今日頭條
官方微信
官方抖音
案例頻道摘要:通信系統(tǒng)是核安全級儀控系統(tǒng)重要的技術組成部分,其負責系統(tǒng)內(nèi)各子系統(tǒng)之間的通信,對整個系統(tǒng)的實時性、可靠性和安全性等有重要的影響。本文通過對核電標準及行業(yè)文獻的分析和解讀,歸納出核安全級通信網(wǎng)絡應該具有可靠、實時、安全、確定和獨立等特征要求,并基于這些要求設計和實現(xiàn)了一套基于逆向冗余雙環(huán)拓撲的通信網(wǎng)絡(稱為FirmNet)及產(chǎn)品,目前FirmNet網(wǎng)絡已應用于國內(nèi)多家核電廠反應堆控制保護系統(tǒng)中。相關分析和設計對于研制核安全級通信網(wǎng)絡具有很高的參考價值。
關鍵詞:核電廠;核安全級儀控系統(tǒng);通信系統(tǒng)
Abstract: The communication system is an important technical component of nuclear safety level instrument control system, which is responsible for the communication among multiple subsystems of the integral system. It has an important impact on the real-time, reliability and safety of the whole system.
Based on the thorough analysis of nuclear power standard and literature, this paper concludes that the nuclear safety level communication networks should be reliable, real-time, safety, determination and independent. Casting on these basis requirements, we design and implement FirmNet, a reverse redundant loop topology. FirmNet has been employed in multiple domestic nuclear power plant reactor control and protection systems. The related analysis and design have a high reference value for developing nuclear safety level communication network.
Key words: Nuclear power plant; Nuclear safety instrument and control system; Communication system
1 引言
儀控系統(tǒng)是整個核電站的神經(jīng)中樞系統(tǒng),其中核安全級儀控系統(tǒng)主要用于實現(xiàn)控制核反應堆安全停堆、堆芯余熱排出,和(或)限制預計運行事件和事故工況后果的系統(tǒng)。核安全級儀控系統(tǒng)是保障核電站安全運行的第一道防線,該系統(tǒng)能否安全、可靠、實時地運行對核電站安全至關重要。
在核安全級儀控系統(tǒng)中,關鍵的通信網(wǎng)絡可以分為兩類:一類是冗余通道之間控制站之間的通信,主要傳輸用于反應堆跳堆表決邏輯的數(shù)據(jù),這一部分通信一般采用點對點通信技術;另一類是整個保護系統(tǒng)內(nèi)各控制站之間的通信,主要傳輸反應堆運行參數(shù),控制系統(tǒng)狀態(tài)數(shù)據(jù),人機接口數(shù)據(jù)等。
其中第二類通信是控制保護系統(tǒng)的骨架,對整個系統(tǒng)的可擴展性、實時性、可靠性、安全性有重要影響。
本文主要針對第二類通信系統(tǒng)進行分析和設計。通信架構如圖1所示。
核安全級通信網(wǎng)絡作為核電廠儀控系統(tǒng)的重要組成部分,其設計和設備研制除了遵守通信相關的核電標準還必須遵守核電廠儀控系統(tǒng)相關的一系列標準,另外,工業(yè)通信標準也具有重要的參考價值。
