核電監(jiān)控系統(tǒng)中超溫超功率調(diào)節(jié)的設(shè)計(jì)與實(shí)現(xiàn)

吳 婷，朱立志，何 昶

(國(guó)核自儀系統(tǒng)工程有限公司,上海 200241)

0 引言

在第三代核電中，為了加強(qiáng)對(duì)核電站反應(yīng)堆安全性的監(jiān)控能力，更好地保障核電站的安全，提出了對(duì)核電站反應(yīng)堆超溫超功率調(diào)節(jié)功能的數(shù)字化需求。采用計(jì)算機(jī)軟件系統(tǒng)的人機(jī)交互模式，可實(shí)現(xiàn)對(duì)超溫超功率各類整定值的實(shí)時(shí)監(jiān)控、調(diào)節(jié)和注入，以診斷報(bào)警等安全保護(hù)的功能。軟件實(shí)現(xiàn)該功能后，對(duì)整定值參數(shù)動(dòng)態(tài)補(bǔ)償更直接，對(duì)堆芯熱工功率監(jiān)控更便利，熱工限值到整定值的轉(zhuǎn)換更簡(jiǎn)單。通過(guò)增大核電站反應(yīng)堆的運(yùn)行裕度，增強(qiáng)對(duì)異常而可控的反應(yīng)堆工控下整定值的微調(diào)能力[1]。

核電站超溫超功率整定值的調(diào)節(jié)在核電站運(yùn)行狀態(tài)下進(jìn)行，會(huì)直接影響核電站的運(yùn)行安全。

1 功能概述

核電站反應(yīng)堆超溫超功率運(yùn)行時(shí)，將造成燃料包殼的破壞或熔化，導(dǎo)致反應(yīng)堆失控。超溫超功率調(diào)節(jié)是根據(jù)核電站系統(tǒng)所運(yùn)行的不同時(shí)期，對(duì)系統(tǒng)進(jìn)行適當(dāng)?shù)恼{(diào)節(jié)，以避免系統(tǒng)作出不必要的報(bào)警，誤觸發(fā)停堆信號(hào)。

超溫超功率調(diào)節(jié)功能屬于安全監(jiān)控系統(tǒng)中的一個(gè)較為復(fù)雜的功能。安全監(jiān)控系統(tǒng)與負(fù)責(zé)邏輯運(yùn)算的邏輯控制系統(tǒng)機(jī)柜物理連接，而機(jī)柜直接從核儀表系統(tǒng)傳感器獲得反應(yīng)堆溫度、穩(wěn)壓器壓力、主泵轉(zhuǎn)速等關(guān)鍵參數(shù)。當(dāng)系統(tǒng)需要進(jìn)行超溫超功率調(diào)節(jié)時(shí)，從人機(jī)界面的參數(shù)列表中選擇一個(gè)超溫超功率參數(shù)進(jìn)行有效注入，將整定的參數(shù)值發(fā)送到邏輯控制系統(tǒng)機(jī)柜進(jìn)行比較運(yùn)算，并在診斷核電站反應(yīng)堆實(shí)時(shí)運(yùn)行狀態(tài)的同時(shí)在人機(jī)界面顯示系統(tǒng)實(shí)時(shí)狀態(tài)[2]。

2 系統(tǒng)環(huán)境分析

超溫超功率調(diào)節(jié)功能運(yùn)行在安全監(jiān)控系統(tǒng)中，而安全監(jiān)控系統(tǒng)是直接監(jiān)控核電站反應(yīng)堆的安全級(jí)控制系統(tǒng)。因此，安全級(jí)控制系統(tǒng)作為軟件設(shè)計(jì)的外部接口，它的結(jié)構(gòu)特性將直接將影響超溫超功率調(diào)節(jié)功能的設(shè)計(jì)與實(shí)現(xiàn)。系統(tǒng)環(huán)境部署如圖1所示。

