周 飛

(北京廣利核系統(tǒng)工程有限公司,北京 100094)

0 引言

核電站數(shù)字化保護(hù)系統(tǒng)控制層通信(以下簡稱“控制層通信”)為控制單元提供現(xiàn)場數(shù)據(jù)和保護(hù)輸出,需要具備高可靠性、安全性、獨(dú)立性、確定性和實(shí)時(shí)性等特點(diǎn)。這就要求控制層通信系統(tǒng)在通信機(jī)制、協(xié)議、拓?fù)浜驮O(shè)備實(shí)現(xiàn)等環(huán)節(jié)遵循一定的原則,并采用合適的技術(shù)。

控制層通信協(xié)議主要用于解決核電站保護(hù)系統(tǒng)中輸入/輸出(input/output,I/O)模塊與控制器之間的數(shù)據(jù)傳輸安全性和可靠性問題。核電站保護(hù)系統(tǒng)通常由國外廠家提供,比如德國的TXS系統(tǒng)、美國的Common Q系統(tǒng)和日本的MELTAC系統(tǒng)。同時(shí),現(xiàn)有工業(yè)控制領(lǐng)域的控制層通信協(xié)議通常具有握手機(jī)制、通信幀長度不固定、通信周期不確定等特點(diǎn),無法滿足核電站數(shù)字化保護(hù)系統(tǒng)的確定性、可靠性、獨(dú)立性和實(shí)時(shí)性要求。

本文設(shè)計(jì)的控制層通信協(xié)議采用了基于狀態(tài)、通信周期固定、通信鏈路冗余、只傳輸固定的數(shù)據(jù)集、幀長度和格式固定等方式,滿足了確定性、可靠性、獨(dú)立性和實(shí)時(shí)性要求。

本文設(shè)計(jì)的控制層通信協(xié)議已經(jīng)通過德國TüV認(rèn)證機(jī)構(gòu)ISTEC公司的安全審查,所涉及板卡已經(jīng)通過相關(guān)電磁兼容性(electro magnetic compatibility,EMC)測(cè)試。該協(xié)議已成功應(yīng)用于國內(nèi)核電站的PX泵房系統(tǒng)、堆芯溫度測(cè)量系統(tǒng)和試驗(yàn)堆的控制保護(hù)系統(tǒng)。

1 法規(guī)、標(biāo)準(zhǔn)要求與特點(diǎn)

1.1 法規(guī)和標(biāo)準(zhǔn)要求

核電廠安全法規(guī)和標(biāo)準(zhǔn)是進(jìn)行核電站數(shù)字化保護(hù)系統(tǒng)設(shè)計(jì)的重要依據(jù)。其頂層是國家立法機(jī)關(guān)制訂的法律;其次是政府制訂的法規(guī);接著是國家及行業(yè)標(biāo)準(zhǔn);最后是企業(yè)制訂的核電企業(yè)標(biāo)準(zhǔn)[1]。

通過分析法規(guī)和標(biāo)準(zhǔn)得出的核電站數(shù)字化保護(hù)系統(tǒng)通信標(biāo)準(zhǔn)依據(jù)如圖1所示。

圖1 通信標(biāo)準(zhǔn)依據(jù)

第一層為核安全級(jí)儀控系統(tǒng)總體要求。核電站安全級(jí)系統(tǒng)通信網(wǎng)絡(luò)的設(shè)計(jì)從頂層遵循國際原子能機(jī)構(gòu)(International Atomic Energy Agency,IAEA)、電氣與工程師協(xié)會(huì)(Institute of Electrical and Electronics Engineering,IEEE)關(guān)于核動(dòng)力廠安全規(guī)定和導(dǎo)則等文件的指導(dǎo)思想[2]。

第二層為核電廠安全重要儀控系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)。在頂層標(biāo)準(zhǔn)的指導(dǎo)下,核電站安全級(jí)網(wǎng)絡(luò)產(chǎn)品的實(shí)現(xiàn)需要滿足一系列核電廠安全重要儀控系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)。

