张立群，张玉峰，王少华，刘问杰

（中国核电工程有限公司，北京 100840）

0 引言

随着中国核电具有自主知识产权新堆型的不断研发，新设计的验证需求不断增加[1]。同时，应用仿真机的优势[2]开展核电厂设计验证的研究方法越来越多[3-7]。从数字化主控室人机接口的设计验证，到机组DCS缺省值验证，再到使用全流程数字化仪控平台绘制仪控设计图纸的设计验证，再到工艺系统设计改进、新堆型的总体运行研究的设计验证，再到核电厂调试规程的验证，使得用工程仿真机进行设计验证的方向越来越多元化。

以往主要是参考核电厂全范围模拟机的开发流程跟踪验证平台的更新配置管理工作。全范围模拟机的开发目标单一，主要用途是核电厂操纵员运行培训和操纵员考取运行执照[8]。另一方面，全范围模拟机的设计输入相对固化，主要分成设计固化、电厂调试和电厂运行3个阶段的数据更新。面向多元化验证任务的验证活动，具有验证目标多、涉及验证专业范围广、参与部门多等特点。同时，设计输入未固化，同一时间段有不同阶段、不同批次、不同专业的设计输入，交叉重叠地提交验证需求。这意味着工程仿真机的模型迭代更新次数频繁，是逐步细化走向精准的过程。各个验证单位的设计输入具有先后关联性，如综合运行研究相关的设计验证需要其它基础专业的设计提资。因此，如仍采用核电厂全范围模拟机的开发流程处理多元化验证任务，需要更大量的人力和精力，使得验证平台的管理成本增加且使用效率降低。有必要从多元化验证任务的目标和对象特点出发，对其验证活动的管理方法进行研究。

1 工程仿真机建立过程阶段划分

工程仿真机建立主要分为：前期初步建立阶段、设计验证阶段和培训服务阶段。

初步建立阶段，平台管理部门消化梳理新堆型或原有堆型优化升级的总体设计方案，完成验证平台的功能技术需求调研，验证平台场地建设或选址改造，搭建主要基础硬件系统和确定预开发平台。预开发平台的电厂仿真模型是新堆型设计验证工作的基础模型，通过对核电厂模拟机产品的市场调研结果，选择与新堆型相似度最接近的模拟机作为预开发平台。

设计验证阶段，设计单位和平台管理单位共同参与工程仿真机的更新、测试和设计验证活动。该阶段需要双方紧密配合，确保设计验证活动顺利完成。设计单位提出验证相关的设计输入，包括总体功能需求，设计手册详细内容，设计提交批次、进度，以及验证时间计划。提资的过程中，设计单位负责澄清与设计输入相关的问题，负责修改不符合导入规范的设计输入。为排除与提资相关的验证平台模型更新的仿真偏差问题，设计单位需要针对验证功能进行测试并记录仿真偏差。同时，平台管理单位负责收集反馈设计输入规范性相关的问题，向设计单位提出用于仿真实现的澄清问题，协调平台模型更新管理，如评估验证平台更新开发的工作量，修正验证平台模型，负责管理仿真偏差记录的复测并确保验证平台通过验收测试，发布验证计划，制定验证平台的预约计划和使用登记管理，负责组织协调并承担验证过程中的平台技术支持工作。

培训服务阶段，工程仿真机的电厂仿真模型已经与新堆型核电厂的系统十分逼近，可以作为各相关技术人员的培训基地，也可以作为后续堆型研发或核电厂运行前沿性课题研究的基础平台。同时，也可以作为核电厂运行技术改进项的验证平台，验证工作流程与设计验证阶段的流程类似。

2 设计验证阶段的管理特点

核电厂各专业的设计验证存在交叉的强耦合关系。在实际工程中设计进度紧张，会存在同一专业的几个子系统，甚至不同专业同时提出验证需求的情况。针对这些特点，需要在验证项目切换和验证管理程序策划方面，着手研究更适用于多元化验证任务的设计验证方法。

