張　源，崔澤朋，孫　武，趙　兵

核電廠安全級數(shù)字化儀控系統(tǒng)通信隔離設(shè)計

張源，崔澤朋，孫武，趙兵

（中核控制系統(tǒng)工程有限公司，北京 100176）

核電廠儀表和控制系統(tǒng)被稱為核電廠的“神經(jīng)中樞”，對保障核電廠的安全穩(wěn)定運行安全具有關(guān)鍵作用，是核電廠的重要組成部分。本文依據(jù)核電廠相關(guān)設(shè)計標(biāo)準(zhǔn)要求及參考核電廠的應(yīng)用需求，提出一種核電廠安全級數(shù)字化儀控系統(tǒng)通信隔離設(shè)計方法，該方法針對安全級網(wǎng)絡(luò)通信常見的兩種通信方式——點對點通信和多節(jié)點通信，在安全級系統(tǒng)內(nèi)部、安全級系統(tǒng)與非安全級系統(tǒng)之間分別設(shè)計獨立于處理單元的通信模塊，該通信模塊本身屬于安全級設(shè)備，采用異步通信、定制的雙端口RAM及確定性的通信協(xié)議等方法；在多節(jié)點通信中采用雙環(huán)路拓?fù)浜凸?jié)點旁路等機(jī)制來滿足安全級通信隔離設(shè)計要求。通過搭建典型工程樣機(jī)和專家獨立工程評審，驗證了本方案在工程應(yīng)用中的正確性和可行性。

通信隔離；安全級系統(tǒng)；多節(jié)點通信

核電廠安全級儀控系統(tǒng)需要在核電廠各種工況下可靠穩(wěn)定地執(zhí)行安全功能。為確保安全功能的正確執(zhí)行，滿足單一故障準(zhǔn)則要求，安全級系統(tǒng)需要采取冗余和獨立性設(shè)計。防止故障從一個系統(tǒng)傳播到另一個系統(tǒng)，或故障在系統(tǒng)內(nèi)各冗余部分間傳播[1]。

通信隔離源于核電廠安全級系統(tǒng)對獨立性的設(shè)計要求。通信作為數(shù)字化技術(shù)中的關(guān)鍵技術(shù)之一，對構(gòu)建安全級系統(tǒng)、實現(xiàn)系統(tǒng)內(nèi)的數(shù)據(jù)交互起著關(guān)鍵作用。本文針對安全級系統(tǒng)中的兩種通信方式——在安全級系統(tǒng)內(nèi)部的點對點通信和安全級系統(tǒng)與非安全級系統(tǒng)之間的多節(jié)點通信，設(shè)計一種新的通信隔離方案。最終通過搭建典型工程樣機(jī)和專家獨立工程評審，驗證了本方案在工程應(yīng)用中的正確性和可行性。

1　通信隔離設(shè)計要求

安全級系統(tǒng)內(nèi)部通信采用點對點通信的方式。DI&C-ISG-04指出“重要的通信，如傳輸保護(hù)通道之間停堆表決邏輯信號的通信，應(yīng)采用點對點通信的方式”[2]。這里“點對點”的含義是通信數(shù)據(jù)從發(fā)送節(jié)點直接傳輸?shù)浇邮展?jié)點，而不經(jīng)過收發(fā)節(jié)點以外的任何設(shè)備。這類通信的特點是通信容量小，但對通信響應(yīng)時間的要求較高。

安全級系統(tǒng)與非安全級系統(tǒng)之間通信用于將安全級系統(tǒng)內(nèi)部的過程信號、監(jiān)視信號和報警信號通過多節(jié)點通信網(wǎng)絡(luò)發(fā)送到非安全級系統(tǒng)進(jìn)行數(shù)據(jù)計算、顯示或存儲。這類通信由于信號來自于分布式系統(tǒng)的各個設(shè)備，數(shù)據(jù)交互容量較大，但對響應(yīng)時間的要求相對較低。