圖1 系統(tǒng)環(huán)境部署圖

根據(jù)核電站系統(tǒng)失效時(shí)產(chǎn)生的危害程度，系統(tǒng)設(shè)計(jì)至少需要滿足國(guó)際標(biāo)準(zhǔn)IEC 61508-2對(duì)安全硬件系統(tǒng)設(shè)計(jì)的要求[3]。因此，為了保障系統(tǒng)的失效安全、排除或降低單一故障對(duì)系統(tǒng)產(chǎn)生的風(fēng)險(xiǎn)[4]，安全級(jí)控制系統(tǒng)采用多冗余機(jī)制設(shè)計(jì)。直接負(fù)責(zé)超溫超功率整定值邏輯比較的雙穩(wěn)態(tài)機(jī)柜在邏輯控制系統(tǒng)中進(jìn)行雙冗余機(jī)制設(shè)計(jì)，因此是2臺(tái)機(jī)柜同時(shí)進(jìn)行邏輯運(yùn)算控制：一方面，獲得從監(jiān)控系統(tǒng)注入的超溫超功率整定調(diào)節(jié)值；另一方面，獲得從傳感器實(shí)時(shí)接收到的相關(guān)參數(shù)，機(jī)柜對(duì)參數(shù)進(jìn)行一系列加權(quán)平均等運(yùn)算，給出診斷[1]。

另外，為確保超溫超功率調(diào)節(jié)的實(shí)時(shí)性和準(zhǔn)確性，同時(shí)兼顧可靠性、安全性，安全監(jiān)控系統(tǒng)有必要進(jìn)行上位機(jī)、下位機(jī)的一體化設(shè)計(jì)，以減少中間通信環(huán)節(jié)，將安全監(jiān)控系統(tǒng)的畫面監(jiān)控和數(shù)據(jù)通信在一臺(tái)高安全性的定制工控機(jī)上實(shí)現(xiàn)。此工控機(jī)直接通過(guò)RS-422串口，與邏輯控制系統(tǒng)中的機(jī)柜相連，進(jìn)行數(shù)據(jù)通信。

超溫超功率調(diào)節(jié)功能的軟件設(shè)計(jì)中需要實(shí)現(xiàn)通過(guò)1臺(tái)工控機(jī)對(duì)雙冗余的2臺(tái)邏輯控制機(jī)柜同時(shí)注入整定參數(shù)值，完成1次調(diào)節(jié)過(guò)程[5]。

3 功能設(shè)計(jì)

3.1 功能劃分

超溫超功率調(diào)節(jié)是在系統(tǒng)運(yùn)行時(shí)對(duì)控制系統(tǒng)的保護(hù)功能進(jìn)行調(diào)節(jié)，安全性要求高，必須保證整定值的調(diào)節(jié)不影響反應(yīng)堆系統(tǒng)的安全和穩(wěn)定。因此，設(shè)計(jì)超溫超功率調(diào)節(jié)功能的具體需求是保證調(diào)節(jié)全過(guò)程中整定值的調(diào)節(jié)準(zhǔn)確無(wú)誤，即在調(diào)節(jié)前、調(diào)節(jié)中、調(diào)節(jié)后都能對(duì)整定值進(jìn)行監(jiān)控和診斷，并反饋診斷結(jié)果。主功能流程如圖2所示。

圖2 主功能流程圖

①調(diào)節(jié)前,實(shí)現(xiàn)對(duì)超溫超功率整定參數(shù)列表數(shù)據(jù)值的初始化。

②調(diào)節(jié)中，獲取界面操作所注入整定參數(shù)值，實(shí)現(xiàn)并確認(rèn)向2個(gè)邏輯控制機(jī)柜的成功注入。

③調(diào)節(jié)后,與正常運(yùn)行時(shí)一樣，進(jìn)行全系統(tǒng)的整定參數(shù)值的數(shù)值校驗(yàn)，確認(rèn)系統(tǒng)狀態(tài)的安全性。

3.2 功能分解設(shè)計(jì)

根據(jù)IEC 61508-3中SIL3安全等級(jí)軟件系統(tǒng)設(shè)計(jì)的要求，對(duì)超溫超功率調(diào)節(jié)劃分出的3個(gè)階段的功能需求進(jìn)行故障分析，并增加相關(guān)診斷功能以及失效安全處理功能的設(shè)計(jì)[6]。

