基于軟件聯(lián)鎖的核電廠儀控系統(tǒng)分析

劉華，陳柯，黃奇

（1.南華大學(xué)電氣工程學(xué)院，湖南 衡陽 421001；2.中國核動力研究設(shè)計院，四川 成都 610023）

基于軟件聯(lián)鎖的核電廠儀控系統(tǒng)分析

劉華1，陳柯2，黃奇2

（1.南華大學(xué)電氣工程學(xué)院，湖南 衡陽 421001；2.中國核動力研究設(shè)計院，四川 成都 610023）

摘 要：核電站儀控系統(tǒng)是安全關(guān)鍵系統(tǒng)，控制聯(lián)鎖能保證系統(tǒng)的可用性。針對核電廠緊急停堆子系統(tǒng)中的聯(lián)鎖應(yīng)用，將停堆規(guī)則與停堆設(shè)備、信號抽象為邏輯與集合的復(fù)合關(guān)系，建立聯(lián)鎖模型，分析聯(lián)鎖模型的理論及工程意義。從軟件指令生命周期角度，通過增加軟件監(jiān)測點(diǎn)，提出可觀測性可糾錯的軟件聯(lián)鎖，完成對硬件與自身的監(jiān)測、糾錯，提高儀控系統(tǒng)的安全預(yù)警能力。

關(guān)鍵詞：核電廠；儀控系統(tǒng)；緊急停堆；軟件聯(lián)鎖

0　引言

聯(lián)鎖是為了保證系統(tǒng)安全，通過技術(shù)方法，使不同工況、不同設(shè)備、不同信號之間按一定程序、一定條件建立起的既相互聯(lián)系，而又制約的關(guān)系，這種關(guān)系即聯(lián)鎖[1]。聯(lián)鎖在自動化領(lǐng)域的應(yīng)用，多為控制聯(lián)鎖，即某一參數(shù)達(dá)到規(guī)定值或某一設(shè)備啟、停或開、關(guān)時，聯(lián)動或閉鎖對其他設(shè)備、信號的響應(yīng)與控制[2]。

聯(lián)鎖在工業(yè)上的應(yīng)用，至今已有100多年的歷史，經(jīng)歷了機(jī)械聯(lián)鎖、電機(jī)聯(lián)鎖、電氣聯(lián)鎖、電氣集中聯(lián)鎖和計算機(jī)聯(lián)鎖的發(fā)展過程[3]。聯(lián)鎖包括閉鎖、恢復(fù)兩個基本控制動作[4]。閉鎖指通過特定的閉鎖信號，完成閉鎖對應(yīng)的設(shè)備動作，即不再響應(yīng)相關(guān)設(shè)備?；謴?fù)動作實(shí)質(zhì)上就是解除閉鎖，是閉鎖的逆過程。AP1000里，允許閉鎖又分為允許手動閉鎖和自動閉鎖兩類[5]。解除閉鎖即與恢復(fù)相一致。

隨科學(xué)技術(shù)的進(jìn)步，舊的聯(lián)鎖設(shè)備不斷被安全可靠性更高、操縱和維護(hù)更簡單、技術(shù)更先進(jìn)的聯(lián)鎖設(shè)備代替[6]。從發(fā)展角度看，基于高可靠性、高可用性的數(shù)字化儀表控制聯(lián)鎖是發(fā)展的方向和工程實(shí)踐的必然要求[7]。

2　緊急停堆聯(lián)鎖信號的形式化分析

針對計算機(jī)聯(lián)鎖及聯(lián)鎖邏輯的形式化模型，多采用基于UML順序圖[8]、Event-B[9]等方法。UML模型包含有充分的測試信息，可以基于UML模型生成軟件測試用例。Event-B方法適合具有復(fù)雜時序邏輯的控制系統(tǒng)描述與驗(yàn)證，而核電站緊急停堆系統(tǒng)中的聯(lián)鎖信號具有典型的核特色，停堆動作的執(zhí)行也是不可中途暫停、不可逆的，不存在反饋。如圖1，從產(chǎn)生正確的停堆信號，到執(zhí)行恰當(dāng)?shù)耐６褎幼鳎枰獛讉€環(huán)節(jié)。與反應(yīng)堆緊急停堆相關(guān)的重要儀表設(shè)備將物理參數(shù)轉(zhuǎn)化為儀控系統(tǒng)的標(biāo)準(zhǔn)格式，這些物理參數(shù)作為下個環(huán)節(jié)的輸入。

