张 旭，邓志光，武有光

（中国核动力研究设计院 核反应堆系统设计技术重点实验室，成都610213）

传统的DCS 逻辑测试方法包括功能测试、定期试验等，其本质上均是将DCS（控制器）与被控对象（含执行机构）或反馈回路（含传感器）的连接切断，即从完整的实际工艺流程中抽离出来，通过注入特定的输入数据组合，验证输出值是否符合预期。 上述测试方法在一定程度上能够验证DCS 的逻辑，但是考虑到输入值与输出预期值的计算过程可能出现人因错误或不能完整的覆盖所有情况，且对于具有强惯性的被控对象，其控制过程是连续的，上述测试方法不能进行有效的测试。 特别地，对于核电等对安全性要求极高的工业过程，需要应用更加完善的测试方法，不仅可实现复杂控制过程的有效测试，减少测试过程中的人因错误，同时还能基于多样性的原理，对DCS 平台本身进行验证。

1 测试方法对比

1.1 开环测试

目前，实际工程使用的测试方法多为离散脚本测试。 该测试方法实现简单、成本低。 利用测试装置（另一平台DCS）运行测试脚本，向被测DCS 发送单步骤的输入数据并采集该步骤对应的反馈输出，并对比实际反馈值与预期反馈值。 但该方法仅适用于简单逻辑功能的测试，其分步执行的特性不适合具有连续特性的对象。另外，测试脚本编写过程复杂且易出错，可能存在不能完全覆盖全部测试功能的情况。

1.2 闭环测试

闭环仿真测试是一种将被控对象与控制逻辑连接成闭环的测试方法[1-2]。 在闭环测试中，被控对象根据其物理模型进行仿真计算后输出相关状态参数给控制逻辑，控制逻辑获得被控对象的相关参数后进行逻辑运算，最终把逻辑运算结果反馈给被控对象进行新一轮模型计算。 闭环测试可实现测试对象的全面验证，包括逻辑验证、接口验证以及整体功能验证。 同时，闭环测试也可以实现对测试对象高逼真的动态验证。 与开环测试相比，闭环测试具有测试精度高、覆盖范围广、测试灵活、逼真度高等特点。 闭环测试包括纯模拟测试和实物模拟测试等。 在实际项目中选型时需要从经济性、精确性、难易度、变更易维护以及对工程项目的时间进度影响等方面综合考虑[3-6]。

1.2.1 纯模拟测试方法

纯模拟测试方法是一种完全利用仿真软件开发环境对系统进行仿真测试的方法，DCS 的组态逻辑由仿真平台实现。 该测试方法具有测试较为全面、经济成本低等特点。 纯模拟测试方法可以实现对系统结构、原理、算法以及整个运行过程的全面测试验证。 但该方法仅仅存在对系统软件部分的全面测试验证，难以实现对系统硬件性能的测试，进而易于导致软件代码运行在硬件环境不可靠的问题。

1.2.2 实物模拟测试方法

实物模拟测试方法是一种将真实被测对象的软件和硬件与工艺系统过程模型软件形成闭环进行测试的方法。 实物模拟测试具有拟真度好等优势。 该方法与其他测试方法相比，在能够测试组态算法正确性的基础上，还能对真实DCS 的硬件的性能指标进行测试。 在用工艺系统过程模型软件表征实物工艺系统时，实物模拟方法常被称为半实物仿真方法。

由于计算机软件的特殊性，上述3 种测试方法很难发现平台内部的缺陷与错误问题，例如底层算法问题、底层编译问题等。 基于多样性原理，采用跨平台方式可以实现多样化、全方位的对比验证，即通过采用另一套平台系统进行DCS 逻辑计算，对DCS 平台本身进行验证。

本文充分结合不同测试方法的优缺点，提出了一种跨平台的纯模拟与实物模拟闭环测试方法，采用不同的平台分别实现同一个系统的纯模拟测试和实物模拟测试的方法，实现了对DCS 软件、硬件进行全方位、深层次验证，确保DCS 产品的正确性和确定性。

2 验证体系设计

验证体系包括离散脚本测试与闭环仿真测试，先由离散脚本测试对DCS 组态逻辑进行初步的检查，然后进行闭环仿真测试。

DCS 逻辑闭环测试中，基于DCS 的实物模拟仿真系统与基于仪控仿真平台的纯模拟系统均以上层输入为设计依据，均与被控工艺系统模型交互。DCS 侧除依据上层设计外，同时考虑DCS 平台自身的需求。 上述逻辑在工程师站中被实现为工程应用软件，并编译为下位机可执行程序下装至下位机。类似的，仪控仿真平台一侧依据上层设计，实现为仪控仿真平台的工程应用软件，进一步实现为其可执行程序。

