王靈芝，王 勇，許張后

(1.閩南師范大學(xué)物理與信息工程學(xué)院，福建漳州 363000；2.中國科學(xué)院等離子體物理研究所，安徽合肥 230031)

儀表與控制(I&C)系統(tǒng)是托卡馬克裝置的神經(jīng)系統(tǒng)，其中安全關(guān)鍵儀控系統(tǒng)主要負(fù)責(zé)裝置運(yùn)行狀態(tài)下的自動控制和監(jiān)控操作，實(shí)現(xiàn)事故工況下的保護(hù)和事故緩解功能，包括事故工況下的緊急停止放電、磁體保護(hù)、事故監(jiān)視等功能。安全關(guān)鍵儀控系統(tǒng)的可靠性關(guān)乎整個(gè)托卡馬克的安全，是確保裝置安全運(yùn)行最重要的保障和防線之一。由于軟件在儀控系統(tǒng)中所占的比例越來越高，軟件可靠性已成為安全關(guān)鍵儀控系統(tǒng)質(zhì)量的關(guān)鍵。軟件驗(yàn)證和確認(rèn)(Verification and Validation，V&V)是保證軟件質(zhì)量的一項(xiàng)重要而且有效的手段[1]。安全性和可靠性是關(guān)于安全關(guān)鍵儀控系統(tǒng)最終的考慮因素，軟件V&V是軟件質(zhì)量控制的有效方法，是提高托卡馬克安全關(guān)鍵儀控系統(tǒng)可靠性和可信度的重要手段。國際熱核聚變實(shí)驗(yàn)堆(ITER)在其電廠聯(lián)鎖系統(tǒng)設(shè)計(jì)導(dǎo)則中亦明確了電廠保護(hù)系統(tǒng)的V&V要求[2]。

EAST(Experimental Advanced Superconducting Tokamak)超導(dǎo)托卡馬克是我國設(shè)計(jì)建造的國際上第一個(gè)建成的全超導(dǎo)托卡馬克實(shí)驗(yàn)裝置。EAST全超導(dǎo)托卡馬克的運(yùn)行風(fēng)險(xiǎn)將遠(yuǎn)高于現(xiàn)有的任何超導(dǎo)托卡馬克的運(yùn)行風(fēng)險(xiǎn)[3-5]。EAST在全廠范圍內(nèi)建立了安全聯(lián)鎖系統(tǒng)，用于確保裝置、人員和環(huán)境的安全，從而最大程度地規(guī)避風(fēng)險(xiǎn)[6]。一體化設(shè)計(jì)的EAST安全聯(lián)鎖系統(tǒng)集成了安全系統(tǒng)和聯(lián)鎖系統(tǒng)，并劃分為中央層和分控層。分控系統(tǒng)層安全聯(lián)鎖子系統(tǒng)負(fù)責(zé)各子系統(tǒng)的狀態(tài)監(jiān)測，并將狀態(tài)和故障信息發(fā)送至中央層，與此同時(shí)接收來自中央層的保護(hù)信號并對本子系統(tǒng)進(jìn)行保護(hù)。而位于中央層的安全聯(lián)鎖監(jiān)管系統(tǒng)統(tǒng)一協(xié)調(diào)控制事故工況下的緊急停止放電、磁體保護(hù)、事故監(jiān)視等功能，實(shí)現(xiàn)對人身、環(huán)境和裝置設(shè)備的安全防護(hù)。安全聯(lián)鎖系統(tǒng)是EAST安全關(guān)鍵儀控系統(tǒng)最主要的組成部分之一[6]。因此，本文選擇該系統(tǒng)作為實(shí)例開展了第三方獨(dú)立V&V，闡述托卡馬克安全關(guān)鍵儀控系統(tǒng)的軟件V&V過程，研究結(jié)果為托卡馬克聯(lián)鎖系統(tǒng)和保護(hù)系統(tǒng)等安全關(guān)鍵儀控系統(tǒng)的工程技術(shù)開發(fā)與核安全許可，提供了必要的前期技術(shù)基礎(chǔ)。

