姚万业 郑伟智 侯军委

(华北电力大学控制与计算机工程学院1，河北 保定 071003;北京广利核系统工程有限公司2，北京 100084)

0 引言

随着计算机和通信等数字化技术的发展，核电站逐渐采用先进的数字化技术DCS或PLC来取代传统的模拟技术设计仪控系统。我国首先将西门子的DCS平台TXS+TXP应用于田湾核电站，并设计了仪控系统［1］;随后在岭澳二期、红沿河、福清、三门等核电项目中也全部采用了数字化技术。

通信作为数字化技术中的关键技术之一，对构建整个仪控系统，实现各个控制站之间的数据交互起着关键的作用。通信技术存在点对点通信、环网通信、总线通信等多种技术形态，这些技术分别具有不同的特点。仪控系统一般分为安全级和非安全级两大部分，安全级仪控系统因主要用于保证核电站的安全控制功能，在可靠性方面要求更高，因此，相关核安全法规和标准对通信设计提出了很多要求。APWR项目是三菱重工开发的三代压水堆核电站。基于三菱电机的DCS平台MELTAC，设计了仪控系统。

本文主要结合法规标准要求，对APWR数字化仪控系统通信技术的应用进行分析研究，为我国数字化仪控系统的自主化设计提供借鉴。

1 安全级通信设计一般要求

核电站安全级系统的设计须满足核安全法规和标准的要求，并应通过核安全机构的审查。通信设计除需要满足单一故障准则等安全级通用设计要求外，IAEA的安全导则NS-G-1.3中规定，通信要保证独立性。通过选择系统结构和数据通信协议方法，使一个系统中发生的逻辑故障或软件故障不可能对与之相连接的系统产生不利影响。数据通信技术的应用，不应使系统结构内的处理部件或逻辑元件的实体的或功能的通道化失效。一般应尽可能避免从较低安全级系统到较高安全级系统的数据流［2］。IEC 61513 和IEEE 7-4.3.2 中也提出了类似的要求［3－4］。美国安全审查机构NRC通过的审查导则 RG1.152 参考了 IEEE 7-4.3.2(2003)，安全审查时须满足该标准提出的设计要求，同时NRC的审查方法也是我国安全审查机构的主要参照对象。具体如何实现通信独立性，虽然IEEE 7-4.3.2通过附件E给出了几种通信型式，但NRC并未对其认可。

为了便于进行安全审查，NRC又针对数字化通信技术的应用出具了过渡审查导则ISG-04［5］，提出了如下关键要求。

①一个安全通道不应该接收来自其所属安全序列之外的任何通信，除非该通信支持或增强了安全功能的性能，如执行表决逻辑。

②一个安全通道应设置保护，使其不能受其他安全序列任何故障的影响。为了使通信错误或故障不干扰安全功能的执行，通信处理本身应该由与执行安全功能的处理器相分离的通信处理器来执行。

③重要的通信应采用通过专用介质(铜或光缆)的“点对点”方式［5，8］，如在安全序列之间采用点对点的通信方式实现停堆逻辑表决。

除了相关法规标准要求外，通信设计还须满足核电站的性能指标要求，包括安全系统响应时间、带宽、传输速率等参数要求，以及所有链路和节点要有充足的容量来满足所有的功能需求［9－11］。

2 APWR安全级通信技术应用

APWR安全级仪控系统是应用MELTAC平台进行设计的，MELTAC平台是日本三菱电机公司开发的可应用于核电站保护系统的安全级DCS平台。该平台在我国红沿河等CPR1000核电站中也有所应用。APWR保护系统主要由反应堆保护系统(RPS)、专设安全设施驱动系统(ESFAS)、安全逻辑系统(SLS)等组成［6］。MELTAC平台主要应用的通信技术有“点对点”通信(data-link)和弹性分组环网(resilient packet ring，RPR)。保护系统通信架构如图1所示。

图1 保护系统通信架构图Fig.1 Communication architecture of the protections system in APWR project

APWR的保护系统分为A、B、C、D这4个安全序列，RPS用于实现反应堆紧急停堆，ESFAS用于实现系统级专设安全设施的控制，SLS通过优选驱动模块(PIF)实现设备级专设安全设施的驱动控制。各个序列分别配置有安全显示单元(S-VDU)，用于安全级设备的手动控制操作。

