★北京廣利核系統工程有限公司程康，李明鋼

關(guān)鍵詞：安全級DCS；通信系統；環(huán)網(wǎng)

1　引言

自20世紀80年代數字化儀表與控制（I&C）技術(shù)首次應用于核電站以來(lái)，短短的幾十年中取得了巨大的發(fā)展，已經(jīng)逐步取代了模擬I&C系統。隨著(zhù)近40年的技術(shù)改進(jìn)，數字化I&C系統已經(jīng)由單機測控系統發(fā)展到了集散控制系統（DCS）。在安全級DCS系統中，利用安全級通信網(wǎng)絡(luò )將分散在現場(chǎng)執行數據采集、運算和控制功能的控制站與主控室的各種操作站相連接，實(shí)現分散采集、控制、維護和監視等功能，完成各控制站以及人機接口間的運行狀態(tài)和實(shí)時(shí)數據的交互^[1]。

近年來(lái)，安全級通信領(lǐng)域通常采用嵌入式系統通過(guò)特有的通信協(xié)議來(lái)實(shí)現站間通信數據的傳輸，例如，在美國西屋公司第三代核電AP1000的CommonQ平臺中，采用以RS-485技術(shù)實(shí)現，傳輸速度為3.2Mbps；在西門(mén)子公司的TXS平臺中，對于狀態(tài)和指令傳輸的安全級通信網(wǎng)絡(luò )采用了以太網(wǎng)技術(shù)，傳輸速度達到10Mbps^[2]。隨著(zhù)近年來(lái)通信技術(shù)的發(fā)展和工程設計中數據量和數據傳輸量的增多，研究一種傳輸速度更快、網(wǎng)絡(luò )容量更大，同時(shí)滿(mǎn)足安全級要求的通信網(wǎng)絡(luò )來(lái)優(yōu)化當前的DCS系統指標是眾多設計者努力的方向^[3]。

本文提出了一種全新的核安全級通信網(wǎng)絡(luò )實(shí)現方法——利用多點(diǎn)通信和冗余環(huán)網(wǎng)技術(shù)，并且借助FPGA流水線(xiàn)和數據并行處理的優(yōu)勢，實(shí)現了通信速率可達千兆的安全級通信環(huán)網(wǎng)，同時(shí)滿(mǎn)足核安全法規和標準中對安全級通信可靠性、安全性、實(shí)時(shí)性、確定性和獨立性的要求。這套通信系統已經(jīng)通過(guò)驗證，并且在中國首套擁有自主知識產(chǎn)權的安全級DCS系統——FirmSys成功應用。

2　安全級通信系統架構設計

作為應用在核電站的安全級系統，在設計上必須滿(mǎn)足相關(guān)的標準和規范的要求，與安全級DCS相關(guān)的標準，如IEC 61513（核電廠(chǎng)以安全為主的系統用儀器儀表和控制系統的一般要求）、IEEE 603（核電站安全系統準則）、IEEE7-4.3.2（核能發(fā)電站安全系統中數字計算機的標準）、NUREG/CR-7006（核電站安全級系統現場(chǎng)可編程門(mén)陣列設計指南）等，均對安全級DCS系統及其通信系統的設計做出了規范。結合上述標準和規范，安全級通信系統要考慮以下幾點(diǎn)：

· 可靠性：通信系統在一定時(shí)間內，在包括正常和異常工況下無(wú)故障完成通信功能的能力^[4]。

· 安全性：通信系統能夠使反應堆免于處在危險狀態(tài)或不穩定狀態(tài)的能力^[5]。

· 實(shí)時(shí)性:通信系統在有限時(shí)間內將過(guò)程數據或操作指令無(wú)差錯傳輸到目的設備的能力^[6]。

· 確定性：通信系統設計時(shí)，都能夠精確地計算出其通信速度、延時(shí)、吞吐量、網(wǎng)絡(luò )負荷以及數據更新周期等關(guān)鍵性能指標。

