張 旭，鄧志光，武有光

（中國核動力研究設(shè)計院 核反應(yīng)堆系統(tǒng)設(shè)計技術(shù)重點實驗室，成都610213）

傳統(tǒng)的DCS 邏輯測試方法包括功能測試、定期試驗等，其本質(zhì)上均是將DCS（控制器）與被控對象（含執(zhí)行機構(gòu)）或反饋回路（含傳感器）的連接切斷，即從完整的實際工藝流程中抽離出來，通過注入特定的輸入數(shù)據(jù)組合，驗證輸出值是否符合預(yù)期。 上述測試方法在一定程度上能夠驗證DCS 的邏輯，但是考慮到輸入值與輸出預(yù)期值的計算過程可能出現(xiàn)人因錯誤或不能完整的覆蓋所有情況，且對于具有強慣性的被控對象，其控制過程是連續(xù)的，上述測試方法不能進行有效的測試。 特別地，對于核電等對安全性要求極高的工業(yè)過程，需要應(yīng)用更加完善的測試方法，不僅可實現(xiàn)復(fù)雜控制過程的有效測試，減少測試過程中的人因錯誤，同時還能基于多樣性的原理，對DCS 平臺本身進行驗證。

1 測試方法對比

1.1 開環(huán)測試

目前，實際工程使用的測試方法多為離散腳本測試。 該測試方法實現(xiàn)簡單、成本低。 利用測試裝置（另一平臺DCS）運行測試腳本，向被測DCS 發(fā)送單步驟的輸入數(shù)據(jù)并采集該步驟對應(yīng)的反饋輸出，并對比實際反饋值與預(yù)期反饋值。 但該方法僅適用于簡單邏輯功能的測試，其分步執(zhí)行的特性不適合具有連續(xù)特性的對象。另外，測試腳本編寫過程復(fù)雜且易出錯，可能存在不能完全覆蓋全部測試功能的情況。

1.2 閉環(huán)測試

閉環(huán)仿真測試是一種將被控對象與控制邏輯連接成閉環(huán)的測試方法[1-2]。 在閉環(huán)測試中，被控對象根據(jù)其物理模型進行仿真計算后輸出相關(guān)狀態(tài)參數(shù)給控制邏輯，控制邏輯獲得被控對象的相關(guān)參數(shù)后進行邏輯運算，最終把邏輯運算結(jié)果反饋給被控對象進行新一輪模型計算。 閉環(huán)測試可實現(xiàn)測試對象的全面驗證，包括邏輯驗證、接口驗證以及整體功能驗證。 同時，閉環(huán)測試也可以實現(xiàn)對測試對象高逼真的動態(tài)驗證。 與開環(huán)測試相比，閉環(huán)測試具有測試精度高、覆蓋范圍廣、測試靈活、逼真度高等特點。 閉環(huán)測試包括純模擬測試和實物模擬測試等。 在實際項目中選型時需要從經(jīng)濟性、精確性、難易度、變更易維護以及對工程項目的時間進度影響等方面綜合考慮[3-6]。

1.2.1 純模擬測試方法

純模擬測試方法是一種完全利用仿真軟件開發(fā)環(huán)境對系統(tǒng)進行仿真測試的方法，DCS 的組態(tài)邏輯由仿真平臺實現(xiàn)。 該測試方法具有測試較為全面、經(jīng)濟成本低等特點。 純模擬測試方法可以實現(xiàn)對系統(tǒng)結(jié)構(gòu)、原理、算法以及整個運行過程的全面測試驗證。 但該方法僅僅存在對系統(tǒng)軟件部分的全面測試驗證，難以實現(xiàn)對系統(tǒng)硬件性能的測試，進而易于導(dǎo)致軟件代碼運行在硬件環(huán)境不可靠的問題。

