羅慧

【摘 要】隨著數(shù)字化安全儀控系統(tǒng)的廣泛應(yīng)用，安全儀控系統(tǒng)軟件的驗(yàn)證與確認(rèn)工作成為必不可少的工作。本文對AP1000安全儀控系統(tǒng)PMS的軟件V&V流程及各階段主要任務(wù)進(jìn)行了介紹與思考。

【關(guān)鍵詞】安全儀控系統(tǒng)；驗(yàn)證與確認(rèn)V&V；

1.引言

數(shù)字化安全儀控系統(tǒng)結(jié)合數(shù)字化DCS系統(tǒng)集計(jì)算、控制、通訊、顯示于一體的特點(diǎn)在核電站逐步得到應(yīng)用。由于安全儀控系統(tǒng)高可靠性要求，核級軟件必須經(jīng)過獨(dú)立V&V過程才能應(yīng)用于核電站的安全功能。

根據(jù)IEC標(biāo)準(zhǔn)60880的定義，安全儀控系統(tǒng)的V&V活動(dòng)分別代表Verification和Validation.其中Verification驗(yàn)證，通過并提供可觀證據(jù)來驗(yàn)證項(xiàng)目活動(dòng)滿足目標(biāo)要求；Validation確認(rèn)，主要通過檢查和測試的手段來確認(rèn)（系統(tǒng)/設(shè)備功能，響應(yīng)時(shí)間、故障容錯(cuò)，robustness）滿足系統(tǒng)規(guī)格書的要求。

IEC標(biāo)準(zhǔn)60880和IEEE標(biāo)準(zhǔn)1012對V&V的主要要求是：每份技術(shù)文件出版前必須被原設(shè)計(jì)人以外的另一個(gè)團(tuán)隊(duì)進(jìn)行檢查；必須覆蓋設(shè)計(jì)文件內(nèi)的所有文件，內(nèi)容包括文件的格式和技術(shù)內(nèi)容。

AP1000安全儀控系統(tǒng)軟件V&V主要分為以下步驟：

V&V標(biāo)準(zhǔn)規(guī)范確定；

部門組織機(jī)構(gòu)的確定；

各階段V&V執(zhí)行；

V&V總結(jié)報(bào)告。

2.標(biāo)準(zhǔn)規(guī)范

核電廠安全法規(guī)和標(biāo)準(zhǔn)是進(jìn)行安全級數(shù)字化儀控系統(tǒng)設(shè)計(jì)的重要依據(jù)，V&V標(biāo)準(zhǔn)規(guī)范確定是否適當(dāng)直接影響后續(xù)V&V任務(wù)的執(zhí)行。AP1000在軟件V&V階段選定標(biāo)準(zhǔn)為IEEE1012（軟件的鑒定和認(rèn)證）。

AP1000將軟件完整性等級分為四級：保護(hù)、安全重要、可用重要和一般重要，并與IEEE1012-1998中的標(biāo)準(zhǔn)等級對應(yīng)，依次為高、主要、中等、低。根據(jù)等級不同，完成不同的V&V項(xiàng)目。

3.V&V部門組織機(jī)構(gòu)

AP1000項(xiàng)目設(shè)計(jì)方成立專門的V&V部門，與設(shè)計(jì)部門完全獨(dú)立，其成員不參與任何設(shè)計(jì)部門的活動(dòng)，在行政和經(jīng)濟(jì)上均獨(dú)立于設(shè)計(jì)部門，向上由技術(shù)部門經(jīng)理管轄。

V&V部門在安全儀控COM Q平臺上執(zhí)行軟件確認(rèn)、驗(yàn)證和配置管理。如果由設(shè)計(jì)部門執(zhí)行軟件驗(yàn)證測試，V&V部門必須通過文件記錄審查和測試過程見證的方式以對整個(gè)過程驗(yàn)證監(jiān)督。

4.V&V過程執(zhí)行

V&V部門依據(jù)選定的法規(guī)標(biāo)準(zhǔn)，利用系統(tǒng)性方法驗(yàn)證軟件符合客戶的要求及相應(yīng)的工業(yè)標(biāo)準(zhǔn)和法規(guī)要求，以達(dá)到盡早發(fā)現(xiàn)問題以減少糾正錯(cuò)誤成本，增加系統(tǒng)的可靠性和可用性。

軟件生命周期可簡單劃分為：計(jì)劃、需求分析、設(shè)計(jì)、編碼、測試、運(yùn)行和維護(hù)等階段。軟件開發(fā)是循環(huán)和重復(fù)的過程，每個(gè)階段都可能引入錯(cuò)誤，都需要進(jìn)行軟件V&V，以盡早發(fā)現(xiàn)提高系統(tǒng)經(jīng)濟(jì)性。在系統(tǒng)集成測試階段可通過回歸測試，對軟件問題進(jìn)行集中升級處理。

