核安全级热备冗余控制站无扰下装方法和系统与流程

本发明涉及核电站仪控系统的技术领域，尤其涉及一种核安全级热备冗余控制的技术领域，具体地，涉及一种核安全级热备冗余控制站无扰下装方法和系统。

背景技术：

核电相对于火电，凭借着对环保、发电量大等优势，得到了很好的发展，但是2011年的日本福岛核电站事故，让核电站安全问题成为一个非常关注的问题，所以对核电站仪控系统的设计过程中对安全因素有增加了多种考量。以firmsys(和睦系统)平台为例的仪控系统中，控制器通常都设置成热备冗余，对应控制站也相应设计成热备冗余控制站。

但是发明人实现本发明的过程中发现：上述热备冗余控制站的控制器并不能实现无故障切换，所以当某个热备冗余控制站进行升级时，必须要让停止控制器运行，这样就会导致这个核电站保护系统中一个热备冗余控制站完全失效的问题；而且还会存在当热备冗余控制站进行主从组态更新时，为了保证从机跟新完版本组态后，从机复位重启到主从同步完冗余数据这一阶段时，如果主机故障，那么从机也进入故障状态。因此，本领域技术人员迫切开发一种能够让热备冗余控制站更好实现无扰下装的技术方案。

技术实现要素：

为了解决现有技术中备冗余控制站进行升级过程中存在的停止运行和可能出现主从都进入故障状态的技术问题，本发明提供一种核安全级热备冗余控制站无扰下装方法和系统，能够实现核安全级热备冗余控制站的无扰输出。

为了实现上述目的，本发明提供的技术方案包括：

本发明一方面提供一种核安全级热备冗余控制站无扰下装方法，其特征在于，包括：

s1、将所述热备冗余控制站至于正常工作状态，并将所述热备冗余控制站连接至工程师站下装和校验工具；

s2、从所述工程师站下装和校验工具接收新版本组态的下载，并控制所述热备冗余控制站中的从机进入下装模式；

s3、将所述热备冗余控制站中的从机置于测试模式下运行，在所述热备冗余控制站中的从机从主机自动同步应用数据和变量强制状态之后，触发主从切换，使得所述从机切换为切换后主机，所述主机切换为切换后从机；

s4、当所述热备冗余控制站主从切换之后，将所述热备冗余控制站连接至工程师站下装和校验工具，从所述工程师站下装和校验工具接收新版本组态的下载，并控制所述热备冗余控制站中的切换后从机进入下装模式；

s5、将所述热备冗余控制站中的切换后从机置于测试模式下运行，在所述热备冗余控制站中的切换后从机从切换后主机自动同步应用数据和变量强制状态之后，触发主从切换，使得所述切换后从机切换为主机，所述切换后主机切换为从机。

本发明实施例优选的实施方式中，所述触发主从切换包括：

s11、向所述热备冗余控制站中的主机发送主从切换指令；

s12、所述热备冗余控制站中的主机反馈状态；

s13、所述热备冗余控制站中的主机向从机发送切换请求信号；

s14、所述热备冗余控制站中的从机收到信号后进行升主操作，并向主机发送切换确认信号；

s15、所述热备冗余控制站中的主机收到切换确认信号后，降为从机，并发送状态反馈。

本发明实施例优选的实施方式中，在所述热备冗余控制站中的从机无扰下装时，给予从机进行上电或启动操作，使其正常运行，并且判断所述热备冗余控制站中的从机和主机的当前组态版本是否相同；当判定结果为相同时，从机保持正常启动运行模式；当判定结果为不相同时，继续判断所述热备冗余控制站中的从机组态版本是否为主机组态版本的升级版本，如果是升级版本，则所述热备冗余控制站中的从机可以正常运行，并显示主从版本不一致，提示报警信息，如果不是升级版本，则所述热备冗余控制站中的从机故障挂起，显示错误信息。

