核電廠主控制室控制模式切換方案分析及改進

王眷衛(wèi)，孔偉力

(中核控制系統(tǒng)工程有限公司，北京 102401)

0 引言

隨著社會的日益發(fā)展，工業(yè)生產(chǎn)規(guī)模日趨龐大，對電力的需求在不斷地提高。核電以高效、清潔、經(jīng)濟等特點得到廣泛關(guān)注。核電廠控制室作為設(shè)備及工藝過程信息的監(jiān)控中心，是核電廠的重要組成部分。多種控制方法在必要條件下通過相互切換才能完成對核電廠的整體控制，而更優(yōu)化的控制室模式切換設(shè)計方案是電廠安全、可靠運行的關(guān)鍵。

目前的核電機組中，出現(xiàn)過由于一層網(wǎng)絡交換機頻繁故障導致停堆的事件。而在傳統(tǒng)的切換方案中，會有大量切換信號需要通過一層網(wǎng)絡在控制器之間傳遞。一旦一層網(wǎng)絡出現(xiàn)故障，將導致切換信號傳輸中斷，無法由主要控制模式(main control means,MCM)切換到后備盤(backup panel,BUP)控制模式?；谀澈穗娬究刂剖蚁到y(tǒng)切換功能需求分析，本文以減少一層網(wǎng)絡對切換功能的影響為目標，提出更優(yōu)化的切換方案，以確保核電廠在各種運行工況下能夠安全、可靠地運行。

1 控制模式概述

主控制室(main control room，MCR)和遠程停堆站(remote shutdown station，RSS)集中了核電廠運行相關(guān)的監(jiān)控設(shè)備[1-2]。當MCR可用時，操縱員在MCR完成對核電廠運行的監(jiān)視和控制，即MCR控制模式。MCR控制模式根據(jù)操作設(shè)備的不同，又分為MCM控制模式、BUP控制模式、特殊控制模式。當MCR失效時，操縱員從MCR撤離到RSS進行操作，即RSS控制模式。MCR和RSS是兩個物理隔離且互相獨立的控制點[3]。當其中一個控制點工作時，另一個控制點需要通過對命令進行閉鎖或者通過權(quán)限管理來防止相互之間有誤命令發(fā)出。

網(wǎng)絡結(jié)構(gòu)如圖1所示。

由圖1可知，MCR接收Level1或數(shù)據(jù)服務器(data server,DS)提供的信息，完成顯示及控制命令下發(fā)功能。其中，BUP相關(guān)的信號通過硬接線接入分布式控制系統(tǒng)(distributed control system,DCS)，并在一層控制器中完成各功能的邏輯組態(tài)。

圖1 網(wǎng)絡結(jié)構(gòu)圖

1.1 MCR控制模式

主控制室操縱員站(main control room operator working place,MCR-OWP)、BUP、緊急控制盤(emergency control panel,ECP)、安全級顯示器(safety visual display unit,SVDU)是MCR模式下的主要控制設(shè)備，對電廠的安全、可靠運行起到了至關(guān)重要的作用[4-5]。

①MCM:通過MCR的OWP、ECP、SVDU，實現(xiàn)對電廠運行的監(jiān)視和控制。

②BUP:MCR信息控制系統(tǒng)OWP、ECP、SVDU失效后，即在MCM設(shè)備不可用情況下，需轉(zhuǎn)移至BUP操作。

③特殊控制模式:當工藝系統(tǒng)產(chǎn)生專用控制權(quán)限需求時，可單獨為其設(shè)置專用控制權(quán)管理功能。

正常運行工況下，主控室主要采用MCM完成對電廠運行狀態(tài)的監(jiān)視和控制。BUP處于監(jiān)視模式，不允許發(fā)出指令。RSS處于監(jiān)視模式，不能發(fā)出指令。

1.2 RSS控制模式

當MCR不可用時，操縱員需要從MCR盡快撤離至RSS，并利用RSS內(nèi)配置的簡化操縱員站和常規(guī)控制盤完成適當?shù)牟僮?，使反應堆熱停堆，從而使反應堆安全進入并維持在冷停堆狀態(tài)。

