核电监控系统中超温超功率调节的设计与实现

吴 婷，朱立志，何 昶

(国核自仪系统工程有限公司,上海 200241)

0 引言

在第三代核电中，为了加强对核电站反应堆安全性的监控能力，更好地保障核电站的安全，提出了对核电站反应堆超温超功率调节功能的数字化需求。采用计算机软件系统的人机交互模式，可实现对超温超功率各类整定值的实时监控、调节和注入，以诊断报警等安全保护的功能。软件实现该功能后，对整定值参数动态补偿更直接，对堆芯热工功率监控更便利，热工限值到整定值的转换更简单。通过增大核电站反应堆的运行裕度，增强对异常而可控的反应堆工控下整定值的微调能力[1]。

核电站超温超功率整定值的调节在核电站运行状态下进行，会直接影响核电站的运行安全。

1 功能概述

核电站反应堆超温超功率运行时，将造成燃料包壳的破坏或熔化，导致反应堆失控。超温超功率调节是根据核电站系统所运行的不同时期，对系统进行适当的调节，以避免系统作出不必要的报警，误触发停堆信号。

超温超功率调节功能属于安全监控系统中的一个较为复杂的功能。安全监控系统与负责逻辑运算的逻辑控制系统机柜物理连接，而机柜直接从核仪表系统传感器获得反应堆温度、稳压器压力、主泵转速等关键参数。当系统需要进行超温超功率调节时，从人机界面的参数列表中选择一个超温超功率参数进行有效注入，将整定的参数值发送到逻辑控制系统机柜进行比较运算，并在诊断核电站反应堆实时运行状态的同时在人机界面显示系统实时状态[2]。

2 系统环境分析

超温超功率调节功能运行在安全监控系统中，而安全监控系统是直接监控核电站反应堆的安全级控制系统。因此，安全级控制系统作为软件设计的外部接口，它的结构特性将直接将影响超温超功率调节功能的设计与实现。系统环境部署如图1所示。

图1 系统环境部署图

根据核电站系统失效时产生的危害程度，系统设计至少需要满足国际标准IEC 61508-2对安全硬件系统设计的要求[3]。因此，为了保障系统的失效安全、排除或降低单一故障对系统产生的风险[4]，安全级控制系统采用多冗余机制设计。直接负责超温超功率整定值逻辑比较的双稳态机柜在逻辑控制系统中进行双冗余机制设计，因此是2台机柜同时进行逻辑运算控制：一方面，获得从监控系统注入的超温超功率整定调节值；另一方面，获得从传感器实时接收到的相关参数，机柜对参数进行一系列加权平均等运算，给出诊断[1]。

另外，为确保超温超功率调节的实时性和准确性，同时兼顾可靠性、安全性，安全监控系统有必要进行上位机、下位机的一体化设计，以减少中间通信环节，将安全监控系统的画面监控和数据通信在一台高安全性的定制工控机上实现。此工控机直接通过RS-422串口，与逻辑控制系统中的机柜相连，进行数据通信。

超温超功率调节功能的软件设计中需要实现通过1台工控机对双冗余的2台逻辑控制机柜同时注入整定参数值，完成1次调节过程[5]。

3 功能设计

3.1 功能划分

超温超功率调节是在系统运行时对控制系统的保护功能进行调节，安全性要求高，必须保证整定值的调节不影响反应堆系统的安全和稳定。因此，设计超温超功率调节功能的具体需求是保证调节全过程中整定值的调节准确无误，即在调节前、调节中、调节后都能对整定值进行监控和诊断，并反馈诊断结果。主功能流程如图2所示。

图2 主功能流程图

①调节前,实现对超温超功率整定参数列表数据值的初始化。

②调节中，获取界面操作所注入整定参数值，实现并确认向2个逻辑控制机柜的成功注入。

③调节后,与正常运行时一样，进行全系统的整定参数值的数值校验，确认系统状态的安全性。

3.2 功能分解设计

根据IEC 61508-3中SIL3安全等级软件系统设计的要求，对超温超功率调节划分出的3个阶段的功能需求进行故障分析，并增加相关诊断功能以及失效安全处理功能的设计[6]。