· 獨立性：通信設備應滿(mǎn)足實(shí)體分離、電氣隔離、通信隔離和功能獨立的要求^[7]。

通信系統協(xié)議和架構的設計，直接影響了通信系統的運行方法、效率和性能，在整個(gè)通信系統設計中起到至關(guān)重要的作用，因此，在設計協(xié)議和架構時(shí)，必須考慮到上述設計要求。

2.1　安全可靠的網(wǎng)絡(luò )拓撲

根據實(shí)時(shí)性和確定性的要求，在實(shí)現安全級通信網(wǎng)絡(luò )時(shí)應采用傳輸速度最快且傳輸距離較遠的光纖傳輸方式，并且通過(guò)廣播的形式實(shí)現數據通信以保證數據傳輸僅依賴(lài)于發(fā)送節點(diǎn)，因此采用易于實(shí)現光纖傳輸的通信延時(shí)確定的環(huán)網(wǎng)拓撲結構是最佳選擇^[8]。為了避免節點(diǎn)故障導致網(wǎng)絡(luò )癱瘓，采用雙向冗余雙環(huán)的網(wǎng)絡(luò )設計以提高安全級通信的可靠性，具體網(wǎng)絡(luò )拓撲如圖1所示。

圖1 雙向冗余環(huán)網(wǎng)拓撲

在雙環(huán)冗余網(wǎng)絡(luò )拓撲中，順時(shí)針和逆時(shí)針的數據傳輸環(huán)路分別被定義為0環(huán)和1環(huán)，其網(wǎng)絡(luò )端口分別被稱(chēng)為西向端口和東向端口，相鄰兩個(gè)節點(diǎn)間的通信稱(chēng)為段，每一段間存在兩個(gè)收發(fā)數據相同方向相反的點(diǎn)對點(diǎn)通信。每個(gè)通信節點(diǎn)間發(fā)送數據時(shí)將冗余的節點(diǎn)數據通過(guò)雙向端口發(fā)送到相鄰的節點(diǎn)中，同樣地，在每個(gè)通信節點(diǎn)都會(huì )接收到順時(shí)針和逆時(shí)針雙環(huán)冗余的數據，在接收后對數據進(jìn)行篩選，這樣保證了即使雙環(huán)中的任一網(wǎng)絡(luò )設備出現故障時(shí)，不會(huì )造成整個(gè)環(huán)網(wǎng)的網(wǎng)絡(luò )癱瘓，仍能保持正常的安全級通信。

2.2　高效的數據傳輸路徑

安全級通信網(wǎng)絡(luò )數據傳輸模型如圖2所示，此模型為適應上述通信模型和網(wǎng)絡(luò )拓撲所建立。展示了控制站#1的數據傳輸路徑，當應用層產(chǎn)生需要發(fā)送至其他節點(diǎn)的數據后首先存儲在內存映射傳輸子層的緩存區內，隨后待發(fā)送的數據在MAC控制子層進(jìn)行組幀打包操作，MAC數據通道按照排隊機制擇機將打包好的數據幀通過(guò)物理層發(fā)出，同樣冗余數據分別發(fā)送給上游和下游相鄰節點(diǎn)。當控制站#2接收到來(lái)自控制站#1的數據后，會(huì )首先在MAC數據通道層進(jìn)行排隊處理，隨后將數據送往MAC數據通道子層進(jìn)行拆包處理，處理完成后存儲在內存映射傳輸子層中的內存中已被應用層調用；數據幀在到達MAC數據通道子層后，會(huì )同時(shí)傳輸至下一個(gè)節點(diǎn)進(jìn)行同樣的操作，直到數據在環(huán)網(wǎng)上所有的節點(diǎn)都被接收到，在達到最后一個(gè)節點(diǎn)后，此時(shí)數據包生命周期長(cháng)度達到預設值，數據包被丟棄。

