核电厂数字化仪控系统通讯网络优化方案及应用

黄 逸，管运全，穆海洋，庞宇琦

（江苏核电有限公司，江苏 连云港 222000）

0 引言

作为信息技术、控制技术和网络技术高度结合的产物，数字化仪控系统被广泛应用于核电项目中。历经数十年的技术革新和应用积淀，核电厂数字化仪控系统朝着更加精益、高效的方向发展，对系统运行可靠性提出更高要求。

通讯网络作为数字化仪控系统的重要组成，承载着系统内部大量的数据传递任务，是实现核电厂工艺系统及设备监视和控制功能的核心环节。通讯网络所基于的工业以太网技术特点、运行原理、可靠性逐渐成为在建电厂数字化仪控系统设计选型的要素，也势必成为数字化仪控系统可靠性提升领域的热点议题。

1 非安全级数字化仪控系统应用情况

核电厂数字化仪控系统是一个大型系统集合。其中，非安全级数字化仪控系统为电厂正常运行工况下对机组参数及重要系统设备状态进行事实监视，为操纵员安全有效控制及操作核电厂提供各类必要的信息，对机组运行期间的安全性、稳定性及经济性意义重大。

表1 非安全DCS系统应用情况Table 1 Application of non safety DCS system

图1 HRP协议测试帧传递示意Fig.1 Schematic diagram of HRP protocol test frame transfer

目前，国内在建及运行电厂中，非安全系统及其网络技术应用情况见表1。

西门子公司TXP/T2000平台作为最早应用于国内核电厂的DCS系统，其基于单环网络结构搭建的通讯网络有其显著的特点和优点：层级清晰、结构简明，实现网络负载分离；基于HRP[1]（High-speed Redundancy Protocol）协议，网络故障响应及网络重构快速；提供多种远程诊断功能（基于SNMP/HTTP/PROINET协议），可用性高且维护便捷。但其相较随后出现的双环、MESH、双网冗余等网络形式，在容错能力和可靠性等方面存在一定优化和改进空间。

2 系统工作原理

2.1 网络冗余特性

TXP/T2000系统通讯网络符合“单一故障”[2]设计准则，在保证冗余功能的同时，确保通讯路径唯一。网络结构基于单环网络（又称“虚拟环”[3]）形式，遵循HRP协议，通过指定或自动协商方式确定一台RM（Ring Manager）交换机进行网络拓扑管理，实现单一故障下总线通讯的冗余功能。具体过程如下：

HRP协议下，RM交换机以20 ms时间频率“虚拟环”双向发送对MAC层以上网络层透明[4]的测试帧，测试帧经过环网中其余交换转发后，会返回RM交换机。

正常情况下，RM交换机的2个组网端口（ring port）上，连续接收到对端发出的测试帧。RM交换机将指定其中1个组网端口置于“监听”状态，即不转发数据包，以保证环网内各交换机遵循CSMA/CD协议进行数据通讯[5]。

当发生网络故障，测试帧转发过程中断。RM交换机通过双向上同时连续丢失3个测试帧判断网络故障，并将在300 ms内启用“监听”端口数据转发功能，确保环网内数据通讯功能及时恢复。

图2 TXP/T2000系统通讯网络拓扑示意Fig.2 Topology of TXP/T2000 system communication network

基于上述“虚拟环”基本结构，结合工艺系统设计及功能分布，将TXP/T2000系统通讯网络划分为若干个环网。其中，子环网络直接连接一层控制器，范围覆盖其所在的控制功能通道；主环网络连通各个子环，成为TXP/T2000系统通讯网络核心部分。主环与子环间设有两路独立上行链路，以热备用方式冗余运行。

2.2 一层过程控制系统介绍

TXP/T2000系统中，一层过程控制功能由AS620（Automation System 620）系统完成。AS620系统承担工艺过程的自动控制任务，是DCS系统与工艺系统的接口。它采集来自现场变送器的过程测量值和状态量，根据实际应用情况对这些信息在AS620中进行开环和闭环控制运算和处理，然后把产生的命令送往现场执行机构（如阀门、电机等），实现控制功能。

