徐展，夏丹陽（中核控制系統(tǒng)工程有限公司，北京 100176）

核電廠DCS安全級應(yīng)用軟件的集成測試方法

徐展，夏丹陽（中核控制系統(tǒng)工程有限公司，北京 100176）

核電廠DCS安全級系統(tǒng)是整個DCS系統(tǒng)的重要組成部分,確保核電廠DCS安全級系統(tǒng)應(yīng)用軟件的安全可靠性是至關(guān)重要的,軟件驗證和確認(rèn)活動給核電廠安全可靠性提供了重要保障,這其中包括一些相關(guān)測試活動,軟件集成測試是驗證和確認(rèn)活動的重要環(huán)節(jié)。本文遵循標(biāo)準(zhǔn)IEEE-1012軟件驗證與確認(rèn),針對安全級平臺Tricon系統(tǒng),給出了一套完整的軟件集成測試方法。

軟件集成測試；驗證和確認(rèn)；DCS安全級應(yīng)用軟件

1 引言

數(shù)字化技術(shù)已經(jīng)在各工業(yè)領(lǐng)域得到了廣泛成功的應(yīng)用。近年來，為了提高核電運行的安全性、可靠性及經(jīng)濟(jì)型，數(shù)字化技術(shù)已經(jīng)成為核電儀控技術(shù)發(fā)展的普遍趨勢[1]。在核電儀控系統(tǒng)的數(shù)字化過程中，一個必然要解決的關(guān)鍵問題是安全級平臺軟件的驗證與確認(rèn)過程[2]。這其中包括一些相關(guān)測試活動，軟件集成測試就是DCS設(shè)備在出廠驗收之前對系統(tǒng)軟件的一步重要驗證活動。

2 DCS安全級應(yīng)用軟件

核電廠DCS安全級平臺軟件是指針對待定核電廠，實現(xiàn)核電廠安全儀控功能的應(yīng)用軟件，根據(jù)反應(yīng)堆設(shè)計基準(zhǔn)及規(guī)范，核電數(shù)字化保護(hù)系統(tǒng)中運行的安全級軟件需采取模塊化的結(jié)構(gòu)，它是由一系列的安全功能組成的，而每一個安全功能內(nèi)部按照數(shù)據(jù)處理的不同以模塊的形式劃分。

核電數(shù)字化保護(hù)系統(tǒng)，主要包括反應(yīng)堆事故停堆系統(tǒng)和專設(shè)安全系統(tǒng)，其中運行的軟件也必然要包括兩部分，一部分用于執(zhí)行反應(yīng)堆停堆功能，當(dāng)需要時產(chǎn)生控制動作觸發(fā)反應(yīng)堆停堆。另一部分用于執(zhí)行專設(shè)安全 設(shè)施功能，安全設(shè)施包括驅(qū)動單元及適當(dāng)?shù)脑O(shè)備布置，根據(jù)驅(qū)動系統(tǒng)或操作員發(fā)出的信號實現(xiàn)保護(hù)功能。

安全級平臺Tricon系統(tǒng)可以承擔(dān)核電安全級保護(hù)系統(tǒng)的作用，Tricon系統(tǒng)軟件Tristation1131已經(jīng)通過美國核管會（NRC）的認(rèn)證，可以用于核電安全級保護(hù)系統(tǒng)，但為了確保整個核電數(shù)字化保護(hù)系統(tǒng)功能的安全、可靠實現(xiàn)，上述系統(tǒng)中運行的軟件必須進(jìn)行完整、嚴(yán)格的V&V活動。

3 安全級應(yīng)用軟件的V&V

安全級軟件的V&V是一個嚴(yán)格按步驟評定軟件產(chǎn)品的過程，這種評定貫穿于軟件產(chǎn)品的整個生命周期，應(yīng)視為集成在整個軟件開發(fā)項目中一個完整而獨立的過程。安全級軟件的驗證與確認(rèn)使用審查、分析及測試等技術(shù)，來評定一個完整的軟件系統(tǒng)及其開發(fā)過程中的中間產(chǎn)品是否滿足預(yù)期的功能要求和質(zhì)量要求。

4 安全級應(yīng)用軟件集成測試

應(yīng)用軟件集成測試主要涉及到軟件程序單元的集成，以確保已集成的軟件部件符合軟件設(shè)計，滿足系統(tǒng)功能和需求。下面以福清1、2號機(jī)組核電項目中基于安全級平臺Tricon的反應(yīng)堆保護(hù)系統(tǒng)應(yīng)用軟件為例，來說明整個軟件集成測試過程。