3.2.1 調(diào)節(jié)前的初始化及診斷

超溫超功率的整定值在系統(tǒng)第一次通電啟動(dòng)時(shí)進(jìn)行初始化。首先建立與邏輯控制系統(tǒng)的通信連接，讀取保存在邏輯控制系統(tǒng)中雙穩(wěn)態(tài)機(jī)柜1和2中整定值的初始值及數(shù)值范圍等信息，與軟件系統(tǒng)中存儲(chǔ)的初值進(jìn)行比較性地診斷，確認(rèn)三方的一致性。如有一方不一致，則在監(jiān)控系統(tǒng)界面上顯示報(bào)警，彈出初始化失敗的提示，同時(shí)提示具體的報(bào)警原因。彈出提示窗后，監(jiān)控系統(tǒng)的啟動(dòng)將被終止和掛起，直至人工確認(rèn)操作。

3.2.2 調(diào)節(jié)時(shí)的調(diào)節(jié)及診斷

調(diào)節(jié)超溫超功率整定值在監(jiān)控系統(tǒng)中采用人機(jī)交互的模式實(shí)現(xiàn)。系統(tǒng)界面提供超溫超功率整定值參數(shù)點(diǎn)列表。調(diào)節(jié)整定值的過(guò)程是安全監(jiān)控系統(tǒng)與邏輯控制系統(tǒng)之間的數(shù)據(jù)的交互過(guò)程。

調(diào)節(jié)整定值的全過(guò)程，由系統(tǒng)界面實(shí)時(shí)監(jiān)控顯示，以指示燈來(lái)監(jiān)控診斷每一步的狀態(tài)是否正常。整定值調(diào)節(jié)需保證安全性，軟件設(shè)計(jì)結(jié)合人因工程學(xué)，通過(guò)以下四種手段來(lái)確保整定值調(diào)節(jié)過(guò)程的安全性和正確性[7]。

①界面連動(dòng)按鈕：可防止因界面誤動(dòng)(地震或人因)而誤操作。設(shè)計(jì)連動(dòng)按鈕：一個(gè)是“允許修改”按鈕，另一個(gè)是“設(shè)置值”按鈕?！霸试S修改”按鈕按下后，“設(shè)置值”按鈕同時(shí)被激活。“允許修改”按鈕每次按下后，使能5 s后自動(dòng)彈起，同時(shí)關(guān)閉“設(shè)置值”按鈕的激活狀態(tài)。每次調(diào)節(jié)超溫超功率整定值都需要對(duì)這兩個(gè)連動(dòng)按鈕進(jìn)行連續(xù)動(dòng)作，才能觸發(fā)界面發(fā)送整定值到邏輯控制系統(tǒng)。

②數(shù)值范圍檢查：在“設(shè)置值”按鈕按下之后，軟件實(shí)現(xiàn)對(duì)輸入數(shù)據(jù)的范圍進(jìn)行檢查，如范圍合法再發(fā)送給邏輯控制系統(tǒng)。整定值的數(shù)據(jù)范圍是在監(jiān)控系統(tǒng)初始化時(shí)讀入。這樣能有效防止因操作員輸入的超溫超功率整定值超出范圍，而影響邏輯控制系統(tǒng)的計(jì)算，以致引起誤停堆；或是輸入整定值失去比較價(jià)值，無(wú)法及時(shí)給出正確的停堆保護(hù)信號(hào)。

③二次“握手”協(xié)議：第一次監(jiān)控系統(tǒng)發(fā)送含整定數(shù)值的“寫請(qǐng)求”數(shù)據(jù)包給邏輯控制系統(tǒng)，在一定的時(shí)間內(nèi)等待對(duì)方反饋信號(hào)；第二次發(fā)送“讀請(qǐng)求”數(shù)據(jù)包給邏輯控制系統(tǒng)，仍然等待對(duì)方在周期內(nèi)反饋。反饋中包含該整定值在雙穩(wěn)態(tài)機(jī)柜里的當(dāng)前實(shí)時(shí)值。成功執(zhí)行二次“握手”式通信，且“寫”和“讀”的數(shù)據(jù)包中整定值一致，才表示成功完成了一次整定值調(diào)節(jié)。

