核电站数字化保护系统控制层通信协议的设计

周 飞

(北京广利核系统工程有限公司,北京 100094)

0 引言

核电站数字化保护系统控制层通信(以下简称“控制层通信”)为控制单元提供现场数据和保护输出,需要具备高可靠性、安全性、独立性、确定性和实时性等特点。这就要求控制层通信系统在通信机制、协议、拓扑和设备实现等环节遵循一定的原则,并采用合适的技术。

控制层通信协议主要用于解决核电站保护系统中输入/输出(input/output,I/O)模块与控制器之间的数据传输安全性和可靠性问题。核电站保护系统通常由国外厂家提供,比如德国的TXS系统、美国的Common Q系统和日本的MELTAC系统。同时,现有工业控制领域的控制层通信协议通常具有握手机制、通信帧长度不固定、通信周期不确定等特点,无法满足核电站数字化保护系统的确定性、可靠性、独立性和实时性要求。

本文设计的控制层通信协议采用了基于状态、通信周期固定、通信链路冗余、只传输固定的数据集、帧长度和格式固定等方式,满足了确定性、可靠性、独立性和实时性要求。

本文设计的控制层通信协议已经通过德国TÜV认证机构ISTEC公司的安全审查,所涉及板卡已经通过相关电磁兼容性(electro magnetic compatibility,EMC)测试。该协议已成功应用于国内核电站的PX泵房系统、堆芯温度测量系统和试验堆的控制保护系统。

1 法规、标准要求与特点

1.1 法规和标准要求

核电厂安全法规和标准是进行核电站数字化保护系统设计的重要依据。其顶层是国家立法机关制订的法律;其次是政府制订的法规;接着是国家及行业标准;最后是企业制订的核电企业标准[1]。

通过分析法规和标准得出的核电站数字化保护系统通信标准依据如图1所示。

图1 通信标准依据

第一层为核安全级仪控系统总体要求。核电站安全级系统通信网络的设计从顶层遵循国际原子能机构(International Atomic Energy Agency,IAEA)、电气与工程师协会(Institute of Electrical and Electronics Engineering,IEEE)关于核动力厂安全规定和导则等文件的指导思想[2]。

第二层为核电厂安全重要仪控系统的基础标准。在顶层标准的指导下,核电站安全级网络产品的实现需要满足一系列核电厂安全重要仪控系统的基础标准。

第三层为核安全级数据通信标准。IEC 61513对核电厂数据通信提出了总体的要求。IEC 61500对其进行了细化,结合基础标准介绍了核电厂执行A类功能通信系统的具体要求[3]。

第四层为NRC相关审查和设计指导。DI&C-ISG-04、NUGER-CR-6082等描述了核电站安全级通信网络的审查和设计指导,对安全级通信网络的设计和实现具有很高的指导价值。

1.2 控制层通信的特点

通过对以上核电标准的分析可知,控制层通信需要满足确定性、可靠性、独立性和实时性的要求。

1.2.1 确定性

IEC 61500要求确定性的通信系统应该保证从通信信道传来的仪表或其他设备的消息在指定的时间内与数据的完整性状态信息(如存在)被发送或接收[4]。

控制层通信要满足以下要求。

①无论应用数据是否已经发生变化,消息应该在1个预先定义的、固定的循环时间内进行周期性的传输。也就是说,控制层通信应采用基于状态的通信机制。

②通信信道不应在系统运行时进行动态分配,而应在设计时进行预先定义和静态分配。

③消息应具有预先设计好的固定长度,且消息的组成也应是确定的。在设计通信机制与通信协议时要保证在通信过程中或在消息通过通信设备时发生的任何延时都是可知、可约束的。

④应该保证通信相应时间、通信速率、通信负荷,以及通信过程中可能的通信错误、错误状态以及错误输出具有确定性。

1.2.2 可靠性

IEC 61500针对自检测和容错,从通信故障检测、失效响应、测试和故障预防这4个方面说明了通信系统的可靠性。

一般而言,提高系统的可靠性主要有3种途径:首先是简化系统的设计,减少可能出错的点;其次是采取容错措施;最后是构成系统的设备执行自检测和对系统进行定期试验。

可靠性指标是对核安全级网络可靠性的总体量化描述。通信系统作为控制保护系统的组成部分,其可靠性要求来源于系统整体可靠性的分解。因此,控制层通信的可靠性指标要求应与整个控制保护系统的可靠性要求一致。

1.2.3 独立性

IEC 60709对物理分隔的要求为:故障不能从设备的一部分传播到另一部分,或是另一系统[5]。

1.2.4 实时性

IEC 61500要求核安全级网络的数据通信通道应该提供充分的性能,以保证从任意通信节点发出的任何消息都能在一定的时间限制内被预期的目标节点正确地接收到。因此,控制层通信在实时性方面要满足以下要求。

①网络在配置完成后,应能够计算出在正常运行、异常和故障情况下网络的通信速率,并且通信速率指标应该考虑了错误恢复、协议延迟和消息组成的影响。

②响应时间对满足安全系统的整体性能至关重要,必须保证网络在最坏情况下的响应时间也要满足安全系统的性能要求。

③任何通信系统都必然存在时延。时延通常包括传输时延、传播时延、处理时延和排队时延这4个部分。网络需要保证数据在传输过程或是通过通信设备时发生的任何时延都是可知、可约束的,即满足最坏响应时间要求。

