一種適用于核電站應急指揮系統(tǒng)的軟件架構(gòu)

北京廣利核系統(tǒng)工程有限公司 由玉偉，傅春霞，胡俊，趙慧麗

1 概述

核事故是指大型核設施（例如核燃料生產(chǎn)廠、研究堆、核電廠、核動力艦船及后處理廠等）發(fā)生的意外事件，可能造成廠內(nèi)人員受到放射損傷和放射性污染。嚴重時，放射性物質(zhì)泄漏到廠外，污染周圍環(huán)境，對公眾健康造成危害。

核事故應急是針對可能發(fā)生的核事故，進行控制、緩解、減輕核事故后果而采取的緊急行動。

核電站核事故應急涉及國家、地方政府、核電站等各個層面的核應急單位，為了將各級單位完善地整合起來，實現(xiàn)不同應急狀態(tài)下有效地應急聯(lián)動與應急處理，國家從法律、法規(guī)、導則、國標等方面進行了詳細的規(guī)定。

核電站是核事故處理的主體，當事故發(fā)生時，往往面臨時間緊，任務重的情況，為了更加有效地對事故進行處理，電站需要建設自己的應急系統(tǒng)。設計良好的核電站應急系統(tǒng)，能夠緊密貼合應急計劃，有效接收、存儲、分析、處理和發(fā)布來自不同區(qū)域的核電站的各種信息，并在事故突發(fā)期間快速形成準確的應急指揮指令，為應急管理和指揮決策提供強有力的技術(shù)支持，提高應急管理和指揮決策的科學性和時效性。如何設計一個良好的架構(gòu)模型，是系統(tǒng)設計的關(guān)鍵問題。

2 業(yè)務模型

依照《核電廠核事故應急管理條例（HAF002）》以及《GB-T 17680核電廠應急計劃與準備準則》，核電站核事故應急主要處理過程概括來說為：

當應急情況發(fā)生時，核電廠應按照應急計劃中的基本程序，立即啟動應急響應活動。在應急響應過程初期，判斷應急響應等級，經(jīng)相關(guān)部門批準，立即啟動應急響應，應急過程中，間隔一定時間根據(jù)所搜集數(shù)據(jù)重新評估應急狀態(tài)等級，并向上級報告，并在經(jīng)過批準后，實施相應應急預案。當核事故已得到控制，而且?guī)缀趸謴偷桨踩珷顟B(tài)，并且滿足相應條件，可以終止應急響應。應急終止后，需要對應急過程中的資料進行整理、總結(jié)及評價，必要時修訂國家核應急預案。應急狀態(tài)終止后，各有關(guān)部門和單位按有關(guān)規(guī)定及時做出書面總結(jié)報告。

當發(fā)生嚴重事故，需要進入場外應急（總體應急）狀態(tài)時，核電廠營運單位向省核應急組織及時提出進入場外應急狀態(tài)的建議；省核應急組織向國家核應急協(xié)調(diào)委提出請求批準進入場外應急狀態(tài)報告；國家核應急協(xié)調(diào)委審批進入場外應急狀態(tài)。在事故情景十分危急時，省核應急組織可先決定進入場外應急狀態(tài)，而后立即向國家核應急協(xié)調(diào)委報告。國家核應急協(xié)調(diào)委及時向國務院報告進入場外應急狀態(tài)，必要時請求協(xié)調(diào)應急響應。

針對上述分析，核電站應急響應過程的業(yè)務模型可以分為三個部分，如圖1所示。

圖1 應急響應過程業(yè)務模型

第一部分：應急信息監(jiān)督，主要是數(shù)據(jù)通訊、數(shù)據(jù)存儲和管理、人機界面顯示等功能。

第二部分：應急輔助分析，主要涉及到電站事故分級、堆芯狀態(tài)判斷、操作干預水平判斷、環(huán)境事故后果評價判斷等專業(yè)的算法模塊，各個模塊之間需要互相通訊。

第三部分：應急響應支持，主要涉及核事故狀態(tài)下的應急干預行動處理。

但是對于不同的核電站，應急業(yè)務還具有如下特點：

不同核電站具有不同的應急計劃，系統(tǒng)所需功能及功能實現(xiàn)細節(jié)并不完全相同；

不同核電站具有不同的應急組織架構(gòu)，使用人員數(shù)量及角色不確定；

應急系統(tǒng)通常用作數(shù)據(jù)采集與監(jiān)控，僅在應急情況或應急演習時才啟動響應；

3 技術(shù)環(huán)境

應急系統(tǒng)的技術(shù)環(huán)境有如下特點：

系統(tǒng)需要與核電站眾多第三方系統(tǒng)進行通訊，這些第三方系統(tǒng)實時性要求不同，程序接口不同，數(shù)據(jù)類型多種多樣；

系統(tǒng)常常需要集成一些專家系統(tǒng)，如堆芯損傷、機組診斷等，并與其進行數(shù)據(jù)交互；

系統(tǒng)通常運行在應急專用網(wǎng)，同時與核電站外部網(wǎng)、廠內(nèi)專用數(shù)據(jù)網(wǎng)絡（如生產(chǎn)網(wǎng)和KNS網(wǎng)等）進行通信；

