基于设计分析器的CAP1400核电厂非安全级仪控系统控制逻辑设计验证

张光新 林智勇

(上海核工程研究设计院电气仪控所，上海 200233)

基于设计分析器的CAP1400核电厂非安全级仪控系统控制逻辑设计验证

张光新 林智勇

(上海核工程研究设计院电气仪控所，上海 200233)

从设计院的角度给出核电厂控制逻辑设计验证的要点、方法和流程，并以CAP1400项目具体的控制逻辑验证为例，介绍在设计过程中如何基于设计分析器开展控制逻辑图的验证工作。

控制逻辑 设计验证 非安全级仪控系统 设计分析器

核电厂数字化仪控系统主要分为安全级仪控系统和非安全级仪控系统，它们共同起到了防止电厂偏离正常运行和系统失效的作用，是核电厂纵深防御措施的第1层关键技术[1]。而核电厂数字化仪控系统的验证与确认(Verification and Validation，V&V)工作又是确保仪控系统正确、可靠运行的关键。

过去，无论法规标准[2，3]还是学术研究[4～6]，核电厂数字化仪控系统的V&V工作都仅针对安全级仪控系统。随着数字化仿真技术的发展和对核电厂可靠性要求的提高，非安全级仪控系统的V&V工作也受到越来越多的重视。很多DCS厂家在非安全级仪控系统的开发、集成过程中也引入了V&V的概念，对组态逻辑进行了相关的测试与验证[4，7，8]。

然而在国内核电厂设计文件体系中，核电厂非安全级仪控系统的主要功能是通过控制逻辑图体现的。因此，DCS厂家在进行控制逻辑组态时，主要以设计院的控制逻辑图作为设计输入，而且组态之后的V&V工作也主要是为了验证组态图与控制逻辑图的一致性。这一点就反映出设计院的设计工作，尤其是控制逻辑图的设计工作，在整个电厂控制系统制造集成过程中的重要性。

CAP1400是在引进消化吸收AP1000技术的基础上，完全由上海核工程研究设计院自主开发设计的三代加核电机组。CAP1400的非安全级仪控系统又称为电厂控制系统(Plant Control System，PLS)。为了确保PLS控制逻辑的正确性，CAP1400项目在逻辑图设计过程中便引入了V&V的理念，采用设计分析器对PLS控制逻辑进行设计验证。

1 设计过程中控制逻辑验证的要点

控制逻辑图是一种用符号和框图形式表示的某一系统/设备的控制逻辑示意图，它描绘存在于传感器、控制器、执行机构之间的逻辑功能和对有关系统数据的逻辑处理，以及与其他系统和本系统其他部分交换的逻辑信号。其主要功能包括：描述系统内执行机构的控制、监测和保护的逻辑动作以及所产生的信息(这些信息构成了系统控制的逻辑部分)；详述系统间的信号交换(接口)；指导组态人员进行组态软件编写；辅助运行人员确定故障原因等。

根据控制逻辑图的功能，可以看出控制逻辑验证的要点应包括逻辑功能验证、接口验证和整定值验证。

1.1逻辑功能验证

逻辑功能验证是控制逻辑图验证工作的最核心内容，它主要是验证控制逻辑功能是否符合上游工艺(包括工艺、暖通、给排水及电气等，下文统称工艺系统)专业提出的系统控制需求。该需求一般通过提资单、说明书或功能需求文件等形式体现。

对于一般工艺系统，其系统功能通过系统中各个设备的控制逻辑体现。正常情况下，单个设备的控制逻辑主要包括：手动控制、自动控制、超越(紧急)控制、挂牌/就地控制及报警等几大类。因此，对于一般工艺系统的功能逻辑验证主要是验证系统内各设备的上述控制逻辑。

除了一般工艺系统外，压水堆核电厂还有几个重要的控制系统，包括反应堆功率控制系统、稳压器压力/液位控制系统、给水控制系统、蒸汽排放控制系统和汽轮机负荷控制系统，这几个系统涉及复杂的控制逻辑，其功能逻辑验证与一般工艺系统的功能逻辑验证有明显不同，主要目的是验证逻辑算法能否达到控制需求(在稳态和正常瞬态下，维持核电厂自动运行)，验证过程需要电厂模型的参与，同时还涉及到控制参数(整定值)的验证。

1.2接口验证

电厂控制系统作为整个核电厂的控制中心，与多个系统存在接口关系。在CAP1400压水堆核电厂中，与电厂控制系统存在接口关系的系统包括工艺系统、运行和控制中心系统(OCS)、数据显示和处理系统(DDS)、保护和安全监测系统(PMS)及电气系统等。以工艺系统为例，PLS与它的接口关系包括接收来自工艺系统的温度、压力、流量等测量信号以及受控设备的状态信号，并向工艺系统送出设备控制命令。

