核电安全级仪控系统软件V&V活动及其方法研究

基于计算机的系统在核电厂日益广泛应用，它们对于核电厂安全的重要性也不断增加。这类系统既有用于安全级有关系统（如过程控制与检测系统），也用于安全系统（如反应堆 保护和专设驱动），核电厂基于计算机的安全重要系统的可信性应首先被关注并给予保证。

福岛核电站事故发生后，其严重后果在全球引起了剧烈的震动，国内外同行对于核 电安全的认识又达到了一个新的高度。业已证实，在数字化仪 控系统用于核电 厂过程中，为保证核电厂安全性，人们在操作过程中寻找和纠正在设计和执行阶段所发生的软件错误并加以改正的努力要进行多次。考虑到为确保安全有关的计算机应用所要求的高质量软件，必须要进行软件的验证与确认(V&V)。

结合福岛核 事故经验反馈，国家安全监督当局根据HAF102以及HAD102/16，必 将对后续新建核电厂安全级仪 控系统V&V（以及设备鉴定）提出更高要求。本文结合IAEANS-G-1.1(HAD102/16原版)、技术 报告384以及国内外同行先进V&V经验，依托CP1000核电厂数字化仪控系统对核电厂安全级仪控系统安全级软件V&V过程、主要技 术方法以及优化方法进行了描述，以期为核电厂安全级仪控系统软件V&V活动提供有益借鉴。

核电厂安全级计算机软件典型生命流

以及验证与确认步骤

在核电厂软件V&V活动中，被业内广泛采用的标准是：IEC60880《Standard forsoftware used in nuclear powerplant safetysystems》与IEEE Std1012 《IEEE standard for software Verification and Validation》。这些标准规定了整个软件生命周期（设计、运行、维护、退役）中的各项V&V活动的活动内容、范围、方法及文档规范。具有很高的可实施性。

一个完整的软件全生命周期V&V包括如下几个重要阶段（图１）。

• 系统要求规格书验证；

• 计算机系统规格书验证；

• 软件设计验证；

• 编码验证；
  

• 计算机系统集成验证；

• 集成计算机系统测试验证；

• 确认和调试测试验证；

• 系统移交和验收验证；

• 使用和维修验证。
  

核电厂安全级软件V&V是一个严格按照步骤评定软件产品的过程，这种评定贯穿 软件产品的整个生命周期，应视为集成在整个软件开发项目中的一个完整而独立的任务。

简单来说，安全级软件的V&V就是依靠一系列的方法技术（审查、分析和测试技术），来评价一个完整的软件系统以及开发过程中的中间产品是否满足预期的功能要求与质量要求。

核电厂安全级软件V&V的总体要求

由于数字化仪控系统日益扮演着重要的角色，所以在项目开始初期，就根据国家标准和国际标准建立V&V计划、质量保证计划、软件配置计划等，把保护系统的开发置于严格的质量保证计划和V&V计划之下，并严格按计划执行。根据计划，设立独立于设计小组的专门V&V小组，全程执行V&V计划和V&V活动。同时，还设有一个专家咨询小组，由国内的资深专家组成，对保护系统的设计准 则、保护算法、系统体系结构等提供评审意见，保证了所有的设计开发活动均有相应的V&V过程来独立评 审、见证或测试，并预先建立相应的计划进行管理。核电厂软件V&V的独立性体现在：

■ 技术独立：工作应由不同的人员使用不同的技术和工具完成；

■ 管理独立：工作应由不同的人员来领导和推动。V&V小组与开发工作小组应有不同的管理渠道。应记录与独立小组之间的正式通信；

■ 财务独立：应有分开的财务预算以限制资金在开发和V&V小组之间流动。典型的核电厂安全级软件V&V如图２所示。

在基于计算机的系统的整个寿期内，验证是针对前一阶段输出结果进行的检 查，而确认是针对较高层的需求和目标进行的检查。以证明计算机系统达到 其总的安全要求和功能需求，确认有两个不同的步骤。第一步是针对核电厂和系统的需求确认计算机系统的需求。在确认报告中应清晰标识对高层需求和安全分析的确认基础。第二步是针对计算机系统的需求确认其实现。

