★北京广利核系统工程有限公司冯健村，徐先柱，刘飞，闫英明

关键词：核安全级DCS；验证与确认；硬件设计图；通用验证项

1　引言

核安全级数字化控制系统（DCS）作为核电站的神经中枢，对确保核反应堆的安全、稳定和高效运行起着至关重要的作用[1]。其设计流程通常包括系统需求分析、系统设计、软硬件需求、软硬件设计、软硬件实现、系统集成等关键步骤，如图1所示。硬件设计图作为“硬件设计”阶段的重要输出之一，其设计质量对核安全级DCS系统的功能,以及核电机组的运行和维护具有重要作用。

图1核安全级DCS系统设计流程图

对硬件设计图开展验证与确认（Verification and Validation，V&V）活动是重要的质量控制手段，同时也是核安全法规导则HAD102/10-2021，以及IEEE1012-2016、IEC61513-2011等标准的要求[2,3]。该活动不仅有助于提升设计质量、降低开发风险、增强用户信任，还是遵循核安全法规和相关标准的要求。

核安全级DCS系统对安全性和可靠性要求极高，其设计过程需遵循严格的标准和设计准则，导致系统架构复杂、功能繁多、机柜多样，硬件设计图也因此种类繁多、内容复杂、数量庞大。目前，核安全级DCS系统应用软件V&V已有一定研究和应用[4]，但针对硬件V&V特别是硬件设计图的V&V方法与技术仍处于探索阶段，还缺乏成熟有效的验证策略。因此，建立适用于多种类型硬件设计图的通用V&V策略，对提升硬件设计图设计质量具有重要意义。

本文结构如下：第2章分析核安全级DCS系统硬件设计图的类型、内容、特点及设计需求和法规标准；第3章分析硬件设计图V&V难点；第4章介绍基于通用验证项的V&V方法；第5、6章通过项目实践检验该方法的实际效果并进行评价与总结。

2　核安全级DCS系统硬件设计图分析

2.1　硬件设计图的类型和内容

核安全级DCS系统硬件设计图详细描述了系统架构中各个机柜的设计内容。按照机柜实现功能的不同，硬件设计图被分成多种类型。硬件设计图的设计内容主要包括基本信息、设备布置、供电与接地、自诊断与故障报警、网络通信、信号处理等。

2.1.1　设备接口与信号隔离机柜硬件设计图

设备接口与信号隔离机柜由设备接口板卡和继电器等隔离装置组成。其硬件设计图主要内容包括：设备接口板卡的配置、电源的转化分配、信号隔离分配设计、信号的输入输出设计以及自诊断设计。

2.1.2　信号调理机柜硬件设计图

信号调理机柜由调理板卡组成，其硬件设计图主要内容包括：信号调理板卡的配置、继电器等隔离装置的配置、电源的转化分配、调理机箱供电设计、调理模块的端接设计、信号隔离分配设计、电源模块自诊断设计。

2.1.3　I/O机柜硬件设计图

I/O机柜主要由数字模拟量输入/输出板卡、总线管理板卡等组成。其硬件设计图的设计内容包括I/O机箱及板卡布置、机柜供电、信号输入和输出、自诊断等。

2.1.4　主控制机柜硬件设计图

主控制机柜主要由网络通信板卡、主处理单元板卡、信号转接板卡等组成。其硬件设计图设计内容主要包括：主控机箱、I/O机箱、光电转化机箱等各类机箱和板卡的配置，以及机柜供电、功能板卡供电、柜内I/O总线及网络线路设计、自诊断等。

2.2　硬件设计图的特点

2.2.1　图纸数量庞大

核安全级DCS系统的复杂架构导致机柜种类多、数量大，相应地硬件设计图类型多样。每种类型硬件设计图页数从数十到百余页不等，总页数达万余页。

2.2.2　设计需求多样

硬件设计需求文档定义了DCS机柜的功能、接口和架构，并提出了信号传输、自诊断方案、接口类型、供电与接地、信号隔离等具体要求。硬件设计图需严格依据这些需求设计，因此其具有设计需求多样化的特点。

2.2.3　标准规范多样

硬件设计图的设计需遵循多种标准，包括中国国家标准（GB和GB/T）、能源部标准（NB和NB/T）、国际原子能机构（IAEA）标准、国际电工委员会（IEC）标准及电气与电子工程师协会（IEEE）标准。由于硬件设计图涉及多项专项功能，其所遵循的标准涵盖了仪表和控制系统设计、电力电缆设计、供电要求、数据通信、电磁兼容等诸多领域。

