今日頭條
官方微信
官方抖音
案例頻道摘要:通信系統(tǒng)是核安全級儀控系統(tǒng)重要的技術(shù)組成部分,其負責(zé)系統(tǒng)內(nèi)各子系統(tǒng)之間的通信,對整個系統(tǒng)的實時性、可靠性和安全性等有重要的影響。本文通過對核電標(biāo)準(zhǔn)及行業(yè)文獻的分析和解讀,歸納出核安全級通信網(wǎng)絡(luò)應(yīng)該具有可靠、實時、安全、確定和獨立等特征要求,并基于這些要求設(shè)計和實現(xiàn)了一套基于逆向冗余雙環(huán)拓撲的通信網(wǎng)絡(luò)(稱為FirmNet)及產(chǎn)品,目前FirmNet網(wǎng)絡(luò)已應(yīng)用于國內(nèi)多家核電廠反應(yīng)堆控制保護系統(tǒng)中。相關(guān)分析和設(shè)計對于研制核安全級通信網(wǎng)絡(luò)具有很高的參考價值。
關(guān)鍵詞:核電廠;核安全級儀控系統(tǒng);通信系統(tǒng)
Abstract: The communication system is an important technical component of nuclear safety level instrument control system, which is responsible for the communication among multiple subsystems of the integral system. It has an important impact on the real-time, reliability and safety of the whole system.
Based on the thorough analysis of nuclear power standard and literature, this paper concludes that the nuclear safety level communication networks should be reliable, real-time, safety, determination and independent. Casting on these basis requirements, we design and implement FirmNet, a reverse redundant loop topology. FirmNet has been employed in multiple domestic nuclear power plant reactor control and protection systems. The related analysis and design have a high reference value for developing nuclear safety level communication network.
Key words: Nuclear power plant; Nuclear safety instrument and control system; Communication system
1 引言
儀控系統(tǒng)是整個核電站的神經(jīng)中樞系統(tǒng),其中核安全級儀控系統(tǒng)主要用于實現(xiàn)控制核反應(yīng)堆安全停堆、堆芯余熱排出,和(或)限制預(yù)計運行事件和事故工況后果的系統(tǒng)。核安全級儀控系統(tǒng)是保障核電站安全運行的第一道防線,該系統(tǒng)能否安全、可靠、實時地運行對核電站安全至關(guān)重要。
在核安全級儀控系統(tǒng)中,關(guān)鍵的通信網(wǎng)絡(luò)可以分為兩類:一類是冗余通道之間控制站之間的通信,主要傳輸用于反應(yīng)堆跳堆表決邏輯的數(shù)據(jù),這一部分通信一般采用點對點通信技術(shù);另一類是整個保護系統(tǒng)內(nèi)各控制站之間的通信,主要傳輸反應(yīng)堆運行參數(shù),控制系統(tǒng)狀態(tài)數(shù)據(jù),人機接口數(shù)據(jù)等。