第三層為核安全級(jí)數(shù)據(jù)通信標(biāo)準(zhǔn)。IEC 61513對(duì)核電廠數(shù)據(jù)通信提出了總體的要求。IEC 61500對(duì)其進(jìn)行了細(xì)化,結(jié)合基礎(chǔ)標(biāo)準(zhǔn)介紹了核電廠執(zhí)行A類功能通信系統(tǒng)的具體要求[3]。

第四層為NRC相關(guān)審查和設(shè)計(jì)指導(dǎo)。DI&C-ISG-04、NUGER-CR-6082等描述了核電站安全級(jí)通信網(wǎng)絡(luò)的審查和設(shè)計(jì)指導(dǎo),對(duì)安全級(jí)通信網(wǎng)絡(luò)的設(shè)計(jì)和實(shí)現(xiàn)具有很高的指導(dǎo)價(jià)值。

1.2 控制層通信的特點(diǎn)

通過對(duì)以上核電標(biāo)準(zhǔn)的分析可知,控制層通信需要滿足確定性、可靠性、獨(dú)立性和實(shí)時(shí)性的要求。

1.2.1 確定性

IEC 61500要求確定性的通信系統(tǒng)應(yīng)該保證從通信信道傳來的儀表或其他設(shè)備的消息在指定的時(shí)間內(nèi)與數(shù)據(jù)的完整性狀態(tài)信息(如存在)被發(fā)送或接收[4]。

控制層通信要滿足以下要求。

①無論應(yīng)用數(shù)據(jù)是否已經(jīng)發(fā)生變化,消息應(yīng)該在1個(gè)預(yù)先定義的、固定的循環(huán)時(shí)間內(nèi)進(jìn)行周期性的傳輸。也就是說,控制層通信應(yīng)采用基于狀態(tài)的通信機(jī)制。

②通信信道不應(yīng)在系統(tǒng)運(yùn)行時(shí)進(jìn)行動(dòng)態(tài)分配,而應(yīng)在設(shè)計(jì)時(shí)進(jìn)行預(yù)先定義和靜態(tài)分配。

③消息應(yīng)具有預(yù)先設(shè)計(jì)好的固定長度,且消息的組成也應(yīng)是確定的。在設(shè)計(jì)通信機(jī)制與通信協(xié)議時(shí)要保證在通信過程中或在消息通過通信設(shè)備時(shí)發(fā)生的任何延時(shí)都是可知、可約束的。

④應(yīng)該保證通信相應(yīng)時(shí)間、通信速率、通信負(fù)荷,以及通信過程中可能的通信錯(cuò)誤、錯(cuò)誤狀態(tài)以及錯(cuò)誤輸出具有確定性。

1.2.2 可靠性

IEC 61500針對(duì)自檢測(cè)和容錯(cuò),從通信故障檢測(cè)、失效響應(yīng)、測(cè)試和故障預(yù)防這4個(gè)方面說明了通信系統(tǒng)的可靠性。

一般而言,提高系統(tǒng)的可靠性主要有3種途徑:首先是簡化系統(tǒng)的設(shè)計(jì),減少可能出錯(cuò)的點(diǎn);其次是采取容錯(cuò)措施;最后是構(gòu)成系統(tǒng)的設(shè)備執(zhí)行自檢測(cè)和對(duì)系統(tǒng)進(jìn)行定期試驗(yàn)。

可靠性指標(biāo)是對(duì)核安全級(jí)網(wǎng)絡(luò)可靠性的總體量化描述。通信系統(tǒng)作為控制保護(hù)系統(tǒng)的組成部分,其可靠性要求來源于系統(tǒng)整體可靠性的分解。因此,控制層通信的可靠性指標(biāo)要求應(yīng)與整個(gè)控制保護(hù)系統(tǒng)的可靠性要求一致。

1.2.3 獨(dú)立性

IEC 60709對(duì)物理分隔的要求為:故障不能從設(shè)備的一部分傳播到另一部分,或是另一系統(tǒng)[5]。

1.2.4 實(shí)時(shí)性

IEC 61500要求核安全級(jí)網(wǎng)絡(luò)的數(shù)據(jù)通信通道應(yīng)該提供充分的性能,以保證從任意通信節(jié)點(diǎn)發(fā)出的任何消息都能在一定的時(shí)間限制內(nèi)被預(yù)期的目標(biāo)節(jié)點(diǎn)正確地接收到。因此,控制層通信在實(shí)時(shí)性方面要滿足以下要求。

