高超，胡立生

0 引言

數(shù)字化技術(shù)已經(jīng)在各工業(yè)領(lǐng)域得到了廣泛成功的應(yīng)用。近年來(lái)，為了提高核電運(yùn)行的安全性、可靠性及經(jīng)濟(jì)性，數(shù)字化技術(shù)已經(jīng)成為核電儀控技術(shù)發(fā)展的普遍趨勢(shì)。與模擬儀控系統(tǒng)相比較，數(shù)字化儀控系統(tǒng)具有以下優(yōu)點(diǎn)：1）很高的控制精度和強(qiáng)大的邏輯運(yùn)算處理、計(jì)算能力；2）以通信網(wǎng)絡(luò)連接各系統(tǒng)設(shè)備，減少電纜使用數(shù)量，提高數(shù)據(jù)傳輸?shù)目煽啃裕?）方便有效的實(shí)現(xiàn)多重冗余、故障安全和容錯(cuò)等功能；4）系統(tǒng)擴(kuò)展靈活性好、可組態(tài)性強(qiáng)，便于維護(hù)；5）強(qiáng)大的數(shù)據(jù)處理和數(shù)據(jù)存儲(chǔ)能力，改善了人機(jī)接口；6）提高了核電站的經(jīng)濟(jì)性和安全可靠性。而數(shù)字化儀控系統(tǒng)尤其是基于嵌入式系統(tǒng)的保護(hù)系統(tǒng)，由于硬件以及軟件與硬件的集成度的提高，提高了數(shù)字化系統(tǒng)認(rèn)證的難度。

在核電儀控系統(tǒng)的數(shù)字化過(guò)程中，一個(gè)必然要解決的關(guān)鍵問(wèn)題是核級(jí)軟件的驗(yàn)證與確認(rèn)過(guò)程[1]。其它一些核電發(fā)達(dá)國(guó)家陸續(xù)提出一些重要的與V&V相關(guān)的標(biāo)準(zhǔn)或規(guī)范，并為核級(jí)安全系統(tǒng)軟件的V&V提供了一些基本的指導(dǎo)，而我國(guó)目前為止還沒(méi)有可操作的V&V標(biāo)準(zhǔn)程序，因此研究適合我國(guó)法規(guī)規(guī)范的核電數(shù)字化儀控系統(tǒng)V&V程序與規(guī)范以及相關(guān)的各項(xiàng)技術(shù)意義重大[3]。

1 核級(jí)軟件的主要構(gòu)成

核級(jí)軟件是指針對(duì)特定核電廠，實(shí)現(xiàn)核電廠安全儀控功能的應(yīng)用軟件，根據(jù)反應(yīng)堆設(shè)計(jì)基準(zhǔn)及規(guī)范，核電數(shù)字化保護(hù)系統(tǒng)中運(yùn)行的核級(jí)軟件需采取模塊化的結(jié)構(gòu)，它是由一系列的安全功能單元組成的。而每一個(gè)安全功能單元內(nèi)部按照數(shù)據(jù)處理的不同以模塊的形式劃分。

核電數(shù)字化保護(hù)系統(tǒng)，主要包括反應(yīng)堆事故停堆系統(tǒng)（RTS）和專(zhuān)設(shè)安全系統(tǒng)（ESFAS），其中運(yùn)行的軟件也必然要包括兩部分，一部分用于執(zhí)行反應(yīng)堆停堆功能，當(dāng)需要時(shí)產(chǎn)生控制動(dòng)作觸發(fā)反應(yīng)堆停堆。另一部分用于執(zhí)行專(zhuān)設(shè)安全設(shè)施功能，安全設(shè)施包括驅(qū)動(dòng)單元及適當(dāng)?shù)脑O(shè)備布置，根據(jù)驅(qū)動(dòng)系統(tǒng)或操作員發(fā)出的信號(hào)實(shí)現(xiàn)保護(hù)功能[2]。

