CC BY
104
Гусев А.М., Рыжев А.А., Романчев И.В., Юрков Н.К., Таньков Г.В., Трусов В.А.
ПОВЫШЕНИЕ НАДЕЖНОСТИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ УПРАВЛЕНИЯ
На современном этапе развития промышленности невозможно обойтись без широкого применения автоматизированных систем управления технологическими процессами(АСУ ТП). Важные с точки зрения безопасности объекты атомной промышленности не являются исключением. АСУ ТП, применяемые в атомной энергетике, состоят из двух уровней: нижнего и верхнего. Нижний уровень - это уровень датчиков и контроллеров. Верхний уровень - это уровень серверов и рабочих станций.
Система верхнего (блочного) уровня АСУ ТП АЭС (СВБУ) - это система автоматического сбора, хранения, представления информации о текущем состоянии технологического объекта управления (ТОУ) и автоматизированного дистанционного формирования команд управления механизмами ТОУ алгоритмами АСУ ТП.
Применение методов искусственного интеллекта повышает надежность работы операторов по контролю состояния оборудования и диагностике технических процессов. Применение в системе «оператор» системы автоматизированного проектирования на всех уровнях разработки прикладных программ обеспечивает минимальный срок разработки готовых систем и высокую надежность программ.
Важной функцией, отличающей СВБУ от других известных отечественных систем верхнего уровня АСУ ТП АЭС, является дистанционное управление различным оборудованием энергоблока с экрана дисплея рабочей станции с помощью курсора вместо управления через ключи на панелях, что удешевляет технические средства и увеличивает скорость ввода управляющих воздействий. Применение компьютерной мультипликации для отображения технологической информации, технологических инструкций повышает наглядность представления информации, удобство работы опера- тора и пр.
Общий алгоритм функционирования СВБУ представляет собой сумму алгоритмов своих подсистем. При этом особенностью взаимодействия элементов подсистем является применение технологии «клиент-сервер», в результате чего алгоритм функционирования каждой подсистемы разбивается на совокупность алгоритмов функционирования шлюзов, серверов и РС, решающих соответствующие им задачи внутри себя и обменивающихся между собой сетевыми сообщениями
Шлюзы, являясь частью ПТК смежных систем АСУ ТП, включают интерфейсное ПО (ИПО) и решают сле-
дующие задачи:
• получение от низовых систем АСУ ТП дискретных сигналов с приписанными им
метками времени и формирования признака обновления сигнала;
• получение от низовых систем АСУ ТП аналоговых сигналов, сравнение с апертурами, хранящимися в базе данных шлюза, приписывание метки времени и формирование признака обновления сигнала;
• получение от низовых систем АСУ ТП диагностических сигналов;
• подготовка и буферизация сообщений серверам;
• получение от серверов и передача низовым системам АСУ ТП команд дистанционного управления;
• синхронизация собственных часов по протоколу ЫТР и передача значения времени низовым системам АСУ ТП.
Общий алгоритм функционирования шлюзов (упрощенный) состоит из серии шагов, выполняемых циклически:
• опрос смежных систем АСУ ТП с целью получения от них информации перечисленных выше типов и запись ее в буфера обмена;
• прием от серверов запросов на получение информации и команд дистанционного управления;
• передача информации серверам, от которых получены запросы;
• передача команд дистанционного управления в ПТК смежных систем АСУ ТП;
• прием от АТПС синхронизирующих время сообщений, коррекция собственных часов и передача син-
хронизирующих время сообщений в ПТК смежных систем.
Основные и резервные серверы функционируют по единому алгоритму независимо друг от друга. Оба они принимают информацию от одних и тех же шлюзов в одинаковом объеме и темпе. Отличие основного от резервного сервера состоит в том, что к первому подключаются РС, а второй работает автономно на прием, обработку и накопление информации.
РС поддерживают функции человеко-машинного интерфейса на соответствующих постах управления. Общий алгоритм функционирования РС состоит в серии шагов, выполняемых циклически:
• выдача запроса на получение информации серверу (основному либо резервному);
• прием информации от сервера, ее обработка и отображение на экране дисплеев;
• прием команд дистанционного управления, введенных оператором;
• передача команд дистанционного управления серверу;
• прием от АТПС синхронизирующих сообщений, коррекция собственных часов.
Данный алгоритм начинает выполняться сразу после запуска и инициализации ППО РС. Он требует, чтобы предварительно были запущены серверы соответствующих подсистем СВБУ.
