DCS半實物仿真技術研究及關鍵技術驗證

林克軍，朱 亮，林耀祖，王乾禧

（中廣核（北京）仿真技術有限公司，廣東深圳 518031）

當今新建核電廠的控制系統，大多采用DCS（Distributed Control System）這種較先進的控制技術。DCS 是核電廠的“神經中樞”，對核電廠的運行發揮重要作用。在DCS 全生命周期中，DCS 仿真技術應用越來越廣泛，已從以往的設計驗證（控制策略驗證）、測試和調試、使用培訓，延伸到了系統維護和工業信息安全驗證等領域，面對這些延展應用，原有DCS 仿真技術已不能滿足要求，需進行進一步研究［1-3］。

DCS 常用仿真方法有三種：純仿真、虛擬仿真和實物仿真，分別對應三個專業英文單詞：Simulation、Emulation 和Stimulation，以往應用中多采用單一仿真方式，例如：控制策略驗證采用純仿真中的翻譯方式，核電廠主控室操縱員的實操技能培訓多采用純仿真或虛擬仿真方式，DCS 系統靜態功能測試采用實物仿真方式，而對于DCS 系統維護和工業系統信息安全驗證這類應用，單一DCS 仿真方式已無法滿足應用要求，例如，DCS 系統維護方案驗證，需要在仿真系統中提供維修設備的安裝或操作接口，而傳統DCS 仿真系統不具備該類交互接口，所以，針對這些新的應用需求，需開展DCS 仿真融合技術研究，構建包含實物和虛擬仿真技術的異構系統，對目標對象進行全范圍仿真，以滿足其應用需求。

為了描述方便，本文選取某典型CPR1000 核電廠非安全級DCS系統作為DCS仿真的參考系統。

1 DCS半實物全范圍仿真方法

在DCS 系統維護或信息安全驗證應用中，采用的混合仿真方法包含實物仿真，故又稱其為半實物仿真。后文為了描述方便，把純仿真和虛擬仿真兩種方式統稱為虛擬仿真，除非特別說明。

1.1 虛、實仿真范圍的劃分

采用半實物仿真技術對DCS 系統進行全范圍仿真，首先需要確定虛擬和實物仿真的邊界，即哪些采用實物仿真，哪些采用虛擬仿真。

核電廠DCS 系統結構復雜，設備眾多，現有CPR1000 核電廠中非安全級DCS 控制站（包含通信站）有70 多臺，操作站數量有近40 臺。結合應用要求和實物仿真成本，實物仿真范圍的確定原則為：保證DCS 系統基本結構完整；在滿足應用的前提下，實物仿真范圍越小越好。由此確定的虛、實仿真的具體范圍為：（1）實物仿真一兩臺控制站，剩余控制站采用虛擬仿真。（2）其他計算機及網絡系統，采用實物仿真。

以參考DCS 系統為例，虛、實仿真范圍的劃分如圖1所示。

圖1 中，實線標識的設備及網絡，采用實物仿真，虛線標識的設備（虛擬控制站），采用虛擬仿真。

圖1 虛、實仿真范圍劃分Fig.1 The Scope for Stimulation and non-Stimulation

1.2 DCS實物仿真

按照上述虛、實仿真范圍劃定方法，實物仿真的操作站設備還很多，由于不同操作站安裝軟件相同，功能相似，使用時可以相互代替，而且不是仿真重點關注的對象，所以對操作站的實物仿真數量進行簡化，只實物仿真兩臺操作站，其他操作站不仿真。

實物仿真的計算機設備，其硬件設備型號和配置，盡量與實物DCS 系統相同，也可采用功能相同、性能相近的計算機設備代替。實物仿真設備中所安裝和運行的軟件，包括操作系統、商用工具軟件及仿真應用的系統級軟件，與實際系統相同。

實物系統的網絡結構及通信方式，與實際DCS 系統相同。在硬件上，采用相同型號的網絡設備以及傳輸介質；在網絡IP 配置上，實物系統也與實際系統一致；在網絡通信協議上，實物仿真系統內部也采用與實際系統相同的協議，該通信協議為DCS 系統內部私有協議。另外，實物系統也與實際系統一樣，采用冗余結構的網絡設計。

