1、第30卷 第10期2023年10月仪器仪表用户INSTRUMENTATIONVol.302023 No.10某核电机组DCS一层网络拆分逻辑信号分析马九灵(中核武汉核电运行技术股份有限公司,武汉 430223)摘 要:介绍了某核电机组非安全级 DCS 一层网络(下文无特殊说明,“DCS”均指“非安全级 DCS”,“网络”均指“非安全级 DCS 一层网络”)拆分方案的可靠性和经济性,绘制了前后的网络拓扑结构,描述了本次网络拆分采用的通讯卡通讯的具体方法,重点分析了逻辑信号拆分和增加 API 站的通讯方案,以及拆分过程中产生的问题和注意事项。机组已经过一年的稳定运行,未发现拆网相关的问题或隐患,再
2、次验证了本方案的可靠性。关键词:DCS 一层;网络拆分;信号拆分中图分类号:TM623;TP393 文献标志码:AAnalysis of Logic Signal for DCS Level 1 Network Splitting of A Nuclear Power UnitMa Jiuling(China Nuclear Power Operation Technology Corporation,ltd.,Wuhan,430223,China)Abstract:This article introduces the reliability and economy of the split
3、ting scheme for the non safety class DCS level 1 network of a nuclear power plant(without special instructions below,“DCS”refers to“non safety class DCS”,and“network”refers to“non safety class DCS level 1 network”),draws the network topology before and after,describes the specific method of communic
4、ation card communication used in this network splitting,and focuses on analyzing the communication scheme for logical signal splitting and adding API stations,As well as the issues and precautions arising during the dismantling process,the nuclear power plant has been operating stably for one year a
5、nd no issues or hidden dangers related to the Network split have been found,which once again verifies the reliability of this plan.Key words:DCS level 1;network split;signal split收稿日期:2023-06-19作者简介:马九灵(1990-),男,安徽宿州人,本科,工程师,主管工程师,从事核电仪控运维工作。DOI:10.3969/j.issn.1671-1041.2023.10.013文章编号:1671-1041(202
6、3)10-0056-060 引言2018 年 1 月 2 日,国内某核电厂 3 号机组按照计划执行安全注入和安全壳隔离阶段 A 的综合试验,因 DCS 组态链接错误,3 号机组安注信号误触发 4 号机组蒸汽发生器主给水隔离阀关闭信号,导致 4 号机组 3 个环路蒸汽发生器主给水管道/给水旁路管道下游隔离阀全部关闭,3 台蒸汽发生器失去给水,触发 ATWT 信号,最终导致 4 号机组停机停堆。2019 年 1 月,国内某核电厂主控人员发现 3 号和 4 号机组的 DCS 数字化系统的操作员站和工程师站鼠标点击都无法动作,历史库状态显示 Server#1/2 health is BAD 报警,且电
