核電廠安全級(jí)DCS平臺(tái)網(wǎng)關(guān)通信機(jī)制的研究

王克成　葉奇　霍蒙

【摘 要】在核電領(lǐng)域，DCS（分布式控制系統(tǒng)）發(fā)展迅猛，作為核反應(yīng)堆安全運(yùn)行的重要保障設(shè)備，負(fù)責(zé)執(zhí)行緊急停堆、事故后監(jiān)測(cè)等重要功能，完成這些功能需要DCS系統(tǒng)安全設(shè)備和非安全設(shè)備之間相互配合。網(wǎng)關(guān)站負(fù)責(zé)在安全設(shè)備和非安全設(shè)備之間建立起通信關(guān)系，將安全設(shè)備側(cè)的安全數(shù)據(jù)進(jìn)行轉(zhuǎn)換并發(fā)送到非安全設(shè)備側(cè)。文章設(shè)計(jì)了安全級(jí)DCS平臺(tái)側(cè)網(wǎng)關(guān)站的架構(gòu)以及通信機(jī)制。

【關(guān)鍵詞】網(wǎng)關(guān);通信;安全

中圖分類(lèi)號(hào)： TM623;TP309文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 2095-2457（2019）05-0022-003

0 前言

核電廠DCS系統(tǒng)包括安全級(jí)DCS部分和非安全級(jí)DCS部分。安全級(jí)DCS部分屬于安全設(shè)備，內(nèi)部實(shí)行安全通信，非安全級(jí)DCS部分屬于非安全設(shè)備，內(nèi)部實(shí)行非安全通信。網(wǎng)關(guān)站是核電廠DCS平臺(tái)的一個(gè)重要組成部分，主要用于安全級(jí)系統(tǒng)與非安全級(jí)系統(tǒng)之間進(jìn)行數(shù)據(jù)轉(zhuǎn)換、傳輸;同時(shí)網(wǎng)關(guān)還起著隔離安全級(jí)DCS平臺(tái)與非安全級(jí)系統(tǒng)平臺(tái)的作用。

1 網(wǎng)關(guān)在安全級(jí)DCS平臺(tái)中的地位和作用

網(wǎng)關(guān)站位于安全級(jí)DCS平臺(tái)的非安部分，主要與工程師站、傳輸站、非安全級(jí)系統(tǒng)側(cè)的網(wǎng)關(guān)站相連接。工程師站需要在下裝模式向網(wǎng)關(guān)站下發(fā)配置信息，通信主要采用請(qǐng)求和應(yīng)答的雙向傳輸方式。傳輸站與網(wǎng)關(guān)站之間為安全通信，傳輸站將安全級(jí)系統(tǒng)側(cè)的數(shù)據(jù)發(fā)送到網(wǎng)關(guān)站，網(wǎng)關(guān)站將安全數(shù)據(jù)轉(zhuǎn)換為非安全數(shù)據(jù)，與非安全級(jí)系統(tǒng)側(cè)的網(wǎng)關(guān)站進(jìn)行非安全通信。這部分通信過(guò)程采用單向傳輸，即數(shù)據(jù)只能從安全級(jí)系統(tǒng)發(fā)往非安全級(jí)系統(tǒng)，該方式能更好的起到隔離作用。

2 網(wǎng)關(guān)站架構(gòu)設(shè)計(jì)及實(shí)現(xiàn)

網(wǎng)關(guān)站主要需要實(shí)現(xiàn)配置功能、安全級(jí)通信協(xié)議數(shù)據(jù)轉(zhuǎn)發(fā)功能。

在安全級(jí)DCS中，配置文件由工程師站組態(tài)生成，然后下發(fā)到各個(gè)站的主控模塊中。主控模塊在運(yùn)行模式啟動(dòng)后將配置信息分發(fā)到該站其他各個(gè)槽位的板卡，板卡完成配置信息加載后開(kāi)始收發(fā)數(shù)據(jù)。因此在網(wǎng)關(guān)站中，同樣需要主控模塊完成配置功能。

