核电厂数字化反应堆保护系统T2响应时间分析及测试

2015-09-18马刚康礼鸿中核控制系统工程有限公司北京100176

自动化博览 2015年1期

马刚，康礼鸿（中核控制系统工程有限公司，北京 100176）

马刚，康礼鸿（中核控制系统工程有限公司，北京 100176）

1　引言

反应堆保护系统（Reactor Protection System，简称RPS）是核电厂数字化I&C系统中重要的安全系统，是DCS的重要组成部分，其主要功能是保护三大核安全屏障（即燃料包壳、一回路压力边界和安全壳）的完整性。反应堆保护系统监测反应堆的实时工况参数，当反应堆运行参数出现危及三大屏障完整性阈值时，保护系统自动触发紧急停堆信号，使反应堆紧急停堆，必要时启动专设安全设施。

在紧急停堆和专设安全设施控制设计中，由反应堆保护系统实现信号采集、运算和控制输出。为了核电站的安全，对其响应时间有严格的要求，美国核管会标准评审大纲（NUREG-0800）规定要求DCS的详细设计时考虑系统的响应时间，并将系统的时间指标分配到DCS的各个部分，在DCS的性能确认阶段测试系统的响应时间[1]。HAD102/16中也有关于响应时间测试的建议性要求[2]。GB/T-5204-1994的6.3.4节规定了响应时间验证的相关内容[3]。EJ/T1019-1996规定了对安全重要仪表通道进行响应时间测试的要求和方法[4]。对响应时间进行评价具有重要意义，响应时间的评价手段通常有理论分析和实际测试。本文以某核电厂反应堆保护系统为例，通过理论分析得出理论上的响应时间最大值，然后通过实际测试验证实际设计的系统是否满足理论值的要求。

2　反应堆保护系统T2响应时间分析

2.1典型的反应堆保护系统

如图1所示是典型的RPS结构图，它包括反应堆紧急停堆系统（Reactor Trip System，简称RTS）和专设安全设施驱动系统（Engineered Safety Features Actuation System，简称ESFAS）。

图1 反应堆保护系统结构图

RTS具有四重冗余的结构，包含4个独立的通道（IP， IIP，IIIP和IVP），每个通道相对于其他通道独立工作。DCS从对应的传感器/变送器采集反应堆现场的工况信号，信号输入经过分配、采样、限值等处理后再进行阈值比较，当超过阈值则产生“局部脱扣”信号。同时阈值比较结果经光纤通讯传送到其他通道并参与其他通道的表决逻辑处理，各保护通道接收阈值判断结果经四取二（或三取二）逻辑表决产生紧急停堆信号。在每一个通道中有两个功能多样性子系统（Sub1和Sub2），同一个通道的子系统产生相同的停堆信号，其输出用硬逻辑的“或”连接后再送往停堆断路器。

ESFAS具有双重冗余的结构，包含两个独立的保护列（A和B），各自有两个功能多样性子系统（Sub1和Sub2）。保护列的每个子系统（Sub1或Sub2）通过光纤I/O总线从保护组对应子系统获取“局部脱扣”信号，进行四取二逻辑处理产生系统级的专设安全设施驱动信号，每个保护列中两个子系统的信号输出经过硬逻辑“或”连接后送往优选逻辑模块（PLM）进行优先级处理再输出列对应的驱动设备。

2.2T2响应时间测试范围

从标准IEEE1012-2004可知软件测试由四个级别的测试组成：单元/组件级测试、集成级测试、系统级测试和验收级测试。这些测试由提供独立验证和确认的第三方独立完成，响应时间测试是厂级验收测试中的一种。

根据设计院提供的系统需求规格书，T2测试是RTS和ESFAS的主要功能测试，T2响应时间测试也是按RTS和ESFAS的功能进行分类并进行测试，其响应时间的功能分类和各功能的响应时间最大值要求在系统需求规格书中有详细规定。它们的定义如下：