2.3　设计过程中涉及的设计需求和法规标准

硬件设计图的设计需求主要来自设计说明文件、规格书和设计规范，这些设计需求详细规定了DCS系统的架构、功能分配、接口类型等内容，并提出了供电与接地、信号采集、信号调理、网络通信、自诊断等具体设计要求。此外，硬件设计图的设计还需遵循核电相关法规和标准[5]，包括我国核安全法规及其导则、国家标准、能源部标准和国际标准。表1列出了与硬件设计图设计相关的主要法规、标准及其内容。

表1硬件设计图相关法规、标准

3　硬件设计图V&V难点分析

由硬件设计图的分析可知，核安全级DCS系统硬件设计图的V&V工作面临工作量巨大、设计需求多样、标准规范复杂等难点。

首先，面对数量庞大的硬件设计图，传统逐页、逐项的验证方法会导致工作量巨大、效率低下且难以保证质量。

其次，不同类型的硬件设计图对应不同的设计需求，验证人员需全面理解并覆盖这些需求。他们不仅需要掌握设计需求的细节，还需针对每个需求制定相应的验证方法，以确保验证的全面性和准确性。

最后，硬件设计图中的不同功能设计涉及多种标准，且这些标准的具体要求和验证方法各异，进一步增加了V&V工作的复杂性和难度。

4　基于通用验证项的V&V方法

4.1　通用验证项的确定

通过对硬件设计图的分析与归纳，我们梳理出若干通用验证项，包括基本信息、设备布置、供电与接地、自诊断与故障报警、网络通信、信号处理等。每个验证项包含若干设计内容，这些设计内容构成了硬件设计图的基本验证单元。通用验证项和基本验证单元如图2、图3所示。

图2硬件设计图类型与通用验证项

图3硬件设计图基本验证单元

4.2　V&V方法与实施

硬件设计图的V&V过程以需求文件、法规标准、设计规范等为基准，对设计内容的正确性、准确性和完整性进行验证。设计需求文件包括设计说明文件、系统规格书、设备规格书等。与硬件设计图设计和V&V相关的法规标准见表1。

与传统逐份图纸、逐页验证的方式不同，以通用验证项为核心的验证方法是通过分析每个通用验证项中的基本验证单元设计内容，来明确其设计依据的法规标准、设计需求和设计规范，然后按专项开展图纸验证，过程示意如图4所示。

图4通用验证项硬件设计图V&V过程示意

4.2.1　基本信息验证

基本信息是硬件设计图中对符号、编码、图符的定义及说明。验证时，一是验证设计图中对各类说明信息的定义是否与设计规范或标准一致；二是依据相关说明信息，验证图中各设计元素的规范性和正确性。验证过程如图5所示。

图5基本信息验证示意图

4.2.2　设备布置验证

设备布置部分的设计内容包括机柜设备布置、机箱卡件配置、空开配置及拨码设计等。验证时，主要从文档审查、一致性检查、电磁兼容性（EMC）和信号隔离等方面进行。文档审查时需确认布置图包含的设备型号、数量、位置、连接方式等必要信息；一致性检查包括验证设备布置图与设计文档、技术规范的一致性，以及图中设备型号和数量与详细设计图的匹配性；EMC验证以设计需求文档和相关标准为依据；信号隔离设计验证则依据标准确认信号线布局是否满足隔离要求，避免交叉干扰。

4.2.3　供电与接地验证

供电与接地设计图纸的验证包括电源分配与转化、机箱卡件供电设计、设备驱动供电设计、信号查询电压设计以及机柜和设备的接地设计。验证时，需依据供电接地需求，确认设计是否符合系统设备规格书中的配置、规格、独立性、供电保护及接地规格等要求。同时，需依据标准法规，确保设计文件中的供电设计符合相关标准，特别是符合安全级DCS系统机柜的特殊要求，并检查设计是否符合电磁兼容标准，如屏蔽、滤波、浪涌等。

4.2.4　自诊断与故障报警验证

对自诊断与故障报警设计内容的验证，依据设计需求文档和法规标准进行，验证设计内容是否满足设计需求、自诊断设计是否覆盖所有需自诊断的设备、自诊断在原理和端接设计上是否正确，以及自诊断与故障报警设计是否符合相关法规标准对核级DCS系统可靠性、可维护性和可监视性等方面的要求。

HAD102/10、GB/T13626、NB/T20073、IEEE384等法规标准对自诊断与故障报警设计规范、单一故障准则应用，以及核级DCS系统的可靠性、可维护性和可监视性等提出了规定与指导[12]。在验证时，需验证其对上述法规标准的遵循情况。

4.2.5　网络通信验证

网络通信设计的验证依据设计需求文档，主要验证硬件设计图纸中的通信设备选型、配置及通信链路设计内容，需确认系统架构、网络类型、通信速率等满足设计需求、通信设备的跳线设置与拨码配置满足通信模式要求、网络通信类型满足系统的安全性和可靠性要求。