本发明实施例优选的实施方式中，所述热备冗余控制站中的主机和从机之间应用数据按照类型和变量名的方式进行排序输出，并且对某个变量进行增、删或修改操作之后，其他变量也会随之发生改变；在所述热备冗余控制站中的从机与主机数据同步阶段，所述热备冗余控制站中的从机更新完组态进入正常运行后，要自动从所述热备冗余控制站中的主机同步应用数据和变量强制状态，当所述热备冗余控制站中的主从机组态版本不一致时，根据其基础版本和当前版本冗余同步数据量的差异生成同步数据映射表，并且所述同步数据映射表包含两个版本组态之间的变化变量的地址映射关系，使得所述从机mpu板卡能够根据所述同步数据映射表重新映射同步数据，实现数据的正确同步。

本发明实施例优选的实施方式中，下装的组态软件中组态软件中包括了网络变量的偏移，组态时需要用户设置，不变的变量的偏移属性不能发生变化，新增或修改的网络变量的偏移属性需要重新设置且不能和已有网络变量的偏移值冲突，使得无扰下装过程中，在触发主从切换阶段、以及切换后的运行阶段，站间通讯的网络数据要保持一致。

本发明另一方面还提供一种核安全级热备冗余控制站无扰下装系统，其特征在于，包括：

待进行组态下装的热备冗余控制站、工程师站下装和校验工具、mpu板卡和fcu板卡；

所述mpu板卡和fcu板卡设置成，能够将所述热备冗余控制站至于正常工作状态，所述工程师站下装和校验工具能够连接至所述热备冗余控制站；

所述热备冗余控制站设置成能够接收从所述工程师站下装和校验工具接收新版本组态的下载，并且所述热备冗余控制站中的从机被设置成进入下装模式；

所述mpu板卡还设置成能够将所述热备冗余控制站中的从机置于测试模式下运行，在所述热备冗余控制站中的从机设置成能够从主机自动同步应用数据和变量强制状态之后，触发主从切换，使得所述从机切换为切换后主机，所述主机切换为切换后从机；

当所述热备冗余控制站主从切换之后，将所述热备冗余控制站连接至工程师站下装和校验工具，使得所述热备冗余控制站设置成能够接收从所述工程师站下装和校验工具接收新版本组态的下载，并所述热备冗余控制站中的切换后从机被设置成进入下装模式；

所述mpu板卡还设置成能够将所述热备冗余控制站中的切换后从机置于测试模式下运行，在所述热备冗余控制站中的切换后从机从切换后主机自动同步应用数据和变量强制状态之后，触发主从切换，使得所述切换后从机切换为主机，所述切换后主机切换为从机。

本发明实施例优选的实施方式中，所述热备冗余控制站包括处理器和存储器，所述处理器能够加载所述存储器中的触发主从切换程序，并执行如下步骤：先向所述热备冗余控制站中的主机发送主从切换指令，所述热备冗余控制站中的主机反馈状态，所述热备冗余控制站中的主机向从机发送切换请求信号，所述热备冗余控制站中的从机收到信号后进行升主操作，并向主机发送切换确认信号，所述热备冗余控制站中的主机收到切换确认信号后，降为从机，并发送状态反馈。

本发明实施例优选的实施方式中，在所述热备冗余控制站中的从机无扰下装时，给予从机进行上电或启动操作，使其正常运行，并且判断所述热备冗余控制站中的从机和主机的当前组态版本是否相同；当判定结果为相同时，从机保持正常启动运行模式；当判定结果为不相同时，继续判断所述热备冗余控制站中的从机组态版本是否为主机组态版本的升级版本，如果是升级版本，则所述热备冗余控制站中的从机可以正常运行，并显示主从版本不一致，提示报警信息，如果不是升级版本，则所述热备冗余控制站中的从机故障挂起，显示错误信息。