通過對一系列標準的分析和大量技術文獻的整理,我們總結出核安全級通信網(wǎng)絡應該具有五個關鍵的特性:可靠性、安全性、實時性、確定性和獨立性。
本文對五個特性進行了分析說明,并結合北京廣利核系統(tǒng)工程有限公司研制中國首個核安全級數(shù)字化控制保護系統(tǒng)通用平臺——FirmSys的實際工作,從構成通信系統(tǒng)的拓撲結構、通信介質(zhì)、通信協(xié)議和通信設備等四個層面對如何實現(xiàn)這五個關鍵特性進行了闡述。
2 核安全級通信系統(tǒng)關鍵特征
通過對IEEE 7-4.3.2、IEEE 603、IEC 61513、IEC 61500等國際標準和NUREG/CR-6082、NUREG/CR-6991、DI&C-ISG-04等NRC審查指導文件的解讀可以發(fā)現(xiàn),核安全級儀控系統(tǒng)對其通信系統(tǒng)有很多明確的要求和約束,其中對通信系統(tǒng)本身的要求可以歸納為以下幾個方面:
(1)可靠性
可靠性指通信系統(tǒng)在一定時間內(nèi),在正常和異常工況下無故障的完成通信功能的能力。一般來講,提高儀控系統(tǒng)的可靠性主要有三種途徑:一是簡化系統(tǒng)的設計,減少可能出錯的點;二是采取容錯措施;三是系統(tǒng)設備執(zhí)行自檢測和對系統(tǒng)進行周期性試驗。
(2)安全性
安全性包括功能安全和信息安全兩方面的要求:功能安全指通信系統(tǒng)避免反應堆處在潛在危險或不穩(wěn)定狀態(tài)的能力,核安全級通信系統(tǒng)故障不能以任何方式危害反應堆控制保護系統(tǒng)安全功能的執(zhí)行。
通信系統(tǒng)在任何情況下都不得危害到反應堆控制保護系統(tǒng)的安全功能。信息安全指通信系統(tǒng)具有較強的防御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊的能力。反應堆控制保護系統(tǒng)必須按照安全分區(qū),網(wǎng)絡專用,橫向隔離,縱向認證和綜合防護的原則進行安全防護。因此,除了支持安全分區(qū),通信網(wǎng)絡必須做到網(wǎng)絡專用,并支持橫向隔離和縱向認證。
(3)確定性
確定性指在通信系統(tǒng)配置階段,就能夠精確計算出通信速率、通信延遲、吞吐量、通信負荷、數(shù)據(jù)更新時間等關鍵運行指標。
核安全級通信系統(tǒng)應該是基于狀態(tài)的通信,即按照固定的時間間隔發(fā)送固定的數(shù)據(jù)集,而不管數(shù)據(jù)是否發(fā)生變化。通信過程中消息的長度、構成、傳輸路徑、延遲、通信負荷等應該是不變的。
(4)實時性
實時性指通信系統(tǒng)在有限的時間內(nèi)把過程數(shù)據(jù)或操作指令正確傳輸?shù)侥康牡氐哪芰Α?br/>核安全級通信系統(tǒng)應該提供充分的性能,以保證從任意通信節(jié)點發(fā)出的任何數(shù)據(jù)都可以在一定的時間限制內(nèi),被預期的目標結點正確接收到,即使在最壞的工況下也要滿足執(zhí)行安全功能而要求實時性。
(5)獨立性
獨立性指通信系統(tǒng)應該滿足實體分離,電氣隔離,通信隔離和功能獨立。
數(shù)據(jù)通信不應依賴于接收方的確認消息。
不同安全等級的通信系統(tǒng)間通信時,數(shù)據(jù)通信應該由安全等級高的通信系統(tǒng)來掌控,并且數(shù)據(jù)應該是從高安全級別通信系統(tǒng)流向低安全級別通信系統(tǒng),原則上安全等級低的通信系統(tǒng)不允許向安全等級高的通信系統(tǒng)發(fā)送數(shù)據(jù)。
3 核安全級通信系統(tǒng)設計
核安全級通信系統(tǒng)的關鍵特性主要是通過其拓撲結構、通信介質(zhì)、通信協(xié)議和通信設備來體現(xiàn)的,每一個環(huán)節(jié)都能夠在不同的層面體現(xiàn)出一個或多個關鍵特性。
3.1 拓撲結構
在通信過程中,有動態(tài)和靜態(tài)兩類路由選擇策略。動態(tài)路由會增加通信時間的不確定性,而靜態(tài)路由有利于實現(xiàn)通信時間的確定性,所以核安全級通信網(wǎng)絡應該選擇靜態(tài)路由策略。
