北京廣利核系統(tǒng)工程有限公司 由玉偉，傅春霞，胡俊，趙慧麗

1 概述

核事故是指大型核設(shè)施（例如核燃料生產(chǎn)廠、研究堆、核電廠、核動力艦船及后處理廠等）發(fā)生的意外事件，可能造成廠內(nèi)人員受到放射損傷和放射性污染。嚴(yán)重時，放射性物質(zhì)泄漏到廠外，污染周圍環(huán)境，對公眾健康造成危害。

核事故應(yīng)急是針對可能發(fā)生的核事故，進(jìn)行控制、緩解、減輕核事故后果而采取的緊急行動。

核電站核事故應(yīng)急涉及國家、地方政府、核電站等各個層面的核應(yīng)急單位，為了將各級單位完善地整合起來，實(shí)現(xiàn)不同應(yīng)急狀態(tài)下有效地應(yīng)急聯(lián)動與應(yīng)急處理，國家從法律、法規(guī)、導(dǎo)則、國標(biāo)等方面進(jìn)行了詳細(xì)的規(guī)定。

核電站是核事故處理的主體，當(dāng)事故發(fā)生時，往往面臨時間緊，任務(wù)重的情況，為了更加有效地對事故進(jìn)行處理，電站需要建設(shè)自己的應(yīng)急系統(tǒng)。設(shè)計(jì)良好的核電站應(yīng)急系統(tǒng)，能夠緊密貼合應(yīng)急計(jì)劃，有效接收、存儲、分析、處理和發(fā)布來自不同區(qū)域的核電站的各種信息，并在事故突發(fā)期間快速形成準(zhǔn)確的應(yīng)急指揮指令，為應(yīng)急管理和指揮決策提供強(qiáng)有力的技術(shù)支持，提高應(yīng)急管理和指揮決策的科學(xué)性和時效性。如何設(shè)計(jì)一個良好的架構(gòu)模型，是系統(tǒng)設(shè)計(jì)的關(guān)鍵問題。

2 業(yè)務(wù)模型

依照《核電廠核事故應(yīng)急管理?xiàng)l例（HAF002）》以及《GB-T 17680核電廠應(yīng)急計(jì)劃與準(zhǔn)備準(zhǔn)則》，核電站核事故應(yīng)急主要處理過程概括來說為：

當(dāng)應(yīng)急情況發(fā)生時，核電廠應(yīng)按照應(yīng)急計(jì)劃中的基本程序，立即啟動應(yīng)急響應(yīng)活動。在應(yīng)急響應(yīng)過程初期，判斷應(yīng)急響應(yīng)等級，經(jīng)相關(guān)部門批準(zhǔn)，立即啟動應(yīng)急響應(yīng)，應(yīng)急過程中，間隔一定時間根據(jù)所搜集數(shù)據(jù)重新評估應(yīng)急狀態(tài)等級，并向上級報(bào)告，并在經(jīng)過批準(zhǔn)后，實(shí)施相應(yīng)應(yīng)急預(yù)案。當(dāng)核事故已得到控制，而且?guī)缀趸謴?fù)到安全狀態(tài)，并且滿足相應(yīng)條件，可以終止應(yīng)急響應(yīng)。應(yīng)急終止后，需要對應(yīng)急過程中的資料進(jìn)行整理、總結(jié)及評價(jià)，必要時修訂國家核應(yīng)急預(yù)案。應(yīng)急狀態(tài)終止后，各有關(guān)部門和單位按有關(guān)規(guī)定及時做出書面總結(jié)報(bào)告。

當(dāng)發(fā)生嚴(yán)重事故，需要進(jìn)入場外應(yīng)急（總體應(yīng)急）狀態(tài)時，核電廠營運(yùn)單位向省核應(yīng)急組織及時提出進(jìn)入場外應(yīng)急狀態(tài)的建議；省核應(yīng)急組織向國家核應(yīng)急協(xié)調(diào)委提出請求批準(zhǔn)進(jìn)入場外應(yīng)急狀態(tài)報(bào)告；國家核應(yīng)急協(xié)調(diào)委審批進(jìn)入場外應(yīng)急狀態(tài)。在事故情景十分危急時，省核應(yīng)急組織可先決定進(jìn)入場外應(yīng)急狀態(tài)，而后立即向國家核應(yīng)急協(xié)調(diào)委報(bào)告。國家核應(yīng)急協(xié)調(diào)委及時向國務(wù)院報(bào)告進(jìn)入場外應(yīng)急狀態(tài)，必要時請求協(xié)調(diào)應(yīng)急響應(yīng)。