上述兩種通信都應(yīng)滿足通信隔離的要求，NB/T 20026指出“通信鏈路的結(jié)構(gòu)和技術(shù)應(yīng)保證滿足系統(tǒng)之間的獨立性要求。除實體分隔和電氣隔離外，設(shè)計宜采取措施以保證通信鏈路的問題不會損害處理模塊”[3]。通信鏈路的設(shè)計應(yīng)保證安全系統(tǒng)某一冗余部件的故障不會影響與之通信的其他冗余部件的正常運行；與低級別系統(tǒng)的數(shù)據(jù)通信不能危害高安全類別功能的數(shù)據(jù)通信和運行?！盎谟嬎銠C(jī)系統(tǒng)通信的獨立性，可以通過選擇合適的數(shù)據(jù)通信結(jié)構(gòu)和通信協(xié)議來實現(xiàn)”[3]。

2　通信隔離設(shè)計方案

2.1　安全級系統(tǒng)內(nèi)部通信

安全級內(nèi)部通信的通信雙方使用兩條光纖進(jìn)行點對點的連接。每條光纖只向一個固定的方向傳輸數(shù)據(jù)，如圖1所示。

以節(jié)點1和節(jié)點2之間的連接為例：光纖12負(fù)責(zé)將數(shù)據(jù)從節(jié)點1發(fā)送到節(jié)點2，而光纖21負(fù)責(zé)將數(shù)據(jù)從節(jié)點2發(fā)送到節(jié)點1。

圖1　點對點通信

通信接口設(shè)計一個通信模塊和一個處理模塊。通信模塊將收到的數(shù)據(jù)寫入雙端口RAM，處理模塊則從中讀取已寫入的數(shù)據(jù)。與之類似，處理模塊也可以將數(shù)據(jù)寫入雙端口RAM以供通信模塊讀取和傳輸，如圖2所示。

圖2　安全級內(nèi)部通信隔離

雙口RAM劃分為兩大數(shù)據(jù)區(qū)域，每一數(shù)據(jù)區(qū)域只允許一方寫操作。即要么是處理模塊可讀，通信模塊可寫；要么是處理模塊可寫，通信模塊可讀，杜絕雙方同時具備可寫訪問權(quán)限情況。雙方的讀寫周期是完全獨立而且異步的，不需要等待另一方的讀寫操作完成，因此，任何一個模塊的確定周期都不會被中斷。

GB/T 34040—2017/IEC 61784-3：2016《工業(yè)通信網(wǎng)絡(luò)功能安全現(xiàn)場總線行規(guī)通用規(guī)則和行規(guī)定義》中定義了工業(yè)通信網(wǎng)絡(luò)用來檢測通信系統(tǒng)的確定性錯誤和失效的通用措施。并指出“對于已定義的可能錯誤，至少有一個相應(yīng)的安全措施或安全措施的組合”[4]。通過在協(xié)議中加入校驗方法，只有通過校驗的數(shù)據(jù)才認(rèn)為是有效的，異常數(shù)據(jù)將被拒絕并且不會被寫入雙端口RAM。同時參考NASPIC平臺中的NASBUS功能安全通信選用的序列、時間窗口、源目的地址關(guān)系和CRC作為處理通信過程中的錯誤[5]。設(shè)計使用的協(xié)議故障診斷措施（見表1）如下：

（1）序列號：協(xié)議的每一幀協(xié)議均包含該幀數(shù)據(jù)所屬報文的序列號，以及其在該報文中的幀序列號，該字段比較像計數(shù)器，在每周期都會加1，它的值范圍是［0，0xFFFF］。

表1　協(xié)議故障診斷措施

（2）時間期望：在周期運行過程中，模塊以及對方連接的模塊的周期是固定已知的，通過報文序列號（sequence number）和模塊的周期便可以知道相鄰接收到的報文之間的間隔時間，一旦超時，則上報錯誤。