1.2.2 實物模擬測試方法

實物模擬測試方法是一種將真實被測對象的軟件和硬件與工藝系統(tǒng)過程模型軟件形成閉環(huán)進行測試的方法。 實物模擬測試具有擬真度好等優(yōu)勢。 該方法與其他測試方法相比，在能夠測試組態(tài)算法正確性的基礎(chǔ)上，還能對真實DCS 的硬件的性能指標進行測試。 在用工藝系統(tǒng)過程模型軟件表征實物工藝系統(tǒng)時，實物模擬方法常被稱為半實物仿真方法。

由于計算機軟件的特殊性，上述3 種測試方法很難發(fā)現(xiàn)平臺內(nèi)部的缺陷與錯誤問題，例如底層算法問題、底層編譯問題等。 基于多樣性原理，采用跨平臺方式可以實現(xiàn)多樣化、全方位的對比驗證，即通過采用另一套平臺系統(tǒng)進行DCS 邏輯計算，對DCS 平臺本身進行驗證。

本文充分結(jié)合不同測試方法的優(yōu)缺點，提出了一種跨平臺的純模擬與實物模擬閉環(huán)測試方法，采用不同的平臺分別實現(xiàn)同一個系統(tǒng)的純模擬測試和實物模擬測試的方法，實現(xiàn)了對DCS 軟件、硬件進行全方位、深層次驗證，確保DCS 產(chǎn)品的正確性和確定性。

2 驗證體系設(shè)計

驗證體系包括離散腳本測試與閉環(huán)仿真測試，先由離散腳本測試對DCS 組態(tài)邏輯進行初步的檢查，然后進行閉環(huán)仿真測試。

DCS 邏輯閉環(huán)測試中，基于DCS 的實物模擬仿真系統(tǒng)與基于儀控仿真平臺的純模擬系統(tǒng)均以上層輸入為設(shè)計依據(jù)，均與被控工藝系統(tǒng)模型交互。DCS 側(cè)除依據(jù)上層設(shè)計外，同時考慮DCS 平臺自身的需求。 上述邏輯在工程師站中被實現(xiàn)為工程應(yīng)用軟件，并編譯為下位機可執(zhí)行程序下裝至下位機。類似的，儀控仿真平臺一側(cè)依據(jù)上層設(shè)計，實現(xiàn)為儀控仿真平臺的工程應(yīng)用軟件，進一步實現(xiàn)為其可執(zhí)行程序。

圖1 兩種閉環(huán)仿真系統(tǒng)框架Fig.1 Frame diagram of closed-loop simulation systems

2.1 儀控仿真平臺設(shè)計

DCS 的控制邏輯可分為兩部分，包括依照上層設(shè)計輸入的要求，實現(xiàn)保護或控制功能的控制邏輯，以及根據(jù)平臺自身特性，增加的自診斷等邏輯部分。 儀控仿真平臺以上層設(shè)計作為輸入，旨在實現(xiàn)上層設(shè)計要求的控制邏輯，不考慮平臺自身需求的邏輯部分。

儀控仿真平臺應(yīng)能夠讀取上游設(shè)計輸入文件、抽取與考察輸出點相關(guān)的輸入點及其影響輸出點的方式并按照一定的規(guī)律映射到儀控仿真平臺、設(shè)計輸入變量組合、計算相應(yīng)的輸出結(jié)果并比較源平臺與目標平臺的結(jié)果。因此儀控仿真平臺可劃分為輸入讀取層、映射邏輯層、仿真計算層。 其架構(gòu)如圖2所示。

圖2 儀控仿真平臺結(jié)構(gòu)圖Fig.2 I＆C simulation platform structure diagram

輸入讀取層能讀取識別設(shè)計輸入的文件。 設(shè)計輸入包括模擬圖與邏輯圖，其中的算法塊稱為節(jié)點，節(jié)點包括3 種：接口圖符、算法塊、變量（中間變量、輸入輸出變量、參數(shù)變量）。

