摘要：通信系统是核安全级仪控系统重要的技术组成部分，其负责系统内各子系统之间的通信，对整个系统的实时性、可靠性和安全性等有重要的影响。本文通过对核电标准及行业文献的分析和解读，归纳出核安全级通信网络应该具有可靠、实时、安全、确定和独立等特征要求，并基于这些要求设计和实现了一套基于逆向冗余双环拓扑的通信网络（称为FirmNet）及产品，目前FirmNet网络已应用于国内多家核电厂反应堆控制保护系统中。相关分析和设计对于研制核安全级通信网络具有很高的参考价值。
关键词：核电厂；核安全级仪控系统；通信系统
Abstract: The communication system is an important technical component of nuclear safety level instrument control system, which is responsible for the communication among multiple subsystems of the integral system. It has an important impact on the real-time, reliability and safety of the whole system.
Based on the thorough analysis of nuclear power standard and literature, this paper concludes that the nuclear safety level communication networks should be reliable, real-time, safety, determination and independent. Casting on these basis requirements, we design and implement FirmNet, a reverse redundant loop topology. FirmNet has been employed in multiple domestic nuclear power plant reactor control and protection systems. The related analysis and design have a high reference value for developing nuclear safety level communication network.
Key words: Nuclear power plant; Nuclear safety instrument and control system; Communication system

1　引言
仪控系统是整个核电站的神经中枢系统，其中核安全级仪控系统主要用于实现控制核反应堆安全停堆、堆芯余热排出，和（或）限制预计运行事件和事故工况后果的系统。核安全级仪控系统是保障核电站安全运行的第一道防线，该系统能否安全、可靠、实时地运行对核电站安全至关重要。
在核安全级仪控系统中，关键的通信网络可以分为两类：一类是冗余通道之间控制站之间的通信，主要传输用于反应堆跳堆表决逻辑的数据，这一部分通信一般采用点对点通信技术；另一类是整个保护系统内各控制站之间的通信，主要传输反应堆运行参数，控制系统状态数据，人机接口数据等。
其中第二类通信是控制保护系统的骨架，对整个系统的可扩展性、实时性、可靠性、安全性有重要影响。
本文主要针对第二类通信系统进行分析和设计。通信架构如图1所示。

核安全级通信网络作为核电厂仪控系统的重要组成部分，其设计和设备研制除了遵守通信相关的核电标准还必须遵守核电厂仪控系统相关的一系列标准，另外，工业通信标准也具有重要的参考价值。

通过对一系列标准的分析和大量技术文献的整理，我们总结出核安全级通信网络应该具有五个关键的特性：可靠性、安全性、实时性、确定性和独立性。

本文对五个特性进行了分析说明，并结合北京广利核系统工程有限公司研制中国首个核安全级数字化控制保护系统通用平台——FirmSys的实际工作，从构成通信系统的拓扑结构、通信介质、通信协议和通信设备等四个层面对如何实现这五个关键特性进行了阐述。