安全級(jí)通信協(xié)議數(shù)據(jù)轉(zhuǎn)發(fā)功能將接收到的安全級(jí)DCS系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)至非安全級(jí)DCS系統(tǒng)。安全級(jí)DCS平臺(tái)中傳輸站的通信模塊將安全數(shù)據(jù)發(fā)往網(wǎng)關(guān)站，網(wǎng)關(guān)站中添加安全側(cè)通信模塊，與傳輸站相連接，接收傳輸站的數(shù)據(jù)。網(wǎng)關(guān)站中還需要添加非安全側(cè)通信模塊，接收安全側(cè)通信模塊的數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行轉(zhuǎn)換，發(fā)送給非安全級(jí)設(shè)備。安全側(cè)通信模塊和非安全側(cè)通信模塊的設(shè)計(jì)，進(jìn)一步加強(qiáng)數(shù)據(jù)隔離功能。

綜上，網(wǎng)關(guān)站的外部接口圖如下：

網(wǎng)關(guān)站是單配置站，不采用冗余配置，因此一個(gè)網(wǎng)關(guān)站配置只一個(gè)主控模塊。每個(gè)安全側(cè)通信模塊通過(guò)通信光口與傳輸站相連接，每個(gè)網(wǎng)關(guān)站配置兩個(gè)安全側(cè)通信模塊。非安全側(cè)通信模塊也通過(guò)通信光口與非安全級(jí)設(shè)備中的網(wǎng)關(guān)站相連接。在安全級(jí)DCS系統(tǒng)層面中，兩個(gè)網(wǎng)關(guān)與各TU（傳輸站）設(shè)備連接方式，各個(gè)TU設(shè)備分別連接至網(wǎng)關(guān)1和網(wǎng)關(guān)2，形成數(shù)據(jù)的冗余傳輸。經(jīng)過(guò)網(wǎng)關(guān)的主控制器模塊進(jìn)行解包和封裝后再通過(guò)非安全側(cè)通訊模塊與非安全系統(tǒng)進(jìn)行通訊。網(wǎng)關(guān)應(yīng)用架構(gòu)見(jiàn)下圖。

3 網(wǎng)關(guān)站通信設(shè)計(jì)

3.1 主控卡與工程師站的通信設(shè)計(jì)

網(wǎng)關(guān)主控板卡上包含兩塊軟件：網(wǎng)關(guān)主控Bootloader軟件、網(wǎng)關(guān)主控平臺(tái)軟件。網(wǎng)關(guān)的主控Bootloader軟件在網(wǎng)關(guān)上電后率先執(zhí)行，當(dāng)面板模式選擇按鈕選擇“l(fā)oad”（下載）模式則實(shí)現(xiàn)下裝功能，通過(guò)獲取前面板開(kāi)關(guān)是否在“l(fā)oad”（下載）狀態(tài)下，可將平臺(tái)軟件（網(wǎng)關(guān)主控平臺(tái)軟件）、平臺(tái)配置下發(fā)入網(wǎng)關(guān)主控的Flash當(dāng)中。當(dāng)開(kāi)關(guān)切到“mait”或“run”（維護(hù)或運(yùn)行）時(shí)Bootloader軟件加載平臺(tái)軟件進(jìn)行運(yùn)行，平臺(tái)軟件實(shí)現(xiàn)網(wǎng)關(guān)的運(yùn)行及維護(hù)功能。

Bootloader軟件實(shí)現(xiàn)網(wǎng)關(guān)站配置下載功能，該功能通過(guò)工程師站軟件將相應(yīng)更改的網(wǎng)關(guān)站配置信息下載至網(wǎng)關(guān)站主控模塊中。下載信息包含網(wǎng)關(guān)主控卡配置信息、網(wǎng)關(guān)非安卡信息、網(wǎng)關(guān)安全卡信息。

