核电厂数字化控制室控制权切换功能实现方法研究

刘廉隅　张帆　田晖

【摘 要】当前国内新建核电厂控制室基本上均采用了数字化的控制平台与常规盘台后备相结合的方式，实现对核电厂的监控，确保核电厂安全运行。本文以M310核电站数字化控制室为背景，在数字化控制平台、常规后备盘的功能分析的基础上，结合实际数字化控制系统的结构，对核电厂数字化控制室控制权切换功能实现方法进行了研究，并对不同的实现方案进行了比较。

【关键词】数字化控制室；DCS；控制权切换

当前，国内在建核电厂以及部分已经建成核电厂的仪控系统均采用了先进而又成熟的数字化分布式控制系统（DCS）。相应的在主控制室内，设置了数字化的操纵员工作站作为主要的监控方式，常规的后备盘（BUP）作为数字化操纵员工作站不能工作时的后备监控手段，以及紧急操作台（ECP）在紧急情况下完成手动停堆和驱动系统级安全操作。当主控制室由于某种原因（例如发生火灾）变得不可利用时，操纵员从主控制室撤离到远程停堆站（RSS）进行监控，维持核电厂的安全。

核电厂控制手段的多样化，可以很好得保证核电厂的运行安全，但同时也必须对这些监控手段有很好的权限管理，以保证同一时间，只有一个操控地点对核电厂进行控制，以防止不同的操控点误发操作命令，影响核电厂正常运行。单纯以加强人员管理来避免不同的操控地点误发命令，并不能从本质上杜绝误发命令。因此，控制权的切换功能必须结合DCS系统的网络结构和软硬件特点进行设计，实现在某一控制点进行操作时，闭锁其他可能会有误动作的控制点的控制命令下发。

核电厂的控制模式主要分为主要控制模式（MCM）、BUP控制模式以及RSS控制模式。DCS系统应能够使操纵员在特定情况下，实现MCM与BUP之间的切换和MCM与RSS之间的切换。

MCM控制模式即主要控制模式，是DCS系统正常运行时，采用的控制方式。操作核电厂需要的全部信息、控制功能都可以在MCM控制模式下完成。在此模式下，DCS系统应能够实现：

（1）数字化工作站处于MCM控制模式；

（2）BUP上的控制功能被闭锁；

（3）ECP功能可用；

（4）RSS工作站控制功能被闭锁。

即使数字化的MCM控制方式具有高度的可靠性，MCM控制失效仍然是需要考虑的。当电厂丧失数字化的MCM控制方式时，应能够通过常规的后备盘（BUP）将核电厂带到并维持在安全状态。因此BUP上仅布置了能够实现将核电厂带到并维持在安全状态所需的监控设备。BUP控制模式即在BUP上实现监控，在此模式下，DCS系统应能够实现：

（1）BUP上的控制功能可用；

（2）MCM工作站控制功能被闭锁；

（3）ECP功能可用；

（4）RSS工作站控制功能被闭锁。

当主控制室由于某种原因（例如发生火灾）变得不可利用时，操纵员需要从主控制室撤离到远程停堆站，利用远程停堆站系统，完成适当的操作，使反应堆迅速热停堆，并配合少量的就地控制，把反应堆安全地带入并维持在冷停堆状态。RSS控制模式即在RSS数字化工作站上实现监控，在此模式下，DCS系统应能够实现：

（1）RSS工作站处于控制模式；

（2）MCM工作站控制功能被闭锁；

（3）BUP上的控制功能被闭锁；

（4）除反应堆停堆外，其它的ECP功能均被抑制。

通过以上功能分析，我们可以得出，RSS控制模式的优先级是最高的，一旦主控制室不可用，除ECP上的停堆功能可用外，主控制室内的其他命令均需被闭锁，这时只能通过RSS工作站实现对核电厂的控制。其次是BUP控制模式与MCM控制模式，他们的优先级是一样的，这两种控制模式的选择是以MCM是否可用为依据，MCM可用即选MCM控制模式，MCM不可用则选BUP控制模式。

DCS系统可以有多种网络结构方案。在讨论控制权切换方案前，先简要介绍下当前国内数字化M310核电厂采用的DCS系统的结构，见下图。

数字化M310核电厂的控制系统通常可分为Level 0工艺系统层、Level 1控制逻辑层、Level 2控制信息层（人机接口层）。其中属于数字化分布式控制系统DCS范围的有Level 1和Level 2两层。