緊急停堆信號集是一組體現(xiàn)核電廠工藝和安全的元素集合，但僅有信號集，只是停堆動作的必要而非充分條件。聯(lián)鎖信號要求與信號集一起，可以看做是信號集的一個子集，經(jīng)過復(fù)雜的停堆規(guī)則判斷，最終觸發(fā)停堆或者不觸發(fā)停堆，構(gòu)成停堆動作及閉鎖停堆、自動恢復(fù)等操作。分析得出，儀表設(shè)備、停堆信號集、聯(lián)鎖、停堆規(guī)則共同構(gòu)成一個嚴(yán)密的整體。

在分析了核電廠緊急停堆子系統(tǒng)中的具體工藝后，建立形式化模型的指導(dǎo)原則就是要將停堆規(guī)則與停堆設(shè)備、信號抽象為邏輯與集合的復(fù)合關(guān)系。與前面描述的形式化模型不同，核電儀控系統(tǒng)的特殊性決定了模型必須采用基于規(guī)則與集合的復(fù)合關(guān)系。聯(lián)鎖控制以聯(lián)鎖信號集的形式，包含在圖1中。

2.1形式化方法一

儀表設(shè)備集合為I，停堆信號集為S，聯(lián)鎖信號集P，停堆規(guī)則為rule。反應(yīng)堆緊急停堆，S 與P依托I，來源于現(xiàn)場儀表。復(fù)雜多樣的rule，反映反應(yīng)堆的具體工況，抽象為直觀的邏輯或門、與門、非門。

(1)粗糙模型

該模型簡單描述了rule動作由儀表設(shè)備集合I，停堆信號集S，聯(lián)鎖信號集P，停堆規(guī)則rule共同決定。

圖1　緊急停堆聯(lián)鎖框圖Fig.1 The block diagram of emergency shutdown interlocking

(2)精細(xì)模型

第1類停堆信號，只與儀表設(shè)備相關(guān)，公式(2)即表示了這種聯(lián)鎖信號與儀表設(shè)備的對應(yīng)關(guān)系。

第2類停堆信號，既與儀表設(shè)備相關(guān)，又與聯(lián)鎖信號相關(guān)，公式(3)即表示了這種對應(yīng)關(guān)系。

將停堆信號與停堆規(guī)則進(jìn)行邏輯判決，符合規(guī)則，即形成停堆動作。停堆信號應(yīng)該是第1類、第2類停堆信號的并集。將式(2)和式(3)代入式(4)，得到停堆動作產(chǎn)生的完整集合表達(dá)式。

(3)模型的具體實(shí)例和說明

2.2形式化方法二

控制邏輯轉(zhuǎn)變成簡潔清晰的布爾代數(shù)，利用與門、或門、非門及N取M判決等實(shí)現(xiàn)控制規(guī)則。IF THEN ELSE 的結(jié)構(gòu)，也構(gòu)成了與形式化方法一的互補(bǔ)。

2.3形式化模型的意義

通過對聯(lián)鎖控制的分析，抽象出上述的緊急停堆聯(lián)鎖模型，有助于抽象出控制邏輯，可以快速得到聯(lián)鎖控制的具體范圍，方便設(shè)計階段的功能完整性分析、安全完整性驗(yàn)證，并作為儀控系統(tǒng)驗(yàn)證與確認(rèn)的分析基礎(chǔ)。

3　基于可觀測可糾錯的軟件聯(lián)鎖

數(shù)字化儀控系統(tǒng)有大量的軟件和硬件資源。軟件和硬件都存在可靠性還是安全性的問題。通過硬件冗余可以在一定程度上滿足量化指標(biāo)的要求，但是軟件和硬件的交互問題、軟件自身的穩(wěn)定性等促使軟件必須要有自檢、及時反映硬件故障的能力。軟件聯(lián)鎖的實(shí)質(zhì)是一類基于對自身和硬件的監(jiān)測，儀控系統(tǒng)所做出的正確的軟件判斷、檢錯、糾錯等動作。

3.1軟件指令生命周期

軟件指令生命周期定義：核電站數(shù)字化儀控系統(tǒng)中，由于工況及具體物理狀態(tài)的控制要求，儀控系統(tǒng)手動或自動產(chǎn)生操作指令，從指令的激發(fā)產(chǎn)生、發(fā)出、到達(dá)執(zhí)行設(shè)備、設(shè)備開始執(zhí)行指令直到指令動作結(jié)束。整個流程即儀控系

