В. Р. Аксенов, В. А. Василенко
Принципы создания
автоматизированных систем управления
технологическими процессами
атомных электростанций
Оглавление
Санкт- П етербург
«Моринтех»
2005
УДК 621.039
А 42
2 Аксенов В. Р., Василенко В. А. Принципы создания автоматизированных
систем управления технологическими процессами атомных электростан-
ций.— СПб.: ООО «НИЦ «Моринтех», 2005. — 264 с.
ISBN 5-93887-027-5
Рассмотрены принципы создания АСУ ТП АЭС. Главное внимание уделено прин-
ципам обеспечения безопасности АЭС, человеческому фактору, архитектуре АСУ ТП,
принципам управления АЭС в режимах нормальной эксплуатации и нарушениях нор-
мальной эксплуатации, включая аварии, принципам создания блочного пункта управ-
ления и человеко-машинного интерфейса.
Книга предназначена для проектировщиков и разработчиков АСУ ТП АЭС, а так-
же может быть использована в учебном процессе для подготовки инженеров по специ-
альностям «Атомные электрические станции и установки», «Ядерные реакторы и энер-
гетические установки».
ISBN 5-93887-027-5
© Аксенов В.Р., Василенко В.А., 2005
© ООО «НИЦ «Моринтех», 2005
СОДЕРЖАНИЕ
ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ................................... 5
ВВЕДЕНИЕ............................................................9
ГЛАВА 1. ХАРАКТЕРИСТИКИ АЭС КАК ОБЪЕКТА УПРАВЛЕНИЯ.................11
1.1. Характеристики АЭС нового поколения с реакторами ВВЭР.....11
1.2. Особенности АЭС как объекта управления...................29
ГЛАВА 2. ТЕНДЕНЦИИ РАЗВИТИЯ АСУ ТП АЭС..............................48
2.1.	Общие подходы к созданию АСУ ТП АЭС.......................48
2.2	Подходы к созданию АСУ ТП зарубежных и российских АЭС.....51
2.3.	Тенденции в организации блочных пунктов управления.......67
2.4.	Тенденции в организации информационного обеспечения
оперативного персонала............................................73
ГЛАВА 3. РОЛЬ ЧЕЛОВЕКА-ОПЕРАТОРА В УПРАВЛЕНИИ АЭС...................81
3.1.	Роль человека-оператора в обеспечении безопасной эксплуатации АЭС 81
3.2.	Ошибки операторов блочного пункта управления.............89
3.3.	Анализ ошибок оперативного персонала АЭС.................93
3.4.	Пути совершенствования деятельности человека-оператора .101
ГЛАВА 4. ПРИНЦИПЫ СОЗДАНИЯ АСУТП АЭС..............................107
4.1.	Концептуальные вопросы создания АСУ ТП АЭС..............107
4.2.	Принципы обеспечения безопасности при создании АСУ ТП АЭС.НО
4.3.	Принципы проектирования АСУТП АЭС.......................117
4.4.	Управление АЭС в режимах эксплуатации ..................126
ГЛАВА 5. АРХИТЕКТУРА АСУ ТП АЭС...................................146
5.1.	Требования к архитектуре АСУ ТП АЭС.....................146
5.2.	Классификация подсистем АСУТП по отношению к безопасности
и сейсмическим воздействиям.....................................151
5.3.	Архитектура АСУ ТП АЭС..................................153
5.4.	Архитектура управляющей системы безопасности............162
5.5.	Архитектура управляющих систем нормальной эксплуатации,
важных для безопасности. Архитектура управляющих систем нормальной
эксплуатации....................................................174
5.6.	Архитектура систем нормальной эксплуатации..............178
ГЛАВА 6. ПРИНЦИПЫ СОЗДАНИЯ БПУ И ЧЕЛОВЕКО-МАШИННОГО
ИНТЕРФЕЙСА....................................................179
3
Принципы создания АСУ ТП АЭС
6.1.	Основы проектирования БПУ.............................179
6.2.	Функциональное проектирование БПУ.....................182
6.3.	Организация БПУ.......................................188
6.4.	Принципы разработки человеко-машинного интерфейса.....193
6.5.	Организация сигнализации..............................207
6.6.	Система поддержки оперативного персонала БПУ..........216
6.7.	Обеспечение качества..................................226
6.8.	Проверка и утверждение проекта БПУ....................227
ГЛАВА 7. ТЕХНОЛОГИЯ СОЗДАНИЯ АСУ ТП АЭС.........................229
7.1.	Требования к технологии создания АСУ ТП АЭС...........229
7.2.	Проектирование деятельности человека-оператора........230
7.3.	Технология проектирования ПТК АСУ ТП АЭС..............240
7.4.	Разработка программного обеспечения АСУ ТП АЭС........245
7.5.	Исследование и отработка проектных решений............251
ЗАКЛЮЧЕНИЕ.......................................................256
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ.................................258
ПЕРЕЧЕНЬ ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ
АВ АВР АЗ АЗТП АКНП АКТП АЛОС АПЭН АРМ АРМР АРОМ АРС АСДУ АСР АСРК АСУ ТП	—	автоматический выключатель —	автоматическое включение резерва —	аварийная защита (реактора) —	аварийная защита (реактора) по технологическим параметрам —	аппаратура контроля нейтронного потока —	аппаратура контроля технологических параметров —	аппаратура логической обработки сигналов —	аварийный питательный электронасос —	автоматизированное рабочее место —	автоматический регулятор мощности реактора —	аппаратура разгрузки и ограничения мощности —	автоматический регулятор скорости (турбины) —	автоматизированная система дистанционного управления —	аварийная система расхолаживания —	автоматизированная система радиационного контроля —	автоматизированная система управления технологическми процессами
АФАК АЭС БЗОК БПУ БРУ А д к сн БЩРК ВВЭР вд ГЕ ГПК ГО ГЦН	—	аппаратура формирования аварийных команд —	атомная электростанция —	быстрозапорный отсечной клапан —	блочный пункт управления —	быстродействующая редукционная установка (сброса пара): —	в атмосферу —	в деаэратор —	в конденсатор турбины —	в систему собственных паровых нужд —	блочный щит радиационного контроля —	водо-водяной энергетический реактор —	высокое давление —	гидроемкость —	главный паровой коллектор —	гермооболочка (гермообьем) —	главный циркуляционный насос
5
Принципы создания АСУ ТП АЭС
дгс
дп
им
ИПУ
ияэ
кд
кип
кптс
КФБ
кэ
КЭН
ЛВС
МАГАТЭ
мк
МКУ
МПА
MP3
нд
ОМС
ОР
пг
пз
ПЗ-1 (ПЗ-2)
ПЗУ
по
ПС
ппз
птк
птс
ПТУ
ПЭВМ
ПЭН
РМК
РО
РПУ
РУ
САОЗ
САПР
САЭ
СБ
дизель-генераторная станция
доохладитель продувки
исполнительный механизм
импульсное предохранительное устройство
 Институт ядерной энергетики
компенсатор давления
контрольно-измерительный прибор
комплекс программно-технических средств
критическая функция безопасности
комплекс электрооборудования
конденсатный электронасос
локальная вычислительная сеть
Международное агентство по атомной энергии
 модуль контроллера
минимальный контролируемый уровень (мощности)
максимальная проектная авария
максимальное расчетное землетрясение
низкое давление
обобщенная мнемосхема
орган регулирования
парогенератор
предупредительная защита (реактора)
предупредительная защита первого (второго) рода
постоянное запоминающее устройство
программное обеспечение
поглощающий стержень
- противопожарная защита
программно-технический комплекс
программно-технические средства
паротурбинная установка
персональная электронная вычислительная машина
питательный электронасос
расчетно-моделирующий комплекс
реакторное отделение
резервный пункт управления
реакторная установка
система аварийного охлаждения зоны
система автоматизированного проектирования
система аварийного электроснабжения
система безопасности
6
Перечень используемых сокращений
СВБУ	— система верхнего блочного уровня
СВРК	— система внутриреакторного контроля
СГИУ	— система группового и индивидуального управления
С И АЗ	— система индустриальной антисейсмической защиты
СК	— стопорный клапан
СКУ	— система контроля и управления
СКУД	— система контроля, управления и диагностики (реакторной установки)
снэ	— система нормальной эксплуатации
СНЭВБ	— система нормальной эксплуатации, важная для безопасности
СОА И	— симптомно-ориентированная аварийная инструкция
СПО	— система поддержки оператора
СПОТ	— система пассивного отвода тепла
СППБ	— система представления параметров безопасности
сткг	— система технологического контроля генератора
СУЗ	— система управления и защиты (реактора)
TAB	— теплообменник аварийного вывода
твс	— тепловыделяющая сборка
твэ	— тепловыделяющий элемент
то	— турбинное отделение
ТОУ	— технологический объект управления
тэн	— трубчатый электронагреватель (компенсатора давления)
УПЗ	— ускоренная предупредительная защита (реактора)
УСБ	— управляющая система безопасности
УСБИ	— управляющая система безопасности инициирующая
УСБТ	— управляющая система безопасности по технологическим параметрам
УСВБ	— управляющие системы, важные для безопасности
УСНЭ	— управляющие системы нормальной эксплуатации
УСНЭ ВБ	— управляющие системы нормальной эксплуатации, важные для безопасности
УСО	— устройство сопряжения объектом
УСС	— устройство сопряжения и согласования
ФМ	— функциональный модуль
ФПМ	— функциональный программный модуль
ФТГ	— функционально-технологическая группа
ФТК	— функционально-технологический комплекс
ФТП	— функционально-технологическая подсистема
цвд	— цилиндр высокого давления
ЦНД	— цилиндр низкого давления
7
Принципы создания АСУ ТП АЭС
ЦТП — центр технической поддержки
ЦЩРК — центральный щит радиационного контроля
цщу чми щос ЭВМ экп ЭЛАИ ЭЛТ эч ЯППУ ATWS BWR EPR IAEA IEC INSAG	—	центральный щит управления —	человеко-машинный интерфейс —	щит общестанционных систем —	электронная вычислительная машина —	экран коллективного пользования —	электронная аварийная инструкция —	электронно-лучевая трубка —	электрическая часть —	ядерная паропроизводящая установка —	авария с отказом системы быстрого останова реактора —	реактор с кипящей водой —	европейский реактор с водой под давлением —	Международное агентство по атомной энергии —	Международная электротехническая комиссия —	Международная консультативная группа по ядерной безопасности
LOCA PAMS PWR MSI KKS	—	авария с потерей теплоносителя —	система послеаварийного мониторинга —	реактор с водой под давлением —	устройство сбора информации и сервиса —	система кодирования энергетических установок
ВВЕДЕНИЕ
Новым этапом в развитии атомной энергетики России является разработ-
ка проектов атомных электростанций (АЭС) с реакторными установками (РУ)
повышенной безопасности — АЭС с водо-водяными энергетическими реак-
торами (ВВЭР) ВВЭР-640 (РУ В-407), ВВЭР-1000 (РУ В-392). В настоящее
время разработаны концепция, технические задания и ведется разработка ба-
зового проекта АЭС с ВВЭР-1500 (РУ В-448). Ведется строительство АЭС в
Китае с реакторной установкой ВВЭР-1000 (РУ В-428), начато строительство
АЭС в Индии с реакторной установкой ВВЭР-1000 (РУ В-412), использую-
щей основные решения РУ В-392. Новые АЭС создаются с использованием
опыта, накопленного при проектировании и эксплуатации АЭС с ВВЭР, ко-
торые были введены в действие в республиках бывшего СССР, странах Вос-
точной Европы и Финляндии [58].
Если совершенствование АЭС с ВВЭР идет эволюционным путем, то при
создании автоматизированных систем управления технологическими процес-
сами (АСУ ТП) зарубежных и российских АЭС имеет место революционный
подход. Современная концепция управления атомной станцией предусмат-
ривает широкое внедрение средств микропроцессорной техники. На блоч-
ных пунктах управления устанавливаются компактные дисплейные пульты,
вместо традиционных мнемосхем с множеством сигнальных табло и индика-
торов устанавливаются проекционные экраны или обобщенные мнемосхемы
[5]. Создание АСУ ТП ведется с использованием новейших технологий с уче-
том требований российских и зарубежных нормативных документов.
Материалы по новым проектам АСУТП, за редким исключением [10, 31],
содержатся только в периодической печати. В связи с этим существует острая
необходимость в издании монографии, обобщающей опыт проектирования
АСУ ТП АЭС с ВВЭР-640, АЭС с ВВЭР-1000 и зарубежных АЭС.
Основное внимание в монографии уделено концептуальным вопросам и
принципам создания АСУ ТП, в том числе:
—	концепции управления АЭС в режимах нормальной эксплуатации и на-
рушения нормальной эксплуатации, включая аварии;
—	принципам создания управляющих систем нормальной эксплуатации и
управляющих систем, важных для безопасности;
—	архитектурным решениям при создании АСУ ТП;
9
Принципы создания АСУ ТП АЭС
—	принципам создания блочного пункта управления;
—	принципам организации человеко-машинного интерфейса.
Строительство АЭС за рубежом потребовало от российских разработчи-
ков АСУ ТП глубокого знания зарубежной нормативной базы. Эти знания
необходимы не только специалистам в области проектирования систем
управления, но и эксплуатационному персоналу АЭС. В монографии рассмат-
риваются требования к обеспечению фундаментальных функций безопасно-
сти, учету человеческого фактора, реализации принципа разнообразия при
создании управляющих систем безопасности, выполнению функционально-
го анализа блочного пункта управления.
Монография разработана на основе личного опыта авторов в проекти-
ровании одной из первых в России компьютеризированных АСУ ТП АЭС с
ВВЭР-640 [55, 85, 108], а также на основе курса лекций «Автоматизирован-
ные системы управления АЭС», прочитанных авторами в Санкт-Петербургс-
ком политехническом университете (СПбГПУ) и в Институте ядерной энер-
гетики (филиале) СПбГПУ в г. Сосновый Бор [52].
Необходимо отметить, что разработка проекта АСУ ТП АЭС с ВВЭР-640
выполнена специалистами СПбАЭП, НИТИ им. А. П. Александрова, ОКБ «Гид-
ропресс», РНЦ «Курчатовский институт», ЛМЗ, АО «Электросила», ВНИИА
с участием И. В. Кухтевича, А. В. Молчанова, О. Л. Этеля,[А. А. Лащевской|,
И. И. Мануйловой, В. Н. Михайлова, В. Г. Михалицына, |М. А. Сивоволова],
Е. И.Дербукова, В. И. Дмитренко, Ю. Н. Кудицкого, С. В. Батракова, Н. П. Ко-
ноплева, И. В. Погорелова, В. В. Горбаева, В. Л. Кишкина, А. Д. Нарица и
многих других специалистов.
В монографии использованы также материалы, разработанные М. Г. Па-
расоцкой с участием В. Р. Аксенова и В. С. Свердлова, посвященные концеп-
ции управления АЭС с ВВЭР-1500.
Авторы выражают признательность В. С. Батанину, Л. Л. Карабутовой,
Т. Р. Сурновой, Е. В. Куликовой за большую помощь в подготовке рукописи к
изданию.
ГЛАВА 1. ХАРАКТЕРИСТИКИ АЭС КАК ОБЪЕКТА УПРАВЛЕНИЯ
1.1.	Характеристики АЭС нового поколения с реакторами ВВЭР
Работа над проектами АЭС нового поколения с реакторными установка-
ми ВВЭР-640, ВВЭР-1000 и ВВЭР-1500 ведется по Государственной програм-
ме «Экологически чистая энергетика». Концепция энергоблоков нового по-
коления базируется на эволюционном пути развития технологии реакторов
ВВЭР и предусматривает достижение более высокого уровня безопасности
со снижением расчетных частот повреждения активной зоны и аварийных
выбросов до более низких значений, чем заложенные в ОПБ-88/97. Это дос-
тигается путем [76]:
—	выполнения основных функций безопасности разнопринципными си-
стемами (активными и пассивными);
—	оптимального совмещения системами АЭС функций безопасности и
нормальной эксплуатации;
—	оснащения АЭС локализующими системами безопасности, рассчитан-
ными на выполнение функций безопасности не только при проектных, но и
при запроектных авариях.
В работе [58] отмечаются следующие особенности новых проектов в части
обеспечения безопасности:
-	применение двойных защитных оболочек с контролируемым простран-
ством между ними;
—	наличие активных и пассивных систем безопасности, причем пассив-
ные системы могут выполнить все функции безопасности без активных сис-
тем и без вмешательства оператора, по крайней мере, в течение 24 ч;
-	возможность обеспечения безопасности активными системами (часть
из них выполняет также функции систем нормальной эксплуатации) без вме-
шательства пассивных систем для наиболее вероятных аварий, не сопровож-
дающихся полной потерей переменного тока на АЭС;
-	обеспечение останова реактора в случае необходимости как путем вве-
дения в активную зону органов регулирования под действием силы тяжести,
так и введением в теплоноситель борной кислоты;
—	наличие для расхолаживания и отвода остаточного тепловыделе-
ния в случае аварий, не сопровождающихся значительными потерями
11
Принципы создания АСУ ТП АЭС
теплоносителя 1-го контура, систем пассивного отвода тепла (СПОТ) от па-
рогенераторов;
—	осуществление при авариях с потерей теплоносителя 1-го контура по
мере снижения давления подпитки 1-го контура из гидроемкостей системы
аварийного охлаждения активной зоны (САОЗ). Запасенный в гидроемкос-
тях объем воды (с учетом работы СПОТ от парогенератора) позволяет сохра-
нять активную зону под заливом в течение как минимум 24 ч без ввода в дей-
ствие активных систем безопасности;
—	наличие систем для управления запроектными авариями, в том числе
технических возможностей удержания расплава в корпусе реактора и «ловуш-
ки» расплава, размещенной под корпусом реактора, предусмотренных впер-
вые. Предусматриваются также меры по исключению взрывоопасных кон-
центраций водорода и защите контейнмента от превышения давления при
тяжелых авариях.
Современные АЭС компонуются моноблоками. Блок состоит из реактор-
ной установки с водо-водяным энергетическим реактором с водой под давле-
нием и турбоустановки. Тепловая схема двухконтурная.
1 -й контур радиоактивный и состоит из гетерогенного реактора на тепло-
вых нейтронах, четырех главных циркуляционных петель, парового компен-
сатора давления и вспомогательного оборудования. В состав каждой цирку-
ляционной петли входят парогенератор (ПГ), главный циркуляционный насос
(ГЦН), главный циркуляционный трубопровод. Нагреваемый при прохож-
дении через активную зону реактора теплоноситель 1-го контура поступает в
парогенераторы, где отдает свое тепло через стенки трубной системы воде
2-го контура.
2-й контур не радиоактивный и состоит из паропроизводительной части
парогенераторов, главных паропроводов, одного турбоагрегата, вспомогатель-
ного оборудования и обслуживающих систем, оборудования деаэрации, по-
догрева и подачи питательной воды в парогенераторы.
Турбина снабжена конденсационным устройством, регенеративной установ-
кой для подогрева питательной воды, сепараторами-пароперегревателями, име-
ет нерегулируемые отборы пара на подогреватели системы регенерации, собствен-
ные нужды станции и на подогрев добавки химически очищенной воды в цикл.
Сравнительные характеристики реакторных установок, а также характе-
ристики серийной АЭС с реакторной установкой В-320 приведены в табл. 1.1.
Как видно из таблицы, большинство параметров новых реакторов
ВВЭР-1000 (проекты В-392, В-428) и эксплуатируемого ВВЭР-1000 (проект
В-320) совпадают. В проектах реакторов ВВЭР-640 и ВВЭР-1500 увеличено
давление пара в парогенераторах, что существенно улучшает термодинами-
ческий КПД блока [58].
12
Гл. 1. Характеристики АЭС как объекта управления
Таблица 1.1
Характеристики АЭС с реакторами ВВЭР
Характеристика	Тип реакторной установки				
	В-320	В-407	В-428	В-392	В-448
	Серийн.	ВВЭР-640	АС-91/99	АС-92	ВВЭР-1500
Мощность тепловая, МВт	3000	1800	3000	3000	4250
Давление пара в пароге- нераторе, МПа	6,3	7,1	6,3	6,3	7,34
Давление в реакторе на вы- ходе из активной зоны, МПа	15,7	15,7	15,7	15,7	15,7
Температура теплоноси- теля в реакторе, °C: на входе на выходе	289,7 320	293,9 323,3	289,7 320	291 321	297,6 330
Число кассет, шт.	163	163	163	163	241
Количество ОР СУЗ, шт.	61	121	121	121	121
Наружный диаметр кор- пуса реактора,м	4,54	4,54	4,54	4,54	5,42
Диаметр ТВЭ (наружи.), мм	9,1	9,1	9,1	9,1	9,1
Средняя удельная энер- гонапряженность актив- ной зоны, кВт/л	107,8	64,5	107,8	109	87
Максимальная линейная нагрузка на ТВЭ, Вт/см	448	265	448	448	340
Время нахождения (кампания) топлива в ак- тивной зоне, лет	3	3	3	3	4-5
Глубина выгорания топ- лива средняя, МВт-сут/кгО	40,2	40,4	43	43	55-60
Обогащение топливной подпитки изотопом U, %	4,4	3,45	3,9	4,4	4,4
Влажность пара на вы- ходе из ПГ, %	0,2	0,2	0,2	0,2	0,2
Запас до возникновения кризиса кипения	1,7	2,77	1,7	1,7	1,7
Срок службы РУ, лет	30	50-60	40	40	60
Количество органов регулирования (ОР) системы управления и защиты
реактора (СУЗ) увеличено по сравнению с проектом В-320 с 61 до 121. В этом
случае их эффективности достаточно (с учетом застревания одного органа
13
Принципы создания АСУ ТП АЭС
регулирования), чтобы остановить реактор и расхолодить его до температуры
20—100°С без ввода борной кислоты.
Ниже рассматриваются особенности АЭС нового поколения с ВВЭР-640,
ВВЭР-1000 и ВВЭР-1500.
Проект АЭС средней мощности с ВВЭР-640
Концепция АЭС. Проект АЭС с ВВЭР-640 по сравнению с проектами элек-
тростанций-предшественников ориентирован на преимущественное приме-
нение пассивных систем безопасности и систем нормальной эксплуатации,
важных для безопасности. Активные системы при работе на мощности вы-
полняют две основные функции [76]:
—	сглаживание процесса залива активной зоны после включения в работу
гидроемкостей высокого давления;
—	заглушение реактора при возникновении аварий без срабатывания ава-
рийной защиты реактора (ATWS), что не может быть обеспечено пассивными
системами.
Энергоблок предназначен для выработки электроэнергии в базовом ре-
жиме несения нагрузки. Предусматривается возможность теплоснабжения
внешних потребителей. Оборудование блока разрабатывается с учетом выра-
ботки электроэнергии в режиме суточного графика нагрузки.
Принципиальная технологическая схема реакторной установки приведе-
на на рис. 1.1.
Активная зона реактора состоит из 163 кассет. Применение активной зоны
на базе тепловыделяющих сборок реактора ВВЭР-1000 в сочетании с пони-
женными удельными нагрузками позволило использовать системы с пассив-
ными принципами для аварийного охлаждения активной зоны и отвода оста-
точного тепловыделения от реактора и из бассейна отработанного топлива.
Основная концепция безопасности энергоблока соответствует мировой
тенденции развития атомной энергетики и относится к классу эволюцион-
ных проектов с пассивными системами безопасности. Оптимальное сочета-
ние в системах безопасности пассивных и активных элементов, использова-
ние проверенных в отечественной практике оборудования, узлов и систем, а
также впервые применение таких решений, как двойная защитная оболочка,
бассейновое охлаждение активной зоны и т.д., позволяют существенно повы-
сить безопасность, надежность и экономичность станции [63].
Основные особенности проекта:
—	повышение безопасности АЭС, обеспечиваемое пассивными система-
ми в аварийных ситуациях, включая перегрузку топлива и ремонтные рабо-
ты, в принципе, без ограничения времени и без внешних источников элект-
ропитания;
14
Гл. 1. Характеристики АЭС как объекта управления
19/
й й
Пар на ТГ
Питат. вода
от ПВД
4^ Д ^Д<
Пар на ТГ
в——й
Питат. вода
от ПВД
Градирня
д......
Питат. вода
от ПВД
Дтги.-.п
Питат. вода
от ПВД
Пар на ТГ
д ,д„„
Рис. 1.1. Принципиальная технологическая схема реакторной установки
АЭС с ВВЭР-640:
1 — реактор; 2 — главный циркуляционный насос; 3 — парогенератор;
4 - компенсатор давления; 5 — гидроемкость САОЗ; 6 — емкость САОЗ;
7 — сплинкерный коллектор; 8 — бак запаса воды; 9 — теплообменник СПОТ;
10 - спусковой клапан СПОТ; 11 - БРУ-А; 12 - регенеративный теплообменник;
13 — доохладитель; 14 — установка спецводоочистки; 15 — барботер-дегазатор;
16 - топливный бассейн; 17 — сетчатый фильтр; 18 — охладитель герметичного объема;
19 — герметичная оболочка; 20 — насос аварийной подпитки 1-го контура;
21,22 - насос системы охлаждения топлива; 23, 24 — насос системы подпитки 1-го контура;
25 — теплообменник системы охлаждения топлива;
26 — теплообменник вывода теплоносителя; 27 — демпферный бак;
28 - насос промконтура потребителей РО; 29 — теплообменник промконтура
и хххх хх а:
хх хх
ZI 11
1 о у Пар на ТГ
Т д д
13 14
\12
а: а: а:а: а: а:
Градирня
15
Принципы создания АСУ ТП АЭС
—	повышение уровня надежности, безопасности и готовности за счет мак-
симального использования опыта создания и эксплуатации блоков с реакто-
рами типа ВВЭР-440 и ВВЭР-1000;
—	снижение чувствительности АЭС к ошибкам персонала и к экстремаль-
ным внешним событиям;
—	улучшение удельных технико-экономических показателей по топливу,
металлопрокату, железобетону и т.д. за счет оптимизации систем, оборудова-
ния и усовершенствования активной зоны.
Важными с позиции повышения безопасности изменениями по сравне-
нию с предыдущими поколениями являются:
—	уменьшенная плотность энерговыделения в активной зоне за счет сни-
жения тепловой мощности в реакторе, корпус и внутрикорпусные устройства
которого унифицированы с реактором ВВЭР-1000;
—	более низкий поток нейтронов на корпус реактора вследствие сниже-
ния тепловой мощности;
—	более высокая эффективность системы воздействия на реактивность за
счет увеличения числа механических органов регулирования (121 вместо 61 у
аналога).
Пониженное значение тепловой мощности активной зоны реактора значи-
тельно увеличивает располагаемый запас до возникновения кризиса кипения
теплоносителя (2,77 и 1,85 на номинальном уровне мощности соответственно
для ВВЭР-640 и ВВЭР-1000), что в свою очередь создает новые качественные
преимущества по запасам надежности энергоблока средней мощности.
Системы безопасности. Для предотвращения или ограничения поврежде-
ния реакторной установки и локализации радиоактивных продуктов деления
предусмотрены защитные, локализующие, обеспечивающие и управляющие
системы безопасности.
К защитным системам безопасности относятся:
—	система аварийной защиты реактора;
—	система аварийного охлаждения активной зоны;
—	система аварийного ввода бора;
—	система отвода остаточного тепла;
—	система аварийной питательной воды;
—	система защиты от избыточного давления;
—	система аварийного газоудаления.
Система аварийной защиты реактора предназначена для аварийного ос-
танова реактора в предусмотренных проектом аварийных режимах и режимах
с нарушением нормальных условий эксплуатации. Останов реактора обеспе-
чивается падением органов регулирования СУЗ под действием собственного
веса в активную зону до крайнего нижнего положения.
16
Гл. 1. Характеристики АЭС как объекта управления
Система аварийного охлаждения активной зоны предназначена для заполне-
ния активной зоны борным раствором, отвода остаточных тепловыделений и ак-
кумулированного в металлоконструкциях тепла при авариях, связанных с разуп-
лотнением 1 -го контура, работах по перегрузке топлива и ремонтных операциях.
Система аварийного охлаждения активной зоны включает в себя следую-
щий комплекс подсистем, основанных на пассивном принципе:
-	подсистему САОЗ в составе гидроемкостей и баков САОЗ;
-	подсистему аварийного разуплотнения 1-го контура;
-	подсистему пассивного отвода тепла через парогенераторы.
К активной относится подсистема аварийной подпитки 1-го контура.
Гидроемкости САОЗ предназначены для подачи охлаждающей воды в ак-
тивную зону при давлении в 1-м контуре Р1к< 4,0 МПа в проектных авариях с
течами теплоносителя 1-го контура.
Баки САОЗ предназначены для подачи борного раствора в активную зону
при аварии с течью 1 -го контура и при сообщении в контуре с бассейном вы-
держки топлива (давление над активной зоной менее 0,25 МПа).
Подсистема аварийной разгерметизации 1-го контура предназначена для
снижения давления в реакторе с целью:
-	подключения баков САОЗ к реактору при проектных авариях и после-
дующего перевода активной зоны на стадию длительного охлаждения через
бассейн выдержки топлива;
—	отвода тепла от активной зоны при перезагрузке топлива;
—	соединения бассейна выдержки топлива с аварийным бассейном для
подпитки бассейна выдержки топлива при проектных авариях.
Подсистема пассивного отвода тепла через 2-й контур СПОТ ПГ предназ-
начена для расхолаживания реакторной установки в режиме с потерей всех
источников питания, включая аварийные и при проектных авариях — течах
1-го контура.
Система аварийного ввода бора предназначена для подачи в 1-й контур
высококонцентрированного раствора борной кислоты (40 г/кг) для быстрого
перевода реакторной установки в подкритическое состояние в переходных
режимах с отказом системы быстрого останова реактора.
Система отвода остаточного тепла осуществляет отвод остаточных тепловы-
делений и охлаждения реактора с проектной скоростью охлаждения во время
нормального останова станции, в режимах нарушений нормальных условий
эксплуатации, а также при авариях (по возможности).
Система аварийной подпитки 1-го контура предназначена для подачи бор-
ного раствора в активную зону при авариях с разуплотнением 1-го контура.
Система защиты 1 -го контура от избыточного превышения давления пред-
назначена для защиты оборудования и трубопроводов реакторной установки
17
Принципы создания АСУ ТП АЭС
от недопустимого превышения давления теплоносителя в аварийных ситуа-
циях и проектных авариях за счет работы предохранительных устройств ком-
пенсатора давления (КД), установленных на трубопроводе сброса пара из па-
рового пространства КД в барботер-дегазатор.
Система защиты 2-го контура от избыточного превышения давления пред-
назначена для защиты парогенератора и паропроводов от превышения дав-
ления пара в них при проектных авариях; в состав системы входят быстро-
действующие редукционные установки (БРУ): БРУ-К —сброс пара в
конденсатор; БРУ-А — сброс пара в атмосферу; импульсные предохранитель-
ные клапаны парогенераторов.
Система аварийного газоудаления предназначена для удаления парогазо-
вой среды из 1-го контура при авариях, связанных с оголением активной зоны
реактора и возникновением пароциркониевой реакции, а также для сниже-
ния давления в 1-м контуре.
К локализующим системам безопасности относятся:
—	пассивная система отвода тепла от герметичной оболочки;
—	пассивная система подавления водорода — для предотвращения обра-
зования взрывоопасной концентрации и неорганизованного горения водо-
рода в помещениях защитной оболочки блока в аварийных ситуациях, про-
ектных и запроектных авариях (набор модулей пассивных каталитических
дожигателей водорода);
—	система отсечения главных паропроводов — для надежного и быстрого
отсечения парогенератора при течах из 1-го контура во 2-й контур, при раз-
рывах паропроводов, а также при нарушениях в системе питательной воды,
приводящих к повышению или к понижению уровня в парогенераторе сверх
уставок; исполнительные элементы — быстродействующие запорно-отсечные
клапаны на паропроводах на выходе из герметичной оболочки;
—	локализующая арматура для локализации радиоактивных продуктов в
аварийных режимах блока, связанных с разуплотнением 1-го или 2-го конту-
ров в пределах герметичной оболочки;
—	защитная оболочка реактора;
—	сплинкерная система;
—	система удаления водорода из защитной оболочки;
—	система очистки аварийного сброса парогазовой среды из защитной обо-
лочки.
Обеспечивающие системы безопасности являются активными системами.
К ним относятся:
—	система сжатого воздуха;
—	вентиляционные системы;
—	система аварийного электроснабжения.
18
Гл. 1. Характеристики АЭС как объекта управления
К управляющим системам безопасности относятся:
—	система аварийной защиты реактора;
-	система приведения в действие защитных систем безопасности.
В проекте энергоблока с ВВЭР-640 предусмотрено удержание расплава
активной зоны в корпусе реактора при тяжелой аварии путем наружного ох-
лаждения корпуса реактора водой аварийного бассейна.
В соответствии с принципом глубоко эшелонированной защиты в аварий-
ных ситуациях осуществляется аварийный останов реактора путем ввода в ак-
тивную зону пучков поглотителей (органов регулирования СУЗ). Отвод оста-
точного тепла осуществляется системами нормальной эксплуатации, важными
для безопасности. При полном обесточивании подключается подсистема от-
вода тепла через парогенераторы.
При авариях, сопровождаемых потерей теплоносителя 1-го контура и сры-
вом циркуляции, после срабатывания аварийной защиты (АЗ) и снижения
давления теплоносителя в реактор подается раствор борной кислоты от гид-
роемкостей с начальным давлением 4,0 МПа.
С понижением давления в реакторе срабатывает подсистема разуплотне-
ния 1-го контура, обеспечивая при давлении 0,25 МПа пролив борированной
воды из баков САОЗ в активную зону.
Теплоноситель, вытекающий в течь, собирается на полу герметичной
оболочки — в бассейне аварийного отвода тепла. По мере опорожнения
1-го контура, аварийных гидроемкостей и баков САОЗ уровень в бассейне
повышается выше уровня выходных патрубков реактора. Образуется кон-
тур естественной циркуляции: аварийный бассейн — нижняя камера сме-
шения реактора — активная зона — верхняя камера смешения реактора —
бассейн.
Клапаны разгерметизации подключены к холодным и горячим ниткам пе-
тель и к соответствующим секциям топливного бассейна. Каждая секция топ-
ливного бассейна соединена с аварийным бассейном. При повышении уров-
ня в аварийном бассейне и открытии линии связи бассейна выдержки топлива
с аварийным бассейном оператором могут быть включены насосы системы
охлаждения топлива, открыта запорная арматура на трубопроводах подачи
воды в реактор и вода из напорного трубопровода через трубопровод, под-
ключенный к холодным ниткам петель 1 -го контура, будет подаваться в реак-
тор насосами системы охлаждения топлива.
Проект АЭС с ВВЭР-1000 (с реакторной установкой В-428)
Концепция АЭС. Проект АЭС с реакторной установкой В-428 (АС-91/99)
является эволюционным развитием проекта АЭС с реактором типа ВВЭР-1000.
Проект реакторной установки В-428 выполнен на основе серийного реактора
19
Принципы создания АСУ ТП АЭС
и по сравнению с серийной реакторной установкой В-320 имеет следующие
преимущества:
—	улучшены нейтронно-физические характеристики активной зоны;
—	увеличена эффективность механической системы воздействия на реак-
тивность за счет увеличения количества органов регулирования;
—	применены четырехканальные системы безопасности;
—	применена система аварийного ввода бора высокого давления;
—	предусмотрена возможность дистанционного снижения давления 1-го
контура;
—	учтен ряд запроектных аварий;
—	усовершенствована система внутриреакторного контроля.
Технологическая схема реакторной установки приведена на рис. 1.2.
Системы безопасности. К защитным системам безопасности относятся:
—	система аварийной защиты реактора;
—	система аварийного охлаждения активной зоны;
—	система аварийного ввода бора;
—	система отвода остаточного тепла;
—	система аварийной питательной воды;
—	система защиты от избыточного давления;
—	система аварийного газоудаления.
Система аварийной защиты реактора предназначена для аварийного ос-
танова реактора в предусмотренных проектом аварийных режимах и режимах
с нарушением нормальных условий эксплуатации. Останов реактора обеспе-
чивается падением органов регулирования СУЗ под действием собственного
веса в активную зону до крайнего нижнего положения.
Степень эффективности аварийной защиты (при застревании одного из
наиболее эффективных стержней СУЗ в крайнем верхнем положении) доста-
точна для компенсации быстрых изменений реактивности при останове ре-
актора, работающего при номинальной мощности, и для обеспечения под-
критичности в случае аварий с течами из 2-го контура без необходимости
быстрого ввода бора в 1-й контур.
Система аварийного охлаждения активной зоны предназначена для пре-
дотвращения расплавления активной зоны в случае аварии с потерей теп-
лоносителя 1-го контура в результате разрывов трубопроводов 1-го контура.
Система аварийного охлаждения активной зоны включает в себя следую-
щий комплекс систем:
—	систему аварийного впрыска высокого давления;
—	систему аварийного впрыска низкого давления;
—	систему аварийного охлаждения активной зоны (пассивная часть);
—	систему хранения борированной воды.
20
Гл. 1. Характеристики АЭС как объекта управления
Рис. 1.2. Принципиальная технологическая схема реакторной установки
АЭС с ВВЭР-1000 (В-428):
1 - реактор; 2 - главный циркуляционный насос; 3 — парогенератор;
4 - гидроемкости системы аварийного охлаждения зоны; 5 — компенсатор давления;
6 - импульсный предохранительный клапан; 7 — аварийный питательный насос;
8 - деаэратор системы подпитки 1-го контура; 9 — насос системы подпитки 1-го контура;
10 — бак запаса химреагентов; 11 — бак запаса борного раствора высокой концентрации;
12 - бак запаса борного раствора низкой концентрации; 13 — насос аварийного впрыска
борного раствора высокого давления; 14 - насос аварийного впрыска борного раствора
низкого давления; 15 — насос сплинкерной системы защитной оболочки;
16 - насос аварийного ввода бора; 17 - насос подачи химреагентов в сплинкерной системе
21
Принципы создания АСУ ТП АЭС
Система аварийного впрыска высокого давления обеспечивает подачу ра-
створа борной кислоты в 1-й контур для охлаждения активной зоны реак-
тора при авариях с течью теплоносителя при давлении в 1-м контуре ниже
8,0 МПа.
Система аварийного впрыска низкого давления (активная часть) предназ-
начена для подачи раствора борной кислоты в систему теплоносителя реак-
тора во время аварии с потерей теплоносителя, когда давление в системе теп-
лоносителя ниже 2,5 МПа.
Система аварийного охлаждения активной зоны (пассивная часть) пред-
назначена для подачи раствора борной кислоты в реактор для охлаждения
активной зоны и ее залива во время аварии с потерей теплоносителя при
снижении давления в 1-м контуре ниже 5,9 МПа.
Система хранения борированной воды осуществляет хранение борирован-
ной воды низкой (16 г/кг) и высокой (40 г/кг) концентрации, необходимой
для эксплуатации АЭС во всех режимах работы.
Система аварийного ввода бора предназначена для:
—	впрыска раствора борной кислоты в компенсатор давления при авариях
с течью теплоносителя из 1-го контура во 2-й;
—	подачи в 1-й контур высококонцентрированного раствора борной кис-
лоты (40 г/кг) для быстрого перевода реакторной установки в подкритичес-
кое состояние в переходных режимах с отказом системы быстрого останова
реактора.
Система отвода остаточного тепла осуществляет отвод остаточных тепло-
выделений и охлаждение реактора с проектной скоростью охлаждения во вре-
мя нормального останова станции, в режимах нарушений нормальных усло-
вий эксплуатации, а также при авариях (по возможности).
Система аварийной питательной воды предназначена для обеспечения
питательной водой парогенераторов при нарушениях нормальных условий
эксплуатации и проектных авариях, когда подача питательной воды от ос-
новной и вспомогательной систем невозможна.
Защита 1 -го контура и парогенераторов от избыточного давления осуще-
ствляется предохранительными клапанами компенсатора давления и пароге-
нераторов.
Система аварийного газоудаления предназначена для удаления парогазо-
вой среды из 1 -го контура при авариях, связанных с оголением активной зоны
реактора и возникновением пароциркониевой реакции, а также для сниже-
ния давления в 1-м контуре.
К локализующим системам безопасности относятся:
—	защитная оболочка реакторной установки;
—	сплинкерная система;
22
Гл. 1. Характеристики АЭС как объекта управления
—	система удаления водорода из защитной оболочки;
—	система очистки аварийного сброса парогазовой среды из защитной обо-
лочки.
К обеспечивающим системам безопасности относятся:
-	система промконтура охлаждения ответственных потребителей;
—	система технической воды для ответственных потребителей;
—	система аварийного электроснабжения.
К управляющим системам безопасности относятся:
—	система приведения в действие защитных систем безопасности;
—	система аварийной защиты реактора.
Проект АЭС с ВВЭР-1000 (с реакторной установкой В-392)
Концепция АЭС. По своим основным техническим показателям новый блок
ВВЭР-1000 с реакторной установкой В-392 не отличается от своих предше-
ственников. На основе анализа опыта эксплуатации и рекомендаций
МАГАТЭ для действующих АЭС с ВВЭР-1000 в проект РУ В-392 был внесен
ряд усовершенствований [58, 41, 51, 16]:
-	повышены эффективность и надежность механической системы аварий-
ной защиты реактора, обеспечивающей быстрый перевод реактора в подкри-
тическое состояние и поддержание его в этом состоянии до температур ниже
100°С без подачи борной кислоты; это достигнуто благодаря увеличению ко-
личества рабочих органов с 61 для В-320 до 121 для В-392;
—	разработана система автоматического подавления ксеноновых колебаний;
—	имеются существенные отличия, касающиеся построения систем безо-
пасности.
Технологическая схема этой реакторной установки приведена на рис. 1.3.
Системы безопасности. Особое внимание при разработке структур систем
безопасности уделялось следующим основополагающим принципам:
—	обеспечению защиты от отказов по общей причине;
—	расширенному применению систем пассивного принципа действия;
—	применению функционального и конструктивного разнообразия;
—	обеспечению защиты от ошибочных действий персонала;
—	обеспечению защиты от внутренних и внешних воздействий.
Концепция безопасности АЭС с РУ В-392 реализуется путем внедрения
ряда новых проектных решений, к которым относятся [16]:
1. Применение взаиморезервирующих пассивных и активных систем для
выполнения основных функций безопасности (см. табл. 1.2):
— модернизированной системы аварийной защиты реактора с увеличен-
ным вдвое по сравнению с В-320 количеством рабочих органов и системы
быстрого ввода бора для приведения реактора в подкритическое состояние
23
Принципы создания АСУ ТП АЭС
23
Рис. 1.3. Принципиальная технологическая схема реакторной установки АЭС
с ВВЭР-1000 (В-392) и ВВЭР-1500:
1 - реактор; 2 — парогенератор; 3 — главный циркуляционный насос; 4 — гидроемкости
САОЗ I ступени; 5 — гидроемкости САОЗ II ступени; 6 — компенсатор давления;
7 — импульсный предохранительный клапан компенсатора давления; 8 — барботер;
9 — импульсный предохранительный клапан парогенератора; 10 — аварийный питательный
насос; 11 — фильтр на ГО; 12 — приямок-бак; 13 — насос техводоснабжения;
14 — насос системы подпитки 1-го контура; 15, 16, 17 — насосы аварийного впрыска бора;
18, 19 — баки запаса концентрированного раствора бора; 20 — пассивная система отвода
остаточного тепла; 21 — пассивная система быстрого ввода бора; 22 — оболочка;
23 — аварийный дизель-генератор; 24 — насос сплинкерной системы
24
Гл. 1. Характеристики АЭС как объекта управления
и поддержание его в этом состоянии в широком диапазоне рабочих парамет-
ров (СУЗ обеспечивает поддержание подкритического состояния до темпе-
ратур ниже 100°С);
-	активной системы расхолаживания (АСР) и пассивной системы аварий-
ного отвода тепла по 2-му контуру, при этом обе системы способны отводить
тепло в течение неограниченного времени, тогда как для АЭС с В-320 АСР
может работать в течение ограниченного времени (примерно 30—40 ч), опре-
деляемого запасом теплоносителя в баках этой системы;
-	активной системы аварийного охлаждения активной зоны и гидроем-
костей первой и второй ступеней для поддержания запаса теплоносителя в
активной зоне при течах 1 -го контура. При этом гидроемкости второй ступе-
ни совместно с гидроемкостями первой ступени резервируют САОЗ по функ-
ции поддержания запаса теплоносителя в активной зоне в течение 24 ч после
начала аварии;
—	компонентов различной конструкции (быстродействующих отсечных кла-
панов, изолирующих задвижек с электрическим или воздушным приводами)
во взаиморезервирующих активных системах, выполняющих функции изо-
ляции парогенераторов или защитной оболочки от окружающей среды.
Применение взаиморезервирующих активных и пассивных систем и ак-
тивных систем с компонентами различной конструкции позволяет обеспе-
чить высокий уровень надежности выполнения функций безопасности как
путем снижения влияния отказов по общей причине (применение функцио-
нального и конструктивного разнообразия), так и путем уменьшения влия-
ния от ошибочных действий персонала (работа пассивных систем не требует
каких-либо действий персонала).
2.	Защита от ошибочных действий персонала для активных систем безо-
пасности достигается благодаря более высокому уровню автоматизации по
управлению этими системами, когда требуется их действие в переходных и
аварийных режимах, а также использованию пассивных систем, не требую-
щих управляющих действий.
3.	Использование концепции «течь перед разрушением», что должно обес-
печить снижение значений частот больших течей из 1-го контура и частот раз-
рушения коллекторов ПГ и корпусного оборудования до пренебрежительно
малых значений.
4.	Внедрение двойного железобетонного контейнмента с пассивной сис-
темой удаления водорода, системой вентиляции и очистки среды из объема
кольцевого зазора между первичным и вторичным контейнментом, сплин-
керной системой и системой удержания расплавленной активной зоны (ло-
вушкой для расплавленного ядерного топлива) обеспечивает снижение выб-
росов и уменьшение размеров санитарно-защитной зоны для проектных
25
Принципы создания АСУ ТП АЭС
аварий и предотвращает превышение предельного аварийного выброса для
запроектных аварий, включая тяжелые аварии с полным расплавлением ядер-
ного топлива.
Разнопринципность выполнения основных функций безопасности в со-
четании с усовершенствованием активных каналов за счет применения струй-
ных и центробежных насосных агрегатов позволила более чем натри порядка
повысить надежность систем безопасности и одновременно существенно со-
кратить количество используемого оборудования. Активные каналы систем
безопасности имеют четырехканальную структуру.
Состав активных и пассивных систем безопасности приведен в табл. 1.2.
Проект АЭС с ВВЭР-1500 (с реакторной установкой В-448)
Концепция АЭС. Работы по проекту АЭС с реакторной установкой ВВЭР-1500
основываются на 45-летнем опыте создания АЭС с реакторами ВВЭР и эксп-
луатации продолжительностью более 1000 реакторо-лет АЭС с реакторами
ВВЭР-440 и ВВЭР-1000. При этом выполняются следующие основные кон-
цептуальные положения [58, 64]:
1.	Эволюционный подход при решении технических вопросов.
2.	Ориентация на промышленную базу России.
3.	Использование результатов НИОКР по ВВЭР-1000.
4.	Выполнение требований современных норм и правил Госатомнадзора
России к обеспечению безопасности, учет рекомендаций Международного
агентства по атомной энергии и требований координационной группы по
выработке требований безопасности для АЭС (EUR).
5.	Обеспечение конкурентоспособности на рынке возможных потребите-
лей в России и за рубежом. Показатели блока АЭС с ВВЭР-1500 по безопас-
ности, эксплуатационной надежности и экономичности должны превосхо-
дить показатели ВВЭР-1000 и быть не ниже показателей европейских
реакторов N4 и EPR.
Реактор ВВЭР-1500 оснащается:
—	системой замера перепада давления между нижней и верхней камерами
по ходу теплоносителя;
—	системой замера уровня теплоносителя в корпусе (осуществляется им-
пульсными трубками, выведенными через патрубок контрольно-измеритель-
ного прибора (КИП) на корпусе реактора);
—	системой внутриреакторного контроля, состоящей из датчиков измере-
ния нейтронного потока, температуры теплоносителя на входе и выходе топ-
ливных сборок, а также замера положения уровня парогазовой и водяной фаз
теплоносителя над активной зоной. Датчиками замера нейтронного потока
являются изделия КНИТ — каналы нейтронно-измерительные температурные,
26
Гл. 1. Характеристики АЭС как объекта управления
Таблица 1.2
Системы безопасности и их функции
Функции безопасности	Системы безопасности	
	активные	пассивные
Приведение реактора в подкритическое со- стояние и поддержа- ние его в этом состоя- нии в диапазоне рабо- чих параметров. От- вод тепла от реактор- ной установки через 2-й контур	Система аварийной защиты ре- актор со 121 рабочим органом. Четырехканальная система ава- рийного отвода тепла через паро- генераторы со структурой 4x100% (один канал способен выполнить функции в полном объеме). 2 канала системы используют- ся при нормальной эксплуата- ции для очистки теплоносителя 2-го контура. 2 канала находятся в режиме ожидания.	Система быстрого ввода бора. Четырехканальная пас- сивная система отвода тепла через парогенера- торы со структурой 4x33% (три канала спо- собны выполнить функ- цию в полном объеме).
Поддержание запаса теплоносителя в ак- тивной зоне при ава- риях с потерей тепло- носителя 1-го контура	Четырехканальная	система аварийного охлаждения актив- ной зоны со структурой 4x100%. 2 канала системы используют- ся при нормальной эксплуата- ции для отвода тепла от отрабо- танного топлива в бассейне вы- держки. 2 канала находятся в режиме ожидания. Система работает в диапазоне давлений в 1-м контуре 0,1-8,0 МПа.	Система гидроемкостей 1-й ступени со структу- рой 4x33%, с давлением в гидроемкостях 6,0 МПа и запасом воды 50 м3 в каждой гидроемкости. Система гидроемкостей 2-й ступени со структурой 4x33% и запасом воды, рассчитанным на поддер- жание запаса теплоноси- теля в активной зоне в течение 24 ч при полном отказе активной системы.
Изоляция парогене- ратора от главного парового коллектора	На каждом паропроводе ПГ установлены быстродействую- щие изолирующие клапаны и задвижки с электроприводом.	-
Ограничение давле- ния в 1-м контуре	Предохранительные клапаны на компенсаторе давления, ко- торые могут работать как по активному, так и по пассивному принципам действия.	-
Ограничение давле- ния в парогенераторах и во 2-м контуре	Быстродействующие редукци- онные установки сброса пара в атмосферу.	Предохранительные клапаны парогенерато- ров.
Локализация радио- активных	веществ внутри контейнмента	Четырехканальная сплинклер- ная система. Система изолирующих кон- тейнмент клапанов. Система вентиляции и очист- ки среды в кольцевом зазоре между внутренним и внешним контейнментом.	Пассивная система уда- ления водорода.
27
Принципы создания АСУ ТП АЭС
установленные в кассетах, проходящих через блок защитных труб и выведен-
ных через патрубки на верхнем блоке.
Технологическая схема АЭС с ВВЭР-1500 аналогична схеме АЭС с
ВВЭР-1000 (АС-92), приведенной на рис. 1.3.
Системы безопасности. Технические решения, принятые в проекте по сис-
темам безопасности, основаны на принципах [64, 41,51]:
—	использование систем безопасности, построенных на разных принци-
пах действия (пассивном и активном) с целью исключения влияния отказов
по общей причине; при этом время действия активных систем принято
неограниченным (при наличии электропитания), а время действия пассив-
ных систем — не менее 24 ч (гидроемкости второй ступени) или неограни-
ченным (система пассивного отвода тепла) и другие системы;
—	упрощение (оптимизация) схемных решений с целью сокращения воз-
можных отказов при выполнении функций безопасности (совмещение фун-
кций безопасности в одном наборе механизмов);
—	обеспечение высокой готовности систем безопасности путем снижения
чувствительности к скрытым отказам, что достигается за счет функциониро-
вания механизмов в режимах нормальной эксплуатации.
При проектировании систем, входящих в состав активной части систем
безопасности, с целью повышения функциональной надежности принят
принцип, заключающийся в совмещении функций безопасности и нормаль-
ной эксплуатации.
Общая структура активной части систем безопасности 4x100%.
К защитным системам безопасности относятся:
—	система аварийного и планового расхолаживания 1-го контура и охлаж-
дения бассейна выдержки;
—	система аварийного расхолаживания и продувки парогенераторов;
—	система гидроемкостей первой и второй ступеней (система первой сту-
пени является традиционной системой, входящей в состав реакторной уста-
новки АЭС с ВВЭР-1000; система гидроемкостей второй ступени предназна-
чена для пассивной подачи раствора борной кислоты с концентрацией 16 г/кг
в активную зону реактора при давлении в 1 -м контуре 1,5 МПа и менее с це-
лью залива активной зоны при авариях в условиях потери всех источников
электроснабжения переменного тока на длительный срок);
—	система пассивного отвода тепла от парогенератора;
—	система аварийного ввода бора;
—	система аварийного газоудаления.
К локализующим системам безопасности относятся:
—	система герметичных ограждений;
—	сплинкерная система;
28
Гл. 1. Характеристики АЭС как объекта управления
-	система локализующей арматуры;
—	система локализации парогенераторов по пару;
—	пассивная система поддержания разрежения в межоболочечном про-
странстве;
-	система контроля и удаления водорода в герметичном объеме.
К обеспечивающим системам безопасности относятся:
-	система промконтура;
—	система технического водоснабжения реакторного отделения;
—	система аварийного электропитания;
-	управляющие системы безопасности.
Кроме указанных систем проектом предусмотрена ловушка для локализа-
ции расплава активной зоны при тяжелой аварии.
1.2.	Особенности АЭС как объекта управления
Оборудование и технологические процессы на атомной электростанции об-
ладают рядом особенностей, в значительной степени определяющих требования
к АСУ ТП и к человеко-машинному интерфейсу блочного пункта управления.
К этим особенностям относятся [60, 40]:
—	непрерывность технологического процесса;
—	большие единичные мощности блоков;
—	работа оборудования в условиях радиационных нагрузок, высоких дав-
лений и температур, которые являются результатом как быстропротекающих,
так и инерционных ядерно-физических и тепловых процессов;
—	недоступность большей части оборудования во время работы на мощ-
ности и после его останова из-за опасности радиационного поражения об-
служивающего персонала;
—	необходимость обеспечения радиационной и ядерной безопасности как
при нормальной эксплуатации, так и при авариях;
—	необходимость обеспечения пожаро-, взрыво- и электробезопасности,
надежности и экономичности работы АЭС;
—	сложность и многообразие основного и вспомогательного оборудова-
ния: большое количество запорной и регулирующей арматуры, механизмов,
устройств, агрегатов, большое число и значительное разнообразие измеряе-
мых параметров (температур, давлений, расходов, уровней, механических
перемещений, электрических и радиационных измерений, химконтроль, ра-
диационный контроль и др.);
—	разнообразие целей и требований, предъявляемых к управлению техно-
логическими процессами;
—	высокие стоимости простоев энергоблока;
29
Принципы создания АСУ ТП АЭС
—	климатическое и сейсмическое многообразие мест размещения;
—	необходимость строгого соблюдения экологических требований (охра-
на окружающей среды, воздушного бассейна, почвы, воды).
Энергоблок АЭС представляет собой взаимосвязанный комплекс техно-
логических и разнообразных по физическим процессам систем.
Основной технологический процесс — производство электроэнергии —
для всех проектов АЭС с ВВЭР обеспечивают следующие системы (см. рис.
1.4):
—	реактор, главный циркуляционный контур, парогенераторы, турбоус-
тановка, генератор;
—	обеспечивающие и вспомогательные системы реакторного отделения
(вентиляционные системы, системы вспомогательных сред);
—	обеспечивающие и вспомогательные системы турбинного отделения;
—	системы безопасности;
—	системы очистки и обращения с отходами производства;
—	системы отвода тепла к конечному поглотителю;
—	системы регенерации и очистки отходов турбинного отделения;
— системы транспортировки тепла и возврата конденсата.
Сложность объекта управления характеризуют следующие данные по ос-
новному оборудованию блока (на примере АЭС с ВВЭР-640):
количество технологических систем:
по реакторному отделению	37
по турбинному отделению	40
по вспомогательному отделению	21
количество точек контроля:
по реакторному отделению	1490
по турбинному отделению	1100
по вспомогательному отделению	900
количество управляемых исполнительных устройств:
по реакторному отделению	1200
по турбинному отделению	500
по вспомогательному отделению	1290
количество контуров регулирования:
по реакторному отделению (за исключением АРМР и АРОМ) 30
по турбинному отделению (за исключением АРС турбины) 70
по вспомогательному отделению	40
Многообразие и сложность протекающих процессов значительно услож-
няют технологическую схему блока в целом, оказывают существенное влия-
ние на системы автоматического регулирования, технологических защит и
блокировок.
зо
Гл. 1. Характеристики АЭС как объекта управления
Энергоблок является многосвязным объектом с распределенными пара-
метрами. Одной из наиболее характерных особенностей управления блоком
является чрезвычайно большой объем информации, которую необходимо
представить оперативному персоналу. Рост объема этой информации обус-
ловлен увеличением мощности блоков, усложнением технологических сис-
тем, расширением функций систем управления.
Рис. 1.4. Состав технологических систем, обеспечивающих основной
технологический процесс — производство электроэнергии
31
Принципы создания АСУ ТП АЭС
Особенностью АЭС является образование и накопление в процессе их эк-
сплуатации значительного количества радиоактивных веществ. Большую их
часть составляют продукты деления урана. Именно по этой причине с АЭС
связан специфический риск — потенциальная радиологическая опасность для
населения и окружающей среды в случае выхода радиоактивных продуктов за
пределы АЭС.
Основной целью обеспечения безопасности на всех этапах жизненного
цикла АЭС является принятие эффективных мер, направленных на предотв-
ращение тяжелых аварий и защиту персонала и населения за счет предотвра-
щения выхода радиоактивных продуктов в окружающую среду при любых об-
стоятельствах.
Указанные выше особенности делают атомную электростанцию сложным
объектом управления, требующим высокой степени автоматизации оборудо-
вания и централизации управления, применения современных средств вы-
числительной техники, высоконадежной и эффективной системы управле-
ния, позволяющей небольшому количеству обслуживающего персонала
осуществлять управление основным технологическим процессом с постоян-
ной оценкой состояния безопасности АЭС.
Режимы работы АЭС. К режимам работы АЭС относятся [15, 50]:
—	режимы нормальной эксплуатации — эксплуатация АЭС в определен-
ных проектом эксплуатационных пределах и условиях;
—	нарушение нормальной эксплуатации — нарушение в работе АЭС, при
котором произошло отклонение от установленных эксплуатационных пре-
делов и условий. При этом могут быть нарушены и другие установленные про-
ектом пределы и условия, включая пределы безопасной эксплуатации;
—	проектная авария — авария, для которой проектом определены исход-
ные события и конечные состояния и предусмотрены системы безопасности,
обеспечивающие с учетом принципа единичного отказа систем безопасности
или одной, независимой от исходного события ошибки персонала ограниче-
ние ее последствий установленными для таких аварий пределами;
—	запроектная авария — авария, вызванная не учитываемыми для проект-
ных аварий исходными событиями или сопровождающаяся дополнительны-
ми по сравнению с проектными авариями отказами систем безопасности сверх
единичного отказа, реализацией ошибочных решений персонала.
Режимы нормальной э к с п л у а т а ц и и . Нормальная эксплуата-
ция включает в себя:
—	последовательный процесс получения энергии в результате ядерной ре-
акции деления;
—	преобразование энергии деления и радиоактивного распада в тепловую
энергию;
32
Гл. 1. Характеристики АЭС как объекта управления
—	перенос тепловой энергии и преобразование ее в электрическую энер-
гию с последующей выдачей потребителям;
—	пуск, испытания, остановы блока для проведения планово-предупреди-
тельных ремонтов и перегрузки топлива.
В общем замкнутом цикле эксплуатации энергоблока выделяются стаци-
онарные режимы, характеризующие основные состояния реакторной уста-
новки:
—	«холодное» состояние;
—	«горячее» состояние;
—	работа на минимально контролируемом уровне мощности (МКУ);
—	работа на энергетическом уровне мощности;
—	останов для ремонта;
—	останов для перегрузки топлива.
Переходные режимы от одного стационарного состояния к другому:
—	перегрузка топлива;
—	подготовка к пуску, включая:
•	уплотнение оборудования реакторной установки;
•	заполнение оборудования рабочей средой;
•	гидравлические испытания 1-го и 2-го контуров на плотность и проч-
ность;
•	опробование пассивной части САОЗ;
•	разогрев реактора из «холодного» состояния до температуры «горяче-
го» состояния.
Режим «холодный оста н о в ». В режиме «холодный останов»:
—	реактор подкритичен;
—	все органы регулирования СУЗ находятся на нижних концевых выклю-
чателях;
—	концентрация раствора борной кислоты в 1 -м контуре не менее стояноч-
ной (16г/кг);
—	температура оборудования 1-го контура — не более 70°С;
—	давление в 1-м контуре— не более 3,5 МПа.
Режим «холодный останов» является наиболее безопасным режимом. Ре-
акторная установка переводится в этот режим в случаях:
—	останова блока для выполнения ремонтных работ;
—	останова блока при неисправности систем безопасности, при которой
не обеспечивается безопасная работа реакторной установки;
—	останова блока в аварийных ситуациях, когда быстрое устранение неис-
правности невозможно.
Состояние оборудования реакторной установки в режиме «холодный ос-
танов»:
зз
Принципы создания АСУ ТП АЭС
—	парогенераторы по 2-му контуру заполнены в соответствии с инструк-
цией по ведению водно-химического режима 2-го контура;
—	аппаратура контроля нейтронного потока (АКНП) в работе;
—	электроснабжение собственных нужд блока осуществляется от энерго-
системы, при этом не менее двух систем надежного питания полностью гото-
вы к работе;
—	в работе два канала системы отвода остаточного тепла и не менее еще
одного работоспособного канала;
—	в работе каналы системы промконтура охлаждения ответственных по-
требителей, соответствующие работоспособным каналам системы отвода ос-
таточного тепла.
Разогрев реактора из холодного состояния до темпе-
ратуры горячего состояния.
Разогрев реакторной установки до номинальных параметров производит-
ся после следующих мероприятий:
—	проведения гидравлических испытаний оборудования и трубопроводов
реакторной установки;
—	образования азотной подушки давлением 2,0 МПа в компенсаторе дав-
ления;
—	заполнения парогенераторов питательной водой до номинального
уровня;
—	разогрева воды в 1-м контуре до 130°С;
—	создания номинальных параметров в емкостях САОЗ;
—	подачи и отвода запирающей воды на уплотнения ГЦН;
—	открытия арматуры на трубопроводах воздушников.
Разогрев 1-го контура и КД начинается за счет энергии ГЦН и включе-
ния электронагревателей КД. В работу включаются не более трех ГЦН.
Производится опережающий разогрев КД работой трубчатых электронаг-
ревателей (ТЭН) КД. Разность температур между водой КД и теплоноси-
телем 1-го контура поддерживается регулятором разогрева-расхолажива-
ния КД.
При достижении температуры воды в КД 210—230°С производится заме-
щение азотной подушки на паровую путем сдувки парогазовой смеси из КД.
Разрешается подключение четвертого ГЦН.
Снижается уровень воды в КД до 5700 мм. При давлении в 1-м контуре
6,9 МПа производится подключение емкостей САОЗ к 1-му контуру.
При температуре 1-го контура более 260°С и давлении 15,7 МПа допуска-
ется вывод реактора на МКУ.
При разогреве 1-го контура соблюдаются следующие ограничения:
—	скорость разогрева теплоносителя 1-го контура — не более 20°С/ч;
34
Гл. 1. Характеристики АЭС как объекта управления
-	запас до вскипания по температуре теплоносителя 1-го контура на вы-
ходе из активной зоны — не менее 15°С;
—	разность температур воды КД и теплоносителя 1-го контура — не бо-
лее 5°С.
Режим «горячий о с та н о в ». В режиме «горячий останов»:
-	реактор подкритичен;
—	температура теплоносителя 1-го контура — более 260°С;
—	давление в 1-м контуре — 15,7 МПа.