AS620系统控制运算功能，实际由分布于若干自动处理机柜内的冗余控制器（控制器AP_a和AP_b）完成，并依托“单环网结构”的通讯网络实现控制站间及一层、二层系统间数据通讯和控制命令交互。其过程可简单描述为：冗余配置的控制器AP_a和AP_b同步接收数据，同步计算处理，互为冗余热备用。其中，一个控制器作为主用控制器的输出处理结果，当主用控制器发生故障，可以自动无扰切换到冗余备用控制器，继续运行。与此同时，自动处理机柜与其他控制系统组件之间保持两条物理通讯链路，以实现AS620系统内的通讯冗余功能。

2.3 潜在隐患

基于上述系统及网络冗余运行原理，TXP/T2000系统可以承受单环中出现“单断点”故障。在此情况下，AS620系统可用性和通讯冗余不受任何影响。但如果“单断点”故障进一步恶化，形成“双断点”，则可能导致双断点范围内的自动处理机柜通讯中断。核电厂运行人员无法监控通讯故障范围内自动处理机柜中的设备和信号，且因双断点故障范围内的自动处理机柜与其余机柜之间通讯中断，极可能导致重要工艺设备误动的情况出现，进而影响机组正常运行。

国内某核电站曾因交换机组环端口性能下降，出现“闪断闪连”故障，引发一起机组非计划停运事件，“闪断闪连”故障导致环网中单方向通讯间歇性中断。若RM交换机此时启动监听端口的数据转发功能，则未出现通讯中断的数据流向，形成物理环网。由此形成“网络风暴”将一瞬间蔓延至整个网络，并最终导致系统瘫痪。为此，上述网络故障期间环网冗余功能强制未触发，“闪断闪连”故障点叠加RM交换机上监听端口，最终演化为“双断点”故障。

3 网络优化策略

3.1 增加链路监测机制

通讯网络中的“闪断闪连”状态是物理链路老化、通讯性能下降的表现，在工程应用中无法被完全消除。“闪断闪连”故障期间，网络拓扑处于一种非稳定的切换状态，这将对冗余网络协议（HRP协议及生成树协议）的正常运作和通讯负荷产生极大的冲击和挑战。

通过增加并启用链路监测机制，可以有效解决因物理链路性能下降引发的网络异常。TXP/T2000系统通信网络中，可通过“测试帧”双向收发，实现对每一条物理链路状态的实时监测。在物理链路性能下降时，“测试帧”接受计数＜发送计数。若两者差值满足特定的变化率，则判断物理链路不可靠，并以闭锁通讯端口方式主动切断问题链路，确保通讯网络始终处于稳定状态，为冗余网络协议对网络故障识别和响应提供辅助和支持。

图3 环网形成“双断点”故障示意Fig.3 “double breakpoints” fault of ring network

图4 优化后网络结构分布Fig.4 Distribution of optimized network structure

3.2 网络结构及设置优化

合理规划子环网络范围和关键网络节点设置，对优化传输路径、降低通讯负荷和提升网络故障容错性意义重大。在上述网络故障导致非停事件的经验反馈中，网络结构及配置存在不合理之处：

“闪断闪连”故障所在子环网络范围过大，其下连接有40对AP控制器，承载着全厂60%以上的自动控制器通讯任务；同时，冗余上行链路交换机和RM交换机采用紧邻设置，位置分布不合理。上述因素叠加，致使“闪断闪连”故障期间超过半数以上AP控制器通讯中断，大范围设备及其信号失去监视。

