摘要：通信系統(tǒng)是核安全級儀控系統(tǒng)重要的技術(shù)組成部分，其負(fù)責(zé)系統(tǒng)內(nèi)各子系統(tǒng)之間的通信，對整個系統(tǒng)的實(shí)時(shí)性、可靠性和安全性等有重要的影響。本文通過對核電標(biāo)準(zhǔn)及行業(yè)文獻(xiàn)的分析和解讀，歸納出核安全級通信網(wǎng)絡(luò)應(yīng)該具有可靠、實(shí)時(shí)、安全、確定和獨(dú)立等特征要求，并基于這些要求設(shè)計(jì)和實(shí)現(xiàn)了一套基于逆向冗余雙環(huán)拓?fù)涞耐ㄐ啪W(wǎng)絡(luò)（稱為FirmNet）及產(chǎn)品，目前FirmNet網(wǎng)絡(luò)已應(yīng)用于國內(nèi)多家核電廠反應(yīng)堆控制保護(hù)系統(tǒng)中。相關(guān)分析和設(shè)計(jì)對于研制核安全級通信網(wǎng)絡(luò)具有很高的參考價(jià)值。
關(guān)鍵詞：核電廠；核安全級儀控系統(tǒng)；通信系統(tǒng)
Abstract: The communication system is an important technical component of nuclear safety level instrument control system, which is responsible for the communication among multiple subsystems of the integral system. It has an important impact on the real-time, reliability and safety of the whole system.
Based on the thorough analysis of nuclear power standard and literature, this paper concludes that the nuclear safety level communication networks should be reliable, real-time, safety, determination and independent. Casting on these basis requirements, we design and implement FirmNet, a reverse redundant loop topology. FirmNet has been employed in multiple domestic nuclear power plant reactor control and protection systems. The related analysis and design have a high reference value for developing nuclear safety level communication network.
Key words: Nuclear power plant; Nuclear safety instrument and control system; Communication system

1　引言
儀控系統(tǒng)是整個核電站的神經(jīng)中樞系統(tǒng)，其中核安全級儀控系統(tǒng)主要用于實(shí)現(xiàn)控制核反應(yīng)堆安全停堆、堆芯余熱排出，和（或）限制預(yù)計(jì)運(yùn)行事件和事故工況后果的系統(tǒng)。核安全級儀控系統(tǒng)是保障核電站安全運(yùn)行的第一道防線，該系統(tǒng)能否安全、可靠、實(shí)時(shí)地運(yùn)行對核電站安全至關(guān)重要。