其中第二類通信是控制保護系統(tǒng)的骨架,對整個系統(tǒng)的可擴展性、實時性、可靠性、安全性有重要影響。
本文主要針對第二類通信系統(tǒng)進行分析和設(shè)計。通信架構(gòu)如圖1所示。
核安全級通信網(wǎng)絡(luò)作為核電廠儀控系統(tǒng)的重要組成部分,其設(shè)計和設(shè)備研制除了遵守通信相關(guān)的核電標(biāo)準(zhǔn)還必須遵守核電廠儀控系統(tǒng)相關(guān)的一系列標(biāo)準(zhǔn),另外,工業(yè)通信標(biāo)準(zhǔn)也具有重要的參考價值。
通過對一系列標(biāo)準(zhǔn)的分析和大量技術(shù)文獻的整理,我們總結(jié)出核安全級通信網(wǎng)絡(luò)應(yīng)該具有五個關(guān)鍵的特性:可靠性、安全性、實時性、確定性和獨立性。
本文對五個特性進行了分析說明,并結(jié)合北京廣利核系統(tǒng)工程有限公司研制中國首個核安全級數(shù)字化控制保護系統(tǒng)通用平臺——FirmSys的實際工作,從構(gòu)成通信系統(tǒng)的拓撲結(jié)構(gòu)、通信介質(zhì)、通信協(xié)議和通信設(shè)備等四個層面對如何實現(xiàn)這五個關(guān)鍵特性進行了闡述。
2 核安全級通信系統(tǒng)關(guān)鍵特征
通過對IEEE 7-4.3.2、IEEE 603、IEC 61513、IEC 61500等國際標(biāo)準(zhǔn)和NUREG/CR-6082、NUREG/CR-6991、DI&C-ISG-04等NRC審查指導(dǎo)文件的解讀可以發(fā)現(xiàn),核安全級儀控系統(tǒng)對其通信系統(tǒng)有很多明確的要求和約束,其中對通信系統(tǒng)本身的要求可以歸納為以下幾個方面:
(1)可靠性
可靠性指通信系統(tǒng)在一定時間內(nèi),在正常和異常工況下無故障的完成通信功能的能力。一般來講,提高儀控系統(tǒng)的可靠性主要有三種途徑:一是簡化系統(tǒng)的設(shè)計,減少可能出錯的點;二是采取容錯措施;三是系統(tǒng)設(shè)備執(zhí)行自檢測和對系統(tǒng)進行周期性試驗。
(2)安全性
安全性包括功能安全和信息安全兩方面的要求:功能安全指通信系統(tǒng)避免反應(yīng)堆處在潛在危險或不穩(wěn)定狀態(tài)的能力,核安全級通信系統(tǒng)故障不能以任何方式危害反應(yīng)堆控制保護系統(tǒng)安全功能的執(zhí)行。
通信系統(tǒng)在任何情況下都不得危害到反應(yīng)堆控制保護系統(tǒng)的安全功能。信息安全指通信系統(tǒng)具有較強的防御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊的能力。反應(yīng)堆控制保護系統(tǒng)必須按照安全分區(qū),網(wǎng)絡(luò)專用,橫向隔離,縱向認(rèn)證和綜合防護的原則進行安全防護。因此,除了支持安全分區(qū),通信網(wǎng)絡(luò)必須做到網(wǎng)絡(luò)專用,并支持橫向隔離和縱向認(rèn)證。
(3)確定性
確定性指在通信系統(tǒng)配置階段,就能夠精確計算出通信速率、通信延遲、吞吐量、通信負荷、數(shù)據(jù)更新時間等關(guān)鍵運行指標(biāo)。
核安全級通信系統(tǒng)應(yīng)該是基于狀態(tài)的通信,即按照固定的時間間隔發(fā)送固定的數(shù)據(jù)集,而不管數(shù)據(jù)是否發(fā)生變化。通信過程中消息的長度、構(gòu)成、傳輸路徑、延遲、通信負荷等應(yīng)該是不變的。
(4)實時性
