄自身表決命令編碼,將對方通道表決命令作為自身通道表決命令,向表決模塊傳輸表決命令;若兩者質(zhì)量位或/和校驗碼均分別不一致,則判斷為輸出模塊故障,兩個通道均不向表決模塊傳輸表決命令。
最后,表決模塊根據(jù)兩個子通道輸出表決命令進行標記,并輸出安全系統(tǒng)有關設施動作命令。
更具體的再以失電安全為例予以說明。
當某一子通道輸入模塊、邏輯處理模塊、輸出模塊中任一模塊命令失效,即該模塊本應輸出得電命令,但卻輸出失電命令;系統(tǒng)輸出失電命令,安全系統(tǒng)有關設施進入安全狀態(tài),系統(tǒng)不可用。而多重表決二取一架構當某一子通道輸入模塊、邏輯處理模塊、輸出模塊任一模塊命令失效,即本應輸出得電命令,但輸出失電命令,系統(tǒng)經(jīng)過多重表決后仍可輸出正確的動作命令,使得系統(tǒng)整體可用性得以提高。
以某一輸入模塊失效后為例說明其表決過程。輸入模塊檢測到失效后,將在輸入數(shù)據(jù)上標記無效的質(zhì)量位和校驗位,該質(zhì)量位為一個8 bit的專用字段,用于表征信號的有效或無效狀態(tài)。然后將輸入數(shù)據(jù)和質(zhì)量位作為數(shù)據(jù)包,發(fā)送給冗余模塊,為提高數(shù)據(jù)傳輸?shù)目煽啃?,根?jù)數(shù)據(jù)包增加了CRC校驗位。反過來,冗余輸入模塊也發(fā)送相應的數(shù)據(jù)到失效的輸入模塊。失效的輸入模塊接收到冗余輸入模塊的數(shù)據(jù)后,將得到的質(zhì)量位和校驗位與本模塊的質(zhì)量位和校驗位進行對比;由于失效的輸入模塊的質(zhì)量位為無效,而冗余的輸入模塊質(zhì)量位為有效,因此質(zhì)量位存在不一致性,同時其產(chǎn)生的校驗位也不一致,根據(jù)前文所述的表決方法,失效的輸入模塊將丟棄自身信號編碼,向該通道的下一級模塊傳輸冗余模塊的信號編碼;在這種情況下,失效的輸入模塊下級的邏輯模塊仍能接收到正常的輸入數(shù)據(jù)且該數(shù)據(jù)來自冗余的輸入模塊,因此仍能繼續(xù)工作,系統(tǒng)仍處于可用狀態(tài),具備執(zhí)行動作命令的能力。
如圖1所示的一種二取一冗余控制系統(tǒng),包括依次連接的通道模塊和表決模塊,所述通道模塊包括互為冗余的子通道A和子通道B;
所述子通道A包括依次相連的輸入模塊A、邏輯處理模塊A和輸出模塊A;
所述子通道B包括依次相連的輸入模塊B、邏輯處理模塊B和輸出模塊B;
所述輸入模塊A和輸入模塊B相連,所述邏輯處理模塊A和邏輯處理模塊B相連,所述輸出模塊A和輸出模塊B相連。
輸入模塊對傳感器輸出的現(xiàn)場信號進行調(diào)理、編碼,根據(jù)冗余的輸入模塊的信號編碼進行第一次表決。
邏輯處理模塊對輸入模塊輸出的表決后的現(xiàn)場信號編碼進行解碼、閾值比較、輸出動作命令、編碼,根據(jù)冗余的邏輯處理模塊的信號編碼進行第二次表決。
輸出模塊對邏輯處理模塊輸出的表決后的輸出命令編碼進行解碼、輸出表決命令、編碼,根據(jù)冗余的輸出模塊的信號編碼進行第三次表決。
第一子通道和第二子通道接收同一傳感器輸出的現(xiàn)場信號,所述輸入模塊A和輸入模塊B的輸入端連接在同一數(shù)據(jù)采集裝置上。
所述子通道A和子通道B的至少一個冗余模塊之間通過全雙工通道實現(xiàn)數(shù)據(jù)傳送。
以上所述的具體實施方式,對本發(fā)明的目的、技術方案和有益效果進行了進一步詳細說明,所應理解的是,以上所述僅為本發(fā)明的具體實施方式而已,并不用于限定本發(fā)明的保護范圍,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進等,均應包含在本發(fā)明的保護范圍之內(nèi)。