陈山武 靳伟民 宿俊海

摘要：通过非安全级DCS系统在海外华龙一号核电站项目工程应用，从非安全级DCS系统网络架构、网络容错、冗余和切换机制进行了说明，介绍可靠性计算方法，计算出非安全级DCS系统可靠性满足设计要求。通过一系列测试和鉴定试验的来保证非安全级DCS系统满足核电工程应用的要求。

关键词：核电DCS系统；网络；可靠性

中图分类号：TP31 文献标识码：A

文章编号：1009-3044（2019）10-0016-03

开放科学（资源服务）标识码（OSID）：

Application Research of Non-safety DCS in Overseas Hualong No. 1 Nuclear Power Plant

CHEN Shan-wu， JIN Wei-min， SU Jun-hai

（China Nuclear Control System Engineering Co.，Ltd. Engineering and Service Center， Beijing 102401， China）

Abstract： Through engineering application of Non-safety DCS in overseas Hualong No.1 Nuclear Power Plant project， this paper describes the Non-safety DCS system network architecture， network fault tolerance， redundancy and switch mechanism， introduces the reliability calculation method， calculates that the reliability of Non-safety DCS meets the design requirements. Through a series of test and equipment qualification ensures that the Non-safety DCS can meet the requirements of nuclear power engineering application.

Key words： NPP DCS； Network； Reliability

1 引言

华龙一号是我国自主三代核电品牌，汲取世界先进设计理念合作研发的三代核电自主创新成果。随着华龙一号走出去的战略步伐，国产DCS控制系统得到了在海外华龙核电项目应用的机会。通过海外华龙核电项目DCS工程应用过程，介绍DCS的系统网络架构、网络容错、冗余和切换机制设计方案，从系统结构框图计算得出DCS系统可以满足核电站可靠性要求。

2 系统网络架构

非安全级DCS系统在软件架构上采用客户端/服务器（Client/Server）结构。在这种体系中服务器向客户机提供各种网络服务（如历史数据、打印等），而客户机通过访问服务器获取资料。

非安全级DCS系统平台系统网络具有2层网结构，包括：LEVEL2层信息网（简称MNET）和LEVEL1层系统网（简称SNET），每层网络的具体功能如下：

信息网（MNET）：将实时服务器、计算服务器、历史服务器、操纵员站终端通过二层交换机连接的通讯网络，实现设备之间数据交换和通信，操纵员站可以获取服务器进程的实时数据，包括报警、趋势、日志等，并把人机交互的控制指令等信息传递给服务器，实现信息的互相传递。信息网还可以通过Level3网关与Level3 相关的系统进行数据通讯。信息网采用FLRPC（Fast Lightweight Remote Procedure Call）协议构建系统的局域网。对比国内核电项目，在海外华龙项目中主控室采用了前三后一布置，配置了8块LDP大屏幕等最新的设计理念，而DCS平臺KVM功能采用软件技术来实现。项目中包括了LEVEL2层设备节点共计74个（含64操纵站节点，10个服务器节点），各个操纵站和服务器通过1000兆接口与交换机相连，交换机之间通过1000兆光纤接口组成环形网络，非安全级DCS信息网网络图见图1：

系统网（SNET）：将现场控制站、实时服务器、通讯站、工程师站通过一层交换机连接的通信网络，实现设备之间的数据交换和通信，完成数据的管理存储、数据处理，并自动诊断并切换，保障系统的可靠性。交换机之间采用光纤介质组成交换机环路的快速以太网，基于TCP/IP协议。项目包括了LEVEL1层设备节点共计166个（含142控制站节点，24个通讯站节点），现场控制站、工程师站、通讯站与交换机通过100兆接口与交换机相连、实时服务器通过1000兆接口与交换机相连、系统网交换机之间通过1000兆光纤接口组成环形网络。为了保证SR功能相关设备在非安全功能序列失电的情况下通讯正常，项目中增加了SR功能设备连接交换机之间的光纤连接。非安全级DCS系统网网络图见图2：

