★北京广利核系统工程有限公司程康，李明钢

关键词：安全级DCS；通信系统；环网

1　引言

自20世纪80年代数字化仪表与控制（I&C）技术首次应用于核电站以来，短短的几十年中取得了巨大的发展，已经逐步取代了模拟I&C系统。随着近40年的技术改进，数字化I&C系统已经由单机测控系统发展到了集散控制系统（DCS）。在安全级DCS系统中，利用安全级通信网络将分散在现场执行数据采集、运算和控制功能的控制站与主控室的各种操作站相连接，实现分散采集、控制、维护和监视等功能，完成各控制站以及人机接口间的运行状态和实时数据的交互^[1]。

近年来，安全级通信领域通常采用嵌入式系统通过特有的通信协议来实现站间通信数据的传输，例如，在美国西屋公司第三代核电AP1000的CommonQ平台中，采用以RS-485技术实现，传输速度为3.2Mbps；在西门子公司的TXS平台中，对于状态和指令传输的安全级通信网络采用了以太网技术，传输速度达到10Mbps^[2]。随着近年来通信技术的发展和工程设计中数据量和数据传输量的增多，研究一种传输速度更快、网络容量更大，同时满足安全级要求的通信网络来优化当前的DCS系统指标是众多设计者努力的方向^[3]。

本文提出了一种全新的核安全级通信网络实现方法——利用多点通信和冗余环网技术，并且借助FPGA流水线和数据并行处理的优势，实现了通信速率可达千兆的安全级通信环网，同时满足核安全法规和标准中对安全级通信可靠性、安全性、实时性、确定性和独立性的要求。这套通信系统已经通过验证，并且在中国首套拥有自主知识产权的安全级DCS系统——FirmSys成功应用。

2　安全级通信系统架构设计

作为应用在核电站的安全级系统，在设计上必须满足相关的标准和规范的要求，与安全级DCS相关的标准，如IEC 61513（核电厂以安全为主的系统用仪器仪表和控制系统的一般要求）、IEEE 603（核电站安全系统准则）、IEEE7-4.3.2（核能发电站安全系统中数字计算机的标准）、NUREG/CR-7006（核电站安全级系统现场可编程门阵列设计指南）等，均对安全级DCS系统及其通信系统的设计做出了规范。结合上述标准和规范，安全级通信系统要考虑以下几点：

· 可靠性：通信系统在一定时间内，在包括正常和异常工况下无故障完成通信功能的能力^[4]。

· 安全性：通信系统能够使反应堆免于处在危险状态或不稳定状态的能力^[5]。

· 实时性:通信系统在有限时间内将过程数据或操作指令无差错传输到目的设备的能力^[6]。

· 确定性：通信系统设计时，都能够精确地计算出其通信速度、延时、吞吐量、网络负荷以及数据更新周期等关键性能指标。

· 独立性：通信设备应满足实体分离、电气隔离、通信隔离和功能独立的要求^[7]。

通信系统协议和架构的设计，直接影响了通信系统的运行方法、效率和性能，在整个通信系统设计中起到至关重要的作用，因此，在设计协议和架构时，必须考虑到上述设计要求。

2.1　安全可靠的网络拓扑

根据实时性和确定性的要求，在实现安全级通信网络时应采用传输速度最快且传输距离较远的光纤传输方式，并且通过广播的形式实现数据通信以保证数据传输仅依赖于发送节点，因此采用易于实现光纤传输的通信延时确定的环网拓扑结构是最佳选择^[8]。为了避免节点故障导致网络瘫痪，采用双向冗余双环的网络设计以提高安全级通信的可靠性，具体网络拓扑如图1所示。

图1 双向冗余环网拓扑

在双环冗余网络拓扑中，顺时针和逆时针的数据传输环路分别被定义为0环和1环，其网络端口分别被称为西向端口和东向端口，相邻两个节点间的通信称为段，每一段间存在两个收发数据相同方向相反的点对点通信。每个通信节点间发送数据时将冗余的节点数据通过双向端口发送到相邻的节点中，同样地，在每个通信节点都会接收到顺时针和逆时针双环冗余的数据，在接收后对数据进行筛选，这样保证了即使双环中的任一网络设备出现故障时，不会造成整个环网的网络瘫痪，仍能保持正常的安全级通信。

