劉 航，王志先 ，郭旭東

(1.中廣核工程有限公司，廣東 深圳 518124；2.北京廣利核系統(tǒng)工程有限公司，北京 100094)

0 引言

核電站數(shù)字化分布式控制系統(tǒng)(distributed control system,DCS)主要完成工藝電氣系統(tǒng)的運(yùn)行操作、狀態(tài)監(jiān)測(cè)與控制保護(hù)等功能，是核電站的中樞神經(jīng)系統(tǒng)。在設(shè)計(jì)建造、調(diào)試運(yùn)行期間，DCS邏輯組態(tài)設(shè)計(jì)驗(yàn)證與確認(rèn)(verification and validation,V&V)是保證測(cè)控功能正確性的重要方法。初步設(shè)計(jì)與詳細(xì)設(shè)計(jì)階段一般為仿真迭代驗(yàn)證。工廠制造與現(xiàn)場(chǎng)調(diào)試階段多為設(shè)計(jì)確認(rèn)驗(yàn)證。當(dāng)前，國(guó)內(nèi)核電DCS在工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試階段的驗(yàn)證體系相對(duì)獨(dú)立。工廠測(cè)試由DCS設(shè)備制造商負(fù)責(zé)?，F(xiàn)場(chǎng)由調(diào)試方負(fù)責(zé)。雙方在設(shè)計(jì)確認(rèn)驗(yàn)證方面依據(jù)的法規(guī)、測(cè)試程序、驗(yàn)證內(nèi)容與測(cè)試方法存在很大差異。工廠測(cè)試階段主要驗(yàn)證設(shè)計(jì)與邏輯組態(tài)的一致性，對(duì)工藝系統(tǒng)測(cè)控功能驗(yàn)證的全面性存在不足，導(dǎo)致設(shè)計(jì)問(wèn)題無(wú)法提前發(fā)現(xiàn)，造成現(xiàn)場(chǎng)DCS變更頻繁；現(xiàn)場(chǎng)調(diào)試階段針對(duì)DCS組態(tài)軟件的功能驗(yàn)證與工廠測(cè)試的部分內(nèi)容存在較多重復(fù)，造成調(diào)試工期延長(zhǎng)，對(duì)建造成本帶來(lái)較大影響。DCS工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試內(nèi)容繁雜，涉及硬件、軟件、集成功能測(cè)試與系統(tǒng)聯(lián)調(diào)等。本文重點(diǎn)對(duì)工藝系統(tǒng)邏輯功能在工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試階段遵從的法規(guī)、驗(yàn)證程序及驗(yàn)證方法等方面進(jìn)行分析研究。

1 核電DCS安全重要系統(tǒng)V&V法規(guī)要求

我國(guó)核安全法規(guī)及國(guó)內(nèi)、國(guó)際相關(guān)標(biāo)準(zhǔn)要求，在核安全級(jí)DCS組態(tài)軟件設(shè)計(jì)開發(fā)過(guò)程中應(yīng)通過(guò)一系列的V&V 活動(dòng)來(lái)證明其正確性和安全置信度[1-2]。工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試方面遵守的法規(guī)標(biāo)準(zhǔn)主要包括《HAF102核動(dòng)力廠設(shè)計(jì)安全規(guī)定》《HAF103核動(dòng)力廠運(yùn)行安全規(guī)定》《HAD 102/16 核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》《HAD 103/02核電廠調(diào)試程序》《IEEE Standard for Software Verification and Validaion》(IEEE 1012-2004)《核電廠安全重要儀表和控制系統(tǒng)總體要求》(NB/T 20026)等。

