基于NASPIC平臺的核電站安全級DCS網關通信

黃清淮，劉明明，公 民，謝維波，馬 宇，黃 鵬

（中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

0 引言

隨著核科學與技術的不斷發展，核電站的建造為人類帶來了福音。目前，一方面電力需求越來越大，一方面清潔能源的呼聲越來越大，核電由于屬于清潔型的新能源，得到了大力的發展和廣泛的關注，但是正如水能載舟亦能覆舟，核輻射對人類也能產生危害。核電站儀控系統為核電站提供了多樣化的控制和保護手段及完善準確的監控信息，保障了核電站的安全和穩定運行，在核輻射防護中發揮了極其重要的作用[1]。

2018年12 月6 日，中國核動力研究設計院自主開發的安全級DCS平臺NASPIC正式發布，成功打破了國外廠商在核安全級DCS領域的壟斷地位，為核安全級DCS市場帶來了新鮮血液[2]。隨著NASPIC平臺的正式發布，應用NASPIC平臺的核電站工程項目逐漸鋪開，在安全級與非安全級DCS系統網絡通信方面，NASPIC平臺也帶來了新的思考和解決方案。本文以某核電站DCS工程項目為例，重點對采用NASPIC平臺的安全級DCS與非安全級DCS之間的新的通訊方案進行詳細闡述。

1 安全級與非安全級DCS系統網絡通信現狀

1.1 網關的系統功能與架構

安全級DCS系統和非安全級DCS系統使用不同的平臺，各自形成獨立的網絡，以滿足標準對安全級DCS獨立性等方面的要求。但由于主控室人機界面主要部分屬于非安全級DCS，用于給主控室操縱員提供電廠運行狀態信息及主要控制手段[3]。因此，在主控室人機界面上也需要顯示大量的安全級DCS產生的信息。若安全級DCS全部通過硬接線將這些信息傳遞到非安全級DCS，將需要大量的電纜，不僅增加了電廠建設成本，對后期的維護也會帶來相當的不便，而網關正是解決這個問題的最佳途徑[4]。安全級DCS產生后需要送至非安全級DCS的信號主要分為兩種：

1）送至非安全級DCS參與邏輯控制的以及要求傳輸時間盡量短的信號，這些信號由安全級DCS通過硬接線傳遞到非安全級DCS。

2）送至非安全級DCS用于報警、顯示及記錄的信號，這些信號由安全級DCS通過網關網絡通信傳遞到非安全級DCS。

由于硬接線傳輸部分各核電站各供應商產品的方案均大同小異，本文重點對網關通信部分進行討論。

1.2 安全級與非安全級DCS系統網絡通信典型方案

當前核電站安全級與非安全級DCS系統網絡通信的典型方案為安全級DCS網關并行冗余，非安全級DCS網關主從冗余，代表產品為廣利核Firmsys+和利時Hollias-N及三菱MELTAC+和利時Hollias-N，主要應用于紅沿河、寧德、陽江、田灣及防城港等核電站部分機組[5]，系統架構如圖1所示。

安全級網關GW-A與GW-B并行冗余，同時將相同的數據發送至非安全級兩個網關。

非安全級網關GW-A與GW-B為主從冗余，同一時刻只有一個網關為主機，該網關將接收到的數據上傳至非安全級DCS網絡及服務器，最終傳輸至主控室人機界面。當某個網關故障或者某個網關與安全級DCS網關通信鏈路故障時，會進行主從切換，以保證數據能正常接收并上傳至主控室人機界面。主從冗余功能分為6個子模塊來實現：冗余初始化、數據備份、同步控制、冗余通訊、雙機搶主、雙機診斷及切換[7]。

該方案可能存在冗余切換異常，或因某些故障導致切換時間較長的問題。

2 基于NASPIC平臺的安全級與非安全級DCS系統網絡通信方案

某核電站數字化儀控系統采用了核動力院NASPIC+浙江中控ECS-700N，NC-DCS與1E-DCS之間使用網關站進行通信，使用Modbus-TCP作為二者之間的傳輸通信協議，該協議采用請求-應答方式進行交互[8]，1E-DCS側網關站作為Modbus從站設備，NC-DCS網關部分作為Modbus主站設備，主站Modbus設備訪問從站設備查詢數據，網關通信架構如圖2所示。

圖1 典型核電站的網關系統架構圖[6]Fig.1 Gateway system architecture diagram of a typical nuclear power plant[6]

圖2 基于NASPIC平臺網關通信架構圖[9]Fig.2 Gateway communication architecture diagram based on NASPIC platform[9]

安全級DCS網關站采用并行冗余的方式，安全級DCS側網關GW-A向非安全級DCS網關通信卡1發送數據，安全級DCS側網關GW-B向非安全級DCS網關通信卡2發送數據。安全級DCS側網關GW-A和GW-B獨立運行，兩者之間不進行數據交互。安全級DCS數據通過6個TU（信號傳輸站）站物理鏈路上單向向網關GW-A和GW-B傳輸數據，從而保證非安全級系統信號、指令及可能的病毒等非法數據不會進入安全級DCS系統。各TU故障或TU與GW的通信故障時，對應的GW會將該路所有數據質量位置壞。