（3）連續(xù)鑒別：目的地址和源地址身份驗證。

（4）數(shù)據(jù)完整性驗證：32位CRC數(shù)據(jù)完整性校驗。

（5）帶交叉校驗的冗余：冗余通信數(shù)據(jù)比較。

錯誤檢查和處理過程描述如下：

1）本周期接收到了數(shù)據(jù)包；

2）驗證CRC的正確性；

3）檢查序列號，通過分析序列號是否在上一周期的基礎(chǔ)上增加了1。連續(xù)3周期沒有接收到數(shù)據(jù)包，視為超過時間期望；

4）連續(xù)鑒別檢查數(shù)據(jù)包的目的地址和源地址是否正確；

5）檢查兩路發(fā)送的數(shù)據(jù)都接收到了；

6）獲取到2包數(shù)據(jù)后，比對接收到的數(shù)據(jù)是否一致。

此外，雙端口RAM的數(shù)據(jù)結(jié)構(gòu)是預(yù)定義的，用來寫入數(shù)據(jù)的存儲位置也是預(yù)定義而且固定不變的。由于這些存儲位置不受應(yīng)用軟件和參數(shù)設(shè)置的影響，所以通信數(shù)據(jù)不會被寫入預(yù)期之外的區(qū)域。

2.2　安全級系統(tǒng)與非安全級系統(tǒng)之間通信

如圖3所示，安全級系統(tǒng)與非安全級系統(tǒng)之間采用多節(jié)點通信的方式以應(yīng)對大容量數(shù)據(jù)的傳輸。多節(jié)點通信網(wǎng)絡(luò)采用雙環(huán)形拓?fù)浣Y(jié)構(gòu)，包括外環(huán)和內(nèi)環(huán)兩條數(shù)據(jù)路徑，如圖3所示（節(jié)點1、節(jié)點5、節(jié)點6為安全級設(shè)備，節(jié)點2、節(jié)點3、節(jié)點4為非安全級設(shè)備）。環(huán)上的數(shù)據(jù)分別按順時針和逆時針單向傳輸，不支持路由和動態(tài)拓?fù)?。多?jié)點通信網(wǎng)絡(luò)的通信節(jié)點由多節(jié)點通信模塊和光旁路器構(gòu)成。

這種雙環(huán)形拓?fù)渫瑫r實現(xiàn)了鏈路冗余和數(shù)據(jù)冗余，使得整個網(wǎng)絡(luò)對單一鏈路和單一節(jié)點故障具有容錯機(jī)制。當(dāng)節(jié)點1和節(jié)點2之間的（1條或2條）鏈路故障時，任一節(jié)點發(fā)送的數(shù)據(jù)仍可到達(dá)其他所有節(jié)點。多節(jié)點通信網(wǎng)絡(luò)具有故障節(jié)點旁路機(jī)制，當(dāng)某一節(jié)點故障或維護(hù)時，光旁路器可將本節(jié)點從環(huán)形網(wǎng)絡(luò)中旁路，環(huán)路中的其余節(jié)點均通過光旁路器與相鄰?fù)ㄐ殴?jié)點連接構(gòu)成環(huán)形網(wǎng)絡(luò)。如在節(jié)點2故障時（如電源掉電），節(jié)點2的光旁路器會自動旁路掉本節(jié)點的通信，使得整個多節(jié)點通信網(wǎng)絡(luò)仍然是完整的雙環(huán)形拓?fù)浣Y(jié)構(gòu)。同時，光旁路器本身采用故障安全設(shè)計，當(dāng)電源失電或診斷出自身異常時，光旁路器自動處于旁路狀態(tài)。

多節(jié)點通信模塊的雙端口RAM按照最大節(jié)點數(shù)目靜態(tài)分配為多個區(qū)域（包括本節(jié)點可寫區(qū)域和其他節(jié)點可寫區(qū)域）。其中，本節(jié)點可寫區(qū)域只允許本節(jié)點處理模塊可寫、通信模塊可讀；其他節(jié)點可寫區(qū)域只允許本節(jié)點通信模塊可寫、處理模塊可讀。當(dāng)某一節(jié)點被配置為只發(fā)送節(jié)點（下環(huán)數(shù)據(jù)為0）時，該節(jié)點通信模塊只過環(huán)其他節(jié)點的數(shù)據(jù)，但不下環(huán)任何數(shù)據(jù)到雙端口RAM。相反地，當(dāng)某一節(jié)點被配置為只接收節(jié)點（上環(huán)數(shù)據(jù)為0）時，該節(jié)點只過環(huán)其他節(jié)點的數(shù)據(jù)，不會將雙端口RAM中的數(shù)據(jù)發(fā)送到多節(jié)點通信網(wǎng)絡(luò)上。因此只需將安全級節(jié)點1、節(jié)點5、節(jié)點6配置為只發(fā)送節(jié)點，并將非安全級節(jié)點2、節(jié)點3、節(jié)點4配置為只接收節(jié)點，即可保證多節(jié)點通信網(wǎng)絡(luò)上多個安全級設(shè)備向非安全級設(shè)備傳輸數(shù)據(jù)的單向性。