安全重要系統(tǒng)軟件驗(yàn)證、確認(rèn)和調(diào)試流程如圖1所示。

圖1 安全重要系統(tǒng)軟件驗(yàn)證、確認(rèn)和調(diào)試流程

核安全導(dǎo)則《HAD 102/16 核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》規(guī)定[3]，基于計(jì)算機(jī)的安全重要系統(tǒng)軟件開發(fā)過(guò)程中，系統(tǒng)需求在軟件需求與計(jì)算機(jī)硬件之間進(jìn)行分配，將軟件設(shè)計(jì)為一套互為配合的模塊(軟件組態(tài))。這些模塊作為在計(jì)算機(jī)硬件上運(yùn)行的程序被編碼和測(cè)試。軟件與計(jì)算機(jī)硬件集成安裝到核動(dòng)力廠以備調(diào)試和運(yùn)行。按照核動(dòng)力廠安全重要系統(tǒng)軟件驗(yàn)證、確認(rèn)和調(diào)試流程要求，工廠測(cè)試的依據(jù)為計(jì)算機(jī)系統(tǒng)需求設(shè)計(jì)。因此，組態(tài)設(shè)計(jì)文件的正確性是關(guān)鍵，而現(xiàn)場(chǎng)調(diào)試驗(yàn)證的依據(jù)為測(cè)控功能需求。在執(zhí)行過(guò)程中，兩個(gè)階段的驗(yàn)證程序策劃與實(shí)施是相對(duì)獨(dú)立的。

2 典型核電DCS邏輯功能工廠測(cè)試與調(diào)試驗(yàn)證技術(shù)對(duì)比

2.1 EPR堆型

歐洲壓水堆(Eeuropean pressurized reactor,EPR)是三代核電堆型之一，其DCS的工廠測(cè)試與調(diào)試程序由設(shè)計(jì)總包方琺瑪通(原阿海琺)負(fù)責(zé)策劃，包括反應(yīng)堆保護(hù)相關(guān)通道試驗(yàn)、DCS出廠前的功能測(cè)試及現(xiàn)場(chǎng)單系統(tǒng)接口功能試驗(yàn)等內(nèi)容，采取了工廠測(cè)試、調(diào)試階段一體化驗(yàn)證的思路?；贒CS在工廠與調(diào)試階段的軟硬件驗(yàn)證技術(shù)特點(diǎn)，將工藝系統(tǒng)的安全運(yùn)行功能與反應(yīng)堆保護(hù)系統(tǒng)(reactor protection system,RPS)程序作整體策劃。DCS組態(tài)中的系統(tǒng)控制功能的組合驗(yàn)證在工廠測(cè)試期間完成。出廠前，必須對(duì)邏輯組態(tài)和硬件功能作全面V&V測(cè)試。邏輯功能測(cè)試在集成環(huán)節(jié)進(jìn)行。保護(hù)通道響應(yīng)時(shí)間按通道處理軟硬件設(shè)備節(jié)點(diǎn)時(shí)間分析計(jì)算。DCS現(xiàn)場(chǎng)安裝復(fù)原后主要驗(yàn)證控制柜間、就地Level0與控制柜Level1之間通道接口的正確性，簡(jiǎn)化靜態(tài)邏輯功能與保護(hù)通道響應(yīng)時(shí)間試驗(yàn)內(nèi)容，采用工廠測(cè)試相關(guān)功能等效測(cè)試結(jié)果。

EPR全球首堆臺(tái)山核電1#機(jī)組裝料前，監(jiān)管單位依據(jù)HAD 103/02導(dǎo)則預(yù)運(yùn)行試驗(yàn)階段I.3.5條款[4]，提出反應(yīng)堆保護(hù)系統(tǒng)試驗(yàn)應(yīng)包括與其他系統(tǒng)聯(lián)動(dòng)時(shí)可運(yùn)行、多重性、符合性、電氣獨(dú)立性和斷電時(shí)的故障安全要求。調(diào)試實(shí)施方結(jié)合工廠測(cè)試與現(xiàn)場(chǎng)試驗(yàn)范圍，對(duì)反應(yīng)堆保護(hù)系統(tǒng)、多樣性驅(qū)動(dòng)系統(tǒng)與工藝試驗(yàn)安全功能驗(yàn)證完整性進(jìn)行了全面分析。分析結(jié)果表明：邏輯功能覆蓋驗(yàn)證是可信的；保護(hù)通道響應(yīng)時(shí)間選擇最長(zhǎng)邏輯處理路徑進(jìn)行現(xiàn)場(chǎng)驗(yàn)證，現(xiàn)場(chǎng)測(cè)試結(jié)果與出廠前的理論計(jì)算評(píng)價(jià)相符。