本发明实施例优选的实施方式中，所述热备冗余控制站中的主机和从机之间应用数据按照类型和变量名的方式进行排序输出，并且对某个变量进行增、删或修改操作之后，其他变量也会随之发生改变；在所述热备冗余控制站中的从机与主机数据同步阶段，所述热备冗余控制站中的从机更新完组态进入正常运行后，要自动从所述热备冗余控制站中的主机同步应用数据和变量强制状态，当所述热备冗余控制站中的主从机组态版本不一致时，根据其基础版本和当前版本冗余同步数据量的差异生成同步数据映射表，并且所述同步数据映射表包含两个版本组态之间的变化变量的地址映射关系，使得所述从机mpu板卡能够根据所述同步数据映射表重新映射同步数据，实现数据的正确同步。

本发明实施例优选的实施方式中，下装的组态软件中组态软件中包括了网络变量的偏移，组态时需要用户设置，不变的变量的偏移属性不能发生变化，新增或修改的网络变量的偏移属性需要重新设置且不能和已有网络变量的偏移值冲突，使得无扰下装过程中，在触发主从切换阶段、以及切换后的运行阶段，站间通讯的网络数据要保持一致。

采用本发明提供的上述技术方案，可以至少获得以下有益效果中的一种：

1、提供了一种核电站运行期间需要升级且同时保证系统无扰输出的问题,从根本上满足了核电站保护系统整体安全性能要求。

2、在无扰下装过程中，通过无故障主从切换，使得在无故障切换过程中，能够消除主从切换时一系控制器短时不可用的问题，并且消除了切换失败时控制站失效的隐患。

3、针对当主从机组态版本不一致时产生的问题，包括：从机启动问题、主从机之间应用数据和变量强制状态正确同步问题、网络数据通讯问题和识别新旧版本的算法中和时序相关的数据的对应关系等问题，分别进一步提供了解决方案，能够及时的报告信息，工操作者查看和处理；这样在对从机进行下装时，不影响安全性。

发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书变得显而易见，或者通过实施本发明的技术方案而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构和/或流程来实现和获得。

附图说明

图1为本发明实施例提供的一种核安全级热备冗余控制站无扰下装方法的流程图。

图2为本发明实施例提供的一种核安全级热备冗余控制站无扰下装方法对应设备操作的流程图。

图3为本发明实施例提供的一种核安全级热备冗余控制站无扰下装过程中无扰下装选择的流程图。

图4为本发明实施例提供的一种核安全级热备冗余控制站无扰下装过程中无故障主从切换流程图。

图5为本发明实施例提供的一种核安全级热备冗余控制站无扰下装过程中从机启动的工作流程图。

图6为本发明实施例提供的一种核安全级热备冗余控制站无扰下装过程中主从数据同步映射表的示意图。

图7为本发明实施例提供的一种核安全级热备冗余控制站无扰下装过程中新旧组态间网络数据传输示意图。

图8为本发明实施例提供的一种核安全级热备冗余控制站无扰下装系统的结构示意图。

具体实施方式

以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。需要说明的是，这些具体的说明只是让本领域普通技术人员更加容易、清晰理解本发明，而非对本发明的限定性解释；并且只要不构成冲突，本发明中的各个实施例以及各实施例中的各个特征可以相互结合，所形成的技术方案均在本发明的保护范围之内。

另外，在附图的流程图示出的步骤可以在诸如一组控制器可执行指令的控制系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

下面通过附图和具体实施例，对本发明的技术方案进行详细描述：

实施例

本实施例提供一种核安全级热备冗余控制站无扰下装方法，并以和睦系统平台为例进行说明，对于其他核电站仪控系统平台如果具备相同或类似的平台，也可以实施本实施例提供的实施方式。其中，本实施例中提及的相关模块或单元的定义和简称如下：

