论文部分内容阅读
摘 要:简要介绍了红沿河核电厂数字化主控室操纵员工作站的结构,分析了其可能失效的原因。对不同数量的操纵员工作站失效事故进行了分析,并在此基础上制定了操纵员工作站失效事故的处理策略。
关键词:红沿河核电厂数字化主控室操纵员工作站失效事故
中图分类号:TL48 文献标识码:A 文章编号:1674-098X(2011)05(b)-0056-02
1 引言
核电厂主控室操纵员工作站是操纵员监控机组运行的主要手段,工作站为操纵员提供了集中的操作控制、信息显示、综合处理和层次储存等功能。在各种工况下,工作站均能提供完整的人机界面功能并满足运行及维护人员的需求。核电厂操纵员工作站一般采取冗余配置,如果某个工作站失效,需要对主控室内可用的工作站重新进行配置;如果可用工作站数量不能满足运行要求的话,需要切换到采用传统模拟控制技术的后备盘(BUP)控制电站[1]。本文对操纵员工作站可能的失效事故进行了分析,并确定了合适的运行处理策略。
2 数字化主控室工作站
数字化主控室工作站由以下四个工作站组成,包括核岛操纵员工作站(OWP-NI)、常规岛操纵员工作站(OWP-CI)、值长工作站(OWP-US)以及安全工程师工作站(OWP-SE)。
核岛操纵员工作站与常规岛操纵员工作站的软硬件配置完全一致,可以互为备用,但授权不同。操纵员工作站可以向操纵员提供核电厂状态的各种信息和控制手段,可按要求显示工艺流程图、表格、控制棒棒位图、动态曲线等,具备有多窗口、多画面的功能。核电站在计算机信息与控制系统正常的情况下,核岛操纵员与常规岛操纵员分别在各自的计算机化的操纵员工作站上监督和控制电厂。
值长工作站与操纵员工作站拥有完全相同的配置,值长通过非安全级的显示器以及安全级的显示器对电厂状态和操纵员的操作进行监督,以及必要时提供及时的指导。正常情况下值长工作站只有监督功能,其控制功能被闭锁,不能对电厂实施操作。只有当操纵员工作站不能工作时,值长工作站作为后备操纵员工作站被授权人登录后,才能在值长工作站执行控制功能。
安全工程师工作站与操纵员工作站的配置完全一样,可以互为备用,但授权不同。安全工程师可以通过工作站的非安全级显示器以及安全级显示器了解核电厂各系统和设备的状态,以及有关安全的运行规程,以分析核电厂的安全状况。正常情况下安全工程师工作站只有时监督显示功能,其控制功能被闭锁。只有当操纵员工作站不能工作时,安全工程师工作站作为后备操纵员工作站被授权人登录后,才能执行控制功能。
3 工作站失效分析
红沿河核电厂的工作站(OWP)由以下设备组成:2个网络交换机(HS)、1个鼠标键盘转换器(KVM)、5个非安全级的显示器(NC-VDU)、5个计算机处理器(OPS)、1个键盘、1个鼠标,1个A列的安全级显示器(S-VDU-A)以及1个B列的安全级显示器(S-VDU-B)。
键盘和鼠标是操纵员控制非安全级的显示器必不可少的设备,如果鼠标不可用或者键盘不可用,都将会导致操纵员无法便利的对设备进行监测及控制,这种情况也就会导致该工作站失效。同样的道理,鼠标与键盘是通过鼠标键盘转换器在不同的非安全级的显示器之间进行切换的,如果鼠标键盘转换器不可用,将会导致鼠标与键盘不可用或者不能在不同的非安全级的显示器之间进行切换,这种情况也会导致该工作站失效。
每个工作站的非安全级的显示器都进行了冗余配置,配备了5个非安全级的显示器。如果5个非安全级的显示器中的三个以上的非安全级的显示器不可用,工作站只剩下一个可用的非安全级的显示器或者没有可用的非安全级的显示器,该工作站也就没有足够可用的非安全级的显示器以便于操纵员监测和控制机组。因此三个以上的非安全级的显示器不可用将导致该工作站不可用。每个非安全级的显示器都连接着1个计算机处理器。如果计算机处理器不可用,会导致相连接的非安全级的显示器不可用。因此,当三个以上的计算机处理器不可用时,将导致该工作站不可用。