2.2 CPR1000與HPR堆型

2.2.1 工廠測(cè)試

CPR1000改進(jìn)型壓水堆與華龍一號(hào)HPR 1000三代核電堆型在工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試階段的邏輯功能驗(yàn)證模式基本相同，分別由DCS制造商與工程調(diào)試獨(dú)立實(shí)施。工廠測(cè)試模擬現(xiàn)場(chǎng)應(yīng)用場(chǎng)景搭建DCS集成環(huán)境，配套仿真裝置，采用邏輯組態(tài)比對(duì)、功能單元軟件代碼腳本核查等方法[5-7]，驗(yàn)證DCS軟件組態(tài)功能與設(shè)計(jì)文件的一致性、正確性。CPR1000/HPR工廠功能測(cè)試流程如圖2所示。

圖2 CPR1000/HPR 工廠功能測(cè)試流程

邏輯控制功能測(cè)試主要包括停堆保護(hù)與安全設(shè)施功能、優(yōu)先級(jí)管理功能、安全控制盤切換功能、報(bào)警功能、安全級(jí)與非安全級(jí)接口驗(yàn)證等。CPR1000/HPR DCS工廠集成主要測(cè)試項(xiàng)目如表1所示。

表1 CPR1000/HPR DCS工廠集成主要測(cè)試項(xiàng)目

2.2.2 現(xiàn)場(chǎng)調(diào)試

CPR1000/HPR工藝系統(tǒng)測(cè)控功能調(diào)試程序主要包括模擬量通道試驗(yàn)、控制邏輯功能試驗(yàn)、反應(yīng)堆保護(hù)系統(tǒng)、多樣性驅(qū)動(dòng)系統(tǒng)。相關(guān)程序依據(jù)系統(tǒng)測(cè)控功能設(shè)計(jì)文件、儀控詳細(xì)邏輯設(shè)計(jì)文件、組態(tài)設(shè)計(jì)文件編制。

試驗(yàn)方法是通過(guò)模擬試驗(yàn)工況，強(qiáng)制邏輯信號(hào)或操作設(shè)備，驗(yàn)證工藝系統(tǒng)安全、運(yùn)行功能的設(shè)計(jì)符合性與正確性。保護(hù)通道響應(yīng)時(shí)間驗(yàn)證與工廠測(cè)試方法類似，模擬保護(hù)邏輯組合條件觸發(fā)，采用高速記錄儀實(shí)測(cè)通道響應(yīng)時(shí)間是否滿足安全準(zhǔn)則。

CPR1000項(xiàng)目依據(jù)工藝系統(tǒng)測(cè)控功能需求編制了邏輯圖與模擬圖設(shè)計(jì)文件。邏輯圖與模擬圖是控制保護(hù)邏輯驗(yàn)證調(diào)試程序編制的上游文件。中廣核標(biāo)準(zhǔn)型HPR堆型核島系統(tǒng)借鑒了EPR堆型功能分區(qū)設(shè)計(jì)理念，設(shè)置三列完全實(shí)體隔離的安全系統(tǒng)，增加操作員輔助自動(dòng)控制功能，系統(tǒng)控制保護(hù)功能設(shè)計(jì)相對(duì)復(fù)雜。在設(shè)計(jì)文件體系方面，HPR項(xiàng)目簡(jiǎn)化了工藝系統(tǒng)邏輯圖與模擬圖設(shè)計(jì)文件，根據(jù)工藝系統(tǒng)測(cè)控功能需求編制DCS組態(tài)功能設(shè)計(jì)文件。組態(tài)設(shè)計(jì)文件是控制保護(hù)邏輯驗(yàn)證調(diào)試程序編制的主要依據(jù)文件。調(diào)試程序中包含了軟件組態(tài)模塊間復(fù)雜邏輯傳遞關(guān)系，導(dǎo)致驗(yàn)證項(xiàng)目繁雜，且與工廠測(cè)試內(nèi)容重復(fù)嚴(yán)重。CPR1000/HPR 設(shè)計(jì)、工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試程序文件關(guān)系如圖3所示。

