核電廠數(shù)字化儀控系統(tǒng)測試綜述

劉朋波 周 韋 張淑慧

(上海核工程研究設計院，上海 200233)

0 引言

儀控系統(tǒng)負責核電廠的檢測、顯示、控制和保護等功能［1］，是核電廠的重要組成部分。隨著計算機軟硬件和控制理論、控制技術的快速發(fā)展，核電廠儀控系統(tǒng)已經(jīng)可以完全數(shù)字化，且其自動化程度越來越高。核電廠儀控系統(tǒng)的發(fā)展經(jīng)歷了三個階段:模擬階段、部分數(shù)字化階段和全數(shù)字化階段［2］。目前正在我國建造的AP1000和EPR采用的都是全數(shù)字化分布式儀控系統(tǒng)，其安全性和可靠性得到很大提升［3－4］。

核電作為特殊領域，對儀控系統(tǒng)的性能和可靠性要求特別高，國際原子能機構(IAEA)、美國核管會(NRC)和國際電工委員會(IEEE)都制定了有關核電廠儀控系統(tǒng)的法規(guī)、導則和行業(yè)標準［5］。

核電廠儀控系統(tǒng)在設計、制造、現(xiàn)場安裝和調試過程中都要經(jīng)過嚴格的測試，以便及時發(fā)現(xiàn)問題、改進設計，保證最終產品滿足核電廠特殊要求，達到提高核電廠可靠性和經(jīng)濟性的目的。

1 I＆C 測試

1.1 測試目的和范圍

I＆C測試是I＆C驗證和確認的重要組成部分，伴隨著I＆C驗證和確認的全過程。在核電廠儀控系統(tǒng)的設計、制造、現(xiàn)場安裝和調試過程中，I＆C用于檢測每個階段的儀控產品是否滿足用戶要求;證明儀控系統(tǒng)或者設備是否可以進行整個電廠測試且能夠支持電廠運行，最終為軟硬件的集成系統(tǒng)能夠實現(xiàn)所要求的功能并具有足夠的可靠度提供依據(jù);減少后期的設計缺陷和制造、安裝、調試問題;縮短儀控系統(tǒng)設計、制造周期，減少資源浪費，降低成本。

核電廠儀控系統(tǒng)測試項目包括新建電廠項目和改造項目。測試范圍以系統(tǒng)界定，可以是整個電廠儀控系統(tǒng)，也可以按照是否是安全級系統(tǒng)、控制系統(tǒng)來分，或以子系統(tǒng)、機柜進行劃分，甚至以更低層次(如電源模塊、處理器、I＆O模塊)劃分。測試對象是每個項目中儀控系統(tǒng)設計、制造、現(xiàn)場安裝和調試各階段的產品，包括設計規(guī)范、要求文件、軟件、硬件和軟硬件集成設備或者系統(tǒng)。

1.2 測試分級和測試地點

整個測試過程包括多個等級的測試，不同等級的測試從低到高依次進行。高一級的測試均基于低一級的測試結果，測試等級隨著軟硬件集成度和系統(tǒng)接口集成度的增加而增加。每一級的測試都只關注與本級相關的要求。一些細節(jié)要求會在較低等級的測試中完成，一般不在更高級的測試中再次進行。

測試等級總共有9級，其中0～4級測試在工廠環(huán)境內完成(供貨商的場地)，5～8級測試在現(xiàn)場完成。1～3級測試由產品組負責，第4級測試由來自于產品組的測試人員依據(jù)集成活動的要求進行測試，5～8級由電廠調試和測試小組負責。與測試分級對應的是系統(tǒng)中的部件集成分級。表1給出了測試分級和集成分級(IEEE-1220，《IEEE系統(tǒng)工程程序應用和管理標準》)之間的對應關系［6］。