為了在儀控仿真平臺重構(gòu)組態(tài)邏輯算法，需在儀控仿真平臺預(yù)先建立合適的算法庫，建立映射規(guī)則、完成算法塊和連接關(guān)系的映射，算法庫應(yīng)包含可能用到的所有種類的算法塊，按照一一對應(yīng)的映射規(guī)則將算法塊映射到儀控仿真平臺。 映射過程包括兩步，首先是將算法塊映射到儀控仿真平臺，然后按照上游輸入中算法塊的連接關(guān)系將算法塊在儀控仿真平臺重新連接。 將映射到儀控仿真平臺形成的組態(tài)邏輯與工藝系統(tǒng)過程模型連接，可進行仿真計算，實現(xiàn)閉環(huán)仿真的效果。

儀控仿真平臺的設(shè)計及其工程應(yīng)用軟件的設(shè)計過程應(yīng)充分考慮到多樣性原理，即儀控仿真平臺的算法庫、周期調(diào)度機制、平臺自身機制等都應(yīng)與DCS 設(shè)計平臺有所區(qū)別，且儀控仿真平臺的工程組態(tài)軟件的設(shè)計輸入不依賴于實體DCS 設(shè)計過程中產(chǎn)生的文件，二者的設(shè)計過程不存在交集，可達到結(jié)果對比的效果。

2.2 閉環(huán)仿真系統(tǒng)設(shè)計

在實物模擬閉環(huán)仿真系統(tǒng)中，通常將被控工藝系統(tǒng)的數(shù)理特性通過方程建模，形成被控工藝系統(tǒng)模型，并通過軟件實現(xiàn)。 被控工藝系統(tǒng)模型是對工藝過程的抽象化和數(shù)字化，其具體組成依據(jù)工業(yè)領(lǐng)域不同而異。 以壓水堆核電廠工藝系統(tǒng)[7]為例，其概要結(jié)構(gòu)如圖3所示。

圖3 壓水堆核電廠工藝系統(tǒng)圖Fig.3 Process system diagram of PWR nuclear power plant

該工藝系統(tǒng)模型應(yīng)包括熱工水力模型、中子動力學(xué)模型以及反應(yīng)性模型等方面[8-9]。

實體控制系統(tǒng)與工藝系統(tǒng)模型構(gòu)成的閉環(huán)仿真系統(tǒng)如圖4所示。 控制系統(tǒng)由下位機實現(xiàn)，其它部分（工程師站、工藝系統(tǒng)模型、傳感器模型）由上位機實現(xiàn)。 上位機中運行的各軟件之間通過進程間通信的方式進行交互，上位機與下位機之間通過模擬量與數(shù)字量輸入輸出模塊進行連接[10-11]。

圖4 實體控制系統(tǒng)與工藝系統(tǒng)模型構(gòu)成的閉環(huán)實物模擬仿真系統(tǒng)Fig.4 Closed-loop simulation system of the physical control system and process system model

儀控仿真平臺與工藝系統(tǒng)模型構(gòu)成的閉環(huán)仿真系統(tǒng)結(jié)構(gòu)如圖5所示。 該系統(tǒng)的各部分均是上位機軟件，均可通過進程間通信的方式進行交互，構(gòu)成純模擬仿真系統(tǒng)。 工藝系統(tǒng)模型計算結(jié)果經(jīng)過傳感器模型實現(xiàn)的反饋通路發(fā)送至儀控仿真平臺，進行控制量的計算，儀控仿真平臺將計算出的控制量發(fā)給工藝系統(tǒng)模型實現(xiàn)控制的目標。

圖5 儀控仿真平臺與工藝系統(tǒng)模型構(gòu)成的閉環(huán)純模擬仿真系統(tǒng)Fig.5 Closed-loop simulation system of I＆C simulation platform and process system model

上述兩種方式構(gòu)成閉環(huán)仿真系統(tǒng)，均可模擬控制器與被控工藝系統(tǒng)之間的閉環(huán)數(shù)據(jù)交互關(guān)系。