圖3 設(shè)計(jì)、工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試程序文件關(guān)系圖

圖3中，虛框內(nèi)為HPR項(xiàng)目工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試組態(tài)功能重復(fù)驗(yàn)證部分。

3 核電DCS組態(tài)邏輯功能總體驗(yàn)證策略

核電DCS組態(tài)邏輯功能總體驗(yàn)證策略必須符合核安全法規(guī)標(biāo)準(zhǔn)要求，采用工廠測(cè)試和現(xiàn)場(chǎng)調(diào)試統(tǒng)籌策劃的模式，從系統(tǒng)功能、DCS邏輯組態(tài)、工廠測(cè)試和現(xiàn)場(chǎng)調(diào)試等環(huán)節(jié)制定V&V整體驗(yàn)證策略[8-9]。通過(guò)分析工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試的測(cè)試范圍、方法、完整性等要素，明確各自測(cè)試驗(yàn)證的邊界和內(nèi)容，可實(shí)現(xiàn)工廠測(cè)試和現(xiàn)場(chǎng)調(diào)試技術(shù)方案充分融合。工藝系統(tǒng)測(cè)控功能驗(yàn)證前置至工廠測(cè)試階段驗(yàn)證，包括部分聯(lián)調(diào)與專項(xiàng)試驗(yàn)項(xiàng)目；現(xiàn)場(chǎng)調(diào)試簡(jiǎn)化已實(shí)施的軟件類工廠測(cè)試項(xiàng)目。工廠測(cè)試與現(xiàn)場(chǎng)調(diào)試組態(tài)邏輯功能總體驗(yàn)證策略優(yōu)化設(shè)計(jì)如圖4所示。

圖4 組態(tài)邏輯功能總體驗(yàn)證策略優(yōu)化設(shè)計(jì)

3.1 工廠測(cè)試階段

工廠測(cè)試內(nèi)容包括模塊級(jí)、機(jī)柜單元與系統(tǒng)集成軟硬件測(cè)試。優(yōu)化前的系統(tǒng)集成測(cè)試項(xiàng)目主要為模擬量通道精度、畫面顯示、閾值報(bào)警、邏輯組態(tài)一致性、保護(hù)聯(lián)鎖功能等。工廠測(cè)試總體驗(yàn)證優(yōu)化策略以提升DCS軟件組態(tài)功能正確性、減少現(xiàn)場(chǎng)設(shè)計(jì)變更為目標(biāo)，重點(diǎn)是基于工藝系統(tǒng)測(cè)控功能需求驗(yàn)證控制保護(hù)與聯(lián)調(diào)功能。工廠測(cè)試階段優(yōu)化要點(diǎn)如下。

①在組態(tài)與設(shè)計(jì)一致性和正確性驗(yàn)證的基礎(chǔ)上，依據(jù)工藝系統(tǒng)測(cè)控設(shè)計(jì)文件并參考控制保護(hù)邏輯驗(yàn)證調(diào)試程序，編制系統(tǒng)功能測(cè)試用例程序，增加系統(tǒng)邏輯組態(tài)功能以全面驗(yàn)證項(xiàng)目。

②工廠測(cè)試階段具有較好的模擬集成環(huán)境，根據(jù)平臺(tái)條件增加部分總體或?qū)ｍ?xiàng)聯(lián)調(diào)試驗(yàn)，如失電試驗(yàn)、閉環(huán)調(diào)節(jié)系統(tǒng)仿真試驗(yàn)等。這可以盡可能在前端發(fā)現(xiàn)問(wèn)題，提高調(diào)試現(xiàn)場(chǎng)試驗(yàn)的一次通過(guò)率。

