张 源,崔泽朋,孙 武,赵 兵
核电厂安全级数字化仪控系统通信隔离设计
张源,崔泽朋,孙武,赵兵
(中核控制系统工程有限公司,北京 100176)
核电厂仪表和控制系统被称为核电厂的“神经中枢”,对保障核电厂的安全稳定运行安全具有关键作用,是核电厂的重要组成部分。本文依据核电厂相关设计标准要求及参考核电厂的应用需求,提出一种核电厂安全级数字化仪控系统通信隔离设计方法,该方法针对安全级网络通信常见的两种通信方式——点对点通信和多节点通信,在安全级系统内部、安全级系统与非安全级系统之间分别设计独立于处理单元的通信模块,该通信模块本身属于安全级设备,采用异步通信、定制的双端口RAM及确定性的通信协议等方法;在多节点通信中采用双环路拓扑和节点旁路等机制来满足安全级通信隔离设计要求。通过搭建典型工程样机和专家独立工程评审,验证了本方案在工程应用中的正确性和可行性。
通信隔离;安全级系统;多节点通信
核电厂安全级仪控系统需要在核电厂各种工况下可靠稳定地执行安全功能。为确保安全功能的正确执行,满足单一故障准则要求,安全级系统需要采取冗余和独立性设计。防止故障从一个系统传播到另一个系统,或故障在系统内各冗余部分间传播[1]。
通信隔离源于核电厂安全级系统对独立性的设计要求。通信作为数字化技术中的关键技术之一,对构建安全级系统、实现系统内的数据交互起着关键作用。本文针对安全级系统中的两种通信方式——在安全级系统内部的点对点通信和安全级系统与非安全级系统之间的多节点通信,设计一种新的通信隔离方案。最终通过搭建典型工程样机和专家独立工程评审,验证了本方案在工程应用中的正确性和可行性。
安全级系统内部通信采用点对点通信的方式。DI&C-ISG-04指出“重要的通信,如传输保护通道之间停堆表决逻辑信号的通信,应采用点对点通信的方式”[2]。这里“点对点”的含义是通信数据从发送节点直接传输到接收节点,而不经过收发节点以外的任何设备。这类通信的特点是通信容量小,但对通信响应时间的要求较高。
安全级系统与非安全级系统之间通信用于将安全级系统内部的过程信号、监视信号和报警信号通过多节点通信网络发送到非安全级系统进行数据计算、显示或存储。这类通信由于信号来自于分布式系统的各个设备,数据交互容量较大,但对响应时间的要求相对较低。
上述两种通信都应满足通信隔离的要求,NB/T 20026指出“通信链路的结构和技术应保证满足系统之间的独立性要求。除实体分隔和电气隔离外,设计宜采取措施以保证通信链路的问题不会损害处理模块”[3]。通信链路的设计应保证安全系统某一冗余部件的故障不会影响与之通信的其他冗余部件的正常运行;与低级别系统的数据通信不能危害高安全类别功能的数据通信和运行。“基于计算机系统通信的独立性,可以通过选择合适的数据通信结构和通信协议来实现”[3]。
安全级内部通信的通信双方使用两条光纤进行点对点的连接。每条光纤只向一个固定的方向传输数据,如图1所示。
以节点1和节点2之间的连接为例:光纤12负责将数据从节点1发送到节点2,而光纤21负责将数据从节点2发送到节点1。
图1 点对点通信
通信接口设计一个通信模块和一个处理模块。通信模块将收到的数据写入双端口RAM,处理模块则从中读取已写入的数据。与之类似,处理模块也可以将数据写入双端口RAM以供通信模块读取和传输,如图2所示。
图2 安全级内部通信隔离
双口RAM划分为两大数据区域,每一数据区域只允许一方写操作。即要么是处理模块可读,通信模块可写;要么是处理模块可写,通信模块可读,杜绝双方同时具备可写访问权限情况。双方的读写周期是完全独立而且异步的,不需要等待另一方的读写操作完成,因此,任何一个模块的确定周期都不会被中断。
GB/T 34040—2017/IEC 61784-3:2016《工业通信网络功能安全现场总线行规通用规则和行规定义》中定义了工业通信网络用来检测通信系统的确定性错误和失效的通用措施。并指出“对于已定义的可能错误,至少有一个相应的安全措施或安全措施的组合”[4]。通过在协议中加入校验方法,只有通过校验的数据才认为是有效的,异常数据将被拒绝并且不会被写入双端口RAM。同时参考NASPIC平台中的NASBUS功能安全通信选用的序列、时间窗口、源目的地址关系和CRC作为处理通信过程中的错误[5]。设计使用的协议故障诊断措施(见表1)如下:
(1)序列号:协议的每一帧协议均包含该帧数据所属报文的序列号,以及其在该报文中的帧序列号,该字段比较像计数器,在每周期都会加1,它的值范围是[0,0xFFFF]。
表1 协议故障诊断措施
(2)时间期望:在周期运行过程中,模块以及对方连接的模块的周期是固定已知的,通过报文序列号(sequence number)和模块的周期便可以知道相邻接收到的报文之间的间隔时间,一旦超时,则上报错误。
(3)连续鉴别:目的地址和源地址身份验证。
(4)数据完整性验证:32位CRC数据完整性校验。
(5)带交叉校验的冗余:冗余通信数据比较。
错误检查和处理过程描述如下:
1)本周期接收到了数据包;
2)验证CRC的正确性;