RPS各序列间通过Data-link光纤通信传递“局部停堆”信号，以实现停堆功能的符合逻辑(2oo4)表决。RPS还通过Data-link光纤通信传递控制指令给各个序列的ESFAS，实现专设安全设施系统级的驱动。ESFAS通过弹性分组环网Safety bus通信，将系统级驱动指令传递给SLS，实现安全级设备的自动驱动控制。S-VDU通过Safety bus将手动控制信号传递给SLS，实现安全级设备的手动驱动控制。另外，RPS、ESFAS、SLS(经由COM)通过弹性分组环网-Unit bus将报警、指示等信息传递到Level2显示屏进行显示。

2.1 点对点通信(Data-link)

点对点通信技术主要应用于RPS各序列间以及RPS与ESFAS间。该类型通信应用无握手信号的广播协议，其传输速率可达到1 Mbit/s，通过独立于CPU模块的通信控制器实现两点间的单向通信。通信方式为1∶N的主站轮回查询方式。每块通信控制器板卡可以提供4个通信接口，通信控制器模块为异步执行。通过双口缓存(DPRAM)，过程处理完全独立于CPU模块。处于接收状态的通信控制器模块一直处于等待状态，直到数据接收完毕。接收数据同时检验数据的完整性，检验正常之后，再将其写入双口缓存。点对点通信的基本结构如图2所示。

图2 Data-link通信结构图Fig.2 Structure of Data-link communication

2.2 弹性分组环网(RPR)

在MELTAC平台中，环网采用基于IEEE 802.17协议的弹性分组环网技术(RPR)。RPR技术主要应用于1E级环网Safety bus、NC级环网Unit bus。弹性分组环网的基本结构是由2根光纤组成的内、外2个相反方向的环形拓扑结构。弹性分组环网基于包的传送技术。包的传送建立在Ring这种拓扑结构上，而且是一种双环结构，有内、外2个相反方向传送的环，环网上的节点共享带宽。每个环的最大带宽为1.25 Gbit/s，双环最大带宽为 2.5 Gbit/s。外环携带内环数据包的管理字节，内环携带外环的管理字节。这样，双环互为保护和备份。每个节点都有一个环形网络拓扑图，都能将数据发送到光纤子环上，送往目的节点。任何一个节点都存在3个缓存，即发送缓存、接收缓存和转发缓存。如果目的地不是本地，则通过转发缓存发出，而本地节点的报文则通过发送缓存发送。

弹性分组环应用空间复用技术，极大地提高了环网带宽的利用率。单播流的目的地址剥离，被目的节点接收后，无需回到源地址，直接被剥离，同时，控制信号以最高优先分组的方式发送［10］。弹性分组环网通信结构如图3所示。

图3 弹性分组环网通信结构图Fig.3 Structure of the communication of resilient packet ring network

2.3 通信独立性

为了符合设计标准要求的独立性，防止通信故障的传递，MELTAC平台中分别应用了点对点和环网的通信技术。该平台通过使用光纤传输而实现了实体分隔和电气隔离，光/电信号转换模块的工作范围可达到1 km。在接收侧，通过带双口RAM的通信模块实现了通信的隔离设计［12］，具体方案如图4所示。在信号接收侧，设计一个独立于控制器的通信模块。该模块内部设置双口存储器，实现外部数据的接收，且不影响CPU的运行。

图4 通信传输隔离方案Fig.4 Scheme of the isolation of communication transmission

3 APWR应用通信技术分析

从APWR仪控系统通信结构上可以看出，基于MELTAC平台的通信设计，基本满足法规和标准提出的单一故障准则、通信独立性等要求，并具有以下特点。

①在保护通道(RPS)间通信上应用了Data-link的点对点技术。点对点通信安全性较高，两点之间的通信不会受到其他控制站的影响。RPS传递驱动信号，ESFAS也应用了点对点通信，保证了专设安全设施系统级驱动功能的可靠性，完全符合ISG-04的要求。

