(中核集团福建福清核电有限公司 福清 350318)
摘要:福清核电厂采用数字化仪控技术,其1E级过程控制部分采用Tricon平台。Tricon平台是比较成熟的DCS控制系统,具有高容错能力的可编程逻辑及过程控制技术。本文在介绍Tricon平台的基础上,对1E级机柜的软件测试和测试过程中遇到的问题及其解决方案也进行了相应的介绍。
关键词:Tricon平台;软件测试
1 背景概述
在福清核电,数字化控制系统可分为不带抗震要求的非安全级(NC)、带抗震要求的非安全级(NC+)和安全级(1E)三类[1],其中NC和NC+级可以统一归为非安全级。其中安全级主要完成在事故工况下的保护和事故缓解功能,主要包括反应堆跳堆、专设安全设施控制、事故后监视等功能。其中1E机柜采用Tricon平台,实现了福清核电的反应堆保护系统的所有功能。
2 福清核电反应堆保护系统及Tricon平台介绍
2.1 福清核电反应堆保护系统介绍
福清核电1、2号机反应堆保护系统根据功能分为:反应堆停堆系统(RTS)和专设安全设施驱动系统(ESFAS)。RTS分为4个保护通道(IP、IIP、IIIP、IVP),每个保护通道由两个独立的子系统构成(Sub1、Sub2),四个保护组的子系统间相互交换“局部脱扣信号”。每个保护通道的每个多样性子系统都要进行逻辑表决(2/4、2/3或1/2)以产生紧急停堆信号。ESFAS由两个保护系列组成(TrainA、TrainB),每个保护系列也包含两个子系统,子系统1和子系统2。另外,RPR数据服务器(TrainA Server、TrainB Server)的主要功能是采集和处理并将其送到安全级显示单元(S-VDU)进行显示,同时间S-VDU上发出的闭锁/复位指令送到RTS或ESFAS。同时服务器作为1E相关数据在KIC及BUP上进行显示;两个A、B列服务器分别与A、B列的SVDU服务器通过网络相连接。
2.2 Tricon平台介绍
Tricon采用三重模件冗余(Triple Modular Redundant,TMR)结构实现容错。系统由三个完全相同的系统支路组成(电源模件除外,该模件是双重冗余)。每个系统支路独立地执行控制程序,并与其它两个支路并行工作。
2.2.1 硬件介绍
一般地,一个基本的Tricon控制器由下列部件组成:主处理器、I/O模件、通讯模件、用于安装模件的机架、现场连接线、以及一台TriStation PC。每个Tricon系统需要三个主处理器,而每个主处理器独自操控一条支路。每个主处理器通过Tribus总线与其他主处理器通讯。其中主处理器主要实现对送入主处理器的数据进行表决、进行控制逻辑并将运算结果输送至输出模件等功能。
而I/O模件分为四种:数字量输入模件、数字量输出模件、模拟量输入模件和模拟量输出模件。其中数字量输入模件每5-10ms扫描输入点,并且3个通道独立传输信号,传递的信号在主处理器中进行表决后的值才能被程序使用。数字量输出模件则获取从主处理器传达过来的输出指令。模拟量输入模件仅接受电压输入。模拟量输出模件也有三条支路,正常输出时,三条支路只会有一条被选中,一旦发生错误,系统将停止使用出错的支路,并切换到其它正常的支路继续输出。
期刊文章分类查询,尽在期刊图书馆
2.2.2 软件介绍
在福清核电站的Tricon系统中,采用Tristation 1131编写其控制程序。在Tristation 1131软件中,可以使用三种程序语言:梯形图逻辑(LD)、功能块逻辑(FBD)和结构语言逻辑(ST)。而在福清核电站主要使用FBD和ST两种编程语言。
3 福清核电1E机柜测试介绍
1E机柜测试是为了验证供货商提供的最终产品是否满足核电需求设计规格书中的技术要求,以及验证是否满足核安全级产品所必须遵守的国内和国际相关法规标准规范的要求,以确保机柜到达现场后的安装、调试和运行时能够具有良好的质量[4]。
3.1福清核电1E软件测试过程
福清核电软件测试过程,大体可以分为软件测试用例编写、机柜出厂前预测试和机柜出厂前测试。
软件测试用例的编写依据软件需求、系统需求和软件设计说明书,对软件测试中的每一部分进行详细的说明。软件测试用例根据现场的需求,分不同的模块,测试用例也根据测试的需求,大小不一。机柜出厂前预测试是根据编写好的测试用例对机柜进行测试,这时需要执行每一个测试用例,以发现Tricon系统的软件或硬件问题。
3.2软件测试中遇到的问题及其解决方案
第三方接口功能测试主要验证Tricon的安全级软件输出到柴油机、堆芯控制系统等第三方系统信号硬接线连接的完整性。如安全级软件产生安注信号后,会触发柴油机启动命令,对于安全级软件送出的柴油机启动命令,软件中将其分为三个信号,分别LHP(Q)523EY1/523EY2/523EY3,三个信号经过硬接线送往柴油机系统,柴油机侧有2/3逻辑触发柴油机启动,同时,1/3的逻辑产生的信号反馈回测试反馈信号。
在柴油机接受侧,信号通过常开型继电器接受信号,如存在柴油机启动信号,则相应继电器闭合,启动信号消失,则继电器打开。试验时,LHP(Q)523EY1/523EY2/523EY3分别按照100->010->001进行试验,每一组信号持续5s。这样,既可以通过1/3的逻辑检查反馈信号,又不至于2/3触发柴油机误启动。在软件测试时,由于没有连接实际的柴油机系统,通过使用Cape采集Tricon侧的开关量信号,在Cape系统中软件模拟2/3的柴油机触发逻辑和1/3的试验反馈信号。在试验程序启动期间,持续监测柴油机触发信号和试验反馈信号变化是否与试验输入信号100->010->010的试验顺序吻合。由于Cape系统的扫描周期为50-100ms左右,Tricon的扫描周期为50ms,Cape 数字量输入DI卡的和Tricon 数字量输出DO卡的动作时间极短,可认为无滞后。软件中试验信号按照100->010->010变化时,Cape模拟的柴油机侧也是按照100->010->010变化。但在调试过程中,对处于热备用状态的柴油机进行试验时,由于柴油机侧的继电器有得电闭合到失电断开的过程中,有2ms左右的滞后时间,导致在进行100->010->010试验顺序时,柴油机侧的继电器的动作为100->110->(2ms后)010->011->(2ms后)001.这样导致在试验过程中,由于柴油机侧存在110或011的情况,导致有一定概率经过2/3逻辑产生柴油机启动信号,从而误启柴油机。
该问题是现场设备的特殊性引起,在软件测试阶段无法模拟和预见该情况,故在经过现场反馈后,调整软件中的试验信号的顺序为100->000->010->000->001,每组信号同样持续5s。这样由于000信号的存在,可以使得柴油机侧的继电器有足够的时间从得点闭合状态恢复到失电断开状态,不会导致柴油机误启动。
4 小结
本文在介绍1E机柜的反应堆保护系统前提下,详细介绍了Tricon平台的软件和硬件,及1E机柜软件测试过程中遇到的问题及解决方案。基于Tricon平台的1E级机柜测试,是一个非常重要的环节,为机组的正常运行提供了很大的保障,提高了机组运行的安全性。
论文作者:沈玉仙,肖玉姣
论文发表刊物:《电力设备》2015年4期供稿
论文发表时间:2015/12/7
标签:福清论文; 柴油机论文; 信号论文; 测试论文; 软件论文; 机柜论文; 系统论文; 《电力设备》2015年4期供稿论文;