對(duì)于上述核級(jí)軟件的兩個(gè)主要部分來(lái)說(shuō)，其中每一個(gè)安全功能單元都要經(jīng)過(guò)信號(hào)輸入、邏輯處理、邏輯表決、優(yōu)先級(jí)選擇及監(jiān)控服務(wù)等幾個(gè)步驟，其中信號(hào)輸入部分、邏輯處理部分、邏輯表決部分是通過(guò)調(diào)用模塊來(lái)實(shí)現(xiàn)的。信號(hào)輸入中主要用到的模塊有測(cè)量量程轉(zhuǎn)換模塊（AMRC）、比較器模塊（COMP）、取第二大模塊（MAX2）及取第二小模塊（MIN2）等，邏輯處理部分主要用到的模塊有求或模塊（OR2及OR4）、求余模塊（AND2及AND4）、RS觸發(fā)器模塊（FF_STAT_R）等，邏輯表決部分主要用到的模塊有4取2模塊（2-out-of-4）、4取3模塊（3-out-of-4）等。另外，優(yōu)先級(jí)選擇主要是由優(yōu)選卡件來(lái)實(shí)現(xiàn)的，它按照固定的優(yōu)先級(jí)順序把仿真指令、安全儀控系統(tǒng)指令、控制室手動(dòng)指令及通過(guò)Profibus現(xiàn)場(chǎng)總線(xiàn)傳過(guò)來(lái)的操作儀控指令進(jìn)行選擇，然后把命令輸出至執(zhí)行機(jī)構(gòu)用于實(shí)現(xiàn)最后的控制功能，這部分主要是通過(guò)硬件實(shí)現(xiàn)的，因此沒(méi)有調(diào)用模塊。

為了確保整個(gè)核電數(shù)字化保護(hù)系統(tǒng)功能的安全、可靠實(shí)現(xiàn)，上述系統(tǒng)中運(yùn)行的軟件必須進(jìn)行完整、嚴(yán)格的V&V。

2 核級(jí)軟件的V&V

核級(jí)軟件的V&V是一個(gè)嚴(yán)格按步驟評(píng)定軟件產(chǎn)品的過(guò)程，這種評(píng)定貫穿于軟件產(chǎn)品的整個(gè)生命周期，應(yīng)視為集成在整個(gè)核級(jí)軟件開(kāi)發(fā)項(xiàng)目中一個(gè)完整而獨(dú)立的任務(wù)。核級(jí)軟件的驗(yàn)證與確認(rèn)靠使用審查、分析及測(cè)試技術(shù)，來(lái)評(píng)定一個(gè)完整的軟件系統(tǒng)及其開(kāi)發(fā)過(guò)程中的中間產(chǎn)品是否滿(mǎn)足預(yù)定的功能要求和質(zhì)量要求[4]。

為了保證基于計(jì)算機(jī)軟件的核級(jí)數(shù)字化設(shè)備達(dá)到足夠的安全性、可靠性，除了設(shè)備本身（包括相應(yīng)的硬件和軟件）高安全性、高可靠性外，在很大程度上還取決于系統(tǒng)的設(shè)計(jì)，還包括它的技術(shù)方案、體系結(jié)構(gòu)等，特別是要遵循各種核電安全標(biāo)準(zhǔn)和設(shè)計(jì)準(zhǔn)則。同時(shí)，核級(jí)數(shù)字化設(shè)備在開(kāi)發(fā)過(guò)程方面，還需要專(zhuān)門(mén)的驗(yàn)證與確認(rèn)來(lái)檢驗(yàn)和證明設(shè)備的性能和質(zhì)量，以及相應(yīng)的要求已正確實(shí)現(xiàn)。因此為了更加系統(tǒng)地開(kāi)展核級(jí)軟件的V&V，需要進(jìn)行I&C系統(tǒng)的安全分級(jí)和軟件分類(lèi)，不同的安全級(jí)別、分類(lèi)需采取不同的V&V過(guò)程。