在核安全級儀控系統(tǒng)中，關(guān)鍵的通信網(wǎng)絡(luò)可以分為兩類：一類是冗余通道之間控制站之間的通信，主要傳輸用于反應(yīng)堆跳堆表決邏輯的數(shù)據(jù)，這一部分通信一般采用點(diǎn)對點(diǎn)通信技術(shù)；另一類是整個保護(hù)系統(tǒng)內(nèi)各控制站之間的通信，主要傳輸反應(yīng)堆運(yùn)行參數(shù)，控制系統(tǒng)狀態(tài)數(shù)據(jù)，人機(jī)接口數(shù)據(jù)等。
其中第二類通信是控制保護(hù)系統(tǒng)的骨架，對整個系統(tǒng)的可擴(kuò)展性、實(shí)時(shí)性、可靠性、安全性有重要影響。
本文主要針對第二類通信系統(tǒng)進(jìn)行分析和設(shè)計(jì)。通信架構(gòu)如圖1所示。

核安全級通信網(wǎng)絡(luò)作為核電廠儀控系統(tǒng)的重要組成部分，其設(shè)計(jì)和設(shè)備研制除了遵守通信相關(guān)的核電標(biāo)準(zhǔn)還必須遵守核電廠儀控系統(tǒng)相關(guān)的一系列標(biāo)準(zhǔn)，另外，工業(yè)通信標(biāo)準(zhǔn)也具有重要的參考價(jià)值。

通過對一系列標(biāo)準(zhǔn)的分析和大量技術(shù)文獻(xiàn)的整理，我們總結(jié)出核安全級通信網(wǎng)絡(luò)應(yīng)該具有五個關(guān)鍵的特性：可靠性、安全性、實(shí)時(shí)性、確定性和獨(dú)立性。

本文對五個特性進(jìn)行了分析說明，并結(jié)合北京廣利核系統(tǒng)工程有限公司研制中國首個核安全級數(shù)字化控制保護(hù)系統(tǒng)通用平臺——FirmSys的實(shí)際工作，從構(gòu)成通信系統(tǒng)的拓?fù)浣Y(jié)構(gòu)、通信介質(zhì)、通信協(xié)議和通信設(shè)備等四個層面對如何實(shí)現(xiàn)這五個關(guān)鍵特性進(jìn)行了闡述。

2　核安全級通信系統(tǒng)關(guān)鍵特征
通過對IEEE 7-4.3.2、IEEE 603、IEC 61513、IEC 61500等國際標(biāo)準(zhǔn)和NUREG/CR-6082、NUREG/CR-6991、DI&C-ISG-04等NRC審查指導(dǎo)文件的解讀可以發(fā)現(xiàn)，核安全級儀控系統(tǒng)對其通信系統(tǒng)有很多明確的要求和約束，其中對通信系統(tǒng)本身的要求可以歸納為以下幾個方面：
（1）可靠性
可靠性指通信系統(tǒng)在一定時(shí)間內(nèi)，在正常和異常工況下無故障的完成通信功能的能力。一般來講，提高儀控系統(tǒng)的可靠性主要有三種途徑：一是簡化系統(tǒng)的設(shè)計(jì)，減少可能出錯的點(diǎn)；二是采取容錯措施；三是系統(tǒng)設(shè)備執(zhí)行自檢測和對系統(tǒng)進(jìn)行周期性試驗(yàn)。
（2）安全性
安全性包括功能安全和信息安全兩方面的要求：功能安全指通信系統(tǒng)避免反應(yīng)堆處在潛在危險(xiǎn)或不穩(wěn)定狀態(tài)的能力，核安全級通信系統(tǒng)故障不能以任何方式危害反應(yīng)堆控制保護(hù)系統(tǒng)安全功能的執(zhí)行。
通信系統(tǒng)在任何情況下都不得危害到反應(yīng)堆控制保護(hù)系統(tǒng)的安全功能。信息安全指通信系統(tǒng)具有較強(qiáng)的防御黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊的能力。反應(yīng)堆控制保護(hù)系統(tǒng)必須按照安全分區(qū)，網(wǎng)絡(luò)專用，橫向隔離，縱向認(rèn)證和綜合防護(hù)的原則進(jìn)行安全防護(hù)。因此，除了支持安全分區(qū)，通信網(wǎng)絡(luò)必須做到網(wǎng)絡(luò)專用，并支持橫向隔離和縱向認(rèn)證。