7、脑中的参数都无法显示。检查一回路状态正常,一回路相关控制系统正常。由于 DCS 系统网络无法正常工作,导致现场一些设备的自动控制功能失去控制,最终触发反应堆停堆信号,导致机组停堆1。1 网络拆分必要性本文针对的核电机组在运行期间数次发生由单台交换机故障引起的 DCS 一层网络大面积故障,其网络为两台机组共用。该网络结构的优点是:两台机组 DCS 的信号可以进行相互查询、调用和强置等操作,同时方便两台机组共马九灵某核电机组DCS一层网络拆分逻辑信号分析第10期57用设备、互用设备的控制。存在的缺点是:两台机组工程组态高度相似,存在人因失误的潜在风险,同时网络不是物理隔离的,某一台机组的网络故障可
8、能会蔓延到两台机组的网络故障,增加发生网络故障的危害程度。所以,网络拆分的必要性已逐渐在共用机组上展现出来。2 机组原有DCS一层网络架构某 核 电 站 的 DCS 一 层 为 FOXBORO IA series 系 统,DCS 二层采用另一厂家的 ATOS ADACS 系统,DCS 一二层通过 API 站来通讯。为应对 DCS 二层与 DCS 一层出现过的通讯故障,机组在原有 DCS 一层系统上开发了辅助二层功能;其次,机组在副控室内含有一套与 DCS 一层相同厂家图1 拆分前DCS一层网络拓扑简图Fig.1 Topology diagram of DCS first layer netwo
9、rk before splitting表1 各系统与DCS一层通讯媒介Table 1 Communication media between each system and DCS layer 1的,主要控制三废系统的 DCS 二层画面。机组的试验信号采集系统同样也是使用了 FOXBORO IA 系统,其各系统与DCS 一层通讯媒介清单见表 1。机组原有 DCS 一层网络采用三层倒挂树的 IA Mesh 网络结构,由 30 台网络交换机构成,分为 A、B 冗余双列,包含根交换机、机组级交换机、房间级交换机,其中有 2台为根交换机,同时连接 1/2/9 号所有机组级交换机;1/2号机组交换机对称
10、分布,各有房间级交换机 2 台,机组级交换机 8 台;9 号机组(1/2 号机组共用部分称为 9 号机组)有 8 台交换机。1/2 号机组 DCS 二层各通过 4 台 API 站(两两冗余)与 DCS 一层交互,拆分前 DCS 一层网络拓扑如图1 所示。第30卷58 仪器仪表用户 INSTRUMENTATION3 DCS一层网络拆分方案在树型网络拓扑结构中,某一条线路或某个节点发生故障,可以迅速锁定该线路(或该节点)进行隔离,不会引起整个计算机通信网络的瘫痪。但若居于第一层级的 A点发生故障,整个网络结构也难以确保其可靠性2。根据功能划分,将原有一体化的网络拆分为 UNIT 1、UNIT 2、
11、UNIT 9 3 个独立的网络结构,仍采用倒挂树结构,层级由原来的三层降为每个机组各两层,可以有效提升网络可靠性。UNIT 1:保留原有系统中的#1 机组内容。UNIT 2:保留原有系统中的#2 机组内容。UNIT 9:保留原有系统中的 9COM、KSN、KDO、KME内容。3.1 增加API通讯设备拆网后,1/2/9 号机组一层网络独立,原 API 被分割到1 号机组和 2 号机组网络内。1/2 号机组 DCS 二层与 9 号机组的 DCS 一层的信号通讯无法通过原 API 站进行,其通讯信号包含较多的数字量和模拟量控制信号、测量反馈信号。所以,此处选择在 1/2 号机组各增加了两台互为冗余
12、的共 4台 API 站连接到 9 号机组 DCS 一层,这样可以有效减少跨机组信号通过 DCS 一层网络传输数据量。3.2 增加FBM232通讯卡FBM232 最多可以访问 64 个设备来读取或写入信号。从与 FBM232 相连的 I/A 系列控制站,一个 I/A 系列控制站可以使用 FBM232 访问多达 2000 个模拟 I/O 值,或多达64000 个数字 I/O 值,或者数字和模拟值的组合。控制站访问 FBM232 信号的频率最快可以达到 500ms。DCS 一层跨机组信号两种传递方式的优缺点:1)硬接线模式。优点:响应快,抗干扰能力强,信号相对独立,检修过程中影响面小,传输时延短;缺