2　核安全级通信系统关键特征
通过对IEEE 7-4.3.2、IEEE 603、IEC 61513、IEC 61500等国际标准和NUREG/CR-6082、NUREG/CR-6991、DI&C-ISG-04等NRC审查指导文件的解读可以发现，核安全级仪控系统对其通信系统有很多明确的要求和约束，其中对通信系统本身的要求可以归纳为以下几个方面：
（1）可靠性
可靠性指通信系统在一定时间内，在正常和异常工况下无故障的完成通信功能的能力。一般来讲，提高仪控系统的可靠性主要有三种途径：一是简化系统的设计，减少可能出错的点；二是采取容错措施；三是系统设备执行自检测和对系统进行周期性试验。
（2）安全性
安全性包括功能安全和信息安全两方面的要求：功能安全指通信系统避免反应堆处在潜在危险或不稳定状态的能力，核安全级通信系统故障不能以任何方式危害反应堆控制保护系统安全功能的执行。
通信系统在任何情况下都不得危害到反应堆控制保护系统的安全功能。信息安全指通信系统具有较强的防御黑客、病毒、恶意代码等各种形式的恶意破坏和攻击的能力。反应堆控制保护系统必须按照安全分区，网络专用，横向隔离，纵向认证和综合防护的原则进行安全防护。因此，除了支持安全分区，通信网络必须做到网络专用，并支持横向隔离和纵向认证。
（3）确定性
确定性指在通信系统配置阶段，就能够精确计算出通信速率、通信延迟、吞吐量、通信负荷、数据更新时间等关键运行指标。
核安全级通信系统应该是基于状态的通信，即按照固定的时间间隔发送固定的数据集，而不管数据是否发生变化。通信过程中消息的长度、构成、传输路径、延迟、通信负荷等应该是不变的。
（4）实时性
实时性指通信系统在有限的时间内把过程数据或操作指令正确传输到目的地的能力。
核安全级通信系统应该提供充分的性能，以保证从任意通信节点发出的任何数据都可以在一定的时间限制内，被预期的目标结点正确接收到，即使在最坏的工况下也要满足执行安全功能而要求实时性。
（5）独立性
独立性指通信系统应该满足实体分离，电气隔离，通信隔离和功能独立。
数据通信不应依赖于接收方的确认消息。
不同安全等级的通信系统间通信时，数据通信应该由安全等级高的通信系统来掌控，并且数据应该是从高安全级别通信系统流向低安全级别通信系统，原则上安全等级低的通信系统不允许向安全等级高的通信系统发送数据。
3　核安全级通信系统设计
核安全级通信系统的关键特性主要是通过其拓扑结构、通信介质、通信协议和通信设备来体现的，每一个环节都能够在不同的层面体现出一个或多个关键特性。

3.1　拓扑结构
在通信过程中，有动态和静态两类路由选择策略。动态路由会增加通信时间的不确定性，而静态路由有利于实现通信时间的确定性，所以核安全级通信网络应该选择静态路由策略。
不同的拓扑结构能够为网络带来不同的可靠性。比如总线型和星型拓扑能够天然的保证单一网络节点的故障不会影响到其他网络节点的通信。而环型拓扑具有天然的通信链路冗余特性。

为提高通信的可靠性，核安全级通信网络的通信链路要冗余，以保证一条链路故障时，数据仍然可以通过冗余链路进行传输。
3.2　通信介质
通信介质可以分为两大类，导向传输介质和非导向通信介质，即有线和无线。核安全级通信网络的通信介质属于1E级装置，考虑到实时性、可靠性、信息安全性等因素，在目前技术条件下不考虑无线通信介质。
目前较为成熟的有线通信介质主要有同轴电缆、双绞线和光纤三种。同轴电缆和双绞线带宽低，信号传输距离短，对电磁干扰比较敏感，可以应用在短距离场合，如控制机柜内部。同轴电缆因为接口、体积、成本等原因，应用较少。相比较而言，光纤因其与生俱来的优点更适合应用在工业场合。