④失敗后的“回退”：每次從監(jiān)控系統(tǒng)發(fā)起的調(diào)節(jié)整定值，都是同時(shí)發(fā)送給邏輯控制系統(tǒng)中冗余的2個(gè)雙穩(wěn)態(tài)機(jī)柜，并同時(shí)接收2個(gè)機(jī)柜的反饋。安全監(jiān)控系統(tǒng)獲得2個(gè)機(jī)柜反饋的數(shù)據(jù)后，比對(duì)是否均與界面發(fā)起的整定值一致。三方有一方數(shù)據(jù)出現(xiàn)差異，均為調(diào)節(jié)失敗，超溫超功率整定值將回退到調(diào)節(jié)前的數(shù)值[8]。

3.2.3 調(diào)節(jié)后的校核及診斷

超溫超功率的整定值在未發(fā)生調(diào)節(jié)或調(diào)節(jié)完成后，監(jiān)控系統(tǒng)軟件處于正常運(yùn)行狀態(tài)下，仍然需要保證超溫超功率調(diào)節(jié)功能軟件部分的安全性，以確保安全監(jiān)控系統(tǒng)的穩(wěn)定性。因此，需要對(duì)軟件存儲(chǔ)的信息進(jìn)行定期自診斷。存儲(chǔ)信息分為兩類存儲(chǔ)，分別周期性地進(jìn)行處理。

①離線信息。離線信息是指存儲(chǔ)所有超溫超功率整定值變量的信息列表，包括點(diǎn)名、初值、高低限值、對(duì)應(yīng)雙穩(wěn)態(tài)機(jī)柜中芯片的映射內(nèi)存地址、簡(jiǎn)單的點(diǎn)名描述等。自診斷需對(duì)此類信息內(nèi)容進(jìn)行正確性檢查。

②在線實(shí)時(shí)信息：實(shí)時(shí)信息是指運(yùn)行過(guò)程中每一次調(diào)節(jié)成功的整定值。為保證安全級(jí)控制系統(tǒng)中軟件系統(tǒng)和硬件系統(tǒng)數(shù)值的一致性，監(jiān)控系統(tǒng)存儲(chǔ)修改每一次成功調(diào)節(jié)的整定值，并將其存儲(chǔ)到軟件離線內(nèi)存中，以備監(jiān)控系統(tǒng)斷電重啟時(shí)，恢復(fù)整體系統(tǒng)當(dāng)前有效的實(shí)時(shí)值。因此，軟件需周期性地發(fā)送“讀請(qǐng)求”給邏輯控制系統(tǒng)，獲得2個(gè)雙穩(wěn)態(tài)機(jī)柜里的實(shí)時(shí)值，進(jìn)行數(shù)值一致性的檢查確認(rèn)，以降低故障發(fā)生的概率。

3.3 數(shù)據(jù)通信設(shè)計(jì)

根據(jù)國(guó)際標(biāo)準(zhǔn)IEC 61784-3對(duì)安全通信協(xié)議的要求，加入通信安全的設(shè)計(jì)。

安全監(jiān)控系統(tǒng)與邏輯控制系統(tǒng)機(jī)柜之間的數(shù)據(jù)通信依賴于串口物理聯(lián)接。為避免鏈路上的傳輸數(shù)據(jù)幀出現(xiàn)比特差錯(cuò)，0變1或者1變0，數(shù)據(jù)通信中采用信道編碼的技術(shù)中的循環(huán)冗余檢驗(yàn)(cyclical redundancy check,CRC)碼來(lái)進(jìn)行排除錯(cuò)誤幀，即在通信的碼流中加入一些監(jiān)督碼元。這些碼元與信息碼之間以確定的規(guī)則相互約束[9]。

超溫超功率整定值調(diào)節(jié)時(shí)，將整定值、質(zhì)量碼等信息組合數(shù)據(jù)報(bào)文，并在報(bào)文尾添加CRC碼，發(fā)送給安全邏輯控制系統(tǒng)[10]。

