0.   引　言

核电厂数字化控制系统（DCS）网络一般为虚拟环网或冗余总线结构，理论上单一网络节点故障不会导致其他节点故障或环网故障^[1-2]，但由于网络结构复杂、设备老化、设计制造缺陷、同机柜作业人因失效等因素影响，近年核电厂运营中曾发生多起因单一网络节点故障引发或叠加其他节点故障，进一步导致机组重大瞬态的事件。如2018年3月23日，某核电厂交换机故障导致蒸汽发生器液位低触发反应堆停堆。2021年9月25日，某核电厂二分区交换机故障导致过程自动化系统（PAS）环网与电厂总线完全失去通讯，一回路压力短时快速下降并超出核电厂运行技术规范限值，部分设备非预期动作。2022年8月13日，某核电厂汽轮机控制系统交换机故障导致汽轮机功率设定值变为0引发跳机等。根据上述事件反馈并结合实际运维经验，单一网络节点故障后，除经该节点的控制信号有丢失风险外，还需叠加考虑其他节点故障下的信号风险，并进行包络性风险分析。但DCS信号多，控制逻辑复杂，网络节点的位置不同、配置不同，其故障概率和所导致的风险也不同，难以进行人工分析。

本文基于某核电厂DCS网络结构和控制逻辑组态数据，从网络结构和控制信号2个维度建模，计算生成所有网络信号的风险数据，对任意网络信号的实际物理链路进行动态计算，建立信号冗余性判断规则，提出单一节点故障下的状态转移矩阵并进行叠加故障后的信号风险分析，建立高风险网络信号判断规则并给出改进建议。

1.   网络结构与数据建模

以某核电厂DCS Level 1层网络为例，主要由若干处理器（AP或CM，由互相冗余的A、B 2列组成）、若干工业交换机（X307-3、X408-2、X112-2等）、1条电厂总线（PB）、2条物理上互相独立冗余的安全自动化系统（SAS）总线、各分区的PAS总线组成，结构片段如图1所示。PB和PAS总线为虚拟环网，SAS总线为线型网络。交换机分为冗余管理交换机（RM）、环网通讯主交换机（SM）、环网通讯从交换机（SC）、不承担SM和SC功能的交换机（Normal）几种类型。

图  1  网络结构示意

Figure  1.  Schematic of Network Structure

下载: 全尺寸图片 幻灯片

1.1   网络结构建模

将图1网络用无向图G_n=(N,E)表示，节点N按表1结构描述，E为硬件模块间连接关系。在各节点属性中，ID为硬件节点的全局唯一标识；PID为处理器或交换机编号；SID为功能属性，取值为RM、SM、SC、N、SA（SAS-A）、SB（SAS-B）、A（AP-A列）、B（AP-B列）；hPort为交换机或处理器硬件网络端口编号；PCfg为端口配置，取值N（正常）、DB（配置阻塞）、FB（故障阻塞）；hType为硬件类型，可为AP、CM、X307-3、X408-2、X112-2；NID为所属网络，取值为PB、SAS-A、SAS-B、PAS-n；Cabinet为节点所在机柜编号。

表  1  DCS网络节点表

Table  1.  Network Nodes of DCS

ID	PID	SID	hPort	PCfg	hType	NID	Cabinet
1	11	N	P8.2	N	X408-2	PB	KCO2205
2	7	SA	P3	N	X112-2	SAS-A	KCO2205
3	1	RM	P1	N	X307-3	PAS-Ⅱ	KCO2101
4	1	RM	P8	N	X307-3	PAS-Ⅱ	KCO2101
5	1	RM	P9	DB	X307-3	PAS-Ⅱ	KCO2101
6	3	SC	P2	N	X307-3	PAS-Ⅱ	KCO2102
7	253	A	P0	N	AP	PAS-Ⅱ	KCO2103
…	…	…	…	…	…	…	…