针对上述情况的优化方案为：在不违背功能及实体隔离原则的前提下，根据交换机物理位置，将原子环网络“一分为二”拆解成两个独立子环，并对子环关键网络节点做合理化配置：两台上行交换机呈对称分布，即中间尽量间隔等量的交换机；RM交换机设置在距离两台上行交换机中间位置。

图6 "双断点"故障测试情况示意Fig.6 Schematic diagram of "double breakpoint" fault test

上述调整优化可以减少子环网络故障期间受影响的控制机柜数量，有效控制并缓解子环网络“双断点”故障对AS620系统功能的影响，降低系统失效风险。

3.3 网络接入方式优化

“双断点”故障突破了“虚拟环”网络的冗余设计准则，其潜在影响及风险具体，必须予以有效控制和规避。解决子环网络内“双断点”故障影响的关键所在为：如何确保冗余控制器2路物理通讯链路始终维持1路以上的正常工作。

结合冗余控制器和“虚拟环”网络工作原理，对控制器在子环网络连接方式进行重新排布，可以消除子环网络“双断点”故障对控制系统的影响，具体为：

以子环网络中两个上行交换机为界，将子环分为了A侧半环和B侧半环两部分。子环中所有控制器AP_a分配在A侧半环，将所有处理控制器AP_b分配在子环的B侧半环。上述结构可应对子环中出现的各种双断点故障。

1）当双断点出现在A侧半环，极端情况下会导致A侧半环连接的所有自动处理机柜中的控制器A离线，但是由于B侧半环连接着自动处理机柜中所有的控制器B，各自动处理机柜仍可以实现子环中各机柜间的通讯以及通过上行链路与主环通讯，所以自动处理机柜的功能不受影响。

2）当双断点出现在B侧半环，极端情况下会导致B侧半环连接的所有自动处理机柜中的控制器B离线，但是由于A侧半环挂载着自动处理机柜中所有的控制器A，各自动处理机柜仍可以实现子环中各机柜间的通讯以及通过上行链路与主环通讯，所以自动处理机柜的功能不受影响。

3）当双断点分别出现在A侧和B侧半环，即A侧半环出现1个断点并且同时B侧半环出现1个断点，此时子环被分割成两段独立的总线，其中一段经上行链路A与主环通讯，另一段经上行链路B与主环通讯，子环中所有自动处理机柜均有一个控制器保持在线，所以自动处理机柜功能不受影响。

图5 优化后控制器网络接入分布Fig.5 Network access distribution of optimized controller

4 性能测试验证

在经过理论分析及实体测试以验证其可行性及有效性后，上述网络优化方案被成功实施应用于运行核电机组。

具体测试方式为：手动断开通讯链路或对交换机断电方式模拟网络故障，并重点对子环网络“双断点”故障情况进行逐一验证，包括：“上行交换机同侧双断点”“上行交换机异侧双断点”“单交换机双断点”等。

测试结果显示：网络故障出现前后二层系统对全厂系统及设备的监视、控制功能不受任何影响，报警序列中不会出现AP完全故障（Total Failure）和AP-AP通讯故障（conn.flt Failure）报警，仅在“上行交换机同侧双断点”和“单交换机两侧双断点”时，出现部分AP-AP通讯冗余失去（Redundancy Loss）的报警。

表2 测试验证结果Table 2 Test verification results

测试结果表明：优化后的网络拓扑结构更加合理，功能配置更加完善，故障监测响应能力和容错能力进一步提升，同时能有效应对子环网络“双断点”故障对控制系统实时数据通讯的影响，降低或减少由此引发的机组瞬态乃至非停事件。

5 结束语

伴随着国内核电行业的跨越式发展，数字化DCS系统技术取得了长足的进步，并对系统网络的可用性和可靠性提出更高的要求。TXP/T2000系统网络作为一种典型工业控制网络，在国内核电厂中取得较为广泛的应用。结合TXP/T2000系统运行原理及其网络固有特点，开展网络技术解析及优化策略研究意义重大，且具备一定的参考借鉴意义和推广价值。