核安全级通信网络的通信介质应该优先选择光纤。
3.3　通信协议
通信协议是指通信实体完成通信或服务所必须遵循的规则和约定。协议定义了数据单元使用的格式，数据单元应该包含信息与含义、连接方式、信息发送和接收的时序，从而确保网络中数据顺利地传送到确定的地方。
通信协议是通信网络的灵魂，是通信系统中最复杂的部分，也最容易导致通信错误。本文从构成通信协议要素的服务、环境假设、编码和过程规则等方面介绍核安全级网络通信协议的设计特点，这些特点都直接或间接地体现了通信网络的可靠性、安全性、独立性和确定性要求。
（1）服务
核安全级通信协议应该坚持最简化原则，只使用OSI参考模型中的三层，即物理层、数据链路层和应用层，并且仅提供必须的服务。
报警：通信协议在检测到可能危害反应堆控制保护系统安全功能的错误或故障时，向通信系统的应用程序层发出报警。
自监视：自监视指通信协议能够持续、自动地对整个通信系统的连通性、完整性和各类通信错误进行监视和统计，并且把监视结果和统计数据提供给应用程序层。
预定义输出：预定义输出指协议能够在监测到严重的通信故障或数据错误时，固定输出预定义数据的服务。
接入认证：在有通信节点请求接入核安全级通信系统时，必须使用通信协议的接入认证服务，只有通过严格认证的数据才允许进入通信系统传输。
隔离：隔离服务能够把通信节点与应用层软件之间的通信切断，从而实现双方的隔离。
（2）环境假设
链路冗余：核安全级通信系统应该提供冗余的链路，以确保一条链路出现故障时，通信仍然能够正常进行。并且冗余的链路还可以帮助通信系统实现检错和排错能力。
静态路由：核安全级通信系统的数据通信链路应该是预先设定好的，不允许在通信系统运行过程中动态改变。
（3）编码
使用封装：封装是指协议对应OSI模型中的高层把其相邻下层需要的数据进行“包裹”的一种设计方法。
封装能够维持协议各层独立并实现消息分段传输。
帧长度固定：核安全级通信协议的帧必须采用固定的长度，如果要传输的数据无法填满帧的数据域，则向数据域填充占位数据。帧长度固定可以增强通信的确定性。
帧格式确定：核安全级通信协议的帧格式必须是确定的。同一类型的帧都应该具有相同的域结构和相同的位置顺序，包括消息标识、状态信息、数据位等。
专有性：核安全级通信协议的帧格式和编码应该与目前已知的通信协议有所区别，消除外部数据伪装进入通信系统的可能。
检错/纠错编码：核安全级通信协议帧应该采用检错或纠错编码，以确保数据能被正确接收并正确理解。
负荷无关性：核安全级通信协议不允许产生随着通信负荷大小变化而变化的数据。
（4）过程规则
单向通信：核安全级通信系统中节点间的通信不执行通信握手，数据传输完全由发送方控制，数据接收方不用向发送方反馈“确认”消息。
传输固定数据集：只有预定义的数据集能够被发送以及被接收方使用。不被认可的消息或数据要被接收方参照预先确定的设计要求识别出来并加以处理。
周期通信：核安全级通信协议必须按照固定的周期进行数据通信，节点必须在一个周期内传输全部数据，而不管数据是否发生了变化。
数据固定位置存储：通信节点接收到的数据应该被放置到存储区预先定义好的位置上，并且这些存储位置不能再做其他用途。
数据冗余：核安全级通信协议应该具有数据冗余机制，以提高通信系统的可靠性。
防止故障蔓延：通信节点不允许转发破损的协议帧，应该在识别后对其进行丢弃。
单点故障容错：核安全级通信系统中单个通信节点的失效或故障不应该影响整个通信系统的正常通信。
差错控制：核安全级通信协议必须对IEC 61500规定的八种通信错误进行检测并采取相应的处理措施。
确定的延迟：核安全级通信协议必须能够保证数据传输所有环节中各种延迟的确定性。从而能够在确定了数据集、帧长度和传输周期后就能够计算出通信系统可能的最大通信延迟。
顺序无关性：核安全级通信系统的通信节点的正确运行不能依赖于其在整个通信系统中的位置或其与其他节点的相互顺序。
无链式反应：核安全级通信协议不允许存在链式反应，即协议不能根据传输数据的内容而自动产生新的数据。
3.4　通信设备
通信设备是构成网络的实体，是实现通信协议的载体。从实现技术来讲，通信设备可以基于纯硬件实现，也可以在硬件的基础上采用软件和（或）可编程逻辑实现。
从功能特点和实现技术的特点来看，通信功能部分直接影响网络的实时性，所以通过可编程逻辑技术实现。网络应用层和配置相关的功能面临的需求更加多样化，因此适宜通过软件实现。
软件应该采用无中断，固定周期，内存静态分配，任务静态调度的设计，以实现通信的确定性。
设备自诊断是提高系统可靠性的重要手段。通信设备通过监视设备的供电、时钟、看门狗、内存、CPU等是否存在异常，以及时地采取相应的应对措
施，并及时向工作人员发出警告，可以提高系统的可靠性。
4　FirmNet通信网络设计
FirmNet通信网络采用环形拓扑结构，光纤通信介质，物理层遵循IEEE802.3z标准，自主设计的通信协议。如图4所示。

