核電廠數字化控制室控制權切換功能實現方法研究

劉廉隅　張帆　田暉

【摘 要】當前國內新建核電廠控制室基本上均采用了數字化的控制平臺與常規盤臺后備相結合的方式，實現對核電廠的監控，確保核電廠安全運行。本文以M310核電站數字化控制室為背景，在數字化控制平臺、常規后備盤的功能分析的基礎上，結合實際數字化控制系統的結構，對核電廠數字化控制室控制權切換功能實現方法進行了研究，并對不同的實現方案進行了比較。

【關鍵詞】數字化控制室；DCS；控制權切換

當前，國內在建核電廠以及部分已經建成核電廠的儀控系統均采用了先進而又成熟的數字化分布式控制系統（DCS）。相應的在主控制室內，設置了數字化的操縱員工作站作為主要的監控方式，常規的后備盤（BUP）作為數字化操縱員工作站不能工作時的后備監控手段，以及緊急操作臺（ECP）在緊急情況下完成手動停堆和驅動系統級安全操作。當主控制室由于某種原因（例如發生火災）變得不可利用時，操縱員從主控制室撤離到遠程停堆站（RSS）進行監控，維持核電廠的安全。

核電廠控制手段的多樣化，可以很好得保證核電廠的運行安全，但同時也必須對這些監控手段有很好的權限管理，以保證同一時間，只有一個操控地點對核電廠進行控制，以防止不同的操控點誤發操作命令，影響核電廠正常運行。單純以加強人員管理來避免不同的操控地點誤發命令，并不能從本質上杜絕誤發命令。因此，控制權的切換功能必須結合DCS系統的網絡結構和軟硬件特點進行設計，實現在某一控制點進行操作時，閉鎖其他可能會有誤動作的控制點的控制命令下發。

核電廠的控制模式主要分為主要控制模式（MCM）、BUP控制模式以及RSS控制模式。DCS系統應能夠使操縱員在特定情況下，實現MCM與BUP之間的切換和MCM與RSS之間的切換。

MCM控制模式即主要控制模式，是DCS系統正常運行時，采用的控制方式。操作核電廠需要的全部信息、控制功能都可以在MCM控制模式下完成。在此模式下，DCS系統應能夠實現：

（1）數字化工作站處于MCM控制模式；

（2）BUP上的控制功能被閉鎖；

（3）ECP功能可用；

（4）RSS工作站控制功能被閉鎖。

即使數字化的MCM控制方式具有高度的可靠性，MCM控制失效仍然是需要考慮的。當電廠喪失數字化的MCM控制方式時，應能夠通過常規的后備盤（BUP）將核電廠帶到并維持在安全狀態。因此BUP上僅布置了能夠實現將核電廠帶到并維持在安全狀態所需的監控設備。BUP控制模式即在BUP上實現監控，在此模式下，DCS系統應能夠實現：

（1）BUP上的控制功能可用；

（2）MCM工作站控制功能被閉鎖；

（3）ECP功能可用；

（4）RSS工作站控制功能被閉鎖。

當主控制室由于某種原因（例如發生火災）變得不可利用時，操縱員需要從主控制室撤離到遠程停堆站，利用遠程停堆站系統，完成適當的操作，使反應堆迅速熱停堆，并配合少量的就地控制，把反應堆安全地帶入并維持在冷停堆狀態。RSS控制模式即在RSS數字化工作站上實現監控，在此模式下，DCS系統應能夠實現：

（1）RSS工作站處于控制模式；

（2）MCM工作站控制功能被閉鎖；

（3）BUP上的控制功能被閉鎖；

（4）除反應堆停堆外，其它的ECP功能均被抑制。

通過以上功能分析，我們可以得出，RSS控制模式的優先級是最高的，一旦主控制室不可用，除ECP上的停堆功能可用外，主控制室內的其他命令均需被閉鎖，這時只能通過RSS工作站實現對核電廠的控制。其次是BUP控制模式與MCM控制模式，他們的優先級是一樣的，這兩種控制模式的選擇是以MCM是否可用為依據，MCM可用即選MCM控制模式，MCM不可用則選BUP控制模式。

DCS系統可以有多種網絡結構方案。在討論控制權切換方案前，先簡要介紹下當前國內數字化M310核電廠采用的DCS系統的結構，見下圖。

數字化M310核電廠的控制系統通?？煞譃長evel 0工藝系統層、Level 1控制邏輯層、Level 2控制信息層（人機接口層）。其中屬于數字化分布式控制系統DCS范圍的有Level 1和Level 2兩層。

