今日頭條
官方微信
官方抖音
案例頻道摘要:通信系統是核安全級儀控系統重要的技術組成部分,其負責系統內各子系統之間的通信,對整個系統的實時性、可靠性和安全性等有重要的影響。本文通過對核電標準及行業文獻的分析和解讀,歸納出核安全級通信網絡應該具有可靠、實時、安全、確定和獨立等特征要求,并基于這些要求設計和實現了一套基于逆向冗余雙環拓撲的通信網絡(稱為FirmNet)及產品,目前FirmNet網絡已應用于國內多家核電廠反應堆控制保護系統中。相關分析和設計對于研制核安全級通信網絡具有很高的參考價值。
關鍵詞:核電廠;核安全級儀控系統;通信系統
Abstract: The communication system is an important technical component of nuclear safety level instrument control system, which is responsible for the communication among multiple subsystems of the integral system. It has an important impact on the real-time, reliability and safety of the whole system.
Based on the thorough analysis of nuclear power standard and literature, this paper concludes that the nuclear safety level communication networks should be reliable, real-time, safety, determination and independent. Casting on these basis requirements, we design and implement FirmNet, a reverse redundant loop topology. FirmNet has been employed in multiple domestic nuclear power plant reactor control and protection systems. The related analysis and design have a high reference value for developing nuclear safety level communication network.
Key words: Nuclear power plant; Nuclear safety instrument and control system; Communication system
1 引言
儀控系統是整個核電站的神經中樞系統,其中核安全級儀控系統主要用于實現控制核反應堆安全停堆、堆芯余熱排出,和(或)限制預計運行事件和事故工況后果的系統。核安全級儀控系統是保障核電站安全運行的第一道防線,該系統能否安全、可靠、實時地運行對核電站安全至關重要。
在核安全級儀控系統中,關鍵的通信網絡可以分為兩類:一類是冗余通道之間控制站之間的通信,主要傳輸用于反應堆跳堆表決邏輯的數據,這一部分通信一般采用點對點通信技術;另一類是整個保護系統內各控制站之間的通信,主要傳輸反應堆運行參數,控制系統狀態數據,人機接口數據等。
其中第二類通信是控制保護系統的骨架,對整個系統的可擴展性、實時性、可靠性、安全性有重要影響。
本文主要針對第二類通信系統進行分析和設計。通信架構如圖1所示。
核安全級通信網絡作為核電廠儀控系統的重要組成部分,其設計和設備研制除了遵守通信相關的核電標準還必須遵守核電廠儀控系統相關的一系列標準,另外,工業通信標準也具有重要的參考價值。
通過對一系列標準的分析和大量技術文獻的整理,我們總結出核安全級通信網絡應該具有五個關鍵的特性:可靠性、安全性、實時性、確定性和獨立性。