實時性指通信系統(tǒng)在有限的時間內(nèi)把過程數(shù)據(jù)或操作指令正確傳輸?shù)侥康牡氐哪芰Α?br/>核安全級通信系統(tǒng)應(yīng)該提供充分的性能,以保證從任意通信節(jié)點發(fā)出的任何數(shù)據(jù)都可以在一定的時間限制內(nèi),被預(yù)期的目標(biāo)結(jié)點正確接收到,即使在最壞的工況下也要滿足執(zhí)行安全功能而要求實時性。
(5)獨立性
獨立性指通信系統(tǒng)應(yīng)該滿足實體分離,電氣隔離,通信隔離和功能獨立。
數(shù)據(jù)通信不應(yīng)依賴于接收方的確認(rèn)消息。
不同安全等級的通信系統(tǒng)間通信時,數(shù)據(jù)通信應(yīng)該由安全等級高的通信系統(tǒng)來掌控,并且數(shù)據(jù)應(yīng)該是從高安全級別通信系統(tǒng)流向低安全級別通信系統(tǒng),原則上安全等級低的通信系統(tǒng)不允許向安全等級高的通信系統(tǒng)發(fā)送數(shù)據(jù)。
3 核安全級通信系統(tǒng)設(shè)計
核安全級通信系統(tǒng)的關(guān)鍵特性主要是通過其拓撲結(jié)構(gòu)、通信介質(zhì)、通信協(xié)議和通信設(shè)備來體現(xiàn)的,每一個環(huán)節(jié)都能夠在不同的層面體現(xiàn)出一個或多個關(guān)鍵特性。
3.1 拓撲結(jié)構(gòu)
在通信過程中,有動態(tài)和靜態(tài)兩類路由選擇策略。動態(tài)路由會增加通信時間的不確定性,而靜態(tài)路由有利于實現(xiàn)通信時間的確定性,所以核安全級通信網(wǎng)絡(luò)應(yīng)該選擇靜態(tài)路由策略。
不同的拓撲結(jié)構(gòu)能夠為網(wǎng)絡(luò)帶來不同的可靠性。比如總線型和星型拓撲能夠天然的保證單一網(wǎng)絡(luò)節(jié)點的故障不會影響到其他網(wǎng)絡(luò)節(jié)點的通信。而環(huán)型拓撲具有天然的通信鏈路冗余特性。
為提高通信的可靠性,核安全級通信網(wǎng)絡(luò)的通信鏈路要冗余,以保證一條鏈路故障時,數(shù)據(jù)仍然可以通過冗余鏈路進行傳輸。
3.2 通信介質(zhì)
通信介質(zhì)可以分為兩大類,導(dǎo)向傳輸介質(zhì)和非導(dǎo)向通信介質(zhì),即有線和無線。核安全級通信網(wǎng)絡(luò)的通信介質(zhì)屬于1E級裝置,考慮到實時性、可靠性、信息安全性等因素,在目前技術(shù)條件下不考慮無線通信介質(zhì)。
目前較為成熟的有線通信介質(zhì)主要有同軸電纜、雙絞線和光纖三種。同軸電纜和雙絞線帶寬低,信號傳輸距離短,對電磁干擾比較敏感,可以應(yīng)用在短距離場合,如控制機柜內(nèi)部。同軸電纜因為接口、體積、成本等原因,應(yīng)用較少。相比較而言,光纖因其與生俱來的優(yōu)點更適合應(yīng)用在工業(yè)場合。
核安全級通信網(wǎng)絡(luò)的通信介質(zhì)應(yīng)該優(yōu)先選擇光纖。
3.3 通信協(xié)議
通信協(xié)議是指通信實體完成通信或服務(wù)所必須遵循的規(guī)則和約定。協(xié)議定義了數(shù)據(jù)單元使用的格式,數(shù)據(jù)單元應(yīng)該包含信息與含義、連接方式、信息發(fā)送和接收的時序,從而確保網(wǎng)絡(luò)中數(shù)據(jù)順利地傳送到確定的地方。
通信協(xié)議是通信網(wǎng)絡(luò)的靈魂,是通信系統(tǒng)中最復(fù)雜的部分,也最容易導(dǎo)致通信錯誤。本文從構(gòu)成通信協(xié)議要素的服務(wù)、環(huán)境假設(shè)、編碼和過程規(guī)則等方面介紹核安全級網(wǎng)絡(luò)通信協(xié)議的設(shè)計特點,這些特點都直接或間接地體現(xiàn)了通信網(wǎng)絡(luò)的可靠性、安全性、獨立性和確定性要求。
(1)服務(wù)
核安全級通信協(xié)議應(yīng)該堅持最簡化原則,只使用OSI參考模型中的三層,即物理層、數(shù)據(jù)鏈路層和應(yīng)用層,并且僅提供必須的服務(wù)。