CPR1000项目安全级系统V&V活动与技术方法

３．１　传统的CPR1000项目安全级系统V&V活动与技术方法介绍

CPR1000项目安全级V&V活动由２个确认和４个验证环节构成。具体流程如图３所示。

• 确认１是客户根据核电厂的整体安全、功能、性能要求来确认仪控系统的当前设计要求是否正确、完整。

对象构成文件主要包括：

１）合同技术附件；
２）安全分级原则，反应堆保护系统要求，事故后监测显示内容定义；
３）逻辑图模拟图清单，堆芯监测需求规格书，设定值手册。

以上客户上游文件将作为后阶段验证和确认的重要参考文件。

输出文件：安全仪控系统说明书 （Safety DCS System Specification）。

输入文件：技术合同章节，法规标准。

• 验证２是 评 估 计 算 机 系 统 配 置 和 软 件设计，确认参考文件要求反映在验证２文件中。

输出文件：

１）安全级仪控设备说明书（RPC,ESFAC,SLC,CCMS）；
２）安全级仪控功能图；
３）I/O清单；
４）安全级VDU屏幕设备说明书、数据库。

输入文件：

１）经过验证１检验并修改后的安全级DCS技术规范书；
２）设计院设计的逻辑图模拟图、输入输出清单；
３）国内／国际相关标准。

• 验证3，4是针对软件设计与实施阶段的验证工作，是保证所开发的软件程序满足软件方针书中所提出的各项功能要求的重要质控环节。由于目前软件代码的生成普遍采用了经过验证的计算机辅助设计系统，因此往往将软件的设计验证和代码的生成验证合二为一，在同一阶段完成。
  

  
  

输出文件：

１）组态图、IO清单，设定值清单；
２）安全级VDU画面图。

输入文件：

１）功能要求规格说明书；
２）安全级仪控功能图；
３）功能图，时序图，输入输出清单；
４）通讯输入输出清单。

• 确认２是在软硬件系统集成安装后，所进行的用以验证系统功能、性能与设计规范要求符合程度的各项验性证测试活动，也被称为系统集成测试，通常测试结果也将作为出场验收测试的重要依据和内容。主要的确认点有：

１）有执行检查反应堆保护系统非正常状态的功能；
２）满足精度与相应时间的要求；
３）单一故障或者信号切除不会导致失去安全保护功能；
４）其他通道（或者序列）故障不会导致阻碍执行安全保护功能；
５）可以设置安全模式当失去电源或者其他非正当环境；
６）存在隔离的手段当安全保护系统的仪表或者控制系统故障的时候；
７）在机组运行期间能有完成定期测试的能力；
８）设定值可以根据操作条件被手动修改。

３．２　优化的CPR1000项目安全级系统V&V活动与技术方法介绍

CPR1000项目安全级V&V活动过程环节基本满足IAEA NS-G-1.1标准以及IEC60880的要求，在CPR1000新项目中可以继续保留。但是技术方法、工具以及独立性要求建议做如下优化。

３．２．１　技术方法优化

CPR1000项目V&V活动，所采用的主要V&V方法,即“检查 （Review techniques）”。通过一个或多个人员对一份文件或一组文件进行检查。这些人员组成一个一定规模的团 队，负责对软件生成转换过程中可能出现的异常或故障进行检查。这些异常或故障的类型可能与形成文件所采用的方法或技术，以及文件的 性质有关。这些异常或故障的类型也可能与非功能性要求，如：可靠性，故障模式或安全性有关。

结合IAEA技术报告384以及其他国家先进V&V技术反馈，在CPR1000新项目中，建议采纳另外一种国际上普遍采用的V&V方法即“跟踪分析Traceability analysis”。通过在生成的文件中检查一项活动的输入需求的踪迹，来确认已经对该需求 进行了彻底考虑；并验证已通过开发生命周期，即是说：从分析需求到最终测试这段时间，跟踪所有关键需求是否最终落实在软件产品上。

跟踪性分析由通过检查目标文件进行输入需求的识别，以及如何对该需求进行了确认两部分组成。例如：该分析可能对系统需求文件转化为软件需 求文件进行检查，或者是对软件需求文件转化为软件性能规范，抑或是对 系统需求文件转化为测试文件等进行检查。可能只需要一个工作人员来完成跟踪性分析。该操作要求对输入需求以及用于开发目标文件的方法或技术有一个深入的理解。如有必要，跟踪性分析可能增设一个需求确认步 骤来跟踪，而非仅限于对输入文件的章节或段落的跟踪。

