劉華，陳柯，黃奇

（1.南華大學電氣工程學院，湖南 衡陽 421001；2.中國核動力研究設計院，四川 成都 610023）

基于軟件聯(lián)鎖的核電廠儀控系統(tǒng)分析

劉華1，陳柯2，黃奇2

（1.南華大學電氣工程學院，湖南 衡陽 421001；2.中國核動力研究設計院，四川 成都 610023）

摘 要：核電站儀控系統(tǒng)是安全關鍵系統(tǒng)，控制聯(lián)鎖能保證系統(tǒng)的可用性。針對核電廠緊急停堆子系統(tǒng)中的聯(lián)鎖應用，將停堆規(guī)則與停堆設備、信號抽象為邏輯與集合的復合關系，建立聯(lián)鎖模型，分析聯(lián)鎖模型的理論及工程意義。從軟件指令生命周期角度，通過增加軟件監(jiān)測點，提出可觀測性可糾錯的軟件聯(lián)鎖，完成對硬件與自身的監(jiān)測、糾錯，提高儀控系統(tǒng)的安全預警能力。

關鍵詞：核電廠；儀控系統(tǒng)；緊急停堆；軟件聯(lián)鎖

0　引言

聯(lián)鎖是為了保證系統(tǒng)安全，通過技術方法，使不同工況、不同設備、不同信號之間按一定程序、一定條件建立起的既相互聯(lián)系，而又制約的關系，這種關系即聯(lián)鎖[1]。聯(lián)鎖在自動化領域的應用，多為控制聯(lián)鎖，即某一參數(shù)達到規(guī)定值或某一設備啟、停或開、關時，聯(lián)動或閉鎖對其他設備、信號的響應與控制[2]。

聯(lián)鎖在工業(yè)上的應用，至今已有100多年的歷史，經歷了機械聯(lián)鎖、電機聯(lián)鎖、電氣聯(lián)鎖、電氣集中聯(lián)鎖和計算機聯(lián)鎖的發(fā)展過程[3]。聯(lián)鎖包括閉鎖、恢復兩個基本控制動作[4]。閉鎖指通過特定的閉鎖信號，完成閉鎖對應的設備動作，即不再響應相關設備?；謴蛣幼鲗嵸|上就是解除閉鎖，是閉鎖的逆過程。AP1000里，允許閉鎖又分為允許手動閉鎖和自動閉鎖兩類[5]。解除閉鎖即與恢復相一致。

隨科學技術的進步，舊的聯(lián)鎖設備不斷被安全可靠性更高、操縱和維護更簡單、技術更先進的聯(lián)鎖設備代替[6]。從發(fā)展角度看，基于高可靠性、高可用性的數(shù)字化儀表控制聯(lián)鎖是發(fā)展的方向和工程實踐的必然要求[7]。

2　緊急停堆聯(lián)鎖信號的形式化分析

針對計算機聯(lián)鎖及聯(lián)鎖邏輯的形式化模型，多采用基于UML順序圖[8]、Event-B[9]等方法。UML模型包含有充分的測試信息，可以基于UML模型生成軟件測試用例。Event-B方法適合具有復雜時序邏輯的控制系統(tǒng)描述與驗證，而核電站緊急停堆系統(tǒng)中的聯(lián)鎖信號具有典型的核特色，停堆動作的執(zhí)行也是不可中途暫停、不可逆的，不存在反饋。如圖1，從產生正確的停堆信號，到執(zhí)行恰當?shù)耐６褎幼?，需要幾個環(huán)節(jié)。與反應堆緊急停堆相關的重要儀表設備將物理參數(shù)轉化為儀控系統(tǒng)的標準格式，這些物理參數(shù)作為下個環(huán)節(jié)的輸入。