不同的拓撲結構能夠為網(wǎng)絡帶來不同的可靠性。比如總線型和星型拓撲能夠天然的保證單一網(wǎng)絡節(jié)點的故障不會影響到其他網(wǎng)絡節(jié)點的通信。而環(huán)型拓撲具有天然的通信鏈路冗余特性。
為提高通信的可靠性,核安全級通信網(wǎng)絡的通信鏈路要冗余,以保證一條鏈路故障時,數(shù)據(jù)仍然可以通過冗余鏈路進行傳輸。
3.2 通信介質(zhì)
通信介質(zhì)可以分為兩大類,導向傳輸介質(zhì)和非導向通信介質(zhì),即有線和無線。核安全級通信網(wǎng)絡的通信介質(zhì)屬于1E級裝置,考慮到實時性、可靠性、信息安全性等因素,在目前技術條件下不考慮無線通信介質(zhì)。
目前較為成熟的有線通信介質(zhì)主要有同軸電纜、雙絞線和光纖三種。同軸電纜和雙絞線帶寬低,信號傳輸距離短,對電磁干擾比較敏感,可以應用在短距離場合,如控制機柜內(nèi)部。同軸電纜因為接口、體積、成本等原因,應用較少。相比較而言,光纖因其與生俱來的優(yōu)點更適合應用在工業(yè)場合。
核安全級通信網(wǎng)絡的通信介質(zhì)應該優(yōu)先選擇光纖。
3.3 通信協(xié)議
通信協(xié)議是指通信實體完成通信或服務所必須遵循的規(guī)則和約定。協(xié)議定義了數(shù)據(jù)單元使用的格式,數(shù)據(jù)單元應該包含信息與含義、連接方式、信息發(fā)送和接收的時序,從而確保網(wǎng)絡中數(shù)據(jù)順利地傳送到確定的地方。
通信協(xié)議是通信網(wǎng)絡的靈魂,是通信系統(tǒng)中最復雜的部分,也最容易導致通信錯誤。本文從構成通信協(xié)議要素的服務、環(huán)境假設、編碼和過程規(guī)則等方面介紹核安全級網(wǎng)絡通信協(xié)議的設計特點,這些特點都直接或間接地體現(xiàn)了通信網(wǎng)絡的可靠性、安全性、獨立性和確定性要求。
(1)服務
核安全級通信協(xié)議應該堅持最簡化原則,只使用OSI參考模型中的三層,即物理層、數(shù)據(jù)鏈路層和應用層,并且僅提供必須的服務。
報警:通信協(xié)議在檢測到可能危害反應堆控制保護系統(tǒng)安全功能的錯誤或故障時,向通信系統(tǒng)的應用程序層發(fā)出報警。
自監(jiān)視:自監(jiān)視指通信協(xié)議能夠持續(xù)、自動地對整個通信系統(tǒng)的連通性、完整性和各類通信錯誤進行監(jiān)視和統(tǒng)計,并且把監(jiān)視結果和統(tǒng)計數(shù)據(jù)提供給應用程序層。
預定義輸出:預定義輸出指協(xié)議能夠在監(jiān)測到嚴重的通信故障或數(shù)據(jù)錯誤時,固定輸出預定義數(shù)據(jù)的服務。
接入認證:在有通信節(jié)點請求接入核安全級通信系統(tǒng)時,必須使用通信協(xié)議的接入認證服務,只有通過嚴格認證的數(shù)據(jù)才允許進入通信系統(tǒng)傳輸。
隔離:隔離服務能夠把通信節(jié)點與應用層軟件之間的通信切斷,從而實現(xiàn)雙方的隔離。
(2)環(huán)境假設
鏈路冗余:核安全級通信系統(tǒng)應該提供冗余的鏈路,以確保一條鏈路出現(xiàn)故障時,通信仍然能夠正常進行。并且冗余的鏈路還可以幫助通信系統(tǒng)實現(xiàn)檢錯和排錯能力。
靜態(tài)路由:核安全級通信系統(tǒng)的數(shù)據(jù)通信鏈路應該是預先設定好的,不允許在通信系統(tǒng)運行過程中動態(tài)改變。
(3)編碼
使用封裝:封裝是指協(xié)議對應OSI模型中的高層把其相鄰下層需要的數(shù)據(jù)進行“包裹”的一種設計方法。
封裝能夠維持協(xié)議各層獨立并實現(xiàn)消息分段傳輸。
幀長度固定:核安全級通信協(xié)議的幀必須采用固定的長度,如果要傳輸?shù)臄?shù)據(jù)無法填滿幀的數(shù)據(jù)域,則向數(shù)據(jù)域填充占位數(shù)據(jù)。幀長度固定可以增強通信的確定性。
幀格式確定:核安全級通信協(xié)議的幀格式必須是確定的。同一類型的幀都應該具有相同的域結構和相同的位置順序,包括消息標識、狀態(tài)信息、數(shù)據(jù)位等。
