文献标识码：B文章编号：1003-0492（2024）09-088-04中图分类号：TP273

★杨金芬，王志嘉，马腾飞，王平，鲁超（北京广利核系统工程有限公司，北京100094）

关键词：核电站；旁通；定期试验

反应堆保护系统的功能是保护三大核安全屏障的完整性，当运行参数达到危及三大屏障完整性的阈值时，紧急停闭反应堆，必要时启动专设安全设施。为保证保护系统仪控设备的可维护性、可靠性，需对仪控设备进行旁通维护和定期试验。在以往项目中，保护系统的参数旁通一般采用硬件面板方式实现，存在参数变更成本高、机柜空间浪费、接线复杂、参数旋钮故障率高等问题；定期试验主要采用非安全级的维护工具，依据GB/T13286隔离相关要求，安全级保护系统接入维护工具进行试验前需进行通道旁通，通道旁通会造成符合逻辑降级，拒动和误动故障概率均提高[1]。

基于参数旁通和定期试验的优化需求，本文分析总结国内外知名厂商的数字化人机交互装置应用方案，综合SCID的功能特点，在VVER堆型项目中提出了采用SCID实现维护功能的方案。和睦系统（FirmSys）是一套成熟、可靠的核电站安全级数字化仪控平台，基于和睦平台SCID人机接口实现定期试验、参数旁通等维护功能切实可行，已在VVER堆型核电机组中得到应用。本文将对维护SCID的设计与实现进行简要介绍。

1　功能架构

1.1　功能介绍

VVER堆型安全级DCS维护SCID主要实现的是反应堆保护系统中蒸发器水位、冷却剂温度等重要模拟量的参数旁通，以及部分仪控定期试验的控制和显示功能。仪控维护人员可通过操作维护SCID画面中的图符面板下发或复位参数旁通或定期试验指令，并通过画面中图符变化情况读取设备状态反馈信息。

1.2　安全分级

VVER堆型采用四环路设计，每个环路包含1个蒸汽发生器和1个反应堆冷却剂泵，根据IEC-61226和IEC-61513进行安全功能及物项安全分级，对应的电气仪控功能根据安全重要性分为A、B、C三个等级，对应的系统设备分别为1、2、3三个等级[2-3]。除实现控制、显示等人机交互功能外，维护SCID在逻辑算法上还需要对SCID日志进行指令解析用于重要设备参数的符合逻辑降级。根据旁通、试验对象安全功能的重要性，维护SCID实现A类功能，物项分级为1级，系统硬件满足RCC-E中A类产品鉴定要求，软件满足IEC60880标准的要求，并满足抗震Ｉ类要求[4]。

1.3　系统位置

根据核电厂安全级设计单一故障准则、冗余性、可靠性的设计要求，VVER堆型反应堆保护系统设计有V/W/X/Y四个序列。为防止单一设备故障影响四个通道，在V/W/X/Y每个仪控序列布置一台维护SCID。维护SCID通过安全环网向本序列反应堆保护机柜（RPC）、专设安全驱动机柜（ESFAC）下发维护控制指令，并接收相应的指令反馈。此外，维护SCID还接收来自数据传输机柜（DTC）的设备试验状态反馈信号，并通过DTC向非安侧发送操作日志以及自诊断状态信息。维护SCID（SCID-M）在反应堆保护系统中的位置如图1所示。

图1 维护SCID在反应堆保护系统中的位置

1.4　系统组成

安全级DCS维护SCID的维护对象为仪控设备，使用对象为仪控维护人员。为方便仪控维护人员查看相关设备状态，维护SCID布置在电子间仪控机柜内，需立式操作。不同序列间的维护SCID之间无通信，并分别通过独立的电路供电。维护SCID通过双向通信模块与本序列其他系统进行安全环网通信，并通过光电转换模块实现不同功能系统间的电气隔离。

2　维护SCID的设计与实现

2.1　空间布置设计

当控制器数量较少时，应将控制器布置在舒适操作区内的最佳位置，以方便人员操作并减少人因失误[5]。

维护SCID为立式操作屏，根据DL/T575.3立式屏手操区划分的相关内容，手操区的布置需综合考虑人体结构尺寸、人的视野范围、人肢体的有效活动范围、肢体最适宜的用力范围、操作速度和精度要求等因素。精确操作区是立式屏前作业的最佳显示区，其尺寸以第50百分位数男子的尺寸为基准，综合考虑眼与立式屏的观察距离以及操作的易行性，按照眼与立式屏的距离400mm、操作区尺寸上限为水平视线以上15°、下限为水平视线以下30°，可以计算出精确操作区尺寸范围为1350mm～1690mm[5]。