2 控制模式需求及設(shè)計分析

2.1 控制模式功能需求

控制模式切換功能實現(xiàn)了操縱員多點位控制權(quán)的轉(zhuǎn)換?？刂茩?quán)的轉(zhuǎn)換如圖2所示?？刂茩?quán)切換主要發(fā)生在MCM與BUP控制模式之間,以及MCR控制模式與RSS控制模式之間[6-7]。

圖2 控制權(quán)的轉(zhuǎn)換

MCM、BUP和RSS這三種控制模式的共存方式要求如下:同一時間電廠處于且僅處于一種控制模式；控制權(quán)在三種控制模式切換時，須通過切換邏輯準確執(zhí)行，以保證不影響投運設(shè)備正常工作[8]；控制權(quán)管理功能邏輯均在DCS層實現(xiàn)。

傳統(tǒng)設(shè)計中:MCM與BUP控制模式切換通過切換開關(guān)實現(xiàn)。切換開關(guān)觸點分別送至安全級機柜和非安全級機柜。其中:安全級機柜采用硬線分配；非安全級機柜采用硬線和網(wǎng)絡分配信號。三取二的切換邏輯在每個機柜單獨處理。此方案可避免因單個控制器執(zhí)行切換邏輯出問題而影響其他控制器切換的情況，但是不能保證一層網(wǎng)絡整體失效情況下還能有效進行切換。

改進方案提出了行政手段切換方式，即通過具有強制性、隸屬性的命令、指示等干預切換執(zhí)行。行政手段限定操縱員依據(jù)操作規(guī)程在指定區(qū)域完成監(jiān)控及操作任務。同時，改進方案取消了MCM與BUP控制模式切換開關(guān)，保證了在上述情況下，仍然可以有效切換到BUP控制模式，并通過釋放按鈕及BUP設(shè)備操作按鈕下發(fā)BUP指令。

2.1.1 MCM需求

當MCR信息控制系統(tǒng)未發(fā)生故障或部分失效，且MCR可用的MCR-OWPs可以滿足操縱員的運行需求時，操縱員在MCM下對電廠進行監(jiān)視和控制。MCM流程如下。

①MCR-OWPs處于控制模式。

②通過行政手段管理，使BUP處于監(jiān)視模式。

③MCR-SVDU可發(fā)出控制命令。

④ECP可發(fā)出控制命令。

⑤BUP上的CRU設(shè)備失效報警燈未點亮(不同序列各一個)。

⑥遠程停堆站緊湊操縱員站(remote shutdown station-compact operator working place,RSS-COWP)處于監(jiān)視模式，命令被閉鎖。

⑦RSS-常規(guī)控制盤(包括SVDU和常規(guī)設(shè)備)處于監(jiān)視模式，命令被閉鎖。

當CRU全部或部分失效，但MCR-OWPs能夠提供的可用工位無法滿足操縱員的運行需求時，需立即轉(zhuǎn)入BUP控制模式。BUP控制模式流程如下。

①通過行政手段管理，使MCR-OWPs處于監(jiān)視模式。

②MCR-SVDU可發(fā)出控制命令。

③BUP處于控制模式，BUP 可發(fā)出控制命令。

④ECP可發(fā)出控制命令。

⑤BUP上的CRU設(shè)備失效報警燈被點亮(不同序列各一個)。

⑥RSS-COWPs處于監(jiān)視模式，命令被閉鎖。

隨著國內(nèi)賽事經(jīng)濟的紅火，體育賽事轉(zhuǎn)播權(quán)這一“新興事物”引起了業(yè)界內(nèi)外人士的高度關(guān)注。近有咪咕視頻和優(yōu)酷網(wǎng)從央視手中高價購得2018年世界杯的新媒體轉(zhuǎn)播權(quán)；遠有體奧動力體育傳播有限公司斥資80億購買5年的“中超版權(quán)”。然而本文細究后發(fā)現(xiàn)，無論是對體育賽事轉(zhuǎn)播權(quán)的界定，還是它的保護方式都眾說紛云。換言之，體奧動力等公司以80億元天價所購得的究竟是什么東西，是否屬于法律意義上的“權(quán)利”，在目前的法律語境中尚未有定論。故本文希望厘清：體育賽事轉(zhuǎn)播權(quán)并非局限于知識產(chǎn)權(quán)領(lǐng)域的權(quán)利；它的法律保護路徑需要在更為宏觀的視野下才能繪制成型。

