核電廠安全級DCS系統(tǒng)功能測試方案研究及改進(jìn)

文 景，賀先建，陳 釗，劉明明

（中國核動力研究設(shè)計院 核反應(yīng)堆系統(tǒng)設(shè)計技術(shù)重點實驗室，成都 610213）

0 引言

數(shù)字化控制系統(tǒng)（DCS）是核電廠的“中樞神經(jīng)”，核電廠安全級DCS作為其關(guān)鍵組成部分對核電廠的安全運行起著至關(guān)重要的作用[1]。核電廠安全級DCS對反應(yīng)堆工況參數(shù)進(jìn)行實時監(jiān)測，當(dāng)出現(xiàn)事故工況時，系統(tǒng)將自動觸發(fā)緊急停堆、專設(shè)安全設(shè)施驅(qū)動等功能以保證核電廠的安全[2]。在安全級DCS工廠測試中，需要對停堆、專設(shè)安全設(shè)施驅(qū)動、旁通等功能進(jìn)行嚴(yán)格的測試，以保證安全級DCS系統(tǒng)功能的完整性、正確性和可靠性。

安全級DCS工廠測試分為單體測試、集成測試以及系統(tǒng)測試3個階段。系統(tǒng)功能測試包括停堆功能測試、專設(shè)安全設(shè)施驅(qū)動功能測試、旁通功能測試、定期試驗功能測試、報警功能測試等內(nèi)容，其中停堆功能測試以及專設(shè)安全設(shè)施驅(qū)動功能測試是系統(tǒng)測試中的主要內(nèi)容[3]。其目的是驗證安全級DCS系統(tǒng)停堆以及專設(shè)安全設(shè)施驅(qū)動是否滿足技術(shù)規(guī)格書、邏輯圖、模擬圖、系統(tǒng)方案等上游文件的要求。

1 系統(tǒng)功能測試方案

1.1 測試方案

目前安全級DCS系統(tǒng)功能測試主要采用自動化測試裝置仿真Level0層傳感器和執(zhí)行機構(gòu)進(jìn)行測試[4]。以基于中國核動力研究設(shè)計院研發(fā)的核電廠安全級DCS平臺（NASPIC）的某核電供貨項目為例，測試環(huán)境如圖1所示。主要包括安全級DCS（被測設(shè)備）和測試裝置兩大部分。其中，安全級DCS主要包括4個保護(hù)組（IP～I(xiàn)VP）和兩個邏輯系列，測試裝置主要包括工況模擬、設(shè)備模擬以及上位機3部分。

圖1 測試環(huán)境圖Fig.1 Test environment diagram

1）安全級DCS

測試時安全級DCS接收測試裝置輸出的工況模擬信號和盤臺控制信號，將信號進(jìn)行預(yù)處理、閾值比較、邏輯運算后，輸出相應(yīng)的停堆信號、專設(shè)安全設(shè)施驅(qū)動控制信號以及相關(guān)的網(wǎng)絡(luò)信號。

2）工況模擬裝置

模擬現(xiàn)場傳感器的輸出信號以及盤臺控制信號，按照上位機軟件解析后的測試用例中輸入/輸出（I/O）信號名、信號值和變化步序等信息，輸出相應(yīng)的模擬量值和開關(guān)量值。

3）設(shè)備模擬裝置

模擬停堆斷路器、Level0層設(shè)備模型以及非安全級DCS網(wǎng)關(guān)，用于接收被測DCS輸出的硬接線信號以及網(wǎng)關(guān)（GW）送出的網(wǎng)絡(luò)信號，并上傳上位機。

4）上位機

執(zhí)行測試用例，解析測試用例中的I/O信號名、信號值和變化步序等信息，并按照解析結(jié)果控制工況模擬裝置輸出信號；接收設(shè)備模擬裝置上傳的被測DCS的輸出信號值，并與用例中預(yù)期值進(jìn)行比較。

測試執(zhí)行過程中，測試裝置上位機軟件解析用例中被測DCS的輸入與輸出信號名稱、輸出信號預(yù)期值、輸入信號值及其變化順序等信息，然后根據(jù)用例解析結(jié)果控制工況模擬裝置輸出變化的信號，信號經(jīng)被測DCS運算處理后輸出相應(yīng)的停堆信號、專設(shè)控制信號以及相關(guān)報警信號。停堆、專設(shè)控制信號以及相關(guān)報警信號被設(shè)備模擬裝置采集并上傳上位機，上位機將上傳的信號值與測試用例中的預(yù)期值進(jìn)行比較得到測試結(jié)果并保存。測試用例執(zhí)行界面如圖2所示，界面上半?yún)^(qū)域是測試裝置向被測DCS注入的信號名稱、信號值、信號變化步驟、每步變化時間等信息；下半?yún)^(qū)域是測試裝置采集的被測DCS輸出的信號名稱、信號值、預(yù)期值、實測值等信息，其中綠色填充表格表示實測值與預(yù)期值一致，紅色填充表格表示實測值與預(yù)期值不一致。

