核電廠操縱員工作站失效處理策略研究

摘 要:簡要介紹了紅沿河核電廠數字化主控室操縱員工作站的結構，分析了其可能失效的原因。對不同數量的操縱員工作站失效事故進行了分析，并在此基礎上制定了操縱員工作站失效事故的處理策略。

關鍵詞:紅沿河核電廠數字化主控室操縱員工作站失效事故

中圖分類號:TL48文獻標識碼:A文章編號:1674-098X(2011)05(b)-0056-02

1 引言

核電廠主控室操縱員工作站是操縱員監控機組運行的主要手段，工作站為操縱員提供了集中的操作控制、信息顯示、綜合處理和層次儲存等功能。在各種工況下，工作站均能提供完整的人機界面功能并滿足運行及維護人員的需求。核電廠操縱員工作站一般采取冗余配置，如果某個工作站失效，需要對主控室內可用的工作站重新進行配置；如果可用工作站數量不能滿足運行要求的話，需要切換到采用傳統模擬控制技術的后備盤(BUP)控制電站[1]。本文對操縱員工作站可能的失效事故進行了分析，并確定了合適的運行處理策略。

2 數字化主控室工作站

數字化主控室工作站由以下四個工作站組成，包括核島操縱員工作站(OWP-NI)、常規島操縱員工作站(OWP-CI)、值長工作站(OWP-US)以及安全工程師工作站(OWP-SE)。

核島操縱員工作站與常規島操縱員工作站的軟硬件配置完全一致，可以互為備用，但授權不同。操縱員工作站可以向操縱員提供核電廠狀態的各種信息和控制手段，可按要求顯示工藝流程圖、表格、控制棒棒位圖、動態曲線等，具備有多窗口、多畫面的功能。核電站在計算機信息與控制系統正常的情況下，核島操縱員與常規島操縱員分別在各自的計算機化的操縱員工作站上監督和控制電廠。

值長工作站與操縱員工作站擁有完全相同的配置，值長通過非安全級的顯示器以及安全級的顯示器對電廠狀態和操縱員的操作進行監督，以及必要時提供及時的指導。正常情況下值長工作站只有監督功能，其控制功能被閉鎖，不能對電廠實施操作。只有當操縱員工作站不能工作時，值長工作站作為后備操縱員工作站被授權人登錄后，才能在值長工作站執行控制功能。

安全工程師工作站與操縱員工作站的配置完全一樣，可以互為備用，但授權不同。安全工程師可以通過工作站的非安全級顯示器以及安全級顯示器了解核電廠各系統和設備的狀態，以及有關安全的運行規程，以分析核電廠的安全狀況。正常情況下安全工程師工作站只有時監督顯示功能，其控制功能被閉鎖。只有當操縱員工作站不能工作時，安全工程師工作站作為后備操縱員工作站被授權人登錄后，才能執行控制功能。

3 工作站失效分析

紅沿河核電廠的工作站(OWP)由以下設備組成:2個網絡交換機(HS)、1個鼠標鍵盤轉換器(KVM)、5個非安全級的顯示器(NC-VDU)、5個計算機處理器(OPS)、1個鍵盤、1個鼠標，1個A列的安全級顯示器(S-VDU-A)以及1個B列的安全級顯示器(S-VDU-B)。

鍵盤和鼠標是操縱員控制非安全級的顯示器必不可少的設備，如果鼠標不可用或者鍵盤不可用，都將會導致操縱員無法便利的對設備進行監測及控制，這種情況也就會導致該工作站失效。同樣的道理，鼠標與鍵盤是通過鼠標鍵盤轉換器在不同的非安全級的顯示器之間進行切換的，如果鼠標鍵盤轉換器不可用，將會導致鼠標與鍵盤不可用或者不能在不同的非安全級的顯示器之間進行切換，這種情況也會導致該工作站失效。

每個工作站的非安全級的顯示器都進行了冗余配置，配備了5個非安全級的顯示器。如果5個非安全級的顯示器中的三個以上的非安全級的顯示器不可用，工作站只剩下一個可用的非安全級的顯示器或者沒有可用的非安全級的顯示器，該工作站也就沒有足夠可用的非安全級的顯示器以便于操縱員監測和控制機組。因此三個以上的非安全級的顯示器不可用將導致該工作站不可用。每個非安全級的顯示器都連接著1個計算機處理器。如果計算機處理器不可用，會導致相連接的非安全級的顯示器不可用。因此，當三個以上的計算機處理器不可用時，將導致該工作站不可用。

計算機處理器是通過網絡交換機與設備進行通訊，如果1個網絡交換機不可用，計算機處理器可以通過冗余的網絡交換機實現通訊，從而不會導致該工作站不可用。但是，如果兩個網絡交換機都不可用，則會導致計算機處理器失去與設備的通訊，操縱員也就不能通過非安全級的顯示器獲取設備狀態信息，同時也不能對設備進行控制。因此，當兩個網絡交換機不可用時，該工作站不可用。

紅沿河核電廠在非安全級的顯示器上不能對安全級設備進行控制，而且A列的安全級設備只能在A列的安全級顯示器上進行控制，B列的安全級設備只能在B列的安全級顯示器上進行控制。如果A列的安全級顯示器和/或B列的安全級顯示器不可用，將會導致操縱員不能有效的對安全級設備進行控制，也就導致了該工作站不可用。