13、点:需增加大量卡件和电缆,成本高,改动大,无冗余。2)通讯卡通讯。优点:具有冗余功能,无需敷设电缆,响应时间适中,单卡通讯信号量适中;缺点:一旦故障,影响面较大。通过对比和信号组态分析发现,通讯卡通讯方案在信号数量和响应时间上均满足要求,且拆网涉及信号设备无安全级设备。本次拆网最终选用了冗余 FBM232 通讯卡件,具体为在每个机组各添加两对 FBM232 通讯卡,共计 6 对12 个通讯卡,用于与其他两个机组的信号通讯。4 信号分析与拆分实施整个网络拆分过程是十分复杂繁琐的,涉及信号传输、试验数据采集系统和时钟系统的拆分等众多工作,这其中组态信号分析最为繁琐,且存在的一些问题不易发现,本章针
14、对拆网过程中组态信号进行分析总结。4.1 跨机组信号分析由网络拓扑图可看出,涉及的通讯信号种类较多,主要包含 4 种类型。第一类信号“DCS 一层需跨机组调用的数据信号分析”,需通过“DCS 一层组态导出信号清单”,将互相传送信号的所属控制器、交换机、机组号一一备注出来,将信号与其引用信号分布在不同机组的种类筛选出来,得到一份 DCS一层跨机组调用信号清单。第二类信号“副控室 DCS 二层画面调用的数据信号分析”,副控室二层与 DCS 一层均是 FOXBORO IA 系统,但副控室 DCS 二层属于 9 号机组,其与 1/2 号机组 DCS 一层所有通讯需通过 DCS 一层进行通讯,需将副控室
15、 DCS 二层画面调用的数据信号按照新拆网后的网络关系进行分类,方法同样是将与副控室 DCS 二层有数据传输的所有 DCS 一层信号按照所属控制器、交换机、机组号一一备注出来,将与其通讯的 1/2 号机组 DCS 一层信号筛选出来。第三类信号“辅助二层需跨机组调用的数据信号分析”,辅助二层并不是完整的 KIC 二层,只是满足特定功能的辅助备用人机交互画面。同时,辅助二层与 DCS 一层均是FOXBORO IA 系统,没有经过 API 通讯,但所有跨机组通讯需通过 DCS 一层进行间接通讯,此类信号是需增加通讯的四类信号中最多的一种。信号筛选方法同样是将与辅助二层有数据传输的所有 DCS 一层信
16、号按照所属控制器、交换机、机组号一一备注出来,将非此机组 DCS 一层信号筛选出来。第四类信号“二层 API 需跨机组调用数据信号分析”,这类是针对 DCS 二层与跨机组 DCS 一层信号通讯的分类,如 1 号机组 DCS 一层和 2 号机组 DCS 二层有信号需要通讯(2 号机组 DCS 一层与 1 号机组 DCS 二层同样存在)。这类信号因拆网后 API 站也被拆分到不同网络,跨机组 1/2 号DCS 一二层不能使用原有 API 直接通讯,对此类信号筛选时需将原 API 上的“DCS 二层与 DCS 一层交互信号清单”进行整理分析,将与 DCS 二层有数据传输的所有 DCS 一层信号按照所
17、属控制器、交换机、机组号一一备注出来,将非此机组 DCS 一层信号筛选出来,修改时此处需通过先将信号传送到对应机组的 DCS 一层,在通过本机组 API 送往二层来间接通讯。清单见表 2 信号拆分种类。为方便观察,简化 AB 列冗余设备及与数据信号无关设备后的示意图拆分后 DCS 一层网络拓扑二次简化图如图2 所示。最后将这些用不同的信号分析表共计 1630 个信号,进行合并去重,得到信号拆分汇总表。为防止不必要的通讯信号占用资源,对这些信号进行二次功能分析,剔除不必要通讯信号和同时属于多种类的重复信号,以及优化来回传送的信号。最终确定需修改信号点为 1593 个,其中模拟量信号点 50 个,