緊急停堆信號集是一組體現(xiàn)核電廠工藝和安全的元素集合，但僅有信號集，只是停堆動作的必要而非充分條件。聯(lián)鎖信號要求與信號集一起，可以看做是信號集的一個子集，經過復雜的停堆規(guī)則判斷，最終觸發(fā)停堆或者不觸發(fā)停堆，構成停堆動作及閉鎖停堆、自動恢復等操作。分析得出，儀表設備、停堆信號集、聯(lián)鎖、停堆規(guī)則共同構成一個嚴密的整體。

在分析了核電廠緊急停堆子系統(tǒng)中的具體工藝后，建立形式化模型的指導原則就是要將停堆規(guī)則與停堆設備、信號抽象為邏輯與集合的復合關系。與前面描述的形式化模型不同，核電儀控系統(tǒng)的特殊性決定了模型必須采用基于規(guī)則與集合的復合關系。聯(lián)鎖控制以聯(lián)鎖信號集的形式，包含在圖1中。

2.1形式化方法一

儀表設備集合為I，停堆信號集為S，聯(lián)鎖信號集P，停堆規(guī)則為rule。反應堆緊急停堆，S 與P依托I，來源于現(xiàn)場儀表。復雜多樣的rule，反映反應堆的具體工況，抽象為直觀的邏輯或門、與門、非門。

(1)粗糙模型

該模型簡單描述了rule動作由儀表設備集合I，停堆信號集S，聯(lián)鎖信號集P，停堆規(guī)則rule共同決定。

圖1　緊急停堆聯(lián)鎖框圖Fig.1 The block diagram of emergency shutdown interlocking

(2)精細模型

第1類停堆信號，只與儀表設備相關，公式(2)即表示了這種聯(lián)鎖信號與儀表設備的對應關系。

第2類停堆信號，既與儀表設備相關，又與聯(lián)鎖信號相關，公式(3)即表示了這種對應關系。

將停堆信號與停堆規(guī)則進行邏輯判決，符合規(guī)則，即形成停堆動作。停堆信號應該是第1類、第2類停堆信號的并集。將式(2)和式(3)代入式(4)，得到停堆動作產生的完整集合表達式。

(3)模型的具體實例和說明

2.2形式化方法二

控制邏輯轉變成簡潔清晰的布爾代數(shù)，利用與門、或門、非門及N取M判決等實現(xiàn)控制規(guī)則。IF THEN ELSE 的結構，也構成了與形式化方法一的互補。

2.3形式化模型的意義

通過對聯(lián)鎖控制的分析，抽象出上述的緊急停堆聯(lián)鎖模型，有助于抽象出控制邏輯，可以快速得到聯(lián)鎖控制的具體范圍，方便設計階段的功能完整性分析、安全完整性驗證，并作為儀控系統(tǒng)驗證與確認的分析基礎。

3　基于可觀測可糾錯的軟件聯(lián)鎖

數(shù)字化儀控系統(tǒng)有大量的軟件和硬件資源。軟件和硬件都存在可靠性還是安全性的問題。通過硬件冗余可以在一定程度上滿足量化指標的要求，但是軟件和硬件的交互問題、軟件自身的穩(wěn)定性等促使軟件必須要有自檢、及時反映硬件故障的能力。軟件聯(lián)鎖的實質是一類基于對自身和硬件的監(jiān)測，儀控系統(tǒng)所做出的正確的軟件判斷、檢錯、糾錯等動作。

3.1軟件指令生命周期

軟件指令生命周期定義：核電站數(shù)字化儀控系統(tǒng)中，由于工況及具體物理狀態(tài)的控制要求，儀控系統(tǒng)手動或自動產生操作指令，從指令的激發(fā)產生、發(fā)出、到達執(zhí)行設備、設備開始執(zhí)行指令直到指令動作結束。整個流程即儀控系