在逻辑图中，这些接口关系都是通过信号点名来体现的，因此控制逻辑的接口验证工作主要是验证逻辑图中信号点名的正确性。

1.3整定值验证

整定值验证是为了验证控制逻辑图中初始控制整定值的正确合理性。这些整定值包括一般工艺系统的设备控制整定值，也包括重要控制系统的控制整定值。整定值验证需要电厂模型的参与，一般通过闭环测试进行验证。但对于重要控制系统和一回路重要系统的控制整定值，需要通过各种电厂设计瞬态(如10%阶跃升降功率、5%线性升降功率等)进行验证。

2 控制逻辑的验证方法和流程

2.1控制逻辑验证方法

在V&V软件中，软件测试验证方法可分为静态测试和动态测试，其中动态测试又可分为黑盒控制逻辑验证方法(简称黑盒验证)和白盒控制逻辑验证方法(简称白盒验证)[1，9]。静态测试就是静态分析，主要依赖评审和检查的手段，例如设计审查、代码检查等。黑盒验证又称为功能测试和数据驱动测试，它不关注软件的内部结构，而是基于软件的功能来进行测试；白盒验证又称为结构测试和逻辑驱动测试，它是在已知程序内部结构的情况下设计测试用例的测试方法。

在设计院的设计流程中，控制逻辑图都会经过编制、校对、审核及批准等过程才能最终出版。该过程与软件的静态测试非常相似，都是一个静态审查过程。而笔者提到的控制逻辑验证需要在设计分析器平台上，使用测试用例对控制逻辑进行验证，相当于软件测试中的动态测试。

黑盒验证是指在编写控制逻辑测试用例时，只关注所验证控制逻辑的功能和接口，具体可根据系统的功能需求和I/O信号清单编写控制逻辑图对应的测试用例；白盒验证是根据实际控制逻辑搭建的情况，结合系统的功能要求来设计测试用例。在基于设计分析器的CAP1400控制逻辑验证工作中，采取以黑盒验证为主，白盒验证为辅的验证方法，其中白盒验证主要用于一些标准逻辑模块的测试验证。

2.2控制逻辑验证流程

在软件测试中，测试流程由一系列不同的测试阶段组成，如软件规格书审查、设计审查、单元测试、集成测试、功能测试、系统测试、安装测试及验收测试等。

针对控制逻辑验证的目的，同时借鉴软件测试的流程，将基于CAP1400设计分析器的控制逻辑图验证分为以下4个阶段：

a. 需求分析。CAP1400项目中控制逻辑图需求分析的来源是上游工艺专业的设备控制提资，该提资中明确了设备的各种控制要求。仪控专业通过对这些控制要求进行分析，得到完整的、可追踪的设备控制需求条目。

b. 单元测试。单元测试的对象是组成逻辑图的最小模块单元，单元测试的覆盖范围和测试依据来自控制逻辑图图例符号，以及与图例符号相关的设计说明文件。单元测试需要通过白盒测试，从程序的内部结构出发设计测试用例，检查模块实现的功能与图例符号的定义相一致。另外，对于一些复杂的算法模块，例如CAP1400中使用到的开关型设备控制模块，还需要与黑盒测试相结合设计测试用例。

c. 单系统测试。在设计分析器平台上，采用经过单元测试的模块重新搭建系统逻辑图。同时，根据设备控制需求分析，设计系统中各设备的测试用例。然后使用测试用例对单系统中的各设备(或存在联锁关系的多个设备)进行测试，测试方法以黑盒验证为主。

d. 系统集成测试。在设计分析器平台上，将经过测试的系统控制逻辑与电厂模型集成。同时，根据电厂运行工况(如稳态运行、10%阶跃升降功率及5%线性升降功率等)和相关要求设计测试用例。然后使用测试用例对集成后的系统逻辑进行测试，测试方法为黑盒验证。

3 CAP1400核电厂设计分析器

CAP1400核电厂设计分析器(以下简称分析器)是基于核电厂多专业领域数值分析技术，利用计算机软件技术集成并综合的核电厂动态特性分析软件包,CAP1400设计分析器平台整体架构如图1所示。该分析器能够很好地给出核电厂的主要特性，特别是考虑了多个系统耦合后的动态特性，可以为核电厂设计相关的工作提供有效支持：通过系统地分析核电厂的动态特性，可以对核电厂设计进行验证与评估；也可以作为研究对象的高精度仿真，为研究工作提供支持；此外，它还可以在核电厂展示、培训等方面发挥作用。

图1 CAP1400设计分析器平台整体架构

分析器平台内核采用C语言编制，在Visual C++ 6环境下开发。它是分析器平台的关键，创建并维护一个实时数据库，提供数据库的访问接口，还建立一套多任务协同工作的调度机制，实现各分析功能集成。

管理界面作为用户操作接口，通过直观的界面将用户命令发送至服务器。

堆芯、一回路、二回路和辅助系统采用Relap程序实现，该程序是核电领域应用广泛的一回热工水力(含点堆中子动力学分析功能)分析软件，可实现一回路系统动态特性的最佳估算分析。

为了解决Relap无法实现严重事故工况分析的问题，分析器还集成了MAAP软件，该软件是NRC认可的严重事故分析程序，已经在AP1000项目中得到了应用。

VisualField是浙江中控技术股份有限公司的DCS平台软件，分析器中利用VisualField实现人机界面，即通过显示各系统的分析结果以图形方式直观反映系统当前的状态，并为分析人员提供交互操作界面。