表1 測試分級Tab.1 Leveling of tests

整個測試過程有三個可能的測試地點:分包供貨商的生產廠、工廠和現(xiàn)場。測試地點不是強制規(guī)定的，在選擇測試地點時，必須考慮測試的目的，以便證明系統(tǒng)或設備在現(xiàn)場安裝后能夠執(zhí)行相關功能。測試過程中還應考慮到產品封裝以及系統(tǒng)或者設備從測試地點運到下一個地點可能受到的影響。如果運輸會使測試失效，且必須在下一個地點再測一次，就有必要延后這一測試。當然，是否做出延后的決定還需要同時考慮是否在早期發(fā)現(xiàn)并解決問題更為有利(很多問題都可以較容易地在工廠或供貨商處解決)。風險管理能夠在延后或重復測試之間作出權衡。

1.3 測試要求和原則

1.3.1 測試獨立性要求

在確定測試計劃時，為了更有效地在設計和制造的過程中發(fā)現(xiàn)錯誤，測試大綱必須獨立于發(fā)生這些錯誤的源頭。在測試計劃中引入獨立性可能會導致測試計劃忽略設計細節(jié)而沒有探測到潛在的錯誤。為降低這個幾率，測試者應該基于設計要求來編寫測試規(guī)程，而不是基于設計執(zhí)行文件。對于功能測試，測試規(guī)程的基礎是功能要求，設計文件的輸入應盡可能地少。對于制造測試，由于該測試的目的是證明將設計文檔轉化到所制造的系統(tǒng)時不會產生錯誤，所以設計文檔應作為測試規(guī)程的基礎。

編寫測試說明和規(guī)范的工程師不應是系統(tǒng)或設備的設計者或系統(tǒng)和部件的測試者，從而避免設計和測試規(guī)程中都出現(xiàn)對于特定功能的錯誤理解。由于測試說明對測試程序規(guī)定了總的方向和范圍，包括明確了具體測試實例，所以在整個開發(fā)過程中保證測試組與設計組相互獨立是十分重要的。

1.3.2 質量控制要求

測試作為儀控系統(tǒng)壽期內的主要活動，測試質量管理系統(tǒng)(quality management system，QMS)中《檢查和測試》和《檢查和測試狀態(tài)》有相應的規(guī)程描述。表2列舉了部分規(guī)程。其他可能影響到測試的策略和規(guī)程應當被列入具體項目的項目質量計劃(project quality plan，PQP)中，這包括測試使用的相關工業(yè)標準(如IEEE-829，1008)和導則 (如 RG 1.170，1.171)［6－8］。

表2 相關測試規(guī)程Tab.2 Associated test policies and procedures

1.3.3 測試人員資質要求

測試人員應由接受過與本測試工作相關資質的教育(通過培養(yǎng)和培訓)或由具有同等的相關工作經(jīng)驗的人員擔任。這些測試人員按照 ANSI N45.2.6，“Qualifications of Inspection，Examination，and Testing Personnel for the Construction Phase of Nuclear Power Plants”進行測試活動，并通過相關的資質認證［9］。

1.3.4 測試文件體系要求

測試文件體系要求包括:測試前要制定相應的測試方案和測試規(guī)程;測試過程中應仔細記錄方案實施情況以及測試數(shù)據(jù)，受測設備(或者系統(tǒng)配置數(shù)據(jù))和測試過程中遇到的問題;測試結束后要對測試過程和測試數(shù)據(jù)進行分析，形成測試報告。這些記錄文件和報告組成相應的測試文件體系，如圖1所示。

基本測試文件包括:①通用性頂層集成I＆C確認和測試策略;②通用性具體平臺測試策略和測試程序;③項目集成測試方案;④系統(tǒng)/子系統(tǒng)測試計劃;⑤系統(tǒng)/子系統(tǒng)測試說明;⑥通用性測試規(guī)程;⑦系統(tǒng)/子系統(tǒng)測試規(guī)程;⑧系統(tǒng)/子系統(tǒng)測試數(shù)據(jù)表;⑨系統(tǒng)/子系統(tǒng)測試記錄;⑩系統(tǒng)/子系統(tǒng)測試報告。