（3）確定性
確定性指在通信系統(tǒng)配置階段，就能夠精確計(jì)算出通信速率、通信延遲、吞吐量、通信負(fù)荷、數(shù)據(jù)更新時(shí)間等關(guān)鍵運(yùn)行指標(biāo)。
核安全級通信系統(tǒng)應(yīng)該是基于狀態(tài)的通信，即按照固定的時(shí)間間隔發(fā)送固定的數(shù)據(jù)集，而不管數(shù)據(jù)是否發(fā)生變化。通信過程中消息的長度、構(gòu)成、傳輸路徑、延遲、通信負(fù)荷等應(yīng)該是不變的。
（4）實(shí)時(shí)性
實(shí)時(shí)性指通信系統(tǒng)在有限的時(shí)間內(nèi)把過程數(shù)據(jù)或操作指令正確傳輸?shù)侥康牡氐哪芰Α?br/>核安全級通信系統(tǒng)應(yīng)該提供充分的性能，以保證從任意通信節(jié)點(diǎn)發(fā)出的任何數(shù)據(jù)都可以在一定的時(shí)間限制內(nèi)，被預(yù)期的目標(biāo)結(jié)點(diǎn)正確接收到，即使在最壞的工況下也要滿足執(zhí)行安全功能而要求實(shí)時(shí)性。
（5）獨(dú)立性
獨(dú)立性指通信系統(tǒng)應(yīng)該滿足實(shí)體分離，電氣隔離，通信隔離和功能獨(dú)立。
數(shù)據(jù)通信不應(yīng)依賴于接收方的確認(rèn)消息。
不同安全等級的通信系統(tǒng)間通信時(shí)，數(shù)據(jù)通信應(yīng)該由安全等級高的通信系統(tǒng)來掌控，并且數(shù)據(jù)應(yīng)該是從高安全級別通信系統(tǒng)流向低安全級別通信系統(tǒng)，原則上安全等級低的通信系統(tǒng)不允許向安全等級高的通信系統(tǒng)發(fā)送數(shù)據(jù)。
3　核安全級通信系統(tǒng)設(shè)計(jì)
核安全級通信系統(tǒng)的關(guān)鍵特性主要是通過其拓?fù)浣Y(jié)構(gòu)、通信介質(zhì)、通信協(xié)議和通信設(shè)備來體現(xiàn)的，每一個環(huán)節(jié)都能夠在不同的層面體現(xiàn)出一個或多個關(guān)鍵特性。

3.1　拓?fù)浣Y(jié)構(gòu)
在通信過程中，有動態(tài)和靜態(tài)兩類路由選擇策略。動態(tài)路由會增加通信時(shí)間的不確定性，而靜態(tài)路由有利于實(shí)現(xiàn)通信時(shí)間的確定性，所以核安全級通信網(wǎng)絡(luò)應(yīng)該選擇靜態(tài)路由策略。
不同的拓?fù)浣Y(jié)構(gòu)能夠?yàn)榫W(wǎng)絡(luò)帶來不同的可靠性。比如總線型和星型拓?fù)淠軌蛱烊坏谋ＷC單一網(wǎng)絡(luò)節(jié)點(diǎn)的故障不會影響到其他網(wǎng)絡(luò)節(jié)點(diǎn)的通信。而環(huán)型拓?fù)渚哂刑烊坏耐ㄐ沛溌啡哂嗵匦浴?/p>

為提高通信的可靠性，核安全級通信網(wǎng)絡(luò)的通信鏈路要冗余，以保證一條鏈路故障時(shí)，數(shù)據(jù)仍然可以通過冗余鏈路進(jìn)行傳輸。
3.2　通信介質(zhì)
通信介質(zhì)可以分為兩大類，導(dǎo)向傳輸介質(zhì)和非導(dǎo)向通信介質(zhì)，即有線和無線。核安全級通信網(wǎng)絡(luò)的通信介質(zhì)屬于1E級裝置，考慮到實(shí)時(shí)性、可靠性、信息安全性等因素，在目前技術(shù)條件下不考慮無線通信介質(zhì)。
