Наиболее перспективным подходом к усовершенствованию технологической сигнализации является использование компьютерной обработки тревожных сигналов, основанной на сложных алгоритмах их анализа и сопоставления. Впервые такая задача была поставлена в середине 60-х гг., а одна из первых систем анализа сигнализации установлена в 1968 г. на АЭС Oldbury в Великобритании. Общепринятыми считаются два способа обработки: структурирование и фильтрация.
В основе структурирования оперативной информации на АЭС лежит разделение сигналов на три группы:
а) информационные, позволяющие судить о состоянии энергоблока, значениях отдельных параметров и других факторах, влияющих на работу АЭС;
б) предупредительные, свидетельствующие об отклонениях значений отдельных параметров от уставок, способных привести к снижению мощности АЭС или к нарушениям в работе систем;
в) аварийные, свидетельствующие о ситуации, способной привести к повреждению ЭБ АЭС, ухудшению радиационной обстановки и требующие быстрой реакции операторов.
В соответствии с этим принципом на ряде японских АЭС [126, 127] было введено динамическое определение приоритетов тревожных сигналов с точки зрения их важности для безопасности, понимания ситуации и выявления ее коренной причины. Сигнализация была разделена на три категории:
зеленая - сигналы, отражающие события, не требующие немедленного внимания и вмешательства оператора (нормальная информация);
желтая - сигналы, отражающие срабатывание некоторых автоматических устройств, работу которых оператору необходимо контролировать и отслеживать, но необязательно в нее вмешиваться (предупредительная информация);
красная — наиболее существенные сигналы, непосредственно отражающие аномалии процесса и неисправности оборудования и необходимые оператору, чтобы диагностировать проблему и предпринять корректирующие действия (аварийная информация).
Для категоризации сигналов используются три правила:
- любые сигналы, относящиеся к системам, не требующим обслуживания в данный момент, окрашиваются в зеленый цвет;
- при наложении нескольких событий, сигналы, относящиеся к менее тяжелому из них, перекрашиваются в зеленый цвет;
- сигналы, о событиях, являющихся следствиями некоторого другого отклонения, о котором уже была выдана сигнализация, окрашиваются в зеленый или желтый цвет.
Более детальный алгоритм определения приоритета сигнала изложен в работе [120]. Приоритет сигнала х зависит от его значимости Р(х) для технологической системы, в которой он возник, и важности W(x) этой системы для безопасности АЭС:
P(x) = W(x)Ms(x),
где Ms(x)e[0,l] - нормирующий множитель. Для систем, важных для безопасности, Ms=l, для остальных (обеспечивающих) систем Ms=0,55. Значимость сигнала для системы - W изменяется от 1 до 18 и зависит от трех факторов.
- От роли оборудования, в котором возникли условия для срабатывания сигнализации. По роли, исполняемой внутри технологической системы, оборудование делится на основное и обеспечивающее.
- От степени тяжести сигнализируемого события. По тяжести события делятся на тяжелые, средние и незначительные.
- От типа реакции, требуемой от оператора. В качестве реакции могут быть срочные и незамедлительные действия, не срочные действия, простое подтверждение получения.
Если значение Р(х) превышает 16, то сигнал признается аварийным, если Р(х)е[8,8; 16 [ - предупредительным, Р(х)<8,8 - информационным.
Структурирование сигнализации не ограничивается динамическим назначением приоритетов - в работе [146] предлагается разделять сигналы о состоянии процесса и сигналы о состоянии оборудования. Тревожные сигналы первого типа (значения температуры, давления, расхода, уровня и т.д.) отображаются на общей схеме процесса, помогая оператору увидеть динамику и пути распространения возмущений. Сигналы второго типа группируются по принадлежности определенному оборудованию.
Основные принципы фильтрации и подавления сигнализации, разработанные японскими специалистами [53], декларируют следующее:
подавление логически зависимых сигналов — большинство сигналов является следствием некоторого исходного события и должны быть подавлены как несущественные, за исключением сигналов о главных событиях, таких как остановка реактора, турбины, генератора, закрытие основных клапанов; информация о взаимозависимостях аварийных сигналов при этом должна храниться в корреляционной матрице или в виде причинно-следственных диаграмм;
подавление иерархических аварийных сигналов - если между сигналами существует иерархическая связь и активизируются сигналы более высокого уровня, то сигналы нижних уровней подавляются;
подавление ложных аварийных сигналов, вызванных проблемами с контрольно-измерительным оборудованием — неполадки в измерительной системе (например, потеря электропитания) могут привести к возникновению большого количества ложных тревожных сигналов, которые должны быть подавлены, за исключением самого сигнала о потере электропитания;
В дополнение к перечисленным принципам, в работе [190] предлагается подавлять сигналы, устранить причину которых в данный момент невозможно (если, конечно, это не повлияет на безопасность).
Наряду с подавлением, в литературе упоминается также и принцип генерации тревожных сигналов в результате контроля последовательности событий и выявления «обманутых ожиданий»: когда наблюдается ответный сигнал оборудования при отсутствии задающего сигнала (исходного события); и когда от оборудования после обычной задержки ответный сигнал не поступает, несмотря на получение им задающего сигнала.
Алгоритмы снижения объема сигнализации на финской АЭС «Ловиза» рассматриваются также в [28].
Среди них:
использование временной задержки - тревожное сообщение о достижении параметром критического значения выдается с некоторой задержкой: если за это время параметр вернется к норме - сообщение не выдается; если же параметр отклонится еще больше - выдается сразу более серьезное сообщение;
совмещение равнозначных сообщений — идентичная информация, поступающая от параллельно работающего оборудования (например, одновременное и одинаковое повышение уровня питательной воды в ПГ двух петель), объединяется и представляется в виде одного совмещенного сообщения; необходимо отметить, что смысловое (логическое) объединение нескольких тревожных сообщений, касающихся одного оборудования или одной технологической среды (пара или теплоносителя) предлагалось и в отечественных работах - см. [92];объединение сообщений о взаимозависимых событиях - сообщения, имеющие причинно-следственную связь, объединяются в одно (например, если давление превысило норму, вследствие чего открылся предохранительный клапан - выдается одно сообщение о нормальном срабатывании клапана);
ограничение числа сообщений - если хорошо известный переходный процесс протекает по заданному алгоритму и без осложнений, то большая часть заранее предвиденных сообщений о выходе параметров за статические уставки блокируется, а выдаются только сигналы, важные для безопасности.
Рис. 4.20. Динамика срабатывания и степень подавления сигнализации [126]:
1 - традиционная сигнализация; 2 - усовершенствованная сигнализация
Опыт и проверки на тренажерах показали эффективность описанных методов. Так, перечисленные выше алгоритмы позволяют отфильтровать около 70% сигнализации, оставив оператору в среднем 10-30 сигналов. Применение принципов структурирования позволяет из 100 сигналов традиционной сигнализации оставить в среднем только 15 красных. Совместное использование принципов структурирования и фильтрации на тренажере PWR-1200 (БЩУ содержит 2500 элементов сигнализации, среди которых 600 способны менять цвет) показало: подавляется от 67 до 84% сигналов. На рис. 4.20 представлена динамика появления и подавления сигнализации при разрыве трубки ПГ, сопровождаемом другими отказами оборудования.