本文對五個特性進行了分析說明,并結合北京廣利核系統工程有限公司研制中國首個核安全級數字化控制保護系統通用平臺——FirmSys的實際工作,從構成通信系統的拓撲結構、通信介質、通信協議和通信設備等四個層面對如何實現這五個關鍵特性進行了闡述。
2 核安全級通信系統關鍵特征
通過對IEEE 7-4.3.2、IEEE 603、IEC 61513、IEC 61500等國際標準和NUREG/CR-6082、NUREG/CR-6991、DI&C-ISG-04等NRC審查指導文件的解讀可以發現,核安全級儀控系統對其通信系統有很多明確的要求和約束,其中對通信系統本身的要求可以歸納為以下幾個方面:
(1)可靠性
可靠性指通信系統在一定時間內,在正常和異常工況下無故障的完成通信功能的能力。一般來講,提高儀控系統的可靠性主要有三種途徑:一是簡化系統的設計,減少可能出錯的點;二是采取容錯措施;三是系統設備執行自檢測和對系統進行周期性試驗。
(2)安全性
安全性包括功能安全和信息安全兩方面的要求:功能安全指通信系統避免反應堆處在潛在危險或不穩定狀態的能力,核安全級通信系統故障不能以任何方式危害反應堆控制保護系統安全功能的執行。
通信系統在任何情況下都不得危害到反應堆控制保護系統的安全功能。信息安全指通信系統具有較強的防御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊的能力。反應堆控制保護系統必須按照安全分區,網絡專用,橫向隔離,縱向認證和綜合防護的原則進行安全防護。因此,除了支持安全分區,通信網絡必須做到網絡專用,并支持橫向隔離和縱向認證。
(3)確定性
確定性指在通信系統配置階段,就能夠精確計算出通信速率、通信延遲、吞吐量、通信負荷、數據更新時間等關鍵運行指標。
核安全級通信系統應該是基于狀態的通信,即按照固定的時間間隔發送固定的數據集,而不管數據是否發生變化。通信過程中消息的長度、構成、傳輸路徑、延遲、通信負荷等應該是不變的。
(4)實時性
實時性指通信系統在有限的時間內把過程數據或操作指令正確傳輸到目的地的能力。
核安全級通信系統應該提供充分的性能,以保證從任意通信節點發出的任何數據都可以在一定的時間限制內,被預期的目標結點正確接收到,即使在最壞的工況下也要滿足執行安全功能而要求實時性。
(5)獨立性
獨立性指通信系統應該滿足實體分離,電氣隔離,通信隔離和功能獨立。
數據通信不應依賴于接收方的確認消息。
不同安全等級的通信系統間通信時,數據通信應該由安全等級高的通信系統來掌控,并且數據應該是從高安全級別通信系統流向低安全級別通信系統,原則上安全等級低的通信系統不允許向安全等級高的通信系統發送數據。
3 核安全級通信系統設計
核安全級通信系統的關鍵特性主要是通過其拓撲結構、通信介質、通信協議和通信設備來體現的,每一個環節都能夠在不同的層面體現出一個或多個關鍵特性。
3.1 拓撲結構
在通信過程中,有動態和靜態兩類路由選擇策略。動態路由會增加通信時間的不確定性,而靜態路由有利于實現通信時間的確定性,所以核安全級通信網絡應該選擇靜態路由策略。
不同的拓撲結構能夠為網絡帶來不同的可靠性。比如總線型和星型拓撲能夠天然的保證單一網絡節點的故障不會影響到其他網絡節點的通信。而環型拓撲具有天然的通信鏈路冗余特性。
為提高通信的可靠性,核安全級通信網絡的通信鏈路要冗余,以保證一條鏈路故障時,數據仍然可以通過冗余鏈路進行傳輸。
3.2 通信介質
通信介質可以分為兩大類,導向傳輸介質和非導向通信介質,即有線和無線。核安全級通信網絡的通信介質屬于1E級裝置,考慮到實時性、可靠性、信息安全性等因素,在目前技術條件下不考慮無線通信介質。
目前較為成熟的有線通信介質主要有同軸電纜、雙絞線和光纖三種。同軸電纜和雙絞線帶寬低,信號傳輸距離短,對電磁干擾比較敏感,可以應用在短距離場合,如控制機柜內部。同軸電纜因為接口、體積、成本等原因,應用較少。相比較而言,光纖因其與生俱來的優點更適合應用在工業場合。