①網(wǎng)絡(luò)在配置完成后,應(yīng)能夠計(jì)算出在正常運(yùn)行、異常和故障情況下網(wǎng)絡(luò)的通信速率,并且通信速率指標(biāo)應(yīng)該考慮了錯(cuò)誤恢復(fù)、協(xié)議延遲和消息組成的影響。

②響應(yīng)時(shí)間對(duì)滿足安全系統(tǒng)的整體性能至關(guān)重要,必須保證網(wǎng)絡(luò)在最壞情況下的響應(yīng)時(shí)間也要滿足安全系統(tǒng)的性能要求。

③任何通信系統(tǒng)都必然存在時(shí)延。時(shí)延通常包括傳輸時(shí)延、傳播時(shí)延、處理時(shí)延和排隊(duì)時(shí)延這4個(gè)部分。網(wǎng)絡(luò)需要保證數(shù)據(jù)在傳輸過程或是通過通信設(shè)備時(shí)發(fā)生的任何時(shí)延都是可知、可約束的,即滿足最壞響應(yīng)時(shí)間要求。

④吞吐量描述單位時(shí)間內(nèi)通過網(wǎng)絡(luò)的數(shù)據(jù)量,能夠體現(xiàn)網(wǎng)絡(luò)的數(shù)據(jù)傳輸能力。但吞吐量指標(biāo)應(yīng)該把接口、操作系統(tǒng)和通信協(xié)議的開銷和性能剔除出去,否則單純的吞吐量指標(biāo)無法真實(shí)體現(xiàn)網(wǎng)絡(luò)實(shí)際的數(shù)據(jù)傳輸能力。

2 控制層通信協(xié)議的制定

2.1 通信機(jī)制

為了滿足確定性和獨(dú)立性,控制層通信采用點(diǎn)對(duì)點(diǎn)通信設(shè)計(jì),1個(gè)主節(jié)點(diǎn)最多和12個(gè)從節(jié)點(diǎn)通信。控制層通信協(xié)議拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 控制層通信協(xié)議拓?fù)浣Y(jié)構(gòu)

控制層通信包括了主通信節(jié)點(diǎn)、控制層通信管理和從通信節(jié)點(diǎn)。其中,每個(gè)從通信節(jié)點(diǎn)都由1個(gè)控制信號(hào)進(jìn)行控制。當(dāng)主節(jié)點(diǎn)向下發(fā)送數(shù)據(jù)時(shí),控制層通信管理會(huì)解析數(shù)據(jù),并能對(duì)應(yīng)從通信節(jié)點(diǎn)的控制信號(hào)。從通信節(jié)點(diǎn)在判斷控制信號(hào)有效后,需要在固定時(shí)間內(nèi)向控制層通信管理發(fā)送數(shù)據(jù)。在接收到數(shù)據(jù)后,控制層通信管理會(huì)將數(shù)據(jù)發(fā)送給主通信節(jié)點(diǎn)。在超過固定的時(shí)間后,主通信節(jié)點(diǎn)無論是否接收到從通信節(jié)點(diǎn)的數(shù)據(jù),都會(huì)向下個(gè)從通信節(jié)點(diǎn)發(fā)起通信。

2.2 協(xié)議層次劃分

為了提升控制層通信協(xié)議的可靠性,控制層通信協(xié)議僅使用了物理層、通信鏈路層和通信應(yīng)用層;同時(shí),采用了點(diǎn)對(duì)點(diǎn)連接,不使用中繼和路由等裝置。

控制層通信協(xié)議與國際標(biāo)準(zhǔn)化組織(International Organization for Standardization,ISO)/開放系統(tǒng)互聯(lián)(open system interconnection,OSI)標(biāo)準(zhǔn)網(wǎng)絡(luò)模型的對(duì)應(yīng)關(guān)系如圖3所示。