firmsys:能实现特定功能的一组功能模块(包括软件、硬件和结构件)所构成的基础平台，通过一定的配置可以实现安全级保护系统，中文名为“和睦系统”。

mpu：mainprocessingunit，主处理单元，系和睦系统子产品。

hnu：high-speednetcommunicationunit，高速网络通信单元。

lnu:low-speednetcommunicationunit，低速网络通信单元。

fcu：firmnetcommunicationunit，环网通信处理单元。

east：engineerapplicationsoftwaretoolkit，工程师软件总控工具。

dance：downlaodandcheckenviroment，工程师站下装和校验工具。

laod：下装模式，mpu的一种运行模式。

nml：周期运行模式，mpu的一种运行模式。

test：测试模式，mpu的一种运行模式。

即mpu/hnulnu/fcu/dance系和睦系统子产品，load/nml/test是mpu三种运行模式。

如图1所示，本实施例提供一种核安全级热备冗余控制站无扰下装方法，该无扰下装方法包括7个阶段：控制站正常运行阶段、对从机下装组态阶段、使从机启动运行阶段、从机与主机同步数据阶段、触发主从切换阶段、对原主机进行组态下装阶段、完成控制站在线无扰下装阶段；具体地，包括：

s110、将热备冗余控制站至于正常工作状态，并将热备冗余控制站连接至工程师站下装和校验工具；

s120、从工程师站下装和校验工具接收新版本组态的下载，并控制热备冗余控制站中的从机进入下装模式；

s130、将热备冗余控制站中的从机置于测试模式下运行，在热备冗余控制站中的从机从主机自动同步应用数据和变量强制状态之后，触发主从切换，使得从机切换为切换后主机，主机切换为切换后从机；

s140、当热备冗余控制站主从切换之后，将热备冗余控制站连接至工程师站下装和校验工具，从工程师站下装和校验工具接收新版本组态的下载，并控制热备冗余控制站中的切换后从机进入下装模式；

s150、将热备冗余控制站中的切换后从机置于测试模式下运行，在热备冗余控制站中的切换后从机从切换后主机自动同步应用数据和变量强制状态之后，触发主从切换，使得切换后从机切换为主机，切换后主机切换为从机。

下面结合图2以firmsys平台中的硬件环境来举例说明，具体地，本实施例提供的核安全级热备冗余控制站无扰下装方法对应设备操作方法包括：

s210、mpu板卡和fcu板卡钥匙开关置于load挡，复位mpu板卡：将mpu板卡和fcu板卡的钥匙开关分别置于load档位上，使得mpu板卡进行复位操作；

s220、连接dance软件工具：确保主机和从机设备均正常运行之后，连接dance软件工具；

s230、下载新版本组态，断开与dance的连接：进行新版本组态的下装，将与dance软件的工具连接状态断开，使得从机进入下装模式；

s240、将mpu板卡的钥匙开关位置置于test档位，并将fcu板卡的钥匙开关置于nml档位；

s250、复位mpu板卡：将mpu板卡进行复位操作，使得从机进入test模式下运行；

s260、mpu板卡和fcu板卡钥匙开关置于load挡：在从机从主机自动同步应用数据和变量强制状态之后，触发主从切换，重复s210的操作，使得原主机(现从机)进入下装模式，原从机升级为主机，使得新版本组态生效；

s270、连接dance工具，下装新版本组态：将dance工具进行连接，进行新版本组态的下装，使原主机(现从机)更新为新版组态；

s280、将mpu和fcu板卡钥匙开关置于nml档位；

s290、复位mpu板卡：重复250的操作，原主机(现从机)正常运行，且同步应用数据和变量强制状态。

并且热备冗余控制站更新组态前，首先根据组态修改内容对下游设备做好隔离防护，在控制站正常运行阶段，主机和从机均正常运行，在对从机下装组态阶段，主机状态正常，从机进入下装模式，进行操作步骤s210、s220、s230，在使从机启动运行阶段，主机仍正常运行，进行操作步骤s240、s250后，从机进入test模式运行，在从机与主机同步数据阶段，从机从主机自动同步应用数据和变量强制状态，在触发主从切换阶段，进行步骤s260，使得主机进入下装模式，从机升为主机，从机的新版本组态生效，在对原主机进行组态下装，主要步骤为s270-s290，原主机更新为新版本组态，进入从机状态正常运行，并和原从机(现主机)进行数据同步，在完成控制站在线无扰下装阶段，原主机进入从机状态，原从机进入主机状态，均已新版本组态正常运行。