核级DCS系统的网络通信类型包括I/O总线、点对点通信和多点通信等[13]。对网络链路端接设计验证时，需依据设计需求文档，验证各机柜间的通信端接设计信息完整及网络连接正确。

4.2.6　信号处理验证

信号处理是指对信号的调理、采集、输出、分配、隔离等。验证时主要确认调理板卡的选型、隔离方案以及端接设计的正确性。

DCS系统信号按照类型可分为电流信号（0～20mA/4～20mA）、热电阻信号、热电偶信号、脉冲信号等。其按照接线类型可分为两线制、三线制、四线制[14]；按照供电方式可分为DCS系统供电、外部独立供电。不同的信号类型、接线类型、供电方式，需要采用不同的信号处理板卡、隔离方案以及端接设计。验证时根据产品手册、信号特点，验证信号处理板卡选型、隔离方案设计、输入输出端接设计的正确性。

5　应用与实践

5.1　项目背景

在某核电安全级DCS系统V&V项目中，我们采用以通用验证项为核心的V&V方法对其进行应用实践。

该核电项目安全级DCS系统硬件设计图包括设备接口机柜、信号隔离机柜、信号调理机柜、I/O机柜和主控制机柜五种类型。整个安全级DCS系统共涉及硬件设计图152份（152台机柜），总计16,216页。硬件设计图涵盖了基本信息、设备布置、供电与接地、网络通信、信号处理等设计内容。

5.2　实践效果

以通用验证项为核心、以设计需求和标准规范为基准的V&V方法，减轻了验证人员对大量设计需求和标准规范的熟悉与掌握压力，降低了验证工作复杂度，同时，也极大地提升了V&V工作质量。通过采用通用验证项方式，我们可对同类设计内容进行批量验证，避免了逐页、逐项验证的低效做法，提高了验证效率，缩短了工期，增强了效益。

6　结果与讨论

项目实践表明，该V&V方法有效提升了硬件设计图的设计质量，并显著提高了验证效率。通过采用通用验证项，我们能够清晰识别异常问题在各类验证项中的分布，能够帮助验证人员快速定位突出设计问题，为设计改进和V&V工作优化提供了方向。与传统方法相比，该方法使项目工期大幅缩短。

为进一步提升V&V方法的有效性，我们建议结合项目实践深入研究并细化方法，形成标准流程，并借助人工智能与计算机技术开发自动化工具，以进一步提高V&V工作质量与效率。

作者简介：

冯健村（1987-），男，河北人，工程师，硕士，现就职于北京广利核系统工程有限公司，主要从事核安全级仪控系统的工程V&V工作。

参考文献：

[1] 刘培邦, 张才科, 叶小舟. 核电厂DCS功能及性能验证平台应用研究[J]. 电子技术应用, 2021, (S1) : 224 - 229.

[2] HAD102/10-2021, 核动力厂仪表和控制系统设计[S].

[3] IEEE. IEEE Std 1012TM IEEE standard for system, software, and hardware verification and validation[S]. 2016.

[4] 张亚栋, 周良, 徐先柱. 核级系统、软件和硬件的V&V研究与应用[J]. 自动化仪表, 2023, 44 (6) : 91 - 95 + 99.

[5] 王平, 赵远洋, 范欣欣, 等. 基于FirmSys平台的反应堆保护系统改造应用[J]. 仪器仪用户, 2019, 26 (9) : 71 - 73.

[6] GB/T 13626-2021, 单一故障准则应用于核电厂安全系统[S].

[7] GB/T 13286-2021, 核电厂安全级电气设备和电路独立性准则[S].

[8] NB/T 20073-2012, 核电厂仪表和控制设备接地准则[S].

[9] NB/T 20342-2015, 核电厂安全重要仪表和控制系统执行A类功能系统中的数据通信[S].

[10] IAEA. SSG-39 Design of Instrumentation and Control Systems for Nuclear Power Plants[S]. 2016.

[11] IEC. IEC 60987 Nuclear power plants-Instrumentation and control important to safety-Hardware design requirements for computer-based systems[S]. 2021.

[12] 张宝龙. 某核电站DCS从设计到调试的全流程创新案例分析[J]. 中国仪器仪表, 2024, (4) : 35 - 38.

[13] 冀苗苗, 王冬, 刘志凯, 等. 核电安全级DCS系统多节点通信网络容错技术的开发及应用[J]. 核电子学与探测技术, 2022, 42 (5) : 859 - 864.

[14] 胡彦亮, 张旭, 刘全东, 等. 核级DCS工程设计优化研究[J]. 机械工业标准化与质量, 2021, (11) : 34 - 37.

摘自《自动化博览》2025年6月刊