核电DCS组态逻辑功能总体验证技术研究
2022-08-15王志先郭旭东
刘 航,王志先 ,郭旭东
(1.中广核工程有限公司,广东 深圳 518124;2.北京广利核系统工程有限公司,北京 100094)
0 引言
核电站数字化分布式控制系统(distributed control system,DCS)主要完成工艺电气系统的运行操作、状态监测与控制保护等功能,是核电站的中枢神经系统。在设计建造、调试运行期间,DCS逻辑组态设计验证与确认(verification and validation,V&V)是保证测控功能正确性的重要方法。初步设计与详细设计阶段一般为仿真迭代验证。工厂制造与现场调试阶段多为设计确认验证。当前,国内核电DCS在工厂测试与现场调试阶段的验证体系相对独立。工厂测试由DCS设备制造商负责。现场由调试方负责。双方在设计确认验证方面依据的法规、测试程序、验证内容与测试方法存在很大差异。工厂测试阶段主要验证设计与逻辑组态的一致性,对工艺系统测控功能验证的全面性存在不足,导致设计问题无法提前发现,造成现场DCS变更频繁;现场调试阶段针对DCS组态软件的功能验证与工厂测试的部分内容存在较多重复,造成调试工期延长,对建造成本带来较大影响。DCS工厂测试与现场调试内容繁杂,涉及硬件、软件、集成功能测试与系统联调等。本文重点对工艺系统逻辑功能在工厂测试与现场调试阶段遵从的法规、验证程序及验证方法等方面进行分析研究。
1 核电DCS安全重要系统V&V法规要求
我国核安全法规及国内、国际相关标准要求,在核安全级DCS组态软件设计开发过程中应通过一系列的V&V 活动来证明其正确性和安全置信度[1-2]。工厂测试与现场调试方面遵守的法规标准主要包括《HAF102核动力厂设计安全规定》《HAF103核动力厂运行安全规定》《HAD 102/16 核动力厂基于计算机的安全重要系统软件》《HAD 103/02核电厂调试程序》《IEEE Standard for Software Verification and Validaion》(IEEE 1012-2004)《核电厂安全重要仪表和控制系统总体要求》(NB/T 20026)等。
安全重要系统软件验证、确认和调试流程如图1所示。
图1 安全重要系统软件验证、确认和调试流程
核安全导则《HAD 102/16 核动力厂基于计算机的安全重要系统软件》规定[3],基于计算机的安全重要系统软件开发过程中,系统需求在软件需求与计算机硬件之间进行分配,将软件设计为一套互为配合的模块(软件组态)。这些模块作为在计算机硬件上运行的程序被编码和测试。软件与计算机硬件集成安装到核动力厂以备调试和运行。按照核动力厂安全重要系统软件验证、确认和调试流程要求,工厂测试的依据为计算机系统需求设计。因此,组态设计文件的正确性是关键,而现场调试验证的依据为测控功能需求。在执行过程中,两个阶段的验证程序策划与实施是相对独立的。
2 典型核电DCS逻辑功能工厂测试与调试验证技术对比
2.1 EPR堆型
欧洲压水堆(Eeuropean pressurized reactor,EPR)是三代核电堆型之一,其DCS的工厂测试与调试程序由设计总包方珐玛通(原阿海珐)负责策划,包括反应堆保护相关通道试验、DCS出厂前的功能测试及现场单系统接口功能试验等内容,采取了工厂测试、调试阶段一体化验证的思路。基于DCS在工厂与调试阶段的软硬件验证技术特点,将工艺系统的安全运行功能与反应堆保护系统(reactor protection system,RPS)程序作整体策划。DCS组态中的系统控制功能的组合验证在工厂测试期间完成。出厂前,必须对逻辑组态和硬件功能作全面V&V测试。逻辑功能测试在集成环节进行。保护通道响应时间按通道处理软硬件设备节点时间分析计算。DCS现场安装复原后主要验证控制柜间、就地Level0与控制柜Level1之间通道接口的正确性,简化静态逻辑功能与保护通道响应时间试验内容,采用工厂测试相关功能等效测试结果。
EPR全球首堆台山核电1#机组装料前,监管单位依据HAD 103/02导则预运行试验阶段I.3.5条款[4],提出反应堆保护系统试验应包括与其他系统联动时可运行、多重性、符合性、电气独立性和断电时的故障安全要求。调试实施方结合工厂测试与现场试验范围,对反应堆保护系统、多样性驱动系统与工艺试验安全功能验证完整性进行了全面分析。分析结果表明:逻辑功能覆盖验证是可信的;保护通道响应时间选择最长逻辑处理路径进行现场验证,现场测试结果与出厂前的理论计算评价相符。
2.2 CPR1000与HPR堆型
2.2.1 工厂测试
CPR1000改进型压水堆与华龙一号HPR 1000三代核电堆型在工厂测试与现场调试阶段的逻辑功能验证模式基本相同,分别由DCS制造商与工程调试独立实施。工厂测试模拟现场应用场景搭建DCS集成环境,配套仿真装置,采用逻辑组态比对、功能单元软件代码脚本核查等方法[5-7],验证DCS软件组态功能与设计文件的一致性、正确性。CPR1000/HPR工厂功能测试流程如图2所示。
