控制网

1  引言

    在生产过程中采用计算机进行控制后，最重要的问题之一就是控制系统的可靠性，控制系统的不可靠将导致系统不稳定、运行错误、停机后产生故障，轻则影响工艺指标造成经济损失，重则产生事故后果无法预计。因此，进行提高控制系统的可靠性的研究并在实际中加以应用是十分必要的。
    控制系统运行的可靠性主要受硬件故障、软件错误（包括控制算法的不合理）和偶发性干扰影响。要获得实时控制的高可靠性，通常可以用两种办法：一是采用高可靠性的元件进行完善设计，尽可能延长系统的无故障运行周期，但随着可靠性的增长，其成本呈非线性急剧上升。这种设计不能克服软件错误和偶发性干扰的影响，而且当系统发生故障时，必须中断系统的正常工作加以修复；另一种是采用容错设计技术，即用适当增加冗余资源的办法来得到可靠性较高的系统，它可以克服硬件故障和偶发性干扰的影响，对软件错误也有一定的抑制能力。冗余的成本线性增加，但可使故障率控对数规律下降，并可实现不中断系统工作的修复。是一种有效提高控制系统可靠性的高性价比的实用技术。

2  容错控制系统

    根据工业企业生产过程控制的实际需求，笔者研究和发展了一种实用的容错控制系统，研发内容包括以下二个部分：

2.1  双模冗余系统的研究和构成
    双模冗余系统是一种较为经济实用的冗余技术，它采用双计算机互为备份并行工作。采用了这种结构后，如果能准确地判定运行错误和故障，并完成切换，则二台计算机中只要有一台是正常的，控制系统就可以带错正常工作甚至自动修复错误，确保系统长周期正常工作。根据可靠性理论，如果单机运行的故障率为0.1%，则并列双机运行的故障率仅为 0.0001%，具有很高的可靠性和可用性。

    对于工业控制系统，实现双模冗余系统的关键问题是主控机和备用机运行数据的采集与正确性的确认、运行故障的判定与检出、主备机状态的确认和无干扰的相互切换。根据上述要求，笔者研究了一种实用的容错控制系统。

(1)  控制计算机
    控制计算机采用两台完全相同但相互独立的PC总线工业计算机，这两台计算机中的操作是完全独立的。两台计算机之间的主控和备用关系，可以通过上电复位时的随机竞争自动确认，也可以通过随时的人工干预加以改变。当主控机和备用机均正常工作时，它们同时通过数据通道接收接口单元传送来的输入过程参数，相互独立地进行显示、查询和记录等操作。因此，对于使用者而言，主控机和备用机在操作和显示上是一致的，但它们的工作模式实际上有很大不同的。
    主控计算机对冗余输入的关键参数和非冗余输入的一般参数进行诊断和推理，剔除错误后存入实时和历史数据库。根据设定的控制算法和控制参数，主控机运行控制运算，通过输出接口单元控制被控设备的运行。同时，主控计算机进行定时自诊断，在测控任务正确完成和软硬件正常的前提下，定时向备用机发送包含所有经诊断后确认是正确的过程参数、过程变量和主控机状态的数据同步报文，用以同步主控机和备用机的运行状态。
    备用计算机通过接收主控计算机发送的数据同步报文，与主控机严格同步它的实时和历史数据库。备用计算机具有完整的CRT操作站的功能，其大部分功能通过访问本机的实时和历史数据库即可实现，但涉及到任何参数和设置的修改都需将其发送到主控机，主控机修改数据库后再通过参数同步命令返回备用机。
    当主控计算机发生错误或故障时，如果是非致命性的，主控机可以直接向备用机发出主备切换命令，备用机根据命令切换为主控状态；如果是致命性的，根据它的软件设计，主控机不再向备用机发送用于同步主控机和备用机的数据报文。备用机在预定时间内收不到同步报文，则向主控机发出查询报文，在预定时间内主控机无应答，备用机自动切换为主控状态。备-主切换完成后，向原主控机发送数据同步报文，并发出声光报警提示，通知维护处理，原主控机通过接收数据同步报文切换为备用状态，人工主备切换则通过发送主备切换命令完成。
    当备用计算机发生错误或故障时，由于备用计算机并不参加控制，发出声光报警提示通知人工维护即可。
数据同步报文的发送周期为0.5秒，因此主控计算机错误或故障时主备切换的时间是1秒。这对于采样周期一般选择在0.5秒到1秒之间的过程控制系统是完全能够满足要求的。由于备用机的数据库和主控机是严格同步的，因此主备相互切换是无扰动的。

(2)  输入输出接口单元
    输入输出接口单元是自行开发的，采用插槽式结构，可按需插入不同类型的I/O接口模板，使用中允许带电拔插。模拟量输入带有隔离调理能力，可直接输入热电阻、热电偶、毫伏或标准信号，开关量采用继电器输出。
    由于模拟量输入是点点隔离（通道间在电气上是绝缘）的，因此对于电压和可转换为电压的电流信号直接并联即可实现冗余输入，但对热电阻则无法直接并联，需要配置双支热电阻分别输入。
    模拟量输出也是可以冗余配置的，将模拟量控制输出同时赋值给位于二块输出接口模板的二个输出通道，再利用输出接口模板上的开关量输出继电器转接型触点构成互锁电路，在输入输出接口单元软件的配合下实现模拟量输出的切换。