При взаимодействии абонентов сети СВБУ использован следующий основной принцип: все посылки в
адрес абонента осуществляются только по его запросу/разрешению; при этом на каждый запрос осуществляется только один акт передачи информации. Такой подход устраняет возможность стохастического накапливания посылок в буферах системы и их переполнения, исключает клинчевые ситуации в сети.
На рис. 1 приведен типовой фрагмент сети СВБУ, включающий резервированный шлюз 01/02, резервированный сервер 81/82 и одну рабочую станцию И8. Каждый из перечисленных элементов является одновременно абонентом сетей Ь1 и Ь2. На рис. 2 представлена техническая структура фрагмента сети, приведенного на рис. 1. В этой структуре появляются дополнительные элементы - концентраторы Н1 в сети Ы и Н2 в сети Ь2, обеспечивающие электрооптическое соединение элементов сети.
Рис. 2. Базовый элемент СВБУ (технологическая структура)
Принятыми техническими и алгоритмическими решениями обеспечивается принцип раздельного резервирования элементов сети, что позволяет любому из серверов S1 и S2 взаимодействовать с любым из шлюзов G1 и G2 через любой из концентраторов H1 и H2. Аналогичным образом с любым из абонентов сети может взаимодействовать рабочая станция WS. Реализация принципа раздельного резервирования позволяет достигать более высоких значений показателей надежности, чем при канальном общем резервировании, и обеспечивает большую отказоустойчивость при отказах элементов сети. В частности, при раздельном резервировании отказы и/или сбои не одноименных элементов не приведут к отказу сети, что не обеспечивается общим резервированием каналов. При необходимости в отдельных фрагментах сети алгоритмическими средствами можно обеспечить реализацию принципа общего резервирования.
При включении абонента в сеть СВБУ он устанавливает каналы связи со всеми уже действующими абонентами сети, с которыми ему предписано обмениваться информацией. При этом с каждым из абонентов устанавливаются два канала, оба из которых действуют на прием и передачу данных, но один из них реализован в сети L1, а другой - L2. В дальнейшем эти каналы называются логическими. Каждый абонент сети через фиксированный интервал времени проверяет наличие логических каналов связи со смежными абонентами.
Посылка сообщений абонентом 1 абоненту 2 осуществляется по следующему алгоритму. Один из двух логических каналов является основным, второй - резервным. При исправности основного логического канала посылка осуществляется по нему. При этом надежность передачи обеспечивается протоколом TCP/IP. При неисправности основного канала посылка осуществляется по резервному. После этого резервный канал назначается основным, но абоненты с заданной периодичностью пытаются установить связь по неисправному логическому каналу. Если связь по этому каналу удается восстановить, то данный канал опять становится основным.
Переход сервера S1 на взаимодействие с резервным для него шлюзом G2 происходит в следующих ситуациях:
• при отсутствии в сервере S1 обоих логических каналов связи со шлюзом G1;
• при получении сервером S1 диагностического сообщения от шлюза G1 о возникшем сбое;
• при формировании в сервере S1 диагностического сообщения о возникшем сбое в шлюзе G1;
• по команде администратора сети.
При этом основным логическим каналом между S1 и G2 назначается канал в сети L1. Шлюз G2 получает от сервера S1 разрешение на последующую передачу сообщений. Шлюз G2 высылает серверу S1 информацию из буфера, гарантирующего компенсацию возможного временного рассогласования в работе шлюзов G1 и G2. Данная посылка снабжается признаком возможности дублирования уже ранее полученной сервером S1 от шлюза G1 информации.
По аналогичной схеме осуществляется переход сервером S2 на работу с резервным для него шлюзом G1. Основной логический канал при этом назначается в сети L2.Переход рабочей станцией WS на взаимодействие с резервным для нее сервером S2 происходит в следующих ситуациях:
• при отсутствии в рабочей станции WS обоих логических каналов связи с сервером S1;
• при получении рабочей станцией WS диагностического сообщения от сервера S1 о возникшем сбое;
• при формировании в рабочей станции WS диагностического сообщения о возникшем сбое в сервере
S1;
• по команде администратора сети.
При этом основным логическим каналом между WS и S2 назначается канал в сети L1. Сервер S2 получает от рабочей станции WS разрешение на последующую передачу сообщений. Сервер S2 высылает рабочей станции WS информацию из буфера, гарантирующего компенсацию возможного временного рассогласования в работе серверов S1 и S2. Данная посылка снабжается признаком возможности дублирования уже ранее полученной рабочей станцией WS от сервера S1 информации.
