周 岱,许金涛,黄 鹏,胡清仁,彭 浩
(中国核动力研究设计院 核反应堆系统设计技术重点实验室,成都 610213)
定期试验是对于核电厂探查故障、检查可运行性,按计划的时间间隔所进行的试验[1]。其中,按照功能、实验对象的不同划分为T1试验:测量通道的试验,包括输入通道试验和输入通道不一致比较试验;
T2试验:系统逻辑功能试验;
T3试验:输出通道及相关驱动器的试验;
响应时间试验;
SICS相关试验以及其它试验[2]。其中,输出至外部系统连接T3试验,由于其具有同步进行、顺序进行的多重要求,需传输信号至外部系统配合的特点,根据目前的实现方案,存在着逻辑复杂,软件中网络变量过多等问题,一度造成软件实现时出现组态困难、软件变量超上限等情况。上述问题对NASPIC平台的数据量、负荷、软件可靠性产生了较大影响。本文针对此问题,提出了输出至外部系统试验的具体优化方案以及可行性分析。
1.1 NASPIC平台
NASPIC平台是由中国核工业集团有限公司中国核动力研究设计院自主研发的一个通用的安全级DCS平台。该平台具有高安全性、高可靠性、高技术成熟性等特点,可满足三代核电及其他设施的要求。NASPIC平台主要包括现场控制站、传输站、网关站、安全显示站和工程师站等5个基本的功能站等,构成完整的核电厂安全级DCS的设备集成解决方案[3]。
1.2 基于NASPIC平台的反应堆保护系统架构
根据反应堆保护系统功能和设计准则要求,结合NASPIC平台特点,华龙一号的安全级DCS架构主要包括紧急停堆子系统(RTS)、专设驱动子系统(ESFAS)、安全信息和控制系统(SVDU)、网关系统(GW)、维护系统(MS)。总体上,安全级DCS包含4个保护组(保护组I、保护组II、保护组III以及保护组IV)和两个逻辑系列(逻辑系列A和逻辑系列B),每个保护组分为两个多样性子组,每个逻辑系列包含 F-SC1、F-SC2 两个安全等级的专设驱动系统,每个逻辑系列中执行F-SC1级功能也分为两个多样性子组。
1.3 输出至外部系统连接试验
输出至外部系统连接试验的目的是对反应堆保护系统输出至外部系统的硬接线连接回路进行检查。该试验通过输出至外部系统的信号数量以及外部系统需要处理的方式分为类型1、类型2以及类型3三种类型[4]。
类型1:该试验类型针对安全级DCS系统传输至其它系统的信号为两路冗余信号,并在目标系统进行“与”逻辑运算后产生真实动作信号的情况。其试验反馈信号经过“异或”逻辑运算后产生。试验时,每次只触发其中的一路输出。因此,试验不会导致目标系统产生真实的动作信号,但是会产生试验反馈信号传输至安全级DCS系统,从而安全级DCS系统可以获悉目标系统已接收到了该试验信号。此类型的逻辑示意图如图1。
图1 安全级DCS输出至外部系统连接试验类型1Fig.1 Test type 1 for connection of safety level DCS output to external system
类型2:该试验类型针对安全级DCS系统传输四路冗余信号至目标系统,在目标系统进行“2/4”逻辑运算后产生真实动作信号的情况。任意一个输入信号产生且没有真实动作信号触发的情况会产生试验反馈信号。试验时,每次只触发四路信号中的一路输出。因此,试验不会导致目标系统产生真实的动作信号,但是会产生试验反馈信号传输至安全DCS系统,从而安全级DCS系统可以获悉目标系统已接收到了该试验信号。此类型的逻辑示意图如图2。
类型3:该试验类型针对安全级DCS系统传输三路信号至目标系统,在目标系统进行“2/3”逻辑运算后产生真实动作信号的情况。任意一个输入信号产生且没有真实动作信号触发的情况会产生试验反馈信号。试验时,每次只触发其中的一路输出。因此,试验不会导致目标系统产生真实的动作信号,但是会产生试验反馈信号传输至安全级DCS系统,从而安全级DCS系统可以获悉目标系统已接收到了该试验信号。此类型的逻辑示意图与图2类似。
图2 安全级DCS输出至外部系统连接试验类型2Fig.2 Connection test type 2 of safety level DCS output to external system
为了满足试验的同时进行以及一键启动的要求,在SVDU上设置一键启动按钮,下发实验开始的脉冲信号,同时采用多个延时模块、边沿脉冲发生器在TU站中搭建时序功能块,以体现每个信号的试验顺序。
2.1 试验介绍
