钟 洋，王眷卫，曹迎锋

(中核控制系统工程有限公司，北京 100176)

0 引言

核电站数字化分布式控制系统(distributed control system，DCS)平台采用双层网络结构。一层为过程控制层，具备信号的采集与输出、控制处理等功能。二层为操作和信息管理层，具备操作、监视和数据分析等功能，可实时地接收从一层采集到的数据，并把操作人员的命令发送到一层。

一、二层接口定义了一、二层平台之间传输的信号种类和数量，以及信号的处理机制。二层作为人机接口，必须如实反映一层控制逻辑的状态，以防止操作员发出错误指令[1-6]，给核电站的运行造成风险。一层作为完整、独立的控制系统，其自动控制、保护等功能应不依赖于二层。即使二层失效，一层也应保持现有控制状态不发生变化(保持上一时刻有效值)，以防止核电站控制系统不稳定、计算错误或产生其他不利后果。本文论述了为防止计算机信息和控制系统(系统代码为IIC)失效给电厂运行造成的风险以及在一、二层接口设计中所作的改进。

1 一层接收二层指令的方法

一层作为完整、独立的控制系统，逻辑状态应不依赖于二层。对二层的指令，一层应作“取n秒脉冲有效”逻辑，即在失去二层的状态下，应不影响一层现有状态。

本文以反应堆冷却剂系统(reactor coolant system,RCS)水位测量逻辑为例。RCS水位测量功能如图1所示。

图1 RCS水位测量功能图

图1中：卸压宽量程水位测量值(RCS098MN)低2限值越限信号、卸压窄量程水位测量值(RCS091MN)高1限越限信号，与来自二层IIC的RCS524KC“不闭锁”信号作“与”逻辑，得到的结果送计算机信息和管制系统(系统代码IIC)和后备盘(back-up panel,BUP)显示和报警。该逻辑要求“不闭锁”信号应为保持信号，才能使报警条件触发报警信号。若保持信号依赖于二层IIC，则在IIC失效的情况下，两个报警条件无法触发报警，影响操作员对故障报警的响应和处理。

上述功能对应的一层逻辑应作以下修改：来自二层IIC的“不闭锁”信号应在一层作保持逻辑；一层对来自二层IIC的指令只取其脉冲指令。这样，在二层IIC失效情况下，“不闭锁”状态由一层RS触发器保持，不会影响报警信号的产生。组态逻辑等效的功能如图2所示。

图2 组态逻辑等效的功能图

2 改进的IIC/BUP闭锁逻辑及接口设计

核电站的主控室以基于IIC的全功能操作员工作站为主要控制手段，辅以基于常规技术的BUP作为应对IIC失效的多样化后备[7]。正常情况下，操作员通过主控制室IIC系统实现对电厂运行的监视和控制。在IIC控制模式时，需要实现以下功能。

①BUP上的控制功能被抑制(有特殊要求的控制器除外)。

②BUP上的信息功能可用，可通过试灯按钮对BUP上的指示灯进行测试。

③BUP上的报警功能可用，但报警被自动确认和复位，闪烁和声报警功能被抑制。

当IIC系统失效时，操作员将控制权限切换至BUP，在BUP控制模式下实现对电厂的控制。在BUP控制模式时，需要实现以下功能。

①IIC系统处于监视模式或被抑制。

②BUP上的控制功能可用。

③BUP上的信息功能可用。

④BUP上的报警功能可用，需对报警进行手动确认或消音。

在BUP控制模式下，可以维持电厂稳定功率运行，并采取措施恢复IIC系统。如果在4 h内IIC系统恢复，则从BUP控制模式切回IIC控制模式。

在以往项目的一层设计中，当系统处于BUP控制模式时，如果收到IIC指令，一层逻辑仍能继续执行。以往项目中的IIC与BUP切换逻辑如图3所示。

图3 以往项目中的IIC与BUP切换逻辑示意图

以往项目中，为了防止因已失效的IIC发出命令造成误操作，通过关闭一层和二层IIC之间的接口设备(网关)来闭锁IIC指令。此时，IIC系统将失去监视功能。

华龙一号核电项目在BUP盘台上增加了严重事故(severe accident，SA)仪控系统区域，具有独立的切换开关。即存在一种情况:只有SA区域切换到BUP模式，或只有非SA区域切换到BUP模式。这时，如果关闭一层和二层之间的接口设备，则另外一块区域(未切换到BUP模式的区域)将处于失控状态。

