PRP協(xié)議在反應(yīng)堆儀控系統(tǒng)控制網(wǎng)絡(luò)中的初步應(yīng)用

劉少海 陳永忠 韓利鋒 張 寧 徐海霞

1（中國科學(xué)院上海應(yīng)用物理研究所 嘉定園區(qū) 上海 201800）

2（中國科學(xué)院大學(xué) 北京 100049）

3（中國科學(xué)院核輻射與核能技術(shù)重點(diǎn)實(shí)驗(yàn)室 上海 201800）

PRP協(xié)議在反應(yīng)堆儀控系統(tǒng)控制網(wǎng)絡(luò)中的初步應(yīng)用

劉少海1,2陳永忠1,3韓利鋒1,3張 寧1,3徐海霞1,3

1（中國科學(xué)院上海應(yīng)用物理研究所 嘉定園區(qū) 上海 201800）

2（中國科學(xué)院大學(xué) 北京 100049）

3（中國科學(xué)院核輻射與核能技術(shù)重點(diǎn)實(shí)驗(yàn)室 上海 201800）

網(wǎng)絡(luò)通信中的網(wǎng)絡(luò)冗余協(xié)議，如快速生成樹協(xié)議(Rapid Spanning Tree Protocol, RSTP)，在網(wǎng)絡(luò)發(fā)生單點(diǎn)故障時(shí)其可靠性需進(jìn)一步提高才能用反應(yīng)堆數(shù)字化儀表與控制系統(tǒng)中。本文介紹了應(yīng)用于智能變電站的IEC 62439-3標(biāo)準(zhǔn)所發(fā)布的并行冗余協(xié)議(Parallel Redundancy Protocol, PRP)，分析了該協(xié)議實(shí)現(xiàn)高可靠性和高可用性的原理，并在Linux網(wǎng)絡(luò)協(xié)議棧應(yīng)用層開發(fā)了基于TCP/IP的PRP協(xié)議軟件。測(cè)試表明，在應(yīng)用層實(shí)現(xiàn)PRP協(xié)議的方案可行，可以達(dá)到零自愈和零丟包的高可靠性要求，為提高反應(yīng)堆儀控系統(tǒng)控制網(wǎng)絡(luò)的可靠性提供了參考思路和實(shí)現(xiàn)方式。

并行冗余協(xié)議，IEC 62439-3，數(shù)字化儀表與控制系統(tǒng)，控制網(wǎng)絡(luò)，可靠性

儀表與控制系統(tǒng)(Instrumentation and Control System, I&C)是核電站的重要組成部分，機(jī)組的安全、可靠、經(jīng)濟(jì)運(yùn)行在很大程度上取決于儀表控制系統(tǒng)的性能水平[1]。當(dāng)前，采用數(shù)字化儀表與控制系統(tǒng)已是先進(jìn)型反應(yīng)堆的一個(gè)重要特征[2]。其區(qū)別于傳統(tǒng)模擬I&C的關(guān)鍵之一就在于具有極強(qiáng)的通訊能力，通訊功能的實(shí)現(xiàn)是由控制網(wǎng)絡(luò)來承擔(dān)[3]。為了保證控制網(wǎng)絡(luò)在單一故障時(shí)的高可靠性，美國核管會(huì)(U.S. Nuclear Regulatory Commission, NRC)強(qiáng)調(diào)控制網(wǎng)絡(luò)的設(shè)計(jì)必須遵循冗余性原則。但目前核電儀控領(lǐng)域還沒有權(quán)威的機(jī)構(gòu)制定出相應(yīng)的網(wǎng)絡(luò)冗余標(biāo)準(zhǔn)和實(shí)現(xiàn)方式，只能借鑒其他對(duì)實(shí)時(shí)性、可靠性要求較高的工控領(lǐng)域（如智能變電站）中的相應(yīng)標(biāo)準(zhǔn)和技術(shù)。

