基于工程仿真機的設計驗證管理方法研究

張立群，張玉峰，王少華，劉問杰

（中國核電工程有限公司，北京 100840）

0 引言

隨著中國核電具有自主知識產權新堆型的不斷研發，新設計的驗證需求不斷增加[1]。同時，應用仿真機的優勢[2]開展核電廠設計驗證的研究方法越來越多[3-7]。從數字化主控室人機接口的設計驗證，到機組DCS缺省值驗證，再到使用全流程數字化儀控平臺繪制儀控設計圖紙的設計驗證，再到工藝系統設計改進、新堆型的總體運行研究的設計驗證，再到核電廠調試規程的驗證，使得用工程仿真機進行設計驗證的方向越來越多元化。

以往主要是參考核電廠全范圍模擬機的開發流程跟蹤驗證平臺的更新配置管理工作。全范圍模擬機的開發目標單一，主要用途是核電廠操縱員運行培訓和操縱員考取運行執照[8]。另一方面，全范圍模擬機的設計輸入相對固化，主要分成設計固化、電廠調試和電廠運行3個階段的數據更新。面向多元化驗證任務的驗證活動，具有驗證目標多、涉及驗證專業范圍廣、參與部門多等特點。同時，設計輸入未固化，同一時間段有不同階段、不同批次、不同專業的設計輸入，交叉重疊地提交驗證需求。這意味著工程仿真機的模型迭代更新次數頻繁，是逐步細化走向精準的過程。各個驗證單位的設計輸入具有先后關聯性，如綜合運行研究相關的設計驗證需要其它基礎專業的設計提資。因此，如仍采用核電廠全范圍模擬機的開發流程處理多元化驗證任務，需要更大量的人力和精力，使得驗證平臺的管理成本增加且使用效率降低。有必要從多元化驗證任務的目標和對象特點出發，對其驗證活動的管理方法進行研究。

1 工程仿真機建立過程階段劃分

工程仿真機建立主要分為：前期初步建立階段、設計驗證階段和培訓服務階段。

初步建立階段，平臺管理部門消化梳理新堆型或原有堆型優化升級的總體設計方案，完成驗證平臺的功能技術需求調研，驗證平臺場地建設或選址改造，搭建主要基礎硬件系統和確定預開發平臺。預開發平臺的電廠仿真模型是新堆型設計驗證工作的基礎模型，通過對核電廠模擬機產品的市場調研結果，選擇與新堆型相似度最接近的模擬機作為預開發平臺。

設計驗證階段，設計單位和平臺管理單位共同參與工程仿真機的更新、測試和設計驗證活動。該階段需要雙方緊密配合，確保設計驗證活動順利完成。設計單位提出驗證相關的設計輸入，包括總體功能需求，設計手冊詳細內容，設計提交批次、進度，以及驗證時間計劃。提資的過程中，設計單位負責澄清與設計輸入相關的問題，負責修改不符合導入規范的設計輸入。為排除與提資相關的驗證平臺模型更新的仿真偏差問題，設計單位需要針對驗證功能進行測試并記錄仿真偏差。同時，平臺管理單位負責收集反饋設計輸入規范性相關的問題，向設計單位提出用于仿真實現的澄清問題，協調平臺模型更新管理，如評估驗證平臺更新開發的工作量，修正驗證平臺模型，負責管理仿真偏差記錄的復測并確保驗證平臺通過驗收測試，發布驗證計劃，制定驗證平臺的預約計劃和使用登記管理，負責組織協調并承擔驗證過程中的平臺技術支持工作。

培訓服務階段，工程仿真機的電廠仿真模型已經與新堆型核電廠的系統十分逼近，可以作為各相關技術人員的培訓基地，也可以作為后續堆型研發或核電廠運行前沿性課題研究的基礎平臺。同時，也可以作為核電廠運行技術改進項的驗證平臺，驗證工作流程與設計驗證階段的流程類似。

2 設計驗證階段的管理特點

核電廠各專業的設計驗證存在交叉的強耦合關系。在實際工程中設計進度緊張，會存在同一專業的幾個子系統，甚至不同專業同時提出驗證需求的情況。針對這些特點，需要在驗證項目切換和驗證管理程序策劃方面，著手研究更適用于多元化驗證任務的設計驗證方法。