圖3 控制層通信協(xié)議與ISO/OSI標(biāo)準(zhǔn)網(wǎng)絡(luò)模型的對(duì)應(yīng)關(guān)系

2.2.1 物理層

為了滿足實(shí)時(shí)性的要求,控制層通信協(xié)議物理層基于IEEE 802.3標(biāo)準(zhǔn),通信帶寬固定為100 Mbit/s,通信方式為全雙工。

2.2.2 數(shù)據(jù)鏈路層

為了滿足確定性的要求,控制層通信協(xié)議的數(shù)據(jù)鏈路層的主節(jié)點(diǎn)和從節(jié)點(diǎn)均采用定長幀的結(jié)構(gòu)?？刂茖油ㄐ艆f(xié)議數(shù)據(jù)鏈路層的數(shù)據(jù)幀格式如下。

通信協(xié)議數(shù)據(jù)鏈路層數(shù)據(jù)幀包括目的地址、源地址、長度標(biāo)識(shí)、應(yīng)用層數(shù)據(jù)和幀校驗(yàn)序列(frame check sequence,FCS)。應(yīng)用層的數(shù)據(jù)包括主從節(jié)點(diǎn)報(bào)文序號(hào)、冗余標(biāo)識(shí)、配置信息、狀態(tài)信息、數(shù)據(jù)和校驗(yàn)。

2.2.3 應(yīng)用層

控制層通信協(xié)議的應(yīng)用層數(shù)據(jù)報(bào)文格式有2種,分別為從節(jié)點(diǎn)發(fā)送、主節(jié)點(diǎn)接收的數(shù)據(jù)報(bào)文,以及主節(jié)點(diǎn)發(fā)送、從節(jié)點(diǎn)接收的數(shù)據(jù)報(bào)文。這2種數(shù)據(jù)報(bào)文采用相同的長度。應(yīng)用層數(shù)據(jù)采用16位的循環(huán)冗余校驗(yàn)(cyclic redundancy check,CRC),以確保數(shù)據(jù)的正確性。

2.3 上下行數(shù)據(jù)報(bào)文

2.3.1 下行數(shù)據(jù)報(bào)文

控制層通信協(xié)議的下行數(shù)據(jù)報(bào)文包括目的地址、源地址、協(xié)議長度標(biāo)識(shí)、應(yīng)用層數(shù)據(jù)和FCS。下行數(shù)據(jù)報(bào)文中應(yīng)用層數(shù)據(jù)格式包括主節(jié)點(diǎn)報(bào)文序號(hào)、冗余狀態(tài)、配置信息、主節(jié)點(diǎn)報(bào)文序號(hào)、輸出數(shù)據(jù)和校驗(yàn)。下行數(shù)據(jù)報(bào)文格式如圖4所示。

圖4 下行數(shù)據(jù)報(bào)文格式

①主節(jié)點(diǎn)報(bào)文序號(hào)。

主節(jié)點(diǎn)報(bào)文序號(hào)是1個(gè)初始值為0的16位無符號(hào)數(shù),范圍是0到0xFFFF(十六進(jìn)制)。主節(jié)點(diǎn)每發(fā)送1幀數(shù)據(jù),對(duì)此序號(hào)循環(huán)加1;當(dāng)序號(hào)為0xFFFF(十六進(jìn)制)時(shí),則翻轉(zhuǎn)為0。報(bào)文序號(hào)反映主節(jié)點(diǎn)數(shù)據(jù)處于更新狀態(tài)。使從節(jié)點(diǎn)利用該狀態(tài)信息來診斷主節(jié)點(diǎn)數(shù)據(jù)的連續(xù)性。

②冗余狀態(tài)。

主節(jié)點(diǎn)應(yīng)該通過控制層通信協(xié)議發(fā)送冗余狀態(tài)信息,使從節(jié)點(diǎn)能夠識(shí)別冗余的配置情況、主從機(jī)的狀態(tài)標(biāo)識(shí)。

③配置信息。

為支持從節(jié)點(diǎn)熱插拔功能,控制層通信協(xié)議提供每個(gè)I/O板卡的配置信息。配置信息是主節(jié)點(diǎn)根據(jù)工程師站組態(tài)生成的,配置信息包括設(shè)備身份標(biāo)識(shí)(identity,ID)、固件版本號(hào)、設(shè)備類型描述、I/O故障安全值、主節(jié)點(diǎn)周期運(yùn)行時(shí)間和冗余切換時(shí)間。

