基于NASPIC平臺的核電站安全級DCS網(wǎng)關(guān)通信

黃清淮，劉明明，公 民，謝維波，馬 宇，黃 鵬

（中國核動力研究設(shè)計院 核反應(yīng)堆系統(tǒng)設(shè)計技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

0 引言

隨著核科學(xué)與技術(shù)的不斷發(fā)展，核電站的建造為人類帶來了福音。目前，一方面電力需求越來越大，一方面清潔能源的呼聲越來越大，核電由于屬于清潔型的新能源，得到了大力的發(fā)展和廣泛的關(guān)注，但是正如水能載舟亦能覆舟，核輻射對人類也能產(chǎn)生危害。核電站儀控系統(tǒng)為核電站提供了多樣化的控制和保護(hù)手段及完善準(zhǔn)確的監(jiān)控信息，保障了核電站的安全和穩(wěn)定運(yùn)行，在核輻射防護(hù)中發(fā)揮了極其重要的作用[1]。

2018年12 月6 日，中國核動力研究設(shè)計院自主開發(fā)的安全級DCS平臺NASPIC正式發(fā)布，成功打破了國外廠商在核安全級DCS領(lǐng)域的壟斷地位，為核安全級DCS市場帶來了新鮮血液[2]。隨著NASPIC平臺的正式發(fā)布，應(yīng)用NASPIC平臺的核電站工程項(xiàng)目逐漸鋪開，在安全級與非安全級DCS系統(tǒng)網(wǎng)絡(luò)通信方面，NASPIC平臺也帶來了新的思考和解決方案。本文以某核電站DCS工程項(xiàng)目為例，重點(diǎn)對采用NASPIC平臺的安全級DCS與非安全級DCS之間的新的通訊方案進(jìn)行詳細(xì)闡述。

1 安全級與非安全級DCS系統(tǒng)網(wǎng)絡(luò)通信現(xiàn)狀

1.1 網(wǎng)關(guān)的系統(tǒng)功能與架構(gòu)

安全級DCS系統(tǒng)和非安全級DCS系統(tǒng)使用不同的平臺，各自形成獨(dú)立的網(wǎng)絡(luò)，以滿足標(biāo)準(zhǔn)對安全級DCS獨(dú)立性等方面的要求。但由于主控室人機(jī)界面主要部分屬于非安全級DCS，用于給主控室操縱員提供電廠運(yùn)行狀態(tài)信息及主要控制手段[3]。因此，在主控室人機(jī)界面上也需要顯示大量的安全級DCS產(chǎn)生的信息。若安全級DCS全部通過硬接線將這些信息傳遞到非安全級DCS，將需要大量的電纜，不僅增加了電廠建設(shè)成本，對后期的維護(hù)也會帶來相當(dāng)?shù)牟槐悖W(wǎng)關(guān)正是解決這個問題的最佳途徑[4]。安全級DCS產(chǎn)生后需要送至非安全級DCS的信號主要分為兩種：

1）送至非安全級DCS參與邏輯控制的以及要求傳輸時間盡量短的信號，這些信號由安全級DCS通過硬接線傳遞到非安全級DCS。

2）送至非安全級DCS用于報警、顯示及記錄的信號，這些信號由安全級DCS通過網(wǎng)關(guān)網(wǎng)絡(luò)通信傳遞到非安全級DCS。

由于硬接線傳輸部分各核電站各供應(yīng)商產(chǎn)品的方案均大同小異，本文重點(diǎn)對網(wǎng)關(guān)通信部分進(jìn)行討論。

1.2 安全級與非安全級DCS系統(tǒng)網(wǎng)絡(luò)通信典型方案

當(dāng)前核電站安全級與非安全級DCS系統(tǒng)網(wǎng)絡(luò)通信的典型方案為安全級DCS網(wǎng)關(guān)并行冗余，非安全級DCS網(wǎng)關(guān)主從冗余，代表產(chǎn)品為廣利核Firmsys+和利時Hollias-N及三菱MELTAC+和利時Hollias-N，主要應(yīng)用于紅沿河、寧德、陽江、田灣及防城港等核電站部分機(jī)組[5]，系統(tǒng)架構(gòu)如圖1所示。