如图3所示，本实施例提供的核安全级热备冗余控制站无扰下装过程还包括判断是否需要进行无扰下装亦或增量下装，具体地，包括：

s310、用户点击下装；

s320、工程师站下装和校验工具(dance)智能判断是完整下装或增量下装？如果是完整下装，执行s330；如果是无扰下装，执行s340；

s330、执行软件组态下装操作；

s340、继续判断与基础版本号是否一致，如果是，则执行步骤s330，如果不是，则执行s350；

s350、提示用户是否继续下装？如果是，则执行步骤s330，否则执行s360。

s360、退出下装。

如图4所示，本实施例还提供一种无故障主从cpu切换流程图，具体地，针对图1中针对firmsys热备冗余站的无故障主从切换实施以下方式包括：

s401、向热备冗余控制站中的主机发送主从切换指令；

s402、热备冗余控制站中的主机反馈状态；

s403、热备冗余控制站中的主机向从机发送切换请求信号；

s404、热备冗余控制站中的从机收到信号后进行升主操作；

s405、向主机发送切换确认信号；

s406、热备冗余控制站中的主机收到切换确认信号后，降为从机；

s407、发送状态反馈。

其中，firmsys热备冗余控制站站无故障切换需具备人为触发主从切换的人机接口，由于当前firmsys的mpu板卡上仅有一个reset按键，通过按键时间的控制，实现无故障切换指令的输入和识别，其具体设置为：按下reset按键4秒触发主从切换，超过4秒复位mpu板卡，超过10秒取消操作，以上设置可以通过修改reset按钮的cpld(complexprogrammablelogicdevice)复杂可编程逻辑器件的处理逻辑实现；其次，主从机之间的冗余切换逻辑，能够支持无故障切换，因此，可以通过修改cpld(complexprogrammablelogicdevice)复杂可编程逻辑器件和软件代码，使主机主动向从机发送冗余切换信号，配合主从机之间的信号线实现无故障主从切换功能。

本实施例优选的实施方式中，在热备冗余控制站中的从机无扰下装时，给予从机进行上电或启动操作，使其正常运行，并且判断热备冗余控制站中的从机和主机的当前组态版本是否相同；当判定结果为相同时，从机保持正常启动运行模式；当判定结果为不相同时，继续判断热备冗余控制站中的从机组态版本是否为主机组态版本的升级版本，如果是升级版本，则热备冗余控制站中的从机可以正常运行，并显示主从版本不一致，提示报警信息，如果不是升级版本，则热备冗余控制站中的从机故障挂起，显示错误信息。

更具体地，本实施例提供的一种从机启动工作过程中：当主从机组态版本不一致时，从机的启动问题处理上，给出如下基础条件设定：首先，对下装文件所包含组态的版本信息进行定位，基础版本(组态修改前的版本)记为：vb,组态当前版本记为：vc；然后，在系统内部将从机启动条件与版本对应信息进行设置，具体地，如图5所示，本实施例提供的从机启动工作方法包括：

s510、从机上电/启动：无扰下装时，给予从机进行上电或启动操作，使其正常运行；

s520、vc2等于vc1(即组态版本相同？)？仪控系统内部智能判断，从机和主机的当前组态版本是否相同，当判定相同；如果是，执行s540，否则，执行s530；

s530、vb2等于vc1(即从机是主机升级？)？系统内部智能判断从机组态版本是否为主机组态版本的升级；如果是，执行s550，否则，执行s560；

s540、从机正常运行，从机保持正常启动运行模式；

s550、从机运行，显示组态不一致、报警；即从机可以正常运行，但显示主从版本不一致，并给出报警信息；

s560、从机故障挂起：从机故障挂起，显示错误信息。

上述操作仅作为一种优选的从机启动时的判断和操作准则，在主从切换过程中不影响主机的工作状态，从而保证无扰下装时主机和从机至少一个可用，保证工程的安全性。

本实施例优选的实施方式中，热备冗余控制站中的主机和从机之间应用数据按照类型和变量名的方式进行排序输出，并且对某个变量进行增、删或修改操作之后，其他变量也会随之发生改变；在热备冗余控制站中的从机与主机数据同步阶段，热备冗余控制站中的从机更新完组态进入正常运行后，要自动从热备冗余控制站中的主机同步应用数据和变量强制状态，当热备冗余控制站中的主从机组态版本不一致时，根据其基础版本和当前版本冗余同步数据量的差异生成同步数据映射表，并且同步数据映射表包含两个版本组态之间的变化变量的地址映射关系，使得从机mpu板卡能够根据同步数据映射表重新映射同步数据，实现数据的正确同步。