報警:通信協(xié)議在檢測到可能危害反應(yīng)堆控制保護系統(tǒng)安全功能的錯誤或故障時,向通信系統(tǒng)的應(yīng)用程序?qū)影l(fā)出報警。
自監(jiān)視:自監(jiān)視指通信協(xié)議能夠持續(xù)、自動地對整個通信系統(tǒng)的連通性、完整性和各類通信錯誤進行監(jiān)視和統(tǒng)計,并且把監(jiān)視結(jié)果和統(tǒng)計數(shù)據(jù)提供給應(yīng)用程序?qū)印?br/>預(yù)定義輸出:預(yù)定義輸出指協(xié)議能夠在監(jiān)測到嚴(yán)重的通信故障或數(shù)據(jù)錯誤時,固定輸出預(yù)定義數(shù)據(jù)的服務(wù)。
接入認(rèn)證:在有通信節(jié)點請求接入核安全級通信系統(tǒng)時,必須使用通信協(xié)議的接入認(rèn)證服務(wù),只有通過嚴(yán)格認(rèn)證的數(shù)據(jù)才允許進入通信系統(tǒng)傳輸。
隔離:隔離服務(wù)能夠把通信節(jié)點與應(yīng)用層軟件之間的通信切斷,從而實現(xiàn)雙方的隔離。
(2)環(huán)境假設(shè)
鏈路冗余:核安全級通信系統(tǒng)應(yīng)該提供冗余的鏈路,以確保一條鏈路出現(xiàn)故障時,通信仍然能夠正常進行。并且冗余的鏈路還可以幫助通信系統(tǒng)實現(xiàn)檢錯和排錯能力。
靜態(tài)路由:核安全級通信系統(tǒng)的數(shù)據(jù)通信鏈路應(yīng)該是預(yù)先設(shè)定好的,不允許在通信系統(tǒng)運行過程中動態(tài)改變。
(3)編碼
使用封裝:封裝是指協(xié)議對應(yīng)OSI模型中的高層把其相鄰下層需要的數(shù)據(jù)進行“包裹”的一種設(shè)計方法。
封裝能夠維持協(xié)議各層獨立并實現(xiàn)消息分段傳輸。
幀長度固定:核安全級通信協(xié)議的幀必須采用固定的長度,如果要傳輸?shù)臄?shù)據(jù)無法填滿幀的數(shù)據(jù)域,則向數(shù)據(jù)域填充占位數(shù)據(jù)。幀長度固定可以增強通信的確定性。
幀格式確定:核安全級通信協(xié)議的幀格式必須是確定的。同一類型的幀都應(yīng)該具有相同的域結(jié)構(gòu)和相同的位置順序,包括消息標(biāo)識、狀態(tài)信息、數(shù)據(jù)位等。
專有性:核安全級通信協(xié)議的幀格式和編碼應(yīng)該與目前已知的通信協(xié)議有所區(qū)別,消除外部數(shù)據(jù)偽裝進入通信系統(tǒng)的可能。
檢錯/糾錯編碼:核安全級通信協(xié)議幀應(yīng)該采用檢錯或糾錯編碼,以確保數(shù)據(jù)能被正確接收并正確理解。
負荷無關(guān)性:核安全級通信協(xié)議不允許產(chǎn)生隨著通信負荷大小變化而變化的數(shù)據(jù)。
(4)過程規(guī)則
單向通信:核安全級通信系統(tǒng)中節(jié)點間的通信不執(zhí)行通信握手,數(shù)據(jù)傳輸完全由發(fā)送方控制,數(shù)據(jù)接收方不用向發(fā)送方反饋“確認(rèn)”消息。
傳輸固定數(shù)據(jù)集:只有預(yù)定義的數(shù)據(jù)集能夠被發(fā)送以及被接收方使用。不被認(rèn)可的消息或數(shù)據(jù)要被接收方參照預(yù)先確定的設(shè)計要求識別出來并加以處理。
周期通信:核安全級通信協(xié)議必須按照固定的周期進行數(shù)據(jù)通信,節(jié)點必須在一個周期內(nèi)傳輸全部數(shù)據(jù),而不管數(shù)據(jù)是否發(fā)生了變化。
數(shù)據(jù)固定位置存儲:通信節(jié)點接收到的數(shù)據(jù)應(yīng)該被放置到存儲區(qū)預(yù)先定義好的位置上,并且這些存儲位置不能再做其他用途。