圖2 測試用例執(zhí)行界面Fig.2 Test case execution interface

1.2 測試執(zhí)行

測試環(huán)境搭建并調(diào)試完成后，即可操作測試裝置上位機自動完成測試，測試執(zhí)行流程如圖3所示，主要操作步驟如下：

圖3 測試執(zhí)行流程圖Fig.3 Test execution flow chart

1）在上位機軟件中新建測試工程。

2）導(dǎo)入I/O信號配置表。

3）導(dǎo)入測試用例。

4）選擇導(dǎo)入的用例。

5）點擊“連續(xù)執(zhí)行”按鈕，執(zhí)行用例。

6）用例執(zhí)行完成后，導(dǎo)出測試結(jié)果。

1.3 方案不足

該方案在實施時，測試用例能夠在測試裝置上批量自動執(zhí)行，該執(zhí)行過程占用時間較少。但是，在測試環(huán)境準(zhǔn)備階段需要將DCS所有I/O信號接入測試裝置，而DCS通常有幾千個I/O信號點，接線過程將占用大量的時間，并且在接線時機柜不能上電，無法執(zhí)行其它測試項。因此，該方案的靈活性較差，測試效率較低。

2 系統(tǒng)功能測試方案改進(jìn)

目前的系統(tǒng)功能測試方案在環(huán)境準(zhǔn)備階段占用時間較長，其關(guān)鍵原因在于該測試方案需要依賴DCS的I/O硬件通道，向DCS注入信號和采集DCS輸出信號必須通過I/O硬件。而在工廠測試中的單體測試階段已經(jīng)將I/O通道信號鏈路驗證完成，在系統(tǒng)測試階段主要驗證DCS主控模塊中軟件組態(tài)的正確性。那么，可以改進(jìn)優(yōu)化目前的系統(tǒng)功能測試方案，實現(xiàn)在系統(tǒng)功能測試時直接強制DCS主控模塊中軟件組態(tài)的輸入變量值以及讀取其輸出變量值，以達(dá)到不依賴I/O硬件而驗證DCS軟件組態(tài)正確性的目的。

將DCS機柜中主控機箱通過維護(hù)網(wǎng)絡(luò)與DCS工程師站（MTS）連接，工程師站通過測試網(wǎng)交換機接入測試網(wǎng)，工程師站對測試裝置上位機開放接口。在測試過程中，裝置上位機通過DCS工程師站實現(xiàn)對被測DCS組態(tài)程序中輸入/輸出變量值及質(zhì)量位的強制和讀取。方案改進(jìn)原理如圖4所示。方案改進(jìn)后DCS的輸入/輸出信號路徑不僅有硬接線路徑，還增加了網(wǎng)絡(luò)路徑，信號路徑類型如下：

圖4 方案改進(jìn)原理圖Fig.4 Schematic diagram of scheme improvement

1）DCS輸入信號路徑

硬接線路徑：測試裝置上位機控制測試裝置機柜輸出信號，信號經(jīng)DCS采集卡進(jìn)入到主控模塊中進(jìn)行處理。

網(wǎng)絡(luò)路徑：測試裝置上位機向被測DCS工程師站發(fā)送含強制變量名和變量值及質(zhì)量位的數(shù)據(jù)包，被測DCS工程師站解析數(shù)據(jù)包后，強制對應(yīng)地輸入變量和網(wǎng)絡(luò)變量的值及質(zhì)量位。

2）DCS輸出信號路徑

硬接線路徑：被測DCS輸入信號經(jīng)運算和邏輯處理后，控制對應(yīng)I/O模塊輸出相應(yīng)的信號值，信號經(jīng)硬接線注入到測試裝置機柜的采集模塊，測試裝置機柜將采集的信號值上傳至裝置上位機。

網(wǎng)絡(luò)路徑：測試裝置上位機向被測DCS工程師站發(fā)送請求變量數(shù)據(jù)包，DCS工程師站解析請求變量數(shù)據(jù)包后，將變量名和變量值及質(zhì)量位經(jīng)交換機送往裝置上位機。

測試執(zhí)行過程中，測試裝置根據(jù)用例向DCS注入信號，該信號可通過硬接線或網(wǎng)絡(luò)路徑注入到DCS；DCS將注入信號進(jìn)行運算和邏輯處理后輸出信號，該信號可通過硬接線或網(wǎng)絡(luò)路徑輸入測試裝置。最后，測試裝置上位機將采集的硬接線信號值或網(wǎng)絡(luò)信號值與用例中的預(yù)期值進(jìn)行比較，得到測試報告。