①可靠性設(shè)計(jì)：在數(shù)據(jù)包的報(bào)文設(shè)計(jì)中，明確報(bào)文類型，是“寫”類型還是“讀”類型；給每一次報(bào)文自動(dòng)累計(jì)計(jì)數(shù)，對(duì)“握手”通信的丟包加以診斷[11]。

②容錯(cuò)性設(shè)計(jì)：當(dāng)CRC碼錯(cuò)誤時(shí)，說(shuō)明通信有誤，監(jiān)控系統(tǒng)降低對(duì)本數(shù)據(jù)包的信任度，對(duì)所涉及的數(shù)據(jù)質(zhì)量碼信息進(jìn)行記錄，并對(duì)超溫超功率的整定值不作調(diào)節(jié)，直接丟棄。

4 功能實(shí)現(xiàn)

4.1 操作系統(tǒng)的選型

為保證超溫超功率功能軟件的安全等級(jí)，在操作系統(tǒng)選型時(shí)，選用實(shí)時(shí)性高的嵌入式操作系統(tǒng)作為底層。VxWorks 6.6操作系統(tǒng)已通過(guò)IEC 61508中SIL3工業(yè)安全認(rèn)證，可靠性高[7]。此操作系統(tǒng)具備實(shí)時(shí)性任務(wù)調(diào)度機(jī)制和調(diào)度算法。因此，基于此操作系統(tǒng)開(kāi)發(fā)的應(yīng)用軟件系統(tǒng)實(shí)現(xiàn)具體功能時(shí)，也都需指定運(yùn)行時(shí)的各任務(wù)的優(yōu)先級(jí)。系統(tǒng)特征為：高優(yōu)先級(jí)任務(wù)優(yōu)先獲得計(jì)算機(jī)CPU，同等優(yōu)先級(jí)的任務(wù)間進(jìn)行時(shí)間片輪轉(zhuǎn)式調(diào)度運(yùn)行。

4.2 軟件架構(gòu)

上位機(jī)、下位機(jī)一體化設(shè)計(jì)后，超溫超功率調(diào)節(jié)功能的人機(jī)畫面、狀態(tài)監(jiān)視、數(shù)據(jù)通信，以及數(shù)據(jù)處理與診斷都在一臺(tái)工控機(jī)上實(shí)現(xiàn)。根據(jù)軟件架構(gòu)的模塊化設(shè)計(jì)思想[12]，系統(tǒng)架構(gòu)分為4個(gè)層級(jí)模塊。

①界面層Presentation：與超溫超功率對(duì)應(yīng)的人機(jī)界面，可實(shí)現(xiàn)整定值的調(diào)節(jié)入口及定時(shí)激活等。

②業(yè)務(wù)層Data：實(shí)現(xiàn)超溫超功率所有數(shù)據(jù)處理，包括數(shù)據(jù)比較、存儲(chǔ)、反饋等。

③通信層Access：實(shí)現(xiàn)超溫超功率整定值的數(shù)據(jù)通信，包括解包和組包。

④診斷層Diagnostic：實(shí)現(xiàn)超溫超功率整定參數(shù)值各階段的校核和診斷。

4.3 任務(wù)分配

超溫超功率調(diào)節(jié)功能遵循VxWorks操作系統(tǒng)的特性，結(jié)合軟件系統(tǒng)架構(gòu)，將分配3個(gè)優(yōu)先級(jí)不同的任務(wù)(通信層任務(wù)tAccess、界面層任務(wù)tPresentation、診斷層任務(wù)tDiagnostic)來(lái)實(shí)現(xiàn)。業(yè)務(wù)層Data不作為單獨(dú)的任務(wù)，而是作為調(diào)度模塊被動(dòng)執(zhí)行。另外，為保證系統(tǒng)運(yùn)行的實(shí)時(shí)性，將tAccess和tPresentation設(shè)置為高優(yōu)先級(jí)，tDiagnostic次之。

(1)tPresentation任務(wù)：實(shí)現(xiàn)超溫超功率調(diào)節(jié)功能監(jiān)控界面的顯示。其中包括以下2個(gè)重要模塊。