專有性:核安全級通信協(xié)議的幀格式和編碼應該與目前已知的通信協(xié)議有所區(qū)別,消除外部數(shù)據(jù)偽裝進入通信系統(tǒng)的可能。
檢錯/糾錯編碼:核安全級通信協(xié)議幀應該采用檢錯或糾錯編碼,以確保數(shù)據(jù)能被正確接收并正確理解。
負荷無關性:核安全級通信協(xié)議不允許產(chǎn)生隨著通信負荷大小變化而變化的數(shù)據(jù)。
(4)過程規(guī)則
單向通信:核安全級通信系統(tǒng)中節(jié)點間的通信不執(zhí)行通信握手,數(shù)據(jù)傳輸完全由發(fā)送方控制,數(shù)據(jù)接收方不用向發(fā)送方反饋“確認”消息。
傳輸固定數(shù)據(jù)集:只有預定義的數(shù)據(jù)集能夠被發(fā)送以及被接收方使用。不被認可的消息或數(shù)據(jù)要被接收方參照預先確定的設計要求識別出來并加以處理。
周期通信:核安全級通信協(xié)議必須按照固定的周期進行數(shù)據(jù)通信,節(jié)點必須在一個周期內(nèi)傳輸全部數(shù)據(jù),而不管數(shù)據(jù)是否發(fā)生了變化。
數(shù)據(jù)固定位置存儲:通信節(jié)點接收到的數(shù)據(jù)應該被放置到存儲區(qū)預先定義好的位置上,并且這些存儲位置不能再做其他用途。
數(shù)據(jù)冗余:核安全級通信協(xié)議應該具有數(shù)據(jù)冗余機制,以提高通信系統(tǒng)的可靠性。
防止故障蔓延:通信節(jié)點不允許轉發(fā)破損的協(xié)議幀,應該在識別后對其進行丟棄。
單點故障容錯:核安全級通信系統(tǒng)中單個通信節(jié)點的失效或故障不應該影響整個通信系統(tǒng)的正常通信。
差錯控制:核安全級通信協(xié)議必須對IEC 61500規(guī)定的八種通信錯誤進行檢測并采取相應的處理措施。
確定的延遲:核安全級通信協(xié)議必須能夠保證數(shù)據(jù)傳輸所有環(huán)節(jié)中各種延遲的確定性。從而能夠在確定了數(shù)據(jù)集、幀長度和傳輸周期后就能夠計算出通信系統(tǒng)可能的最大通信延遲。
順序無關性:核安全級通信系統(tǒng)的通信節(jié)點的正確運行不能依賴于其在整個通信系統(tǒng)中的位置或其與其他節(jié)點的相互順序。
無鏈式反應:核安全級通信協(xié)議不允許存在鏈式反應,即協(xié)議不能根據(jù)傳輸數(shù)據(jù)的內(nèi)容而自動產(chǎn)生新的數(shù)據(jù)。
3.4 通信設備
通信設備是構成網(wǎng)絡的實體,是實現(xiàn)通信協(xié)議的載體。從實現(xiàn)技術來講,通信設備可以基于純硬件實現(xiàn),也可以在硬件的基礎上采用軟件和(或)可編程邏輯實現(xiàn)。
從功能特點和實現(xiàn)技術的特點來看,通信功能部分直接影響網(wǎng)絡的實時性,所以通過可編程邏輯技術實現(xiàn)。網(wǎng)絡應用層和配置相關的功能面臨的需求更加多樣化,因此適宜通過軟件實現(xiàn)。
軟件應該采用無中斷,固定周期,內(nèi)存靜態(tài)分配,任務靜態(tài)調(diào)度的設計,以實現(xiàn)通信的確定性。
設備自診斷是提高系統(tǒng)可靠性的重要手段。通信設備通過監(jiān)視設備的供電、時鐘、看門狗、內(nèi)存、CPU等是否存在異常,以及時地采取相應的應對措
施,并及時向工作人員發(fā)出警告,可以提高系統(tǒng)的可靠性。
4 FirmNet通信網(wǎng)絡設計
FirmNet通信網(wǎng)絡采用環(huán)形拓撲結構,光纖通信介質(zhì),物理層遵循IEEE802.3z標準,自主設計的通信協(xié)議。如圖4所示。
FirmNet通信網(wǎng)絡主由通信節(jié)點和鏈路組成,通信協(xié)議運行在通信節(jié)點設備中。
(1)基本數(shù)據(jù)操作
FirmNet通信協(xié)議中包含四種對數(shù)據(jù)幀的操作:
上環(huán):指節(jié)點把本節(jié)點的數(shù)據(jù)幀發(fā)送到環(huán)上。