Состояние реакторной установки в режиме «горячий останов»:
-	мощность реактора контролируется АКНП;
—	электроснабжение собственных нужд блока осуществляется от энерго-
системы;
—	охлаждение активной зоны осуществляется естественной циркуляцией
теплоносителя 1-го контура или работой ГЦН;
-	поддержание температуры на номинальном уровне в 1-м и 2-м контурах
производится сбросом пара через БРУ-К или БРУ-СН.
Пуск реактора и набор м о ш н о с т и . Пуск реактора начинается
с вывода реактора на минимальный контролируемый уровень мощности.
Исходное состояние перед выводом реактора на МКУ:
—	реакторная установка находится в режиме «горячий останов»;
-	все системы АСУ ТП готовы к работе;
-	все системы безопасности опробованы и готовы к работе;
—	блочный пункт управления (БПУ) и резервный пункт управления (РПУ)
готовы к работе;
—	все каналы питательной воды работоспособны и готовы к работе;
—	в работе система подпитки и борного регулирования;
—	в работе вентиляционные системы герметичной оболочки;
—	в парогенераторах поддерживается номинальный уровень 2400± 150 мм.
Оба вспомогательных питательных насоса работоспособны. Предохранитель-
ные клапаны ПГ опробованы и введены в работу с проектными значениями
уставок;
—	давление в парогенераторе — 6,0 МПа;
—	продувка парогенераторов введена в работу;
—	все быстрозапорные отсечные клапаны (БЗОК), а также БРУ-А,БРУ-К
и БРУ-СН работоспособны.
Перевод реактора в критическое состояние и его пуск осуществляются из-
менением концентрации борной кислоты в теплоносителе путем подачи в 1-й
контур чистого конденсата. До начала вывода борной кислоты производится
подъем всех групп ОР СУЗ и рабочая группа СУЗ устанавливается в рабочее
положение.
35
Принципы создания АСУ ТП АЭС
После достижения критичности увеличение мощности реактора осуще-
ствляется дистанционно за счет подъема рабочей группы ОР СУЗ и измене-
ния концентрации борной кислоты в 1-м контуре.
При достижении уровня мощности 30% от номинальной включается ав-
томатический регулятор мощности реактора (АРМР) в режим поддержа-
ния постоянного давления во 2-м контуре (режим «Т»), Пускается турби-
на, генератор синхронизируется с сетью. Энергоблок готов к работе на
мощности.
При подготовке к пуску и разогреву реактора из «холодного» состояния до
температуры «горячего» состояния, пуску реактора и набору мощности опе-
ративный персонал АЭС выполняет множество операций, связанных с запол-
нением оборудования рабочей средой, проверкой защит и блокировок, опро-
бованием систем безопасности, пуском исполнительных механизмов и т.п.
Проведение указанных операций требует значительного времени, множества
типовых процедур по управлению технологическими системами и не связано
с быстропротекающими процессами и оперативными действиями операто-
ров блочного пункта управления.
Работа на мощности . Поддержание и изменение мощности энер-
гоблока осуществляется с помощью автоматического регулятора мощности
реактора, работающего совместно с системой управления турбины.
Нарушение нормальных условий э кс пл у ата ц и и . Нару-
шение нормальных условий эксплуатации приводит к ограничению нормаль-
ной эксплуатации АЭС или к прекращению основного технологического про-
цесса — выработки электроэнергии.
Исходными событиями, характеризующими нарушение нормальных ус-
ловий эксплуатации, являются:
—	неуправляемое извлечение группы ОР СУЗ из активной зоны;
—	непреднамеренное введение ОР СУЗ в активную зону реактора, нештат-
ное положение ОР;
—	ложное срабатывание защитных устройств и регуляторов;
—	срабатывание АЗ по ложным причинам;
—	срабатывание аппаратуры разгрузки и ограничения мощности (АРОМ)
и предупредительной защиты, срабатывание АРМР по ложным причинам;
—	срабатывание электрогидравлической системы регулирования (ЭГСР)
турбины (закрытие регулирующего клапана) по ложным причинам;
—	ложное закрытие быстрозапорного отсечного клапана;
—	ложное срабатывание регулятора давления в 1-м контуре;
—	ложное срабатывание регулятора уровня в КД, регулятора уровня в ПГ;
—	ложное срабатывание ускоренной предупредительной защиты (УПЗ)
реактора;
36
Гл. 1. Характеристики АЭС как объекта управления
-	ложный впрыск теплоносителя с температурой 60—70°С в КД от узла под-
питки 1-го контура;
-	внезапный переход на подпитку 1-го контура с температурой подавае-
мой воды 60—70°С;
-	снижение концентрации борной кислоты в теплоносителе вследствие
нарушений в системе борного регулирования;
-	отключение различного числа ГЦН (1 из 4; 2 из 4; 1 из 3);
-	частичный или полный сброс электрической нагрузки турбогенера-
тора;
—	полное обесточивание;
-	аварийное отклонение частоты в сети;
-	закрытие стопорных клапанов турбины или потеря внешней электри-
ческой нагрузки;
—	прекращение подачи питательной воды в парогенераторы;
—	нарушение теплоотвода из герметичной оболочки;
-	ложное закрытие локализующей арматуры;
-	потеря расхода в системе промконтура;
—	течь из 1-го контура во 2-й контур при повреждении (неплотности) труб-
чатки или коллекторов парогенератора;
-	ошибка оператора при подавлении ксеноновых колебаний (перемеще-
ние ОР СУЗ, вызывающее максимально возможную деформацию поля энер-
говыделения);
-	мгновенное повышение нагрузки турбогенератора на 10% выше номи-
нальной;
—	несанкционированное открытие предохранительного клапана пароге-
нератора, сбросного клапана (БРУ-А) или байпасного клапана турбины
(БРУ-К).
При нарушении нормальной эксплуатации энергоблока действуют ПЗ
(УПЗ), технологические защиты и блокировки.
Пример. Неуправляемое извлечение группы ОР СУЗ из активной зоны.
Признаки нарушения: рост величины нейтронной мощности реактора по пока-
заниям АКНП, уменьшение периода разгона реактора по показаниям АКНП.
Действие автоматики:
-	при увеличении уровня мощности до 102% от номинального АРМ Р переключа-
ется в режим «Н» — поддержание постоянной средней температуры теплоносителя в
1-м контуре;
-	при увеличении уровня мощности до 103% от номинального устройство АРОМ
снижает мощность до номинального значения;
-	при увеличении уровня мощности до 104% от номинального срабатывает ПЗ-1;
-	при увеличении уровня мощности до 107% от номинального срабатывает АЗ.
Оцифровано для lib.wwer.ru
37
Принципы создания АСУ ТП АЭС
Проектные аварии. Исходные события, характеризующие проект-
ные аварии:
—	компенсируемые течи 1-го контура;
—	некомпенсируемые течи 1-го контура;
—	разрыв трубопровода 1-го контура большого диаметра (Ду более 100 мм);
—	открытие по ложному сигналу и непосадка импульсного предохрани-
тельного устройства компенсатора давления (ИПУ КД);
—	открытие по ложному сигналу и непосадка предохранительного клапа-
на ПГ;
—	открытие по ложному сигналу и непосадка клапанов сброса пара из ПГ
(БРУ-К, БРУ-А);
—	разрыв паропроводов;
—	разрыв трубопровода питательной воды;
—	мгновенное зацикливание или обрыв вала ГЦН;
—	выброс ОР СУЗ при разрыве чехла привода;
—	течь из 1-го контура во 2-й контур при разрыве одной трубки теплопе-
редающей поверхности парогенератора;
—	течь из 1-го контура во 2-й контур при разуплотнении коллектора паро-
генератора с эквивалентным сечением Ду 100;
—	аварии с топливом при хранении в бассейне выдержки;
—	аварийные ситуации на блочном пункте управления;
—	пожар в главном корпусе АЭС;
—	землетрясение.
При проектных авариях действуют управляющие системы безопасности.
Пример. Разрыв главного циркуляционного трубопровода диаметром до 850 мм —
максимальная проектная авария (МПА). Первый контурблокас ВВЭР-1000 (АС-91/99)
при МПА опорожняется примерно за 10 с. Температура оболочек наиболее напря-
женных ТВЭ через несколько секунд после начала аварии достигает значений, пре-
вышающих 700—800°С, что может привести к повреждению оболочек ТВЭ и выделе-
нию в теплоноситель радиоактивных продуктов, накопленных под оболочками ТВЭ.
Следующий этап разогрева ТВЭ связан с опорожнением 1-го контура и оголением
активной зоны. Максимальная температура оболочек ТВЭ, которая достигается на
этом этапе, зависит от эффективности работы системы аварийного охлаждения ак-
тивной зоны.
Признаки аварии:
—	резкое снижение давления в 1-м контуре;
—	потеря уровня в КД в течение нескольких секунд;
—	повышение давления под оболочкой (избыточное давление более 0,03 МПа);
—	повышение температуры под оболочкой (более 90°С).
Действие автоматики:
38
Гл. 1. Характеристики АЭС как объекта управления
-	срабатывание АЗ по фактору Р|к <14,5 МПа при N реактора >75% Nhom, или Р|к <
13,7 МПа приТ>260°С в горячих нитках петель, или при разности температур (Т |к—
Тп1ахГор.нитки)<10°С’
-	подается раствор борной кислоты в активную зону (после включения насосов
САОЗ высокого и низкого давления при Р|к<7,9 МПа и Р|к < 1,47 МПа соответственно);
-	при Р|к<5,8МПа срабатывают гидроаккумулирующие емкости САОЗ, начина-
ется залив активной зоны;
-	закрывается локализующая арматура;
-	подается раствор борной кислоты на сплинкерные устройства по фактору раз-
ности температуры насыщения в 1-м контуре и максимальной температуры в горячей
нитке менее 10°С, или увеличения избыточного давления под оболочкой до 0,03 МПа;
-	отключаются все ГЦН по фактору повышения параметров под оболочкой (при
закрытии локализующей арматуры);
-	при Р2к<5,49 МПа закрываются стопорные клапаны (СК) турбины;
-	генератор отключается от системы с выдержкой времени после закрытия СК
турбины;
-	в случае обесточивания АЭС запускаются дизель-генераторы и включаются ме-
ханизмы систем безопасности в режиме ступенчатого пуска.
Запроектные аварии. Примеры запроектных аварий:
-	малая течь с отказом систем аварийного охлаждения активной зоны на-
сосами высокого давления и низкого давления (САОЗ ВД и НД);
-	средняя течь с отказом САОЗ ВД и НД;
-	большая течь с отказом САОЗ ВД и НД;
—	течь из 1-го контура во 2-й контур с непосадкой сбросных устройств на
парогенераторе;
-	разрыв линии планового расхолаживания с незакрытием локализующей
арматуры на проходке через защитную оболочку;
-	большая течь из 1-го контура с незакрытием арматуры вентиляционной
системы;
-	длительное обесточивание АЭС с незапуском всех дизель-генераторов
систем безопасности;
-	разрыв паропровода в неотсекаемой части парогенераторов с отказом
системы длительного отвода тепла от реакторной установки (САОЗ НД по
линии планового расхолаживания и системы нормального отвода тепла);
—	нарушение отвода тепла по 2-му контуру с отказом систем отвода тепла
от реакторной установки (САОЗ НД, аварийный питательный электронасос
(АПЭН));
—	взрыв водорода в гермообъеме в послеаварийный период.
С целью управления запроектной аварией используются любые имеющиеся
в работоспособном состоянии технические средства, предназначенные для нор-
мальной эксплуатации и для обеспечения безопасности при проектных авариях.
39
Принципы создания АСУ ТП АЭС
Взаимодействие технологических систем энергоблока. Рассматривая блок
как сложный технологический комплекс, выделим главные его системы: ядер-
ную паропроизводящую установку (ЯППУ), паротурбинную установку (ПТУ)
и электрический генератор.
ЯППУ и ПТУ являются сложными технологическими системами по со-
ставу оборудования и по характеру протекающих физических процессов.
Для энергоблока характерно межсистемное взаимодействие на уровнях
ЯППУ, ПТУ и генератора и внутрисистемное взаимодействие на уровне тех-
нологических систем.
Физические процессы, происходящие в разных технологических системах
блока, оказывают существенное влияние друг на друга. Отклонение режима
одной из систем в большей или меньшей мере влияет на другие системы, при-
чем это влияние является двухсторонним.
Пример. На рис. 1.5 приведены результаты численного моделирования ава-
рийного режима реакторной установки с ВВЭР-1000 [82]. Расчеты выполнены с ис-
пользованием расчетных кодов ТРАП и КОРСАР на примере режима «Полное обес-
точивание энергоблока». В исходном состоянии реакторная установка работает на
номинальных параметрах.
По сигналу полного обесточивания:
—	отключаются главные циркуляционные насосы во всех петлях;
—	отключаются нагреватели в компенсаторе давления;
—	прекращается подача питательной воды;
—	закрываются стопорные клапаны турбины;
—	постулируется отказ в работе быстродействующей редукционной установки для
сброса пара в конденсатор турбины (БРУ-К);
—	срабатывает аварийная защита реактора с задержкой 3,3 с.
Кроме того, накладывается дополнительный отказ — не включается быстродейству-
ющая редукционная установка для сброса пара в атмосферу (БРУ-А) на паропроводе
от парогенератора второй петли. Через 120 с от начала аварийного режима включа-
ются аварийные питательные насосы.
Отвод остаточного тепла от реактора осуществляется через 2-й контур ПГ со сбро-
сом пара в атмосферу через работающие БРУ-А. В данном режиме переход с прину-
дительной циркуляции на естественную в 1-м контуре осуществляется без кипения
теплоносителя в активной зоне. Изменение давления в 1 -м контуре (рис. 1.5а) вызва-
но соответствующим изменением температурного состояния однофазного теплоно-
сителя (рис. 1.5г). В первые секунды аварии из-за задержки в снижении мощности
наблюдается рост температуры теплоносителя и, соответственно, рост давления в 1-
м контуре. При превышении давления происходит однократный впрыск холодной
воды в КД, после чего давление в 1-м контуре начинает падать.
Во 2-м контуре наблюдается первоначальный всплеск давления, которое затем
поддерживается на постоянном уровне посредством управления клапаном БРУ-А.
При поступлении тепла из 1-го контура во 2-й начинается выпаривание котловой
40
Гл. 1. Характеристики АЭС как объекта управления
воды в ПГ со снижением уровня (рис. 1.5в). Через 120 с от момента обесточивания
подача аварийной питательной воды приводит к восстановлению уровня и захолажи-
ванию 2-го контура по котловой воде (рис. 1.5д). Далее уровень котловой воды в ПГ
поддерживается регулятором уровня.
а)
б)
в)
г)
Время, с
д)
е)
Рис. 1.5. Изменение параметров реакторной установки с ВВЭР-1000
в режиме полного обесточивания энергоблока:
------код ТРАП; — — —код КОРСАР
41
Принципы создания АСУ ТП АЭС
В рассмотренном примере защитные функции четко регламентированы.
После срабатывания защит динамика процессов в 1-м и 2-м контурах и их вза-
имосвязь определяются как физикой процессов в реакторной установке и 2-м
контуре, так и конкретным состоянием технологического оборудования [18].
Особенности внутрисистемного взаимодействия рассмотрим на примере
системы подпитки и борного регулирования 1-го контура (система КВА).
Упрощенная технологическая схема системы приведена на рис. 1.6.
Азот и д
Н2. ИРГ Система сжигания водорода
I--------------—--------------> KPL-1
Протечки ГЦН
< JEB
Система дренажа, орг протечки
------------------------------<1 KTA
Чистый конденсат, борный раствор
------------------------------КВС
Деаэратор
подпитки
Система хранения TH
<1 КВВ
Пар
-------------
КАА
------------->
КВА17АА101 Сбросборсодер-
г\ом I / AM ш I ждщих дренажу
0¥кВА1ОАА1О4
----------------------<1 КВВ
Химреагенты-----------KBD-
Чистый конденсат
Борный раствор 16 г/кГ
Борный раствор 40 г/кГ
Рис. 1.6. Упрощенная технологическая схема системы подпитки
и борного регулирования
Система подпитки и борного регулирования (система КВА) по отношению
к безопасности в соответствии с ОПБ-88/97 классифицируется по классу ЗН.
Система выполняет следующие функции:
1.	Поддержание материального баланса теплоносителя и его качества в
системе охлаждения реактора во всех эксплуатационных режимах (пуск, ос-
танов, работа на мощности, компенсация протечек теплоносителя).
42
Гл. 1. Характеристики АЭС как объекта управления
2.	Управление реактивностью реактора путем изменения концентрации
борной кислоты в пределах от 0 до 16г Н3ВО3 /кг Н2О (поддержание реактора
в холодном состоянии с подкритичностью не менее 0,02 без учета погружен-
ных ОР СУЗ, пуск реактора, останов, в том числе с расхоложиванием до хо-
лодного состояния, изменение мощности, компенсация эффектов выгорания
и отравления, перегрузка топлива).
3.	Регулирование водно-химического режима.
4.	Постоянную очистку теплоносителя на фильтрах системы очистки теп-
лоносителя при работе реакторной установки на мощности.
5.	Подачу воды необходимого качества на уплотнения ГЦН.
6.	Впрыск воды в компенсатор давления для регулирования давления в
1-м контуре и расхолаживания КД в режиме планового расхолаживания 1-го
контура при включенных ГЦН или при обесточивании АЭС.
7.	Испытание на плотность и прочность системы 1-го контура.
8.	Обеспечение дегазации теплоносителя при остановах реакторной уста-
новки.
9.	Корректировку уровня и качества воды в гидроемкостях системы ава-
рийного охлаждения активной зоны, пассивная часть.
Насосы большой производительности КВА20(30)АР001 и малой производи-
тельности КВА51(52,53) предназначены для подпитки 1-го контура и подачи
борного раствора или «чистого» конденсата в режимах борного регулирования.
Регенеративный теплообменник (РТО) предназначен для охлаждения теп-
лоносителя, выводимого на очистку, и соответствующего нагрева подпиточ-
ной воды для исключения влияния недопустимой разности температур на на-
порные патрубки системы КВА (в номинальном режиме допустимая разность
температур — не более 30°С).
Доохладитель продувки (ДП) предназначен для охлаждения теплоносите-
ля, выводимого из контура, перед фильтрами КВЕ до температуры 55°С.
Охладитель вывода теплоносителя (ОВТ) предназначен для охлаждения
теплоносителя, выводимого из деаэратора в систему КВ В, от 104°С до 55°С.
Деаэратор подпитки предназначен для дегазации теплоносителя, выводи-
мого из 1-го контура.
Теплообменник аварийного вывода теплоносителя (TAB) предназначен для
охлаждения теплоносителя, выводимого из 1 -го контура, от 270°С до 60°С при
отказе штатной системы вывода теплоносителя.
Необходимый расход выводимого теплоносителя обеспечивается регули-
рующими клапанами КВА14 (15) АА201.
Для обеспечения минимально допустимой температуры воды, поступаю-
щей в деаэратор подпитки, установлен регенеративный теплообменник вы-
вода теплоносителя 1-го контура (РТВ).
43
Принципы создания АСУ ТП АЭС
Возврат теплоносителя в 1-й контур, в зависимости от режима работы, осу-
ществляется насосами малой производительности либо насосами большой
производительности.
Борный раствор с концентрацией 16 г Н3ВО3/кг Н2О или 40 г Н3ВО3/кг
Н2О подается в деаэратор подпитки или во всасывающую магистраль насосов
из баков борного раствора системы JNK.
Контролируемые параметры:
—	давление (Р);
—	температура (Т);
—	концентрация борной кислоты (Q);
—	расход (F);
—	уровень (L).
В отличие от управления на межсистемном уровне, где могут иметь место
нестандартные ситуации, управление оборудованием системы КВА в различ-
ных режимах работы реакторной установки является регламентированным,
что позволяет автоматизировать отдельные функции системы.
В АСУ ТП АЭС с ВВЭР-1000 (АС-91/99) предусмотрены следующие про-
граммы автоматического управления для системы КВА:
—	вывода бора (6 т/ч);
—	ввода бора (6 т/ч);
—	вывода бора (60 т/ч);
—	ввода бора (60 т/ч);
—	дегазации 1-го контура при расхолаживании;
—	управления насосами подпитки и борного регулирования большой про-
извол ител ьн ости;
—	управления насосами подпитки и борного регулирования малой произ-
водительности.
Динамические характеристики АЭС. Переходные режимы АЭС представим
двумя основными их видами:
1. Плановое изменение мощности, при котором имеется априорная ин-
формация о конечном состоянии блока. Например, плановое снижение мощ-
ности до заданного уровня частичной нагрузки; отключение отдельного обо-
рудования, обесточивание ГЦН, питательных электронасосов (ПЭН),
конденсатных электронасосов (КЭН); переходные режимы, связанные с пус-
ком и остановом блока.
2. Изменение мощности, в процессе которого конечное состояние блока
заранее неизвестно и определяется характером переходного процесса регу-
лирования. Например, предполагаемое участие блока в первичном регулиро-
вании частоты в энергосистеме; часть аварийных режимов — аварии в турбо-
генераторе, на линии регенеративного подогрева и т.п.
44
Гл. 1. Характеристики АЭС как объекта управления
Изменение мощности может происходить с различной скоростью и раз-
личным качеством переходных процессов, что полностью определяется ре-
жимом функционирования, характером динамики объекта и способом орга-
низации процесса управления и регулирования. По характеру протекания
переходных процессов можно выделить режимы с линейным и ступенчатым
изменением мощности, а по технологическому смыслу — с отключением, пе-
реключением и отсутствием изменений в режиме работы технологического
оборудования.
Энергоблок представляет собой нестационарный объект, характеристики
которого меняются в зависимости от режима функционирования, что порож-
дает проблемы структурной адаптации и подстройки параметров контуров ре-
гулирования.
Классификация процессов функционирования энергоблока:
—	стационарные процессы — поддержание параметров, обеспечивающих
проектную работу технологического оборудования;
—	многократные, систематически повторяющиеся технологические про-
цессы — поддержание водно-химического режима, борное регулирование, вы-
вод/ввод оборудования в соответствии с графиком ремонта и т.п.;
—	однократные длительные технологические процессы при нормальной
эксплуатации — пуск и останов энергоблока;
—	быстропротекающие процессы с нарушением условий нормальной экс-
плуатации — отключение части оборудования;
—	быстропротекающие процессы при возникновении исходных событий
проектных аварий.
В зависимости от режима функционирования существенно меняется со-
держание задач управления. Так, при работе в режимах пуска и останова энер-
гоблока, изменения мощности задачей системы управления является проведе-
ние переходных режимов с требуемым качеством и в определенных временных
интервалах. Основной задачей при этом является обеспечение безопасного
управления энергоблоком.
При работе в базовом режиме задачей системы управления является под-
держание требуемого стационарного состояния на неограниченном интерва-
ле времени. Основная задача — стабилизация режима и поддержание дина-
мического баланса мощностей в элементах энергоблока.
Как объект управления энергоблок содержит многочисленные существен-
ные нелинейности, что порождает проблему обеспечения устойчивости и по-
давления автоколебаний. К потенциально опасным по колебательности и ус-
тойчивости относятся контуры регулирования давления в главном паровом
коллекторе (ГПК) и уровня в парогенераторах.
Динамические характеристики блока ВВЭР-640 приведены в табл. 1.3.
45
Принципы создания АСУ ТП АЭС
Таблица 1.3
Динамические характеристики энергоблока
Перечень динамических характеристик	Диапазон возможных значений [длительность процесса] для динамических режимов			
	пуск (без проверок на плотность)	останов	ухода с базовой мощности	аварии
1-й контур				
Относительная мощ- ность реактора, отн. ед.	0-1,0 [1ч]	1,0-0 [1 ч]	0,25-1,0 [40-60 с]	1,0-0,05 [Юс]
Давление в 1-м кон- туре, МПа	2-3 [7 ч] 3-15,7 [4 ч]	15,7-2 [3,5 ч] 2-0,1 [7 ч]	14,8-15,9 [120-450 с]	14,4-15,9 [150 с]
Уровень теплоноси- теля в КД, м	11-7 [5 мин] 5-8 [1ч]	8-5 [30 мин] 5-12 [1,5 ч] 12-5 [1 ч]	7,4-8,8 [40-90 с]	8,7-6,0 [80-100 с] далее уменьшение со скоро- стью 5 мм/с
Средняя температу- ра теплоносителя в 1-м контуре, °C	разогрев: 25-130 [Юч] 130-210 [8 ч] 210-308 [5 ч]	расхолажива- ние: 308-270 [30 мин] 270-50 [8-9 ч]	300-310 [90-3000 с]	290-310 [160 с]
2-й контур				
Давление в главном паровом коллекторе, МПа	0,1-7,06 [15 ч]	7,06-0,1 [6 ч]	6,8-7,6 [75-900 с]	1,0-7,6 [75-90 с]
Относительный рас- ход питательной воды в ПГ, отн. ед.	-	-	1,0-0,4 [40 с]	1,0-0,04 [90-170 с]
Относительный рас- ход пара из ПГ, отн. ед.	0-1,0 [1ч]	0-1,0 [1ч]	0,4-1,3 [30-45 с]	1,0-0,01 [60 с]
Относительный рас- ход пара через турбо- установку, отн. ед.	0-1,0 [4 ч]	-	0-1,0 [30-60 с]	0-1,2 [10-30 с]
46
Гл. 1. Характеристики АЭС как объекта управления
Как видно из рис. 1.5 и табл. 1.3, наиболее быстрые процессы — в преде-
лах 10 с — имеют место при изменении нейтронной мощности реактора в
аварийных ситуациях. Человек-оператор не в состоянии осуществлять уп-
равление энергоблоком в темпе протекания указанных процессов. Пони-
жение мощности или заглушение реактора осуществляются автоматически
действием предупредительной защиты или аварийной защиты реактора со-
ответственно.
Оператор способен оценивать состояние технологического процесса, осу-
ществлять диагностику и прогнозирование, принимать решения по управле-
нию энергоблоком при протекании динамических процессов с гораздо мень-
шей скоростью — в пределах десятков и более секунд.
ГЛАВА 2. ТЕНДЕНЦИИ РАЗВИТИЯ АСУ ТП АЭС
2.1.	Общие подходы к созданию АСУ ТП АЭС
На каждом блоке АЭС для управления технологическим оборудованием си-
стем нормальной эксплуатации и систем безопасности предусматриваются:
—	блочный пункт управления;
—	резервный пункт управления;
—	управляющие системы нормальной эксплуатации (УСНЭ);
—	управляющие системы, важные для безопасности (УСВБ);
—	автономные средства регистрации и хранения информации.
Оперативный персонал БПУ осуществляет управление технологическим
оборудованием энергоблока в режимах нормальной эксплуатации, при нару-
шении нормальной эксплуатации, включая аварии. При невозможности уп-
равления блоком с БПУ реактор переводится в подкритическое состояние при
управлении, осуществляемом с РПУ.
УСНЭ формируют и реализуют по заданным технологическим целям, кри-
териям и ограничениям управление технологическим оборудованием систем
нормальной эксплуатации. УСНЭ осуществляют автоматическое и автома-
тизированное управление технологическим оборудованием систем нормаль-
ной эксплуатации.
УСВБ предназначены для управления технологическим оборудованием
блока АЭС, обеспечивающим безопасность в условиях нормальной эксплуа-
тации и нарушениях нормальной эксплуатации, включая аварии.
УСВБ подразделяются на управляющие системы нормальной эксплуата-
ции, важные для безопасности (УСНЭ ВБ), и управляющие системы безопас-
ности (УСБ). В состав УСБ входят система управления и защиты реактора и
управляющие системы безопасности по технологическим параметрам (УСБТ).
УСНЭ ВБ осуществляют автоматическое и автоматизированное управле-
ние технологическим оборудованием систем нормальной эксплуатации, важ-
ных для безопасности блока АЭС.
УСБ обеспечивают автоматическое и автоматизированное выполнение
функций безопасности, предусмотренных проектом.
На ранних этапах УСБ разрабатывались на элементах «жесткой» логики, а
УСНЭ и УСНЭ ВБ — с ограниченными возможностями в части применения
48
Гл. 2. Тенденции развития АСУ ТП АЭС
вычислительных средств. Быстрое развитие микроэлектроники, появление
микропроцессоров и создание на их основе программно-технических средств
(ПТС) низовой автоматики, а также прогресс в технике связи привели к со-
зданию распределенных, интегрированных АСУ ТП с принципиально новы-
ми возможностями.
В основу повышения надежности и эффективности систем управления со-
временных АЭС положены следующие факторы [17, 69]:
—	функциональная децентрализация системы;
—	создание распределенных, интегрированных АСУ ТП с иерархической
структурой;
—	применение в АСУ ТП средств, специально предназначенных для ис-
пользования на АЭС;
—	резервирование программно-технических средств, диагностирование на
уровне функциональных модулей;
—	наличие современной технологии разработки АСУ ТП;
—	использование компьютеризированных средств на БПУ;
—	внедрение в УСБ средств вычислительной техники;
—	внедрение стандартных способов передачи данных, стандартных про-
токолов, операционных систем, реляционных баз данных.
Функциональная децентрализация предусматривает декомпозицию энер-
гоблока на совокупность технологических подсистем — функционально-тех-
нологических комплексов (ФТК) и функционально-технологических групп
(ФТГ). Управление ФТК осуществляется программно-техническим комплек-
сом (ПТК) с достижением максимальной замыкаемости внутри ПТК пото-
ков информации. Таким образом, общая задача управления энергоблоком рас-
падается на комплекс задач, связанных с управлением отдельными ФТК и
ФТГ, согласованием их работы и обеспечением эффективного человеко-ма-
шинного взаимодействия [26].
Распределенные АСУ ТП по сравнению с централизованными имеют пре-
имущества по важнейшим технико-экономическим показателям, в частности,
в надежности, протяженности и загруженности коммуникаций, техническом
обслуживании, способности к функциональному расширению, стоимости.
В структуре АСУ ТП принято достаточно четкое разделение на три уровня:
•	система верхнего блочного уровня (СВБУ);
•	низовая автоматика;
•	датчики и исполнительные механизмы.
Соответственно принято и разделение сетевых средств: средства нижнего
уровня, реализующие быстродействующие связи на уровне ПТК, и средства
верхнего уровня, реализующие функцию интеграции подсистем в единую си-
стему по информационным потокам и управлению.
49
Принципы создания АСУ ТП АЭС
ПТС низовой автоматики реализуют связь с объектом управления. Наря-
ду с устройствами автоматизации, в которых вся логика обработки сигналов
и управления объектами реализуется центральным микропроцессорным кон-
троллером, в АСУ ТП АЭС широко используются устройства, в которых ос-
новные функции обработки вынесены в микропроцессоры, установленные в
модули устройства сопряжения с объектом (УСО) [54].
Использование средств вычислительной техники на нижнем уровне сис-
тем управления обусловлено [ИЗ, 17, 109]:
—	возможностью реализации более сложных алгоритмов обработки и уп-
равления по сравнению с «жесткой» логикой;
—	упрощением обмена информацией и взаимодействия между различны-
ми подсистемами;
—	большей гибкостью к изменениям структуры и функций системы;
—	большими возможностями самодиагностики средств;
—	малыми габаритами и энергопотреблением.
Конфигурирование оборудования облегчается благодаря высокой модуль-
ности комплекса. Функциональные модули могут иметь собственные про-
граммы. Программирование логических выражений (алгоритмов) осуществ-
ляется на языке функциональных диаграмм.
Сетевые средства верхнего уровня реализуются, в основном,на основе средств
Ethernet, стандарт IEEE 802.3 с пропускной способностью 10—100 Мбит/с
с использованием волоконно-оптических кабелей.
Создание АСУ ТП на базе ПТС потребовало применения новых техноло-
гий проектирования человеко-машинного интерфейса, системы верхнего
блочного уровня и средств автоматизации АСУ ТП. В качестве таких техно-
логий применяются развитые инструментальные средства типа SCADA-сис-
тем, например, инжиниринговая система ES-680 АО Siemens.
Переход к микропроцессорной технике позволил повысить надежность и
гибкость систем, улучшить человеко-машинный интерфейс, расширить воз-
можности проверки технологического оборудования, повысить готовность
энергоблока благодаря раннему предотвращению отклонений от условий нор-
мальной эксплуатации и избежать ненужных аварийных остановов за счет
более точного учета текущего состояния управляемого технологического про-
цесса. Все это существенно повышает безопасность и экономичность работы
АЭС и эффективность систем управления [30].
Основными идеями, которые могут быть более полно воплощены в систе-
мах автоматизации на базе микропроцессоров и распределенных систем, яв-
ляются следующие [28]:
—	гибкость, изменяемость структуры автоматической системы без суще-
ственных затрат;
50
Гл. 2. Тенденции развития АСУ ТП АЭС
—	возможность постепенного наращивания решаемых задач управления
и форм представления информации без изменения архитектуры комплекса;
—	уменьшение времени восстановления оборудования и восстановление
без прекращения процесса;
—	интеллектуализация приборов, средств и систем контроля и управления;
—	более полное и простое воплощение идей резервирования, дифферен-
циации отказов и их локализации;
—	совершенствование диагностики:
•	более полная диагностика технологического оборудования;
•	переход от диагностики неисправности к диагностике возможного вы-
хода из строя элемента и своевременного предупреждения;
•	новые методы, вытекающие из новых возможностей, например моде-
лирование процесса в реальном и ускоренном масштабах времени и прогно-
зирование ситуации, шумовая диагностика, комплексная диагностика по на-
бору признаков;
—	эшелонированная защита с максимальным сохранением работоспособ-
ности; управление при выходе из строя оборудования и нехватке вычисли-
тельных ресурсов (с ухудшением качества управления);
—	оптимизация процессов управления для получения экономической вы-
годы.
2.2. Подходы к созданию АСУ ТП зарубежных и российских АЭС
АСУТП АЭС N4 (EDF, Франция). Архитектура АСУ ТП приведена на
рис. 2.1 [92, 90]. Принятая архитектура средств обеспечивает широкое ис-
пользование принципов разнообразия и резервирования на каждом уровне
АСУ ТП и характеризуется компьютеризированным первым уровнем сис-
тем контроля и управления и всеобщим использованием многопроцессор-
ных структур.
Система управления станцией разделена на четыре уровня:
уровень 0 — датчики и исполнительные механизмы;
уровень 1 — автоматическое управление и защита;
уровень 2 — система верхнего блочного уровня;
уровень 3 — удаленные системы и системы технического управления.
По отношению к безопасности АСУ ТП выполнена с учетом требований,
предъявляемых к следующим классам безопасности:
класс 1Е — наивысший класс безопасности (управляющие системы безо-
пасности);
класс 2Е — «средний» класс безопасности (системы, не вошедшие в класс
1Е, например, панели УСБ и мнемосхема БПУ);
51
исполнительные
механизмы
Рис. 2.1. Архитектура системы контроля и управления энергоблока АЭС N4
с реактором электрической мощностью 1450 МВт
Принципы создания АСУ ТП АЭС
Гл. 2. Тенденции развития АСУ ТП АЭС
класс IFS — управляющие системы, важные для безопасности (например,
управление системами реакторной установки, автоматизированные рабочие
места (АРМ) операторов БПУ);
NC — не классифицируемые системы (например, система контроля и уп-
равления (СКУ) турбины).
Каналы связи в СКУ выполнены в виде двух независимых межсистемных
сетей. Каждая из них охватывает один из каналов защиты (А и В).
Подсистемы АСУТП, отнесенные к классам 1Е и 2Е и которые могут иметь
существенное влияние на вероятность плавления активной зоны, реализова-
ны на основе принципа разнообразия.
Средства АСУ ТП уровней 0, 1 и 2, имеющие отношение к классам безо-
пасности 1Е и 2Е, организованы в два канала. Все локальные сети выполне-
ны резервированными.
Система CONTRONIC Е (CONTROBLOC Р20) выполнена в виде «класте-
ров» (групп) и играет основную роль в управлении технологическим процес-
сом. Каждый кластер связан с уровнем оперативного управления по резерви-
рованной сети 1-го уровня. Каждые 50 мс кластер передает информацию о
состоянии процесса и получает команды оператора [88].
В системе используются три типа последовательных шин: шина кластера
и межкластерная CONTROBUS, шина LOCABUS для связи между собой мо-
дулей каркаса и шины ввода/вывода.
В архитектуре сети CONTROBUS используется дублирование и центра-
лизованный контроль за работой сети и абонентов.
К управляющим системам нормальной эксплуатации относятся [11]:
pREC — система контроля и управления турбиной;
SCAT (CONTRONIC Е) — остальные УСНЭ энергоблока.
В состав УСБ входят следующие системы:
СОЗ — система управления и защиты реактора в составе:
SPIN — системы защиты реактора;
RGL — системы управления органами регулирования;
RPN — системы измерения и контроля нейтронного потока;
CS3 — управляющая система безопасности технологическая, реализующая
функции, не вошедшие в SPIN. Архитектура системы основана на логике «два
из четырех»;
CSAP — система контроля параметров в составе системы выброса пара в
атмосферу. Система квалифицирована по классу безопасности 1Е, архитек-
тура системы основана на логике «один из двух».
Каналы связи в АСУ ТП выполнены в виде двух независимых межсистем-
ных сетей. Каждая из них охватывает один из каналов защиты (А и В) и, та-
ким образом, каждую из различных систем (SPIN, RGL и др.).
53
Принципы создания АСУ ТП АЭС
В состав системы верхнего блочного уровня входят:
—	рабочие станции OS с мониторами;
—	компьютеры системы централизованного управления и контроля KIC;
—	сетевые средства;
—	связные станции для обмена данными с ПТК нижнего уровня.
Система централизованного контроля и управления KIC реализована на
ЭВМ типа VAX 4000.
Компьютеры системы KIC объединены высокоинтегрированной промыш-
ленной локальной сетью ARLIC. Все обязательные функции дублированы и
распределены на два физически и электрически независимых канала, при-
чем каждый канал способен осуществлять управление всей структурой ниж-
него уровня АСУ ТП. Связи между этими двумя каналами выполнены с по-
мощью волоконно-оптического кабеля.
Вычислительная сеть ARLIC удовлетворяет стандарту IEEE 802.3 и спо-
собна управлять резервированной средой Ethernet. Скорость передачи дан-
ных — 10 Мбит/с.
Система обработки информации и управления ADACS построена на ос-
нове программных составляющих, разработанных SEMA GROUP. Организа-
ция данных в системе ADACS основана на объектной концепции. Объект-
ный подход заключается в структурировании и организации данных,
процессов, видеокадров и диалогов с использованием структур, называемых
объектами.
Создание программного обеспечения и баз данных, используемых в про-
граммируемых контроллерах и в системе KIC, поддерживается инструмен-
тальными средствами CAD.
Основным способом управления технологическим процессом АЭС явля-
ется дистанционное управление, реализуемое с помощью сенсорных экранов
и информационных графических дисплеев. Автоматическое управление пре-
дусмотрено только на уровне автоматических защит и блокировок, автомати-
ческого включения резерва (АВР), автоматического регулирования. Автома-
тическое управление предусмотрено и для процедур, на выполнение которых
оператору требуется сравнительно малое время.
Интегральная цифровая система защиты SPIN. Четыре блока АЭС N4
(Chooz и Civaux) имеют (после успешного использования системы защиты с
компьютерной поддержкой «SPIN 1» на АЭС мощностью 1300 МВт) новую
разработку «SP1N2». В системе SPIN используются микропроцессоры
Motorola 68000, внедряются новые микропроцессоры [11].
Система SPIN обеспечивает:
—	аварийный останов реактора;
—	включение аварийной подпитки в случаях:
54
Гл. 2. Тенденции развития АСУ ТП АЭС
•	понижения температуры в холодной нитке;
•	понижения давления пара;
•	понижения давления в компенсаторе давления;
•	повышения давления под оболочкой;
— подачу аварийной питательной воды в парогенераторы в случаях:
•	пониженного уровня воды в парогенераторе;
•	исчезновения электропитания;
—	перекрытие паропроводов и трубопроводов питательной воды;
—	включение сплинкерной системы при повышении давления под оболочкой.
Система SPIN реализует также функции диагностики и телезагрузки, ко-
торые значительно упрощают ее эксплуатацию.
Структурная схема системы приведена на рис. 2.2. В состав системы вхо-
дят четыре устройства сбора и обработки нейтронно-физических и теплофи-
зических параметров UATR. Программный и аппаратный интерфейсы сети с
устройствами сбора данных используют протокол с циклическим опросом
требований на установление связи.
Датчики	Датчики	Датчики	Датчики
Центральный	механизмы	останов	механизмы	Центральный
диспсгчсрский	серия А	серия В	диспетчерский
зал	зал
Рис. 2.2. Структурная схема системы SPIN
Предупредительные защиты и останов реактора инициируются двумя ло-
гическими устройствами — ULS А и ULS В, каждое из которых получает сиг-
налы от четырех устройств UATR и реализует логическую комбинацию «два
из четырех», которая далее обрабатывается по логике «один из двух». Выход-
ные сигналы устройств передаются в систему управления стержнями RGL и
на запуск исполнительных механизмов систем безопасности.
55
Принципы создания АСУ ТП АЭС
Логические устройства ULS А и ULS В содержат по четыре программиру-
емых обрабатывающих устройства. Системы защиты имеют встроенные сред-
ства самоконтроля, а также периодически тестируются с централизованного
пульта контроля.
Измерение и контроль нейтронного потока осуществляются аппаратурой
RPN.
В системе SPIN используется специализированная локальная вычисли-
тельная сеть NERVIA со скоростью передачи данных 2 Мбит/с.
Принцип разнообразия в системе SPIN основан на обнаружении и иден-
тификации любого события по двум различным параметрам (функциональ-
ное разнообразие).
Нововведениями в концепции АСУ ТП АЭС N4 являются:
—	расширение применения программируемых технических средств;
—	стандартизация применения микропроцессоров во всех системах;
—	использование локальных сетей с высокой скоростью передачи данных.
АСУ ТП АЭС «Temelin». АСУ ТП разработана в целях модернизации для АЭС
с двумя блоками ВВЭР российского производства. Модернизация охватывает си-
стему защиты реактора, систему регулирования и ограничения мощности реак-
тора, систему управления станцией, систему управления турбиной, систему пос-
леаварийного контроля и объединенную информационную систему [87, 91,61].
С	труктурная схема АСУ ТП приведена на рис. 2.3. В качестве управляю-
щих систем нормальной эксплуатации в АСУ ТП выделены:
—	система контроля и управления энергоблоком PCS;
—	система контроля и управления турбоустановкой TCS.
Система управления PCS обеспечивает сбор данных, не связанных с безо-
пасностью, и функции управления технологическим процессом. Распреде-
ленные устройства обработки DPU, размещенные на АЭС, объединяются
общей шиной. Устройства DPU содержат необходимые модули аналого-циф-
рового ввода/вывода и процессоры, необходимые для согласования задач вво-
да/вывода и выполнения управляющих функций. Устройства DPU выполня-
ют задачи параллельно, делая их независимыми от системы, и имеют доступ
к непрерывно обновляемой глобальной базе данных.
В качестве процессоров DPU используются МП Intel 80386.
Средства низовой автоматики объединяются магистралью данных
WESTNET II со скоростью передачи 10 Мбит/с, удовлетворяющей стандарту
IEEE 802.3.
Общая архитектура системы базируется на избыточной FDDI (WESTNET
III) оптической магистрали емкостью примерно 200 000 данных, передаваемых
за 1с ко всем рабочим станциям на магистрали, называемой «Станционная ма-
гистраль данных». Система может также передавать данные с интервалом 0,1 с.
56
Гл. 2. Тенденции развития АСУ ТП АЭС
УПРАВЛЯЮЩАЯ И
ОГРАНИЧИВАЮЩАЯ
СИСТЕМЫ РЕАКТОРА
Стойка Пультовая для
мульти- управления
плексора системами не
Шлюз управления класса 1Е
Рис. 2.3. Структурная схема АСУ ТП АЭС « Temelin»
57
Принципы создания АСУ ТП АЭС
Средства низовой автоматики системы PCS объединяются магистралью
данных WESTNETII.
Дальнейшее развитие подхода фирмы Westinghause к созданию АСУ ТП
АЭС основано на следующих принципах:
—	снижение вероятности отказа УСБ;
—	обеспечение архитектуры системы на основе функционального прин-
ципа ее реализации;
—	обеспечение автоматизации управления.
АСУ ТП создается на основе проектов систем Advant/Avation, содержащих
стандартизованные аппаратные и программные средства, сетевое оборудова-
ние и линии связи.
Проект Advant — это проект УСБ, проект Avation — проект УСНЭ и
УСНЭ ВБ.
В состав УСБ входят следующие системы:
—	система защиты реактора RPS;
—	резервная система защиты реактора DPS;
—	система управления и ограничения мощности реактора RCLS;
—	система послеаварийного мониторинга PAMS.
Основная система защиты реактора (RPS) делится на подсистемы (ком-
плекты) безопасности 1, 2, 3. Все три системы отделены друг от друга физи-
чески и электрически. Каждая из трех подсистем включает в себя интегри-
рованную стойку защиты и соответствующее устройство останова реактора,
стойки активизации характеристик безопасности ESFAS, интегрированные
стойки логики, мультиплексоры БПУ и РПУ и стойки каналов передачи дан-
ных.
Сигналы дистанционного управления с БПУ и РПУ передаются непос-
редственно в интегрированную стойку защиты и ESFAS через проводные ли-
нии ввода/вывода.
Система аттестована по классу 1Е. Обеспечивается интерактивная диаг-
ностика аппаратного и программного обеспечения.
Система RPS — это распределенная вычислительная система, созданная
на базе средств EAGLETM фирмы Westinghouse. Система базируется на МП
Intel 486. Каждый комплект RPS имеет магистраль для передачи данных. Ин-
формация передается в центральную информационную систему UTS.
Система управления и ограничения мощности реактора RCLS не являет-
ся системой класса 1Е. Она представляет собой распределенную систему уп-
равления на основе микропроцессоров, выполненных из тех же самых высо-
кокачественных модулей EAGLETM, которые используются в RPS. Эти
модули установлены в сейсмостойких стойках, не пропускающих помехи от
внешних источников. RCLS является полностью резервированной системой.
58
Гл. 2. Тенденции развития АСУ ТП АЭС
Средства низовой автоматики систем RPS и RCLS объединяются магист-
ралью Eagle NET Магистраль Eagle NET — это сеть на базе Ethernet с пропус-
кной способностью 10 Мбит/с.
Резервная система защиты (DPS) обеспечивает дополнительную защиту в
случаях отказа основной системы защиты по общей причине. Программное
и аппаратное обеспечение DPS отличается от используемого в RPS. Это га-
рантирует то, что отказ RPS по общей причине не приведет к отказу DPS.
Система создана на основе МП Motorola. Информация от DPS передается в
центральную информационную систему UTS.
Система DPS обеспечивает аварийный останов реактора и запуск систем
безопасности. Любой сигнал DPS на останов реактора является сигналом на
останов турбины.
Система послеаварийного мориторинга PAMS аттестована по классу 1Е и
является сейсмостойкой. Она обеспечивает сбор данных после аварии, пред-
ставление и запись параметров АЭС, важных для ослабления аварии. PAMS
состоит из избыточно-резервированных подсистем обработки и представле-
ния данных и имеет три удаленных устройства обработки в двух подсистемах.
АСУ ТП АЭС с ВВЭР-640. Концепция управления АЭС предусматривает
следующие подходы к управлению блоком [55, 85]:
—	в режимах нормальной эксплуатации превалирует дистанционное уп-
равление. Автоматическое управление предусматривается только для управ-
ления отдельными механизмами;
—	при нарушении нормальной эксплуатации возрастает доля автоматичес-
кого управления, что обусловлено работой различных защит и блокировок,
работой автоматического ввода резерва, регуляторов ограничения мощнос-
ти, возможной работой предварительной защиты, возможной работой ава-
рийной защиты и снижением доли дистанционного управления, в первую оче-
редь вследствие прекращения основного технологического процесса;
—	при проектных авариях в течение первых 30 мин после начала аварии
предусматривается только автоматическое управление системами безопасно-
сти. По истечении 30 мин допускается дистанционное и индивидуальное руч-
ное управление с целью приведения АЭС в конечное состояние в соответ-
ствии с регламентом безопасной эксплуатации и перехода к послеаварийным
мероприятиям;
—	при запроектных авариях предполагается совокупность различных спо-
собов управления, в том числе и индивидуальное ручное управление.
Создание УСБТ, УСНЭ ВБ и УСНЭ осуществляется на базе средств мик-
ропроцессорной техники. В АСУ ТП используются лицензированные про-
граммно-технические средства ТПТС (ТПТС51 для УСНЭ ВБ и УСНЭ), пре-
дусматривалось использование ТПТС51.01 для УСБ.
59
Принципы создания АСУ ТП АЭС
Система верхнего блочного уровня построена на основе программно-тех-
нических средств ОМ-650 [42].
АСУ ТП включает в свой состав АСУ ТП общестанционной части АЭС и
АСУ ТП блока. Структурная схема АСУ ТП приведена на рис. 2.4.
В состав УСБ входят система управления и защиты реактора и управляю-
щая система безопасности технологическая.
В проекте АСУ ТП рассмотрены варианты СУЗ как на базе ТПТС51.01,
так и на базе элементов «жесткой логики».
СУЗ содержит два комплекта АЗ-ПЗ. Реализация принципа резервирова-
ния заключается в наличии трех каналов в каждом комплекте.
Реализация принципа разнообразия заключается в определении как ми-
нимум двух критериев срабатывания АЗ по каждому исходному событию и
соответствующей структурной реализации (функциональное разнообразие).
В случаях, когда это невозможно, применяется аппаратное разнообразие —
первичные преобразователи различных фирм в разных каналах комплектов.
Система автоматического регулирования мощности реактора выполнена
в виде трехканального комплекта, получающего информацию как от своих
первичных преобразователей, так и от комплектов подсистемы АЗ-ПЗ по ней-
тронно-физическим параметрам через средства гальванического разделения.
Система группового и индивидуального управления (СГИУ) выполнена в
виде одного трехканального комплекта, обеспечивающего групповое и ин-
дивидуальное управление органами регулирования (автоматически по коман-
дам ПЗ или АРМР или дистанционно по командам оператора), а также конт-
роль и представление информации о положении органов регулирования.
В комплектах подсистемы АЗ-ПЗ обеспечивается сбор и выдача необхо-
димой информации в СВБУ.
Первичная обработка сигналов отдатчиков нейтронно-физических и техно-
логических параметров происходит соответственно в аппаратуре контроля ней-
тронного потока и аппаратуре защиты по технологическим параметрам (АЗТП).
АКНП формирует аварийные сигналы при отклонении значений мощно-
сти и периода за установленные пределы, после чего выдает их в аппаратуру
логической обработки сигналов (АЛОС) для формирования команд АЗ и ПЗ.
Кроме того, АКНП выдает аналоговые сигналы в АРМР и РОМ для управле-
ния мощностью реактора при нормальной эксплуатации.
Комплекс аппаратуры защиты по технологическим параметрам АЗТП
предназначен для контроля технологических параметров (температура теп-
лоносителя, давление, уровень в парогенераторах, компенсаторе давления и
т.д.) и формирования аварийных сигналов при отклонении значений указан-
ных параметров за установленные пределы. Сигналы АЗТП выдаются в АЛОС
для формирования команд АЗ и ПЗ.
60
Рис. 2.4. Структурная схема АСУ ТП АЭС с ВВЭР-640
Гл. 2. Тенденции развития АСУ ТП АЭС
Принципы создания АСУ ТП АЭС
Аппаратура АРОМ выполнена на базе трехканального микроконтроллер-
ного комплекса. Функции разгрузки и ограничения мощности реактора реа-
лизуются в зависимости от числа работающих ГЦН, ПЭН и частоты электро-
питания ГЦН.
УСБТ обеспечивает реализацию алгоритмов защиты при достиже-
нии контролируемыми параметрами соответствующих уставок и форми-
рование команд управления необходимыми исполнительными механиз-
мами, а также дистанционное управление исполнительными механизмами с
«мозаичных» панелей БПУ и РПУ
Комплект аппаратуры УСБТ в части приема и предварительной обработ-
ки информации является трехканальным и состоит из отдельных вычисли-
тельных устройств с распределенными между ними функциями. Вычислитель-
ные устройства соединяются между собой по локальной сети. Образование
сети между устройствами осуществляется волоконно-оптической связью, при
этом требуемая степень независимости обеспечивается гальванической раз-
вязкой.
Управление приводами исполнительных механизмов осуществляется по
принципу «один модуль управления — один привод».
Устройства сбора информации и сервиса MSI осуществляют сбор и обра-
ботку информации от устройств комплекта аппаратуры каналов УСБТ по во-
локонно-оптическим шинам SINEC L2, выдачу ее на верхний уровень в MSI,
а далее на «мозаичные» панели БПУ и РПУ.
Функции ввода, обработки информации и управления процессом в систе-
мах автоматизации набазеТПТС51 выполняются микропроцессорными про-
граммируемыми функциональными модулями, располагающими средствами
автономного выполнения функций измерения, контроля, сигнализации и уп-
равления.
Состав и характеристики основных функциональных модулей ТПТС51
приведены в табл. 2.1.
В состав сетевых средств нижнего уровня входят две шинные систе-
мы:
—	шинная система CS275;
—	шина межсистемной связи Sinec L2.
Дублированная шинная система CS275 предназначена для обеспечения
обмена информацией между нижним уровнем АСУ ТП и блочным уровнем.
Доступ к шине CS275 основан на принципе распределенного управления (пе-
редача маркера), то есть поочередного права каждого абонента на сеанс об-
мена данными по шине. Основные характеристики шинной системы CS275
приведены в табл. 2.2.
62
Гл. 2. Тенденции развития АСУ ТП АЭС
Таблица 2.1
Характеристики функциональных модулей ТПТС51
Обозначение	Наименование	Назначение/обеспечение
ТПТС51.1731 (6DS1731-8RR)	Модуль приема и об- работки сигналов тер- мопар и термосопро- тивлений	4 аналоговых входа (термопары, термосопро- тивления) 4 аналоговых выхода 0(4)-20 мА, 0(2) -10 В, 8 дискретных выходов (24В, 100 мА)
ТПТС51.1703 (6DS1703-8RR)	Модуль расширения для приема сигналов термопар и термосо- противлений	Увеличивает число регулируемых модулем ТПТС51.1731 сигналов на 14 при одном и на 28 - при двух подключенных модулях
ТПТС51.1722 (6DS1722-8RR)	Модуль для приема и обработки аналоговых сигналов	14 аналоговых входов, 14 аналоговых выхо- дов, 14 дискретных выходов (24 В до 120 мА)
ТПТС51.1411 (6DS1411-8RR)	Модуль регулятора	7 аналоговых входов, 5 аналоговых выходов, 28 дискретных входов и 10 дискретных выхо- дов, ступенчатое автоматическое управление исполнительным устройством с электродвига- телем. Закон регулирования - пропорциональ- но-интегральный
ТПТС51.1412 (6DS1412-8RR)	Модуль регулятора	8 аналоговых входов, 7 аналоговых выходов, 28 дискретных входов и 12 дискретных выхо- дов. Управление регулирующими клапанами. Закон регулирования - пропорциональный, пропорционально-интегральный, пропорцио- нально-интегрально-дифференциальный
ТПТС51.1717 (6DS1717-8RR)	Модуль индивидуаль- ного управления	Управление двигателями (до 4 шт.), задвиж- ками (до 3 шт.), клапанами (до 5 шт.), 35 дис- кретных входов, 19 дискретных выходов
ТПТС51.1723 (6DS1723-8RR)	Модуль обработки двоичных сигналов	28 дискретных входов и 28 дискретных выхо- дов (могут быть программно преобразованы в двоичные входы). Модификация ТПТС51.1723 (6DS1723-8RU), отличающаяся составом базо- вого программного обеспечения, используется для управления подгруппами
ТПТС51.1725 (6DS1725-8RR)	Модуль группового управления	Управление несколькими (до 9) модулями управления подгруппами. 28 дискретных вхо- дов, 28 дискретных выходов
ТПТС51.1332 (6DS1332-8RR)	Модуль управления шиной ввода-вывода (EAS)	Управление внутришкафной шиной ввода- вывода; управление обменами по сетевым средствам нижнего уровня СКУ
ТПТС51.1322 (6DS1332-8RR)	Модуль приемо-пере- датчиков	Организация дублированной шины ввода- вывода
SES (имеет модуль- ную структуру)	Блок питания и сиг- нализации	Распределение напряжения питания по крей- там, сигнализация неисправностей системы автоматизации
ТПТС51.1202 (6DS1202-8AB)	Модуль подключе- ния интерфейсный	Подключение «внешних» систем автомати- зации по интерфейсу V24 или «токовая петля»
63
Принципы создания АСУ ТП АЭС
Таблица 2.2
Характеристики системы CS275
Характеристика	Значение
Максимальное количество абонентов дистанционной шины, ед.	100
Максимальная протяженность шины, км	До 12 с сегментами по 4
Скорость передачи, кбит/с	250
Максимальное количество конвертеров UI, подключаемых к дистанционной шине, ед.	32
Максимальное количество абонентов ближней шины, ед.	9
Максимальная дальность ближней шины, м	20
Максимальное количество абонентов, ед.	32 (на 1 сегмент)
Максимальная протяженность шины, м	100 (для 1 сегмента)
Максимальное количество сегментов, ед.	3
Дублированная шина межсистемной связи Sinec L2 предназначена для обес-
печения обмена сигналами автоматического управления (например, сигналы
автоматического ввода резерва) между средствами низовой автоматики, отно-
сящимся к одной и той же функциональной области, но расположенными в
разных помещениях. Шина Sinec L2 представляет собой последовательную
шину с маркерным доступом к среде переноса и децентрализованным управ-
лением передачей маркера, обеспечивающим каждому абоненту возможность
обмена информацией в отведенное для него время.
Назначением автоматизированной системы контроля, управления и ди-
агностики реакторной установки (СКУД) является контроль и диагностика
активной зоны и основного технологического оборудования реакторной ус-
тановки.
В состав СКУД входят следующие функциональные подсистемы:
—	система внутриреакторного контроля (СВРК);
—	системы комплексного анализа и представления информации;
—	системы диагностики, включая:
•	систему виброшумовой диагностики оборудования реакторной уста-
новки;
•	систему акустического контроля течей теплоносителя из 1-го контура;
•	систему контроля влажности;
•	систему обнаружения свободных и слабозакрепленных предметов.
АСУ ТП АЭС с ВВЭР-1000 (АС-92). Основным способом управления тех-
нологическим процессом является дистанционное управление с АРМ БПУ
64
Гл. 2. Тенденции развития АСУ ТП АЭС
АСУ ТП выполнена на базе ТПТС и устройств «жесткой логики» [5].
Исходными предпосылками для выбора структуры АСУ ТП являлись:
—	расчетная загрузка сетей энергоблока и локальных вычислительных се-
тей (ЛВС) не должна превышать 40% от их технических возможностей;
—	суммарное количество абонентов в сети СВБУ не должно превышать
100 ед.;
—	конфигурация системных шин низовой автоматики (ТПТС) объединя-
ет до 9 отдельных секций (сегментов);
—	загрузка каждой секции системной шины ТПТС рассчитана на поток из
3000 аналоговых сигналов и 5000 дискретных.
Структурная схема АСУ ТП приведена на рис. 2.5.
В АСУ ТП предусмотрены четыре автономных канала УСБ. Каналы УСБ
физически отделены друг от друга и от систем нормальной эксплуатации.
УСБ состоит:
—	из двух комплектов аварийных и предупредительных защит СУЗ, дей-
ствующих независимо по логике «один из двух» на останов реактора;
—	четырех устройств запуска систем безопасности УСБИ, обеспечиваю-
щих формирование команд УСБТ;
—	четырех комплектов УСБТ.
СУЗ, УСБИ и УСБТ строятся по логике «два из трех» с индивидуальными
датчиками. В УСБТ реализуются задачи управления по командам УСБИ, ко-
мандам из БПУ, РПУ, а также по сигналам локальных блокировок.
АЗ-ПЗ и УСБИ реализованы на элементах «жесткой» логики.
УСБТ вырабатывает команды управления механизмами системы безопас-
ности и построена на базе ТПТС.
В качестве ПТС низовой автоматики контроля и управления оборудова-
нием приняты средства ТПТС53 (аналогТПТС51). Сопряжение ТПТС с объек-
том управления и связь с силовыми устройствами управления выполнены с
помощью реле развязки и гальванического разделения.
Система контроля, управления и диагностики представляет собой децент-
рализованную систему, состоящую из автономных подсистем, объединенных
общей задачей контроля, управления и диагностики реакторной установки.
СВБУ реализует информационные, управляющие, сервисные и вспомо-
гательные функции АСУ ТП. В качестве ПТС СВБУ приняты средства ин-
дустриальной платформы Compact PCI, в качестве процессоров — Intel
Pentium III с частотой не ниже 700 МГц для серверов и 500 МГц — для рабо-
чих станций.
Основными элементами СВБУ являются АРМ оперативного персонала,
серверы, локальная вычислительная сеть. Взаимодействие СВБУ с ПТК АСУ
ТП осуществляется через шлюзы.
65
АРМ СИ ) РПУ
Принципы создания АСУ ТП АЭС
Управляющая система безопасности (УСБ)	Система контроля и управления нормальной эксплуатации
Рис. 2.5. Структурная схема АСУ ТП АЭС с ВВЭР-1000 (АС-92):
АРК - аварийный радиационный контроль;
АРМ В - автоматизированное рабочее место для управления и контроля системамивентиляции;
АРМ ИЭПО - автоматизированное рабочее место инженера по эксплуатации программного обеспечения;
АРМ НСБ - автоматизированное рабочее место начальника смены блока;
АРМ РК - автоматизированное рабочее место для радиационного контроля;
АРМ САППЗ - автоматизированное рабочее место контроля системы автоматической противопожарной защиты;
АРМ СВО - автоматизированное рабочее место для контроля и управления спецводоочисткой;
АРМ СИУР - автоматизированное рабочее место старшего инженера управления реактором;
АРМ СИУТ - автоматизированное рабочее место старшего инженера управления турбиной;
АРМ СНЭ - автоматизированное рабочее место для контроля и управления системами нормальной эксплуатации;
АРМ ЦТАИ - автоматизированное рабочее место цеха тепловой автоматики и измерений;
КЭ СУЗ - комплекс электрооборудования СУЗ;
САППЗ - система автоматической противопожарной защиты;
СКРТ - система контроля и регулирования турбины;
СКУ В - система контроля и управления вентиляцией;
СКУ 1’0 - система контроля и управления реакторного отделения;
СКУ СВО - система контроля и управления спецводоочисткой;
СКУ ТГ - система контроля и управления турбогенератора;
СКУ ТО - система контроля и управления турбинного отделения;
СКУ ЭЧ - система контроля и управления электрической части;
СНКУ - система неоперативного контура управления;
СРВПЭ - система регистрации важных параметров эксплуатации;
СРК - система радиационного контроля
Гл. 2. Тенденции развития АСУ ТП АЭС
Автоматизированные рабочие места оперативного персонала БПУ реали-
зуются на основе рабочих станций.
За основу структуры ЛВС СВБУ принят стандарт IEEE 802.3. Для исполь-
зования потенциальных возможностей по скорости обмена данными, обес-
печиваемых стандартом IEEE 802.3, а также для возможности дальнейшей мо-
дернизации и развития сети основные концентрирующие узлы сети
реализованы на основе коммутаторов.
ЛВС СВБУ разделяется на две подсети — основную и резервную. Обе под-
сети равноправны, симметричны и отличаются лишь местоположением час-
ти абонентов и логическими адресами абонентов.
2.3.	Тенденции в организации блочных пунктов управления
В общем случае в организации БПУ АЭС нового поколения сложились
два подхода: компромиссный и революционный [89].
Компромиссный подход (проекты CANDU, NUPLEX80+TM) обеспечивает
консервативность проекта, в котором оптимальным образом применяются не-
обходимые имеющиеся в настоящее время современные средства, апробиро-
ванная дисплейная технология, разнообразие применяемых технических
средств, а также учитывается человеческий фактор. За счет использования эк-
рана коллективного пользования, цветных графических и сенсорных дисп-
леев значительно сокращаются размеры пульта, а также объем предупреди-
тельной и аварийной сигнализации, реализуемой с помощью индивидуальных
средств контроля и управления.
