核電廠安全級數字化儀控系統通信隔離設計

張　源，崔澤朋，孫　武，趙　兵

核電廠安全級數字化儀控系統通信隔離設計

張源，崔澤朋，孫武，趙兵

（中核控制系統工程有限公司，北京 100176）

核電廠儀表和控制系統被稱為核電廠的“神經中樞”，對保障核電廠的安全穩定運行安全具有關鍵作用，是核電廠的重要組成部分。本文依據核電廠相關設計標準要求及參考核電廠的應用需求，提出一種核電廠安全級數字化儀控系統通信隔離設計方法，該方法針對安全級網絡通信常見的兩種通信方式——點對點通信和多節點通信，在安全級系統內部、安全級系統與非安全級系統之間分別設計獨立于處理單元的通信模塊，該通信模塊本身屬于安全級設備，采用異步通信、定制的雙端口RAM及確定性的通信協議等方法；在多節點通信中采用雙環路拓撲和節點旁路等機制來滿足安全級通信隔離設計要求。通過搭建典型工程樣機和專家獨立工程評審，驗證了本方案在工程應用中的正確性和可行性。

通信隔離；安全級系統；多節點通信

核電廠安全級儀控系統需要在核電廠各種工況下可靠穩定地執行安全功能。為確保安全功能的正確執行，滿足單一故障準則要求，安全級系統需要采取冗余和獨立性設計。防止故障從一個系統傳播到另一個系統，或故障在系統內各冗余部分間傳播[1]。

通信隔離源于核電廠安全級系統對獨立性的設計要求。通信作為數字化技術中的關鍵技術之一，對構建安全級系統、實現系統內的數據交互起著關鍵作用。本文針對安全級系統中的兩種通信方式——在安全級系統內部的點對點通信和安全級系統與非安全級系統之間的多節點通信，設計一種新的通信隔離方案。最終通過搭建典型工程樣機和專家獨立工程評審，驗證了本方案在工程應用中的正確性和可行性。

1　通信隔離設計要求

安全級系統內部通信采用點對點通信的方式。DI&C-ISG-04指出“重要的通信，如傳輸保護通道之間停堆表決邏輯信號的通信，應采用點對點通信的方式”[2]。這里“點對點”的含義是通信數據從發送節點直接傳輸到接收節點，而不經過收發節點以外的任何設備。這類通信的特點是通信容量小，但對通信響應時間的要求較高。

安全級系統與非安全級系統之間通信用于將安全級系統內部的過程信號、監視信號和報警信號通過多節點通信網絡發送到非安全級系統進行數據計算、顯示或存儲。這類通信由于信號來自于分布式系統的各個設備，數據交互容量較大，但對響應時間的要求相對較低。

上述兩種通信都應滿足通信隔離的要求，NB/T 20026指出“通信鏈路的結構和技術應保證滿足系統之間的獨立性要求。除實體分隔和電氣隔離外，設計宜采取措施以保證通信鏈路的問題不會損害處理模塊”[3]。通信鏈路的設計應保證安全系統某一冗余部件的故障不會影響與之通信的其他冗余部件的正常運行；與低級別系統的數據通信不能危害高安全類別功能的數據通信和運行。“基于計算機系統通信的獨立性，可以通過選擇合適的數據通信結構和通信協議來實現”[3]。

2　通信隔離設計方案

2.1　安全級系統內部通信

安全級內部通信的通信雙方使用兩條光纖進行點對點的連接。每條光纖只向一個固定的方向傳輸數據，如圖1所示。

以節點1和節點2之間的連接為例：光纖12負責將數據從節點1發送到節點2，而光纖21負責將數據從節點2發送到節點1。

圖1　點對點通信

通信接口設計一個通信模塊和一個處理模塊。通信模塊將收到的數據寫入雙端口RAM，處理模塊則從中讀取已寫入的數據。與之類似，處理模塊也可以將數據寫入雙端口RAM以供通信模塊讀取和傳輸，如圖2所示。

圖2　安全級內部通信隔離

雙口RAM劃分為兩大數據區域，每一數據區域只允許一方寫操作。即要么是處理模塊可讀，通信模塊可寫；要么是處理模塊可寫，通信模塊可讀，杜絕雙方同時具備可寫訪問權限情況。雙方的讀寫周期是完全獨立而且異步的，不需要等待另一方的讀寫操作完成，因此，任何一個模塊的確定周期都不會被中斷。

GB/T 34040—2017/IEC 61784-3：2016《工業通信網絡功能安全現場總線行規通用規則和行規定義》中定義了工業通信網絡用來檢測通信系統的確定性錯誤和失效的通用措施。并指出“對于已定義的可能錯誤，至少有一個相應的安全措施或安全措施的組合”[4]。通過在協議中加入校驗方法，只有通過校驗的數據才認為是有效的，異常數據將被拒絕并且不會被寫入雙端口RAM。同時參考NASPIC平臺中的NASBUS功能安全通信選用的序列、時間窗口、源目的地址關系和CRC作為處理通信過程中的錯誤[5]。設計使用的協議故障診斷措施（見表1）如下：