分析后生成一个文件，证明已正确地考虑了所有需求。文件将会根据所有需求，一 一识别出文件的哪个部分或成分，或章节满足它的要求。

显而易见，跟 踪分析必须要求V&V人员对需求和目标文件都有深入理解。对于工具选择上，AP1000的V&V团队选择了一种 超文本和电子文档工具，这种工具可以自动捕捉输入文件和目标文件，以及输入文件和目标文件之间的联系。

除了“跟 踪分析Traceability analysis”外，其他有些先进的V&V方法也可以引入到CPR1000新 项 目，如 “故 障 模 式 分 析 Failure mode effect and criticality analysis(FMECA)”、“故障树分析Fault tree analysis”。

３．２．２　自动化工具的引入

CRP1000项目V&V活动，全部环节都是依靠人工进行。不仅耗时较长，而且由于V&V成员素质参差不齐，验证与确认结果难以保证。

在CPR1000新项目中，建议可引入成熟的自动化验证工具，同时建立工具数据库。数 据库包括需求书、功能图和网络结果图。自动化验证平台具备工艺过程模型、仿真控制模型和人机界面功能，验证平台 自动可解析安全级软件数据包，控制图形再构建的方法，将软件本体导入验证平台，动 态集成电站过程模型以及人机界面。在此基础上依据前期编制的真值表对软件功能进行测试。

测试用真值表基于上游设计输入编制，依据安全级系统的AD/LD,I/O清单文件：反应堆保护系统需求规范书；LEVEL2画面和人机接口设计。

验证真值表中必须包含以下信息：

１）测试对象软件图纸页码及版本状态；
２）参考上游文件图号及版本；
３）输入变量名（LEVEL0至LEVEL1信号需使用上游输入I/O清单中编码，控制器）；
４）输出变量名（输出至LEVEL2信号需使用上游输入人机接口文件中编码，输出I/O）；
５）测试开始前初始状态；

６）每一步中输入变量赋值；
７）每一步输出变量的预期值；
８）需考虑信号故障、旁通，机柜旁通，通信故障等情况，以测试其降级逻辑及缺省值设置；
９）需考虑各种实际机组中可能发生的组合，以确保测试能覆盖软件图中所有逻辑。

目的在于验证：

１）确保所有的图纸正确实现了仪控功能需求说明书和系统说明书中的要求；
２）确保实现的完整性；
３）确认相关功能在安全级软件平台上的实现性；
４）确认满足相应的工程要求（例如编码、图符等）。

３．２．３　独立第三方V&V团队的引入

CPR1000项目V&V部门尽管与软件设计者人员上独立，但从本质上看，仍然属于DCS供货商下属的一个子集，其专业性与 独立性还有待加强。HAD102/16对于第三方评定明确要求：“第三方评定的目的是提供关于系统及软件充分性的评 定，该评定是独立于供货商和用户（许可证持有者）的。这样的评定可由管理机构或管理机构接受的团队承担。另 外，第三方评定应得到各方（国家核安全监督部门、许可证持有者和供货商）的赞同 ”。基于HAF/HAD相关要求，结合其他国家先进V&V技术反馈，在CPR1000新项目中，建议在DCS谈判期间就明确要求V&V活动需由DCS供货商完全不同的独立第三方验证机构来执行。这种V&V验证机构要求具备相关的核电厂安全级软件验证与确认工作资质，他们有独立的管理组织机构和独立的经济基础，采用不同于源设计的方法执行V&V，获得各方（项目部门经理、国家安全监督部门等）认可。

面对福岛事件，人们对于核电厂的安全性、可靠性的要求空前提高并得到各界的广泛共识。计算机技术在核电厂应用，需严格保证核级仪控产品中软件的安全性。安全级软件的安全性保证包括软件的安全开发技术和软件的验证与确认技术两个方 面。按照核法规HAF要求，V&V是保证软件的安全性与可靠性的必要步骤，必须通过V&V过程才能证 明和确认数 字化核级仪控产品中软件的安全性和可靠性，产 品才能被允许应用于核电站安全功能的执行。本文依托CPR1000项目，描述了核电厂安全级软件V&V工作过程与技术方法，以期望为后续核电厂安全级仪控软件V&V活动提供有益参考。

#The End #

作者：刘真，江国进，孙永滨

-------------------------------------------------------

本内容来源于互联网,版权归原作者所有,供学习交流使用,严禁商用,如有侵权请联系我们删除。

-------------------------------------------------------

相关文章，在仿真秀官网搜索：

仿真模型VV＆A工具研究  /  高速列车交会压力波仿真与试验对比分析  / 现代军用仿真系统的新特点及技术对策