Level 2的MCM、RSS的數字化工作站通過網絡與Level 1進行連接， BUP的大部分常規設備通過硬接線的方式，與Level 1進行連接。他們的命令是通過Level 1控制邏輯層進行邏輯處理后，對Level 0層工藝設備進行控制，并通過Level 1接收來自Level 0的反饋信息。ECP的常規設備以及BUP上的少量常規設備通過硬接線的方式與level 0層直接連接，實現命令發送及信息反饋。

通過DCS系統實現控制模式間的切換，設計方案可以有很多。下面分別對MCM控制模式與RSS控制模式間和MCM控制模式與BUP控制模式間的切換方案進行了闡述，并對每種方案的優勢和劣勢進行分析。

1）MCM控制模式與RSS控制模式間的切換

由MCM控制模式切換到RSS控制模式時，主控制室內除了ECP上的反應堆停堆功能外，其他控制命令均被閉鎖。由RSS控制模式切回MCM控制模式時，主控室內的所有控制功能須全部恢復。

由于主控制室內BUP上有部分設備以及ECP設備是采取的硬接線的方式與Level 0層設備進行直接連接，這部分設備數量較少，切換時可以通過在BUP、ECP搭接硬邏輯，并在RSS設置切換開關向硬邏輯發信號，以控制這部分硬接線控制信號的通斷。

BUP上還有大量設備是通過硬接線的方式與Level 1連接，由于這部分設備較多，采用搭硬邏輯的方式在Level 2實現閉鎖相比于在Level 1引入RSS切換開關信號實現軟邏輯的閉鎖更復雜，工作量也大很多，因此通常采用在Level 1引入RSS切換開關信號的方式實現對BUP的閉鎖。

對于MCM和RSS數字化工作站的切換可以有以下方案：

方案一：通過切斷數字化工作站對應的通信網絡交換機電源，實現切換。這種方案優點是不需要有在DCS系統中做邏輯處理，從DCS系統實現上看，非常容易。缺點是工作站電源斷路器的布置位置需要進行特殊考慮，要將電源布置的相對集中并且要配備醒目標識，以防止誤操作。切換的操作步驟相對繁瑣，需對多個電源斷路器操作來閉鎖數字化工作站，以及對切換開關進行操作閉鎖或解鎖ECP和BUP。

方案二：通過Level 1的控制邏輯實現。將RSS的切換開關信號引入Level 1，在Level 1中做切換邏輯，實現對MCM和RSS控制模式的閉鎖和解鎖。這種方案的優點是，切換操作簡便，僅通過切換開關即可實現控制模式的切換。缺點是，Level 1需分辨來自MCM和來自RSS的信號，需在Level 1做大量的切換閉鎖邏輯，Level 1的工作量較大。

方案三：通過Level 2的控制邏輯實現。將RSS的切換開關信號引入Level 2，在數字化工作站中通過權限管理，來實現對控制命令的閉鎖。這個方案的優點除了操作簡便，通過切換開關即可實現控制模式的切換外，Level 1也不需要對MCM和RSS的信號進行分辨，減少了Level 1的工作量。缺點是權限管理的方式可以閉鎖人為的控制命令下發，但無法阻止不可預期的（如火災情況下）Level 2的命令自動下發。

2）MCM控制模式與BUP控制模式間的切換

MCM控制模式與BUP控制模式的切換，需以主控制室可用為前提，即RSS切換開關位置在主控制室位置。

不論MCM模式還是BUP控制模式， ECP功能均可用，RSS工作站控制功能均被閉鎖。因此在MCM控制模式與BUP控制模式切換時，僅考慮MCM與BUP兩者間的閉鎖方案。

由于BUP與一層是通過硬接線方式連接，采用搭硬邏輯的方式在Level 2實現閉鎖相比于在Level 1引入BUP切換開關信號實現軟邏輯的閉鎖更復雜，工作量也大很多。因此通常采用在Level 1引入BUP切換開關信號的方式實現對BUP的閉鎖。

對MCM數字化工作站的控制命令的閉鎖方案，與上文中MCM和RSS數字化工作站的切換方案類似，可以分別通過切斷電源、通過將BUP切換開關信號引入Level 1邏輯、通過將BUP切換開關信號引入Level 2邏輯實現，在此不再累述。

核電廠數字化控制權切換功能的實現方法與DCS系統網絡結構密切相關，這其中還涉及到如何在不同安全級別（1E、NC）的網絡中實現控制權的切換；設備故障對控制權切換功能的影響；如何提高切換方案的可靠性等，對于這些問題，需要再結合具體DCS系統網絡結構進行具體分析、深入研究。

[責任編輯：湯靜]