3.2.1 调节前的初始化及诊断

超温超功率的整定值在系统第一次通电启动时进行初始化。首先建立与逻辑控制系统的通信连接，读取保存在逻辑控制系统中双稳态机柜1和2中整定值的初始值及数值范围等信息，与软件系统中存储的初值进行比较性地诊断，确认三方的一致性。如有一方不一致，则在监控系统界面上显示报警，弹出初始化失败的提示，同时提示具体的报警原因。弹出提示窗后，监控系统的启动将被终止和挂起，直至人工确认操作。

3.2.2 调节时的调节及诊断

调节超温超功率整定值在监控系统中采用人机交互的模式实现。系统界面提供超温超功率整定值参数点列表。调节整定值的过程是安全监控系统与逻辑控制系统之间的数据的交互过程。

调节整定值的全过程，由系统界面实时监控显示，以指示灯来监控诊断每一步的状态是否正常。整定值调节需保证安全性，软件设计结合人因工程学，通过以下四种手段来确保整定值调节过程的安全性和正确性[7]。

①界面连动按钮：可防止因界面误动(地震或人因)而误操作。设计连动按钮：一个是“允许修改”按钮，另一个是“设置值”按钮。“允许修改”按钮按下后，“设置值”按钮同时被激活。“允许修改”按钮每次按下后，使能5 s后自动弹起，同时关闭“设置值”按钮的激活状态。每次调节超温超功率整定值都需要对这两个连动按钮进行连续动作，才能触发界面发送整定值到逻辑控制系统。

②数值范围检查：在“设置值”按钮按下之后，软件实现对输入数据的范围进行检查，如范围合法再发送给逻辑控制系统。整定值的数据范围是在监控系统初始化时读入。这样能有效防止因操作员输入的超温超功率整定值超出范围，而影响逻辑控制系统的计算，以致引起误停堆；或是输入整定值失去比较价值，无法及时给出正确的停堆保护信号。

③二次“握手”协议：第一次监控系统发送含整定数值的“写请求”数据包给逻辑控制系统，在一定的时间内等待对方反馈信号；第二次发送“读请求”数据包给逻辑控制系统，仍然等待对方在周期内反馈。反馈中包含该整定值在双稳态机柜里的当前实时值。成功执行二次“握手”式通信，且“写”和“读”的数据包中整定值一致，才表示成功完成了一次整定值调节。

④失败后的“回退”：每次从监控系统发起的调节整定值，都是同时发送给逻辑控制系统中冗余的2个双稳态机柜，并同时接收2个机柜的反馈。安全监控系统获得2个机柜反馈的数据后，比对是否均与界面发起的整定值一致。三方有一方数据出现差异，均为调节失败，超温超功率整定值将回退到调节前的数值[8]。

3.2.3 调节后的校核及诊断

超温超功率的整定值在未发生调节或调节完成后，监控系统软件处于正常运行状态下，仍然需要保证超温超功率调节功能软件部分的安全性，以确保安全监控系统的稳定性。因此，需要对软件存储的信息进行定期自诊断。存储信息分为两类存储，分别周期性地进行处理。

①离线信息。离线信息是指存储所有超温超功率整定值变量的信息列表，包括点名、初值、高低限值、对应双稳态机柜中芯片的映射内存地址、简单的点名描述等。自诊断需对此类信息内容进行正确性检查。

②在线实时信息：实时信息是指运行过程中每一次调节成功的整定值。为保证安全级控制系统中软件系统和硬件系统数值的一致性，监控系统存储修改每一次成功调节的整定值，并将其存储到软件离线内存中，以备监控系统断电重启时，恢复整体系统当前有效的实时值。因此，软件需周期性地发送“读请求”给逻辑控制系统，获得2个双稳态机柜里的实时值，进行数值一致性的检查确认，以降低故障发生的概率。

3.3 数据通信设计

根据国际标准IEC 61784-3对安全通信协议的要求，加入通信安全的设计。

安全监控系统与逻辑控制系统机柜之间的数据通信依赖于串口物理联接。为避免链路上的传输数据帧出现比特差错，0变1或者1变0，数据通信中采用信道编码的技术中的循环冗余检验(cyclical redundancy check,CRC)码来进行排除错误帧，即在通信的码流中加入一些监督码元。这些码元与信息码之间以确定的规则相互约束[9]。

