基于MTS的NASPIC平臺(tái)輸出至外部系統(tǒng)試驗(yàn)可行性研究

周 岱，胡清仁，王汝橋，張 誼，何玉鵬，彭 浩

（中國(guó)核動(dòng)力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

0 引言

為實(shí)現(xiàn)核動(dòng)力廠的安全運(yùn)行，防止或減輕可能危及安全的事件后果，安全系統(tǒng)必須具有可在核動(dòng)力廠運(yùn)行時(shí)對(duì)其功能進(jìn)行定期試驗(yàn)的條件，包括各通道分別進(jìn)行試驗(yàn)的可能性，以查明可能發(fā)生的故障和多重性的喪失。設(shè)計(jì)必須允許對(duì)包括從傳感器到最終的觸發(fā)驅(qū)動(dòng)器和顯示單元所有環(huán)節(jié)的定期試驗(yàn)[1]。

定期試驗(yàn)是對(duì)于核電廠探查故障、檢查可運(yùn)行性，按計(jì)劃的時(shí)間間隔所進(jìn)行的試驗(yàn)。安全系統(tǒng)的定期試驗(yàn)應(yīng)該至少包括通道檢查、通道校準(zhǔn)試驗(yàn)、功能試驗(yàn)、響應(yīng)時(shí)間驗(yàn)證和邏輯系統(tǒng)功能試驗(yàn)[2]。其中，通道檢查、通道校準(zhǔn)試驗(yàn)主要驗(yàn)證輸入信號(hào)的精度以及可用性；功能試驗(yàn)主要驗(yàn)證系統(tǒng)的功能能否正確完成；響應(yīng)時(shí)間試驗(yàn)主要驗(yàn)證從探測(cè)器發(fā)出信號(hào)到現(xiàn)場(chǎng)驅(qū)動(dòng)器產(chǎn)生動(dòng)作的響應(yīng)時(shí)間；邏輯系統(tǒng)功能試驗(yàn)主要驗(yàn)證邏輯處理的正確性。

由于保護(hù)系統(tǒng)的復(fù)雜性，定期試驗(yàn)無法一次全部完成對(duì)所有試驗(yàn)的進(jìn)行，故采用分段交迭的方式進(jìn)行，通過兩部分試驗(yàn)共同證明被試驗(yàn)的部分處于正確狀態(tài)。在保護(hù)系統(tǒng)的定期試驗(yàn)項(xiàng)目中，輸出至外部系統(tǒng)連接試驗(yàn)為占用CPU負(fù)荷最大的試驗(yàn)。由于其具有一鍵啟動(dòng)、順序進(jìn)行的多重要求，在保護(hù)系統(tǒng)的CPU中需要設(shè)計(jì)大量邏輯以實(shí)現(xiàn)自動(dòng)邏輯。根據(jù)目前的實(shí)現(xiàn)方案，此實(shí)現(xiàn)方式邏輯復(fù)雜，軟件中網(wǎng)絡(luò)變量過多，一度造成軟件實(shí)現(xiàn)時(shí)出現(xiàn)組態(tài)困難、軟件變量超上限等情況，對(duì)NASPIC平臺(tái)的數(shù)據(jù)量、負(fù)荷、軟件可靠性產(chǎn)生了較大影響。本文針對(duì)此問題，提出了輸出至外部系統(tǒng)試驗(yàn)的具體優(yōu)化方案以及可行性分析。

1 概要

1.1 NASPIC平臺(tái)介紹

NASPIC平臺(tái)是由中國(guó)核工業(yè)集團(tuán)有限公司中國(guó)核動(dòng)力研究設(shè)計(jì)院自主研發(fā)的一個(gè)通用的安全級(jí)DCS平臺(tái)，該平臺(tái)具有高安全性、高可靠性、高技術(shù)成熟性等特點(diǎn)，可滿足三代核電及其他設(shè)施的要求。NASPIC平臺(tái)主要包括現(xiàn)場(chǎng)控制站、傳輸站、網(wǎng)關(guān)站、安全顯示站和工程師站等5個(gè)基本的功能站等，構(gòu)成完整的核電廠安全級(jí)DCS的設(shè)備集成解決方案。按照保護(hù)組單通道、停堆4取2系統(tǒng)的架構(gòu)，緊急停堆系統(tǒng)滿足緊急停堆系統(tǒng)拒動(dòng)率≤1.0×10-7次/指令，誤動(dòng)率不大于0.1次/年的技術(shù)指標(biāo)[3]。