NC-DCS側配置1個通信卡并行冗余的網關，并行冗余通信卡同時接收安全級DCS側網關發送的數據。非安全級DCS通信卡將數據發送給網關，由網關根據每個信號的質量位來判斷使用A鏈路還是B鏈路的數據，將選用的數據上傳至非安全級DCS主控室人機界面。

2.1 1E網關至NC網關正常通信處理機制

當1E網關與NC網關A、B鏈路均正常情況下：

1）如果某信號A、B鏈路質量位均為好，NC側網關優先選擇使用1E網關A鏈路數據。

2）如果某信號A鏈路的質量位壞且B鏈路的質量位好，則NC側網關使用1E網關B鏈路數據。

3）如果某信號A、B鏈路質量位均為壞，則NC側網關可對該信號進行缺省值處理：即“保持上一時刻有效值”“預設缺省值”或“不干預”，具體設置可根據上游要求配置。下文中缺省值處理方法均是如此。

2.2 1E網關至NC網關通信異常情況處理機制

1E網關至NC網關通信異常包含如下情況：

1）1 E級網關站自身發生故障

◇ 當1E網關A發生故障且1E網關B正常時，NC側網關使用B鏈路的數據，并產生相應儀控報警和設備狀態指示，此時如果B鏈路某信號質量位壞，NC側網關可對該信號進行缺省值處理。

◇ 如果1E網關A發生故障且1E網關B發生故障時，NC側網關不再實施數據切換，產生相應儀控報警和設備狀態指示，并對所有信號進行缺省值處理。當其中某網關站恢復正常后，切換至該正常網關站鏈路。

◇ 如果1E網關A正常且1E網關B故障時，NC側網關不實施數據切換，但需對B鏈路故障進行儀控報警和設備狀態指示。此時如果A路某信號質量位壞，NC側網關可對該信號進行缺省值處理。

2）1 E側網關站至NC側網關通信介質故障

◇ 當1E網關A至NC側網關通信介質發生故障且1E網關B至NC側網關通信鏈路正常時，則NC側網關使用B鏈路的數據，并產生相應儀控報警信息和設備狀態指示，此時如果B鏈路某信號質量位壞，NC側網關可對該信號進行缺省值處理。

◇ 當1E網關A至NC側網關通信介質發生故障且1E網關B至NC側網關也發生故障時，NC側網關不實施數據切換，并產生相應儀控報警信息和設備狀態指示，此時NC側網關可對所有信號進行缺省值處理。當其中某網關站通信介質恢復正常后，切換至該正常網關站鏈路。

◇ 當A鏈路正常且B鏈路故障時，NC側網關不實施數據切換，但需對B鏈路故障進行儀控報警和設備狀態指示。此時如果A路某信號質量位壞，NC側網關可對該信號進行缺省值處理。

3）NC側網關板卡出現故障

◇ 當NC側網關或者網關的板卡出現故障，NC側網關進行數據切換并進行儀控報警和設備狀態指示。

4）TU至1E側網關站通信鏈路故障

◇ 當TU至1E側網關A、B通信鏈路故障，來自于該TU的數據將被1E網關設置為質量位壞，NC側網關對此部分數據處理詳見前文（2.1節）。同時，1E網關會將該通信鏈路故障信息（1E網關安全側模塊狀態情況）發送至NC側DCS，NC-DCS將根據該信號狀態值設置儀控報警和設備狀態指示。

2.3 本通信方案特點

1）無須非安全級DCS網關主從切換

本方案中非安全級DCS網關通過兩張通信板卡分別與安全級DCS網關GW-A/B進行通信，接收的數據均上傳至本網關主控模塊，在主控模塊中根據信號的質量位進行數據的選擇和切換，避免了傳統方案的主從切換過程，也避免了主從切換過程中可能存在的問題。

2）數據切換時間快

本方案通過質量位判斷來進行數據選擇和切換，當通信鏈路中的任意故障發生后，會導致該鏈路數據質量位變壞，非安主控模塊將選擇質量位好的數據上傳至主控室人機界面，節省了主從切換過程的時間，數據切換時間比傳統方案要快。

3）安全級DCS內部部分故障不會導致鏈路整體切換

安全級DCS內部各TU站到網關的通信若出現故障（TU通信模塊故障、TU至網關通信故障或網關安全側通信模塊故障等），安全級DCS網關將該TU傳來的數據質量位置壞，非安側網關則可根據質量位不采用該TU的數據，避免了對A/B鏈路進行整體切換，降低切換過程的故障發生可能性及數據切換時間。

3 結束語

核電站反應堆堆型眾多，不同堆型有各自的設計要求，安全級DCS系統的廠家很多，不同廠家平臺有各自的特點。本文對核電站安全級DCS系統網關通信方案進行了研究，結合設計規范要求和NASPIC平臺自身的技術特點，總結出了一套安全級DCS系統網關通信方案，為安全級DCS系統的通信設計提供參考。