周健文 郑明光 刘 凯

(上海核工程研究设计院，上海 200233)

0 引言

仪表和控制系统是核电厂关键的综合系统之一，对确保核电厂的安全、经济运行起着至关重要的作用。随着数字化技术的飞速发展，在新建设的核电厂中，都首选数字化仪控系统。相对于传统模拟系统，数字化仪控系统能提供更加丰富的信息给操纵员决策。但大量信息在增加信息的广度和深度时，也增加了操纵员的负担，容易导致人因失误，给核电厂的安全、经济运行带来挑战。一个有效的应对手段是根据核电厂的设计特点和运行特性，通过精心设计核电厂操纵员支持系统，方便操纵员获得关键信息，降低工作负荷，避免不必要的人工分析;在增加有效信息的同时降低信息的复杂度，从而为操纵员更精准地运行核电厂提供良好的人机环境。

1 操纵员支持系统简介

核电厂操纵员支持系统在核电厂仪控系统中的定位如图1 所示。

图1 核电厂操纵员支持系统定位图Fig.1 Placement of NPP operator support system

操纵员支持系统的发展主要包括了20 世纪发展的堆芯监督系统、报警监督系统、安全参数显示系统、临界安全功能监督系统等［1］，以及近年来随着计算机技术飞速进步而发展起来的计算机化应急操作规程系统、核电厂故障诊断系统等。

目前，国内外核电厂中设计的典型操纵员支持系统有报警显示系统、计算机化规程系统、核电厂运行支持和监测系统、堆芯在线监测系统等。这些系统为操纵员运行核电厂提供信息支持。［2］

核电厂操纵员支持系统能从多个方面为操纵员运行核电厂提供支持，较大程度地减轻操纵员的工作负荷，其必将成为核电厂数字化仪控系统的一个发展趋势。系统价值和意义如下。

①从海量数据中提取辅助操纵员监视运行电厂的有用信息，对核电厂运行情况进行监督，降低操纵员人因失误的概率，为操纵员准确运行核电厂提供支持;

②使操纵员可以从手动计算中解放出来，减轻操纵员工作负荷，提高工作效率及可靠性、及时性;

③将辅助操纵员运行电厂的计算任务交由独立的计算设备完成，不再占有电厂控制系统控制器资源，降低控制系统的复杂性和性能要求;

④通过合理的架构设计，为持续的功能增加和改进提供良好的扩展性，为今后进一步完善和丰富核电厂操纵员支持系统打下基础。

本文在总结各类核电厂操纵员支持系统相关经验的基础上，探讨在数字化仪控条件下操纵员支持系统的实现技术，重点关注如下几个方面。

①采用成熟通用的技术，在降低实现难度的同时，提高技术的通用性，实现长期可维护性(包括硬件);

②具有良好的架构，易于扩展，且能与各种数字化仪控解决方案配合;

③采用合适的软硬件技术，提高系统的可靠性。

通过采用成熟的计算机技术，研究核电厂操纵员支持系统的架构和关键技术，为数字化条件下的操纵员支持系统的设计和实现提供参考。

2 系统架构

在设计操纵员支持系统的系统架构时，需重点关注技术的成熟性和通用性以及系统的可靠性。本系统架构设计中选用了广泛使用的以太网技术及X86 计算机技术，不仅成熟可靠，而且产品和服务供应非常多，产品和技术的兼容性、长期升级以及备件都不存在问题。

系统架构如图2 所示。

图2 操纵员支持系统架构Fig.2 Architecture of the operator support system

系统架构简要描述如下。

①与DCS 的通信连接。由于常见DCS 均运行于Windows 或Unix 操作系统，支持TCP/IP 方式的通信连接，连接的介质可选择双绞线、铜缆或光纤，因此操纵员支持系统可利用该通信网络接入核电厂DCS，具体的协议可采用DCS 所支持的工业标准或自定义的专用协议(需DCS 厂商开放接口)。

②基于以太网的通信连接。采用成熟的以太网技术，基于TCP/IP 协议通信，连接介质可选双绞线、铜缆或光纤。［3］

③接口服务，实现DCS 系统与操纵员支持系统的数据交互，同时实现两个系统的隔离。接口服务实现的功能包括从电厂实时数据网实时获取核电厂的状态(系统计算所需的状态信息)以及来自操纵员支持系统用户界面的指令，供操纵员支持系统计算和运行控制使用。同时，实时地将操纵员支持系统的计算结果发布出来，从而使用户界面可通过DCS 的通信网络获得计算结果。

④交换机实现各以太网通信设备的连接。

⑤操纵员支持系统计算服务从接口服务获取计算所需的电厂状态信息以及来自用户的指令，经过计算后，产生计算结果，并提交至接口服务。根据需要，计算服务分成多组独立的计算功能，各计算功能可单独启停，具有不同的运行周期，从而实现计算服务的灵活性，满足不同辅助支持功能的要求。