1.2 基于NASPIC平臺(tái)的反應(yīng)堆保護(hù)系統(tǒng)架構(gòu)

根據(jù)反應(yīng)堆保護(hù)系統(tǒng)功能和設(shè)計(jì)準(zhǔn)則要求，結(jié)合NASPIC平臺(tái)特點(diǎn)，華龍一號(hào)的安全級(jí)DCS架構(gòu)主要包括緊急停堆子系統(tǒng)（RTS）、專設(shè)驅(qū)動(dòng)子系統(tǒng)（ESFAS）、安全信息和控制系統(tǒng)（SVDU）、網(wǎng)關(guān)系統(tǒng)（GW）、維護(hù)系統(tǒng)（MS）。總體上，安全級(jí)DCS包含4個(gè)保護(hù)組（保護(hù)組I、保護(hù)組II、保護(hù)組III以及保護(hù)組IV）和兩個(gè)邏輯系列（邏輯系列A和邏輯系列B），每個(gè)保護(hù)組分為兩個(gè)多樣性子組，每個(gè)邏輯系列包含F(xiàn)-SC1、F-SC2兩個(gè)安全等級(jí)的專設(shè)驅(qū)動(dòng)系統(tǒng)，每個(gè)邏輯系列中執(zhí)行F-SC1級(jí)功能也分為兩個(gè)多樣性子組。具體架構(gòu)如圖1所示。

圖1 安全級(jí)DCS總體架構(gòu)圖Fig.1 Overall architecture of security level DCS

1.3 輸出至外部系統(tǒng)連接試驗(yàn)

輸出至外部系統(tǒng)連接試驗(yàn)的目的是對(duì)反應(yīng)堆保護(hù)系統(tǒng)輸出至外部系統(tǒng)的硬接線連接回路進(jìn)行檢查。該試驗(yàn)通過輸出至外部系統(tǒng)的信號(hào)數(shù)量以及外部系統(tǒng)需要處理的方式分為類型1、類型2以及類型3的3種類型[4]。

類型1：該試驗(yàn)類型針對(duì)安全級(jí)DCS系統(tǒng)傳輸至其它系統(tǒng)的信號(hào)為兩路冗余信號(hào)，并在目標(biāo)系統(tǒng)進(jìn)行“與”邏輯運(yùn)算后產(chǎn)生真實(shí)動(dòng)作信號(hào)的情況。其試驗(yàn)反饋信號(hào)經(jīng)過“異或”邏輯運(yùn)算后產(chǎn)生。試驗(yàn)時(shí)，每次只觸發(fā)其中的一路輸出。因此，試驗(yàn)不會(huì)導(dǎo)致目標(biāo)系統(tǒng)產(chǎn)生真實(shí)的動(dòng)作信號(hào)，但是會(huì)產(chǎn)生試驗(yàn)反饋信號(hào)傳輸至安全級(jí)DCS系統(tǒng)，從而安全級(jí)DCS系統(tǒng)可以獲悉目標(biāo)系統(tǒng)已接收到了該試驗(yàn)信號(hào)。此類型的邏輯示意圖如圖2所示。

圖2 安全級(jí)DCS輸出至外部系統(tǒng)連接試驗(yàn)類型1Fig.2 Safety level DCS output to external system connection test type 1

