高超，胡立生

0 引言

數(shù)字化技術(shù)已經(jīng)在各工業(yè)領(lǐng)域得到了廣泛成功的應(yīng)用。近年來，為了提高核電運(yùn)行的安全性、可靠性及經(jīng)濟(jì)性，數(shù)字化技術(shù)已經(jīng)成為核電儀控技術(shù)發(fā)展的普遍趨勢。與模擬儀控系統(tǒng)相比較，數(shù)字化儀控系統(tǒng)具有以下優(yōu)點(diǎn)：1）很高的控制精度和強(qiáng)大的邏輯運(yùn)算處理、計算能力；2）以通信網(wǎng)絡(luò)連接各系統(tǒng)設(shè)備，減少電纜使用數(shù)量，提高數(shù)據(jù)傳輸?shù)目煽啃裕?）方便有效的實(shí)現(xiàn)多重冗余、故障安全和容錯等功能；4）系統(tǒng)擴(kuò)展靈活性好、可組態(tài)性強(qiáng)，便于維護(hù)；5）強(qiáng)大的數(shù)據(jù)處理和數(shù)據(jù)存儲能力，改善了人機(jī)接口；6）提高了核電站的經(jīng)濟(jì)性和安全可靠性。而數(shù)字化儀控系統(tǒng)尤其是基于嵌入式系統(tǒng)的保護(hù)系統(tǒng)，由于硬件以及軟件與硬件的集成度的提高，提高了數(shù)字化系統(tǒng)認(rèn)證的難度。

在核電儀控系統(tǒng)的數(shù)字化過程中，一個必然要解決的關(guān)鍵問題是核級軟件的驗(yàn)證與確認(rèn)過程[1]。其它一些核電發(fā)達(dá)國家陸續(xù)提出一些重要的與V&V相關(guān)的標(biāo)準(zhǔn)或規(guī)范，并為核級安全系統(tǒng)軟件的V&V提供了一些基本的指導(dǎo)，而我國目前為止還沒有可操作的V&V標(biāo)準(zhǔn)程序，因此研究適合我國法規(guī)規(guī)范的核電數(shù)字化儀控系統(tǒng)V&V程序與規(guī)范以及相關(guān)的各項(xiàng)技術(shù)意義重大[3]。

1 核級軟件的主要構(gòu)成

核級軟件是指針對特定核電廠，實(shí)現(xiàn)核電廠安全儀控功能的應(yīng)用軟件，根據(jù)反應(yīng)堆設(shè)計基準(zhǔn)及規(guī)范，核電數(shù)字化保護(hù)系統(tǒng)中運(yùn)行的核級軟件需采取模塊化的結(jié)構(gòu)，它是由一系列的安全功能單元組成的。而每一個安全功能單元內(nèi)部按照數(shù)據(jù)處理的不同以模塊的形式劃分。

核電數(shù)字化保護(hù)系統(tǒng)，主要包括反應(yīng)堆事故停堆系統(tǒng)（RTS）和專設(shè)安全系統(tǒng)（ESFAS），其中運(yùn)行的軟件也必然要包括兩部分，一部分用于執(zhí)行反應(yīng)堆停堆功能，當(dāng)需要時產(chǎn)生控制動作觸發(fā)反應(yīng)堆停堆。另一部分用于執(zhí)行專設(shè)安全設(shè)施功能，安全設(shè)施包括驅(qū)動單元及適當(dāng)?shù)脑O(shè)備布置，根據(jù)驅(qū)動系統(tǒng)或操作員發(fā)出的信號實(shí)現(xiàn)保護(hù)功能[2]。