3 實例驗證

基于中國核動力研究設(shè)計院（NPIC）研發(fā)的核安全級DCS 平臺龍鱗（NASPIC）系統(tǒng)，選取“華龍一號”百萬千瓦級壓水堆控制系統(tǒng)為例，進行實例驗證。

3.1 功率調(diào)節(jié)系統(tǒng)自動調(diào)節(jié)允許信號實例分析

自動調(diào)節(jié)允許信號在功率調(diào)節(jié)過程中綜合了反應(yīng)堆入口溫度、反應(yīng)堆出口溫度、相對核功率測量值、功率調(diào)節(jié)設(shè)備是否異常等信息，在上述信息無異常時送往非安全級DCS（NC-DCS）、主操作臺進行顯示，提示操縱人員可以進行功率調(diào)節(jié)，同時送往棒控系統(tǒng)，觸發(fā)允許信號。

本文取其中反應(yīng)堆出口溫度的測量、運算、判斷邏輯為例進行分析。

上層設(shè)計對于反應(yīng)堆出口溫度部分的處理邏輯如圖6所示。

圖6 自動調(diào)節(jié)允許信號上層設(shè)計（反應(yīng)堆出口溫度部分）Fig.6 Automatic adjustment allows the signal general design（reactor outlet temperature section）

三組反應(yīng)堆出口溫度測量信號經(jīng)過隔離（Isolation）、模數(shù)轉(zhuǎn)換（A/D），取其中第二大值（Max2），再經(jīng)過濾波函數(shù)（Filter），分別上下限比較（＞H、＜L），如果在上下限之間，則產(chǎn)生反應(yīng)堆出口溫度自動調(diào)節(jié)允許信號[8]。

實體控制系統(tǒng)（NASPIC）與工藝系統(tǒng)模型構(gòu)成閉環(huán)實物模擬仿真系統(tǒng)，其中，實體控制系統(tǒng)以上游模擬圖、邏輯圖、IO 清單等為輸入，結(jié)合實體控制系統(tǒng)平臺自身要求，在工程師站軟件（NASPES）上繪制工程應(yīng)用軟件，并通過編譯過程形成下位機可執(zhí)行程序。自動調(diào)節(jié)允許信號的DCS 組態(tài)邏輯如圖7所示，由于與上層設(shè)計類似，本文不再贅述。

圖7 自動調(diào)節(jié)允許信號DCS 組態(tài)邏輯（反應(yīng)堆出口溫度部分）Fig.7 Automatic adjustment of allowed signal DCS configuration logic（reactor outlet temperature section）

編譯出的下位機可執(zhí)行程序通過工程師站軟件下裝進下位機，與工藝系統(tǒng)模型形成閉環(huán)控制的結(jié)構(gòu)，實現(xiàn)對實際工況的實物模擬仿真。

儀控仿真平臺與工藝系統(tǒng)模型構(gòu)成的閉環(huán)純模擬仿真系統(tǒng)中，儀控仿真平臺選用Simulink 軟件，同樣依據(jù)上游模擬圖、邏輯圖、IO 清單等信息，形成Simulink 平臺下的工程應(yīng)用軟件。 同樣以反應(yīng)堆出口溫度部分自動調(diào)節(jié)允許信號為例，Simulink平臺下的相應(yīng)邏輯如圖8所示。

Simulink 軟件與工藝系統(tǒng)模型進行交互，構(gòu)成的閉環(huán)純模擬仿真系統(tǒng)，實現(xiàn)對實際工況的仿真。

圖8 自動調(diào)節(jié)允許信號Simulink 邏輯（反應(yīng)堆出口溫度部分）Fig.8 Automatic adjustment of allowed signal Simulink logic（reactor outlet temperature section）