圖1 測試文件體系Fig.1 Architecture of the testing documentation

1.3.5 測試原則

測試過程中，遵循的原則主要有以下八條。

①測試應該有條理地從底層模塊或組件開始，然后逐步擴展到更大的設備或子系統(tǒng)，最后證明儀控系統(tǒng)所有部分能夠一起正常工作。測試應該盡量在集成度最低的層次上實施，這樣在整個產品開發(fā)周期的早期就能夠發(fā)現(xiàn)缺陷并更改，代價就越低。

②若高等級的測試內容包含低等級的測試內容，應盡量避免在高等級重復低等級測試。除非集成流程改變了系統(tǒng)，使其不能滿足給定要求，否則之前的測試憑證仍然被接受。每個集成等級都會有新的錯誤出現(xiàn)，在給定等級上進行的測試應該只關注該給定等級上可能引進的錯誤，而不是較低等級引進的潛在失誤。

③如果能充分證明集成度低的要求，同時在集成度較高的測試中與高層次的要求一致(并且導致低層次要求無法滿足的風險應盡可能低)，則可以省去低層測試。例如，輸入模塊現(xiàn)場接線端的連通性測試可以在低層(通過“檢測”接線)進行。然而，經(jīng)驗表明制造階段會出現(xiàn)少數(shù)錯誤，連通性的低層次要求可以在高層次輸入通道要求測試時得到證明。因此，輸入模塊機柜線詳細的“檢測”可省去。

④沒有必要在工廠測試中復制實際的安裝環(huán)境或支持系統(tǒng)接口，但是應該說明工廠測試環(huán)境和現(xiàn)場測試環(huán)境的不同之處。例如，如果電廠失電不是測試關注點，則不要求供電冗余，測試使用單一供電。

⑤儀控系統(tǒng)和測試執(zhí)行系統(tǒng)工具可以提供診斷信息，測試中應該根據(jù)這些診斷信息合理縮減測試范圍。在測試中，使用診斷信息之前要確保診斷能夠提供測試所需要的信息，且上一步的測試能夠保證診斷的正確實施。

⑥測試大綱中每項測試與明確定義的驗收準則應能證實一個具體的目標和功能可以實現(xiàn)或特定的要求得到滿足。測試應該通過最簡單易懂的方式證明其目標。同樣地，排除目標設計或制造錯誤的影響，應該評估測試的有效性。另外測試大綱開發(fā)者應該考慮影響系統(tǒng)的錯誤類型。

⑦測試并不一定是確認滿足要求的最佳途徑。在一些情況下，分析和檢查可作為測試的補充，合理縮小測試范圍。分析和檢查(包括設計報告檢查，如資料庫列表)可以提高目標證實過程的效率，減少執(zhí)行測試所需要的時間，以便安排測試時間。用分析和檢查來完成目標測試證明時，在測試說明中應清楚描述，并且需要記錄分析和檢查結果，以便形成一個完整的、系統(tǒng)可接受的證明記錄。

⑧為改善標準設計、執(zhí)行、測試流程，建議制定和使用格式化的信息(如出處、原因、號碼、影響)來跟蹤項目偏差影響。這些信息有助于項目經(jīng)理選擇最好的測試流程和資源分配。每個測試階段都應明確受測設備的確切配置，這樣測試結果才有意義。受測軟件和設備的試驗配置應在試驗數(shù)據(jù)檔案中按照一定的要求記錄。由于修改會經(jīng)常出現(xiàn)，知道更改的影響會為后期決定先前測試是否有效提供依據(jù)。所以應該記錄設備在測試過程中的所有更改。

1.4 測試規(guī)范和測試計劃

測試規(guī)范是測試的設計文件，它提供了充足的信息，可以讓用戶在測試規(guī)程出版前了解其意圖并同意測試方法。因此，應為每一個測試過程編寫一份測試規(guī)范。測試規(guī)范書確定了測試的目的、目標、范圍、適用標準、約束條件以及測試結果的使用。測試規(guī)程是測試規(guī)范書的具體執(zhí)行，一份測試規(guī)范書可以用于創(chuàng)建一個或多個測試規(guī)程。