控制站實物仿真，是實物仿真的研究重點。控制站負責執行DCS 系統控制邏輯運算，在電廠設計中，通常按電廠工藝系統進行控制站配置，所以在DCS 工程系統中控制站數量較多，也是DCS 系統中最昂貴和最復雜的設備。因此，從成本考慮，實物仿真的控制站數量不能太多，通常只有一到兩臺，大部分控制站采用虛擬方式仿真。

實物控制站硬件設計，需具有通用性，要能對實際系統的任意（或盡量多）控制站進行實物仿真，其硬件設計的通用性，主要體現在主控模塊和IO 模塊的配備上。原則上，這兩類模塊的配備，在類型上要覆蓋所有實際控制站的所有模塊類型，在模塊數量上，要配備所有模塊類型的最小公倍數數量的模塊。在針對具體應用場景時，再根據目標控制站的配置進行實物控制站配置。由于實際DCS 系統主控模塊的類型不多，通常只有少數幾種，每個控制站的模塊數量也只有主、從兩塊，所以，可以按照上述原則進行主控模塊配備，成本和安裝都沒問題。但是IO 模塊的配備則大不相同，由于IO 模塊分為DI/DO/AI/AO 四大類，在AI 模塊又細分出熱電偶類型，實際控制站IO 模塊（后又稱卡件）配置數量較多（如：每控制站40 塊左右），不同控制站的配置數量和類型差別較大，如按照最小公倍數進行IO卡件配備，需配置的卡件數量多，成本高，而且安裝接線工作量大，用戶使用很不方便。所以，通常會用通信模塊代替IO 模塊，進行IO 信號傳遞，這還能節省接口IO 系統設計。通信模塊，選用DCS供應商提供的可選模塊，根據單個模塊的通信容量和總的IO 通信負載，并預留一定裕度，來設計通信模塊數量。通信模塊提供工業標準通信協議，例如：Modbus等，與外部系統進行數據通信。

實物控制站的應用軟件，包括兩部分：平臺軟件和工程軟件。平臺軟件定義控制策略的算法，工程軟件定義控制策略的數據結構。實物控制站的平臺軟件與實際控制站相同，工程軟件則在實際控制站工程軟件基礎上修改而成，修改內容包括：IO 信號數據類型定義（從IO 類型變更為網絡通信類型）和實物系統工程配置，后續仿真功能設計還涉及對工程軟件主程序中周期性計算任務的修改。

1.3 DCS虛擬仿真

虛擬仿真，實現對控制站功能的仿真，有兩種可選實現方式：一是按照控制策略設計文件，利用控制邏輯組態工具軟件，進行控制邏輯手工組態建模；二是直接應用或轉換實際控制站的工程組態文件，利用虛擬控制站軟件來運行原始或轉換后的工程組態軟件（組態數據）。這兩種方式在以往研究中都較成熟，且有較多應用，在此不再贅述。

1.4 虛實仿真結合

虛實仿真結合技術，是把DCS 實物仿真系統與虛擬仿真系統（虛擬控制站）結合起來，形成一個異構系統，實現DCS全范圍仿真。

DCS 虛擬與實物仿真系統的結合，需按照虛擬和實物系統的具體情況進行設計。本文從工程應用層面介紹DCS 虛擬和實物仿真系統的結合方法，從平臺軟件層面也可實現虛實結合，它涉及DCS 平臺軟件修改，本文不對此進行介紹。

實際DCS 系統提供通信站橋接第三方系統，利用該機制可把虛擬控制站接入實物DCS 系統，實現虛實結合。該接口通信站，一方面利用DCS 系統內部通信協議，與實物系統中的設備進行通信，另一方面以標準工業通信協議（如：Modbus TCP）與虛擬控制站系統進行通信，從而實現虛擬控制站與實物仿真系統的耦合［4］。