具体地，如图6所示，为本实施例提供的一种主从数据同步映射表示意图：目前firmsys平台主从机之间应用数据按照“类型+变量名”的方式排列传输，增、删或修改某个变量可能会引起其他变量排序的变化，如果主从机组态版本不一致，会导致从机对应用数据解析错误。east编译组态时，根据其基础版本和当前版本冗余同步数据变量的差异生成“同步数据映射表”，表中包含两个版本组态之间未变化变量的地址映射关系，从机mpu根据该表重新映射同步数据，实现数据的正确同步。

本实施例优选的实施方式中，下装的组态软件中组态软件中包括了网络变量的偏移，组态时需要用户设置，不变的变量的偏移属性不能发生变化，新增或修改的网络变量的偏移属性需要重新设置且不能和已有网络变量的偏移值冲突，使得无扰下装过程中，在触发主从切换阶段、以及切换后的运行阶段，站间通讯的网络数据要保持一致。

具体地，如图7所示，为本实施例提供的一种新旧组态间网络数据传输示意图：目前firmsys平台的网络变量按照“类型+变量名”的方式排列传输，增、删或修改某个变量可能会引起其他变量排序的变化，需要消除网络变量排序受增删变量影响的问题，使网络变量根据偏移地址确定其在变量列表中的位置，而不是根据变量名进行排序，这样增、删和改变量都不会改变变量的位置，实现变量之间的解耦。

本实施例进一步优选的实施方式中，无扰下装过程中，在触发主从切换阶段、以及切换后的运行阶段，站间通讯的网络数据要保持一致，所以设计原则上，网络变量的通讯地址不能发生变化；基于此原因，组态软件中引入了网络变量的偏移，组态时需要用户设置，不变的变量的偏移属性不能发生变化，新增或修改的网络变量的偏移属性需要重新设置且不能和已有网络变量的偏移值冲突，这样就保证了站间数据通讯的一致性；从整个系统角度来看，实现网络数据收发的无扰功能。

本实施例进一步优选的实施方式中，无扰下装过程中，算法中和时序相关的变量均由算法软件自动生成，当组态升级之后，需要对时序相关的变量名称规则化处理，从而找到新旧版本间的对应关系，保证未修改的算法块内部时序变量名称不发生变化，当生成同步映射表之后，将每个算法块的每个实例中的时序变量记录下来，通过名字唯一性进行标识。例如，无扰下装组态修改对象为io变量、网络变量、参数变量和算法，对以上对象进行修改均支持无扰，对其他组态或设备进行修改均不支持无扰，且当检测到有设备更改情况时，禁止编译。其中，io变量包括：aio变量、dio变量、cim变量，网络变量包括：点对点网络变量、环网网络变量，参数变量为所有的参数变量。对于算法的修改主要包括：算法变量和算法逻辑两个方面，其中，在算法变量中，若删除后改回同名类型变量，则认为没发生变化，支持无扰；若仅类型发生变化，认为该变量为新增变量，认为发生变化，支持无扰。在算法逻辑中，算法块删除后又原样恢复，认为发生变化，支持无扰。

本实施例更进一步优选的实施方式中，针对上述网路变量的修改，提出了组态检查的方法包括：单站检查和站间检查；其中，单站检查包括：网络变量偏移边界检查和网络变量偏移重复检查，在网络变量偏移边界检查中的主要设置如下限定条件：首先，lnu板卡网络变量偏移不能大于3000；hnu板卡网络变量偏移不能大于1000。在网络变量偏移重复检查中的主要设置如下限定条件：第一，同网卡上同方向的网络点偏移不重复(或冲突)；第二，环网网络变量偏移4字节对齐。