系統(tǒng)一般規(guī)模不大，大多為幾十臺操作站（秦山約為20臺、紅沿河約30臺），網(wǎng)絡通常與廠級辦公網(wǎng)隔離；

系統(tǒng)的軟件架構(gòu)設計必須針對上述特點進行考慮。

4 軟件架構(gòu)五視圖

應急軟件架構(gòu)是實現(xiàn)功能需求的關(guān)鍵，多視圖方法是業(yè)界廣泛認同的一種架構(gòu)設計思路，具體的多視圖方法種類繁多：

SEI的3視圖法：涉及視圖為模塊視圖、組件-連接器視圖、分配視圖；

西門子的4視圖法：涉及視圖為概念視圖、模塊視圖、代碼視圖、執(zhí)行視圖；

RUP的4+1視圖法：涉及視圖為用例視圖、邏輯視圖、開發(fā)視圖、進程視圖、物理視圖；

其他…

本文采用的五視圖方法是由溫昱先生基于Philippe Kruchten于1995年提出的4+1視圖方法而來[5]，包括五個方面，如圖2所示。

邏輯架構(gòu)：根據(jù)功能及非功能需求，對系統(tǒng)進行劃分。

物理架構(gòu)：描述系統(tǒng)軟硬件之間的關(guān)系。

運行架構(gòu)：描述系統(tǒng)軟件的控制流。

數(shù)據(jù)架構(gòu)：描述系統(tǒng)軟件的數(shù)據(jù)存儲方式。

開發(fā)架構(gòu)：描述系統(tǒng)軟件最終形成的軟件單元模塊，采用的編譯語言及依賴關(guān)系。

4.1 邏輯架構(gòu)

應急系統(tǒng)在不同的核電站常常要面對不同種類的操作系統(tǒng)，不同的第三方應用軟件，不同的業(yè)務流程以及不同的組織架構(gòu)。一個設計良好的系統(tǒng)應該能對這些變化做出快速的反應。

三層SOA（面向服務架構(gòu)）具有松耦合的特性，可以按照模塊化的方式來添加新服務或更新現(xiàn)有服務，以解決新的需要，并可以支持把企業(yè)現(xiàn)有的或已有的應用軟件作為服務，能夠比較好地滿足應急系統(tǒng)需求，如表1所示。

SOA架構(gòu)可以利用JAVA平臺和.NET平臺下的Web service或消息中間件的方式實現(xiàn)。

（1）JAVA平臺

JAVA平臺下實現(xiàn)SOA的技術(shù)有：JMS、EJB，JCA、RM I以及JBI模型，利用這些技術(shù)結(jié)合，可以在JAVA平臺下開發(fā)出靈活強大的SOA架構(gòu)，如圖3所示。

（2）.NET架構(gòu)

圖3 JAVA平臺下的SOA架構(gòu)

微軟對SOA的支撐技術(shù)有ASP.net、Enterprise Service、WCF等，其中WCF是最優(yōu)的技術(shù)。它是由微軟發(fā)展的一組數(shù)據(jù)通信的應用程序開發(fā)接口，是.NET框架的一部分，由.NET Framework3.0開始引入。WCF是一個統(tǒng)一的程序開發(fā)模型，對于數(shù)據(jù)通信提供了最基本最有彈性的支持。

從功能角度看，WCF可以看作是ASMX，.NET Remoting，Enterprise Service，WSE，MSMQ等技術(shù)的并集。利用WCF，可以解決包括安全、可信賴、互操作、跨平臺通信等需求。開發(fā)者不需要再去分別了解.NET Remoting，ASMX等各種技術(shù)。WCF具有以下特點：

統(tǒng)一性：WCF是對于ASMX，.Net Remoting，Enterprise Service，WSE，MSMQ等技術(shù)的整合。由于WCF完全是由托管代碼編寫，因此開發(fā)WCF的應用程序與開發(fā)其它的.Net應用程序沒有太大的區(qū)別。

互操作性：WCF最基本的通信機制是SOAP，只要支持標準的Web Service，可以跨進程、跨機器甚至于跨平臺的通信，例如J2EE應用服務器。

安全與可信賴：添加到SOAP消息中，以用于用戶認證，數(shù)據(jù)完整性驗證，數(shù)據(jù)隱私等多種安全因素。

兼容性：WCF充分地考慮到了與舊有系統(tǒng)的兼容性。安裝WCF并不會影響原有的技術(shù)如ASMX和.Net Remoting。即使對于WCF和ASMX而言，雖然兩者都使用了SOAP，但基于WCF開發(fā)的應用程序，仍然可以直接與ASMX進行交互。

從技術(shù)的角度講，JAVA和.NET沒有優(yōu)劣之分，根據(jù)Evans數(shù)據(jù)公司的調(diào)查結(jié)果，這兩種技術(shù)在SOA總用量中“實際上不分勝負”，且采用JAVA和采用.NET開發(fā)的SOA均能夠?qū)崿F(xiàn)跨平臺和跨系統(tǒng)的支持。

