摘  要： 對核電站計算機應急輔助決策系統(tǒng)的使用環(huán)境、目標以及功能進行了分析，并給出了采用C/S和B/S混合結構的設計方案。系統(tǒng)包含數(shù)據(jù)采集處理、輔助判斷、應急響應支持、應急演習四大功能，該系統(tǒng)對核電站應急事故處理有重大意義。
關鍵詞： 應急輔助決策系統(tǒng)；客戶端/服務端結構；瀏覽器/服務器結構；分布式控制系統(tǒng)；動態(tài)服務器頁面

    核電無小事，核電站的任何事故，如果不能妥善應對，都有可能對廠區(qū)人員、公眾以及環(huán)境造成具大影響，核電站應急計劃必須貫穿于核電站始終。核電站的應急狀態(tài)包含應急待命、廠房應急、廠區(qū)應急、場外應急四種[1]。
    核事故發(fā)生時，往往面臨時間緊、責任大、變化多的難題。在這種情況下，只有采用科學的決策理論，并利用計算機實時在線支持決策系統(tǒng)，才有可能滿足核事故應急決策的要求。
    目前，國外歐共體聯(lián)合東歐和前蘇聯(lián)部分國家開發(fā)了實時在線事故應急決策支持系統(tǒng)。國內諸如秦山、田灣、大亞灣等核電站也建立了計算機應急指揮系統(tǒng)，但其功能相對單一，大多只滿足數(shù)據(jù)監(jiān)視功能及資料查詢功能，不能很好地對應急過程起到支持作用。
    本文介紹的核電站計算機應急輔助決策系統(tǒng)（以下簡稱系統(tǒng)）緊密貼合應急計劃，能夠有效接收、存儲、分析、處理和發(fā)布來自不同區(qū)域的核電站信息，并在事故突發(fā)期間快速形成準確的應急指揮指令，為應急管理和指揮決策提供強有力的技術支持，提高應急管理和指揮決策的科學性和時效性[2]。
1 系統(tǒng)功能分析
    為了滿足核電站應急準備以及應急響應的需求，系統(tǒng)應當具備數(shù)據(jù)采集和處理功能、輔助決策功能、應急響應支持功能以及應急演習功能[3]。
1.1 數(shù)據(jù)采集和處理功能
1.1.1 數(shù)據(jù)交換
    應急輔助決策系統(tǒng)主要通過網絡實現(xiàn)與電站專業(yè)系統(tǒng)、辦公系統(tǒng)網絡、集團網絡系統(tǒng)的數(shù)據(jù)通信。通信的數(shù)據(jù)包括文本信息、數(shù)據(jù)和多媒體等類型。
    系統(tǒng)通信內容包括：機組數(shù)據(jù)、廠區(qū)出入監(jiān)督數(shù)據(jù)、控制區(qū)出入檢測系統(tǒng)KZC數(shù)據(jù)、模擬機數(shù)據(jù)、應急中心通信數(shù)據(jù)、后果評價輻射監(jiān)測數(shù)據(jù)、堆芯損傷評價、計算機源項通信數(shù)據(jù)、氣象數(shù)據(jù)等。
1.1.2 數(shù)據(jù)存儲和服務
    在與各個數(shù)據(jù)源進行數(shù)據(jù)交換后，系統(tǒng)將收到的數(shù)據(jù)以通用數(shù)據(jù)庫的形式保存起來，并可以隨時備份。這樣做有助于將來系統(tǒng)的擴展，并且通用數(shù)據(jù)庫支持的工具眾多，有利于數(shù)據(jù)分析。例如查找最大值、最小值、生成表格趨勢圖等。
1.1.3 人機界面
    人機界面支持流程圖畫面、日志、表格、輔助判斷畫面、GIS系統(tǒng)畫面、各種專家系統(tǒng)信息畫面等的顯示，且界面上的圖形應該可以動態(tài)變化，并支持操作人員制作和修改自己的畫面。
