基于MTS的NASPIC平臺輸出至外部系統試驗可行性研究

周 岱，胡清仁，王汝橋，張 誼，何玉鵬，彭 浩

（中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

0 引言

為實現核動力廠的安全運行，防止或減輕可能危及安全的事件后果，安全系統必須具有可在核動力廠運行時對其功能進行定期試驗的條件，包括各通道分別進行試驗的可能性，以查明可能發生的故障和多重性的喪失。設計必須允許對包括從傳感器到最終的觸發驅動器和顯示單元所有環節的定期試驗[1]。

定期試驗是對于核電廠探查故障、檢查可運行性，按計劃的時間間隔所進行的試驗。安全系統的定期試驗應該至少包括通道檢查、通道校準試驗、功能試驗、響應時間驗證和邏輯系統功能試驗[2]。其中，通道檢查、通道校準試驗主要驗證輸入信號的精度以及可用性；功能試驗主要驗證系統的功能能否正確完成；響應時間試驗主要驗證從探測器發出信號到現場驅動器產生動作的響應時間；邏輯系統功能試驗主要驗證邏輯處理的正確性。

由于保護系統的復雜性，定期試驗無法一次全部完成對所有試驗的進行，故采用分段交迭的方式進行，通過兩部分試驗共同證明被試驗的部分處于正確狀態。在保護系統的定期試驗項目中，輸出至外部系統連接試驗為占用CPU負荷最大的試驗。由于其具有一鍵啟動、順序進行的多重要求，在保護系統的CPU中需要設計大量邏輯以實現自動邏輯。根據目前的實現方案，此實現方式邏輯復雜，軟件中網絡變量過多，一度造成軟件實現時出現組態困難、軟件變量超上限等情況，對NASPIC平臺的數據量、負荷、軟件可靠性產生了較大影響。本文針對此問題，提出了輸出至外部系統試驗的具體優化方案以及可行性分析。

1 概要

1.1 NASPIC平臺介紹

NASPIC平臺是由中國核工業集團有限公司中國核動力研究設計院自主研發的一個通用的安全級DCS平臺，該平臺具有高安全性、高可靠性、高技術成熟性等特點，可滿足三代核電及其他設施的要求。NASPIC平臺主要包括現場控制站、傳輸站、網關站、安全顯示站和工程師站等5個基本的功能站等，構成完整的核電廠安全級DCS的設備集成解決方案。按照保護組單通道、停堆4取2系統的架構，緊急停堆系統滿足緊急停堆系統拒動率≤1.0×10-7次/指令，誤動率不大于0.1次/年的技術指標[3]。

1.2 基于NASPIC平臺的反應堆保護系統架構

根據反應堆保護系統功能和設計準則要求，結合NASPIC平臺特點，華龍一號的安全級DCS架構主要包括緊急停堆子系統（RTS）、專設驅動子系統（ESFAS）、安全信息和控制系統（SVDU）、網關系統（GW）、維護系統（MS）。總體上，安全級DCS包含4個保護組（保護組I、保護組II、保護組III以及保護組IV）和兩個邏輯系列（邏輯系列A和邏輯系列B），每個保護組分為兩個多樣性子組，每個邏輯系列包含F-SC1、F-SC2兩個安全等級的專設驅動系統，每個邏輯系列中執行F-SC1級功能也分為兩個多樣性子組。具體架構如圖1所示。

圖1 安全級DCS總體架構圖Fig.1 Overall architecture of security level DCS

1.3 輸出至外部系統連接試驗

輸出至外部系統連接試驗的目的是對反應堆保護系統輸出至外部系統的硬接線連接回路進行檢查。該試驗通過輸出至外部系統的信號數量以及外部系統需要處理的方式分為類型1、類型2以及類型3的3種類型[4]。

類型1：該試驗類型針對安全級DCS系統傳輸至其它系統的信號為兩路冗余信號，并在目標系統進行“與”邏輯運算后產生真實動作信號的情況。其試驗反饋信號經過“異或”邏輯運算后產生。試驗時，每次只觸發其中的一路輸出。因此，試驗不會導致目標系統產生真實的動作信號，但是會產生試驗反饋信號傳輸至安全級DCS系統，從而安全級DCS系統可以獲悉目標系統已接收到了該試驗信號。此類型的邏輯示意圖如圖2所示。

圖2 安全級DCS輸出至外部系統連接試驗類型1Fig.2 Safety level DCS output to external system connection test type 1