目前較為成熟的有線通信介質(zhì)主要有同軸電纜、雙絞線和光纖三種。同軸電纜和雙絞線帶寬低，信號傳輸距離短，對電磁干擾比較敏感，可以應(yīng)用在短距離場合，如控制機(jī)柜內(nèi)部。同軸電纜因?yàn)榻涌?、體積、成本等原因，應(yīng)用較少。相比較而言，光纖因其與生俱來的優(yōu)點(diǎn)更適合應(yīng)用在工業(yè)場合。

核安全級通信網(wǎng)絡(luò)的通信介質(zhì)應(yīng)該優(yōu)先選擇光纖。
3.3　通信協(xié)議
通信協(xié)議是指通信實(shí)體完成通信或服務(wù)所必須遵循的規(guī)則和約定。協(xié)議定義了數(shù)據(jù)單元使用的格式，數(shù)據(jù)單元應(yīng)該包含信息與含義、連接方式、信息發(fā)送和接收的時(shí)序，從而確保網(wǎng)絡(luò)中數(shù)據(jù)順利地傳送到確定的地方。
通信協(xié)議是通信網(wǎng)絡(luò)的靈魂，是通信系統(tǒng)中最復(fù)雜的部分，也最容易導(dǎo)致通信錯誤。本文從構(gòu)成通信協(xié)議要素的服務(wù)、環(huán)境假設(shè)、編碼和過程規(guī)則等方面介紹核安全級網(wǎng)絡(luò)通信協(xié)議的設(shè)計(jì)特點(diǎn)，這些特點(diǎn)都直接或間接地體現(xiàn)了通信網(wǎng)絡(luò)的可靠性、安全性、獨(dú)立性和確定性要求。
（1）服務(wù)
核安全級通信協(xié)議應(yīng)該堅(jiān)持最簡化原則，只使用OSI參考模型中的三層，即物理層、數(shù)據(jù)鏈路層和應(yīng)用層，并且僅提供必須的服務(wù)。
報(bào)警：通信協(xié)議在檢測到可能危害反應(yīng)堆控制保護(hù)系統(tǒng)安全功能的錯誤或故障時(shí)，向通信系統(tǒng)的應(yīng)用程序?qū)影l(fā)出報(bào)警。
自監(jiān)視：自監(jiān)視指通信協(xié)議能夠持續(xù)、自動地對整個通信系統(tǒng)的連通性、完整性和各類通信錯誤進(jìn)行監(jiān)視和統(tǒng)計(jì)，并且把監(jiān)視結(jié)果和統(tǒng)計(jì)數(shù)據(jù)提供給應(yīng)用程序?qū)印?br/>預(yù)定義輸出：預(yù)定義輸出指協(xié)議能夠在監(jiān)測到嚴(yán)重的通信故障或數(shù)據(jù)錯誤時(shí)，固定輸出預(yù)定義數(shù)據(jù)的服務(wù)。
接入認(rèn)證：在有通信節(jié)點(diǎn)請求接入核安全級通信系統(tǒng)時(shí)，必須使用通信協(xié)議的接入認(rèn)證服務(wù)，只有通過嚴(yán)格認(rèn)證的數(shù)據(jù)才允許進(jìn)入通信系統(tǒng)傳輸。
隔離：隔離服務(wù)能夠把通信節(jié)點(diǎn)與應(yīng)用層軟件之間的通信切斷，從而實(shí)現(xiàn)雙方的隔離。
（2）環(huán)境假設(shè)
鏈路冗余：核安全級通信系統(tǒng)應(yīng)該提供冗余的鏈路，以確保一條鏈路出現(xiàn)故障時(shí)，通信仍然能夠正常進(jìn)行。并且冗余的鏈路還可以幫助通信系統(tǒng)實(shí)現(xiàn)檢錯和排錯能力。
靜態(tài)路由：核安全級通信系統(tǒng)的數(shù)據(jù)通信鏈路應(yīng)該是預(yù)先設(shè)定好的，不允許在通信系統(tǒng)運(yùn)行過程中動態(tài)改變。
（3）編碼
使用封裝：封裝是指協(xié)議對應(yīng)OSI模型中的高層把其相鄰下層需要的數(shù)據(jù)進(jìn)行“包裹”的一種設(shè)計(jì)方法。
