盧俊 李遜存 張濤

福建福清核電有限公司 福建福清 350318

1 DCS系統(tǒng)設(shè)計特點

核電廠控制系統(tǒng)網(wǎng)絡(luò)承擔著核心數(shù)據(jù)處理和傳輸功能。網(wǎng)絡(luò)問題的發(fā)生通常會導(dǎo)致極為嚴重的大范圍控制系統(tǒng)異常，同時因為網(wǎng)絡(luò)系統(tǒng)普遍使用了較為前沿的通訊技術(shù)，使得網(wǎng)絡(luò)問題的根本原因分析和網(wǎng)絡(luò)系統(tǒng)的可靠性分析在核電廠設(shè)計和運維階段較為缺乏經(jīng)驗。本文在控制系統(tǒng)網(wǎng)絡(luò)概念、應(yīng)用、影響和風(fēng)險防范等方面進行宏觀分析，以提供較好的設(shè)計與維護參考。

2 核電廠控制系統(tǒng)網(wǎng)絡(luò)設(shè)計

福清1-4號機組使用的一層交換機配置為MESH網(wǎng)絡(luò)形式，為倒掛樹形結(jié)構(gòu)，同時為了避免網(wǎng)絡(luò)內(nèi)形成局部環(huán)網(wǎng)，交換機網(wǎng)絡(luò)中配置了RSTP協(xié)議（Loop Detection Policy回路監(jiān)測協(xié)議），RSTP是一種用于局域網(wǎng)中消除環(huán)路的協(xié)議。運行該協(xié)議的設(shè)備通過彼此交互信息而發(fā)現(xiàn)網(wǎng)絡(luò)中的環(huán)路，并適當對某些端口進行阻塞以消除環(huán)路。由于局域網(wǎng)規(guī)模的不斷增長，生成樹協(xié)議已經(jīng)成為了當前最重要的局域網(wǎng)協(xié)議之一。

3 網(wǎng)絡(luò)冗余路徑的設(shè)計

3.1 通用的快速生成樹協(xié)議

在一個復(fù)雜的網(wǎng)絡(luò)中，網(wǎng)絡(luò)規(guī)劃者由于冗余備份的需要，一般都傾向于在設(shè)備之間部署多條物理鏈路，其中一條作主用鏈路，其他鏈路作備用，這樣就難免會形成環(huán)形網(wǎng)絡(luò)，若網(wǎng)絡(luò)中存在環(huán)路，可能會引起廣播風(fēng)暴和MAC橋表項被破壞。網(wǎng)絡(luò)規(guī)劃者規(guī)劃好網(wǎng)絡(luò)后，可以在網(wǎng)絡(luò)中部署RSTP協(xié)議預(yù)防環(huán)路產(chǎn)生[1]。

3.2 定制的回路監(jiān)測協(xié)議

同時考慮到RSTP的局域性，單次網(wǎng)絡(luò)變化結(jié)構(gòu)收斂時間較長，福清核電DCS廠家在交換機軟件配置時進行了LDP協(xié)議的部署，LDP的規(guī)則主要有4類：PBQ（Primary Beacon Query，應(yīng)用于ROOT級交換機）、SBQ（Secondary Beacon Query，應(yīng)用于備用的 ROOT級交換機）、BPP（Beacon Priority Policy，指信標優(yōu)先策略）和 CBP（Circuit Breaker Policy，應(yīng)用于網(wǎng)絡(luò)回路LOOP產(chǎn)生時閉鎖交換機端口）。

圖1 LDP協(xié)議部署示意圖

MESH網(wǎng)絡(luò)會通過每秒發(fā)送一次IGMP包的方式來實時監(jiān)測網(wǎng)絡(luò)中的路由情況，當RSTP失效導(dǎo)致其中1臺交換機端口2錯誤地往備用ROOT交換機發(fā)送IGMP包時，備用ROOT交換機所部署的CBP規(guī)則觸發(fā)，主動禁掉備用ROOT交換機的端口2，從而避免網(wǎng)絡(luò)風(fēng)暴的形成。

4 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計的問題

控制邏輯對網(wǎng)絡(luò)的依賴性問題。在核電儀控總體設(shè)計時通常會進行功能分區(qū)，將一定區(qū)域的控制邏輯安排在一定區(qū)域的機柜中實現(xiàn)，這樣控制系統(tǒng)完成后，將形成相對獨立的分區(qū)，這樣一方面可以降低控制系統(tǒng)的網(wǎng)絡(luò)負荷，另一方面也可以使每一個分區(qū)內(nèi)的功能相對獨立，在發(fā)生嚴重網(wǎng)絡(luò)故障下，仍能夠保持較好的控制功能完整性。同時因為DCS設(shè)計的特點，控制系統(tǒng)的分級和一些龐大的調(diào)節(jié)或控制邏輯對網(wǎng)絡(luò)會形成較為嚴重的依賴：安全級DCS系統(tǒng)在設(shè)計時會劃分NC+和NC兩種分級，這兩種分級主要體現(xiàn)在對機柜和就地儀表設(shè)備的邏輯功能區(qū)分上，可能造成同一個系統(tǒng)的大量信號因為分級不同設(shè)置在了不同的機柜；此外，因核電廠控制邏輯組成復(fù)雜，一些大型調(diào)節(jié)系統(tǒng)或者邏輯需要大量的信號共同參與，因為DCS分布式設(shè)計的特點，無法避免較多的信號需要借助DCS系統(tǒng)網(wǎng)絡(luò)實現(xiàn)傳輸。