統(tǒng)軟件指令生命周期。

數(shù)字化儀控系統(tǒng)，除了少數(shù)重要功能仍然使用硬接線，有一部分指令是基于軟件形式的，圖2是軟件指令的整個生命周期。命令激發(fā)態(tài)如果成立，將生成軟件形式的儀控系統(tǒng)指令，即軟指令。通過聯(lián)鎖1環(huán)節(jié)，檢查是否符合控制聯(lián)鎖的閉鎖及恢復功能。如果符合，軟指令轉變?yōu)檎降膬x控系統(tǒng)指令發(fā)出。此時，指令發(fā)送到執(zhí)行器，執(zhí)行器接收到硬指令。通過聯(lián)鎖2環(huán)節(jié)，檢查命令發(fā)送是否及時，是否符合時間約束。執(zhí)行器依據(jù)硬指令，執(zhí)行相應動作，動作完成，指令周期到此結束。通過聯(lián)鎖3環(huán)節(jié)，檢查動作執(zhí)行是否充分，是否結束過快，是否開始太晚等。

3.2不可觀測的軟件風險傳遞

圖3描述了一個不具有可觀測性的儀控系統(tǒng)框圖。軟件風險在軟件內部，經過若干環(huán)節(jié)，傳遞到硬件，才能通過硬件顯性地觀測到系統(tǒng)問題，觀測到故障的時間點為TH，由于沒有軟件聯(lián)鎖的狀態(tài)監(jiān)測，無法定位風險的產生區(qū)域、無法分辨具體原因，只能初步認為是硬件原因。

3.3可觀測的軟件風險傳遞

圖4(1)是一個具有可觀測性的軟件風險監(jiān)測框圖。描述了軟件風險在軟件內部，經過若干環(huán)節(jié)，傳遞到硬件，通過硬件顯性地觀測到系統(tǒng)問題，觀測到故障的時間點為TH，由于有基于軟件聯(lián)鎖的狀態(tài)監(jiān)測，在軟件內部運行的環(huán)節(jié)1、2、3對應的軟件聯(lián)鎖判決S1、S2、S3，可以實時監(jiān)控軟件風險在環(huán)節(jié)1、2、3的傳遞。軟件聯(lián)鎖判決S1、S2、S3對應的時間點為T1、T2、T3。增加軟件聯(lián)鎖環(huán)節(jié)，就是增加了新的軟件觀測點，可以提前發(fā)現(xiàn)軟件的故障，并且依據(jù)時間點的具體數(shù)值，定位軟件故障的位置或區(qū)域。

圖2　軟件指令的生命周期Fig.2 The life cycle of software instructions

圖3　不可觀測的軟件風險序列Fig.3 Unobservable sequence of software risk

圖4　儀控系統(tǒng)的軟件風險傳遞Fig.4 Risk transfer for software of instrument control system

如果考慮聯(lián)鎖判決S1、S2、S3的主動糾錯機制，例如S1不但可以發(fā)現(xiàn)環(huán)節(jié)1之前引入的軟件風險，還能糾正進入環(huán)節(jié)1之后的軟件指令。S2、S3依次類推。如圖4(2)所示，構成一個可觀測可糾錯的軟件風險序列。

工程應用：反應堆停堆斷路器停堆邏輯表決失效后的處理。4取2表決系統(tǒng)表決已經失效，軟件聯(lián)鎖及時通過狀態(tài)監(jiān)控，提前啟動手動棒控操作，避免反應堆物理參數(shù)超過閾值后，才被感知。

3.4無軟件聯(lián)鎖的系統(tǒng)監(jiān)控

圖5描述儀控系統(tǒng)中無軟件聯(lián)鎖的軟、硬件監(jiān)控。軟件序列S1、S2、S3，硬件序列H1、H2、H3，相互各自獨立。由于沒有(S1, H1)、(S2, H2)、(S3, H3)三個聯(lián)鎖監(jiān)控，硬件序列的故障或風險問題只能到最后時間點TH，才被觀測到。這時候故障才被反饋到軟件環(huán)節(jié)，軟件在時間點TH才響應。同理，錯誤的軟件指令及不恰當指令，只有到時間點TH才最終顯性地作用在硬件上，被觀測到。時間點TH之前，錯誤指令已經作用在硬件上了，但是缺乏聯(lián)鎖控制機制，使得軟硬件融合狀態(tài)是不可觀測的，到了時間點TH，被積累的錯誤作用在硬件上，最終被觀測到。