18、数字量信号点 1543 个。马九灵某核电机组DCS一层网络拆分逻辑信号分析第10期59表2 信号拆分种类Table 2 Types of signal splitting图2 拆分后DCS一层网络拓扑二次简化图Fig.2 Secondary simplified diagram of DCS layer 1 network topology after splitting4.2 信号分析过程的注意事项1)在对每一类信号进行分析时,务必保证原文件是机组当前使用的最新版本,且文件能覆盖所有信号,建议选用机组组态导出文件,并进行人工二次核对,避免遗漏。2)在分析信号时需充分熟悉 DCS 一层网络拆分
19、前后网络结构的变化,同时对整个变更过程有了充分了解,才能正确分析出最终的拆分信号。如因现场大修等因素制约,实际网络拆分变更分两次执行:第一步拆为 1 号机组、9/2号机组两部分,第二步在将 9 号和 2 号机组拆分开。3)信号传输是有方向性的。在分析时需标注清楚方向性,如同一设备的控制信号和反馈信号传输方向往往是相反的。同时,注意通讯信号组态配置标准化,保证通讯的规范性与可溯源性,如通道命名的规则一致,收发两端编号一致等。4)对信号拆分汇总表进行功能分析二次筛选的工作量较大,判断出要删减的信号应找对应的工程师进行二次确认,合并后的信号清单可能是满足以上 4 种情况中的多种,也可能仅对应其中一种
20、功能。第30卷60 仪器仪表用户 INSTRUMENTATION5)数字量信号点:部分信号只需通讯一个点位,有些多位数字量模块上的点位仅部分需通讯,为节省信号通讯量,在最终实施时,将零散的点位进行二次合并或组合到标准的 32 位通讯点中。6)在将最终通讯信号表转为组态时,要确保信号来源“唯一源头”原则,还要注意信号的扫描周期、模拟量的量程和单位等组态信息的合理配置。7)变更过程中需充分使用防人因失误工具。防人因失误工具的开发和使用就是核电厂防人因失误管理的重要措施之一,有利于提高核电厂的安全运行水平3。在设计、分析和实施阶段使用核电防人因工具中的“自检”“独立验证”等工具,可有效提高工作的正确
21、性。4.3 信号拆分示例以 9RPE381VP 为例,其设备逻辑运算和最终命令出口均在 9 号机组。除 9 号机组 DCS 二层,1/2 号机组DCS 二层和 1/2 号机组辅助二层,均需对 9RPE381VP 进行显示和控制。原有控制和显示信号均在 9 号机组 DCS一 层 9582UC 控 制 器 内,“9RPE_N5:381VP_C”“9RPE_N5:381VP_S”为 1 号机组对应控制命令下发信号和反馈显示信号;“9RPE_N1:381VP_C”“9RPE_N1:381VP_S”为2 号机组对应控制命令下发信号和反馈显示信号,拆网后“9RPE_N5:381VP_C”“9RPE_N5:
22、381VP_S”“9RPE_N1:381VP_C”“9RPE_N1:381VP_S”可通过新增的 API 站与 1/2 号机组 DCS 二层通讯,但辅助二层无法通过 API进 行 通 讯,这 里 需 要 将“9RPE_N5:381VP_C”“9RPE_N5:381VP_S”“9RPE_N1:381VP_C”“9RPE_N1:381VP_S”在机组 DCS 一层进行通讯,“9RPE_N5:381VP_C”为 1 号机组送 9 号机组;“9RPE_N5:381VP_S”为 9 号机组送 1 号机组;同样“9RPE_N1:381VP_C”为 2 号机组送 9 号机组;“9RPE_N5:381VP_S
23、”为 9 号机组送 2 号机组。若命名不变,在 9 号机组内同时存在两个“9RPE_N1:381VP_C”“9RPE_N5:381VP_C”,这里会因系统识别到同名冲突导致无法建立第二个同名的信号点。针对于多控制命令源头的信号,因违背了 DCS 一层任何一个信号源头唯一的原则。本变更使用了IND(Independent Sequence)独立型顺序模块来实现,本模块提供顺序控制,可用来访问任何组合模块或模块的参数,也可用来激活其它顺序模块和监视模块(MON),控制定时模块(TIM)中的定时器。它的运行不影响别的顺序模块的运行,也不受其它顺序模块运行的影响4。本例中使用了 IND 顺序块来实现,