维护SCID布置在仪控机柜中部偏上，距地高度1400mm～1600mm区域内，位于精确操作区，可有效避免操作不便引起的人因失误。

2.2　画面显示设计

作为供仪控维护人员执行维护、试验的人机接口，直观、简洁、清晰、一致的画面显示设计可以大大减少操作人员的信息处理负担，减少人因失误。基于上述画面显示原则，维护SCID选用了文本、操作按钮、图符面板等设计元素，并从画面显示的表现形式、层次结构的角度对色彩、画面布局、导航检索进行了设计。

2.2.1色彩设计

人机界面画面设计时，各种元素和背景颜色的合理选用，可以使显示画面对比清晰、层次分明、简洁易懂，减少了操作人员的视觉疲劳。根据NURGE-0700第1.3.8节中对颜色设计的要求，在画面元素色彩设计过程应考虑颜色使用的一致性和连贯性，触摸屏应使用一个统一的、不分散的中性背景颜色保证不对操作产生干扰，并通过色彩反差使数据（前景）能够明显易见[6]。

维护SCID采用深灰色作为页面背景色，反射率较低，不易引起操作人员眩晕；采用浅灰色作为面板或者按钮背景色，画面中用于布局分区的分界线采用黑色，深浅配合对比明显，同时黑色又不会转移操纵员的注意力。根据页面、面板背景色选用对比度最大的颜色作为字体颜色，例如深灰色页面背景下，采用白色字体；在浅灰色按钮背景下，采用黑色字体。图符、报警等其他元素则依据典型颜色在盘台设计中特点选用最适宜的颜色，例如动态图符采用蓝绿色作为正常反馈颜色，而报警框则采用色彩反差强烈、容易引起人注意的红色。

2.2.2　文本设计

文本信息是画面最重要的显示信息之一，设计文本元素时需考虑字体和字高。

对于画面中使用的文本字体，应清晰易读，能够很好地区分X和K、T和Y、I和1、O和Q、O和0、S和5以及U和V等易混淆字符[6]。维护SCID统一采用宋体显示，可满足清晰度、可读性及高宽比的要求。

确定字体之后，还应根据相关要求确定合适的字高。字体高度的确定与操作台高度以及操作员在对应采取的操作姿势有关。根据NUREG-0700，字高与弧度的计算公式为：

注：MA是弧分，D是用户到屏幕的距离。

显示文本的文字高度应在16～24弧分之间，通常情况下20～22弧分的文字高度比较适合于阅读，立姿操作眼与屏幕的距离为400mm[5,6]，SCID像素间距为0.264mm。带入上述数据可计算出最大阅读视角下的最小字体高度约为10.58像素。维护SCID画面中标题字体设计为14像素，正文字体设计为12像素，满足字高的相关要求。

2.2.3　图符面板设计

在人机界面中，图符是一种直观、清晰的显示元素，由动态图符、静态图符设计组合形成的操作面板在信息处理和反馈上一致性高，容易辨识，常作为监视和控制的对象。

根据NUREG-0700的要求，显示在屏幕一侧供选择的图符图标应不小于0.2英寸（5mm），图标之间间隔至少0.1英寸（3mm）[6]。为保证食指适当的操作空间，同时防止出现视觉盲区，维护SCID的图符面板按钮设计在20～50mm之间，操作间距在3～6mm之间；维护操作面板还设计有动态图符用于指示反馈信号状态，图符高度在20～30mm之间，设计参数均满足法规要求。设计人员可根据需求选用配置有不同数量动态图符的操作面板。双动态图符反馈的维护操作面板示意图如图2所示。

图2 维护操作面板示意图

此外，为防止操作人员误碰导致旁通或者试验非预期动作，维护操作面板设计有二次确认按钮；考虑到逻辑闭锁的共因故障失效可能导致定期试验误触发，维护操作面板设计有操作闭锁功能，在试验条件满足的情况下维护操作面板才允许操作，从本质安全的角度避免误触发。