根據(jù)對(duì)安全的重要性，IAEA（國(guó)際原子能機(jī)構(gòu)）編號(hào)50-C-D的文件確定了核電站系統(tǒng)的級(jí)別，同時(shí)給出了幾種核電站的主要系統(tǒng)分類(lèi)。安全導(dǎo)則50-SG—D3和50-SG-D8對(duì)I&C系統(tǒng)進(jìn)行了安全分級(jí)，確定了對(duì)安全有重要作用的安全系統(tǒng)和安全相關(guān)系統(tǒng)的區(qū)別，安全系統(tǒng)由確保安全停堆、堆芯熱量導(dǎo)出以及預(yù)期事故緩解的系統(tǒng)組成。安全相關(guān)系統(tǒng)是對(duì)安全有重要作用的系統(tǒng)但不是安全系統(tǒng)的組成部分[1]。

另外IAEA的安全分級(jí)方法是由IEC（國(guó)際電工委員會(huì)）的 IEC1226號(hào)文件解釋的，這個(gè)標(biāo)準(zhǔn)確定了對(duì)安全有重要作用的I&C系統(tǒng)功能、系統(tǒng)以及設(shè)備分為A、B、C三類(lèi)，具體如下：

A類(lèi)：對(duì)實(shí)現(xiàn)和維護(hù)核電站安全負(fù)有主要責(zé)任的功能、系統(tǒng)以及設(shè)備；

B類(lèi)：對(duì)A類(lèi)系統(tǒng)起安全支持作用的功能、系統(tǒng)以及設(shè)備；

C類(lèi)：對(duì)實(shí)現(xiàn)和維護(hù)核電站安全起輔助或間接作用的功能、系統(tǒng)以及設(shè)備。

軟件主要分為新軟件和現(xiàn)有軟件兩類(lèi)軟件，具體分類(lèi)及描述如下：

A 新軟件：專(zhuān)門(mén)針對(duì)某一個(gè)具體應(yīng)用而寫(xiě)的軟件；

B 現(xiàn)有可訪(fǎng)問(wèn)軟件：從一個(gè)相似應(yīng)用得到的軟件，可被重用，且相應(yīng)的文檔仍有效；

C 現(xiàn)有似有軟件：可滿(mǎn)足當(dāng)前應(yīng)用的全部或部分需求的商業(yè)軟件，沒(méi)有相應(yīng)的文檔；

D 可配置軟件：可根據(jù)具體應(yīng)用需求，使用數(shù)據(jù)或輸入語(yǔ)言對(duì)其進(jìn)行特定配置的現(xiàn)有軟件。

新核級(jí)軟件必須在遵循當(dāng)前的核工業(yè)法規(guī)和軟件標(biāo)準(zhǔn)的基礎(chǔ)上開(kāi)發(fā)，與已有軟件相比，需要更多的資源和V&V活動(dòng)，現(xiàn)有軟件重用的好處在于大多數(shù)軟件能夠馬上投入使用，費(fèi)用也只在對(duì)代碼的應(yīng)用修改、準(zhǔn)備配置數(shù)據(jù)以及相關(guān)的V&V活動(dòng)時(shí)發(fā)生，但其集成的可靠性必須保證，這取決于以前使用所積累的可靠度[2]。

V&V在整個(gè)軟件生命周期執(zhí)行，以確保信息在各階段之間傳遞，我們通過(guò) C#編程開(kāi)發(fā)了一個(gè)自動(dòng)化的 V&V工具，能夠?qū)崿F(xiàn)核級(jí)軟件生命周期里每個(gè)階段所需的V&V活動(dòng)，包括核級(jí)軟件的需求驗(yàn)證與核級(jí)軟件的測(cè)試。由于 B類(lèi)和C類(lèi)現(xiàn)有軟件的V&V任務(wù)及使用的技術(shù)是A類(lèi)新軟件的子集，因此主要以A類(lèi)新軟件的V&V過(guò)程為主講述。