2.1 广义的验证管理过程

以往通常狭义地理解设计验证过程，即仅对设计验证活动本身[9]进行说明。实际上，工程仿真机的更新测试管理与设计验证活动的顺利执行密切相关。本文从广义上探讨基于工程仿真机的验证管理，即从验证需求提出到设计偏差修改闭环结束。其中，涵盖的主要阶段有：验证需求提出，输入资料分析澄清，验证任务评估计划，工程仿真机的基线版本状态标定，仿真模型更新、测试和仿真偏差项修改，现场验证活动和设计偏差反馈修正等主要环节。核电厂验证过程中会产生偏差项，偏差项分为仿真偏差和设计偏差两类，往往这两类偏差外在表现相似，区分难度大。设计验证的目的是验证和确认各专业设计的正确性和安全性，识别出设计偏差。如果在前面验证更新环节没有前提假设或识别仿真偏差的有效方法，那么在后面验证执行环节出现过多的仿真偏差项，必定会干扰设计者的判断，在设计输入资料和仿真模型之间频繁切换确认偏差的性质，过程非常耗时。一旦确认是仿真偏差，还需要现场修改仿真模型，继续后面的验证内容，严重的还可能无法现场修改，只能择日延迟验证，这样使得设计验证的效果受到很大影响。另一方面，工程仿真机管理人员在人员数量和对待验证的设计专业内容了解、掌握深度两方面都存在局限性，在验证更新前，需要各专业设计者和工程仿真机的管理者对验证需求交换意见。在更新过程中，双方共同参与设计澄清、测试和偏差项修改等活动。通过问题澄清、更新测试、仿真偏差记录等方面建立一套完整、充分、具有可追溯性的沟通交流机制。最后，验证输入文件是初版设计文件。验证过程中，存在不同专业、不同验证阶段的修改和升版的情况，在验证过程中建立合理有序的基线版本管理机制，保证多元化设计验证的仿真模型的更新版本可控，验证执行率高。

2.2 验证活动项目切换

目前，基于工程仿真机的设计验证，一般都是仅配置一整套工作站作为验证活动的工作场景，即所有的操作员站、值长站、后备盘、大屏幕和模拟服务器，组成一个验证支撑系统[10]。这种配置方法模拟主控室的环境布置功能逼真度高，适用于核电厂主控室操纵运行人员的任务分配、负荷效能分析的验证研究。但是，这种单一配置没有考虑处于同一设计阶段不同的设计专业、同一专业不同分组，或者不同堆型、不同设计阶段，同时使用工程仿真机进行局部设计验证的问题。如果不提前考虑这个问题，可能会在实际工程设计中发现几个系统的功能都需要使用验证平台进行局部功能验证，却由于验证平台工作站环境配置单一，不能同时段在多专业之间切换安排验证，而不得不计划更长的时间排队等待，影响后续工程实施阶段的设计提资时间，甚至影响整体工程建造周期。

从节约成本、使用方便性和提高利用率等方面考虑，有必要对工程仿真机的软硬件结构进行必要的技术开发，即设计多模型切换以及场地共用实施方案，满足多元化验证任务间的多模式切换功能。如图1所示，系统硬件采用3套服务器，每套服务器包含1台电厂模型仿真服务器和1台数据处理服务器。1套全功能数字化操作员工作站环境，每台工作站带3个显示器、1个键盘和1个鼠标。通过开发运行脚本文件，组合设置鼠标键盘，实现1套键鼠可控制更多套显示器，如一套键鼠控5或6屏。每套服务器可以跟8台操作员工作站中的任意1台或多台进行组合，生成1个适应验证需求的验证工作站环境。受基线版本管理控制的多版本电厂仿真模型数据，存储在服务器和工作站上。根据验证需求，在多模型切换软件的控制下，完成多模式切换以及场地共用，实施多元化验证任务。

