郭 猛，杨 萌，王 硕

（中国核电工程有限公司 北京核工程研究设计院仪控设计所，北京 100083）

0 引言

“华龙一号”是中核集团根据福岛核事故经验反馈以及中国和全球最新安全要求，研发的先进百万千瓦级压水堆核电技术，具有完全自主知识产权的三代压水堆核电创新成果。“华龙一号”在安全性上满足国际最高安全标准要求。因此，“华龙一号”应急辅助决策系统也对机柜抗震性、系统网络安全等级保护级别等提出了更高的要求[1-3]。

图1 华龙一号应急辅助决策系统架构图Fig.1 HPR1000 emergency aid decision system architecture diagram

目前，已经运行的核电厂对应急辅助决策系统的机柜均无抗震要求。但是根据NNSA-HAJ-00012-2017《核动力厂场内应急设施设计准则》8.4小节的要求，应急辅助决策系统中的服务器及其配套UPS供电设备需要满足在地震条件（SL-2）下的可用性。因此，“华龙一号”应急辅助决策系统机柜需满足相应的抗震要求。同时，“华龙一号”应急辅助决策系统需要满足网络安全等级保护三级的要求，而目前现场在运行的应急系统大多只满足等保二级的要求。

对此，对“华龙一号”应急辅助决策系统的机柜抗震能力进行多项优化设计。对于等保三级的要求，根据纵深防御的理念，在边界防护、通信防护、主机防护和安全管理中心等多个方面进行了优化设计。同时，为了对应急指挥决策提供强有力的技术支持，将“华龙一号”核电厂三维模型与地理信息系统相结合，实现集核电厂应急设施、应急撤离路线、人员清点、应急集合点等应急资源于一体的应急资源一张图等功能。

1 华龙一号应急辅助决策系统总体架构及功能要求

1.1 总体架构

华龙一号应急辅助决策系统通过接口服务器接收包括DCS系统、模拟机系统、环境辐射和气象监测系统、外部气象数据系统、厂区出入口控制系统等第三方系统的实时数据；应急专网将接口服务器与实时服务器、应用服务器、数据服务器、专用系统服务器和传真服务器相连接并进行数据传递；外部系统与应急专网之间通过网闸或防火墙等隔离装置进行隔离。

1.2 系统主要功能

见图2。

图2 应急辅助决策系统主要功能Fig.2 The main function of emergency aid decision system

图3 服务器专用托盘Fig.3 Server dedicated tray

图4 抗震支架设计Fig.4 Seismic support design

2 “华龙一号”新设计要求

2.1 系统机柜抗震设计

为加强“华龙一号”应急辅助决策系统机柜的抗震能力，进行了多处优化设计，比如采用在机柜内部设计了服务器专用托盘，以固态硬盘代替机械硬盘，优化支架设计等多项措施。

2.1.1 服务器专用托盘

机柜内部服务器设计了专用托盘（如图3所示），其主要由深度为720mm的带散热孔托盘及抱箍组成。其中，抱箍可根据服务器的高度（1U/2U）进行调整，其作用是保护服务器在发生地震等极端工况时减少过大振动，从而使整个柜体在地震时的功能完整性得到满足。

2.1.2 架空地板支架抗震设计

由于服务器不用于核岛内的机柜安装，其安装在了架空地板上面。为了保证抗震性能，将架空地板中的支架也做了抗震设计，其主要由21根GB/T7007槽钢组成，同时为了满足抗震要求，其内部在槽钢焊接处增加了12个三角形加强片，最后又分别设计了8个055和4个301支撑架，以进一步增加支架的纵向支撑力。

2.2 系统网络安全设计

“华龙一号”应急辅助决策系统需满足信息安全等级保护三级的要求。为满足等保三级的要求，本文在边界防护、通信防护、主机防护和安全管理中心等多个方面进行了优化设计。

2.2.1 网络安全防护示意图

见图5。

图5 应急系统网络安全防护策略结构示意图Fig.5 Schematic diagram of the network security protection strategy structure of the emergency system

2.2.2 边界防护

应急辅助决策系统与外系统间通过隔离网闸和工业防火墙进行隔离。应急辅助决策系统在网络风险较高的网络边界部署入侵检测服务器，用于防范系统外部发起的网络攻击行为。当检测到攻击行为时，记录攻击源IP、攻击目标、攻击时间和攻击类型。

