卢俊 李逊存 张涛

福建福清核电有限公司 福建福清 350318

1 DCS系统设计特点

核电厂控制系统网络承担着核心数据处理和传输功能。网络问题的发生通常会导致极为严重的大范围控制系统异常，同时因为网络系统普遍使用了较为前沿的通讯技术，使得网络问题的根本原因分析和网络系统的可靠性分析在核电厂设计和运维阶段较为缺乏经验。本文在控制系统网络概念、应用、影响和风险防范等方面进行宏观分析，以提供较好的设计与维护参考。

2 核电厂控制系统网络设计

福清1-4号机组使用的一层交换机配置为MESH网络形式，为倒挂树形结构，同时为了避免网络内形成局部环网，交换机网络中配置了RSTP协议（Loop Detection Policy回路监测协议），RSTP是一种用于局域网中消除环路的协议。运行该协议的设备通过彼此交互信息而发现网络中的环路，并适当对某些端口进行阻塞以消除环路。由于局域网规模的不断增长，生成树协议已经成为了当前最重要的局域网协议之一。

3 网络冗余路径的设计

3.1 通用的快速生成树协议

在一个复杂的网络中，网络规划者由于冗余备份的需要，一般都倾向于在设备之间部署多条物理链路，其中一条作主用链路，其他链路作备用，这样就难免会形成环形网络，若网络中存在环路，可能会引起广播风暴和MAC桥表项被破坏。网络规划者规划好网络后，可以在网络中部署RSTP协议预防环路产生[1]。

3.2 定制的回路监测协议

同时考虑到RSTP的局域性，单次网络变化结构收敛时间较长，福清核电DCS厂家在交换机软件配置时进行了LDP协议的部署，LDP的规则主要有4类：PBQ（Primary Beacon Query，应用于ROOT级交换机）、SBQ（Secondary Beacon Query，应用于备用的 ROOT级交换机）、BPP（Beacon Priority Policy，指信标优先策略）和 CBP（Circuit Breaker Policy，应用于网络回路LOOP产生时闭锁交换机端口）。

图1 LDP协议部署示意图

MESH网络会通过每秒发送一次IGMP包的方式来实时监测网络中的路由情况，当RSTP失效导致其中1台交换机端口2错误地往备用ROOT交换机发送IGMP包时，备用ROOT交换机所部署的CBP规则触发，主动禁掉备用ROOT交换机的端口2，从而避免网络风暴的形成。

4 网络结构设计的问题

控制逻辑对网络的依赖性问题。在核电仪控总体设计时通常会进行功能分区，将一定区域的控制逻辑安排在一定区域的机柜中实现，这样控制系统完成后，将形成相对独立的分区，这样一方面可以降低控制系统的网络负荷，另一方面也可以使每一个分区内的功能相对独立，在发生严重网络故障下，仍能够保持较好的控制功能完整性。同时因为DCS设计的特点，控制系统的分级和一些庞大的调节或控制逻辑对网络会形成较为严重的依赖：安全级DCS系统在设计时会划分NC+和NC两种分级，这两种分级主要体现在对机柜和就地仪表设备的逻辑功能区分上，可能造成同一个系统的大量信号因为分级不同设置在了不同的机柜；此外，因核电厂控制逻辑组成复杂，一些大型调节系统或者逻辑需要大量的信号共同参与，因为DCS分布式设计的特点，无法避免较多的信号需要借助DCS系统网络实现传输。

网络传输的信号在特定情形下，会直接产生误动作，质量位逻辑即是一种典型的情况，因为网络故障属于质量位的触发方式之一，信号链接未配置质量位时，如果出现网络故障一般保留上一时刻有效值，如果信号链接配置了质量位将可能直接产生质量位保护动作[2]。

5 网络问题的解决

5.1 合理界定网络分区和边界

网络系统组成越庞大，网络系统的功能越强大，网络出现的问题对机组的影响也会增大，从该方面分析，设计初期应进行良好规划，在DCS中做好功能规划，合理控制区域。做好机组间的隔离，可以采用不同的环网实现机组之间的连接，避免直接通过一台机组访问另外一台机组。

对于机组中的NC/NC+区域划分问题，从DCS维护角度来看，在DCS系统中划分NC/NC+系统直接导致了大量的机组间数据交互，建议新的机组设计中尽量考虑淡化设置NC/NC+区分，尽可能直接设置为NC+级。

5.2 网路配置管理与交换机维护

控制系统网络的重要性在前述有了较为全面的分析，虽然交换机产品以及相关协议均为成熟的工业应用，但交换机在核电的使用仍然较为初级。并且当前核电厂的设备和配置管理尚未很好的将交换机纳入管理，交换机和其他仪控设备的技术特性和维护注意事项差异巨大。

国内电厂发生多次DCS网络故障形成的停机停堆问题，事件调查和自查显示当前核电运维领域对交换机这一核心设备的技术储备的认知较为不足。作为核电用户，应该十分关注网络系统的可靠性，并考虑网络失效的风险，做好厂内人员和文件相应准备，做好网络失效风险的防范：网络交换机设备维护软硬件配置，需要加强交换机配置文件的管理，熟悉网络相关的底层协议的运行原理，并建立离线的网络交换机运行试验系统，以协助定位和确认故障，也方便在大型检修工作时离线配置完成并观察后进行现场替换。

5.3 控制策略网络依赖性的排查处理

控制系统组态配置，需要特别考虑网络失效风险，例如针对跨处理器的质量位设计，福清核电厂进行了专项的逻辑梳理，识别出重要风险20项，完成了信号分配的修改，解决了该隐患。同时对于其他的重要逻辑跨处理器的问题。传统上进行机组之间链接检查，单个CP失效下对其他处理器逻辑的影响分析时，传统的基于功能图纸的分析难以开展，人工方式查阅组态数据效率过低，无法适应紧急缺陷的处理，且难以确保筛查的完整性。

福清核电开发了全局链接关系分析系统，可以快速导出单个处理器的所有链接关系表，数据收发关系表，双机组的数据链接关系总表，为快速、准确评估和应对交换机端口或设备厂故障提供了可行的、高效的手段[3]。

6 结语

本文网络可靠问题的核心是DCS网络功能的认识与相关技术的应用。网络技术作为数字化核电系统兴起以后的一种普遍设计，具有非常重要的地位。目前，网络可靠性问题在各个电厂都缺乏足够重视，同时也普遍缺乏应对和处理经验。导致国内出现了多次严重的机组运行行事件。DCS网络功能牵涉面广泛，文章以几个典型重要视角，解释了DCS网络技术可靠性关键问题，正常掌握和合理运用将可以有效保证机组的安全性和经济性。