（1）RTS的响应时间（如图2所示）：从接收到传感器信号输入超阈值到输出反应堆跳闸断路器信号的时间。

图2 RTS响应时间测试示意图

（2）ESFAS的响应时间（如图3所示）：从接收到传感器信号输入超阈值到PLM产生驱动“现场设备”输出信号的时间。

2.3T2响应时间分析

RPS响应时间分为三部分[5～6]：一是输入信号处理和通讯（用IT表示）；二是应用程序在CPU中执行时间（用AET表示）；三是输出信号处理和通讯（OT表示）。其公式如下：

其中，RT是从接收到输入到执行的通道响应时间。图4所示为响应时间的各部分组成图。

图4 响应时间的各部分组成图

IT是输入信号处理和通讯时间，详细如公式（2）所示，包括AI卡的处理时间（输入滤波时间IFT和输入模块轮询时间IMPT）和I/O总线的处理时间（IO总线轮询时间IOCPT），AI卡的处理时间由DCS供应商决定；I/O总线通讯采用循环扫描的方式，其扫描时间取决于I/O模块数量和单个I/O模块的处理时间；在评价I/O总线通讯的最大响应时间时，需考虑一个模块刚好错过一个轮询扫描周期（STin）的情况。

AET是应用执行时间，指花费在程序应用执行的时间，从图4可得出公式（3）。CPU的运算处理响应时间主要包括信号输入、计算、自诊断和信号输出四个阶段，DCS一般采用固定周期扫描方式，并通过负荷率保证系统更加稳定可靠运行，在计算得出CPU的运算处理时间后，可以根据负荷率设定固定扫描周期（STapp）。

其中，SPT为剩余时间，CDT为通讯和诊断时间。

OT是输出信号处理和通讯时间，如公式（4）所示，输出信号处理和通讯与输入信号处理和通讯机制相同。

其中，IOCOT为I/O总线输出时间，OMT为输出模块时间，OAT为输出激活时间。

根据公式（1）-（4）：

RT=IT+AET+OT

=IFT+IMPT+IOCPT+ STin+STapp-SPT-CDT+

IOCOT+OMT+OAT

由于CPU有固定扫描周期，故有：ST=STin= STapp，可以得出：

RT= IFT+IMPT+IOCPT+2(ST)-SPT-

通过公式（5）可知影响响应时间的各部分时间组成，以及响应时间可以改进的因素；如果给定响应时间最大值，通过公式的转化，可以方便计算所允许的最大的CPU固定扫描周期。基于公式（5）可以方便计算RTS（信号经过两个通道）和ESFAS（信号经过两个通道一个列）的响应时间。

3　响应时间测试及结果讨论

3.1响应时间测试设计

3.1.1测试方法

如图5所示为RTS的简化图。测试方法是设置通道IIP-IVP为初始条件，仅给通道IP注入信号，然后测量非本通道的输出的响应时间，采用列举法测量其他输入输出点的响应时间。该方法不仅包含通道间信号传输的时间，还可以测量不同CPU时序下的响应时间。ESFAS的测试方法与RTS的测试方法相同。

图5 RTS简化图

3.1.2测试原理

如图6所示为T2响应时间测试示意图。测试前，示波器已经连接RPS的输入和输出点，并且已经设置触发信号的波形；测试时使用测试装置的信号输出模块向DCS注入信号，触发RPS紧急停堆或专设安全设施；同时测试装置的输入模块接收RPS输出的紧急停堆指令或专设安全设施信号；示波器分别采集触发信号波形和紧急停堆信号（或专设安全设施信号）的波形，将RPS的输出信号跃变时间点减去输入信号跃变时间点即可测得保护系统的响应时间。

图6 T2响应时间测试示意图

3.1.3响应时间测试装置设计

该核电站1&2号机组的RPS是基于Tricon平台，测试装置采用CAPE Software VP Link，该设备能够完成RPS大部分的功能和性能测试的预验收和验收。