④吞吐量描述单位时间内通过网络的数据量,能够体现网络的数据传输能力。但吞吐量指标应该把接口、操作系统和通信协议的开销和性能剔除出去,否则单纯的吞吐量指标无法真实体现网络实际的数据传输能力。

2 控制层通信协议的制定

2.1 通信机制

为了满足确定性和独立性,控制层通信采用点对点通信设计,1个主节点最多和12个从节点通信。控制层通信协议拓扑结构如图2所示。

图2 控制层通信协议拓扑结构

控制层通信包括了主通信节点、控制层通信管理和从通信节点。其中,每个从通信节点都由1个控制信号进行控制。当主节点向下发送数据时,控制层通信管理会解析数据,并能对应从通信节点的控制信号。从通信节点在判断控制信号有效后,需要在固定时间内向控制层通信管理发送数据。在接收到数据后,控制层通信管理会将数据发送给主通信节点。在超过固定的时间后,主通信节点无论是否接收到从通信节点的数据,都会向下个从通信节点发起通信。

2.2 协议层次划分

为了提升控制层通信协议的可靠性,控制层通信协议仅使用了物理层、通信链路层和通信应用层;同时,采用了点对点连接,不使用中继和路由等装置。

控制层通信协议与国际标准化组织(International Organization for Standardization,ISO)/开放系统互联(open system interconnection,OSI)标准网络模型的对应关系如图3所示。

图3 控制层通信协议与ISO/OSI标准网络模型的对应关系

2.2.1 物理层

为了满足实时性的要求,控制层通信协议物理层基于IEEE 802.3标准,通信带宽固定为100 Mbit/s,通信方式为全双工。

2.2.2 数据链路层

为了满足确定性的要求,控制层通信协议的数据链路层的主节点和从节点均采用定长帧的结构。控制层通信协议数据链路层的数据帧格式如下。

通信协议数据链路层数据帧包括目的地址、源地址、长度标识、应用层数据和帧校验序列(frame check sequence,FCS)。应用层的数据包括主从节点报文序号、冗余标识、配置信息、状态信息、数据和校验。

2.2.3 应用层

控制层通信协议的应用层数据报文格式有2种,分别为从节点发送、主节点接收的数据报文,以及主节点发送、从节点接收的数据报文。这2种数据报文采用相同的长度。应用层数据采用16位的循环冗余校验(cyclic redundancy check,CRC),以确保数据的正确性。

2.3 上下行数据报文

2.3.1 下行数据报文

控制层通信协议的下行数据报文包括目的地址、源地址、协议长度标识、应用层数据和FCS。下行数据报文中应用层数据格式包括主节点报文序号、冗余状态、配置信息、主节点报文序号、输出数据和校验。下行数据报文格式如图4所示。

图4 下行数据报文格式

①主节点报文序号。

主节点报文序号是1个初始值为0的16位无符号数,范围是0到0xFFFF(十六进制)。主节点每发送1帧数据,对此序号循环加1;当序号为0xFFFF(十六进制)时,则翻转为0。报文序号反映主节点数据处于更新状态。使从节点利用该状态信息来诊断主节点数据的连续性。

②冗余状态。

主节点应该通过控制层通信协议发送冗余状态信息,使从节点能够识别冗余的配置情况、主从机的状态标识。

③配置信息。

为支持从节点热插拔功能,控制层通信协议提供每个I/O板卡的配置信息。配置信息是主节点根据工程师站组态生成的,配置信息包括设备身份标识(identity,ID)、固件版本号、设备类型描述、I/O故障安全值、主节点周期运行时间和冗余切换时间。

④主节点状态。

主节点状态包括冗余状态、网络状态、周期运行超时状态、定时器状态、看门狗状态、只读存储器(read-only memory,ROM)状态、随机存取存储器(random access memory,RAM)状态和中央处理器(central processing unit,CPU)状态。

⑤输出数据。

输出数据为主节点传输给从节点的应用数据。数据的内容可根据用户情况进行自定义。

2.3.2 上行数据报文

控制层通信协议的上行数据报文包括目的地址、源地址、协议长度标识、应用层数据和FCS。

上行数据报文中应用层数据格式包括从节点报文序号、标识信息、从节点状态、采集数据和校验。

上行数据报文格式如图5所示。

图5 上行数据报文格式

①从节点报文序号。

从节点报文序号是1个初始值为1的16位无符号数。从节点每周期对此序号循环加1;当序号为0xFFFF(十六进制)时,则翻转为0。报文序号反映从节点数据处于更新状态。主节点利用该状态信息来诊断从节点通信数据的连续性。

②标识信息。

标识信息包括设备ID、固件版本号、设备类型描述、I/O故障安全值。

③从节点状态。

从节点状态信息为4 B,包括冗余状态、设备类型、固件版本状态、周期运行超时状态、定时器状态、看门狗状态、ROM状态、RAM状态、CPU状态、主节点诊断从节点的状态。