圖2 數據傳輸路徑

3 基于FPGA的安全級通信系統實(shí)現

以一個(gè)n個(gè)節點(diǎn)的通信環(huán)網(wǎng)為例，在每一個(gè)節點(diǎn)的數據鏈路層要實(shí)時(shí)接收來(lái)自其他47個(gè)通信節點(diǎn)的數據，將所有節點(diǎn)的數據解析后存儲到本節點(diǎn)的緩存區，還要同時(shí)將解析后的數據進(jìn)行計算處理并轉發(fā)至下一個(gè)通信節點(diǎn)。這一系列的數據處理過(guò)程可以通過(guò)基于嵌入式技術(shù)的微控制器（MCU）或微處理器（MPU）來(lái)實(shí)現，但是由于處理流程的限制，無(wú)論使用MCU還是MPU均會(huì )產(chǎn)生大量的耗時(shí)并且還要考慮CPU負荷率的因素，因此采用處理速度快、可以并行執行并且延時(shí)確定的FPGA技術(shù)來(lái)實(shí)現數據鏈路層，可以極大限度保證數據處理和轉發(fā)的時(shí)間，以滿(mǎn)足實(shí)時(shí)性的要求^[9]。

3.1　基于FPGA的通信系統的設計

基于FPGA的通信系統的簡(jiǎn)化框圖如圖3所示，兩個(gè)基于FPGA架構的通信設備通過(guò)物理層端口互相連接并且傳輸數據。每個(gè)通信節點(diǎn)中都設置一塊RAM作為緩存區域，在RAM中分配了經(jīng)過(guò)組態(tài)配置的環(huán)網(wǎng)中所有節點(diǎn)的數據存儲空間，作為每個(gè)通信板卡的核心組成部分，每個(gè)通信節點(diǎn)的數據均保存在此緩存區中，供應用層調取。如圖4中的虛線(xiàn)箭頭的節點(diǎn)所示，環(huán)網(wǎng)中每個(gè)節點(diǎn)都會(huì )將接收到的其他通信節點(diǎn)的信息存儲到本地緩存區以便應用層調用，并且將應用層要發(fā)送的數據存在本節點(diǎn)緩存區發(fā)往上下游的各個(gè)節點(diǎn)。因此，通信系統的本質(zhì)就是將每個(gè)節點(diǎn)內部緩存區中的所有節點(diǎn)的數據信息進(jìn)行實(shí)時(shí)更新，以保證應用層讀取到的其他節點(diǎn)狀態(tài)信息，且這些信息都保持最新?tīng)顟B(tài)。

圖3 基于FPGA的通信系統簡(jiǎn)化框圖

由于FPGA技術(shù)的應用，所有的通信處理流程都是并行處理的，如圖4所示，以通信節點(diǎn)1為例，無(wú)論是端口1的接收和端口2的發(fā)送，還是應用層從RAM讀數據和應用層往RAM中寫(xiě)數據，都是并行執行的，也就是說(shuō)在整個(gè)系統中所有的數據收發(fā)和讀寫(xiě)都可以同時(shí)進(jìn)行，極大地提高了通信數據的吞吐量和通信網(wǎng)絡(luò )的效率，保證了通信系統的實(shí)時(shí)性。同時(shí)，由于FPGA內部的時(shí)序和狀態(tài)機可通過(guò)設計實(shí)現，在處理信息時(shí)的處理速度和最大延時(shí)可以通過(guò)計算得出，滿(mǎn)足了通信系統設計的確定性原則。