下载: 导出CSV 

| 显示表格

交换机编号原则：对于虚拟环网，以RM交换机PID为1，往非阻塞端口方向PID依次递增；对于SAS线型网络，以SAS-A或SAS-B最左侧交换机为1，依次递增。

用无向边(n_q,n_z)表示节点间的连接关系，如(7,6)表示ID为7的节点（KCO2103机柜的AP253-A的P0端口）与ID为6的节点（KCO2102机柜PID为3的交换机X307-3的P2口）相连。将无向图G_n按关系数据库范式或图数据库设计与存储，可得到便于计算机查询与处理的DCS网络结构数据。

1.2   网络信号建模

每个处理器间需传输的网络信号和传输方向从DCS组态下装完成就已确定。通过对机组DCS数据库进行离线重构^[3]，可得到离线控制逻辑图G_d=(V,E)，由若干控制逻辑模块V和模块间连接关系E（有向边）组成，每个节点包含Name（信号名）、LID（控制逻辑模块全局唯一标识）、sType（控制逻辑模块类型）、sPort（控制逻辑模块端口名）、PID、NID等属性，通过G_d可遍历任意模块、任意信号经过的所有控制逻辑路径。

1.3   网络信号风险分析

制定覆盖所有控制逻辑模块类型输入端口的风险分析规则集合R，每条规则包含模块名、端口、停止标志、风险描述模板文本、严重程度等属性。对能够引起设备动作的端口（如优先级最高的设备保护关端口）赋予严重程度高；对于没有即时影响但可能导致控制策略发生变化的端口（如闭锁、强制手/自动等）赋予严重程度中；对于仅显示或实验功能的端口（如LT灯试）赋予严重程度低。

对于任意有向边<v_q,v_z>∈G_d，若v_q.PID≠v_z.PID，则该信号为网络信号，再通过v_q.NID和v_z.NID是否相等判断该信号是同网络还是跨网络。设网络信号集合为 $ E^{^{{\prime}}} $ ，则信号风险分析过程为：对 $ \forall < {v_{\text{q}}},{v_{\text{z}}} > \in E^{^{{\prime}}} $ ，从节点v_z开始，对该模块所有输出端口进行深度优先遍历，对遍历经过的每一节点，根据其LID从G_d中检索出该模块的类型及端口等属性，并从集合R中匹配风险分析规则，如果停止标志为N，继续往下遍历；如果停止标志为Y，则基于风险描述模板文本，带入设备编码后，得到该网络信号的1条风险。遍历后可得到该网络信号的若干条风险分析结果。

在核电厂实际运行维护中，可在DCS组态生成下装后，根据集合R自动生成所有跨处理器信号的风险清单，并在维修、运行等专业配合下，校核并建立标准处理器/网络信号风险数据库，以提高信号风险分析结果的准确性和适用性。

1.4   网络信号物理路径计算

分析网络节点故障对信号的影响，关键在于计算信号经过的交换机物理链路，分以下情况：

（1）SAS网络：为总线型，分别从起点开始遍历，可得2条固定且独立的交换机路径序列L_SAS-A和L_SAS-B。对于SAS网络信号<v_q,v_z>，在G_n中分别检索v_q、v_z所接交换机在L_SAS-A和L_SAS-B序列中的位置，可得该网络信号实际物理路径。

（2）虚拟环网：正常运行时，为避免环网风暴，RM的阻塞端口自动断开，实际也是处于总线状态。从RM交换机非阻塞端口开始对环网内交换机遍历，可得交换机路径序列 L={S₁,S₂,…,S_n}。如果2个环网路径序列L_q和L_z有连接（如各分区的PAS环网与PB相连），记录其SM交换机在L_q中的位置 $ {i_{{\text{SM}}}} $ ，其与L_z相连交换机位置为 $ {i^{^{{\prime}}}_{{\text{SM}}}} $ ，SC交换机在L_q中的位置 $ {j_{{\text{SC}}}} $ ，其与L_z相连交换机位置为 $ {j^{^{{\prime}}}_{{\text{SC}}}} $ 。当环网间通讯正常时( $ {i_{{\text{SM}}}} $ , $ {i^{^{{\prime}}}_{{\text{SM}}}} $ )为主链路，( $ {j_{{\text{SC}}}} $ , $ {j^{^{{\prime}}}_{{\text{SC}}}} $ )作为备用链路保持断开以避免环网风暴；当( $ {i_{{\text{SM}}}} $ , $ {i^{^{{\prime}}}_{{\text{SM}}}} $ )故障断开时，( $ {j_{{\text{SC}}}} $ , $ {j^{^{{\prime}}}_{{\text{SC}}}} $ )自动闭合以保持环网间通讯正常。

