DCS一、二層接口防IIC失效風險的研究

鐘 洋，王眷衛，曹迎鋒

(中核控制系統工程有限公司，北京 100176)

0 引言

核電站數字化分布式控制系統(distributed control system，DCS)平臺采用雙層網絡結構。一層為過程控制層，具備信號的采集與輸出、控制處理等功能。二層為操作和信息管理層，具備操作、監視和數據分析等功能，可實時地接收從一層采集到的數據，并把操作人員的命令發送到一層。

一、二層接口定義了一、二層平臺之間傳輸的信號種類和數量，以及信號的處理機制。二層作為人機接口，必須如實反映一層控制邏輯的狀態，以防止操作員發出錯誤指令[1-6]，給核電站的運行造成風險。一層作為完整、獨立的控制系統，其自動控制、保護等功能應不依賴于二層。即使二層失效，一層也應保持現有控制狀態不發生變化(保持上一時刻有效值)，以防止核電站控制系統不穩定、計算錯誤或產生其他不利后果。本文論述了為防止計算機信息和控制系統(系統代碼為IIC)失效給電廠運行造成的風險以及在一、二層接口設計中所作的改進。

1 一層接收二層指令的方法

一層作為完整、獨立的控制系統，邏輯狀態應不依賴于二層。對二層的指令，一層應作“取n秒脈沖有效”邏輯，即在失去二層的狀態下，應不影響一層現有狀態。

本文以反應堆冷卻劑系統(reactor coolant system,RCS)水位測量邏輯為例。RCS水位測量功能如圖1所示。

圖1 RCS水位測量功能圖

圖1中：卸壓寬量程水位測量值(RCS098MN)低2限值越限信號、卸壓窄量程水位測量值(RCS091MN)高1限越限信號，與來自二層IIC的RCS524KC“不閉鎖”信號作“與”邏輯，得到的結果送計算機信息和管制系統(系統代碼IIC)和后備盤(back-up panel,BUP)顯示和報警。該邏輯要求“不閉鎖”信號應為保持信號，才能使報警條件觸發報警信號。若保持信號依賴于二層IIC，則在IIC失效的情況下，兩個報警條件無法觸發報警，影響操作員對故障報警的響應和處理。

上述功能對應的一層邏輯應作以下修改：來自二層IIC的“不閉鎖”信號應在一層作保持邏輯；一層對來自二層IIC的指令只取其脈沖指令。這樣，在二層IIC失效情況下，“不閉鎖”狀態由一層RS觸發器保持，不會影響報警信號的產生。組態邏輯等效的功能如圖2所示。

圖2 組態邏輯等效的功能圖

2 改進的IIC/BUP閉鎖邏輯及接口設計

核電站的主控室以基于IIC的全功能操作員工作站為主要控制手段，輔以基于常規技術的BUP作為應對IIC失效的多樣化后備[7]。正常情況下，操作員通過主控制室IIC系統實現對電廠運行的監視和控制。在IIC控制模式時，需要實現以下功能。

①BUP上的控制功能被抑制(有特殊要求的控制器除外)。

②BUP上的信息功能可用，可通過試燈按鈕對BUP上的指示燈進行測試。

③BUP上的報警功能可用，但報警被自動確認和復位，閃爍和聲報警功能被抑制。

當IIC系統失效時，操作員將控制權限切換至BUP，在BUP控制模式下實現對電廠的控制。在BUP控制模式時，需要實現以下功能。

①IIC系統處于監視模式或被抑制。

②BUP上的控制功能可用。

③BUP上的信息功能可用。

④BUP上的報警功能可用，需對報警進行手動確認或消音。

在BUP控制模式下，可以維持電廠穩定功率運行，并采取措施恢復IIC系統。如果在4 h內IIC系統恢復，則從BUP控制模式切回IIC控制模式。

在以往項目的一層設計中，當系統處于BUP控制模式時，如果收到IIC指令，一層邏輯仍能繼續執行。以往項目中的IIC與BUP切換邏輯如圖3所示。

圖3 以往項目中的IIC與BUP切換邏輯示意圖

以往項目中，為了防止因已失效的IIC發出命令造成誤操作，通過關閉一層和二層IIC之間的接口設備(網關)來閉鎖IIC指令。此時，IIC系統將失去監視功能。

華龍一號核電項目在BUP盤臺上增加了嚴重事故(severe accident，SA)儀控系統區域，具有獨立的切換開關。即存在一種情況:只有SA區域切換到BUP模式，或只有非SA區域切換到BUP模式。這時，如果關閉一層和二層之間的接口設備，則另外一塊區域(未切換到BUP模式的區域)將處于失控狀態。