计算机处理器是通过网络交换机与设备进行通讯,如果1个网络交换机不可用,计算机处理器可以通过冗余的网络交换机实现通讯,从而不会导致该工作站不可用。但是,如果两个网络交换机都不可用,则会导致计算机处理器失去与设备的通讯,操纵员也就不能通过非安全级的显示器获取设备状态信息,同时也不能对设备进行控制。因此,当两个网络交换机不可用时,该工作站不可用。
红沿河核电厂在非安全级的显示器上不能对安全级设备进行控制,而且A列的安全级设备只能在A列的安全级显示器上进行控制,B列的安全级设备只能在B列的安全级显示器上进行控制。如果A列的安全级显示器和/或B列的安全级显示器不可用,将会导致操纵员不能有效的对安全级设备进行控制,也就导致了该工作站不可用。
4 工作站失效及处理策略分析
机组正常运行时,操纵员在各自的工作站进行控制。四个工作站冗余配置,某个工作站故障时,操纵员可以按照自己的授权在其他工作站登录来完成相关功能。当机组发生了事件或事故后,如果四个工作站中至少有2个是可用的,则操纵员还可以通过工作站监控电厂,否则需要转移到后备盘。值长和安全工程师在自己的岗位上(工作站或后备盘)负责监督和技术支持。
4.1 1个工作站失效
在机组正常运行或事件/事故运行期间,如果1个工作站不可用,相当于失去了工作站配置上的1个冗余。此时还有3个工作站是可用的,而且1个工作站足以应付正常运行工况下的操作,2个工作站可以应付事件或事故运行工况下的操作。另外,后备盘作为数字化主控室工作站的备用也还是可用的。因此,如果1个工作站失效,数字化主控室工作站的性能降級,对电站运行没有影响,但需要立即给运行值重新配置工作站。
在进行工作站重新配置的过程中,如果失效的工作站是核岛操纵员工作站或常规岛操纵员工作站,则需要将失效工作站的操纵员配置到值长工作站,同时如果失效的工作站是值长工作站或安全工程师工作站,则不影响操纵员对电站的监督与控制,同时也需要通知维修人员对失效的操纵员工作站进行维修。
4.2 2个工作站失效
在机组正常运行或事件/事故运行期间,如果2个工作站不可用,数字化主控室工作站的性能降级,需要立即给运行值重新配置工作站。此时还有2个可用的工作站,而且1个工作站足以应付正常运行工况下的操作,2个工作站可以应付事件或事故运行工况下的操作。另外,后备盘作为数字化主控室工作站的备用也还是可用的。考虑到操作控制的方式仍然可用,因此对电站运行没有影响,但需要立即通知维修人员对失效的工作站进行维修。
在进行工作站重新配置的过程中,如果失效的2个工作站中有1个是核岛操纵员工作站或常规岛操纵员工作站,则需要将失效工作站的操纵员配置到值长工作站。如果失效的2个工作站中是核岛操纵员工作站与常规岛操纵员工作站,则需要将核岛操纵员配置到值长工作站,将常规岛操纵员配置到安全工程师工作站。如果失效的2个工作站是值长工作站与安全工程师工作站,则不影响操纵员对电站的监督与控制,因此也不需要对操纵员工作站进行重新配置。
4.3 3个工作站失效
在机组正常运行期间,如果3个工作站不可用,数字化主控室工作站的性能严重降级,核岛操纵员与常规岛操纵员需要共用同一个工作站。如果失去最后1个工作站,必须立即切换到后备盘上执行事故运行规程进行机组操作控制。在后备盘上不能长时间维持机组在功率模式,如果4小时内不能修复工作站,则需要通过BUP将机组后撤到双相停堆的RRA连接工况。如果最后1个工作站仍然可用,则需要在24小时内修复故障的工作站(至少修复到具有2个可用的工作站),否则需要向NS/RRA运行模式(余热排出系统RRA连接的冷停堆模式)后撤。