Революционный подход (проект АЭС с реактором N4, Франция, проект АЭС с
реактором ABWR, Япония) отличается радикальностью проекта БПУ с миниму-
мом традиционных средств для поддержания энергоблока в режиме нормальной
эксплуатации и останова энергоблока в случае отказа блочного уровня АСУ ТП.
Оба подхода к созданию БПУ основываются на поддержке действий опе-
раторов на основе сжатой информации о технологическом процессе с пред-
ставлением ее на экранах мониторов и особом внимании к человеческому
фактору при проектировании интерфейса «человек—машина».
Ниже рассматриваются особенности БПУ наиболее известных зарубеж-
ных проектов АЭС N4 и АЭС Kashiwadzaki Kariwa, а также БПУ российских
АЭС с ВВЭР-640 и ВВЭР-1000.
Блочный пункт управления АЭС N4. За основу разработки БПУ принята
концепция полной компьютеризации пульта управления, что позволило реа-
лизовать ряд следующих преимуществ [90]:
—	использовать в каждой из задач по контролю и управлению технологи-
ческим процессом одни и те же средства на рабочем месте оператора;
67
Принципы создания АСУ ТП АЭС
—	исключить при управлении энергоблоком совместное использование
индивидуальных и компьютеризированных средств;
—	отображать информацию, адаптированную к конкретной задаче и к си-
туации на АЭС, обеспечить связь между информацией, инструкциями и за-
дачами управления;
—	обеспечить прямую связь аварийных сигналов с соответствующим ру-
ководством оператору и управление с использованием этого руководства (ин-
струкции).
В пультовой организованы четыре идентичных автоматизированных ра-
бочих места операторов, каждое из которых обеспечивает контроль и управ-
ление энергоблоком. Основными являются два рабочих места операторов-
технологов по управлению реакторной и турбинной установками (см. рис. 2.6).
Два других рабочих места занимают начальник смены энергоблока и, при ава-
рийной ситуации на АЭС, инженер по безопасности.
Рис. 2.6. Организация рабочих мест операторов-технологов АЭС N4
Под мнемосхемой установлен резервный (запасной) пульт в традицион-
ном исполнении. Мнемосхема и резервный пульт позволяют в случае общего
сбоя в компьютерной системе осуществлять индивидуальное дистанционное
68
Гл. 2. Тенденции развития АСУ ТП АЭС
управление и, при невосстановлении компьютерной системы в заданное вре-
мя, вывести реактор в подкритическое состояние.
На рабочем месте оператора-технолога установлены:
-	три цветных графических дисплея для вывода форматов, представляю-
щих оператору необходимую для управления энергоблоком информацию (об-
щее состояние энергоблока, система, с которой работает оператор, процеду-
ры и протоколы);
—	три сенсорных дисплея для выбора и реализации операций по управле-
нию исполнительными механизмами (ИМ), оценки правильности выполне-
ния и контроля за исполнением команд оператора по управлению ИМ, уп-
равления форматами (видеокадрами);
—	клавиатура для подтверждения действий оператора по управлению;
—	алфавитно-цифровая клавиатура для ввода данных в АСУ ТП;
—	четыре алфавитно-цифровых дисплея УСБ;
—	клавиатура для квитирования аварийных сигналов.
Между графическими дисплеями операторов-технологов установлена па-
нель с двенадцатью кнопками для дистанционного запуска систем безопас-
ности в случае отказа автоматического управления этими системами. Инди-
кация срабатывания или отказа систем безопасности выведена на вставку с
табло в центральной части мнемосхемы.
С каждого АРМ оператора возможен доступ ко всем форматам и ко всем
аварийным сигналам блока.
Оператор пользуется меню на сенсорном экране, выбирает схему управ-
ления, механизм для управления, отдает с помощью клавиатуры команду на
управление. В случае, если команда не выполняется, оператор вызывает на
сенсорный экран информацию о причине отказа и рекомендуемую процеду-
ру в соответствии с инструкцией.
Блочный пункт управления АЭС с реактором ABWR. Рассматриваются БПУ,
предназначенные для 6-го и 7-го энергоблоков АЭС Kashiwadzaki Kariwa с
реакторами ABWR [32]. Основные преимущества БПУ — улучшенное пред-
ставление информации за счет использования крупноформатного экрана, рас-
ширенная сфера автоматизации на основе анализа рабочей нагрузки на пер-
сонал, возможность контроля и управления с учетом приоритета выполняемых
операций.
Внедрение автоматизации с использованием сенсорного управления спо-
собствовало созданию компактного пульта управления (см. рис. 2.7). На пульте
установлены цветные графические дисплеи и цветные плоские дисплеи с фун-
кциями сенсорного управления и общего контроля, традиционные переклю-
чатели для аварийного управления и исполнительными механизмами систем
нормальной эксплуатации.
69
Принципы создания АСУ ТП АЭС
Индикаторы Панель крупноформатного Отображение Панель отображения
аварийных отображения информации мнемосхемы переменных параметров
Рис. 2.7. Общая компоновка центрального пульта управления АЭС
с усовершенствованными реакторами ABIVR
Плоские дисплеи независимы друг от друга и подразделяются на два вида.
Первые размещены в левой части пульта и относятся к системам безопаснос-
ти. Вторая группа предназначена для систем нормальной эксплуатации и рас-
положена в правой части пульта.
Перед операторами установлено крупноформатное табло для выдачи важ-
нейшей информации о состоянии станции. В нижней части дисплеев, обра-
зующих панель крупноформатного отображения информации, размещены
плоские дисплеи с сенсорным управлением. Подобно проекту АЭС N4, эти
дисплеи являются резервным пультом управления.
Блочный пункт управления АЭС с ВВЭР-640. За основу организации БПУ
принят компромиссный подход: внедрение дисплейных пультов с сохране-
нием индивидуальных средств контроля и управления системами безопаснос-
ти, СК.У пожарной защиты, СКУ электрической части энергоблока. Предус-
мотрены резервные средства для контроля и управления энергоблоком в случае
отказа блочного уровня и, при невосстановлении СВБУ, останова энергоблока
[55,85].
В качестве технических средств на БПУ устанавливаются (см. рис. 2.8):
—	экран коллективного пользования;
—	широкоформатные дисплеи на рабочих местах операторов и начальни-
ка смены блока;
70
Гл. 2. Тенденции развития АСУ ТП АЭС
—	пульт и информационная панель СУЗ;
—	пульты-панели УСБТ;
—	пульты-панели с индивидуальными средствами контроля и управления
при отказе С В БУ;
—	пульты-панели СКУ ЭЧ;
—	панели СКУ противопожарной защиты;
—	мониторы для контроля состояния систем безопасности.
Блочный пункт управления АЭС с ВВЭР-1000. Концепция организации
БПУ подобна концепции организации БПУ АЭС с ВВЭР-640: компьютери-
зация рабочих мест оперативного персонала для ведения режимов нормаль-
ной эксплуатации и использование индивидуальных средств контроля и уп-
равления на панелях и пультах УСБ, а также на резервных панелях СКУ
турбинного отделения и СКУ электрической части энергоблока [35].
71
Принципы создания АСУ ТП АЭС
Основными отличиями этого БПУ являются (см. рис. 2.9):
—	использование в качестве средства представления оперативному персо-
налу обобщенной информации о технологическом процессе и состоянии бе-
зопасности энергоблока обобщенной мнемосхемы (ОМС);
—	размещение резервных средств контроля и управления, выполненных
на элементах «мозаики», на пультовых консолях дисплейных пультов опера-
торов и в нижней части ОМС.
Рис. 2.9. План размещения технических средств на БПУ:
I — зона систем безопасности; 2 — панель СУЗ и обобщенная мнемосхема;
3,4 — рабочее место оператора; 5,6 — зона электрической части энергоблока;
7 — рабочее место начальника смены блока; 8 — печатающее устройство; 9 — рабочее место
оператора спецводоочистки, вспомогательных систем РО и ТО; 10 — пост радиационного
контроля; 11 — рабочее место оператора систем вентиляции и противопожарных систем;
СБ-1,2 — дисплеи систем безопасности; СУЗ— 1,2 — дисплеи СУЗ; А—Н — дисплеи зон
управления СНЭ; ЭЧ— 1,2 - дисплеи электрической части
В неоперативной части БПУ предусмотрены три рабочих места:
—	оператора системы спецводоочистки, вспомогательных систем реактор-
ного и турбинного отделений;
—	оператора противопожарных систем и вентиляции;
—	старшего дежурного дозиметриста или оператора системы радиацион-
ного контроля.
В состав ОМС входят:
—	информационная панель СУЗ;
—	индикаторы общеблочных параметров и собственно мнемосхема, отра-
жающая основной технологической процесс в 1-м и 2-м контурах энергоблока,
а также зона расположения резервных средств представления информации;
—	панели электрической части энергоблока.
72
Гл. 2. Тенденции развития АСУ ТП АЭС
2.4.	Тенденции в организации информационного обеспечения
оперативного персонала
Принципы создания информационного обеспечения. Центральной пробле-
мой при обсуждении вопросов совершенствования деятельности оператив-
ного персонала является уменьшение информационной нагрузки на опера-
тора, представление операторам только той информации, которая в данных
условиях необходима для контроля и управления технологическим процес-
сом. Доступ к требуемой информации должен быть беспрепятственным и
быстрым, чтобы операторам можно было предпринять действия по управле-
нию энергоблоком в аварийных ситуациях [75, 24].
В отличие от традиционных пультов преимущество дисплеев заключается
в предоставлении оператору гибкого формата с интегрированной информа-
цией, с использованием графического, обобщенного и т.п. изображения дан-
ных с широким использованием цветовых возможностей дисплеев. Однако
из-за необходимости выбора оператором соответствующего формата доступ
к информации становится ограниченным. Соответственно, при разработке
информационного обеспечения оперативного персонала принимаются меры
с целью избежать «туннельного эффекта», то есть долгого поиска нужной
информации, и «эффекта замочной скважины», то есть ограничения в пред-
ставлении информации.
В основу организации информационного обеспечения оперативного пер-
сонала в зарубежных проектах положены следующие принципы:
—	иерархическое представление информации о технологическом процес-
се и состоянии АЭС. Оперативный персонал обеспечивается структурирован-
ной информацией. В основе иерархии — постоянная многоуровневая оценка
параметров безопасности и производства электроэнергии;
—	обеспечение быстрого доступа к требуемому формату или автоматичес-
кое представление требуемого формата в аварийной ситуации;
—	иерархическая организация сигнализации. Приоритет любого аварий-
ного сигнала (сообщения) должен базироваться на последствиях события для
станции и срочности ответных действий оператора, обусловленных инфор-
мацией о состоянии оборудования, систем и всей станции. Устранение не-
нужных аварийных сигналов позволит оператору сосредоточиться на наибо-
лее важных сообщениях;
—	единый подход к организации дисплейных форматов (видеокадров);
—	информационная поддержка оперативного персонала при ведении ре-
жимов нормальной эксплуатации и при авариях.
Следующие области применения систем поддержки оператора считаются
наиболее важными [83]:
73
Принципы создания АСУ ТП АЭС
—	диагностика состояния АЭС, определение основной причины при на-
рушениях и авариях;
—	поддержка гибкого планирования процесса управления при пуске, ос-
танове и последующей нагрузке энергоблока;
—	реализация эксплуатационных руководств.
Немаловажное значение имеют форма и объем информации, представляе-
мой на экранах дисплеев. По форме информация должна быть понятна операто-
ру, а ее объем не должен препятствовать концентрации внимания оператора на
наиболее важных сообщениях и, как следствие, снижать быстроту его реакции.
Поэтому одним из методов совершенствования взаимодействия опера-
тор — система является обусловленное сокращение объема информации на
экранах дисплеев в аномальных ситуациях, чтобы оператор имел возможность
сосредоточить свое внимание на наиболее существенных с точки зрения бе-
зопасности АЭС сообщениях [24].
В информационном обеспечении оператора помимо таких образных пред-
ставлений информации, как мнемосхемы, сопоставительные диаграммы, гра-
фики, широкое применение нашла принципиально новая форма представ-
ления информации — обобщенный образ. Обобщенный образ служит для
интегральной оценки состояния системы или энергоблока в целом. К обоб-
щенным образам относится, например, графическое представление энерге-
тических и материальных балансов энергоблока.
С целью поддержки оперативного персонала в аварийных ситуациях как
на действующих АЭС, так и на АЭС нового поколения внедряются системы
поддержки оператора (СПО) — электронные аварийные инструкции, симп-
томно-аварийные инструкции, системы представления параметров безопас-
ности (СППБ) и др. Основной задачей СПО является указание или рекомен-
дация оператору о выборе необходимых действий по устранению или
смягчению последствий аварийной ситуации и их реализации [73].
Тенденции создания информационного обеспечения оперативного пер-
сонала БПУ рассматриваются на примере АЭС NUPLEX 80+™, АЭС N4, АЭС
с реактором ABWR и АЭС с ВВЭР-640.
Организация информационного обеспечения в проекте NUPLEX 80+™. В ча-
сти информационного обеспечения оперативного персонала в системе
NUPLEX 80+™ за основу принята следующая концепция [114]:
—	предоставление интегрированного обзора состояния технологического
процесса;
—	поддержка непрерывной многоуровневой оценки оператором критичес-
ких функций безопасности;
—	обеспечение оператора обобщенной информацией по подсистемам;
—	предоставление оператору тенденций поведения параметров процесса;
74
Гл. 2. Тенденции развития АСУ ТП АЭС
—	предоставление такого количества данных, которое оператор в состоя-
нии обработать;
-	фиксированное расположение важной информации;
-	иерархическое предоставление информации;
—	предоставление данных о состоянии систем безопасности.
В аварийных ситуациях:
-	устранение с экранов мониторов всей информации по системам нор-
мальной эксплуатации;
—	обеспечение руководства оператору относительно расположения инфор-
мации для быстрого доступа к необходимым данным;
—	обеспечение быстрого выделения требуемого формата технологической
системы из иерархии форматов;
—	обеспечение быстрой оценки пределов и условий безопасности;
—	прямой доступ через индикаторы аварий к связанным экранным страницам.
В проекте NUPLEX 80+™ принята следующая иерархия представления ин-
формации (см. рис. 2.10):
—	табло (экран) коллективного пользования. Осуществляется быстрая
оценка ключевой информации о состоянии критических функций безопас-
ности и производства энергии;
—	представление аварийных сигналов АЭС. Используется ограниченный
ряд фиксированных дискретных сигналов со следующей приоритетностью:
а)	аварийный сигнал 1-й приоритетности: немедленное действие (также
на экране коллективного пользования (ЭКП);
б)	аварийный сигнал 2-й приоритетности: быстрое действие;
Рис. 2.10. Иерархия представления информации в проекте NUPLEX 80*™
75
Принципы создания АСУ ТП АЭС
в)	аварийный сигнал 3-й приоритетности: осведомленность;
г)	помощь оператору — только в качестве информации (неаварийной);
—	отображение ключевых данных по АЭС, в том числе информационные
сообщения, данные по параметрам режима, и тенденции их изменения, кон-
троль логики управления;
—	задачи управления энергоблоком. Информация включает в себя конт-
роль режима, уставок, параметров технологического процесса и сигналов уп-
равления.
Дополнениями ко всем уровням информации являются форматы, обеспе-
чивающие общий мониторинг — контроль технологического процесса, кон-
троль состояния технологических систем, контроль и управление конкрет-
ными системами и оборудованием, представление требуемой информации об
оборудовании.
Организация информационного обеспечения в АСУ ТП АЭС N4. В проекте
АЭС серии N4, где для систем нормальной эксплуатации превалирует дистан-
ционное управление, с целью обеспечения оператора в задачах контроля, уп-
равления, диагностики ошибок и отказов приняты следующие принципы [90]:
а)	адаптирование форматов к задаче оператора:
— принцип заключается в том, что любая информация, необходимая опе-
ратору для выполнения его задач, должна выводиться на едином формате,
чтобы оператор не тратил время на поиск необходимой ему информации. Этот
принцип потребовал разработки большого количества видеокадров типа:
•	операционные форматы (примерно 600) — предназначены для управ-
ления исполнительными механизмами; на форматах присутствуют X, Yдиаг-
раммы, совокупности гистограмм и т.п. (см. рис. 2.11);
•	операционные процедуры — все нормальные и аварийные процедуры
отображаются на экранах (примерно 3000 страниц), предлагают линию дей-
ствия в виде блок-схемы и контроль за действиями оператора (сообщают опе-
ратору, правильно ли он действует согласно соответствующему руководству);
•	карты аварийной сигнализации — каждый функциональный аварий-
ный сигнал связан с картой сигнала тревоги (около 3000). Они являются ру-
ководством с перечислением процедур, необходимых оператору для управле-
ния АЭС;
•	технологические карты — каждый датчик и ИМ имеет технологичес-
кую карту, в которой приведены данные типа: расположение ИМ, маркиров-
ка, блокировки и т.п. (всего около 10 000 карт);
б)	ограничение последовательности информации:
— на компьютеризированном пульте оператор имеет возможность наблю-
дать только фрагмент объекта управления. С целью предоставления операто-
ру возможности наблюдать за АЭС предусматриваются:
76
Гл. 2. Тенденции развития АСУ ТП АЭС
•	отсев ненужной информации, представление на один и тот же формат
как схем технологических систем, так и инструкций (блок-схем) по их управ-
лению;
•	представление ситуации с исключением вторичных показателей;
•	вычисление и представление входной/выходной информации для фун-
кциональной группы, технологической системы;
•	комбинированное представление графической информации — кривые,
схемы, гистограммы;
•	иерархия видеокадров, визуальная непрерывность между форматами
(видеокадрами).
RCU002YRG RCU-REGLAGE CHARGE/DECHARGE
Рис. 2.11. Операционный формат
77
Принципы создания АСУ ТП АЭС
Организация информационного обеспечения в АСУ ТП АЭС с реактором
ABWR (Япония). В проекте БПУ нового типа высшим уровнем иерархии пред-
ставления информации является крупноформатное табло [32]. Табло состоит
из трех секций. На центральной секции отображается важнейшая информа-
ция о технологическом процессе станции и состоянии основного оборудова-
ния. В верхней части центральной секции расположены табло аварийной сиг-
нализации (см. рис. 2.7).
Левая секция экрана отведена для табло наиболее важной аварийной сиг-
нализации. Правая секция представляет собой зону переменной индикации
и дает представление о состоянии АЭС в целом. Изображение может пере-
ключаться автоматически в соответствии с состоянием станции или вручную
по требованию персонала.
На мониторах операторов предусмотрено автоматическое воспроизведе-
ние форматов в соответствии с состоянием энергоблока — при пуске и оста-
нове, при быстром останове и т.д. Кроме того, обеспечивается обобщенный
контроль энергоблока в целом. Оператор может вручную вызвать требуемый
формат на любой монитор.
Управление отдельными механизмами осуществляется с помощью сенсор-
ных экранов.
Аварийная (тревожная) сигнализация, как показано на рис. 2.12, функци-
онально разделена на три уровня — «станция», «система» и «оборудование».
Рис. 2.12. Иерархия аварийной сигнализации
Тревожные сигналы на уровне «станция» воспроизводятся на крупнофор-
матном табло в зоне индикации наиболее существенных тревожных сигна-
лов. Эти сигналы классифицируются по окнам индикации, которые сооб-
78
Гл. 2. Тенденции развития АСУ ТП АЭС
щают об основном состоянии станции, состоянии систем безопасности, бы-
стрых изменениях и четырех серьезных событиях (останова реактора, разрыв
главного паропровода, останов турбины, отключение генератора).
Тревожная сигнализация на уровне «система» воспроизводит раздельную
цветную индикацию в соответствии с содержанием отказа по каждой системе
в верхней части табло.
Детализация отказов на уровне «оборудование» воспроизводится на элек-
тронно-лучевой трубке (ЭЛТ) и плоских дисплеях и изображается в соответ-
ствии с цветной индикацией в окнах сигнализации.
Организация информационного обеспечения оперативного персонала в про-
екте АЭС с ВВЭР-640. За основу концепции организации человеко-машин-
ного интерфейса приняты следующие положения [55, 85]:
1)	АСУ ТП АЭС предоставляет оперативному персоналу единый челове-
ко-машинный интерфейс для информационного обеспечения и управления
технологическим процессом;
2)	управление процессом и визуальный контроль операторы БПУ осуще-
ствляют с помощью цветных графических мониторов;
3)	терминалы операторов-технологов реакторного и турбинного отделе-
ний функционируют в режиме «параллельного резервирования», то есть все
функции по визуальному контролю и управлению доступны на каждом из
рабочих мест;
4)	с целью освобождения оператора от информационной перегрузки, опе-
ративного представления обобщенной информации персоналу о текущем со-
стоянии безопасности энергоблока, однозначной информации о соблюдении
пределов и условий безопасной эксплуатации, а также сведения к минимуму
возможности принятия оператором неправильных решений при организации
человеко-машинного интерфейса за основу приняты:
—	иерархическое представление информации о технологическом процес-
се, состоянии энергоблока и реакторной установки;
—	иерархическая организация сигнализации;
—	представление информации в функционально-соотнесенном виде;
-	широкое использование оконной графики;
—	единый подход к организации видеокадров;
—	информационная поддержка оперативного персонала при авариях.
В проекте АСУ ТП принята следующая иерархия представления инфор-
мации оперативному персоналу БПУ:
первый уровень — уровень энергоблока. Представление обобщенной ин-
формации о технологическом процессе и текущем состоянии безопасности
энергоблока реализуется на экране коллективного пользования, доступном
для обозрения всему оперативному персоналу БПУ;
79
Принципы создания АСУ ТП АЭС
второй уровень — уровень объекта управления. Представление обобщен-
ной информации о состоянии и режиме работы реакторного отделения, тур-
бинного отделения и т.д;
третий уровень — уровень контроля и управления функционально-техно-
логическими комплексами;
четвертый уровень — уровень контроля и управления функционально-тех-
нологическими группами.
Контроль и управление блоком в режимах нормальной эксплуатации и при
нарушении режимов нормальной эксплуатации обеспечиваются АРМ опе-
ративного персонала.
В проекте принята следующая иерархия сигнализации:
—	аварийная;
—	предупредительная;
—	уведомительная;
—	сигнализация о состоянии ПТС АСУ ТП.
Поддержка оперативного персонала при авариях осуществляется интег-
рированной в АСУ ТП системой представления параметров безопасности.
Обеспечивается вывод данных из оперативного и долговременного архи-
вов в виде протоколов состояния, протоколов изменения, протоколов отка-
зов, протоколов ведения режимов и др.
ГЛАВА 3. РОЛЬ ЧЕЛОВЕКА-ОПЕРАТОРА В УПРАВЛЕНИИ АЭС
ЗЛ. Роль человека-оператора в обеспечении безопасной эксплуатации АЭС
Человеческий фактор в задаче обеспечения безопасности АЭС. В концеп-
ции управления АЭС человек-оператор рассматривается как главное, цент-
ральное звено, выполняющее наиболее ответственные задачи по управлению
энергоблоком. При этом человеческий фактор играет важную роль в обеспе-
чении безопасности станции и сохранении барьеров безопасности.
Сведение к минимуму вероятности ошибочных действий оператора, со-
вершенствование его деятельности обеспечиваются рядом мероприятий, свя-
занных с внедрением компактных дисплейных пультов управления, систем
поддержки оператора, автоматизацией управления энергоблоком, проекти-
рованием деятельности человека-оператора по управлению АЭС.
Одной из важных задач здесь является создание человеко-машинного ин-
терфейса, удовлетворяющего требованиям отечественных и зарубежных нор-
мативных документов. Удовлетворение этим требованиям возможно на ос-
нове положений инженерной психологии в части структурной модели
деятельности человека-оператора, разработки принципов создания инфор-
мационной модели объекта управления, учета психофизиологических харак-
теристик и анализа ошибок человека-оператора.
Авария на АЭС США «Три-Майл-Айленд» (TMI-2) в 1979 г. привела к кар-
динальной переоценке роли оперативного персонала в обеспечении безопас-
ной эксплуатации АЭС. Ошибки, допущенные операторами блочного пунк-
та управления, явились основным фактором, повлиявшим на роль
человека-оператора в обеспечении безопасной эксплуатации АС.
Одним из важнейших выводов из результатов анализа эксплуатации АЭС за
последние годы является признание важности инженерно-психологических и
системно-технических аспектов совершенствования деятельности оперативно-
го персонала, особенно в аномальных и экстремальных ситуациях. Централь-
ная проблема при этом — предоставление операторам только той информации,
которая в данных условиях действительно необходима для контроля и управ-
ления технологическим процессом. Доступ к необходимой информации дол-
жен быть беспрепятственным и быстрым, когда оператору необходимо пред-
принять действия по управлению АЭС в аварийных ситуациях [24].
81
Принципы создания АСУ ТП АЭС
Одной из важных задач при создании АСУ ТП является инженерно-пси-
хологическое проектирование деятельности человека-оператора по управле-
нию АЭС. Проект деятельности должен обусловливать решение всех других
задач, связанных с разработкой системы «человек—машина». При проекти-
ровании должны быть учтены факторы, влияющие на надежность оператора:
окружающая среда, организация человеко-машинного интерфейса, проце-
дуры (инструкции), обучение, влияние новых технологий, влияние систем
поддержки на работу оператора [20].
Несмотря на то обстоятельство, что примерно половина аварийных ситу-
аций, в том числе и самых серьезных, связана с ошибками человека-операто-
ра, операторы продолжают играть важную роль в управлении АЭС.
Роль оператора БПУ является весьма активной. Оператор наблюдает за
технологическим процессом, контролирует состояние безопасности АЭС, оп-
ределяет и реализует необходимые управляющие воздействия на исполнитель-
ные механизмы. В тех случаях, когда система автоматического управления по
тем или иным причинам не в состоянии управлять процессом, активное и гра-
мотное вмешательство оператора в ход протекания аварии может существен-
но улучшить положение. И чем серьезнее событие, тем важнее участие в нем
оператора [12].
Анализ дает возможность определить круг вопросов, решение которых
входит в обязанность квалифицированных операторов и качество решения
которых может служить критерием их подготовленности.
При нормальном режиме эксплуатации к ним относятся [12]: обнаружение
незначительных отклонений режима работы энергоблока, выявление их при-
чин, оценка возможных последствий, что требует умения анализировать не толь-
ко работу отдельных систем, но и динамику технологического процесса, энер-
гетический и материальный балансы станции и работу систем управления.
При возникновении аварийно-опасной ситуации в обязанности операто-
ра входят:
—	установление характера ситуации, определение перспектив развития ава-
рии и степени безопасности станции, оценка последствий аварии;
—	контролирование работы систем безопасности;
—	принятие решения на основании диагностики состояния станции, ка-
кой из инструкций пользоваться (событийно-ориентированной, симптомно-
ориентированной);
—	приведение энергоблока в безопасное состояние;
—	вмешательство в работу систем управления и контроля систем безопас-
ности при отказе технических средств безопасности;
—	использование систем нормальной эксплуатации при решении проблем,
возникающих в аварийных ситуациях.
82
Гл. 3. Роль человека-оператора в управлении АЭС
При этом оператор должен реагировать на большое количество сигналов
и сообщений, фиксировать значительное количество параметров, принимать
решение по стабилизации технологического процесса в условиях крайне ог-
раниченного времени. На действующих АЭС немедленные действия по пре-
кращению цепной реакции деления, охлаждению активной зоны и предотв-
ращению выхода радиоактивных веществ в атмосферу осуществляются
автоматически под управлением управляющих систем безопасности. В соот-
ветствии с ОПБ-88/97 [49] УСБ должны быть спроектированы таким обра-
зом, чтобы при автоматическом запуске возможность их отключения опера-
тивным персоналом блокировалась в течение 10—30 мин.
При ведении режимов нормальной эксплуатации операции по управле-
нию энергоблоком на действующих АЭС России в основном осуществляются
операторами. К автоматическому управлению отнесены зашиты, блокиров-
ки, автоматическое включение резерва, автоматическое регулирование.
Анализ показывает, что когда для реализации решений требовалась более
или менее ритуальная последовательность действий (стереотипность обра-
зов), то у операторов возникало мало проблем [81].
Однако когда требовались относительно изменяющаяся последователь-
ность действий и гибкая обратная связь, то это приводило к появлению про-
блем двух видов:
—	операторы стараются действовать в соответствии с инструкциями;
—	операторы делают попытку адаптации к непредвиденному режиму без
инструкций, то есть стараются действовать на основании собственных зна-
ний, понимания процессов и их взаимодействия.
Результаты исследований проблемы принятия оператором решений в ава-
рийных ситуациях показали важную роль информации. Необходимая инфор-
мация часто не выделялась в условиях высокой информационной нагрузки
оператора.
В работе [1] приведен ряд обстоятельств, осложняющих действия оператора:
— невысокое качество эргономической разработки пультов управления, из-
за которого оператор временами испытывает неуверенность в точности сво-
их представлений об управляемых процессах;
—	сочетание монотонии с высокой вероятностью сверхмобилизации при
переходных процессах в управлении;
—	необходимость в условиях дефекта времени принимать решение почти
на уровне интуиции, пользуясь особым профессиональным чутьем;
—	повышенная утомляемость в связи с житейскими неурядицами, неуст-
роенностью быта, особенно молодых инженеров-операторов;
—	отсутствие подобающих условий для тренировок, для доведения навы-
ков до автоматизма;
83
Принципы создания АСУ ТП АЭС
—	огромная ответственность за ошибку.
Обсуждая роль человека-оператора при управлении АЭС, необходимо учи-
тывать его психофизиологические возможности и ограничения, индивиду-
альные особенности профессиональных действий операторов.
Проектирование рабочих мест операторов, анализ деятельности операто-
ра должны вестись с учетом человеческого фактора. Это имеет непосредствен-
ное отношение к исследованию природы человеческих ошибок, их психоло-
гической причин.
Внедрение новых технологий — отказ от традиционных пультов и пане-
лей, переход к дисплейным пультам — порождает ряд новых задач, связанных
с влиянием этих технологий на деятельность человека-оператора.
Приоритетными в области человеческого фактора определены следующие
задачи:
—	роль и надежность человека-оператора при автоматизации АЭС;
—	гибкость человеко-машинного интерфейса, методы представления ин-
формации оператору.
Основой для решения этих задач является анализ прошлого опыта созда-
ния АСУ ТП и анализ потенциального влияния ошибок оператора на безо-
пасность АЭС. Одним из направлений должно быть изучение вопросов авто-
матизации тех задач, которые традиционно выполняются оператором.
Предполагается, что автоматизация повысит общую надежность АЭС путем
устранения или сокращения действий оператора. Автоматизация многочис-
ленных дискретных операций пуска и останова энергоблока позволит пре-
дотвратить ошибочные действия персонала и обеспечит единообразие выпол-
нения этих операций.
Основным инженерно-психологическим принципом выбора степени ав-
томатизации функций должен быть принцип сохранения целостности струк-
туры деятельности оператора [20]. Сущность этого принципа состоит в том,
что, исключая из деятельности оператора функции управления, не дезорга-
низовать субъективный процесс контроля и управления энергоблоком, а на-
оборот, сделать его более простым и эффективным.
Немаловажное значение имеют форма и объем информации, предостав-
ляемой оператору на экранах дисплеев. По форме информация должна быть
понятна оператору, а ее объем не должен препятствовать концентрации вни-
мания оператора на наиболее важных сообщениях и, как следствие, снижать
быстроту его реакции. Поэтому одним из методов совершенствования взаи-
модействия оператор-система является обоснованное сокращение объема
информации на экранах дисплеев в аномальных ситуациях, чтобы оператор
имел возможность сосредоточить свое внимание на наиболее существенных
сообщениях с точки зрения безопасности АЭС [24].
84
Гл. 3. Роль человека-оператора в управлении АЭС
В связи с повышением значимости человеческого фактора в решении про-
блемы безопасности и эффективности эксплуатации АЭС первостепенное зна-
чение приобретает обучение оперативного персонала: обучение управлению
АЭС, переподготовка, поддержание высокого уровня квалификации, готов-
ности к действиям в течение смены.
Структура деятельности человека-оператора. Рассмотрим деятельность че-
ловека-оператора в рамках основных положений инженерной психологии.
Инженерная психология — это научная дисциплина, изучающая объектив-
ные закономерности процессов информационного взаимодействия человека
и техники с целью использования их в практике проектирования, создания и
эксплуатации системы «человек—машина».
Инженерная психология исследует процессы приема, хранения, перера-
ботки и реализации информации человеком [38, 57].
Как психологическая наука инженерная психология изучает психологи-
ческие и психофизиологические процессы и свойства человека, решая задачу
приспособления техники и условий труда к человеку.
Как техническая наука инженерная психология изучает принципы пост-
роения сложных систем, посты и пульты управления, технологические про-
цессы для выявления требований, предъявляемых к психологическим, пси-
хофизиологическим и другим свойствам человека-оператора.
Практические задачи инженерной психологии касаются согласования че-
ловека и техники как элементов единой системы. Под согласованием пони-
маются [27]:
—	максимальное приспособление техники к человеку (по параметрам кон-
струкции и параметрам объекта);
—	максимальное приспособление человека к технике (по параметрам про-
фессиональной пригодности и профессиональной подготовленности);
—	рациональное распределение функций между человеком и машиной.
Приспособление техники к человеку затрагивает структурную и функци-
ональную стороны их взаимодействия.
Человек ведет себя далеко не так, как должно было бы ожидать в челове-
ко-машинной системе от канала связи. На скорость переработки информа-
ции человеком влияют характер мотивации его деятельности, способность
восприятия количества информации в единицу времени. Таким образом, за-
дача исследования человека как оператора превращается в задачу исследова-
ния оператора как человека.
Это определяет антропоцентрический подход, то есть подход «от человека
к машине». Все более осознается необходимость психологического изучения
деятельности человека-оператора в целом и рассмотрения всей системы пси-
хических функций, процессов и состояний в контексте его деятельности.
85
Принципы создания АСУ ТП АЭС
Принципиальный подход к системе «человек—машина», определенный как
антропоцентрический, определяет и подход к рассмотрению системы «чело-
век-машина» как относящейся к классу «целеустремленных» [38]. Система
действует целеустремленно, если она продолжает преследовать одну и ту же
цель, изменяя свое поведение при изменении внешних условий.
Целеустремленность системы «человек—машина» обусловлена тем, что в
нее включен человек. Именно он ставит цели, определяет задачи и выбирает
Рис. 3.7. Структура деятельности
человека-оператора
по управлению технологическим объектом
средства их выполнения. Таким об-
разом, исходным пунктом анализа и
описания системы «человек—маши-
на» становится целесообразная дея-
тельность человека.
При таком подходе становится
необходимым психологическое ис-
следование структуры деятельности
человека-оператора. Рассмотрим
важнейшие элементы этой структу-
ры, приведенной на рис. 3.1.
Мотивы и цели деятель-
ности. Образ—цель. Всякая
деятельность исходит из опреде-
ленных мотивов и направлена на
достижение определенных целей.
Отношение «мотив—цель» — это
своего рода «вектор», задающий ее
направленность и интенсивность
[38, 57].
В общем смысле мотив — это то,
что побуждает человека к деятельно-
сти, а цель — то, чего он стремится
достигнуть в процессе ее выполнения.
Вектор «мотив—цель» выступает в
роли своеобразного «стержня», орга-
низующего всю систему психологи-
ческих процессов и состояний, кото-
рые в эту деятельность включаются.
Цель деятельности — это идеаль-
ный или мысленно предоставленный
ее результат. Для оператора цель его
деятельности выступает как образ за-
86
Гл. 3. Роль человека-оператора в управлении АЭС
данного состояния объекта управления —того состояния, в который объект
надо перевести.
Образ—цель определяет критерии селекции информации о текущем со-
стоянии объекта и ее интеграции. Образ—цель определяет, по-видимому, и
способы трансформации поступающей информации, ее оценки, формирова-
ния гипотез и принятия решений.
Формирование образа—цели тесно связано с прогнозированием, предви-
дением изменений состояния объекта управления.
Понятие «мотивация» является абстрактным. Теория мотивации пытает-
ся объяснить, какие цели преследуются. Сейчас мотивация понимается как
сложный процесс, включающий целый ряд взаимосвязанных составляющих.
Вообще, мотивация — это гипотетическое понятие, не поддающееся непос-
редственному наблюдению, и его необходимо рассматривать как связующее
звено между требованиями и побуждениями, исходящими из ситуации, с од-
ной стороны, и поведением и принятым оператором решением, касающихся
этой ситуации, с другой [81].
Информационная модель объекта управления. Под ин-
формационной моделью понимается отображение состояния объекта уп-
равления и внешней среды, организованное с помощью средств представ-
ления информации. Информационная модель является отображением
действительности, и в то же время сама она — непосредственный объект вос-
приятия и действия оператора [37].
При разработке средств представления информации необходимо учиты-
вать, насколько они обеспечивают актуализацию концептуальной модели и
как влияют на ее динамику [38, 57].
Правила, по которым должна строиться информационная модель, это
прежде всего правила учета человеческого фактора. Наиболее существенны-
ми из них являются [37]:
—	информационная модель должна отражать только существенные взаи-
мосвязи в объекте управления;
—	она должна строиться на основании использования наиболее эффектив-
ного кода;
—	информационная модель должна быть наглядной и компоноваться с уче-
том характеристик анализаторов человека, особенностей, порядка и сложно-
сти выполняемых операций.
В целом информационная модель должна обеспечивать возможность бы-
строй оценки ситуации, а также решения вопросов загрузки операторов в раз-
личных режимах работы.
Таким образом, информационная модель объекта управления должна удов-
летворять трем важнейшим требованиям [38, 57]:
87
Принципы создания АСУ ТП АЭС
—	по содержанию она должна адекватно отображать объект управления и
окружающую среду;
—	по количеству информации — обеспечивать оптимальный информаци-
онный баланс и не приводить к дефициту или перегрузке оператора инфор-
мацией;
—	по форме и композиции должна соответствовать задачам оператора по
управлению и его психофизиологическим возможностям по приему и пере-
работке информации.
Концептуальная модель. По представленной информации об
объекте управления оператор конструирует «концептуальную» модель управ-
ляемого процесса («оперативный образ»).
Основной особенностью концептуальной модели является то, что она
включает в себя не только трансформированные сигналы, воспринимаемые в
данный момент, но и прошлый опыт человека. Она выступает как некоторый
динамический синтез наличной информации и информации, извлекаемой из
памяти.
Концептуальная модель выступает в сознании оператора в форме пред-
ставления, основными чертами которого являются [57]:
—	обобщенность — отражение лишь наиболее общих и устойчивых призна-
ков объекта управления (технологического процесса);
—	схематичность — выделение тех элементов объекта управления, которые
выступают как «опорные», наиболее эффективные;
—	панорамность — отражение панорамы как одновременного целого.
Своевременность и полнота актуализации оператором концептуальной
модели зависят от рациональной организации информационной модели.
С учетом изложенного задача перевода объекта управления из состояния
а, в состояние а2 субъективно выступает как своего рода «рассогласование»
между концептуальной моделью, отражающей текущее состояние объекта, и
образом требуемого состояния, то есть образом-целью.
Указанное рассогласование определяет направление поиска решения, в
процессе которого происходит выдвижение альтернативных гипотез, их про-
верка и оценка, то есть принятие решения.
Принятие решения. Принятие решения неразрывно связано с фор-
мированием плана или программы действий. Большая роль в ее формирова-
нии принадлежит предвидению хода событий.
Решение практических задач управления обычно протекает в специфи-
ческих условиях недостатка или избытка информации и ответственности за
результаты.
Принятие решений в таких условиях предъявляет особые требования к
мышлению оператора: умению найти оптимальное решение за допустимое
88
Гл. 3. Роль человека-оператора в управлении АЭС
время. Важны конкретность решения, способность предвидеть изменения об-
становки и находить новые решения.
3.2. Ошибки операторов блочного пункта управления
Уроки аварии на АЭСТМ1-2. Авария реактора PWR (типа ВВЭР) мощнос-
тью 960 МВт энергоблока № 2 на АЭС TMI произошла 28 марта 1979 г. в 4 ч
36 мин. В результате была расплавлена верхняя часть активной зоны, вслед-
ствие чего восстановление самого реактора стало невозможным.
Характеристики АЭС, развитие аварии, характер деятельности операто-
ров БПУ приведены по материалам работ [2, 33,45]. Схема энергоблока ТМ1-2
приведена на рис. 3.2.
В состав реакторной установки входили реактор, два вертикальных пря-
моточных парогенератора, четыре главных циркуляционных насоса, компен-
сатор давления.
Рис. 3.2. Принципиальная теплотехническая схема
энергоблока АЭС «Три-Майл-Айленд» (США):
1 — парогенератор; 2 — ГЦН; 3 — гидроаккумулятор САОЗ; 4 — реактор;
5 — компенсатор давления; 6 — предохранительный клапан; 7 — барботер;
8 - насос САОЗ; 9 - АПЭН; 10 - задвижка; 11 - питательный насос;
12 — конденсатный насос; 13 — конденсатор; 14 — генератор; 15 — турбина; 16 — бак САОЗ
89
Принципы создания АСУ ТП АЭС
В штатном режиме тепловая мощность реактора составляла 2772 МВт, элек-
трическая мощность блока — 956 МВт, давление воды в 1-м контуре —
15,0 МПа, температура воды на входе в реактор — 292°С, на выходе — 320°С.
Активная зона собрана из 311ТВС, каждая из которых содержала 208 ТВЭ. Ак-
тивная зона в целом содержала 94 т UO2 и 35,5 т конструкционных материалов.
Развитие аварии:
1.	Энергоблок № 2 перед аварией работал на мощности 97% от номиналь-
ной. Авария началась с прекращения подачи питательной воды в парогене-
раторы из-за отключения питательных насосов при самопроизвольном от-
ключении конденсатного насоса.
Вследствие этого через 2 с автоматической защитой была выведена из ра-
боты паровая турбина. Через 9 с после начала аварии нейтронная мощность
реактора понизилась до нуля.
После остановки основных питательных насосов автоматически включи-
лись в работу три аварийных питательных насоса, что было зафиксировано
оператором через 14 с после начала аварии.
Таким образом, в начальной стадии аварии в течение первых 14 с аварий-
ная защита и автоматика в целом на энергоблоке № 2 сработали должным
образом, и остановленный реактор должен был перейти в режим нормально-
го расхолаживания.
2.	На пульте управления появились многочисленные аварийные звуковые
и разноцветные световые сигналы (более 100 в 1 мин), не дававшие конкрет-
ной информации и создававшие беспокойную и тревожную обстановку для
операторов.
3.	Через 30 с аварийные питательные насосы вышли на рабочий режим.
Однако запорные клапаны на линии подпитки 2-го контура оказались поче-
му-то закрытыми. Вода в парогенераторы не поступила.
Световые сигналы о закрытом состоянии задвижек были, но одна из сиг-
нальных лампочек была закрыта брошенной на пульт карточкой, а вторую
лампочку операторы не заметили.
ОПЕРАТОРЫ НЕЗНАЛИ (ЭТОМ, ЧТО ВОДА В ПАРОГЕНЕРАТОРЫ НЕ
ПОСТУПАЕТ.
Непоступление воды было обнаружено операторами через 8 мин после
начала аварии. Задвижки были открыты.
4.	При аварийном прекращении подачи воды в парогенераторы имело ме-
сто резкое понижение уровней воды в них и соответствующее уменьшение
охлаждения циркулирующего теплоносителя 1-го контура.
Температура теплоносителя увеличилась, повысились уровень воды и дав-
ление в компенсаторе давления. При достижении давления 15,65 МПа открыл-
ся импульсный предохранительный клапан компенсатора давления.
90
Гл. 3. Роль человека-оператора в управлении АЭС
При превышении уставки давления 16,34 МПа автоматикой был аварий-
но остановлен реактор.
Через 12—15 с после начала аварии давление в 1-м контуре понизилось до
15,5 МПа и предохранительный клапан компенсатора давления должен был
автоматически закрыться. Затем должно было начаться контролируемое рас-
холаживание реактора.
Однако клапан не закрылся, его заклинило в открытом положении. Через
клапан шла непрерывная утечка воды из 1-го контура и, вместе с тем, проис-
ходило понижение давления в контуре.
На пульте управления был сигнал о закрытии предохранительного клапана.
ОПЕРАТОРЫ БЫЛИ ВВЕДЕНЫ В ЗАБЛУЖДЕНИЕ О СОСТОЯНИИ
ИМПУЛЬСНОГО ПРЕДОХРАНИТЕЛЬНОГО КЛАПАНА КОМПЕНСАТО-
РАДАВЛЕНИЯ.
Непосадка импульсного предохранительного клапана стала главной при-
чиной тяжелого развития дальнейших событий.
5.	Автоматика далее сработала должным образом: при понижении давле-
ния в 1-м контуре до 11,4 МПа (через 2 мин после начала аварии) системой
безопасности были включены насосы аварийной подпитки высокого давле-
ния. Насосы стали подавать воду по холодной нитке 1-го контура сверху в
кольцевую опускную зону между корпусом и шахтой реактора.
По проекту эти насосы включаются автоматически в случае течи 1-го кон-
тура. Сам факт их включения должен был показать операторам на наличие течи.
ВОЗМОЖНОСТЬ ТАКОЙ ТЕЧИ ОПЕРАТОРЫ ПРОДОЛЖАЛИ ИГНО-
РИРОВАТЬ.
6.	В этот период проявился важный фактор, неправильно оцененный опе-
раторами: из-за уменьшения давления в воде 1-го контура (преимуществен-
но в активной зоне) стали образовываться паровые пузыри, которые в период
между 4-й и 11-й мин привели к повышению уровня воды в компенсаторе
давления за пределы видимой шкалы указателя уровня.
Операторы, не зная об открытом импульсном предохранительном клапа-
не и образовании паровых пузырей в теплоносителе, посчитали, что в 1-м
контуре появился избыток теплоносителя. Через4,5 мин они отключили один,
а через 10,5 мин — второй аварийные насосы высокого давления. Через 11 —
12 мин они снова включили насосы, но задросселировали их расход.
ОПЕРАТОРЫ НЕПРАВИЛЬНО ОЦЕНИЛИ ФАКТ ПОДЪЕМАУРОВНЯ
ВОДЫ В КОМПЕНСАТОРЕ ДАВЛЕНИЯ.
7.	Уменьшение объема воды в 1-м контуре и парообразование в активной
зоне могли привести к появлению парового объема в верхней части корпуса
реактора и, следовательно, к оголению активной зоны и ее расплавлению.
Именно это и произошло, причем с другими тяжелыми последствиями.
91
Принципы создания АСУ ТП АЭС
Основные причины аварии и выводы по результатам аварии. Операторы по-
тратили 2 ч, пытаясь контролировать аварийный режим, причин которого они
не понимали, хотя были уверены, что авария не создает угрозы для безопас-
ности АЭС. Состояние АЭС и аварийного процесса было оценено неверно
(была утечка теплоносителя через компенсатор давления).
Основным в аварии был неправильный учет человеческого фактора в спро-
ектированной системе. Были отмечены следующие недостатки проекта БПУ [81]:
—	несогласованность характеристик пультов управления с чувственными
восприятиями оператора и пределами их физических возможностей, что обус-
ловило промахи в действиях оператора;
—	при обследовании БПУ АЭС США выявилось до 100 конструктивных
недостатков, в том числе несовместимость с антропометрическими, сенсор-
ными, перцептивными (различение информации) и когнитивными (воспри-
ятие, внимание, мышление) возможностями персонала.
К основным причинам аварии относятся:
—	недостаточная компетенция специалистов, находившихся на блочном
пункте управления, которые длительное время не понимали происходящего
и, по существу, были растеряны; грубое нарушение операторами аварийной
инструкции — отключение аварийных насосов высокого давления;
—	дефекты оборудования, ненадежность работы оборудования, безответ-
ственность фирм — поставщиков оборудования;
—	отношение руководства АЭС TMI к ее эксплуатации без должного учета
потенциальной радиоактивной опасности АЭС. Не было никаких требова-
ний к уровню образования операторов и начальников смен. Директор и дру-
гие руководители АЭС подготовкой операторов не занимались. В результате
сложнейшее техническое оборудование обслуживалось технически слабым
персоналом;
—	руководство АЭС без должного внимания относилось к рекомендациям
NRC — Комиссии ядерного регулирования (аналогичной Атомному надзору
в России) и сама NRC не настаивала на их выполнении.
С учетом этого Комиссия по анализу причин аварии пришла к выводу, что
авария была обусловлена, главным образом, явно неудовлетворительной си-
стемой организации и эксплуатации АЭС в США и поэтому «... была в конце
концов неизбежной».
В рекомендациях NRC были предложены следующие меры:
—	рекомендована полная реорганизация NRC и придание ей широких пол-
номочий по техническому надзору практически по всем разделам эксплуата-
ции АЭС, а также по контролю за качеством поставляемого на АЭС оборудо-
вания и по организации новых разработок и научно-технических
исследований;
92
Гл. 3. Роль человека-оператора в управлении АЭС
— в рекомендациях Комиссии определены меры, которые должны быть
приняты для подготовки и переподготовки операторов и начальников смен,
в том числе подготовка и практическая работа на тренажерах.
Из доклада Комиссии следует также необходимость дополнительного осо-
бого внимания к ряду физико-технических проблем: опасность взрыва водо-
рода в контейнменте, обеспечение надежной циркуляции воды в 1-м контуре
в аварийных условиях, опасность расплава стенки корпуса реактора из-за пря-
мого контакта с ним раскаленных до высокой температуры сердечников ТВЭ
в аварийных условиях и др.
Одним из важных выводов, сделанных после аварии на АЭС TMI-2, был
вывод о необходимости изменения концепции оператора, сложившейся к тому
времени в западных странах [9].
Концепция предполагала строгое ограничение действий оператора инст-
рукциями, состав которых предположительно должен быть достаточным для
всех возможных ситуаций, связанных с авариями. Главной задачей оператора
являлась идентификация ситуации, по которой можно сделать выбор соот-
ветствующей инструкции. Ошибка в идентификации ситуации могла реша-
ющим образом повлиять на развитие и протекание дальнейших событий на
энергоблоке.
Основу тренинга операторов составляло дерево событий, отображающее
в графической форме вероятные последовательности развития событий в ава-
рийной ситуации при заданном исходном событии. При этом квалификация
оператора могла быть невысокой, примерно на уровне техника-оператора. В
результате операторы не сумели правильно идентифицировать сложившую-
ся ситуацию и их последующие действия усугубили развитие аварии.
Жесткая алгоритмизация деятельности оператора превращает его в робо-
та-придатка средств автоматизации, сводит к минимуму тот интеллектуаль-
ный потенциал его знаний и возможностей, который пока еще недоступен сред-
ствам автоматизации. Однако для реализации интеллектуальных возможностей
человека-оператора его деятельность должна быть в первую очередь сбаланси-
рована по психофизиологическим нагрузкам. Это достигается не только оцен-
ками его подготовки по медицинским и профессиональным показателям, но и
эргономическими и информационными видами обеспечения деятельности.
Оптимизация деятельности человека-оператора становится сейчас одной из
ключевых задач, определяющих безопасность работы АЭС.
3.3. Анализ ошибок оперативного персонала АЭС
Согласно ОПБ-88/97 ошибка персонала — это единичное, непреднаме-
ренное неправильное воздействие на управляющие органы, или единичный
93
Принципы создания АСУ ТП АЭС
пропуск правильного действия, или единичное непреднамеренное неправиль-
ное действие при техническом обслуживании оборудования и систем, важ-
ных для безопасности.
Причины ошибок операторов. Подробный анализ причин ошибок оператив-
ного персонала АЭС и их классификация приведены в работе [10]. С учетом
работ [1, 10, 3] и опыта эксплуатации АЭС к наиболее значимым источникам
ошибочных действий персонала относятся некорректные процедуры, неадек-
ватный человеко-машинный интерфейс, высокая ответственность персонала
при дефиците времени, неэффективная подготовка операторов (см. рис. 3.3)
Рассмотрим следующие факторы, влияющие на деятельность оператора:
— несовершенство проектных решений и процедур;
— несовершенство представления информации.
Несовершенство проектных решений.В работе, посвящен-
ной анализу некоторых событий на российских АЭС в 2001 г., приведены сле-
дующие примеры в части несовершенства проектных решений [21]:
1.	Реактор РБМК остановлен. Для проведения ремонта необходимо пони-
зить уровень теплоносителя в барабане-сепараторе (БС). По заданию опера-
тор должен был понизить уровень в БС до «—600» мм.
На пульте управления установлены три ключа с фиксацией положений:
—	АЗ-5 по уровню «—1000» — в положении «Введено»;
—	АЗ-З по уровню «—500» — в положении «АЗ-5 по уровню —500»;
—	ввод/вывод ПЗ (АЗ-1) — в положении «Выведено».
По положению третьего ключа оператор предположил, что АЗ-5 по уров-
ню «—500» выведена, тогда как по положению второго ключа защита была
введена. При понижении уровня в БС на 500 мм от номинального защита АЗ-5
сработала.
Очевидно, что разработчики пульта должны были дать более четкие над-
писи о назначении ключей.
2.	Во время приемки смены персонал БПУ увидел, что ключ системы пре-
дотвращения развития пожара установлен в положение «Выведено». Под по-
ложением «Введено» персонал понимал ввод защиты в ждущий режим и по-
ставил ключ в положение «Введено». Сработала противопожарная защита.
По проекту положение «Введено» означало запуск системы, то есть вмес-
то шильдика «Введено» должен быть установлен шильдик «Запуск защиты».
Известны причины аварии на АЭС «Дейвис-Бесс» в США с PWR, произо-
шедшей 9 июня 1985 г. [3]. Из-за неправильного выполнения и размещения
надписей на пульте оператор ошибся при нажатии кнопок — вместо кнопок
«низкий уровень воды в парогенераторе» оператор неправильно нажал кноп-
ки «низкое давление пара», что привело к срабатыванию клапанов в системе
герметизации парогенераторов.
94
Гл. 3. Роль человека-оператора в управлении АЭС
Несовершенство процедур. К процедурам относятся письмен-
ные инструкции, руководства, программы, бланки и т.п. Нечеткие алгорит-
мы (или их отсутствие) проверки защит, блокировок и цепей управления
могут привести к срабатыванию защит при их проверке на действующем обо-
рудован и и.
Рис. 3.3. Причины ошибок оператора
95
Принципы создания АСУ ТП АЭС
В работе [77] приведены данные за 1999—2001 гг. о коренных причинах на-
рушений на первом энергоблоке Ровенской АЭС (см. табл. 3.1). К основным
причинам относятся несовершенство процедур, ошибки персонала АЭС и не-
поладки оборудования.
Таблица 3.1
Коренные причины нарушений на АЭС
Год	Причина		
	процедуры	персонал	оборудование
1999	26%	20%	53%
2000	36,4%	19,5%	43,2%
2001	37,9%	18,1%	41,4%
Как видно из таблицы, причины нарушений, отнесенных к оборудованию,
понизились на 11,6%, что соответствует общей тенденции для АЭС, объясня-
емой модернизацией оборудования и совершенствованием технологий его из-
готовления и испытаний.
Ошибки, отнесенные к персоналу станции, понизились незначительно,
что также соответствует общей тенденции для АЭС и связано в большей сте-
пени с человеческим фактором.
Причины нарушений, связанных с процедурами, возросли на 12%.
В работе [ 1 ] показано, что наибольший процент ошибок оператора вызывают
недостатки в технологических процедурах и в организации рабочего места опе-
ратора — 34% и 20% соответственно на АЭС Японии и 19% и 18% — на АЭС США.
Несовершенство представления и н ф ор м а ц и и . В динами-
ческих режимах работы энергоблока, при нарушениях нормальной эксплуа-
тации и авариях на панелях БПУ загорается большое количество табло техно-
логической сигнализации, сигнализаторов положения арматуры на
мнемосхемах, изменяются показания большого количества индивидуальных
показывающих приборов [31]. Так, наАЭСТМ1-2 в первые 6 мин аварии сра-
ботали около двухсот предупредительных сигналов. На операторов обруши-
лась лавина информации [1].
Большой излишний фон неиспользуемой информации создает информа-
ционную перегрузку оператора, затрудняет процесс выработки решения.
Существуют также трудности в получении оператором обобщенной, ин-
тегрированной информации о технологическом процессе. По данным рабо-
ты [31 ], несвоевременная реакция оператора на нарушения (изменения) в пе-
реходных процессах таких показателей, как:
—	баланс мощностей между реактором, парогенератором, турбиной и ге-
нератором;
96
Гл. 3. Роль человека-оператора в управлении АЭС
—	материальный баланс для 1-го контура;
—	материальный баланс для 2-го контура,
приводит в большинстве случаев к усугублению последствий аварий, полно-
му отключению блока при незаметно начавшемся переходном режиме. За
короткий промежуток времени операторы не успевают осмыслить информа-
цию по основным параметрам энергетического и материального балансов из-
за большого числа исходных данных и рассредоточенности приборов конт-
роля за этими данными.
Ошибки действий оператора связаны не только с тем, что человек не справ-
ляется с поступающим потоком информации, но и с тем, что существующие
средства АСУ ТП позволяют выявлять аварийные процессы, когда они уже
находятся в стадии развития.
Классификация ошибок оператора. В стандарте IEC 61771 [98] потенциаль-
ные ошибки операторов АЭС рассмотрены на примере трех основных фаз опе-
раторской деятельности (см. рис. 3.4):
—	наблюдение и обнаружение изменений в состоянии АЭС;
—	диагностика и планирование корректирующих действий;
—	выбор и реализация управляющих действий.
Наблюдение и обнаружение. Задачи этой фазы включают в себя
виды деятельности, связанные с получением информации о состоянии АЭС.
Сюда относится операторский мониторинг для обнаружения отклонений
(тенденции отклонений) в технологическом процессе, которые еще незначи-
тельны, чтобы задействовать аварийно-предупредительную сигнализацию.
Основные виды деятельности оператора при этом:
—	наблюдение и выявление аномальных состояний;
—	определение состояния АЭС.
Потенциальные ошибки оператора при этом:
—	необнаружение либо запоздалое обнаружение соответствующих значе-
ний параметров;
—	неправильное прочтение соответствующих значений параметров;
—	неспособность либо задержка в идентификации состояния АЭС.
В работе [80] к ошибкам наблюдения отнесены также такие ошибки, как:
—	неправильный замысел «цель — набор параметров»;
—	несведение баланса сред и энергии;
—	неправильное формирование интегрального образа-отклонения.
Диагностика и планирование корректирующих дей-
ствий. Задачи этой фазы включают в себя виды деятельности, относящиеся к
реакции оператора на аварийно-предупредительные сигналы и нарушения в ра-
боте АЭС. Упор делается на идентификацию и оценку указания на нарушения в
режиме работы АЭС, а также на выбор и формулировку плана ответныхдействий.
97
Принципы создания АСУ ТП АЭС
	-1		1	Необнаружение либо запоздалое обнаружение соответствующих значений параметров
Обнаружение и наблюдение	—	2	Неправильное прочтение соответствующих значений
—		3	Неспособность либо задержка в идентификации состояния АЭС
		4	Несообщение другому персоналу информации о состоянии АЭС
Диагностика, планирование корректирую- щих действий	—	1	Невыявление аномального состояния АЭС или тенденции к отклонению от нормального состояния
		2	Неспособность выявить причастность к аномалии подсистем АЭС
		3	Игнорирование свидетельств, которые не соответствуют сформированной цели
		4	Излишнее доверие к рекомендациям или планам ответных действий
		5	Неспособность учесть негативный побочный эффект, связанный с планом ответных мер
		6	Создание неподходящих компромиссов целям
Выбор и реализация управляющих действий	—	1	Неспособность контролировать автоматическое управление и в случаях необходимости предпринимать ручные действия
		2	Неспособность проверить предпосылки, предвидеть побочные эффекты и последующие условия
		3	Невыполнение действий из-за ошибочного упущения или неправильного выполнения (не то действие или не во время)
		4	Неспособность получить обратную связь от действий
		5	Неспособность «успевать» за динамикой процесса при выполнении управляющих оперативных действий
		6	Неспособность координировать свои действия и/или поддерживать связь с другими операторами
Рис. 3.4. Потенциальные ошибки операторов АЭС
98
Гл. 3. Роль человека-оператора в управлении АЭС
Основные виды деятельности при этом:
—	обнаружение нарушения;
—	оценка сигнализации о состоянии АЭС;
—	выбор ответной меры либо цели;
—	формулировка плана действий.
Потенциальные ошибки операторов при выполнении данной функции:
-	невыявление аномального состояния АЭС или тенденции к отклонению
от нормального состояния;
—	неспособность выявить причастность к аномалии подсистем АЭС;
—	создание неподходящих компромиссов целям.
В работе [80] к ошибкам диагностики отнесены и такие ошибки, как:
—	выбор неправильной глубины анализа;
—	формирование неадекватного набора основных причин;
—	неконкретная декомпозиция (неполнота, включение ложных причин);
—	неправильное диагностическое решение — колебания в выборе конкрет-
ной причины (неоднозначность решения);
—	ошибки планирования:
•	неверная постановка цели;
•	некорректное формирование планов — неправильное расчленение
структурных единиц и элементов деятельности;
•	выбор неправильной глубины планирования;
•	некорректное назначение средств контроля исполнения планов.
Выбор и реализация управляющих д е й ств и й . Задачи этой
фазы включают в себя виды деятельности, связанные с внесением изменений
в состояние АЭС или режимов ее работы.
Основные виды деятельности при этом следующие:
—	наблюдение за состоянием АЭС;
—	выбор и формулировка плана ответных мер на основе диагностики,
включая выбор цели и/или формулирование действий;
—	оценка результатов действий, контроль за изменением состояния АЭС
и достижением намеченных целей.
Потенциальные ошибки оператора при выполнении данной функции:
—	неспособность контролировать автоматическое управление и в случаях
необходимости предпринимать ручные действия;
—	неспособность получать обратную связь от действий;
—	неспособность координировать свои действия и/или поддерживать связь
с другими операторами.
В работе [80] отмечается, что ошибки при принятии решения наиболее
часто проявляются в ситуации тревоги за результат и в ситуации с высоким
уровнем неопределенности.
Принципы создания АСУ ТП АЭС
В ситуации высокой тревоги за выполнение задания операторы стремятся
быстрее завершить его и склонны игнорировать новые данные о задаче и те
варианты, которые требуют дополнительного обсуждения и задержки выпол-
нения задания.
Операторам свойственно выбирать такие «утешительные» варианты реше-
ния, которые быстрее снижают тревогу.
В ситуации с высокой неопределенностью, где отсутствуют важные дан-
ные о вариантах решения, где информация противоречива, наиболее удоб-
ная гипотеза начинает доминировать над остальными, провоцируя неправиль-
ные решения.
Опыт подтверждает, что наибольшие информационные нагрузки и труд-
ности в управлении оборудованием операторы испытывают при динамичес-
ком характере управления, то есть в переходных и аварийных режимах.
Характер ошибок. По характеру ошибки можно разделить на психомотор-
ные, информационные и аналитические.
1.	Психомоторные (сенсорные, двигательные).
Сюда же следует отнести ошибочные вызовы форматов на дисплеях. На
практике психомоторные ошибки приводят к ошибочному управлению тех-
нологическим оборудованием.
2.	Информационные ошибки.
Обусловлены недостатками представления информации на панелях и
пультах.
К таким информационным недостаткам следует отнести:
—	ненадежность показаний при малых отклонениях параметров;
—	загруженность мнемосхем на панелях и пультах или, наоборот, отсут-
ствие контроля за наиболее важными параметрами;
—	большое количество мигающих или загорающихся табло технологичес-
кой сигнализации.
Здесь присутствуют элементы неправильной организации потоков инфор-
мации, а также информационная перегруженность — отсутствие интеграль-
ных, комплексных каналов представления информации, на основании кото-
рой человек-оператор был бы в состоянии в кратчайшее время правильно
оценить ситуацию и принять правильное решение.
3.	Аналитические ошибки.
Возникают при ведении операторами технологических режимов на осно-
ве своей интуиции, оперативного мышления, опыта и знаний, а также при
стремлении управлять балансами мощностей и рабочих сред «на глазок» при
отсутствии четкой информации об этих интегральных факторах.
Как правило, подобного рода ошибки операторы совершают при борьбе
«за живучесть блока», что требует зачастую комплексного, интегрального ана-
юо
Гл. 3. Роль человека-оператора в управлении АЭС
лиза состояния технологического оборудования в течение нескольких десят-
ков секунд.