3.2　基于FPGA優(yōu)化的數據幀

為了保證數據有效性和完整性，在通信系統中數據幀格式通常需要加入校驗機制，循環(huán)冗余校驗（CRC）是當前幾乎所有通信協(xié)議中通用的校驗方式，且在這些通信協(xié)議中只使用這一種校驗方式^[10]。根據FPGA中邏輯單元和寄存器均可并行執行的特點(diǎn)，可以加入另外一轉協(xié)議實(shí)現幀頭部分檢測功能，以便于在執行過(guò)程中即可以判斷其數據有效性，從而確定是否將后面大量的數據存儲到相應的RAM空間中，而不是在一整幀的數據全部收取完成后再進(jìn)行判斷和后續處理。這種校驗稱(chēng)之為錯誤糾錯檢查（ECC），圖4為通信系統的數據幀格式，此種數據幀格中ECC與CRC同時(shí)作用，能夠快速地判斷出此數據幀是否有效^[11]。這種數據幀針對FPGA系統進(jìn)行了優(yōu)化，避免了多余的操作流水線(xiàn)，提高了通信效率。

圖4 為FPGA系統優(yōu)化的數據幀格式

3.3　通信隔離

為了實(shí)現設計規范中的獨立性的要求，在安全級通信網(wǎng)絡(luò )中的各通信單元應實(shí)現隔離，隔離系統設計如圖5所示，此隔離系統分為三個(gè)層次。發(fā)送側和接收側互相分離并且通過(guò)光纖介質(zhì)進(jìn)行通信，實(shí)現了實(shí)體分離和電氣隔離。此外，在FPGA中通過(guò)雙口RAM來(lái)實(shí)現通信隔離，保證接收端口的數據與FPGA讀取到的數據不受電氣性能的影響，保證了系統的獨立性和可靠性。

圖5 隔離系統

4　功能與系統指標驗證

采用兩種方式對通信系統進(jìn)行驗證，通過(guò)FPGA必備的仿真和在線(xiàn)邏輯分析的手段進(jìn)行功能通信模塊的功能驗證，通過(guò)實(shí)際工程應用的條件進(jìn)行組網(wǎng)測試來(lái)驗證系統指標。

4.1　功能驗證

根據NUREG-CR-7006等FPGA的設計規范，在FPGA設計完成之后，應進(jìn)行行為級仿真以確認其實(shí)現功能的正確性^[12]。在仿真結果確認正確后，進(jìn)行在線(xiàn)調試操作，采用實(shí)物通信模塊硬件組網(wǎng)的形式，使用在線(xiàn)邏輯分析對實(shí)際板上FPGA內部的數據進(jìn)行抓取，以確認結果的正確性。

圖6 安全級通信系統的驗證

無(wú)論是仿真測試還是實(shí)際在線(xiàn)調試，都按照圖6所示的方式將四個(gè)通信模塊連接起來(lái)，在通信模塊#1的I端加注信號，信號一次通過(guò)其他3個(gè)模塊再傳回到模塊#1，在O端進(jìn)行信號抓取，以觀(guān)測整個(gè)數據經(jīng)過(guò)通信系統傳輸后是否能夠傳回相同的結果。通過(guò)發(fā)包工具在I端加注的信號，在線(xiàn)邏輯分析儀對信號進(jìn)行O端的信號抓取，同時(shí)觀(guān)測發(fā)送和輸出端FPGA內部的RAM更新情況，測試結果如圖7所示，確認其接收的數據與發(fā)送的數據完全一致，邏輯實(shí)現功能正常。

圖7 在線(xiàn)邏輯分析儀抓取數據結果

4.2　安全級V&V和鑒定

本設計中通過(guò)了FPGA代碼通過(guò)了獨立的驗證與確認（V&V）和硬件通過(guò)了鑒定，滿(mǎn)足安全級系統的應用要求，可以應用在核安全級的工程項目中^[6][12]。

4.3　系統指標驗證

根據核電廠(chǎng)DCS中環(huán)網(wǎng)的實(shí)際應用場(chǎng)景進(jìn)行組網(wǎng)測試，如圖8所示，將所有的節點(diǎn)順序連接，可以組成28個(gè)節點(diǎn)數量可配置的通信環(huán)網(wǎng)。通過(guò)對所有通信節點(diǎn)進(jìn)行檢測，記錄其節點(diǎn)的最大數據更新時(shí)間，可測得在一定節點(diǎn)數量下，安全級通信環(huán)網(wǎng)的節點(diǎn)數據更新時(shí)間穩定在7ms，完全滿(mǎn)足目前所有安全級通信網(wǎng)絡(luò )的應用場(chǎng)景。