統(tǒng)軟件指令生命周期。

數(shù)字化儀控系統(tǒng)，除了少數(shù)重要功能仍然使用硬接線，有一部分指令是基于軟件形式的，圖2是軟件指令的整個生命周期。命令激發(fā)態(tài)如果成立，將生成軟件形式的儀控系統(tǒng)指令，即軟指令。通過聯(lián)鎖1環(huán)節(jié)，檢查是否符合控制聯(lián)鎖的閉鎖及恢復(fù)功能。如果符合，軟指令轉(zhuǎn)變?yōu)檎降膬x控系統(tǒng)指令發(fā)出。此時，指令發(fā)送到執(zhí)行器，執(zhí)行器接收到硬指令。通過聯(lián)鎖2環(huán)節(jié)，檢查命令發(fā)送是否及時，是否符合時間約束。執(zhí)行器依據(jù)硬指令，執(zhí)行相應(yīng)動作，動作完成，指令周期到此結(jié)束。通過聯(lián)鎖3環(huán)節(jié)，檢查動作執(zhí)行是否充分，是否結(jié)束過快，是否開始太晚等。

3.2不可觀測的軟件風(fēng)險傳遞

圖3描述了一個不具有可觀測性的儀控系統(tǒng)框圖。軟件風(fēng)險在軟件內(nèi)部，經(jīng)過若干環(huán)節(jié)，傳遞到硬件，才能通過硬件顯性地觀測到系統(tǒng)問題，觀測到故障的時間點(diǎn)為TH，由于沒有軟件聯(lián)鎖的狀態(tài)監(jiān)測，無法定位風(fēng)險的產(chǎn)生區(qū)域、無法分辨具體原因，只能初步認(rèn)為是硬件原因。

3.3可觀測的軟件風(fēng)險傳遞

圖4(1)是一個具有可觀測性的軟件風(fēng)險監(jiān)測框圖。描述了軟件風(fēng)險在軟件內(nèi)部，經(jīng)過若干環(huán)節(jié)，傳遞到硬件，通過硬件顯性地觀測到系統(tǒng)問題，觀測到故障的時間點(diǎn)為TH，由于有基于軟件聯(lián)鎖的狀態(tài)監(jiān)測，在軟件內(nèi)部運(yùn)行的環(huán)節(jié)1、2、3對應(yīng)的軟件聯(lián)鎖判決S1、S2、S3，可以實(shí)時監(jiān)控軟件風(fēng)險在環(huán)節(jié)1、2、3的傳遞。軟件聯(lián)鎖判決S1、S2、S3對應(yīng)的時間點(diǎn)為T1、T2、T3。增加軟件聯(lián)鎖環(huán)節(jié)，就是增加了新的軟件觀測點(diǎn)，可以提前發(fā)現(xiàn)軟件的故障，并且依據(jù)時間點(diǎn)的具體數(shù)值，定位軟件故障的位置或區(qū)域。

圖2　軟件指令的生命周期Fig.2 The life cycle of software instructions

圖3　不可觀測的軟件風(fēng)險序列Fig.3 Unobservable sequence of software risk

圖4　儀控系統(tǒng)的軟件風(fēng)險傳遞Fig.4 Risk transfer for software of instrument control system

如果考慮聯(lián)鎖判決S1、S2、S3的主動糾錯機(jī)制，例如S1不但可以發(fā)現(xiàn)環(huán)節(jié)1之前引入的軟件風(fēng)險，還能糾正進(jìn)入環(huán)節(jié)1之后的軟件指令。S2、S3依次類推。如圖4(2)所示，構(gòu)成一個可觀測可糾錯的軟件風(fēng)險序列。

工程應(yīng)用：反應(yīng)堆停堆斷路器停堆邏輯表決失效后的處理。4取2表決系統(tǒng)表決已經(jīng)失效，軟件聯(lián)鎖及時通過狀態(tài)監(jiān)控，提前啟動手動棒控操作，避免反應(yīng)堆物理參數(shù)超過閾值后，才被感知。