对于同网络的任意信号<v_q,v_z>，在G_n中分别检索与处理器v_q.PID和v_z.PID所属网络端口相连的交换机在序列L中的位置i_q和i_z，即可得该信号实际物理路径。

对于跨网络的任意信号<v_q,v_z>，在G_n中分别检索与处理器v_q.PID和v_z.PID所属网络端口相连的交换机在各自网络的交换机路径序列L_q和L_z中的位置i_q和i_z，再结合 $ {i_{{\text{SM}}}} $ 、 $ {i^{^{{\prime}}}_{{\text{SM}}}} $ 、 $ {j_{{\text{SC}}}} $ 和 $ {j^{^{{\prime}}}_{{\text{SC}}}} $ 的位置，即可得该信号实际物理路径。

（3）当发生环网重构时，环网RM阻塞端口闭合，交换机路径序列将发生变化，若故障交换机位置为k，则新的序列L_r为：

更特殊的一种情况，当k= $ {i_{{\text{SM}}}} $ 或 $ k = {i^{^{{\prime}}}_{{\text{SM}}}} $ 时，即交换机SM链路故障，则除了环网重构外，环网间通讯也会从( $ {i_{{\text{SM}}}} $ , $ {i^{^{{\prime}}}_{{\text{SM}}}} $ )切换到( $ {j_{{\text{SC}}}} $ , $ {j^{^{{\prime}}}_{{\text{SC}}}} $ )。更新 ${i_{{\rm{SM}}}}$ 、 $ {i^{^{{\prime}}}_{{\text{SM}}}} $ 、 $ {j_{{\text{SC}}}} $ 和 $ {j^{^{{\prime}}}_{{\text{SC}}}} $ 位置，最后再更新信号路径即可。

2.   网络节点故障下风险分析

网络节点故障下风险分析包括网络节点工作正常时的信号冗余分析和故障下的信号风险分析。首先假设：①网络节点故障仅影响处理器间的网络信号，不会影响硬接线信号及处理器内部信号；②初始条件为正常工作状态，DCS中无任何网络节点或处理器冗余丢失相关报警。

2.1   网络信号冗余分析

信号冗余分析属于静态分析，对任意非SAS网络信号<v_q,v_z>，根据1.4小节，对于AP信号，共有4条交换机路径集合L_A-A、L_A-B、 L_B-A、L_B-B；对于CM网关，设计上CM-A只能和其他CM-A或AP-A通讯，CM-B只能和其他CM-B或AP-B通讯，设网关处理器集合为A_CM，当v_q.PID∨v_z.PID∈A_CM时，L_A-B 和L_B-A为空。设信号必经交换机集合为C，信号路径涉及所有交换机集合为D，则有：