在应急辅助决策系统边界部署日志审计服务器和运维堡垒机，对重要用户行为和安全事件进行审计，并对审计记录进行保护和定期备份。

2.2.3 通讯防护

应急辅助决策系统内部的通信协议采取校验技术或其他措施确保通信数据的完整性和保密性。

采用旁路镜像的方式对应急辅助决策系统内的重要网络节点进行审计，范围覆盖全部网络流量。对重要的用户行为、设备（服务器、主机类设备）和重要安全事件进行审计。

2.2.4 主机防护

对于服务器、主机类设备安装主机防护软件进行防护，同时对于移动存储介质进行绑定授权管理。

2.2.5 安全管理中心

应急辅助决策系统设置安全管理中心，对网络安全防护策略、边界防护、通信加固和主机防护等设备实施统一管理的平台，用于集中显示网络安全设备状态，管控网络安全设备，集中管理网络安全事件。

2.2.6 其他

对于短信平台、传真、移动终端类通讯设备，除了应急辅助决策系统侧的防护措施外，通过相应的网络依托平台（厂区通信网或运行商网络）安全特性进行通信防护。

3 系统主要功能设计优化

3.1 “华龙一号”核电厂三维模型设计

本文对“华龙一号”核电厂进行了三维模型设计，设计前期前往福清5号机组（“华龙一号”首台发电运行机组）进行实景拍摄，最大效果的真实还原“华龙一号”核电厂主要建筑物，本文设计的三维模型如图6所示。

图6 “华龙一号”核电厂三维模型设计Fig.6 HPR1000 3D model design

3.2 应急资源一张图

应急资源一张图包含核电厂二维及三维GIS服务，在GIS地图中可以直观显示如下信息：

◇ 各应急集合点及各区域的位置及集合清点情况。

◇ 应急车辆位置的变化。

◇ 监测点的空间布置情况及监测点的数据。

◇ 视频监控点的空间布置情况及查看视频画面。

◇ 应急资源信息，包括车站、学校、医院、应急设施及其设备等。

◇ 应急撤离路线。

◇ 不同核素的厂内污染物浓度场及风场显示。

3.3 工艺监控画面

应急系统以相关工艺画面的形式对各机组的核功率水平、堆芯冷却，以及通过二回路系统对反应堆冷却剂的热量排出、反应堆冷却剂的装载量、安全壳的完整性参数进行监测，实现反应性控制、堆芯冷却、主回路完整性、主回路冷却失效、安全壳完整性等的辅助判断。

以往核电厂的应急系统工艺画面独立设计，就导致与主DCS画面风格不一致，对监控人员查看画面造成困扰。“华龙一号”应急系统将工艺画面风格与主DCS画面风格保持一致，在图元库设计阶段便参考主DCS图元设计风格。

3.4 应急辅助判断

以往现场的应急辅助判断功能大多依靠应急人员手动判断，“华龙一号”应急辅助决策系统将绝大部分应急辅助判断功能实现软件自动判断。同时，为了帮助应急人员快速地定位应急行动水平发生报警的原因，将应急辅助判断过程以流程图的方式进行展示[4]。

3.5 应急大事记

应急大事记功能可以依据获取的关键信息自动生成大事记条目，如应急状态分级、场内外应急防护行动建议等，自动生成的大事记能够进行编辑和录入。

3.6 应急报告

应急报告包括应急状态审批单、机组状态报告、综合信息报告、辐射状态报告、应急状态终止审批单等，应急人员可以手动发起应急报告。

以往核电厂的应急报告大多需要应急人员手动录入相关内容或参数数值，效率低下。因此，“华龙一号”应急系统增加了应急信息或参数数值软件自动填充。比如，当应急人员手动发起应急状态审批单时，发生报警的EAL信息将自动填充进应急状态审批单中。在应急工况报告中，应急人员可以选择自动填充当前的实时数据或通过系统选择某一时刻的历史数据进行自动填充。

3.7 人员清点

应急系统通过厂区出入口控制系统获取人员清点信息并显示在人员清点界面中应急人员可以根据需要在厂内三维地图中设置应急集合点。

4 结论

为了满足“华龙一号”应急辅助决策系统对机柜抗震的要求，采用服务器专用托盘、架空地板支架抗震设计等措施，同时为了保证其硬盘数据在发生地震时的性能，所有核心服务器都使用了固态硬盘代替机械硬盘，并且在软件上做了RAID备份。通过以上措施，增强了机柜的整体抗震能力。

“华龙一号”应急辅助决策系统设计满足等保三级的要求，按照纵深防御的理念，采用了边界防护、通信防护、主机防护、安全管理信息中心等多项网络安全防护策略。

另外，对“华龙一号”核电厂进行了三维模型设计，并将三维模型与GIS系统相结合，实现核电厂二维及三维地图。同时，对应急系统的主要功能，如工艺画面、应急辅助判断、应急报告等多项功能进行了优化设计，提高应急响应支持的速度和效率。