对于控制逻辑，采用SCADE软件实现控制算法建模，该软件是一种高安全性嵌入式应用开发技术，在核能、航空航天等领域有广泛的应用，其特点是建模直观方便、使用门槛低，算法的建模能力强，可以实现核电厂中所有可能涉及到的算法。

4 控制逻辑验证举例

本节通过两个实例介绍基于CAP1400设计分析器的控制逻辑验证。这两个实例分别验证单个设备的自动控制逻辑和稳压器压力控制逻辑，对应单系统测试和系统集成测试两个阶段。

4.1单个设备的自动控制逻辑

本实例用于验证非能动余热排除系统(RNS)中余热排出热交换器出口流量(FT001A)对小流量隔离阀(V057A)的控制能力。具体的，本测试用例用于验证小流量隔离阀在收到余热排出热交换器出口流量低(193m3/h)的信号时自动联锁打开功能需求。

测试用例设计：通过强制改变RNS出口流量(FT001A)的方式，使FT001A在整定值附近变化。在变化过程中测试FT001A对小流量隔离阀的控制能力，即监测小流量隔离阀的动作情况。仿真结果如图2、3所示。

图2 余热排出热交换器出口流量(FT001A)变化曲线

图3 小流量隔离阀(V057A)动作曲线

从上述仿真结果可以看出，当FT001A低于整定值时，小流量隔离阀会自动联锁打开。

4.2稳压器压力控制逻辑

本实例用于验证稳压器压力控制系统对一回路的压力控制能力。具体的，本测试用例用于验证稳态工况下，稳压器压力控制系统能够自动维持冷却剂系统的压力在整定值处的功能需求。

测试用例设计：通过改变稳压器压力控制系统的压力整定值，使系统完成一次瞬态变化过程，通过该过程测试系统对稳压器压力的控制能力，同时监测加热器和喷雾阀的动作情况。具体的，手动将压力整定值由15.41MPa降至15.30MPa，再升至15.60MPa。稳压器压力响应、电加热器和喷雾阀动作情况如图4、5所示。

从上述仿真结果可以看出，在压力整定值发生变化的情况下，控制系统能够通过控制加热器和喷雾阀使压力稳定到整定值，满足设计要求。

5 结束语

电厂控制系统是整个核电厂的控制中心，其功能主要通过控制逻辑图体现，同时DCS组态方也参考控制逻辑图进行逻辑组态和验证工作，因此确保控制逻辑图设计的正确性是非常必要的。而设计验证是确保控制逻辑图设计正确性的重要手段之一。笔者详细分析了设计过程中控制逻辑图的验证要点、验证方法和流程，并以CAP1400项目两个具体的控制逻辑验证为例，介绍了在设计过程中基于设计分析器开展控制逻辑图的验证工作的方法。通过该验证工作确保了CAP1400控制逻辑设计满足相关的设计要求。

图4 稳压器压力和整定值变化曲线

图5 喷雾阀、比例加热器和备用加热器动作曲线

[1] 杨永洋,丁军.核电厂数字化仪控系统软件验证和确认实用手册[M].厦门:厦门大学出版社,2010.

[2] HAD 102/16 2004,核动力厂基于计算机的安全重要系统软件[S].北京:国家核安全局,2004.

[3] IEEE Std 1012-2004,IEEE Standard for Software Verification and Validation[S]. New York:IEEE Computer Society,2004.

[4] 王翠芳.核电站数字化仪控系统开发过程及其验证与确认[J].自动化仪表,2012,33(7):49～52.

[5] 董雅欣,徐先柱,柏祥基.核安全级数字化仪控系统应用软件验证和确认方法研究及实践[J].原子能科学技术,2014,48(z2):1113～1118.

[6] 万田.软件V&V在核电厂工程改造中的应用研究[D].上海:上海交通大学,2009.

[7] 段奇志,平嘉临,王春冰,等.仿真技术在核电数字化仪控系统设计验证中的应用[J].原子能科学技术,2014,48(B11):904～908.

[8] 丁景龙.基于DCS系统的控制逻辑优化[J].化工自动化及仪表,2012,39(9):1218～1220.

[9] 朱少民.软件测试方法和技术[M].北京:清华大学出版社,2005.

ControlLogicDesignVerificationofCAP1400NuclearPowerPlantControlSystemBasedonEngineeringDesignAnalyzer

ZHANG Guang-xin, LIN Zhi-yong

(ElectricalControlandInstrumentDivision,ShanghaiNuclearEngineeringResearch&DesignInstitute,Shanghai200233,China)

The key points, methods and procedures of the control logic design verification for the nuclear power plant were presented. Taking the control logic design verification of CAP1400 project as an example, the verification work based on engineering design analyzer was described.

control logic, design verification, CAP1400 plant control system, design analyzer

TH862

B

1000-3932(2016)11-1192-05

2016-08-12(修改稿)