工業(yè)冗余控制網(wǎng)絡(luò)的通信可靠性對(duì)工控系統(tǒng)的安全穩(wěn)定運(yùn)行有重要作用。常把網(wǎng)絡(luò)發(fā)生單點(diǎn)故障后恢復(fù)通信的自愈時(shí)間，以及在自愈期間是否伴隨丟包現(xiàn)象作為衡量該冗余網(wǎng)絡(luò)協(xié)議可靠性的重要指標(biāo)。2008年，國際電工協(xié)會(huì)IEC SC65 WG15發(fā)布了IEC 62439——高可用性自動(dòng)化網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)[4]。其中，IEC 62439-3發(fā)布的并行冗余協(xié)議(Parallel Redundancy Protocol, PRP)以“并行”方式，從理論上實(shí)現(xiàn)了零自愈時(shí)間和零丟包率的無縫切換效果。超越了John等在2010年給NRC的報(bào)告“Secure Network Design Techniques for Safety System Applications at Nuclear Power Plants”[5]中提到的快速生成樹協(xié)議RSTP 0.25-2 s的自愈時(shí)間指標(biāo)；也超越了IEC 62439采納的媒介冗余協(xié)議(Media Redundancy Protocol)、交叉冗余協(xié)議(Cross-network Redundancy Protocol)以及信號(hào)冗余協(xié)議(Beacon Redundancy Protocol)毫秒量級(jí)自愈時(shí)間指標(biāo)[6]。目前PRP主要應(yīng)用在智能變電站中，為了探索PRP在核電儀控領(lǐng)域中應(yīng)用的可行性，本文借助儀控系統(tǒng)控制網(wǎng)絡(luò)平臺(tái)，對(duì)PRP協(xié)議在節(jié)點(diǎn)應(yīng)用層實(shí)現(xiàn)的方向上做了原理性探究。測(cè)試結(jié)果表明，從可靠性角度而言，該方案能滿足反應(yīng)堆儀控系統(tǒng)控制網(wǎng)絡(luò)對(duì)高可靠性的要求。

1 PRP

IEC 62439標(biāo)準(zhǔn)歸納了2種網(wǎng)絡(luò)冗余方式，即網(wǎng)絡(luò)設(shè)備冗余和網(wǎng)絡(luò)節(jié)點(diǎn)冗余[4,7]。

網(wǎng)絡(luò)設(shè)備冗余是指交換機(jī)和鏈路的冗余，其以備用或交替的模式運(yùn)行，當(dāng)網(wǎng)絡(luò)出現(xiàn)單一故障時(shí)，系統(tǒng)通過切換到冗余的網(wǎng)絡(luò)通路恢復(fù)通信。根據(jù)網(wǎng)絡(luò)拓?fù)洳煌鄳?yīng)切換時(shí)間最小可達(dá)毫秒級(jí)[6]。

網(wǎng)絡(luò)節(jié)點(diǎn)冗余是指冗余協(xié)議工作在網(wǎng)絡(luò)終端上，終端通過2個(gè)并行端口，連接到兩個(gè)獨(dú)立運(yùn)行局域網(wǎng)中，整個(gè)網(wǎng)絡(luò)中唯一的非冗余元素是節(jié)點(diǎn)本身。這種方式對(duì)交換機(jī)無特殊要求。因是并行運(yùn)行，一旦出現(xiàn)單點(diǎn)故障，可以以零延時(shí)恢復(fù)通信，即無縫切換。IEC 62439標(biāo)準(zhǔn)要求冗余協(xié)議實(shí)現(xiàn)可確定的網(wǎng)絡(luò)恢復(fù)時(shí)間[6]。不論從可靠性指標(biāo)還是網(wǎng)絡(luò)拓?fù)溥m應(yīng)性來看，網(wǎng)絡(luò)節(jié)點(diǎn)冗余方式優(yōu)于網(wǎng)絡(luò)設(shè)備冗余方式，是理想的網(wǎng)絡(luò)冗余方案。并行冗余協(xié)議PRP就是基于網(wǎng)絡(luò)節(jié)點(diǎn)冗余的冗余協(xié)議。

1.1 網(wǎng)絡(luò)結(jié)構(gòu)和工作原理

PRP網(wǎng)絡(luò)拓?fù)浜凸?jié)點(diǎn)結(jié)構(gòu)如圖1所示。

節(jié)點(diǎn)通常以雙連接方式接入[4,8]，稱為雙連接節(jié)點(diǎn)(Doubly Attached Node with PRP, DANP)，其與兩個(gè)局域網(wǎng)都有物理連接，且這兩個(gè)局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)無直接關(guān)聯(lián)。

圖1 PRP網(wǎng)絡(luò)拓?fù)浜凸?jié)點(diǎn)結(jié)構(gòu)Fig.1 Network topology and node structure of PRP.