3)检查序列号,通过分析序列号是否在上一周期的基础上增加了1。连续3周期没有接收到数据包,视为超过时间期望;
4)连续鉴别检查数据包的目的地址和源地址是否正确;
5)检查两路发送的数据都接收到了;
6)获取到2包数据后,比对接收到的数据是否一致。
此外,双端口RAM的数据结构是预定义的,用来写入数据的存储位置也是预定义而且固定不变的。由于这些存储位置不受应用软件和参数设置的影响,所以通信数据不会被写入预期之外的区域。
如图3所示,安全级系统与非安全级系统之间采用多节点通信的方式以应对大容量数据的传输。多节点通信网络采用双环形拓扑结构,包括外环和内环两条数据路径,如图3所示(节点1、节点5、节点6为安全级设备,节点2、节点3、节点4为非安全级设备)。环上的数据分别按顺时针和逆时针单向传输,不支持路由和动态拓扑。多节点通信网络的通信节点由多节点通信模块和光旁路器构成。
这种双环形拓扑同时实现了链路冗余和数据冗余,使得整个网络对单一链路和单一节点故障具有容错机制。当节点1和节点2之间的(1条或2条)链路故障时,任一节点发送的数据仍可到达其他所有节点。多节点通信网络具有故障节点旁路机制,当某一节点故障或维护时,光旁路器可将本节点从环形网络中旁路,环路中的其余节点均通过光旁路器与相邻通信节点连接构成环形网络。如在节点2故障时(如电源掉电),节点2的光旁路器会自动旁路掉本节点的通信,使得整个多节点通信网络仍然是完整的双环形拓扑结构。同时,光旁路器本身采用故障安全设计,当电源失电或诊断出自身异常时,光旁路器自动处于旁路状态。
多节点通信模块的双端口RAM按照最大节点数目静态分配为多个区域(包括本节点可写区域和其他节点可写区域)。其中,本节点可写区域只允许本节点处理模块可写、通信模块可读;其他节点可写区域只允许本节点通信模块可写、处理模块可读。当某一节点被配置为只发送节点(下环数据为0)时,该节点通信模块只过环其他节点的数据,但不下环任何数据到双端口RAM。相反地,当某一节点被配置为只接收节点(上环数据为0)时,该节点只过环其他节点的数据,不会将双端口RAM中的数据发送到多节点通信网络上。因此只需将安全级节点1、节点5、节点6配置为只发送节点,并将非安全级节点2、节点3、节点4配置为只接收节点,即可保证多节点通信网络上多个安全级设备向非安全级设备传输数据的单向性。
节点的收发采用软件配置的方式,为应对配置失效,多节点通信模块采用CRC校验及Galpat法对模块RAM进行周期性检测,一旦发现异常,将启动光旁路器的节点旁路机制,彻底隔离非安全级节点。
安全级系统与非安全及系统通信完整性的校验机制与安全级系统内部通信相同,以确保通信数据本身的正确性。
光旁路器设置有手动旁路钥匙开关,该钥匙开关能够切断多节点通信模块与通信环路的物理链路连接。从而保证环路上某一设备能够从物理上彻底断开网络连接,以确保通信环路上其他安全级设备的安全运行。手动旁路状态通过光旁路器上的指示灯显示。
NicSys®8000N平台是国内首个具有完全自主知识产权的基于FPGA技术的核电安全级DCS控制系统平台,该平台通信系统采用了本通信隔离设计方案。
为了进一步验证本通信隔离方案在实际应用中的功能和性能,以参考电厂反应堆保护系统为设计输入搭建了基于NicSys®8000N平台的RPS工程样机,结构如图4所示。
保护组之间通过点对点通信来传送变量保护触发信号以完成逻辑表决,之后保护组输出局部停堆信号。此部分通信为安全级系统内部通信,通信双方通过光纤连接实现电气隔离,通过点对点通信模块之间的通信协议以及通信模块与处理模块之间的双口RAM来实现保护组之间的通信隔离。
每个保护列中还包括两个传输单元(TU1和TU2),作为与非安全级(NC)系统的通信隔离单元,经由网关NC-GW(NC-GWA和NC-GWB)发送主控室显示报警或信号指示等。通过TU1/TU2的多节点通信模块中的通信协议以及与其处理模块之间的双口RAM来保证TU1/TU2与网关之间的通信隔离。
图4 RPS工程样机架构
网关NC-GWA和NC-GWB分别位于保护列A和保护列B中,互为冗余。完成与非安全级系统的通信协议转换功能,TU与网关,网关与非安全级系统间为单向通信。
经过对样机长达1年多全面的部件测试、集成测试和系统测试,结果表明RPS工程样机的功能和性能均满足反应堆保护系统规格书的要求。同时,NicSys®8000N平台的开发、设计、验证和确认通过了由国际原子能机构组织的来自美国、法国、匈牙利和乌克兰等国家核电领域专家开展的独立工程评审,IAEA专家认为“NicSys®8000N平台的设计符合IAEA安全指南SSG–39的相关要求”[6]。
通信隔离源于核电厂安全级控制系统对独立性的设计要求。本设计针对核电站安全级数字化控制系统的两种通信方式,提出一种满足安全级DCS通信要求的通信隔离设计方案。
通过典型工程样机的搭建验证了本设计方案能够满足反应堆保护系统需求规格书的要求,相关设计得到国际原子能专家的认可。
在未来的长期运行中仍需要收集其稳定性和可靠性运行数据,为后续工程应用奠定基础。