1 V&V模型和方法

由于磁約束核聚變尚處于科學(xué)研究階段，所以IEC(國際電工委員會)、IEEE(美國電氣和電子工程師協(xié)會)等相關(guān)國際組織等并沒有為磁約束核聚變反應(yīng)堆制定專門的技術(shù)標(biāo)準(zhǔn)和法規(guī)。正如ITER PCDH(電廠控制設(shè)計(jì)手冊)中體現(xiàn)出來的，對于托卡馬克安全攸關(guān)儀控系統(tǒng)的設(shè)計(jì)，只能借鑒IEC、IEEE等現(xiàn)行的關(guān)于核電廠安全級儀控系統(tǒng)的技術(shù)標(biāo)準(zhǔn)。ITER的設(shè)計(jì)、建造、測試、評估等環(huán)節(jié)涉及大量的技術(shù)標(biāo)準(zhǔn)，其中電氣部件、裝置或系統(tǒng)主要采用IEC發(fā)布的國際標(biāo)準(zhǔn)和法國標(biāo)準(zhǔn)(NF)。項(xiàng)目實(shí)施過程中主要依據(jù)的IEC、IEEE、ITER等相關(guān)設(shè)計(jì)標(biāo)準(zhǔn)和導(dǎo)則，包括：IEC 61513、IEC 61508、IEC 61226、IEC 60880、IEEE 1012、IEEE 1028、IEEE 830、ITER PCDH[7]等。PCDH衛(wèi)星文件集制定了《軟件工程及質(zhì)量保證》《PLC軟件工程手冊》和《CWS案例研究規(guī)范》。

ITER PCDH中規(guī)定ITER安全關(guān)鍵儀控系統(tǒng)(包括聯(lián)鎖系統(tǒng)和安全系統(tǒng))應(yīng)依據(jù)IEC 61508標(biāo)準(zhǔn)中的安全完整性等級(SIL)分配方法，對每個(gè)聯(lián)鎖和安全功能進(jìn)行SIL分級。ITER儀控系統(tǒng)中大量使用西門子S7系列可編程邏輯控制器(PLC)，其聯(lián)鎖系統(tǒng)采用西門子S7-400 FH作為SIL2級和SIL3級PLC慢速控制器，安全系統(tǒng)使用S7-400 FH作為SIL3級PLC慢速控制器。S7-400 FH是故障安全和高可用性PLC，符合SIL3級的要求。EAST安全聯(lián)鎖系統(tǒng)亦采用S7系列雙冗余控制器PLC平臺進(jìn)行了升級，在該平臺下開展V&V工作，也有助于加深對ITER儀控系統(tǒng)的研究和理解。

EAST安全聯(lián)鎖系統(tǒng)軟件V&V的生命周期劃分為需求階段、設(shè)計(jì)階段、執(zhí)行階段、測試階段和驗(yàn)收階段。圖1所示為EAST安全聯(lián)鎖監(jiān)管系統(tǒng)軟件可靠性設(shè)計(jì)和V&V方法模型，顯示了系統(tǒng)開發(fā)生命周期中各個(gè)階段的任務(wù)，項(xiàng)目依據(jù)該模型開展V&V活動。在項(xiàng)目的啟動階段，開發(fā)驗(yàn)證與確認(rèn)技術(shù)書(VVP)，建立需求追蹤矩陣(RTM)以便在各個(gè)階段開展可追蹤性分析。

圖1 EAST安全聯(lián)鎖監(jiān)管系統(tǒng)軟件可靠性設(shè)計(jì)和V&V方法模型

2 V&V過程

2.1 概念V&V

在概念V&V階段，分析并驗(yàn)證該系統(tǒng)的體系結(jié)構(gòu)、系統(tǒng)需求的分配(包括硬件、軟件和用戶界面)、系統(tǒng)的SIL等級，以確保沒有錯誤的假設(shè)被納入設(shè)計(jì)之中。EAST安全聯(lián)鎖系統(tǒng)獨(dú)立于總控系統(tǒng)之外，是確保人員、環(huán)境和裝置設(shè)備安全，降低運(yùn)行風(fēng)險(xiǎn)的安全關(guān)鍵性設(shè)備。開展軟件關(guān)鍵性分析,評估軟件的可靠性及其對系統(tǒng)的影響，從而為軟件分配適當(dāng)?shù)腟IL。鑒于EAST未開展氘-氚核聚變實(shí)驗(yàn)，對環(huán)境幾乎沒有放射性危害,位于其中央層的安全聯(lián)鎖監(jiān)管系統(tǒng)的安全完整性級別設(shè)定為SIL 3是合理且正確的。