節(jié)點的收發(fā)采用軟件配置的方式，為應(yīng)對配置失效，多節(jié)點通信模塊采用CRC校驗及Galpat法對模塊RAM進(jìn)行周期性檢測，一旦發(fā)現(xiàn)異常，將啟動光旁路器的節(jié)點旁路機(jī)制，徹底隔離非安全級節(jié)點。

安全級系統(tǒng)與非安全及系統(tǒng)通信完整性的校驗機(jī)制與安全級系統(tǒng)內(nèi)部通信相同，以確保通信數(shù)據(jù)本身的正確性。

光旁路器設(shè)置有手動旁路鑰匙開關(guān)，該鑰匙開關(guān)能夠切斷多節(jié)點通信模塊與通信環(huán)路的物理鏈路連接。從而保證環(huán)路上某一設(shè)備能夠從物理上徹底斷開網(wǎng)絡(luò)連接，以確保通信環(huán)路上其他安全級設(shè)備的安全運行。手動旁路狀態(tài)通過光旁路器上的指示燈顯示。

3　設(shè)計驗證和應(yīng)用

NicSys?8000N平臺是國內(nèi)首個具有完全自主知識產(chǎn)權(quán)的基于FPGA技術(shù)的核電安全級DCS控制系統(tǒng)平臺，該平臺通信系統(tǒng)采用了本通信隔離設(shè)計方案。

為了進(jìn)一步驗證本通信隔離方案在實際應(yīng)用中的功能和性能，以參考電廠反應(yīng)堆保護(hù)系統(tǒng)為設(shè)計輸入搭建了基于NicSys?8000N平臺的RPS工程樣機(jī)，結(jié)構(gòu)如圖4所示。

保護(hù)組之間通過點對點通信來傳送變量保護(hù)觸發(fā)信號以完成邏輯表決，之后保護(hù)組輸出局部停堆信號。此部分通信為安全級系統(tǒng)內(nèi)部通信，通信雙方通過光纖連接實現(xiàn)電氣隔離，通過點對點通信模塊之間的通信協(xié)議以及通信模塊與處理模塊之間的雙口RAM來實現(xiàn)保護(hù)組之間的通信隔離。

每個保護(hù)列中還包括兩個傳輸單元（TU1和TU2），作為與非安全級（NC）系統(tǒng)的通信隔離單元，經(jīng)由網(wǎng)關(guān)NC-GW（NC-GWA和NC-GWB）發(fā)送主控室顯示報警或信號指示等。通過TU1/TU2的多節(jié)點通信模塊中的通信協(xié)議以及與其處理模塊之間的雙口RAM來保證TU1/TU2與網(wǎng)關(guān)之間的通信隔離。

圖4　RPS工程樣機(jī)架構(gòu)

網(wǎng)關(guān)NC-GWA和NC-GWB分別位于保護(hù)列A和保護(hù)列B中，互為冗余。完成與非安全級系統(tǒng)的通信協(xié)議轉(zhuǎn)換功能，TU與網(wǎng)關(guān)，網(wǎng)關(guān)與非安全級系統(tǒng)間為單向通信。