針對上述分析，核電站應(yīng)急響應(yīng)過程的業(yè)務(wù)模型可以分為三個部分，如圖1所示。

圖1 應(yīng)急響應(yīng)過程業(yè)務(wù)模型

第一部分：應(yīng)急信息監(jiān)督，主要是數(shù)據(jù)通訊、數(shù)據(jù)存儲和管理、人機(jī)界面顯示等功能。

第二部分：應(yīng)急輔助分析，主要涉及到電站事故分級、堆芯狀態(tài)判斷、操作干預(yù)水平判斷、環(huán)境事故后果評價(jià)判斷等專業(yè)的算法模塊，各個模塊之間需要互相通訊。

第三部分：應(yīng)急響應(yīng)支持，主要涉及核事故狀態(tài)下的應(yīng)急干預(yù)行動處理。

但是對于不同的核電站，應(yīng)急業(yè)務(wù)還具有如下特點(diǎn)：

不同核電站具有不同的應(yīng)急計(jì)劃，系統(tǒng)所需功能及功能實(shí)現(xiàn)細(xì)節(jié)并不完全相同；

不同核電站具有不同的應(yīng)急組織架構(gòu)，使用人員數(shù)量及角色不確定；

應(yīng)急系統(tǒng)通常用作數(shù)據(jù)采集與監(jiān)控，僅在應(yīng)急情況或應(yīng)急演習(xí)時才啟動響應(yīng)；

3 技術(shù)環(huán)境

應(yīng)急系統(tǒng)的技術(shù)環(huán)境有如下特點(diǎn)：

系統(tǒng)需要與核電站眾多第三方系統(tǒng)進(jìn)行通訊，這些第三方系統(tǒng)實(shí)時性要求不同，程序接口不同，數(shù)據(jù)類型多種多樣；

系統(tǒng)常常需要集成一些專家系統(tǒng)，如堆芯損傷、機(jī)組診斷等，并與其進(jìn)行數(shù)據(jù)交互；

系統(tǒng)通常運(yùn)行在應(yīng)急專用網(wǎng)，同時與核電站外部網(wǎng)、廠內(nèi)專用數(shù)據(jù)網(wǎng)絡(luò)（如生產(chǎn)網(wǎng)和KNS網(wǎng)等）進(jìn)行通信；

系統(tǒng)一般規(guī)模不大，大多為幾十臺操作站（秦山約為20臺、紅沿河約30臺），網(wǎng)絡(luò)通常與廠級辦公網(wǎng)隔離；

系統(tǒng)的軟件架構(gòu)設(shè)計(jì)必須針對上述特點(diǎn)進(jìn)行考慮。

4 軟件架構(gòu)五視圖

應(yīng)急軟件架構(gòu)是實(shí)現(xiàn)功能需求的關(guān)鍵，多視圖方法是業(yè)界廣泛認(rèn)同的一種架構(gòu)設(shè)計(jì)思路，具體的多視圖方法種類繁多：

SEI的3視圖法：涉及視圖為模塊視圖、組件-連接器視圖、分配視圖；

西門子的4視圖法：涉及視圖為概念視圖、模塊視圖、代碼視圖、執(zhí)行視圖；

RUP的4+1視圖法：涉及視圖為用例視圖、邏輯視圖、開發(fā)視圖、進(jìn)程視圖、物理視圖；

其他…

本文采用的五視圖方法是由溫昱先生基于Philippe Kruchten于1995年提出的4+1視圖方法而來[5]，包括五個方面，如圖2所示。

邏輯架構(gòu)：根據(jù)功能及非功能需求，對系統(tǒng)進(jìn)行劃分。

物理架構(gòu)：描述系統(tǒng)軟硬件之間的關(guān)系。

運(yùn)行架構(gòu)：描述系統(tǒng)軟件的控制流。

數(shù)據(jù)架構(gòu)：描述系統(tǒng)軟件的數(shù)據(jù)存儲方式。

開發(fā)架構(gòu)：描述系統(tǒng)軟件最終形成的軟件單元模塊，采用的編譯語言及依賴關(guān)系。

4.1 邏輯架構(gòu)

應(yīng)急系統(tǒng)在不同的核電站常常要面對不同種類的操作系統(tǒng)，不同的第三方應(yīng)用軟件，不同的業(yè)務(wù)流程以及不同的組織架構(gòu)。一個設(shè)計(jì)良好的系統(tǒng)應(yīng)該能對這些變化做出快速的反應(yīng)。