數(shù)據(jù)冗余:核安全級通信協(xié)議應(yīng)該具有數(shù)據(jù)冗余機制,以提高通信系統(tǒng)的可靠性。
防止故障蔓延:通信節(jié)點不允許轉(zhuǎn)發(fā)破損的協(xié)議幀,應(yīng)該在識別后對其進行丟棄。
單點故障容錯:核安全級通信系統(tǒng)中單個通信節(jié)點的失效或故障不應(yīng)該影響整個通信系統(tǒng)的正常通信。
差錯控制:核安全級通信協(xié)議必須對IEC 61500規(guī)定的八種通信錯誤進行檢測并采取相應(yīng)的處理措施。
確定的延遲:核安全級通信協(xié)議必須能夠保證數(shù)據(jù)傳輸所有環(huán)節(jié)中各種延遲的確定性。從而能夠在確定了數(shù)據(jù)集、幀長度和傳輸周期后就能夠計算出通信系統(tǒng)可能的最大通信延遲。
順序無關(guān)性:核安全級通信系統(tǒng)的通信節(jié)點的正確運行不能依賴于其在整個通信系統(tǒng)中的位置或其與其他節(jié)點的相互順序。
無鏈?zhǔn)椒磻?yīng):核安全級通信協(xié)議不允許存在鏈?zhǔn)椒磻?yīng),即協(xié)議不能根據(jù)傳輸數(shù)據(jù)的內(nèi)容而自動產(chǎn)生新的數(shù)據(jù)。
3.4 通信設(shè)備
通信設(shè)備是構(gòu)成網(wǎng)絡(luò)的實體,是實現(xiàn)通信協(xié)議的載體。從實現(xiàn)技術(shù)來講,通信設(shè)備可以基于純硬件實現(xiàn),也可以在硬件的基礎(chǔ)上采用軟件和(或)可編程邏輯實現(xiàn)。
從功能特點和實現(xiàn)技術(shù)的特點來看,通信功能部分直接影響網(wǎng)絡(luò)的實時性,所以通過可編程邏輯技術(shù)實現(xiàn)。網(wǎng)絡(luò)應(yīng)用層和配置相關(guān)的功能面臨的需求更加多樣化,因此適宜通過軟件實現(xiàn)。
軟件應(yīng)該采用無中斷,固定周期,內(nèi)存靜態(tài)分配,任務(wù)靜態(tài)調(diào)度的設(shè)計,以實現(xiàn)通信的確定性。
設(shè)備自診斷是提高系統(tǒng)可靠性的重要手段。通信設(shè)備通過監(jiān)視設(shè)備的供電、時鐘、看門狗、內(nèi)存、CPU等是否存在異常,以及時地采取相應(yīng)的應(yīng)對措
施,并及時向工作人員發(fā)出警告,可以提高系統(tǒng)的可靠性。
4 FirmNet通信網(wǎng)絡(luò)設(shè)計
FirmNet通信網(wǎng)絡(luò)采用環(huán)形拓撲結(jié)構(gòu),光纖通信介質(zhì),物理層遵循IEEE802.3z標(biāo)準(zhǔn),自主設(shè)計的通信協(xié)議。如圖4所示。
FirmNet通信網(wǎng)絡(luò)主由通信節(jié)點和鏈路組成,通信協(xié)議運行在通信節(jié)點設(shè)備中。
(1)基本數(shù)據(jù)操作
FirmNet通信協(xié)議中包含四種對數(shù)據(jù)幀的操作:
上環(huán):指節(jié)點把本節(jié)點的數(shù)據(jù)幀發(fā)送到環(huán)上。
過環(huán):指節(jié)點把接收到的幀繼續(xù)發(fā)送給下一個相鄰的節(jié)點。
下環(huán):指節(jié)點把接收到的幀更新到本節(jié)點的數(shù)據(jù)區(qū),但不進行剝離。
剝離:指節(jié)點在接收到幀后不再對其進行過環(huán)操作。
(2)通信過程
FirmNet通過廣播方式,同時將幀對0環(huán)和1環(huán)執(zhí)行上環(huán)操作實現(xiàn)數(shù)據(jù)的冗余。