測試規(guī)范書是質量文件，應放入電子文檔管理系統(tǒng)中。雖然測試規(guī)范可以與測試規(guī)程合并為一份文件，但一般推薦將測試規(guī)范作為獨立的文件出版。這是因為測試規(guī)范書需要在相關測試規(guī)程前準備好，以得到足夠的用戶審查和反饋意見。如果測試規(guī)范書與測試規(guī)程并為一份文件，則用于滿足測試規(guī)范要求的信息必須清晰，且區(qū)別于滿足測試規(guī)程要求的信息。

測試計劃提供了測試項目的具體環(huán)節(jié)。對具體平臺編制的測試計劃可以用于完整的集成儀控系統(tǒng)、獨立系統(tǒng)及其子系統(tǒng)測試。它列出了標準測試方法與經(jīng)用戶同意的測試方法的不同之處。測試計劃應包含足夠的細節(jié)信息(測試的地點、系統(tǒng)范圍和測試范圍等)，以便用戶能夠進行資源規(guī)劃。測試計劃應明確用戶參加的測試項目和合同里程碑事件。測試計劃還應該特別定義測試文件樹狀圖，以顯示后續(xù)生成的測試文件。盡管這個階段不需要特殊的文件編號，但預留編號和測試方案記錄可減輕整個項目的跟蹤難度。用戶審查和批準的要求、質量規(guī)程、測試策略、標準過程、工業(yè)標準和規(guī)章指南等也應寫入測試計劃中。

1.5 測試流程和內容

儀控系統(tǒng)測試伴隨著整個儀控系統(tǒng)的驗證和確認，儀控系統(tǒng)驗證和確認的流程如圖2所示。

圖2 儀控系統(tǒng)驗證和確認流程圖Fig.2 Verification and validation process of I＆C

依據(jù)測試項目的目的和時間安排，測試方法可能多種多樣［10］。按時間順序測試可分為以下幾個階段。

①原型測試階段，這個階段的測試用于證明和估量設計理念的關鍵特性，測試結果用于指導進一步的產品設計開發(fā)和確定最終要求。

②設計測試階段，這個階段的測試用于證明部件、組件或系統(tǒng)的既定設計要求能夠得到滿足，在這個意義上測試目標接口可以被仿真。這些測試可在設備上進行，而不是在目標系統(tǒng)上進行。如控制邏輯可以在仿真控制器環(huán)境中進行。

③制造測試階段，這個階段的測試用于證明產品能根據(jù)組裝圖和其他的設計文件正確組裝。

④集成式測試階段，這個階段的測試應在系統(tǒng)驗證和確認前進行，以檢查計算機系統(tǒng)軟硬件的兼容性和一致性。

⑤接口測試階段，這個階段的測試主要是在目標設備所在的主要子系統(tǒng)(安全系統(tǒng)、控制系統(tǒng)、運行控制和檢測系統(tǒng)等)或模擬機上進行。該測試同時包含系統(tǒng)之間的接口測試。

⑥安裝測試階段，這個階段的測試用于證明設備在從工廠運輸?shù)浆F(xiàn)場過程中未被損壞以及系統(tǒng)間的電纜接線(包括供電、傳感器信號和網(wǎng)絡)正確。

⑦運行測試階段，這個階段的測試用于證明儀控系統(tǒng)滿足設計要求，在各種工況下能夠使核電廠安全可靠運行，包括電廠運行前流體系統(tǒng)功能測試以及電廠運行時瞬態(tài)性能證明。

有效的測試是“自下而上”、有條理地進行的。首先測試獨立組件，然后測試構成子系統(tǒng)或者機柜的相互聯(lián)系組件，最后測試整體直至整個電廠儀控系統(tǒng)測試完成。不同的集成等級使用不同的術語標記(如部件、設備、單元、模塊、組件)。各項測試隨著集成度的增加依次進行，I＆C測試流程如圖3所示。