網(wǎng)絡(luò)傳輸?shù)男盘栐谔囟ㄇ樾蜗?，會直接產(chǎn)生誤動作，質(zhì)量位邏輯即是一種典型的情況，因為網(wǎng)絡(luò)故障屬于質(zhì)量位的觸發(fā)方式之一，信號鏈接未配置質(zhì)量位時，如果出現(xiàn)網(wǎng)絡(luò)故障一般保留上一時刻有效值，如果信號鏈接配置了質(zhì)量位將可能直接產(chǎn)生質(zhì)量位保護動作[2]。

5 網(wǎng)絡(luò)問題的解決

5.1 合理界定網(wǎng)絡(luò)分區(qū)和邊界

網(wǎng)絡(luò)系統(tǒng)組成越龐大，網(wǎng)絡(luò)系統(tǒng)的功能越強大，網(wǎng)絡(luò)出現(xiàn)的問題對機組的影響也會增大，從該方面分析，設(shè)計初期應(yīng)進行良好規(guī)劃，在DCS中做好功能規(guī)劃，合理控制區(qū)域。做好機組間的隔離，可以采用不同的環(huán)網(wǎng)實現(xiàn)機組之間的連接，避免直接通過一臺機組訪問另外一臺機組。

對于機組中的NC/NC+區(qū)域劃分問題，從DCS維護角度來看，在DCS系統(tǒng)中劃分NC/NC+系統(tǒng)直接導(dǎo)致了大量的機組間數(shù)據(jù)交互，建議新的機組設(shè)計中盡量考慮淡化設(shè)置NC/NC+區(qū)分，盡可能直接設(shè)置為NC+級。

5.2 網(wǎng)路配置管理與交換機維護

控制系統(tǒng)網(wǎng)絡(luò)的重要性在前述有了較為全面的分析，雖然交換機產(chǎn)品以及相關(guān)協(xié)議均為成熟的工業(yè)應(yīng)用，但交換機在核電的使用仍然較為初級。并且當前核電廠的設(shè)備和配置管理尚未很好的將交換機納入管理，交換機和其他儀控設(shè)備的技術(shù)特性和維護注意事項差異巨大。

國內(nèi)電廠發(fā)生多次DCS網(wǎng)絡(luò)故障形成的停機停堆問題，事件調(diào)查和自查顯示當前核電運維領(lǐng)域?qū)粨Q機這一核心設(shè)備的技術(shù)儲備的認知較為不足。作為核電用戶，應(yīng)該十分關(guān)注網(wǎng)絡(luò)系統(tǒng)的可靠性，并考慮網(wǎng)絡(luò)失效的風(fēng)險，做好廠內(nèi)人員和文件相應(yīng)準備，做好網(wǎng)絡(luò)失效風(fēng)險的防范：網(wǎng)絡(luò)交換機設(shè)備維護軟硬件配置，需要加強交換機配置文件的管理，熟悉網(wǎng)絡(luò)相關(guān)的底層協(xié)議的運行原理，并建立離線的網(wǎng)絡(luò)交換機運行試驗系統(tǒng)，以協(xié)助定位和確認故障，也方便在大型檢修工作時離線配置完成并觀察后進行現(xiàn)場替換。

5.3 控制策略網(wǎng)絡(luò)依賴性的排查處理

控制系統(tǒng)組態(tài)配置，需要特別考慮網(wǎng)絡(luò)失效風(fēng)險，例如針對跨處理器的質(zhì)量位設(shè)計，福清核電廠進行了專項的邏輯梳理，識別出重要風(fēng)險20項，完成了信號分配的修改，解決了該隱患。同時對于其他的重要邏輯跨處理器的問題。傳統(tǒng)上進行機組之間鏈接檢查，單個CP失效下對其他處理器邏輯的影響分析時，傳統(tǒng)的基于功能圖紙的分析難以開展，人工方式查閱組態(tài)數(shù)據(jù)效率過低，無法適應(yīng)緊急缺陷的處理，且難以確保篩查的完整性。

福清核電開發(fā)了全局鏈接關(guān)系分析系統(tǒng)，可以快速導(dǎo)出單個處理器的所有鏈接關(guān)系表，數(shù)據(jù)收發(fā)關(guān)系表，雙機組的數(shù)據(jù)鏈接關(guān)系總表，為快速、準確評估和應(yīng)對交換機端口或設(shè)備廠故障提供了可行的、高效的手段[3]。

6 結(jié)語

本文網(wǎng)絡(luò)可靠問題的核心是DCS網(wǎng)絡(luò)功能的認識與相關(guān)技術(shù)的應(yīng)用。網(wǎng)絡(luò)技術(shù)作為數(shù)字化核電系統(tǒng)興起以后的一種普遍設(shè)計，具有非常重要的地位。目前，網(wǎng)絡(luò)可靠性問題在各個電廠都缺乏足夠重視，同時也普遍缺乏應(yīng)對和處理經(jīng)驗。導(dǎo)致國內(nèi)出現(xiàn)了多次嚴重的機組運行行事件。DCS網(wǎng)絡(luò)功能牽涉面廣泛，文章以幾個典型重要視角，解釋了DCS網(wǎng)絡(luò)技術(shù)可靠性關(guān)鍵問題，正常掌握和合理運用將可以有效保證機組的安全性和經(jīng)濟性。