核電廠主控制室控制模式切換方案分析及改進

王眷衛，孔偉力

(中核控制系統工程有限公司，北京 102401)

0 引言

隨著社會的日益發展，工業生產規模日趨龐大，對電力的需求在不斷地提高。核電以高效、清潔、經濟等特點得到廣泛關注。核電廠控制室作為設備及工藝過程信息的監控中心，是核電廠的重要組成部分。多種控制方法在必要條件下通過相互切換才能完成對核電廠的整體控制，而更優化的控制室模式切換設計方案是電廠安全、可靠運行的關鍵。

目前的核電機組中，出現過由于一層網絡交換機頻繁故障導致停堆的事件。而在傳統的切換方案中，會有大量切換信號需要通過一層網絡在控制器之間傳遞。一旦一層網絡出現故障，將導致切換信號傳輸中斷，無法由主要控制模式(main control means,MCM)切換到后備盤(backup panel,BUP)控制模式。基于某核電站控制室系統切換功能需求分析，本文以減少一層網絡對切換功能的影響為目標，提出更優化的切換方案，以確保核電廠在各種運行工況下能夠安全、可靠地運行。

1 控制模式概述

主控制室(main control room，MCR)和遠程停堆站(remote shutdown station，RSS)集中了核電廠運行相關的監控設備[1-2]。當MCR可用時，操縱員在MCR完成對核電廠運行的監視和控制，即MCR控制模式。MCR控制模式根據操作設備的不同，又分為MCM控制模式、BUP控制模式、特殊控制模式。當MCR失效時，操縱員從MCR撤離到RSS進行操作，即RSS控制模式。MCR和RSS是兩個物理隔離且互相獨立的控制點[3]。當其中一個控制點工作時，另一個控制點需要通過對命令進行閉鎖或者通過權限管理來防止相互之間有誤命令發出。

網絡結構如圖1所示。

由圖1可知，MCR接收Level1或數據服務器(data server,DS)提供的信息，完成顯示及控制命令下發功能。其中，BUP相關的信號通過硬接線接入分布式控制系統(distributed control system,DCS)，并在一層控制器中完成各功能的邏輯組態。

圖1 網絡結構圖

1.1 MCR控制模式

主控制室操縱員站(main control room operator working place,MCR-OWP)、BUP、緊急控制盤(emergency control panel,ECP)、安全級顯示器(safety visual display unit,SVDU)是MCR模式下的主要控制設備，對電廠的安全、可靠運行起到了至關重要的作用[4-5]。

①MCM:通過MCR的OWP、ECP、SVDU，實現對電廠運行的監視和控制。

②BUP:MCR信息控制系統OWP、ECP、SVDU失效后，即在MCM設備不可用情況下，需轉移至BUP操作。

③特殊控制模式:當工藝系統產生專用控制權限需求時，可單獨為其設置專用控制權管理功能。

正常運行工況下，主控室主要采用MCM完成對電廠運行狀態的監視和控制。BUP處于監視模式，不允許發出指令。RSS處于監視模式，不能發出指令。

1.2 RSS控制模式

當MCR不可用時，操縱員需要從MCR盡快撤離至RSS，并利用RSS內配置的簡化操縱員站和常規控制盤完成適當的操作，使反應堆熱停堆，從而使反應堆安全進入并維持在冷停堆狀態。

2 控制模式需求及設計分析

2.1 控制模式功能需求

控制模式切換功能實現了操縱員多點位控制權的轉換。控制權的轉換如圖2所示。控制權切換主要發生在MCM與BUP控制模式之間,以及MCR控制模式與RSS控制模式之間[6-7]。

圖2 控制權的轉換

MCM、BUP和RSS這三種控制模式的共存方式要求如下:同一時間電廠處于且僅處于一種控制模式；控制權在三種控制模式切換時，須通過切換邏輯準確執行，以保證不影響投運設備正常工作[8]；控制權管理功能邏輯均在DCS層實現。

傳統設計中:MCM與BUP控制模式切換通過切換開關實現。切換開關觸點分別送至安全級機柜和非安全級機柜。其中:安全級機柜采用硬線分配；非安全級機柜采用硬線和網絡分配信號。三取二的切換邏輯在每個機柜單獨處理。此方案可避免因單個控制器執行切換邏輯出問題而影響其他控制器切換的情況，但是不能保證一層網絡整體失效情況下還能有效進行切換。

