刘建伟，杨庆彧

（中国核电工程有限公司，北京 100840）

0 引言

目前乏燃料后处理厂的设计进度十分紧张，大家都在加班进行专项攻关，在保证质量和保证进度的前提下，如何能发现系统设计中（包括系统工艺、仪控设计等）的缺陷、风险，进而大幅降低后期调试的难度和缩短周期是一个迫在眉睫的课题。

对系统设计进行设计验证，在工艺流程上进行综合测试，融合仪控系统的检测、控制、系统监控与工厂运行者的综合经验数据库，最终形成一整套的设计验证方式、方法，以及后续搭建平台，可以及时发现设计中的潜在缺陷、风险与不足，从而大大提高乏燃料后处理厂的安全性、稳定性，其经济价值与工程应用价值不可估量。

分析研究乏燃料后处理厂仪控系统设计验证方式、方法，而后搭建设计验证平台，提高设计信息化、智能化水平，可为后续的大厂设计打下坚实基础。目前，国内的核电领域已经开展了仪控系统设计验证仿真平台的开发[1]，虚拟DCS 仿真技术也得到了具体应用[2]。但是，由于乏燃料后处理厂的设计验证在国内是首次开展工作，许多工作还在不断摸索、不断改进的过程中。

在乏燃料后处理厂初步设计过程中，由于工艺系统的修改，设备供应商的改变或业主特殊的需求，都会导致设计方案、验证方案发生改变，及时建立一套完善的设计规范体系与验证方法、标准迫在眉睫。

目前国内同行对核工程控制系统的研究取得了一系列的成果，如采用IEC61508 第六部分对典型的核电厂反应堆保护系统可靠性进行计算[3]；对于控制系统二层画面，有同行提出了一种基于色彩理论的核电站人机接口颜色方案的确定方法[4]；针对于核电厂专用仪控设备做了鉴定试验研究[5]等，借鉴已有成果，可为后续设计研发开拓思路，打下坚实基础。

表1 系统验证策略表Table 1 System verification strategy table

1 设计验证实施

1.1 制定验证策略

乏燃料后处理厂的系统设计验证工作在国内属于空白领域，因为是首次开展工作，所以应该更加细致地开展顶层设计，开发制定出一套较完备的验证策略，即按照工作内容、实施对策、实现目标、执行任务、责任人、实施地点等进行了深入细致的研究，确定相应的对策和措施见表1。

1.2 确定验证方案

针对不同的验证对象，验证中心小组使用验证工具采用不同的验证方法进行验证，具体如下：

方案一：开环验证

开环验证主要是针对设备驱动模块的逻辑验证，其在闭环状态下为黑盒子状态，只能改变输入量，并观察输出量的变化，不能查看其具体逻辑动作。如果有问题，不能明确看到问题的出处；如果进行开环测试，可以观测到其内部逻辑动作情况，能清楚地了解其内部动作机制，更好地进行分析验证。

方案二：系统验证

系统验证主要针对单系统逻辑设计验证，相对于系统内部逻辑的测试验证，不牵涉其他相关系统，可连接本系统的工艺模型和MMI 画面模型。如果系统相对单一，没有模拟量调节功能，也可不连接工艺模型。这样的优点是操作步骤少，调节模型工况时间短，设计验证反响快，便于发现本系统内部的逻辑设计问题。

方案三：闭环集成

闭环验证是验证平台小组运用最多的验证方法，闭环验证包括后处理厂各系统工艺流程模型、逻辑仪控模型、人机交互界面、报警、运行规程、事故规程、安全盘台等系统，覆盖了大部分后处理厂DCS 系统，是比较全面的验证方法。其主要用于多系统集成、重要系统联合调试的功能验证，此项验证不光针对该系统内部的逻辑设计验证，还结合运行规程、事故规程对其相关系统，以及该系统对整个后处理厂运行的影响进行验证分析。实际上，闭环验证不光可以验证逻辑仪控设计，也可验证人机画面的仪控设计以及人机画面和仪控设计的连接状况。由于闭环验证系统众多，牵涉面积广，导人模型后，需要检查的内容较多，还要完成各种工况的初始条件，导致验证时间较长，设计验证反响较慢。

关于以上3 种验证方法的比较分析详见表2。

1.3 开发验证数据库

依据IEEE1012-1998 IEEE Standard for Software Verification and Validation 的指导思想，在工厂项目设计之初，就要总体考虑到文件体系完整性建立，设计过程控制、后续的设计验证、调试等一整套工作过程。因此，对后处理厂项目的P&ID 图、功能图/SAMA 图、人机界面画面、IO 清单/整定值等文件，在项目开展之初，就充分考虑后续系统设计验证方面的需求，开展文件适应性研究，并利用现有EB 软件，对文件完整性、可追踪性开展工作，建立设计文件RTM（Requirements Traceability Matrix）体系，为后续全面开展设计验证工作打下基础。