图1 两种闭环仿真系统框架Fig.1 Frame diagram of closed-loop simulation systems

2.1 仪控仿真平台设计

DCS 的控制逻辑可分为两部分，包括依照上层设计输入的要求，实现保护或控制功能的控制逻辑，以及根据平台自身特性，增加的自诊断等逻辑部分。 仪控仿真平台以上层设计作为输入，旨在实现上层设计要求的控制逻辑，不考虑平台自身需求的逻辑部分。

仪控仿真平台应能够读取上游设计输入文件、抽取与考察输出点相关的输入点及其影响输出点的方式并按照一定的规律映射到仪控仿真平台、设计输入变量组合、计算相应的输出结果并比较源平台与目标平台的结果。因此仪控仿真平台可划分为输入读取层、映射逻辑层、仿真计算层。 其架构如图2所示。

图2 仪控仿真平台结构图Fig.2 I＆C simulation platform structure diagram

输入读取层能读取识别设计输入的文件。 设计输入包括模拟图与逻辑图，其中的算法块称为节点，节点包括3 种：接口图符、算法块、变量（中间变量、输入输出变量、参数变量）。

为了在仪控仿真平台重构组态逻辑算法，需在仪控仿真平台预先建立合适的算法库，建立映射规则、完成算法块和连接关系的映射，算法库应包含可能用到的所有种类的算法块，按照一一对应的映射规则将算法块映射到仪控仿真平台。 映射过程包括两步，首先是将算法块映射到仪控仿真平台，然后按照上游输入中算法块的连接关系将算法块在仪控仿真平台重新连接。 将映射到仪控仿真平台形成的组态逻辑与工艺系统过程模型连接，可进行仿真计算，实现闭环仿真的效果。

仪控仿真平台的设计及其工程应用软件的设计过程应充分考虑到多样性原理，即仪控仿真平台的算法库、周期调度机制、平台自身机制等都应与DCS 设计平台有所区别，且仪控仿真平台的工程组态软件的设计输入不依赖于实体DCS 设计过程中产生的文件，二者的设计过程不存在交集，可达到结果对比的效果。

2.2 闭环仿真系统设计

在实物模拟闭环仿真系统中，通常将被控工艺系统的数理特性通过方程建模，形成被控工艺系统模型，并通过软件实现。 被控工艺系统模型是对工艺过程的抽象化和数字化，其具体组成依据工业领域不同而异。 以压水堆核电厂工艺系统[7]为例，其概要结构如图3所示。

图3 压水堆核电厂工艺系统图Fig.3 Process system diagram of PWR nuclear power plant

该工艺系统模型应包括热工水力模型、中子动力学模型以及反应性模型等方面[8-9]。

实体控制系统与工艺系统模型构成的闭环仿真系统如图4所示。 控制系统由下位机实现，其它部分（工程师站、工艺系统模型、传感器模型）由上位机实现。 上位机中运行的各软件之间通过进程间通信的方式进行交互，上位机与下位机之间通过模拟量与数字量输入输出模块进行连接[10-11]。

图4 实体控制系统与工艺系统模型构成的闭环实物模拟仿真系统Fig.4 Closed-loop simulation system of the physical control system and process system model

仪控仿真平台与工艺系统模型构成的闭环仿真系统结构如图5所示。 该系统的各部分均是上位机软件，均可通过进程间通信的方式进行交互，构成纯模拟仿真系统。 工艺系统模型计算结果经过传感器模型实现的反馈通路发送至仪控仿真平台，进行控制量的计算，仪控仿真平台将计算出的控制量发给工艺系统模型实现控制的目标。

图5 仪控仿真平台与工艺系统模型构成的闭环纯模拟仿真系统Fig.5 Closed-loop simulation system of I＆C simulation platform and process system model

上述两种方式构成闭环仿真系统，均可模拟控制器与被控工艺系统之间的闭环数据交互关系。

3 实例验证

基于中国核动力研究设计院（NPIC）研发的核安全级DCS 平台龙鳞（NASPIC）系统，选取“华龙一号”百万千瓦级压水堆控制系统为例，进行实例验证。

3.1 功率调节系统自动调节允许信号实例分析

自动调节允许信号在功率调节过程中综合了反应堆入口温度、反应堆出口温度、相对核功率测量值、功率调节设备是否异常等信息，在上述信息无异常时送往非安全级DCS（NC-DCS）、主操作台进行显示，提示操纵人员可以进行功率调节，同时送往棒控系统，触发允许信号。

本文取其中反应堆出口温度的测量、运算、判断逻辑为例进行分析。

上层设计对于反应堆出口温度部分的处理逻辑如图6所示。

图6 自动调节允许信号上层设计（反应堆出口温度部分）Fig.6 Automatic adjustment allows the signal general design（reactor outlet temperature section）