2.2 需求V&V

對于V&V活動處理軟件功能和性能需求分析等方面的要求，應(yīng)結(jié)合可靠性需求分析結(jié)果，確保軟件需求的正確性、完整性、準(zhǔn)確性、可測試性和一致性。在該階段，以EAST安全聯(lián)鎖監(jiān)管系統(tǒng)需求書為輸入，分析并評審系統(tǒng)結(jié)構(gòu)、故障危害級別設(shè)置、信號類型、故障處理機(jī)制、系統(tǒng)需求、信號接口等輸入文檔[6]。

2.2.1 可追蹤性分析

系統(tǒng)需求明確了EAST裝置的三個(gè)危害等級故障信號以及不同故障等級須采取的應(yīng)對機(jī)制。由此提出的EAST安全聯(lián)鎖系統(tǒng)需求符合系統(tǒng)概念需求，滿足裝置運(yùn)行過程中對安全聯(lián)鎖保護(hù)的技術(shù)要求，系統(tǒng)需求是正確、一致、完整、準(zhǔn)確、可讀和可測的。

2.2.2 接口分析

系統(tǒng)接口包括硬件接口、軟件接口和人機(jī)用戶接口。硬件接口：鑒于托卡馬克裝置復(fù)雜的電磁環(huán)境，出于信號完整性和設(shè)備防護(hù)方面的要求，硬件接口必須進(jìn)行電氣隔離。因此，所有信號均經(jīng)由專用的光纖網(wǎng)傳輸，實(shí)現(xiàn)各子系統(tǒng)間完全的電氣隔離，這與系統(tǒng)需求一致。軟件接口：軟件接口主要包括安全聯(lián)鎖系統(tǒng)的狀態(tài)信息遠(yuǎn)程監(jiān)視、故障日志信息的上傳以及系統(tǒng)時(shí)鐘的在線同步。網(wǎng)絡(luò)通信需確保信號交互的通暢和實(shí)時(shí)性，并避免網(wǎng)絡(luò)病毒和黑客攻擊。人機(jī)用戶接口：在EAST總控制的計(jì)算機(jī)上建立人機(jī)界面程序，在裝置運(yùn)行期間由操縱員監(jiān)視安全聯(lián)鎖系統(tǒng)的運(yùn)行狀態(tài)和故障日志。

2.2.3 系統(tǒng)V&V測試計(jì)劃

系統(tǒng)V&V測試計(jì)劃包括：軟件單元測試計(jì)劃、軟件集成測試計(jì)劃、系統(tǒng)集成測試計(jì)劃。軟件單元測試以仿真測試為主，分析測試用例和單元測試結(jié)果的正確性和完備性。軟件集成測試是對集成后軟件的測試，針對安全聯(lián)鎖監(jiān)管系統(tǒng)監(jiān)測的三類故障信號進(jìn)行測試，確保單一和并發(fā)故障情況下，能夠提供正確的保護(hù)動作，使網(wǎng)絡(luò)信息通信順暢，故障日志及時(shí)且正確，從而確保軟件測試結(jié)果的正確性和完備性。系統(tǒng)集成測試，提供必要的外部測試設(shè)備和必要的測試用例，分析集成測試結(jié)果的正確性和完備性。

