基于NASPIC平臺輸出至外部系統試驗的設計與研究

周 岱，許金濤，黃 鵬，胡清仁，彭 浩

（中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

定期試驗是對于核電廠探查故障、檢查可運行性，按計劃的時間間隔所進行的試驗[1]。其中，按照功能、實驗對象的不同劃分為T1試驗：測量通道的試驗，包括輸入通道試驗和輸入通道不一致比較試驗；T2試驗：系統邏輯功能試驗；T3試驗：輸出通道及相關驅動器的試驗；響應時間試驗；SICS相關試驗以及其它試驗[2]。其中，輸出至外部系統連接T3試驗，由于其具有同步進行、順序進行的多重要求，需傳輸信號至外部系統配合的特點，根據目前的實現方案，存在著邏輯復雜，軟件中網絡變量過多等問題，一度造成軟件實現時出現組態困難、軟件變量超上限等情況。上述問題對NASPIC平臺的數據量、負荷、軟件可靠性產生了較大影響。本文針對此問題，提出了輸出至外部系統試驗的具體優化方案以及可行性分析。

1 概要

1.1 NASPIC平臺

NASPIC平臺是由中國核工業集團有限公司中國核動力研究設計院自主研發的一個通用的安全級DCS平臺。該平臺具有高安全性、高可靠性、高技術成熟性等特點，可滿足三代核電及其他設施的要求。NASPIC平臺主要包括現場控制站、傳輸站、網關站、安全顯示站和工程師站等5個基本的功能站等，構成完整的核電廠安全級DCS的設備集成解決方案[3]。

1.2 基于NASPIC平臺的反應堆保護系統架構

根據反應堆保護系統功能和設計準則要求，結合NASPIC平臺特點，華龍一號的安全級DCS架構主要包括緊急停堆子系統（RTS）、專設驅動子系統（ESFAS）、安全信息和控制系統（SVDU）、網關系統（GW）、維護系統（MS）。總體上，安全級DCS包含4個保護組（保護組I、保護組II、保護組III以及保護組IV）和兩個邏輯系列（邏輯系列A和邏輯系列B），每個保護組分為兩個多樣性子組，每個邏輯系列包含 F-SC1、F-SC2 兩個安全等級的專設驅動系統，每個邏輯系列中執行F-SC1級功能也分為兩個多樣性子組。

1.3 輸出至外部系統連接試驗

輸出至外部系統連接試驗的目的是對反應堆保護系統輸出至外部系統的硬接線連接回路進行檢查。該試驗通過輸出至外部系統的信號數量以及外部系統需要處理的方式分為類型1、類型2以及類型3三種類型[4]。

類型1：該試驗類型針對安全級DCS系統傳輸至其它系統的信號為兩路冗余信號，并在目標系統進行“與”邏輯運算后產生真實動作信號的情況。其試驗反饋信號經過“異或”邏輯運算后產生。試驗時，每次只觸發其中的一路輸出。因此，試驗不會導致目標系統產生真實的動作信號，但是會產生試驗反饋信號傳輸至安全級DCS系統，從而安全級DCS系統可以獲悉目標系統已接收到了該試驗信號。此類型的邏輯示意圖如圖1。

圖1 安全級DCS輸出至外部系統連接試驗類型1Fig.1 Test type 1 for connection of safety level DCS output to external system

類型2：該試驗類型針對安全級DCS系統傳輸四路冗余信號至目標系統，在目標系統進行“2/4”邏輯運算后產生真實動作信號的情況。任意一個輸入信號產生且沒有真實動作信號觸發的情況會產生試驗反饋信號。試驗時，每次只觸發四路信號中的一路輸出。因此，試驗不會導致目標系統產生真實的動作信號，但是會產生試驗反饋信號傳輸至安全DCS系統，從而安全級DCS系統可以獲悉目標系統已接收到了該試驗信號。此類型的邏輯示意圖如圖2。

類型3：該試驗類型針對安全級DCS系統傳輸三路信號至目標系統，在目標系統進行“2/3”邏輯運算后產生真實動作信號的情況。任意一個輸入信號產生且沒有真實動作信號觸發的情況會產生試驗反饋信號。試驗時，每次只觸發其中的一路輸出。因此，試驗不會導致目標系統產生真實的動作信號，但是會產生試驗反饋信號傳輸至安全級DCS系統，從而安全級DCS系統可以獲悉目標系統已接收到了該試驗信號。此類型的邏輯示意圖與圖2類似。

圖2 安全級DCS輸出至外部系統連接試驗類型2Fig.2 Connection test type 2 of safety level DCS output to external system

2 改進前的輸出至外部系統連接試驗方案

為了滿足試驗的同時進行以及一鍵啟動的要求，在SVDU上設置一鍵啟動按鈕，下發實驗開始的脈沖信號，同時采用多個延時模塊、邊沿脈沖發生器在TU站中搭建時序功能塊，以體現每個信號的試驗順序。