網(wǎng)關(guān)的主控卡與工程師站之間使用TCP/IP的以太網(wǎng)通信方式。主控卡具備TCP/IP以太網(wǎng)數(shù)據(jù)的收發(fā)操作，IP地址及端口號(hào)均通過(guò)工程師站下發(fā)配置文件進(jìn)行配置;網(wǎng)關(guān)主控模塊使用TCP/IP與工程師站進(jìn)行通信，作網(wǎng)絡(luò)服務(wù)器端使用。

3.2 主控卡與的安全側(cè)/非安全側(cè)通信卡的通信設(shè)計(jì)

網(wǎng)關(guān)主控模塊負(fù)責(zé)網(wǎng)關(guān)站的通信模塊工況監(jiān)控功能。當(dāng)開(kāi)關(guān)位于“mait”或“run”（維護(hù)或運(yùn)行）時(shí)，網(wǎng)關(guān)主控模塊周期接收各通信模塊診斷狀態(tài)數(shù)據(jù)，根據(jù)診斷及狀態(tài)數(shù)據(jù)控制網(wǎng)關(guān)各通信模塊工作。

主控卡使用安全級(jí)通訊協(xié)議庫(kù)通過(guò)背板通信下發(fā)網(wǎng)關(guān)站對(duì)應(yīng)插槽的板卡（安全卡、非安卡）相關(guān)信息，主要包括配置信息、工況監(jiān)控等。主控卡通過(guò)背板下發(fā)配置信息后，接收到所有對(duì)應(yīng)插槽板卡配置成功的回復(fù)，完成配置否則給予相應(yīng)顯示提醒。主控卡能發(fā)送相應(yīng)指令操作查詢非安全卡、安全卡當(dāng)前診斷狀態(tài)信息。板卡診斷狀態(tài)信息應(yīng)包含板卡上電源檢測(cè)信息、硬件自診斷信息、通信檢測(cè)信息。同時(shí)，主控卡對(duì)自身的狀態(tài)信息進(jìn)行檢測(cè)，主控卡將所有狀態(tài)信息匯總得到網(wǎng)關(guān)站狀態(tài)報(bào)告，工程師站可通過(guò)查詢方式讀取網(wǎng)關(guān)站狀態(tài)報(bào)告。

3.3 安全側(cè)通信卡與非安全側(cè)通信卡的通信設(shè)計(jì)

網(wǎng)關(guān)中安全側(cè)通信卡對(duì)接收到的安全級(jí)DCS系統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)至非安側(cè)通信卡。安全卡使用安全級(jí)通訊協(xié)議庫(kù)獲取安全級(jí)DCS發(fā)送的數(shù)據(jù)信息;同時(shí)安全卡使用安全級(jí)通訊協(xié)議庫(kù)通過(guò)背板通信發(fā)送數(shù)據(jù)至非安側(cè)通信卡。安全側(cè)通信卡數(shù)據(jù)收發(fā)是周期性的，每個(gè)周期主要完成數(shù)據(jù)接收、數(shù)據(jù)解析/組包、數(shù)據(jù)發(fā)送、狀態(tài)查詢、電源檢測(cè)功能。

在安全卡中FPGA與ARM配合完成數(shù)據(jù)的收發(fā)。FPGA提供光口與緩存buffer，實(shí)現(xiàn)安全級(jí)通信協(xié)議的數(shù)據(jù)鏈路層。FPGA一共有6處通道，每個(gè)通道有8個(gè)接收緩沖buffer，2個(gè)發(fā)送緩沖buffer，每一個(gè)buffer大小為1KBytes。安全卡通道1、2為與主控與非安卡通信使用，通道3未用，通道4、5、6為與外部TU光纖通信口。ARM主要實(shí)現(xiàn)安全級(jí)通信協(xié)議的應(yīng)用層和安全層。周期性讀取FPGA buffer中的緩存數(shù)據(jù)，對(duì)數(shù)據(jù)進(jìn)行解析組包后放入對(duì)應(yīng)通道的數(shù)據(jù)緩存區(qū)。數(shù)據(jù)發(fā)送也是周期性進(jìn)行的，將接收buffer中的數(shù)據(jù)讀取到發(fā)送buffer中，然后發(fā)送到FPGA。FPGA通過(guò)背板將數(shù)據(jù)轉(zhuǎn)發(fā)至非安卡。