封裝能夠維持協(xié)議各層獨(dú)立并實(shí)現(xiàn)消息分段傳輸。
幀長度固定：核安全級通信協(xié)議的幀必須采用固定的長度，如果要傳輸?shù)臄?shù)據(jù)無法填滿幀的數(shù)據(jù)域，則向數(shù)據(jù)域填充占位數(shù)據(jù)。幀長度固定可以增強(qiáng)通信的確定性。
幀格式確定：核安全級通信協(xié)議的幀格式必須是確定的。同一類型的幀都應(yīng)該具有相同的域結(jié)構(gòu)和相同的位置順序，包括消息標(biāo)識、狀態(tài)信息、數(shù)據(jù)位等。
專有性：核安全級通信協(xié)議的幀格式和編碼應(yīng)該與目前已知的通信協(xié)議有所區(qū)別，消除外部數(shù)據(jù)偽裝進(jìn)入通信系統(tǒng)的可能。
檢錯/糾錯編碼：核安全級通信協(xié)議幀應(yīng)該采用檢錯或糾錯編碼，以確保數(shù)據(jù)能被正確接收并正確理解。
負(fù)荷無關(guān)性：核安全級通信協(xié)議不允許產(chǎn)生隨著通信負(fù)荷大小變化而變化的數(shù)據(jù)。
（4）過程規(guī)則
單向通信：核安全級通信系統(tǒng)中節(jié)點(diǎn)間的通信不執(zhí)行通信握手，數(shù)據(jù)傳輸完全由發(fā)送方控制，數(shù)據(jù)接收方不用向發(fā)送方反饋“確認(rèn)”消息。
傳輸固定數(shù)據(jù)集：只有預(yù)定義的數(shù)據(jù)集能夠被發(fā)送以及被接收方使用。不被認(rèn)可的消息或數(shù)據(jù)要被接收方參照預(yù)先確定的設(shè)計(jì)要求識別出來并加以處理。
周期通信：核安全級通信協(xié)議必須按照固定的周期進(jìn)行數(shù)據(jù)通信，節(jié)點(diǎn)必須在一個周期內(nèi)傳輸全部數(shù)據(jù)，而不管數(shù)據(jù)是否發(fā)生了變化。
數(shù)據(jù)固定位置存儲：通信節(jié)點(diǎn)接收到的數(shù)據(jù)應(yīng)該被放置到存儲區(qū)預(yù)先定義好的位置上，并且這些存儲位置不能再做其他用途。
數(shù)據(jù)冗余：核安全級通信協(xié)議應(yīng)該具有數(shù)據(jù)冗余機(jī)制，以提高通信系統(tǒng)的可靠性。
防止故障蔓延：通信節(jié)點(diǎn)不允許轉(zhuǎn)發(fā)破損的協(xié)議幀，應(yīng)該在識別后對其進(jìn)行丟棄。
單點(diǎn)故障容錯：核安全級通信系統(tǒng)中單個通信節(jié)點(diǎn)的失效或故障不應(yīng)該影響整個通信系統(tǒng)的正常通信。
差錯控制：核安全級通信協(xié)議必須對IEC 61500規(guī)定的八種通信錯誤進(jìn)行檢測并采取相應(yīng)的處理措施。
確定的延遲：核安全級通信協(xié)議必須能夠保證數(shù)據(jù)傳輸所有環(huán)節(jié)中各種延遲的確定性。從而能夠在確定了數(shù)據(jù)集、幀長度和傳輸周期后就能夠計(jì)算出通信系統(tǒng)可能的最大通信延遲。
順序無關(guān)性：核安全級通信系統(tǒng)的通信節(jié)點(diǎn)的正確運(yùn)行不能依賴于其在整個通信系統(tǒng)中的位置或其與其他節(jié)點(diǎn)的相互順序。
無鏈?zhǔn)椒磻?yīng)：核安全級通信協(xié)議不允許存在鏈?zhǔn)椒磻?yīng)，即協(xié)議不能根據(jù)傳輸數(shù)據(jù)的內(nèi)容而自動產(chǎn)生新的數(shù)據(jù)。
3.4　通信設(shè)備