DANP通過鏈路冗余體(Link Redundancy Entity, LRE)將兩個(gè)并行的網(wǎng)絡(luò)端口與上層協(xié)議相連。LRE是協(xié)議棧中額外的一層，整個(gè)PRP協(xié)議靠它來實(shí)現(xiàn)冗余功能。LRE的核心功能是通過重復(fù)報(bào)文丟棄算法完成對(duì)報(bào)文的“雙發(fā)雙收”。LRE可以通過驅(qū)動(dòng)層軟件、應(yīng)用層軟件或是硬件實(shí)現(xiàn)[6]。本文將研究PRP在應(yīng)用層的實(shí)現(xiàn)方案，同時(shí)探索PRP在反應(yīng)堆儀控系統(tǒng)控制網(wǎng)絡(luò)中應(yīng)用的可行性。

2 在應(yīng)用層實(shí)現(xiàn)PRP協(xié)議方案

在應(yīng)用層實(shí)現(xiàn)PRP的終端節(jié)點(diǎn)如圖2所示。

圖2 節(jié)點(diǎn)結(jié)構(gòu)Fig.2 Node structure.

DANP的兩個(gè)以太網(wǎng)卡的MAC地址和IP地址不相同，并通過RPP Socket API來替代LRE實(shí)現(xiàn)冗余功能。

2.1 重復(fù)報(bào)文處理

在發(fā)送節(jié)點(diǎn)中，RPP Socket API收到來自應(yīng)用層的數(shù)據(jù)后，首先根據(jù)以太網(wǎng)數(shù)據(jù)幀的有效載荷(payload)大小將到來的數(shù)據(jù)分片處理后，均加上4字節(jié)的冗余控制標(biāo)簽RCT (Redundancy control tag)，復(fù)制成兩份后根據(jù)不同的網(wǎng)卡IP，分別經(jīng)過TCP/IP協(xié)議層層封裝，再同時(shí)從兩個(gè)網(wǎng)絡(luò)適配器發(fā)送出去。

網(wǎng)絡(luò)數(shù)據(jù)封裝的過程和報(bào)文格式如圖3所示。其中，4字節(jié)的RCT由以下3個(gè)參數(shù)組成：

(1) 序列號(hào)(Sequence)，占16位，是接收節(jié)點(diǎn)進(jìn)行重復(fù)報(bào)文判斷的主要參數(shù)。設(shè)其取值在0-65500，按照遞增方向分成655個(gè)區(qū)間，每區(qū)間有100個(gè)數(shù)值。對(duì)同一節(jié)點(diǎn)發(fā)送數(shù)據(jù)時(shí)，相鄰兩次數(shù)據(jù)發(fā)送所需要的Sequence分別取自相鄰的兩個(gè)區(qū)間；若某一次發(fā)送的數(shù)據(jù)需要分片處理，那么PRP Socket API每向TCP/IP下傳有RCT頭的數(shù)據(jù)片段，序列號(hào)就增1，直到分片數(shù)據(jù)全部發(fā)送。

(2) 局域網(wǎng)標(biāo)識(shí)符(LAN)，占4位，依據(jù)局域網(wǎng)A、B的取值不同，指示數(shù)據(jù)幀傳送的路徑。

(3) 用戶數(shù)據(jù)總長度(Size)，占12位，確定每次發(fā)送的用戶數(shù)據(jù)單元的大小。

接收節(jié)點(diǎn)收到一對(duì)在邏輯上認(rèn)為是重復(fù)的報(bào)文后，首先判斷其Sequence是否屬于當(dāng)前序列號(hào)區(qū)間或者相鄰的下一個(gè)序列號(hào)區(qū)間。若不屬于，說明到來的是由故障因素導(dǎo)致延時(shí)到達(dá)的過期報(bào)文，將直接丟棄；若屬于，節(jié)點(diǎn)會(huì)進(jìn)一步通過重復(fù)報(bào)文丟棄算法來判斷。最終第1個(gè)收到的報(bào)文上傳，后到的視為重復(fù)報(bào)文被丟棄。

圖3 PRP封裝格式和流程Fig.3 Format and process of PRP encapsulation.