对SAS网络信号<v_q,v_z>，设其在SAS-A中的交换机路径序列集合为L_A，SAS-B为L_B，则集合C和D为：

设与v_q的A、B列处理器相连的交换机分别为S_q、 ${S {}^{^{{\prime}}}_{\text{q}}}$ ；v_z的A、B列为S_z、 ${S {}^{^{{\prime}}}_{\text{z}}}$ ，则{S_q, ${S {}^{^{{\prime}}}_{\text{q}}}$ ,S_z, ${S {}^{^{{\prime}}}_{\text{z}}}$ }∈D。若S_q= ${S {}^{^{{\prime}}}_{\text{q}}}$ ，则S_q∈C，即S_q处于信号必经路径上，若S_q故障将会导致信号通讯完全中断；S_z= ${S {}^{^{{\prime}}}_{\text{z}}}$ 同理。进一步，对于v _q.PID∨v_z.PID∈A_CM，若S_q= ${S {}^{^{{\prime}}}_{\text{z}}}$ ，则有L_A-A={S_q,…,S_z}，L_B-B={ ${S {}^{^{{\prime}}}_{\text{q}}}$ ,…, ${S {}^{^{{\prime}}}_{\text{z}}}$ }={ ${S {}^{^{{\prime}}}_{\text{q}}}$ ,…, S_q}，S_q∈C也将导致信号完全通讯中断； ${S {}^{^{{\prime}}}_{\text{q}}}$ =S_z同理。因此，对于任意网络信号，信号冗余判断规则为：① S_q≠ ${S {}^{^{{\prime}}}_{\text{q}}}$ 且S_z≠ ${S {}^{^{{\prime}}}_{\text{z}}}$ ；② 若v_q.PID∨v_z.PID∈A_CM，则S_q≠ ${S {}^{^{{\prime}}}_{\text{z}}}$ 且 ${S {}^{^{{\prime}}}_{\text{q}}}$ ≠ S_z；③ 若为SAS网络，则 ${S _{\text{q}}}.{\text{NID}} \ne {S {}^{^{{\prime}}}_{\text{q}}}.{\text{NID}}$ 且 $ {S_{\text{z}}}.{\text{NID}} \ne {S {}^{^{{\prime}}}_{\text{z}}}.{\text{NID}} $ 。

规则①~规则③可识别出网络假冗余，在网络假冗余的情况下，DCS不会有任何报警或提示，难以发现且风险较大。

2.2   单一交换机故障

若网络冗余性满足规则①~规则③，则单一交换机故障下仅部分信号会失去冗余，设故障交换机为S_k，分2种情况讨论：

（1）网络不会重构：对属于SAS网络的任意网络信号e，根据式（3）计算C和D。若S_k∈D，则e失去冗余；若 $ {S_k} \notin D $ ，则e不受S_k故障影响；

（2）网络会重构：根据式（1）计算重建后的交换机序列。根据式（2）计算C和D，对属于该环网的任意网络信号e，若S_k∈D且 $ {S_k} \notin C $ ，则e失去冗余；若 $ {S_k} \notin D $ ，则e不受S_k故障影响。

依次对网络信号进行遍历处理，可得到受S_k故障影响而失去冗余的包含信号风险影响严重程度的网络信号清单。

2.3   叠加交换机故障

在实践中，单一交换机故障后，诸如机柜供电故障、机柜内作业（如误碰、走错间隔）、物理链路邻近、交换机功能配置（如冗余管理RM、环网间SM / SC功能）、交换机启用的端口数量等因素相互耦合均有可能使其他交换机故障概率增加。需对单一交换机故障下再叠加另一交换机故障进行风险分析。叠加故障仅考虑同一环网内或SAS的A/B网络间的叠加故障，对属于不同环网或SAS同一列内的交换机故障，本质上可视为单一网络故障分析。

对同一网络内易引起叠加故障的各耦合因素分配权重如表2所示。

表  2  各耦合因素权重

Table  2.  Weight of Coupling Factors

简写	名称	权值
$ {\omega _{\text{p}}} $	交换机端口权重	0.10
$ {\omega _{\text{d}}} $	距离权重	0.15
$ {\omega _{{\text{rm}}}} $	RM交换机权重	0.25
$ {\omega _{{\text{sm}}}} $	SM交换机权重	0.15
$ {\omega _{{\text{sc}}}} $	SC交换机权重	0.10
$ {\omega _{\text{c}}} $	相同机柜交换机权重	0.25

下载: 导出CSV 

| 显示表格

设环网内交换机数量为n，有正常（以0表示）和故障（以1表示）2种状态，状态转移矩阵A_n×n中的元素a_ij可表示为：

式中，f_p(j)表示位置j交换机（表示为S_j）已启用的端口数；f_d(j)表示叠加故障的距离相关性，若S_j与已故障交换机直接相连，f_d(j)=1，否则为0；f_rm(j)、f_sm(j)、f_sc(j)分别表示RM、SM、SC功能影响，若S_j具有相应RM、SM、SC功能，则对应f_rm(j)、f_sm(j)、 f_sc(j)均为1，否则为0；f_c(j)表示叠加故障的同机柜相关性，若S_j与已故障交换机同一机柜，则f_c(j)=1，否则为0。