    系統(tǒng)應當支持趨勢組態(tài)工具，以提供簡單靈活的趨勢分組和組態(tài)功能，實現(xiàn)實時和歷史趨勢查看、對比分析功能，同時還能極其直觀地實現(xiàn)對多點多時間段的數(shù)據(jù)對比分析。
1.1.4 日志和報表
    系統(tǒng)應當支持日志和報表功能，以方便應急人員記錄和分析數(shù)據(jù)。
1.2 輔助判斷功能
1.2.1 應急狀態(tài)輔助判斷
    應急行動水平輔助判斷功能依據(jù)《核電站應急計劃》生成。
    系統(tǒng)在接收到來自電廠各個區(qū)域的信息后，與應急行動水平進行比較，經邏輯判斷后得出當前的狀態(tài)，如果發(fā)現(xiàn)應當進入應急狀態(tài)，則通過應急信息平臺自動將結果發(fā)給相關應急人員，在獲得具有權限的應急人員批準后，系統(tǒng)將進入應急狀態(tài)。
1.2.2 機組關鍵安全功能判斷
    系統(tǒng)選取可以反映核電站關鍵安全功能的機組參數(shù)與運行技術規(guī)格書中的安全限值進行比較，對各機組的核功率水平、堆芯冷卻、通過二回路系統(tǒng)對反應堆冷卻劑的熱量排出、反應堆冷卻劑的裝載量、安全殼的完整性參數(shù)進行監(jiān)視，實現(xiàn)反應性控制、堆芯冷卻、主回路完整性、主回路冷卻失效、安全殼完整性的輔助判斷。
1.2.3 參數(shù)超限報警功能
    系統(tǒng)提供的實時報警功能，可以把電廠各狀態(tài)重要數(shù)據(jù)參數(shù)錄入報警程序，當參數(shù)的實時數(shù)據(jù)超出了預先設定的高高限、高限、低限、 低低限的限值時，系統(tǒng)的報警數(shù)據(jù)信息會不斷閃爍同時伴有報警聲音，自動打印報警信息，并在系統(tǒng)中記錄報警的時間和報警信息。
    系統(tǒng)提供的報警類型有實時數(shù)據(jù)報警、變化率報警、偏差報警等多種類型；并提供手動確認和自動確認兩種報警確認方式。
1.2.4 堆芯損傷評價
    應急輔助決策系統(tǒng)向堆芯損傷評價軟件輸入數(shù)據(jù)，并提供單獨的畫面進行相應評價參數(shù)以及評價結果的顯示和調用。
1.2.5 環(huán)境事故后果評價
    環(huán)境事故后果評價計算機通過數(shù)據(jù)檢索，實現(xiàn)從應急輔助決策系統(tǒng)的數(shù)據(jù)庫直接獲取氣象數(shù)據(jù)和堆芯損傷評價計算得到的源項數(shù)據(jù)進行評價，評價結果以圖片和文本文件的方式輸出，應急決策系統(tǒng)直接調用這些圖片和文本文件通過特定方式進行顯示。
1.3 應急響應支持功能
    系統(tǒng)提供應急響應行動支持功能以協(xié)助應急人員執(zhí)行應急行動。應急響應行動支持功能如下：
    (1)自動通知功能
    系統(tǒng)提供自動通知功能，包括兩種情況：①系統(tǒng)自動判定發(fā)生應急相關事故和事件，通過手機短信的方式自動通知應急值班人員；②當系統(tǒng)判定進入相應的應急狀態(tài)(應急待命、廠房應急、場區(qū)應急、場外應急)時，應急人員手動錄入通知內容并選定通知的相關應急組或人員，系統(tǒng)通過手機短信的方式向指定人員發(fā)送事件通知。
    (2)到崗確認功能
    應急相關人員就位后通過應急決策系統(tǒng)報告到崗就位，系統(tǒng)根據(jù)反饋情況自動填充應急組織狀態(tài)圖。未到崗人員或組織白色顯示，全部就位的個人或組織灰色顯示，如圖1所示。

    通過點擊相應應急小組（如技術支持組），可以查看該組內人員的詳細信息。