3.2 聯(lián)合仿真實驗分析

以一種負荷跟蹤模式下的調(diào)節(jié)負荷作為實驗工況，分別進行了熱啟動試驗和升降負荷試驗。

熱啟動實驗中，反應(yīng)堆從零負荷階躍至20%滿功率（FP），記錄兩組仿真實驗的過程參數(shù)變化，以反應(yīng)堆功率、穩(wěn)壓器水位、壓力為考察參數(shù)，觀察兩組仿真實驗的核功率的變化趨勢，繪制成圖，并比較二者的偏差。 圖中縱坐標分別為反應(yīng)堆核功率的歸一化值、穩(wěn)壓器水位百分比、穩(wěn)壓器壓力，橫坐標為仿真實驗時間。 SP 為功率設(shè)定值，DCS 代表實際DCS 系統(tǒng)構(gòu)成的實物模擬仿真系統(tǒng)的實驗結(jié)果，Simulink 表示基于Simulink 的純模擬仿真系統(tǒng)的實驗結(jié)果。

圖9 熱啟動試驗Fig.9 Warm start test

在升降負荷實驗中，反應(yīng)堆負荷由20%FP 階躍至70%FP，穩(wěn)定并持續(xù)一段時間后降低至40%FP。在該過程中，反應(yīng)堆功率、穩(wěn)壓器水位、壓力等關(guān)鍵參數(shù)的變化如圖10所示。SP 為功率設(shè)定值，DCS 代表實際DCS 系統(tǒng)構(gòu)成的實物模擬仿真系統(tǒng)的實驗結(jié)果，Simulink 表示基于Simulink 的純模擬仿真系統(tǒng)的實驗結(jié)果。

Minkowski 距離可衡量兩個數(shù)值點或兩組數(shù)值變量之間的距離，可用于衡量其偏差。 針對實物模擬系統(tǒng)與純模擬系統(tǒng)的反應(yīng)堆功率變化曲線計算Minkowski 距離，能夠定量的分析二者的偏差。

圖10 升降負荷試驗Fig.10 Lifting and reducing of load test

Minkowski 距離的定義如式（1）中所示：

式中：d 為Minkowski 距離；X1、X2分別 表示 實物模擬系統(tǒng)與純模擬系統(tǒng)的反應(yīng)堆功率變化曲線；p 是參數(shù)，本文中p 取2。 該公式表示歐氏距離。

以升降負荷實驗中的功率調(diào)節(jié)實驗為例，分析實物模擬與純模擬測試的仿真結(jié)果。 實驗的結(jié)果數(shù)據(jù)分析對比如下。

表1 兩種仿真結(jié)果的Minkowski 距離Tab.1 Minkowski distance of two simulation results

通過實驗數(shù)據(jù)對比可知，DCS 系統(tǒng)與基于Simulink 平臺構(gòu)建的控制系統(tǒng)具有高度的吻合性，實際證明了基于對比實驗進行的DCS 功能測試具有有效性。

4 結(jié)語

本文通過理論分析與實驗研究得出結(jié)論，實體控制系統(tǒng)構(gòu)成的閉環(huán)實物模擬仿真系統(tǒng)與儀控仿真平臺軟件構(gòu)成的閉環(huán)純模擬仿真系統(tǒng)具有高度的相似性。 且二者的設(shè)計過程完全獨立，沒有相互參考，因而后者可作為對實體控制系統(tǒng)的對比驗證。

現(xiàn)階段DCS 的設(shè)計與制造過程中，測試用例的編寫通常由人工分析上游模擬圖、邏輯圖計算每種輸入組合下的輸出預(yù)期值，這種編寫測試用例的方法既耗時又伴隨著人因錯誤率高的問題。 通過儀控仿真平臺計算每種輸入組合下的輸出預(yù)期值進而與DCS 的計算結(jié)果比較，可大幅提高現(xiàn)有測試流程的自動化程度，這是該驗證體系的實際工程應(yīng)用價值之一。