3.5軟件對硬件的聯(lián)鎖監(jiān)控

圖6描述儀控系統(tǒng)中軟件對硬件的實時聯(lián)鎖監(jiān)控。軟件序列S1、S2、S3，硬件序列H1、H2、H3。(S1, H1)、(S2, H2)、(S3, H3)構成三個軟件對硬件的聯(lián)鎖監(jiān)控。以(S1, H1)為例，S1已經融合時間延遲規(guī)則、物理閾值判決等基本模塊。理想情況，硬件的H1、H2、H3都運行正確，軟件聯(lián)鎖監(jiān)控就不做出多余動作。若H1出現(xiàn)時間延遲過長，既可以報警，也可以利用聯(lián)鎖機制，告知S2，讓S2對H2作相應的調整，一定程度上彌補、抵消H1的延遲影響。聯(lián)鎖監(jiān)控，實現(xiàn)了序列中相鄰環(huán)節(jié)軟件硬件前后級的協(xié)調，采用報警、協(xié)調糾正等方式將風險及時發(fā)現(xiàn)、及時糾正。

工程應用1：停堆指令發(fā)出后，針對棒位指示失效的情況?？刂瓢袈浒暨^程中，實際已卡棒，儀控顯示卻落棒正常。停堆指令發(fā)出后，控制棒開始下落，通過軟件聯(lián)鎖預設的時間約束，對落棒是否到位、是否太慢作出軟件層面的趨勢判斷和提前預警。防止棒位指示的失效，能對應該停堆而未停堆的預期瞬態(tài)作出提前預警。

工程應用2：針對控制棒運行位置顯示不準確的情況。棒位指示值與棒位實際值的偏差超過誤差允許范圍，通過軟件狀態(tài)監(jiān)測中的棒位運行位置計算值作為軟件聯(lián)鎖的基準參考，及時在線校正錯誤的硬件指示，并提前報警，防止偏差進一步積累放大。基于此，實現(xiàn)軟件對硬件的實時監(jiān)測。

圖5　無軟件聯(lián)鎖的系統(tǒng)監(jiān)控Fig.5 System monitoring with no software interlocking

圖6　軟件對硬件的實時聯(lián)鎖監(jiān)控Fig.6 Hardware real-time interlock controlled by software

4　結論

在核電站儀控系統(tǒng)中，大量儀表信號構成集合，通過與閾值的比較，觸發(fā)停堆操作，為了減少不必要的停堆操作，防止誤操作，工程上采用控制聯(lián)鎖功能。通過建立聯(lián)鎖模型，可以衡量不同堆型核電站控制的復雜度，并縮小測試用例的空間范圍，為自動生成測試用例提供基礎。

利用數(shù)字化儀控系統(tǒng)中豐富的軟件資源，從軟件指令生命周期角度，通過增加軟件監(jiān)測點，補充軟件序列與硬件序列對應，形成可觀測性可糾錯的軟件聯(lián)鎖，完成對硬件與自身的監(jiān)測、糾錯，可以提高儀控系統(tǒng)的安全預警能力。軟件聯(lián)鎖應用到反應堆緊急停堆系統(tǒng)中，可以快速的觀測、定位、糾正軟硬件故障，提升了作為安全關鍵系統(tǒng)的儀控系統(tǒng)的可觀測性和可糾錯性。

參考文獻：

[1]王小亮, 劉彬, 王春露.云計算可信機制的有效性評估方法研究[J].新型工業(yè)化, 2012, 2(12): 47-55.WANG Xiaoliang, LIU Bin, WANG Chunlu.Quantization and Assessment the Effectiveness of Cloud Trusted Mechanism[J].The Journal of New Industrialization, 2012, 2(12): 47-55.