3 對比分析

方案改進(jìn)后，測試裝置與DCS之間的信號路徑不僅有硬接線路徑還具有網(wǎng)絡(luò)路徑，信號路徑更加豐富，有效彌補了目前測試方案的不足，降低了對DCS的I/O模塊的依賴度，提高了測試的靈活性，擴大了應(yīng)用范圍。并且，在測試執(zhí)行層面，改進(jìn)后的方案對測試人員的操作步驟沒有影響，操作步驟與1.2節(jié)中改進(jìn)前的測試方案操作步驟一致。

3.1 硬件依賴度

采用改進(jìn)前的測試方案，需要在所有I/O信號點接線完成后才能開始測試，而改進(jìn)后的方案能夠完全不通過I/O模塊向DCS注入信號和采集DCS輸出信號。因此，僅使用每個控制站的主控機箱就可完成DCS軟件組態(tài)的驗證。

3.2 配置靈活性

采用改進(jìn)前的測試方案，只能針對所有控制站集成完成后的工程進(jìn)行測試，而改進(jìn)后的方案能夠根據(jù)實際情況對單個控制站、部分控制站或者全部控制站進(jìn)行系統(tǒng)功能測試，并且可以根據(jù)實際情況，將信號路徑配置為全硬接線路徑、部分硬接線路徑或全網(wǎng)絡(luò)路徑，進(jìn)行系統(tǒng)功能測試。

3.3 應(yīng)用范圍

3.3.1 工廠測試

1）單體測試階段

改進(jìn)前的測試方案無法在單體測試階段應(yīng)用，對于單體測試中的I/O通道測試，目前的方法是采用過程校驗儀、電阻箱、萬用表等工具，人工向DCS注入信號以及測量DCS輸出信號。而采用改進(jìn)后的方案，則可以實現(xiàn)I/O通道自動測試，明顯地提高測試效率。

2）集成測試階段

改進(jìn)前的測試方案無法在集成測試階段應(yīng)用。對于集成測試中的站間通信測試，目前的方法是使用DCS的工程師站強制發(fā)送站的網(wǎng)絡(luò)變量值和質(zhì)量位，同時在接收站查看對應(yīng)的接收網(wǎng)絡(luò)變量的值和質(zhì)量位。而采用改進(jìn)后的方案，則可以實現(xiàn)站間通信自動測試，明顯提高了測試效率。

3）系統(tǒng)測試階段

采用改進(jìn)前的測試方案只能在測試環(huán)境搭建完成后進(jìn)行測試，而采用改進(jìn)后的方案在測試環(huán)境搭建過程中，可以僅對含有控制站的機柜上電，而信號預(yù)處理機柜以及優(yōu)選驅(qū)動機柜可釋放出來進(jìn)行接線工作。因此，在環(huán)境搭建過程中就能夠?qū)刂普局械倪壿嬤M(jìn)行一次測試和驗證，當(dāng)環(huán)境搭建完成后，再進(jìn)行第二次測試和驗證。經(jīng)過兩次驗證，可以充分發(fā)掘出DCS軟件組態(tài)的異常，保證DCS工程軟件組態(tài)的正確性，同時提高測試效率。

3.3.2 軟件組態(tài)驗證

在系統(tǒng)功能測試中，不可避免地會發(fā)現(xiàn)工程應(yīng)用軟件異常，設(shè)計人員需要修改并升版發(fā)布工程應(yīng)用軟件。由于軟件組態(tài)修改后，可能產(chǎn)生潛在異常，因而在修改后的工程軟件組態(tài)發(fā)布前，采用改進(jìn)后的方案快速搭建一個驗證環(huán)境，能夠在不占用實際被測設(shè)備情況下，對修改后的工程軟件組態(tài)進(jìn)行發(fā)布前的自動化驗證。這樣就能保證升版軟件組態(tài)的正確性，避免升版的軟件組態(tài)下裝后，雖然解決了之前的異常，卻產(chǎn)生了新的異常。

4 結(jié)論

通過分析和研究目前的安全級DCS系統(tǒng)功能測試方案，發(fā)現(xiàn)目前方案對DCS的I/O硬件依賴性較大，且影響工廠測試效率。針對目前測試方案的不足，對其進(jìn)行優(yōu)化改進(jìn)，改進(jìn)后能夠有效彌補目前測試方案的缺點，有效地提高了測試效率和準(zhǔn)確性。最后，在硬件規(guī)模、配置靈活性、應(yīng)用范圍3個方面進(jìn)行對比分析，說明了改進(jìn)后方案優(yōu)于目前的系統(tǒng)功能測試方案，同時為工程應(yīng)用軟件的驗證方法和工廠測試方法的改進(jìn)及優(yōu)化提供了參考。