表2 3种验证方法的比较Table 2 Comparison of three verification methods

由图1 所示，通过EB 软件可以很好地跟踪各个子项、子项内系统的设计文件建立、变更情况。

考虑到系统设计全生命周期以及后期的系统验证，在项目初始就要统筹考虑，制定出功能图/SAMA 图的基本设计原则：

1）体现数字化仪控系统结构、功能分配、信号接口、数据流等方面的特点和限制。

图1 RTM文件序列Fig.1 RTM File sequence

图3 功能图绘制流程Fig.3 Function diagram drawing process

图2 功能图/SAMA图库Fig.2 Function diagram/SAMA Gallery

2）完整体现从现场设备接口到人机接口的仪控功能要求。

3）以SAMA 图符为基础，结合以往设计经验并兼顾后处理厂项目，设计功能图基础图符，以SAMA 图形式为基础进行功能图（模拟量）设计。对于复杂但典型的监控逻辑，预先定义复杂功能模块。

4）结合被控对象特点，实现典型控制逻辑、图形化人机接口、常规人机接口的模块化、标准化设计。

5）功能图参考原来逻辑图和模拟图的划分原则，分为功能图（模拟量）和功能图（逻辑量）两个部分。

基于以上原则，建立功能图/SAMA 功能模块图库如图2。

在标准化、模块化的设计体系建立以后，设计者可以按照下列基本步骤开展典型执行器功能图（开关量部分）的绘制，如图3。

图4 RTM二层图库Fig.4 RTM Second floor gallery

关于二层人机接口画面的设计验证工作，在系统设计开始后也要开展制定相应的画面设计规范及流程，制定标准化的工作程序，并定期进行培训。每个设计者都能参考此设计程序及流程，提高工作效率，使得设计出来的画面无论从人因、运行经验以及和设计输入的匹配度上都达到很好的吻合。同时，统一的规定程序，让设计输出接近于标准化，对新加入的成员能较快地熟悉设计流程，能够有更多时间用于熟悉工艺系统，加强设计深度。

本次设计开始之初，考虑到后期的验证工作，结合现有项目特点、工艺系统的需求，并利用EB 软件的RTM 体系，制定了设备的二层图库如图4。

关于各类设备的控制和显示的相关功能组件设计，直接关系到处理厂的运行安全，开展设计的过程中要充分考虑到后处理厂的运行需求，以及以往的项目经验，制定出合理的运行方案。

图5 电动阀的动态显示Fig.5 Dynamic display of electric valve

以电动阀门为例，图5 为电动阀不同状态和工况下（填充颜色以浅蓝色为例）的颜色填充。其中，包括了正常可控动态、正常不可控动态、挂牌（以动态可操为例）、测试及故障（以动态可操为例）4 种工况下的开启/运行、关闭/停止及中间状态。

当设备（阀门）接到命令需要从一个状态转换到另一个状态时，其图标会闪烁来指示阀门的执行过程。当执行过程停止，图标将停止闪烁。

需要指出的是，图标旁边的黑色短线仅仅是为了说明阀门其正在执行动作，在实际的画面中是不显示的，即在阀门处于行程中的时候，有黑色短线的部分会出现闪烁状态，如图6。

A）当阀门从全开状态向全关状态转变时，其右边部分直接显示为全关状态，左边部分在全开状态和全关状态之间交替闪烁，直至动作停止。

B）当阀门从全关状态向全开状态转变时，其左边部分直接显示为全开状态，右边部分在全关状态和全开状态之间交替闪烁，直至动作停止。

C）当阀门从中间状态向全关状态转变时，其右边部分直接显示为全关状态，左边部分在全开状态和全关状态之间交替闪烁，直至动作停止。

D）当阀门从中间状态向全开状态转变时，其左边部分直接显示为全开状态，右边部分在全关状态和全开状态之间交替闪烁，直至行程停止。

关于设备的动态显示，设备的二层画面调用、控制面板中设备的控制方式以及后处理厂工况显示等一系列设计，目前正在围绕可验证、可追溯性展开工作。

对于复现以往出现的系列问题融入系统验证工作，还得后续研究中结合科研项目人机接口数据分析、数据挖掘与经验反馈数据库来开展工作。

图6 阀门状态指示Fig.6 Valve status indication

2 后续项目上的应用前景

1）通过建立以上的设计验证方式、方法，数据库，为后续搭建平台打下了基础，建立设计验证平台后，就可以及时发现设计中的潜在缺陷、风险与不足，从而大大提高乏燃料后处理厂的安全性、稳定性。设计验证平台及其成套技术可填补国内空白，其经济价值与工程应用价值不可估量。

2）通过设计验证方式、方法的优化研究，后续可搭建设计验证平台，提高设计信息化、智能化水平，在国内、国外的同行中使国内的乏燃料后处理设计处于先进水平，为后续的大厂设计打下坚实基础。

3）此次预研，开启了后处理厂系统设计验证研究的新篇章，后续会进一步研究建立后处理厂工艺流程系统，为后续的全厂的模拟机平台积累技术基础，填补国内空白，仅此一项的经济价值即可为国家节省近亿元。

4）后续可结合后处理厂运行的各类工况，进行运行模式的开发，对操作员进行培训。