刘华，陈柯，黄奇

（1.南华大学电气工程学院，湖南 衡阳 421001；2.中国核动力研究设计院，四川 成都 610023）

基于软件联锁的核电厂仪控系统分析

刘华1，陈柯2，黄奇2

（1.南华大学电气工程学院，湖南 衡阳 421001；2.中国核动力研究设计院，四川 成都 610023）

摘 要：核电站仪控系统是安全关键系统，控制联锁能保证系统的可用性。针对核电厂紧急停堆子系统中的联锁应用，将停堆规则与停堆设备、信号抽象为逻辑与集合的复合关系，建立联锁模型，分析联锁模型的理论及工程意义。从软件指令生命周期角度，通过增加软件监测点，提出可观测性可纠错的软件联锁，完成对硬件与自身的监测、纠错，提高仪控系统的安全预警能力。

关键词：核电厂；仪控系统；紧急停堆；软件联锁

0　引言

联锁是为了保证系统安全，通过技术方法，使不同工况、不同设备、不同信号之间按一定程序、一定条件建立起的既相互联系，而又制约的关系，这种关系即联锁[1]。联锁在自动化领域的应用，多为控制联锁，即某一参数达到规定值或某一设备启、停或开、关时，联动或闭锁对其他设备、信号的响应与控制[2]。

联锁在工业上的应用，至今已有100多年的历史，经历了机械联锁、电机联锁、电气联锁、电气集中联锁和计算机联锁的发展过程[3]。联锁包括闭锁、恢复两个基本控制动作[4]。闭锁指通过特定的闭锁信号，完成闭锁对应的设备动作，即不再响应相关设备。恢复动作实质上就是解除闭锁，是闭锁的逆过程。AP1000里，允许闭锁又分为允许手动闭锁和自动闭锁两类[5]。解除闭锁即与恢复相一致。

随科学技术的进步，旧的联锁设备不断被安全可靠性更高、操纵和维护更简单、技术更先进的联锁设备代替[6]。从发展角度看，基于高可靠性、高可用性的数字化仪表控制联锁是发展的方向和工程实践的必然要求[7]。

2　紧急停堆联锁信号的形式化分析

针对计算机联锁及联锁逻辑的形式化模型，多采用基于UML顺序图[8]、Event-B[9]等方法。UML模型包含有充分的测试信息，可以基于UML模型生成软件测试用例。Event-B方法适合具有复杂时序逻辑的控制系统描述与验证，而核电站紧急停堆系统中的联锁信号具有典型的核特色，停堆动作的执行也是不可中途暂停、不可逆的，不存在反馈。如图1，从产生正确的停堆信号，到执行恰当的停堆动作，需要几个环节。与反应堆紧急停堆相关的重要仪表设备将物理参数转化为仪控系统的标准格式，这些物理参数作为下个环节的输入。

紧急停堆信号集是一组体现核电厂工艺和安全的元素集合，但仅有信号集，只是停堆动作的必要而非充分条件。联锁信号要求与信号集一起，可以看做是信号集的一个子集，经过复杂的停堆规则判断，最终触发停堆或者不触发停堆，构成停堆动作及闭锁停堆、自动恢复等操作。分析得出，仪表设备、停堆信号集、联锁、停堆规则共同构成一个严密的整体。

在分析了核电厂紧急停堆子系统中的具体工艺后，建立形式化模型的指导原则就是要将停堆规则与停堆设备、信号抽象为逻辑与集合的复合关系。与前面描述的形式化模型不同，核电仪控系统的特殊性决定了模型必须采用基于规则与集合的复合关系。联锁控制以联锁信号集的形式，包含在图1中。

2.1形式化方法一

仪表设备集合为I，停堆信号集为S，联锁信号集P，停堆规则为rule。反应堆紧急停堆，S 与P依托I，来源于现场仪表。复杂多样的rule，反映反应堆的具体工况，抽象为直观的逻辑或门、与门、非门。