为了解决上述问题，改进方案中在一层逻辑中增加了IIC/BUP闭锁逻辑。在所有与IIC有接口的算法块中，都增加了IIC/BUP切换输入参数。当模板处于BUP控制模式时，IIC指令被闭锁；同时，将当前IIC/BUP状态上送二层IIC，在IIC的相应设备上显示当前状态，并通过控制操作员站的权限，禁用所有IIC操作。改进的IIC与BUP切换逻辑如图4所示。

图4 改进的IIC与BUP切换逻辑示意图

3 改进的KC接口

KC是IIC上的选择开关，用于在多个模式中作出选择。IIC上的选择开关如图5所示。在IIC控制模式下，该设备控制功能可用。当按下一个模式按钮时，指令发给一层，同时指针指向当前选择的模式，用来指示当前模式状态。

图5 IIC上的选择开关

与KC相对应的BUP设备为选择开关。BUP上的选择开关如图6所示。在BUP控制模式下，该设备控制功能可用。通过下方按钮作出选择，将指令发给一层，同时上方指示灯显示当前选择的模式。

图6 BUP上的选择开关

在以往的项目中，BUP的模式状态跟踪IIC的模式状态，但IIC的模式状态不跟踪BUP的模式状态。因此，存在一种情况：在IIC模式下选择了模式1；在IIC切换到BUP后，在BUP模式下选择了模式2；当IIC系统恢复，从BUP模式切换回IIC模式后，IIC上仍然指示模式1。如果KC发出的是保持命令，则一层逻辑跳回模式1，对当前控制状态造成扰动。同时，错误的状态指示也会造成操作员作出错误判断，发出错误指令。

针对以上问题，改进方案在KC模板上增加了当前状态反馈输入参数，将当前所选择的模式连到该参数并上送IIC显示。即使在BUP控制模式下，IIC处于监视模式，所选择的模式仍能在IIC正确地显示。

以化学和容积控制系统下泄控制阀RCV013VP为例。该调节阀有两种不同的调节模式：稳压器为双相时，RCV013VP调节孔板下游的压力，实现下泄流的二次降压，使其低于净化系统的工作压力；稳压器为水实体时，RCV013VP用来控制反应堆冷却剂系统的压力。为此，两种模式使用不同的调节单元。RCS控制模式下调节单元比RCV调节单元具有更快的响应速度[8]。下泄控制阀RCV013VP功能图如图7所示。

图7 下泄控制阀RCV013VP功能图

下泄控制阀RCV013VP逻辑组态如图8所示。图8中：KC模块接收来自IIC的指令，参与RS触发器逻辑。将RS触发器的结果(即当前的“RCS控制模式/RCV控制模式”状态)送回给KC模块，用于上送IIC显示。这样，即使在BUP控制模式下，“RCS控制模式/RCV控制模式”发生了变化，IIC在监视模式下也能显示正确的状态，切回IIC控制模式时，不会影响当前状态和造成操作员的错误判断。

图8 下泄控制阀RCV013VP逻辑组态

4 结论

本文论述了为防止二层人机接口失效给电厂运行造成的风险，在一、二层接口设计中作出的改进。一层应接收二层脉冲指令，而不能让二层的保持指令直接参与一层逻辑，防止二层失效对一层现有状态造成影响。在BUP控制模式时，应在一层逻辑中闭锁IIC指令，防止在IIC失效状态下发出的无效指令。在选择开关KC模块上增加输入参数，将一层的当前模式连入该参数并上送IIC显示，防止在IIC/BUP控制状态切换时发出错误指令或造成操作员误判。该研究为核电或其他工业控制系统的一、二层接口设计提供了借鉴和参考，并已在华龙一号核电机组DCS系统的工程实施中得到应用和验证。