[1] 鲁超,等.核电厂安全级DCS系统独立性设计[J].核科学与工程,2012,32:233
[2] UNITED STATES NUCLEAR REGULATORY COMMISSION. Highly-Integrated Control Rooms-Communications Issues(HICRc):DI&C-ISG-04-Revision1[S].Task Working Group #4,2009.
[3] 国家能源局.核电厂安全重要仪表和控制系统总体要求:NB/T 20026—2014[S].北京:核工业标准化研究所,2015:17-33.
[4] 中国国家标准化管理委员会. 工业通信网络功能安全现场总线行规通用规则和行规定义:GB/T 34040— 2017/IEC 61784-3—2016[S].北京:中国标准出版社,2017:15.
[5] 董长龙,等.核电厂安全级DCS功能安全通信研究与分析[J].上海交通大学学报,2018,52:82.
[6] INTERNATIONAL ATOMIC ENERGY AGENCY,IAEA REVIEW OF THE NICSYS®8000N SAFETY CLASS I&C PLATFORM DESIGNED BY CNCS[R].IAEA DEPARTMENT OF NUCLEAR ENERGY,DIVISION OF NUCLEAR POWER,2016.
The Communication Isolation Design of the Safety Digital I&C System in NPP
ZHANG Yuan,CUI Zepeng,SUN Wu,ZHAO Bing
(China Nuclear Control System Engineering Co.,Ltd.,Beijing 100176,China)
TheI&C system of nuclear power plant, known as the “neural center” of nuclear power plant, is one of the most important parts of nuclear power plant, which directly affect the safe, reliable and stable operation of nuclear power plant. According to the safety system standard and the requirements of the reference nuclear power plant, this paper discusses on a communication isolation design for the safety digital I&C system of nuclear power plant. Based on the two common communication types, point-to-point communication and multi-node communication, a communication module independent of the controller is designed among the safety system internals or between the safety system and the non-safety system. This module is a safety device using asynchronous communication mechanism, customized dual port RAM and deterministic communication protocol. In addition, extra dual loop topology and node bypass mechanism are used in the multi-node communication to meet the safety communication isolation design requirements. The correctness and feasibility of this design in application are verified by the construction of the typical prototype and expert independence engineering review.
Communication independence; Safety system; Multi-node communication
TL48
A
0258-0918(2022)02-0329-06
2020-11-17
张源(1981—),男,河南开封人,工程师,硕士研究生,现从事核电安全级数字化控制系统设计及验证相关研究