（1）序列號：協議的每一幀協議均包含該幀數據所屬報文的序列號，以及其在該報文中的幀序列號，該字段比較像計數器，在每周期都會加1，它的值范圍是［0，0xFFFF］。

表1　協議故障診斷措施

（2）時間期望：在周期運行過程中，模塊以及對方連接的模塊的周期是固定已知的，通過報文序列號（sequence number）和模塊的周期便可以知道相鄰接收到的報文之間的間隔時間，一旦超時，則上報錯誤。

（3）連續鑒別：目的地址和源地址身份驗證。

（4）數據完整性驗證：32位CRC數據完整性校驗。

（5）帶交叉校驗的冗余：冗余通信數據比較。

錯誤檢查和處理過程描述如下：

1）本周期接收到了數據包；

2）驗證CRC的正確性；

3）檢查序列號，通過分析序列號是否在上一周期的基礎上增加了1。連續3周期沒有接收到數據包，視為超過時間期望；

4）連續鑒別檢查數據包的目的地址和源地址是否正確；

5）檢查兩路發送的數據都接收到了；

6）獲取到2包數據后，比對接收到的數據是否一致。

此外，雙端口RAM的數據結構是預定義的，用來寫入數據的存儲位置也是預定義而且固定不變的。由于這些存儲位置不受應用軟件和參數設置的影響，所以通信數據不會被寫入預期之外的區域。

2.2　安全級系統與非安全級系統之間通信

如圖3所示，安全級系統與非安全級系統之間采用多節點通信的方式以應對大容量數據的傳輸。多節點通信網絡采用雙環形拓撲結構，包括外環和內環兩條數據路徑，如圖3所示（節點1、節點5、節點6為安全級設備，節點2、節點3、節點4為非安全級設備）。環上的數據分別按順時針和逆時針單向傳輸，不支持路由和動態拓撲。多節點通信網絡的通信節點由多節點通信模塊和光旁路器構成。

這種雙環形拓撲同時實現了鏈路冗余和數據冗余，使得整個網絡對單一鏈路和單一節點故障具有容錯機制。當節點1和節點2之間的（1條或2條）鏈路故障時，任一節點發送的數據仍可到達其他所有節點。多節點通信網絡具有故障節點旁路機制，當某一節點故障或維護時，光旁路器可將本節點從環形網絡中旁路，環路中的其余節點均通過光旁路器與相鄰通信節點連接構成環形網絡。如在節點2故障時（如電源掉電），節點2的光旁路器會自動旁路掉本節點的通信，使得整個多節點通信網絡仍然是完整的雙環形拓撲結構。同時，光旁路器本身采用故障安全設計，當電源失電或診斷出自身異常時，光旁路器自動處于旁路狀態。

多節點通信模塊的雙端口RAM按照最大節點數目靜態分配為多個區域（包括本節點可寫區域和其他節點可寫區域）。其中，本節點可寫區域只允許本節點處理模塊可寫、通信模塊可讀；其他節點可寫區域只允許本節點通信模塊可寫、處理模塊可讀。當某一節點被配置為只發送節點（下環數據為0）時，該節點通信模塊只過環其他節點的數據，但不下環任何數據到雙端口RAM。相反地，當某一節點被配置為只接收節點（上環數據為0）時，該節點只過環其他節點的數據，不會將雙端口RAM中的數據發送到多節點通信網絡上。因此只需將安全級節點1、節點5、節點6配置為只發送節點，并將非安全級節點2、節點3、節點4配置為只接收節點，即可保證多節點通信網絡上多個安全級設備向非安全級設備傳輸數據的單向性。

節點的收發采用軟件配置的方式，為應對配置失效，多節點通信模塊采用CRC校驗及Galpat法對模塊RAM進行周期性檢測，一旦發現異常，將啟動光旁路器的節點旁路機制，徹底隔離非安全級節點。

安全級系統與非安全及系統通信完整性的校驗機制與安全級系統內部通信相同，以確保通信數據本身的正確性。

光旁路器設置有手動旁路鑰匙開關，該鑰匙開關能夠切斷多節點通信模塊與通信環路的物理鏈路連接。從而保證環路上某一設備能夠從物理上徹底斷開網絡連接，以確保通信環路上其他安全級設備的安全運行。手動旁路狀態通過光旁路器上的指示燈顯示。