該接口通信站，在實際DCS 系統工程配置中無對應設備，其工程組態軟件要重新設計，無法參考已有的組態進行設計，這與實物控制站工程組態軟件實現方法不同。

接口通信站的工程組態軟件設計要與其擔當的功能對應。它不僅實現虛擬控制站與實物系統接口數據的傳遞，還是所有虛擬控制站在實物系統的代理，與實物系統進行交互。所以，在接口通信站中需定義所有虛擬站的數據組態，并實現與虛擬站的組態狀態同步，以便通信站中的數據組態能反映虛擬站的運行狀態。數據組態狀態同步，會顯著增大接口通信站的數據通信量，超出單個通信站的通信容量，需設計多個通信站，同時進行接口數據傳遞。

由于通信站與控制站允許定義的數據組態類型有差異，實際DCS系統不支持在通信站中定義IO類型的數據組態點，所以，要把虛擬站的IO 類型組態點轉變為通信點類型后，再定義到該通信站中。

由于實物系統的網絡配置中，只有接口通信站，沒有虛擬控制站，所以要把實際系統中實物控制站與虛擬控制站所對應的控制站的站間網絡通信，在實物系統中定義成與接口通信站的站間網絡通信。

1.5 仿真功能

DCS 半實物仿真系統作為一種仿真系統，需具備仿真系統的通用功能，例如：時鐘及時序同步，運行控制（包括：運行和凍結控制），IC（Initial Condition，初始狀態）管理（包括復位和保存）等。實際DCS 系統不具備這些仿真控制功能，需要為實物仿真系統設計這些功能。

1.5.1 時鐘及時序同步

核電廠通過電廠時鐘系統同步時鐘，時鐘系統接收GPS 時鐘作為母鐘信號，通過電廠時鐘系統分發給需要同步時鐘的時間關鍵子系統，這些時間關鍵子系統各自獨立運行，在運行時序上沒有依賴關系。

實物系統作為半實物仿真系統的一部分，需要與仿真系統保持運行時序和時序的同步。

目前很多主流商用服務器已經集成了時間同步協議NTP（Network Time Prot. -++ocol），可用于同一網絡中不同計算機之間的時鐘同步，所以，在半實物仿真系統中，也可以采用這種技術進行時鐘同步，選取一個中心服務器（例如：模型仿真服務器）的系統時間作為參考時間（作為母鐘），利用該NTP協議，同步系統中其他服務器的系統時鐘。

實物系統控制邏輯運算，是在實物控制站中周期執行的。實物系統的時序同步，主要指控制站計算周期的步調同步。

實物站的控制組態計算，通過DCS平臺軟件對控制頁面組態文件的周期性調用來實現，所以，實物系統時序同步，可以通過控制組態頁面文件的調用來實現，如：只在仿真系統處于運行狀態時，才對頁面組態文件進行調用，凍結狀態時，不對頁面組態文件進行調用。要實現調用控制，有兩種可選方案，一是從系統（平臺）軟件層面，修改任務調度器，使其支持從（Slave）工作模式，跟蹤仿真系統主調度器的節拍，來實現時序同步；二是從應用軟件層面，修改調度時的執行內容，根據仿真系統的運行狀態，有條件控制組態頁面文件的調用［5］。仿真系統運行狀態，可以通過網絡通信方式獲取，本文描述的方案，采用后一種方式。

1.5.2 運行控制

運行控制，是指暫停或繼續仿真系統的運行，它對應仿真系統的運行、凍結等運行控制功能。前述時序同步功能，實質上已經實現了對實物系統（控制站）的運行控制，對此不再重復。

1.5.3 狀態管理

狀態管理，又稱IC（Initial Condition）管理，它記錄仿真系統計算過程的中間狀態以及從中間狀態恢復仿真系統運行。實際DCS 系統不具備運行狀態保存和恢復功能。