以SVDU-A中IP通道为例,该试验包含RTC-11和RTC-12,按照RTC-11和RTC-12子组顺序执行。当RTC-11输出至外部接口试验中的类型1、2和3的试验结束后,自动执行RTC-12的输出至外部接口试验中的类型1、2和3试验,其中在执行RTC-11或者RTC-12的试验时,类型1、2和3同步进行,每个类型中的试验信号顺序执行。使用开延时模块和边沿脉冲发生器模块,每个试验信号采用1.5s的脉冲信号,应保证1.5s能够覆盖从试验信号的产生到SVDU收到试验反馈信号并在屏幕上显示的时间。
在SVDU上设置一键启动按钮和复位按钮,一键启动和复位按钮均为脉冲信号。当试验开始后,TU-A将启动信号发送给TU-1,在TU-1中完成试验前自动检查试验反馈信号,试验中顺序下发试验信号给RTC-11,真实信号将触发试验自动退出。RTC-11接收到试验信号后传递给外部接口系统,并在RTC-11中执行多路试验信号联锁功能。当试验结束后,TU-A将复位信号发送给TU-1,在TU-1中执行复位功能。
2.2 试验过程与显示
在SVDU-A画面上设置有反馈信号指示灯用来显示试验结果。同时,画面上还设置了真实信号指示灯,IP通道试验画面中涉及到的每一个真实信号从RTC-11或者RTC-12通过网络传输到TU-1中后送SVDU-A显示,表示是否有真实信号触发。为了便于操作员查找故障原因,对于需要分别试验两个子组的输出信号的情况,则除每个子组信号设置一个试验信号反馈灯外,还需设置一个任一子组存在反馈信号指示灯。
2.3 试验顺序进行的实现方式
在SVDU上将“存在任一反馈信号”作为“启动”按钮的使能,只有当不存在任一反馈信号的时候,“启动”按钮才能启动。
当试验信号开始下发后,通过第一个TPG模块开始计时,发出一个能够覆盖本通道试验时间的脉冲信号。在此时间内,通道内所有输出至外部接口试验应能够完成。第1个TPG信号的时间应为逻辑中包含的TNF模块的最大时间加上1.5s。针对信号顺序执行的情况,则从第2个信号开始依次采用TNF延时来控制信号的顺序执行,TNF延时时间为上一个TNF延时时间加上3s。
2.4 试验总结
本设计方案为了区分试验进行的进程,添加了多个延时模块以及RS触发器模块,大幅增加了网络变量的使用。同时,多个信号的互锁、延时模块的使用也造成了逻辑复杂程度的大幅增加。此方法不仅增加了CPU的负荷,网络变量的使用数量也即将到达平台上限。同时,繁杂的逻辑给软件实现人员也带来了更大的人因失误的可能。
3.1 改进原理
时序逻辑在主控模块中难以实现,导致了逻辑的冗杂,故将此部分时序逻辑移至其他部件即可完成优化目的。
SVDU本身为定期试验工具,同时作为安全级设备,SVDU具有较高的安全等级,在网络安全等方面也具有较好的表现,故在SVDU上进行时序逻辑的完成是较好的方式。
3.2 试验介绍
以SVDU-A中IP通道为例,该试验包含RTC-11和RTC-12,按照RTC-11和RTC-12子组顺序执行。当RTC-11输出至外部接口试验中的类型1、2和3的试验结束后,自动执行RTC-12的输出至外部接口试验中的类型1、2和3试验。其中,在执行RTC-11或者RTC-12的试验时,类型1、2和3顺序进行,每个类型中的试验信号顺序执行。以RTC-11为例进行逻辑说明,逻辑示意图如图7。图中未包含所有的RTC-11试验信号,仅列出3个信号作为逻辑示例,每个通道的试验按照类型1、2和3顺序进行,当前通道试验结束后,点击画面复位和试验复位按钮进行复位操作。
3.3 试验结果与显示
在SVDU-A画面上设置有试验指令下发控件用来显示目前试验的进行情况,同时设置了试验反馈信号指示灯用来显示试验结果。同时,画面上还设置了真实信号指示灯,以指示IP/IIP/IIIP/IVP通道以及A/B列中是否存在真实信号。
3.4 试验顺序进行的实现方式
在SVDU上设置一键启动按钮、画面复位按钮和试验复位按钮,以上按钮均为脉冲信号,画面复位用来将所有下发指令显示灯恢复到试验前状态,保证反馈及真实信号试验灯与实际一致。试验复位按钮用来在试验中止或试验结束后使用,用来复位试验已启动信号。当试验开始后,TU-A将启动信号发送给TU-1,试验中顺序下发试验信号给RTC-11,试验期间产生的真实信号将触发全部试验停止,在SVDU上应设置一个试验中止指示灯,以表征试验因真实信号的触发而中止。试验停止后,已进行的试验画面保持当前状态,试验中止灯亮,需进行复位操作才能再次进行试验。RTC-11接收到试验信号后传递给外部接口系统,并在RTC-11中执行多路试验信号联锁功能。当试验结束后,在SVDU上先后点击试验复位按钮和画面复位按钮进行复位,恢复到试验前的状态。
试验进行的逻辑如下:
1)在SVDU上将“不存在任一反馈信号”且“不存在真实驱动信号”作为“一键启动”按钮的使能,只有当不存在任一反馈信号且不存在任一真实驱动信号的时候,“一键启动”按钮才能启动,不能进行的试验的按钮在SVDU上应该有专门的颜色区分。点击“一键启动”按钮后,试验信号开始下发。
2)SVDU下发Step1的3s的试验指令信号(脉冲信号),在TU-1里将Step1的试验指令信号与Step1的试验反馈信号取“与”作为Step1的试验反馈信号,在SVDU上设置试验反馈控件,控件在3s内接收到Step1的试验反馈信号后,此步骤的试验反馈控件指示灯变绿,表明试验通过。若未在3s内接收到Step1的试验反馈信号,此步骤的试验反馈控件指示灯变红,表明试验未通过,不能进行下一步,本组试验自动停止。试验反馈信号指示灯状态应一直保持,直至按下画面复位按钮。Step1的试验指令下发控件下发信号时应该在SVDU上有明显的表征,信号下发结束后应该恢复原状。
3)当SVDU收到前一步的试验反馈信号且Step2的真实反馈信号和任一真实驱动信号不存在时,将自动下发Step2的试验指令信号。当试验信号开始下发后,SVDU下发Step2的3s的试验指令信号(脉冲信号),在SVDU里将Step2的试验指令信号与Step2的试验反馈信号取“与”作为Step2的试验反馈。在SVDU上设置试验反馈控件,控件在3s内接收到Step2的试验反馈信号后,此步骤的试验反馈控件指示灯变绿,表明试验通过。若未在3s内接收到Step1的试验反馈信号,此步骤的指示灯变红,表明试验未通过,不能进行下一步,本组试验自动停止,试验反馈信号指示灯状态应一直保持,直至按下画面复位按钮。Step2的试验指令下发控件下发信号时应该在SVDU上有明显的表征,信号下发结束后应该恢复原状。
4)以此类推完成本页的试验。在SVDU上的使能逻辑示意图如图3。
图3 SVDU上的使能逻辑示意图Fig.3 Schematic diagram of enable logic on SVDU
根据HAF 102-10核动力厂仪表和控制系统设计2021版6.1.3节要求[5],“安全仪控系统设计应避免不必要的复杂性”。优化前,各TU软件组态逻辑中为实现输出至外部系统连接试验设计逻辑算法约占整个TU站逻辑的30%,极大增加了安全级DCS的逻辑复杂度,而通过对SVDU的二次开发来实现上述功能,将输出至外部系统试验的部分逻辑放置于SVDU上执行,能够很大程度上解决上述问题。
同时,由于定期试验本身是非安全级功能,将一部分功能转移至更高安全等级的SVDU上去执行,不会引起安全降级等问题,网络安全也不会因此受到威胁。SVDU只需要开发一部分使能元件,不会对SVDU负荷造成过多增加。
经评估,改进后的输出至外部系统连接试验的优化参数详见表1。
表1 改进后的输出至外部系统连接试验优化项Table 1 Optimized items for connection test of improved output to external system
改进后的实现方案能释放30%左右的全局变量,大大改善原方案即将达到平台上限的全局变量的状况,为后续改造、扩容提供了平台条件。
现阶段基于NASPIC平台的输出至外部系统试验有较大隐患,对于全局变量的使用十分受限,TU站点的负荷较大,根据优化方案的可行性分析结果来看,实施优化后能有效降低系统的负荷,释放大量全局变量,且不会对系统的可靠性造成较大影响,进一步增加了NASPIC平台的可靠性及完备性,对后续平台的改造和扩容增加了可行性[6]。
猜你喜欢指示灯控件按钮当你面前有个按钮中学生天地(A版)(2022年10期)2022-11-23关于.net控件数组的探讨软件(2018年7期)2018-08-13死循环少年文艺·我爱写作文(2017年6期)2017-06-12内心不能碰的按钮商业评论(2014年9期)2015-02-28ASP.NET服务器端验证控件的使用电子世界(2014年12期)2014-10-21上海大众POLO充电指示灯点亮汽车维修与保养(2014年12期)2014-04-18美国邦纳 工业智能指示灯自动化博览(2014年12期)2014-02-282013年波罗车充电指示灯异常点亮汽车维护与修理(2014年10期)2014-02-28基于嵌入式MINIGUI控件子类化技术的深入研究与应用中国新技术新产品(2011年3期)2011-01-23Spreadsheet控件在Delphi数据库系统中的编程与应用智能计算机与应用(2007年3期)2007-07-05