    (3)應急任務單發(fā)放
    應急決策系統(tǒng)為每個應急人員設定用戶名和權限，當發(fā)生報警并進入應急狀態(tài)時，系統(tǒng)根據(jù)應急行動計劃的規(guī)定自動或手工給每個應急人員發(fā)送任務單。相應的應急人員使用自己的用戶名登錄系統(tǒng)自動獲取任務單。當應急狀態(tài)變化時，應急指令也應相應地變化。
    (4)應急資料查詢
    應急人員可以通過系統(tǒng)快速查詢到所需的機組畫面、應急指南等各種資料，從而根據(jù)這些資料和程序進行有效的響應；給每個應急指揮人員作一個簡潔的應急響應指南，以便于在最短的時間內查詢相關的資料和文件，做出快速有效的指揮和響應。
    (5)應急文件流轉
    應急系統(tǒng)的一個重要作用就是要實現(xiàn)應急過程報告、報表的電子化，提高應急過程的工作效率。
    文件的發(fā)起人指定了流轉順序，每一個處于流轉環(huán)節(jié)的應急人員分別處理自己的部分，在加蓋電子簽章后，流轉到下一部分或退回給上一個環(huán)節(jié)，每個人員可以隨時查看文件當前所處位置、處理狀態(tài)以及各個歷時版本，最大限度地保證文檔處理及時、準確。
    (6)電子簽名功能
    系統(tǒng)集成電子簽名功能。在核應急情況下，有些專業(yè)組與應急指揮室不在同一物理地點，報告由網絡傳遞，通過電子簽名功能可以實現(xiàn)報告的起草、審核、批準的流轉傳遞，并確保文件不被修改。
    (7)文件擬制簽字功能
    應急決策系統(tǒng)根據(jù)不同的事件依據(jù)應急計劃預先制定相關的應急報告和文件，系統(tǒng)通過Microsoft Excel實現(xiàn)相關的應急報告，應急人員在需要的時候可以登錄系統(tǒng)，手動調出相應的報告和文件(如初始通知、后續(xù)通知)，通過指定時間系統(tǒng)可以自動地在報告中添加該時間機組、氣象、環(huán)境等參數(shù)數(shù)值，方便應急人員快速準確地生成報告。系統(tǒng)集成文件電子簽名功能，電子簽名與手寫簽名有同樣的法律效力和不可更改功能。
    系統(tǒng)配備專門的動態(tài)數(shù)據(jù)定義組態(tài)平臺，將實時/歷史數(shù)據(jù)庫獲得數(shù)據(jù)轉移到 Excel中，從而利用 Excel 強大的分析和數(shù)據(jù)處理能力。報表打印包括自動打印和請求打印兩種。自動打印是由報表組態(tài)工具定義報表格式和事件觸發(fā)功能塊定義報表打印時間的報表，可以按周期觸發(fā)或按事件觸發(fā)來啟動自動打??；請求打印則由應急人員觸發(fā)打印功能。
    (8)應急信息顯示、繪圖功能
    應急輔助決策系統(tǒng)提供數(shù)字地圖、應急計劃區(qū)、主要應急設施、各應急集合點、應急撤離路線、氣象與環(huán)境監(jiān)測設施、醫(yī)療救護設施、消防設施等應急相關圖紙的查詢和顯示。
    系統(tǒng)提供交互式電子白板，計算機畫面（地圖）內容通過投影機投影在白板上，計算機與電子白板通過網線建立連接，應急人員在電子白板上手繪應急撤離路線等內容，會自動體現(xiàn)到計算機相應的文件中，實現(xiàn)系統(tǒng)的繪圖功能。
1.4 應急演習功能
    在核電站實際運行過程中，可能直到退役也不會出現(xiàn)真的事故，而應急人員應當可以隨時熟悉應急流程，以便在事故情況下快速實施，因此，應急演習功能就是應急系統(tǒng)最重要的功能之一。