對于上述核級軟件的兩個主要部分來說，其中每一個安全功能單元都要經(jīng)過信號輸入、邏輯處理、邏輯表決、優(yōu)先級選擇及監(jiān)控服務(wù)等幾個步驟，其中信號輸入部分、邏輯處理部分、邏輯表決部分是通過調(diào)用模塊來實(shí)現(xiàn)的。信號輸入中主要用到的模塊有測量量程轉(zhuǎn)換模塊（AMRC）、比較器模塊（COMP）、取第二大模塊（MAX2）及取第二小模塊（MIN2）等，邏輯處理部分主要用到的模塊有求或模塊（OR2及OR4）、求余模塊（AND2及AND4）、RS觸發(fā)器模塊（FF_STAT_R）等，邏輯表決部分主要用到的模塊有4取2模塊（2-out-of-4）、4取3模塊（3-out-of-4）等。另外，優(yōu)先級選擇主要是由優(yōu)選卡件來實(shí)現(xiàn)的，它按照固定的優(yōu)先級順序把仿真指令、安全儀控系統(tǒng)指令、控制室手動指令及通過Profibus現(xiàn)場總線傳過來的操作儀控指令進(jìn)行選擇，然后把命令輸出至執(zhí)行機(jī)構(gòu)用于實(shí)現(xiàn)最后的控制功能，這部分主要是通過硬件實(shí)現(xiàn)的，因此沒有調(diào)用模塊。

為了確保整個核電數(shù)字化保護(hù)系統(tǒng)功能的安全、可靠實(shí)現(xiàn)，上述系統(tǒng)中運(yùn)行的軟件必須進(jìn)行完整、嚴(yán)格的V&V。

2 核級軟件的V&V

核級軟件的V&V是一個嚴(yán)格按步驟評定軟件產(chǎn)品的過程，這種評定貫穿于軟件產(chǎn)品的整個生命周期，應(yīng)視為集成在整個核級軟件開發(fā)項(xiàng)目中一個完整而獨(dú)立的任務(wù)。核級軟件的驗(yàn)證與確認(rèn)靠使用審查、分析及測試技術(shù)，來評定一個完整的軟件系統(tǒng)及其開發(fā)過程中的中間產(chǎn)品是否滿足預(yù)定的功能要求和質(zhì)量要求[4]。

為了保證基于計算機(jī)軟件的核級數(shù)字化設(shè)備達(dá)到足夠的安全性、可靠性，除了設(shè)備本身（包括相應(yīng)的硬件和軟件）高安全性、高可靠性外，在很大程度上還取決于系統(tǒng)的設(shè)計，還包括它的技術(shù)方案、體系結(jié)構(gòu)等，特別是要遵循各種核電安全標(biāo)準(zhǔn)和設(shè)計準(zhǔn)則。同時，核級數(shù)字化設(shè)備在開發(fā)過程方面，還需要專門的驗(yàn)證與確認(rèn)來檢驗(yàn)和證明設(shè)備的性能和質(zhì)量，以及相應(yīng)的要求已正確實(shí)現(xiàn)。因此為了更加系統(tǒng)地開展核級軟件的V&V，需要進(jìn)行I&C系統(tǒng)的安全分級和軟件分類，不同的安全級別、分類需采取不同的V&V過程。

根據(jù)對安全的重要性，IAEA（國際原子能機(jī)構(gòu)）編號50-C-D的文件確定了核電站系統(tǒng)的級別，同時給出了幾種核電站的主要系統(tǒng)分類。安全導(dǎo)則50-SG—D3和50-SG-D8對I&C系統(tǒng)進(jìn)行了安全分級，確定了對安全有重要作用的安全系統(tǒng)和安全相關(guān)系統(tǒng)的區(qū)別，安全系統(tǒng)由確保安全停堆、堆芯熱量導(dǎo)出以及預(yù)期事故緩解的系統(tǒng)組成。安全相關(guān)系統(tǒng)是對安全有重要作用的系統(tǒng)但不是安全系統(tǒng)的組成部分[1]。

另外IAEA的安全分級方法是由IEC（國際電工委員會）的 IEC1226號文件解釋的，這個標(biāo)準(zhǔn)確定了對安全有重要作用的I&C系統(tǒng)功能、系統(tǒng)以及設(shè)備分為A、B、C三類，具體如下：