4.1 測試目的及范圍

在標(biāo)準(zhǔn)文件IEEE-1012中指出，在整個軟件生命周期中的設(shè)計階段，基于軟件需求規(guī)格書（SRS）和軟件設(shè)計說明書（SDD）可以生成軟件集成測試計劃，而隨后基于測試計劃、SRS、SDD及用戶文檔可生成測試設(shè)計；在實施階段，基于測試計劃、測試設(shè)計、SRS、SDD及用戶文檔可生成測試用例和測試規(guī)程；在測試階段，依據(jù)測試規(guī)程對源代碼和可執(zhí)行代碼來執(zhí)行測試。

軟件集成測試確保開發(fā)的軟件符合期望的設(shè)計，具體來說就是，確保正確地執(zhí)行SDD以及滿足SRS中的軟件需求，因此軟件集成測試包括白盒測試（驗證SDD）和黑盒測試（確認(rèn)SRS）。

黑盒測試屬于一種基于需求的功能性測試，在測試用例和測試腳本及規(guī)程的設(shè)計中都需要保證測試覆蓋到所有的需求，并且可以從正反兩個方向來對測試和需求進(jìn)行追蹤，執(zhí)行黑盒測試用來檢測設(shè)計是否滿足需求。因此，對于軟件集成測試來說，黑盒測試就是來檢測是否滿足SRS規(guī)定的軟件需求。

白盒測試用來驗證程序、應(yīng)用軟件邏輯和運算功能。本項目軟件集成測試要求達(dá)到路徑覆蓋，即對SDD中各個約束條件之間的每種組合至少進(jìn)行一次測試：例如，依據(jù)各輸入的組合來建立所有情況的測試用例。在軟件集成測試之前對于SRS和SDD里的單元部件已經(jīng)進(jìn)行過測試了，所以軟件集成測試重點在于各個部件之間的連接集成情況。

4.2 測試特性

基于IEEE-1012標(biāo)準(zhǔn)文件和軟件驗證和確認(rèn)計劃（SVVP），軟件集成測試的輸入文件是SRS和SDD，福清1、2號機(jī)組項目測試特性為：

（1）SRS文件具體的軟件需求；

（2）SDD文件中每個部件（entity）的代碼結(jié)構(gòu)（code structure）；

（3）SDD文件中每個部件的輸入輸出點表。

軟件集成測試的目標(biāo)是盡可能找出軟件執(zhí)行代碼中的錯誤指令。當(dāng)執(zhí)行代碼偏離SRS的軟件需求和SDD的代碼結(jié)構(gòu)時，軟件集成測試要能發(fā)現(xiàn)這些錯誤，并用文件來記錄下來。

引用部件（entity）這個概念來描述SDD中一組相關(guān)邏輯設(shè)計，為了和SDD保持一致，軟件集成測試按照每個部件這種方法來編寫測試用例。

4.3 測試手段和工具

軟件集成測試是在tristation 1131及其仿真環(huán)境下來進(jìn)行測試的，而并不需要tricon硬件支持。Excel表格和測試宏代碼可以通過動態(tài)數(shù)據(jù)交換（DDE）來實現(xiàn)tristation 1131和仿真系統(tǒng)的連接通信。通過仿真得到的輸出結(jié)果反饋到excel表格上跟預(yù)期的輸出結(jié)果進(jìn)行比較，看是否滿足軟件的測試需求。

4.4 測試用例表格

軟件集成測試用例通過excel工具生成一個表格，其中包括輸入輸出點表，通過/不通過標(biāo)準(zhǔn)等，測試分為靜態(tài)測試和動態(tài)測試兩種，所謂靜態(tài)測試是指測量的輸出值可以在確定的輸入下得到確切結(jié)果，而不是暫時得到的瞬態(tài)結(jié)果，一般不隨著時間的變化而變化。圖1為一個靜態(tài)的測試用例表格：

圖1 靜態(tài)測試用例表格

所謂的動態(tài)測試是指時間相關(guān)的邏輯測試，為了保證時間參數(shù)的正確性，我們能夠得到在每個時間掃描周期上的輸出結(jié)果，以便于看到某一點在各個時刻的輸出變化值。圖2為一個動態(tài)的測試用例表格：

圖2 動態(tài)測試用例表格

4.5 測試用例設(shè)計原則

測試用例的每一步（test case step）是根據(jù)軟件需求和代碼結(jié)構(gòu)來設(shè)計的。通常第一步來查看SDD文件中的代碼結(jié)構(gòu)是否正確，通常采用下圖方式根據(jù)不同的代碼結(jié)構(gòu)來編寫不同的測試用例，第二步查看是否SRS中的需求被這些測試用例完全覆蓋。我們重點來說第一步，圖3展示了具體的測試用例編寫原則：