    為了達到高仿真，應急系統(tǒng)要求能夠接收機組模擬數(shù)據(jù)，并且可以自定義氣象、環(huán)境、KKK、輻射監(jiān)測等信息，并通過對模擬數(shù)據(jù)的判斷，啟動相應的應急響應流程，同時系統(tǒng)還應該在沒有模擬數(shù)據(jù)的情況下，直接啟動應急響應演習，以方便應急人員練習。
    系統(tǒng)提供事故工況畫面和演習工況畫面，在事故工況下系統(tǒng)顯示數(shù)據(jù)為真實的機組工況數(shù)據(jù)、氣象數(shù)據(jù)、廠區(qū)出入監(jiān)督系統(tǒng)數(shù)據(jù)、控制區(qū)出入檢測系統(tǒng)數(shù)據(jù)；在模擬工況下（應急演習）系統(tǒng)顯示的機組數(shù)據(jù)從模擬機獲取，氣象數(shù)據(jù)、廠區(qū)出入監(jiān)督系統(tǒng)數(shù)據(jù)、控制區(qū)出入檢測系統(tǒng)數(shù)據(jù)根據(jù)應急情景編制，通過文本文件輸入到應急決策系統(tǒng)。
2 系統(tǒng)技術分析
    由于各種原因，國內現(xiàn)役及在建的核電站所用儀控系統(tǒng)各有不同，甚至同一電站不同機組所用的儀控系統(tǒng)也不相同，再加上種類繁多的專家系統(tǒng)，應急系統(tǒng)與其進行數(shù)據(jù)交換時，往往需要同時面對Modbus、TCP、OPC以及各種自定義的通信協(xié)議，而對外部傳輸?shù)膮?shù)也可能隨著情況而變化，這就要求數(shù)據(jù)通信功能在保證穩(wěn)定性、準確性的同時，還要具有最大的兼容性。
    系統(tǒng)提供的輔助決策功能同樣不能太過僵化。當機組傳入的參數(shù)發(fā)生變化時，系統(tǒng)應該能夠通過簡單的修改即可支持這種變化，同樣，當要監(jiān)視的報警信息增加或者減少時，系統(tǒng)也應當只需進行簡單修改。
    應急響應支持的功能平時并不運行，只是在演習或者事故發(fā)生時才啟用，因此，其關注的重點應當是在易用性上，對穩(wěn)定性的要求則沒有數(shù)據(jù)通信功能高。
    此外，上述3個功能都應當支持應急演習功能，也就是既要能保證演習數(shù)據(jù)與真實數(shù)據(jù)的處理方式相同，同時還要將兩者在記錄時加以區(qū)分，以保證查詢時不會混淆。3個功能的特點分析如表1所示。

    綜上可以看出，由于使用人員以及運行情況的不同，數(shù)據(jù)通信和輔助判斷部分更強調穩(wěn)定性和準確性，而應急響應支持部分則更偏重易用性，應急演習功能則貫穿于整個系統(tǒng)。
3 設計方案
3.1 體系結構
    應急系統(tǒng)在核電站中往往部署在專網中，以保證事故情況下應急系統(tǒng)能夠獨立運行。系統(tǒng)如果采用單一的C/S或者B/S結構，很可能為了滿足某一部分的功能而造成大幅增加軟件復雜度的情況。因此，這里采用C/S和B/S的混合結構來實現(xiàn)系統(tǒng)，從而合理利用兩種方式的優(yōu)點[4]。
    應急系統(tǒng)體系結構如圖2所示，系統(tǒng)中共部署3臺服務器，其中1臺為C/S結構中的通信服務器，1臺是B/S結構中的Web服務器，還有1臺作為數(shù)據(jù)服務器，里面安裝有微軟SQL2005數(shù)據(jù)庫，用于存儲通信服務器以及Web服務器的數(shù)據(jù)。通信服務器和Web服務器通過數(shù)據(jù)服務器進行數(shù)據(jù)交換。