Наиболее типичные аналитические ошибки операторов возникают в ситу-
ациях, связанных с разбалансом мощностей между 1-м и 2-м контурами. Имен-
но в таких режимах неправильное прогнозирование оператором соответствия
выработки (поступления) и потребления (передачи) мощности в реакторе, па-
рогенераторах, главном паровом коллекторе, турбине, генераторе приводит к
останову энергоблока или к отключению отдельного оборудования [31].
3.4.	Пути совершенствования деятельности человека-оператора
Работа за пультом управления сложной технической системы с точки зре-
ния психологии представляет собой своеобразный вид деятельности, связан-
ный с особыми требованиями к информационному обеспечению, режиму, сре-
де обитания, а также к обученности, тренированности психологической
устойчивости и работоспособности операторов.
Операторская деятельность человека, работающего за сложным пультом
управления, характеризуется значительным нервно-психологическим напря-
жением на фоне действия комплекса неблагоприятных производственных
факторов — монотония, ограниченный двигательный режим и т.п. К концу
рабочей смены качество операторской деятельности снижается на 40—50 %, а
его физическая работоспособность — на 15 %.
Возникает проблема перегрузки зрительного индикатора, когда оператору
необходимо одновременно контролировать большое количество параметров.
Задача поддержания и повышения работоспособности человека-оператора
состоит в создании эффективно действующего ансамбля из оператора, системы
и среды. Такой комплекс будет успешно функционировать, если обеспечить, по
крайней мере, пять типов «совместимости оператора с системой и средой»:
—	информационную;
—	энергетическую;
—	пространственно-антропометрическую;
—	биофизическую;
—	технико-эстетическую.
Информационная совместимость состоит в том, чтобы создать такую ин-
формационную модель, адекватную системе, которая бы соответствовала воз-
можности оператора по приему и переработке всего потока закодированной
информации и эффективному применению управляющих воздействий.
В плане энергетической совместимости необходимо решать проблему ра-
ционального режима труда и отдыха для обеспечения определенного опти-
мального состояния оператора.
101
Принципы создания АСУ ТП АЭС
Необходимо с учетом антропометрических данных человека, а также с уче-
том факторов, диктуемых конкретной задачей, создать необходимое рабочее
место.
Биофизическая совместимость состоит в том, чтобы достичь разумного
компромисса между функциональным состоянием и работоспособностью
оператора, с одной стороны, и различными факторами окружающей его сре-
ды с учетом объема, качества выполняемых задач и продолжительности ра-
боты — с другой.
Эстетическая удовлетворенность трудом усиливается, если при обеспече-
нии совместимости с системой в основное содержание труда вводятся эле-
менты целесообразности.
В работе [81 ] приведены рекомендации в оказании помощи оператору при
наблюдении, диагностике, планировании и в аварийных ситуациях. Основ-
ное направление их заключается в совершенствовании информационного
обеспечения оператора в части:
—	представления достаточной информации о состоянии технологическо-
го процесса;
—	широкого использования диагностических систем, результатов прогно-
зирования развития отклонений;
—	предоставления оператору нормативной последовательности выполне-
ния операций при пуске блока;
—	представления информации о срабатывании защит, о параметрах режи-
ма, инструкции в аварийных ситуациях;
—	представления информации о состоянии безопасности энергоблока, вне-
дрения систем представления параметров безопасности.
К мероприятиям повышения качества деятельности оператора относятся
также и такие, как совершенствование инструкций, ограничение «активнос-
ти» операторов.
Совершенствование инструкций предлагается вести в направ-
лении внедрения электронных инструкций с графическим представлением
указаний по действиям операторов — блок-схем последовательности дей-
ствий, деревьев принятия решений и т.п.
Ограничение деятельности и активности операторов
в соответствии с требованием ОПБ-88/97 [49] требует невмешательства опе-
раторов в действия автоматики при авариях в течение первых 10—30 мин с
начала срабатывания систем безопасности.
Ограничения в оперативной деятельности связаны также с имеющим ме-
сто в практике операторов отключением защит при ведении пусковых режи-
мов. Например, при пуске турбогенератора нередко срабатывают защиты (не-
которые параметры в динамике превышают аварийные уставки). То есть
102
Гл. 3. Роль человека-оператора в управлении АЭС
защита «мешает» оператору осуществить пуск. Оператор уверен, что «проско-
чит», и это толкает его к отключению защит.
Свою роль здесь играет и негативный опыт — случаи ложного срабатыва-
ния аварийных защит.
Сознательное нарушение инструкций есть результат гипертрофии оцен-
ки собственного опыта, излишней самоуверенности и склонности к риску.
Выходом здесь может быть только ужесточение требований регламентов и
инструкций, полное исключение возможности нейтрализовать аварийную
защиту. Так, на АЭС ФРГ защита срабатывает, если оператор пытается ее от-
ключить.
К мероприятиям повышения качества информационного обеспечения
оператора относится также фильтрация сигналов отклонений и нарушений.
Общее число сигналов отклонений и нарушений на блоке 1000 МВт пре-
вышает 2500. В случае сложных, многоступенчатых аварий одновременно мо-
гут проявиться сотни сигналов, что во много раз превосходит возможности че-
ловека-оператора. Щит управления как бы провоцирует оператора на ошибки.
В работе [8] показано, что за предлагаемыми решениями вопросов обита-
емости, комфортности, коммуникабельности и т.п. часто упускается главная
задача, заключающаяся в том, что создаваемая рабочая среда для деятельнос-
ти оператора должна формировать в нем чувство психологической увереннос-
ти в своих действиях.
Под рабочей средой оператора понимается совокупность внешних по от-
ношению к оператору факторов, которые влияют на состояние его работос-
пособности, определяемое возможностями восприятия информации, оцен-
ки складывающейся ситуации, формирования и передачи информации как
средствам автоматизации, так и составу смены, сменным и вышестоящим си-
стемам. К рабочей среде относится все то, что каким-то образом влияет на
его деятельность.
Психологическая уверенность в основе своей означает всестороннюю ос-
ведомленность, предполагающую целесообразный обмен информацией по
каждому принимаемому решению и действию, которое предпринимается для
достижения поставленной цели.
Информированность составляет основу психологической уверенности че-
ловека. Информация должна удовлетворять следующим требованиям:
1)	оператор должен быть уверен, что ему предоставляется достоверная ин-
формация, формирование чувства убежденности в получении достоверной
информации является одним из основных принципов в достижении психоло-
гической уверенности оператора в последующих рассуждениях и действиях;
2)	отображаемая информация должна быть полной и непротиворечивой, то
есть ее должно быть достаточно для решения всех задач, решаемых оператором
юз
Принципы создания АСУ ТП АЭС
по управляемому объекту, информация, отображаемая оператору из различных
источников по одним и тем же аспектам, не должна быть противоречивой;
3)	отображаемая информация должна позволять оператору сопоставлять
планируемые действия в каждой конкретной ситуации с допустимыми по рег-
ламенту и возможными альтернативными действиями.
Необходимость формирования психологической уверенности оператора
в своих решениях и действиях ставит задачу создания соответствующих сис-
тем поддержки оператора, например:
—	симптомно-ориентированных инструкций, предусматривающих предуп-
редительное управление энергоблоком в нормальных режимах эксплуатации,
которое предотвращало бы приближение режима к аварийным ситуациям;
—	поддержки оператора при формировании целей управления и алгорит-
ма достижения цели путем формирования меню возможных целей управле-
ния и меню для реализации каждой из предложенных целей;
—	системы контроля действий оператора — при анализе причин аварии та-
кая информация позволит отличить ошибки оператора от отказов АСУ ТП.
С психологической точки зрения аргументированное определение вины опе-
ратора также является важным фактором;
—	системы поддержки оператора в аварийной ситуации, где психологи-
ческая уверенность оператора может играть решающую роль. Особенно это
относится к запроектным авариям, по которым нет конкретных решений
для действий оператора. В этих условиях система поддержки может предло-
жить оператору стратегию действий: оценку ситуации, постановку цели уп-
равления.
В целом, к комплексу мероприятий по совершенствованию деятельности
человека-оператора относятся (см. рис. 3.5):
—	совершенствование АСУ ТП;
—	повышение автоматизации АЭС;
—	совершенствование блочного пункта управления;
—	совершенствование человеко-машинного интерфейса;
—	создание систем поддержки оператора;
—	создание полномасштабных тренажеров и других средств обучения опе-
ративного персонала.
В основу концепции совершенствования АСУ ТП, повышения надежнос-
ти и эффективности АЭС должны быть положены следующие факторы [73]:
—	функциональная децентрализация системы;
—	создание распределенных, интегрированных АСУ ТП с иерархической
структурой;
—	применение в АСУ ТП средств, специально предназначенных для ис-
пользования на АЭС;
104
Гл. 3. Роль человека-оператора в управлении АЭС
—	резервирование программно-технических средств, диагностирование на
уровне функциональных модулей;
—	внедрение в управляющие системы безопасности средств вычислитель-
ной техники;
-	внедрение стандартных способов передачи данных, стандартных прото-
колов, операционных систем, реляционных систем управления базами данных;
-	наличие современной технологии разработки АСУ ТП.
Рис. 3.5. Основные задачи по совершенствованию деятельности
оператора при управлении АЭС
105
Принципы создания АСУ ТП АЭС
Разработка блочных пунктов управления должна вестись с высокой сте-
пенью компьютеризации и интеграции рабочих мест операторов-технологов,
сведения к минимуму индивидуальных средств контроля и управления.
В основу организации информационного обеспечения оперативного пер-
сонала должны быть положены следующие принципы:
—	иерархическое представление информации о технологическом процес-
се и состоянии технологического оборудования; постоянная многоуровневая
оценка параметров безопасности;
—	концентрация информации, предоставление оператору только той ин-
формации, которая нужна ему для выполнения конкретной задачи; предос-
тавление оперативному персоналу БПУ обобщенной информации о техно-
логическом процессе и состоянии безопасности энергоблока;
—	иерархическая организация сигнализации, фильтрация аварийных сиг-
налов;
—	единый подход к организации дисплейных форматов;
—	учет человеческого фактора к восприятию и запоминанию информации,
объем информации не должен препятствовать концентрации внимания опе-
ратора на наиболее важных сообщениях и снижать быстроту реакции опера-
тора.
При разработке средств информационной поддержки оперативного пер-
сонала БПУ за основу должны быть приняты следующие задачи [10]:
—	оценка текущего состояния технологического процесса и тенденций его
развития;
—	распознавание аномальной или аварийной ситуации и определение ее
причин;
—	выбор необходимых действий по устранению или смягчению послед-
ствий этой ситуации и их реализация.
При этом основными направлениями борьбы с возможными ошибками
операторов должны быть облегчение принятия операторами правильных ре-
шений, а также обеспечение средств для обнаружения и корректирования или
компенсации ошибок.
ГЛАВА 4. ПРИНЦИПЫ СОЗДАНИЯ АСУ ТП АЭС
4.1.	Концептуальные вопросы создания АСУ ТП АЭС
В настоящей главе обсуждаются принципы обеспечения безопасности при
создании АСУ ТП АЭС, принципы проектирования АСУ ТП АЭС, вопросы
управления АЭС в различных режимах эксплуатации, а также вопросы авто-
матического управления в режимах пуска-останова реакторной установки.
Управляющие системы предназначены для управления основными и вспо-
могательными технологическими процессами АЭС, для эффективной выра-
ботки электроэнергии и обеспечения безопасности во всех режимах нормаль-
ной эксплуатации и нарушениях нормальной эксплуатации, включая аварии,
которые могут возникнуть в процессе эксплуатации.
АСУ ТП АЭС объединяет АСУ ТП общестанционной части, АСУ ТП бло-
ков и предназначена для:
—	информационного обеспечения персонала во всех эксплуатационных ре-
жимах АЭС;
—	управления всеми технологическими и электротехническими объекта-
ми станции в условиях, определяемых проектом АЭС;
—	контроля технологических объектов управления и технологического про-
цесса, защиты оборудования станции;
—	диагностики технологических процессов и оборудования;
—	решения инженерных, технико-экономических, производственных и ад-
министративных задач.
Целью создания АСУ ТП АЭС является организация контроля и управле-
ния технологическими процессами и оборудованием для обеспечения:
—	ядерной и радиационной безопасности АЭС;
—	надежности выработки электроэнергии на АЭС;
—	экономичности производственных процессов станции.
При создании АСУ ТП АЭС имеют место и такие цели, как:
—	повышение ремонтопригодности оборудования АСУТП и сокращение
численности персонала;
—	снижение вероятности неправильных (ошибочных) действий персона-
ла при управлении технологическим процессом, при техническом обслужи-
вании и ремонте оборудования АСУ ТП;
107
Принципы создания АСУ ТП АЭС
—	повышение потребительских характеристик применяемого оборудова-
ния систем и проектных решений.
Концепция управления АЭС является основой, определяющей подхо-
ды и принципы создания системы управления АЭС с целью обеспечения
безопасной, надежной эксплуатации станции и эффективной выработки
энергии.
Современная концепция управления АЭС основывается на положении о
том, что безопасность функционирования блока в основном определяется пра-
вильно организованной системой управления, умело сочетающей возможно-
сти человека-оператора и средств автоматизации [7].
Концепция управления основана на требованиях отечественных норм и
правил в области атомной энергетики, норм и руководств по безопасности,
выработанных Международным агентством по атомной энергии (МАГАТЭ),
публикаций Международной электротехнической комиссии (МЭК), Меж-
дународной консультативной группы по ядерной безопасности (INSAG).
Концепция управления разрабатывается на основе системного подхода при
рассмотрении в своем единстве системотехнических аспектов в части обес-
печения безопасности, подходов к организации ведения основного техноло-
гического процесса, управления при авариях, организации человеко-машин-
ного интерфейса.
В основу концепции управления АЭС положены следующие принципы:
—	принцип обеспечения безопасности АЭС;
—	принцип учета человеческого фактора.
В соответствии с первым принципом средства системы управления АЭС
должны обеспечивать безопасность АЭС и сохранение эффективности барь-
еров при ведении режимов нормальной эксплуатации и обеспечение фунда-
ментальных функций безопасности в аварийных ситуациях.
В качестве основных принципов системного подхода к управлению АЭС с
учетом человеческого фактора приняты:
—	принцип гуманизации труда, в соответствии с которым управление АЭС
и средства управления разрабатываются, исходя из возможностей и особен-
ностей деятельности человека-оператора;
—	принцип проектирования деятельности человека-оператора, в соответ-
ствии с которым при любых операционных состояниях энергоблока, вклю-
чая операции по перегрузке топлива и при авариях, должны быть обеспечены
оптимизация задач, сведение к минимуму рабочей нагрузки, которая требу-
ется для наблюдения и управления энергоблоком.
Критериями достижения цели при проектировании деятельности челове-
ка-оператора являются безошибочность, своевременность и точность управ-
ления энергоблоком.
108
Гл. 4. Принципы создания АСУ ТП АЭС
Концепция управления должна предусматривать также создание базы зна-
ний и данных, обеспечивающих проектирование системы управления энер-
гоблока и деятельность человека-оператора по управлению энергоблоком.
В соответствии с приведенными выше принципами при создании АСУ ТП
разработке подлежат (см. рис. 4.1):
-	концепция управления АЭС при ведении режимов нормальной эксплу-
атации и нарушениях нормальной эксплуатации, включая аварии;
-	архитектура АСУ ТП;
-	организация управляющих систем с учетом их назначения, отношения
к безопасности и принципов проектирования;
Рис. 4.1. Концепция создания АСУ ТП АЭС
109
Принципы создания АСУ ТП АЭС
—	подход к организации блочного пункта управления;
—	принципы создания человеко-машинного интерфейса блочного пункта
управления;
—	подход к созданию системы поддержки оперативного персонала БПУ;
—	технология создания АСУ ТП.
4.2.	Принципы обеспечения безопасности при создании АСУ ТП АЭС
Целью концепции безопасности является поддержание станции в нормаль-
ном эксплуатационном состоянии, принятие соответствующих ответных мер
сразу же после постулированного исходного события и обеспечение длитель-
ного управления станцией в аварийных условиях.
Для обеспечения безопасности АЭС и удержания в рамках каждого уров-
ня (эшелона) последствий вероятных отказов технических средств и ошибок
персонала реализуется принцип глубоко эшелонированной защиты [49, 70].
В основе данного принципа лежит установление ряда последовательных
физических барьеров на пути распространения радиоактивных веществ в ок-
ружающую среду и системы технических и организационных мер.
К физическим барьерам относятся:
—	топливная матрица;
—	оболочка ТВЭ;
—	граница 1-го контура;
—	защитная оболочка.
В соответствии с [49] в АСУТП должны быть организованы пять уровней
защиты для предотвращения перерастания нарушений нормальной эксплуа-
тации в проектную аварию, а проектной аварии — в запроектную и для защи-
ты барьеров с целью сохранения их целостности и эффективности. Незави-
симость уровней защиты должна быть такой, чтобы вероятный единичный
отказ средств АСУТП или ошибка персонала на одном уровне защиты не ста-
вили под угрозу глубоко эшелонированную защиту на последующих уровнях.
Разработка АСУ ТП должна выполняться с учетом задач и приоритетов,
решаемых на уровнях глубоко эшелонированной защиты:
Уровень защиты 1. Нормальная э кс пл у ата ц и я . Надеж-
ность эксплуатации, безопасность АЭС, сохранение эффективности барье-
ров и обеспечение жизнедеятельности персонала должны обеспечиваться тех-
ническими средствами и организационными мерами, предусмотренными для
ведения режима нормальной эксплуатации. Технические средства и регламен-
тированные действия персонала должны обеспечивать контроль, регистра-
цию и поддержание параметров в определенных проектом эксплуатацион-
ных пределах и выполнение условий безопасной эксплуатации.
но
Гл. 4. Принципы создания АСУ ТП АЭС
Уровень защиты 2. Нарушение нормальных условий
эксплуатации. Ограничение нормальной эксплуатации, вплоть до ее пре-
кращения, обеспечение безопасности АЭС, сохранение эффективности ба-
рьеров и обеспечение жизнедеятельности персонала должны обеспечиваться
техническими средствами нормальной эксплуатации и техническими сред-
ствами останова реактора. Технические средства и регламентированные дей-
ствия персонала должны быть направлены на соблюдение условий безопас-
ной эксплуатации и ограничение (предотвращение) воздействий в пределах
безопасной эксплуатации вплоть до достижения указанных пределов, обес-
печивающих эффективность барьеров.
Уровень защиты 3. Проектные а в а р и и . Проектные аварии
требуют для обеспечения безопасности АЭС функционирования систем бе-
зопасности. Безопасность АЭС должна обеспечиваться за счет надежного пре-
кращения основного технологического процесса работой технических средств
останова реактора, защиты барьеров и обеспечения жизнедеятельности пер-
сонала техническими средствами безопасности.
Технические средства безопасности и регламентные действия персонала
должны обеспечивать эффективность барьеров или неповрежденной части
барьеров за счет предотвращения и ослабления влияния воздействий в рам-
ках непревышения максимальных проектных пределов. Должна обеспечивать-
ся эффективность системы барьеров, однако возможно сокращение срока эк-
сплуатации отдельных барьеров вплоть до невозможности их дальнейшей
эксплуатации, что определяет возможность восстановления нормальной эк-
сплуатации АЭС.
Уровень защиты 4. Запроектные аварии. Запроектные
аварии — аварии, требующие для обеспечения безопасности АЭС надеж-
ного прекращения основного технологического процесса, защиты барье-
ров и обеспечения жизнедеятельности персонала любыми доступными тех-
ническими средствами, а также дополнительными техническими
средствами.
Дополнительные технические средства предназначены для обеспечения
жизнедеятельности оперативного персонала и защиты системы герметичных
ограждений от воздействий, определяемых в том числе и возможным разру-
шением остальных барьеров (топливная матрица, оболочка ТВЭ, контур цир-
куляции теплоносителя).
Характеристики дополнительных технических средств и регламентирован-
ные действия персонала должны обеспечивать эффективность системы гер-
метичных ограждений или неповрежденной части других барьеров таким об-
разом, чтобы не достигались условия по вводу в действие мероприятий по
защите населения.
111
Принципы создания АСУ ТП АЭС
Дальнейший вклад в обеспечение защиты населения, персонала и окружа-
ющей среды должны вносить планы мероприятий на площадке АЭС и окружа-
ющей территории по защите и ликвидации последствий таких воздействий.
Уровень защиты 5. П о сл е а вар и й н ы е м е р о п р и я ти я . В
состав организационных и технических мер должны входить меры по реали-
зации послеаварийных мероприятий, в результате которых безопасность АС,
эффективность барьеров и жизнедеятельность персонала надежно и длительно
обеспечиваются техническими средствами нормальной эксплуатации и /или
техническими средствами безопасности.
Связь между барьерами безопасности, уровнями защиты и АСУ ТП при-
ведена на рис. 4.2.
Рис. 4.2. Связь между физическими барьерами,
уровнями защиты и АСУ ТП
Классификация состояний станции в зависимости от уровня защиты и про-
ектные цели безопасности приведены в табл. 4.1.
112
Гл. 4. Принципы создания АСУ ТП АЭС
Таблица 4.1
Классификация состояний АЭС, проектные цели безопасности
Уровень защиты	Категория состояния АЭС	Проектные цели безопасности
Уровень 1	Нормальная эксплуа- тация: эксплуатация на мощности, переходные режимы (пуск, останов, перегрузка	топлива, техническое обслужи- вание, испытания)	Поддержание переменных параметров АЭС в рамках установленных проектом эксплуа- тационных пределов. Сведение к минимуму радиоактивных вы- бросов, присущих режиму нормальной экс- плуатации, за счет обеспечения правильного функционирования систем и оборудования, предупреждения отказов и аварий.
Уровень 2	Нарушение	нор- мальной эксплуатации	Выявление отклонений от установленных проектом эксплуатационных пределов и ус- ловий и их устранение, автоматическое сни- жение мощности, управление при эксплуата- ции с отклонениями, при необходимости - останов реактора.
Уровень 3	Проектные аварии	Выявление исходных событий аварий, на- дежный аварийный останов реактора, обес- печение отвода тепла от активной зоны, при- менение систем безопасности, локализация радиоактивных веществ, предотвращение и ос- лабление последствий аварий.
Уровень 4	Запроектные аварии (ЗПА)	Выявление симптомов (критериев) ЗПА, обеспечение подкритичного состояния ак- тивной зоны, обеспечение отвода тепла от активной зоны с применением систем безо- пасности, а также любых имеющихся в исправ- ном состоянии систем, технических средств и специальных средств, предназначенных для управления тяжелыми авариями, локализация радиоактивных веществ, предотвращение и ос- лабление последствий аварии. Сведение к минимуму воздействия радиа- ции на персонал, население и окружающую среду.
Уровень 5	Противоаварийное планирование	Подготовка и осуществление планов про- тивоаварийных мероприятий на площадке АЭС и за ее пределами.
Для достижения основной цели безопасности — предотвращения выхода
радиоактивных продуктов за пределы физических барьеров — выполняются
три следующие фундаментальные функции безопасности [15]:
113
Принципы создания АСУ ТП АЭС
—	контроль и управление реактивностью;
—	обеспечение охлаждения активной зоны реактора;
— локализация и надежное удержание радиоактивных продуктов.
Задачами функции контроля и управления реактивностью являются [97]:
— обеспечение регулирования реактивности;
—	предотвращение неприемлемых нестационарных режимов при измене-
ниях реактивности;
—	отключение реактора с целью предотвращения ожидаемых нарушений
нормальной эксплуатации ядерного реактора, ведущих к МПА;
—	отключение реактора для смягчения последствий аварийных состояний;
—	поддержание реактора в безопасном состоянии после останова.
Задачами функции охлаждения активной зоны реактора являются:
—	отвод тепла из активной зоны во время работы в режиме генерирования
мощности;
—	отвод остаточных тепловыделений при соответствующих эксплуатаци-
онных состояниях (рабочих режимах);
—	поддержание требуемого запаса теплоносителя 1 -го контура для охлаж-
дения активной зоны в нормальных эксплуатационных состояниях и после
постулированных исходных событий на АЭС;
—	отвод тепла из активной зоны после повреждения 1 -го контура с целью
ограничения повреждения тепловыделяющих элементов;
—	отвод тепла к конечному поглотителю.
Задачами функции локализации и удержания радиоактивных продуктов
являются:
—	поддержание целостности оболочки тепловыделяющего элемента в ак-
тивной зоне;
—	поддержание целостности 1-го контура;
—	ограничение выбросов радиоактивных материалов и сведение к мини-
муму воздействия радиации на население и персонал.
В соответствии с [97] эти основные функции безопасности следует рас-
ширять и тщательно разрабатывать для более полного описания функций, не-
обходимых для обеспечения безопасности. Такой расширенный ряд функций
включает функции, необходимые для избежания или предотвращения ава-
рийных состояний, а также функции для смягчения последствий аварийных
состояний. Соответственно, их выполняют с помощью структур, систем и ком-
понентов, предусмотренных для нормальной эксплуатации с целью предотв-
ращения ожидаемых нарушений нормальной эксплуатации ядерного реак-
тора, ведущих к аварийному состоянию, или же для смягчения последствий
аварийных состояний.
Функции АСУ ТП, важные для безопасности, включают в себя [97]:
114
Гл. 4. Принципы создания АСУ ТП АЭС
—	функции защиты;
—	функции управления (контроля);
-	функции мониторинга и отображения;
—	функции тестирования.
Контроль и выполнение функций безопасности на примере режима пере-
грузки топлива показаны на рис. 4.3.
Рис. 4.3. Контроль и выполнение функций безопасности при перегрузке топлива
Среди основных принципов безопасности важнейшим является
принцип единичного отказа: система должна выполнять заданные фун-
кции при любом требующем ее работы исходном событии (единичный
отказ в системах/элементах, внешнее событие или ошибка оператора,
все зависимые отказы, являющиеся следствием исходного события) и
при независимом от исходного события отказе одного из активных эле-
ментов или пассивных элементов, имеющих механические движущиеся
части [71].
Практическое применение принципа единичного отказа обеспечи-
вает:
—	работу УСВБ в случае возникновения единичного отказа оборудования
или ошибки персонала;
—	уменьшение риска отказа УСВБ по общей причине.
115
Принципы создания АСУ ТП АЭС
На практике принцип единичного отказа реализуется путем резервирова-
ния. Для уменьшения вероятности отказов по общей причине применяются
принцип независимости и принцип разнообразия.
Отказы по общей причине — это отказы систем (элементов), возникаю-
щие вследствие одного отказа или ошибки оператора, или внешнего воз-
действия, или внутреннего воздействия, или по иной внутренней причине
[49].
Принцип резервирования — принцип повышения надежности систем пу-
тем применения структурной, функциональной, информационной и времен-
ной избыточности по отношению к минимально необходимому и достаточ-
ному для выполнения системой заданных функций объему [71].
Кроме указанных принципов, при создании УСБ необходимо следовать
принципам независимости и разнообразия.
Принцип независимости — принцип повышения надежности системы пу-
тем применения функционального и/или физического разделения каналов
(элементов), для которых отказ одного канала (элемента) не приводит к от-
казу другого канала (элемента).
Принцип разнообразия — принцип повышения надежности систем путем
применения в разных системах (либо в пределах одной системы в разных ка-
налах) различных средств и/или аналогичных средств, основанных на раз-
личных принципах действия, для осуществления заданной функции.
Принципы обеспечения безопасности, учитываемые при создании управ-
ляющих систем АЭС, приведены в табл. 4.2.
Таблица 4.2
Принципы обеспечения безопасности при проектировании управляющих систем
Управляющие системы	Принцип единичного отказа	Отказ по общей причине	Принцип разнообразия	Принцип независимости	Резерви- рование
УСНЭ	-	-	-	-	+
УСНЭ ВБ	-	-	-	+	+
УСБ	+	+	+	+	+
’ Принцип применяется для УСНЭ, отказ или отключение которых может приве-
сти к нарушению нормальной эксплуатации или к перерыву в выработке электро-
энергии.
Необходимость в независимости должна анализироваться и обосновывать-
ся с учетом систем и оборудования АСУ ТП и их обеспечивающих средств
(электропитание, вентиляция и т.д.).
116
Гл. 4. Принципы создания АСУ ТП АЭС
Разработка технических средств управления, контроля и регистрации и их
организация должна выполняться исходя из задач, требований и приоритетов,
определяемых режимами работы АЭС.
Для каждого режима работы АЭС должна быть обеспечена определенная
эффективность защиты барьеров от характерных для данного режима воздей-
ствий. Для каждого режима работы должны быть предусмотрены соответству-
ющие технические и/или организационные меры по предотвращению, и/или
ослаблению последствий воздействий, или источников воздействий.
Для того чтобы технические средства нормальной эксплуатации, важные
для безопасности, обеспечивали на стадии послеаварийных мероприятий под-
держание и ограничение воздействий на барьеры, эффективность барьеров,
жизнедеятельность персонала и ограничение радиационного воздействия на
персонал, население и окружающую среду, они, а также предусматриваемые
для них системы контроля и управления должны быть обеспечены надежным
электропитанием и иметь достаточную степень резервирования.
Все функции АСУ ТП уровня обеспечения безопасности должны быть вза-
имосогласованы с целью обеспечения:
—	четких и простых функций, позволяющих хорошо сбалансировать про-
ект (предотвращая недостаточность или избыточность);
—	недвусмысленного использования функций УСБ (правило приоритетов
в случае антагонистических функций);
—	необходимой надежности АСУ ТП для обеспечения функций безопасности;
—	оптимального использования резервных систем при запроектных авариях.
Каждая отдельная функция безопасности должна быть проанализирована
на предмет определения возможного негативного воздействия на другие фун-
кции безопасности.
Должны учитываться конкретные действия оператора при возврате к нор-
мальной эксплуатации после снятия запроса на действия функций уровня бе-
зопасности.
Для достижения соответствующей безопасности необходимо рассматри-
вать безопасность как неотъемлемый элемент всего процесса проектирова-
ния и осуществлять проектирование оборудования АЭС с учетом принципов
эргономики и фактора взаимодействия «человек—машина», с тем чтобы све-
сти к минимуму проблему человеческого фактора [95].
4.3. Принципы проектирования АСУ ТП АЭС
АСУ ТП АЭС должна проектироваться с учетом следующих технических
принципов, существенных для реализации безопасной технологии на АЭС
(см. рис. 4.4) [96]:
117
Принципы создания АСУ ТП АЭС
Рис. 4.4. Принципы проектирования АСУ ТП АЭС
Апробированная инженерно-техническая практика.
Принцип: техническая деятельность, осуществляемая на АЭС, основывается
на инженерно-технической практике, проверенной испытаниями и опытом
и отраженной в утвержденных нормах, стандартах и другой соответствующей
документации.
Обеспечение качества. Принцип: обеспечение качества осуществ-
ляется во всех видах деятельности для АЭС как часть всеобъемлющей систе-
мы, гарантирующей с высокой достоверностью соответствие всей продукции,
услуг и выполняемых работ установленным требованиям.
Все связанные с безопасностью компоненты, конструкции и системы клас-
сифицируются на основе их функций и значения для безопасности; они про-
ектируются, изготавливаются и сооружаются таким образом, чтобы их каче-
ство соответствовало этой классификации.
Учет человеческого фактора. Принцип: возможность ошибки
человека при эксплуатации АЭС принимается во внимание облегчением
118
Гл. 4. Принципы создания АСУ ТП АЭС
принятия операторами правильных решений и затруднением принятия не-
правильных, а также обеспечением средств для обнаружения и корректиро-
вания или компенсации ошибок.
Упрощение и оптимизация интерфейса человек—машина должны рассмат-
риваться как главный фактор упрощения эксплуатации, безопасности и на-
дежности станции.
В плане разработки проекта должны быть конкретно указаны те особен-
ности, которые предусмотрены для обеспечения систематического учета че-
ловеческого фактора в процессе проектирования.
Человеческий фактор должен быть полностью интегрирован, учтен и до-
кументирован в процесс проектирования АСУТП.
Учет человеческого фактора при проектировании делает станцию мало-
чувствительной к ошибке человека.
Основной подход к ограничению чувствительности станции к возможным
происшествиям должен включать применение принципа проектирования с
учетом требований эргономики к интерфейсу человек—машина. Системати-
ческий анализ человеческого фактора и интерфейса человек—машина следу-
ет учитывать в процессе проектирования с самого начала разработки проекта
и продолжать в течение всего процесса создания АСУ ТП.
Оценка безопасности. Принцип: до начала строительства и эксп-
луатации станции делается оценка ее безопасности.
Оценка безопасности включает систематическое критическое рассмотре-
ние путей возможных отказов систем, компонентов и конструкций и опреде-
ление последствий таких отказов. Оценка производится целенаправленно для
выявления слабых мест проекта.
Радиационная защита. Принцип: практическая система радиаци-
онной защиты соответствует рекомендациям МАГАТЭ и следует им при про-
ектировании, пусконаладочных работах и эксплуатации АЭС.
Опыт эксплуатации, связанный с бе зо п ас н о ст ь ю . Прин-
цип: все заинтересованные организации обеспечивают обмен опытом эксп-
луатации и результатами научных исследований, связанных с безопасностью,
а также их рассмотрение, анализ и извлечение уроков с принятием соответ-
ствующих мер.
Для АСУ ТП должен быть назначен «инженер системы», который будет
отвечать за техническую интеграцию всех аспектов проекта системы и за об-
щую интеграцию этой системы в проект станции на протяжении всего цикла
процесса проектирования.
АСУ ТП должна быть спроектирована так, чтобы упростить эксплуатацию
АЭС во всех режимах работы, включая действия оператора по диагностике и
преодолению нарушений нормальной эксплуатации и аварий.
119
Принципы создания АСУ ТП АЭС
На ранней стадии проектирования должны применяться макетирование
и моделирование с целью оценки специфических особенностей проекта и при-
нятых технических решений, а также для поддержки итеративного процесса
разработки АСУ ТП.
На всем протяжении процесса проектирования АСУ ТП, от начальной
концепции и на этапах предварительного и рабочего проектов, сооружения и
испытания, должен проводиться функциональный анализ [103, 98, 106].
Процесс проектирования АСУ ТП должен быть направлен на определе-
ние необходимых средств АСУ ТП для возможности выполнения всех функ-
ций АСУ ТП в соответствии с общими целями эксплуатации станции и обес-
печения безопасности, а также роли, отводимой человеку и машине.
Проектирование АСУТП должно базироваться на процессе, который обес-
печивает документирование, выполнение и поддержание на всем протяже-
нии проектирования требований, которым должна отвечать АСУ ТП.
Процесс проектирования АСУ ТП должен интегрироваться с другими про-
цессами проектирования станции.
При проектировании АСУ ТП необходимо стремиться к ее упрощению,
безотказности и своевременному обнаружению неисправностей. При проек-
тировании и изготовлении системы необходимо использовать технологию,
позволяющую избежать ошибки и обеспечить своевременное обнаружение
ошибок.
Исходные данные для каждой фазы проекта и полученные результаты не-
обходимо документировать для оценки независимыми от исполнителя, раз-
решительного органа и проектировщика лицами. Для систем 2-го класса бе-
зопасности каждую фазу проектирования необходимо документировать с
учетом требований предыдущей фазы. Процесс проектирования в целом дол-
жен быть прозрачным и подтвержденным.
Проектная документация УСБ должна содержать [46]:
—	перечень условий автоматического запуска систем безопасности;
—	результаты расчета и значения показателей надежности функций;
—	анализ последствий отказов;
—	данные о ресурсе управляющих систем и средств автоматизации;
—	проект регламента технического обслуживания, ремонтов, метрологи-
ческих поверок и испытаний;
—	критерии и оценку предельного состояния средств автоматизации;
—	порядок вывода из работы, испытаний и порядок ввода в работу кана-
лов;
—	требования к количеству и квалификации обслуживающего персонала;
—	требования к номенклатуре, количеству и хранению запасных компо-
нентов.
120
Гл. 4. Принципы создания АСУ ТП АЭС
При выборе технических средств УСНЭ, УСНЭ ВБ и УСБ предпочтение
должно отдаваться средствам, опробованным на АЭС. Технические средства
должны быть сертифицированы и иметь исполнение для АЭС.
Контроль, периодические испытания и техническое обслуживание. Системы
и оборудование АСУ ТП должны быть спроектированы и сконфигурированы
с учетом обеспечения их автоматизированных функциональных испытаний с
целью периодического контроля.
Готовность систем и оборудования АСУТП, связанных с обеспечением фун-
кций безопасности, должна проверяться во всех эксплуатационных режимах.
Отказы систем и оборудования АСУТП, связанных с обеспечением функ-
ций безопасности, должны сопровождаться сигнализацией.
Для систем и оборудования АСУТП, связанных с обеспечением функций
безопасности, должно предусматриваться их периодическое и достаточно
полное тестирование с целью обнаружения и мониторинга скрытых отказов.
Проведение испытаний и технического обслуживания АСУ ТП не должно
препятствовать выполнению функций безопасности.
Проведение испытаний не должно нарушать условия нормальной эксп-
луатации энергоблока.
Учет «внутренних» и «внешних» воздействующих факторов
Учет воздействующих факторов при проектировании УСНЭ, УСНЭ ВБ и
УСБ должен выполняться в соответствии с требованиями действующих нор-
мативно-технических документов, принятых в мировой практике подходов и
конкретных условий размещения.
Предполагаемые в проекте АЭС «внутренние» исходные события должны
определять параметры окружающей среды и ионизирующего излучения, элек-
тромагнитные воздействия, которые необходимо учитывать при выборе тех-
нических средств управляющих систем нормальной эксплуатации, управля-
ющих систем нормальной эксплуатации, важных для безопасности, и
управляющих систем безопасности.
Условия окружающей среды внутри защитной оболочки приведены в
табл. 4.3.
Технические средства УСНЭ, УСНЭ ВБ и УСБ, размещаемые в помеще-
ниях, расположенных внутри защитной оболочки зоны строгого режима, дол-
жны быть стойкими к воздействию дезактивирующих растворов.
Условия окружающей среды в зоне свободного режима в периодически
обслуживаемых помещениях технических средств АСУ ТП приведены в
табл. 4.4.
В помещениях пунктов управления с постоянным пребыванием персона-
ла при нормальных условиях эксплуатации и при нарушениях нормальных
условий эксплуатации должны поддерживаться следующие параметры:
121
Принципы создания АСУ ТП АЭС
—	температура — (22±2)°С;
—	давление — подпор 20 Па;
—	влажность — от 60 до 70 %.
Таблица 4.3
Тип помещений и режим в них	Темпера- тура воз- духа, °C	Давление абсолют- ное, кПа	Относи- тельная влажность, %	Объемная актив- ность, Бк/л	Мощность поглощен- ной дозы, Гр/ч
Технологические поме- щения и помещения дат- чиков КИП, режим нор- мальной эксплуатации	+5...+33	97-103	90	7,4x104	1,0
Технологические по- мещения, режим «малой течи» (Ду 100 мм)	+ 115	97-297	Парогазо- вая смесь	5,5x10б	1,0
Технологические по- мещения, режим «боль- шой течи» (Ду 850 мм)	+ 150	490	Парогазо- вая смесь	9,25x10ю	1х103
Помещения датчиков КИП, проектные аварии	+60	84-106,7	98 (при +35°С)	-	-
Технологические по- мещения, запроектные аварии	-	780	Парогазо- вая смесь	-	-
Таблица 4.4
Условия окружающей среды	Температура, °C	Давление, кПа	Влажность, %
Нормальные	+ 15...+25	100	45-75
Нарушение нормальных условий эксплуатации, аварийные	+ 10...+40	84-107	80
При проектировании должны учитываться воздействия, возникающие в
результате возможных пожаров на АЭС. Поэтому должно быть предусмотре-
но размещение каналов УСБ в разных противопожарных отсеках, разделение
помещений технических средств УСБ и УСНЭ огнестойкими перегородка-
ми, применение систем автоматического обнаружения пожара, систем авто-
матического пожаротушения и систем дымоудаления после пожара, исполь-
зование кабелей, не распространяющих горение, и аппаратуры, отвечающей
требованиям пожарной безопасности.
122
Гл. 4. Принципы создания АСУ ТП АЭС
При проектировании АСУТП должны учитываться следующие «внешние»,
присущие данной площадке, природно-климатические факторы и факторы,
обусловленные деятельностью человека:
—	сейсмические воздействия;
—	ударная волна;
—	падение самолета;
-	воздействие экстремальных температур;
—	террористические акты.
Предусматриваемые технические средства управляющих систем должны
обеспечивать безопасность (аварийный отвод тепла от реактора, локализа-
цию радиоактивных продуктов и т.п.) до и во время прохождения проектного
землетрясения.
Технические средства управляющих систем безопасности должны обеспе-
чивать аварийный останов, аварийный отвод тепла от реактора и локализацию
радиоактивных продуктов после падения самолета, воздействия ударной вол-
ны или действий террористов. Выполнение своих функций указанными сред-
ствами обеспечивается таким образом, чтобы невозможно было вывести из
строя все каналы УСБ.
Воздействие экстремальных температур должно учитываться, например,
для технических средств, находящихся под воздействием пониженной или
повышенной температуры наружного воздуха, к ним относятся первичные
преобразователи систем вентиляции.
В табл. 4.5 представлены «внешние» воздействия, при которых техничес-
кие средства УСНЭ, УСНЭ ВБ и УСБ должны выполнять свои функции.
Таблица 4.5
Тип внешнего воздействия
Тип управляющих систем	Землетрясе- ние до П3 включитель- но	Экстремаль- ная темпера- тура	Ударная волна	Падение самолета	Террористи- ческий акт
УСНЭ	•	•	-	-	-
УСНЭ ВБ	•	•	•	* •	•
УСБ	•	•	•	•	•
’Часть систем, участвующих в расхолаживании
Процесс проектирования АСУ ТП должен включать в себя анализ эффек-
тивности мер, принимаемых для борьбы с потенциальными отказами по об-
щей причине.
123
Принципы создания АСУ ТП АЭС
Управление приоритетами. Проект архитектуры АСУ ТП должен опреде-
лять приоритет между командами на срабатывание, генерируемыми различ-
ными классифицируемыми по безопасности функциями, и командами на сра-
батывание, инициируемыми автоматически и вручную.
Как правило, команды на срабатывание, генерируемые функциями АСУ
ТП более высокого уровня безопасности, должны иметь приоритет над ко-
мандами на срабатывание, формируемыми функциями АСУ ТП более низ-
ких уровней безопасности. Могут возникнуть исключения, которые должны
обосновываться, при этом должно быть предусмотрено предотвращение лю-
бого ложного срабатывания.
Команды низшего приоритета или ошибочные команды компонентам, не
обеспечивающим безопасность, должны игнорироваться, если компоненты
необходимы в то же время для обеспечения функции, обеспечивающей безо-
пасность.
Приоритетные функции подвергаются классификации среди функций
АСУ ТП по важности с точки зрения обеспечения безопасности, они должны
проектироваться и реализовываться с соответствующей степенью надежности.
Проектировщик должен определить соответствующий уровень автомати-
зации для каждой задачи. Решение по соответствующему уровню автомати-
зации должно приниматься проектировщиками систем станции и операто-
рами станции с учетом:
—	требований к времени срабатывания систем;
—	потенциального отказа автоматического оборудования;
—	сложности операций;
—	обязанностей оператора;
—	уровня и длительности необходимой концентрации внимания опера-
тора.
Надежность, влияние внешней среды. Проект АСУ ТП должен содержать:
—	описание реакции системы на возможные в ней отказы, внешние и внут-
ренние воздействия;
—	проектную оценку надежности функционирования технических и про-
граммных средств и системы в целом;
—	анализ устойчивости контуров управления и регулирования;
—	анализ пожарной безопасности оборудования АСУ ТП;
—	анализ технических решений, направленных на повышение помехоус-
тойчивости системы;
—	анализ сейсмостойкости оборудования системы.
На основе анализа надежности АСУ ТП в проекте должно быть определе-
но допустимое время вывода элементов системы из работы для технического
обслуживания и/или ремонта.
124
Гл. 4. Принципы создания АСУ ТП АЭС
Разрабатываемая АСУ ТП должна быть работоспособна в условиях реаль-
но имеющихся на АЭС электрических и электромагнитных полей и внешних
электромагнитных воздействий. Дозовые нагрузки на персонал при проведе-
нии технического обслуживания должны быть минимальными.
Должны быть предусмотрены организационные и/или технические меры
по исключению несанкционированного доступа к информации АСУ ТП и
меры, направленные на сохранение информации.
Должна быть разработана программа управления старением АСУ ТП для
своевременного обнаружения старения систем и оборудования АСУТП, вли-
яющих на безопасность АЭС. В программе должны быть установлены перио-
дичность контроля (испытания) систем и оборудования АСУ ТП, критерии
оценки состояния АСУ ТП и ее систем и оборудования, влияющих на безо-
пасность, а также меры по снижению старения, включая модернизацию АСУ
ТП.
Учет фактора электроснабжения технических средств управляющих систем.
Системы электроснабжения предусматриваются для обеспечения функцио-
нирования комплексов технических средств УСНЭ, УСНЭ ВБ и УСБ в режи-
мах нормальной эксплуатации, при нарушениях нормальной эксплуатации и
авариях.
В зависимости от требований со стороны технических средств к беспере-
бойности и надежности электроснабжения на АЭС должны быть предусмот-
рены следующие системы электроснабжения:
—	система электроснабжения нормальной эксплуатации;
—	система надежного электроснабжения нормальной эксплуатации;
—	система аварийного электроснабжения (САЭ).
В качестве автономных источников системы аварийного электроснабже-
ния должны быть предусмотрены:
—	резервные дизель-генераторные станции;
—	аккумуляторные батареи.
В качестве автономных источников системы надежного электроснабже-
ния нормальной эксплуатации должны быть предусмотрены:
—	блочные дизель-генераторные станции (ДГС);
—	аккумуляторные батареи.
В соответствии с классификацией по безопасности технические средства
управляющих систем получают питание либо от системы электроснабжения
нормальной эксплуатации, либо от системы надежного электроснабжения
нормальной эксплуатации, либо от системы аварийного электроснабжения.
При нормальной эксплуатации (уровень защиты 1) все системы электроснаб-
жения энергоблока получают питание от рабочих трансформаторов собствен-
ных нужд.
125
Принципы создания АСУ ТП АЭС
В случае потери электроснабжения от рабочего источника (уровень защи-
ты 2) электроснабжение осуществляется от резервных трансформаторов соб-
ственных нужд, подключенных к энергосистеме.
В случае полного обесточивания энергоблока (уровень защиты 3) систе-
мы надежного электроснабжения нормальной эксплуатации и САЭ получа-
ют питание от автономных источников электроснабжения.
Для электроснабжения технических средств управляющих систем необ-
ходимы два уровня напряжения:
—	переменный ток 220В;
—	постоянный ток 24В.
В качестве источников электроснабжения 24В применяются преобразо-
ватели 220В/24В, получающие питание от аккумуляторных батарей или агре-
гатов бесперебойного питания.
4.4. Управление АЭС в режимах эксплуатации
Управление АЭС при ведении режимов нормальной эксплуатации. Под нор-
мальной эксплуатацией АЭС понимается работа в стационарных и переход-
ных режимах, обусловленная нормальным ходом технологического процес-
са. К режимам нормальной эксплуатации относятся пуски, работа на разных
уровнях мощности, переходные процессы, связанные с изменениями нагруз-
ки станции, плановые остановы для ремонта оборудования и перегрузки ядер-
ного топлива в реакторе [15].
Нормальная эксплуатация подразумевает работу энергоблока в рамках эк-
сплуатационных пределов и условий, предусмотренных проектом для нор-
мальной эксплуатации.
Безопасность АЭС на уровне защиты 1 обеспечивается соблюдением сле-
дующих условий:
—	наличием у оперативного персонала необходимых средств контроля, уп-
равления и достаточного времени для реагирования на события и средств кон-
троля за действиями персонала по управлению технологическим процессом;
—	четким определением и поддержанием параметров режима в рамках эк-
сплуатационных пределов и условий;
—	четким определением состояния безопасности АЭС;
—	автоматическим срабатыванием технологических защит и блокировок
отдельного оборудования;
—	учетом наработки и диагностики оборудования, диагностики техничес-
ких средств управляющих систем;
—	всесторонней подготовкой тщательно подобранного персонала, соблю-
дением культуры безопасности;
126
Гл. 4. Принципы создания АСУ ТП АЭС
-	наличием надлежащих эксплуатационных инструкций и регламента;
-	использованием референтных технических средств;
-	всесторонним профилактическим техобслуживанием и своевременным
принятием превентивных мер для предотвращения отказов оборудования и
технических средств управляющих систем.
Основными функциями УСНЭ и УСНЭ ВБ на уровне защиты 1 являются
(см. рис. 4.5 и 4.6):
-	контроль параметров, характеризующих основной технологический
процесс;
-	контроль состояния безопасности АЭС;
-	контроль параметров, характеризующих условия жизнедеятельности
персонала;
-	контроль параметров, характеризующих радиационное воздействие на
персонал, население и окружающую среду;
«Уровни защиты»
1-й I 2-й I 3-й I 4-й
Контроль за параметрами, характеризующими:
-	ведение основного технологического процесса;
-	ограничение основного технологического процесса;
-	прекращение основного технологического процесса.
Контроль за параметрами, характеризующими:
-	состояние барьеров безопасности;
-	воздействие на барьеры безопасности;
-	запасы по пределам безопасной эксплуатации;
-	запасы по максимальным проектным пределам;
-	запас до максимального проектного предела
по системе герметичных ограждений;
-	воздействие на систему герметичных ограждений.
Контроль за состоянием технических средств АСУ ТП,
специальных и дополнительных средств АСУ ТП
Контроль за условиями жизнедеятельности персонала,
за обеспечением жизнедеятельности персонала
Контроль за радиационным воздействием
на персонал, население и окружающую среду
Рис. 4.5. Функции контроля на уровнях защиты
127
Принципы создания АСУ ТП АЭС
«Уровни защиты»
-	ведение основного технологического процесса;
-	поддержание и ограничение воздействий
в рамках эксплуатационных пределов;
-	ограничение (прекращение) основного
технологического процесса;
-	поддержание и ограничение воздействий на барьеры в
рамках пределов и условий безопасной эксплуатации;
-	прекращение основного технологического процесса;
-	поддержание и ограничение воздействий на барьеры
в рамках максимальных проектных пределов;
-	поддержание и ограничение воздействий на барьеры
с целью не превышения максимального проектного
предела по системе герметичных ограждений;
-	обеспечение жизнедеятельности персонала;
-	ограничение радиационного воздействия на персонал,
население и окружающую среду
Рис. 4.6. Функции управления на уровнях защиты
—	управление технологическим оборудованием при ведении режимов нор-
мальной эксплуатации;
—	световая и звуковая сигнализация срабатывания технологической защи-
ты отдельного оборудования и блокировок, сигнализация отказов оборудо-
вания и неисправностей технических средств;
—	диагностика технологического оборудования и технических средств уп-
равляющих систем;
—	информационная поддержка оперативного персонала во всех режимах
нормальной эксплуатации;
—	регистрация и хранение информации о важных параметрах основного
технологического процесса, состоянии систем безопасности, состоянии бе-
зопасности АЭС, состоянии УСНЭ, УСНЭ ВБ, УСБ и действиях персонала
по управлению АЭС.
В основе информационного обеспечения оперативного персонала лежит
обобщенная информация о состоянии технологического процесса и безопас-
ности блока, видеокадры и протоколы событий.
128
Гл. 4. Принципы создания АСУ ТП АЭС
Основными функциями УСБ на уровне 1 являются:
—	уставочный контроль параметров режима, по которым осуществляется
запуск систем безопасности;
—	контроль состояния технологического оборудования, при отказе кото-
рого осуществляется запуск систем безопасности;
—	контроль и диагностика технологического оборудования систем безо-
пасности;
—	контроль и диагностика комплекса технических средств УСБ;
—	контроль наличия электропитания комплектов УСБ;
—	передача информации в СВБУ;
—	циклическая регистрация параметров и состояния оборудования, конт-
ролируемых УСБ, регистрация действий оперативного персонала по управ-
лению технологическим оборудованием систем безопасности.
С точки зрения безопасности задачами персонала являются:
—	контроль состояния физических барьеров безопасности;
—	контроль работоспособности систем, важных для безопасности;
—	выявление и устранение отказов и нарушений в работе систем и обору-
дования.
Ключевым вопросом нормальной эксплуатации АЭС является готовность
оборудования и систем, необходимых для выполнения трех фундаменталь-
ных функций безопасности [15]:
—	контроля и управления реактивностью путем:
•	контроля запаса реактивности;
•	контроля поля энерговыделения и нейтронной мощности в активной зоне;
•	контроля величины периода разгона реактора;
•	обеспечения работоспособности каналов измерения вышеупомянутых
параметров;
•	обеспечения готовности системы аварийной защиты реактора;
— теплоотвода от активной зоны путем:
•	контроля и поддержания номинальных значений температуры и дав-
ления теплоносителя 1-го контура;
•	контроля и поддержания уровня в парогенераторах;
•	обеспечения готовности систем аварийного охлаждения реактора;
— удержания радиоактивных продуктов путем:
•	контроля величин утечек и выбросов радиоактивных продуктов и не-
превышение ими пределов, установленных для нормальной эксплуатации;
•	контроля активности в полуобслуживаемых, обслуживаемых помеще-
ниях, а также активности, давления и температуры в защитной оболочке и ее
герметичности;
•	контроля осколочной радиоактивности теплоносителя.
129
Принципы создания АСУ ТП АЭС
При ведении основного технологического процесса АСУ ТП обеспечи-
вает следующие виды управления:
—	автоматическое — управление с помощью средств АСУ ТП, реализуемое
без участия человека-оператора;
—	дистанционное (автоматизированное) — управление с помощью средств
АСУТП, реализуемое с участием человека-оператора;
—	индивидуальное ручное управление.
Реализация способов управления технологическим оборудованием сред-
ствами АСУ ТП приведена на рис. 4.7.
Дистанционное
управление
Автоматическое
управление
Рис. 4.7. Реализация способов управления технологическим оборудованием
При автоматическом управлении алгоритмы управления исполнительны-
ми механизмами реализуются в ПТК нижнего уровня АСУ ТП. Команды уп-
равления из функциональных модулей (ФМ) поступают в схему управления
автоматических выключателей исполнительных механизмов.
При дистанционном управлении команда на включение/отключение ис-
полнительного механизма формируется человеком-оператором с помощью
АРМ оператора или индивидуальных средств управления — кнопок «мозаики».
Команда оператора, сформированная средствами АРМ, из системы верхнего
130
Гл. 4. Принципы создания АСУ ТП АЭС
блочного уровня поступает в ПТК нижнего уровня. Команда оператора, сфор-
мированная с помощью индивидуальных средств управления, поступает не-
посредственно на вход функционального модуля.
При индивидуальном ручном управлении команда поступает непосред-
ственно в распределительное устройство.
Автоматическое управление. В задачи автоматического управ-
ления входит:
-	автоматическое регулирование;
-	программно-логическое управление;
—	автоматический ввод резерва;
-	технологические защиты и блокировки.
При выполнении автоматического регулирования реализуются следующие
задачи:
-	автоматическое поддержание технологического параметра в заданном
диапазоне;
-	задание человеком-оператором настройки регуляторов;
-	безударное включение в активную работу контуров, работающих в сте-
регущем режиме;
-	контроль исправности стерегущего регулятора;
-	блокировка регулирования при потере информации отдатчиков;
-	обеспечение заданного закона регулирования;
—	блокировки, обеспечивающие отключение автоматических воздействий
на регулирующий орган.
При выполнении функций программно-логического управления реали-
зуются следующие задачи:
-	формирование последовательности управляющих команд в соответствии
с технологическим алгоритмом управления;
-	проверка технологических условий с учетом временных факторов;
-	контроль положения регулирующих органов и исполнительных меха-
низмов.
Автоматические блокировки предназначены для:
-	предотвращения неправильных действий оперативного персонала по
управлению технологическими системами и системами безопасности;
—	поддержания параметров технологического процесса в определенных
пределах посредством периодического включения/отключения технологичес-
кого оборудования (например, для пополнения бака);
-	одновременного включения/отключения технологически связанных
(сблокированных) механизмов.
Алгоритмы автоматических блокировок реализуются в функциональных
модулях ПТК нижнего уровня АСУ ТП.
131
Принципы создания АСУ ТП АЭС
Автоматический ввод резерва обеспечивает выполнение технологической
функции двумя или более механизмами, резервирующими друг друга.
Алгоритмы автоматического ввода резерва реализуются в ПТК нижнего
уровня АСУ ТП. При этом реализуются следующие функции:
—	предварительное задание человеком-оператором статуса «рабочего» од-
ному из механизмов;
—	автоматический ввод в работу «резервного» механизма при отключении
«рабочего» механизма;
—	автоматический ввод в работу «резервного» механизма по параметрам
технологического процесса (параллельная работа двух механизмов).
Технологические защиты предназначены для отключения технологичес-
кого оборудования СНЭ и СНЭ ВБ с целью предотвращения его поврежде-
ния. Алгоритмы технологических защит реализуются в ПТК нижнего уровня
АСУТП.
Дистанционное управление с помощью АРМ операто-
р а . Данный вид управления резервирует автоматическое управление, а так-
же применяется для управления технологическим оборудованием, управляе-
мым только дистанционно.
Управление технологическим оборудованием осуществляется с помощью
системы видеокадров, реализуемых на экранах мониторов АРМ оперативного
персонала посредством вызова окон индивидуального управления оборудо-
ванием. Органом управления может быть манипулятор типа «мышь».
При помощи окон индивидуального управления человеку-оператору пре-
доставляются следующие возможности:
—	управление механизмом (включить, отключить, открыть, закрыть и т.п.);
—	просмотр и квитирование текстовых сообщений о неисправности меха-
низма;
—	просмотр детальной информации о текущем состоянии механизма;
—	вспомогательные функции:
•	переход в видеокадр с графиками или диаграммами, необходимыми
для оценки текущего состояния механизма;
•	переход в видеокадр с алгоритмами работы механизма.
Предусматриваются следующие типовые окна управления:
—	окно управления электродвигателем;
—	окно управления электромагнитным клапаном;
—	окно управления задвижкой;
—	окно задания настроек и структуры автоматического регулятора.
Дистанционное управление с помощью индивидуаль-
ных средств у п р а вл е н и я . Данный вид управления применяется, в
основном, для управления реактором: управление органами регулирования
132
Гл. 4. Принципы создания АСУ ТП АЭС
СУЗ, задание уставки мощности, задание рабочего и резервного автомати-
ческого регулятора мощности, задание программы регулирования «Н» или «Т».
Дистанционное управление с помощью индивидуальных средств предус-
матривается также для отключения таких дорогостоящих агрегатов, как ГЦН,
ПЭН и другие, в случае их аварийного состояния.
При реализации управления исполнительными механизмами с использо-
ванием АРМ или индивидуальных средств принят принцип «двух кнопок»,
когда для проведения любого действия по управлению технологическим обо-
рудованием оператор должен нажать две кнопки (клавиши) [31]:
- кнопку, соответствующую производимому действию (открыть, закрыть,
пуск, стоп);
— кнопку «Подтверждение».
Индивидуальное ручное у п р а вл е н и е . При ведении режимов
нормальной эксплуатации данный способ управления осуществляется с мес-
тных постов управления.
Автоматизация режимов пуска-останова реакторной установки. Вопрос о сте-
пени автоматизации АЭС при ведении режимов нормальной эксплуатации
является дискуссионным и затрагивает, в основном, возможность автомати-
зации режимов пуска-останова реакторной установки. В связи с этим обстоя-
тельством рассмотрим основные положения инженерной психологии в части
распределения функций между человеком и автоматикой, а также подходы к
автоматизации АЭС.
Основные принципы распределения функций между человеком и автомати-
кой [22]. Тенденция к повышению автоматизации процессов управления слож-
ных систем выявила ключевую проблему в обеспечении надежности и эффек-
тивности техники — распределение функций между человеком и автоматикой.
Одним из первых вариантов ее решения стал принцип преимуще-
ственных возможностей, заключающийся в сопоставлении досто-
инств и недостатков человека и ЭВМ. Суть принципа заключается в том, что
функции человеку и автоматике должны назначаться в зависимости оттого,
чьи преимущества будут лучше использоваться при выполнении задач управ-
ления.
Достоинством принципа преимущественных возможностей является то,
что он впервые позволил получить конкретные практические результаты
при распределении функций и во многом определить дальнейшие тенден-
ции автоматизации процессов управления. Однако у данного принципа
были выявлены серьезные ограничения, вытекающие из исходного поло-
жения — необходимости сравнения человека и автоматики. Эти недостат-
ки выразились в существенной тривиальности итогового вывода: автома-
тика хорошо выполняет те функции, которые плохо выполняет человек, и
133
Принципы создания АСУ ТП АЭС
наоборот. То есть возможности человека и автоматики оказались взаимо-
исключающими.
В противовес принципу преимущественных возможностей был предло-
жен принцип взаимодополняемости человека и машины.
Согласно данному принципу необходимо не распределять функции, а орга-
низовать совместную деятельность человека и машины таким образом, что-
бы происходило взаимное усиление их функций. Ответственность за выпол-
нение процессов управления во всех случаях возлагается на человека.
Недостатком данного принципа является открытый главный вопрос — как
определить необходимую степень автоматизации процессов управления? Не-
смотря на свою неконкретность, значение принципа взаимодополняемости
чрезвычайно велико. В рамках данного принципа были поставлены новые
фундаментальные проблемы — резервирования человеком автоматики и гу-
манизации труда.
Проблему резервирования человеком автоматики во многом решает
принцип активного оператора. Исходя из этого принципа, степень
автоматизации необходимо выбирать таким образом, чтобы оператор осуще-
ствлял непрерывный контроль процессов управления и часть операций по
управлению выполнял самостоятельно.
К теоретическим достоинствам принципа активного оператора следует от-
нести введение в процесс решения проблемы распределения функций нового
понятия — «активность человека-оператора».
Согласно принципу активного оператора полуавтоматические режимы
должны быть основными в процессах управления сложными объектами. Та-
кие режимы являются наиболее целесообразными сточки зрения резервиро-
вания оператором автоматики, так как обеспечивают необходимый уровень
его активности. Профессиональные функции операторов сводятся к плани-
рованию и организации последовательности и взаимодействия программ уп-
равления на основе контроля и анализа процесса функционирования систем.
Кроме того, операторы могут задавать исходные данные для программ управ-
ления или вносить изменения в параметры работы систем.
При обсуждении подхода к автоматизации режимов пуска-останова АЭС
примем за основу принцип активного оператора, а также принцип техничес-
кой и экономической целесообразности автоматизации тех или иных процес-
сов управления. Следует также учитывать, что особо ответственные операции
должны выполняться оператором либо автоматикой после соответствующего
решения оператора и под его контролем.
Учитываются также следующие факторы, связанные с деятельностью че-
ловека-оператора:
— наличие резерва времени для принятия решения;
134
Гл. 4. Принципы создания АСУ ТП АЭС
—	способность прогнозировать и принимать решения в нестандартных си-
туациях;
—	способность анализировать сложившуюся ситуацию и проявлять гиб-
кость при принятии решения;
—	способность оценить степень влияния операции на безопасность и учесть
многие незначительные факторы.
Показателями эффективности автоматизации будут оптимальная и безо-
пасная эксплуатация АС, достижение высокой эффективности работы энер-
гоблока за счет точного выполнения регламента процесса управления, исклю-
чения недопустимых отклонений параметров и ошибок персонала.
Подходы к автоматизации режимов пуска-останова
энергоблока. Исходя из высокой надежности и производительности про-
граммно-технических средств, возможным является применение автомати-
ческого управления для решения следующих задач:
—	пуск блока из холодного состояния после перегрузки топлива или ре-
монта, в том числе:
•	разогрев 1-го контура;
•	вывод борной кислоты;
•	выход на минимальный контролируемый уровень мощности;
•	выход на заданный минимальный энергетический уровень мощности;
•	набор мощности;
— останов и расхолаживание реакторной установки, в том числе:
•	останов в горячий резерв и поддержание в горячем резерве (в пределах
реакторной установки не автоматизируется выключение ГЦН и выбор режи-
ма отвода тепла);
•	останов с расхолаживанием (не автоматизируется выбор конечной
концентрации борной кислоты для поддержания реактора в подкритичес-
ком состоянии для холодных условий, сборка и разборка электрических
схем арматуры, состояние которой влияет на безопасность, выбор режима
отвода остаточного тепла во 2-м контуре через БРУ-К или технологичес-
кий конденсатор, а также систему расхолаживания и продувки парогене-
раторов);
•	останов с расхолаживанием для замены топлива или ремонта реактор-
ной установки (не автоматизируется проверка предохранительных клапанов,
задание конечной концентрации борной кислоты, разборка и сборка элект-
рических схем арматуры, выбор режима отвода остаточного тепла);
— отвод остаточного тепла для случаев:
•	горячий резерв реакторной установки (через системы 2-го контура
БРУ-К, а также систему расхолаживания и продувки парогенераторов);
•	холодное состояние реакторной установки, включая режим перегрузки.