類型2：該試驗類型針對安全級DCS系統傳輸四路冗余信號至目標系統，在目標系統進行“2/4”邏輯運算后產生真實動作信號的情況。任意一個輸入信號產生且沒有真實動作信號觸發的情況會產生試驗反饋信號。試驗時，每次只觸發四路信號中的一路輸出。因此，試驗不會導致目標系統產生真實的動作信號，但是會產生試驗反饋信號傳輸至安全級DCS系統，從而安全級DCS系統可以獲悉目標系統已接收到了該試驗信號。此類型的邏輯示意圖如圖3所示。

圖3 安全級DCS輸出至外部系統連接試驗類型2Fig.3 Safety level DCS output to external system connection test type 2

類型3：該試驗類型針對安全級DCS系統傳輸三路信號至目標系統，在目標系統進行“2/3”邏輯運算后產生真實動作信號的情況。任意一個輸入信號產生且沒有真實動作信號觸發的情況會產生試驗反饋信號。試驗時，每次只觸發其中的一路輸出，因此試驗不會導致目標系統產生真實的動作信號，但是會產生試驗反饋信號傳輸至安全級DCS系統，從而安全級DCS系統可以獲悉目標系統已接收到了該試驗信號。此類型的邏輯示意圖與圖3類似。

2 改進前的輸出至外部系統連接試驗方案

本試驗需要一鍵啟動，且各類型試驗同時進行。為滿足此要求，特在SVDU上設置一鍵啟動按鈕，下發試驗開始的脈沖信號，同時采用多個延時模塊、邊沿脈沖發生器在TU站中搭建時序功能塊，以體現每個信號的試驗順序。在TU站中的試驗邏輯示意圖如圖4所示。

圖4 改進前輸出至外部接口試驗示意圖Fig.4 Schematic diagram of output to external interface test before improvement

以SVDU-A中IP通道為例，該試驗包含RTC-11和RTC-12，按照RTC-11和RTC-12子組順序執行。當RTC-11輸出至外部接口試驗中的類型1、2和3的試驗結束后，自動執行RTC-12的輸出至外部接口試驗中的類型1、2和3試驗，其中在執行RTC-11或者RTC-12的試驗時，類型1、2和3同步進行，每個類型中的試驗信號順序執行。使用開延時模塊和邊沿脈沖發生器模塊，每個試驗信號采用1.5s的脈沖信號，應保證1.5s能夠覆蓋從試驗信號的產生到SVDU收到試驗反饋信號并在屏幕上顯示的時間。

在SVDU上設置一鍵啟動按鈕和復位按鈕，一鍵啟動和復位按鈕均為脈沖信號。當試驗開始后，TU-A將啟動信號發送給TU-1，在TU-1中完成試驗前自動檢查試驗反饋信號。試驗中順序下發試驗信號給RTC-11，真實信號將觸發試驗自動退出。RTC-11接收到試驗信號后傳遞給外部接口系統，并在RTC-11中執行多路試驗信號聯鎖功能。當試驗結束后，TU-A將復位信號發送給TU-1，在TU-1中執行復位功能。

2.1 試驗過程與顯示

在SVDU-A畫面上設置有反饋信號指示燈用來顯示試驗結果。同時，畫面上還設置了真實信號指示燈，IP通道試驗畫面中涉及到的每一個真實信號從RTC-11或者RTC-12通過網絡傳輸到TU-1中后送SVDU-A顯示，表示是否有真實信號觸發。為了便于操作員查找故障原因，對于需要分別試驗兩個子組的輸出信號的情況，則除每個子組信號設置一個試驗信號反饋燈外，還需設置一個任一子組存在反饋信號指示燈。

2.2 試驗順序進行的實現方式

在SVDU上將“存在任一反饋信號”作為“啟動”按鈕的使能，只有當不存在任一反饋信號的時候，“啟動”按鈕才能啟動。

當試驗信號開始下發后，通過第一個TPG模塊開始計時，發出一個能夠覆蓋本通道試驗時間的脈沖信號。在此時間內，通道內所有輸出至外部接口試驗應能夠完成。第1個TPG信號的時間應為邏輯中包含的TNF模塊的最大時間加上1.5s。針對信號順序執行的情況，則從第2個信號開始依次采用TNF延時來控制信號的順序執行，TNF延時時間為上一個TNF延時時間加上3s。

2.3 試驗總結

本設計方案為了區分試驗進行的進程，添加了多個延時模塊以及RS觸發器模塊，大幅增加了網絡變量的使用。同時，多個信號的互鎖、延時模塊的使用也造成了邏輯復雜程度的大幅增加，此方法不僅增加了CPU的負荷，同時繁雜的邏輯給軟件實現人員也帶來了人因失誤的可能。