⑦RSS-常規(guī)控制盤(包括 SVDU 和常規(guī)設(shè)備)處于監(jiān)視模式，命令被閉鎖。

2.1.3 RSS控制模式需求

當MCR不能正常使用時(如發(fā)生火災)，需要撤離MCR，退到RSS對電廠進行控制。在此控制模式下，除 ECP-S 上的反應堆停堆控制開關(guān)外，其他所有的MCR控制功能都應被閉鎖。RSS控制模式流程如下。

①MCR-OWPs功能喪失(MCR失效前可能處于控制模式或監(jiān)視模式)，命令被閉鎖。

②MCR-SVDU被閉鎖。

③BUP功能喪失(MCR失效前可能處于控制模式或監(jiān)視模式)，BUP命令被閉鎖。

④ECP上除停堆按鈕可用外，其余命令被閉鎖。

⑤RSS-COWPs處于控制模式。

⑥RSS-常規(guī)控制盤(包括SVDU和常規(guī)設(shè)備)處于控制模式。

MCR/RSS切換開關(guān)的位置如下。

①MCR/RSS的切換開關(guān)(序列 1、序列 2 各 3 個)每列至少2個位于RSS位。

②BUP上的RSS 處于工作模式報警燈被點亮(不同序列各一個)。

2.2 控制模式轉(zhuǎn)換設(shè)計

2.2.1 MCM與BUP切換計算邏輯。

傳統(tǒng)的MCM與BUP控制模式的切換方案大多需要手動操作位于后備盤的切換開關(guān)。切換開關(guān)共有三個。每個開關(guān)均有兩個位置(MCM與BUP)。通過三個開關(guān)的位置三取二邏輯實現(xiàn)MCM與BUP控制模式的選擇。當有且僅有一個切換開關(guān)處于BUP位置時，為BUP測試模式；當兩個或兩個以上切換開關(guān)處于BUP位置時，為BUP控制模式；當兩個或兩個以上切換開關(guān)處于MCM位置時，為MCM。

傳統(tǒng)控制權(quán)管理計算邏輯如圖3所示。

圖3 傳統(tǒng)控制權(quán)管理計算邏輯

本方案MCM與BUP控制模式的轉(zhuǎn)換通過行政手段完成。BUP控制命令的發(fā)出需通過位于主控制室BUP上的釋放按鈕實現(xiàn)。雙手操作原則不變，同樣需要按下控制命令后，再按下釋放按鈕才能發(fā)出控制命令，避免了切換邏輯過多帶來的不穩(wěn)定因素。

改進控制權(quán)管理計算邏輯如圖4所示。

圖4 改進控制權(quán)管理計算邏輯

2.2.2 MCR與RSS切換計算邏輯

MCR與RSS的切換與傳統(tǒng)方案相同，通過手動操作MCR/RSS切換開關(guān)完成。BUP控制命令釋放按鈕和MCR/RSS切換開關(guān)的狀態(tài)決定了相同序列設(shè)備所采用的控制模式(MCM、BUP以及RSS)。此切換仍然保留了每個序列的三個切換開關(guān)。三取二切換邏輯較傳統(tǒng)切換方案無明顯差異。

3 控制器測試方法改進

切換方案的改進勢必會引起控制器測試方法的變化，BUP、緊急控制盤和RSS常規(guī)控制盤上的安全級控制器需要根據(jù)相關(guān)要求進行定期試驗。BUP上的非安全級控制器也需要通過控制器測試指示燈進行測試[9-10]。

3.1 控制器測試功能實現(xiàn)

控制器測試功能在DCS層控制器測試邏輯如圖5所示。

圖5 控制器測試邏輯

BUP設(shè)備控制采用“兩手”控制原則，即操縱員需要按下控制命令后再按下釋放按鈕，才能發(fā)出相應的控制命令。當單獨按下控制命令按鈕時，按鈕對應BUP上的相應序列控制器測試指示燈點亮。