[2]QIAN X, LU D, YU Y.Design and Optimization of AP1000 Passive Residual Heat Removal System Based on Fault Tree Analysis[J].Atomic Energy Science and Technology, 2012, 8: 006.

[3]楊仁建.儀表聯(lián)鎖設計與裝置安全運行[J].自動化博覽, 2013(1): 107-109.Yang Renjian.Instrumentation interlocking design and safe operation of device[J].Automation expo, 2013(1): 107-109.

[4]Rao S, Vinod G, Sarkar P K, et al.Application of PSA techniques to synchrotron radiation source facilities[J].Indian Journal of Pure and Applied Physics, 2012, 50(11): 776-781.

[5]Valkonen J, Karanta I, Koskimies M, et al.NPP Safety Automation Systems Analysis[J].2008.

[6]車皓, 費云艷, 王永強.國內某核電站主泵的控制聯(lián)鎖邏輯[J].電氣應用, 2013, 6: 015.Che Hao,Fei Yunyan,Wang Yongqiang.The main pump control interlock logic of a domestic nuclear [J].The applications of Electrical, 2013, 6: 015.

[7]彭鑫, 譚彰, 黃文君, 等.基于Android 的工業(yè)控制監(jiān)控軟件設計[J].新型工業(yè)化, 2012, 2(5)：32-38.Peng Xin, Tan Zhang, Huang Wenjun, et al.Design of Control System Mobile Monitoring Software Based on Android[J].The Journal of New Industrialization, 2012, 2(5): 32-38.

[8]Bae H, Kim Y, Baek G, et al.Diagnosis of Turbine Valves in the Kori Nuclear Power Plant Using Fuzzy Logic and Neural Networks[M]//Advances in Neural Networks–ISNN 2007.Springer Berlin Heidelberg, 2007: 641-650.

[9]Doa G, Kimb S, Leeb Y, et al.A Preliminary Study on the Application of System Dynamics Methodology to Organizational Safety in Nuclear Power Plants: Learning from Past Models[J].

An Analysis of the Instruments and Control System in Nuclear Power Plant Based on Software Interlocking

LIU Hua1, CHEN Ke2, HUANG Qi2
(1.School of Electrical Engineering, University of South China, Hengyang Hunan 421001, China; 2.Nuclear Power Institute of China, Chengdu Sichuan 610041, China)

Citation: LIU Hua, CHEN Ke, HUANG Qi.An Analysis of the Instruments and Control System in Nuclear Power Plant Based on Software Interlocking [J].The Journal of New Industrialization, 2015, 5(6): 27?32.

Abstract:Instrument and control system of the nuclear power plant is a critical system for the sake of safety.The system’s availability is maintained by control interlocking.As for the interlocking model of the emergency shutdown subsystem, the shutdown rules, devices and signals are abstracted into the complex relationship of logic and sets.Thus the interlocking model is established and the theoretical and engineering significance of interlocking model is analyzed.Then the observable corrective software interlocking is proposed through the increasing of the monitoring points from the aspect of the life cycle of software instruction.As a result, the observation and the error correction of the hardware and the interlocking are realized, improving the security warning capability of the instrument and control system.

Keywords:nuclear power plant; instrumentation & control system; emergency shutdown, software interlocking

作者簡介：劉華(1979-)，男，湖南衡陽人，講師，工學碩士,主要研究方向：儀控系統(tǒng)及安全分析；陳柯(1980-)，男，漢族，四川簡陽人，工程師，主要研究方向：核電站儀控的設計。

*基金項目：中核集團核設備運行狀態(tài)監(jiān)測技術重點學科實驗室項目資助;湖南省教育廳科學研究課題14C0972

本文引用格式：劉華，陳柯，黃奇.基于軟件聯(lián)鎖的核電廠儀控系統(tǒng)分析[J].新型工業(yè)化，2015，5(6)：27-32 DOI：10.3969/j.issn.2095-6649.2015.06.05