3.2 現(xiàn)場(chǎng)調(diào)試階段

現(xiàn)場(chǎng)調(diào)試主要包括單體設(shè)備試驗(yàn)、系統(tǒng)聯(lián)調(diào)與專項(xiàng)試驗(yàn)等，在聯(lián)調(diào)與專項(xiàng)試驗(yàn)過(guò)程中關(guān)聯(lián)工藝系統(tǒng)間存在大量的交疊驗(yàn)證內(nèi)容，DCS軟件組態(tài)類的驗(yàn)證項(xiàng)目(如顯示畫面、邏輯組態(tài)等)與工廠測(cè)試存在較多的重復(fù)。調(diào)試階段總體驗(yàn)證優(yōu)化策略聚焦于減少與工廠測(cè)試重復(fù)內(nèi)容、聯(lián)調(diào)專項(xiàng)試驗(yàn)前置至工廠驗(yàn)證兩方面，現(xiàn)場(chǎng)按照可等效的工廠測(cè)試項(xiàng)目簡(jiǎn)化調(diào)試程序?，F(xiàn)場(chǎng)調(diào)試階段優(yōu)化要點(diǎn)如下。

①已完成工廠測(cè)試的軟件類驗(yàn)證項(xiàng)目不會(huì)因運(yùn)輸、二次安裝發(fā)生改變，現(xiàn)場(chǎng)調(diào)試可等效或優(yōu)化，包括組態(tài)邏輯、畫面顯示、報(bào)警、性能計(jì)算、網(wǎng)絡(luò)傳輸信號(hào)等。

②簡(jiǎn)化系統(tǒng)邏輯功能調(diào)試程序中的DCS軟件內(nèi)部邏輯組態(tài)模塊間的邏輯關(guān)系測(cè)試內(nèi)容，調(diào)試現(xiàn)場(chǎng)重點(diǎn)驗(yàn)證工藝系統(tǒng)測(cè)控功能的正確性。

③系統(tǒng)邏輯功能調(diào)試程序以安全級(jí)邏輯功能調(diào)試驗(yàn)證完整覆蓋為基本原則，對(duì)已在RPS和多樣性驅(qū)動(dòng)系統(tǒng)調(diào)試程序中包絡(luò)的驗(yàn)證項(xiàng)目進(jìn)行優(yōu)化，保留非安全及與安全相關(guān)級(jí)邏輯試驗(yàn)內(nèi)容。

④因現(xiàn)場(chǎng)復(fù)裝設(shè)備、線纜重新制作端接等，控制柜間電纜、網(wǎng)線、光纖及控制邏輯通道接口的正確性需驗(yàn)證。

⑤現(xiàn)場(chǎng)簡(jiǎn)化模擬量通道試驗(yàn)在工廠階段已完成的量程、精度、定值、缺省值等內(nèi)容，保留通道完整性和接口正確性測(cè)試。

⑥保護(hù)通道響應(yīng)時(shí)間采取工廠測(cè)試結(jié)果，選取保護(hù)邏輯處理周期最長(zhǎng)的典型通道進(jìn)行現(xiàn)場(chǎng)驗(yàn)證。

4 結(jié)論

核電DCS組態(tài)邏輯功能工廠測(cè)試和現(xiàn)場(chǎng)調(diào)試總體驗(yàn)證技術(shù)對(duì)于提高核電DCS邏輯功能組態(tài)的正確性、減少設(shè)計(jì)變更、提升核電工程高質(zhì)量建造水平具有重要意義。系統(tǒng)功能測(cè)控需求文件既是DCS組態(tài)詳細(xì)設(shè)計(jì)的前提，又是調(diào)試程序編寫的重要依據(jù)。貫徹正向設(shè)計(jì)、分階段驗(yàn)證確認(rèn)逐步迭代的理念，從系統(tǒng)功能設(shè)計(jì)、儀控詳細(xì)設(shè)計(jì)、DCS系統(tǒng)組態(tài)、工廠測(cè)試和現(xiàn)場(chǎng)調(diào)試等環(huán)節(jié)進(jìn)行全產(chǎn)業(yè)鏈V&V驗(yàn)證范圍優(yōu)化研究，是一項(xiàng)持續(xù)提升核電建造安全質(zhì)量水平的重要工作。