2.1 廣義的驗證管理過程

以往通常狹義地理解設計驗證過程，即僅對設計驗證活動本身[9]進行說明。實際上，工程仿真機的更新測試管理與設計驗證活動的順利執行密切相關。本文從廣義上探討基于工程仿真機的驗證管理，即從驗證需求提出到設計偏差修改閉環結束。其中，涵蓋的主要階段有：驗證需求提出，輸入資料分析澄清，驗證任務評估計劃，工程仿真機的基線版本狀態標定，仿真模型更新、測試和仿真偏差項修改，現場驗證活動和設計偏差反饋修正等主要環節。核電廠驗證過程中會產生偏差項，偏差項分為仿真偏差和設計偏差兩類，往往這兩類偏差外在表現相似，區分難度大。設計驗證的目的是驗證和確認各專業設計的正確性和安全性，識別出設計偏差。如果在前面驗證更新環節沒有前提假設或識別仿真偏差的有效方法，那么在后面驗證執行環節出現過多的仿真偏差項，必定會干擾設計者的判斷，在設計輸入資料和仿真模型之間頻繁切換確認偏差的性質，過程非常耗時。一旦確認是仿真偏差，還需要現場修改仿真模型，繼續后面的驗證內容，嚴重的還可能無法現場修改，只能擇日延遲驗證，這樣使得設計驗證的效果受到很大影響。另一方面，工程仿真機管理人員在人員數量和對待驗證的設計專業內容了解、掌握深度兩方面都存在局限性，在驗證更新前，需要各專業設計者和工程仿真機的管理者對驗證需求交換意見。在更新過程中，雙方共同參與設計澄清、測試和偏差項修改等活動。通過問題澄清、更新測試、仿真偏差記錄等方面建立一套完整、充分、具有可追溯性的溝通交流機制。最后，驗證輸入文件是初版設計文件。驗證過程中，存在不同專業、不同驗證階段的修改和升版的情況，在驗證過程中建立合理有序的基線版本管理機制，保證多元化設計驗證的仿真模型的更新版本可控，驗證執行率高。

2.2 驗證活動項目切換

目前，基于工程仿真機的設計驗證，一般都是僅配置一整套工作站作為驗證活動的工作場景，即所有的操作員站、值長站、后備盤、大屏幕和模擬服務器，組成一個驗證支撐系統[10]。這種配置方法模擬主控室的環境布置功能逼真度高，適用于核電廠主控室操縱運行人員的任務分配、負荷效能分析的驗證研究。但是，這種單一配置沒有考慮處于同一設計階段不同的設計專業、同一專業不同分組，或者不同堆型、不同設計階段，同時使用工程仿真機進行局部設計驗證的問題。如果不提前考慮這個問題，可能會在實際工程設計中發現幾個系統的功能都需要使用驗證平臺進行局部功能驗證，卻由于驗證平臺工作站環境配置單一，不能同時段在多專業之間切換安排驗證，而不得不計劃更長的時間排隊等待，影響后續工程實施階段的設計提資時間，甚至影響整體工程建造周期。

從節約成本、使用方便性和提高利用率等方面考慮，有必要對工程仿真機的軟硬件結構進行必要的技術開發，即設計多模型切換以及場地共用實施方案，滿足多元化驗證任務間的多模式切換功能。如圖1所示，系統硬件采用3套服務器，每套服務器包含1臺電廠模型仿真服務器和1臺數據處理服務器。1套全功能數字化操作員工作站環境，每臺工作站帶3個顯示器、1個鍵盤和1個鼠標。通過開發運行腳本文件，組合設置鼠標鍵盤，實現1套鍵鼠可控制更多套顯示器，如一套鍵鼠控5或6屏。每套服務器可以跟8臺操作員工作站中的任意1臺或多臺進行組合，生成1個適應驗證需求的驗證工作站環境。受基線版本管理控制的多版本電廠仿真模型數據，存儲在服務器和工作站上。根據驗證需求，在多模型切換軟件的控制下，完成多模式切換以及場地共用，實施多元化驗證任務。