3 核級(jí)軟件的需求驗(yàn)證

需求驗(yàn)證主要包括系統(tǒng)需求驗(yàn)證和計(jì)算機(jī)系統(tǒng)的需求驗(yàn)證，其中系統(tǒng)需求驗(yàn)證的目的，是確保系統(tǒng)需求確實(shí)是概念文檔所描述的用戶(hù)需要，概念文檔中包含需求的聲明、項(xiàng)目初始備忘錄、可行性研究、管理規(guī)程、公司規(guī)程與策略、最終用戶(hù)的驗(yàn)收標(biāo)準(zhǔn)等。計(jì)算機(jī)系統(tǒng)需求包括3部分內(nèi)容：軟件需求、硬件需求和集成需求。計(jì)算機(jī)系統(tǒng)的需求驗(yàn)證的目的，是確定所提出的計(jì)算機(jī)系統(tǒng)是否滿(mǎn)足系統(tǒng)需求說(shuō)明中描述的系統(tǒng)需求，以及如何回查這些需求，其關(guān)鍵是確定配置給硬件、軟件和接口的功能是否已被明確地定義和合理地分配。

需求驗(yàn)證的關(guān)鍵是要有一個(gè)需求可追溯模型，以提供所有系統(tǒng)需求與上層文件間的映射關(guān)系，從而便于進(jìn)行需求的追查分析，在該自動(dòng)化的V&V工具中，我們集成了世界領(lǐng)先的需求管理工具Telelogic DOORS，用于核級(jí)軟件的需求驗(yàn)證，它可以捕捉、鏈接、追蹤、分析并管理信息的變更以確保開(kāi)發(fā)的核級(jí)軟件順從特定需求和標(biāo)準(zhǔn)。在DOORS中，每個(gè)需求都作為一個(gè)單獨(dú)的對(duì)象列出，方便需求的閱讀和關(guān)聯(lián)。另外，DOORS不只用來(lái)管理和維護(hù)需求，還被用來(lái)管理設(shè)計(jì)和測(cè)試文檔，根據(jù)DOORS中維護(hù)的需求信息完成設(shè)計(jì)、編碼等工作，在設(shè)計(jì)文檔中，將設(shè)計(jì)與需求之間建立關(guān)聯(lián)，對(duì)需求的變更進(jìn)行跟蹤，保證設(shè)計(jì)的內(nèi)容與變更后的需求相一致。同樣根據(jù)DOORS中的需求信息對(duì)設(shè)計(jì)內(nèi)容進(jìn)行白盒測(cè)試和黑盒測(cè)試，同樣在測(cè)試文檔中將測(cè)試結(jié)果與需求之間建立關(guān)聯(lián)，還可以對(duì)需求的變更進(jìn)行跟蹤，保證測(cè)試結(jié)果與變更后的需求相一致。

4 核級(jí)軟件的測(cè)試技術(shù)

對(duì)核級(jí)安全軟件的測(cè)試，必須既采用白盒測(cè)試方法和黑盒測(cè)試方法，以保證軟件運(yùn)行的安全、可靠性。

首先進(jìn)行的是白盒測(cè)試，在開(kāi)發(fā)出保護(hù)系統(tǒng)上運(yùn)行的核級(jí)軟件后馬上進(jìn)行的是白盒測(cè)試，由核級(jí)軟件的開(kāi)發(fā)人員根據(jù)軟件的內(nèi)部邏輯來(lái)編寫(xiě)測(cè)試用例進(jìn)行測(cè)試，以檢測(cè)軟件內(nèi)部動(dòng)作是否按照規(guī)格說(shuō)明書(shū)上的規(guī)定正常運(yùn)行，檢測(cè)程序中的每條通路是否都能按預(yù)定要求正確工作[5]。

但白盒測(cè)試存在它固有的缺陷，首先我們進(jìn)行白盒測(cè)試沒(méi)有窮盡所有的路徑，另外，即使每條路徑都測(cè)試了仍然可能有錯(cuò)誤。第一，窮舉路徑測(cè)試決不能查出程序違反了設(shè)計(jì)規(guī)范，即程序本身是個(gè)錯(cuò)誤的程序。第二，窮舉路徑測(cè)試不可能查出程序中因遺漏路徑而出現(xiàn)的錯(cuò)誤。第三，窮舉路徑測(cè)試可能發(fā)現(xiàn)不了一些與數(shù)據(jù)相關(guān)的錯(cuò)誤。在這種情況下，我們還要進(jìn)行黑盒測(cè)試。