(3)  数据通道
    数据通道采用自行开发的 FLAN令牌总线网。通道互连的网络拓扑结构为总线型，采用基带网双绞线传输，通信速率为 96kbps，接口标准为 RS-485，控制方式为令牌（IEEE 802.4）。不加重复器时的最大网络长度为1 200m。具有长线传输能力和较强的抗干扰能力。
    令牌网络是一种多主控制模式，网络中的任何一个节点都可以在不超过特定的延迟时间内获得令牌，成为事实上的主节点并发送数据，然后将令牌传递到下一个节点。这个延迟时间完全取决于通信速率、节点数量和允许传送的报文的最大长度，可通过计算确定。因此，使用令牌网络不但可以保证通信报文的有效传输，而且可通过对报文传输延迟的监控来诊断网络的工作状态。与CD/CDMA控制方式相比，令牌网避免了CD/CDMA 由于竞争而造成的报文传输延迟的不确定性。与主从型网络结构相比，令牌网则完全避免了因主节点的故障而造成的网络崩溃。
    对于分布式控制系统，网络连接的可靠性是非常重要的，故采用双重数据通道。在一个令牌传递的循环周期中，使用一条数据通道进行数据通信，另一条数据通道作为热备用；当令牌传递具有最小地址的节点时，发出切换数据通道命令并切换数据通道的工作模式；如切换失败，则返回原来的工作模式。因此，只要有一条数据通道是正常的，就能保证数据通信的正常进行，同时产生故障诊断信息。
    为了进一步提高网络的可靠性，节点采用了MAXIM公司的光电隔离型RS-485驱动器MAX1480，不但实现了各节点之间的电气隔离，而且经过合理设计后，当节点产生故障时，MAX1480能自动处于浮空状态，避免了对总线型网络的干扰。

2.2  推理机制和容错控制策略的研究以及计算机软件的实现
    推理过程就是对故障进行识别的过程。需要建立系统动态数据库、知识库和过程故障模式库，用当前的动态数据与知识库中的已有数据进行匹配，对故障进行识别和诊断。在控制系统的不断运行中，根据实际执行结果，知识库内数据也将进行不断地修改，实现了知识库的自我完善。
    在计算机软件的具体实现中，程序在每个采样周期读取输入的实时数据进行计算，以实时数据的有效值、中期和短期变化速率以及相关变量为索引，查询知识库中的已有数据进行比较匹配，根据匹配的结果查询过程故障模式库得出处理方法。同时根据运行的累计结果，修改知识库内数据相关数据。由于多维的知识库需要占用大量的存储空间，而大部分非关键参数对少量错误并不敏感，因此在实际应用中，根据具体情况对不同的实时数据设置不同的索引结构，减少存储空间的占用和加快推理识别过程速度。
    容错控制策略保证检测到故障信息后，使设备继续安全正常运转；或以牺牲性能为代价，使设备在规定时间内完成其基本功能。笔者采用了冗余控制与补偿技术相结合的综合容错控制策略，并采用了多模块并行诊断决策的容错处理方法，即对同一种故障信息用不同模块进行诊断，然后用表决方法得出故障结果。借助于硬件机构支持，采用软、硬件结合方法实现故障容错。

2.3  典型应用实例
    本容错控制系统已应用于在多个企业的多个生产装置，最典型应用实例是福州一化集团硫酸化工总厂的六万吨硫酸生产线。该生产线采用加热液化的硫磺为生产原料，存放在保温原料库中的液态硫由泵抽出，通过喷枪雾化后进入焚硫炉燃烧氧化生成二氧化硫，二氧化硫送入转化炉中，在钒催化剂的作用下进一步氧化为三氧化硫，再经过一次吸收、二次吸收和干燥后形成硫酸成品。反应过程中产生的大量热量则由三个废热锅炉加以利用，产出蒸汽供厂内其它生产装置使用。根据生产工艺的要求，需要对原料库、系统焚硫、转化、吸收、成品及废热锅炉等装置进行检测和控制，对象包括温度、压力、流量、液位和硫酸的浓度等，共计近90个检测点和6个控制回路系统。
    根据该硫酸生产线的生产工艺和成本控制的要求，控制系统由CRT操作站 2 台，现场控制器5台和冗余配置的 FLAN令牌总线网构成。共有模拟量输入通道96个，模拟量输出通道8个，其中用于重要参数的32个输入通道和控制输出的8个输出通道是冗余配置的，以确保系统可靠性；其余64个用于一般参数检测的输入通道则不作冗余配置，以降低系统的成本。控制系统的软件设计上则充分使用了上述的研究成果。
    该自动控制系统1998年投入运行，2000年根据生产工艺的要求和改进对硬软件升级改造后，已连续运行至今。虽然在四年的使用过程中发生过因CPU风扇卡住使CPU过热、硬盘故障而造成操作站死机、通信电缆因外力而被机械切断等严重故障，但由于控制系统具有较完善的冗余和容错能力，通过自动切换保持了控制系统的连续正常运行，达到了无故障长周期连续运行的目的，实现了从原料库、焚硫、转化、吸收、成品及废热锅炉等辅助装置的自动控制。