图2 CPR1000/HPR 工厂功能测试流程
逻辑控制功能测试主要包括停堆保护与安全设施功能、优先级管理功能、安全控制盘切换功能、报警功能、安全级与非安全级接口验证等。CPR1000/HPR DCS工厂集成主要测试项目如表1所示。
表1 CPR1000/HPR DCS工厂集成主要测试项目
2.2.2 现场调试
CPR1000/HPR工艺系统测控功能调试程序主要包括模拟量通道试验、控制逻辑功能试验、反应堆保护系统、多样性驱动系统。相关程序依据系统测控功能设计文件、仪控详细逻辑设计文件、组态设计文件编制。
试验方法是通过模拟试验工况,强制逻辑信号或操作设备,验证工艺系统安全、运行功能的设计符合性与正确性。保护通道响应时间验证与工厂测试方法类似,模拟保护逻辑组合条件触发,采用高速记录仪实测通道响应时间是否满足安全准则。
CPR1000项目依据工艺系统测控功能需求编制了逻辑图与模拟图设计文件。逻辑图与模拟图是控制保护逻辑验证调试程序编制的上游文件。中广核标准型HPR堆型核岛系统借鉴了EPR堆型功能分区设计理念,设置三列完全实体隔离的安全系统,增加操作员辅助自动控制功能,系统控制保护功能设计相对复杂。在设计文件体系方面,HPR项目简化了工艺系统逻辑图与模拟图设计文件,根据工艺系统测控功能需求编制DCS组态功能设计文件。组态设计文件是控制保护逻辑验证调试程序编制的主要依据文件。调试程序中包含了软件组态模块间复杂逻辑传递关系,导致验证项目繁杂,且与工厂测试内容重复严重。CPR1000/HPR 设计、工厂测试与现场调试程序文件关系如图3所示。
图3 设计、工厂测试与现场调试程序文件关系图
图3中,虚框内为HPR项目工厂测试与现场调试组态功能重复验证部分。
3 核电DCS组态逻辑功能总体验证策略
核电DCS组态逻辑功能总体验证策略必须符合核安全法规标准要求,采用工厂测试和现场调试统筹策划的模式,从系统功能、DCS逻辑组态、工厂测试和现场调试等环节制定V&V整体验证策略[8-9]。通过分析工厂测试与现场调试的测试范围、方法、完整性等要素,明确各自测试验证的边界和内容,可实现工厂测试和现场调试技术方案充分融合。工艺系统测控功能验证前置至工厂测试阶段验证,包括部分联调与专项试验项目;现场调试简化已实施的软件类工厂测试项目。工厂测试与现场调试组态逻辑功能总体验证策略优化设计如图4所示。
图4 组态逻辑功能总体验证策略优化设计
3.1 工厂测试阶段
工厂测试内容包括模块级、机柜单元与系统集成软硬件测试。优化前的系统集成测试项目主要为模拟量通道精度、画面显示、阈值报警、逻辑组态一致性、保护联锁功能等。工厂测试总体验证优化策略以提升DCS软件组态功能正确性、减少现场设计变更为目标,重点是基于工艺系统测控功能需求验证控制保护与联调功能。工厂测试阶段优化要点如下。
①在组态与设计一致性和正确性验证的基础上,依据工艺系统测控设计文件并参考控制保护逻辑验证调试程序,编制系统功能测试用例程序,增加系统逻辑组态功能以全面验证项目。
②工厂测试阶段具有较好的模拟集成环境,根据平台条件增加部分总体或专项联调试验,如失电试验、闭环调节系统仿真试验等。这可以尽可能在前端发现问题,提高调试现场试验的一次通过率。
3.2 现场调试阶段
现场调试主要包括单体设备试验、系统联调与专项试验等,在联调与专项试验过程中关联工艺系统间存在大量的交叠验证内容,DCS软件组态类的验证项目(如显示画面、逻辑组态等)与工厂测试存在较多的重复。调试阶段总体验证优化策略聚焦于减少与工厂测试重复内容、联调专项试验前置至工厂验证两方面,现场按照可等效的工厂测试项目简化调试程序。现场调试阶段优化要点如下。
①已完成工厂测试的软件类验证项目不会因运输、二次安装发生改变,现场调试可等效或优化,包括组态逻辑、画面显示、报警、性能计算、网络传输信号等。
②简化系统逻辑功能调试程序中的DCS软件内部逻辑组态模块间的逻辑关系测试内容,调试现场重点验证工艺系统测控功能的正确性。
③系统逻辑功能调试程序以安全级逻辑功能调试验证完整覆盖为基本原则,对已在RPS和多样性驱动系统调试程序中包络的验证项目进行优化,保留非安全及与安全相关级逻辑试验内容。
④因现场复装设备、线缆重新制作端接等,控制柜间电缆、网线、光纤及控制逻辑通道接口的正确性需验证。
⑤现场简化模拟量通道试验在工厂阶段已完成的量程、精度、定值、缺省值等内容,保留通道完整性和接口正确性测试。
⑥保护通道响应时间采取工厂测试结果,选取保护逻辑处理周期最长的典型通道进行现场验证。
4 结论
核电DCS组态逻辑功能工厂测试和现场调试总体验证技术对于提高核电DCS逻辑功能组态的正确性、减少设计变更、提升核电工程高质量建造水平具有重要意义。系统功能测控需求文件既是DCS组态详细设计的前提,又是调试程序编写的重要依据。贯彻正向设计、分阶段验证确认逐步迭代的理念,从系统功能设计、仪控详细设计、DCS系统组态、工厂测试和现场调试等环节进行全产业链V&V验证范围优化研究,是一项持续提升核电建造安全质量水平的重要工作。