24、即在 9 号机组建立“9RPE_N1:381VP_CIND”“9RPE_N5:381VP_CIND”,其 可作用在对应的“9RPE_N1:381VP_C”“9RPE_N5:381VP_C”模块上,且不影响其本身的功能,信号流向在网络中如图3 所示。图 4 为信号流向用流程图。4.4 组态修改方法在进行现场组态修改主要有两种方法:在线单点修改和组态程序批量修改,因本变更组态修改量较大,大修工图3 设备9RPE381VP信号网络流向图Fig.3 Flow direction diagram of 9RPE381VP signal network of equipment马九灵某核电机组DCS一层网
25、络拆分逻辑信号分析第10期61图4 设备9RPE381VP信号流向流程图Fig.4 Flow chart of signal flow direction for device 9RPE381VP期紧张,故选用组态程序批量修改更为合适,即工程师提前使用 DCS 系统能识别的语言进行组态程序的编写,将需要修改的组态一次性地写入程序中。现场实施时,通过运行组态程序,一次性修改控制器内的组态。4.5 实施前测试在实验室内搭建 DCS 最小化系统,包含主要需验证设备和两个可拆分开的机组 DCS 一二层的网络环境,拆分开网络后,进行新的通讯搭建和组态修改,观察涉及拆网的对应功能是否可以正常实现,并测试其
26、稳定性。此处仅能进行功能性的测试,不能涵盖所有拆网修改的测试。测试主要内容包括:采用通讯卡进行跨机组通讯的可行性、通讯卡通讯点数和响应时间测试,新增 API 服务器通道可行性、KDO 结构调整可行性、网络机构变化后的测试,交换机固件兼容性、在线增加时钟和时钟切换的测试。4.6 变更实施本次变更 DCS 一层网络拆分项目分为两个阶段执行:1 号机组大修期间(第一阶段)将 1 号机组与 2/9 号机组断开,2 号机组大修期间(第二阶段)将 2 号机组与 9 号机组断开。大修期间实施,需确保涉及到的交换机、控制器、卡件等设备实时在线。4.7 组态修改后检查和验证网络拆分是个涉及面广泛且复杂的工作,组
27、态修改可能会有部分遗漏或错误存在,组态修改后检查和验证作为最后一道屏障,尤为重要。首先对照信号清单,从最终点向源头进行软件链接跳转,对整个信号传输链路进行逐一状态确认;然后,通过机组软件导出链接故障点表,对所有链接故障信号点进行逐一分析,进行二次检查。这里对涉及到二层直接引用的一层点,可通过画面进行普查,但报警点未触发时是无法通过以上两种方法来检查的,这里可以通过手动触发 DCS 一层报警点来观察二层报警信号触发状况来验证。大修期间情况较为复杂,故障点较多,在条件允许情况下,可人工强置为正常点进行检查。当机组在功率运行状态下,可再次导出链接故障点表,进行二次检查。5 结论双机组共用非安全级 D
28、CS 一层网络拆分是 DCS 的重要变更,涉及面广,工作量大,实施难度高。其中,组态修改是直接影响自动控制层设备控制功能的,是最为重要和繁琐的。随着社会工程学攻击的无孔不入以及各种新型网络攻击的出现,国内外核电行业所遭遇的网络攻击也在不断升级5,网络拆分可从物理隔离上减少网络故障的影响。本变更的具体方法从分析、设计、测试、实施、验证等各环节进行了详细介绍和经验反馈,变更实施后,目前机组已安全稳定运行超一年,说明本方案的可靠性,可为同类型机组拆网工作提供参考。参考文献:吴建国,张宇科,卢军刚,等.某核电厂基于I_A的DCS数字化网络状况分析与优化J.仪器仪表用户,2022,29(08):75.李志敏.计算机通信网络可靠性提升的措施分析与研究J.无线互联科技,2020(19):42-43.郭松,李晓钟,杨勇,等.核电厂防人因失误工具应用建议J.电力安全技术,2019,21(04):4-7.查方兴.I/A Series系统及应用Z.上海福克斯波罗有限公司,2007:48.王萍.核电厂智能设备的网络安全防护设计J.自动化仪表,2021,42(S1):314-318.12345
浙ICP备2021020529号-1 | 浙B2-20240490 