通信設(shè)備是構(gòu)成網(wǎng)絡(luò)的實(shí)體，是實(shí)現(xiàn)通信協(xié)議的載體。從實(shí)現(xiàn)技術(shù)來講，通信設(shè)備可以基于純硬件實(shí)現(xiàn)，也可以在硬件的基礎(chǔ)上采用軟件和（或）可編程邏輯實(shí)現(xiàn)。
從功能特點(diǎn)和實(shí)現(xiàn)技術(shù)的特點(diǎn)來看，通信功能部分直接影響網(wǎng)絡(luò)的實(shí)時(shí)性，所以通過可編程邏輯技術(shù)實(shí)現(xiàn)。網(wǎng)絡(luò)應(yīng)用層和配置相關(guān)的功能面臨的需求更加多樣化，因此適宜通過軟件實(shí)現(xiàn)。
軟件應(yīng)該采用無中斷，固定周期，內(nèi)存靜態(tài)分配，任務(wù)靜態(tài)調(diào)度的設(shè)計(jì)，以實(shí)現(xiàn)通信的確定性。
設(shè)備自診斷是提高系統(tǒng)可靠性的重要手段。通信設(shè)備通過監(jiān)視設(shè)備的供電、時(shí)鐘、看門狗、內(nèi)存、CPU等是否存在異常，以及時(shí)地采取相應(yīng)的應(yīng)對措
施，并及時(shí)向工作人員發(fā)出警告，可以提高系統(tǒng)的可靠性。
4　FirmNet通信網(wǎng)絡(luò)設(shè)計(jì)
FirmNet通信網(wǎng)絡(luò)采用環(huán)形拓?fù)浣Y(jié)構(gòu)，光纖通信介質(zhì)，物理層遵循IEEE802.3z標(biāo)準(zhǔn)，自主設(shè)計(jì)的通信協(xié)議。如圖4所示。

FirmNet通信網(wǎng)絡(luò)主由通信節(jié)點(diǎn)和鏈路組成，通信協(xié)議運(yùn)行在通信節(jié)點(diǎn)設(shè)備中。
（1）基本數(shù)據(jù)操作
FirmNet通信協(xié)議中包含四種對數(shù)據(jù)幀的操作：
上環(huán)：指節(jié)點(diǎn)把本節(jié)點(diǎn)的數(shù)據(jù)幀發(fā)送到環(huán)上。
過環(huán)：指節(jié)點(diǎn)把接收到的幀繼續(xù)發(fā)送給下一個相鄰的節(jié)點(diǎn)。
下環(huán)：指節(jié)點(diǎn)把接收到的幀更新到本節(jié)點(diǎn)的數(shù)據(jù)區(qū)，但不進(jìn)行剝離。
剝離：指節(jié)點(diǎn)在接收到幀后不再對其進(jìn)行過環(huán)操作。
（2）通信過程
FirmNet通過廣播方式，同時(shí)將幀對0環(huán)和1環(huán)執(zhí)行上環(huán)操作實(shí)現(xiàn)數(shù)據(jù)的冗余。
如圖5所示，節(jié)點(diǎn)A以預(yù)先設(shè)定的時(shí)間間隔同時(shí)對0環(huán)和1環(huán)執(zhí)行上環(huán)操作，此時(shí)有兩份相同的數(shù)據(jù)在兩個環(huán)上傳輸，其他節(jié)點(diǎn)在接收到節(jié)點(diǎn)A發(fā)出的數(shù)據(jù)幀后，同時(shí)執(zhí)行過環(huán)和下環(huán)操作，即在把數(shù)據(jù)幀發(fā)給下游節(jié)點(diǎn)的同時(shí)，把數(shù)據(jù)復(fù)制到本地緩存區(qū)中。各節(jié)點(diǎn)依次對數(shù)據(jù)幀執(zhí)行過環(huán)、下環(huán)操作，該數(shù)據(jù)幀最終會返回到節(jié)點(diǎn)
A，節(jié)點(diǎn)A對自己發(fā)出數(shù)據(jù)幀執(zhí)行剝離操作。