改進方案提出了行政手段切換方式，即通過具有強制性、隸屬性的命令、指示等干預切換執行。行政手段限定操縱員依據操作規程在指定區域完成監控及操作任務。同時，改進方案取消了MCM與BUP控制模式切換開關，保證了在上述情況下，仍然可以有效切換到BUP控制模式，并通過釋放按鈕及BUP設備操作按鈕下發BUP指令。

2.1.1 MCM需求

當MCR信息控制系統未發生故障或部分失效，且MCR可用的MCR-OWPs可以滿足操縱員的運行需求時，操縱員在MCM下對電廠進行監視和控制。MCM流程如下。

①MCR-OWPs處于控制模式。

②通過行政手段管理，使BUP處于監視模式。

③MCR-SVDU可發出控制命令。

④ECP可發出控制命令。

⑤BUP上的CRU設備失效報警燈未點亮(不同序列各一個)。

⑥遠程停堆站緊湊操縱員站(remote shutdown station-compact operator working place,RSS-COWP)處于監視模式，命令被閉鎖。

⑦RSS-常規控制盤(包括SVDU和常規設備)處于監視模式，命令被閉鎖。

當CRU全部或部分失效，但MCR-OWPs能夠提供的可用工位無法滿足操縱員的運行需求時，需立即轉入BUP控制模式。BUP控制模式流程如下。

①通過行政手段管理，使MCR-OWPs處于監視模式。

②MCR-SVDU可發出控制命令。

③BUP處于控制模式，BUP 可發出控制命令。

④ECP可發出控制命令。

⑤BUP上的CRU設備失效報警燈被點亮(不同序列各一個)。

⑥RSS-COWPs處于監視模式，命令被閉鎖。

隨著國內賽事經濟的紅火，體育賽事轉播權這一“新興事物”引起了業界內外人士的高度關注。近有咪咕視頻和優酷網從央視手中高價購得2018年世界杯的新媒體轉播權；遠有體奧動力體育傳播有限公司斥資80億購買5年的“中超版權”。然而本文細究后發現，無論是對體育賽事轉播權的界定，還是它的保護方式都眾說紛云。換言之，體奧動力等公司以80億元天價所購得的究竟是什么東西，是否屬于法律意義上的“權利”，在目前的法律語境中尚未有定論。故本文希望厘清：體育賽事轉播權并非局限于知識產權領域的權利；它的法律保護路徑需要在更為宏觀的視野下才能繪制成型。

⑦RSS-常規控制盤(包括 SVDU 和常規設備)處于監視模式，命令被閉鎖。

2.1.3 RSS控制模式需求

當MCR不能正常使用時(如發生火災)，需要撤離MCR，退到RSS對電廠進行控制。在此控制模式下，除 ECP-S 上的反應堆停堆控制開關外，其他所有的MCR控制功能都應被閉鎖。RSS控制模式流程如下。

①MCR-OWPs功能喪失(MCR失效前可能處于控制模式或監視模式)，命令被閉鎖。

②MCR-SVDU被閉鎖。

③BUP功能喪失(MCR失效前可能處于控制模式或監視模式)，BUP命令被閉鎖。

④ECP上除停堆按鈕可用外，其余命令被閉鎖。

⑤RSS-COWPs處于控制模式。

⑥RSS-常規控制盤(包括SVDU和常規設備)處于控制模式。

MCR/RSS切換開關的位置如下。

①MCR/RSS的切換開關(序列 1、序列 2 各 3 個)每列至少2個位于RSS位。

②BUP上的RSS 處于工作模式報警燈被點亮(不同序列各一個)。

2.2 控制模式轉換設計

2.2.1 MCM與BUP切換計算邏輯。

傳統的MCM與BUP控制模式的切換方案大多需要手動操作位于后備盤的切換開關。切換開關共有三個。每個開關均有兩個位置(MCM與BUP)。通過三個開關的位置三取二邏輯實現MCM與BUP控制模式的選擇。當有且僅有一個切換開關處于BUP位置時，為BUP測試模式；當兩個或兩個以上切換開關處于BUP位置時，為BUP控制模式；當兩個或兩個以上切換開關處于MCM位置時，為MCM。

傳統控制權管理計算邏輯如圖3所示。

圖3 傳統控制權管理計算邏輯

本方案MCM與BUP控制模式的轉換通過行政手段完成。BUP控制命令的發出需通過位于主控制室BUP上的釋放按鈕實現。雙手操作原則不變，同樣需要按下控制命令后，再按下釋放按鈕才能發出控制命令，避免了切換邏輯過多帶來的不穩定因素。