圖3 測試用例編寫原則

（1）首先根據(jù)具體的邏輯分為兩大類：時間相關(guān)的邏輯和時間無關(guān)的邏輯。對于時間無關(guān)的邏輯，只需要進(jìn)行編寫靜態(tài)測試用例；對于時間相關(guān)的邏輯，還需要編寫額外的動態(tài)測試用例。

（2）根據(jù)輸入個數(shù)來決定時間無關(guān)邏輯的復(fù)雜程度。當(dāng)輸入的個數(shù)小于或等于8，這種情況屬于簡單邏輯；當(dāng)輸入的個數(shù)大于8，這種情況屬于復(fù)雜邏輯，需要把輸入分成幾組來測試，當(dāng)測試其中的一組時，其他組的輸入可根據(jù)邏輯情況設(shè)置適當(dāng)?shù)妮斎胫担灰挥绊懙狡錅y試結(jié)果即可。

（3）代碼結(jié)構(gòu)還需根據(jù)輸入數(shù)據(jù)類型和記憶類型進(jìn)一步分類，當(dāng)對無記憶二進(jìn)制類型的簡單邏輯進(jìn)行測試時，利用2N個測試用例便能把所有的二進(jìn)制組合情況進(jìn)行測試，N為輸入的個數(shù)。

（4）對于時間相關(guān)的邏輯可以根據(jù)不同的模塊進(jìn)行編寫測試用例，對于LEADLAG, LEADLAG_R, DR_PI, FI這些超前滯后類模塊時，利用階躍響應(yīng)進(jìn)行測試；對于BUP_CONTROL, RAMP, RAMP_R, ACTUATOR_FAULT, TON, TOF, TP_R這些時間延遲類模塊時，根據(jù)具體的時間參數(shù)設(shè)定延遲的時間，在靜態(tài)測試用例中進(jìn)行測試，這些時間參數(shù)還會在動態(tài)測試用例中重復(fù)測試。

4.6 宏代碼使用及自動測試方法

為了快速準(zhǔn)確的完成軟件集成測試，使用visual basic application（VBA）語言來編寫宏代碼，實現(xiàn)自動化測試過程。宏代碼實現(xiàn)的功能是接受測試開始指令，讀取需要的參數(shù)，設(shè)置DDE和仿真器連接，把具體值寫到相應(yīng)的輸入變量當(dāng)中，等待特定的時間執(zhí)行邏輯，再從仿真器讀取相應(yīng)的輸出值寫到excel表格中去，并跟期望值進(jìn)行比較，得到通過/不通過結(jié)果。

在編寫完這些宏代碼之后，實際開始測試時，測試人員會執(zhí)行Excel中寫好的宏代碼，使得excel表格中的輸入值自動的寫入仿真器中，并使輸出值自動地反饋到excel表格中去。

5 結(jié)束語

本文在參考安全級軟件V&V國際標(biāo)準(zhǔn)的基礎(chǔ)上，以福清1、2號機(jī)組核電項目為例，給出了一套完整的安全級應(yīng)用軟件集成測試方法，并應(yīng)用到基于安全級平臺tricon系統(tǒng)的反應(yīng)堆保護(hù)系統(tǒng)應(yīng)用軟件集成測試中去，為提高軟件的安全性和可靠性提供了保障。

[1] 高超, 胡立生. 核級軟件的驗證與確認(rèn)技術(shù)研究[J]. 微型電腦應(yīng)用, 2010, 4.

[2] IAEA TRS No. 384: Verification and Validation Related toNuclear Power Plant Instrument and Control[S].

[3] IEEE Std 1012-2004: IEEE Standard for Software Verification and Validation [S].

Software Integration Test for DCS Safety Related System of Nuclear Power Plant

The safety-level system is the most important part of the whole distributed control system (DCS) in nuclear power plant. It’s important to ensure the safety and reliability of safety-level system application software for nuclear power plant. Software verification and validation provide the important protection for the safety and reliability of nuclear power plant, which include several related test activities. Software integration test is an important part of verification and validation activities. A useful and powerful method of the software integration test on Tricon system for safety related system is given in this article based on IEEE standard 1012 software verification and validation.

SIT (Software Integration Test); V&V(Verification and Validation); DCS safety related system

B

1003-0492(2015)06-0103-03

TM623.8

徐展（1984-）,男，滿族，遼寧丹東人，工程師，碩士研究生，現(xiàn)主要從事核電驗證和確認(rèn)的工作。

夏丹陽（1982-），女，四川人，工程師，碩士研究生，現(xiàn)主要從事核電驗證和確認(rèn)的工作。