2.3 設(shè)計(jì)V&V

在設(shè)計(jì)階段，V&V需驗(yàn)證系統(tǒng)構(gòu)架和詳細(xì)設(shè)計(jì)輸出是否滿足安全要求。設(shè)計(jì)V&V活動解決軟件構(gòu)架設(shè)計(jì)和軟件詳細(xì)設(shè)計(jì)。對系統(tǒng)本身和系統(tǒng)與外部界面的驗(yàn)證需同時(shí)進(jìn)行。設(shè)計(jì)V&V要結(jié)合可追溯性分析和可靠性分析，證明設(shè)計(jì)是準(zhǔn)確的，是軟件需求的完整轉(zhuǎn)變，并沒有引入任何不需要的功能。

2.3.1 系統(tǒng)架構(gòu)分析

EAST安全聯(lián)鎖系統(tǒng)主要由基于西門子S7-400H雙冗余PLC的控制器、安全聯(lián)鎖網(wǎng)絡(luò)和相關(guān)的硬件接口設(shè)備組成。系統(tǒng)劃分為軟件和硬件：軟件部分主要包括PLC的硬件組態(tài)、通信組態(tài)、梯形圖和功能塊圖程序以及上位機(jī)監(jiān)控界面；硬件部分主要由ET200M遠(yuǎn)程I/O站、安全聯(lián)鎖網(wǎng)絡(luò)及相關(guān)的硬件接口等設(shè)備組成。SIMATIC H Station主站作為系統(tǒng)控制器，從站IM 153-2實(shí)現(xiàn)I/O擴(kuò)展，工程師站用于系統(tǒng)配置、程序開發(fā)和下裝等。其中，主站與從站通過冗余的Profibus現(xiàn)場總線連接，主站通過冗余的Ethernet總線與工程師站連接。系統(tǒng)結(jié)構(gòu)和組態(tài)如圖2所示。

圖2 系統(tǒng)結(jié)構(gòu)與組態(tài)

2.3.2 軟件評估與分析

依據(jù)系統(tǒng)需求，評估安全聯(lián)鎖系統(tǒng)PLC軟件設(shè)計(jì)書，評審架構(gòu)文檔和系統(tǒng)設(shè)計(jì)圖。系統(tǒng)的軟件設(shè)計(jì)包括PLC系統(tǒng)組態(tài)和梯形圖編程設(shè)計(jì)，二者的正確集成才能滿足系統(tǒng)的具體需求。安全聯(lián)鎖系統(tǒng)的軟件模塊包括輸入信號掃描、保護(hù)動作輸出、端口狀態(tài)傳輸、故障日志傳輸與保存等。執(zhí)行關(guān)鍵性、風(fēng)險(xiǎn)、危害和安全分析，通過軟件FMEA、FTA等可靠性分析技術(shù)識別出軟件需求、設(shè)計(jì)或編碼中的缺陷及薄弱環(huán)節(jié)，并通過制定和實(shí)施改進(jìn)措施提高軟件的可靠性。

2.3.3 軟件單元與集成V&V測試計(jì)劃和設(shè)計(jì)評估

針對信號循環(huán)掃描、端口狀態(tài)UDP傳輸、故障日志TCP傳輸和就地保存、等離子體控制系統(tǒng)看門狗檢測等軟件單元，制定軟件單元測試計(jì)劃和測試規(guī)程以及軟件集成測試計(jì)劃和規(guī)程。

2.4 實(shí)現(xiàn)V&V

在實(shí)現(xiàn)階段，系統(tǒng)設(shè)計(jì)被轉(zhuǎn)換為具體的梯形圖和軟件組態(tài)。實(shí)現(xiàn)V&V活動,解決軟件編碼和測試，目的是保證V&V設(shè)計(jì)轉(zhuǎn)換的準(zhǔn)確性、一致性、可追蹤性和完整性。

2.4.1 可追蹤性分析

追蹤源代碼和設(shè)計(jì)約束至設(shè)計(jì)文檔，前向追蹤源代碼組件到相應(yīng)設(shè)計(jì)規(guī)格說明，后向追蹤設(shè)計(jì)規(guī)格說明到源代碼部分，分析標(biāo)識的正確性、一致性和完備性。