2.1 試驗介紹

以SVDU-A中IP通道為例，該試驗包含RTC-11和RTC-12，按照RTC-11和RTC-12子組順序執行。當RTC-11輸出至外部接口試驗中的類型1、2和3的試驗結束后，自動執行RTC-12的輸出至外部接口試驗中的類型1、2和3試驗，其中在執行RTC-11或者RTC-12的試驗時，類型1、2和3同步進行，每個類型中的試驗信號順序執行。使用開延時模塊和邊沿脈沖發生器模塊，每個試驗信號采用1.5s的脈沖信號，應保證1.5s能夠覆蓋從試驗信號的產生到SVDU收到試驗反饋信號并在屏幕上顯示的時間。

在SVDU上設置一鍵啟動按鈕和復位按鈕，一鍵啟動和復位按鈕均為脈沖信號。當試驗開始后，TU-A將啟動信號發送給TU-1，在TU-1中完成試驗前自動檢查試驗反饋信號，試驗中順序下發試驗信號給RTC-11，真實信號將觸發試驗自動退出。RTC-11接收到試驗信號后傳遞給外部接口系統，并在RTC-11中執行多路試驗信號聯鎖功能。當試驗結束后，TU-A將復位信號發送給TU-1，在TU-1中執行復位功能。

2.2 試驗過程與顯示

在SVDU-A畫面上設置有反饋信號指示燈用來顯示試驗結果。同時，畫面上還設置了真實信號指示燈，IP通道試驗畫面中涉及到的每一個真實信號從RTC-11或者RTC-12通過網絡傳輸到TU-1中后送SVDU-A顯示，表示是否有真實信號觸發。為了便于操作員查找故障原因，對于需要分別試驗兩個子組的輸出信號的情況，則除每個子組信號設置一個試驗信號反饋燈外，還需設置一個任一子組存在反饋信號指示燈。

2.3 試驗順序進行的實現方式

在SVDU上將“存在任一反饋信號”作為“啟動”按鈕的使能，只有當不存在任一反饋信號的時候，“啟動”按鈕才能啟動。

當試驗信號開始下發后，通過第一個TPG模塊開始計時，發出一個能夠覆蓋本通道試驗時間的脈沖信號。在此時間內，通道內所有輸出至外部接口試驗應能夠完成。第1個TPG信號的時間應為邏輯中包含的TNF模塊的最大時間加上1.5s。針對信號順序執行的情況，則從第2個信號開始依次采用TNF延時來控制信號的順序執行，TNF延時時間為上一個TNF延時時間加上3s。

2.4 試驗總結

本設計方案為了區分試驗進行的進程，添加了多個延時模塊以及RS觸發器模塊，大幅增加了網絡變量的使用。同時，多個信號的互鎖、延時模塊的使用也造成了邏輯復雜程度的大幅增加。此方法不僅增加了CPU的負荷，網絡變量的使用數量也即將到達平臺上限。同時，繁雜的邏輯給軟件實現人員也帶來了更大的人因失誤的可能。

3 改進后的輸出至外部系統連接試驗方案

3.1 改進原理

時序邏輯在主控模塊中難以實現，導致了邏輯的冗雜，故將此部分時序邏輯移至其他部件即可完成優化目的。

SVDU本身為定期試驗工具，同時作為安全級設備，SVDU具有較高的安全等級，在網絡安全等方面也具有較好的表現，故在SVDU上進行時序邏輯的完成是較好的方式。

3.2 試驗介紹

以SVDU-A中IP通道為例，該試驗包含RTC-11和RTC-12，按照RTC-11和RTC-12子組順序執行。當RTC-11輸出至外部接口試驗中的類型1、2和3的試驗結束后，自動執行RTC-12的輸出至外部接口試驗中的類型1、2和3試驗。其中，在執行RTC-11或者RTC-12的試驗時，類型1、2和3順序進行，每個類型中的試驗信號順序執行。以RTC-11為例進行邏輯說明，邏輯示意圖如圖7。圖中未包含所有的RTC-11試驗信號，僅列出3個信號作為邏輯示例，每個通道的試驗按照類型1、2和3順序進行，當前通道試驗結束后，點擊畫面復位和試驗復位按鈕進行復位操作。

3.3 試驗結果與顯示

在SVDU-A畫面上設置有試驗指令下發控件用來顯示目前試驗的進行情況，同時設置了試驗反饋信號指示燈用來顯示試驗結果。同時，畫面上還設置了真實信號指示燈，以指示IP/IIP/IIIP/IVP通道以及A/B列中是否存在真實信號。