3　設計驗證和應用

NicSys?8000N平臺是國內首個具有完全自主知識產權的基于FPGA技術的核電安全級DCS控制系統平臺，該平臺通信系統采用了本通信隔離設計方案。

為了進一步驗證本通信隔離方案在實際應用中的功能和性能，以參考電廠反應堆保護系統為設計輸入搭建了基于NicSys?8000N平臺的RPS工程樣機，結構如圖4所示。

保護組之間通過點對點通信來傳送變量保護觸發信號以完成邏輯表決，之后保護組輸出局部停堆信號。此部分通信為安全級系統內部通信，通信雙方通過光纖連接實現電氣隔離，通過點對點通信模塊之間的通信協議以及通信模塊與處理模塊之間的雙口RAM來實現保護組之間的通信隔離。

每個保護列中還包括兩個傳輸單元（TU1和TU2），作為與非安全級（NC）系統的通信隔離單元，經由網關NC-GW（NC-GWA和NC-GWB）發送主控室顯示報警或信號指示等。通過TU1/TU2的多節點通信模塊中的通信協議以及與其處理模塊之間的雙口RAM來保證TU1/TU2與網關之間的通信隔離。

圖4　RPS工程樣機架構

網關NC-GWA和NC-GWB分別位于保護列A和保護列B中，互為冗余。完成與非安全級系統的通信協議轉換功能，TU與網關，網關與非安全級系統間為單向通信。

經過對樣機長達1年多全面的部件測試、集成測試和系統測試，結果表明RPS工程樣機的功能和性能均滿足反應堆保護系統規格書的要求。同時，NicSys?8000N平臺的開發、設計、驗證和確認通過了由國際原子能機構組織的來自美國、法國、匈牙利和烏克蘭等國家核電領域專家開展的獨立工程評審，IAEA專家認為“NicSys?8000N平臺的設計符合IAEA安全指南SSG–39的相關要求”[6]。

4　結論

通信隔離源于核電廠安全級控制系統對獨立性的設計要求。本設計針對核電站安全級數字化控制系統的兩種通信方式，提出一種滿足安全級DCS通信要求的通信隔離設計方案。

通過典型工程樣機的搭建驗證了本設計方案能夠滿足反應堆保護系統需求規格書的要求，相關設計得到國際原子能專家的認可。

在未來的長期運行中仍需要收集其穩定性和可靠性運行數據，為后續工程應用奠定基礎。

［1］ 魯超，等．核電廠安全級DCS系統獨立性設計［J］．核科學與工程，2012，32：233

［2］ UNITED STATES NUCLEAR REGULATORY COMMISSION. Highly-Integrated Control Rooms-Communications Issues（HICRc）：DI&C-ISG-04-Revision1［S］．Task Working Group #4，2009．

［3］ 國家能源局．核電廠安全重要儀表和控制系統總體要求：NB/T 20026—2014［S］．北京：核工業標準化研究所，2015：17-33．

［4］ 中國國家標準化管理委員會. 工業通信網絡功能安全現場總線行規通用規則和行規定義：GB/T 34040— 2017/IEC 61784-3—2016［S］．北京：中國標準出版社，2017：15．

［5］ 董長龍，等．核電廠安全級DCS功能安全通信研究與分析［J］．上海交通大學學報，2018，52：82.

［6］ INTERNATIONAL ATOMIC ENERGY AGENCY，IAEA REVIEW OF THE NICSYS?8000N SAFETY CLASS I&C PLATFORM DESIGNED BY CNCS［R］．IAEA DEPARTMENT OF NUCLEAR ENERGY，DIVISION OF NUCLEAR POWER，2016．

The Communication Isolation Design of the Safety Digital I&C System in NPP

ZHANG Yuan，CUI Zepeng，SUN Wu，ZHAO Bing

（China Nuclear Control System Engineering Co.，Ltd.，Beijing 100176，China）

TheI&C system of nuclear power plant, known as the “neural center” of nuclear power plant, is one of the most important parts of nuclear power plant, which directly affect the safe, reliable and stable operation of nuclear power plant. According to the safety system standard and the requirements of the reference nuclear power plant, this paper discusses on a communication isolation design for the safety digital I&C system of nuclear power plant. Based on the two common communication types, point-to-point communication and multi-node communication, a communication module independent of the controller is designed among the safety system internals or between the safety system and the non-safety system. This module is a safety device using asynchronous communication mechanism, customized dual port RAM and deterministic communication protocol. In addition, extra dual loop topology and node bypass mechanism are used in the multi-node communication to meet the safety communication isolation design requirements. The correctness and feasibility of this design in application are verified by the construction of the typical prototype and expert independence engineering review.

Communication independence; Safety system; Multi-node communication

TL48

A

0258-0918（2022）02-0329-06

2020-11-17

張源（1981—），男，河南開封人，工程師，碩士研究生，現從事核電安全級數字化控制系統設計及驗證相關研究