經(jīng)過對樣機(jī)長達(dá)1年多全面的部件測試、集成測試和系統(tǒng)測試，結(jié)果表明RPS工程樣機(jī)的功能和性能均滿足反應(yīng)堆保護(hù)系統(tǒng)規(guī)格書的要求。同時，NicSys?8000N平臺的開發(fā)、設(shè)計、驗證和確認(rèn)通過了由國際原子能機(jī)構(gòu)組織的來自美國、法國、匈牙利和烏克蘭等國家核電領(lǐng)域?qū)＜议_展的獨立工程評審，IAEA專家認(rèn)為“NicSys?8000N平臺的設(shè)計符合IAEA安全指南SSG–39的相關(guān)要求”[6]。

4　結(jié)論

通信隔離源于核電廠安全級控制系統(tǒng)對獨立性的設(shè)計要求。本設(shè)計針對核電站安全級數(shù)字化控制系統(tǒng)的兩種通信方式，提出一種滿足安全級DCS通信要求的通信隔離設(shè)計方案。

通過典型工程樣機(jī)的搭建驗證了本設(shè)計方案能夠滿足反應(yīng)堆保護(hù)系統(tǒng)需求規(guī)格書的要求，相關(guān)設(shè)計得到國際原子能專家的認(rèn)可。

在未來的長期運行中仍需要收集其穩(wěn)定性和可靠性運行數(shù)據(jù)，為后續(xù)工程應(yīng)用奠定基礎(chǔ)。

［1］ 魯超，等．核電廠安全級DCS系統(tǒng)獨立性設(shè)計［J］．核科學(xué)與工程，2012，32：233

［2］ UNITED STATES NUCLEAR REGULATORY COMMISSION. Highly-Integrated Control Rooms-Communications Issues（HICRc）：DI&C-ISG-04-Revision1［S］．Task Working Group #4，2009．

［3］ 國家能源局．核電廠安全重要儀表和控制系統(tǒng)總體要求：NB/T 20026—2014［S］．北京：核工業(yè)標(biāo)準(zhǔn)化研究所，2015：17-33．

［4］ 中國國家標(biāo)準(zhǔn)化管理委員會. 工業(yè)通信網(wǎng)絡(luò)功能安全現(xiàn)場總線行規(guī)通用規(guī)則和行規(guī)定義：GB/T 34040— 2017/IEC 61784-3—2016［S］．北京：中國標(biāo)準(zhǔn)出版社，2017：15．

［5］ 董長龍，等．核電廠安全級DCS功能安全通信研究與分析［J］．上海交通大學(xué)學(xué)報，2018，52：82.

［6］ INTERNATIONAL ATOMIC ENERGY AGENCY，IAEA REVIEW OF THE NICSYS?8000N SAFETY CLASS I&C PLATFORM DESIGNED BY CNCS［R］．IAEA DEPARTMENT OF NUCLEAR ENERGY，DIVISION OF NUCLEAR POWER，2016．

The Communication Isolation Design of the Safety Digital I&C System in NPP

ZHANG Yuan，CUI Zepeng，SUN Wu，ZHAO Bing

（China Nuclear Control System Engineering Co.，Ltd.，Beijing 100176，China）

TheI&C system of nuclear power plant, known as the “neural center” of nuclear power plant, is one of the most important parts of nuclear power plant, which directly affect the safe, reliable and stable operation of nuclear power plant. According to the safety system standard and the requirements of the reference nuclear power plant, this paper discusses on a communication isolation design for the safety digital I&C system of nuclear power plant. Based on the two common communication types, point-to-point communication and multi-node communication, a communication module independent of the controller is designed among the safety system internals or between the safety system and the non-safety system. This module is a safety device using asynchronous communication mechanism, customized dual port RAM and deterministic communication protocol. In addition, extra dual loop topology and node bypass mechanism are used in the multi-node communication to meet the safety communication isolation design requirements. The correctness and feasibility of this design in application are verified by the construction of the typical prototype and expert independence engineering review.

Communication independence; Safety system; Multi-node communication

TL48

A

0258-0918（2022）02-0329-06

2020-11-17

張源（1981—），男，河南開封人，工程師，碩士研究生，現(xiàn)從事核電安全級數(shù)字化控制系統(tǒng)設(shè)計及驗證相關(guān)研究