3 改進后的輸出至外部系統連接試驗方案

3.1 改進原理

定期試驗功能屬于非安全級功能，并不一定需要在主控室的安全級設備上實現，在SVDU上進行此試驗無法對此試驗的目的（安全級DCS硬接線輸出到其他系統的正確性）進行額外驗證。由于此試驗不需要操縱員在主控室關注此類信息，在許多工程應用中都利用工程師站以完成此實驗，且安全儀控系統設計應避免不必要的復雜性，故此提出在MTS（工程師站）上完成此試驗。

該試驗通過在MTS上按步驟執行定期試驗用例進行，試驗執行需自動判斷試驗繼續執行條件。當實際條件與預期不一致時，中止試驗。當試驗結果與預期不一致時，可選擇終止或繼續試驗。

3.2 試驗介紹

通過MTS進行本試驗時，需連接維護網絡，通過維護網絡下發測試信號，測試信號一次從MTS經TU-A下發至各個相關控制站，進行相應邏輯運算后，通過與外部系統連接信號下發至外部系統（圖5中紅色路徑），并采集外部系統響應的反饋信號，在MTS試驗工具中進行反饋結果與預期結果的對比，并自動生成試驗報告。

圖5 改進后的輸出至外部系統連接試驗原理圖Fig.5 Schematic diagram of improved output to external system connection test

圖5中的測試信號均由MTS依據設計好的試驗用例依次進行強制置位，與反饋結果對比、復位，再強制置位下一個測試信號，如此類推至所有測試信號完成試驗。上述測試信號的單獨置位均不會導致外部系統真實動作，僅產生反饋信號。試驗用例由軟件設計人員編寫并集成在工程文件中，試驗用例舉例如圖6所示。

表1 改進后的輸出至外部系統連接試驗優化項Table 1 Improved output to external system connection test optimization items

圖6 改進后的輸出至外部系統試驗測試用例圖Fig.6 Improved output to external system test case diagram

3.3 試驗結果與顯示

在MTS產生報表直觀顯示給工程師試驗結果。

3.4 試驗執行過程

1）用鑰匙開TU-A柜門，恢復控制站與MTS下行通信鏈路，將主控模塊置于維護模式，控制站此時可接收MTS下發的數據。

2）試驗執行人員在MTS上開始選定試驗用例。

3）進行條件判斷，滿足允許條件后自動按上述步驟執行用例，由MTS自動注入試驗信號，并回讀對應的試驗反饋信號后與預期值進行對比。若與預期一致，則表明試驗成功，反之則失敗；試驗過程中可通過明顯的顏色變化展示試驗過程及試驗結果。

4）執行完畢后，MTS自動通過取消強制的方式將強制值取消，使系統恢復到試驗前的狀態。

5）自動進行試驗恢復的確認，若試驗前后數據不一致，則進行彈窗提示。

6）自動生成試驗報告。

4 優化可行性分析

根據HAF 102-10《核動力廠儀表和控制系統設計》2021版6.1.3節要求[5]，“安全儀控系統設計應避免不必要的復雜性”。優化前，各TU軟件組態邏輯中為實現輸出至外部系統連接試驗設計邏輯算法約占整個TU站邏輯的30%，極大增加了安全級DCS的邏輯復雜度，而將該試驗移動至SVDU上來做也將一定程度上影響SVDU的負荷以及變量上限[6]，通過將本試驗移動至MTS上實現，則完全避免了對控制站、SVDU的負荷占用，實現了對CPU負荷的釋放。

同時，由于定期試驗本身是非安全級功能，將一部分功能轉移至非安全級的MTS上執行也不會引起安全降級等問題。此方案相較于以前方案有以下優點：

1）減輕SVDU的負荷、TU站點的邏輯復雜度。

2）可明確觀察整個試驗過程和結果。

3）試驗前后數據不一致時，可通過明顯的方式進行提示。

4）可自動生成試驗報告。

5）試驗過程快速簡單。

經評估，改進后的輸出至外部系統連接試驗的優化參數詳見表1。

改進后的實現方案能釋放30%左右的全局變量，大大改善原方案即將達到平臺上限的全局變量的狀況，為后續改造、擴容提供了更大的備用容量。

5 結束語

現階段基于NASPIC平臺的輸出至外部系統試驗占用大量全局變量，TU站點的負荷較大，根據優化方案的可行性分析結果來看，實施優化后能有效降低系統的負荷，釋放大量全局變量，且不會對系統的可靠性造成較大影響，進一步增加了NASPIC平臺的可靠性，同時不會對SVDU的負荷以及變量上限產生影響，對后續平臺的改造和擴容增加了可行性[7]。