丟棄算法采用丟棄窗口算法[4]，如圖4所示。丟棄窗口由3個(gè)參數(shù)組成，即StartSeq、CurrentSeq和ExpectedSeq。窗口區(qū)間左閉右開；StartSeq是窗口下邊界，是本局域網(wǎng)丟棄的最小序列號(hào)；保存在數(shù)據(jù)幀RCT中的是CurrentSeq；ExpectedSeq是窗口的上邊界，且ExpectedSeq= CurrentSeq+1。通過程序相關(guān)設(shè)計(jì)和TCP協(xié)議的可靠傳輸特性，能夠保證PRP數(shù)據(jù)幀有序上傳。

圖4 丟棄窗口算法Fig.4 Drop window algorithm.

受局域網(wǎng)的健康狀態(tài)、網(wǎng)絡(luò)數(shù)據(jù)傳輸延遲時(shí)間、兩個(gè)網(wǎng)卡接收數(shù)據(jù)流程等因素影響，本文將丟棄窗口算法擴(kuò)展為兩種模式：連續(xù)模式和交替模式。連續(xù)模式，即同一局域網(wǎng)的報(bào)文連續(xù)到來的狀態(tài)，通常發(fā)生在某一局域網(wǎng)故障時(shí)。此時(shí)，本局域網(wǎng)的StartSeq值不變，窗口區(qū)間增1；故障局域網(wǎng)的丟棄窗口參數(shù)值保持不變；交替模式，即網(wǎng)A和網(wǎng)B的報(bào)文交替到來。此時(shí)兩個(gè)局域網(wǎng)的丟棄窗口均發(fā)生參數(shù)值變化。如圖4當(dāng)并行的局域網(wǎng)B的CurrentSeq落入網(wǎng)A的丟棄窗口內(nèi)，則將其丟棄。有：

若CurrentSeq落在網(wǎng)A的丟棄窗口外，則來該報(bào)文上傳。有：

在上述兩種丟棄模式的配合下，丟棄窗口算法對(duì)報(bào)文進(jìn)行有序地丟棄和上傳，來實(shí)現(xiàn)PRP協(xié)議的冗余功能。

2.2 PRP協(xié)議軟件構(gòu)架

基于TCP網(wǎng)絡(luò)編程技術(shù)，本文在TCP/IP協(xié)議棧的應(yīng)用層開發(fā)了PRP協(xié)議軟件。TCP網(wǎng)絡(luò)編程為客戶端(C)/服務(wù)器(S)模式。TCP服務(wù)器模型有：TCP循環(huán)服務(wù)器模型、TCP并發(fā)服務(wù)器模型、IO復(fù)用服務(wù)器模型。對(duì)accept()函數(shù)的不同處理方式是區(qū)別以上3種模型的一個(gè)重要依據(jù)[9]。

由于并發(fā)服務(wù)器模型能對(duì)多個(gè)客戶端的數(shù)據(jù)請(qǐng)求進(jìn)行并發(fā)處理，所以本文主要參考TCP并發(fā)服務(wù)器模型[9]，在Linux下，用C語言以“多進(jìn)程”概念完成了服務(wù)器端和客戶端的程序編寫。PRP軟件構(gòu)架如圖5、圖6所示。

圖5 TCP雙網(wǎng)卡客戶端模型Fig.5 TCP client model of dual NIC.

圖6 雙網(wǎng)卡TCP并發(fā)服務(wù)器模型Fig.6 TCP concurrent server model of dual NIC.

服務(wù)器端創(chuàng)建了兩個(gè)TCP端口與各自網(wǎng)卡IP綁定。而且服務(wù)器端必須從多個(gè)客戶端網(wǎng)卡的連接請(qǐng)求中，識(shí)別出來自同一客戶端的兩個(gè)網(wǎng)卡經(jīng)不同局域網(wǎng)傳來的連接請(qǐng)求，并綁定在同一處理進(jìn)程，以在此進(jìn)程中實(shí)現(xiàn)C/S間數(shù)據(jù)的雙發(fā)雙收。

數(shù)據(jù)雙發(fā)雙收功能主要通過prp_recv()函數(shù)和prp_send()函數(shù)來實(shí)現(xiàn)。prp_recv()調(diào)用IO函數(shù)recv()解決數(shù)據(jù)的雙收問題；prp_send()調(diào)用IO函數(shù)send()解決數(shù)據(jù)的雙發(fā)問題。由于阻塞IO是最通用的IO類型，為了避免recv()、send()在數(shù)據(jù)沒到來之前，一直阻塞而不返回，中止程序運(yùn)行，需設(shè)置recv()和send()函數(shù)超時(shí)[9]：

struct timeval tv={2,0}; //超時(shí)時(shí)間設(shè)置為2 s setsockopt(socket,SOL_S0CKET,SO_SNDTIME O,&tv,sizeof(tv));//設(shè)置發(fā)送超時(shí)

setsockopt(socket,SOL_S0CKET,SO_RCVTIME O,&tv,sizeof(tv));//設(shè)置接收超時(shí)