三组反应堆出口温度测量信号经过隔离（Isolation）、模数转换（A/D），取其中第二大值（Max2），再经过滤波函数（Filter），分别上下限比较（＞H、＜L），如果在上下限之间，则产生反应堆出口温度自动调节允许信号[8]。

实体控制系统（NASPIC）与工艺系统模型构成闭环实物模拟仿真系统，其中，实体控制系统以上游模拟图、逻辑图、IO 清单等为输入，结合实体控制系统平台自身要求，在工程师站软件（NASPES）上绘制工程应用软件，并通过编译过程形成下位机可执行程序。自动调节允许信号的DCS 组态逻辑如图7所示，由于与上层设计类似，本文不再赘述。

图7 自动调节允许信号DCS 组态逻辑（反应堆出口温度部分）Fig.7 Automatic adjustment of allowed signal DCS configuration logic（reactor outlet temperature section）

编译出的下位机可执行程序通过工程师站软件下装进下位机，与工艺系统模型形成闭环控制的结构，实现对实际工况的实物模拟仿真。

仪控仿真平台与工艺系统模型构成的闭环纯模拟仿真系统中，仪控仿真平台选用Simulink 软件，同样依据上游模拟图、逻辑图、IO 清单等信息，形成Simulink 平台下的工程应用软件。 同样以反应堆出口温度部分自动调节允许信号为例，Simulink平台下的相应逻辑如图8所示。

Simulink 软件与工艺系统模型进行交互，构成的闭环纯模拟仿真系统，实现对实际工况的仿真。

图8 自动调节允许信号Simulink 逻辑（反应堆出口温度部分）Fig.8 Automatic adjustment of allowed signal Simulink logic（reactor outlet temperature section）

3.2 联合仿真实验分析

以一种负荷跟踪模式下的调节负荷作为实验工况，分别进行了热启动试验和升降负荷试验。

热启动实验中，反应堆从零负荷阶跃至20%满功率（FP），记录两组仿真实验的过程参数变化，以反应堆功率、稳压器水位、压力为考察参数，观察两组仿真实验的核功率的变化趋势，绘制成图，并比较二者的偏差。 图中纵坐标分别为反应堆核功率的归一化值、稳压器水位百分比、稳压器压力，横坐标为仿真实验时间。 SP 为功率设定值，DCS 代表实际DCS 系统构成的实物模拟仿真系统的实验结果，Simulink 表示基于Simulink 的纯模拟仿真系统的实验结果。

图9 热启动试验Fig.9 Warm start test

在升降负荷实验中，反应堆负荷由20%FP 阶跃至70%FP，稳定并持续一段时间后降低至40%FP。在该过程中，反应堆功率、稳压器水位、压力等关键参数的变化如图10所示。SP 为功率设定值，DCS 代表实际DCS 系统构成的实物模拟仿真系统的实验结果，Simulink 表示基于Simulink 的纯模拟仿真系统的实验结果。

Minkowski 距离可衡量两个数值点或两组数值变量之间的距离，可用于衡量其偏差。 针对实物模拟系统与纯模拟系统的反应堆功率变化曲线计算Minkowski 距离，能够定量的分析二者的偏差。

图10 升降负荷试验Fig.10 Lifting and reducing of load test

Minkowski 距离的定义如式（1）中所示：

式中：d 为Minkowski 距离；X1、X2分别 表示 实物模拟系统与纯模拟系统的反应堆功率变化曲线；p 是参数，本文中p 取2。 该公式表示欧氏距离。

以升降负荷实验中的功率调节实验为例，分析实物模拟与纯模拟测试的仿真结果。 实验的结果数据分析对比如下。

表1 两种仿真结果的Minkowski 距离Tab.1 Minkowski distance of two simulation results

通过实验数据对比可知，DCS 系统与基于Simulink 平台构建的控制系统具有高度的吻合性，实际证明了基于对比实验进行的DCS 功能测试具有有效性。

4 结语

本文通过理论分析与实验研究得出结论，实体控制系统构成的闭环实物模拟仿真系统与仪控仿真平台软件构成的闭环纯模拟仿真系统具有高度的相似性。 且二者的设计过程完全独立，没有相互参考，因而后者可作为对实体控制系统的对比验证。

现阶段DCS 的设计与制造过程中，测试用例的编写通常由人工分析上游模拟图、逻辑图计算每种输入组合下的输出预期值，这种编写测试用例的方法既耗时又伴随着人因错误率高的问题。 通过仪控仿真平台计算每种输入组合下的输出预期值进而与DCS 的计算结果比较，可大幅提高现有测试流程的自动化程度，这是该验证体系的实际工程应用价值之一。