    系統(tǒng)中的設備通過核心交換機連接。應急系統(tǒng)客戶端可以部署在廠區(qū)的各個位置，如果需要實時監(jiān)視數(shù)據(jù)，并且對過程進行控制，則需要安裝C/S的客戶端，否則直接通過瀏覽器訪問Web服務器即可實現(xiàn)瀏覽功能。
    系統(tǒng)通過網關與外部通信系統(tǒng)相連接。各種不同格式的數(shù)據(jù)在經過網關處理后，轉換為通信服務器能夠識別的格式，并傳入通信服務器，通信服務器對其進行分析，如果有報警或者應急狀態(tài)的變化，則通過HMI部分顯示出來。并實時地將數(shù)據(jù)存入數(shù)據(jù)服務器，供Web服務器和專家系統(tǒng)使用。
    各個專家系統(tǒng)通過交換機直接連接數(shù)據(jù)服務器，獲取各自所需要的數(shù)據(jù)，經過分析處理后，再將結果保存到數(shù)據(jù)服務器，供客戶端查看。
    最后，應急系統(tǒng)通過防火墻和路由器，定時將數(shù)據(jù)傳輸?shù)酵獠康膽敝行摹?br /> 3.2 軟件結構設計
    如圖3所示，應急決策系統(tǒng)軟件體系結構分為數(shù)據(jù)接入、數(shù)據(jù)處理層、數(shù)據(jù)應用3個層次，該系統(tǒng)適用于數(shù)據(jù)采集顯示、數(shù)據(jù)存儲、工藝流程模擬、趨勢分析，應急輔助判斷、應急資料查詢、應急演習數(shù)據(jù)模擬等功能。

3.2.1 C/S結構設計
    由于C/S方式的穩(wěn)定和可靠的特性，可以用于實現(xiàn)與各種外部系統(tǒng)通信，對接收到的數(shù)據(jù)進行分析處理，并提供給流程圖頁面和輔助判斷功能進行顯示，最后將數(shù)據(jù)傳入數(shù)據(jù)服務器保存。
    與應急系統(tǒng)通信的主要部分是核電站的儀控系統(tǒng)（DCS）系統(tǒng)，雖然各個電廠以及各個機組的DCS系統(tǒng)均有可能不同，但都支持標準的工業(yè)傳輸協(xié)議(如MODBUS、OPC等)。另外，氣象、環(huán)境信息以及KKK等信息的提供系統(tǒng)也大都支持這些協(xié)議，因此，C/S部分功能實現(xiàn)方式直接采用DCS系統(tǒng)。
3.2.2 B/S結構設計
    系統(tǒng)采用HTTP協(xié)議為標準通信協(xié)議，以SQL Server 2005(部署在數(shù)據(jù)服務器上)作為后臺數(shù)據(jù)庫，共分三層：
    (1)客戶端（即瀏覽器），主要完成客戶與后臺的交互及最終查詢結果的輸出功能?？蛻敉ㄟ^瀏覽器向服務層發(fā)起請求，服務層將結果以及相關文檔傳回給客戶端并顯示。
    (2)部署在Web服務器上的服務層，其作用是響應客戶端的請求，并與數(shù)據(jù)庫進行通信，獲取所需要的數(shù)據(jù)，再將結果傳回給客戶端，或根據(jù)客戶端的操作修改數(shù)據(jù)庫中的數(shù)據(jù)。
    服務層也分為三層，分別是表現(xiàn)層、業(yè)務邏輯層和數(shù)據(jù)訪問層。表現(xiàn)層采用C#、ASP.NET、AJAX、HTML、CSS等技術來實現(xiàn)，用于控制界面的顯示。業(yè)務邏輯層采用C#語言實現(xiàn)，用于處理應急響應過程中的各種邏輯操作。數(shù)據(jù)訪問層采用C#和ADO.NET實現(xiàn)，用于處理SQL Server的相關操作。