注意，recv()和send()的第4個(gè)參數(shù)應(yīng)設(shè)置為MSG_WAITALL，確保函數(shù)在阻塞模式下不等到指定字節(jié)數(shù)目的數(shù)據(jù)不會(huì)返回，除非超時(shí)時(shí)間到。

2.3 PRP協(xié)議實(shí)現(xiàn)方案在實(shí)現(xiàn)方式上特點(diǎn)

IEC 62439-3標(biāo)準(zhǔn)中定義的PRP協(xié)議是在網(wǎng)絡(luò)協(xié)議棧的數(shù)據(jù)鏈路層實(shí)現(xiàn)的，而本文PRP協(xié)議實(shí)現(xiàn)方案是參照IEC 62439-3標(biāo)準(zhǔn)在應(yīng)用層實(shí)現(xiàn)的。得益于TCP協(xié)議的可靠傳輸特性和PRP“并行”概念，在功能上，本文PRP方案能夠?qū)崿F(xiàn)雙發(fā)雙收的冗余功能，在理論上可以達(dá)到零自愈時(shí)間和自愈期間零丟包率的性能。在實(shí)現(xiàn)方式上，本文方案還有其自身的特點(diǎn)，體現(xiàn)在：

(1) 本文PRP協(xié)議方案雖允許兩者在同一個(gè)網(wǎng)絡(luò)中同時(shí)存在，但相互之間不能透過PRP協(xié)議方案進(jìn)行通信，而標(biāo)準(zhǔn)PRP協(xié)議卻能夠?qū)崿F(xiàn)。這主要受到TCP并行服務(wù)器模型在用accept()函數(shù)處理客戶端連接請(qǐng)求時(shí)，用邏輯“與”來處理的技術(shù)限制。

(2) 在應(yīng)用層實(shí)現(xiàn)的PRP，其RCT在應(yīng)用層就必須開始封裝。

(3) 本文PRP協(xié)議方案中DANP有兩個(gè)不同的MAC地址和IP地址，IP地址網(wǎng)段不一樣，要通過協(xié)議軟件的專門模塊進(jìn)行區(qū)分、綁定。而標(biāo)準(zhǔn)PRP協(xié)議中DANP的IP地址和MAC地址都是唯一的。這種配置使得其對(duì)上層協(xié)議透明，如地址解析協(xié)議能像單端口節(jié)點(diǎn)一樣在DANP上工作[10]。

(4) 標(biāo)準(zhǔn)PRP協(xié)議不依賴于上層協(xié)議且對(duì)上層協(xié)議透明，適用于不同拓?fù)浣Y(jié)構(gòu)的工控網(wǎng)絡(luò)。而本文PRP協(xié)議方案協(xié)議依賴于TCP/IP協(xié)議，這使得與其他應(yīng)用層工業(yè)協(xié)議存在兼容問題，需要繼續(xù)探索它在不同拓?fù)浣Y(jié)構(gòu)的工控自動(dòng)化網(wǎng)絡(luò)中的應(yīng)用可行性和應(yīng)用方式。

(5) 標(biāo)準(zhǔn)PRP協(xié)議是用驅(qū)動(dòng)軟件或是硬件來實(shí)現(xiàn)。本文是在應(yīng)用層上開發(fā)軟件。

3 測(cè)試

本文依托凌華科技ATCA的3臺(tái)刀片服務(wù)器aTCA-6900，安裝操作系統(tǒng)Red Hat Enterprise Linux 6，搭建了如圖7所示的反應(yīng)堆冗余控制網(wǎng)絡(luò)實(shí)驗(yàn)測(cè)試平臺(tái)，測(cè)試了本文PRP協(xié)議方案的可靠性表征性能指標(biāo)——自愈時(shí)間和自愈期間的丟包率。