④采集数据

采集数据为从节点传输给主节点的应用数据,数据的内容可根据用户情况进行自定义。

2.4 通信流程

为了满足独立性的要求,控制层通信双方无握手确认信号,强调基于状态的传输,而非基于事件的传输。控制层通信的传输双方的收发是独立的,并不以对方的要求而发送数据。

2.4.1 数据上行通信的建立

由于控制层通信是基于状态的传输,无握手确认信号,上行通信时,从节点在周期通信流程中只发送数据;相反,主节点在周期通信流程只接收数据。当主节点接收的数据与协议约定的一致,则从节点发送数据、主节点接收数据通信建立。

2.4.2 数据下行通信的建立

下行通信时,主节点在周期通信流程中只发送数据,而从节点在周期通信流程中只接收数据。当从节点接收的数据与协议约定的一致,则主节点发送数据、从节点接收数据通信建立。

3 控制层通信的故障处理

控制层通信系统的通信周期固定、只传输固定的数据集、帧长度和格式,保证了通信的确定性;采用基于状态、无握手的通信机制,保证了通信的实时性;通信链路冗余和通信设备自诊断,保证了通信的安全性和可靠性。在这些原则的约束下,控制层通信协议能够检测到常见的通信故障并进行处理。

3.1 常见的故障

从典型通信系统模型可知,发信机、传输介质和收信机是通信系统的核心组成部分。根据错误引入的环节,可以把通信错误分为收发器错误、通信传输错误和通信系统集成错误3类[6]。

3.1.1 收发器错误

收发器相关错误类型包括缓冲区溢出、数据超出范围、消息错序、消息过早、编解码错误、非预期重复和乱发无用数据错误。

3.1.2 通信传输错误

通信传输错误包含消息破损、错序、丢失、不可接受时延、错误插入、伪装、寻址错误、广播风暴、不一致、抖动和碰撞等。

3.1.3 通信系统集成错误

通信系统集成引入的错误包括网桥和路由器超长延时、发起通信超时和阻塞等。由于控制层通信系统不涉及此类错误,本文协议不包含集成错误的处理。

3.2 故障处理措施

控制层通信系统采用以下技术对常见通信错误进行检测或处理。

3.2.1 序号

通信数据包中定义了1个递增的数字,以标识通信数据包在一系列数据包中的顺序。如果接收方发现相邻数据包中包含的数字没有连续递增(数字溢出回零需特殊处理),则可以判定发生了数据重复、错序、丢失或插入错误。

3.2.2 时间戳

时间戳机制涉及系统各部件间的时间同步,而时间是共因因素。因此,控制层通信协议中不使用时间戳,而是采用消息序号与数据发送周期计数对比的方法来间接实现时间戳检查。

3.2.3 消息时限

消息接收方只接收在约定时间内到达的信息。消息接收方对于超过时限的消息弃用或标识为无用。消息时限可以检测出消息发生不可接收延迟和丢失错误。

3.2.4 源/目标识别

数据包中设计有发送源地址和目标地址的信息。地址信息在整个网络范围内是唯一的。源/目标识别码可以检测出消息插入和寻址错误。如果发现源/目标地址不匹配,除了丢弃此数据包以外,还可以进行错误记录和报警。

3.2.5 应答消息

控制层通信系统为了实现通信隔离,采用异步通信方式,即数据发送方不等待接收方的反馈,以实现接收方故障不会蔓延到发送方的目的。接收方以较短的周期向发送方发送自身的通信状态信息。数据发送方不依赖这些信息执行通信功能,仅作错误记录和执行诊断功能。

3.2.6 校验码

控制层通信协议的数据包中增加了16位CRC校验码,对数据帧和应用数据分别进行了校验,以表示数据的一致性。校验码可以检测消息破损、错误插入、数据错序等错误。控制层通信协议中将直接丢弃无法通过校验的数据。

3.2.7 冗余

控制层通信系统要求通信链路的冗余,因此无需采用数据冗余。

根据以上分析,控制层通信系统故障类型及处理措施如表1所示。表1中:●表示针对发生的故障类型所采取的检测和防御措施[7]。

表1 通信系统故障类型及处理措施

4 结论

本文设计了一种用于核电站数字化保护系统的安全级控制层通信协议。该协议采用固定的通信周期、数据包格式和长度,满足了确定性要求。该协议使用点对点连接,根据IEC 61500分析了所有可能发生故障的类型,并且给出了相应的处理措施,以满足可靠性的要求。通信双方无握手确认信号,强调基于状态的传输,而非基于事件的传输。控制层通信协议的传输双方的收发是独立的,并不以对方的请求而发送数据等。因此,任一节点故障不会影响其他节点的正常通信。这满足了独立性要求。

本文通信协议已经通过权威机构认证,所涉及的硬件产品已经通过核安全级设备的鉴定,并成功应用于大亚湾的堆芯测量系统、高温气冷堆保护系统、阳江5#和6#机组保护系统、红沿河5#和6#机组保护系统、田湾5#和6#机组保护系统、防城港3#和4#机组保护系统。