在机组事件/事故运行期间,如果出现3个工作站不可用,则满足不了执行事故运行规程需要的2个可用的工作站,必须立即切换到后备盘进行机组操作控制。由于数字化主控室工作站上使用的事故运行规程与后备盘上使用的纸质过程有所区别,如果切换到后备盘前在工作站上执行事故导向规程,则切换到后备盘上后需要重新执行事故导向规程。如果切换前在工作站上正在执行其他事故规程,则需要继续执行事故规程中的事故序列。
4.4 4个工作站失效
在机组正常运行期间,如果4个工作站不可用,必须立即切换到后备执行事故运行规程。红沿河核电厂采用状态导向的事故处理程序SOP[2],在切换到后备盘后,要执行事故初始导向DOS规程,依据机组的状态,导向到合适的事故处理程序。
机组在正常运行期间,如果4个工作站不可用,机组初始状态可以分为以下三类:(1)如果余热排出系统RRA没有连接,导向到事故处理程序ECP1。该程序处理的事故的初始状态为:机组运行在中间停堆工况到100%功率运行的工况,反应堆一回路的压力大于2.7MPa。在事故处理过程中,机组的热工水力参数没有发生降级。(2)如果余热排出系统RRA系统已经连接且一回路处于闭口状态,导向到事故处理程序ECPR1。该程序处理的事故的初始状态为:反应堆一回路的压力小于2.7MPa且余热排出系统RRA系统已连接。在事故处理过程中,机组的热工水力参数没有发生降级。(3)如果余热排出系统RRA系统已经连接且一回路处于充分打开状态,导向到事故处理程序ECPRO。该程序处理的事故的初始状态为:反应堆一回路已充分打开。在事故处理过程中,机组的热工水力参数没有发生降级。
在机组事件/事故运行期间,如果4个工作站不可用,则满足不了执行事故运行规程需要的2个可用的工作站,必须切换到后备盘进行机组监督与控制,具体的运行策略与4.3节所述一致。
5 结语
本文对主控室数字化工作站失效作为初因事件和叠加事件出现时的机组运行策略进行了深入的分析,确定了不同数量工作站失效事故应采取的处理措施,进一步完善了核电厂的事故处理体系。
参考文献
[1] 孙永滨,蒋晓华.压水堆核电站先进控制室布置设计[J].核动力工程.2008.
[2] 张锦浙.状态导向法事故处理程序[J].大亚湾核电.2007.
关键词:红沿河核电厂数字化主控室操纵员工作站失效事故
中图分类号:TL48 文献标识码:A 文章编号:1674-098X(2011)05(b)-0056-02
1 引言
核电厂主控室操纵员工作站是操纵员监控机组运行的主要手段,工作站为操纵员提供了集中的操作控制、信息显示、综合处理和层次储存等功能。在各种工况下,工作站均能提供完整的人机界面功能并满足运行及维护人员的需求。核电厂操纵员工作站一般采取冗余配置,如果某个工作站失效,需要对主控室内可用的工作站重新进行配置;如果可用工作站数量不能满足运行要求的话,需要切换到采用传统模拟控制技术的后备盘(BUP)控制电站[1]。本文对操纵员工作站可能的失效事故进行了分析,并确定了合适的运行处理策略。
2 数字化主控室工作站
数字化主控室工作站由以下四个工作站组成,包括核岛操纵员工作站(OWP-NI)、常规岛操纵员工作站(OWP-CI)、值长工作站(OWP-US)以及安全工程师工作站(OWP-SE)。
核岛操纵员工作站与常规岛操纵员工作站的软硬件配置完全一致,可以互为备用,但授权不同。操纵员工作站可以向操纵员提供核电厂状态的各种信息和控制手段,可按要求显示工艺流程图、表格、控制棒棒位图、动态曲线等,具备有多窗口、多画面的功能。核电站在计算机信息与控制系统正常的情况下,核岛操纵员与常规岛操纵员分别在各自的计算机化的操纵员工作站上监督和控制电厂。
值长工作站与操纵员工作站拥有完全相同的配置,值长通过非安全级的显示器以及安全级的显示器对电厂状态和操纵员的操作进行监督,以及必要时提供及时的指导。正常情况下值长工作站只有监督功能,其控制功能被闭锁,不能对电厂实施操作。只有当操纵员工作站不能工作时,值长工作站作为后备操纵员工作站被授权人登录后,才能在值长工作站执行控制功能。