图1 多模型切换以及场地共用实施方案Fig.1 The scheme of multi mode switch & site sharing

2.3 验证管理流程策划

平台管理者可以根据多元化验证任务的特点，控制进度计划，制定验证管理流程，由各验证活动的参与方共同实施。管理流程分两级，第一层级是解决同一设计验证周期不同的验证任务并行验证的问题，如图2所示。首先，主要由平台管理者参考设计进度计划和设计批次，将验证活动划分成几个验证基线版本。然后，在某一基线版本下，依据各专业的验证需求，布置独立的验证环境。其中，记录跟踪基线版本变化情况。本批次验证结束后，综合各支路的变化后产生新的验证基线。第二层级是解决在第一层级下某单一验证任务的工作流程问题，如图3所示。多方共同参与单一验证任务，其中，红色人员是待验证设计文件的直接设计者，蓝色人员是与待验证设计文件有接口关联的其他文件的间接设计者，绿色人员是工程仿真机的管理者。其中，验证文件由红色人员负责提资，红色人员和绿色人员一起交流验证需求后，由绿色人员评估并标定验证前基线版本和验证环境，并向红色人员说明评估情况和验证假设前提。比如，间接设计文件的版本，是否需要更新等情况。如需要更新间接文件，则由绿色人员向蓝色人员收集间接设计文件。验证模型基线版本标定后，依据收集的直接和间接验证文件，进行验证模型更新，由绿色人员发布更新测试和验证实施计划，该环节遇到设计问题，分别由红色人员和蓝色人员对直接设计和间接设计文件进行澄清，绿色人员同时跟踪澄清过程。在设计澄清的环节中，通过静态分析设计文件会发现一些设计偏差，则分别反馈给各设计方进行设计偏差修改闭环环节。验证模型更新完成后，由红绿色人员一起进行更新测试，提前了解验证假设的仿真情况并排除仿真偏差。更新测试完成后，由绿色人员标定更新后版本，并发布验证计划，验证执行时通过动态仿真又发现一些设计偏差，则分别反馈给各设计方进行设计偏差修改、闭环追踪升版环节。到此本单一验证任务结束。

图2 同一时间段并行验证任务的工作流程图Fig.2 The work flow of parallel V&V task in same phase

图3 某单一验证任务的工作流程图Fig.3 The work flow of a V&V task

3 设计验证应用实例

华龙一号是中国自主创新的三代先进压水堆，其设计功能准确性直接关系到华龙一号核电厂是否能如期建设完成，进而保证机组安全可靠地运行，更关系到华龙一号新堆型能否真正代表中国核电的名片走出国门，占领国际核电市场。

华龙一号作为首堆，随着设计的不断深入，越来越多的验证需求被提出。设计验证平台成功地完成了多个设计验证任务，如华龙一号的标准化仪控设计功能图验证，基于SEOP的事故运行导则验证，基于SEOP的运行规程和报警卡规程的设计验证，海外华龙一号工程实施方案，即DCS-TCS操作员站布置运行方案验证。

在这些设计验证任务中，有的短时无法固化，多次频繁升版更新，验证基线版本更新速度快。有的历时时间长，需要长时间固定在相对满足验证需求的基线状态上，不能变更验证基线状态，随意更新其它专业设计图纸相关的仿真模型。如基于SEOP的事故运行导则，从具备初始验证条件的基线版本开始，整个验证过程持续一年半的时间。这期间其它专业的设计验证需要不断更新设计输入，如主控室的人机接口布置图、仪控逻辑功能图等。因为这些专业的图纸更新会对SEOP的事故运行导则验证的前期假设造成影响，所以不能是其它专业每更新一次就要更新SEOP的事故运行导则的基线版本，这一过程需要平台管理者与各专业设计者沟通协商合适的时间点进行基线版本集成更新。

自2013年9月，从开始建立华龙一号设计验证预开发平台至今，应用本文所述的验证工作管理方法进行各项设计验证任务实践，多元验证任务共用1套验证场地，验证任务同时间段存在更新重叠交叉的问题得到了有效控制，验证结果满足要求，提高了华龙一号的设计质量。

4 结论

高效科学的验证管理方法和藉此建立的验证管理程序，对验证工作顺利有序地完成非常重要，是真正保证核电厂设计满足安全性功能的有效手段。通过对华龙一号新堆型的多个验证活动的实践管理经验表明，在核电厂新堆型、新功能的设计验证过程中，必须合理地设计适合核电工程设计验证特点的验证管理方法，建立完善的设计验证管理程序，才能最大限度地共享验证平台的仿真资源。随着今后验证平台功能升级、验证能力增加，验证任务涉及范围更加广阔，会进一步优化验证管理流程。