類型2：該試驗(yàn)類型針對(duì)安全級(jí)DCS系統(tǒng)傳輸四路冗余信號(hào)至目標(biāo)系統(tǒng)，在目標(biāo)系統(tǒng)進(jìn)行“2/4”邏輯運(yùn)算后產(chǎn)生真實(shí)動(dòng)作信號(hào)的情況。任意一個(gè)輸入信號(hào)產(chǎn)生且沒有真實(shí)動(dòng)作信號(hào)觸發(fā)的情況會(huì)產(chǎn)生試驗(yàn)反饋信號(hào)。試驗(yàn)時(shí)，每次只觸發(fā)四路信號(hào)中的一路輸出。因此，試驗(yàn)不會(huì)導(dǎo)致目標(biāo)系統(tǒng)產(chǎn)生真實(shí)的動(dòng)作信號(hào)，但是會(huì)產(chǎn)生試驗(yàn)反饋信號(hào)傳輸至安全級(jí)DCS系統(tǒng)，從而安全級(jí)DCS系統(tǒng)可以獲悉目標(biāo)系統(tǒng)已接收到了該試驗(yàn)信號(hào)。此類型的邏輯示意圖如圖3所示。

圖3 安全級(jí)DCS輸出至外部系統(tǒng)連接試驗(yàn)類型2Fig.3 Safety level DCS output to external system connection test type 2

類型3：該試驗(yàn)類型針對(duì)安全級(jí)DCS系統(tǒng)傳輸三路信號(hào)至目標(biāo)系統(tǒng)，在目標(biāo)系統(tǒng)進(jìn)行“2/3”邏輯運(yùn)算后產(chǎn)生真實(shí)動(dòng)作信號(hào)的情況。任意一個(gè)輸入信號(hào)產(chǎn)生且沒有真實(shí)動(dòng)作信號(hào)觸發(fā)的情況會(huì)產(chǎn)生試驗(yàn)反饋信號(hào)。試驗(yàn)時(shí)，每次只觸發(fā)其中的一路輸出，因此試驗(yàn)不會(huì)導(dǎo)致目標(biāo)系統(tǒng)產(chǎn)生真實(shí)的動(dòng)作信號(hào)，但是會(huì)產(chǎn)生試驗(yàn)反饋信號(hào)傳輸至安全級(jí)DCS系統(tǒng)，從而安全級(jí)DCS系統(tǒng)可以獲悉目標(biāo)系統(tǒng)已接收到了該試驗(yàn)信號(hào)。此類型的邏輯示意圖與圖3類似。

2 改進(jìn)前的輸出至外部系統(tǒng)連接試驗(yàn)方案

本試驗(yàn)需要一鍵啟動(dòng)，且各類型試驗(yàn)同時(shí)進(jìn)行。為滿足此要求，特在SVDU上設(shè)置一鍵啟動(dòng)按鈕，下發(fā)試驗(yàn)開始的脈沖信號(hào)，同時(shí)采用多個(gè)延時(shí)模塊、邊沿脈沖發(fā)生器在TU站中搭建時(shí)序功能塊，以體現(xiàn)每個(gè)信號(hào)的試驗(yàn)順序。在TU站中的試驗(yàn)邏輯示意圖如圖4所示。

圖4 改進(jìn)前輸出至外部接口試驗(yàn)示意圖Fig.4 Schematic diagram of output to external interface test before improvement

以SVDU-A中IP通道為例，該試驗(yàn)包含RTC-11和RTC-12，按照RTC-11和RTC-12子組順序執(zhí)行。當(dāng)RTC-11輸出至外部接口試驗(yàn)中的類型1、2和3的試驗(yàn)結(jié)束后，自動(dòng)執(zhí)行RTC-12的輸出至外部接口試驗(yàn)中的類型1、2和3試驗(yàn)，其中在執(zhí)行RTC-11或者RTC-12的試驗(yàn)時(shí)，類型1、2和3同步進(jìn)行，每個(gè)類型中的試驗(yàn)信號(hào)順序執(zhí)行。使用開延時(shí)模塊和邊沿脈沖發(fā)生器模塊，每個(gè)試驗(yàn)信號(hào)采用1.5s的脈沖信號(hào)，應(yīng)保證1.5s能夠覆蓋從試驗(yàn)信號(hào)的產(chǎn)生到SVDU收到試驗(yàn)反饋信號(hào)并在屏幕上顯示的時(shí)間。