3 网络容错、冗余和切换

DCS网络系统是基于节点设备不同的供电方式，通过交换机的集联，在物理层组成的环网。同时系统支持不同NetA网和NetB网的相互冗余，当任何一个网段出现故障时，另一网段仍可进行数据传输，两个网段在物理上是独立的。这种结构配置，在A网B网冗余配置的高可靠性情况下，考虑了不同连接设备不同的供电方式，使网络在一路电源失电的情况下，不至于整个网络瘫痪。

切换原理：A，B网有自己的诊断逻辑，先自诊断，应用层选择当前正常的网络发送。当某个网发送失败时，自动选择另外一个网发送。因为是冗余切换，两个网上的数据量并不一致，当前工作网要高，备份网要低。无论网线还是交换机故障，最终表现是链路不通，发送失败，由应用层的通讯组件进行选网。A网故障后，所有数据量都从B网发送；反之B网故障后，所有的数据量都从A网发送。

下面从环网、Train A和Train B供电方式、A网B网冗余三个方面分析网络的容错和冗余。

交換机组成的环网结构本身就有自己的容错能力，采用了先进的生成树协议。环网上单一节点故障时，生成树协议会迅速计算出最优路径，重新链路，生成新树，不影响网络正常通信，并可有效防止的网络媒体中断和总线信息丢失。

在同一网段中，根据节点设备的不同供电又可组成两个独立的环网，再通过交换机的生成树协议把两个环网连接在一起完成数据传输。不同节点的供电包括Train A，Train B两种供电方式，如在MNET Net A网中，Train A供电设备（包括OPS（ROA），OPS（ROC），LDP（A1A2A3A4）等）通过交换机连接组成的环路Train A Net A，同时Train B供电设备（OPS（ROB），OPS（SRO），LDP（B1B2B3B4）等）也通过交换机组成环路Train B Net A，两环路通过交换机级联成环网Net A。当其中一路电源失电时，如Train A 失电，Train A Net A环上的设备全部失电，网络故障，但Train B Net A网络继续工作。同样道理，Net B上的设备供电方式，网络结构及功能与Net A完全一样。 SNET网络与MNET网络，按Train A和Train B组环基本相同。

A网B网冗余的拓扑结构，大大增强了系统的可靠性，有效的预防单个网段故障时造成整个网络失效。当设备的NetA网出现故障后，设备的NetB网自动接管数据传输任务，保证网络继续正常工作。因此，单个网段故障不影响网络正常通信。详细非安全级DCS网络拓扑图如图3所示。

4 非安全级DCS系统可靠性

非安全级DCS系统一二层设备可靠性框图如图4所示。

根据非安全级DCS系统设备的可靠性数据，采用可用性计算公式：

该结果满足海外华龙核电DCS系统可用性高于99.99%的要求。

5 结束语

非安全级DCS系统在海外华龙一号核电站工程应用过程中，采取了一系列测试和鉴定试验来保证整个DCS系统能满足核电工程应用的要求，项目一开始就进行了外购设备如服务器、工控机、交换机与平台的软硬件兼容性测试，在工程设计前期搭建系统典型工程样机，按技术规格书要求进行了相关的质量鉴定试验（包括EMC、环境和地震试验），通过样机的质量鉴定试验，验证系统设备在各项鉴定试验前、中、后能否正常工作，保持设备的完整性，并履行系统安全功能。在实际工程中，通过项目FAT测试，验证整个系统可靠性、各项性能指标满足项目技术规格书要求。非安全级DCS系统后续还需要通过核电站的现场验收来确认系统的各项性能指标符合技术规格书要求。

参考文献：

[1] 邹志励，郭东玲.防城港核电厂非安全级DCS网络结构和设备功能浅议[J].机电信息，2012.

[2] 陈明，张京妹.控制系统可靠性设计[M].西安：西北工业大学出版社，2005.

[3] 詹相国，李俊卿，刘元.核电厂非安全级数字化仪控系统网络拓扑研究[J].核电仪控，2017，6.

【通联编辑：梁书】