135
Принципы создания АСУ ТП АЭС
Данный подход предполагает практически полную автоматизацию управ-
ления реакторной установкой в режимах нормальной эксплуатации.
Представляет интерес отношение эксплуатационного персонала к авто-
матизации блока, приведенное в табл. 4.6.
Таблица 4.6
Отношение эксплуатационного персонала АЭС к автоматизации блока
Режим, состояние реакторной установки	Операции по управлению	Отношение к автоматизации
«Холодное» состоя- ние	Подготовка ряда систем, обеспечивающих заполнение 1- го контура, и «холодные» гид- равлические испытания 1-го контура	Автоматизация нецеле- сообразна, так как отсут- ствует необходимость в выполнении многочис- ленных	переключений оборудования
Испытание гермо- объема на плотность	Тщательная, кропотливая и длительная подготовка систем, требующая от персонала не- укоснительного	выполнения программы подготовки и прове- дения испытаний оболочки на плотность	Автоматизация нецеле- сообразна в силу сложно- сти алгоритмизации опе- раций и редко проводи- мых испытаний
Разогрев 1-го кон- тура до «полугоряче- го» и «горячего» со- стояний	Проверка аварийных и техно- логических защит и блокировок, проверка работоспособности каналов УСБ. Опробование вспомогатель- ных систем, подготовка систем 2-го контура. Подготовка и проверка ком- плектов АЗ, ПЗ, АКНП, АЗТП	Автоматизация опера- ций по проверке и подго- товке к пуску технологи- ческих систем даст боль- шой экономический эф- фект и позволит освобо- дить персонал от множе- ства ручных операций
Выход на мини- мальный контроли- руемый	уровень мощности	Последовательный подъем органов регулирования СУЗ, производство водообмена, дос- тижение критического состоя- ния реактора	Процесс	извлечения групп органов регулиро- вания СУЗ целесообразно автоматизировать. Процесс управления во- дообменом целесообразно автоматизировать
Энергопуск блока. Набор мощности. Ра- бота на мощности	-	Режим поддерживается системами автоматиче- ского регулирования и управления
Останов блока	Поддержание скорости расхо- лаживания 1-го контура <30°С/ч и компенсатора давления <40°С/ч, не допуская достиже- ния разности Тад - Т |К <20°С/ч	Целесообразна автома- тизация процесса расхо- лаживания 1-го контура после доведения концен- трации борной кислоты в 1-м контуре до «стояноч- ной»
136
Гл. 4. Принципы создания АСУ ТП АЭС
С учетом мнения эксплуатационного персонала целесообразно принять
следующий подход к автоматизации режимов пуска/останова блока:
—	автоматизация операций по управлению наиболее сложными и трудо-
емкими режимами;
—	подготовка и проверка комплектов УСБ;
—	разогрев 1-го контура до «полугорячего» и «горячего» состояний;
-	вывод реактора на МКУ мощности в части подъема органов регулиро-
вания СУЗ и вывода бора;
—	расхолаживание 1-го контура с целью поддержания установленной ско-
рости расхолаживания 1-го контура и компенсатора давления;
—	изучение технической и экономической целесообразности автоматиза-
ции операций по подготовке к пуску энергоблока в режиме «холодный» оста-
нов, при проведении испытаний гермооболочки на плотность, при останове
энергоблока и др.
Успех в автоматизации АЭС будет достигнут при условии решения ряда
задач, приведенных в работе [44] и являющихся актуальными в настоящее
время:
-	улучшение приспособленности технологического объекта управления
к требованиям автоматизации путем совершенствования и упрощения теп-
ловых схем;
-	повышение надежности и улучшение характеристик основного и вспо-
могательного оборудования;
—	совершенствование запорно-регулирующей арматуры и исполнитель-
ных органов;
—	оптимизация числа и мест установки датчиков;
-	повышение качества, улучшение функциональных характеристик и на-
дежности технических средств автоматизации;
-	создание системы алгоритмов, обеспечивающих согласованную автома-
тическую работу подсистем АСУ ТП во всех режимах работы блока.
Основой при разработке алгоритмов должны быть экспериментальные и
расчетные исследования динамических характеристик блока при различных
нагрузках и режимах работы, в том числе при нарушениях нормальной эксп-
луатации и авариях.
Программно-логическое (пошаговое) управление при
автоматизации АЭС.В основе пошагового управления лежат логичес-
кие автоматы, функционирующие в соответствии с заданным технологическим
алгоритмом. Процесс управления осуществляется путем отработки заданной
последовательности шагов, на каждом из которых выдаются команды управ-
ления и проверяются технологические условия, определяющие возможность
перехода к следующему шагу [4, 13].
137
Принципы создания АСУ ТП АЭС
При высоком уровне автоматизации блока имеет место следующая иерар-
хия в организации программ управления [56]:
1.	Координирующая (главная) логическая пошаговая программа пуска и
останова блока.
2.	Логические пошаговые программы управления функционально-техно-
логическими группами агрегатного и зонального уровней.
3.	Логика нижнего уровня — блокировки и простые программы запуска и
останова отдельных технологических узлов. Например, логическая програм-
ма управления вало по воротным устройством турбины, логическая програм-
ма управления системой охлаждения генератора.
Оперативному персоналу выдается информация об отработке каждого оче-
редного шага программы с указанием необходимости выполнения ручных
операций.
Алгоритмы зашиты и блокировок, предусмотренные проектом, в алгорит-
мах логического управления не реализуются.
Логические операторы, составляющие алгоритм управления технологичес-
ким процессом, классифицируются следующим образом [23]:
1)	Каждый предыдущий оператор у является источником входного уп-
равляющего сигнала оператора у..
2)	Каждый оператор у., у.+1, yg может являться источником входного уп-
равляющего сигнала для внешних алгоритмов управления.
3)	Результат выполнения каждого шага является источником информации
для человека-оператора о ходе выполнения пошаговой программы.
4)	Каждая пошаговая программа имеет входные управляющие сигналы
«Пуск» и «Стоп», формируемые человеком-оператором и/или внешними ло-
гическими программами.
Анализ подхода к автоматизации конкретного режима покажем на при-
мере режима вывода реактора на МКУ мощности. Порядок выполнения опе-
раций соответствует изложенному в работе [65].
Пр и м е р . Вывод реактора на МКУ мощности.
Задачи управления:
—	взвод ОР СУЗ;
—	снижение концентрации борной кислоты в теплоносителе 1-го контура;
—	перевод реактора в критическое состояние и на МКУ мощности;
—	выравнивание концентрации борной кислоты в КД, 1-м контуре и деаэраторе
подпитки.
Режим обеспечивается СУЗ реактора, УСНЭ ВБ, средствами контроля и управле-
ния БПУ.
Для управления указанным режимом предусмотрим шаговую программу «Взвод
ОР СУЗ» и шаговые программы «Вывод бора 60 т/ч», «Вывод бора 6 т/ч». Шаговые
138
Гл. 4. Принципы создания АСУ ТП АЭС
программы (ШП) вывода бора взаимодействуют с программами управления насо-
сами подпитки и борного регулирования соответствующей производительности (см.
Рис. 4.8. Программы управления режимом «Вывод реактора на МКУ мощности»
Включение шаговых программ осуществляет оператор. При таком подходе обес-
печивается активное участие оператора в проведении режима.
Взвод ОРСУЗ
Оператор включает шаговую программу «Взвод ОР СУЗ».
Действия автоматики:
1.	Подается питание на панели силового управления и контроля СУЗ включени-
ем автоматических выключателей на соответствующих сборках электропитания.
2.	Группы ОР СУЗ в групповом режиме управления поочередно, в порядке следо-
вания своих номеров, извлекаются из активной зоны шагами по 35 см с выдержкой
времени между шагами не менее 60 с при стабильных показаниях аппаратуры конт-
роля нейтронного потока. В соответствии с [4] скорость увеличения реактивности
средствами воздействия на реактивность не должна превышать 0,07 Рэфф/с.
3.	Рабочая группа ОР СУЗ поднимается до высоты 40% от нижнего положения в
том же порядке.
4.	Если в процессе подъема ОР СУЗ период увеличения нейтронной мощности по
показаниям хотя бы одного из каналов любого комплекта АКНП станет меньше 60 с,
то подъем группы ОР немедленно прекращается.
При нарушении логической последовательности движения ОР СУЗ выход на МКУ
мощности запрещается.
При потере индикации положения ОР СУЗ на БПУ оператор работу шаговой про-
граммы прекращает.
139
Принципы создания АСУ ТП АЭС
Снижение концентрации борной кислоты в теплоносителе 1-го контура и выход на
МКУ мощности
После завершения работы программы «Взвод ОР СУЗ» оператор включает про-
грамму «Вывод бора 60 т/ч».
1.	Шаговая программа формирует команды управления соответствующей арма-
турой и включает программу управления насосом подпитки и борного регулирова-
ния большой производительности. Максимальный расход «чистого» конденсата под-
держивается в пределах 40—60 т/ч.
2.	При достижении так называемого пускового минимума, что соответствует запасу
реактивности до критического состояния реактора 1,5%, оператор (при необходимос-
ти) прекращает водообмен на время, достаточное для выравнивания концентрации ра-
створа борной кислоты в 1-м контуре, КД, деаэраторе подпитки и в баке оргпротечек
(разница концентрации не более 1 г/кг).
3.	Оператор включает шаговую программу «Вывод бора 6 т/ч». Включается про-
грамма управления насосами подпитки и борного регулирования малой производи-
тельности с расходом теплоносителя не более 10 т/ч.
4.	Выход на МКУ мощности определяется по следующим показателям:
—	мощность реактора — не менее 10'2% 1Ч|юм с устойчивым периодом разгона ре-
актора не менее 60 с;
—	наблюдается разогрев теплоносителя 1-го контура за счет ядерной реакции.
5.	Оператор отключает программу «Вывод бора 6 т/ч».
6.	Оператор переводит 1-й контур на подпитку из деаэратора подпитки.
В результате рассмотрения особенностей ведения режима «Вывод реактора на
МКУ мощности» можно отметить следующее:
1.	При достижении пускового диапазона необходим анализ состояния технологи-
ческого процесса и ведение режима с учетом ядерной безопасности АЭС. Целесооб-
разность автоматического управления в данном случае требует исследований на моде-
лирующем комплексе энергоблока.
2.	При реализации автоматического управления режимом вывода реактора на М КУ
необходимы:
—	верификация и аттестация программ в соответствии с требованиями [39, 100],
что потребует значительных затрат времени и средств;
—	разработка информационного обеспечения оператора для контроля прохожде-
ния программ;
—	проверка программ перед каждым пуском реактора.
С учетом того, что данный режим выполняется на АЭС сравнительно редко,
целесообразна оценка необходимости его автоматизации операторами АЭС на тре-
нажере.
Управление при нарушении нормальной эксплуатации. Нарушение нормаль-
ной эксплуатации (второй уровень защиты) приводит к ограничению мощ-
ности реактора или к его останову.
Дополнительно к условиям, принятым для уровня защиты 1, безопасность
на уровне защиты 2 обеспечивается соблюдением следующих условий:
140
Гл. 4. Принципы создания АСУ ТП АЭС
-	надежным выявлением нарушений нормальной эксплуатации и удер-
жанием блока в пределах безопасной эксплуатации;
-	автоматическим срабатыванием предупредительной защиты реактора;
-	автоматическим срабатыванием технологических защит основного обо-
рудования;
—	наличием надлежащих инструкций по ликвидации нарушений нормаль-
ной эксплуатации и контроля за действиями оперативного персонала по уп-
равлению технологическим процессом.
Основными задачами управления блоком являются:
-	ведение (ограничение, прекращение) основного технологического про-
цесса;
-	ограничение воздействий на барьеры в рамках пределов и условий безо-
пасной эксплуатации;
-	обеспечение жизнедеятельности персонала;
-	ограничение радиационного воздействия на персонал, население и ок-
ружающую среду.
При нарушении пределов и условий нормальной эксплуатации дей-
ствуют предупредительные защиты, ускоренная предупредительная защита
СУЗ.
На уровне защиты 2 возрастает доля автоматического управления, что обус-
ловлено работой предупредительных защит, технологических защит, блоки-
ровок и автоматического включения резерва.
Команды на срабатывание предупредительных защит имеют более высо-
кий приоритет по отношению к другим управляющим воздействиям.
Дополнительно к функциям на уровне защиты 1 основными функциями
УСНЭ и УСНЭ ВБ на уровне защиты 2 являются:
—	контроль параметров основного технологического процесса, вспомога-
тельных систем и запаса до пределов безопасной эксплуатации, параметров,
характеризующих состояние барьеров, условия жизнедеятельности персона-
ла, радиационную и пожарную обстановку;
-	контроль за состоянием основного и вспомогательного технологичес-
кого оборудования, оборудования, обеспечивающего условия жизнедеятель-
ности персонала и целостность барьеров;
—	управление оборудованием основного технологического процесса и
вспомогательных систем, оборудованием, обеспечивающим условия жизне-
деятельности персонала и противопожарную защиту, ограничение мощности
реактора рабочими органами СУЗ, при необходимости — останов блока;
—	световая и звуковая предупредительная сигнализация;
-	обеспечение информационной поддержки оперативного персонала при
всех учитываемых в проекте нарушениях нормальной эксплуатации.
141
Принципы создания АСУ ТП АЭС
Основными функциями УСБ на уровне защиты 2 являются функции, при-
веденные для уровня защиты 1.
Управление технологическим оборудованием оперативный персонал осу-
ществляет с АРМ БПУ.
Предусматриваются резервные индивидуальные средства, обеспечиваю-
щие контроль и дистанционное управление технологическим оборудовани-
ем, достаточным для поддержания работы блока на мощности при отказе
СВБУ, а при невозможности восстановления СВБУ — для останова реактор-
ной и турбинной установок.
Индивидуальное ручное управление используется для включения предуп-
редительных защит реактора в случае отказа автоматики СУЗ, для управле-
ния стопорно-регулирующими клапанами турбины.
В основе информационного обеспечения оперативного персонала лежат
обобщенная информация о состоянии технологического процесса и безопас-
ности блока, видеокадры и протоколы событий.
Управление при проектных авариях. Безопасность при возникновении про-
ектных аварий обеспечивается техническими средствами УСБ, предусмотрен-
ными для аварийного останова реактора и управления системами безопасно-
сти. Данные технические средства обеспечивают надежное прекращение
основного технологического процесса, поддержание реактора в подкритичес-
ком состоянии, отвод тепла от реактора, обеспечение эффективности барьеров
за счет ослабления воздействий в результате применения систем безопасности.
Безопасность на уровне защиты 3 обеспечивается соблюдением следую-
щих условий:
—	наличием у оперативного персонала информационной поддержки, не-
обходимых средств контроля и управления, достаточного времени для реаги-
рования на события и контроля за действиями оперативного персонала по
управлению технологическим процессом;
—	надежным выявлением исходных событий аварий;
—	автоматическим срабатыванием аварийной защиты реактора и запуском
систем безопасности;
—	предотвращением усугубления последствий аварий в результате возмож-
ных отказов, а также перерастания проектных аварий в запроектные;
—	удержанием радиоактивных веществ в пределах, установленныхдля про-
ектной аварии.
Дополнительно к функциям, реализуемым на уровнях защиты 1 и 2, ос-
новными задачами контроля и управления УСБ на уровне защиты 3 являются:
—	аварийный останов реактора;
—	управление защитными, локализующими и обеспечивающими система-
ми безопасности;
142
Гл. 4. Принципы создания АСУ ТП АЭС
—	сигнализация первопричины срабатывания УСБ.
Дистанционное управление исполнительными механизмами систем безо-
пасности возможно после 10—30 мин действия автоматики.
Контроль параметров режима блока, состояния УСБ, положения органов
СУЗ, сигнализация первопричины срабатывания УСБ осуществляется с по-
мощью индивидуальных приборов, табло и индикаторов, расположенных на
пульте и информационной панели СУЗ и на «мозаичных» панелях УСБ.
УСНЭ ВБ и УСНЭ используются, при сохранении ими работоспособнос-
ти, для:
—	контроля параметров режима и состояния безопасности блока;
—	контроля и управления техническими средствами систем нормальной
эксплуатации, участвующими в прекращении технологического процесса и
ограничении воздействия на барьеры, управления средствами обеспечения
жизнедеятельности персонала;
—	обеспечения информационной поддержки оперативного персонала при
всех возможных проектных авариях;
—	регистрации и хранения информации об исходных событиях аварий, па-
раметрах, характеризующих состояние РУ и систем безопасности, действиях
персонала и условиях его жизнедеятельности, параметров, характеризующих
радиационную обстановку.
Индивидуальное ручное управление используется для включения аварий-
ной защиты при отказе автоматического управления. Действия оперативно-
го персонала при этом заключаются в следующем [71]:
—	дублировании действий систем безопасности;
—	прямом инициировании или завершении определенных действий УСБ;
—	возвращении в исходное положение системы защиты после ее функци-
онирования.
Контроль параметров и состояния систем безопасности блока обеспечи-
вается также с помощью АРМ оперативного персонала БПУ и мониторов на
пульте СУЗ.
Поддержка оперативного персонала в анализе аварийной ситуации, про-
гнозировании ее развития, принятии решений по управлению блоком обес-
печивается системой представления параметров безопасности, электронны-
ми аварийными инструкциями, симптомно-ориентированными аварийными
инструкциями.
Управление при запроектных авариях. Запроектная авария — авария, выз-
ванная исходными событиями, не учитываемыми для проектных аварий, или
сопровождающаяся дополнительными по сравнению с проектными авария-
ми отказами систем безопасности или ошибками персонала, которые могут
привести к тяжелым повреждениям или к расплавлению активной зоны.
143
Принципы создания АСУ ТП АЭС
Основная цель управления авариями состоит в восстановлении охлажде-
ния активной зоны, контроле реактивности и поддержании целостности глав-
ного циркуляционного контура и защитной оболочки. Если целостность со-
хранить невозможно, значительную пользу может принести задержка момента
разрушения границ главного циркуляционного контура или защитной оболоч-
ки, уменьшающая последствия выброса. Эта польза состоит в том числе и в
увеличении времени, имеющегося в распоряжении оперативного персонала для
восстановления или дублирования отказавших систем безопасности [62].
Для того чтобы управление авариями было надежным и эффективным, пре-
дусматриваются два типа мер:
—	предотвращающие меры, включающие действия оперативного персо-
нала в ходе развития аварии по изменению хода аварии или прекращению ее
развития для исключения повреждения ТВЭ;
—	ослабляющие меры, включающие действия оперативного персонала по
ослаблению последствий аварии, включая действия по сохранению барьеров
и снижению выбросов радиоактивности в окружающую среду.
Конечной целью управления авариями является достижение долговремен-
ного безопасного устойчивого состояния, в котором может быть обеспечен
отвод остаточных тепловыделений в течение длительного периода времени.
Для эффективного управления авариями оперативному персоналу необ-
ходима надежная информация, включая сведения о состоянии активной зоны
и других систем в условиях аварии. В состав измерительных каналов, с помо-
щью которых можно было бы определить состояние блока и уровень тяжести
аварии, должны входить индикаторы следующих параметров:
—	нейтронного потока;
—	уровня теплоносителя в реакторе;
—	температуры на выходе из активной зоны;
—	температуры теплоносителя в 1-м и 2-м контурах;
—	количества теплоносителя в 1-м и 2-м контурах;
—	давления в 1-м и 2-м контурах;
—	радиационной активности в 1-м и 2-м контурах;
—	давления и температуры в защитной оболочке;
—	концентрации водорода/воздуха/пара;
—	уровня и температуры воды в приямке;
—	температуры стенок защитной оболочки;
—	состояния оборудования систем безопасности.
Оперативному персоналу БПУ предоставляется система оперативной ин-
формационной поддержки, предназначенная для контроля, анализа и про-
гноза состояний реакторной установки и блока, а также для оценки правиль-
ности действий, предпринятых оператором.
144
Гл. 4. Принципы создания АСУ ТП АЭС
Прекращение основного технологического процесса, защита барьеров и
обеспечение жизнедеятельности персонала должны быть достигнуты любы-
ми доступными техническими средствами, а также дополнительными техни-
ческими средствами, предназначенными для поддержания условий жизнеде-
ятельности оперативного персонала и защиты герметичных ограждений от
воздействий, определяемых в том числе и возможным разрушением осталь-
ных барьеров.
ГЛАВА 5. АРХИТЕКТУРА АСУ ТП АЭС
5.1. Требования к архитектуре АСУ ТП АЭС
Общие требования. Требования к архитектуре АСУ ТП АЭС сформулиро-
ваны на основе требований российских и зарубежных нормативных докумен-
тов, а также с учетом опыта создания АСУ ТП АЭС, изложенного в главе 2.
При разработке архитектуры АСУ ТП АЭС за основу принимаются сле-
дующие положения:
1. В части проектных подходов к созданию АСУ ТП
АСУ ТП АЭС должна разрабатываться как распределенная с централизо-
ванным управлением система, обладающая высокой надежностью, обеспе-
чивающая контроль технического состояния и диагностику систем и техни-
ческого оборудования АЭС, представление и документирование информации
о параметрах, характеризующих работу АЭС во всем диапазоне условий экс-
плуатации, а также автоматизированное и/или автоматическое управление
системами и технологическим оборудованием [28].
АСУ ТП АЭС должна создаваться как интегрированная вычислительная
система, состоящая из отдельных связанных между собой или автономных под-
систем, охватывающих информационно-измерительными, управляющими и
контролирующими функциями все технологические системы, здания и соору-
жения АЭС. В состав АСУ ТП АЭС должны входить также системы диагности-
ки основного технологического оборудования, предназначенные для обеспе-
чения персонала диагностической информацией о состоянии оборудования.
АСУ ТП должна обеспечивать контроль, представление и документирова-
ние информации о параметрах, характеризующих реакторную установку и
АЭС в целом во всех возможных диапазонах изменения условий ее нормаль-
ной эксплуатации [49].
2. В части обеспечения безопасности АЭС
Система в целом и ее технические средства должны проектироваться та-
ким образом, чтобы при возникновении единичных отказов в системе, в тех-
нических и программно-аппаратных средствах блочного уровня управления
система автоматически деградировала с сохранением независимого функци-
онирования основных подсистем управления без снижения уровня безопас-
ности эксплуатации энергоблока.
146
Гл. 5. Архитектура АСУ ТП АЭС
Архитектура АСУ ТП должна охватывать все аспекты контроля и управле-
ния АЭС с выделением функций, важных для безопасности [105].
Эксплуатационные качества подсистем АСУ ТП, относящиеся, главным
образом, к точности, времени реагирования и производительности, должны
отвечать требованиям к рабочим характеристикам в отношении безопаснос-
ти и функций, не относящихся к обеспечению безопасности, с учетом опыта
нормальной эксплуатации и анализа инцидентов/аварий на АЭС.
В проекте архитектуры АСУ ТП должен быть определен интерфейс с обо-
рудованием АЭС и взаимосвязи между системами АСУ ТП, чтобы установить
следующие параметры [105]:
—	распределение сигналов (измерений) по различным функциям, важным
для безопасности;
—	выбор и приоритетность управляющих сигналов различных систем;
—	пути прохождения сигналов и оборудование, которое является общим
для выполнения автоматических функций или ручного управления на раз-
личных уровнях глубоко эшелонированной защиты.
3.	В части структуры АСУ ТП АЭС
В архитектуре АСУ ТП АЭС должны быть выделены два уровня контроля
и управления: АСУ ТП общестанционного уровня и АСУ ТП энергоблока.
Все функции контроля и управления технологическим процессом энер-
гоблока АЭС и функции, важные для систем безопасности, должны решаться
АСУ ТП энергоблока.
Функции контроля и управления, которые не имеют прямого отношения
к управлению энергоблоком, а также задачи по обобщению деятельности АЭС
и связи с объектами вне АЭС должны решаться АСУ ТП общестанционного
уровня.
Взаимодействие АСУ ТП энергоблока и АСУ ТП общестанционного уров-
ня должно быть обеспечено стандартными средствами ЛВС с применением
современных сетевых решений.
Протоколы обмена должны исключать возможность вмешательства со сто-
роны АСУ ТП общестанционного уровня в технологический процесс АЭС,
контролируемый АСУ ТП энергоблока.
4.	В части возможности модернизации и развития АСУ ТП АЭС
Для проведения модернизации и доработки АСУ ТП должны быть пре-
дусмотрены достаточные возможности, обоснованные анализом предпола-
гаемой необходимости модификации доработки. При этом должны рассмат-
риваться:
—	площади в помещениях электронного оборудования и шкафов;
—	терминалы для возможного подсоединения будущего оборудования
АСУТП;
147
Принципы создания АСУ ТП АЭС
—	потенциальные возможности памяти и обработки данных в компьюте-
ризированных системах;
—	возможности передачи данных.
Минимальные параметры резервирования следующие:
—	для модулей измерения, управления приводами и дискретных входов —
20% резерва;
—	резерв памяти и резерв для обработки данных программными средства-
ми системы АСУ ТП — 30% резерва;
—	для передачи данных и добавления новых интерфейсов передачи дан-
ных — 30%;
—	для хранения данных и обработки информации или эквивалентной воз-
можности для расширения — 100% резерва.
Резервирование должно предусматриваться и в направлении введения ре-
зервных аппаратных средств на случай, когда программные компоненты не
могут достичь необходимой степени надежности.
Надежность вычислительных систем, используемых в АСУ ТП, должна со-
ответствовать критериям надежности для соответствующей категории выпол-
няемых функций.
Требования к АСУ ТП общестанционного уровня. АСУ ТП общестанцион-
ного уровня должна удовлетворять следующим требованиям:
ПТС общестанционного уровня должны обеспечивать решение задач не-
прерывного и эпизодического характера.
Для решения задач непрерывного действия в рамках АСУ ТП общестанцион-
ного уровня должна обеспечиваться круглосуточная работа соответствующих ПТС.
Для организации базы данных АЭС, содержащей важную для эксплуата-
ции информацию, в АСУ ТП общестанционного уровня должны применять-
ся отказоустойчивые решения.
АСУ ТП общестанционного уровня должна обеспечивать доступ АСУ ТП
энергоблока к информации, необходимой для работы АСУТП блочного уровня.
АСУ ТП общестанционного уровня должна предусматривать средства для
передачи информации в центр кризисных ситуаций.
ПТС, используемые в АСУ ТП общестанционного уровня, должны быть
от производителей, имеющих высокий уровень качества производства, и иметь
сертификат на использование на АЭС.
Для повышения надежности выполнения основных функций АСУ ТП об-
щестанционного уровня в структуре ее вычислительной системы должен при-
меняться принцип резервирования.
Требования к АСУ ТП энергоблока. При разработке архитектуры АСУ ТП
энергоблока дополнительно к требованиям, предъявляемым к АСУ ТП АЭС,
принимаются следующие положения:
148
Гл. 5. Архитектура АСУ ТП АЭС
1.	В части подходов к проектированию АСУ ТП энергоблока
Архитектура АСУ ТП, то есть организация систем АСУ ТП, должна отра-
жать политику эшелонированной защиты и в то же время достигать необхо-
димой независимости между различными установленными линиями защиты.
Архитектура АСУ ТП должна строиться на основе простых и открытых
проектных решений, быть оптимальной для выполнения функций, важных
для безопасности, и не допускать перекрестных связей между каналами безо-
пасности.
Разработка управляющих систем нормальной эксплуатации, управляющих
систем нормальной эксплуатации, важных для безопасности, и управляющих
систем безопасности должна выполняться с учетом задач и приоритетов, ре-
шаемых на определенных «уровнях» глубоко эшелонированной защиты [49].
Проект архитектуры АСУ ТП должен оптимизировать распределение фун-
кций между управляющими системами в соответствии с их важностью с точ-
ки зрения обеспечения безопасности и готовности, чтобы:
—	избежать, по возможности, назначения функций более низкого уровня для
выполнения системами и оборудованием более высокого уровня безопасности;
—	минимизировать связи между подсистемами.
Проект архитектуры УСБ должен предусматривать меры по предотвраще-
нию отказов по общей причине и включать в себя анализ эффективности мер,
выполняемых для борьбы с потенциальными отказами по общей причине.
АСУ ТП должна создаваться на базе согласованной системы программно-
технических средств, которые реализуют выполнение всех функций, важных
для безопасности, и функций нормальной эксплуатации энергоблока.
Программное обеспечение АСУ ТП должно разрабатываться в соответ-
ствии с требованиями IEC 60880 [100], IEC 60880-2 [101].
Архитектура каждой подсистемы АСУ ТП должна удовлетворять требова-
ниям к надежности, предъявляемым к системам соответствующего ей класса.
Дополнительно к подсистемам контроля и управления технологическим
процессом и системами безопасности АСУТП энергоблока должна включать:
— автоматизированную систему индивидуального дозиметрического кон-
троля и радиационного контроля, включая контроль радиоэкологической об-
становки санитарной зоны АЭС;
—	систему обнаружения пожара и автоматической противопожарной за-
щиты;
—	систему регистрации важных параметров эксплуатации энергоблока.
В архитектуре АСУ ТП энергоблока должна быть предусмотрена система
верхнего блочного уровня, реализующая человеко-машинный интерфейс для
централизованного контроля и управления технологическими процессами
энергоблока.
149
Принципы создания АСУ ТП АЭС
Средствами СВБУ должен быть обеспечен мониторинг процессов, вклю-
чая важные для безопасности, в нормальных и аварийных режимах энерго-
блока.
Архитектура СВБУ должна предусматривать резервирование средств свя-
зи и человеко-машинного интерфейса с целью надежного выполнения функ-
ций контроля и управления.
В составе СВБУ должен быть центр обслуживания АСУ ТП для обеспече-
ния всех функций, необходимых для технического обслуживания, доступа к
документации по АСУ ТП и проведения периодических испытаний, которые
не влияют на технологический процесс.
2.	В части обеспечения безопасности энергоблока
Все компоненты архитектуры, выполняющие функции безопасности, дол-
жны быть аттестованы по соответствующему классу.
Классификация подсистем, реализующих функции, важные для безопас-
ности, должна соответствовать классу выполняемых ими функций. При на-
личии признаков нескольких классов подсистеме присваивается наиболее
высокий класс [104].
Подсистемы АСУ ТП должны быть секционированы в соответствии с их
важностью с точки зрения обеспечения безопасности, отвечая требованиям к
стандартизации оборудования.
В АСУ ТП должны обеспечиваться конструктивное, функциональное и
интерфейсное разделение между системами, важными для безопасности, и
системами нормальной эксплуатации.
3.	В части средств регистрации
АСУ ТП должна проектироваться таким образом, чтобы имелась возмож-
ность идентифицировать исходные события аварий, устанавливать фактичес-
кие алгоритмы работы подсистем, отклонения от регламентных алгоритмов
и действия оперативного персонала (включая и видеоинформацию). С этой
целью должна быть предусмотрена подсистема, которая фиксирует:
—	параметры и признаки состояния, характеризующие исходные события,
или параметры, позволяющие однозначно определить исходное событие;
—	управляющие сигналы;
—	параметры безопасности, состояние критических функций безопасности;
—	изменение параметров, значения которых находятся за пределами ус-
тавок;
—	изменение параметров, характеризующих состояние систем реакторной
установки, радиационную обстановку, и параметров, по которым предусмат-
ривается введение в действие защит.
Объем и интенсивность регистрации должны быть обоснованы и при-
ведены в техническом проекте. Средства регистрации должны сохранять
150
Гл. 5. Архитектура АСУ ТП АЭС
работоспособность и обеспечивать сохранение информации в условиях про-
ектных и запроектных аварий.
5.2.	Классификация подсистем АСУ ТП по отношению к безопасности
и сейсмическим воздействиям
В соответствии с ОПБ-88/97 [49], подсистемы и компоненты АСУ ТП
АЭС должны быть классифицированы по отношению к безопасности (клас-
сы 2, 3, 4).
Если какая-либо система содержит признаки разных классов, то она дол-
жна быть отнесена к более высокому классу.
К классу безопасности 2 относятся ПТС и подсистемы управляющих сис-
тем, важных для безопасности, отказы которых приводят к невыполнению
соответствующими системами безопасности своих функций.
К классу безопасности 3 относятся ПТС и подсистемы управляющих сис-
тем, важных для безопасности, не вошедшие в класс 2.
К классу безопасности 4 относятся ПТС и подсистемы АСУ ТП энерго-
блока, отказы которых не влияют на безопасность АЭС.
Классификационное обозначение дополняется следующими символами,
отражающими назначение элемента:
Н — элемент нормальной эксплуатации;
У - элемент управляющей системы безопасности.
Классификация подсистем АСУ ТП по отношению к безопасности и сей-
смостойкости приведена в табл. 5.1.
Все системы и оборудование АСУ ТП должны быть классифицированы на
три категории сейсмостойкости с учетом их класса безопасности [47] (табл. 5.1).
К I категории сейсмостойкости относятся:
-	системы безопасности;
-	системы нормальной эксплуатации и их элементы, отказ которых при
сейсмических воздействиях до максимального расчетного землетрясения
(MP3) включительно может привести к выходу радиоактивных веществ в про-
изводственные помещения и окружающую среду в количествах, превышаю-
щих значения, установленные в [48];
-	оборудование и его элементы, механическое повреждение которых при
сейсмических воздействиях до MP3 включительно может привести к их отка-
зу в работе путем силового или температурного воздействия на них.
Ко II категории сейсмостойкости относятся системы и оборудование АСУ
ТП (не входящие в категорию I), нарушение работы которых может повлечь
перерыв в выработке электроэнергии и тепла, а также системы и оборудова-
ние класса безопасности 3, не вошедшие в I категорию сейсмостойкости.
151
Принципы создания АСУ ТП АЭС
Таблица 5.1
Классификация АСУ ТП по безопасности и сейсмостойкости
Наименование системы	Классификация	
	по безопас- ности ОПБ-88/97	по сейсмостой- кости НП-031-01
Подсистемы АСУ ТП, важные для безопасности		
Аварийная защита реакторной установки	2У	I
Система запуска технических средств безопасности	2У	I
Исполнительная часть АЗ-ПЗ электрооборудования СУЗ	2У	I
Обеспечение функций: предупредительной защиты, ограничения мощности реакторной установки	зн	II
Система контроля, управления и диагностики РУ	ЗН, ЗУ	II
Система группового и индивидуального управления регулирующими органами	зн	II
Аппаратура индустриальной антисейсмической за- щиты	2У	I
Основные регуляторы энергоблока (регулирование мощности, давления и т.д.)	ЗН	I
Автоматизированная система радиационного кон- троля	зн	II
Система послеаварийного мониторинга	2У	I/O
Система контроля и управления противопожарной защитой	ЗН	I/II
Система контроля и диагностики ГЦН	зн	II
Управляющие системы нормальной эксплуатации		
Контроль и управление технологическим процессом:		
Система оперативного управления и мониторинга технологического процесса (уровень управления про- цессом)	4Н	II
Управляющие системы нормальной эксплуатации	ЗН/4Н	II
СКУ турбины	4Н	II
Система общестанционного мониторинга	4Н	III
Информационные системы и системы контроля и диагностики:		
Система технического контроля генератора (СТКГ)	4Н	III
Автоматизированная система химического контро- ля	ЗН/4Н	II
Система вибродиагностики турбины	4Н	II
152
Гл. 5. Архитектура АСУ ТП АЭС
Kill категории сейсмостойкости относятся все системы и оборудование
АСУТП, не входящие в I и II категории сейсмостойкости.
Системы и оборудование АСУ ТП I категории сейсмостойкости должны
сохранять способность выполнять функции, связанные с обеспечением бе-
зопасности АЭС во время и после землетрясения интенсивностью до MP3
включительно и сохранять работоспособность при землетрясении интенсив-
ностью до проектного землетрясения включительно и после него.
Системы и оборудование СКУ II категории сейсмостойкости должны со-
хранять работоспособность после землетрясения интенсивностью до проек-
тного землетрясения.
5.3.	Архитектура АСУ ТП АЭС
Исходя из требований, приведенных в разделе.5.1, при организации АСУ
ТП АЭС примем за основу следующие положения:
1.	АСУ ТП АЭС объединяет АСУ ТП общестанционной части и АСУ ТП
энергоблоков.
2.	АСУ ТП создается как открытая, распределенная, интегрированная вы-
числительная система.
3.	Подсистемы АСУ ТП секционированы в соответствии с их важностью с
точки зрения безопасности.
4.	АСУ ТП АЭС создается на базе унифицированных программно-техни-
ческих средств.
5.	В основе организации блочного пункта управления лежат компьютери-
зированные рабочие места оперативного персонала.
Архитектура АСУ ТП общестанционного уровня. Объектом управления АСУ
ТП являются технологические системы, расположенные в обшестанционных
сооружениях основного и вспомогательного производственного назначения.
Состав таких систем приведем на примере АЭС с ВВЭР-640.
Общестанционные здания и сооружения зоны «строгого» режима:
—	спецкорпус;
—	лабораторно-бытовой корпус.
Общестанционные здания и сооружения зоны «свободного» режима:
—	комплекс сооружений открытого распредустройства;
—	компрессорная для генераторных выключателей энергоблоков с уста-
новкой ресиверов;
—	здание общестанционных вспомогательных служб, включающее комп-
лекс водоподготовки и газового хозяйства, теплоцентр, вспомогательный кор-
пус и теплую стоянку спецтранспорта;
—	комплекс контроля воды конденсатоочистки;
153
Принципы создания АСУ ТП АЭС
—	административный корпус;
—	столовая;
—	масло-дизельное хозяйство;
—	пожарное депо;
—	комплекс сооружений водопровода;
—	комплекс сооружений канализации;
—	комплекс сооружений технического водоснабжения и ряд других соору-
жений.
К станционному оперативному персоналу относятся:
—	начальник смены станции;
—	инженер-технолог по эксплуатации технологической части АЭС;
—	оператор-технолог по водоподготовке;
—	инженер-технолог по эксплуатации электрической части АЭС;
—	начальник смены радиационной безопасности АЭС.
К оперативным пунктам управления общестанционного уровня относятся:
—	рабочее место начальника смены АЭС;
—	щит управления общестанционными системами (ЩОС);
—	центральный щит управления электрической частью станции (ЦЩУ);
—	щит водоподготовки;
—	центральный щит радиационного контроля (ЦЩРК).
На общестанционном уровне предусмотрен противоаварийный центр уп-
равления, предназначенный для руководства противоаварийными действия-
ми на станции и для обеспечения связи с противоаварийной организацией
вне площадки АЭС.
На общестанционном уровне обеспечивается оперативная связь с автома-
тизированной системой диспетчерского управления (АСДУ) энергосистемой.
Рабочие места оперативного и неоперативного персонала оснащены со-
ответствующими АРМ. На рабочих местах неоперативного персонала фор-
мируются запросы на передачу технологической, эксплуатационной и нор-
мативной информации из АСУ ТП АЭС. Запросы информации передаются
по назначению вне режима реального времени.
АСУ ТП общестанционной части АЭС реализует информационные, уп-
равляющие и системные функции.
В качестве примера приведем функции АСУ ТП, реализуемые на рабочем
месте начальника смены станции:
1)	функции представления информации:
—	индикация обобщенной и предметной информации о текущем состоя-
нии технологического процесса на блоках;
—	индикация обобщенной информации о состоянии безопасности блоков
(критические функции безопасности, параметры безопасности);
154
Гл. 5. Архитектура АСУ ТП АЭС
—	индикация информации о радиационной обстановке на АЭС и блоках;
-	индикация информации о состоянии главной схемы распределительного
устройства;
-	индикация информации о наличии в должном количестве различных сред,
в том числе «чистого» конденсата, раствора борной кислоты, азота и др.;
-	представление расчетной, справочной и т.п. информации;
—	ведение оперативной и отчетной документации;
2)	функции сообщений и сигнализации:
- сигнализация:
•	о достижении значений параметров технологического процесса уста-
вок, соответствующих эксплуатационным пределам блоков;
•	о нарушении эксплуатационных пределов блоков;
•	о достижении параметров уставок пределов безопасной эксплуатации
блоков;
•	о нарушении пределов и условий безопасной эксплуатации блоков;
•	об отказах УСНЭ, УСНЭ ВБ и УСБ блоков;
•	об отказах средств электроснабжения блоков;
•	о пожарной обстановке на блоках и АЭС;
•	о состоянии УСБ блоков;
•	о срабатывании УСБ блоков;
•	о радиационной обстановке на блоках и АЭС;
•	о достижении значений параметров технологического процесса обще-
станционных систем аварийных уставок;
- сообщения:
•	индикация на экранах дисплеев обобщенных аварийных сообщений;
•	представление на экранах дисплеев протоколов сообщений.
В состав программно-технических средств АСУ ТП входят АРМ оператив-
ного, ремонтного и административного персонала, серверы, локальная вы-
числительная сеть общестанционного уровня со средствами связи с управля-
ющими системами общестанционных технологических установок, АСУ ТП
блоков и АСРК.
Резервированная ЛВС общестанционного уровня информационно связа-
на с СВБУ блоков. В качестве сетевых средств принята терминальная шинная
система, использующая протокол по стандарту IEEE 802.3 (Ethernet). Ско-
рость передачи данных по терминальной шине составляет 10 Мбит/с.
Архитектура АСУ ТП общестанционной части приведена на рис. 5.1.
Архитектура АСУ ТП энергоблока. АСУ ТП энергоблока объединяет в сво-
ем составе систему верхнего блочного уровня, управляющие системы, важ-
ные для безопасности, управляющие системы нормальной эксплуатации, пун-
кты управления энергоблоком и местные посты управления.
155
Принципы создания АСУ ТП АЭС
Рис. 5.1. Архитектура АСУ ТП АЭС
В состав пунктов управления энергоблоком входят блочный пункт управ-
ления, резервный пункт управления, блочный щит радиационного контроля
(БЩРК), центр технической поддержки (ЦТП).
Оперативный персонал БПУ осуществляет управление технологическим
оборудованием систем нормальной эксплуатации и систем безопасности при
нормальной эксплуатации и нарушениях нормальной эксплуатации, вклю-
чая аварии.
При невозможности пребывания оперативного персонала на БПУ управле-
ние системами безопасности, перевод реактора в подкритическое состояние,
156
Гл. 5. Архитектура АСУ ТП АЭС
удержание реактора в подкритическом состоянии, отвод тепла от реактора и
контроль состояния реакторной установки осуществляются с РПУ.
БЩРК предназначен для обеспечения:
-	радиационного технологического контроля АЭС;
-	контроля радиационной обстановки на энергоблоке;
-	индивидуального дозиметрического контроля;
-	контроля радиоактивных загрязнений;
—	управления режимом работы средств измерений;
—	управления исполнительными механизмами АСРК.
Центр технической поддержки предназначен для оказания научно-техни-
ческой поддержки оперативному персоналу аварийного энергоблока при уп-
равлении авариями.
Архитектура АСУ ТП энергоблока представлена следующими уровнями
иерархии:
-	уровень информации и управления (система верхнего блочного уров-
ня);
-	уровень автоматизации (защиты, блокировки, программно-логическое
управление, регуляторы);
-	уровень связи с технологическим объектом управления (датчики и ис-
полнительные механизмы).
Организация системы верхнего блочного уровня. СВБУ выполняет инфор-
мационные, управляющие и системные функции.
К информационным функциям относятся:
—	сбор информации от ПТК нижнего уровня, систем диагностики, ее ре-
гистрация и архивирование;
-	оперативное отображение информации о технологическом процессе и
состоянии безопасности энергоблока;
—	функции сигнализации;
-	вычисление и отображение интегральных характеристик;
—	расчет вычисляемых параметров режима;
—	формирование протоколов;
—	расчет технико-экономических показателей, ресурса технологического
оборудования и т.д. для долгосрочных оценок и планирования производства
электроэнергии;
—	ведение баз данных.
Информационные функции должны обеспечивать оперативный персонал
энергоблока и персонал, выполняющий свои функции с использованием АСУ
ТП, данными в достаточном объеме для качественного контроля за состоя-
нием технологического процесса и безопасности энергоблока и принятия ре-
шения по управлению во всех проектных состояниях энергоблока.
157
Принципы создания АСУ ТП АЭС
К управляющим функциям СВБУ относятся:
—	обеспечение автоматизированного управления оборудованием энерго-
блока с использованием АРМ оперативного персонала и индивидуальных
средств контроля и управления;
—	обеспечение автоматизированной настройки параметров алгоритмов
управления и регуляторов с использованием АРМ оперативного персонала и
индивидуальных средств контроля и управления.
Функции управления должны соответствовать уровню автоматизации АСУ
ТП и определяться концепцией управления АЭС.
К системным функциям относятся:
—	поддержка коммуникаций;
—	обеспечение непрерывной отказоустойчивой работы подсистем и ком-
плекса в целом;
—	ведение единого времени.
Временные характеристики информационных функций и функций управ-
ления регламентируются исходя из требований к контролю и управлению
соответствующими технологическими процессами.
Требования к комплексу ПТС системы верхнего блочного уровня. Комплекс
программно-технических средств СВБУ (КПТС СВБУ) должен представлять
собой набор средств вычислительной техники, коммуникационных средств
и программного обеспечения, предназначенный для построения верхнего
уровня АСУ ТП энергоблока. КПТС СВБУ должен обеспечивать реализацию
человеко-машинного интерфейса АСУ ТП энергоблока в соответствии с кон-
цепцией управления энергоблоком.
КПТС СВБУ должен включать в себя:
—	АРМ оперативного и обслуживающего персонала блочного уровня АСУ
ТП со средствами обработки информации, визуализации и управления;
—	средства информационной поддержки оперативного персонала;
—	средства, обеспечивающие накопление и хранение информации, а так-
же решение вычислительных задач, требующих большой вычислительной
мощности;
—	сетевые ПТС блочного уровня, обеспечивающие подключение АРМ опе-
ративного персонала, экрана коллективного пользования, серверов, принте-
ров, а также обмен информацией с ПТС станционного уровня;
—	средства связи с уровнем автоматизации АСУ ТП, обеспечивающие при-
ем и накопление информации о состоянии ТОУ, выдачу команд управления
исполнительными механизмами на нижний уровень АСУ ТП энергоблока.
К ПТС рабочих мест относятся вычислительные средства, средства ото-
бражения информации, средства получения твердых копий, средства ввода
команд управления технологическим процессом.
158
Гл. 5. Архитектура АСУ ТП АЭС
Отображение информации должно выполняться на мониторах и экранах
коллективного пользования.
В состав средств получения твердых копий должны входить устройства
печати текстовых данных в режиме on-line и устройства печати графической
информации.
Вычислительные средства и средства связи рабочих мест должны быть ре-
ализованы на основе современных апробированных программно-техничес-
ких средств.
Структура комплекса программно-технических средств СВБУ должна
обеспечивать независимое функционирование подсистем АСУ ТП и обмен
информацией между ними на основе стандартных протоколов.
Вычислительные средства, обеспечивающие обработку, накопление и хра-
нение оперативной информации о состоянии ТОУ, должны обеспечивать по-
строение дублированных (резервированных) комплексов.
Вычислительные средства АРМ оперативного персонала должны обеспе-
чивать функциональное резервирование (выполнение функций одного АРМ
на вычислительных средствах других АРМ).
Вычислительные средства, входящие в состав верхнего уровня, должны
быть сейсмостойкими при сейсмовоздействиях до проектного землетрясения
включительно в соответствии с документом «Средства вычислительной тех-
ники. Общие технические требования».
Вычислительные средства СВБУ должны быть сертифицированы для ис-
пользования операционных систем, устанавливаемых в АСУ ТП.
Информация о состоянии ТОУ должна, в основном, передаваться адрес-
ными сообщениями с подтверждениями приема. Для передачи системной ин-
формации (например, сигналы единого времени) может использоваться ши-
роковещательный режим.
В качестве сетевых средств должны использоваться средства, обеспечива-
ющие построение стандартных вычислительных сетей.
К сетевым средствам СВБУ относятся сетевые шины, реализующие среду
передачи информации, средства подключения абонентов к сети (адаптеры),
средства объединения однородных сетей (повторители) и разнородных сетей
(мосты, шлюзы), средства сегментирования сетей (маршрутизаторы, концен-
траторы).
Пропускная способность сети должна выбираться исходя из условия обес-
печения не более 30% загрузки сети при аварийных процессах.
Сетевые средства СВБУ должны обеспечивать построение независимых
сетевых сегментов (подсистем СВБУ) и взаимодействие между вычислитель-
ными элементами различных сегментов как посредством шлюзов, так и пря-
мым соединением типа точка-точка.
159
Принципы создания АСУ ТП АЭС
Сетевые средства должны обеспечивать отказоустойчивые архитектурные
сетевые решения и автоматическую реконфигурацию сетевых соединений при
отказах сетевых элементов.
В качестве активных сетевых устройств, на основе которых строятся сете-
вые решения, должны использоваться сетевые коммутаторы и маршрутиза-
торы.
Для взаимодействия СВБУ с внешними сетями должны использоваться
маршрутизаторы.
Комплекс сетевых средств верхнего уровня должен выполнять функцию
передачи информации при отключении или выходе из строя части абонентов
сети.
Активные сетевые средства должны иметь встроенную диагностику для
обеспечения анализа загрузки сети и определения отказов сетевого оборудо-
вания.
Сетевые ПТС управляющих систем безопасности должны быть физичес-
ки отделены от сетевых ПТС других систем управления и иметь самостоя-
тельное сопряжение с ПТС СВБУ.
Архитектура СВБУ. С учетом российского и зарубежного опыта за основу
принимается архитектура СВБУ в составе:
—	локальной вычислительной сети блочного уровня;
—	сегмента локальной вычислительной сети управляющей системы безо-
пасности (ЛВС УСБ);
—	сегмента локальной вычислительной сети управляющих систем нормаль-
ной эксплуатации, важных для безопасности, относящихся к реакторному
отделению (ЛВС УСНЭ ВБ);
—	сегмента локальной вычислительной сети управляющих систем нормаль-
ной эксплуатации, важных для безопасности, не относящихся к реакторному
отделению — СКУ ПЗ, СКУ спецводоочистки и др. (ЛВС УСНЭ ВБ);
—	сегмента локальной вычислительной сети управляющих систем нормаль-
ной эксплуатации — СКУ турбинного отделения и др. (ЛВС УСНЭ).
Архитектура СВБУ приведена на рис. 5.1. ЛВС уровня блока обслуживает
АРМ оперативного персонала БПУ, РПУ, АРМ центра технической поддерж-
ки, экран коллективного пользования, сервер, связи с сегментами Л ВС энер-
гоблока и с общестанционным уровнем АСУ ТП.
Структура СВБУ обеспечивает независимое функционирование подсис-
тем СВБУ и обмен информацией между ними на основе стандартных прото-
колов.
Для создания ЛВС общестанционного уровня и СВБУ используются ПТС
разработки Научно-исследовательского института измерительных систем, г.
Нижний Новгород. В состав ПТС входят [53]:
160
Гл. 5. Архитектура АСУ ТП АЭС
—	рабочая станция — двухдисплейная РС-2;
—	устройство серверное унифицированное УСУ;
—	устройство телекоммуникационное УТК;
—	архиватор с тайм-сервером АТС-1;
—	устройство документирования событий УДС;
—	системное и тестовое программное обеспечение;
—	комплект волоконно-оптических линий связи.
Рабочая станция предназначена для организации АРМ оперативного пер-
сонала. Основой рабочих станций являются системные блоки в промышлен-
ном стандарте Compact PCI; тип процессора — Intel Pentium III, тип монито-
ра — LCD с размером по диагонали не менее 20 дюймов.
Устройство серверное унифицированное УСУ предназначено для объеди-
нения взаимосвязанных элементов (узлов), обеспечивающих выполнение
функций сервера, в функционально законченном конструктиве, удовлетво-
ряющем требованиям к внешним воздействующим факторам.
Системный блок УСУ предназначен для обработки и обмена данными.
Системный блок представляет собой объединенные в двухмашинный клас-
тер два независимых одноплатных компьютера. Модуль процессора УСУ-1 —
базовый одноплатный компьютер С2Р4, используемый как в двухмашинной,
так и в одномашинной конфигурации, является симметричным мультипро-
цессором, построенным на основе микропроцессоров Intel Pentium III с ра-
бочей частотой 550—733 МГц.
Устройство телекоммуникационное УТК предназначено для размещения
аппаратуры коммутационных информационных узлов ЛВС СВБУ.
Архиватор с тайм-сервером АТС-1 предназначен для:
—	записи, долговременного хранения и считывания архивированных дан-
ных абонентов сети СВБУ;
—	приема сигналов точного времени со спутниковой системы позицио-
нирования (GPS) и синхронизации абонентов ЛВС СВБУ по протоколу NTP.
Модуль синхронизации АТС-1 является источником единого времени в
сети Ethernet СВБУ в соответствии с протоколом NTP и имеет точность син-
хронизации не хуже 10 мс.
Устройство документирования событий предназначено для документиро-
вания данных (протоколов, отчетов) абонентов ЛВС СВБУ.
Организация уровня автоматизации. Архитектура нижнего уровня представ-
ляет собой распределенную вычислительную систему, содержащую ПТК уп-
равляющих систем реакторного, турбинного и вспомогательного отделений,
ПТК управляющей системы электрической части собственных нужд энер-
гоблока, СКУ ППЗ, СИАЗ и др. Целью разделения на ПТК является дости-
жение рационального построения оборудования и программного обеспече-
161
Принципы создания АСУ ТП АЭС
ния управляющих систем, которое отвечает функциональным требованиям,
требованиям к эксплуатационным характеристикам и требованиям к надеж-
ности и ремонтопригодности [5].
Согласно разделению управляющих систем по отношению к безопасности в
структуре нижнего уровня выделяются управляющие системы, важные для безо-
пасности, и управляющие системы нормальной эксплуатации, разрабатываемые
в соответствии с принципами проектирования и концепцией создания АСУ ТП.
На уровне автоматизации структурно организованы автономные системы,
содержащие:
—	ПТК управляющих систем безопасности;
—	ПТК управляющих систем нормальной эксплуатации, важных для бе-
зопасности, относящиеся к реакторному отделению;
—	ПТК управляющих систем нормальной эксплуатации, важных для бе-
зопасности, не вошедшие в состав ПТК УСНЭ ВБ реакторного отделения;
—	ПТК управляющих систем нормальной эксплуатации турбинного отде-
ления;
—	ПТК прочих систем нормальной эксплуатации энергоблока, организо-
ванных по функциональному и/или географическому признаку.
5.4. Архитектура управляющей системы безопасности
Функции УСБ. В составе УСБ интегрированы функции системы управле-
ния и защиты реактора и управляющей системы безопасности по технологи-
ческим параметрам.
СУЗ реактора выполняет следующие функции:
—	контроль плотности нейтронного потока, скорости его изменения, кон-
троль технологических параметров, необходимых для защиты и управления
реактивностью и мощностью РУ;
—	управление реактивностью и мощностью реактора;
—	разгрузка и ограничение мощности реактора;
—	перевод активной зоны реактора в подкритическое состояние и поддер-
жание ее в подкритическом состоянии;
—	защита реактора;
—	сигнализация.
По функциям контроля СУЗ обеспечивает:
—	контроль нейтронно-физических параметров реактора и сравнение их с
заданными значениями уставок;
—	контроль текущих значений технологических параметров РУ в диапазо-
нах, соответствующих всем режимам работы РУ, и сравнение их с заданными
значениями уставок;
162
Гл. 5. Архитектура АСУ ТП АЭС
—	контроль дискретных сигналов о состоянии оборудования;
-	контроль положения органов регулирования реактора;
—	представление в СВБУ и на информационную панель СУЗ значений ней-
тронно-физических и технологических параметров;
-	расчет значений сложных параметров и сравнение их с заданными зна-
чениями уставок.
По функциям управления СУЗ обеспечивает:
-	изменение мощности реактора при пуске, останове, переходе с одного
режима на другой;
—	автоматическое регулирование мощности реактора;
—	управление мощностью реактора и энергораспределением в активной зоне;
-	дистанционное индивидуальное и групповое управление ОР.
По функциям разгрузки и ограничения мощности СУЗ
обеспечивает:
—	разгрузку и ограничение мощности реактора при нарушении эксплуа-
тационных пределов и условий.
По функциям защиты СУЗ обеспечивает:
—	аварийную защиту реактора путем обесточивания всех приводов и па-
дения их под действием собственного веса до крайнего нижнего положения:
•	при достижении уставок аварийной защиты нейтронно-физическими
и технологическими параметрами;
•	при исчезновении напряжения в любом комплекте СУЗ или на шинах
силового электропитания СУЗ;
•	при нажатии кнопок аварийной защиты на БПУ или РПУ, предназна-
ченных для инициирования срабатывания аварийной защиты;
—	выдачу сигналов в УСБТ для аварийной подачи концентрированного
раствора борной кислоты.
По функциям сигнализации СУЗ обеспечивает:
-	сигнализацию состояния СУЗ;
-	сигнализацию срабатывания АЗ—ПЗ;
—	сигнализацию первопричины срабатывания АЗ—ПЗ.
Кроме вышеупомянутых основных функций, СУЗ обеспечивает:
-	выдачу сигналов в другие подсистемы АСУ ТП;
-	диагностику состояния своих технических средств с непрерывным кон-
тролем исправности и представлением оператору информации об отказах.
Классификация функциональных систем СУЗ по отношению к безопас-
ности, согласно ОПБ-88/97 [49], приведена в табл. 5.2.
Система автоматического регулирования мощности реактора выполнена
в виде трехканального комплекта, получающего информацию как от своих
первичных преобразователей, так и от комплектов подсистемы аварийной
163
Принципы создания АСУ ТП АЭС
защиты (по нейтронно-физическим параметрам) через средства гальваничес-
кого разделения.	„
Таблица 5.2
Классификация оборудования СУЗ
Функция оборудования	Классификационное обозначение
Аварийная защита	2У
Предупредительная защита (включая разгрузку и ограничение мощности)	зн
Автоматическое регулирование мощности реактора;	зн
Групповое и индивидуальное управление ОР	зн
Сбор, представление и выдача информации	зн
Система группового и индивидуального управления выполнена в виде
одного трехканального комплекта, обеспечивающего групповое и индивиду-
альное управление ОР (автоматически по командам ПЗ или АРМР или дис-
танционно по командам оператора), а также контроль и представление ин-
формации о положении ОР.
Первичная обработка сигналов отдатчиков нейтронно-физических пара-
метров осуществляется в аппаратуре контроля нейтронного потока.
УСБТ осуществляет автоматическое управление активными элементами
технологических систем безопасности в следующих аварийных ситуациях:
—	потеря теплоносителя 1-го контура;
—	нарушение теплоотвода со стороны 2-го контура;
—	превышение уставок давления;
—	нарушение целостности герметичной оболочки.
УСБТ выполняет следующие функции в отношении систем безопасности
и систем нормальной эксплуатации, важных для безопасности:
—	контроль;
—	информационные;
—	защита;
—	сигнализация;
—	диагностика.
По функции контроля УСБТ обеспечивает:
—	контроль текущих значений технологических параметров в диапазо-
нах, соответствующих всем режимам работы энергоблока, их предваритель-
ную обработку и сравнение их текущих значений с заданными значениями
уставок;
164
Гл. 5. Архитектура АСУ ТП АЭС
-	расчет значений сложных параметров и сравнение их с заданными зна-
чениями уставок;
-	контроль дискретных сигналов из СУЗ;
-	контроль состояния исполнительных механизмов.
По информационным функциям УСБТ обеспечивает передачу информа-
ции в СВБУ и представление информации на индивидуальных средствах па-
нелей УСБТ на БПУ и РПУ В состав информации входят данные:
-	о контролируемых параметрах;
-	о состоянии ИМ;
-	о нарушении пределов и условий безопасной эксплуатации;
-	о состоянии технических средств;
-	о работоспособности комплектов аппаратуры каналов УСБТ
По функции защиты УСБТ обеспечивает реализацию алгоритмов защиты
при достижении контролируемыми параметрами соответствующих уставок и
формирование команд управления необходимыми исполнительными меха-
низмами, в том числе:
-	отсечения парогенераторов;
-	обеспечения целостности гермооболочки (закрытие локализующей ар-
матуры);
—	аварийного газоудаления (открытие арматуры на линии аварийного га-
зоудаления);
—	аварийной подпитки 1-го контура;
-	включения насосов высокого и низкого давления для подпитки борным
раствором 1-го контура;
-	защиты от превышения давления в 1-м и во 2-м контурах;
-	запуска дизель-генератора и его последовательного нагружения в соот-
ветствии с программой ступенчатого пуска;
-	отключения ГЦН;
—	включения систем, обеспечивающих жизнедеятельность персонала и
поддержание необходимых условий в помещениях электротехнических, ак-
кумуляторных батарей и кабельных помещениях.
По функции диагностики УСБТ обеспечивает:
-	диагностику измерительных трактов, начиная от выхода датчика до мо-
дуля приема информации;
-	диагностику технических средств системы с формированием информа-
ции сообщений об отказах.
Требования к УСБ. При разработке архитектуры УСБ дополнительно к тре-
бованиям, приведенным в настоящей главе, за основу принимаются следую-
щие положения:
/. В части проектных подходов к созданию УСБ
165
Принципы создания АСУ ТП АЭС
Управляющая система безопасности является составной частью АСУ ТП
и должна отвечать требованиям нормативных документов к безопасности.
УСБ должна обеспечивать автоматическое и автоматизированное выпол-
нение функций безопасности, предусмотренное проектом.
Система управления защитными действиями должна:
—	осуществлять задачи, выполняемые в рамках обеспечения защиты, ко-
торые могут оказаться необходимыми при всех режимах нормальной эксплу-
атации;
—	осуществлять задачи, выполняемые в рамках обеспечения защиты при
воздействии условий, которые создаются в результате постулированных ис-
ходных событий;
—	сохранять способность осуществлять необходимые задачи, выполняе-
мые в рамках обеспечения защиты, с учетом единичного отказа;
—	быть спроектирована, собрана и установлена таким образом, чтобы были
обеспечены физическое и функциональное разделение, защита от отказов по
общей причине, а также защита от несанкционированного доступа;
—	располагать возможностями для проведения всесторонних испытаний
и технического обслуживания, для обеспечения выполнения в течение дли-
тельного срока требований, предъявляемых к ее характеристикам во время
эксплуатации.
Система управления защитными действиями должна проектироваться с
таким расчетом, чтобы обеспечивалась высокая функциональная надежность
в соответствии с выполняемыми ею функциями безопасности.
При всех условиях, оговоренных в проекте, система управления защитны-
ми действиями должна быть способна автоматически инициировать те защит-
ные действия, которые требуются для каждого ожидаемого при эксплуата-
ции события или аварийного состояния [93].
Защитная автоматика должна быть спроектирована так, чтобы она могла
контролировать достоверность входящих и выходящих сигналов, равно как и
собственное состояние, и выдавать соответствующие сигналы в случае необ-
ходимости. Самодиагностика защитной автоматики должна быть исчерпы-
вающей и проверенной. После анализа полноты самодиагностики возмож-
ность сбоев аппаратного и программного обеспечения должна быть проверена
по отдельности. Виды отказов программного обеспечения должны быть иден-
тифицированы и проанализированы.
Готовность систем и оборудования АСУ ТП, связанных с обеспечением
функций безопасности, должна проверяться во всех эксплуатационных ре-
жимах.
Ручное включение функций безопасности должно осуществляться с по-
мощью аппаратуры, надежной настолько, насколько это возможно.
166
Гл. 5. Архитектура АСУ ТП АЭС
Система управления защитными действиями должна быть обеспечена на-
дежным энергоснабжением во всех режимах работы АЭС, включая режим пол-
ного обесточивания.