aTCA-6900是多核雙處理器的服務(wù)器版，有兩個(gè)1 G的網(wǎng)卡位于前面板(eth2/eth3)。選其作為一對(duì)網(wǎng)卡，視aTCA-6900刀片服務(wù)器為DANP。LAN A是控制網(wǎng)絡(luò)實(shí)驗(yàn)室局域網(wǎng)，有6臺(tái)終端聯(lián)網(wǎng)運(yùn)行，LAN B是所園區(qū)局域網(wǎng)。每次使兩個(gè)Client端以T={3 s, 2 s, 1 s, 0.5 s, 0.2 s}集合中的值為周期，以點(diǎn)對(duì)點(diǎn)的方式向server端發(fā)送數(shù)據(jù)，期間使其中一個(gè)局域網(wǎng)在中斷后恢復(fù)通信；在server端用wireshark捕獲從2個(gè)網(wǎng)卡到來的報(bào)文，記錄此次測(cè)試中的對(duì)應(yīng)兩DANP間的報(bào)文序號(hào)和捕獲時(shí)間。測(cè)試多次，其中最長測(cè)試持續(xù)時(shí)間1周，期間多次制造單點(diǎn)故障后使網(wǎng)絡(luò)恢復(fù)正常。以Node0與Node1之間T=2s的測(cè)試結(jié)果為例(圖8)。

若一個(gè)局域網(wǎng)斷開(如網(wǎng)A)，不會(huì)對(duì)另一個(gè)獨(dú)立的、并行的局域網(wǎng)(如網(wǎng)B)的通信造成干擾；斷開的局域網(wǎng)修復(fù)后，部分報(bào)文會(huì)延遲到達(dá)（屬于過期報(bào)文），其他的均丟失，但也不會(huì)干擾另一個(gè)正常局域網(wǎng)，整個(gè)斷開愈合過程不會(huì)使正常局域網(wǎng)丟包和延時(shí)，對(duì)兩節(jié)點(diǎn)間通信而言，沒有切換時(shí)間，即自愈時(shí)間為0。所以本文方案可以實(shí)現(xiàn)零自愈和零丟包的高可靠性要求，能為提高核I&C冗余控制網(wǎng)絡(luò)的可靠性提供一種很好的思路和實(shí)現(xiàn)方式。

圖7 PRP性能測(cè)試平臺(tái)Fig.7 A performance test platform of PRP.

圖8 測(cè)試結(jié)果Fig.8 Results of test.

4 結(jié)語

本文對(duì)PRP冗余技術(shù)在節(jié)點(diǎn)應(yīng)用層實(shí)現(xiàn)方向上做了原理性研究和雙網(wǎng)冗余測(cè)試。測(cè)試表明，該方案能夠?qū)崿F(xiàn)IEC 62439-3標(biāo)準(zhǔn)中定義的PRP協(xié)議所能實(shí)現(xiàn)的核心功能。即實(shí)現(xiàn)零自愈和零丟包的無縫切換高可靠性要求。相比于AP1000儀控系統(tǒng)

Ovation平臺(tái)采用的雙網(wǎng)備份冗余，以及EPR儀控系統(tǒng)TXP平臺(tái)采用的帶星型耦合器的虛擬環(huán)網(wǎng)冗余等基于網(wǎng)絡(luò)設(shè)備冗余方式的無擾切換冗余技術(shù)，對(duì)十分注重可靠性的核電工控領(lǐng)域而言，PRP無縫切換冗余技術(shù)以網(wǎng)絡(luò)節(jié)點(diǎn)冗余的方式，更具有較高的實(shí)用價(jià)值。

1 王家勝, 洪振旻, 胡平. 核電站數(shù)字化儀控系統(tǒng)改造中的幾種控制系統(tǒng)綜合應(yīng)用分析[J]. 核科學(xué)與工程, 2005, 25(3): 231-238 WANG Jiasheng, HONG Zhenmin, HU Ping. Some digit I&C system applies and analyse in nuclear power station’s reconstruct[J]. Chinese Journal of Nuclear Science and Engineering, 2005, 25(3): 231-238

2 郭曉明. 核電站數(shù)字化儀控系統(tǒng)可靠性分析方法研究[D]. 北京: 清華大學(xué), 2011 GUO Xiaoming. On reliability analysis method of nuclear power station digital instrument control system[D]. Beijing: Tsinghua University, 2011

3 鄭明光, 徐濟(jì)鋆, 金承華, 等. 中國百萬級(jí)核電站數(shù)字化儀控系統(tǒng)的設(shè)計(jì)目標(biāo)分析[J]. 核技術(shù), 2001, 24(2): 134-138 ZHEN Mingguang, XU Jiyun, JIN Chenghua, et al. Design objective analysis of computerized I and C system used in Chinese national pressurized water reactor[J]. Nuclear Techniques, 2001, 24(2): 134-138