如图8所示，本实施例还提供一种核安全级热备冗余控制站无扰下装系统，该下装系统1000包括：

待进行组态下装的热备冗余控制站1200、工程师站下装和校验工具1100、mpu板卡1210和fcu板卡1220；待进行组态下装的热备冗余控制站1200中的第一控制器1230为主机控制器，待进行组态下装的热备冗余控制站1200中的第二控制器1240为从机控制器；当然本实施例提供的待进行组态下装的热备冗余控制站1200不限于此，还可以设置成，将mpu板卡1210和fcu板卡1220独立于待进行组态下装的热备冗余控制站1200而单独存在，这些不同的实施方式都属于本实施例的保护范围；

mpu板卡1210和fcu板卡1220设置成，能够将热备冗余控制站至于正常工作状态，工程师站下装和校验工具能够连接至热备冗余控制站；

热备冗余控制站设置成能够接收从工程师站下装和校验工具接收新版本组态的下载，并且热备冗余控制站中的从机被设置成进入下装模式；

mpu板卡还设置成能够将热备冗余控制站中的从机置于测试模式下运行，在热备冗余控制站中的从机设置成能够从主机自动同步应用数据和变量强制状态之后，触发主从切换，使得从机切换为切换后主机，主机切换为切换后从机；

当热备冗余控制站主从切换之后，将热备冗余控制站连接至工程师站下装和校验工具，使得热备冗余控制站设置成能够接收从工程师站下装和校验工具接收新版本组态的下载，并热备冗余控制站中的切换后从机被设置成进入下装模式；

mpu板卡还设置成能够将热备冗余控制站中的切换后从机置于测试模式下运行，在热备冗余控制站中的切换后从机从切换后主机自动同步应用数据和变量强制状态之后，触发主从切换，使得切换后从机切换为主机，切换后主机切换为从机。

本实施例优选的实施方式中，热备冗余控制站包括处理器和存储器，处理器能够加载存储器中的触发主从切换程序，并执行如下步骤：先向热备冗余控制站中的主机发送主从切换指令，热备冗余控制站中的主机反馈状态，热备冗余控制站中的主机向从机发送切换请求信号，热备冗余控制站中的从机收到信号后进行升主操作，并向主机发送切换确认信号，热备冗余控制站中的主机收到切换确认信号后，降为从机，并发送状态反馈。

本实施例优选的实施方式中，在热备冗余控制站中的从机无扰下装时，给予从机进行上电或启动操作，使其正常运行，并且判断热备冗余控制站中的从机和主机的当前组态版本是否相同；当判定结果为相同时，从机保持正常启动运行模式；当判定结果为不相同时，继续判断热备冗余控制站中的从机组态版本是否为主机组态版本的升级版本，如果是升级版本，则热备冗余控制站中的从机可以正常运行，并显示主从版本不一致，提示报警信息，如果不是升级版本，则热备冗余控制站中的从机故障挂起，显示错误信息。

本实施例优选的实施方式中，热备冗余控制站中的主机和从机之间应用数据按照类型和变量名的方式进行排序输出，并且对某个变量进行增、删或修改操作之后，其他变量也会随之发生改变；在热备冗余控制站中的从机与主机数据同步阶段，热备冗余控制站中的从机更新完组态进入正常运行后，要自动从热备冗余控制站中的主机同步应用数据和变量强制状态，当热备冗余控制站中的主从机组态版本不一致时，根据其基础版本和当前版本冗余同步数据量的差异生成同步数据映射表，并且同步数据映射表包含两个版本组态之间的变化变量的地址映射关系，使得从机mpu板卡能够根据同步数据映射表重新映射同步数据，实现数据的正确同步。

本实施例优选的实施方式中，下装的组态软件中组态软件中包括了网络变量的偏移，组态时需要用户设置，不变的变量的偏移属性不能发生变化，新增或修改的网络变量的偏移属性需要重新设置且不能和已有网络变量的偏移值冲突，使得无扰下装过程中，在触发主从切换阶段、以及切换后的运行阶段，站间通讯的网络数据要保持一致。