在SVDU上設(shè)置一鍵啟動(dòng)按鈕和復(fù)位按鈕，一鍵啟動(dòng)和復(fù)位按鈕均為脈沖信號(hào)。當(dāng)試驗(yàn)開始后，TU-A將啟動(dòng)信號(hào)發(fā)送給TU-1，在TU-1中完成試驗(yàn)前自動(dòng)檢查試驗(yàn)反饋信號(hào)。試驗(yàn)中順序下發(fā)試驗(yàn)信號(hào)給RTC-11，真實(shí)信號(hào)將觸發(fā)試驗(yàn)自動(dòng)退出。RTC-11接收到試驗(yàn)信號(hào)后傳遞給外部接口系統(tǒng)，并在RTC-11中執(zhí)行多路試驗(yàn)信號(hào)聯(lián)鎖功能。當(dāng)試驗(yàn)結(jié)束后，TU-A將復(fù)位信號(hào)發(fā)送給TU-1，在TU-1中執(zhí)行復(fù)位功能。

2.1 試驗(yàn)過程與顯示

在SVDU-A畫面上設(shè)置有反饋信號(hào)指示燈用來顯示試驗(yàn)結(jié)果。同時(shí)，畫面上還設(shè)置了真實(shí)信號(hào)指示燈，IP通道試驗(yàn)畫面中涉及到的每一個(gè)真實(shí)信號(hào)從RTC-11或者RTC-12通過網(wǎng)絡(luò)傳輸?shù)絋U-1中后送SVDU-A顯示，表示是否有真實(shí)信號(hào)觸發(fā)。為了便于操作員查找故障原因，對(duì)于需要分別試驗(yàn)兩個(gè)子組的輸出信號(hào)的情況，則除每個(gè)子組信號(hào)設(shè)置一個(gè)試驗(yàn)信號(hào)反饋燈外，還需設(shè)置一個(gè)任一子組存在反饋信號(hào)指示燈。

2.2 試驗(yàn)順序進(jìn)行的實(shí)現(xiàn)方式

在SVDU上將“存在任一反饋信號(hào)”作為“啟動(dòng)”按鈕的使能，只有當(dāng)不存在任一反饋信號(hào)的時(shí)候，“啟動(dòng)”按鈕才能啟動(dòng)。

當(dāng)試驗(yàn)信號(hào)開始下發(fā)后，通過第一個(gè)TPG模塊開始計(jì)時(shí)，發(fā)出一個(gè)能夠覆蓋本通道試驗(yàn)時(shí)間的脈沖信號(hào)。在此時(shí)間內(nèi)，通道內(nèi)所有輸出至外部接口試驗(yàn)應(yīng)能夠完成。第1個(gè)TPG信號(hào)的時(shí)間應(yīng)為邏輯中包含的TNF模塊的最大時(shí)間加上1.5s。針對(duì)信號(hào)順序執(zhí)行的情況，則從第2個(gè)信號(hào)開始依次采用TNF延時(shí)來控制信號(hào)的順序執(zhí)行，TNF延時(shí)時(shí)間為上一個(gè)TNF延時(shí)時(shí)間加上3s。

2.3 試驗(yàn)總結(jié)

本設(shè)計(jì)方案為了區(qū)分試驗(yàn)進(jìn)行的進(jìn)程，添加了多個(gè)延時(shí)模塊以及RS觸發(fā)器模塊，大幅增加了網(wǎng)絡(luò)變量的使用。同時(shí)，多個(gè)信號(hào)的互鎖、延時(shí)模塊的使用也造成了邏輯復(fù)雜程度的大幅增加，此方法不僅增加了CPU的負(fù)荷，同時(shí)繁雜的邏輯給軟件實(shí)現(xiàn)人員也帶來了人因失誤的可能。