安全級網(wǎng)關(guān)GW-A與GW-B并行冗余，同時將相同的數(shù)據(jù)發(fā)送至非安全級兩個網(wǎng)關(guān)。

非安全級網(wǎng)關(guān)GW-A與GW-B為主從冗余，同一時刻只有一個網(wǎng)關(guān)為主機(jī)，該網(wǎng)關(guān)將接收到的數(shù)據(jù)上傳至非安全級DCS網(wǎng)絡(luò)及服務(wù)器，最終傳輸至主控室人機(jī)界面。當(dāng)某個網(wǎng)關(guān)故障或者某個網(wǎng)關(guān)與安全級DCS網(wǎng)關(guān)通信鏈路故障時，會進(jìn)行主從切換，以保證數(shù)據(jù)能正常接收并上傳至主控室人機(jī)界面。主從冗余功能分為6個子模塊來實(shí)現(xiàn)：冗余初始化、數(shù)據(jù)備份、同步控制、冗余通訊、雙機(jī)搶主、雙機(jī)診斷及切換[7]。

該方案可能存在冗余切換異常，或因某些故障導(dǎo)致切換時間較長的問題。

2 基于NASPIC平臺的安全級與非安全級DCS系統(tǒng)網(wǎng)絡(luò)通信方案

某核電站數(shù)字化儀控系統(tǒng)采用了核動力院NASPIC+浙江中控ECS-700N，NC-DCS與1E-DCS之間使用網(wǎng)關(guān)站進(jìn)行通信，使用Modbus-TCP作為二者之間的傳輸通信協(xié)議，該協(xié)議采用請求-應(yīng)答方式進(jìn)行交互[8]，1E-DCS側(cè)網(wǎng)關(guān)站作為Modbus從站設(shè)備，NC-DCS網(wǎng)關(guān)部分作為Modbus主站設(shè)備，主站Modbus設(shè)備訪問從站設(shè)備查詢數(shù)據(jù)，網(wǎng)關(guān)通信架構(gòu)如圖2所示。

圖1 典型核電站的網(wǎng)關(guān)系統(tǒng)架構(gòu)圖[6]Fig.1 Gateway system architecture diagram of a typical nuclear power plant[6]

圖2 基于NASPIC平臺網(wǎng)關(guān)通信架構(gòu)圖[9]Fig.2 Gateway communication architecture diagram based on NASPIC platform[9]

安全級DCS網(wǎng)關(guān)站采用并行冗余的方式，安全級DCS側(cè)網(wǎng)關(guān)GW-A向非安全級DCS網(wǎng)關(guān)通信卡1發(fā)送數(shù)據(jù)，安全級DCS側(cè)網(wǎng)關(guān)GW-B向非安全級DCS網(wǎng)關(guān)通信卡2發(fā)送數(shù)據(jù)。安全級DCS側(cè)網(wǎng)關(guān)GW-A和GW-B獨(dú)立運(yùn)行，兩者之間不進(jìn)行數(shù)據(jù)交互。安全級DCS數(shù)據(jù)通過6個TU（信號傳輸站）站物理鏈路上單向向網(wǎng)關(guān)GW-A和GW-B傳輸數(shù)據(jù)，從而保證非安全級系統(tǒng)信號、指令及可能的病毒等非法數(shù)據(jù)不會進(jìn)入安全級DCS系統(tǒng)。各TU故障或TU與GW的通信故障時，對應(yīng)的GW會將該路所有數(shù)據(jù)質(zhì)量位置壞。

NC-DCS側(cè)配置1個通信卡并行冗余的網(wǎng)關(guān)，并行冗余通信卡同時接收安全級DCS側(cè)網(wǎng)關(guān)發(fā)送的數(shù)據(jù)。非安全級DCS通信卡將數(shù)據(jù)發(fā)送給網(wǎng)關(guān)，由網(wǎng)關(guān)根據(jù)每個信號的質(zhì)量位來判斷使用A鏈路還是B鏈路的數(shù)據(jù)，將選用的數(shù)據(jù)上傳至非安全級DCS主控室人機(jī)界面。