安全工程师工作站与操纵员工作站的配置完全一样,可以互为备用,但授权不同。安全工程师可以通过工作站的非安全级显示器以及安全级显示器了解核电厂各系统和设备的状态,以及有关安全的运行规程,以分析核电厂的安全状况。正常情况下安全工程师工作站只有时监督显示功能,其控制功能被闭锁。只有当操纵员工作站不能工作时,安全工程师工作站作为后备操纵员工作站被授权人登录后,才能执行控制功能。
3 工作站失效分析
红沿河核电厂的工作站(OWP)由以下设备组成:2个网络交换机(HS)、1个鼠标键盘转换器(KVM)、5个非安全级的显示器(NC-VDU)、5个计算机处理器(OPS)、1个键盘、1个鼠标,1个A列的安全级显示器(S-VDU-A)以及1个B列的安全级显示器(S-VDU-B)。
键盘和鼠标是操纵员控制非安全级的显示器必不可少的设备,如果鼠标不可用或者键盘不可用,都将会导致操纵员无法便利的对设备进行监测及控制,这种情况也就会导致该工作站失效。同样的道理,鼠标与键盘是通过鼠标键盘转换器在不同的非安全级的显示器之间进行切换的,如果鼠标键盘转换器不可用,将会导致鼠标与键盘不可用或者不能在不同的非安全级的显示器之间进行切换,这种情况也会导致该工作站失效。
每个工作站的非安全级的显示器都进行了冗余配置,配备了5个非安全级的显示器。如果5个非安全级的显示器中的三个以上的非安全级的显示器不可用,工作站只剩下一个可用的非安全级的显示器或者没有可用的非安全级的显示器,该工作站也就没有足够可用的非安全级的显示器以便于操纵员监测和控制机组。因此三个以上的非安全级的显示器不可用将导致该工作站不可用。每个非安全级的显示器都连接着1个计算机处理器。如果计算机处理器不可用,会导致相连接的非安全级的显示器不可用。因此,当三个以上的计算机处理器不可用时,将导致该工作站不可用。
计算机处理器是通过网络交换机与设备进行通讯,如果1个网络交换机不可用,计算机处理器可以通过冗余的网络交换机实现通讯,从而不会导致该工作站不可用。但是,如果两个网络交换机都不可用,则会导致计算机处理器失去与设备的通讯,操纵员也就不能通过非安全级的显示器获取设备状态信息,同时也不能对设备进行控制。因此,当两个网络交换机不可用时,该工作站不可用。
红沿河核电厂在非安全级的显示器上不能对安全级设备进行控制,而且A列的安全级设备只能在A列的安全级显示器上进行控制,B列的安全级设备只能在B列的安全级显示器上进行控制。如果A列的安全级显示器和/或B列的安全级显示器不可用,将会导致操纵员不能有效的对安全级设备进行控制,也就导致了该工作站不可用。
4 工作站失效及处理策略分析
机组正常运行时,操纵员在各自的工作站进行控制。四个工作站冗余配置,某个工作站故障时,操纵员可以按照自己的授权在其他工作站登录来完成相关功能。当机组发生了事件或事故后,如果四个工作站中至少有2个是可用的,则操纵员还可以通过工作站监控电厂,否则需要转移到后备盘。值长和安全工程师在自己的岗位上(工作站或后备盘)负责监督和技术支持。
4.1 1个工作站失效
在机组正常运行或事件/事故运行期间,如果1个工作站不可用,相当于失去了工作站配置上的1个冗余。此时还有3个工作站是可用的,而且1个工作站足以应付正常运行工况下的操作,2个工作站可以应付事件或事故运行工况下的操作。另外,后备盘作为数字化主控室工作站的备用也还是可用的。因此,如果1个工作站失效,数字化主控室工作站的性能降級,对电站运行没有影响,但需要立即给运行值重新配置工作站。
在进行工作站重新配置的过程中,如果失效的工作站是核岛操纵员工作站或常规岛操纵员工作站,则需要将失效工作站的操纵员配置到值长工作站,同时如果失效的工作站是值长工作站或安全工程师工作站,则不影响操纵员对电站的监督与控制,同时也需要通知维修人员对失效的操纵员工作站进行维修。