實物系統狀態管理，主要管理控制站運行狀態。控制站運行狀態，是指其中組態模塊的計算狀態；大部分組態模塊，其輸出狀態可由輸入接口狀態唯一決定，也就是說，模塊狀態可由其輸入接口狀態決定，如果把控制站中所有組態模塊作為一個整體來看，其狀態可由控制站的外部輸入接口信號狀態決定，這些外部輸入接口信號包括三類：（1）硬接線IO 信號；（2）站間網絡通信信號；（3）來自L2層的操作指令信號。

實物系統狀態管理，可以通過管理這些接口信號的狀態來實現，而這些信號存在于虛擬控制站或工藝模型系統中，因此可通過管理這些存在于外部系統中的接口變量狀態，來間接實現對實物系統的狀態管理。

2 驗證

由于研發條件限制，本研究未對整個技術方案進行驗證，只對其中最關鍵的虛實仿真結合技術進行驗證，具體如下。

2.1 驗證方案

驗證方案設計如下。

（1）利用某核電廠全范圍模擬機（簡稱FSS）中Emulation仿真的DCS系統作為實物DCS系統。

（2）利用實物系統的77號通信站兼任接口通信站。

（3）實物系統17 號控制站改用虛擬方式仿真，用翻譯方式仿真虛擬站，運行于工藝模型仿真系統中。SEN101PO 設備（泵）作為進行虛實接口驗證的設備，它由17號控制站控制。

（4）利用FSS 中的工藝模型作為半實物仿真系統的工藝模型。

采用該驗證方案，能很容易地將FSS 系統改造成驗證系統，并能達到相同驗證效果。

2.2 驗證目標

通過實物系統的人機交互操作環境——操作站，能對由虛擬控制站（17號站）所控制的SEN101PO設備（泵）進行操控和監視，從而表明虛實接口工作正常。

2.3 驗證原理

由實物系統操作站發出的SEN101PO 設備的操作指令（操作面板如圖2 所示），經由接口通信站（77 號站），傳給虛擬控制站的SEN101PO設備驅動控制模塊（如圖3 所示），進行控制計算后，結果指令輸出給SEN101PO 設備工藝仿真模型，SEN101PO 設備模型根據控制指令進行設備仿真狀態計算后，把新的設備狀態反饋給虛擬控制站的設備驅動控制模塊，進而通過接口通信站反饋到實物系統操作站的監視畫面進行狀態顯示，該操控和監視過程的信號流如圖4所示。

圖2 SEN101PO操控界面Fig.2 SEN101PO operation HMI

圖3 SEN101PO設備及控制模型Fig.3 SEN101PO control logic

圖4 SEN101PO設備操控及監視信號流Fig.4 Signal flow of SEN101PO control

2.4 驗證過程及結果

點擊SEN101PO 設備操作面板的ON 按鈕來啟動SEN101PO 泵，虛擬控制站的設備驅動模塊接收到啟動脈沖指令信號，SEN101PO 模型設備啟動（模塊圖標動畫顯示紅色），操作面板中設備狀態指示啟動運行（圖標填充顏色變為藍色），表示設備SEN101PO 啟動控制和狀態反饋正常。

點擊SEN101PO設備操作面板的OFF按鈕來停止SEN101PO 泵，虛擬站的控制驅動模塊接收到停止脈沖指令信號，SEN101PO 模型設備停止運行（圖標狀態動畫顯示綠色），操作面板中設備運行狀態指示停止運行（填充色變為白色），表明SEN101PO 設備的停運操控和狀態監視正常。

由此可初步證明，虛實仿真接口的技術方案是可行的。

3 結論

本文通過對DCS 半實物仿真系統中虛、實仿真范圍的劃分方法設計，對DCS 實物仿真、虛擬仿真及虛實仿真接口方案介紹，以及對實物系統仿真功能實現方法的描述，闡述了一種利用DCS 半實物仿真技術進行DCS 系統全范圍仿真的方法，并對其中虛實仿真結合技術進行驗證，初步證明該技術是可行的。

本文介紹的內容，期望能對基于DCS 半實物仿真技術進行DCS 全范圍仿真的技術研究和成果應用有所幫助。在后續的研究中還需不斷深入，并伴隨更多應用，得以進一步完善。