Проектная документация УСБ должна предусматривать меры защиты от
несанкционированного доступа к техническим и программным средствам
УСБ во время эксплуатации [46].
Проектная документация УСБ должна содержать:
-	перечень условий автоматического запуска систем безопасности;
—	результаты расчета и значения показателей надежности функций;
—	анализ последствий отказов;
-	перечень отказов УСБ, при которых предусматривается автоматическое
приведение реакторной установки в состояние, при котором обеспечивается
безопасность блока АЭС;
-	данные о ресурсе управляющих систем и средств автоматизации;
-	проект регламента технического обслуживания, ремонтов, испытаний
на метрологическую пригодность;
-	критерии и оценку предельного состояния средств автоматизации;
-	порядок вывода из работы, испытаний и порядок ввода в работу каналов;
-	требования к количеству и квалификации обслуживающего персонала;
-	требования к номенклатуре, количеству и хранению запасных компо-
нентов;
—	программу и методику испытаний перед вводом УСБ в эксплуатацию.
В проектной документации УСБ должно быть определено время восста-
новления работоспособности каналов УСБ по каждой выполняемой этим ка-
налом функции [46].
При вводе в эксплуатацию каналов управления систем безопасности бло-
ка АЭС должны быть проведены испытания по проверке выполнения кана-
лами функций, установленных в проектной документации [46].
ПТК УСБ должны создаваться на средствах микропроцессорной техники,
аттестованных по классу 2У.
Обеспечение качества при проектировании и изготовлении оборудования
систем 2-го класса безопасности должно подвергаться независимой провер-
ке, при которой оценивается планирование процедур по обеспечению каче-
ства, и разрабатываются необходимые корректирующие действия. Необхо-
димо также планирование процедур по обеспечению качества в процессе
эксплуатации УСБ с учетом пригодности оборудования и используемых тех-
нологий.
2 В части принципов проектирования
С целью защиты от отказа по общей причине проектирование УСБ долж-
но выполняться с учетом принципа разнообразия.
167
Принципы создания АСУ ТП АЭС
Система защиты должна быть отделена от системы регулирования и дру-
гих систем автоматики. Возможная взаимная связь систем защиты и регули-
рования или других систем автоматики не должна снижать безопасность.
Если предусматривается взаимодействие системы безопасности с други-
ми системами, включая системы управления станцией, должны выполняться
следующие требования [93]:
—	оборудование, которое используется для задач, выполняемых в рамках
обеспечения безопасности, а также для других задач, должно классифициро-
ваться как часть системы безопасности;
—	если сигнал, выдаваемый системой безопасности, используется для вы-
полнения функции, не относящейся к системе безопасности, то ни один ве-
роятный отказ вне системы безопасности не должен помешать ей выполнить
предъявляемые к ней требования. В том случае, когда сигнал передается че-
рез разделяющее устройство, это устройство должно классифицироваться как
часть системы безопасности. Отказ разделяющего устройства необходимо
оценить так же, как отказ другого оборудования в системе безопасности.
Система защиты, запускающая систему безопасности, должна функцио-
нировать во время любых ожидаемых при эксплуатации событий и макси-
мальных проектных аварий, а также в случае единичного отказа, даже если
какое-либо устройство, влияющее на функцию безопасности, не функцио-
нирует из-за того, что находится в ремонте или на техобслуживании.
3. В части требований к организации управления
Система защиты должна быть спроектирована таким образом, что любая
операция, выполняемая оператором на щите управления, или любая опера-
ция системы управления не может предотвратить или остановить выполне-
ние функции безопасности, инициированной системой защиты, до тех пор,
пока функция не будет выполнена (быстрый останов реактора, изоляция за-
щитной оболочки), или пока, исходя из параметров режима станции, не бу-
дет ясно, что в защите больше нет необходимости.
УСБ должны быть спроектированы таким образом, чтобы при автомати-
ческом запуске возможность их отключения оперативным персоналом бло-
кировалась в течение 10—30 мин [49].
Команды автоматического управления системами безопасности должны
иметь наивысший приоритет по сравнению со всеми остальными командами
управления [46].
4. В части учета человеческого фактора
При проектировании БПУ должны быть оптимально решены вопросы
взаимодействия системы «человек—машина». Оперативному персоналу дол-
жна представляться однозначная информация о соблюдении пределов и ус-
ловий безопасной эксплуатации АЭС, а также для целей идентификации и
168
Гл. 5. Архитектура АСУ ТП АЭС
диагностики автоматического срабатывания и функционирования систем бе-
зопасности.
Все средства БПУ — управления, визуальной индикации и сигнальные
средства, необходимые для безопасной эксплуатации, останова реактора и
отвода остаточных тепловыделений, должны быть легко доступны операто-
ру [93].
Защитная автоматика должна контролировать функциональные парамет-
ры станции и предоставлять операторам все параметры, необходимые при
ручном управлении защитными действиями.
Персонал БПУ должен иметь соответствующую информацию о режиме
работы защитной автоматики. Должна быть обеспечена возможность про-
верки работоспособности системы защиты во время функционирования
станции.
Организация УСБ. Структурная схема одного канала УСБ, реализованно-
го с учетом принципа разнообразия (ветви А и В), приведена на рис. 5.2. В
структуре УСБ предусмотрены следующие уровни:
—	приема и обработки информации;
—	согласования сигналов срабатывания;
-	приоритетов;
—	управления.
В состав уровня приема и обработки сигналов входят:
—	аппаратура контроля нейтронного потока (АКНП);
—	аппаратура контроля технологических параметров (АКТП), реализую-
щая функции аппаратуры защиты по технологическим параметрам СУЗ и
инициирующей части УСБТ;
—	АЛОС-АЗ, АЛОС-ПЗ — аппаратура логической обработки сигналов.
АКНП предназначена для контроля мощности и периода реактора.
АКНП формирует сигналы превышения установленных значений мощно-
сти и периода, выдает дискретные сигналы в аппаратуру АЛОС-ПЗ, АЛОС-АЗ.
АКТП-1А(1В) формирует аварийные сигналы при отклонении значений
технологических параметров за допустимые пределы и осуществляет пред-
ставление информации о контролируемых параметрах на БПУ и РПУ. Вход-
ной информацией АКТП-1А(1В) являются сигналы от датчиков технологи-
ческих параметров. Выходная информация поступает в АЛОС-АЗ, АЛОС-ПЗ,
АЛОС-УСБТ, АРМР, АРОМ.
АКТП-1 А( 1 В) содержат три комплекта аппаратуры, в каждом АКТП осу-
ществляется голосование «два из трех».
Аппаратура логической обработки сигналов АЛОС-АЗ, АЛОС-ПЗ произ-
водит логическую обработку аварийных сигналов, поступающих из АКНП и
АКТП и основного технологического оборудования (дискретных сигналов от
169
Принципы создания АСУ ТП АЭС
главных циркуляционных насосов, турбогенератора и др.) и формирование
обобщенных сигналов предупредительной защиты (ПЗ, УПЗ) в АЛОС-ПЗ и
сигналов аварийной защиты в АЛОС-АЗ ветвей А и В. В АЛОС осуществляет-
ся голосование «два из трех».
Ветвь А	Ветвь В
Рис. 5.2. Структурная схема канала УСБ
170
Гл. 5. Архитектура АСУ ТП АЭС
В состав уровня согласования входят АЛОС-УСБТ 1 А( 1 В) и устройство со-
гласования сигналов по логике «один из двух». Функции уровня согласования:
-	ввод сигналов срабатывания из АКТП-1А(1В);
-	формирование команды на включение исполнительного механизма;
-	согласование сигналов на включение исполнительного механизма на
выходе АЛОС-УСБТ по логике «один из двух».
АЛОС-УСБТ содержит два вычислительных устройства — «Master» и
«Cheker», которые циклично проводят одинаковые расчеты и сравнение дан-
ных. При различии в результатах расчетов в устройстве голосования включа-
ется защита, и сигнал на выходе отсутствует. Этим самым обеспечивается за-
щита от появления ошибочных сигналов при отказах функциональных
вычислительных устройств.
При совпадении результатов расчетов формируется команда на включе-
ние приводов.
АКТП и АЛОС создаются на базе микропроцессорной техники и сете-
вых модулей, поставляемых различными производителями. При разнооб-
разии оборудования целесообразно предусмотреть и функциональное раз-
нообразие.
В составе уровня приоритетного управления для каждого исполнительно-
го механизма предусмотрен модуль приоритетного управления. Устанавли-
вается следующий приоритет команд управления:
-	аварийная защита реактора;
-	защита по технологическим параметрам;
-	команды оператора, формируемые средствами «мозаики» БПУ;
—	команды оператора, формируемые средствами «мозаики» РПУ.
В состав уровня управления исполнительными механизмами входят:
1.	Аппаратура формирования аварийных команд (АФАК) для приема и
обработки сигналов защиты от АЛОС-ПЗ, АЛОС-АЗ и ключей управления
ПЗ, АЗ, формирования обобщенных сигналов по каждому виду защиты и пе-
редачи их в комплекс электрооборудования СУЗ (панели силового питания
органов регулирования, панели системы группового и индивидуального уп-
равления (СГИУ) органами регулирования СУЗ и другие устройства).
2.	Аппаратура автоматического регулирования мощности реактора (АРМР)
для поддержания мощности реактора в соответствии с мощностью турбоге-
нератора, стабилизации мощности реактора на заданном уровне. В УСБ пре-
дусмотрены два комплекта АРМР.
АРМР выполнена в 3-канальном исполнении на базе унифицированного
микроконтроллерного комплекса. Выходное управляющее воздействие фор-
мируется по выходным сигналам трех каналов как 2 из 3 с помощью внешне-
го устройства.
171
Принципы создания АСУ ТП АЭС
3.	Аппаратура разгрузки и ограничения мощности (АРОМ) для ограни-
чения по максимуму тепловой мощности реактора на уровнях, которые ус-
танавливаются автоматически в зависимости от количества включенных
ГЦН, электропитательных насосов и частоты электропитания ГЦН переме-
щением вниз рабочей группы ОР.
АРОМ выполнена на базе унифицированного микроконтроллерного ком-
плекса.
В АРОМ используются следующие входные сигналы:
—	плотность нейтронного потока;
—	перепад температур на петлях 1-го контура;
—	частота электропитания ГЦН;
—	отключение ГЦН;
—	отключение ПЭН.
В УСБ предусмотрены четыре комплекта АРОМ, в каждом из комплектов
осуществляется голосование «два из трех».
К достоинствам данного варианта УСБ можно отнести:
1)	простоту компоновки системы за счет использования унифицирован-
ного набора сетевых и функциональных модулей;
2)	более широкие возможности в сравнении с УСБ на средствах «жесткой»
логики по обработке, хранению и передаче информации;
3)	наличие инструментальных средств для проектирования УСБ и редак-
тирования алгоритмов в процессе пусконаладочных работ и эксплуатации.
Архитектура системы, содержащей ПТК, выполняющих функции безопас-
ности, приведена на рис. 5.3. В состав системы входят:
—	УСБ каждого канала безопасности;
—	система индустриальной антисейсмической защиты (СИАЗ);
—	система послеаварийного мониторинга PAMS.
СИАЗ предназначена для обеспечения автоматического аварийного оста-
нова реактора при землетрясении с интенсивностью проектного землетрясе-
ния и выше. Для обеспечения необходимой степени надежности СИАЗ про-
ектируется из двух подсистем, каждая из которых состоит из трех
резервированных каналов. СИАЗ классифицируется по отношению к безо-
пасности по классу 2У.
Входные сигналы СИАЗ:
—	диапазон преобразуемых уровней ускорения абсолютных сейсмических
колебательных движений земной поверхности — от 0,02 до 2,0 м/с2;
—	рабочий диапазон частот — от 0,1 до 31,5 Гц.
Система послеаварийного мониторинга PAMS предназначена для предо-
ставления оперативному персоналу информации для оценки состояния бе-
зопасности станции во время развития аварии и после аварии, а также для
172
Гл. 5. Архитектура АСУ ТП АЭС
БПУ	РПУ
Рис. 5.3. Архитектура управляющих систем, важных для безопасности
173
Принципы создания АСУ ТП АЭС
проверки правильности работы систем безопасности. Оборудование систе-
мы, включая датчики, должно выдерживать вероятные условия окружаю-
щей среды (давление, температуру, влажность, и т.д.) и продолжать функ-
ционирование как во время нормальной эксплуатации, так и во время аварии
и после нее.
По отношению к безопасности PAMS классифицируется по классу 2У и
проектируется из двух подсистем. В соответствии с принципом разнообразия
информация на БПУ и РПУ должна быть представлена на индивидуальных
индикаторах и дисплеях.
Для указанных ПТК предусматриваются следующие способы связи с БПУ
и РПУ:
1)	ПТК УСБ:
—	устройства сопряжения и согласования (УСС), содержащие микропро-
цессоры, сетевые модули и модули вывода аналоговых и дискретных данных,
для представления информации на индивидуальных средствах контроля, раз-
мещаемых на пультах-панелях УСБ, информационной панели СУЗ и пульте
СУЗ;
—	непосредственные проводные связи с индивидуальными средствами уп-
равления БПУ, РПУ и модулями приоритетного управления;
—	сетевые связи УСС с сегментом ЛВС «УСБ» для передачи информации
из УСБ в ЛВС блочного уровня.
2)	СИАЗ — информация на индивидуальные средства контроля БПУ и
РПУ, в ЛВС блочного уровня передается так же, как это принято для УСБ.
3)	PAMS — информация на индивидуальные средства контроля и индиви-
дуальные дисплеи этой системы передается по независимым каналам связи с
БПУ и РПУ.
5.5. Архитектура управляющих систем нормальной эксплуатации,
важных для безопасности.
Архитектура управляющих систем нормальной эксплуатации
В состав технологических систем нормальной эксплуатации, важных для
безопасности, входят ПТК технологических систем:
—	главный циркуляционный контур;
—	парогенераторы;
—	главные циркуляционные насосы;
—	система компенсации давления;
—	система организованных и неорганизованных протечек;
—	система охлаждения топлива;
—	система подпитки-продувки 1-го контура;
174
Гл. 5. Архитектура АСУ ТП АЭС
-	система промконтура охлаждения потребителей гермообъема;
-	система очистки теплоносителя и др.;
-	система продувки парогенераторов;
-	система свежего пара;
—	система питательной воды,
а также ПТК систем контроля, управления и диагностики реакторной ус-
тановки.
Общие требования к УСНЭ ВБ. В соответствии с [46] к управляющим сис-
темам нормальной эксплуатации, важным для безопасности, относятся уп-
равляющие системы нормальной эксплуатации, предназначенные для управ-
ления технологическим оборудованием энергоблока, которое обеспечивает
безопасность в условиях нормальной эксплуатации, режимах с отклонения-
ми от нормальной эксплуатации, предаварийных ситуациях и авариях.
Основной задачей УСНЭ ВБ является обеспечение ведения основного тех-
нологического процесса энергоблока совместно с другими подсистемами АСУ
ТП, поддержание параметров, характеризующих состояние технологических
барьеров безопасности в проектных пределах при эксплуатации энергоблока
в режимах, предусмотренных проектом АЭС.
УСНЭ ВБ должна создаваться как интегрированная в АСУ ТП энергобло-
ка система.
ПТК УСНЭ ВБ должны разрабатываться на базе средств микропроцессор-
ной техники, аттестованных по классу 3.
Функциональные и системные модули УСНЭ ВБ должны быть резерви-
рованы. Конкретные требования к резервированию функциональных моду-
лей должны быть уточнены на стадии технического проекта.
По режиму функционирования УСНЭ ВБ относятся к системам непре-
рывного длительного действия.
В соответствии с [46, 94]:
-	УСНЭ ВБ должны осуществлять автоматическое и автоматизированное
управление технологическим оборудованием систем нормальной эксплуата-
ции, важных для безопасности блока АЭС;
-	в УСНЭ ВБ следует предусматривать несколько уровней воздействия на
средства управления технологическими параметрами реакторной установки, по
которым определены пределы безопасной эксплуатации (тепловая мощность,
давление теплоносителя и др.), направленные на возврат контролируемых пара-
метров к нормальным значениям. Эти воздействия должны последовательно
передаваться на исполнение по мере отклонения указанных параметров от за-
данного значения прежде чем УСБ инициирует защитные действия;
-	в УСНЭ ВБ должно предусматриваться автоматизированное опробова-
ние технологических защит и блокировок;
175
Принципы создания АСУ ТП АЭС
—	введенный в действие алгоритм программы действия защиты должен
выполняться до завершения этой программы, независимо от изменений ини-
циирующего условия, вызвавшего ее срабатывание;
—	оперативному персоналу БПУ должна отображаться информация о дей-
ствии и завершении действия каждого вида защиты.
Основы проекта и проектные требования. Проект УСНЭ ВБ необходимо
выполнить так, чтобы системы в совокупности с возможными действиями
оператора могли поддерживать параметры процесса в пределах, принятых в
анализе безопасности.
Цель проекта системы управления должна состоять в сведении к ми-
нимуму:
—	величины и скорости развития вероятных отклонений;
—	частоты возникновения событий, которые вызывают срабатывание си-
стемы управления защитными действиями.
Разделение оборудования УСНЭ ВБ с УСБ должно осуществляться в сле-
дующих местах:
—	соединения между системами безопасности станции и системами уп-
равления станции;
—	соединения с оборудованием, контролирующим состояние систем бе-
зопасности;
—	соединения с источниками электропитания.
Если оборудование используется как для УСНЭ ВБ, так и для УСБ, то его
необходимо классифицировать, изготавливать, устанавливать, проверять и ат-
тестовывать в соответствии с требованиями, предъявляемыми к УСБ.
Если оборудование используется как для системы, не представляющей важ-
ности с точки зрения безопасности, так и для УСНЭ ВБ, то это оборудование
необходимо классифицировать как часть УСНЭ ВБ и проектировать, изго-
тавливать, устанавливать, проверять и аттестовывать в соответствии с требо-
ваниями, предъявляемыми к УСНЭ ВБ.
Необходимо предусмотреть программу проверки пригодности оборудова-
ния с целью подтверждения того, что оборудование УСНЭ ВБ будет способ-
но в течение длительного времени отвечать основным проектным требова-
ниям к рабочим характеристикам, необходимым для его функционирования
в условиях окружающей среды, которые, по-видимому, будут преобладать в
тот момент, когда потребуется это оборудование.
Для уменьшения воздействия электрических наводок до незначительного
уровня в УСНЭ ВБ должны быть предусмотрены такие меры, как экранирование,
специальные экранированные кабели, физическое разделение сигнальных и
силовых кабелей, установка фильтров, передача сигналов с помощью опти-
ческих кабелей и заземление. Для систем, которые могут быть подвержены
176
Гл. 5. Архитектура АСУ ТП АЭС
воздействию наводок, необходимо провести их испытания с целью подтвер-
ждения соответствия проектным требованиям.
При использовании мультиплексирования для связи резервных индиви-
дуальных средств контроля и управления БПУ с ПТК УСНЭ ВБ должны быть
учтены следующие требования:
—	устройство мультиплексной системы должно обеспечивать выявление
ошибок в переданной информации, возникающих вследствие отказов обыч-
ного оборудования для передачи данных;
—	должны быть предусмотрены средства проверки дрейфа номинальной
статистической характеристики преобразования в аналого-цифровых преоб-
разователях;
-	должны быть предусмотрены устройства для проверки оборудования
мультиплексной передачи данных;
—	программное обеспечение должно быть разработано и проверено в со-
ответствии с требованиями к программному обеспечению цифровых вычис-
лительных систем, связанных с обеспечением безопасности.
ПТК УСНЭ ВБ реакторного отделения объединяются сегментом ЛВС
«УСНЭ ВБ».
Предусматриваются следующие связи ПТК с БПУ и РПУ:
1)	ПТК технологических систем:
—	информация для индивидуальных средств контроля, расположенных на
резервном пульте БПУ, предназначенном для удержания блока на мощности
и останова блока при отказе СВБУ, организация управления исполнитель-
ными механизмами с помощью индивидуальных средств резервного пульта
реализуется так же, как и для УСБ;
—	передача информации в ЛВС блочного уровня для представления на эк-
ране коллективного пользования и дисплеях оперативного персонала, архи-
вирования и протоколирования. Связь ПТК УСНЭ ВБ с АРМ оперативного
персонала по управляющим сигналам осуществляется средствами сегмента
ЛВС «УСНЭ ВБ» и ЛВС блочного уровня.
2)	ПТК СКУД:
—	передача информации для представления на дисплеях оперативного пер-
сонала БПУ и РПУ, архивирования и протоколирования осуществляется сред-
ствами сегмента ЛВС «УСНЭ ВБ» и ЛВС блочного уровня;
—	передача информации в СКУД из УСБ осуществляется по прямым ка-
налам.
Архитектура УСНЭ ВБ реакторного отделения приведена на рис. 5.3.
В состав прочих УСНЭ ВБ систем входят:
—	система контроля и управления противопожарной защитой;
—	система контроля и управления спецводоочисткой;
177
Принципы создания АСУ ТП АЭС
—	система контроля и управления вентиляционными системами;
—	автоматизированная система радиационного контроля.
В зависимости от исполнения ПТК этих систем их связь с ЛВС блочного
уровня (информация и управление) может быть осуществлена с помощью сег-
мента ЛВС или посредством шлюзов.
5.6.	Архитектура систем нормальной эксплуатации
УСНЭ входят в состав АСУ ТП энергоблока и предназначены для контро-
ля и управления технологическими системами, отнесенными по влиянию на
безопасность, к классу 4Н по ОПБ-88/97 [49].
Основной задачей УСНЭ является обеспечение ведения основного техно-
логического процесса энергоблока совместно с другими подсистемами АСУ
ТП, поддержания параметров, характеризующих состояние технологических
барьеров безопасности, в проектных пределах при эксплуатации энергобло-
ка в режимах, предусмотренных проектом АЭС.
УСНЭ должны осуществлять автоматическое и автоматизированное уп-
равление технологическим оборудованием.
К технологическим системам, управляемым УСНЭ, относятся:
1)	технологические системы турбинного отделения:
—	турбина;
—	система маслоснабжения и смазки;
—	конденсационная система;
—	вакуумная система;
—	система дренажей турбины;
—	система регенерации низкого давления;
—	система регенерации высокого давления;
—	система пара собственных нужд;
—	система питательной воды и др.
—	система контроля и управления турбины;
—	система вибродиагностики турбины;
2)	электрическая часть собственных нужд энергоблока, отнесенная к сис-
темам нормальной эксплуатации;
3)	система водно-химического режима.
ПТК указанных систем объединены сегментом ЛВС «УСНЭ», связанной
с ЛВС блочного уровня. Контроль и управление технологическим оборудо-
ванием систем нормальной эксплуатации осуществляется с помощью АРМ
оперативного персонала БПУ.
ГЛАВА 6. ПРИНЦИПЫ СОЗДАНИЯ БПУ И ЧЕЛОВЕКО-
МАШИННОГО ИНТЕРФЕЙСА
6.1. Основы проектирования БПУ
Требования к проектированию. На каждом блоке АЭС должен предусмат-
риваться БПУ, оперативный персонал управления которого осуществляет уп-
равление технологическим оборудованием систем нормальной эксплуатации
и систем безопасности при нормальной эксплуатации и нарушениях нормаль-
ной эксплуатации, включая аварии [49].
Основные цели проектирования пункта управления должны быть направ-
лены на обеспечение оператора точной, полной и своевременной информа-
цией о состоянии оборудования и систем станции при всех эксплуатацион-
ных и аварийных состояниях и сведение к минимуму передвижений оператора,
необходимых для контроля станции и управления ею [97, 110].
Проектирование и компоновка БПУ должны облегчать участие оператора
в защитных действиях при авариях на энергоблоке, когда все средства управ-
ления, визуальной индикации и сигнальные средства, необходимые для бе-
зопасной эксплуатации, останова реактора и отвода остаточных тепловыде-
лений, легко доступны и ясно представлены оператору.
Одной из главных задач проектирования БПУ является создание челове-
ко-машинного интерфейса, обеспечивающего управление АЭС, информаци-
онное обеспечение оперативного персонала, включая систему поддержки опе-
ратора, в режимах нормальной эксплуатации и нарушениях нормальной
эксплуатации, включая аварии [103].
Проект БПУ должен обеспечивать оптимизацию задач оперативного пер-
сонала, сведение к минимуму рабочей нагрузки на оператора. Должно быть
обеспечено рациональное распределение функций между человеком и маши-
ной с целью максимального использования способностей оператора и АСУ
ТП блока.
В проекте БПУ должны быть определены функциональные требования к
безопасности станции, а распределение функций между человеком и ЭВМ
выполнено с учетом психофизиологических возможностей оператора, а так-
же технической и экономической целесообразности автоматизации управле-
ния АЭС.
179
Принципы создания АСУ ТП АЭС
Анализ функциональных требований заключается в определении тех фун-
кций, которые должны быть реализованы для достижения целей безопаснос-
ти станции, то есть для предотвращения или ослабления последствий гипо-
тетических аварий, которые могут вызвать чрезмерный риск для здоровья и
безопасности населения.
Следует рассматривать следующие уровни функций безопасности:
—	основные функции (например, критические функции безопасности);
—	отдельные процессы станции;
—	отдельные технологические системы и оборудование.
При проектировании БПУ необходимо учитывать такие связанные с дея-
тельностью человека технические факторы, как рабочая нагрузка, возмож-
ность ошибки человека, время реакции оператора и сведение к минимуму
физической и умственной нагрузки оператора, с тем чтобы облегчить выпол-
нение оператором порядка действий, предусмотренных для обеспечения бе-
зопасности АЭС как при эксплуатационных состояниях, так и во время и после
аварийных состояний.
Требования к проектированию БПУ обязывают, чтобы систематическое
рассмотрение человеческого фактора и интерфейса человек—машина было
включено в процесс проектирования на раннем этапе разработки проекта и
продолжалось на всем протяжении процесса, обеспечивая соответствующим
и четким разграничением функций между эксплуатационным персоналом и
автоматическими системами [97]. С этой целью должна быть разработана
программа учета человеческого фактора, которая включает в себя функцио-
нальный анализ и анализ задач БПУ, анализ рабочей нагрузки на оператив-
ный персонал, разделение задач между человеком и автоматикой с учетом воз-
можностей человека-оператора по восприятию и обработке информации и
скорости протекания переходных и аварийных процессов на станции.
При детальном проектировании БПУ фундаментальной основой для уче-
та человеческого фактора должна быть база данных относительно способно-
стей и характеристик человека-оператора.
База данных должна содержать [103]:
—	антропометрические данные;
—	стереотипы популяции;
—	физиологические аспекты;
—	способность к обработке информации;
—	факторы окружающей среды.
При ведении нормальных режимов, включая операции по перезагрузке
ядерного топлива, и при аварийных ситуациях проектирование должно обес-
печить оптимизацию задач, поручаемых оператору, сведение к минимуму ра-
бочей нагрузки, требующейся для наблюдения и управления блоком.
180
Гл. 6. Принципы создания БПУ и человеко-машинного интерфей
На БПУ может быть предусмотрена возможность управления системак
безопасности с двух мест: рабочего места оператора реакторной установки
специально предусмотренных на БПУ панелей систем безопасности.
В проекте АЭС должны быть определены условия, при которых невозмо>
но выполнять функции контроля и управления с БПУ вследствие вреднь
факторов, пожара или других причин, и определена необходимость переход
оперативного персонала на резервный пункт управления [97].
На БПУ должна быть предусмотрена связь с персоналом:
-	пунктов управления других энергоблоков и общестанционных устан'
вок АЭС;
-	резервного пункта управления;
-	местных пунктов управления;
-	центра технической поддержки;
-	помещений для сменного персонала и персонала, осуществляющего те
ническое обслуживание и ремонтные работы средств АСУ ТП АЭС;
-	находящимся на энергоблоке и дежурным персоналом вне энергобл'
ка, если это предусмотрено организационной схемой эксплуатации АЭС.
БПУ должен быть работоспособен, включая оперативный персонал yi
равления, при максимальном проектном землетрясении.
БПУ должен быть защищен от воздействия событий на энергоблоке (з
топление, пожар, вредные вещества) и выдерживать техногенные воздействи
учитываемые в проекте АЭС (включая удар летательного аппарата).
Доступ на БПУ должен быть санкционированным.
Этапы проектирования БПУ. Процесс проектирования БПУ определ<
стандартом [97] и состоит из двух этапов:
—	функционального проектирования;
-	технического проектирования.
Этап функционального проектирования БПУ включает в себя:
-	функциональный анализ;
—	проверку и утверждение распределения функций между человеком и а
томатизированными компонентами системы;
-	анализ результатов проверки и утверждения распределения фун
ций.
Целью функционального анализа является идентификация всех функци
необходимых для управления энергоблоком, а затем назначение функций ч
ловеку или машине.
Проверка распределения функций между человеком и машиной осуш
ствляется с целью установления того, что достигнуто наиболее благоприя
ное распределение функций без предъявления при этом каких-либо чрезв]
чайных требований. Необходимо доказательство того, что с помощью данно
181
Принципы создания АСУ ТП АЭС
распределения функций могут быть выполнены функциональные цели по уп-
равлению энергоблоком.
Анализ результатов проверки и утверждения распределения функций ис-
пользуется для разработки требований к структуре бригады БПУ и програм-
мам подготовки оперативного персонала.
Техническое проектирование определяет:
—	компоновку БПУ;
—	организацию зон контроля и управления БПУ;
—	организацию рабочих мест оперативного персонала;
—	выбор технических средств БПУ;
—	организацию информационного обеспечения оперативного персонала;
—	проверку и утверждение технического проекта БПУ;
—	исследование и отработку проектных решений на моделирующем ком-
плексе и на макетных образцах зон контроля и управления.
Основные критерии технического проектирования:
—	пульт управления должен обеспечивать получение информации о ста-
тусе систем, обладать средствами управления и вспомогательными средства-
ми, необходимыми операторам для эффективного выполнения своих функ-
ций и задач в режимах нормальной эксплуатации, аномальных или аварийных
режимах;
—	пульт управления должен обеспечивать принятие мер по поддержке АЭС
в безопасном состоянии или по возвращению станции в безопасное состоя-
ние после нарушения норм эксплуатации ядерного реактора, максимальных
проектных аварий и тяжелых аварий. Кроме того, должна быть обеспечена
возможность принятия соответствующих мер для смягчения последствий тя-
желых аварий [97];
—	характеристики индивидуальных средств контроля и управления, дисп-
леев и другого оборудования, устанавливаемого на БПУ, должны быть опреде-
лены с учетом человеческого фактора и функций, выполняемых оператором.
При проектировании БПУ следует принимать во внимание эргономичес-
кие факторы.
6.2. Функциональное проектирование БПУ
Общие положения. Функциональное проектирование должно определить
иерархическую структуру целей, которые должны быть достигнуты при про-
ектировании БПУ, для всех рабочих состояний энергоблока и аварийных си-
туаций. Эти цели должны включать в себя производство электроэнергии и
сведение к минимуму радиоактивных выбросов в качестве главных целей
АЭС [103].
182
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Функциональное проектирование основывается на результатах декомпо-
зиции технологического процесса с определением функциональных облас-
тей и подобластей, функций и задач, обеспечивающих реализацию необхо-
димой функции при ведении технологического процесса блока.
Порядок проведения функционального анализа и распределения функ-
ций определен стандартом [106]. Процесс проектирования и экспертизы че-
ловеко-машинного интерфейса с учетом основных принципов инженерной
психологии приведен в [111].
Процесс функционального проектирования приведен на рис. 6.1 и вклю-
чает в себя:
-	анализ опыта эксплуатации;
-	анализ функций;
-	распределение функций;
-	анализ задач;
-	контроль и аттестацию результатов функционального проектирова-
ния.
Анализ опыта эксплуатации. Документ NUREG-0711 [111] определяет ана-
лиз опыта эксплуатации как важную часть для разработки человеко-машин-
ного интерфейса и включает в состав анализа изучение актов о событиях, от-
четы по анализу событий на АЭС, изменения в технических требованиях,
наблюдения операторов и интервью с операторами.
Интервью с операторами, определение проблем и источников ошибок
операторов проводится на примере следующих тем:
-	ведение режимов нормальной эксплуатации;
—	неисправности (отказы) АСУ ТП блока;
-	отказы средств человеко-машинного интерфейса при обработке инфор-
мации (потеря функции обработки данных, потеря видеокадров и т.п.);
-	особенности контроля и управления при нарушении нормальной эксп-
луатации (отключение турбины, обесточивание АЭС, потеря питательной
воды, потеря мощности и др.);
-	аварии (разрыв основного паропровода, выброс управляющего стерж-
ня, прогнозируемые переходные процессы безаварийного останова и др.);
—	останов реактора и расхолаживание при дистанционном управлении.
Анализ опыта эксплуатации является гарантией того, что в проекте опре-
делены, проанализированы и учтены проблемы, относящиеся к человеческо-
му фактору.
Функциональный анализ. Функциональный анализ необходим для опре-
деления всех функций, необходимых для управления энергоблоком.
Определение функций получают путем установления целей — целей экс-
плуатации энергоблока и целей безопасности, затем иерархии функций, где
183
Принципы создания АСУ ТП АЭС
самый нижний уровень будет представлять функции управления, назначае-
мые оператору или машине.
Заключение
Рис. 6.7. Процесс проведения функционального анализа и распределения функций
184
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Функциональный анализ проводится на примере режимов нормальной
ксплуатации и нарушениях нормальной эксплуатации, включая аварии. Дол-
мы быть определены те функции, которые необходимы для достижения це-
ей безопасности станции, то есть для предотвращения или ослабления по-
пел ствий аварий.
Следующей ступенью в функциональном анализе является установление
сновных требований к информации и ее обработке, необходимых для вы-
олнения каждой функции управления.
Для каждого технологического процесса станции должна быть дана обоб-
[енная характеристика, которая включает в себя:
-	цель процесса;
-	условия, необходимые для реализации процесса;
-	параметры, характеризующие технологический процесс;
-	параметры, характеризующие протекание технологического процесса;
-	значения параметров, которые означают, что процесс может или дол-
ей быть ограничен или завершен.
Для каждой функции определяются:
-	отношение функции к безопасности станции;
-	наблюдаемые параметры;
-	действия, необходимые для реализации функции;
-	меры, необходимые для проверки достижения функции.
Следует включить в анализ все характерные события, чтобы адекватно
1есть функции и определить зависящие от времени характеристики.
Для этого следует проанализировать следующие сценарии:
-	все эксплуатационные последовательности, такие, как пуск/останов, и
;жимы нормальной эксплуатации;
-	все проектные исходные события, представленные в отчете по анализу
:зопасности (например, LOCA— авария с потерей теплоносителя, обесто-
тние, и т. д.);
-	сценарии запроектных аварий, вызванных исходными событиями, не
[итываемыми для проектных аварий, приводящими к плавлению активной
>ны, паровым взрывам и т.д. (тяжелые аварийные состояния).
В этом анализе должны быть определены те состояния энергоблока, кото-
>ie предъявляют самые высокие требования к временным характеристикам
надежности. Следует рассмотреть следующее:
-	события, приводящие к аварийному останову реактора и запуску сис-
м безопасности;
-	события, при которых останов станции ожидается с наибольшей степе-
5ю вероятности, если не будет вовремя предпринято правильное действие;
-	события, скорость возникновения которых является высокой;
185
Принципы создания АСУ ТП АЭС
—	события, связанные с потерей определенной функции безопасности.
Распределение функций. Распределение функций между оператором и ав-
томатикой осуществляется на основании анализа требований, предъявляе-
мых к управлению станцией, концепции автоматизации АЭС и роли персо-
нала в управлении. Назначение функций управления человеку и автоматике
должно основываться на принципах инженерной психологии с применени-
ем документированной методики.
При определении функций оператора должны приниматься во внимание:
— потенциальная человеческая нагрузка при всех режимах эксплуатации;
— временные факторы (например, скорость, запас времени/ограничение);
— точность и частота выполнения операций;
—	сложность логических действий;
—	тип и сложность принимаемых решений (например, при возникнове-
нии нестандартных ситуаций);
—	влияние на выполнение управляющих воздействий типа исходного со-
бытия;
—	последствия, связанные с потерей функции, и связанные с этим времен-
ные факторы.
Для каждой потенциальной функции оператора необходима оценка фи-
зиологических способностей человека по обработке основной информации
и скорости отклика. Для завершения начального распределения функций ос-
новные возможности человека необходимо сравнить с теми требованиями,
которые необходимы для выполнения каждой функции. Также важно учиты-
вать опыт эксплуатации подобных проектов, чтобы определить (отождествить)
проблемы, связанные с действиями человека.
Если требования к времени отклика оператора не могут быть выполнены,
следует рассмотреть автоматизацию управляющего воздействия (функции
управления).
Различные типы информации, доступные для оператора, должны быть
сгруппированы на основе реализуемых задач, а не на источниках информа-
ции. Целью является организация информации от различных источников от-
носительно решаемой задачи.
Анализ задач. Результаты анализа задач, выполняемых оперативным пер-
соналом, должны:
—	использоваться в качестве исходных данных для разработки эксплуата-
ционных инструкций;
—	использоваться в качестве базовой информации для разработки штат-
ного расписания и обучения персонала;
—	использоваться таким образом, чтобы требования к оператору не пре-
вышали его возможностей;
186
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
-	формировать базу для определения требований к видеокадрам.
Анализ задач определяет требования к человеко-машинному интерфейсу
и должен быть проведен для всех режимов работы станции, включая режимы
нормальной эксплуатации, нарушения нормальной эксплуатации, проектные
и запроектные аварии.
В анализ задач следует включить такие вопросы, как распределение задач
по контролю и управлению между операторами.
Проверка и аттестация функционального проекта. Этапы проверки функ-
ционального проекта предусматривают проверку распределения функций
между человеком и автоматикой и аттестацию распределения функций в со-
ответствии с требованиями [98].
Проверку должны осуществлять специалисты, не связанные по работе с
разработкой проекта БПУ.
Задачей проверки является подтверждение того, что:
-	предусмотрены все функции, необходимые для выполнения задач по
контролю и управлению реактором и обеспечению безопасности;
-	предлагаемое распределение функций соответствует критериям, уста-
новленным для назначенных функций;
-	выполнены все соответствующие требования нормативных документов,
которые в свою очередь должны включать:
•	требования нормативных документов в области атомной энергетики;
•	требования к временным характеристикам (время отключения, время
срабатывания);
•	принципы обеспечения безопасности;
•	исследование опыта эксплуатации предыдущих проектов;
•	требования, взятые из других стандартов и руководств.
Любое отклонение или ошибки, обнаруженные в процессе проверки, дол-
жны исправляться так, чтобы распределение функций отвечало всем необхо-
димым критериям.
Задачей аттестации является подтверждение корректности предлагаемого
назначения функций. Требуется доказательство того, что система в состоя-
нии выполнять все функциональные задачи. Необходимо оценить, как
выполняется последовательность функций во всех режимах нормальной экс-
плуатации, включая состояния останова, нарушений нормальной эксплуата-
ции, а также соответствующие проектные и запроектные аварии.
Аттестация должна также продемонстрировать, что при отказе функций авто-
матического управления их возьмет на себя система дистанционного управления.
Основными критериями при аттестации являются количество функцио-
нальных задач и интенсивность рабочей нагрузки на оператора, которые не
должны превышать возможности оператора.
187
Принципы создания АСУ ТП АЭС
Результатами функционального проектирования являются:
—	определение целей, функций и задач при управлении блоком с БПУ во
всех режимах нормальной эксплуатации, при нарушениях нормальной эксп-
луатации и авариях;
—	определение потока информации, необходимого для реализации функ-
ций и задач при управлении блоком с БПУ во всех режимах нормальной экс-
плуатации, при нарушениях нормальной эксплуатации и авариях;
—	определение (уточнение) задач по управлению блоком, поручаемых опе-
ратору и автоматике;
—	определение перечня (состава) средств индивидуального дистанцион-
ного управления исполнительными механизмами;
—	определение задач по управлению блоком, требующих взаимодействия
оперативного персонала блока и персонала БПУ при ведении режимов нормаль-
ной эксплуатации и нарушениях нормальной эксплуатации, включая аварии.
Пример функционального анализа приведен в главе 7.
6.3. Организация БПУ
Рассматриваются проектные решения по организации БПУ энергоблока
с ВВЭР-640 [85].
С БПУ осуществляется контроль и управление системами, которые:
—	непосредственно связаны с производством электроэнергии;
—	связаны с обеспечением ядерной безопасности и безопасной эксплуа-
тацией станции.
В основе концепции создания БПУ лежит широкое использование дисп-
лейных пультов управления. На дисплейных пультах устанавливаются цвет-
ные графические дисплеи для представления оперативному персоналу инфор-
мации о технологическом процессе, состоянии безопасности энергоблока, для
управления оборудованием систем нормальной эксплуатации и систем нор-
мальной эксплуатации, важных для безопасности, представления оператору
протокола событий, диагностической и справочной информации.
На БПУ сохраняются пульты и панели с индивидуальными средствами
контроля и управления, такие, как пульты и панели УСБТ, СУЗ, панели элек-
трической части энергоблока и панели системы противопожарной безопас-
ности. В случае отказа системы верхнего блочного уровня останов энерго-
блока осуществляется с резервных пультов-панелей БПУ.
Для представления оперативному персоналу обобщенной информации о
технологическом процессе и состоянии безопасности блока вместо традици-
онной мнемосхемы перед дисплейными пультами операторов устанавлива-
ется экран коллективного пользования.
188
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Для каждого оператора предусматривается рабочая зона с необходимыми
средствами контроля и управления с учетом того, что операторы работают
сидя. Возможность пересечения пути передвижения операторов при выпол-
нении ими своих заданий минимальна.
Оперативный персонал БПУ традиционно представлен оператором реак-
торной установки, оператором турбинной установки и начальником смены
блока. Для оперативного персонала организуются соответствующие рабочие
места (см. рис. 6.2).
Экран коллективного
пользования
Информационная
панель СУЗ
Информационная
панель СКУ ЭЧ
Послеаварийный
мониторинг
Панели
СКУ ППЗ
электрика
Резервный
пульт-
панель
Пульты-
панели
УСБТ
Рабочее место
начальника смены
!i^ w 'й
Аппаратура
документирован ия
Рис. 6.2. Организация БПУ
В зону обслуживания оператора реакторной установкой входят:
1)	зона управления системами безопасности, включая:
-	пульты-панели УСБТ;
-	дисплеи систем безопасности;
-	пульт СУЗ;
189
Принципы создания АСУ ТП АЭС
—	информационную панель СУЗ;
2)	дисплейный пульт контроля и управления системами нормальной экс-
плуатации и системами нормальной эксплуатации, важными для безопасно-
сти реакторной установки;
3)	резервные пульты-панели, предусмотренные для удержания блока на
мощности и останова энергоблока без ввода систем безопасности при отказе
СВБУ.
Пульты-панели УСБТ предназначены для контроля и управления обору-
дованием систем безопасности. Количество пультов-панелей соответствует
числу каналов систем безопасности энергоблока. На вертикальной части пуль-
тов-панелей располагаются:
—	табло сигнализации состояния критических функций безопасности;
—	табло сигнализации первопричины срабатывания УСБТ;
—	табло сигнализации состояния УСБТ (работоспособное, отказ);
—	индивидуальные приборы индикации параметров безопасности.
На горизонтальных панелях пультов располагаются индивидуальные сред-
ства индикации параметров режима и управления оборудованием систем бе-
зопасности.
При управлении оборудованием систем безопасности оператор работает
стоя.
Дисплеи систем безопасности используются для контроля работоспособ-
ности каналов систем безопасности. Для каждого канала безопасности пре-
дусматривается собственный дисплей. С целью экономии места дисплеи рас-
положены в два этажа — по два дисплея на каждом этаже, как это принято на
АЭС N4 во Франции.
Дисплеи систем безопасности на БПУ АЭС с ВВЭР-1000 [35] используются
также с целью разгрузки пультов-панелей УСБТ от контроля ряда параметров.
На резервных пультах-панелях, предназначенных для останова энергобло-
ка при отказе и невосстановлении СВБУ, расположены средства контроля и
управления оборудованием следующих систем нормальной эксплуатации,
важных для безопасности:
—	компенсатора давления (трубопроводы связи с петлей 1-го контура и га-
зоудаления из компенсатора давления);
—	подпитки и борного регулирования;
—	охлаждения топлива;
—	главных циркуляционных насосов, горячих и холодных трубопроводов
1-го контура;
—	расхолаживания через 2-й контур;
—	вспомогательной питательной воды;
—	сброса пара из ПГ в баки аварийного отвода тепла;
190
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
-	откачки воды из подреакторного пространства и др.,
а также системы турбоустановки, обеспечивающие безопасный останов
турбины.
На пульте СУЗ расположены:
-	мониторы для представления численных значений нейтронно-физичес-
ких параметров реактора, теплофизических параметров реактора и 1-го кон-
тура, представления информации из комплекса электрооборудования СУЗ —
«точное» положение органов регулирования СУЗ, сообщений о первопричине
срабатывания АЗ и предупредительных защит;
-	индивидуальные приборы для индикации значений нейтронно-физи-
ческих параметров реактора;
-	ключи (кнопки) запуска предупредительных защит и аварийной защи-
ты реактора;
-	индивидуальные средства управления органами регулирования СУЗ,
АРМР, задания уставки мощности реактора и др.;
-	табло сигнализации.
Информационная панель СУЗ предназначена для размещения:
-	табло сигнализации срабатывания аварийной и предупредительных за-
щит реактора;
-	табло сигнализации состояния СУЗ (работоспособное, отказ);
-	индикаторов «грубого» положения ОР СУЗ;
-	самописцев.
Справа от информационной панели СУЗ установлена панель с индивиду-
альными приборами и самописцами для индикации и регистрации аналого-
вых параметров, отнесенных к категории 1 в соответствии с Regulatory Guide
1.97 [114] (система послеаварийного мониторинга). К категории 1 отнесены
такие параметры, как плотность нейтронного потока; температура в горячей
нитке системы теплоносителя; температура в холодной нитке системы теп-
лоносителя; давление в 1-м контуре; уровень воды в приямке теплоносителя;
давление в контейнменте; концентрация водорода в контейнменте; уровень
радиоактивности в теплоносителе 1 -го контура; уровень теплоносителя в ком-
пенсаторе давления и др.
В соответствии с принципом разнообразия на дисплейном пульте опера-
тора реакторного отделения должен быть установлен отдельно выделенный
дисплей, относящийся к системе послеаварийного мониторинга.
Дисплеи пульта управления системами нормальной эксплуатации и сис-
темами нормальной эксплуатации, важными для безопасности, реакторного
отделения (четыре дисплея) предназначены для:
-	контроля состояния безопасности энергоблока;
-	контроля технологического процесса;
191
Принципы создания АСУ ТП АЭС
—	управления оборудованием технологических систем реакторной установки;
—	представления протоколов о событиях на энергоблоке;
—	представления информации из системы контроля, управления и диаг-
ностики реакторной установки;
—	представления информации из системы поддержки оператора.
Оперативные терминалы используются для управления оборудованием
технологических систем при ведении режимов нормальной эксплуатации и
при нарушении режима нормальной эксплуатации. Управление оборудова-
нием систем безопасности с оперативных дисплеев не предусматривается.
В зону обслуживания оператора турбинного отделения входит дисплей-
ный пульт (четыре дисплея), предназначенный для контроля и управления
турбоустановкой и оборудованием технологических систем машинного зала.
Справа от рабочего места оператора турбинного отделения расположено
рабочее место оператора электрической части энергоблока.
В состав зоны контроля и управления электрической частью энергоблока
входят:
1)	пульт с двумя дисплеями, предназначенными для:
—	контроля параметров режима электрической части энергоблока;
—	контроля и управления оборудованием системы охлаждения генератора;
—	представления информации из системы технологического контроля ге-
нератора;
—	управления выключателями схемы собственных нужд энергоблока;
—	контроля и управления режимом синхронизации генератора с энерго-
системой (автоматическая, полуавтоматическая синхронизация);
2)	панель, установленная перед пультом рабочего места оператора-элект-
рика, содержащая:
—	табло аварийной сигнализации;
—	мнемосхему электрической части энергоблока с индикаторами парамет-
ров режима (мощность, частота, напряжение блочного генератора, дизель-
генераторов, напряжение на шинах 6 кВ и 0,4 кВ), индикаторами состояния
автоматических выключателей;
—	средства ручной синхронизации генератора с энергосистемой.
Постоянное присутствие на БПУ оператора-электрика не предусматрива-
ется. Общий надзор за электрической частью осуществляют оператор турбо-
установки и начальник смены блока. Оператор-электрик вызывается на БПУ
для выполнения переключений в электрической части, синхронизации гене-
ратора с энергосистемой и в аварийных ситуациях.
Оператор турбоустановки и начальник смены блока осуществляют также
контроль противопожарного состояния энергоблока с помощью табло сиг-
нализации панелей СКУ ППЗ.
192
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Рабочее место начальника смены блока оборудуется дисплеями, работаю-
щими только в информационном режиме.
Рабочие места оперативного персонала БПУ, а также рабочее место на-
чальника смены блока обеспечиваются соответствующими средствами опе-
ративной связи.
В помещении БПУ размещаются принтеры для выпуска оперативной до-
кументации.
6.4.	Принципы разработки человеко-машинного интерфейса
Требования к человеко-машинному интерфейсу. Для управления энергобло-
ком оператору необходима информация, которая бы позволяла:
—	быстро оценить общее состояние, в котором находится АЭС (состояние
нормальной эксплуатации, условия ожидаемого эксплуатационного события
или аварийное состояние), и убедиться, что выполняются предусмотренные
проектом автоматические действия по обеспечению безопасности;
—	определить меры по обеспечению безопасности, которые необходимы
для перевода станции в безопасное состояние длительной остановки.
В современных концепциях проектирования БПУ АЭС и человеко-машин-
ного интерфейса имеют место следующие факторы [111]:
—	возрастающая автоматизация АЭС и пересмотр роли человека-операто-
ра: при автоматическом управлении технологическом процессом оператор вы-
полняет функции наблюдения и анализа параметров режима, наблюдения за
работой АСУ ТП и управления АЭС при отказе автоматики;
—	большая централизация средств контроля и управления;
—	применение экранов коллективного пользования для представления
оперативному персоналу БПУ обобщенной информации о технологическом
процессе и состоянии безопасности АЭС;
—	работа оператора непосредственно с системой представления данных с
минимальным взаимодействием с компонентами АСУ ТП;
—	возможность интегрированного представления данных на видео-
кадрах;
—	внедрение систем поддержки оператора.
Появился широкий спектр технологических подходов к созданию челове-
ко-машинного интерфейса и пультов управления, в частности при реализа-
ции задач контроля и управления АЭС.
Плохо спроектированный интерфейс может привести к трудностям в на-
вигации и доступе к данным. Возможно повышение нагрузки на оператора,
связанной с управлением самим интерфейсом (доступ к видеокадрам, окон-
ная графика, управление с помощью видеокадров и т.п.).
193
Принципы создания АСУ ТП АЭС
В связи с этим должны быть оптимально решены вопросы взаимодействия
системы «человек—машина». Параметры, которые необходимо контролиро-
вать на БПУ, должны быть отобраны и отображаться для обеспечения опера-
тивного представления персоналу однозначной информации о соблюдении
пределов и условий безопасной эксплуатации АЭС, а также идентификации
и диагностики автоматического срабатывания и функционирования систем
безопасности [49].
Процесс проектирования человеко-машинного интерфейса определяется
следующими целями:
—	безопасностью;
—	оперативностью доступа к требующейся информации;
—	поддержкой высокой степени знания ситуации на блоке оператором;
—	сокращением ошибок оператора, обеспечением их обнаружения и спо-
собствованием их устранению.
Цели проектирования должны повышать роль операторов в обеспечении
безопасности и оптимизации эксплуатационных качеств блока путем поддер-
жки умственных способностей и экспертного знания оператора.
Процесс проектирования человеко-машинного интерфейса должен пред-
ставлять собой реализацию требований к функциям и задачам технологичес-
кого процесса в подробный проект человеко-машинного интерфейса. Нали-
чие методологии проектирования человеко-машинного интерфейса поможет
обеспечить стандартизацию и последовательность в применении принципов
инженерной психологии.
В общем случае информационное обеспечение оперативного персонала
БПУ должно обеспечивать:
—	контроль параметров, характеризующих:
•	ведение, ограничение и прекращение основного технологического про-
цесса;
•	работу систем автоматического (программно-логического) управления;
•	состояние барьеров безопасности, воздействие на барьеры безопас-
ности;
•	запасы по максимальным проектным пределам;
•	готовность к работе систем безопасности;
•	порядок срабатывания управляющих систем безопасности при авари-
ях и контроль действий оперативного персонала;
•	контроль состояния программно-технических средств;
•	контроль условий жизнедеятельности персонала;
•	контроль радиационного воздействия на персонал, население и окру-
жающую среду;
•	контроль противопожарной обстановки.
194
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Информационное обеспечение оперативного персонала БПУ разрабаты-
вается на основании результатов функционального проектирования БПУ и
реализуется средствами экрана коллективного пользования, операторскими
станциями и средствами индивидуального контроля.
Для того, чтобы деятельность оператора была эффективной, информаци-
онное обеспечение должно удовлетворять трем важнейшим требованиям:
-	к содержанию — адекватно отображать объекты управления;
-	к количеству информации — обеспечивать оптимальный информацион-
ный баланс и не приводить к дефициту или перегрузке информацией;
-	к форме и композиции — соответствовать задачам оператора по управ-
лению и его психофизиологическим возможностям по приему и переработке
информации.
Организация потоков информации должна исключать как перегрузку, так
и недогрузку оператора.
У оператора должно быть достаточно времени для предотвращения раз-
вития нежелательного процесса.
Если развитие ситуации ведет к последовательному появлению все новой
информации, то информация большей значимости должна ликвидировать
информацию меньшей значимости.
Принципы создания человеко-машинного интерфейса. Информационное
обеспечение оперативного персонала должно разрабатываться на основании
следующих принципов:
-	иерархическое представление информации о технологическом процес-
се и состоянии безопасности блока;
-	организация видеокадров в соответствии с задачами персонала; предос-
тавление оперативному персоналу только той информации, которая в данных
условиях необходима для контроля и управления технологическим процессом;
-	обеспечение быстрого и беспрепятственного доступа к необходимой ин-
формации;
-	единый подход к организации дисплейных форматов с фиксированным
расположением важной информации и с использованием оконной графики
для предоставления графиков, гистограмм, таблиц и т.п.;
-	образное представление информации в виде мнемосхем, сопоставитель-
ных диаграмм, графиков, обобщенных образов для интегральной оценки ин-
формации;
-	обеспечение предупредительной и аварийной сигнализацией с непос-
редственным переходом через индикаторы в дисплейные форматы детально-
го мониторинга;
-	автоматическое представление необходимых форматов в аварийных си-
туациях.
195
Принципы создания АСУ ТП АЭС
Результатом создания информационного обеспечения энергоблока долж-
но быть определение:
—	структуры информационного обеспечения;
—	иерархии и состава видеокадров АРМ каждого оператора-технолога:
•	подхода к организации видеокадров;
•	подхода к организации контроля параметров режима и состояния обо-
рудования блока;
•	подхода к организации дистанционного управления оборудованием
блока;
•	способов оперативного доступа к видеокадрам;
•	подхода к организации сигнализации на видеокадрах;
— базы знаний и данных:
•	о компонентах технологических систем;
•	о функциях технологического процесса;
•	о функциях по управлению энергоблоком;
•	о задачах по управлению энергоблоком, порученных оператору;
•	о потоках информации, обеспечивающих реализацию функций и за-
дач по управлению энергоблоком;
•	об алгоритмах управления компонентами технологических систем и др;
•	о системе цветовых и графических обозначений оборудования, сред,
параметров, сигналов и т.п., применяемых при проектировании видеокадров.
Организация человеко-машинного интерфейса. Приведенная выше органи-
зация БПУ обеспечивает:
—	возможность обзора обобщенного состояния энергоблока из всех точек
в пределах рабочего пространства пультовой;
—	многоуровневую информацию о состоянии безопасности энергоблока;
—	фиксированное расположение ключевой информации;
—	разделение и группирование средств аварийной сигнализации (табло
сигнализации, дисплеи) с целью улучшения распознавания оператором си-
туации.
Обзор обобщенного состояния энергоблока, то есть быстрая оценка со-
стояния технологического процесса и состояния безопасности энергоблока,
обеспечивается экраном коллективного пользования. На панелях УСБТ пре-
дусмотрены табло сигнализации состояния критических функций безопас-
ности, на панелях УСБТ, СУЗ и СКУ ЭЧ — индикаторы численных значений
параметров безопасности (см. рис. 6.3).
В состав критических функций безопасности (КФБ) для АЭС с ВВЭР вхо-
дят [ 102]:
RC — обеспечение заданной реактивности;
CS — обеспечение теплоотвода от активной зоны;
196
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
HS - обеспечение теплоотвода к конечному поглотителю;
PS — обеспечение целостности 1-го контура;
СС — обеспечение целостности гермообъема;
RS — обеспечение требуемого запаса теплоносителя;
SS - обеспечение работоспособности систем безопасности.
Панели УСБ КФБ параметры безопасности	Панель СУЗ параметры безопасности	КИП аварий параметры безопасности	экп КФБ параметры безопасности	Панели СКУ ЭЧ	Панели СКУ ППЗ
АРМ
операторов
КФБ
параметры
безопасности
АРМ
начальника
смены блока
КФБ
параметры
безопасности
Рис. 6.3. Обеспечение обзора состояния технологического процесса
и безопасности энергоблока
Состав параметров безопасности для каждой КФБ приведен в табл. 6.1.
Следующий уровень представления информации о состоянии безопасно-
сти обеспечивается АРМ оперативного персонала и дисплеем системы пос-
леаварийного мониторинга.
Для того, чтобы оператор мог ориентироваться между различными кате-
гориями аварийных сигналов, на БПУ используются разнообразные цвета,
мигание, звуковые и световые сигналы. Аварийная сигнализация выводится
на табло, расположенные на панелях СУЗ, УСБТ, СКУ ЭЧ и на дисплеи опе-
раторов.
Основным средством управления технологическим процессом являются
АРМ оперативного персонала. В соответствии с требованиями к информа-
ционному обеспечению иерархия функций контроля и управления энерго-
блоком представлена следующими уровнями (см. рис. 6.4):
197
Принципы создания АСУ ТП АЭС
—	первый уровень — обзорная информация о состоянии технологическо-
го процесса и безопасности блока;
—	второй уровень — обзорная информация о состоянии технологического
процесса и безопасности блока на уровне функционально-технологических
комплексов (ФТК) — реакторная установка, турбинная установка и т.п., тож-
дественных областям процесса;
—	третий уровень — обзорная информация о состоянии технологического
процесса и безопасности блока на уровне функционально-технологических
подсистем (ФТП) — система подпитки и борного регулирования, главный
циркуляционный контур, система охлаждения топлива и др., тождественных
подобластям процесса;
—	четвертый уровень — функционально-технологические группы (ФТГ),
обеспечивающие контроль и управление оборудованием при реализации кон-
кретной функции технологического процесса.
Таблица 6.1
КФБ	Функция	Параметры безопасности, определяющие функцию
RC	Обеспечение заданной реак- тивности (подкритичность)	Нейтронная мощность Период реактора Положение органов регулирования СУЗ Концентрация борной кислоты в 1-м контуре
CS	Обеспечение теплоотвода от активной зоны (охлаждение ак- тивной зоны)	Температура теплоносителя на входе и вы- ходе из реактора Температура воды на выходе из ТВС Запас до кризиса теплообмена Разность между температурой насыщения 1-го контура и максимальной температурой в любой из горячих ниток петель
HS	Обеспечение теплоотвода к ко- нечному поглотителю (отвод те- пла от 2-го контура)	Уровень воды в парогенераторе Расход воды в парогенераторе Давление в главном паровом коллекторе
PS	Обеспечение целостности 1-го контура	Давление в 1-м контуре Уровень воды в КД Активность пара за парогенератором Гамма-излучение в гермообъеме
сс	Обеспечение целостности гер- мообъема	Давление в гермообъеме Концентрация водорода в гермообъеме
RS	Обеспечение необходимого за- паса теплоносителя 1 -го контура	Уровень в баках борного раствора Уровень в баках хранения теплоносителя
SS	Обеспечение работоспособно- сти систем безопасности	Состояние каналов систем безопасности Состояние комплектов СУЗ
198
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Рис. 6.4. Иерархия информационной модели энергоблока
199
Принципы создания АСУ ТП АЭС
Экран коллективного п о л ь з о в а н и я . При обсуждении соста-
ва обобщенной информации о состоянии энергоблока, представляемой на эк-
ране коллективного пользования, были рассмотрены подходы к разработке
ЭКП в проектах зарубежных АЭС [ 114, 32, 86].
Достоинствами проекта ЭКП, приведенного в [32], являются представле-
ние на широком поле экрана сигнализации о состоянии безопасности энер-
гоблока; состоянии технологических систем; возможность демонстрации тех-
нологических схем энергоблока с необходимой для оперативного персонала
степенью подробности в части состава оборудования; представление инфор-
мации о динамике процесса. Вся перечисленная информация выводится на
соответствующие секции ЭКП и представляет для оперативного персонала
БПУ единое информационное поле.
В работе [86] на ЭКП представлена упрощенная схема энергоблока с де-
монстрацией оперативному персоналу ключевой информации о параметрах
режима, состоянии основного оборудования 1-го и 2-го контуров, работе си-
стем безопасности.
В проекте Nuplex 80+™ [114] ЭКП обеспечивает быструю оценку ключевой
информации о состоянии критических функций безопасности и производ-
стве энергии. Информация на ЭКП основывается на тенденции изменения
параметра (выше, ниже), а также на форме и цвете аварийных символов.
Представление информации на ЭКП организует начальник смены энер-
гоблока, выбирая соответствующий режиму видеокадр на мониторе своего
АРМ.
С учетом российского и зарубежного опыта в проекте БПУ энергоблока с
ВВЭР-640 принят следующий подход к представлению информации на ЭКП
(см. рис. 6.5):
1) при работе энергоблока на мощности ЭКП обеспечивает оценку состо-
яния безопасности и основных показателей по производству энергии, оцен-
ку состояния основного оборудования (включено — отключено, открыто -
закрыто). Информация о ключевых параметрах режима иллюстрирует
тенденцию изменения параметра;
2) в переходных и аварийных режимах на ЭКП представлена следующая
информация:
—	численные значения параметров безопасности;
—	динамика ряда параметров 1-го контура (давление, температура, уро-
вень);
—	состояние систем, непосредственно поддерживающих критические фун-
кции безопасности, и др.
Информация, необходимая оперативному персоналу для управления энер-
гоблоком, представлена непосредственно на мониторах рабочих мест.
200
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Рис. 6.5. Обобщенная информация на экране коллективного пользования
На уровне функционально-технологического комп-
лекса (технологической установки) оператору предоставляются:
- обзорный видеокадр с упрощенной мнемосхемой установки, содержа-
щий следующую информацию:
•	значения основных параметров технологического процесса;
•	значения параметров безопасности;
•	состояние критических функций безопасности;
•	состояние основного оборудования ФТК;
•	сигнализацию и сообщения о нарушении пределов и условий безопас-
ной эксплуатации;
•	сигнализацию о состоянии функционально-технологических подси-
стем;
•	видеокадры процесса — графики, гистограммы, балансовые характе-
ристики и т. п.
201
Принципы создания АСУ ТП АЭС
На уровне функци онально-технологичес к их подсис-
тем оператору предоставляются:
—	обзорные видеокадры подсистем с мнемосхемой, отражающей структу-
ру потоков сред между ФТГ, значения параметров режима и состояние обору-
дования подсистемы;
—	сигнализация о состоянии безопасности энергоблока;
—	сигнализация о состоянии ФТГ;
—	видеокадры процесса.
На уровне функци онально - технол о г ичес к их групп
оператору предоставляются видеокадры ФТГ, отражающие:
—	состояние безопасности энергоблока;
—	состояние исполнительных механизмов;
—	потоки сред;
—	параметры режима;
— информацию о работе программ пошагового управления.
Обеспечиваются средства дистанционного управления оборудованием, сиг-
нализация и сообщения о нарушении эксплуатационных пределов и условий.
Иерархия видеокадров для реакторного отделения приведена на рис. 6.6.