⑥操纵员支持系统管理程序为计算服务的运行管理(包括可调节参数修改、计算服务的启停、计算服务的状态监控等)提供图形用户操作界面。

⑦操纵员支持系统用户界面将计算服务的计算结果以图形方式展示给用户，并为用户发出操作指令，控制相应的计算功能提供图形方式的操作界面。

针对上述系统架构，有大量成熟的硬件产品可以选择，典型的硬件选择如下。

①与DCS 系统的网络连接，可选择双绞线、光纤或铜缆，具体需视DCS 支持的网络通信接口方式。

②以太网连接可选择支持千兆以太网的双绞线。

③接口服务器采用主流的X86 服务器，安装Windows 系列操作系统。

④以太交换机可选择主流的千兆以太网交换机。

⑤计算服务器可采用主流的X86 服务器，根据计算功能对计算能力的要求，可适当选用高规格CPU(高主频、多核)。

⑥管理界面采用LCD 显示器［4］，与操纵员支持系统计算服务器直接连接，相应的系统管理程序软件运行于计算服务器。

⑦用户界面采用主流的X86 商用台式机，可考虑与DCS 操作站共用计算机设备，或采用独立的商用PC 机。

3 系统关键技术研究

3.1 计算服务

计算服务是实现支持功能的核心，运行于计算服务器上，通过系统管理程序调用计算程序实现。计算服务主要由两部分组成:计算功能的逻辑算法部分和控制计算功能运行的系统管理程序。

3.1.1 逻辑算法实现技术

计算程序实现的算法功能是否正确对操纵员的精确、高效操作有直接影响，此外，逻辑算法实现还需考虑实现的难度和效率。传统的人工编码方法无论是开发的效率，还是保证质量的难度，都难以胜任逻辑算法的实现。因此，应采用合适的逻辑算法实现技术。经过研究，可借鉴高安全性软件领域的相关经验，采用具有以下几方面特点的技术实现:

①模块化设计;

②可视化建模(组态);

③完整的验证手段;

④不依赖特定的软、硬件平台;

⑤实现透明，可根据相关标准的要求进行开发和验证，以满足监管机构的要求［5-7］。

基于上述要求，经过广泛的调研和论证，采用商业的图形建模软件作为计算逻辑算法的组态工具。该图形建模软件能以形式化语言对应用算法进行描述，避免了自然语言的歧义可能引入的错误，并提供了仿真测试、覆盖率分析等丰富的验证手段;此外还支持调试，可直接生成认证级、平台无关的C 语言源代码，无需人工编写逻辑算法的代码。

利用该图形建模软件实现计算逻辑算法的基本步骤如图3 所示。

图3 计算逻辑算法实现方法Fig.3 Implementation methods of computational logic algorithm

3.1.2 系统调度程序

采用成熟、易用的. net 技术可以很方便地在Windows 平台下集成所开发的计算程序，并提供实用的管理功能。系统管理程序从接口服务器读取数据，提供给集成的计算程序进行数据处理，再将结果提交至接口服务器;同时还提供监控调度管理功能，用于系统的管理和维护。

为了便于使用和维护，计算程序管理程序应具有动态管理的功能，支持计算功能的暂停、重启、参数设置，甚至是在线升级。

3.2 接口服务

为了避免操纵员支持系统对电厂实时数据网的影响，必须在两个系统间进行隔离，典型的做法是通过接口服务器进行数据中转。接口服务需实现以下功能:

①支持多种通信协议，可从电厂实时数据网读取所需的电厂状态数据及操纵员指令;

②提供数据服务，允许电厂实时数据网主动获取计算程序的处理结果，或向电厂实时数据网写入计算程序的处理结果;

③实现操纵员支持系统与电厂实时数据网的逻辑隔离甚至是物理隔离(通过光电隔离)［8］。

接口服务可采用成熟可靠的数据库作为主要的数据通信技术，并结合电厂实时数据网的特定通信协议要求进行定制。接口服务还需采取必要的安全控制手段，防止通过操纵员支持系统对电厂DCS 系统的非法访问。

3.3 人机界面

操纵员支持系统的界面包括用户界面和运行管理界面，为系统的计算结果监控和运行控制提供直观易用的接口［9］。人机界面需重点考虑实现的难度及用户友好性。

3.3.1 用户界面

操纵员支持系统用户界面为操纵员支持系统的计算结果显示和用户指令输入提供直观的图形界面，为了与DCS 系统分离，应避免直接将用户界面与其他电厂监控界面并在一起。可采用.net 技术开发与操纵员支持系统提供的功能配套的用户界面。用户界面通过DCS 网络，从接口服务器读取计算结果，以直观的方式显示，并将用户的指令通过DCS 网络写入到接口服务器，控制操纵员支持系统的计算。