3 改進(jìn)后的輸出至外部系統(tǒng)連接試驗(yàn)方案

3.1 改進(jìn)原理

定期試驗(yàn)功能屬于非安全級(jí)功能，并不一定需要在主控室的安全級(jí)設(shè)備上實(shí)現(xiàn)，在SVDU上進(jìn)行此試驗(yàn)無法對(duì)此試驗(yàn)的目的（安全級(jí)DCS硬接線輸出到其他系統(tǒng)的正確性）進(jìn)行額外驗(yàn)證。由于此試驗(yàn)不需要操縱員在主控室關(guān)注此類信息，在許多工程應(yīng)用中都利用工程師站以完成此實(shí)驗(yàn)，且安全儀控系統(tǒng)設(shè)計(jì)應(yīng)避免不必要的復(fù)雜性，故此提出在MTS（工程師站）上完成此試驗(yàn)。

該試驗(yàn)通過在MTS上按步驟執(zhí)行定期試驗(yàn)用例進(jìn)行，試驗(yàn)執(zhí)行需自動(dòng)判斷試驗(yàn)繼續(xù)執(zhí)行條件。當(dāng)實(shí)際條件與預(yù)期不一致時(shí)，中止試驗(yàn)。當(dāng)試驗(yàn)結(jié)果與預(yù)期不一致時(shí)，可選擇終止或繼續(xù)試驗(yàn)。

3.2 試驗(yàn)介紹

通過MTS進(jìn)行本試驗(yàn)時(shí)，需連接維護(hù)網(wǎng)絡(luò)，通過維護(hù)網(wǎng)絡(luò)下發(fā)測(cè)試信號(hào)，測(cè)試信號(hào)一次從MTS經(jīng)TU-A下發(fā)至各個(gè)相關(guān)控制站，進(jìn)行相應(yīng)邏輯運(yùn)算后，通過與外部系統(tǒng)連接信號(hào)下發(fā)至外部系統(tǒng)（圖5中紅色路徑），并采集外部系統(tǒng)響應(yīng)的反饋信號(hào)，在MTS試驗(yàn)工具中進(jìn)行反饋結(jié)果與預(yù)期結(jié)果的對(duì)比，并自動(dòng)生成試驗(yàn)報(bào)告。

圖5 改進(jìn)后的輸出至外部系統(tǒng)連接試驗(yàn)原理圖Fig.5 Schematic diagram of improved output to external system connection test

圖5中的測(cè)試信號(hào)均由MTS依據(jù)設(shè)計(jì)好的試驗(yàn)用例依次進(jìn)行強(qiáng)制置位，與反饋結(jié)果對(duì)比、復(fù)位，再?gòu)?qiáng)制置位下一個(gè)測(cè)試信號(hào)，如此類推至所有測(cè)試信號(hào)完成試驗(yàn)。上述測(cè)試信號(hào)的單獨(dú)置位均不會(huì)導(dǎo)致外部系統(tǒng)真實(shí)動(dòng)作，僅產(chǎn)生反饋信號(hào)。試驗(yàn)用例由軟件設(shè)計(jì)人員編寫并集成在工程文件中，試驗(yàn)用例舉例如圖6所示。

表1 改進(jìn)后的輸出至外部系統(tǒng)連接試驗(yàn)優(yōu)化項(xiàng)Table 1 Improved output to external system connection test optimization items

圖6 改進(jìn)后的輸出至外部系統(tǒng)試驗(yàn)測(cè)試用例圖Fig.6 Improved output to external system test case diagram

3.3 試驗(yàn)結(jié)果與顯示

在MTS產(chǎn)生報(bào)表直觀顯示給工程師試驗(yàn)結(jié)果。

3.4 試驗(yàn)執(zhí)行過程

1）用鑰匙開TU-A柜門，恢復(fù)控制站與MTS下行通信鏈路，將主控模塊置于維護(hù)模式，控制站此時(shí)可接收MTS下發(fā)的數(shù)據(jù)。