2.1 1E網(wǎng)關(guān)至NC網(wǎng)關(guān)正常通信處理機(jī)制

當(dāng)1E網(wǎng)關(guān)與NC網(wǎng)關(guān)A、B鏈路均正常情況下：

1）如果某信號A、B鏈路質(zhì)量位均為好，NC側(cè)網(wǎng)關(guān)優(yōu)先選擇使用1E網(wǎng)關(guān)A鏈路數(shù)據(jù)。

2）如果某信號A鏈路的質(zhì)量位壞且B鏈路的質(zhì)量位好，則NC側(cè)網(wǎng)關(guān)使用1E網(wǎng)關(guān)B鏈路數(shù)據(jù)。

3）如果某信號A、B鏈路質(zhì)量位均為壞，則NC側(cè)網(wǎng)關(guān)可對該信號進(jìn)行缺省值處理：即“保持上一時刻有效值”“預(yù)設(shè)缺省值”或“不干預(yù)”，具體設(shè)置可根據(jù)上游要求配置。下文中缺省值處理方法均是如此。

2.2 1E網(wǎng)關(guān)至NC網(wǎng)關(guān)通信異常情況處理機(jī)制

1E網(wǎng)關(guān)至NC網(wǎng)關(guān)通信異常包含如下情況：

1）1 E級網(wǎng)關(guān)站自身發(fā)生故障

◇ 當(dāng)1E網(wǎng)關(guān)A發(fā)生故障且1E網(wǎng)關(guān)B正常時，NC側(cè)網(wǎng)關(guān)使用B鏈路的數(shù)據(jù)，并產(chǎn)生相應(yīng)儀控報警和設(shè)備狀態(tài)指示，此時如果B鏈路某信號質(zhì)量位壞，NC側(cè)網(wǎng)關(guān)可對該信號進(jìn)行缺省值處理。

◇ 如果1E網(wǎng)關(guān)A發(fā)生故障且1E網(wǎng)關(guān)B發(fā)生故障時，NC側(cè)網(wǎng)關(guān)不再實(shí)施數(shù)據(jù)切換，產(chǎn)生相應(yīng)儀控報警和設(shè)備狀態(tài)指示，并對所有信號進(jìn)行缺省值處理。當(dāng)其中某網(wǎng)關(guān)站恢復(fù)正常后，切換至該正常網(wǎng)關(guān)站鏈路。

◇ 如果1E網(wǎng)關(guān)A正常且1E網(wǎng)關(guān)B故障時，NC側(cè)網(wǎng)關(guān)不實(shí)施數(shù)據(jù)切換，但需對B鏈路故障進(jìn)行儀控報警和設(shè)備狀態(tài)指示。此時如果A路某信號質(zhì)量位壞，NC側(cè)網(wǎng)關(guān)可對該信號進(jìn)行缺省值處理。

2）1 E側(cè)網(wǎng)關(guān)站至NC側(cè)網(wǎng)關(guān)通信介質(zhì)故障

◇ 當(dāng)1E網(wǎng)關(guān)A至NC側(cè)網(wǎng)關(guān)通信介質(zhì)發(fā)生故障且1E網(wǎng)關(guān)B至NC側(cè)網(wǎng)關(guān)通信鏈路正常時，則NC側(cè)網(wǎng)關(guān)使用B鏈路的數(shù)據(jù)，并產(chǎn)生相應(yīng)儀控報警信息和設(shè)備狀態(tài)指示，此時如果B鏈路某信號質(zhì)量位壞，NC側(cè)網(wǎng)關(guān)可對該信號進(jìn)行缺省值處理。

◇ 當(dāng)1E網(wǎng)關(guān)A至NC側(cè)網(wǎng)關(guān)通信介質(zhì)發(fā)生故障且1E網(wǎng)關(guān)B至NC側(cè)網(wǎng)關(guān)也發(fā)生故障時，NC側(cè)網(wǎng)關(guān)不實(shí)施數(shù)據(jù)切換，并產(chǎn)生相應(yīng)儀控報警信息和設(shè)備狀態(tài)指示，此時NC側(cè)網(wǎng)關(guān)可對所有信號進(jìn)行缺省值處理。當(dāng)其中某網(wǎng)關(guān)站通信介質(zhì)恢復(fù)正常后，切換至該正常網(wǎng)關(guān)站鏈路。