改進控制權管理計算邏輯如圖4所示。

圖4 改進控制權管理計算邏輯

2.2.2 MCR與RSS切換計算邏輯

MCR與RSS的切換與傳統方案相同，通過手動操作MCR/RSS切換開關完成。BUP控制命令釋放按鈕和MCR/RSS切換開關的狀態決定了相同序列設備所采用的控制模式(MCM、BUP以及RSS)。此切換仍然保留了每個序列的三個切換開關。三取二切換邏輯較傳統切換方案無明顯差異。

3 控制器測試方法改進

切換方案的改進勢必會引起控制器測試方法的變化，BUP、緊急控制盤和RSS常規控制盤上的安全級控制器需要根據相關要求進行定期試驗。BUP上的非安全級控制器也需要通過控制器測試指示燈進行測試[9-10]。

3.1 控制器測試功能實現

控制器測試功能在DCS層控制器測試邏輯如圖5所示。

圖5 控制器測試邏輯

BUP設備控制采用“兩手”控制原則，即操縱員需要按下控制命令后再按下釋放按鈕，才能發出相應的控制命令。當單獨按下控制命令按鈕時，按鈕對應BUP上的相應序列控制器測試指示燈點亮。

3.2 控制器測試信號分配

每個機柜完成控制器測試邏輯，并通過網絡送至一個非安全級(non classified,NC)機柜。NC機柜匯總后通過硬接線與BUP相應序列的控制器測試指示燈連接。控制器測試信號分配如圖6所示。

圖6 控制器測試信號分配

4 BUP信號分配原則改進

4.1 傳統分配方案

傳統分配方案中，BUP相關信號在機柜分配過程中相對分散。大多數BUP中的監視和控制信號會跟隨本系統其他信號所在控制器進行分配。傳統分配方案主要缺點如下。

①造成大量的機柜中都包含BUP信號，勢必會在這些機柜對BUP切換、報警、燈試等邏輯進行組態，產生較多的網絡傳輸信號，可靠性差。

②送至BUP的報警及顯示等信號會使用大量的DO輸出繼電器，占用機柜空間較多，增加機柜布置難度，而且對機柜電源設計及柜體設計產生影響，不利于機柜設計標準化。

③釋放命令多以硬接線方式接入機柜，參與控制命令下發，使BUP控制信號分散，造成釋放命令串聯較多機柜，降低了可靠性。

4.2 改進分配方案

改進分配方案中，根據系統所在的功能分區進行信號分配，將不同的BUP中相同功能分區、相同安全等級、相同供電方式的信號盡可能集中分配到同一機柜。機柜可劃分為如下幾種: NC/正常/序列1、NC/正常/序列2、UJD廠房/NC/正常/序列1、UJD廠房/NC/正常/序列2、NC(S)/可靠/序列1、NC(S)/可靠/序列2、NC(S)/應急/序列1、NC(S)/應急/序列2。BUP信號分配如圖7所示。

圖7 BUP信號分配示意圖

5 結論

本文詳細分析了核電廠控制模式切換需求，并針對設計需求提出了改進切換方案。相比傳統切換方案，改進方案具有以下特點。

①MCM和BUP控制模式的切換由邏輯切換改為行政手段切換，使控制命令可以通過控制按鈕加釋放按鈕組合下發至設備。這減少了大量因切換邏輯產生的信號傳遞，避免了傳統方案中一層網絡失效或控制器通信故障情況下，BUP控制模式在邏輯中不能有效觸發而導致BUP命令不能通過一層邏輯觸發的問題。

②控制器測試方式改進。傳統方案中控制器測試需要在BUP測試模式下觸動控制器進行。改進方案通過單獨按下控制命令和對應指示燈判斷控制器是否可用。相對傳統方案，改進方案實現測試功能的方式操作簡單、測試效率高、牽扯軟硬件邏輯少、可靠性高。

③BUP中設備的控制及監視信號分配集中化，即將一塊或多塊BUP在同一功能分區的信號盡可能集中在較少控制柜內，以減少硬接線信號交互、提高可靠性、便于維護管理；同時，集中處理有助于機柜結構設計標準化。BUP功能性的控制信號同樣相對集中，即不涉及BUP控制及監視信號的機柜無需接入BUP功能性控制信號，減少了柜間軟、硬點信號交互，簡化了控制邏輯，并提高了可靠性。

本文研究的改進方案極大限度地降低了控制室切換信號在一層網絡中的傳輸，有效規避了一層網絡故障引起的切換功能失效。目前，改進方案已在部分新建電站應用，且得到較好應用效果。方案的改進為電站安全、穩定運行提供了基礎保障。