圖3 I＆C測試流程圖Fig.3 I＆C testing flowchart

1.6 測試記錄和測試報告

測試記錄文件記錄了測試執(zhí)行過程中的原始數(shù)據(jù)。完整的測試數(shù)據(jù)表和電子版的數(shù)據(jù)記錄表也是測試記錄文件的重要組成部分。如果測試日志被保留下來，那么日志也屬于測試記錄文件。測試記錄文件還應包括測試中被變更的測試規(guī)程頁面的拷貝。

測試報告用于測試完成后對測試和結果的描述和總結，由測試者或者指定的人員在測試后盡快完成。測試中的任何異常問題都被記錄在測試報告中，任何列出的異常問題都應同時被真實地記錄到異常報告中并被跟蹤直到問題關閉。異常報告包括由設計團隊提供的解決方案。每個測試過程應撰寫一份測試報告，相關的測試過程也可以撰寫一份合并的測試報告。

1.7 測試問題和處理

問題報告和處理對結束測試及對測試結果的確認是十分重要的。因此，應提供關于問題報告和跟蹤的通用要求，通用要求應根據(jù)具體項目寫入測試計劃中。當產品與規(guī)定的設計、特性、文件說明、規(guī)程不一致，項目質量或活動不能令人滿意或不確定時，認為該產品不合格。測試中記錄下與預期測試結果不一致的部分，并且根據(jù)需要在狀態(tài)審查會議中與設計和測試小組進行討論。這些不一致項會變成問題并由合適的解決方案跟蹤處理。

當相關問題記錄進跟蹤系統(tǒng)并且已確定問題負責人員時，項目經(jīng)理可以根據(jù)現(xiàn)有資源和相應數(shù)據(jù)來處理問題。如果出現(xiàn)的問題妨礙了測試進行或之后的測試階段，則應盡快解決;僅在問題妨礙測試進行或之后的測試階段時才需要進行臨時變更，臨時進行變更必須遵循項目配置管理計劃。解決問題的具體計劃應該包含在項目日程中，回歸測試證明問題已被解決并且沒有新的問題產生。這樣完整的測試才算結束。

2 結束語

在整個核電廠I＆C系統(tǒng)的設計、制造、安裝和調試過程中進行相應的測試，可以盡早地發(fā)現(xiàn)問題或者缺陷并改進，提高核電廠儀控系統(tǒng)的可靠性;同時，也可最大限度地避免返工，促進儀控系統(tǒng)設計、制造、安裝和調試進度;節(jié)約資源，降低整個工程的成本。

［1］史覬，蔣明瑜，鄭健超，等.核電站儀表與控制(I＆C)系統(tǒng)數(shù)字化關鍵技術研究現(xiàn)狀［J］.測控技術，2004，23(2):29 －32.

［2］鄭明光，張勁舜，沈增耀，等.壓水堆核電廠儀表控制與計算機化的發(fā)展概況［J］.核技術，2000，23(12):899 －903.

［3］林誠格，郁祖盛，歐陽予.非能動安全先進核電廠AP1000［M］.北京:原子能出版社，2008:5－30.

［4］李臻.AP1000和EPR儀控系統(tǒng)簡介與對比［J］.電力科學與工程，2009，25(10):74 －78.

［5］IEEE.1220-1998 IEEE standard for application and management of the systems engineering process［S］.Institute of Electrical and Electronics Engineers，Inc，1998.

［6］IEEE.829-1998 IEEE standard for software test documentation［S］.Institute of Electrical and Electronics Engineers，Inc，1998.

［7］US NRC.RG1.170 Software test documentation for digital computer software used in safety system of nuclear power plant［S］.US Nuclear Regulatory Commission，1997.

［8］US NRC.RG1.171 Software unit testing for digital computer software used in safety system of nuclear power plant［S］.US Nuclear Regulatory Commission，1997.

［9］ANSI/ASME.N45.2.6 Qualifications of inspection，examination，and testing personnel for the construction phase of nuclear power plants［S］.American National Standards Institute，1978.

［10］Song Fei，Zhang Shuhui.Human factors engineering verification and validation:a case study of a nuclear power plant［C］∥18th International Conference on Nuclear Engineering(ICONE18)May 17 －21，2010，Xi’an，China，2010:715 －721.