3.2 控制器測試信號分配

每個機柜完成控制器測試邏輯，并通過網(wǎng)絡送至一個非安全級(non classified,NC)機柜。NC機柜匯總后通過硬接線與BUP相應序列的控制器測試指示燈連接。控制器測試信號分配如圖6所示。

圖6 控制器測試信號分配

4 BUP信號分配原則改進

4.1 傳統(tǒng)分配方案

傳統(tǒng)分配方案中，BUP相關(guān)信號在機柜分配過程中相對分散。大多數(shù)BUP中的監(jiān)視和控制信號會跟隨本系統(tǒng)其他信號所在控制器進行分配。傳統(tǒng)分配方案主要缺點如下。

①造成大量的機柜中都包含BUP信號，勢必會在這些機柜對BUP切換、報警、燈試等邏輯進行組態(tài)，產(chǎn)生較多的網(wǎng)絡傳輸信號，可靠性差。

②送至BUP的報警及顯示等信號會使用大量的DO輸出繼電器，占用機柜空間較多，增加機柜布置難度，而且對機柜電源設(shè)計及柜體設(shè)計產(chǎn)生影響，不利于機柜設(shè)計標準化。

③釋放命令多以硬接線方式接入機柜，參與控制命令下發(fā)，使BUP控制信號分散，造成釋放命令串聯(lián)較多機柜，降低了可靠性。

4.2 改進分配方案

改進分配方案中，根據(jù)系統(tǒng)所在的功能分區(qū)進行信號分配，將不同的BUP中相同功能分區(qū)、相同安全等級、相同供電方式的信號盡可能集中分配到同一機柜。機柜可劃分為如下幾種: NC/正常/序列1、NC/正常/序列2、UJD廠房/NC/正常/序列1、UJD廠房/NC/正常/序列2、NC(S)/可靠/序列1、NC(S)/可靠/序列2、NC(S)/應急/序列1、NC(S)/應急/序列2。BUP信號分配如圖7所示。

圖7 BUP信號分配示意圖

5 結(jié)論

本文詳細分析了核電廠控制模式切換需求，并針對設(shè)計需求提出了改進切換方案。相比傳統(tǒng)切換方案，改進方案具有以下特點。

①MCM和BUP控制模式的切換由邏輯切換改為行政手段切換，使控制命令可以通過控制按鈕加釋放按鈕組合下發(fā)至設(shè)備。這減少了大量因切換邏輯產(chǎn)生的信號傳遞，避免了傳統(tǒng)方案中一層網(wǎng)絡失效或控制器通信故障情況下，BUP控制模式在邏輯中不能有效觸發(fā)而導致BUP命令不能通過一層邏輯觸發(fā)的問題。

②控制器測試方式改進。傳統(tǒng)方案中控制器測試需要在BUP測試模式下觸動控制器進行。改進方案通過單獨按下控制命令和對應指示燈判斷控制器是否可用。相對傳統(tǒng)方案，改進方案實現(xiàn)測試功能的方式操作簡單、測試效率高、牽扯軟硬件邏輯少、可靠性高。

③BUP中設(shè)備的控制及監(jiān)視信號分配集中化，即將一塊或多塊BUP在同一功能分區(qū)的信號盡可能集中在較少控制柜內(nèi)，以減少硬接線信號交互、提高可靠性、便于維護管理；同時，集中處理有助于機柜結(jié)構(gòu)設(shè)計標準化。BUP功能性的控制信號同樣相對集中，即不涉及BUP控制及監(jiān)視信號的機柜無需接入BUP功能性控制信號，減少了柜間軟、硬點信號交互，簡化了控制邏輯，并提高了可靠性。

本文研究的改進方案極大限度地降低了控制室切換信號在一層網(wǎng)絡中的傳輸，有效規(guī)避了一層網(wǎng)絡故障引起的切換功能失效。目前，改進方案已在部分新建電站應用，且得到較好應用效果。方案的改進為電站安全、穩(wěn)定運行提供了基礎(chǔ)保障。