(1)粗糙模型

该模型简单描述了rule动作由仪表设备集合I，停堆信号集S，联锁信号集P，停堆规则rule共同决定。

图1　紧急停堆联锁框图Fig.1 The block diagram of emergency shutdown interlocking

(2)精细模型

第1类停堆信号，只与仪表设备相关，公式(2)即表示了这种联锁信号与仪表设备的对应关系。

第2类停堆信号，既与仪表设备相关，又与联锁信号相关，公式(3)即表示了这种对应关系。

将停堆信号与停堆规则进行逻辑判决，符合规则，即形成停堆动作。停堆信号应该是第1类、第2类停堆信号的并集。将式(2)和式(3)代入式(4)，得到停堆动作产生的完整集合表达式。

(3)模型的具体实例和说明

2.2形式化方法二

控制逻辑转变成简洁清晰的布尔代数，利用与门、或门、非门及N取M判决等实现控制规则。IF THEN ELSE 的结构，也构成了与形式化方法一的互补。

2.3形式化模型的意义

通过对联锁控制的分析，抽象出上述的紧急停堆联锁模型，有助于抽象出控制逻辑，可以快速得到联锁控制的具体范围，方便设计阶段的功能完整性分析、安全完整性验证，并作为仪控系统验证与确认的分析基础。

3　基于可观测可纠错的软件联锁

数字化仪控系统有大量的软件和硬件资源。软件和硬件都存在可靠性还是安全性的问题。通过硬件冗余可以在一定程度上满足量化指标的要求，但是软件和硬件的交互问题、软件自身的稳定性等促使软件必须要有自检、及时反映硬件故障的能力。软件联锁的实质是一类基于对自身和硬件的监测，仪控系统所做出的正确的软件判断、检错、纠错等动作。

3.1软件指令生命周期

软件指令生命周期定义：核电站数字化仪控系统中，由于工况及具体物理状态的控制要求，仪控系统手动或自动产生操作指令，从指令的激发产生、发出、到达执行设备、设备开始执行指令直到指令动作结束。整个流程即仪控系

统软件指令生命周期。

数字化仪控系统，除了少数重要功能仍然使用硬接线，有一部分指令是基于软件形式的，图2是软件指令的整个生命周期。命令激发态如果成立，将生成软件形式的仪控系统指令，即软指令。通过联锁1环节，检查是否符合控制联锁的闭锁及恢复功能。如果符合，软指令转变为正式的仪控系统指令发出。此时，指令发送到执行器，执行器接收到硬指令。通过联锁2环节，检查命令发送是否及时，是否符合时间约束。执行器依据硬指令，执行相应动作，动作完成，指令周期到此结束。通过联锁3环节，检查动作执行是否充分，是否结束过快，是否开始太晚等。

3.2不可观测的软件风险传递

图3描述了一个不具有可观测性的仪控系统框图。软件风险在软件内部，经过若干环节，传递到硬件，才能通过硬件显性地观测到系统问题，观测到故障的时间点为TH，由于没有软件联锁的状态监测，无法定位风险的产生区域、无法分辨具体原因，只能初步认为是硬件原因。

3.3可观测的软件风险传递

图4(1)是一个具有可观测性的软件风险监测框图。描述了软件风险在软件内部，经过若干环节，传递到硬件，通过硬件显性地观测到系统问题，观测到故障的时间点为TH，由于有基于软件联锁的状态监测，在软件内部运行的环节1、2、3对应的软件联锁判决S1、S2、S3，可以实时监控软件风险在环节1、2、3的传递。软件联锁判决S1、S2、S3对应的时间点为T1、T2、T3。增加软件联锁环节，就是增加了新的软件观测点，可以提前发现软件的故障，并且依据时间点的具体数值，定位软件故障的位置或区域。