A類：對實(shí)現(xiàn)和維護(hù)核電站安全負(fù)有主要責(zé)任的功能、系統(tǒng)以及設(shè)備；

B類：對A類系統(tǒng)起安全支持作用的功能、系統(tǒng)以及設(shè)備；

C類：對實(shí)現(xiàn)和維護(hù)核電站安全起輔助或間接作用的功能、系統(tǒng)以及設(shè)備。

軟件主要分為新軟件和現(xiàn)有軟件兩類軟件，具體分類及描述如下：

A 新軟件：專門針對某一個具體應(yīng)用而寫的軟件；

B 現(xiàn)有可訪問軟件：從一個相似應(yīng)用得到的軟件，可被重用，且相應(yīng)的文檔仍有效；

C 現(xiàn)有似有軟件：可滿足當(dāng)前應(yīng)用的全部或部分需求的商業(yè)軟件，沒有相應(yīng)的文檔；

D 可配置軟件：可根據(jù)具體應(yīng)用需求，使用數(shù)據(jù)或輸入語言對其進(jìn)行特定配置的現(xiàn)有軟件。

新核級軟件必須在遵循當(dāng)前的核工業(yè)法規(guī)和軟件標(biāo)準(zhǔn)的基礎(chǔ)上開發(fā)，與已有軟件相比，需要更多的資源和V&V活動，現(xiàn)有軟件重用的好處在于大多數(shù)軟件能夠馬上投入使用，費(fèi)用也只在對代碼的應(yīng)用修改、準(zhǔn)備配置數(shù)據(jù)以及相關(guān)的V&V活動時發(fā)生，但其集成的可靠性必須保證，這取決于以前使用所積累的可靠度[2]。

V&V在整個軟件生命周期執(zhí)行，以確保信息在各階段之間傳遞，我們通過 C#編程開發(fā)了一個自動化的 V&V工具，能夠?qū)崿F(xiàn)核級軟件生命周期里每個階段所需的V&V活動，包括核級軟件的需求驗(yàn)證與核級軟件的測試。由于 B類和C類現(xiàn)有軟件的V&V任務(wù)及使用的技術(shù)是A類新軟件的子集，因此主要以A類新軟件的V&V過程為主講述。

3 核級軟件的需求驗(yàn)證

需求驗(yàn)證主要包括系統(tǒng)需求驗(yàn)證和計算機(jī)系統(tǒng)的需求驗(yàn)證，其中系統(tǒng)需求驗(yàn)證的目的，是確保系統(tǒng)需求確實(shí)是概念文檔所描述的用戶需要，概念文檔中包含需求的聲明、項(xiàng)目初始備忘錄、可行性研究、管理規(guī)程、公司規(guī)程與策略、最終用戶的驗(yàn)收標(biāo)準(zhǔn)等。計算機(jī)系統(tǒng)需求包括3部分內(nèi)容：軟件需求、硬件需求和集成需求。計算機(jī)系統(tǒng)的需求驗(yàn)證的目的，是確定所提出的計算機(jī)系統(tǒng)是否滿足系統(tǒng)需求說明中描述的系統(tǒng)需求，以及如何回查這些需求，其關(guān)鍵是確定配置給硬件、軟件和接口的功能是否已被明確地定義和合理地分配。

需求驗(yàn)證的關(guān)鍵是要有一個需求可追溯模型，以提供所有系統(tǒng)需求與上層文件間的映射關(guān)系，從而便于進(jìn)行需求的追查分析，在該自動化的V&V工具中，我們集成了世界領(lǐng)先的需求管理工具Telelogic DOORS，用于核級軟件的需求驗(yàn)證，它可以捕捉、鏈接、追蹤、分析并管理信息的變更以確保開發(fā)的核級軟件順從特定需求和標(biāo)準(zhǔn)。在DOORS中，每個需求都作為一個單獨(dú)的對象列出，方便需求的閱讀和關(guān)聯(lián)。另外，DOORS不只用來管理和維護(hù)需求，還被用來管理設(shè)計和測試文檔，根據(jù)DOORS中維護(hù)的需求信息完成設(shè)計、編碼等工作，在設(shè)計文檔中，將設(shè)計與需求之間建立關(guān)聯(lián)，對需求的變更進(jìn)行跟蹤，保證設(shè)計的內(nèi)容與變更后的需求相一致。同樣根據(jù)DOORS中的需求信息對設(shè)計內(nèi)容進(jìn)行白盒測試和黑盒測試，同樣在測試文檔中將測試結(jié)果與需求之間建立關(guān)聯(lián)，還可以對需求的變更進(jìn)行跟蹤，保證測試結(jié)果與變更后的需求相一致。

4 核級軟件的測試技術(shù)