④主節(jié)點(diǎn)狀態(tài)。

主節(jié)點(diǎn)狀態(tài)包括冗余狀態(tài)、網(wǎng)絡(luò)狀態(tài)、周期運(yùn)行超時(shí)狀態(tài)、定時(shí)器狀態(tài)、看門狗狀態(tài)、只讀存儲(chǔ)器(read-only memory,ROM)狀態(tài)、隨機(jī)存取存儲(chǔ)器(random access memory,RAM)狀態(tài)和中央處理器(central processing unit,CPU)狀態(tài)。

⑤輸出數(shù)據(jù)。

輸出數(shù)據(jù)為主節(jié)點(diǎn)傳輸給從節(jié)點(diǎn)的應(yīng)用數(shù)據(jù)。數(shù)據(jù)的內(nèi)容可根據(jù)用戶情況進(jìn)行自定義。

2.3.2 上行數(shù)據(jù)報(bào)文

控制層通信協(xié)議的上行數(shù)據(jù)報(bào)文包括目的地址、源地址、協(xié)議長度標(biāo)識(shí)、應(yīng)用層數(shù)據(jù)和FCS。

上行數(shù)據(jù)報(bào)文中應(yīng)用層數(shù)據(jù)格式包括從節(jié)點(diǎn)報(bào)文序號(hào)、標(biāo)識(shí)信息、從節(jié)點(diǎn)狀態(tài)、采集數(shù)據(jù)和校驗(yàn)。

上行數(shù)據(jù)報(bào)文格式如圖5所示。

圖5 上行數(shù)據(jù)報(bào)文格式

①從節(jié)點(diǎn)報(bào)文序號(hào)。

從節(jié)點(diǎn)報(bào)文序號(hào)是1個(gè)初始值為1的16位無符號(hào)數(shù)。從節(jié)點(diǎn)每周期對(duì)此序號(hào)循環(huán)加1;當(dāng)序號(hào)為0xFFFF(十六進(jìn)制)時(shí),則翻轉(zhuǎn)為0。報(bào)文序號(hào)反映從節(jié)點(diǎn)數(shù)據(jù)處于更新狀態(tài)。主節(jié)點(diǎn)利用該狀態(tài)信息來診斷從節(jié)點(diǎn)通信數(shù)據(jù)的連續(xù)性。

②標(biāo)識(shí)信息。

標(biāo)識(shí)信息包括設(shè)備ID、固件版本號(hào)、設(shè)備類型描述、I/O故障安全值。

③從節(jié)點(diǎn)狀態(tài)。

從節(jié)點(diǎn)狀態(tài)信息為4 B,包括冗余狀態(tài)、設(shè)備類型、固件版本狀態(tài)、周期運(yùn)行超時(shí)狀態(tài)、定時(shí)器狀態(tài)、看門狗狀態(tài)、ROM狀態(tài)、RAM狀態(tài)、CPU狀態(tài)、主節(jié)點(diǎn)診斷從節(jié)點(diǎn)的狀態(tài)。

④采集數(shù)據(jù)

采集數(shù)據(jù)為從節(jié)點(diǎn)傳輸給主節(jié)點(diǎn)的應(yīng)用數(shù)據(jù),數(shù)據(jù)的內(nèi)容可根據(jù)用戶情況進(jìn)行自定義。

2.4 通信流程

為了滿足獨(dú)立性的要求,控制層通信雙方無握手確認(rèn)信號(hào),強(qiáng)調(diào)基于狀態(tài)的傳輸,而非基于事件的傳輸?？刂茖油ㄐ诺膫鬏旊p方的收發(fā)是獨(dú)立的,并不以對(duì)方的要求而發(fā)送數(shù)據(jù)。

2.4.1 數(shù)據(jù)上行通信的建立

由于控制層通信是基于狀態(tài)的傳輸,無握手確認(rèn)信號(hào),上行通信時(shí),從節(jié)點(diǎn)在周期通信流程中只發(fā)送數(shù)據(jù);相反,主節(jié)點(diǎn)在周期通信流程只接收數(shù)據(jù)。當(dāng)主節(jié)點(diǎn)接收的數(shù)據(jù)與協(xié)議約定的一致,則從節(jié)點(diǎn)發(fā)送數(shù)據(jù)、主節(jié)點(diǎn)接收數(shù)據(jù)通信建立。