В качестве ФТП представлена система подпитки и борного регулирования, в
состав которой входят:
ФТГ 1 — узел дегазации;
ФТГ 2 — узел впрыска теплоносителя в компенсатор давления;
ФТГ 3 — узел очистки теплоносителя 1-го контура;
ФТГ 4 — узел подпитки 1-го контура;
ФТГ 5 — узел вывода теплоносителя из 1-го контура;
ФТГ 6 — узел подачи борного раствора и химреагентов в 1-й контур.
Видеокадры ФТГ являются самой объемной по количеству составляющей
информационного обеспечения оперативного персонала. На видеокадре ФТГ
должно быть представлено оборудование, необходимое только для выполне-
ния заданной функции процесса, независимо от принадлежности этого обо-
рудования к конкретной технологической системе.
При разработке видеокадров целесообразно использовать опыт создания
человеко-машинного интерфейса БПУ АЭС N4 (Франция), где с целью обес-
печения оператора информацией в задачах контроля, управления, диагнос-
тики ошибок и отказов приняты следующие принципы:
—	адаптация видеокадров к задаче оператора — принцип, заключающий-
ся втом, что любая информация, необходимая оператору для выполнения его
задач, должна выводиться на едином видеокадре;
—	ограничение последовательности информации — принцип, заключаю-
щийся в предоставлении оператору возможности наблюдать за АЭС путем:
202
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
• отсева ненужной информации;
• представления на одном и том же видеокадре фрагментов технологи-
ческих систем и инструкций в виде блок-схем по их управлению.
Узел дегазации	Узел впрыска	Узел очистки	Узел подпитки
Рис. 6.6. Иерархия видеокадров реакторного отделения
При создании видеокадров для операторских станций целесообразно ис-
пользовать интегрированное представление информации по управляемой
функциональной группе и обобщенные видеокадры с представлением дан-
ных по энергетическим и материальным балансам, температурным характе-
ристикам активной зоны, параметрам технологического процесса, нейтрон-
но-физическим параметрам реактора и др.
203
Принципы создания АСУ ТП АЭС
Типы и организация видеокадров. Предусматриваются следующие основ-
ные типы видеокадров:
—	функционально-технологические видеокадры, соответствующие иерар-
хии и составу видеокадров, приведенных на рис. 6.6.
—	видеокадры процесса, отображающие в виде графи ков текущее или про-
шлое поведение параметров режима;
—	видеокадры представления обобщенной, интегрированной информации
о режиме работы блока (материальные и энергетические балансы, диаграмма
нагрузки генератора и т. п.);
—	протоколы событий;
—	видеокадры системы представления параметров безопасности;
—	функциональные диаграммы, представляющие собой функции АСУТП
(ввод/вывод данных, алгоритм управления исполнительным механизмом и
др.) в графическом виде и сформированные на этапе проектирования нижне-
го уровня АСУ ТП.
Структура видеокадра. Видеокадр содержит верхний и нижний
колонтитулы (постоянная часть) и рабочее поле (переменная часть).
Верхний колонтитул может содержать следующие индикаторы и кнопки:
—	индикатор даты и времени;
—	кнопку вызова обзорного видеокадра энергоблока;
—	кнопку вызова ниспадающего меню видеокадров энергоблока;
—	кнопку вызова ниспадающего меню видеокадров процесса;
—	кнопку выбора видеокадра сообщений оператору (протокол событий):
—	кнопку выбора напрямую видеокадра «Сообщения об аварии»;
—	индикатор обобщенной сигнализации (аварийная, предупредительная и др.).
Нижний колонтитул может содержать:
—	кнопку выбора предыдущего видеокадра;
—	кнопку выбора видеокадра из иерархического дерева видеокадров;
—	кнопку печати содержимого экрана монитора;
—	кнопку печати протокола событий;
—	кнопку подтверждения аварийного сигнала (снятия звукового сигнала).
Рабочее поле используется для представления информации различного
назначения.
Кодирование информации. Рекомендуются следующие спосо-
бы кодировки:
1.	Кодирование посредством размера графических обозначений, исполь-
зуемого для различия основного и вспомогательного оборудования.
2.	Кодирование посредством формы, используемое для кодирования фун-
кции, выполняемой изображаемым оборудованием, или ее типа посредством
системы условных графических отображений.
204
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
3.	Цветовое кодирование, используемое:
-	для кодирования технологических сред;
—	кодирования типов сигналов;
-	кодирования состояния объектов управления — оборудования блока.
В соответствии с рекомендациями IEC 60964 [103] количество цветов, при-
меняемых для создания на экране определенного изображения, должно быть
ограничено четырьмя цветами.
Цветовое кодирование сред осуществляется в соответствии с [99]:
вода — зеленый;
пар — красный;
раствор борной кислоты — темно-зеленый;
воздух — синий;
газы — желтый;
растворы (щелочные, кислотные и т.п.) — фиолетовый;
жидкости (сливы и т.п.) — коричневый;
прочие вещества — серый;
конденсаты — голубой.
4.	Буквенно-цифровое кодирование элементов объекта управления, ко-
торое основано на использовании аббревиатур и сокращенных наименова-
ний.
Буквенно-цифровое кодирование базируется на использовании пе-
речня сокращений и аббревиатур, которые должны быть едиными для
энергоблока.
Маркировка. Маркировка вводится с целью однозначной идентифи-
кации элементов объекта управления. Маркировка выполняется на основе
системы кодирования энергетических установок KKS, принятой в проекте
АЭС в целом.
Система графических отображений. Система обеспечивает
представление динамических и статических пиктограмм. В качестве динами-
ческих пиктограмм используются цифровые и шкальные индикаторы пара-
метров режима, гистограммы, пиктограммы исполнительных механизмов и
др. В качестве статических пиктограмм используются пиктограммы такого
оборудования, как реактор, парогенератор, компенсатор давления, трубопро-
воды, теплообменники, деаэраторы и др.
Управление исполнительными механизмами и регу-
ляторами. Управление исполнительными механизмами и регуляторами
должно осуществляться с АРМ операторов с использованием средств окон-
ной графики или с помощью сенсорных экранов.
Предусматриваются следующие типы рабочих окон управления исполни-
тельными механизмами:
205
Принципы создания АСУ ТП АЭС
—	управление электродвигателем;
—	управление электроприводом арматуры;
—	управления автоматическим включением резерва;
—	управление шаговым автоматическим регулятором;
—	управление непрерывным автоматическим регулятором;
—	задание уставок регулирования.
Окна управления исполнительными механизмами содержат изображение
пиктограммы механизма, элементы управления механизмом, а также допол-
нительные элементы, например, гистограммы, цифровые индикаторы и текст
(см. рис. 6.7).
Кнопка открытия
окна сообщений
Имя функции
Кнопка останова
Кнопки блокиро-
вки/разблокировки
окна управления
Свободно програм-
мируемые кнопки
(вызов видеокадров)
Кнопка вызова
видеокадра
диаграмм пуска
Кнопка пуска
Подтвердил^
Кнопка включения/
отключения автома-
тического управления
Кнопка вызова
окна детальной
информации
Кнопка вызова
функциональных
планов
Текстовое задание
|^^^тмена
Рис. 6.7. Окно управления механизмом
Кнопка подтверж-
дения команд
управления
Кнопка отмены
управления и
закрытия окна
Окно управления вызывается щелчком при установке курсора на пиктог-
рамму механизма на видеокадре.
Предусматриваются также следующие типы окон индикации:
—	окно индикации детальной информации о значении аналогового пара-
метра, формируемого измерительным контуром, уставках, предусмотренных
для данного параметра, и состоянии измерительного контура;
—	окно индикации детальной информации о дискретных данных и состо-
янии каналов ввода дискретных данных.
Доступ к видеокадрам. В соответствии с рекомендациями [99] отдельные
видеокадры могут быть выбраны оператором следующими способами:
206
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
-	вызовом ниспадающего меню, позволяющего путем движения от верх-
него уровня иерархии видеокадров к нижнему выбрать необходимый видео-
кадр;
-	прямым переходом с помощью пиктограмм из обобщенного видеокад-
ра к видеокадру следующего уровня иерархии;
-	выбором в особом видеокадре с помощью пиктограмм группы видео-
кадров, которые вместе образовывают полный набор информации для необ-
ходимой «информационной» цели;
—	запросом последнего видеокадра на экране;
-	выбором «связанного видеокадра» для только что отображенного видео-
кадра ФТГ при реализации заданной функции технологического процесса.
6.5. Организация сигнализации
Требования к сигнализации. Задача системы сигнализации заключается в
том, чтобы в кратчайшее время информировать оператора о развивающихся
или уже возникших событиях в технологическом процессе энергоблока и в
выдаче информации, необходимой оператору для анализа ситуации в случае
отклонения параметров режима от эксплуатационных пределов и условий
нормальной эксплуатации.
Системы аварийной сигнализации, как визуальные, так и звуковые, при-
меняются для привлечения внимания оператора к необходимости вмешатель-
ства в работу станции, например, путем ручного инициирования функций
систем безопасности или инициирования управления станцией, или поддер-
живающих мер для обеспечения поддержания состояния станции в пределах,
обусловленных проектом [97].
Для того, чтобы оператор мог ориентироваться между различными кате-
гориями аварийных сигналов, следует использовать разнообразные световые
и звуковые сигналы.
При подаче аварийных сигналов следует, когда это осуществимо, сводить
к минимуму любую вероятность замешательства оператора, которое может
быть вызвано одновременной или почти одновременной индикацией несколь-
ких сигналов, в первую очередь должны подаваться особо важные сигналы.
Во время переходных режимов аварийные сигналы должны возникать
только для оповещения о событиях, которые являются инициаторами нару-
шения нормальной эксплуатации, либо для оповещения о нарушении функ-
ционирования автоматического управления.
Для оповещения об «ущербе для безопасности» и для оповещения об «ущер-
бе для производства электроэнергии» формируются акустические сигналы
различного звукового оформления.
207
Принципы создания АСУ ТП АЭС
Для оповещения об отклонениях от установленного режима работы объекта
управления должна быть предусмотрена система световой сигнализации. Ос-
новная цель световой сигнализации — помочь оператору установить харак-
тер или причину произошедшего отклонения.
Система аварийной сигнализации должна отсеивать несущественную ин-
формацию, обеспечивать поступление оператору существенной и важной ин-
формации, уровень которой соответствовал бы уровню способностей и по-
ниманию оператора.
В [84] приведены следующие рекомендации по проектированию аварий-
ной сигнализации:
—	необходимо разработать концепцию обработки и представления сиг-
налов;
—	необходимо выполнить валидацию и верификацию всей системы сиг-
нализации с использованием математической модели энергоблока;
—	система сигнализации должна быть классифицирована, чтобы обеспе-
чить возможность сортировки и представления перечней сигналов в долж-
ном порядке (список сигналов по приоритетности, по системам, список сиг-
налов в хронологическом порядке, список байпасированных сигналов, список
неквитированных сигналов и т.д.);
—	приоритетные аварийные сигналы должны быть показаны на обзорных
дисплеях, видных операторам;
—	система сигнализации должна быть ситуационно-чувствительной. Тех-
нологические задачи и задачи, стоящие перед операторами, значительно ме-
няются в зависимости от режима эксплуатации. Система сигнализации дол-
жна адаптироваться к этим изменениям и представлять только ту
информацию, которая относится к настоящей ситуации. Например, при ос-
танове энергоблока большое количество сигналов, поступающих от останав-
ливаемых насосов, снижения давления и т.п., не имеет первостепенного зна-
чения в качестве предупреждающих сигналов для данной ситуации;
—	рекомендуется реализовать функцию подавления сигналов (но не филь-
трации, поскольку отфильтрованные сигналы становятся недоступны для опе-
ратора). Проект такой системы должен быть основан на модельных экспери-
ментах и оценке скорости выдачи сигналов;
—	должна быть реализована валидация аварийных сигналов, чтобы избе-
жать срабатывания ложной сигнализации;
—	необходимо провести анализ проекта, чтобы определить сигналы, кото-
рые одновременно выдаются на мониторы и панели УСБ, вызывая срабаты-
вание двух разных звуковых сигналов. Необходимо разработать соответству-
ющие методы, чтобы свести к минимуму возможность замешательства
оператора в его действиях в ответ на двойную сигнализацию.
208
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Классификация сигналов. Классификация сигналов и соответствующих им
сообщений производится с целью:
-	быстрого осознания оператором характера произошедшего изменения
в технологическом процессе по отношению к безопасности;
-	быстрого осознания оператором «важности» произошедшего события,
то есть характера и срочности мероприятий, которые необходимо произво-
дить при возникновении данного сигнала;
-	обеспечения возможности обработки сигналов для ограничения вывода
сигналов и сообщений определенного класса при массовом их поступлении.
В проекте АЭС с ВВЭР-1000 [35] система сигнализации в зависимости от
последствий для безопасности и состояния технологического процесса вклю-
чает в свой состав следующие четыре группы:
-	к группе 1 относятся сообщения, характеризующие:
•	срабатывание АЗ и ПЗ реактора, запуск систем безопасности;
•	превышение параметрами заданных уставок, по которым формируют-
ся команды на запуск систем безопасности, АЗ и ПЗ реактора;
•	нарушение пределов безопасной эксплуатации;
-	к группе 2 относятся сообщения, характеризующие:
•	срабатывание технологических зашит;
•	превышение уставок, используемых для инициирования защит;
•	сигнализацию для систем, связанных с безопасностью, и для основно-
го оборудования энергоблока;
-	к группе 3 относятся сообщения, характеризующие:
•	срабатывание защит, не включенных в группы 1 и 2;
•	превышение уставок, инициирующих срабатывание защит;
•	срабатывание автоматического включения резерва (АВР) по основно-
му оборудованию;
•	сигнализацию для систем нормальной эксплуатации;
•	предупредительную сигнализацию по системам, связанным с безопас-
ностью, и основному оборудованию;
-	к группе 4 относятся сообщения, не вошедшие в первые три группы.
Способы подавления аварийных сигналов. Количество аварийных и предуп-
редительных сигналов на БПУ может достигать нескольких тысяч. Одним из
методов совершенствования взаимодействия оператор—система является обо-
снованное сокращение объема информации на экранах дисплеев в аномаль-
ных ситуациях, чтобы оператор имел возможность сосредоточить внимание
на наиболее существенных сообщениях с точки зрения безопасности АЭС.
При этом следует учитывать [59]:
-	характер аварийной ситуации;
-	причинно-следственную связь отдельных событий;
209
Принципы создания АСУ ТП АЭС
—	содержательную часть сообщений;
—	необходимое оператору время реакции на конкретные сообщения.
В состав алгоритмов сокращения объема сообщений, разработанных для
АЭС с ВВЭР-440 (Финляндия), входят [59]:
—	алгоритм использования временной задержки;
—	алгоритм объединения равнозначных сообщений;
—	алгоритм снижения числа сообщений о взаимосвязанных событиях;
—	алгоритм ограничения числа сообщений.
Алгоритм использования временной задержки .Сообще-
ние о превышении параметром некоторой уставки МАХ-1 может выдаваться
с временной задержкой. Если за время T<At параметр вновь вернулся к нор-
ме, то сообщение не выдается. В случае, если в течение T<At появится сооб-
щение о превышении уставки МАХ-2, то это сообщение выводится без за-
держки.
Алгоритм объединения равнозначных сообщений.В ка-
честве равнозначных сообщений может рассматриваться информация, посту-
пающая от датчиков, установленных в параллельно работающем оборудова-
нии. Например, температура, давление, расход в парогенераторах каждой
петли. Равнозначные сообщения в этом случае могут совмещаться.
Алгоритм снижения числа сообщений о взаимосвя-
занных событиях. Алгоритм обрабатывает два сообщения, которые
имеют причинно-следственную взаимосвязь. Например, если давление в си-
стеме превышает допустимое значение и предохранительный клапан открыт
или если давление в пределах допустимого и предохранительный клапан зак-
рыт, то этим состояниям соответствует сообщение о нормальной работе кла-
пана. Две другие комбинации свидетельствуют об определенных неисправ-
ностях клапана.
Алгоритм ограничения числа сооб щ е н и й . Для хорошо ис-
следованных переходных процессов (например, плановый останов, отклю-
чение нагрузки и т.п.) известны характеристики изменения отдельных пара-
метров. Если текущие значения ряда параметров находятся в пределах
соответствующих допусков, то большинство сообщений блокируется и выда-
ются лишь сообщения, важные с точки зрения безопасности энергоблока.
Например, при останове блока большое количество сигналов, поступаю-
щих от остановленных насосов, снижения давления и т.п., не важно в каче-
стве сигналов в этой ситуации.
К составляющим методологии обработки тревожных сигналов в [43] от-
носятся, например:
—	подавление логически зависимых сигналов;
—	подавление иерархических сигналов.
210
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Подавление логически зависимых с и гн ал о в . Большин-
ство генерируемых тревожных сигналов является следствием исходного со-
бытия. Эти сигналы должны быть подавлены как несущественные, за исклю-
чением сигналов, которые связаны непосредственно с исходным событием
(останов реактора, аварийный останов турбины, аварийное отключение ге-
нератора и закрытие главного парозапорного клапана).
Тревожные сигналы, зависящие от рабочего режима, относятся к кон-
кретному типу логически зависимых сигналов и подавляются в других ре-
жимах.
Тревожные сигналы технологического процесса, которые зависят от ра-
бочего режима сопряженного оборудования, могут быть обоснованными лишь
в определенном режиме и, возможно, подавляться в других режимах.
Подавление иерархических тревожных сигналов.Если
между тревожными сигналами существует некоторая иерархическая зависи-
мость и если активизируются сигналы более высокого уровня, то сигналы
более низкого уровня подавляются.
Например, при обесточивании шин собственных нужд напряжением 6 кВ
и соответствующем обесточивании распредустройства 0,4 кВ, подавляются
тревожные сигналы, относящиеся к шинам 0,4 кВ.
Возможны и другие подходы к подавлению аварийных сигналов. Алгорит-
мы подавления сигналов необходимо отрабатывать на моделирующем комп-
лексе энергоблока.
Средства представления сигналов. В соответствии с «уровнями» защиты на
БПУ, в порядке приоритетности, должны быть предусмотрены следующие
средства представления сигналов и сообщений:
- уровни защиты 1, 2 (группы сигналов 2, 3, 4):
• средства централизованного и индивидуального контроля на рабочих
местах операторов, обеспечивающие предупредительную и аварийную сиг-
нализацию о нарушении эксплуатационных пределов и условий нормальной
эксплуатации, пределов и условий безопасной эксплуатации.
- уровни защиты 3, 4 (группа сигналов 1):
• средства централизованного контроля (экран коллективного пользо-
вания, дисплеи на рабочих местах операторов, табло сигнализации пультов-
панелей), обеспечивающие аварийную сигнализацию о нарушении пределов
и условий безопасной эксплуатации.
Средства представления сигналов на экране коллек-
тивного пользования и АРМ операторов.
Обобщенная информация о состоянии критических функций безопас-
ности на ЭКП обычно представлена крупноформатными табло, которые за-
гораются красным цветом при нарушении КФБ. При этом отсутствует
211
Принципы создания АСУ ТП АЭС
информация о тенденции к нарушению безопасности энергоблока. С этой
целью целесообразно использовать гистограммы, приведенные на рис. 6.8 [72].
Переход КФБ в новое состояние иллюстрируется изменением цвета соответ-
ствующего поля гистограммы. Указанные гистограммы располагаются в вер-
хней зоне ЭКП. Целесообразно подобные гистограммы расположить в ниж-
нем левом углу видеокадров.
Экстремальные
нарушения
Тяжелые нарушения
Частичные нарушения
Параметры в норме
Рис. 6.8. Гистограммы состояния КФБ
КФБ не достоверна
Время с момента
изменения статуса КФБ
В правой верхней зоне ЭКП располагаются также крупноформатные таб-
ло для сигнализации о четырех серьезных событиях на энергоблоке — быст-
рый останов реактора, разрыв главного паропровода, остановка турбины, от-
ключение генератора [32]. При имеющем место событии соответствующее
табло загорается красным цветом.
Вариант видеокадра ЭКП приведен на рис. 6.5. Рабочую часть экрана за-
нимает графическое изображение основных технологических установок энер-
гоблока и связей между ними с уровнем абстракции, достаточным для логи-
ческой группировки параметров режима работы блока.
Для организации обобщенных сообщений на видеокадрах в проекте энер-
гоблока с ВВЭР-640 приняты следующие индикаторы [115]:
Н — наивысший приоритет, сообщение из системы безопасности;
А — нарушение аварийной уставки;
W — нарушение предупредительной уставки;
Т — нарушение допустимых отклонений аналоговых величин;
F — неисправность АСУ ТП;
О — подсказка оператору для подтверждения аварийных сигналов.
Статусы событий и способы кодирования статуса события посредством
цветовых сигналов приведены в табл. 6.2.
212
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Таблица 6.2
Статус событий и способ кодирования статуса
Описание статуса	Способ кодирования статуса
Событие действующее. Сообщение о событии не квитировано	Мигание с частотой 2 Гц фона элемента цветом, соответствующим типу сообщения
Событие действующее. Сообщение о событии квитировано	Высвечивание ровным цветом элемента, соответствующего типу сообщения
Событие прекратило свое действие («ушедшее» событие). Цветовое сообщение о прекращении действия события не квитировано	Мигание с частотой 0,5 Гц фона элемен- та цветом, соответствующим типу сооб- щения
Событие прекратило свое действие («ушедшее» событие). Цветовое сооб- щение о прекращении действия причи- ны события квитировано	Высвечивание фона элемента ровным цветом, принятым для видеокадра
Для индикации обобщенного сообщения о состоянии безопасности и со-
стоянии технологического процесса используется пиктограмма вида:
Н	А	W	Т	F	О
Данная пиктограмма размещается в верхнем колонтитуле каждого техно-
логического видеокадра.
При событиях, относящихся к группе 1, высвечивается сообщение Н.
При событиях, относящихся к группам 2 и 3, высвечиваются сообщения
A, W, Т, F — в зависимости от вида события.
Цветовое кодирование сообщений приведено в табл. 6.3.
Статусы событий и способы кодирования статуса соответствуют табл. 6.2.
Сигнализация состояния ФТК, ФТП, ФТГ. В проекте АЭС с
ВВЭР-640 сигнализация состояния реализована на обобщенных видеокадрах
ФТК, ФТП, ФТГ в виде пиктограммы:
	ФТП		
А	W	т	F
с кнопкой, обеспечивающей вызов на экран монитора видеокадра ФТП или
ФТГ, в которой произошло нарушение эксплуатационных пределов нормаль-
ной эксплуатации или пределов и условий безопасной эксплуатации.
Для обозначения на видеокадре исполнительного механизма, например,
электропривода насоса, используется пиктограмма вида:
213
Принципы создания АСУ ТП АЭС
Конфигурирующий элемент
Рамка
Фон
Пиктограмма события
Таблица 6.3
Цветовое кодирование сообщений
Тип сообщения	Цвет фона	Цвет символа
Н	Красный	Черный
А	Красный	Белый
W	Желтый	Черный
Т	Синий	Черный
F	Черный	Красный
О	Желтый	Черный
Сигнализация состояния механизма определяется цветом фона пиктог-
раммы и мерцанием пиктограммы события (табл. 6.4).
Таблица 6.4
Сигнализация состояния механизма
Состояние	Фон	Рамка	Мерцание
Включен	Цвет среды	Черная	Нет
Отключен	Белый	Черная	Нет
Отказ	Красный	Черная	2 Гц
Для представления на видеокадре численного значения аналогового па-
раметра используется цифровой индикатор с граничными значениями A, W
или Т:
Конфигурирующий элемент
Пиктограмма события
Сигнализация средствами «мозаики». Для аварийной сиг-
нализации, сигнализации состояния исполнительных механизмов исполь-
зуются следующие элементы «мозаики» [53]:
214
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
-	транспаранты сообщений аварийной и предупредительной сигнализа-
ции красного и желтого цвета размерами 25x50 мм и 50x50 мм;
-	одно-, двух- и трехцветные транспаранты с индикаторами различного
цвета размером 25x50 мм;
-	индикаторы состояния исполнительного механизма — отключен — от-
каз -включен с индикацией зеленым, красным и желтым цветом соответ-
ственно (рис. 6.9).
Включено Отказ Выключено
”□ □ ЁГ
______Транспарант______
О о
Рис. 6.9. Элемент «мозаики»
Организацию сигнализации средствами «мозаики» на пультах-панелях
УСБТ и СУЗ покажем на примере работы [35].
Сигнализация на пультах-панелях УСБТ:
-	в верхней части панелей расположены табло сигнализации красного цве-
та о срабатывании УСБТ;
-	в верхней части панелей расположены табло сигнализации белого цвета
об отказах аппаратуры УСБТ, датчиков контроля параметров;
-	на фасаде панелей расположены обобщающие табло сигнализации оран-
жевого цвета с надписью «Отказ»; табло загорается, если загорается подобное
обобщающее табло функциональной зоны, свидетельствующее об отказе кон-
кретного исполнительного механизма;
-	для отображения достижения уставок параметров на срабатывание ос-
новных предохранительных устройств — ИПУ КД, ИПУ ПГ, БРУ-А исполь-
зуется двухстрочное табло. Загорание верхней строки табло красным
цветом означает, что параметр достиг уставки срабатывания данного уст-
ройства;
-	сигнализация состояния исполнительного механизма осуществляется
индикаторами ячеек контроля и управления конкретным объектом.
Сигнализация на пульте и на информационной панели СУЗ:
-	в верхней части информационной панели расположены восемь табло
красного цвета с обобщающими сигналами о срабатывании АЗ, ПЗ-1,2, УПЗ
(по четыре табло для каждого комплекта СУЗ);
-	слева и справа от дисплеев пульта, на пультовых приставках, располо-
жены табло сигнализации о первопричине срабатывания АЗ, ПЗ-1, ПЗ-2, УПЗ
по каждому комплекту СУЗ;
215
Принципы создания АСУ ТП АЭС
— на горизонтальной части пульта расположены средства индивидуальной
сигнализации о состоянии технических средств СУЗ реактора.
По рекомендации [84] рядом с дисплеями пульта СУЗ должны быть уста-
новлены индивидуальные индикаторы числовых значений нейтронно-физи-
ческих параметров реактора — мощность, период, реактивность для обоих
комплектов СУЗ. Сигнализация первопричины срабатывания СУЗ осуществ-
ляется на экране монитора СУЗ.
Звуковое сопровождение сигналов. В качестве средств звукового сопровож-
дения используются:
сирена — экстремальное нарушение критической функции безопасности;
серьезное нарушение критической функции безопасности;
звонок — частичное нарушение критической функции безопасности;
нарушение пределов и условий безопасной эксплуатации;
гонг — нарушение эксплуатационных пределов и условий нормальной
эксплуатации.
Целесообразно сирену, звонок и гонг заменить одним средством сигнали-
зации, воспроизводящим звук различной силы, тональности и частоты. Этим
самым можно исключить негативное воздействие на оператора резких зву-
ков, издаваемых сиреной и звонком.
Квитирование сигналов. Квитирование светового сообщения на экране
монитора осуществляется с помощью кнопки, расположенной на нижнем ко-
лонтитуле видеокадра. Там же расположена кнопка снятия звукового сигнала.
Квитирование пришедшего сигнала (частота мигания 2 Гц) на пультах-па-
нелях осуществляется специальной кнопкой. Редко мигающий сигнал (0,5 Гц)
квитируется с помощью кнопки сброса. Такие кнопки устанавливаются на
каждом пульте-панели. Здесь же устанавливаются кнопки сброса звукового
сигнала.
Для квитирования сигналов на пультах-панелях оператор должен покинуть
свое постоянное рабочее место у дисплейного пульта (вариант — осуществлять
квитирование с помощью кнопки, установленной на дисплейном пульте).
6.6. Система поддержки оперативного персонала БПУ
Назначение. Авария на АЭС «Три-Майл-Айленд» выявила существенные
недостатки в области взаимодействия оператора с системой управления. Су-
ществовавшие в тот период методы представления информации не позволяли
оператору получить точную картину общего состояния АЭС во время аварии.
Создание АСУ ТП АЭС нового поколения, к которым относятся АЭС с
реакторными установками ВВЭР-640 и ВВЭР-1000, потребовало разработки
систем поддержки оперативного персонала блочного пункта управления.
216
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Можно выделить три основные задачи систем поддержки, предназначен-
ные для помощи оперативному персоналу на разных стадиях процесса управ-
ления:
—	оценка текущего состояния технологического процесса и тенденций его
развития;
—	распознавание аномальной или аварийной ситуации и определение ее
причин;
-	выбор и выдача рекомендаций по выполнению необходимых действий
по устранению или смягчению последствий этой ситуации.
В состав системы поддержки оператора входят:
—	электронные инструкции для помощи оператору при ведении режимов
нормальной эксплуатации и в аварийных ситуациях;
-	симптомно-ориентированные аварийные инструкции, обеспечивающие
техническое руководство по эксплуатации во время аварии вне зависимости
от исходных событий и вероятности их появления;
—	система представления параметров безопасности (СППБ).
Электронные инструкции. Электронная инструкция — это полное и после-
довательное изложение указаний по действиям оператора. Электронная ин-
струкция разрабатывается на основе соответствующей «бумажной» инструк-
ции с использованием возможностей компьютеров в представлении текста и
графических изображений [79]. Кодирование цветом, формой, размером по-
вышает возможности восприятия текста инструкции.
Недостатком электронных инструкций является ориентация на стандарт-
ные ситуации. Существует и проблема навигации — поиск оператором нуж-
ной инструкции.
Важным является вопрос сочетания электронной инструкции с дисплей-
ными форматами, используемыми для контроля и управления блоком.
В рамках Координационной программы МАГАТЭ разрабатывается руко-
водство по созданию автоматизированных аварийных инструкций. Переход
от компьютеризированной инструкции к автоматизированной может быть
осуществлен посредством следующих этапов [61]:
1.	Управление путем делегирования. На этом уровне определенные части
инструкций могут выполняться автоматически, по приказу оператора.
2.	Управление по разрешению. Следующий логический шаг заключается в
том, что система инструкций контролирует процесс, определяет нужную ин-
струкцию и выполняет ее по разрешению оператора.
3.	Управление по одобрению. Система инструкций сама определяет про-
блему и автоматически решает ее бездействий оператора, если последний не
возражает.
4.	Автономное исполнение в случае необходимости. Полная автоматизация.
217
Принципы создания АСУ ТП АЭС
Внедрение компьютеризированных инструкций связано с задачей опера-
тивного доступа к требующейся инструкции. Пример системы, предназна-
ченной для автоматического управления выбором аварийных инструкций в
соответствии с состоянием станции, приведен в работе [36]. Система EPG
(Emergency Procedure Guidenline) разработана для АЭС с реакторами BWR и
позволяет по значениям параметров и состоянию оборудования АЭС опреде-
лить тип необходимой аварийной инструкции. Аварийная инструкция вос-
производится в виде блок-схемы, представляющей последовательность опе-
раций, а содержательная часть — в виде текста.
База данных этой системы включает в себя аварийные инструкции и на-
бор форматов, отображаемых на экране дисплея. В процессе ввода каждой
аварийной инструкции для оповещения персонала включается звуковой сиг-
нал. Функциональная схема системы EPG приведена на рис. 6.10.
Рис. 6.10. Функциональная схема системы EPG:
1 — АЭС; 2 — функция оценки состояния АЭС;
3 — логическая схема слежения за последовательностью операций; 4 — логическая схема
оценки состояния АЭС; 5 — численные расчеты; 6 - управляющие функции интерфейса;
7 — формат дисплея; 8 — база данных аварийных инструкций; 9 — графические данные;
10 — текстовые данные; 11 — дисплей; 12 — звуковой сигнал; 13 — сенсорный сигнал
Аналогичные системы уже эксплуатируют на АЭС. Так, фирма General
Electric (США) использует систему управления аварийными инструкциями
EOP (Emergency Operator Procedure) с выполнением следующих функций [36]:
— анализ состояния АЭС в реальном масштабе времени (on-line);
218
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
— воспроизведение этапов функционирования аварийных инструкций в
режиме on-line;
- выбор приоритетной последовательности аварийных инструкций.
Принципы создания электронных аварийных инст-
рукций (ЭЛАИ). В основу создания ЭЛАИ могут быть положены сле-
дующие принципы [6]:
1.	Предоставление детальных процедур и указаний оператору по диагнос-
тике состояния АЭС и выполнению процедурного шага.
Обеспечивается избирательный вывод на экран монитора информации по
текущему процедурному шагу, освобождение оператора от выборочного кон-
троля множества параметров и состояния оборудования с четким предписа-
нием действий на каждом шаге ЭЛАИ.
2.	Контроль выполнения управляющей процедуры.
Обеспечивается отметкой оператором своих действий в чеках-ячейках ЭЛАИ.
3.	Гибкость, информативность, объединение символьной и графической
информации в единых образных процедурах.
Реализация данного принципа обеспечивается:
-	использованием типовых графических символов при разработке блок-
схемы ЭЛАИ;
-	организацией видеокадров, форм представления данных с учетом воз-
можностей человека-оператора по приему и обработке информации;
-	получением оператором информации в избирательном режиме;
-	отображением аналоговой информации в виде обобщенных образов, ги-
стограмм, графиков и цифровых индикаторов;
-	отображением фрагментов технологических систем с указанием состо-
яния оборудования.
4.	Оперативный доступ к требующейся ЭЛАИ.
Обеспечивается с помощью меню и кнопок-указателей на видеокадрах.
Пример. ЭЛАИ по ликвидации аварии «Открытие положному сигналу и непо-
садка предохранительного клапана компенсатора давления».
Указанная авария является следствием нарушения плотности 1-го контура и ис-
течения пара из парового пространства компенсатора давления через открывшийся
предохранительный клапан в барботер, что приводит к разрыву мембраны барботера
и истечению теплоносителя под оболочку с расходом до 200 т/ч [65].
Признаки аварии:
-	снижение давления в 1-м контуре;
-	открытое положение или отсутствие сигнализации о положении одного из кла-
панов компенсатора давления;
-	возрастание температуры металла трубопроводов импульсного предохранитель-
ного клапана компенсатора давления;
219
Принципы создания АСУ ТП АЭС
—	повышение давления под оболочкой;
—	сигнал аварийной защиты реактора «Давление над активной зоной меньше или
равно 14,7 МПа при мощности больше 75% номинальной или 13,7 МПа при темпе-
ратуре более 260°С в горячих нитках петель», или «Уменьшение разности температу-
ры насыщения теплоносителя в горячей нитке любой петли менее 10°С»;
-скорость снижения давления в 1-м контуре (порядка 0,05 МПа/с не соот-
ветствует скорости снижения температуры в горячих нитках петель.
Пределы изменения основных параметров реакторной установки:
—	снижение тепловой мощности реактора до уровня остаточных энерговыде-
лений;
—	снижение давления в 1-м контуре до 5,8 МПа;
—	увеличение давления в парогенераторе не выше 8,2 МПа;
—	увеличение расхода подпитки 1 -го контура более 60 т/ч;
—	увеличение давления под оболочкой до 0,16 МПа.
Видеокадр, реализующий ЭЛАИ, приведен на рис. 6.11. Видеокадр разделен на
три поля, на которых представлены:
—	блок-схема инструкции с чеками-ячейками;
—	упрощенная схема реакторной установки с индикаторами значений парамет-
ров режима;
—	графики основных параметров режима.
В верхней части видеокадра предусмотрены табло аварийной сигнализации и стро-
ка для текста сообщения о текущих событиях.
Для ролинга блок-схемы инструкции предусмотрена полоса прокрутки в средней
части видеокадра.
Оператор имеет возможность наблюдать в реальном времени параметры режима,
работу оборудования, движение сред и динамику изменения уровня воды в гидроем-
костях и баках.
Симптомно-ориентированные аварийные инструкции. Применение элект-
ронных инструкций требует от оператора правильной идентификации исход-
ного события (например, оценки размера разрыва трубопровода, чтобы выб-
рать соответствующую аварийную инструкцию).
Симптомно-ориентированные аварийные инструкции (СОАИ) предназна-
чены для устранения или предотвращения последствий аварийной ситуации.
В СОАИ не постулируется исходное событие. Инструкции представляют собой
технологические процедуры по управлению энергоблоком, направленные на кон-
троль, поддержание и восстановление критических функций безопасности в слу-
чае их деградации, и не требуют диагностики события, приведшего к аварии [68].
Условием входа в СОАИ является ухудшение критической функции безо-
пасности либо угроза такового. Под симптомом понимается признак того,
что событие начинается или находится в развитии.
Преимущества СОАИ:
220
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
1.	Нет необходимости определить природу нарушения, для того чтобы
принять соответствующие меры.
2.	Предписываемые в СОАИ действия правильны вне зависимости от ис-
ходного события.
3.	Вход в СОАИ осуществляется на основании ряда легко обнаруживае-
мых параметров и не связан с идентификацией природы события. Эти вход-
ные условия являются симптомами как собственно аварийных ситуаций, так
и ситуаций, способных перерасти в аварийные.
ЭЛАИ «Открытие по ложному сигналу и непосадка предохранительного клапана КД»
Убедиться в факте
непреднамеренного
открытия ИПК
tl	
t2	
t3	
t4	
1	Откл.
2	Откл.
3	Откл.
4	Откл.
Изменение основных параметров РУ
N Р
Рис. 6. И. Видеокадр ЭЛАИ
221
Принципы создания АСУ ТП АЭС
4.	Использование существующих событийно-ориентированных инструк-
ций не только допускается, но и рекомендуется, как только достоверно опре-
делено событие.
5.	Вырабатываются оптимальные действия вне зависимости от проектных
предположений и оценок.
6.	Если для выработки правильности действий необходима идентифика-
ция события (например, в случае несрабатывания аварийной защиты), то она
основывается на анализе параметров.
7.	СОАИ определяют действия оператора, которые удержат станцию в бе-
зопасном состоянии и ослабят последствия аварии независимо от исходного
события.
При возникновении нештатного режима работы энергоблока и появле-
нии симптома оператор входит в СОАИ и работает с ней. Наличие симптома
свидетельствует об угрозе КФБ. Несмотря на то, что для работы в СОАИ оп-
ределения исходного события не требуется, оператор обязан постоянно пы-
таться диагностировать причины нарушения.
При успешном определении исходного события локализация аварийной
ситуации будет выполнена качественнее и быстрее.
Ти	повая блок-схема СОАИ приведена на рис. 6.12. Типовыми процедура-
ми СОАИ являются:
—	определение симптома;
—	немедленные действия;
—	предварительный анализ;
—	выбор контролируемых параметров;
—	управление параметрами;
—	постоянная перепроверка;
—	стабилизация параметров;
—	восстановление приемлемого значения параметров;
—	стабилизация безопасного состояния блока;
—	выход из СОАИ.
Основная задача оператора в аварийной ситуации — контроль процесса в
безопасных пределах и предотвращение деградации КФБ. Оператор должен
не следовать за процессом, а делать предупреждающие шаги. Оператор дол-
жен контролировать не достижение параметром какой-либо уставки (или зна-
чения), а работать с параметром (параметрами) в диапазоне. При этом он дол-
жен использовать все имеющиеся у него средства.
Управление аварией осуществляется по пути деградации функции, то есть
сначала ставится цель — используя все имеющиеся средства удержать пара-
метр в диапазоне, близком к диапазону нормальной эксплуатации. Если же
удержать параметр в этом диапазоне не удается, то осуществляется переход
222
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
к более широкому диапазону параметров и привлекаются дополнительные
средства.
Рис. 6.12. Типовая блок-схема СОАИ
223
Принципы создания АСУ ТП АЭС
При дальнейшем ухудшении ситуации должны привлекаться все новые
средства, вплоть до самых кардинальных мер. При улучшении состояния стан-
ции (параметров) предусмотрена возможность возврата к контролю процесса
в более узком диапазоне, то есть приближение к входу в инструкцию нор-
мальной эксплуатации.
Так как оператор должен управлять не одним параметром (не одной сис-
темой), то существует возможность делать это одновременно. Для этого при-
меняется блок «ВЫПОЛНЯТЬ ОДНОВРЕМЕННО».
Система представления параметров безопасности. Назначение и функцио-
нальные критерии СППБ определены стандартом [102]. СППБ предназначе-
на для информационной поддержки оперативного персонала во всех режи-
мах работы энергоблока на основе симптомно-ориентированной или
событийно-ориентированной диагностики.
СППБ обеспечивает:
—	контроль за пределами и условиями безопасной эксплуатации;
—	контроль за целостностью барьеров безопасности;
—	однозначную идентификацию критической ситуации и причин ее воз-
никновения.
СППБ независима от событий, то есть не представляет информацию о ка-
кой-то последовательности аварий, но дает непрерывную картину состояния
общей безопасности АЭС.
В основе СППБ лежат контроль параметров безопасности и анализ состо-
яния критических функций безопасности.
Основные принципы выбора критических функций и параметров безо-
пасности:
1.	Выбранные параметры должны полностью отражать состояние энергоблока
с точки зрения безопасности в нормальном режиме эксплуатации, при оста-
новленном оборудовании, при разогреве/расхолаживании и работе с топливом.
2.	Все выбранные параметры должны быть связаны с безопасностью эксп-
луатации таким образом, чтобы они могли идентифицировать начало нештат-
ной ситуации, сопровождать ее развитие и определять момент входа в нор-
мальный режим работы, когда отсутствует опасность разрушения любого
барьера безопасности.
3.	Параметры должны быть выбраны и сгруппированы таким образом, что-
бы имелась возможность однозначного определения причины нарушения и
связанных с ней действий по нормализации критических функций и пара-
метров безопасности.
4.	Должен выполняться критерий множественности путей удовлетворения
КФБ, предусмотренных проектными, организационными и системными спо-
собами.
224
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
Иерархия представления информации в СППБ.
В СППБ предусматриваются три уровня представления информации опе-
ратору [72], показанные на рис. 6.13:
-	обобщенная информация о состоянии КФБ;
-	деревья состояний и рекомендации оператору по восстановлению КФБ;
-	симптомно-ориентированные процедуры, аварийные инструкции.
Обобщенная
информация
о состоянии КФБ
RL CS HS PS СС RS SS
Параметры
безопасности
Деревья состояний КФБ
Технологический объект управления
Рис. 6.13. Иерархия системы представления параметров безопасности
225
Принципы создания АСУ ТП АЭС
Обобщенная информация о состоянии критических функций безопасно-
сти представлена в виде гистограмм, приведенных на рис. 6.8. Переход кри-
тической функции в другое состояние инициируется изменением цвета соот-
ветствующего поля гистограммы.
Состояние безопасности блока может быть представлено и в виде полярной
диаграммы — многоугольника, положение вершин которого определяется зна-
чениями не более десяти параметров безопасности («лучей»). При безопасном
состоянии блока многоугольник на видеокадре имеет правильную форму.
На видеокадры второго уровня выводятся деревья состояний и рекомен-
дации оператору по восстановлению критической функции безопасности.
Рекомендации сводятся к указаниям оператору по выбору конкретной СОАИ,
ЭЛАИ и переходу к инструкции по нормальной эксплуатации после восста-
новления КФБ.
СОАИ и ЭЛАИ выбираются оператором с помощью меню или кнопок пе-
рехода, предусмотренных на обобщенных видеокадрах.
Действия оператора по восстановлению КФБ:
—	стремиться восстановить ту КФБ, состояние которой наиболее критично;
—	если критично состояние нескольких КФБ, то оператор должен восста-
новить КФБ, имеющую наибольший приоритет;
—	если ухудшенная КФБ поддерживается аварийной системой или луч-
шей поддержки не может быть оказано, то оператор должен стремиться вос-
становить следующую по приоритетности КФБ.
6.7.	Обеспечение качества
В соответствии с [84] цель программы обеспечения качества состоит в том,
чтобы гарантировать не только безопасность для населения, но и успешную
коммерческую эксплуатацию энергоблока.
Программа обеспечения качества должна быть разработана в соответствии
со стандартами обеспечения качества. Программа разрабатывается с целью
обеспечения того, что исходные данные для проектирования БПУ будут реа-
лизованы в полном объеме. При этом операторы будут обеспечены соответ-
ствующими техническими и программными средствами, а также инструкци-
ями и т.д., необходимыми для безопасной эксплуатации энергоблока при
постулируемых нормальных, аномальных, аварийных и послеаварийных сце-
нариях.
Программа обеспечения качества должна включать в себя необходимые про-
цедуры, используемые персоналом по обеспечению качества, а также персона-
лом, занятым проектированием, изготовлением, монтажом, пуском и испыта-
ниями АСУ ТП АЭС.
226
Гл. 6. Принципы создания БПУ и человеко-машинного интерфейса
6.8.	Проверка и утверждение проекта БПУ
Методика проверки и утверждения проекта БПУ излагается в соответствии
со стандартом IEC 60964 [103].
Критерии оценки проекта должны дать возможность оценить взаимодей-
ствие интерфейса человек—машина с другими средствами, составляющими
систему пункта управления — с оперативным персоналом, с процессом уп-
равления, программой подготовки, а также дать возможность оценить саму
систему человеко-машинного интерфейса.
Следует учитывать следующие основные критерии:
1.	Функциональные последовательности, реализуемые операторами и ав-
томатикой, должны быть полными и взаимосогласованными.
2.	Философия управления, выраженная в функциональных требованиях,
должна согласованно применяться ко всем функциям управления так, чтобы
«подсистемы», имеющие похожие характеристики функционирования, мог-
ли бы управляться идентичным образом.
3.	Задачи, выполняемые оперативным персоналом, должны соответствовать
психофизиологическим возможностям человека. Не следует поручать опера-
торам задачи, требующие быстрой или сложной обработки информации.
4.	Двигательные характеристики операторов должны определяться с уче-
том двигательных способностей человека.
5.	Информационная нагрузка оператора должна определяться с учетом его
состояния (усталость, бдительность) в части:
-	восприятия;
-	обработки информации;
-	запоминания (кратковременного и долговременного).
6.	Любая информация, которая требуется оператору для выполнения за-
дания в течение различных фаз управления и во время переходных процес-
сов, должна быть легкодоступной.
7.	Процесс поиска информации при использовании АРМ должен быть
минимальным.
8.	Процедура управления должна быть согласована с человеко-машинным
интерфейсом и с предусмотренной периодичностью обновления информа-
ции на дисплеях АРМ. Процесс управления должен охватывать все задачи и
функциональные последовательности, которые предусмотрены для БПУ.
Описание всех процессов должно быть полным, правильным и легко приме-
няемым.
9.	Программа подготовки операторов должна быть согласована с требова-
ниями человеко-машинного интерфейса и с процессами управления. Про-
грамма подготовки должна дать оператору сумму знаний, выработать у него
227
Принципы создания АСУ ТП АЭС
определенные рефлексы для безопасного и надежного управления блоком,
включая обучение действиям при непредвиденных ситуациях.
10.	Требования, предъявляемые к бригаде операторов, должны быть согласо-
ваны со всеми положениями, которые обеспечивают надежность и безопасность
станции, а также с процессом управления и программой подготовки персонала.
11.	Связь бригады операторов БПУ с локальными операторами и с персо-
налом станции должна быть оперативной и легко устанавливаемой.
12.	Следует доказать, что система поддержки операторов может улучшать
их потенциальные возможности, не создавая при этом непредвиденного вто-
ричного эффекта, который может стать причиной скрытого противодействия
деятельности оператора при принятии оператором какого-либо решения.
Проверка проекта БПУ осуществляется путем оценки представленных спе-
цификаций на соответствие требованиям и критериям проектирования.
Утверждение проекта БПУ осуществляется путем оценки взаимосвязи меж-
ду организацией БПУ, оператором, процессом управления и программой под-
готовки операторов.
На данном этапе блочный пункт управления представлен комплектом чер-
тежей и спецификаций.
Процедура утверждения проекта осуществляется следующими методами:
— метод «круглого стола», который определяет детальное обсуждение сце-
нариев;
—	метод «бумажного макета», который определяет рассмотрение процедур,
предписанных сценарием, с использованием планшетов пультов и панелей БПУ;
—	метод «макетирования», который определяет использование макетов,
имитирующих реальное оборудование БПУ.
ГЛАВА 7. ТЕХНОЛОГИЯ СОЗДАНИЯ АСУ ТП АЭС
7.1. Требования к технологии создания АСУ ТП АЭС
Опыт проектирования АЭС нового поколения с ВВЭР-640 и ВВЭР-1000
показал, что создание АСУ ТП как сложной человеко-машинной системы тре-
бует применения новых, отличных от традиционных подходов проектирова-
ния, технологий.
Отказ от традиционных пультов управления, переход к компьютеризирован-
ным БПУ определили ряд новых задач, связанных с созданием человеко-машин-
ного интерфейса. Основой д ля решения этих задач является инженерно-психоло-
гическое проектирование деятельности человека-оператора по управлению АЭС.
Создание АСУ ТП с учетом уровней ее иерархии должно вестись с исполь-
зованием инструментальных средств, обладающих развитым графическим
интерфейсом.
Эти средства должны являться неотъемлемой частью АСУ ТП и использо-
ваться для последовательного проектирования системы от уровня индивиду-
ального управления технологическим оборудованием до уровня автоматизи-
рованного и автоматического управления.
Инструментальные средства должны использоваться на всех этапах, вклю-
чая проектирование, комплектацию, изготовление и испытание программ-
но-технических средств АСУ ТП, а также на этапах ввода в эксплуатацию и
промышленной эксплуатации АСУ ТП.
Проектирование блочного уровня АСУ ТП должно включать в себя разра-
ботку структуры базы данных реального времени, человеко-машинного ин-
терфейса, архивов, системы документирования и протоколирования. Резуль-
татом проектирования должно быть конфигурирование ПТС блочного
уровня — организация программных интерфейсов СВБУ.
Проектирование ПТК нижнего уровня АСУ ТП должно быть связано с
конфигурацией стандартных функций, обеспечивающих выполнение кон-
троллерами или функциональными модулями заданной функции контроля и
управления.
Исследование и отработка проектных решений на этапах проектирования
АСУ ТП должны осуществляться с помощью расчетно-моделирующего ком-
плекса энергоблока.
229
Принципы создания АСУ ТП АЭС
Отработка человеко-машинного интерфейса, алгоритмов управления тех-
нологическими системами и программно-технических комплексов должна
осуществляться на полигоне АСУ ТП.
7.2. Проектирование деятельности человека-оператора
Одной из главных задач проектирования БПУ является создание челове-
ко-машинного интерфейса, обеспечивающего ведение основного технологи-
ческого процесса, управление АЭС при нарушениях нормальной эксплуата-
ции, включая аварии, информационное обеспечение оперативного персонала,
включая систему поддержки оператора [103].
В соответствии с NLJREG-0711 [111] общие цели проектирования челове-
ко-машинного интерфейса должны заключаться в следующем:
—	задачи персонала должны быть завершены в пределах временных кри-
териев ведения технологического процесса;
—	человеко-машинный интерфейс должен поддерживать высокую степень
«situation awareness» — знания ситуации оператором;
—	проектирование БПУ и распределение функций между человеком и ма-
шиной обеспечат приемлемые уровни рабочих нагрузок на оператора;
— интерфейсы оператора с объектом управления сократят ошибки
оператора, обеспечат их обнаружение и будут способствовать их устране-
нию.
Процесс экспертизы учета человеческого фактора при проектировании и
аттестации человеко-машинного интерфейса должен быть подразделен на
10 шагов [111]:
шаг 1: управление разработкой человеко-машинного интерфейса;
шаг 2: анализ опыта эксплуатации;
шаг 3: анализ функциональных требований, распределение функций;
шаг 4: анализ задач;
шаг 5: кадровое обеспечение;
шаг 6: анализ надежности оператора;
шаг 7: проектирование человеко-машинного интерфейса;
шаг 8: разработка инструкций;
шаг 9: разработка программы обучения;
шаг 10: проверка и приемочные испытания.
Функциональное проектирование отличается значительной трудоемкос-
тью его проведения и требует наличия всех исходных данных по рассматри-
ваемой технологической системе и технологическому процессу. В качестве
примера рассмотрим особенности проведения функционального анализа при
проектировании зоны управления реактором.
230
Гл. 7. Технология создания АСУ ТП АЭС
Пример. Функциональное проектирование для функциональной подобласти
«Управление и защита реактора».
Назначение системы управления и защиты реактора. СУЗ реактора предназначена
для автоматического и ручного управления мощностью, реактивностью и энергорас-
пределением в активной зоне реактора, предупредительной и аварийной защиты ре-
актора, обеспечения контроля теплофизических и нейтронно-физических парамет-
ров реакторной установки и контроля положения органов регулирования,
документирования событий и взаимообмена сигналами с сопрягаемыми подсисте-
мами АСУТП.
СУЗ совместно с основными регуляторами реакторной установки должна обеспе-
чивать поддержание параметров реакторной установки в рамках эксплуатационных
пределов при нормальных условиях эксплуатации, ограничение мощности вплоть до
полного останова реактора при нарушении нормальных условий эксплуатации и ава-
рийную защиту при аварийных ситуациях и авариях.
Функции СУЗ. По функциям управления СУЗ обеспечивает:
-	пуск реактора;
-	изменение мощности реактора при пуске, останове, переходе с одного режима
на другой;
-	автоматическое регулирование мощности реактора по программам:
•	поддержание постоянного значения плотности нейтронного потока (режим «Н»);
•	поддержание постоянного значения давления во 2-м контуре (режим «Т»);
-	разгрузку и ограничение мощности реактора в зависимости от состояния обо-
рудования;
-	управление мощностью реактора и распределением энерговыделения в актив-
ной зоне дистанционно или по командам от системы контроля, управления и диаг-
ностики реакторной установки;
-	индивидуальное и групповое управление ОР;
-	снижение мощности реактора (ПЗ-1, УПЗ) и запрет на повышение мощности
(ПЗ-2) при изменении условий эксплуатации.
Предупредительная защита первого рода ПЗ-1 осуществляется при достижении
контролируемыми параметрами соответствующих уставок или изменении состава ра-
ботающего оборудования реакторной установки. ПЗ-1 обеспечивает снижение мощ-
ности реактора посредством поочередного движения вниз с рабочей скоростью групп
ОР, начиная с рабочей группы (в автоматическом режиме или от ключа БПУ).
Предупредительная защита ПЗ-2 осуществляется при достижении контролируе-
мыми параметрами соответствующих уставок посредством запрета на движение ОР
вверх. Движение вниз при этом разрешается.
Действие ПЗ-1 и ПЗ-2 прекращается при снятии сигнала первопричины.
Ускоренная предупредительная защита осуществляется при отключении работа-
ющего оборудования и соответствующих значений параметров режима посредством
сброса одной заданной группы (в автоматическом режиме или от ключа БПУ).
По функциям защиты СУЗ обеспечивает аварийную защиту реактора путем обес-
точивания приводов всех ОР и падения их под действием собственного веса до край-
него нижнего положения.
231
Принципы создания АСУ ТП АЭС
Аварийная защита имеет приоритет перед другими видами защиты и сигналами
управления. Действие аварийной защиты доводится до конца, даже в случае снятия
сигнала первопричины.
По информационным функциям СУЗ обеспечивает представление информации
на экранах дисплеев пульта и индивидуальных индикаторах и табло информацион-
ной панели, устанавливаемой перед пультом СУЗ.
Классификация функций СУЗ по отношению к безопасно-
ст и. По отношению к безопасности функции СУЗ классифицируются в соответствии
сОПБ-88/97 [49]:
—	аварийная защита реактора — класс 2У;
— функции управления — класс ЗН.
Уровень защиты 1 обеспечивают функции управления реактором в режимах нор-
мальной эксплуатации.
Уровень защиты 2 обеспечивают функции разгрузки и ограничения мощности ре-
актора.
Уровень защиты 3 обеспечивает функция аварийной защиты реактора.
Иерархия функций. В соответствии с классификацией по отношению к
безопасности устанавливается следующая иерархия функций:
—	аварийная защита реактора;
—	разгрузка и ограничение мощности реактора;
-	управление реактором в режимах нормальной эксплуатации.
Функция «Аварийная защита реактора» обеспечивает обесточивание приводов
ОРСУЗ.
Функция «Разгрузка и ограничение мощности реактора» обеспечивает следую-
щие подфункции:
—	снижение мощности реактора (ПЗ-1);
—	запрет на повышение мощности реактора (ПЗ-2);
—	ограничение мощности реактора (УПЗ).
Функция «Управление реактором» обеспечивает следующие подфункции:
—	ведение пусковых режимов реактора;
—	набор мощности, работу на мощности;
—	останов реактора.
Следующий уровень иерархии данной функции образуют непосредственно зада-
чи управления, приведенные на рис. 7.1.
Анализ задач управления реактором. К задачам управления реак-
тором относятся:
—	снятие ОР с упоров;
—	взвод ОР на верхние конечные выключатели;
-	проверка сцепления ОР с приводами;
—	понижение концентрации борной кислоты при выходе на МКУ мощности;
—	управление рабочей группой ОР при повышении мощности до 7—12% N ном;
—	выбор режима работы АРМР — рабочий, резервный;
—	проверка работоспособности АРМР;
—	задание уставки по мощности реактора;
232
Гл. 7. Технология создания АСУ ТП АЭС
-	задание программ регулирования «Н», «Т»;
-	понижение и ограничение мощности реактора;
-	останов реактора перемещением ОР на нижние конечные выключатели.
Рис. 7. /. Иерархия функций задачи «Управление реактором в режимах
нормальной эксплуатации»
В соответствии с требованиями ОПБ-88/97 функции АЗ, ПЗ-1, ПЗ-2, У ПЗ должны
выполняться автоматически. Оператору поручается ручное дублирование автоматичес-
ки инициируемых функций для быстрого останова реактора и запуска ПЗ-1, УПЗ.
Задачи, связанные с управлением органами регулирования СУЗ при ведении пус-
ковых операций и останове реактора, требуют выполнения множества однотипных,
233
Принципы создания АСУ ТП АЭС
повторяющихся монотонных действий, простых по логике и умеренных по времени
выполнения.
При пуске реактора на действующих АЭС оператор выполняет следующие дей-
ствия:
—	назначает режим «Ручное групповое управление»;
—	назначает группу органов регулирования для управления (в порядке следова-
ния номеров);
—	командой «Больше» шагами по 35 см с выдержкой времени между шагами не
менее 60 с извлекает из активной зоны группу органов регулирования и устанавлива-
ет ее на верхние конечные выключатели;
—	повторяет операции по взводу остальных групп органов регулирования (10 и
более групп ОР), рабочая группа ОР СУЗ поднимается до высоты 40% от нижнего
положения в том же порядке;
—	контролирует движение групп органов регулирования и установку их на верх-
ние конечные выключатели;
-	контролирует период увеличения нейтронной мощности; если значение пери-
ода по показаниям хотя бы одного из каналов любого комплекта АКНП станет менее
60 с, то оператор обязан немедленно прекратить подъем группы и продолжить его
только после увеличения периода до бесконечности;
—	контролирует нейтронно-физические и технологические параметры;
—	осуществляет вывод бора из теплоносителя при выводе реактора на МКУ мощ-
ности (управление этой операцией осуществляется из зоны контроля и управления
реакторной установкой).
При проверке сцепления ОР с приводами однотипные операции кратны количе-
ству ОР. В состав СУЗ АЭС с ВВЭР-640 входит 121 орган регулирования.
Очевидно, что эти управляющие воздействия легко формализуемы, процедуры пе-
реработки информации достаточно просты, исполнительные действия просты по
содержанию.
Функции управления реактором при работе на мощности, помимо сложности опе-
раций по регулированию мощности, отличаются характером взаимодействия систем -
имеет место межсистемное взаимодействие между реакторной установкой и турбоус-
тановкой. Основное содержание деятельности оператора должно заключаться в
смысловом обобщении поступающей информации о технологическом процессе и
формировании гипотез о ситуации, прогнозировании ее развития, принятии ответ-
ственных решений по управлению технологическим процессом.
Распределение функций по управлению реактором между
человеком и машиной.
Примем за основу два основных принципа распределения функций между чело-
веком и машиной:
—	принцип преимущественных возможностей;
—	принцип активного оператора.
При использовании принципа преимущественных возможностей:
—	функции человеку и автоматике назначаются в зависимости от того, чьи пре-
имущества будут лучше использоваться в задаче управления;
234
Гл. 7. Технология создания АСУ ТП АЭС
-	предпочтение при автоматизации отдается формализуемым операциям - пере-
работке массивов информации, управлению по известным алгоритмам;
-	человеку поручаются неформализуемые функции, требующие анализа ситуа-
ции и творческого мышления.
При использовании принципа активного оператора:
-	степень автоматизации выбирается так, чтобы оператор осуществлял непрерыв-
ный контроль и часть операций выполнял сам, как следствие — отказ от полной ав-
томатизации;
—	предусматривается резервирование, дублирование человеком машины при от-
казах.
В качестве первого шага выполним распределение функций между человеком и
машиной с использованием принципа преимущественных возможностей с обеспе-
чением резервирования человеком машины при отказах.
Выше было отмечено, что операции, выполняемые при пуске реактора, отлича-
ются монотонным характером. Известно, что монотонность работы является одной
из причин, вызывающих ошибки в деятельности оператора. Подобные операции сле-
дует поручить машине с использованием принципа активного оператора.
На основании результатов выполненного выше анализа задач и особенностей эк-
сплуатации ядерных реакторов АЭС примем следующее распределение функций:
человеку поручается:
-	задание режима управления ОР СУЗ — ручное групповое, ручное индивидуаль-
ное, полуавтоматическое, автоматическое;
-	задание уставок по мощности;
-	проверка работоспособности АРМР;
-	задание программ регулирования мощности «Н» или «Т»;
-	включение АРМР в работу;
-	задание режима управления «Полуавтоматическое» при останове реактора — по-
очередное движение ОР вниз осуществляется автоматически;
-	управление ОР при ручном управлении;
-	вывод комплекта СУЗ в проверку
-	неформализуемые функции, требующие анализа состояния технологического про-
цесса, прогнозирования ситуации и принятия нестандартных решений;
автоматике поручается:
1) на уровнях защиты 2 и 3 (нарушение режима нормальной эксплуатации, аварии):
- функции УПЗ, ПЗ, АЗ;
2) на уровне защиты 1 (управление реактором в режимах нормальной эксплуа-
тации):
-	снятие органов регулирования с упоров;
-	подъем ОР при пуске реактора;
-	вывод реактора на минимально контролируемый уровень мощности;
-	проверка сцепления органов регулирования с приводами;
-	набор мощности, регулирование мощности реактора;
—	снижение мощности реактора до уровня собственных нужд (резервируется руч-
ным управлением оператором);
235
Принципы создания АСУ ТП АЭС
—	уставочный контроль, предупредительная и аварийная сигнализация;
—	представление оператору необходимой информации на экранах мониторов и
индивидуальных индикаторах и табло информационной панели СУЗ;
—	регистрация данных, ведение архива событий и т.п.
Анализ информационного потока. При решении приведенных выше
задач оператору должна быть представлена следующая информация (см. табл. 7.1—7.4):
— данные для контроля и управления процессами деления ядерного топлива;
— информация о состоянии средств воздействия на реактивность;
—	сигнализация об отказах технических средств СУЗ;
—	данные для идентификации причины срабатывания предупредительных защит;
—	сигнализация о выполнении операций по управлению реактором;
—	предупредительная и аварийная сигнализация при достижении параметрами
уставок и условий срабатывания предупредительных защит;
—	данные, необходимые для идентификации причины срабатывания АЗ;
—	аварийная сигнализация при достижении параметрами уставок и условий сра-
батывания аварийной защиты.
Оператору должна быть также представлена информация, контролируемая аппа-
ратурой защиты по технологическим параметрам:
—	давление над активной зоной;
—	разность температуры насыщения 1-го контура и температуры в любой из че-
тырех горячих ниток петель;
—	температура теплоносителя в горячих нитках;
-	перепад давления на ГЦН;
—	давление в паропроводах;
—	разность температур насыщения 1-го и 2-го контуров (в паропроводе);
—	уровень котловой воды в парогенераторах;
-	давление в 1-м контуре;
—	уровень теплоносителя в КД;
—	давление под оболочкой,
а также состояние ГЦН, наличие электропитания на шинах собственных нужд
и др.
Выбор органов управления на пульте С У 3 . Назначение и состав
индивидуальных органов управления определяются с учетом резервирования опера-
тором задач, порученных машине.