3.4 非安全側(cè)通信卡與非安全系統(tǒng)的通信設(shè)計(jì)

非安卡通過(guò)網(wǎng)關(guān)背板的連接與安全卡進(jìn)行通信，二者之間的信息交互使用到了安全級(jí)通信協(xié)議，網(wǎng)關(guān)非安卡能使用安全級(jí)通訊協(xié)議庫(kù)進(jìn)行數(shù)據(jù)收發(fā)的功能。

網(wǎng)關(guān)的非安卡側(cè)設(shè)計(jì)了數(shù)據(jù)池功能，用于存儲(chǔ)不同類(lèi)型的數(shù)據(jù)。如下圖所示，安全DCS發(fā)送的數(shù)據(jù)通過(guò)TU傳遞到網(wǎng)關(guān)安全卡，網(wǎng)關(guān)安全卡通過(guò)背板通信將數(shù)據(jù)透?jìng)鞯椒前部ǎ前部ㄊ紫葘?duì)數(shù)據(jù)進(jìn)行解析，根據(jù)數(shù)據(jù)類(lèi)型存儲(chǔ)到數(shù)據(jù)池相應(yīng)的緩沖區(qū)。非安DCS使用標(biāo)準(zhǔn)的相應(yīng)modbus查詢指令對(duì)數(shù)據(jù)進(jìn)行讀取操作。

網(wǎng)關(guān)的非安卡起到與非安DCS的接口功能，使用標(biāo)準(zhǔn)的modbus-tcp與外界進(jìn)行數(shù)據(jù)交互功能，在網(wǎng)關(guān)的非安卡側(cè)作為網(wǎng)絡(luò)的服務(wù)端modbus從站的模式，非安DCS使用相應(yīng)標(biāo)準(zhǔn)查詢字符命令對(duì)數(shù)據(jù)進(jìn)行讀取查看。數(shù)據(jù)操作流程為：首先對(duì)非安側(cè)DCS待發(fā)送的數(shù)據(jù)進(jìn)行解析;數(shù)據(jù)解析完成后對(duì)相應(yīng)的標(biāo)準(zhǔn)指令進(jìn)行執(zhí)行操作;將查詢獲取的數(shù)據(jù)通過(guò)modbus協(xié)議發(fā)送出去。通信格式如下圖所示，根據(jù)功能碼將數(shù)據(jù)劃分為四種，模擬量輸入、開(kāi)關(guān)量輸入、模擬量輸出和開(kāi)關(guān)量輸出。

4 結(jié)論

網(wǎng)關(guān)站在架構(gòu)上采用主控卡、安全側(cè)通信卡、非安側(cè)通信的方式，其中主控卡、安全側(cè)通信卡與現(xiàn)場(chǎng)控制站中的主控卡、通信卡設(shè)計(jì)上保持一致，代碼基本統(tǒng)一，方便維護(hù)和移植。在通信上，采用了安全級(jí)通訊協(xié)議庫(kù)、modbus-tcp協(xié)議、TCP/IP協(xié)議，更好的起到了數(shù)據(jù)隔離的作用。

【參考文獻(xiàn)】

[1]王常力，羅安.分布式控制系統(tǒng)（DCS）設(shè)計(jì)與應(yīng)用實(shí)例[M].第2版.北京：電子工業(yè)出版社，2010.

[2]GB/T 19582.3-2008.基于Modbus協(xié)議的工業(yè)自動(dòng)化網(wǎng)絡(luò)規(guī)范第3部分：Modbus協(xié)議在TCP/IP上的實(shí)現(xiàn)指南[S].2008.