對核級安全軟件的測試，必須既采用白盒測試方法和黑盒測試方法，以保證軟件運(yùn)行的安全、可靠性。

首先進(jìn)行的是白盒測試，在開發(fā)出保護(hù)系統(tǒng)上運(yùn)行的核級軟件后馬上進(jìn)行的是白盒測試，由核級軟件的開發(fā)人員根據(jù)軟件的內(nèi)部邏輯來編寫測試用例進(jìn)行測試，以檢測軟件內(nèi)部動作是否按照規(guī)格說明書上的規(guī)定正常運(yùn)行，檢測程序中的每條通路是否都能按預(yù)定要求正確工作[5]。

但白盒測試存在它固有的缺陷，首先我們進(jìn)行白盒測試沒有窮盡所有的路徑，另外，即使每條路徑都測試了仍然可能有錯誤。第一，窮舉路徑測試決不能查出程序違反了設(shè)計規(guī)范，即程序本身是個錯誤的程序。第二，窮舉路徑測試不可能查出程序中因遺漏路徑而出現(xiàn)的錯誤。第三，窮舉路徑測試可能發(fā)現(xiàn)不了一些與數(shù)據(jù)相關(guān)的錯誤。在這種情況下，我們還要進(jìn)行黑盒測試。

構(gòu)造黑盒測試的測試用例，必須滿足一定的設(shè)計規(guī)范，就核級軟件的黑盒測試來說，測試用例應(yīng)覆蓋HAF102所規(guī)定的全部四種工況，并根據(jù) Nureg-0800所確定的各種始發(fā)事件。從設(shè)備故障、人員差錯、人為事件到自然事件之類的單一事件均需考慮在內(nèi)。

測試用例必須反映能直接或間接影響核電廠安全的各個設(shè)備的故障。需要考慮的故障類型取決于所涉及系統(tǒng)和部件的類型。故障的廣義含義包括如下兩類：系統(tǒng)或部件喪失執(zhí)行功能的能力和功能的執(zhí)行情況與所期望者不符。例如，管道故障的表現(xiàn)形式有泄漏、破裂和流道堵塞。能動部件，例如閥門的故障形式有：在需要時不開啟或不關(guān)閉，在不應(yīng)動作時開啟或關(guān)閉，開不足或關(guān)不住，開啟或關(guān)閉的時間或速度不當(dāng)。儀表或傳感器之類的裝置的故障有如下形式：誤差大于允許范圍、無輸出、不變的最大輸出、輸出不穩(wěn)定或上述形式的組合等。

測試用例還必須反映人員的各種誤操作，比如：錯誤的或不良的維護(hù)、控制限值的錯誤整定和操縱員的其他錯誤行動。測試用例還必須反映內(nèi)部原因引起的火災(zāi)、爆炸或淹沒對電廠安全造成的影響。

5 結(jié)論

核電數(shù)字化保護(hù)系統(tǒng)中運(yùn)行的核級軟件，必須進(jìn)行完整嚴(yán)格的驗(yàn)證與確認(rèn)活動，以保證軟件運(yùn)行的可靠性和安全性，又為了提高驗(yàn)證與確認(rèn)的效率，我們開發(fā)了一種高效自動化V&V工具用于模塊的測試。它能夠調(diào)用需求管理工具Telelogic DOORS用于核級軟件的需求驗(yàn)證，根據(jù)核電站各種工況下特定的測試用例自動生成測試報告，給出核級軟件是否實(shí)現(xiàn)所需功能的結(jié)論，然后根據(jù)結(jié)論對缺陷進(jìn)行修改，從而最終完成核級軟件的驗(yàn)證與確認(rèn)任務(wù)。

[1]IAEA TRS-384,verification and validation related to nuclear power plant instrument and control[S].

[2]李鐸,張良駒,馮俊婷.‘安全軟件驗(yàn)證與確認(rèn)中的單元模塊測試技術(shù)’[J].原子能科學(xué)技術(shù),2008.6.

[3]龔益.‘核電廠安全系統(tǒng)軟件驗(yàn)證與確認(rèn)方法探索’[J].低壓電器，2004No5.

[4]李鐸,張良駒.‘核動力廠安全軟件的驗(yàn)證與確認(rèn)技術(shù)的初步探索研究’,全國第五屆核儀器及其應(yīng)用學(xué)術(shù)會議論文集[C].

[5]Kanglin Li,Mengqi Wu.高效軟件測試自動化[M].北京:電子工業(yè)出版社,2004.8.