Level 2的MCM、RSS的数字化工作站通过网络与Level 1进行连接， BUP的大部分常规设备通过硬接线的方式，与Level 1进行连接。他们的命令是通过Level 1控制逻辑层进行逻辑处理后，对Level 0层工艺设备进行控制，并通过Level 1接收来自Level 0的反馈信息。ECP的常规设备以及BUP上的少量常规设备通过硬接线的方式与level 0层直接连接，实现命令发送及信息反馈。

通过DCS系统实现控制模式间的切换，设计方案可以有很多。下面分别对MCM控制模式与RSS控制模式间和MCM控制模式与BUP控制模式间的切换方案进行了阐述，并对每种方案的优势和劣势进行分析。

1）MCM控制模式与RSS控制模式间的切换

由MCM控制模式切换到RSS控制模式时，主控制室内除了ECP上的反应堆停堆功能外，其他控制命令均被闭锁。由RSS控制模式切回MCM控制模式时，主控室内的所有控制功能须全部恢复。

由于主控制室内BUP上有部分设备以及ECP设备是采取的硬接线的方式与Level 0层设备进行直接连接，这部分设备数量较少，切换时可以通过在BUP、ECP搭接硬逻辑，并在RSS设置切换开关向硬逻辑发信号，以控制这部分硬接线控制信号的通断。

BUP上还有大量设备是通过硬接线的方式与Level 1连接，由于这部分设备较多，采用搭硬逻辑的方式在Level 2实现闭锁相比于在Level 1引入RSS切换开关信号实现软逻辑的闭锁更复杂，工作量也大很多，因此通常采用在Level 1引入RSS切换开关信号的方式实现对BUP的闭锁。

对于MCM和RSS数字化工作站的切换可以有以下方案：

方案一：通过切断数字化工作站对应的通信网络交换机电源，实现切换。这种方案优点是不需要有在DCS系统中做逻辑处理，从DCS系统实现上看，非常容易。缺点是工作站电源断路器的布置位置需要进行特殊考虑，要将电源布置的相对集中并且要配备醒目标识，以防止误操作。切换的操作步骤相对繁琐，需对多个电源断路器操作来闭锁数字化工作站，以及对切换开关进行操作闭锁或解锁ECP和BUP。

方案二：通过Level 1的控制逻辑实现。将RSS的切换开关信号引入Level 1，在Level 1中做切换逻辑，实现对MCM和RSS控制模式的闭锁和解锁。这种方案的优点是，切换操作简便，仅通过切换开关即可实现控制模式的切换。缺点是，Level 1需分辨来自MCM和来自RSS的信号，需在Level 1做大量的切换闭锁逻辑，Level 1的工作量较大。

方案三：通过Level 2的控制逻辑实现。将RSS的切换开关信号引入Level 2，在数字化工作站中通过权限管理，来实现对控制命令的闭锁。这个方案的优点除了操作简便，通过切换开关即可实现控制模式的切换外，Level 1也不需要对MCM和RSS的信号进行分辨，减少了Level 1的工作量。缺点是权限管理的方式可以闭锁人为的控制命令下发，但无法阻止不可预期的（如火灾情况下）Level 2的命令自动下发。

2）MCM控制模式与BUP控制模式间的切换

MCM控制模式与BUP控制模式的切换，需以主控制室可用为前提，即RSS切换开关位置在主控制室位置。

不论MCM模式还是BUP控制模式， ECP功能均可用，RSS工作站控制功能均被闭锁。因此在MCM控制模式与BUP控制模式切换时，仅考虑MCM与BUP两者间的闭锁方案。

由于BUP与一层是通过硬接线方式连接，采用搭硬逻辑的方式在Level 2实现闭锁相比于在Level 1引入BUP切换开关信号实现软逻辑的闭锁更复杂，工作量也大很多。因此通常采用在Level 1引入BUP切换开关信号的方式实现对BUP的闭锁。

对MCM数字化工作站的控制命令的闭锁方案，与上文中MCM和RSS数字化工作站的切换方案类似，可以分别通过切断电源、通过将BUP切换开关信号引入Level 1逻辑、通过将BUP切换开关信号引入Level 2逻辑实现，在此不再累述。

核电厂数字化控制权切换功能的实现方法与DCS系统网络结构密切相关，这其中还涉及到如何在不同安全级别（1E、NC）的网络中实现控制权的切换；设备故障对控制权切换功能的影响；如何提高切换方案的可靠性等，对于这些问题，需要再结合具体DCS系统网络结构进行具体分析、深入研究。

[责任编辑：汤静]