數(shù)據(jù)幀在環(huán)上傳輸一周后，每個節(jié)點(diǎn)都會把收到的數(shù)據(jù)更新到本地緩存區(qū)，并且數(shù)據(jù)按照預(yù)先設(shè)定的位置存儲。每個節(jié)點(diǎn)都會接收到兩份相同的數(shù)據(jù)，實(shí)現(xiàn)了數(shù)核電儀控

據(jù)冗余。
（3）確定性
FirmNet網(wǎng)絡(luò)采用基于狀態(tài)的通信，采取以下措施實(shí)現(xiàn)網(wǎng)絡(luò)通信的確定性：
·  網(wǎng)絡(luò)節(jié)點(diǎn)按照固定的周期發(fā)送預(yù)定義的數(shù)據(jù)集；
·  網(wǎng)絡(luò)節(jié)點(diǎn)每周期內(nèi)把所有的數(shù)據(jù)全部傳輸完；
·  網(wǎng)絡(luò)數(shù)據(jù)幀使用固定的長度；
·  每個數(shù)據(jù)分配專用的存儲空間；
·  采用“轉(zhuǎn)發(fā)-復(fù)制”而非“存儲-轉(zhuǎn)發(fā)”模式對過環(huán)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)；
·  采用“環(huán)上數(shù)據(jù)優(yōu)先，只退讓一個報(bào)文”的原則處理發(fā)送端口競爭；
（4）故障零自愈
由于FirmNet網(wǎng)絡(luò)實(shí)現(xiàn)了數(shù)據(jù)與鏈路的雙重冗余，所以具有天然的故障容錯能力。

5　網(wǎng)絡(luò)測試和驗(yàn)證
我們首先采用基于離散事件的仿真模型對FirmNet的網(wǎng)絡(luò)進(jìn)行了仿真，然后采用基于模型檢查（ModelChecking）的形式化方法對FirmNet通信協(xié)議進(jìn)行了全覆蓋驗(yàn)證，最后使用FirmNet產(chǎn)品搭建滿配置的網(wǎng)絡(luò)樣機(jī)，進(jìn)行了三年多全面深入的實(shí)際測試。
網(wǎng)絡(luò)仿真和通信協(xié)議形式化驗(yàn)證保證了FirmNet的高安全性和確定性，實(shí)際網(wǎng)絡(luò)測試也證明FirmNet網(wǎng)絡(luò)產(chǎn)品具有很高的可靠性和實(shí)時(shí)性。
FirmNet網(wǎng)絡(luò)實(shí)現(xiàn)了1Gbps的通信速率，在48個節(jié)點(diǎn)的配置下，節(jié)點(diǎn)數(shù)據(jù)最大更新時(shí)間小于7ms，完全滿足核電廠反應(yīng)堆控制保護(hù)系統(tǒng)的應(yīng)用要求。
6　結(jié)束語
本文對核安全級通信網(wǎng)絡(luò)應(yīng)該具有的五種關(guān)鍵特征進(jìn)行了說明，并從組成通信網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、通信介質(zhì)、通信協(xié)議和通信設(shè)備等方面闡述了如何實(shí)現(xiàn)這些特性。
北京廣利核系統(tǒng)工程有限公司在研制中國首套完全自主知識產(chǎn)權(quán)的核安全級數(shù)字化儀控系統(tǒng)平臺和睦系統(tǒng)的過程中，根據(jù)本文提出的設(shè)計(jì)方案自主實(shí)現(xiàn)了一種全新的核安全級通信網(wǎng)絡(luò)——FirmNet，并應(yīng)用在國內(nèi)多個反應(yīng)堆控制保護(hù)系統(tǒng)中。
實(shí)踐證明本文提出的建議和設(shè)計(jì)方案是合理、有效的，對于選擇或自主設(shè)計(jì)一個核安全級通信網(wǎng)絡(luò)具有非常高的參考價(jià)值。

摘自《自動化博覽》2018年5月刊