2.2　高效的数据传输路径

安全级通信网络数据传输模型如图2所示，此模型为适应上述通信模型和网络拓扑所建立。展示了控制站#1的数据传输路径，当应用层产生需要发送至其他节点的数据后首先存储在内存映射传输子层的缓存区内，随后待发送的数据在MAC控制子层进行组帧打包操作，MAC数据通道按照排队机制择机将打包好的数据帧通过物理层发出，同样冗余数据分别发送给上游和下游相邻节点。当控制站#2接收到来自控制站#1的数据后，会首先在MAC数据通道层进行排队处理，随后将数据送往MAC数据通道子层进行拆包处理，处理完成后存储在内存映射传输子层中的内存中已被应用层调用；数据帧在到达MAC数据通道子层后，会同时传输至下一个节点进行同样的操作，直到数据在环网上所有的节点都被接收到，在达到最后一个节点后，此时数据包生命周期长度达到预设值，数据包被丢弃。

图2 数据传输路径

3 基于FPGA的安全级通信系统实现

以一个n个节点的通信环网为例，在每一个节点的数据链路层要实时接收来自其他47个通信节点的数据，将所有节点的数据解析后存储到本节点的缓存区，还要同时将解析后的数据进行计算处理并转发至下一个通信节点。这一系列的数据处理过程可以通过基于嵌入式技术的微控制器（MCU）或微处理器（MPU）来实现，但是由于处理流程的限制，无论使用MCU还是MPU均会产生大量的耗时并且还要考虑CPU负荷率的因素，因此采用处理速度快、可以并行执行并且延时确定的FPGA技术来实现数据链路层，可以极大限度保证数据处理和转发的时间，以满足实时性的要求^[9]。

3.1　基于FPGA的通信系统的设计

基于FPGA的通信系统的简化框图如图3所示，两个基于FPGA架构的通信设备通过物理层端口互相连接并且传输数据。每个通信节点中都设置一块RAM作为缓存区域，在RAM中分配了经过组态配置的环网中所有节点的数据存储空间，作为每个通信板卡的核心组成部分，每个通信节点的数据均保存在此缓存区中，供应用层调取。如图4中的虚线箭头的节点所示，环网中每个节点都会将接收到的其他通信节点的信息存储到本地缓存区以便应用层调用，并且将应用层要发送的数据存在本节点缓存区发往上下游的各个节点。因此，通信系统的本质就是将每个节点内部缓存区中的所有节点的数据信息进行实时更新，以保证应用层读取到的其他节点状态信息，且这些信息都保持最新状态。

图3 基于FPGA的通信系统简化框图

由于FPGA技术的应用，所有的通信处理流程都是并行处理的，如图4所示，以通信节点1为例，无论是端口1的接收和端口2的发送，还是应用层从RAM读数据和应用层往RAM中写数据，都是并行执行的，也就是说在整个系统中所有的数据收发和读写都可以同时进行，极大地提高了通信数据的吞吐量和通信网络的效率，保证了通信系统的实时性。同时，由于FPGA内部的时序和状态机可通过设计实现，在处理信息时的处理速度和最大延时可以通过计算得出，满足了通信系统设计的确定性原则。

3.2　基于FPGA优化的数据帧

为了保证数据有效性和完整性，在通信系统中数据帧格式通常需要加入校验机制，循环冗余校验（CRC）是当前几乎所有通信协议中通用的校验方式，且在这些通信协议中只使用这一种校验方式^[10]。根据FPGA中逻辑单元和寄存器均可并行执行的特点，可以加入另外一转协议实现帧头部分检测功能，以便于在执行过程中即可以判断其数据有效性，从而确定是否将后面大量的数据存储到相应的RAM空间中，而不是在一整帧的数据全部收取完成后再进行判断和后续处理。这种校验称之为错误纠错检查（ECC），图4为通信系统的数据帧格式，此种数据帧格中ECC与CRC同时作用，能够快速地判断出此数据帧是否有效^[11]。这种数据帧针对FPGA系统进行了优化，避免了多余的操作流水线，提高了通信效率。

图4 为FPGA系统优化的数据帧格式

3.3　通信隔离

为了实现设计规范中的独立性的要求，在安全级通信网络中的各通信单元应实现隔离，隔离系统设计如图5所示，此隔离系统分为三个层次。发送侧和接收侧互相分离并且通过光纤介质进行通信，实现了实体分离和电气隔离。此外，在FPGA中通过双口RAM来实现通信隔离，保证接收端口的数据与FPGA读取到的数据不受电气性能的影响，保证了系统的独立性和可靠性。