三層SOA（面向服務(wù)架構(gòu)）具有松耦合的特性，可以按照模塊化的方式來添加新服務(wù)或更新現(xiàn)有服務(wù)，以解決新的需要，并可以支持把企業(yè)現(xiàn)有的或已有的應(yīng)用軟件作為服務(wù)，能夠比較好地滿足應(yīng)急系統(tǒng)需求，如表1所示。

SOA架構(gòu)可以利用JAVA平臺和.NET平臺下的Web service或消息中間件的方式實(shí)現(xiàn)。

（1）JAVA平臺

JAVA平臺下實(shí)現(xiàn)SOA的技術(shù)有：JMS、EJB，JCA、RM I以及JBI模型，利用這些技術(shù)結(jié)合，可以在JAVA平臺下開發(fā)出靈活強(qiáng)大的SOA架構(gòu)，如圖3所示。

（2）.NET架構(gòu)

圖3 JAVA平臺下的SOA架構(gòu)

微軟對SOA的支撐技術(shù)有ASP.net、Enterprise Service、WCF等，其中WCF是最優(yōu)的技術(shù)。它是由微軟發(fā)展的一組數(shù)據(jù)通信的應(yīng)用程序開發(fā)接口，是.NET框架的一部分，由.NET Framework3.0開始引入。WCF是一個統(tǒng)一的程序開發(fā)模型，對于數(shù)據(jù)通信提供了最基本最有彈性的支持。

從功能角度看，WCF可以看作是ASMX，.NET Remoting，Enterprise Service，WSE，MSMQ等技術(shù)的并集。利用WCF，可以解決包括安全、可信賴、互操作、跨平臺通信等需求。開發(fā)者不需要再去分別了解.NET Remoting，ASMX等各種技術(shù)。WCF具有以下特點(diǎn)：

統(tǒng)一性：WCF是對于ASMX，.Net Remoting，Enterprise Service，WSE，MSMQ等技術(shù)的整合。由于WCF完全是由托管代碼編寫，因此開發(fā)WCF的應(yīng)用程序與開發(fā)其它的.Net應(yīng)用程序沒有太大的區(qū)別。

互操作性：WCF最基本的通信機(jī)制是SOAP，只要支持標(biāo)準(zhǔn)的Web Service，可以跨進(jìn)程、跨機(jī)器甚至于跨平臺的通信，例如J2EE應(yīng)用服務(wù)器。

安全與可信賴：添加到SOAP消息中，以用于用戶認(rèn)證，數(shù)據(jù)完整性驗(yàn)證，數(shù)據(jù)隱私等多種安全因素。

兼容性：WCF充分地考慮到了與舊有系統(tǒng)的兼容性。安裝WCF并不會影響原有的技術(shù)如ASMX和.Net Remoting。即使對于WCF和ASMX而言，雖然兩者都使用了SOAP，但基于WCF開發(fā)的應(yīng)用程序，仍然可以直接與ASMX進(jìn)行交互。

從技術(shù)的角度講，JAVA和.NET沒有優(yōu)劣之分，根據(jù)Evans數(shù)據(jù)公司的調(diào)查結(jié)果，這兩種技術(shù)在SOA總用量中“實(shí)際上不分勝負(fù)”，且采用JAVA和采用.NET開發(fā)的SOA均能夠?qū)崿F(xiàn)跨平臺和跨系統(tǒng)的支持。

圖4為基于.NET的SOA架構(gòu)技術(shù)方案。

4.2 物理架構(gòu)

圖4 基于.NET的SOA架構(gòu)技術(shù)方案

物理架構(gòu)最重要的就是解決系統(tǒng)的部署問題，對于不同電站來說，其設(shè)備、網(wǎng)絡(luò)等要求往往也不相同，例如有的要求雙網(wǎng)通訊，有的要求單網(wǎng)通訊，有的要求服務(wù)器熱備，有的要求服務(wù)器冷備等，基于三層SOA架構(gòu)，一個典型的部署如圖5所示：

圖5 基于三層SOA架構(gòu)的典型

每部分針對的功能如表2所示：

4.3 運(yùn)行架構(gòu)

基于三層SOA架構(gòu)的應(yīng)急系統(tǒng)活動流圖如圖6所示：

表2 典型部署中每部分針對的功能

圖6 基于三層SOA架構(gòu)的應(yīng)急系統(tǒng)活動流程圖

系統(tǒng)流程為：

（1）工程師組態(tài)

系統(tǒng)在工程師站進(jìn)行數(shù)據(jù)庫、算法、流程圖等的配置，并將配置結(jié)果下裝到web服務(wù)器與數(shù)據(jù)服務(wù)器。