核安全級通信網絡的通信介質應該優先選擇光纖。
3.3 通信協議
通信協議是指通信實體完成通信或服務所必須遵循的規則和約定。協議定義了數據單元使用的格式,數據單元應該包含信息與含義、連接方式、信息發送和接收的時序,從而確保網絡中數據順利地傳送到確定的地方。
通信協議是通信網絡的靈魂,是通信系統中最復雜的部分,也最容易導致通信錯誤。本文從構成通信協議要素的服務、環境假設、編碼和過程規則等方面介紹核安全級網絡通信協議的設計特點,這些特點都直接或間接地體現了通信網絡的可靠性、安全性、獨立性和確定性要求。
(1)服務
核安全級通信協議應該堅持最簡化原則,只使用OSI參考模型中的三層,即物理層、數據鏈路層和應用層,并且僅提供必須的服務。
報警:通信協議在檢測到可能危害反應堆控制保護系統安全功能的錯誤或故障時,向通信系統的應用程序層發出報警。
自監視:自監視指通信協議能夠持續、自動地對整個通信系統的連通性、完整性和各類通信錯誤進行監視和統計,并且把監視結果和統計數據提供給應用程序層。
預定義輸出:預定義輸出指協議能夠在監測到嚴重的通信故障或數據錯誤時,固定輸出預定義數據的服務。
接入認證:在有通信節點請求接入核安全級通信系統時,必須使用通信協議的接入認證服務,只有通過嚴格認證的數據才允許進入通信系統傳輸。
隔離:隔離服務能夠把通信節點與應用層軟件之間的通信切斷,從而實現雙方的隔離。
(2)環境假設
鏈路冗余:核安全級通信系統應該提供冗余的鏈路,以確保一條鏈路出現故障時,通信仍然能夠正常進行。并且冗余的鏈路還可以幫助通信系統實現檢錯和排錯能力。
靜態路由:核安全級通信系統的數據通信鏈路應該是預先設定好的,不允許在通信系統運行過程中動態改變。
(3)編碼
使用封裝:封裝是指協議對應OSI模型中的高層把其相鄰下層需要的數據進行“包裹”的一種設計方法。
封裝能夠維持協議各層獨立并實現消息分段傳輸。
幀長度固定:核安全級通信協議的幀必須采用固定的長度,如果要傳輸的數據無法填滿幀的數據域,則向數據域填充占位數據。幀長度固定可以增強通信的確定性。
幀格式確定:核安全級通信協議的幀格式必須是確定的。同一類型的幀都應該具有相同的域結構和相同的位置順序,包括消息標識、狀態信息、數據位等。
專有性:核安全級通信協議的幀格式和編碼應該與目前已知的通信協議有所區別,消除外部數據偽裝進入通信系統的可能。
檢錯/糾錯編碼:核安全級通信協議幀應該采用檢錯或糾錯編碼,以確保數據能被正確接收并正確理解。
負荷無關性:核安全級通信協議不允許產生隨著通信負荷大小變化而變化的數據。
(4)過程規則
單向通信:核安全級通信系統中節點間的通信不執行通信握手,數據傳輸完全由發送方控制,數據接收方不用向發送方反饋“確認”消息。
傳輸固定數據集:只有預定義的數據集能夠被發送以及被接收方使用。不被認可的消息或數據要被接收方參照預先確定的設計要求識別出來并加以處理。
周期通信:核安全級通信協議必須按照固定的周期進行數據通信,節點必須在一個周期內傳輸全部數據,而不管數據是否發生了變化。
數據固定位置存儲:通信節點接收到的數據應該被放置到存儲區預先定義好的位置上,并且這些存儲位置不能再做其他用途。
數據冗余:核安全級通信協議應該具有數據冗余機制,以提高通信系統的可靠性。
防止故障蔓延:通信節點不允許轉發破損的協議幀,應該在識別后對其進行丟棄。
單點故障容錯:核安全級通信系統中單個通信節點的失效或故障不應該影響整個通信系統的正常通信。
差錯控制:核安全級通信協議必須對IEC 61500規定的八種通信錯誤進行檢測并采取相應的處理措施。
確定的延遲:核安全級通信協議必須能夠保證數據傳輸所有環節中各種延遲的確定性。從而能夠在確定了數據集、幀長度和傳輸周期后就能夠計算出通信系統可能的最大通信延遲。
順序無關性:核安全級通信系統的通信節點的正確運行不能依賴于其在整個通信系統中的位置或其與其他節點的相互順序。