2.4.2 數(shù)據(jù)下行通信的建立

下行通信時(shí),主節(jié)點(diǎn)在周期通信流程中只發(fā)送數(shù)據(jù),而從節(jié)點(diǎn)在周期通信流程中只接收數(shù)據(jù)。當(dāng)從節(jié)點(diǎn)接收的數(shù)據(jù)與協(xié)議約定的一致,則主節(jié)點(diǎn)發(fā)送數(shù)據(jù)、從節(jié)點(diǎn)接收數(shù)據(jù)通信建立。

3 控制層通信的故障處理

控制層通信系統(tǒng)的通信周期固定、只傳輸固定的數(shù)據(jù)集、幀長度和格式,保證了通信的確定性;采用基于狀態(tài)、無握手的通信機(jī)制,保證了通信的實(shí)時(shí)性;通信鏈路冗余和通信設(shè)備自診斷,保證了通信的安全性和可靠性。在這些原則的約束下,控制層通信協(xié)議能夠檢測(cè)到常見的通信故障并進(jìn)行處理。

3.1 常見的故障

從典型通信系統(tǒng)模型可知,發(fā)信機(jī)、傳輸介質(zhì)和收信機(jī)是通信系統(tǒng)的核心組成部分。根據(jù)錯(cuò)誤引入的環(huán)節(jié),可以把通信錯(cuò)誤分為收發(fā)器錯(cuò)誤、通信傳輸錯(cuò)誤和通信系統(tǒng)集成錯(cuò)誤3類[6]。

3.1.1 收發(fā)器錯(cuò)誤

收發(fā)器相關(guān)錯(cuò)誤類型包括緩沖區(qū)溢出、數(shù)據(jù)超出范圍、消息錯(cuò)序、消息過早、編解碼錯(cuò)誤、非預(yù)期重復(fù)和亂發(fā)無用數(shù)據(jù)錯(cuò)誤。

3.1.2 通信傳輸錯(cuò)誤

通信傳輸錯(cuò)誤包含消息破損、錯(cuò)序、丟失、不可接受時(shí)延、錯(cuò)誤插入、偽裝、尋址錯(cuò)誤、廣播風(fēng)暴、不一致、抖動(dòng)和碰撞等。

3.1.3 通信系統(tǒng)集成錯(cuò)誤

通信系統(tǒng)集成引入的錯(cuò)誤包括網(wǎng)橋和路由器超長延時(shí)、發(fā)起通信超時(shí)和阻塞等。由于控制層通信系統(tǒng)不涉及此類錯(cuò)誤,本文協(xié)議不包含集成錯(cuò)誤的處理。

3.2 故障處理措施

控制層通信系統(tǒng)采用以下技術(shù)對(duì)常見通信錯(cuò)誤進(jìn)行檢測(cè)或處理。

3.2.1 序號(hào)

通信數(shù)據(jù)包中定義了1個(gè)遞增的數(shù)字,以標(biāo)識(shí)通信數(shù)據(jù)包在一系列數(shù)據(jù)包中的順序。如果接收方發(fā)現(xiàn)相鄰數(shù)據(jù)包中包含的數(shù)字沒有連續(xù)遞增(數(shù)字溢出回零需特殊處理),則可以判定發(fā)生了數(shù)據(jù)重復(fù)、錯(cuò)序、丟失或插入錯(cuò)誤。

3.2.2 時(shí)間戳

時(shí)間戳機(jī)制涉及系統(tǒng)各部件間的時(shí)間同步,而時(shí)間是共因因素。因此,控制層通信協(xié)議中不使用時(shí)間戳,而是采用消息序號(hào)與數(shù)據(jù)發(fā)送周期計(jì)數(shù)對(duì)比的方法來間接實(shí)現(xiàn)時(shí)間戳檢查。