2.4.1.1 S7-400 PLC軟件V&V

PLC下位機(jī)軟件單元包括：系統(tǒng)配置、高級故障檢測、狀態(tài)故障檢測和PCS看門狗檢測。在系統(tǒng)配置中，為了實(shí)現(xiàn)PLC系統(tǒng)時(shí)間與EAST中央授時(shí)系統(tǒng)時(shí)間服務(wù)程序的每日對時(shí)，在PLC配置中開啟并配置了SNTP(Simple Network Time Protocol)服務(wù)。系統(tǒng)端口狀態(tài)UDP傳輸和故障日志TCP傳輸，可為總控制室操作員站提供兩項(xiàng)服務(wù)：各安全聯(lián)鎖子系統(tǒng)的狀態(tài)信息實(shí)時(shí)顯示和系統(tǒng)故障日志及時(shí)序的查詢。

2.4.1.2 WinCC組態(tài)軟件V&V

系統(tǒng)人機(jī)交互界面是在工程師站中實(shí)現(xiàn)的，由西門子WinCC組態(tài)軟件開發(fā)，程序包括：人機(jī)界面、數(shù)據(jù)歸檔及與PLC的數(shù)據(jù)交互等軟件單元。

2.4.2 源代碼和源文檔評估

評估源代碼組件(源代碼和源代碼文件)的正確性、一致性、完整性、精確性、可讀性和可測性。

2.4.2.1 S7-400 PLC系統(tǒng)配置評估

評估系統(tǒng)主站和從站的配置信息。系統(tǒng)主站分別由2個(gè)冗余的CPU 417-4H作為系統(tǒng)控制器模塊、2個(gè)冗余電源PS407 10A模塊和2個(gè)冗余的CP 443-1以太網(wǎng)模塊組成。ET 200M從站包括：2個(gè)IM 153-2模塊、1個(gè)16通道的數(shù)字輸入模塊、1個(gè)16通道的數(shù)字輸出模塊、1個(gè)2通道的模擬量輸入模塊以及1個(gè)高速計(jì)數(shù)器FM350模塊組成。評估工作包括各模塊配置信息、系統(tǒng)架構(gòu)配置等。

2.4.2.2 代碼走查

以一級故障代碼靜態(tài)走查為例說明代碼走查過程?！罢婵障到y(tǒng)一級故障”源代碼如圖3所示。程序段10：在“真空一級故障”為正常態(tài)(即為低電平)時(shí)，I0.1閉合，程序未檢測到“真空一級故障”，DB1.DBW4為0。當(dāng)“真空一級故障”為故障態(tài)(即為高電平時(shí))，I0.1斷開，程序進(jìn)入檢測“真空一級故障”部分，為了降低噪聲干擾，程序段11和程序段12只有在連續(xù)的3個(gè)掃描周期中都檢測到“真空一級故障”，才觸發(fā)一次“真空一級故障”事件，即M101.1閉合。程序段13在檢測到M101.1閉合時(shí)，記錄“發(fā)生真空一級故障”這一事件。程序段14在檢測到M101.1斷開時(shí)，記錄“解除真空一級故障”事件。

圖3 “真空一級故障”檢測源代碼

2.4.3 單元與集成V&V測試用例設(shè)計(jì)和規(guī)程評估開發(fā)并驗(yàn)證單元測試用例和測試規(guī)程，以便在下一個(gè)V&V階段使用。

2.5 測試V&V

測試V&V活動覆蓋軟件單元測試、軟件集成測試、系統(tǒng)集成測試和系統(tǒng)驗(yàn)收測試，目的是確保軟件需求和系統(tǒng)需求得到滿足。驗(yàn)證V&V測試用例是否遵循項(xiàng)目定義的測試文檔目的、格式和內(nèi)容。確認(rèn)V&V測試用例滿足V&V任務(wù)中有關(guān)組件、集成、系統(tǒng)和驗(yàn)收測試的各自的準(zhǔn)則。