    服務層的三層架構方式具有如下優(yōu)點：結構清晰，易維護；代碼功能抽象，易重用；實現(xiàn)了功能、職責的獨立，擴展性高；程序員可以并行開發(fā)，互不干擾，提高了開發(fā)效率。
    (3)數(shù)據(jù)庫層，采用SQL Server2005，部署在數(shù)據(jù)服務器上，用于存儲應急響應系統(tǒng)所有相關數(shù)據(jù)(如用戶信息、文檔信息、日志等)。
3.3 硬件構成
    系統(tǒng)硬件主要包括網絡系統(tǒng)、計算機系統(tǒng)、通信系統(tǒng)、會議室系統(tǒng)。網絡系統(tǒng)包括交換機、路由器、防火墻；會議室系統(tǒng)包括顯示系統(tǒng)、擴聲系統(tǒng)、會議系統(tǒng)、攝像系統(tǒng)、集中控制系統(tǒng)、視頻會議設備、音頻系統(tǒng)。結構如圖4所示。

3.4 網絡結構設計
    應急決策系統(tǒng)包括外部網絡、EG樓網絡、廠內網絡。
    (1)外部網絡
    與核安全局、中核總等單位建立通信網絡，此網絡由2 M專線或ISDN組成。此網絡用于與相關單位建立視頻會議和數(shù)據(jù)通信。
    (2)EG樓網絡
    應急決策系統(tǒng)的專用網絡，網絡連接系統(tǒng)的服務器、臺式工作站、筆記本工作站、后果評價計算機和機組網關、KKK、KZC等系統(tǒng)。
    應急專網采用單一核心交換機，支持路由和防火墻功能，雙路交流電源供電，該交換機采用模塊化結構提供高性能的數(shù)據(jù)處理能力和高可靠性。交換機連接系統(tǒng)的服務器、工作站和數(shù)據(jù)通信源系統(tǒng)，為保證數(shù)據(jù)源系統(tǒng)的安全性，在交換機上應用VLAN、訪問列表等功能，以保證應急網和數(shù)據(jù)源網絡的安全。
    (3)廠內網絡
    核電站的辦公網絡，部分應急專業(yè)組通過該網與EG樓網絡連接進入應急決策系統(tǒng)，堆芯損傷計算機也在該網絡上。該網絡與應急專網的路由連接實現(xiàn)路由，通過應急專網的防火墻進行網絡安全防護。防止從辦公網絡對應急專網的網絡攻擊。
3.5 方案總結
    通過以上設計，應急輔助決策系統(tǒng)最終可以實現(xiàn)應急數(shù)據(jù)監(jiān)視、輔助判斷決策、響應流程支持等功能。
    另外，系統(tǒng)還具有如下優(yōu)點：
    (1)提供開放的、平臺級的設備和管理工具，可根據(jù)業(yè)務需要進行擴展；
    (2)具有開放性、可擴展性、易用性、實時性、安全性以及高可靠性的特點；
    (3)具有優(yōu)良的性能價格比和較低的開發(fā)、維護和運營成本；
    (4)有利于保護原來的信息化建設的成果和投資。
    本文設計的核電站應急輔助決策系統(tǒng)具有功能明確、運行環(huán)境穩(wěn)定、軟件成本適中、管理界面友好、靈活性強和操作簡便的優(yōu)點。該系統(tǒng)已經應用于秦山二期核電站，為應急狀態(tài)下應急管理以及指揮決策提供了有力的支持。

參考文獻
[1] 國家核安全局.核電站營運單位的應急準備和應急響應(HAF002/01)[S].1998.5.12.
[2] 國家核安全局.核電站設計安全規(guī)定(HAF102)[S].1991. 7.27.
[3] 國務院.核電站核事故應急管理條例(HAF002)[S].1993. 8.4.
[4] 劉璐，汪傳生.基于Web的DCS數(shù)據(jù)監(jiān)控系統(tǒng)設計與實現(xiàn)[J].橡膠工業(yè)，2005(52)：102.