2.2.4　导航检索设计

为方便仪控维护人员精准、快速地检索到相应操作画面，依据NUREG-0700对画面检索层次性及页面布局的要求，维护SCID采用了树形结构的导航设计，如图3所示。此外，在每幅画面还设置了页间导航，保证用户能够一键返回导航菜单，缩短导航路径，提高检索效率和准确性。

从层次分级上，维护SCID设计了两级导航。第一级导航画面为系统级导航，根据功能需求分类呈现，维护控制显示装置的系统级导航分为参数旁通、定期试验、控制器切换三个类别；第二级导航为设备级导航，展现系统级功能的具体内容，由设备级导航菜单可直接链接至操作页面，设备菜单的布置顺序一般按照字母顺序排列，导航菜单数量取决于操作画面的数量，当操作画面数量较少可省略本级导航。

图3 导航结构示意图

NUREG-0700 2.1-6要求画面间导航控制应该与显示屏的主体部分分开，考虑到大部分操作人员右手的操作习惯，页间导航布置在画面右侧，包括一键返回系统菜单、设备菜单按钮以及上下页切换按钮，仪控维护人员可根据操作习惯选择上下页切换导航或者返回导航菜单再次选择相应页面的导航方式。

2.2.5　画面布局设计

在人机界面中，一致合理的画面布局有助于建立和维护用户的方位感，便于用户直观地处理信息。

根据NUREG-0700的要求，一个标准的画面布局应根据人机接口功能要求进行画面分区，如数据显示区、控制区或信息区，不同的显示区域可由空白空间、线条或其他划分形式分隔开，且显示画面应配置标题以简要介绍画面内容或目的[6]。综合考虑页面标题、设备模式、页间导航以及控制显示元素在每页的显示需求，维护SCID的画面分为四个区域，分别是标题区、设备模式区、操作显示区和导航按钮区，如图4所示。其中操作显示区根据页面功能布置元素的不同，可分为系统导航页面、设备导航页面、维护面板页面和参数显示页面，设计者可根据功能需求自行布置和拓展。

图4 画面布局示意图

2.2.6　故障指示设计

为了提示用户设备的可用性，人机接口在设计时需要体现设备状态，将系统内部存在的潜在失效或故障通知用户。维护SCID设计有系统状态页面用于显示设备诊断状态、网络连接情况以及设备负荷率等信息。此外，系统完整的自诊断状态还作为设备生命监测信号始终显示在运行画面上方，提醒操作人员设备运行状态。

3　结束语

为解决硬件面板实现参数旁通存在的参数变更困难、参数旋钮故障率高、定期试验采用非安全级维护工具需前置旁通的优化需求，VVER堆型安全级DCS采用SCID实现维护试验功能。基于核电站安全控制显示的相关标准，本文从功能需求、安全分级、系统位置、系统组成、空间布置、画面显示的角度阐述了VVER堆型安全级DCS维护SCID的设计及实现过程。该研究可为其他项目旁通以及定期试验的设计实现提供参考。后续的研究将把深化定期试验的数字化实现作为关注点，设计普适性更高的图符面板以及配套逻辑，继续拓展维护SCID在定期试验领域的适用范围。

作者简介：

杨金芬（1990-），女，河北人，工程师，学士，现就职于北京广利核系统工程有限公司，主要从事于核电站安全级DCS设计工作。

参考文献：

[1] GB/T 13286-2021, 核电厂安全级电气设备和电路独立性准则[S].

[2] Nuclear power plants – Instrumentation and control important to safety –General requirements for systems. IEC 61513, EDITION2.0, 2011-08.

[3]Nuclear power plants – Instrumentation, control and electrical power systems important to safety – Categorization of functions and classification of systems; IEC 61226, EDITION4.0, 2020-04.

[4] Nuclear power plants. Instrumentation and control systems important for safety. Software aspects for computer-based systems performing category A functions; IEC 60880-2010.

[5] Ergonomic principles for the design of control centres Part3：Hand reach and zones of control.DL/T 575.3-1999.

[6] Human-System Interface Design Review Guidelines. NUREG-0700, Rev.3, 2020 (6).

摘自《自动化博览》2024年9月刊