4 International Electrotechnical Commission. IEC 62439 SC 65C High availability automation networks[S]. Geneva, Switzerland: IEC, 2008

5 John Michalski T, Francis Wyant J, David Duggan, et al. Secure network design techniques for safety system applications at nuclear power plants, a letter report to the US NRC[EB/OL]. http://pbadupws.nrc.gov/docs/ML 1225/ML12250A812.pdf, 2010-9-20

6 謝志迅, 鄧素碧, 臧德?lián)P. 數(shù)字化變電站通信網(wǎng)絡(luò)冗余技術(shù)[J]. 電力自動(dòng)化設(shè)備, 2011, 31(9): 100-103, 120 XIE Zhixun, DENG Subi, ZANG Deyang. Redundancy technique of digital substation communication network[J]. Electric Power Automation Equipment, 2011, 31(9): 100-103, 120

7 Araujo J A, Lazaro J, Astarloa A, et al. High availability automation networks: PRP and HSR ring implementations[C]. Industrial Electronics (ISIE), 2012 IEEE International Symposium on, Hangzhou, CN, 2012

8 陳原子, 徐習(xí)東. 基于并行冗余網(wǎng)絡(luò)的數(shù)字化變電站通信網(wǎng)絡(luò)構(gòu)架[J]. 電力自動(dòng)化設(shè)備, 2011, 31(1): 105-108 CHEN Yuanzi, XU Xidong. Communication network structure of digital substation based on parallel redundancy[J]. Electric Power Automation Equipment, 2011, 31(1): 105-108

9 宋敬彬, 孫海濱. Linux網(wǎng)絡(luò)編程(第二版)[M]. 北京:清華大學(xué)出版社, 2014 SONG Jingbin, SUN Haibin. Linux network programming (2nded)[M]. Beijing: Tsinghua University, 2014

10 王浩, 王平, 付蔚, 等. 高可用性自動(dòng)化網(wǎng)絡(luò)[M]. 北京:科學(xué)出版社, 2012 WANG Hao, WANG Ping, FU Wei, et al. High availability automation networks[M]. Beijing: Science Press, 2012

CLCTL362+.5

Research on application of PRP to the control network for digital I&C of nuclear reactor

LIU Shaohai1,2CHEN Yongzhong1,3HAN Lifeng1,3ZHANG Ning1,3XU Haixia1,3
1(Shanghai Institute of Applied Physics, Chinese Academy of Sciences, Jiading Campus, Shanghai 201800, China)
2(University of Chinese Academy of Sciences, Beijing 100049, China)
3(Key Laboratory of Nuclear Radiation and Nuclear Energy Technology, Chinese Academy of Sciences, Shanghai 201800, China)

Background:Only the reliability of Rapid Spanning Tree Protocol (RSTP) and some other redundancy protocols is improved when a single-point failure occurs in the network, then the RSTP might be applied to control network of reactor’s digital instrumentation and control system (I&C). The Parallel Redundancy Protocol (PRP) released in standard IEC62439-3 and applied to the intelligent power transducing station is proposed as a possible solution to provide completely seamless switchover in case of a single-point failure.Purpose:In order to fulfill all the high-reliability requirements of redundancy control network, the PRP is applied to the digital I&C of nuclear reactor.Methods:The principle of achievable high reliability and high availability based on PRP are analyzed in detail, and a software implementation of PRP protocol has been developed based on TCP/IP over Linux in the application layer. ResultsTest results show that the high reliability requirements of zero self-healing time and zero packet loss can be realized during the simple data transmitting experiments across the various network nodes.ConclusionThe PRP and the peoposed implementation plan can be employed to achieve high reliability control network for nuclear reactor’s I&C system.

Parallel redundancy protocol (PRP), IEC 62439-3, Digital instrumentation and control system (I&C), Control network, Reliability

TL362+.5

10.11889/j.0253-3219.2014.hjs.37.110603

中國科學(xué)院戰(zhàn)略性先導(dǎo)科技專項(xiàng)(No.XDA02010300)資助

劉少海，男，1988年出生，2012 年畢業(yè)于三峽大學(xué)，現(xiàn)為碩士研究生，核技術(shù)及應(yīng)用專業(yè)

2014-07-21，

2014-08-22