超温超功率整定值调节时，将整定值、质量码等信息组合数据报文，并在报文尾添加CRC码，发送给安全逻辑控制系统[10]。

①可靠性设计：在数据包的报文设计中，明确报文类型，是“写”类型还是“读”类型；给每一次报文自动累计计数，对“握手”通信的丢包加以诊断[11]。

②容错性设计：当CRC码错误时，说明通信有误，监控系统降低对本数据包的信任度，对所涉及的数据质量码信息进行记录，并对超温超功率的整定值不作调节，直接丢弃。

4 功能实现

4.1 操作系统的选型

为保证超温超功率功能软件的安全等级，在操作系统选型时，选用实时性高的嵌入式操作系统作为底层。VxWorks 6.6操作系统已通过IEC 61508中SIL3工业安全认证，可靠性高[7]。此操作系统具备实时性任务调度机制和调度算法。因此，基于此操作系统开发的应用软件系统实现具体功能时，也都需指定运行时的各任务的优先级。系统特征为：高优先级任务优先获得计算机CPU，同等优先级的任务间进行时间片轮转式调度运行。

4.2 软件架构

上位机、下位机一体化设计后，超温超功率调节功能的人机画面、状态监视、数据通信，以及数据处理与诊断都在一台工控机上实现。根据软件架构的模块化设计思想[12]，系统架构分为4个层级模块。

①界面层Presentation：与超温超功率对应的人机界面，可实现整定值的调节入口及定时激活等。

②业务层Data：实现超温超功率所有数据处理，包括数据比较、存储、反馈等。

③通信层Access：实现超温超功率整定值的数据通信，包括解包和组包。

④诊断层Diagnostic：实现超温超功率整定参数值各阶段的校核和诊断。

4.3 任务分配

超温超功率调节功能遵循VxWorks操作系统的特性，结合软件系统架构，将分配3个优先级不同的任务(通信层任务tAccess、界面层任务tPresentation、诊断层任务tDiagnostic)来实现。业务层Data不作为单独的任务，而是作为调度模块被动执行。另外，为保证系统运行的实时性，将tAccess和tPresentation设置为高优先级，tDiagnostic次之。

(1)tPresentation任务：实现超温超功率调节功能监控界面的显示。其中包括以下2个重要模块。

①GetMouseEvent:在运行时，同时通过扫描获得界面调节整定值的鼠标事件。

②ProcessMonitor:设计定时激活和关闭激活部件的界面连动事件；实时显示超温超功率各阶段的状态诊断结果。

(2)tAccess任务：处理超温超功率调节功能的数据通信和数据包的CRC，接收和发送机柜1、2的数据包。

(3)tDiagnostic任务：在监控系统正常运行时，根据CPU资源空余情况，协行模块DnCalCompare对超温超功率相关整定值、变量值进行自诊断。

(4)调节前的初始化及诊断功能：不在3个任务中执行，而在3个任务启动前，由DtCalibrationInit模块执行。该诊断结果作为3个任务正常启动的前提条件。

软件任务活动如图3所示。

图3 软件任务活动图

为确保低优先级的tDiagnostic任务也能获得CPU资源，分别给这2个高优先级任务设定了时间延时delay1和delay2。同时，tDiagnostic任务的执行次数在系统中周期计数，以诊断监测系统自身运行的状态是否正常[13]。

4.4 界面设计

超温超功率调节界面设计为2个区域。

①界面操作区：提供整定值参数的下拉选择菜单，选择后显示该整定值在系统中的实时值，同时提示该整定值允许的调节范围。根据3.2.2节，在区域中设计联动按钮“PM WRITE ENABLE”和“SET VALUE”，并建立激活和定时取消的联动关系。

②界面反馈区：对调节中的全过程及诊断结果提供实时状态显示。反馈包含从2个双稳态机柜1和机柜2的反馈。因此，超时、CRC、数据包失效等状态都将得以监控。

5 结束语

本文从第三代核电的安全级控制系统的结构特点入手，对超温超功率调节功能在安全监控系统中设计进行了具体分析。同时，为达到IEC 61508对安全级系统的要求，创新性地给出了在安全级VxWorks嵌入式操作系统下实现上位机下位机一体化的软件设计方案，对所有高安全级工业领域的监控软件都有一定的借鉴作用。

本功能在核电安全监控系统中也是国内首次设计，实现后可与国际同类产品相竞争，以摆脱对国外进口的依赖。经过下一步的验证与确认过程后，该研究可投入第三代核电站运行使用。