4 工作站失效及處理策略分析

機組正常運行時，操縱員在各自的工作站進行控制。四個工作站冗余配置，某個工作站故障時，操縱員可以按照自己的授權在其他工作站登錄來完成相關功能。當機組發生了事件或事故后，如果四個工作站中至少有2個是可用的，則操縱員還可以通過工作站監控電廠，否則需要轉移到后備盤。值長和安全工程師在自己的崗位上(工作站或后備盤)負責監督和技術支持。

4.1 1個工作站失效

在機組正常運行或事件/事故運行期間，如果1個工作站不可用，相當于失去了工作站配置上的1個冗余。此時還有3個工作站是可用的，而且1個工作站足以應付正常運行工況下的操作，2個工作站可以應付事件或事故運行工況下的操作。另外，后備盤作為數字化主控室工作站的備用也還是可用的。因此，如果1個工作站失效，數字化主控室工作站的性能降級，對電站運行沒有影響，但需要立即給運行值重新配置工作站。

在進行工作站重新配置的過程中，如果失效的工作站是核島操縱員工作站或常規島操縱員工作站，則需要將失效工作站的操縱員配置到值長工作站，同時如果失效的工作站是值長工作站或安全工程師工作站，則不影響操縱員對電站的監督與控制，同時也需要通知維修人員對失效的操縱員工作站進行維修。

4.2 2個工作站失效

在機組正常運行或事件/事故運行期間，如果2個工作站不可用，數字化主控室工作站的性能降級，需要立即給運行值重新配置工作站。此時還有2個可用的工作站，而且1個工作站足以應付正常運行工況下的操作，2個工作站可以應付事件或事故運行工況下的操作。另外，后備盤作為數字化主控室工作站的備用也還是可用的。考慮到操作控制的方式仍然可用，因此對電站運行沒有影響，但需要立即通知維修人員對失效的工作站進行維修。

在進行工作站重新配置的過程中，如果失效的2個工作站中有1個是核島操縱員工作站或常規島操縱員工作站，則需要將失效工作站的操縱員配置到值長工作站。如果失效的2個工作站中是核島操縱員工作站與常規島操縱員工作站，則需要將核島操縱員配置到值長工作站，將常規島操縱員配置到安全工程師工作站。如果失效的2個工作站是值長工作站與安全工程師工作站，則不影響操縱員對電站的監督與控制，因此也不需要對操縱員工作站進行重新配置。

4.3 3個工作站失效

在機組正常運行期間，如果3個工作站不可用，數字化主控室工作站的性能嚴重降級，核島操縱員與常規島操縱員需要共用同一個工作站。如果失去最后1個工作站，必須立即切換到后備盤上執行事故運行規程進行機組操作控制。在后備盤上不能長時間維持機組在功率模式，如果4小時內不能修復工作站，則需要通過BUP將機組后撤到雙相停堆的RRA連接工況。如果最后1個工作站仍然可用，則需要在24小時內修復故障的工作站(至少修復到具有2個可用的工作站)，否則需要向NS/RRA運行模式(余熱排出系統RRA連接的冷停堆模式)后撤。

在機組事件/事故運行期間，如果出現3個工作站不可用，則滿足不了執行事故運行規程需要的2個可用的工作站，必須立即切換到后備盤進行機組操作控制。由于數字化主控室工作站上使用的事故運行規程與后備盤上使用的紙質過程有所區別，如果切換到后備盤前在工作站上執行事故導向規程，則切換到后備盤上后需要重新執行事故導向規程。如果切換前在工作站上正在執行其他事故規程，則需要繼續執行事故規程中的事故序列。

4.4 4個工作站失效

在機組正常運行期間，如果4個工作站不可用，必須立即切換到后備執行事故運行規程。紅沿河核電廠采用狀態導向的事故處理程序SOP[2]，在切換到后備盤后，要執行事故初始導向DOS規程，依據機組的狀態，導向到合適的事故處理程序。

機組在正常運行期間，如果4個工作站不可用，機組初始狀態可以分為以下三類:(1)如果余熱排出系統RRA沒有連接，導向到事故處理程序ECP1。該程序處理的事故的初始狀態為:機組運行在中間停堆工況到100%功率運行的工況，反應堆一回路的壓力大于2.7MPa。在事故處理過程中，機組的熱工水力參數沒有發生降級。(2)如果余熱排出系統RRA系統已經連接且一回路處于閉口狀態，導向到事故處理程序ECPR1。該程序處理的事故的初始狀態為:反應堆一回路的壓力小于2.7MPa且余熱排出系統RRA系統已連接。在事故處理過程中，機組的熱工水力參數沒有發生降級。(3)如果余熱排出系統RRA系統已經連接且一回路處于充分打開狀態，導向到事故處理程序ECPRO。該程序處理的事故的初始狀態為:反應堆一回路已充分打開。在事故處理過程中，機組的熱工水力參數沒有發生降級。

在機組事件/事故運行期間，如果4個工作站不可用，則滿足不了執行事故運行規程需要的2個可用的工作站，必須切換到后備盤進行機組監督與控制，具體的運行策略與4.3節所述一致。

5 結語

本文對主控室數字化工作站失效作為初因事件和疊加事件出現時的機組運行策略進行了深入的分析，確定了不同數量工作站失效事故應采取的處理措施，進一步完善了核電廠的事故處理體系。

參考文獻

[1]孫永濱，蔣曉華.壓水堆核電站先進控制室布置設計[J].核動力工程.2008.

[2]張錦浙.狀態導向法事故處理程序[J].大亞灣核電.2007.