界面的设计可参照核电厂DCS 的风格，并充分考虑人因相关的要求。

3.3.2 运行管理界面

运行管理界面作为系统管理程序功能的一部分实现，可采用.net 技术开发，为系统计算的运行管理(包括可调节参数修改、计算的启停、计算的状态监控等)提供友好的图形用户操作界面。

在设计界面时，需充分考虑计算功能的灵活性和扩展性，不应设计成固定的界面，而应根据所加载的计算功能，动态呈现界面。

3.4 系统可靠性

操纵员支持系统采用成熟的商用计算机设备实现，其优点是计算能力强大、成本低廉。但必须充分考虑系统的可靠性，避免在电厂正常运行时由于操纵员支持系统的故障对操纵员的正常运行造成影响。为了提高操纵员支持系统的可靠性，除了采用高质量的设备外，可从硬件和软件两个角度进行考虑:

①采用双机热备份的策略，可确保某一硬件故障时热备的硬件可无扰地投入，对操纵员的正常使用不产生影响，同时故障设备可在线替换和修复;

②采用安全级(如IEC 62138 对应的C 级要求)仪控应用软件的标准，指导和规范操纵员支持系统的软件研制，通过完整的过程控制，确保软件的质量达到安全级软件相当的质量水平，提高系统可靠性［10］。

4 实施方案

根据上述系统架构和关键技术，以某种计算功能为例，对核电厂操纵员支持系统进行原型开发，主要的开发和验证要点描述如下。

4.1 图形建模及测试

基于模块化设计，采用图形建模软件对计算程序逻辑组态，最终模型(示例)如图4 所示。

图4 组态模型Fig.4 Configuration model

在对模型进行测试时，为了保证测试的充分性，要求所有的需求必须完备地被一系列测试用例覆盖，即要求模型中的任何一个分支可能都需要进行测试，以此来检测模型中的非预期功能。在图形建模工具中，可通过模型覆盖率分析对测试的完备性进行检查。

4.2 接口服务

接口服务采用MySql 数据库，每个数据具有四个字段，分别是名称、值、数据质量、数据质量原因。

4.3 用户界面

在计算程序启动运行后，计算程序将通过接口服务器读取程序计算所需的输入信号，如反应堆冷却剂平均宽量程温度等(接口服务器通过电厂网络通信从电厂实时数据网上按照一定的频率获取这些数据)，通过计算服务，得到相应的输出信号，并将关键信息在用户界面上显示。

4.4 系统管理程序

系统管理程序界面包括程序加载、程序启停、参数维护等多个界面。其中，程序加载可方便加载新的应用程序，以此提高系统的可扩展性;程序启停可启动或停止一个或多个程序;参数维护可对程序的可调节参数和不可调节参数进行修改维护。

5 结束语

操纵员支持系统能有效地从众多信息中及时、有针对性地获取核电厂运行所需的信息，显著降低操纵员的工作负荷，提高核电厂的安全性和经济性。本文研究了实现操纵员支持系统所需的关键技术，并以某一具体的计算程序为例对原型进行了验证，证明该方案的可行性。希望本文的内容可为我国的核电厂操纵员支持系统的研究、设计和实现提供参考。

［1］ 张源芳.计算机化的核电厂操纵员支持系统［J］. 核动力工程，1997，18(2):163 -169.

［2］ 张淑慧，任永忠. AP1000 核电厂仪控系统介绍［J］. 自动化仪表，2010，31(10):48 -51.

［3］ 赵先国，张敏. ALSTOM 汽机控制系统在岭澳二期核电站中的应用［J］.自动化仪表，2013，34(2):61 -64.

［4］ 马建涛，肖英，刘永伟. CRT 与LCD 显示器的性能分析［J］. 科技信息，2007，19(18):314，340.

［5］ IEC 61499 -1 Function blocks for industrial process measurement and control systems，“architecture”international electro-technical commission［S］.2005.

［6］ IEC 61499 -2 Function blocks for industrial process measurement and control systems，“software tools requirements”international electro-technical commission［S］.2005.

［7］ IEEE 830 IEEE recommended practice for software requirements specifications［S］.1998.

［8］ NUREG-0700 Human-system interface design review guidelines［S］.2002.

［9］ IEC 62138 Nuclear power plants-instrumentation and control important for safety-software aspects for computer-based systems performing category B or C functions［S］.2004.

［10］王珺，李立新，李福林.物理隔离和网闸的技术原理浅析［J］.微计算机信息，2007，23(24):53 -55.