三門核電主控/遠停切換功能分析

暢小龍（三門核電有限公司 設備管理處，浙江 臺州 317112）

0 引言

三門核電的OCS系統即運行和控制中心系統，是電站數字化儀控系統的重要組成部分，處于AP1000電站儀控系統2層（電站監控層）[1]。

出于結構緊湊化設計和安全冗余配置的角度，OCS系統設計了非安全級的主控/遠停切換功能，在正常運行工況下，操縱員在主控室執行電站的運行監控。發生主控撤離事件時，操縱員將主控功能切換到遠程停堆室，實現安全停堆。除了非安全級切換，還有安全級硬操開關的切換，以輔助安全停堆，其主要通過硬觸點在安全保護系統不同層級中觸發功能，本文不做贅述。

本文將結合三門項目實際情況，對非安全切換功能進行分析，并就故障診斷給出建議。

1 主控/遠停切換簡介

1.1 三門項目主控/遠停切換功能與布置

圖1 KVM控制網構架Fig.1 KVM Control network architecture

核電站先進控制室區域主要涉及主控制室、應急控制室、技術支持中心等，主控室不可用時，一般都有應急控制室輔助完成停堆任務，應急控制室布置人機接口和后備儀表盤[2]。三門項目的應急控制室即遠程停堆室。

三門項目主控室MCR配置3個操作臺，1個高操臺；遠程停堆室RSR配置1個操作臺，每個操作臺都配有不同序列電源供電的兩個操縱員站，每個站有兩塊顯示器，一套鼠標鍵盤接口設備。

在正常運行時，MCR執行電站監控功能，所有操縱員站正常可用，RSR的操縱員站顯示功能保持可用狀態，但鼠標鍵盤不可用。

當發生MCR撤離事件時，運行人員從MCR向RSR撤離。遠程停堆室RSR位于主控室MCR下方，在撤離至即將進入RSR時，通過操作樓梯旁的切換面板上的相關硬操開關，操縱員能實現MCR/RSR功能切換，通過RSR的人機接口建立并維持電廠處于安全停堆狀態。

1.2 切換邏輯與信號流

通過硬操開關和畫面軟操兩種方式均可觸發相應的切換邏輯。硬切換的觸發信號是由同一個切換開關的兩副不同觸點共同生成，任何一個觸點故障都會導致對應序列的硬切換失效。

硬操切換面板為僅有的RSR相關的1E級設備，切換面板的開關觸發后，觸點信號由控制器機柜DPU002/DPU003采集，硬操觸點信號和軟操觸發信號進行邏輯運算，生成執行切換對應序列的切換指令。該命令經由DPU047/DPU048機柜DO模塊輸出到同房間的VX80A/B中，完成切換，同時VX80將執行結果反饋給PLS，用于判斷切換是否成功。

1.3 服務器配置

切換分為序列1和序列2兩個序列，由切換開關PLSI和PLSII實施。遠程停堆室的兩個站和主控室對應站共用服務器，切換的實質只是切換人機接口的控制，即鼠標鍵盤的操作權限，切換后會導致主控室對應序列的所有站只可以顯示。

2 MCR/RSR切換功能分析

2.1 MCR/RSR切換功能優點

2.1.1 布局緊湊，便于管理，安全可靠

非安全級主控/遠停切換功能采用先進的光纖矩陣式路由器VX80和KVM技術，通過KVM網絡實現切換控制，KVM控制網絡如圖1所示。

三門項目采用該技術，所有的服務器布置在網絡柜中，不僅節省主控空間資源，也便于服務器集中管理，主控室布局更為緊湊。人機接口和服務器在空間上的隔離也確保了主控喪失時后臺的可靠性。

VX80路由器接口各工作站用戶端和服務器I/O端口間的映射可配置，從而實現了同一個服務器可以切換到分布在不同的工作站進行操作，同一個工作站也可以切換管理多個服務器，通過較少的資源就可以進行復雜的管理。

三門項目OCS采用的KVM型號為VEL-24DH，含有4個光纖口：L1，L3，K1，K2。KVM是顯示器、鼠標、鍵盤和服務器接口VX80路由器的中間設備。

VX80光纖矩陣式路由器可以通過串口訪問，可以通過配置訪問權限密碼確保安全，此外還有兩種策略保證安全路由：

1）映射約束設置

80對I/O光纖端口可設置優先級1～80，輸出端口只能連接到優先級不低于它的端口。優先級設置格式為：“Port direction”“Port number”“Port Priority”，并保存為csv格式的文件。其中，端口方向為i或o，即輸入或輸出。

2）分區設置

分區設置功能可以將VX80輸入源和目標設備分區，分區后目標工作站只能接收同個分區的源計算機傳輸來的信號，VX80最多可以有80個分區，并且分區允許重疊。分區設置格式為：“Port”“Partition”，默認分區為1[3]。