图5 隔离系统

4　功能与系统指标验证

采用两种方式对通信系统进行验证，通过FPGA必备的仿真和在线逻辑分析的手段进行功能通信模块的功能验证，通过实际工程应用的条件进行组网测试来验证系统指标。

4.1　功能验证

根据NUREG-CR-7006等FPGA的设计规范，在FPGA设计完成之后，应进行行为级仿真以确认其实现功能的正确性^[12]。在仿真结果确认正确后，进行在线调试操作，采用实物通信模块硬件组网的形式，使用在线逻辑分析对实际板上FPGA内部的数据进行抓取，以确认结果的正确性。

图6 安全级通信系统的验证

无论是仿真测试还是实际在线调试，都按照图6所示的方式将四个通信模块连接起来，在通信模块#1的I端加注信号，信号一次通过其他3个模块再传回到模块#1，在O端进行信号抓取，以观测整个数据经过通信系统传输后是否能够传回相同的结果。通过发包工具在I端加注的信号，在线逻辑分析仪对信号进行O端的信号抓取，同时观测发送和输出端FPGA内部的RAM更新情况，测试结果如图7所示，确认其接收的数据与发送的数据完全一致，逻辑实现功能正常。

图7 在线逻辑分析仪抓取数据结果

4.2　安全级V&V和鉴定

本设计中通过了FPGA代码通过了独立的验证与确认（V&V）和硬件通过了鉴定，满足安全级系统的应用要求，可以应用在核安全级的工程项目中^[6][12]。

4.3　系统指标验证

根据核电厂DCS中环网的实际应用场景进行组网测试，如图8所示，将所有的节点顺序连接，可以组成28个节点数量可配置的通信环网。通过对所有通信节点进行检测，记录其节点的最大数据更新时间，可测得在一定节点数量下，安全级通信环网的节点数据更新时间稳定在7ms，完全满足目前所有安全级通信网络的应用场景。

图8 系统指标测试网络模型

5　结论

本文介绍了一种基于FPGA技术实现的核安全级千兆通信网络系统设计，其满足安全级通信系统可靠性、安全性、实时性、确定性和独立性的要求。通过分析了安全级通信网络系统的设计要求，建立了通信网络的模型和架构，明确了网络数据传输的形式和路径，完成了通信系统的设计和FPGA实现，并且结合核电厂实际应用情况进行了功能和系统的验证。目前，该套具有自主知识产权的安全级通信网络已经成功取得了工程应用，适用于各种堆型，为数字化仪控系统的国产化打下坚实的基础。

作者简介：

程　康（1983-），男，高级工程师，硕士，现就职于北京广利核系统工程有限公司，从事核安全级仪控系统设计工作。

李明钢（1977-），男，汉族，河南平顶山人，高级工程师，学士，现任北京广利核系统工程有限公司副总经理，主要从事核电仪控系统设计制造生产管理相关工作。

参考文献：

[1] 杨岐. 核电厂数字化I&C系统关键技术研究现状及发展策略[J]. 核动力工程, 2002, 23 (1) : 66 - 69.

[2] Westinghouse. AP1000 Protection and Safety Monitoring System Architecture Technical Report[R], PA: Westinghouse Electric Company LLC, 2010.

[3] H Hashemanian, P Tipping. Development and Application of Instrumentation and

control (I&C) components in nuclear power plants NPP[C]. Cambridge: Woodhead, 2010 : 508-544.

[4] IEEE std 7-4.3.2. IEEE Standard Criteria for Safety Systems for Nuclear Power Generating[S].

[5] 马光强, 杜乔瑞, 石桂连等. 先进核安全级仪控系统通信协议技术研究[J]. 仪器仪表用户, 2013, 20 (5) : 29 - 31.

[6] IAEA. Implementing Digital Instrumentation and Control Systems in the Modernization of Nuclear Power Plants[R]. US: IAEA Nuclear Energy Series, 2011.

[7] IEEE Std 603-1998. IEEE Standard Criteria for Safety Systems for Nuclear Power[S].

[8] ISO/IEC/IEEE 8802-3:2017. Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks - Specific requirements - Part 3: Standard for Ethernet[S].

[9] P. McNelles, L. Lu. A review of the current state of FPGA systems in nuclear instrumentation and control[C].AMSE, Proceedings of the 2013 21st International Conference on Nuclear Engineering, Chengdu: ICONE21.

[10] 姜群兴, 阚睿. 基于FPGA 技术的核安全级通讯技术研究[J]. 工业控制计算机, 2013, 26 (10) : 84 - 85.

[11] J Layton. Error detection and correction[J]. Linux Mag, 2014, 128 (1) : 4 - 8.

[12] NUREG/CR-7006. Review Guidelines for Field-Programmable Gate Arrays in Nuclear Power Plant Safety Systems[S].

摘自《自动化博览》2023年8月刊