3.4無軟件聯(lián)鎖的系統(tǒng)監(jiān)控

圖5描述儀控系統(tǒng)中無軟件聯(lián)鎖的軟、硬件監(jiān)控。軟件序列S1、S2、S3，硬件序列H1、H2、H3，相互各自獨(dú)立。由于沒有(S1, H1)、(S2, H2)、(S3, H3)三個聯(lián)鎖監(jiān)控，硬件序列的故障或風(fēng)險問題只能到最后時間點(diǎn)TH，才被觀測到。這時候故障才被反饋到軟件環(huán)節(jié)，軟件在時間點(diǎn)TH才響應(yīng)。同理，錯誤的軟件指令及不恰當(dāng)指令，只有到時間點(diǎn)TH才最終顯性地作用在硬件上，被觀測到。時間點(diǎn)TH之前，錯誤指令已經(jīng)作用在硬件上了，但是缺乏聯(lián)鎖控制機(jī)制，使得軟硬件融合狀態(tài)是不可觀測的，到了時間點(diǎn)TH，被積累的錯誤作用在硬件上，最終被觀測到。

3.5軟件對硬件的聯(lián)鎖監(jiān)控

圖6描述儀控系統(tǒng)中軟件對硬件的實(shí)時聯(lián)鎖監(jiān)控。軟件序列S1、S2、S3，硬件序列H1、H2、H3。(S1, H1)、(S2, H2)、(S3, H3)構(gòu)成三個軟件對硬件的聯(lián)鎖監(jiān)控。以(S1, H1)為例，S1已經(jīng)融合時間延遲規(guī)則、物理閾值判決等基本模塊。理想情況，硬件的H1、H2、H3都運(yùn)行正確，軟件聯(lián)鎖監(jiān)控就不做出多余動作。若H1出現(xiàn)時間延遲過長，既可以報警，也可以利用聯(lián)鎖機(jī)制，告知S2，讓S2對H2作相應(yīng)的調(diào)整，一定程度上彌補(bǔ)、抵消H1的延遲影響。聯(lián)鎖監(jiān)控，實(shí)現(xiàn)了序列中相鄰環(huán)節(jié)軟件硬件前后級的協(xié)調(diào)，采用報警、協(xié)調(diào)糾正等方式將風(fēng)險及時發(fā)現(xiàn)、及時糾正。

工程應(yīng)用1：停堆指令發(fā)出后，針對棒位指示失效的情況?？刂瓢袈浒暨^程中，實(shí)際已卡棒，儀控顯示卻落棒正常。停堆指令發(fā)出后，控制棒開始下落，通過軟件聯(lián)鎖預(yù)設(shè)的時間約束，對落棒是否到位、是否太慢作出軟件層面的趨勢判斷和提前預(yù)警。防止棒位指示的失效，能對應(yīng)該停堆而未停堆的預(yù)期瞬態(tài)作出提前預(yù)警。

工程應(yīng)用2：針對控制棒運(yùn)行位置顯示不準(zhǔn)確的情況。棒位指示值與棒位實(shí)際值的偏差超過誤差允許范圍，通過軟件狀態(tài)監(jiān)測中的棒位運(yùn)行位置計算值作為軟件聯(lián)鎖的基準(zhǔn)參考，及時在線校正錯誤的硬件指示，并提前報警，防止偏差進(jìn)一步積累放大?；诖耍瑢?shí)現(xiàn)軟件對硬件的實(shí)時監(jiān)測。

圖5　無軟件聯(lián)鎖的系統(tǒng)監(jiān)控Fig.5 System monitoring with no software interlocking

圖6　軟件對硬件的實(shí)時聯(lián)鎖監(jiān)控Fig.6 Hardware real-time interlock controlled by software

4　結(jié)論

在核電站儀控系統(tǒng)中，大量儀表信號構(gòu)成集合，通過與閾值的比較，觸發(fā)停堆操作，為了減少不必要的停堆操作，防止誤操作，工程上采用控制聯(lián)鎖功能。通過建立聯(lián)鎖模型，可以衡量不同堆型核電站控制的復(fù)雜度，并縮小測試用例的空間范圍，為自動生成測試用例提供基礎(chǔ)。

利用數(shù)字化儀控系統(tǒng)中豐富的軟件資源，從軟件指令生命周期角度，通過增加軟件監(jiān)測點(diǎn)，補(bǔ)充軟件序列與硬件序列對應(yīng)，形成可觀測性可糾錯的軟件聯(lián)鎖，完成對硬件與自身的監(jiān)測、糾錯，可以提高儀控系統(tǒng)的安全預(yù)警能力。軟件聯(lián)鎖應(yīng)用到反應(yīng)堆緊急停堆系統(tǒng)中，可以快速的觀測、定位、糾正軟硬件故障，提升了作為安全關(guān)鍵系統(tǒng)的儀控系統(tǒng)的可觀測性和可糾錯性。

參考文獻(xiàn)：

[1]王小亮, 劉彬, 王春露.云計算可信機(jī)制的有效性評估方法研究[J].新型工業(yè)化, 2012, 2(12): 47-55.WANG Xiaoliang, LIU Bin, WANG Chunlu.Quantization and Assessment the Effectiveness of Cloud Trusted Mechanism[J].The Journal of New Industrialization, 2012, 2(12): 47-55.