如圖5所示,節(jié)點A以預(yù)先設(shè)定的時間間隔同時對0環(huán)和1環(huán)執(zhí)行上環(huán)操作,此時有兩份相同的數(shù)據(jù)在兩個環(huán)上傳輸,其他節(jié)點在接收到節(jié)點A發(fā)出的數(shù)據(jù)幀后,同時執(zhí)行過環(huán)和下環(huán)操作,即在把數(shù)據(jù)幀發(fā)給下游節(jié)點的同時,把數(shù)據(jù)復(fù)制到本地緩存區(qū)中。各節(jié)點依次對數(shù)據(jù)幀執(zhí)行過環(huán)、下環(huán)操作,該數(shù)據(jù)幀最終會返回到節(jié)點
A,節(jié)點A對自己發(fā)出數(shù)據(jù)幀執(zhí)行剝離操作。
數(shù)據(jù)幀在環(huán)上傳輸一周后,每個節(jié)點都會把收到的數(shù)據(jù)更新到本地緩存區(qū),并且數(shù)據(jù)按照預(yù)先設(shè)定的位置存儲。每個節(jié)點都會接收到兩份相同的數(shù)據(jù),實現(xiàn)了數(shù)核電儀控
據(jù)冗余。
(3)確定性
FirmNet網(wǎng)絡(luò)采用基于狀態(tài)的通信,采取以下措施實現(xiàn)網(wǎng)絡(luò)通信的確定性:
· 網(wǎng)絡(luò)節(jié)點按照固定的周期發(fā)送預(yù)定義的數(shù)據(jù)集;
· 網(wǎng)絡(luò)節(jié)點每周期內(nèi)把所有的數(shù)據(jù)全部傳輸完;
· 網(wǎng)絡(luò)數(shù)據(jù)幀使用固定的長度;
· 每個數(shù)據(jù)分配專用的存儲空間;
· 采用“轉(zhuǎn)發(fā)-復(fù)制”而非“存儲-轉(zhuǎn)發(fā)”模式對過環(huán)數(shù)據(jù)進行轉(zhuǎn)發(fā);
· 采用“環(huán)上數(shù)據(jù)優(yōu)先,只退讓一個報文”的原則處理發(fā)送端口競爭;
(4)故障零自愈
由于FirmNet網(wǎng)絡(luò)實現(xiàn)了數(shù)據(jù)與鏈路的雙重冗余,所以具有天然的故障容錯能力。
5 網(wǎng)絡(luò)測試和驗證
我們首先采用基于離散事件的仿真模型對FirmNet的網(wǎng)絡(luò)進行了仿真,然后采用基于模型檢查(ModelChecking)的形式化方法對FirmNet通信協(xié)議進行了全覆蓋驗證,最后使用FirmNet產(chǎn)品搭建滿配置的網(wǎng)絡(luò)樣機,進行了三年多全面深入的實際測試。
網(wǎng)絡(luò)仿真和通信協(xié)議形式化驗證保證了FirmNet的高安全性和確定性,實際網(wǎng)絡(luò)測試也證明FirmNet網(wǎng)絡(luò)產(chǎn)品具有很高的可靠性和實時性。
FirmNet網(wǎng)絡(luò)實現(xiàn)了1Gbps的通信速率,在48個節(jié)點的配置下,節(jié)點數(shù)據(jù)最大更新時間小于7ms,完全滿足核電廠反應(yīng)堆控制保護系統(tǒng)的應(yīng)用要求。
6 結(jié)束語
本文對核安全級通信網(wǎng)絡(luò)應(yīng)該具有的五種關(guān)鍵特征進行了說明,并從組成通信網(wǎng)絡(luò)的拓撲結(jié)構(gòu)、通信介質(zhì)、通信協(xié)議和通信設(shè)備等方面闡述了如何實現(xiàn)這些特性。
北京廣利核系統(tǒng)工程有限公司在研制中國首套完全自主知識產(chǎn)權(quán)的核安全級數(shù)字化儀控系統(tǒng)平臺和睦系統(tǒng)的過程中,根據(jù)本文提出的設(shè)計方案自主實現(xiàn)了一種全新的核安全級通信網(wǎng)絡(luò)——FirmNet,并應(yīng)用在國內(nèi)多個反應(yīng)堆控制保護系統(tǒng)中。
實踐證明本文提出的建議和設(shè)計方案是合理、有效的,對于選擇或自主設(shè)計一個核安全級通信網(wǎng)絡(luò)具有非常高的參考價值。
摘自《自動化博覽》2018年5月刊
北京市公安局海淀分局備案號:11010802023656號