◇ 當(dāng)A鏈路正常且B鏈路故障時，NC側(cè)網(wǎng)關(guān)不實(shí)施數(shù)據(jù)切換，但需對B鏈路故障進(jìn)行儀控報警和設(shè)備狀態(tài)指示。此時如果A路某信號質(zhì)量位壞，NC側(cè)網(wǎng)關(guān)可對該信號進(jìn)行缺省值處理。

3）NC側(cè)網(wǎng)關(guān)板卡出現(xiàn)故障

◇ 當(dāng)NC側(cè)網(wǎng)關(guān)或者網(wǎng)關(guān)的板卡出現(xiàn)故障，NC側(cè)網(wǎng)關(guān)進(jìn)行數(shù)據(jù)切換并進(jìn)行儀控報警和設(shè)備狀態(tài)指示。

4）TU至1E側(cè)網(wǎng)關(guān)站通信鏈路故障

◇ 當(dāng)TU至1E側(cè)網(wǎng)關(guān)A、B通信鏈路故障，來自于該TU的數(shù)據(jù)將被1E網(wǎng)關(guān)設(shè)置為質(zhì)量位壞，NC側(cè)網(wǎng)關(guān)對此部分?jǐn)?shù)據(jù)處理詳見前文（2.1節(jié)）。同時，1E網(wǎng)關(guān)會將該通信鏈路故障信息（1E網(wǎng)關(guān)安全側(cè)模塊狀態(tài)情況）發(fā)送至NC側(cè)DCS，NC-DCS將根據(jù)該信號狀態(tài)值設(shè)置儀控報警和設(shè)備狀態(tài)指示。

2.3 本通信方案特點(diǎn)

1）無須非安全級DCS網(wǎng)關(guān)主從切換

本方案中非安全級DCS網(wǎng)關(guān)通過兩張通信板卡分別與安全級DCS網(wǎng)關(guān)GW-A/B進(jìn)行通信，接收的數(shù)據(jù)均上傳至本網(wǎng)關(guān)主控模塊，在主控模塊中根據(jù)信號的質(zhì)量位進(jìn)行數(shù)據(jù)的選擇和切換，避免了傳統(tǒng)方案的主從切換過程，也避免了主從切換過程中可能存在的問題。

2）數(shù)據(jù)切換時間快

本方案通過質(zhì)量位判斷來進(jìn)行數(shù)據(jù)選擇和切換，當(dāng)通信鏈路中的任意故障發(fā)生后，會導(dǎo)致該鏈路數(shù)據(jù)質(zhì)量位變壞，非安主控模塊將選擇質(zhì)量位好的數(shù)據(jù)上傳至主控室人機(jī)界面，節(jié)省了主從切換過程的時間，數(shù)據(jù)切換時間比傳統(tǒng)方案要快。

3）安全級DCS內(nèi)部部分故障不會導(dǎo)致鏈路整體切換

安全級DCS內(nèi)部各TU站到網(wǎng)關(guān)的通信若出現(xiàn)故障（TU通信模塊故障、TU至網(wǎng)關(guān)通信故障或網(wǎng)關(guān)安全側(cè)通信模塊故障等），安全級DCS網(wǎng)關(guān)將該TU傳來的數(shù)據(jù)質(zhì)量位置壞，非安側(cè)網(wǎng)關(guān)則可根據(jù)質(zhì)量位不采用該TU的數(shù)據(jù)，避免了對A/B鏈路進(jìn)行整體切換，降低切換過程的故障發(fā)生可能性及數(shù)據(jù)切換時間。

3 結(jié)束語

核電站反應(yīng)堆堆型眾多，不同堆型有各自的設(shè)計要求，安全級DCS系統(tǒng)的廠家很多，不同廠家平臺有各自的特點(diǎn)。本文對核電站安全級DCS系統(tǒng)網(wǎng)關(guān)通信方案進(jìn)行了研究，結(jié)合設(shè)計規(guī)范要求和NASPIC平臺自身的技術(shù)特點(diǎn)，總結(jié)出了一套安全級DCS系統(tǒng)網(wǎng)關(guān)通信方案，為安全級DCS系統(tǒng)的通信設(shè)計提供參考。