為了解決上述問題，改進方案中在一層邏輯中增加了IIC/BUP閉鎖邏輯。在所有與IIC有接口的算法塊中，都增加了IIC/BUP切換輸入參數。當模板處于BUP控制模式時，IIC指令被閉鎖；同時，將當前IIC/BUP狀態上送二層IIC，在IIC的相應設備上顯示當前狀態，并通過控制操作員站的權限，禁用所有IIC操作。改進的IIC與BUP切換邏輯如圖4所示。

圖4 改進的IIC與BUP切換邏輯示意圖

3 改進的KC接口

KC是IIC上的選擇開關，用于在多個模式中作出選擇。IIC上的選擇開關如圖5所示。在IIC控制模式下，該設備控制功能可用。當按下一個模式按鈕時，指令發給一層，同時指針指向當前選擇的模式，用來指示當前模式狀態。

圖5 IIC上的選擇開關

與KC相對應的BUP設備為選擇開關。BUP上的選擇開關如圖6所示。在BUP控制模式下，該設備控制功能可用。通過下方按鈕作出選擇，將指令發給一層，同時上方指示燈顯示當前選擇的模式。

圖6 BUP上的選擇開關

在以往的項目中，BUP的模式狀態跟蹤IIC的模式狀態，但IIC的模式狀態不跟蹤BUP的模式狀態。因此，存在一種情況：在IIC模式下選擇了模式1；在IIC切換到BUP后，在BUP模式下選擇了模式2；當IIC系統恢復，從BUP模式切換回IIC模式后，IIC上仍然指示模式1。如果KC發出的是保持命令，則一層邏輯跳回模式1，對當前控制狀態造成擾動。同時，錯誤的狀態指示也會造成操作員作出錯誤判斷，發出錯誤指令。

針對以上問題，改進方案在KC模板上增加了當前狀態反饋輸入參數，將當前所選擇的模式連到該參數并上送IIC顯示。即使在BUP控制模式下，IIC處于監視模式，所選擇的模式仍能在IIC正確地顯示。

以化學和容積控制系統下泄控制閥RCV013VP為例。該調節閥有兩種不同的調節模式：穩壓器為雙相時，RCV013VP調節孔板下游的壓力，實現下泄流的二次降壓，使其低于凈化系統的工作壓力；穩壓器為水實體時，RCV013VP用來控制反應堆冷卻劑系統的壓力。為此，兩種模式使用不同的調節單元。RCS控制模式下調節單元比RCV調節單元具有更快的響應速度[8]。下泄控制閥RCV013VP功能圖如圖7所示。

圖7 下泄控制閥RCV013VP功能圖

下泄控制閥RCV013VP邏輯組態如圖8所示。圖8中：KC模塊接收來自IIC的指令，參與RS觸發器邏輯。將RS觸發器的結果(即當前的“RCS控制模式/RCV控制模式”狀態)送回給KC模塊，用于上送IIC顯示。這樣，即使在BUP控制模式下，“RCS控制模式/RCV控制模式”發生了變化，IIC在監視模式下也能顯示正確的狀態，切回IIC控制模式時，不會影響當前狀態和造成操作員的錯誤判斷。

圖8 下泄控制閥RCV013VP邏輯組態

4 結論

本文論述了為防止二層人機接口失效給電廠運行造成的風險，在一、二層接口設計中作出的改進。一層應接收二層脈沖指令，而不能讓二層的保持指令直接參與一層邏輯，防止二層失效對一層現有狀態造成影響。在BUP控制模式時，應在一層邏輯中閉鎖IIC指令，防止在IIC失效狀態下發出的無效指令。在選擇開關KC模塊上增加輸入參數，將一層的當前模式連入該參數并上送IIC顯示，防止在IIC/BUP控制狀態切換時發出錯誤指令或造成操作員誤判。該研究為核電或其他工業控制系統的一、二層接口設計提供了借鑒和參考，并已在華龍一號核電機組DCS系統的工程實施中得到應用和驗證。