若故障交换机位置为k（表示为S_k），初始状态为I₀，I₀A即为S_k故障下剩余交换机的故障概率。例如对于图1的PAS-Ⅱ环网，由式（4）计算得矩阵A为：

若S₂故障，即I₀=[0，1，0，0，0，0]，I₀A=[0.33，0，0.25，0.22，0.1，0.1]，可见S₁故障概率最高。

若S_k故障下，同一网络剩余交换机中故障概率最高的交换机为S_m，对于此网络相关的任意信号e，设故障交换机集合F={S_k，S_m}，如 $ F \cap C \ne \varnothing $ ，则e完全失去；如 $(F \cap C = \varnothing) \wedge (F \cap D \ne \varnothing)$ ，则e失去冗余；若 $ F \cap D = \varnothing $ ，则e的冗余性不发生变化。依次对网络信号进行遍历处理，可得受S_k故障再叠加S_m故障影响的网络信号清单。更保守地，也可取按概率降序排序后的多个交换机参与叠加故障分析。

3.   风险控制措施与优化建议

在已识别出的受影响网络信号清单基础上，结合表3进行信号风险评估，从低到高，风险评估结果依次表示为VS（风险非常低）、S（低），M（中）、H（高）、VH（风险非常高）。对评估结果为H和VH的信号采取风险控制措施。

表  3  风险评估表

Table  3.  Risk Assessment

可能性	严重程度
	低	中	高
完全失去	M	H	VH
失去冗余	S	M	H
正常	VS	S	M

下载: 导出CSV 

| 显示表格

风险控制措施包括短期和中长期。短期措施用于交换机故障后的维修处理期间，如：信号强制、设备隔离、切备用列、加强监视等；长期措施，如：布置优化、改造等。

在DCS网络结构设计或优化时，需注意：

（1）检测并消除假冗余。

（2） 对于SAS网络，应避免SAS-A和SAS-B交换机分配到同一机柜，降低因机柜供电、误碰、走错间隔等因素引发的SAS同时失去风险。

（3）对于环网，应避免具有RM/SM/SC功能的交换机与同环网其他交换机分配在同一机柜，以降低耦合故障概率。

在DCS逻辑组态设计或优化时，需注意：

（1）避免通过网络传输高风险信号，在资源允许的情况下优先使用硬接线。

（2）高风险网络信号应尽量处于同一网络内，避免跨网传输；应尽量缩短其传输节点路径长度，且各冗余链路间应避免存在必经交换机（必经交换机集合 $C = \varnothing$ ，即冗余信号各自经过的交换机路径不重叠）以降低单一或叠加故障时信号丢失概率。因此在DCS组态时，信号应尽量分配在同一网络内相邻处理器中。

（3）高风险网络信号在DCS组态时应在其路径上增加强制块，提高故障模式下信号隔离的可行性。

（4）对于高风险网络信号，在DCS组态设计时可增加信号保持逻辑，例如，增加1条相同链路的常1生命信号，当生命信号为0时保持该高风险网络信号的上一个有效值以避免误动。

工程实践中需结合高风险信号所影响设备的功能、核安全要求、故障概率、成本等因素综合考虑设计及优化方法。

4.   结　论

核电厂运行与维护时，当DCS单一网络节点故障后，保守决策必须叠加考虑其他节点故障并进行包络性风险分析。本文以某核电厂DCS 网络结构和控制逻辑数据建模，经复盘模拟，其风险分析结果可包络引言中的3个单一网络节点故障叠加其他位置网络节点故障下的瞬态事件风险。

本文所建立的模型和方法已成功应用于某欧洲压水堆（EPR）核电机组，通过计算机软件实现上述模型和方法，能快速计算出节点假冗余、节点布置不合理等设计缺陷，能计算任一交换机故障下的受影响信号清单和评估剩余交换机故障概率，将网络节点故障所致的风险显性化，可指导核电厂相关维修作业，或为核电厂的DCS组态设计、功能优化提供重要参考输入。