2.1.2 冗余配置，可靠性高

冗余配置體現在以下幾個方面：

◇ 切換方式冗余，有軟硬切之分

MCR和RSR的兩個操縱員站共享服務器，有軟硬兩種切換方式，硬切換面板布置在RSR外撤離樓梯口，軟操界面則布置在DDS工程師站。

◇ 序列配置冗余，有兩個獨立的序列，由獨立的VX80控制切換

主控室操縱員站和DDS服務器的配置都是冗余的兩列。相應地，有兩個切換開關可以獨立地實現兩列設備的切換，相互之間并不影響。

◇ 單開關雙觸點輸出，通過邏輯運算防止誤觸發

圖2 VX80路由器關鍵報警Fig.2 Key alarms of VX80 router

如前文所述，每個序列的硬切換開關都通過同一個開關的一副NC和一副NO觸點進行輸出，生成硬操觸發信號，避免了單觸點故障造成切換誤觸發。

◇ 面板門限報警和切換觸發報警雙重保障

切換面板布置于主控--遠程撤離樓梯旁、遠程停堆室門口，為了便于事故狀態下迅速便捷地進行控制權的無擾切換，面板帶透明窗且不設鎖。雖然不設鎖，但切換面板的門一旦打開，就會在主控及遠程停堆室產生報警，提前提醒操縱人員注意。此外，任意一個序列觸發切換同樣會在主控及遠程停堆室產生報警。

2.2 MCR/RSR切換功能的不足

2.2.1 VX80的維護

非安全級主控/遠停切換功能的實現使用了光纖矩陣式路由器VX80。VX80為Thinklogical產品，本身帶有信號端子，用于系統報警，如圖2所示。

由于MCR/RSR切換功能的需求，要求VX80具有接收觸點信號的能力，以便接收切換控制指令。VX80配置必須與Ovation DO輸出在供電方式等接口方面兼容。

現場使用的VX80信號端子可以采集外部觸點控制信號，由電廠控制系統PLS通過DO模塊提供有源控制指令信號，VX80采集后觸發其內部配置，通過預先配置的宏文件實現I/O光口的映射切換，從而完成MCR到RSR的功能切換。

而根據圖2可知：Thinklogical標準VX80產品的信號端子只能輸出觸點信號，并對外提供報警信息。因此，VX80的備件需要充分考慮其改造的因素。

2.2.2 備用軟切換的時效性和可達性

RSR的操縱員站和RO-A及RO-B中的操縱員站共享服務器，節約成本的同時能快速實現操縱員站控制功能的無擾切換。硬切換面板布置在RSR門外撤離樓梯旁，面板面罩含透明窗且不設鎖，在可達性上非常好。

而軟切接口則布置在位于附屬廠房（40廠房）的DDS工程師站，距離遠程停堆室有一段距離：

其一，完成操作需要的距離被拉長，耗費時間。DDS工程師站位于計算機房間，當運行人員撤離到RSR，有序列未切換成功時，首先需要確認硬切換失效的序列，再走到對應的計算機房間。從RSR走到計算機房間，耗費的時間大概是從MCR撤離到RSR的4倍。

其二，需要聯系儀控工程師，耗費時間。正常運行時，工程師站并無人值班，當硬切換故障時，操縱員并不具備工程師站操作的權限，一般情況下需要通過LAN工作站查找并聯系當值儀控人員進行處理，耗費時間比撤離和軟切本身所花的時間還要長。

其三，登入工程師站需要耗費較長時間。正常電廠運行期間，計算機房間是鎖著的。而工程師站是可以離線的，甚至關機的。工程師站有鎖屏設置，需要有相應授權的人員使用特定賬號密碼才能登陸，這些都為快速切換造成阻礙。

2.3 常見故障及診斷

對于主控/遠停操作臺及其切換，調試期間由于光纖鏈路問題或設備問題，常出現故障。常見故障現象有：

◇ 顯示器無信號

◇ 鼠標鍵盤無效

◇ 切換失效

在故障排查時，應對光纖及其接頭給予足夠的重視，光纖及其接頭故障會影響信號的品質。針對上述故障，具體的排查策略如下：

1）顯示器無信號

顯示器無信號，故障排查策略應該為：

①顯示器/服務器電源→②服務器運行確認→③VX80運行確認→④KVM配置確認→⑤電纜/光纖線路連接檢查

2）鼠標鍵盤無效

鼠標鍵盤失效，故障排查策略為：

①鼠標鍵盤功能確認→②VX80運行確認→③切換狀態檢查→④鼠標鍵盤信號傳輸光纖連接檢查

3）切換失效

切換失效處理應該從切換實現的整個鏈路考慮，排查策略為：

①采集硬操觸點信號的PLS卡件檢查→②切換指令輸出PLS卡件檢查→③VX80運行檢查→④光纖連接檢查

3 結語

工程調試和運行階段，OCS系統始終處在核心地位，承擔著監控現場工藝系統的重要功能。MCR/RSR切換功能對于保證OCS功能完整性、穩定性特別重要，對于運行人員在主控撤離發生時管理電站，實現安全停堆意義重大。相信隨著不斷地總結和發展，切換功能必會更加穩定可靠地保障電站安全運行。