②应用弹性分组环网，可以简化多控制站间通信，尤其是设备级控制站分组较多且需要主控室等多处手动操作控制单元参与控制的场合，只有通过环网或总线，才能实现相互通信［9］。弹性分组环网具有可用性强、带宽高等特点，在性能上可满足电站要求。

③应用了独立的带双口存储的通信模块，实现了通信和控制的独立，可保证通信故障不会影响安全功能的执行。

但是在APWR仪控系统的通信结构中，也存在一些不完善的地方，需要进行改进优化，如ESFAS需要通过环网Safety bus将系统级驱动信号传递给SLS，这样才能驱动安全设备应对事故工况。

该结构存在以下问题。

①ESFAS和SLS的串联增加了故障点，如SLS故障会影响ESFAS驱动指令的执行;

②ESFAS和SLS的串联使响应时间变长，不利于快速应对事故工况;

③自动控制和后备手动控制都在SLS实现，缺乏一定的独立性;

④ESFAS通过环网通信向SLS传递安全级设备的自动驱动指令，不太符合ISG-04的通信要求，因此安全审查时论证困难。

综上所述，可对其仪控系统的通信架构进行改进，将ESFAS从环网中分离，直接通过硬接线连接优选驱动模块，从而消除上述问题。

改进后的APWR仪控系统通信架构如图5所示。

图5 改进后的APWR仪控系统通信架构Fig.5 Modified communication architecture of I＆C system of APWR

修改后的仪控系统架构，安全级设备的自动控制涉及的通信就只有“点对点”通信，完全符合法规标准要求。因为新架构减少了一层控制站，从而提高了驱动可靠性，降低了系统的响应时间。因为每个安全序列系统级驱动控制站(ESFAS)只有一组，因此对接口影响也不是很大。而对于设备级操作，因为分散的控制站以及手动驱动站都较多，应用弹性分组环网实现通信，这样也充分利用环网的优点，可实现多个控制站的手动驱动控制，同时也保证了和自动控制站充分的独立性。

4 结束语

核电站仪控系统安全级设计的前提无疑是以安全性为首要考虑因素，通信技术对于实现数字化仪控系统的功能至关重要。选择合适的通信技术、进行合理的设计，则可以保证仪控系统设备具有充分的安全可靠性，从而有效地起到对反应堆的保护功能。目前，国内正在努力研发具有自主知识产权的安全级DCS平台。

本文通过分析三菱APWR安全级数字化仪控系统的关键通信技术应用，总结了其通信设计的特点，并针对一些不完善之处，提出了改进建议。希望这些建议可以为相关设计人员提供一些参考。

［1］周海翔.田湾核电厂TXP/TXS系统的数据通信［J］.核动力工程，2006(6):67－70.

［2］IAEA-NS-G-1.3.核动力厂安全重要仪表控制系统［S］.国际原子能机构.2005.

［3］IEEE Power Engineering Society.Criteria for digital computer in safety systems of nuclear power generating stations［S］.2003.

［4］International Electrotechnical Commission.IEC 61513.Nuclear powerplants-Instrumentation and control for systems important to safetygeneral requirements for systems［S］.2001.

［5］U.S.Nuclear Regulatory Commission.DI＆C-ISG-04.Interim staff guidance on highly-integrated control rooms-communications issues(HICRc)［S］.2007.

［6］Mitsubishi Heavy Industries，Ltd.MUAP-07004-NP.I＆C system description and design process［R］.

［7］Mitsubishi Heavy Industries，Ltd.MUAP-07005-NP.Safety system digital platform-MELTAC［R］.

［8］任永忠，王翠芳.核电站安全系统中使用数字他技术的关注焦点［J］.仪器仪表标准化与计量，2009(5):15－19.

［9］王旭，陈航，于树新，等.现场总线技术在核电厂中的应用［J］.中国核电，2012(1):10 －16.

［10］邹志励，郭东玲.RPR标准协议在核电厂安全级DCS系统的应用［J］.机电信息，2012(18):172－174.

［11］胡平.核电站数字化仪控系统简介［J］.核电，2003(2):35－41.

［12］魏海峰.CPR1000核电厂安全级DCS研究［J］.科技视界，2012(24):295－297.