①GetMouseEvent:在運(yùn)行時(shí)，同時(shí)通過(guò)掃描獲得界面調(diào)節(jié)整定值的鼠標(biāo)事件。

②ProcessMonitor:設(shè)計(jì)定時(shí)激活和關(guān)閉激活部件的界面連動(dòng)事件；實(shí)時(shí)顯示超溫超功率各階段的狀態(tài)診斷結(jié)果。

(2)tAccess任務(wù)：處理超溫超功率調(diào)節(jié)功能的數(shù)據(jù)通信和數(shù)據(jù)包的CRC，接收和發(fā)送機(jī)柜1、2的數(shù)據(jù)包。

(3)tDiagnostic任務(wù)：在監(jiān)控系統(tǒng)正常運(yùn)行時(shí)，根據(jù)CPU資源空余情況，協(xié)行模塊DnCalCompare對(duì)超溫超功率相關(guān)整定值、變量值進(jìn)行自診斷。

(4)調(diào)節(jié)前的初始化及診斷功能：不在3個(gè)任務(wù)中執(zhí)行，而在3個(gè)任務(wù)啟動(dòng)前，由DtCalibrationInit模塊執(zhí)行。該診斷結(jié)果作為3個(gè)任務(wù)正常啟動(dòng)的前提條件。

軟件任務(wù)活動(dòng)如圖3所示。

圖3 軟件任務(wù)活動(dòng)圖

為確保低優(yōu)先級(jí)的tDiagnostic任務(wù)也能獲得CPU資源，分別給這2個(gè)高優(yōu)先級(jí)任務(wù)設(shè)定了時(shí)間延時(shí)delay1和delay2。同時(shí)，tDiagnostic任務(wù)的執(zhí)行次數(shù)在系統(tǒng)中周期計(jì)數(shù)，以診斷監(jiān)測(cè)系統(tǒng)自身運(yùn)行的狀態(tài)是否正常[13]。

4.4 界面設(shè)計(jì)

超溫超功率調(diào)節(jié)界面設(shè)計(jì)為2個(gè)區(qū)域。

①界面操作區(qū)：提供整定值參數(shù)的下拉選擇菜單，選擇后顯示該整定值在系統(tǒng)中的實(shí)時(shí)值，同時(shí)提示該整定值允許的調(diào)節(jié)范圍。根據(jù)3.2.2節(jié)，在區(qū)域中設(shè)計(jì)聯(lián)動(dòng)按鈕“PM WRITE ENABLE”和“SET VALUE”，并建立激活和定時(shí)取消的聯(lián)動(dòng)關(guān)系。

②界面反饋區(qū)：對(duì)調(diào)節(jié)中的全過(guò)程及診斷結(jié)果提供實(shí)時(shí)狀態(tài)顯示。反饋包含從2個(gè)雙穩(wěn)態(tài)機(jī)柜1和機(jī)柜2的反饋。因此，超時(shí)、CRC、數(shù)據(jù)包失效等狀態(tài)都將得以監(jiān)控。

5 結(jié)束語(yǔ)

本文從第三代核電的安全級(jí)控制系統(tǒng)的結(jié)構(gòu)特點(diǎn)入手，對(duì)超溫超功率調(diào)節(jié)功能在安全監(jiān)控系統(tǒng)中設(shè)計(jì)進(jìn)行了具體分析。同時(shí)，為達(dá)到IEC 61508對(duì)安全級(jí)系統(tǒng)的要求，創(chuàng)新性地給出了在安全級(jí)VxWorks嵌入式操作系統(tǒng)下實(shí)現(xiàn)上位機(jī)下位機(jī)一體化的軟件設(shè)計(jì)方案，對(duì)所有高安全級(jí)工業(yè)領(lǐng)域的監(jiān)控軟件都有一定的借鑒作用。

本功能在核電安全監(jiān)控系統(tǒng)中也是國(guó)內(nèi)首次設(shè)計(jì)，實(shí)現(xiàn)后可與國(guó)際同類產(chǎn)品相競(jìng)爭(zhēng)，以擺脫對(duì)國(guó)外進(jìn)口的依賴。經(jīng)過(guò)下一步的驗(yàn)證與確認(rèn)過(guò)程后，該研究可投入第三代核電站運(yùn)行使用。