構(gòu)造黑盒測(cè)試的測(cè)試用例，必須滿(mǎn)足一定的設(shè)計(jì)規(guī)范，就核級(jí)軟件的黑盒測(cè)試來(lái)說(shuō)，測(cè)試用例應(yīng)覆蓋HAF102所規(guī)定的全部四種工況，并根據(jù) Nureg-0800所確定的各種始發(fā)事件。從設(shè)備故障、人員差錯(cuò)、人為事件到自然事件之類(lèi)的單一事件均需考慮在內(nèi)。

測(cè)試用例必須反映能直接或間接影響核電廠安全的各個(gè)設(shè)備的故障。需要考慮的故障類(lèi)型取決于所涉及系統(tǒng)和部件的類(lèi)型。故障的廣義含義包括如下兩類(lèi)：系統(tǒng)或部件喪失執(zhí)行功能的能力和功能的執(zhí)行情況與所期望者不符。例如，管道故障的表現(xiàn)形式有泄漏、破裂和流道堵塞。能動(dòng)部件，例如閥門(mén)的故障形式有：在需要時(shí)不開(kāi)啟或不關(guān)閉，在不應(yīng)動(dòng)作時(shí)開(kāi)啟或關(guān)閉，開(kāi)不足或關(guān)不住，開(kāi)啟或關(guān)閉的時(shí)間或速度不當(dāng)。儀表或傳感器之類(lèi)的裝置的故障有如下形式：誤差大于允許范圍、無(wú)輸出、不變的最大輸出、輸出不穩(wěn)定或上述形式的組合等。

測(cè)試用例還必須反映人員的各種誤操作，比如：錯(cuò)誤的或不良的維護(hù)、控制限值的錯(cuò)誤整定和操縱員的其他錯(cuò)誤行動(dòng)。測(cè)試用例還必須反映內(nèi)部原因引起的火災(zāi)、爆炸或淹沒(méi)對(duì)電廠安全造成的影響。

5 結(jié)論

核電數(shù)字化保護(hù)系統(tǒng)中運(yùn)行的核級(jí)軟件，必須進(jìn)行完整嚴(yán)格的驗(yàn)證與確認(rèn)活動(dòng)，以保證軟件運(yùn)行的可靠性和安全性，又為了提高驗(yàn)證與確認(rèn)的效率，我們開(kāi)發(fā)了一種高效自動(dòng)化V&V工具用于模塊的測(cè)試。它能夠調(diào)用需求管理工具Telelogic DOORS用于核級(jí)軟件的需求驗(yàn)證，根據(jù)核電站各種工況下特定的測(cè)試用例自動(dòng)生成測(cè)試報(bào)告，給出核級(jí)軟件是否實(shí)現(xiàn)所需功能的結(jié)論，然后根據(jù)結(jié)論對(duì)缺陷進(jìn)行修改，從而最終完成核級(jí)軟件的驗(yàn)證與確認(rèn)任務(wù)。

[1]IAEA TRS-384,verification and validation related to nuclear power plant instrument and control[S].

[2]李鐸,張良駒,馮俊婷.‘安全軟件驗(yàn)證與確認(rèn)中的單元模塊測(cè)試技術(shù)’[J].原子能科學(xué)技術(shù),2008.6.

[3]龔益.‘核電廠安全系統(tǒng)軟件驗(yàn)證與確認(rèn)方法探索’[J].低壓電器，2004No5.

[4]李鐸,張良駒.‘核動(dòng)力廠安全軟件的驗(yàn)證與確認(rèn)技術(shù)的初步探索研究’,全國(guó)第五屆核儀器及其應(yīng)用學(xué)術(shù)會(huì)議論文集[C].

[5]Kanglin Li,Mengqi Wu.高效軟件測(cè)試自動(dòng)化[M].北京:電子工業(yè)出版社,2004.8.