图7 Tricon平台与测试装置的连接图

VP Link包括PC服务器，I/O模块（信号输出模块和信号接收模块）；CAPE software和Tricon平台的连接关系如图7所示，VP Link的I/O模块与Tricon平台的I/O模块通过硬件相连，VP Link PC是一个仿真程序，包含与Tricon的I/O模块连接的硬点的点表，通过PC读写I/O模块的数值，并输出到与Tricon相连的硬件模块，从而仿真保护系统现场实际I/O信号。

3.2响应时间测试

3.2.1响应时间测试准备

（1）RPS初始状态设置

测试前，将RPS的初始状态设置为非动作状态：无紧急停堆信号，没有专设安全设施动作信号以及没有切换到应急停堆盘（隔离选择开关置于对应控制室操作位置）等。

为了保证测试信号输入和模拟正常，需要完成如下类型的初始值（初始值的设置和确认应在测试用例中体现）：

• 通过VP Link的“Global Reset”按钮来初始化RPS，使得系统处于上述的非动作状态。

• 通过TriStation 1131强制初始值（包括来自现场的点和中间变量）。

• 强制Reset条件和“AND”逻辑的其他分支。

• Filter 和Time Delay模块需要设定其值为“0”。

（2）RPS与测试装置和示波器的连接

将测试装置的信号输出模块的信号输出到RPS的相应端子上，RPS的紧急停堆输出点或专设安全设施输出点与信号输入模块相连；精密示波器的不同通道分别从信号输出模块和RPS之间取输入信号，从RPS输出点取输出信号，该部分接线参考如表1所示的硬件输入信号点连接表和如表2所示的硬件输出信号点连接表。

表1 硬件输入信号点连接表

表2 硬件输出信号点连接表

表1和表2中Tricon Logical Address: “11.1.2.03”，11指Channel1 Sub1，1指Chassis 1，2指在Slot 2的模块， 03指在slot2卡件的第3个点。根据Tricon Logical Address可以快速锁定Tagname对应输入点的位置（输出点同理）。

Tricon Physical Termination ID：“W609-011-121-03”，W609指房间号，011指机柜名为1KCS011AR，121指为121BN的ETP，03指121BN的ETP的第三个点。通过Tricon Physical Termination ID可以快速找到需要连接的硬件输入点（输出点同理）。

3.2.2响应时间测试执行

（1）根据表3（以SG1水位低低导致紧急停堆响应时间测试工况为例）所示，执行第一步测试，在信号发生装置的软件相应位置输入达到紧急停堆阈值的工艺信号值。

表3 SG1水位低低导致紧急停堆响应时间测试工况

（2）当满足紧急停堆要求的2/4逻辑时，引发紧急停堆动作。此时，在软件界面上可以看到正确输出了紧急停堆信号，同时示波器触发采集到响应时间波形，通过示波器的时间测量功能可以方便测量出响应时间，并记录在测试结果记录表中，测试结果记录表详见表4。

（3）复位（1）中设置为紧急停堆阈值的工艺信号值的所有输入点至未达到紧急停堆阈值的工艺信号值，在软件界面上可以看到紧急停堆信号自动复位。然后执行表（响应时间测试工况）所示的第二步测试，反复进行步骤（1）-（3）。

表4 测试结果记录

3.3响应时间测试结果

示波器采集的响应时间测试结果如图8所示。示波器通道1采集的是反应堆保护系统的现场传感器信号，示波器通道2和3采集的是RPS的停堆信号值，通过示波器的测量功能测量通道2或3的跃变时间坐标减去通道1的跃变值时间坐标即可测得响应时间。

图8 响应时间测试波形图

对该工况响应时间的多次测量，得到的测试结果如表5所示。其最大值、最小值和平均值均在需求的响应时间范围内。通过分析测试结果，DCS系统反应堆保护功能的响应时间存在不确定性，主要体现在CPU接收数据的时机不确定性，存在错过CPU接收数据的节点，需要等待CPU下一个周期再处理的情况。