为了实现上述下装过程中，涉及的firmsys主控板卡做出如下修改：首先，实现安全级的下载工具，使控制站执行安全功能时能够连接维护工具；第二，改变嵌入式软件架构，在周从机对期性执行正常功能的同时，监视维护接口状态，根据下装据的指令分多个周期接受、解析、校验和存储组态数据，同时确保cpu负荷满足要求；第三，改变主从机之间同步内容，把新的组态数据自动同步到从机，使从机对组态数据进行解析、校验和存储；第四，修改网络数据的组织方式，实现控制站组态版本不一致时，网络数据的正确同步；第五，修改应用程序(逻辑算法)的存储和调试方式，在主控板卡flash芯片中分配a、b区分别存放基础版本组态和当前版本组态，在主控板卡内存中分配a、b区分别存放新旧版本应用程序，下装时在a、b区之间切换应用程序；第六，修改主从机数据同步设计，使主机能够把组态数据分多周期同步给从机；第七，修改eastsuit软件，采用新的规则组织和排列应用数据，实现新旧版本组态无扰切换，以上操作可在不改变firmsys硬件板卡的情况下，实现热备冗余控制站的无扰下装功能，从而完善了核安全级热备冗余站无扰下装方法。

本实施例优选的实施方式中，在上述下装过程中，主机的强制变量点需要同步到从机。根据冗余同步方案，不变的强制变量的强制值和强制状态需要一并同步到从机。一般情况下，查找一个强制变量，需要从组态的所有变量中查找，最坏的情况是从几十万个数据中查找(变量最多的组态)，n个强制变量的查找需要n*几十万的查找次数，如此情况，cpu负荷率将大大提高，很容易造成cpu负荷率超标(核电站保护系统要求cpu运行负荷率小于70％)。基于该问题，本实施例设计出一个优化方案：把所有变量整理后排序，每个变量分配一个唯一id号，编号规则是0、1、2、……、n，类似数组的下标，对变量强制时，针对id号进行操作，这样就省去了遍历的过程，解决了大数据量下强制变量同步造成cpu负荷超标的难题。

采用本发明提供的上述技术方案，可以至少获得以下有益效果中的一种：

1、提供了一种核电站运行期间需要升级且同时保证系统无扰输出的问题,从根本上满足了核电站保护系统整体安全性能要求。

2、在无扰下装过程中，通过无故障主从切换，使得在无故障切换过程中，能够消除主从切换时一系控制器短时不可用的问题，并且消除了切换失败时控制站失效的隐患。

3、针对当主从机组态版本不一致时产生的问题，包括：从机启动问题、主从机之间应用数据和变量强制状态正确同步问题、网络数据通讯问题和识别新旧版本的算法中和时序相关的数据的对应关系等问题，分别进一步提供了解决方案，能够及时的报告信息，工操作者查看和处理；这样在对从机进行下装时，不影响安全性。

4、提出的无故障主从切换的具体技术方案，包括设置外部人机接口进行主从切换触发，以及修改主从机冗余判断和切换逻辑两种方式，使得在无故障切换过程中，能够消除主从切换时一系控制器短时不可用的问题，并且消除了切换失败时控制站失效的隐患。

5、在无扰下装过程中提供的技术方案，主要针对当主从机组态版本不一致时产生的问题，包括：从机启动问题、主从机之间应用数据和变量强制状态正确同步问题、网络数据通讯问题和识别新旧版本的算法中和时序相关的数据的对应关系等问题，通过本发明中涉及的技术手段，能够很好的解决以上问题，并且提供及时的报告信息，工操作者查看和处理。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

最后需要说明的是，上述说明仅是本发明的最佳实施例而已，并非对本发明做任何形式上的限制。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围内，都可利用上述揭示的做法和技术内容对本发明技术方案做出许多可能的变动和简单的替换等，这些都属于本发明技术方案保护的范围。