（2）系統(tǒng)服務(wù)啟動

web服務(wù)啟動

web服務(wù)主要包含接口程序以及相關(guān)服務(wù)程序，部署在web服務(wù)器，系統(tǒng)啟動后，IIS服務(wù)啟動，服務(wù)端口開啟監(jiān)聽，隨時處理來自于客戶端的請求。

數(shù)據(jù)服務(wù)啟動

數(shù)據(jù)服務(wù)分關(guān)系數(shù)據(jù)庫服務(wù)和實(shí)時數(shù)據(jù)庫服務(wù)，部署在數(shù)據(jù)服務(wù)器，系統(tǒng)啟動后，啟動相關(guān)服務(wù)程序，接收客戶端以及通訊程序的請求。

通訊服務(wù)啟動

通訊服務(wù)主要負(fù)責(zé)與應(yīng)急支持系統(tǒng)通訊，部署在通訊服務(wù)器上，系統(tǒng)啟動后，與應(yīng)急支持系統(tǒng)持續(xù)進(jìn)行通訊，獲取相關(guān)數(shù)據(jù)。

（3）客戶端應(yīng)用

客戶端提供主要的人機(jī)界面應(yīng)用程序，其應(yīng)用過程如下：

在瀏覽器中輸入地址，打開登錄窗口，輸入用戶名和密碼，web服務(wù)通過監(jiān)聽來自客戶端的請求對其進(jìn)行處理，如果是域用戶，則連接域服務(wù)器進(jìn)行驗(yàn)證，否則登錄驗(yàn)證服務(wù)程序從數(shù)據(jù)庫中讀取數(shù)據(jù)，對用戶名和密碼進(jìn)行驗(yàn)證，將驗(yàn)證結(jié)果返回客戶端。

通過驗(yàn)證后，應(yīng)急用戶可以進(jìn)行應(yīng)急設(shè)施設(shè)備管理、應(yīng)急組織管理、應(yīng)急演習(xí)管理、應(yīng)急培訓(xùn)管理、應(yīng)急文檔管理、應(yīng)急行動水平查詢及應(yīng)急狀態(tài)輔助判斷操作，管理員可以進(jìn)行維護(hù)及設(shè)置工作。

操作完成后，用戶退出。

4.4 數(shù)據(jù)架構(gòu)

數(shù)據(jù)架構(gòu)要解決的是數(shù)據(jù)的存儲問題，對于應(yīng)急系統(tǒng)來說，它分為實(shí)時數(shù)據(jù)與非實(shí)時數(shù)據(jù)，需要根據(jù)情況分別保存在實(shí)時數(shù)據(jù)庫與關(guān)系數(shù)據(jù)庫。

4.5 開發(fā)架構(gòu)

在開發(fā)架構(gòu)層面，需要解決從用戶需求到系統(tǒng)開發(fā)技術(shù)選擇的問題，主要內(nèi)容如下：

“邏輯職責(zé)”與“程序單元”的映射：將用戶的業(yè)務(wù)需求分配到相應(yīng)的程序單元上。

開發(fā)技術(shù)選型：根據(jù)業(yè)務(wù)需求及組織現(xiàn)狀，確定開發(fā)語言、開發(fā)工具等。

“程序單元”間關(guān)系，確定系統(tǒng)架構(gòu)，對公共部分進(jìn)行整合，保證整體最優(yōu)。

5 結(jié)束語

核電站應(yīng)急系統(tǒng)在設(shè)計(jì)時面臨接口眾多，數(shù)據(jù)類型復(fù)雜，業(yè)務(wù)流程各有不同等特點(diǎn)，廣利核公司基于上述架構(gòu)設(shè)計(jì)方法設(shè)計(jì)的Em InfoSys應(yīng)急指揮系統(tǒng)，具有易于組態(tài)、易于維護(hù)、易于修改、操作簡便等優(yōu)點(diǎn)，較好地滿足了不同核電站的應(yīng)用需要，并已經(jīng)應(yīng)用到福清核電站，還將應(yīng)用到海陽、臺山等，為應(yīng)急狀態(tài)下應(yīng)急管理以及指揮決策提供有力的支持。

[1] HAF102,國家核安全局核電站設(shè)計(jì)安全規(guī)定 [S].

[2] HAF002/01,國家核安全局核電站營運(yùn)單位的應(yīng)急準(zhǔn)備和應(yīng)急響應(yīng)[S].

[3] HAF002,國務(wù)院核電站核事故應(yīng)急管理?xiàng)l例[S].

[4] GB-T 17680,核電廠應(yīng)急計(jì)劃與準(zhǔn)備準(zhǔn)則[S].

[5] 溫昱,軟件架構(gòu)設(shè)計(jì)[M].北京:電子工業(yè)出版社 2007.