图2　软件指令的生命周期Fig.2 The life cycle of software instructions

图3　不可观测的软件风险序列Fig.3 Unobservable sequence of software risk

图4　仪控系统的软件风险传递Fig.4 Risk transfer for software of instrument control system

如果考虑联锁判决S1、S2、S3的主动纠错机制，例如S1不但可以发现环节1之前引入的软件风险，还能纠正进入环节1之后的软件指令。S2、S3依次类推。如图4(2)所示，构成一个可观测可纠错的软件风险序列。

工程应用：反应堆停堆断路器停堆逻辑表决失效后的处理。4取2表决系统表决已经失效，软件联锁及时通过状态监控，提前启动手动棒控操作，避免反应堆物理参数超过阈值后，才被感知。

3.4无软件联锁的系统监控

图5描述仪控系统中无软件联锁的软、硬件监控。软件序列S1、S2、S3，硬件序列H1、H2、H3，相互各自独立。由于没有(S1, H1)、(S2, H2)、(S3, H3)三个联锁监控，硬件序列的故障或风险问题只能到最后时间点TH，才被观测到。这时候故障才被反馈到软件环节，软件在时间点TH才响应。同理，错误的软件指令及不恰当指令，只有到时间点TH才最终显性地作用在硬件上，被观测到。时间点TH之前，错误指令已经作用在硬件上了，但是缺乏联锁控制机制，使得软硬件融合状态是不可观测的，到了时间点TH，被积累的错误作用在硬件上，最终被观测到。

3.5软件对硬件的联锁监控

图6描述仪控系统中软件对硬件的实时联锁监控。软件序列S1、S2、S3，硬件序列H1、H2、H3。(S1, H1)、(S2, H2)、(S3, H3)构成三个软件对硬件的联锁监控。以(S1, H1)为例，S1已经融合时间延迟规则、物理阈值判决等基本模块。理想情况，硬件的H1、H2、H3都运行正确，软件联锁监控就不做出多余动作。若H1出现时间延迟过长，既可以报警，也可以利用联锁机制，告知S2，让S2对H2作相应的调整，一定程度上弥补、抵消H1的延迟影响。联锁监控，实现了序列中相邻环节软件硬件前后级的协调，采用报警、协调纠正等方式将风险及时发现、及时纠正。

工程应用1：停堆指令发出后，针对棒位指示失效的情况。控制棒落棒过程中，实际已卡棒，仪控显示却落棒正常。停堆指令发出后，控制棒开始下落，通过软件联锁预设的时间约束，对落棒是否到位、是否太慢作出软件层面的趋势判断和提前预警。防止棒位指示的失效，能对应该停堆而未停堆的预期瞬态作出提前预警。

工程应用2：针对控制棒运行位置显示不准确的情况。棒位指示值与棒位实际值的偏差超过误差允许范围，通过软件状态监测中的棒位运行位置计算值作为软件联锁的基准参考，及时在线校正错误的硬件指示，并提前报警，防止偏差进一步积累放大。基于此，实现软件对硬件的实时监测。

图5　无软件联锁的系统监控Fig.5 System monitoring with no software interlocking

图6　软件对硬件的实时联锁监控Fig.6 Hardware real-time interlock controlled by software

4　结论

在核电站仪控系统中，大量仪表信号构成集合，通过与阈值的比较，触发停堆操作，为了减少不必要的停堆操作，防止误操作，工程上采用控制联锁功能。通过建立联锁模型，可以衡量不同堆型核电站控制的复杂度，并缩小测试用例的空间范围，为自动生成测试用例提供基础。

利用数字化仪控系统中丰富的软件资源，从软件指令生命周期角度，通过增加软件监测点，补充软件序列与硬件序列对应，形成可观测性可纠错的软件联锁，完成对硬件与自身的监测、纠错，可以提高仪控系统的安全预警能力。软件联锁应用到反应堆紧急停堆系统中，可以快速的观测、定位、纠正软硬件故障，提升了作为安全关键系统的仪控系统的可观测性和可纠错性。

参考文献：

[1]王小亮, 刘彬, 王春露.云计算可信机制的有效性评估方法研究[J].新型工业化, 2012, 2(12): 47-55.WANG Xiaoliang, LIU Bin, WANG Chunlu.Quantization and Assessment the Effectiveness of Cloud Trusted Mechanism[J].The Journal of New Industrialization, 2012, 2(12): 47-55.