4.2 2个工作站失效
在机组正常运行或事件/事故运行期间,如果2个工作站不可用,数字化主控室工作站的性能降级,需要立即给运行值重新配置工作站。此时还有2个可用的工作站,而且1个工作站足以应付正常运行工况下的操作,2个工作站可以应付事件或事故运行工况下的操作。另外,后备盘作为数字化主控室工作站的备用也还是可用的。考虑到操作控制的方式仍然可用,因此对电站运行没有影响,但需要立即通知维修人员对失效的工作站进行维修。
在进行工作站重新配置的过程中,如果失效的2个工作站中有1个是核岛操纵员工作站或常规岛操纵员工作站,则需要将失效工作站的操纵员配置到值长工作站。如果失效的2个工作站中是核岛操纵员工作站与常规岛操纵员工作站,则需要将核岛操纵员配置到值长工作站,将常规岛操纵员配置到安全工程师工作站。如果失效的2个工作站是值长工作站与安全工程师工作站,则不影响操纵员对电站的监督与控制,因此也不需要对操纵员工作站进行重新配置。
4.3 3个工作站失效
在机组正常运行期间,如果3个工作站不可用,数字化主控室工作站的性能严重降级,核岛操纵员与常规岛操纵员需要共用同一个工作站。如果失去最后1个工作站,必须立即切换到后备盘上执行事故运行规程进行机组操作控制。在后备盘上不能长时间维持机组在功率模式,如果4小时内不能修复工作站,则需要通过BUP将机组后撤到双相停堆的RRA连接工况。如果最后1个工作站仍然可用,则需要在24小时内修复故障的工作站(至少修复到具有2个可用的工作站),否则需要向NS/RRA运行模式(余热排出系统RRA连接的冷停堆模式)后撤。
在机组事件/事故运行期间,如果出现3个工作站不可用,则满足不了执行事故运行规程需要的2个可用的工作站,必须立即切换到后备盘进行机组操作控制。由于数字化主控室工作站上使用的事故运行规程与后备盘上使用的纸质过程有所区别,如果切换到后备盘前在工作站上执行事故导向规程,则切换到后备盘上后需要重新执行事故导向规程。如果切换前在工作站上正在执行其他事故规程,则需要继续执行事故规程中的事故序列。
4.4 4个工作站失效
在机组正常运行期间,如果4个工作站不可用,必须立即切换到后备执行事故运行规程。红沿河核电厂采用状态导向的事故处理程序SOP[2],在切换到后备盘后,要执行事故初始导向DOS规程,依据机组的状态,导向到合适的事故处理程序。
机组在正常运行期间,如果4个工作站不可用,机组初始状态可以分为以下三类:(1)如果余热排出系统RRA没有连接,导向到事故处理程序ECP1。该程序处理的事故的初始状态为:机组运行在中间停堆工况到100%功率运行的工况,反应堆一回路的压力大于2.7MPa。在事故处理过程中,机组的热工水力参数没有发生降级。(2)如果余热排出系统RRA系统已经连接且一回路处于闭口状态,导向到事故处理程序ECPR1。该程序处理的事故的初始状态为:反应堆一回路的压力小于2.7MPa且余热排出系统RRA系统已连接。在事故处理过程中,机组的热工水力参数没有发生降级。(3)如果余热排出系统RRA系统已经连接且一回路处于充分打开状态,导向到事故处理程序ECPRO。该程序处理的事故的初始状态为:反应堆一回路已充分打开。在事故处理过程中,机组的热工水力参数没有发生降级。
在机组事件/事故运行期间,如果4个工作站不可用,则满足不了执行事故运行规程需要的2个可用的工作站,必须切换到后备盘进行机组监督与控制,具体的运行策略与4.3节所述一致。
5 结语
本文对主控室数字化工作站失效作为初因事件和叠加事件出现时的机组运行策略进行了深入的分析,确定了不同数量工作站失效事故应采取的处理措施,进一步完善了核电厂的事故处理体系。
参考文献
[1] 孙永滨,蒋晓华.压水堆核电站先进控制室布置设计[J].核动力工程.2008.
[2] 张锦浙.状态导向法事故处理程序[J].大亚湾核电.2007.