圖8 系統指標測試網(wǎng)絡(luò )模型

5　結論

本文介紹了一種基于FPGA技術(shù)實(shí)現的核安全級千兆通信網(wǎng)絡(luò )系統設計，其滿(mǎn)足安全級通信系統可靠性、安全性、實(shí)時(shí)性、確定性和獨立性的要求。通過(guò)分析了安全級通信網(wǎng)絡(luò )系統的設計要求，建立了通信網(wǎng)絡(luò )的模型和架構，明確了網(wǎng)絡(luò )數據傳輸的形式和路徑，完成了通信系統的設計和FPGA實(shí)現，并且結合核電廠(chǎng)實(shí)際應用情況進(jìn)行了功能和系統的驗證。目前，該套具有自主知識產(chǎn)權的安全級通信網(wǎng)絡(luò )已經(jīng)成功取得了工程應用，適用于各種堆型，為數字化儀控系統的國產(chǎn)化打下堅實(shí)的基礎。

作者簡(jiǎn)介：

程　康（1983-），男，高級工程師，碩士，現就職于北京廣利核系統工程有限公司，從事核安全級儀控系統設計工作。

李明鋼（1977-），男，漢族，河南平頂山人，高級工程師，學(xué)士，現任北京廣利核系統工程有限公司副總經(jīng)理，主要從事核電儀控系統設計制造生產(chǎn)管理相關(guān)工作。

參考文獻：

[1] 楊岐. 核電廠(chǎng)數字化I&C系統關(guān)鍵技術(shù)研究現狀及發(fā)展策略[J]. 核動(dòng)力工程, 2002, 23 (1) : 66 - 69.

[2] Westinghouse. AP1000 Protection and Safety Monitoring System Architecture Technical Report[R], PA: Westinghouse Electric Company LLC, 2010.

[3] H Hashemanian, P Tipping. Development and Application of Instrumentation and

control (I&C) components in nuclear power plants NPP[C]. Cambridge: Woodhead, 2010 : 508-544.

[4] IEEE std 7-4.3.2. IEEE Standard Criteria for Safety Systems for Nuclear Power Generating[S].

[5] 馬光強, 杜喬瑞, 石桂連等. 先進(jìn)核安全級儀控系統通信協(xié)議技術(shù)研究[J]. 儀器儀表用戶(hù), 2013, 20 (5) : 29 - 31.

[6] IAEA. Implementing Digital Instrumentation and Control Systems in the Modernization of Nuclear Power Plants[R]. US: IAEA Nuclear Energy Series, 2011.

[7] IEEE Std 603-1998. IEEE Standard Criteria for Safety Systems for Nuclear Power[S].

[8] ISO/IEC/IEEE 8802-3:2017. Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks - Specific requirements - Part 3: Standard for Ethernet[S].

[9] P. McNelles, L. Lu. A review of the current state of FPGA systems in nuclear instrumentation and control[C].AMSE, Proceedings of the 2013 21st International Conference on Nuclear Engineering, Chengdu: ICONE21.

[10] 姜群興, 闞睿. 基于FPGA 技術(shù)的核安全級通訊技術(shù)研究[J]. 工業(yè)控制計算機, 2013, 26 (10) : 84 - 85.

[11] J Layton. Error detection and correction[J]. Linux Mag, 2014, 128 (1) : 4 - 8.

[12] NUREG/CR-7006. Review Guidelines for Field-Programmable Gate Arrays in Nuclear Power Plant Safety Systems[S].

摘自《自動(dòng)化博覽》2023年8月刊