2）試驗(yàn)執(zhí)行人員在MTS上開始選定試驗(yàn)用例。

3）進(jìn)行條件判斷，滿足允許條件后自動(dòng)按上述步驟執(zhí)行用例，由MTS自動(dòng)注入試驗(yàn)信號(hào)，并回讀對(duì)應(yīng)的試驗(yàn)反饋信號(hào)后與預(yù)期值進(jìn)行對(duì)比。若與預(yù)期一致，則表明試驗(yàn)成功，反之則失?。辉囼?yàn)過程中可通過明顯的顏色變化展示試驗(yàn)過程及試驗(yàn)結(jié)果。

4）執(zhí)行完畢后，MTS自動(dòng)通過取消強(qiáng)制的方式將強(qiáng)制值取消，使系統(tǒng)恢復(fù)到試驗(yàn)前的狀態(tài)。

5）自動(dòng)進(jìn)行試驗(yàn)恢復(fù)的確認(rèn)，若試驗(yàn)前后數(shù)據(jù)不一致，則進(jìn)行彈窗提示。

6）自動(dòng)生成試驗(yàn)報(bào)告。

4 優(yōu)化可行性分析

根據(jù)HAF 102-10《核動(dòng)力廠儀表和控制系統(tǒng)設(shè)計(jì)》2021版6.1.3節(jié)要求[5]，“安全儀控系統(tǒng)設(shè)計(jì)應(yīng)避免不必要的復(fù)雜性”。優(yōu)化前，各TU軟件組態(tài)邏輯中為實(shí)現(xiàn)輸出至外部系統(tǒng)連接試驗(yàn)設(shè)計(jì)邏輯算法約占整個(gè)TU站邏輯的30%，極大增加了安全級(jí)DCS的邏輯復(fù)雜度，而將該試驗(yàn)移動(dòng)至SVDU上來做也將一定程度上影響SVDU的負(fù)荷以及變量上限[6]，通過將本試驗(yàn)移動(dòng)至MTS上實(shí)現(xiàn)，則完全避免了對(duì)控制站、SVDU的負(fù)荷占用，實(shí)現(xiàn)了對(duì)CPU負(fù)荷的釋放。

同時(shí)，由于定期試驗(yàn)本身是非安全級(jí)功能，將一部分功能轉(zhuǎn)移至非安全級(jí)的MTS上執(zhí)行也不會(huì)引起安全降級(jí)等問題。此方案相較于以前方案有以下優(yōu)點(diǎn)：

1）減輕SVDU的負(fù)荷、TU站點(diǎn)的邏輯復(fù)雜度。

2）可明確觀察整個(gè)試驗(yàn)過程和結(jié)果。

3）試驗(yàn)前后數(shù)據(jù)不一致時(shí)，可通過明顯的方式進(jìn)行提示。

4）可自動(dòng)生成試驗(yàn)報(bào)告。

5）試驗(yàn)過程快速簡(jiǎn)單。

經(jīng)評(píng)估，改進(jìn)后的輸出至外部系統(tǒng)連接試驗(yàn)的優(yōu)化參數(shù)詳見表1。

改進(jìn)后的實(shí)現(xiàn)方案能釋放30%左右的全局變量，大大改善原方案即將達(dá)到平臺(tái)上限的全局變量的狀況，為后續(xù)改造、擴(kuò)容提供了更大的備用容量。

5 結(jié)束語

現(xiàn)階段基于NASPIC平臺(tái)的輸出至外部系統(tǒng)試驗(yàn)占用大量全局變量，TU站點(diǎn)的負(fù)荷較大，根據(jù)優(yōu)化方案的可行性分析結(jié)果來看，實(shí)施優(yōu)化后能有效降低系統(tǒng)的負(fù)荷，釋放大量全局變量，且不會(huì)對(duì)系統(tǒng)的可靠性造成較大影響，進(jìn)一步增加了NASPIC平臺(tái)的可靠性，同時(shí)不會(huì)對(duì)SVDU的負(fù)荷以及變量上限產(chǎn)生影響，對(duì)后續(xù)平臺(tái)的改造和擴(kuò)容增加了可行性[7]。