無鏈式反應:核安全級通信協議不允許存在鏈式反應,即協議不能根據傳輸數據的內容而自動產生新的數據。
3.4 通信設備
通信設備是構成網絡的實體,是實現通信協議的載體。從實現技術來講,通信設備可以基于純硬件實現,也可以在硬件的基礎上采用軟件和(或)可編程邏輯實現。
從功能特點和實現技術的特點來看,通信功能部分直接影響網絡的實時性,所以通過可編程邏輯技術實現。網絡應用層和配置相關的功能面臨的需求更加多樣化,因此適宜通過軟件實現。
軟件應該采用無中斷,固定周期,內存靜態分配,任務靜態調度的設計,以實現通信的確定性。
設備自診斷是提高系統可靠性的重要手段。通信設備通過監視設備的供電、時鐘、看門狗、內存、CPU等是否存在異常,以及時地采取相應的應對措
施,并及時向工作人員發出警告,可以提高系統的可靠性。
4 FirmNet通信網絡設計
FirmNet通信網絡采用環形拓撲結構,光纖通信介質,物理層遵循IEEE802.3z標準,自主設計的通信協議。如圖4所示。
FirmNet通信網絡主由通信節點和鏈路組成,通信協議運行在通信節點設備中。
(1)基本數據操作
FirmNet通信協議中包含四種對數據幀的操作:
上環:指節點把本節點的數據幀發送到環上。
過環:指節點把接收到的幀繼續發送給下一個相鄰的節點。
下環:指節點把接收到的幀更新到本節點的數據區,但不進行剝離。
剝離:指節點在接收到幀后不再對其進行過環操作。
(2)通信過程
FirmNet通過廣播方式,同時將幀對0環和1環執行上環操作實現數據的冗余。
如圖5所示,節點A以預先設定的時間間隔同時對0環和1環執行上環操作,此時有兩份相同的數據在兩個環上傳輸,其他節點在接收到節點A發出的數據幀后,同時執行過環和下環操作,即在把數據幀發給下游節點的同時,把數據復制到本地緩存區中。各節點依次對數據幀執行過環、下環操作,該數據幀最終會返回到節點
A,節點A對自己發出數據幀執行剝離操作。
數據幀在環上傳輸一周后,每個節點都會把收到的數據更新到本地緩存區,并且數據按照預先設定的位置存儲。每個節點都會接收到兩份相同的數據,實現了數核電儀控
據冗余。
(3)確定性
FirmNet網絡采用基于狀態的通信,采取以下措施實現網絡通信的確定性:
· 網絡節點按照固定的周期發送預定義的數據集;
· 網絡節點每周期內把所有的數據全部傳輸完;
· 網絡數據幀使用固定的長度;
· 每個數據分配專用的存儲空間;
· 采用“轉發-復制”而非“存儲-轉發”模式對過環數據進行轉發;
· 采用“環上數據優先,只退讓一個報文”的原則處理發送端口競爭;
(4)故障零自愈
由于FirmNet網絡實現了數據與鏈路的雙重冗余,所以具有天然的故障容錯能力。
5 網絡測試和驗證
我們首先采用基于離散事件的仿真模型對FirmNet的網絡進行了仿真,然后采用基于模型檢查(ModelChecking)的形式化方法對FirmNet通信協議進行了全覆蓋驗證,最后使用FirmNet產品搭建滿配置的網絡樣機,進行了三年多全面深入的實際測試。
網絡仿真和通信協議形式化驗證保證了FirmNet的高安全性和確定性,實際網絡測試也證明FirmNet網絡產品具有很高的可靠性和實時性。
FirmNet網絡實現了1Gbps的通信速率,在48個節點的配置下,節點數據最大更新時間小于7ms,完全滿足核電廠反應堆控制保護系統的應用要求。
6 結束語
本文對核安全級通信網絡應該具有的五種關鍵特征進行了說明,并從組成通信網絡的拓撲結構、通信介質、通信協議和通信設備等方面闡述了如何實現這些特性。
北京廣利核系統工程有限公司在研制中國首套完全自主知識產權的核安全級數字化儀控系統平臺和睦系統的過程中,根據本文提出的設計方案自主實現了一種全新的核安全級通信網絡——FirmNet,并應用在國內多個反應堆控制保護系統中。
實踐證明本文提出的建議和設計方案是合理、有效的,對于選擇或自主設計一個核安全級通信網絡具有非常高的參考價值。
摘自《自動化博覽》2018年5月刊
北京市公安局海淀分局備案號:11010802023656號