На пульте СУЗ предусматриваются (см. табл. 7.5):
—	органы управления аварийной и предупредительной защитой;
—	блок задания уставок по нейтронной мощности;
—	ключ вывода комплекта СУЗ в проверку;
—	ключ задания режима управления ОР;
—	ключи «Больше», «Меньше» при ручном управлении ОР;
—	адресная клавиатура для задания адреса ОР при индивидуальном ручном уп-
равлении ОР;
—	органы управления АРМ Р;
—	кнопка квитирования звуковой сигнализации.
236
Гл. 7. Технология создания АСУ ТП АЭС
Таблица 7.1
Нейтронно-физические параметры реактора
Параметр	Количество на 1 комплект СУЗ	Средство индикации		
		Информационная панель	Дисплей пуль- та СУЗ	Пульт СУЗ
Мощность реактора	3	+	+	+
Период разгона ре- актора	3	+	+	+
Реактивность	1	+	+	+
Уставка по мощно- сти	3	-	+	-
Запас до аварийной уставки	3	-	+	-
Таблица 7.2
Положение органов регулирования СУЗ
Параметр, сигнал	Количество, шт.	Средство индикации		
		Информационная панель	Табло пульта СУЗ	Дисплей пуль- та СУЗ
Положение ОР на конеч- ных выключателях	121	+	-	+
«Грубое» положение ОР	121	+	-	-
«Точное» положение ОР	121	-	-	+
Нерегламентное положе- ние рабочей группы ОР	1	-	+	-
Подключение удержи- вающих электромагнитов к аккумуляторной батарее	1	-	+	-
Запрет перемещения ОР по сигналу из АРМР	1	-	+	-
Рассогласование положе- ния приводов рабочей группы более чем на 2 шага	-	-	+	-
237
Принципы создания АСУ ТП АЭС
Таблица 7.3
Сигнальные табло на пульте СУЗ о выполнении операций по управлению
Сигнал	Количество
Режимы управления ОР (снятие с упора, инди- видуальное, ручное групповое, полуавтоматиче- ское, автоматическое)	Один для индикации каждого ре- жима
АРМР в режиме «Рабочий»	Один для каждого АРМР
АРМР в состоянии «Резерв»	Один для каждого АРМР
Команды «Больше», «Меньше», сформирован- ные оператором при индивидуальном управлении ОР	Один для каждого положения ключа
Режим регулирования «Н», «Т»	Для каждого АРМР
Команды «Больше», «Меньше», сформирован- ные АРМР	Для каждого АРМР
Отказ АРМР	Для каждого АРМР
Комплект СУЗ в проверке	Для каждого комплекта
Команды «Больше», «Меньше», сформированные оператором при ручном групповом управлении	
Таблица 7.4
Табло аварийной и предупредительной сигнализации
Параметр, сигнал	Количество на 1 комплект СУЗ	Средство индикации		
		Информа- ционная панель СУЗ	Пульт СУЗ	Дисплей пульта СУЗ
Рассогласование значений одно- именных параметров более чем на 2 А изм.	Для каж- дого пара- метра по 3 на комплект	-	+	-
Отказ комплекта АЗ-ПЗ	1	+	—	+
Отказ КЭ СУЗ	1	+	-	+
Неисправность устройств кон- троля положения ОР СУЗ	1	+	-	+
Срабатывание СУЗ	1	+	—	+
Первопричины срабатывания СУЗ	26	+	-	+
Срабатывание УПЗ	1	+	—	+
Первопричины срабатывания УПЗ	6	+	-	+
Срабатывание ПЗ-1	1	+	—	+
Первопричины срабатывания ПЗ-1	14	+	—	+
Срабатывание ПЗ-2	1	+	—	+
Первопричины срабатывания ПЗ-2	5	+	-	+
238
Гл. 7. Технология создания АСУ ТП АЭС
Таблица 7.5
Назначение и состав органов управления на пульте СУЗ
Назначение	Количество
Органы управления АЗ-ПЗ:	
Блок задания уставок по нейтронной мощности	Один на два комплекта СУЗ
Запуск АЗ	—"—
Запуск УПЗ	—”—
Запуск ПЗ-1	—"—
Вывод комплекта СУЗ в проверку		//
Деблокировка ПЗ-2	//
Органы управления системой группового и индивидуального управления ОР:	
Выбор режима управления (снятие с упора, ручное групповое, ручное индивидуальное, полуавтоматическое, автоматическое)	Один на два комплекта СУЗ
Выбор групп при ручном групповом управлении	//
Задание команд «Больше», «Меньше» при ручном групповом управлении		//
Задание команд «Больше», «Меньше» при индивидуальном управлении	//
Задание адреса ОР при ручном индивидуальном управлении	Адресная клавиатура на два комплекта СУЗ
Органы управления АРМР:	
Выбор АРМР («Рабочий», «Резерв»)	Один на каждый АРМР
Задание режима регулирования «Н»	Один
Задание режима регулирования «Т»	Один
Прочие органы управления	
Отключение акустического сигнала	Одна кнопка
На основании результатов функционального проектирования БПУ опре-
деляется (уточняется) круг задач, поручаемых оператору. Однако проект дея-
тельности оператора не сводится только к перечню задач. Важнейшей его ча-
стью является описание психологических «составляющих» и определение
условий формирования образа-цели, концептуальной модели, предвидения
хода событий, формирования гипотез и решений по управлению объектом,
планирования действий и анализа сигналов обратной связи [57].
Определение основных характеристик деятельности оператора, рабочего
места и системы «человек—машина» относится к инженерно-психологичес-
239
Принципы создания АСУ ТП АЭС
кой оценке разрабатываемой системы. Целью такой оценки является провер-
ка соответствия указанных характеристик заданным требованиям.
Инженерно-психологическая оценка связана с измерением тех или иных
характеристик техники, деятельности оператора или работы человеко-машин-
ной системы в целом. Различают три вида измеряемых величин:
—	физические (яркость свечения индикатора, усилие на орган управления,
частота пульса и т.п.);
—	математические (угол перемещения взгляда, размеры индикатора и др.);
—	психологические (поведенческие).
Последние являются проявлением идеальных понятий, имеющих неразрыв-
ную связь с психикой и поведением. В процессе инженерно-психологической
оценки измеряются такие характеристики, как время решения задачи оператором,
число допущенных ошибок, физиологические характеристики человека и др. [57].
Проверка проектных решений по человеко-машинному интерфейсу, ин-
женерно-психологическая оценка разрабатываемой системы осуществляют-
ся с помощью расчетно-моделирующего комплекса АЭС.
7.3. Технология проектирования ПТК АСУ ТП АЭС
При создании АСУ ТП следует использовать современную технологию.
Используемая технология должна оцениваться по следующим пунктам:
1)	документация;
2)	обратная связь на основе опыта подобных электростанций или техно-
логических процессов в промышленном применении;
3)	проверка и подтверждение того, что технология отвечает специальным
функциональным, эксплуатационным и квалификационным требованиям.
Инструментальные средства должны обеспечивать принцип объектного
проектирования и централизации данных, то есть проектные данные долж-
ны объединяться в объекты для измеряемых величин и исполнительных ме-
ханизмов, что обеспечивает независимость обработки данных и сокращает
затраты на проектирование.
Должны быть обеспечены:
—	формализация создания программных кодов для ПТК;
—	создание документации внешних и внутренних аппаратных подключе-
ний ПТК;
—	выдача задания заводу—изготовителю ПТК.
В соответствии с технологическими задачами инструментальные средства
проектирования должны обеспечить проектирование следующих функций:
—	измерение;
—	регулирование;
240
Гл. 7. Технология создания АСУ ТП АЭС
—	управление технологическим оборудованием;
—	программно-логическое управление;
—	представление данных на экранах графических дисплеев;
—	протоколирование;
—	обработка и архивация данных;
—	конфигурирование АСУ ТП.
Инструментальные средства должны предлагать дружественный интер-
фейс для разработки прикладных задач, ориентированный на технологов.
Инструментальные средства, предназначенные для проектирования УСБ,
должны быть аттестованы в установленном порядке.
Программное обеспечение системных и функциональных модулей. В состав
программного обеспечения модулей ТПТС51 входят системное, базовое и
функциональное ПО.
Системное ПО обеспечивает:
—	поддержку и контроль времени выполнения различных программных цик-
лов, в рамках которого выполняются задачи базового и функционального ПО;
—	управление аппаратной частью модуля (ввод аналоговых сигналов, дос-
туп к памяти, интерфейсные порты);
—	управление прерываниями и их обслуживание;
—	запуск алгоритмов самодиагностирования модуля;
—	поддержку обменов по шине ввода/вывода.
Системное ПО модулей ТПТС 51 записано в постоянном запоминающем
устройстве типа EPROM.
Системное ПО модуля управления шиной ввода/вывода обеспечивает:
—	поддержку и контроль времени выполнения различных программных
циклов модуля, в рамках которых выполняются задачи базового и функцио-
нального ПО;
—	управление доступом к памяти и интерфейсным портам;
—	управление прерываниями и их обслуживанием, в том числе обслужи-
вание прерываний от функциональных модулей;
—	запуск алгоритмов самодиагностики модуля, контроль состояния фун-
кциональных модулей;
—	управление обменами по шине ввода/вывода, поддержка обменов по
шинам CS275, SC (SinecL2);
—	обеспечение возможности перепрограммирования модуля и функцио-
нальных модулей.
Базовое ПО состоит из базовых функциональных программных модулей
(ФПМ). Базовые ФПМ являются основой для построения функционального
ПО модулей ТПТС51. Базовое ПО функциональных модулей обеспечивает
выполнение следующих функций:
241
Принципы создания АСУ ТП АЭС
—	индивидуального управления технологическим оборудованием;
—	реализации законов регулирования;
—	задания уставки регулирования;
—	организации функционально-группового управления;
—	уставочного контроля и сигнализации;
—	обработки аналоговых и дискретных сигналов.
Базовое ПО модулей записано в ПЗУ EPROM и является неотъемлемой
частью модулей.
Функциональное ПО модулей ТПТС51 формируется в процессе проекти-
рования ПТК.
Функциональное ПО модулей обеспечивает выполнение реализуемых на
уровне низовой автоматики функций ПТК и специфицируется в функцио-
нальных планах, формируемых подсистемой GET-TM.
Функциональные планы для программирования модулей ТПТС51 являются
графическим изображением алгоритмов выполнения автоматизируемых функ-
ций и формируются на основе базовых функциональных программных модулей.
Кроме взаимосвязей между базовыми ФПМ, функциональные планы со-
держат также коэффициенты параметрирования базовых ФПМ.
Генерируемый по функциональным планам программный код модулей яв-
ляется последовательностью обращений к базовым ФПМ с необходимыми
параметрами.
Функциональное ПО модулей ТПТС51 хранится в электрически перепрог-
раммируемом постоянном запоминающем устройстве типа EPROM.
Проектирование ПТК. САПР ПТК нижнего уровня состоит из программ-
ных пакетов GET ТМ и НЕТ [ 14]. Эти программные пакеты используют прин-
цип объектного проектирования и централизации данных, то есть проектные
данные объединяются в объекты (программные модули для измеряемых вели-
чин, электродвигателей и т.д.), что обеспечивает независимость обработки дан-
ных и сокращает затраты на проектирование. Все данные в GET ТМ (вычисле-
ния, сигналы, функциональные, измерительные и обзорные планы и т.д.)
идентифицируются по системе кодирования энергетических установок KKS.
САПР ПТК нижнего уровня предназначена для:
—	формализации создания программного кода для ПТК (ТПТС51);
—	создания документации внешних и внутренних аппаратных подключе-
ний ПТК;
—	создания задания заводу—изготовителю ТПТС51;
—	выдачи задания на прокладку кабелей.
Различаются следующие этапы работы над проектом:
—	инициализация проекта;
—	разработка обзорных планов;
242
Гл. 7. Технология создания АСУ ТП АЭС
-	разработка рабочей документации (функциональные и измерительные
планы);
-	генерация кода;
-	загрузка и отладка программного кода.
Инициализация проекта.
Создание отдельного ПТК начинается с инициализации проекта в САПР.
Этот этап включает в себя:
—	определение области базы данных для данного проекта;
—	определение прав доступа пользователей;
-	определение шкафов автоматизации для данного проекта;
-	определение и подготовку функциональных модулей.
Разработка предварительной обзорной документации.
Данный тип документации служит для определения структуры сложных
контуров управления и регулирования, шагового и функционально-группо-
вого управления.
Обзорная документация создается в редакторе функциональных планов и
не используется САПР для генерации программного кода.
Разработка рабочей документации. Функциональные
планы.
Назначение функциональных планов:
-	реализация алгоритмов управления;
—	создание программного кода для функциональных модулей.
Программный пакет НЕТ. Программа НЕТ входит в состав про-
граммного пакета GET ТМ и является инструментом проектирования внешних
и внутренних аппаратных подключений к системе автоматизации ТПТС51.
Программа НЕТ создает следующие виды документации:
-	электрические схемы подключения к шкафу автоматики;
-	электрические схемы подключения к пульту управления;
-	электрические схемы подключения к распределительному устройству;
-	электрические схемы подключения к соединительным коробкам, тех-
нологическому оборудованию и датчикам;
-	электрические перемычки структурирования функциональных и сис-
темных модулей;
-	электрические схемы организации питания шкафа автоматики;
-	электрические схемы организации сигнализации шкафа автоматики;
—	компоновку шкафа автоматики системными и функциональными мо-
дулями;
-	компоновку клеммника шкафа внешними кабелями;
-	перечень кабельных связей.
Взаимодействие баз данных в GET-TM показано на рис. 7.2.
243
Принципы создания АСУ ТП АЭС
Рис. 7.2. Взаимодействие баз данных в подсистеме GET—ТМ:
AWE — шкаф ТПТС51; FB, FKZ — данные по функциональным областям и группам;
FUP — редактор функциональных планов
244
Гл. 7. Технология создания АСУ ТП АЭС
7.4.	Разработка программного обеспечения АСУ ТП АЭС
Требования к программному обеспечению. Программное обеспечение АСУ
ТП должно представлять собой совокупность программных продуктов, обес-
печивающих функционирование, сопровождение и эксплуатацию АСУ ТП
на протяжении всего жизненного цикла.
Программное обеспечение АСУ ТП должно удовлетворять требованиям к
качеству, установленным в [107, 100, 101].
Разработка и изготовление программной продукции АСУ ТП для систем
нормальной эксплуатации должны проводиться в соответствии с рекоменда-
циями ISO 9000-3 [107].
Разработка и изготовление программных продуктов АСУ ТП для систем,
важных для безопасности, должны проводиться в соответствии с планом обес-
печения качества ПО, который должен быть разработан до начала создания
ПО АСУТП [100].
ПО АСУ ТП должно обеспечивать выполнение функций АСУ ТП в реаль-
ном масштабе времени.
ПО должно обладать возможностью модернизации, а процесс модерниза-
ции должен быть поддержан соответствующей БД конфигурирования АСУТП.
В состав программного обеспечения АСУ ТП должны входить (см.
рис. 7.3):
—	системное ПО;
—	прикладное ПО;
—	инструментальное ПО.
Требования к системному ПО. Системное ПО должно обеспечивать функ-
ционирование вычислительной системы АСУТП и обмен информацией меж-
ду элементами системы при нормальной эксплуатации и в условиях отказов
элементов АСУ ТП, для которых архитектурой системы предусмотрено ре-
зервирование.
Системное ПО компьютеров верхнего уровня АСУ ТП должно основы-
ваться на стандартных операционных системах, сертифицированных для при-
менения на АЭС.
Для обмена информацией между компьютерами АСУ ТП должны приме-
няться стандартные протоколы обмена.
Системное ПО должно обеспечивать эффективную работу АСУ ТП с ми-
нимальными временными задержками на транспортировку данных между
элементами системы.
Системное ПО должно включать в себя службу единого времени, которая
обеспечит привязку системного времени всех компьютеров АСУТП к астро-
номическому времени с погрешностью не более 0,01 с.
245
Принципы создания АСУ ТП АЭС
Центр сервисного
обслуживания
АРМ
оператора
Рис. 7.3. Состав программного обеспечения АСУ ТП
Системное ПО должно предусматривать контроль работоспособности ос-
новных аппаратных и программных модулей АСУ ТП.
В рамках систем, важных для безопасности АЭС, системное ПО должно
обеспечить независимость выполнения функций безопасности (прикладное
ПО) от других систем АСУ ТП.
В составе системного ПО должны быть средства (утилиты, средства тести-
рования ПО) для упрощения эксплуатации АСУ ТП.
Требования к прикладному ПО. Прикладное ПО должно обеспечивать вы-
полнение следующих функций в объеме проекта АСУ ТП:
—	контроль параметров технологического процесса;
246
Гл. 7. Технология создания АСУ ТП АЭС
—	контроль состояния технологического оборудования;
—	реализацию защитных действий и блокировок;
—	автоматическое управление в соответствии с алгоритмами программно-
логического управления;
—	реализацию человеко-машинного интерфейса;
—	дистанционное автоматизированное управления технологическим обо-
рудованием энергоблока.
Прикладное ПО должно строиться на основе модульного принципа и иметь
простую структуру. Разработка прикладного ПО должна вестись средствами
САПР.
Должна быть обеспечена возможность модернизации прикладного ПО в
процессе эксплуатации системы.
Требования к инструментальному ПО. Инструментальное ПО АСУТП дол-
жно соответствовать современным технологиям и быть достаточно мощным
для обеспечения следующих этапов создания ПО:
—	программирования;
—	генерирования кодов;
—	документирования генерированного кода;
—	тестирования и анализа генерированного кода;
—	поддержания кода и его документации.
В состав инструментального ПО должны входить программные инстру-
ментальные средства, которые обеспечивают:
—	разработку и создание ПО;
—	верификацию и валидацию АСУ ТП, подсистем и элементов АСУ ТП;
—	сопровождение и модернизацию ПО.
Инструментальное ПО, используемое для разработки и тестирования ПО
УСВБ, должно гарантировать низкую вероятность ошибок [94].
Требования к ПО подсистем АСУ ТП, важных для безопасности. Требова-
ния к ПО должны соответствовать требованиям IEC 60880, IEC 60880-2 [100,
101]. Этапы создания ПО приведены на рис. 7.4. В состав этапов входят:
—	проектирование ПО;
—	верификация ПО;
Рис. 7.4. Этапы создания программного обеспечения ПТК систем,
важных для безопасности
247
Принципы создания АСУ ТП АЭС
—	интегрирование аппаратного и программного обеспечения;
—	аттестация ПО;
—	сопровождение и внесение изменений.
Разработка ПО должна вестись на основе и в точном соответствии со спе-
цификацией ПО, в которой должны быть детально сформулированы функции
системы, реализуемые при помощи программного управления. Спецификации
ПО систем, важных для безопасности, должны быть составлены на формаль-
ном языке спецификаций.
Инструментальные средства, применяемые для проектирования и разра-
ботки ПО, должны быть аттестованы для соответствующего использования.
При разработке ПО необходимо следовать принципам создания ПО, не
содержащего ошибок.
Программы должны быть составлены в легкодоступном языковом фор-
мате и иметь правильно оформленную документацию [94].
Для проектирования ПО систем, важных для безопасности, должен при-
меняться нисходящий метод.
Программное обеспечение систем, важных для безопасности, должно быть
разделено на небольшие фрагменты методом структурирования, при этом
каждый модуль должен выполнять простые, ясные функции.
С целью упрощения анализа и проверки управляющей логики программ в
ПО УСБ должны быть исключены модификации команд и, по возможности,
безусловные переходы. Ветвления и циклы должны использоваться с соблю-
дением предосторожностей.
Необходимо, чтобы структура программы была простой и доступной для
понимания, причем как ее общее представление, так и отдельные ее части.
Рекомендуется исключать хитроумные способы программирования, рекур-
сивные структуры и сокращать количество команд, в которых нет прямой не-
обходимости.
Интерфейсы модулей должны быть простыми и, по возможности, унифи-
цированы и документированы.
В системах, важных для безопасности, должны использоваться только
тщательно тестированные операционные системы. Обращение к операцион-
ным системам должно быть сведено к минимуму.
Влияние технологического процесса на время выполнения программ дол-
жно быть минимальным. Использование прерываний должно быть ограни-
чено.
В ПО должны предусматриваться процедуры контроля и, в частности, про-
цедуры повторного прогона программ.
Выходные данные должны контролироваться и, по возможности, коррек-
тироваться. По фактам обнаружения ошибокдолжны выдаваться сообщения.
248
Гл. 7. Технология создания АСУ ТП АЭС
Содержимое запоминающего устройства, на котором хранится ПО, долж-
но быть защищено и находиться под контролем.
ПО должно контролировать ошибки на уровне системного анализа, в час-
тности, критические фазы выполнения программы должны быть под конт-
ролем сторожевого таймера.
Для адресации данных должны применяться простые способы.
Структура данных должна быть унифицированной для каждой конкрет-
ной системы безопасности.
При разработке ПО должны рассматриваться возможности отказов по об-
щей причине, вызванных ПО [105]. Для предотвращения отказов по общей
причине при разработке ПО необходимо применять принципы разнообра-
зия следующих видов:
—	разнообразие ПО;
—	разнообразие на уровне системы;
—	особенности подхода к проектированию;
—	различия в проектировании и методах реализации.
Верификация. На каждом этапе разработки ПО должно проходить
промежуточную верификацию. Модули ПО, модифицированные в процессе
разработки, должны проходить повторную верификацию в полном объеме пе-
ред включением в систему.
Параллельно с этапами разработки ПО должен быть утвержден план ве-
рификации. В этом плане должны быть четко определены все критерии, ме-
тоды и средства, используемые в процессе верификации. Должны быть опи-
саны операции, выполняемые для оценки каждого элемента ПО и для
контроля соблюдения на каждом этапе функциональных требований и тре-
бований к обеспечению надежности.
Интегрирование аппаратного и программного обес-
печения. План интеграции системы должен быть подготовлен и включен
в технические условия интеграции, проверен на соответствие техническим
условиям системы эксплуатационной надежности. План интеграции систе-
мы должен отражать аспекты организации и методики проведения интегра-
ции аппаратного и программного обеспечения.
План интеграции системы должен включать все ограничивающие усло-
вия, связанные со спецификой проекта аппаратного и программного обеспе-
чения. Он должен также содержать требования к организации и методам осу-
ществления контроля, которые должны охватить:
—	конфигурационное управление системы;
—	интеграцию системы;
—	тестирование интегрированной системы;
—	обработку ошибок.
249
Принципы создания АСУ ТП АЭС
План интеграции системы должен определять базу данных модулей про-
граммного и аппаратного обеспечения как средство конфигурационного уп-
равления системой.
Наборы тестов, отобранные для верификации интегрированной систе-
мы, должны активизировать все интерфейсы модулей, а также основные
функции самих модулей. Верификация интегрированной системы должна
осуществляться в соответствии с формализованным планом тестирования.
Результаты верификации интегрированной системы должны быть включены
в протокол тестирования.
Аттестация системы с программным управлением должна быть
проведена в соответствии с формализованным планом верификации. Этот
план должен предусматривать проведение аттестации в статических и дина-
мических условиях.
ПО должно быть аттестовано в составе УСБ и результаты аттестации дол-
жны быть оформлены в виде протокола.
Сопровождение и внесение изменений. Должна быть уч-
реждена формальная процедура организации внесения изменений, включая
верификацию и аттестацию.
Требования к технологии разработки программного обеспечения УСБ. В со-
ответствии с IEC 60880-2 [101] при проектировании ПО и при программиро-
вании за основу должны быть приняты следующие принципы:
—	проектирование программного обеспечения должно включать самокон-
троль потоков команд средств управления и данных;
—	конечное представление исходной программы должно быть доступно для
понимания в целом.
При разработке ПО необходимо следовать следующим рекомендациям:
—	мероприятия, предпринимаемые для достижения требуемой надежнос-
ти ПО, включая автоматический контроль, должны быть намечены в начале
разработки;
—	концептуальная модель структуры системы должна быть принята в са-
мом начале каждого проекта ПО;
—	программа должна быть написана таким образом, чтобы ее тестирова-
ние не вызывало затруднений.
В ходе разработки программы в конце каждого этапа проектирования дол-
жен быть составлен в формализованном виде документ и проведен систем-
ный анализ. Этот документ используют в качестве эталона при обсуждении
проекта и последующем написании программы.
Верификация ПО, интеграция аппаратного и программного обеспечения
УСБ, сопровождение и внесение изменений в ПО должны быть выполнены
согласно требованиям IEC 60880 [100].
250
Гл. 7. Технология создания АСУ ТП АЭС
7.5.	Исследование и отработка проектных решений
Исследование и отработка проектных решений на расчетно-моделирующем
комплексе. Для отработки проектных решений в части алгоритмов управле-
ния УСБ, УСНЭ ВБ и УСНЭ, отработки шаговых программ и человеко-
машинного интерфейса используется расчетно-моделирующий комплекс
(РМК) энергоблока.
РМК должен обеспечить решение следующих задач [34, 19, 74]:
1.	Задачи, связанные с разработкой концепции управления АЭС:
—	изучение динамики технологических процессов АЭС с учетом взаимо-
действия систем и оборудования;
—	обоснование концепции управления, в частности, уточнение необходи-
мой степени автоматизации процесса управления и отработка методик ин-
формационной поддержки операторов;
—	поэтапная отладка, уточнение и оптимизация структуры и параметров
алгоритмов управления в регламентных режимах с возможностью оператив-
ного учета результатов идентификации и верификации математических мо-
делей технологических систем энергоблока на основе экспериментальных
данных.
2.	Задачи, связанные с проектированием, анализом и оценкой человеко-
машинного интерфейса:
—	оценка по соответствующим критериям вариантов решения отдельных
задач инженерно-психологического проектирования с целью отбора лучше-
го из них;
—	выявление «узких мест», инженерно-психологическое обоснование их
причин и выработка рекомендаций по их устранению;
—	отработка информационной модели энергоблока (видеокадров);
—	отработка алгоритмов подавления сигналов;
—	оценка проектных решений по оценке состояния безопасности АЭС;
—	исследование деятельности оперативного персонала в режимах нормаль-
ной эксплуатации, нарушения нормальной эксплуатации, включая аварии.
3.	Исследовательские инженерно-психологические задачи, имеющие своей
целью теоретическое исследование закономерностей и явлений в деятельно-
сти человека-оператора:
—	изучение структуры и механизмов разного вида операторской деятель-
ности;
—	исследование влияния разного рода объективных и субъективных фак-
торов, определяющих деятельность оператора в конкретных условиях с це-
лью получения характеристик деятельности человека-оператора, например,
изучение влияния:
251
Принципы создания АСУ ТП АЭС
•	методов и средств представления информации на структуру деятель-
ности;
•	вариантов распределения функций в системе на напряженность дея-
тельности оператора;
•	вариантов представления информации на надежность и скорость ре-
шения человеком задач;
•	способов обучения на структуру деятельности и время обучения опе-
ратора и т.п.
В состав РМК входят следующие компоненты:
—	информационная база для описания характеристик и параметров тех-
нических средств, алгоритмов, программных блоков и модулей, используе-
мых или порождаемых в процессе проектирования;
—	многорежимная математическая модель энергоблока реального времени;
—	отлаживаемые алгоритмы подсистем АСУ ТП, реализованные с помо-
щью САПР программного обеспечения ПТК нижнего уровня АСУ ТП;
—	видеокадры АРМ операторов-технологов БПУ;
—	алгоритмы и программы системы поддержки оператора, в том числе
электронные аварийные инструкции, симптомно-ориентированные аварий-
ные инструкции, система представления параметров безопасности;
—	системная управляющая оболочка с широкими сервисными функция-
ми, с помощью которой осуществляется управление функционированием
РМК и реализуются режимы отладки.
Вычислительная система РМК состоит из центральной ЭВМ и персональ-
ных ЭВМ, объединенных в локальную сеть с помощью сетевых средств
Ethernet (рис. 7.5) [19]. В качестве центральной используется ЭВМ большой
производительности с операционной системой реального времени.
Персональные ЭВМ служат для имитации дисплейного пульта БПУ, уп-
равления моделью энергоблока, поддержки сетевых обменов между ЭВМ.
К РМК могут подключаться ПТС АСУ ТП и инструментальная ПЭВМ.
Отработка алгоритмов АСУ ТП и человеко-машинного интерфейса на трена-
жере АЭС. Одним из методов сокращения сроков внедрения АСУ ТП являет-
ся использование тренажеров в системах отработки алгоритмов управления и
человеко-машинного интерфейса [67, 78].
Опыт применения полномасштабного тренажера для тестирования алго-
ритмов АСУ ТП на полномасштабном тренажере Тяньваньской АЭС приве-
ден в работе [78]. С помощью тренажера были выполнены:
1.	Проверка на соответствие баз данных.
Цель: проверка полноты и соответствия проектных параметров и парамет-
ров станционных.
2.	Проверка правильности представления информации.
252
Гл. 7. Технология создания АСУ ТП АЭС
Центральный
вычислитель
Коммутатор сети
Ethernet HUB
РМО - рабочее место
инженера-исследователя
(или оператора БПУ)
РМИ - рабочее место
инструктора
Состав РМК:
- комплексная математическая модель
динамики технологических систем энергоблока;
- математическая модель системы управления;
- вычислительная система:
• основной вычислитель AlphaServer;
• системная оболочка;
• несколько ПЭВМ;
. средство связи;
- рабочее место инструктора.
Рис. 7.5. Структурная схема РМК
Цель: проверка возможности использования средств контроля и управле-
ния для выполнения тестирования АСУ ТП.
3.	Проверка функционирования и настройки автоматических регуляторов.
Цель: предварительная настройка регуляторов и их выборочная проверка
в зависимости от категории важности. Полная проверка регуляторов выпол-
няется при их режимной наладке.
4.	Проверка алгоритмов группового управления и подгруппового управ-
ления в режимах пуска и останова энергоблока.
Цель: валидация проектных алгоритмов функционально-группового уп-
равления и, при необходимости, рекомендации по разработке эксплуатаци-
онных инструкций и учебно-тренировочных занятий.
5.	Комплексная проверка алгоритмов автоматического управления в пе-
реходных и аварийных режимах без вмешательства оператора.
Цель: проверка алгоритмов управления в заданных аварийных и переход-
ных режимах.
253
Принципы создания АСУ ТП АЭС
В результате тестирования были выявлены:
—	расхождения в значениях ряда уставок защит и блокировок;
—	не представленное в базе данных оборудование;
—	объекты управления, не представленные на видеокадрах и др.
Отработка АСУ ТП в условиях полигона. Изложенный ниже материал ос-
нован на публикациях ЭНИЦ-ВНИИАЭС (г. Электрогорск), содержащих
требования к полигону для отработки представительного комплекса АСУ ТП
АЭС нового поколения [25, 29].
Назначение полигона. Исследование и отработка сложных, мно-
гопроцессорных, иерархической структуры подсистем АСУ ТП в условиях по-
лигона проводятся с целью:
—	подтверждения соответствия характеристик АСУ ТП требованиям нор-
мативной документации;
—	обеспечения исследования и получения оценок эксплуатационных ха-
рактеристик АСУ ТП в условиях имитации режимов работы энергоблока.
В условиях полигона обеспечиваются:
—	исследования и испытания АСУ ТП с целью подтверждения соответ-
ствия системных и функциональных характеристик, а также эксплуатаци-
онных характеристик требованиям технического задания и нормативной до-
кументации;
—	испытания АСУ ТП по оценке надежности ПТС;
—	исследование и отработка человеко-машинного интерфейса;
—	отработка методик пусконаладочных работ;
—	проверка метрологических характеристик ПТС;
—	проверка работоспособности резервированных структур и реконфигу-
рации системы при обнаружении дефектов;
—	подготовка персонала пусконаладочных организаций и персонала АЭС.
Испытания подразделяются на автономные и комплексные.
Автономные испытания проводятся в объеме требований, предъявляемых
к конкретным ПТК, подсистемам и системам в соответствии с технологичес-
кими заданиями и техническим заданием на АСУ ТП.
Комплексные испытания проводятся в объеме, определяющем системные
требования к АСУ ТП.
Проведение полномасштабных испытаний АСУ ТП является трудноосу-
ществимой задачей, поэтому испытания проводятся на примере представи-
тельного комплекса АСУ ТП.
Требования к представительному комплексу АСУ ТП. В составе представи-
тельного комплекса должны пройти испытания новые, ранее не проверен-
ные технические решения, на базе которых разработаны ПТК, подсистемы и
системы АСУ ТП.
254
Гл. 7. Технология создания АСУ ТП АЭС
Представительный комплекс должен давать представление об основных
функциях АСУ ТП и позволять оценить технические и системные характери-
стики создаваемой АСУ ТП.
При выделении представительной части АСУ ТП должны быть учтены
структурно-функциональные особенности АСУ ТП, в том числе:
—	состав ПТК, систем и подсистем;
—	иерархия АСУ ТП — система верхнего блочного уровня и уровень сис-
тем низовой автоматики на основе ПТК;
—	локальные вычислительные сети.
Для отработки и обоснования проектных решений в части обеспечения
безопасности, а также подтверждения функциональных и технических харак-
теристик УСБТ в составе представительного комплекса должен быть пред-
ставлен канал безопасности энергоблока.
Представительный комплекс должен иметь следующие виды обеспечения:
—	математическое;
—	программное;
—	техническое;
—	метрологическое;
—	методическое.
Математическое, программное и техническое обеспечение представитель-
ного комплекса формируют модели технологического объекта управления.
В состав технического обеспечения представительного комплекса долж-
ны также входить:
—	имитатор сетевой загрузки, обеспечивающий:
•	имитацию потоков информации от недостающих узлов ЛВС;
•	имитацию отказов отсутствующих в составе представительного комп-
лекса ПТС;
•	передачу тестовых последовательностей, соответствующих реальным
процессам и режимам работы ТОУ;
•	проверку человеко-машинного интерфейса;
— рабочая станция, предназначенная для:
•	контроля и управления испытаниями представительного комплекса;
•	настройки базы данных сервера и задания структуры, состава, харак-
теристик и параметров ПТС в соответствии с программой испытаний;
•	настройки базы данных сервера и задания состава модели ТОУ;
—	вычислительный комплекс для реализации математических моделей ТОУ;
—	подсистема электропитания представительного комплекса.
Методическое обеспечение предназначено для планирования испытаний,
регистрации, отработки и документирования результатов испытаний.
ЗАКЛЮЧЕНИЕ
При рассмотрении АСУТП АЭС с реакторными установками ВВЭР авто-
ры ставили перед собой цель подчеркнуть следующее.
В части тенденций развития АСУ ТП АЭС
АЭС нового поколения с ВВЭР является сложным динамическим объектом
управления с различной природой и скоростью протекания физических про-
цессов в ЯППУ и ПТУ, с большим количеством управляемого оборудования
и большим объемом информации, предоставляемой оперативному персоналу
на БПУ.
АСУ ТП АЭС создается как интегрированная, распределенная, иерар-
хической структуры вычислительная система. Развитие АСУ ТП идет в на-
правлении внедрения средств микропроцессорной техники в управляющие
системы нормальной эксплуатации и управляющие системы, важные для бе-
зопасности.
Отмечается общая тенденция в создании БПУ: внедрение компактных дис-
плейных пультов при сведении к минимуму традиционных средств контроля
и управления на рабочем месте оператора.
Для представления оперативному персоналу БПУ обобщенной ин-
формации о технологическом процессе и состоянии безопасности энергобло-
ка разрабатываются обобщенные мнемосхемы или устанавливаются экраны
коллективного пользования.
Создание средств информационного обеспечения оперативного персонала
БПУ ведется с учетом уменьшения информационной нагрузки на оператора,
представления операторам только той информации, которая в данных усло-
виях необходима для контроля и управления технологическим процессом.
Обеспечивается беспрепятственный и быстрый доступ к необходимой инфор-
мации, когда операторам требуется предпринять действия по управлению
энергоблоком в аварийных ситуациях.
В основу организации информационного обеспечения оперативного пер-
сонала положены принципы иерархического представления информации о
технологическом процессе с учетом декомпозиции энергоблока на функ-
ционально-технологические комплексы, иерархической организации сигна-
лизации, фильтрации сообщений в аварийных ситуациях, единого подхода к
организации дисплейных форматов.
256
Заключение
Широкое применение нашли видеокадры с интегрированным пред-
ставлением информации использованием возможностей цветных графиче-
ских дисплеев.
В качестве системы поддержки оператора приняты электронные ава-
рийные инструкции, симптомно-ориентированные аварийные инструкции
и система представления параметров безопасности.
В части задач создания АСУ ТП АЭС
В основу создания АСУ ТП АЭС должен быть положен системный под-
ход, охватывающий все этапы создания системы.
Существует необходимость в создании концепции управления АЭС. В ос-
нову этой концепции должны быть положены принципы обеспечения безо-
пасности АЭС и учета человеческого фактора. Должны быть разработаны под-
ходы к автоматизации операций по пуску и останову энергоблока с учетом не
только возможностей человека и машины, но и технической и экономической
целесообразности автоматизации.
При создании АСУ ТП АЭС следует ориентироваться на перспективные
программно-технические средства. Насущной остается задача унификации
этих средств, а также создания ПТС, аттестованных по классу 2У.
Создание АСУ ТП должно вестись с учетом принципа разнообразия при
разработке УСБ и человеко-машинного интерфейса БПУ.
Остаются актуальными вопросы создания человеко-машинного интерфей-
са. Необходим опыт использования экранов коллективного пользования, дис-
плеев, сенсорных дисплеев, интегрированной и обобщенной информации,
подавления избыточной аварийной сигнализации.
Требуется обобщение опыта разработки и внедрения SCADA систем. Раз-
работка СВБУ должна вестись с учетом лучших решений, достигнутых в про-
ектах зарубежных АЭС.
Особого внимания требуют вопросы технологии создания АСУ ТП. Необ-
ходима разработка базы данных проекта, широкое внедрение САПР в про-
цесс разработки ПТК и программного обеспечения, использование модели-
рующих комплексов для отработки проектных решении, а также создание
полигонов для отработки управляющих систем.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1.	Абрамова В. Н. Инженерная психология на АЭС: Учебное пособие. — Обнинск:
ИАТЭ. 1990. 120 с.
2.	Аварии и инциденты на атомных станциях: Учебное пособие / Под ред. С. П. Соло-
вьева. Обнинск: ИАТЭ. 1992. 300 с.
3.	Пиляев А. С., Тищенко В. А. Аварийная ситуация на АЭС «Дейвис-Бесс» в США //
Атомная техника за рубежом. 1987. № 1. С. 16-20.
4.	Смородов Н. В., Панфилов В. А., Давыдов Н. И. и др. Автоматизация пускоостано-
вочных режимов теплофикационного энергоблока с турбиной ПТ-80//Теплоэнерге-
тика. 2000. № 7. С. 36-43.
5.	Крушельницкий В. Н., Фельдман М. Е., Коган И. Р., Зверков В. В. Автоматизирован-
ная система управления новых АЭС // Сб.тр. Вып. 2. М.: АЭП. 2001. С. 30-44.
6.	Агафонов Д. В., Аксенов В. Р., Ковалев С. М. Электронная инструкция по организа-
ции работ со вскрытием оборудования / 14-я ежегодная конференция ЯОР «Научное обес-
печение безопасного использования ядерных энергетических технологий». — Удомля,
30 июня - 4 июля. 2003. С. 406.
7.	Алпеев А. С. Некоторые аспекты модернизации систем управления ядерными реак-
торами И Вопросы атомной науки и техники. Сер. «Физика ядерных реакторов». 1996.
Вып. 3. С. 31—36.
8.	Алпеев А. С. Принципы психологической уверенности операторов АЭС//Атомная
энергия. Т. 77. Вып. 1. Июль 1994. С. 10-15.
9.	Алпеев А. С., Б>кринский А. М. Развитие концепции деятельности оператора АЭС //
Атомная энергия. Т. 75. Вып. 5. 1993. С. 368-372.
10.	Анохин А. Н., Ойстрековский В. А. Вопросы эргономики в ядерной энергетике. -
М.: Энергоатомиздат. 2001. 344 с.
11.	Ашенбреннер Дж., Тетро Ф., Коллинг Дж. Системы контроля, управления и защиты
в энергоблоках АЭС с реактором PWR серии N4 // Атомная техника за рубежом. 1988.
№ 7. С. 30-33.
12.	Бабиков В. М., Панасенко И. М. Роль человеческого фактора в обеспечении
безопасности АЭС//Атомная техника за рубежом. 1989. № 12. С. 3—9.
13.	Баранов С. И. Синтез микропрограммных автоматов (граф-схемы и автоматы). -
Л.: Энергия. 1979. 232 с.
14.	Бармаков Ю. Н., Кишкин В. Л. Организация производства комплекса унифициро-
ванных программно-технических средств ТПТС51 для построения АСУ ТП атомных энер-
гетических объектов / Тез. докл. семинара секции динамики «Системы управления и из-
мерительно-вычислительные комплексы для установок с ядерными реакторами». -
Сосновый Бор, НИТИ, 15-19 сентября 1997. Гатчина: 1997. С. 65-69.
15.	Безопасность атомных станций: Справочник. —М .— Париж: Росэнергоатом-EDE
1994. 255 с.
16.	Беркович В. М., Малышев А. Б., Швыряев Ю. В. Создание энергоблоков АЭС с
реакторами ВВЭР нового поколения //Теплоэнергетика. 2003. № 11. С. 2—9.
17.	Боженков О. Л., Косилов А. Н. и др. Применение средств вычислительной техники
в системах автоматизации зарубежных АЭС. — М.: ЦНИИатоминформ. 1985. 1 12 с.
18.	Букринский А. М. Аварийные переходные процессы на АЭС с ВВЭР. - М.: Энерго-
издат. 1982. 142 с.
258
Список использованной литературы
19.	Василенко В. А. Концепция и технология комплексных испытаний судовых ЯЭУ
на наземных стендах-прототипах. — СПб.: ООО «НИЦ Моринтех». 2003. 168 с.
20.	Галактионов А. И. Основы инженерно-психологического проектирования АСУТП. —
М.: Энергия. 1978. 208 с.
21.	ГальбергВ. П. Анализ некоторых событий 2001 г. на российских АЭС /3-я Между-
народная научно-техническая конференция «Безопасность, эффективность и экономика
атомной энергетики». - М. ВНИИАЭС, 18-19 апреля 2002. - М.: 2002. С. 165-175.
22.	Голиков Ю. А., Костин А. Н. Психология автоматизации управления техникой. —
М.: Институт психологии РАН. 1996. 160 с.
23.	Денисов А. А., Колесников Д. Н. Теория больших систем управления. — Л.: Энерго-
издат. 1982. 288 с.
24.	Десятников И. И., Ермолаев А. Д., Ракитин И. Д. Повышение качества информаци-
онного обеспечения оператора АЭС в аномальных ситуациях // Атомная техника за рубе-
жом. 1986. №7. С. 15-17.
25.	ДиковА. И., Лялюк Н. Г., Писаренко В. В. Модельно-информационное представ-
ление испытательного комплекса полигона АСУ ТП для испытаний представительного
комплекса АСУ ТП АЭС «Бушер» // Годовой отчет ЭН ИЦ ВНИИАЭС 2000. — Электро-
горек: ЭНИЦ ВНИИАЭС. 2001. С. 172-176.
26.	Динамические модели в перспективных системах управления АЭС. Обзорная ин-
формация / С. А. Молчанов, Ф. Ф. Пащенко, Е. М. Сапрыкин, К. Р. Чернышев. — М.:
Информэнерго. Сер. «Атомные электростанции». Вып. 10. 1988. 52 с.
27.	Дмитриева М. А., Крылов А. А., Нафтульев А. И. Инженерная психология как наука /
Хрестоматия по инженерной психологии: Учебное пособие / Сост. Б. А. Душков,
Б. Ф. Ломов, Б. А. Смирнов /Под ред. Б. А. Душкова. — М.: Высш. шк. 1991. С. 39—46.
28.	Дорри М. X. Некоторые тенденции развития автоматизации систем управления
технологическим процессом и их влияние на системы управления АЭС // Вопросы атом-
ной науки и техники. Сер. «Физика ядерных реакторов». 1996. Вып. 3. С. 3—17.
29.	Дроздов И. В., Цыренов Д. В., Лебедев А. О. Испытания человеко-машинного ин-
терфейса на полигоне АСУТП // Годовой отчет ЭНИЦ ВНИИАЭС. 2001. — Электро горе к.:
ЭНИЦ ВНИИАЭС. 2002. С. 227-230.
30.	Егоров И. А., Чернин А. Э. Тенденции развития автоматизации атомных электро-
станций за рубежом. Обзорная информация. — М.: Информприбор. Сер. «Автоматизиро-
ванные системы управления». Вып. 5. 1987.
31.	Зверков В. В. Блочные щиты управления АЭС. —М.: «Скрипто». 1993. 256 с.
32.	Иваки К. Завершение разработки центрального щита управления АЭС с реактором
ABWR// Nihon Genshiryoki Gankaishi. 1997. V. 39. № 8. Р. 2—8. //Перевод «Атомная техни-
ка за рубежом». 1998. № 8. С. 23—27.
33.	Иванов В. А. Эксплуатация АЭС: Учебное пособие для вузов. — СПб.: Энергоато-
миздат. 1994. 384 с.
34.	Использование расчетно-моделирующего комплекса КМС в задачах проектиро-
вания программного обеспечения систем управления /С. В. Батраков, С. Г. Гордиевский,
Е. И. Дербуков, Д. В. Кудрявцев, КЗ. Л. Лукашев, А. В. Привалихин, Г. А. Соловьев, В. Е. Чвар-
ков, А. А. Шаленинов //Тез. докл. сем. «Математические модели для исследования и обо-
снования характеристик оборудования и ЯЭУ в целом при их эксплуатации». — Сосно-
вый Бор, НИТИ, 18—22 сентября 2000. Гатчина, 2000. С. 170—173.
35.	Коган И. Р., Зверков В. В. Интегрированный блочный щит управления новых рос-
сийских АЭС с ВВЭР//Тр. МАЭП. 2001. Вып. 1. С. 64—81.
36.	Компьютеризированная система управления аварийными инструкциями для АЭС
с реакторами BWR //Атомная техника за рубежом. 1999. № 10. С. 22—24.
37.	Крылов А. А. Теоретико-методологические концепции инженерной психоло-
гии / Хрестоматия по инженерной психологии: Учебное пособие // Сост.: Б. А. Душ-
ков, Б. Ф. Ломов, Б. А. Смирнов /Под ред. Б. А. Душкова. — М.: Высш. шк. 1991.
С. 27-38.
259
Принципы создания АСУ ТП АЭС
38.	Ломов Б. Ф. О путях построения теории инженерной психологии на основе сис-
темного подхода / Хрестоматия по инженерной психологии: Учебное пособие // Сост.:
Б. А. Душков, Б. Ф. Ломов, Б. А. Смирнов /Под ред. Б. А. Душкова. — М.: Высш. шк. 1991.
С. 9-26.
39.	Малкин С. Д., Сивоконь В. П., Гладышев М. Е. Верификация и валидация про-
граммного обеспечения, относящегося к системам контроля и управления АЭС//Атом-
ная техника за рубежом. 2001. № 4. С. 3—11.
40.	Малкин С. Д. Концепции и методы автоматизации АЭС. - М.: ИАЭ. 1989. 20 с.
41.	Малышев А. Б. Анализ совершенствования решений по обеспечению безопаснос-
ти АЭС с реакторами водо-водяного типа //Тр. МАЭП. Вып. 1. 2001. С. 3-15.
42.	Мино И. С., Прозоровский Е. Д., Саков И. А. Принципы построения, функции и
обеспечение надежности программно-технических комплексов TELEPERM М Е/ОМ для
АСУ ТП АЭС / Тез. докл. семинара секции динамики «Системы управления и измери-
тельно-вычислительные комплексы для установок с ядерными реакторами». — Сосновый
Бор, НИТИ, 15-19 сентября 1997. Гатчина. 1997. С. 13-14.
43.	Найто Н., ОцукаС. Интеллектуальная система аварийной сигнализации для АЭС //
Атомная техника за рубежом. 1996. № 11. С. 22—30.
44.	Наумов А. В. Состояние и перспективы совершенствования АСУТП энергоблоков
с реакторами ВВЭР-1000 //Атомные электрические станции. Вып. 11. — М.: Энергоато-
миздат. 1989. С. 213-228.
45.	Новиков И. И., Кружилин Г. Н. Уроки аварии реактора PWR на АЭС «Три-Майл-
Айленд» в США в 1979 г. // Электрические станции. 1999. № 6. С. 29-35.
46.	Н П-026—01. Требования к управляющим системам, важным для безопасности атом-
ных станций.
47.	Н П-031— 01. Нормы проектирования сейсмостойких атомных станций.
48.	НРБ—99. Нормы радиационной безопасности.
49.	Общие положения обеспечения безопасности атомных станций. ОПБ—88/97.
ПНАЭ Г-01-011-97.
50.	Овчинников Ф. Я., Семенов В. В. Эксплуатационные режимы водо-водяных энер-
гетических реакторов. — М.: Энергоатомиздат. 1988. 359 с.
51.	Оптимизация проектных решений по безопасности и экономике для энергобло-
ков АЭС с реактором ВВЭР нового поколения / В. Н. Крушельницкий, В. М. Беркович,
КЗ. В. Швыряев, Н. Е. Филь, А. К. Подшибякин//Тр. МАЭП. Вып. 2. 2001. С. 18-28.
52.	Опыт постановки курса «АСУ ТП атомных станций» / В. Р. Аксенов, С. Д. Конова-
лов, Н. Н. Кудряков, Т. Б. Маликов, А. А. Чертков// Международный семинар «Ядерная
энергетика — доверие, образование, развитие». 11 — 16 мая 2004. Санкт-Петербург.
53.	Опыт создания программно-технических средств и комплексов верхнего блочного
уровня управления АСУ ТП АЭС нового поколения / Доклад на секции №5 НТС № 1
Минатома РФ. - Н. Новгород, сентябрь 2003. - Нижний Новгород. 2003. С. 19.
54.	Основные принципы построения комплекса унифицированных программно-тех-
нических средств ТПТС51 / Ю. Н. Бармаков, В. Л. Кишкин, Ю. В. Мартьянов, А. Д. На-
риц//Тез. докл. семинара «Системы управления и инфрмационно-вычислительные ком-
плексы для установок с ядерными реакторами». — Сосновый Бор. НИТИ. 15—19 сентября
1997. - Гатчина. 1997. С. 5-12.
55.	Основные проектные решения по созданию АСУ ТП головного энергоблока с РУ
ВВЭР-640 НПЦ АЭ/ В. А. Василенко, В. Р. Аксенов, В. Г. Михалицын, А. В. Молчанов//
Тез. докл. семинара «Системы управления и И ВК для установок с ядерными реакторами».
Сосновый Бор. НИТИ. 15-19 сентября 1997. - Гатчина, 1997. С. 23-24.
56.	Основные решения по построению АСУТП Северо-Западной ТЭЦ г. Санкт-Пе-
тербурга / Р. И. Костюк, В. А. Биленко, С. В. Уколов, В. М. Харитонова, А. Н. Масленни-
ков, И. Ю. Грязнов//Электрические станции. № 1. 2004. С. 71-75.
57.	Основы инженерной психологии: Учеб, для техн, вузов / Б. А. Душков, Б. Ф. Ло-
мов, В. Ф. Рубахин и др. / Под ред. Б. Ф. Ломова. - М.: Высш. шк. 1986. 448 с.
260
Список использованной литературы
58.	Перспективы АЭС с ВВЭР / В. А. Сидоренко, В. А. Вознесенский, А. Б. Малышев,
В. М. Беркович, С. В. Онуфриенко, В. Ф. Ермолаев, КЗ. Г. Драгунов, В. П. Денисов //
Третья научная конференция Минатома России «Атомнаяэнергетика. Состояние и пер-
спективы» (Москва. Минатом России. 5 июня 2002 г.). М. 2002. С. 42—53.
59.	Повышение качества информационного обеспечения оператора АЭС в аномаль-
ных ситуациях //Атомная техника за рубежом. 1986. № 7. С. 15—17.
60.	Прангишвили И. В., Амбарцумян А. А. Научные основы построения АСУТП слож-
ных энергетических систем. — М.: Наука. 1992. 232 с.
61.	Применение вычислительных систем для обеспечения безопасности АЭС / С. Д. Мал-
кин, В. П. Сивоконь, И. Д. Ракитин, В. В. Позняков, В. К. Хромов // Вопросы атомной
науки и техники. Сер. «Физика ядерных реакторов». 1996. Вып.З. С. 75—99.
62.	Программа управления авариями на атомных станциях // Перевод руководящего
документа из серии «Технические отчеты N 368». — М.: НТЦ ЯРБ. 1999.
63.	Проект атомной электростанции нового поколения с реакторной установкой ВВЭР-
640 /А. Л. Лапшин, И. В. Кухтевич, М. Ф. Рогов, В. А. Вознесенский, В. Ф. Ермолаев//
Теплоэнергетика. 1995. №1 2. С. 2-6.
64.	Проектные основы РУ ВВЭР-1500 / И. П. Захарченко, В. А. Мохов, М. П. Ники-
тенко, Ю. Г. Драгунов // Годовой отчет ФГУП «ОКБ «Гидропресс» за 2001 г. Основные
научно-исследовательские и опытно-конструкторские работы. С. 33—36.
65.	Рабочий технологический регламент безопасной эксплуатации энергоблока N1.
Ростовская АЭС. 2000.
66.	Раскин Е. М., Чеботарев Н. А. Опыт системной интеграции программно-техничес-
ких комплексов управляющих и инфрмационных систем на базе средств СПА-ПС / 4-я
Международная научно-техническая конференция «Безопасность, эффективность и эко-
номика атомной энергетики». Тез. докл. 16—17 июня 2004. — М.: ВНИИАЭС. 2004.
С. 176-179.
67.	Романов А. Н., Жабеев В. П. Имитаторы и тренажеры в системах отладки АСУТП. —
М.: Энергоатомиздат. 1987. 112 с.
68.	Руководство пользователя симптомно-ориентированных инструкций. Смоленс-
кая АЭС. Десногорск. 1996. 53 с.
69.	Румянцев В. В. Современные тенденции совершенствования систем управления
АЭС и подготовки операторов//Атомная техника за рубежом. 1993. № 10. С. 11 — 19.
70.	Самойлов О. В., Усынин Г. Б., Бахметьев А. М. Безопасность ядерных энергетичес-
ких установок: Учебное пособие для вузов. — М.: Энергоатомиздат. 1989. 280 с.
71.	Серия стандартов по безопасности №NS-G-1.3. Контрольно-измерительные сис-
темы и системы контроля и управления, важные для безопасности АЭС.
72.	Система представления параметров безопасности для энергоблока № 2 Калинин-
ской АЭС / В. Г. Дунаев, Н. Н. Давиденко, Г. И. Шафтан, О. Л. Боженков // Системы
управления и измерительно-вычислительные комплексы для установок с ядерными реак-
торами. Тез. докл. семинара по динамике. Сосновый Бор. НИТИ, 15—19 сентября 1977. —
Гатчина. 1997. С. 47-50.
73.	Системы интеллектуальной поддержки операторов АЭС: состояние и перспекти-
вы развития. Обзорная информация / А. А. Башлыков. — М.: Информэнерго. 1990. Сер.
«Атомные электростанции». Вып. 13.
74.	Смирнов Б. А. Некоторые методологические проблемы инженерной психологии /
Хрестоматия по инженерной психологии: Учебное пособие // Сост.: Б. А. Душков, Б. Ф.
Ломов, Б. А. Смирнов / Под. ред. Б. А. Душкова. — М.: Высш. шк. 1991. С. 54—64.
75.	Смутнее В. И., Ревин А. В., Ефрюшкин В. А. Оператор в системе управления АЭС и
необходимость оптимизации информационного обеспечения его деятельности // Элект-
рические станции. № 5. 1986. С. 18—22.
76.	СолодовниковА. С., Молчанов А. В. Использование методов вероятностного ана-
лиза безопасности для дальнейшего совершенствования АЭС с ВВЭР // Теплоэнергети-
ка. 2004. № 2. С. 2-4.
261
Принципы создания АСУ ТП АЭС
77.	Стовбун В. В. Стратегия повышения безопасности АЭС Украины / 3-я Межд. на-
учно-техн. конф. «Безопасность, эффективность и экономика атомной энергетики». М.
ВНИИАЭС, 18-19 апреля 2002. - М. 2002. С. 120.
78.	Тестирование алгоритмов АСУТП на полномасштабном тренажере Тяньваньской
АЭС в Китае /А. И. Айзатулин, А. П. Жукавин, В. Ю. Исламов, Д. А. Лысов //4-я Между-
народная научно-техническая конференция «Безопасность, эффективность и экономика
атомной энергетики». Тез. докл. 16—17 июня 2004. — М.: ВНИИАЭС. 2004. С. 159—163.
79.	Чачко А. Г. Электронные инструкции — инструмент повышения качества эксплуа-
тации энергопредприятий // Электрические станции. 1997. № 11. С. 39—43.
80.	Чачко С. А. Предотвращение ошибок операторов на АЭС. — М.: Энергоатомиздат.
1992. 256 с.
81.	Человеческий фактор (в 6-ти томах: пер. с англ., т.1) / Под ред. Г. Салвенди. — М.:
Мир. 1991.
82.	Численное моделирование аварийных режимов реакторной установки с ВВЭР-1000
с помощью расчетных кодов ТРАП и КОРСАР / Ю. В. Беляев, С. И. Зайцев, С. Н. Вол-
кова, А. Н. Гудошников, Ю. А. Мигров, Ю. В. Юдов // Теплоэнергетика. 2002. № И.
С. 62-65.
83.	Шелудько А. Н., Шуляк А. И. Системы поддержки оператора блочного щита уп-
равления АЭС//Атомная техника за рубежом. 1986, № 10. С. 15—17.
84.	Экспертная миссия МАГАТЭ по анализу проекта БПУ для АЭС «Бушер». Предва-
рительный отчет. М., 11 — 15 марта 2002 г. 29 с.
85.	Aksenov V., Konoplev N., Molchanov A. Conceptual Framework of a Procces Computer
System to the WER-640 NPP / Nuclear Plant Instrumentation, Control and Human-Machine
Interface Technologies. NPIC&HMIT. 2000. Washington.
86.	Anikanov S. S., Carrera J. P., Gordon P. Unit Information System Operational Displays
for WER-1000 Reactors / Proceedings of the International Topical Meeting on VVER
Instrumentation and Control. April 21—24, 1997. Prague. P. 242—255.
87.	Anikanov S.S., Catullo W.J., Pelusi J.L. Safety Parameter Display System (SPDS) for
Russian-Designed NPPs / Proceedings of the International Topical Meeting on VVER
Instrumentation and Control. April 21—24, 1997. Prague. P. 256—267.
88.	Controbloc P20 networks and their use in the instrumentation and control system for N4
plants (CHOOZ-B) / P. Blanc, J. De Tricornot, J.M. Gimener, J.L. Marc // IAEA Specialists
Meeting on «Communication and Data Transfer in Nuclear Power Plant». 24-26 April 1990. Lyon,
France.
89.	Control room systems design for nuclear power plants. IAEA-TECDOC-812. IAEA,
Vienna. 1995. P. 9-72.
90.	Furet J., Guesnier G. Electricite de France N4 control room and I&C system // Control
room systems design for nuclear power plants. IAEA-TECDOC-812. IAEA, Vienna. 1995.
P. 125-138.
91.	Gisoni G., Pelusi J., Dale StotmerT. ТЕМ ELIN. Information, Control&Protection System
I IAEA Specialists Meeting of Instrumentation and Control ofWERType Nuclear Power Plants
(27-29 Sept., 1994). Czech Republic: Prague/Rez. 1994.
92.	Guesnier G., Bouard J. P. The computer-aided operation of the N4 series / Computerized
Reactor Protection and Safety Related Systems in Nuclear Power Plants. Proceedings of a
Specialists Meeting 27—29 October 1997, Budapest, Hungary. IAEA-IWG-NPPCI-98/1.-
Vienna: IAEA, 1998. P. 245-252.
93	.1AEA50-SG-D3. Системы управления защитными действиями и связанные с ними
устройства на АЭС.
94.	IAEA50-SG-D8. Контрольно-измерительные приборы и система управления и за-
щиты АЭС.
95.	IAEA N50-SG-D11. Общие принципы безопасности, учитываемые при проекти-
ровании атомных электростанций.
96.	IAEAN75-INSAG-3. Основные принципы безопасности атомных электростанций.
262
Список использованной литературы
97.	IAEA NS-G-1.3. Контрольно-измерительные системы и системы контроля и уп-
равления, важные для безопасности АЭС.
98.	IЕС 61771. Главный пульт управления. Проверка и аттестация (V&V) проекта.
99.	I ЕС 61772. АЭС — Основной пункт управления — применение устройств визуаль-
ного отображения (VSV).
100.	1ЕС 60880. Программное обеспечение компьютеров в системах безопасности атом-
ных электростанций.
101.	1 ЕС 60880-2. Программное обеспечение компьютеров в системах, важных для бе-
зопасности атомных электростанций. Часть 2: Программные аспекты защиты от отказов
по общей причине, использование программных инструментов и ранее разработанного
программного обеспечения.
102.	1ЕС 60960 — 1988. Функциональные проектные критерии для системы отображе-
ния параметров безопасности вЯЭУ.
103.	IЕС 60964. Проектирование пунктов управления для АЭС.
104.	IEC 61226. Атомные электростанции. Системы контроля и управления, важные
для безопасности. Классификация.
105.	IEC 61513. Атомные электростанции. Системы контроля и управления , важные
для безопасности. Общие требования к системам.
106.	1 ЕС 61839. Функциональный анализ и распределение функций. Дополнение к I ЕС
60964.
107.	ISO 9000-3. Общее руководство качеством и стандарты по обеспечению качества —
часть 3: Руководящие указания по применению ИСО 9001 при разработке, поставке и об-
служивании программного обеспечения.
108.	Issues of developing a process computer system fora WERNPP/V. Vasilenko, V. Axenov,
V. Mikhalitsyn, Y. Kuditski // IAEA Meeting «Effective Management of Nuclear Power Plant
Instrumentation and Control Modernization Projects, Including Development of a Database.»
23—26 October 2001. Garching, Germany.
109.	Jervis M. W. Control and instrumentation of large nuclear power stations. A review of
future trends//I EE Proc. 1984. Vol. 131. P. A. №7. P. 481-515.
110.	NU REG-0700-1980. Руководящее положение по проектированию и анализу щи-
тов управления.
111.	NUREG-0711 (07.94). Инжиниринг человеческого фактора. Модель программы
оценки.
112.	REGULATORY GUIDE 1.97 - 83. КИП для водо-водяных реакторов АЭС для мо-
ниторинга во время и после аварий.
113.	Ross A. Advanced control rooms: balancing automation and operator responsibility //
Nucl. Engng Intern. 1993. V.38. N464. P. 37-39.
114.	System 80+PRA Insights on Severe Accident Prevention and Mitigation / D. J. Finnicum,
M. C. Jacob, R. E. Schneider, R. A. Weston / ABB Combustion Engineering, Presented at 4th
International Topical Meeting on Nuclear Thermal Hydraulics, Operations and Safety. April 6—
8, 1994. Taipei, Taiwan.
115.	Teleperm XP, OM. Process Operating and Monitoring System. Basics function//Siemens
AG. VI.00. F630. 2001.
Научное издание
Аксенов В. Р., Василенко В. А.
Принципы создания автоматизированных систем управления
технологическими процессами атомных электростанций
Редактор Л. В. Павловская
Верстка Н. Н. Зуевой
Дизайн обложки А. В. Илларионова
Лицензия ИД № 01124 от 01.03.2000 г.
Подписано в печать 28.02.05 г.
Формат 70x100/16. Печать офсетная.
Усл. печ. л. 21,45. Тираж 250 экз. Заказ № 1147.
Издательство ООО «НИЦ «Моринтех»
199026, Санкт-Петербург, В. О., 20-я линия, д. 5/7
Отпечатано с готовых диапозитивов в типографии ООО «Береста»
196006, Санкт-Петербург, ул. Коли Томчака, 28
ISBN 5-93887-027-5
Комплексные испытания
ядерных энергетических установок
ТЕХНОЛОГИ
В.Р. Аксенов, В.А. Василенко
КТР
ПРИН1
АВТОМ
дипьЖд/
ЙИЖан^ых
я
ЕС С AM И
«СТАНЦИЙ