3.4响应时间测试文件输出

T2响应时间测试的输出文件如表6所示，其中标准IEEE1012-2004[7]规定了测试活动和每个测试活动的输入输出文档；测试文件编写格式则参考标准IEEE829-2008[8]。

4　结语

本文对反应堆保护系统T2响应时间进行评价，通过响应时间的理论分析，得出了响应时间的组成和影响因素，根据工艺确定响应时间需求，反过来若确定响应时间需求，提供了如何计算CPU固定扫描周期的公式；实际测试中给出了一套测试反应堆保护系统的测试方法、测试原理和测试装置，并以某核电厂1&2机组Tricon平台的SG1水位低低导致紧急停堆响应时间测试工况为例，经过实际测试工作得出以下结论：

（1）通过对响应时间的分析，得出从硬件和软件两方面来改进响应时间的措施，硬件方面可以通过选择响应时间短的AI模块和DO模块实现，软件方面可以通过优化CPU应用程序算法或在满足CPU负荷率的前提下，尽量缩短固定扫描周期。

（2）所开发的测试装置具有真实的输入输出模块与被测DCS的输入输出模块连接，并开发了测试装置服务器和输入输出模块驱动，具有良好的人机交互界面，功能灵活，自动化程度高等特点。

（3）文中给出的响应时间测试方法、测试原理具有一定的通用性，其响应时间测试输出文件清单，对其他测试输出文件也具有一定的参考价值。

[1] NUREG-0800. BTP7-21, Guidance on Digital Computer Real-Time Performance[S].

[2] HAD102/16-2004. 核动力厂基于计算机的安全重要系统软件[S].

[3] GB/T 5204 - 1994. 核电厂安全系统定期试验和监测[S].

[4] EJ/T 1019 - 1996. 核电厂安全重要仪表通道响应时间试验[S].

[5] 郑智伟, 李相建, 朱毅明. 核电站数字化反应堆保护系统停堆响应时间分析[J]. 自动化博览, 2010, 8: 74 - 76.

[6] 汪绩宁, 周爱平等. 核电厂反应堆保护系统紧急停堆响应时间分析及测试[J]. 核动力工程, 2012. 4, 33(2): 5 - 10.

[7] IEEE Std 1012 - 2004, IEEE Standard for Software Verification and Validation[S].

[8] IEEE Std 829 - 2008, IEEE Standard for Software Test Documentation[S].

T2 Response Time Analysis and Test of Nuclear Power Plant Reactor Protection System

反应堆保护系统是核电厂数字化仪表控制系统中重要的安全系统，是DCS的重要组成部分。为了核电站的安全，对保护系统的响应时间有严格的要求，有必要对响应时间进行评价，本文简要介绍了核电站反应堆保护系统的结构，给出了T2响应时间测试范围，并对反应堆保护系统的响应时间进行理论分析，给出了T2响应时间测试方法，建立了响应时间测试原理，介绍了VP Link作为测试装置如何进行响应时间测试。以某核电厂1&2机组的SG1水位低低导致紧急停堆响应时间测试工况为例，详细介绍了实际响应时间测试工作，给出了响应时间测试的输出文件清单，并对测试结果进行记录和分析。

反应堆保护系统；响应时间分析；响应时间测试；紧急停堆

Reactor Protection System is very important safety system for nuclear power plant DCS I&C system. For the safety of nuclear power plant，the response time of RPS has the strict requisition, ,therefore it is necessary to evaluate the response time of RPS. In this paper the structure of nuclear power plant reactor protection system is briefly introduced, the scope of T2 response time test is given, and theoretical analysis of the response time of RPS is conducted. Test method for T2 response time is proposed，test principle of T2 Response time is established. How to test the response time is also introduced by using the VP link as the test devices. By taking the conditions for response time test of reactor trip due to SG1 Low-Low level of NPP Unit 1&2 as example, the actual response time executed in project is introduced in detail, then the test document about response time test is output， and the test result is recorded and analyzed.

Reactor protection system; Response time analysis; Response time test; Reactor trip