過環(huán):指節(jié)點把接收到的幀繼續(xù)發(fā)送給下一個相鄰的節(jié)點。
下環(huán):指節(jié)點把接收到的幀更新到本節(jié)點的數(shù)據(jù)區(qū),但不進行剝離。
剝離:指節(jié)點在接收到幀后不再對其進行過環(huán)操作。
(2)通信過程
FirmNet通過廣播方式,同時將幀對0環(huán)和1環(huán)執(zhí)行上環(huán)操作實現(xiàn)數(shù)據(jù)的冗余。
如圖5所示,節(jié)點A以預先設定的時間間隔同時對0環(huán)和1環(huán)執(zhí)行上環(huán)操作,此時有兩份相同的數(shù)據(jù)在兩個環(huán)上傳輸,其他節(jié)點在接收到節(jié)點A發(fā)出的數(shù)據(jù)幀后,同時執(zhí)行過環(huán)和下環(huán)操作,即在把數(shù)據(jù)幀發(fā)給下游節(jié)點的同時,把數(shù)據(jù)復制到本地緩存區(qū)中。各節(jié)點依次對數(shù)據(jù)幀執(zhí)行過環(huán)、下環(huán)操作,該數(shù)據(jù)幀最終會返回到節(jié)點
A,節(jié)點A對自己發(fā)出數(shù)據(jù)幀執(zhí)行剝離操作。
數(shù)據(jù)幀在環(huán)上傳輸一周后,每個節(jié)點都會把收到的數(shù)據(jù)更新到本地緩存區(qū),并且數(shù)據(jù)按照預先設定的位置存儲。每個節(jié)點都會接收到兩份相同的數(shù)據(jù),實現(xiàn)了數(shù)核電儀控
據(jù)冗余。
(3)確定性
FirmNet網(wǎng)絡采用基于狀態(tài)的通信,采取以下措施實現(xiàn)網(wǎng)絡通信的確定性:
· 網(wǎng)絡節(jié)點按照固定的周期發(fā)送預定義的數(shù)據(jù)集;
· 網(wǎng)絡節(jié)點每周期內(nèi)把所有的數(shù)據(jù)全部傳輸完;
· 網(wǎng)絡數(shù)據(jù)幀使用固定的長度;
· 每個數(shù)據(jù)分配專用的存儲空間;
· 采用“轉發(fā)-復制”而非“存儲-轉發(fā)”模式對過環(huán)數(shù)據(jù)進行轉發(fā);
· 采用“環(huán)上數(shù)據(jù)優(yōu)先,只退讓一個報文”的原則處理發(fā)送端口競爭;
(4)故障零自愈
由于FirmNet網(wǎng)絡實現(xiàn)了數(shù)據(jù)與鏈路的雙重冗余,所以具有天然的故障容錯能力。
5 網(wǎng)絡測試和驗證
我們首先采用基于離散事件的仿真模型對FirmNet的網(wǎng)絡進行了仿真,然后采用基于模型檢查(ModelChecking)的形式化方法對FirmNet通信協(xié)議進行了全覆蓋驗證,最后使用FirmNet產(chǎn)品搭建滿配置的網(wǎng)絡樣機,進行了三年多全面深入的實際測試。
網(wǎng)絡仿真和通信協(xié)議形式化驗證保證了FirmNet的高安全性和確定性,實際網(wǎng)絡測試也證明FirmNet網(wǎng)絡產(chǎn)品具有很高的可靠性和實時性。
FirmNet網(wǎng)絡實現(xiàn)了1Gbps的通信速率,在48個節(jié)點的配置下,節(jié)點數(shù)據(jù)最大更新時間小于7ms,完全滿足核電廠反應堆控制保護系統(tǒng)的應用要求。
6 結束語
本文對核安全級通信網(wǎng)絡應該具有的五種關鍵特征進行了說明,并從組成通信網(wǎng)絡的拓撲結構、通信介質(zhì)、通信協(xié)議和通信設備等方面闡述了如何實現(xiàn)這些特性。
北京廣利核系統(tǒng)工程有限公司在研制中國首套完全自主知識產(chǎn)權的核安全級數(shù)字化儀控系統(tǒng)平臺和睦系統(tǒng)的過程中,根據(jù)本文提出的設計方案自主實現(xiàn)了一種全新的核安全級通信網(wǎng)絡——FirmNet,并應用在國內(nèi)多個反應堆控制保護系統(tǒng)中。
實踐證明本文提出的建議和設計方案是合理、有效的,對于選擇或自主設計一個核安全級通信網(wǎng)絡具有非常高的參考價值。
摘自《自動化博覽》2018年5月刊
北京市公安局海淀分局備案號:11010802023656號