3.2.3 消息時(shí)限

消息接收方只接收在約定時(shí)間內(nèi)到達(dá)的信息。消息接收方對(duì)于超過時(shí)限的消息棄用或標(biāo)識(shí)為無用。消息時(shí)限可以檢測(cè)出消息發(fā)生不可接收延遲和丟失錯(cuò)誤。

3.2.4 源/目標(biāo)識(shí)別

數(shù)據(jù)包中設(shè)計(jì)有發(fā)送源地址和目標(biāo)地址的信息。地址信息在整個(gè)網(wǎng)絡(luò)范圍內(nèi)是唯一的。源/目標(biāo)識(shí)別碼可以檢測(cè)出消息插入和尋址錯(cuò)誤。如果發(fā)現(xiàn)源/目標(biāo)地址不匹配,除了丟棄此數(shù)據(jù)包以外,還可以進(jìn)行錯(cuò)誤記錄和報(bào)警。

3.2.5 應(yīng)答消息

控制層通信系統(tǒng)為了實(shí)現(xiàn)通信隔離,采用異步通信方式,即數(shù)據(jù)發(fā)送方不等待接收方的反饋,以實(shí)現(xiàn)接收方故障不會(huì)蔓延到發(fā)送方的目的。接收方以較短的周期向發(fā)送方發(fā)送自身的通信狀態(tài)信息。數(shù)據(jù)發(fā)送方不依賴這些信息執(zhí)行通信功能,僅作錯(cuò)誤記錄和執(zhí)行診斷功能。

3.2.6 校驗(yàn)碼

控制層通信協(xié)議的數(shù)據(jù)包中增加了16位CRC校驗(yàn)碼,對(duì)數(shù)據(jù)幀和應(yīng)用數(shù)據(jù)分別進(jìn)行了校驗(yàn),以表示數(shù)據(jù)的一致性。校驗(yàn)碼可以檢測(cè)消息破損、錯(cuò)誤插入、數(shù)據(jù)錯(cuò)序等錯(cuò)誤?？刂茖油ㄐ艆f(xié)議中將直接丟棄無法通過校驗(yàn)的數(shù)據(jù)。

3.2.7 冗余

控制層通信系統(tǒng)要求通信鏈路的冗余,因此無需采用數(shù)據(jù)冗余。

根據(jù)以上分析,控制層通信系統(tǒng)故障類型及處理措施如表1所示。表1中:●表示針對(duì)發(fā)生的故障類型所采取的檢測(cè)和防御措施[7]。

表1 通信系統(tǒng)故障類型及處理措施

4 結(jié)論

本文設(shè)計(jì)了一種用于核電站數(shù)字化保護(hù)系統(tǒng)的安全級(jí)控制層通信協(xié)議。該協(xié)議采用固定的通信周期、數(shù)據(jù)包格式和長度,滿足了確定性要求。該協(xié)議使用點(diǎn)對(duì)點(diǎn)連接,根據(jù)IEC 61500分析了所有可能發(fā)生故障的類型,并且給出了相應(yīng)的處理措施,以滿足可靠性的要求。通信雙方無握手確認(rèn)信號(hào),強(qiáng)調(diào)基于狀態(tài)的傳輸,而非基于事件的傳輸?？刂茖油ㄐ艆f(xié)議的傳輸雙方的收發(fā)是獨(dú)立的,并不以對(duì)方的請(qǐng)求而發(fā)送數(shù)據(jù)等。因此,任一節(jié)點(diǎn)故障不會(huì)影響其他節(jié)點(diǎn)的正常通信。這滿足了獨(dú)立性要求。

本文通信協(xié)議已經(jīng)通過權(quán)威機(jī)構(gòu)認(rèn)證,所涉及的硬件產(chǎn)品已經(jīng)通過核安全級(jí)設(shè)備的鑒定,并成功應(yīng)用于大亞灣的堆芯測(cè)量系統(tǒng)、高溫氣冷堆保護(hù)系統(tǒng)、陽江5#和6#機(jī)組保護(hù)系統(tǒng)、紅沿河5#和6#機(jī)組保護(hù)系統(tǒng)、田灣5#和6#機(jī)組保護(hù)系統(tǒng)、防城港3#和4#機(jī)組保護(hù)系統(tǒng)。