FirmNet通信网络主由通信节点和链路组成，通信协议运行在通信节点设备中。
（1）基本数据操作
FirmNet通信协议中包含四种对数据帧的操作：
上环：指节点把本节点的数据帧发送到环上。
过环：指节点把接收到的帧继续发送给下一个相邻的节点。
下环：指节点把接收到的帧更新到本节点的数据区，但不进行剥离。
剥离：指节点在接收到帧后不再对其进行过环操作。
（2）通信过程
FirmNet通过广播方式，同时将帧对0环和1环执行上环操作实现数据的冗余。
如图5所示，节点A以预先设定的时间间隔同时对0环和1环执行上环操作，此时有两份相同的数据在两个环上传输，其他节点在接收到节点A发出的数据帧后，同时执行过环和下环操作，即在把数据帧发给下游节点的同时，把数据复制到本地缓存区中。各节点依次对数据帧执行过环、下环操作，该数据帧最终会返回到节点
A，节点A对自己发出数据帧执行剥离操作。
数据帧在环上传输一周后，每个节点都会把收到的数据更新到本地缓存区，并且数据按照预先设定的位置存储。每个节点都会接收到两份相同的数据，实现了数核电仪控

据冗余。
（3）确定性
FirmNet网络采用基于状态的通信，采取以下措施实现网络通信的确定性：
·  网络节点按照固定的周期发送预定义的数据集；
·  网络节点每周期内把所有的数据全部传输完；
·  网络数据帧使用固定的长度；
·  每个数据分配专用的存储空间；
·  采用“转发-复制”而非“存储-转发”模式对过环数据进行转发；
·  采用“环上数据优先，只退让一个报文”的原则处理发送端口竞争；
（4）故障零自愈
由于FirmNet网络实现了数据与链路的双重冗余，所以具有天然的故障容错能力。

5　网络测试和验证
我们首先采用基于离散事件的仿真模型对FirmNet的网络进行了仿真，然后采用基于模型检查（ModelChecking）的形式化方法对FirmNet通信协议进行了全覆盖验证，最后使用FirmNet产品搭建满配置的网络样机，进行了三年多全面深入的实际测试。
网络仿真和通信协议形式化验证保证了FirmNet的高安全性和确定性，实际网络测试也证明FirmNet网络产品具有很高的可靠性和实时性。
FirmNet网络实现了1Gbps的通信速率，在48个节点的配置下，节点数据最大更新时间小于7ms，完全满足核电厂反应堆控制保护系统的应用要求。
6　结束语
本文对核安全级通信网络应该具有的五种关键特征进行了说明，并从组成通信网络的拓扑结构、通信介质、通信协议和通信设备等方面阐述了如何实现这些特性。
北京广利核系统工程有限公司在研制中国首套完全自主知识产权的核安全级数字化仪控系统平台和睦系统的过程中，根据本文提出的设计方案自主实现了一种全新的核安全级通信网络——FirmNet，并应用在国内多个反应堆控制保护系统中。
实践证明本文提出的建议和设计方案是合理、有效的，对于选择或自主设计一个核安全级通信网络具有非常高的参考价值。

摘自《自动化博览》2018年5月刊