圖1 多模型切換以及場地共用實施方案Fig.1 The scheme of multi mode switch & site sharing

2.3 驗證管理流程策劃

平臺管理者可以根據多元化驗證任務的特點，控制進度計劃，制定驗證管理流程，由各驗證活動的參與方共同實施。管理流程分兩級，第一層級是解決同一設計驗證周期不同的驗證任務并行驗證的問題，如圖2所示。首先，主要由平臺管理者參考設計進度計劃和設計批次，將驗證活動劃分成幾個驗證基線版本。然后，在某一基線版本下，依據各專業的驗證需求，布置獨立的驗證環境。其中，記錄跟蹤基線版本變化情況。本批次驗證結束后，綜合各支路的變化后產生新的驗證基線。第二層級是解決在第一層級下某單一驗證任務的工作流程問題，如圖3所示。多方共同參與單一驗證任務，其中，紅色人員是待驗證設計文件的直接設計者，藍色人員是與待驗證設計文件有接口關聯的其他文件的間接設計者，綠色人員是工程仿真機的管理者。其中，驗證文件由紅色人員負責提資，紅色人員和綠色人員一起交流驗證需求后，由綠色人員評估并標定驗證前基線版本和驗證環境，并向紅色人員說明評估情況和驗證假設前提。比如，間接設計文件的版本，是否需要更新等情況。如需要更新間接文件，則由綠色人員向藍色人員收集間接設計文件。驗證模型基線版本標定后，依據收集的直接和間接驗證文件，進行驗證模型更新，由綠色人員發布更新測試和驗證實施計劃，該環節遇到設計問題，分別由紅色人員和藍色人員對直接設計和間接設計文件進行澄清，綠色人員同時跟蹤澄清過程。在設計澄清的環節中，通過靜態分析設計文件會發現一些設計偏差，則分別反饋給各設計方進行設計偏差修改閉環環節。驗證模型更新完成后，由紅綠色人員一起進行更新測試，提前了解驗證假設的仿真情況并排除仿真偏差。更新測試完成后，由綠色人員標定更新后版本，并發布驗證計劃，驗證執行時通過動態仿真又發現一些設計偏差，則分別反饋給各設計方進行設計偏差修改、閉環追蹤升版環節。到此本單一驗證任務結束。

圖2 同一時間段并行驗證任務的工作流程圖Fig.2 The work flow of parallel V&V task in same phase

圖3 某單一驗證任務的工作流程圖Fig.3 The work flow of a V&V task

3 設計驗證應用實例

華龍一號是中國自主創新的三代先進壓水堆，其設計功能準確性直接關系到華龍一號核電廠是否能如期建設完成，進而保證機組安全可靠地運行，更關系到華龍一號新堆型能否真正代表中國核電的名片走出國門，占領國際核電市場。

華龍一號作為首堆，隨著設計的不斷深入，越來越多的驗證需求被提出。設計驗證平臺成功地完成了多個設計驗證任務，如華龍一號的標準化儀控設計功能圖驗證，基于SEOP的事故運行導則驗證，基于SEOP的運行規程和報警卡規程的設計驗證，海外華龍一號工程實施方案，即DCS-TCS操作員站布置運行方案驗證。

在這些設計驗證任務中，有的短時無法固化，多次頻繁升版更新，驗證基線版本更新速度快。有的歷時時間長，需要長時間固定在相對滿足驗證需求的基線狀態上，不能變更驗證基線狀態，隨意更新其它專業設計圖紙相關的仿真模型。如基于SEOP的事故運行導則，從具備初始驗證條件的基線版本開始，整個驗證過程持續一年半的時間。這期間其它專業的設計驗證需要不斷更新設計輸入，如主控室的人機接口布置圖、儀控邏輯功能圖等。因為這些專業的圖紙更新會對SEOP的事故運行導則驗證的前期假設造成影響，所以不能是其它專業每更新一次就要更新SEOP的事故運行導則的基線版本，這一過程需要平臺管理者與各專業設計者溝通協商合適的時間點進行基線版本集成更新。

自2013年9月，從開始建立華龍一號設計驗證預開發平臺至今，應用本文所述的驗證工作管理方法進行各項設計驗證任務實踐，多元驗證任務共用1套驗證場地，驗證任務同時間段存在更新重疊交叉的問題得到了有效控制，驗證結果滿足要求，提高了華龍一號的設計質量。

4 結論

高效科學的驗證管理方法和藉此建立的驗證管理程序，對驗證工作順利有序地完成非常重要，是真正保證核電廠設計滿足安全性功能的有效手段。通過對華龍一號新堆型的多個驗證活動的實踐管理經驗表明，在核電廠新堆型、新功能的設計驗證過程中，必須合理地設計適合核電工程設計驗證特點的驗證管理方法，建立完善的設計驗證管理程序，才能最大限度地共享驗證平臺的仿真資源。隨著今后驗證平臺功能升級、驗證能力增加，驗證任務涉及范圍更加廣闊，會進一步優化驗證管理流程。