3.4 試驗順序進行的實現方式

在SVDU上設置一鍵啟動按鈕、畫面復位按鈕和試驗復位按鈕，以上按鈕均為脈沖信號，畫面復位用來將所有下發指令顯示燈恢復到試驗前狀態，保證反饋及真實信號試驗燈與實際一致。試驗復位按鈕用來在試驗中止或試驗結束后使用，用來復位試驗已啟動信號。當試驗開始后，TU-A將啟動信號發送給TU-1，試驗中順序下發試驗信號給RTC-11，試驗期間產生的真實信號將觸發全部試驗停止，在SVDU上應設置一個試驗中止指示燈，以表征試驗因真實信號的觸發而中止。試驗停止后，已進行的試驗畫面保持當前狀態，試驗中止燈亮，需進行復位操作才能再次進行試驗。RTC-11接收到試驗信號后傳遞給外部接口系統，并在RTC-11中執行多路試驗信號聯鎖功能。當試驗結束后，在SVDU上先后點擊試驗復位按鈕和畫面復位按鈕進行復位，恢復到試驗前的狀態。

試驗進行的邏輯如下：

1）在SVDU上將“不存在任一反饋信號”且“不存在真實驅動信號”作為“一鍵啟動”按鈕的使能，只有當不存在任一反饋信號且不存在任一真實驅動信號的時候，“一鍵啟動”按鈕才能啟動，不能進行的試驗的按鈕在SVDU上應該有專門的顏色區分。點擊“一鍵啟動”按鈕后，試驗信號開始下發。

2）SVDU下發Step1的3s的試驗指令信號（脈沖信號），在TU-1里將Step1的試驗指令信號與Step1的試驗反饋信號取“與”作為Step1的試驗反饋信號，在SVDU上設置試驗反饋控件，控件在3s內接收到Step1的試驗反饋信號后，此步驟的試驗反饋控件指示燈變綠，表明試驗通過。若未在3s內接收到Step1的試驗反饋信號，此步驟的試驗反饋控件指示燈變紅，表明試驗未通過，不能進行下一步，本組試驗自動停止。試驗反饋信號指示燈狀態應一直保持，直至按下畫面復位按鈕。Step1的試驗指令下發控件下發信號時應該在SVDU上有明顯的表征，信號下發結束后應該恢復原狀。

3）當SVDU收到前一步的試驗反饋信號且Step2的真實反饋信號和任一真實驅動信號不存在時，將自動下發Step2的試驗指令信號。當試驗信號開始下發后，SVDU下發Step2的3s的試驗指令信號（脈沖信號），在SVDU里將Step2的試驗指令信號與Step2的試驗反饋信號取“與”作為Step2的試驗反饋。在SVDU上設置試驗反饋控件，控件在3s內接收到Step2的試驗反饋信號后，此步驟的試驗反饋控件指示燈變綠，表明試驗通過。若未在3s內接收到Step1的試驗反饋信號，此步驟的指示燈變紅，表明試驗未通過，不能進行下一步，本組試驗自動停止，試驗反饋信號指示燈狀態應一直保持，直至按下畫面復位按鈕。Step2的試驗指令下發控件下發信號時應該在SVDU上有明顯的表征，信號下發結束后應該恢復原狀。

4）以此類推完成本頁的試驗。在SVDU上的使能邏輯示意圖如圖3。

圖3 SVDU上的使能邏輯示意圖Fig.3 Schematic diagram of enable logic on SVDU

4 優化可行性分析

根據HAF 102-10核動力廠儀表和控制系統設計2021版6.1.3節要求[5]，“安全儀控系統設計應避免不必要的復雜性”。優化前，各TU軟件組態邏輯中為實現輸出至外部系統連接試驗設計邏輯算法約占整個TU站邏輯的30%，極大增加了安全級DCS的邏輯復雜度，而通過對SVDU的二次開發來實現上述功能，將輸出至外部系統試驗的部分邏輯放置于SVDU上執行，能夠很大程度上解決上述問題。

同時，由于定期試驗本身是非安全級功能，將一部分功能轉移至更高安全等級的SVDU上去執行，不會引起安全降級等問題，網絡安全也不會因此受到威脅。SVDU只需要開發一部分使能元件，不會對SVDU負荷造成過多增加。

經評估，改進后的輸出至外部系統連接試驗的優化參數詳見表1。

表1 改進后的輸出至外部系統連接試驗優化項Table 1 Optimized items for connection test of improved output to external system

改進后的實現方案能釋放30%左右的全局變量，大大改善原方案即將達到平臺上限的全局變量的狀況，為后續改造、擴容提供了平臺條件。

5 結束語

現階段基于NASPIC平臺的輸出至外部系統試驗有較大隱患，對于全局變量的使用十分受限，TU站點的負荷較大，根據優化方案的可行性分析結果來看，實施優化后能有效降低系統的負荷，釋放大量全局變量，且不會對系統的可靠性造成較大影響，進一步增加了NASPIC平臺的可靠性及完備性，對后續平臺的改造和擴容增加了可行性[6]。