圖4為基于.NET的SOA架構(gòu)技術(shù)方案。

4.2 物理架構(gòu)

圖4 基于.NET的SOA架構(gòu)技術(shù)方案

物理架構(gòu)最重要的就是解決系統(tǒng)的部署問題，對于不同電站來說，其設備、網(wǎng)絡等要求往往也不相同，例如有的要求雙網(wǎng)通訊，有的要求單網(wǎng)通訊，有的要求服務器熱備，有的要求服務器冷備等，基于三層SOA架構(gòu)，一個典型的部署如圖5所示：

圖5 基于三層SOA架構(gòu)的典型

每部分針對的功能如表2所示：

4.3 運行架構(gòu)

基于三層SOA架構(gòu)的應急系統(tǒng)活動流圖如圖6所示：

表2 典型部署中每部分針對的功能

圖6 基于三層SOA架構(gòu)的應急系統(tǒng)活動流程圖

系統(tǒng)流程為：

（1）工程師組態(tài)

系統(tǒng)在工程師站進行數(shù)據(jù)庫、算法、流程圖等的配置，并將配置結(jié)果下裝到web服務器與數(shù)據(jù)服務器。

（2）系統(tǒng)服務啟動

web服務啟動

web服務主要包含接口程序以及相關(guān)服務程序，部署在web服務器，系統(tǒng)啟動后，IIS服務啟動，服務端口開啟監(jiān)聽，隨時處理來自于客戶端的請求。

數(shù)據(jù)服務啟動

數(shù)據(jù)服務分關(guān)系數(shù)據(jù)庫服務和實時數(shù)據(jù)庫服務，部署在數(shù)據(jù)服務器，系統(tǒng)啟動后，啟動相關(guān)服務程序，接收客戶端以及通訊程序的請求。

通訊服務啟動

通訊服務主要負責與應急支持系統(tǒng)通訊，部署在通訊服務器上，系統(tǒng)啟動后，與應急支持系統(tǒng)持續(xù)進行通訊，獲取相關(guān)數(shù)據(jù)。

（3）客戶端應用

客戶端提供主要的人機界面應用程序，其應用過程如下：

在瀏覽器中輸入地址，打開登錄窗口，輸入用戶名和密碼，web服務通過監(jiān)聽來自客戶端的請求對其進行處理，如果是域用戶，則連接域服務器進行驗證，否則登錄驗證服務程序從數(shù)據(jù)庫中讀取數(shù)據(jù)，對用戶名和密碼進行驗證，將驗證結(jié)果返回客戶端。

通過驗證后，應急用戶可以進行應急設施設備管理、應急組織管理、應急演習管理、應急培訓管理、應急文檔管理、應急行動水平查詢及應急狀態(tài)輔助判斷操作，管理員可以進行維護及設置工作。

操作完成后，用戶退出。

4.4 數(shù)據(jù)架構(gòu)

數(shù)據(jù)架構(gòu)要解決的是數(shù)據(jù)的存儲問題，對于應急系統(tǒng)來說，它分為實時數(shù)據(jù)與非實時數(shù)據(jù)，需要根據(jù)情況分別保存在實時數(shù)據(jù)庫與關(guān)系數(shù)據(jù)庫。

4.5 開發(fā)架構(gòu)

在開發(fā)架構(gòu)層面，需要解決從用戶需求到系統(tǒng)開發(fā)技術(shù)選擇的問題，主要內(nèi)容如下：

“邏輯職責”與“程序單元”的映射：將用戶的業(yè)務需求分配到相應的程序單元上。

開發(fā)技術(shù)選型：根據(jù)業(yè)務需求及組織現(xiàn)狀，確定開發(fā)語言、開發(fā)工具等。

“程序單元”間關(guān)系，確定系統(tǒng)架構(gòu)，對公共部分進行整合，保證整體最優(yōu)。

5 結(jié)束語

核電站應急系統(tǒng)在設計時面臨接口眾多，數(shù)據(jù)類型復雜，業(yè)務流程各有不同等特點，廣利核公司基于上述架構(gòu)設計方法設計的Em InfoSys應急指揮系統(tǒng)，具有易于組態(tài)、易于維護、易于修改、操作簡便等優(yōu)點，較好地滿足了不同核電站的應用需要，并已經(jīng)應用到福清核電站，還將應用到海陽、臺山等，為應急狀態(tài)下應急管理以及指揮決策提供有力的支持。

[1] HAF102,國家核安全局核電站設計安全規(guī)定 [S].

[2] HAF002/01,國家核安全局核電站營運單位的應急準備和應急響應[S].

[3] HAF002,國務院核電站核事故應急管理條例[S].

[4] GB-T 17680,核電廠應急計劃與準備準則[S].

[5] 溫昱,軟件架構(gòu)設計[M].北京:電子工業(yè)出版社 2007.