[2]QIAN X, LU D, YU Y.Design and Optimization of AP1000 Passive Residual Heat Removal System Based on Fault Tree Analysis[J].Atomic Energy Science and Technology, 2012, 8: 006.

[3]杨仁建.仪表联锁设计与装置安全运行[J].自动化博览, 2013(1): 107-109.Yang Renjian.Instrumentation interlocking design and safe operation of device[J].Automation expo, 2013(1): 107-109.

[4]Rao S, Vinod G, Sarkar P K, et al.Application of PSA techniques to synchrotron radiation source facilities[J].Indian Journal of Pure and Applied Physics, 2012, 50(11): 776-781.

[5]Valkonen J, Karanta I, Koskimies M, et al.NPP Safety Automation Systems Analysis[J].2008.

[6]车皓, 费云艳, 王永强.国内某核电站主泵的控制联锁逻辑[J].电气应用, 2013, 6: 015.Che Hao,Fei Yunyan,Wang Yongqiang.The main pump control interlock logic of a domestic nuclear [J].The applications of Electrical, 2013, 6: 015.

[7]彭鑫, 谭彰, 黄文君, 等.基于Android 的工业控制监控软件设计[J].新型工业化, 2012, 2(5)：32-38.Peng Xin, Tan Zhang, Huang Wenjun, et al.Design of Control System Mobile Monitoring Software Based on Android[J].The Journal of New Industrialization, 2012, 2(5): 32-38.

[8]Bae H, Kim Y, Baek G, et al.Diagnosis of Turbine Valves in the Kori Nuclear Power Plant Using Fuzzy Logic and Neural Networks[M]//Advances in Neural Networks–ISNN 2007.Springer Berlin Heidelberg, 2007: 641-650.

[9]Doa G, Kimb S, Leeb Y, et al.A Preliminary Study on the Application of System Dynamics Methodology to Organizational Safety in Nuclear Power Plants: Learning from Past Models[J].

An Analysis of the Instruments and Control System in Nuclear Power Plant Based on Software Interlocking

LIU Hua1, CHEN Ke2, HUANG Qi2
(1.School of Electrical Engineering, University of South China, Hengyang Hunan 421001, China; 2.Nuclear Power Institute of China, Chengdu Sichuan 610041, China)

Citation: LIU Hua, CHEN Ke, HUANG Qi.An Analysis of the Instruments and Control System in Nuclear Power Plant Based on Software Interlocking [J].The Journal of New Industrialization, 2015, 5(6): 27‒32.

Abstract:Instrument and control system of the nuclear power plant is a critical system for the sake of safety.The system’s availability is maintained by control interlocking.As for the interlocking model of the emergency shutdown subsystem, the shutdown rules, devices and signals are abstracted into the complex relationship of logic and sets.Thus the interlocking model is established and the theoretical and engineering significance of interlocking model is analyzed.Then the observable corrective software interlocking is proposed through the increasing of the monitoring points from the aspect of the life cycle of software instruction.As a result, the observation and the error correction of the hardware and the interlocking are realized, improving the security warning capability of the instrument and control system.

Keywords:nuclear power plant; instrumentation & control system; emergency shutdown, software interlocking

作者简介：刘华(1979-)，男，湖南衡阳人，讲师，工学硕士,主要研究方向：仪控系统及安全分析；陈柯(1980-)，男，汉族，四川简阳人，工程师，主要研究方向：核电站仪控的设计。

*基金项目：中核集团核设备运行状态监测技术重点学科实验室项目资助;湖南省教育厅科学研究课题14C0972

本文引用格式：刘华，陈柯，黄奇.基于软件联锁的核电厂仪控系统分析[J].新型工业化，2015，5(6)：27-32 DOI：10.3969/j.issn.2095-6649.2015.06.05