軟件單元測試和集成測試均采用S7-PLCSIM仿真工具進(jìn)行仿真測試。各軟件單元包括：一級與二級故障、狀態(tài)信號和PCS看門狗等，設(shè)置輸入節(jié)點(diǎn)信號量模擬各子系統(tǒng)輸入信號，并監(jiān)測輸出各內(nèi)存單元和輸入輸出單元的狀態(tài)變化。集成軟件測試包括：故障信號、狀態(tài)信號和PCS看門狗信號的聯(lián)鎖保護(hù)、Profibus總線冗余通信、以太網(wǎng)通信、FEPROM存儲卡操作測試等系統(tǒng)功能。

系統(tǒng)測試在實(shí)驗(yàn)室環(huán)境下進(jìn)行，由NI虛擬儀器系統(tǒng)與S7-400 PLC直接連接，構(gòu)成閉環(huán)測試系統(tǒng)。測試系統(tǒng)向PLC提供外部硬件測試信號，模擬裝置運(yùn)行過程。測試系統(tǒng)自動檢測并分析PLC的保護(hù)輸出信號，判斷PLC的功能與系統(tǒng)需求是否一致。

驗(yàn)收測試在EAST安全聯(lián)鎖監(jiān)管系統(tǒng)的安裝地點(diǎn)進(jìn)行，以上述閉環(huán)測試系統(tǒng)進(jìn)行測試。該測試驗(yàn)證了安全聯(lián)鎖各項(xiàng)保護(hù)功能、現(xiàn)場總線的通信功能和性能、數(shù)據(jù)存儲歸檔功能、網(wǎng)絡(luò)通信功能和性能、工程師站數(shù)據(jù)記錄歸檔功能以及光纖信號接口設(shè)備的功能和性能?；谝陨向?yàn)收測試過程，確認(rèn)系統(tǒng)實(shí)際功能與軟件需求和系統(tǒng)需求相一致，系統(tǒng)滿足用戶對其正確性、完備性和準(zhǔn)確性的要求。

3 結(jié)語

本文以安全關(guān)鍵系統(tǒng)EAST托卡馬克安全聯(lián)鎖系統(tǒng)為實(shí)例，實(shí)施了第三方獨(dú)立軟件V&V。V&V活動和EAST安全聯(lián)鎖監(jiān)管系統(tǒng)的升級開發(fā)活動同步進(jìn)行，有利于在開發(fā)活動中發(fā)現(xiàn)錯誤，提高開發(fā)測試效率，降低開發(fā)成本。V&V活動包括了設(shè)計(jì)審查、設(shè)計(jì)驗(yàn)證、源代碼審查、需求分析和評估、接口分析和評估、需求跟蹤分析、配置管理評估、安全分析和測試等。鑒于篇幅有限,本文僅闡述其中部分主要工作。V&V的結(jié)果記錄在V&V報(bào)告中，包括設(shè)計(jì)需求審查、評估準(zhǔn)則、錯誤報(bào)告等。研究結(jié)果可為托卡馬克聯(lián)鎖系統(tǒng)和保護(hù)系統(tǒng)等安全關(guān)鍵儀控系統(tǒng)的工程技術(shù)開發(fā)與核安全許可提供必要的前期技術(shù)基礎(chǔ)。

[參考文獻(xiàn)]

[1]IEEE Std.1012-2012,IEEE standard for system and software verification and validation[S].New York:IEEE,2012.

[2]Journeaux J Y.Plant control design handbook(27LH2V_v7_0)[R].ITER,2013.

[3]李建剛.托卡馬克研究的現(xiàn)狀及發(fā)展[J].物理,2016(2):88-97.

[4]萬寶年,徐國盛.EAST超導(dǎo)托卡馬克[J].科學(xué)通報(bào),2015(23):2157-2168.

[5]萬元熙.全超導(dǎo)托卡馬克的運(yùn)行風(fēng)險(xiǎn)和需要采取的對策[Z].2006年EAST學(xué)術(shù)報(bào)告包,2006-07-31.

[6]吳一純,季振山,孫曉陽,等.EAST安全聯(lián)鎖監(jiān)管系統(tǒng)設(shè)計(jì)[J].原子能科學(xué)技術(shù),2011(2):250-256.

[7]Savouillan M.Guidelines for the design of the plant interlock system(3PZ2D2_v4_0)[R].ITER,2014.