[2]QIAN X, LU D, YU Y.Design and Optimization of AP1000 Passive Residual Heat Removal System Based on Fault Tree Analysis[J].Atomic Energy Science and Technology, 2012, 8: 006.

[3]楊仁建.儀表聯(lián)鎖設(shè)計與裝置安全運(yùn)行[J].自動化博覽, 2013(1): 107-109.Yang Renjian.Instrumentation interlocking design and safe operation of device[J].Automation expo, 2013(1): 107-109.

[4]Rao S, Vinod G, Sarkar P K, et al.Application of PSA techniques to synchrotron radiation source facilities[J].Indian Journal of Pure and Applied Physics, 2012, 50(11): 776-781.

[5]Valkonen J, Karanta I, Koskimies M, et al.NPP Safety Automation Systems Analysis[J].2008.

[6]車皓, 費(fèi)云艷, 王永強(qiáng).國內(nèi)某核電站主泵的控制聯(lián)鎖邏輯[J].電氣應(yīng)用, 2013, 6: 015.Che Hao,Fei Yunyan,Wang Yongqiang.The main pump control interlock logic of a domestic nuclear [J].The applications of Electrical, 2013, 6: 015.

[7]彭鑫, 譚彰, 黃文君, 等.基于Android 的工業(yè)控制監(jiān)控軟件設(shè)計[J].新型工業(yè)化, 2012, 2(5)：32-38.Peng Xin, Tan Zhang, Huang Wenjun, et al.Design of Control System Mobile Monitoring Software Based on Android[J].The Journal of New Industrialization, 2012, 2(5): 32-38.

[8]Bae H, Kim Y, Baek G, et al.Diagnosis of Turbine Valves in the Kori Nuclear Power Plant Using Fuzzy Logic and Neural Networks[M]//Advances in Neural Networks–ISNN 2007.Springer Berlin Heidelberg, 2007: 641-650.

[9]Doa G, Kimb S, Leeb Y, et al.A Preliminary Study on the Application of System Dynamics Methodology to Organizational Safety in Nuclear Power Plants: Learning from Past Models[J].

An Analysis of the Instruments and Control System in Nuclear Power Plant Based on Software Interlocking

LIU Hua1, CHEN Ke2, HUANG Qi2
(1.School of Electrical Engineering, University of South China, Hengyang Hunan 421001, China; 2.Nuclear Power Institute of China, Chengdu Sichuan 610041, China)

Citation: LIU Hua, CHEN Ke, HUANG Qi.An Analysis of the Instruments and Control System in Nuclear Power Plant Based on Software Interlocking [J].The Journal of New Industrialization, 2015, 5(6): 27?32.

Abstract:Instrument and control system of the nuclear power plant is a critical system for the sake of safety.The system’s availability is maintained by control interlocking.As for the interlocking model of the emergency shutdown subsystem, the shutdown rules, devices and signals are abstracted into the complex relationship of logic and sets.Thus the interlocking model is established and the theoretical and engineering significance of interlocking model is analyzed.Then the observable corrective software interlocking is proposed through the increasing of the monitoring points from the aspect of the life cycle of software instruction.As a result, the observation and the error correction of the hardware and the interlocking are realized, improving the security warning capability of the instrument and control system.

Keywords:nuclear power plant; instrumentation & control system; emergency shutdown, software interlocking

作者簡介：劉華(1979-)，男，湖南衡陽人，講師，工學(xué)碩士,主要研究方向：儀控系統(tǒng)及安全分析；陳柯(1980-)，男，漢族，四川簡陽人，工程師，主要研究方向：核電站儀控的設(shè)計。

*基金項(xiàng)目：中核集團(tuán)核設(shè)備運(yùn)行狀態(tài)監(jiān)測技術(shù)重點(diǎn)學(xué)科實(shí)驗(yàn)室項(xiàng)目資助;湖南省教育廳科學(xué)研究課題14C0972

本文引用格式：劉華，陳柯，黃奇.基于軟件聯(lián)鎖的核電廠儀控系統(tǒng)分析[J].新型工業(yè)化，2015，5(6)：27-32 DOI：10.3969/j.issn.2095-6649.2015.06.05