圖一 軟件生命周期模型圖

（1）概念階段V&V

概念設(shè)計(jì)以用戶需求、建議和合同作為基礎(chǔ)。AP1000安全儀控軟件概念階段V&V主要包括：審查概念設(shè)計(jì)文件的一致性、兼容性且符合法規(guī)標(biāo)準(zhǔn)；確定與接口系統(tǒng)的主要限制條件、系統(tǒng)的限制和約束、軟硬件功能分配及每個(gè)軟件的關(guān)鍵程度均滿足設(shè)計(jì)要求。

（2）需求階段V&V

此階段為了確定軟件需求是否完整、準(zhǔn)確、清晰、可追溯、可測試。V&V部門審查系統(tǒng)硬件、軟件和子系統(tǒng)之間的相互關(guān)系，對系統(tǒng)設(shè)計(jì)和開發(fā)過程中的目標(biāo)和需求是否清晰定義，以確保整個(gè)系統(tǒng)滿足要求。主要包括：評估系統(tǒng)硬件、軟件和子系統(tǒng)的需求分配是否適當(dāng)；評估完成系統(tǒng)目標(biāo)的可行性；確保設(shè)計(jì)需求完整、準(zhǔn)確、可測試且表述清晰；執(zhí)行軟件安全需求分析，包括安全要求和風(fēng)險(xiǎn)、設(shè)計(jì)約束條件和原則、測試要求、設(shè)計(jì)的規(guī)定和經(jīng)驗(yàn)。

（3）設(shè)計(jì)階段V&V

設(shè)計(jì)階段的驗(yàn)證主要是依照設(shè)計(jì)執(zhí)行前確定設(shè)計(jì)說明書清晰、準(zhǔn)確、完整地轉(zhuǎn)化了設(shè)計(jì)需求。設(shè)計(jì)說明書應(yīng)提供詳細(xì)的系統(tǒng)結(jié)構(gòu)、數(shù)據(jù)流、處理步驟及其它必須完成項(xiàng)，以滿足系統(tǒng)詳細(xì)設(shè)計(jì)及后續(xù)工作需求。

（4）編碼階段V&V

此階段主要任務(wù)為：確定編碼文件清晰、可理解、邏輯正確，并全由設(shè)計(jì)規(guī)范轉(zhuǎn)化而來；審查已完成的軟件文件，確保編譯完成的軟件完整、正確地執(zhí)行了設(shè)計(jì)規(guī)范；對執(zhí)行軟件的邏輯、數(shù)據(jù)、接口、約束條件、編碼格式等方面進(jìn)行軟件編碼安全分析；審查軟件模塊測試報(bào)告和單元測試報(bào)告；審查程序編碼和相關(guān)數(shù)據(jù)庫、硬件和配置的軟件程序是否正確；評估軟件配置管理、審查軟件測試記錄，保證執(zhí)行了適當(dāng)?shù)慕Y(jié)構(gòu)測試。

（5）測試階段V&V

AP1000安全儀控系統(tǒng)軟件測試主要包括軟件元件測試、處理器模塊測試和軟硬件集成后的通道集成測試、系統(tǒng)集成測試。

此階段主要任務(wù)：在驗(yàn)證過的硬件上確認(rèn)軟件程序可用；編寫測試程序，包括測試方法、測試標(biāo)準(zhǔn)、測試特殊要求、測試錯(cuò)誤的應(yīng)對策略；根據(jù)V&V規(guī)程進(jìn)行測試；生成測試文件和報(bào)告；跟蹤系統(tǒng)的設(shè)計(jì)變更和修正，對執(zhí)行步驟進(jìn)行可追溯性審查。

（6）安裝及檢驗(yàn)階段V&V

該階段檢查系統(tǒng)安裝包，以保證用于安裝和運(yùn)行的所有必要文件都完整正確地包括在安裝包中。主要任務(wù)包括：審查安裝程序和用戶手冊；審查用戶培訓(xùn)資料；準(zhǔn)備并發(fā)布最終的V&V報(bào)告，報(bào)告包括所有審查記錄文件清單、缺陷及糾正活動(dòng)清單、基于V&V結(jié)果的系統(tǒng)評估、系統(tǒng)升級的建議及意見；審查設(shè)計(jì)部門執(zhí)行的需求可追溯性分析。

（7）運(yùn)行和維護(hù)階段V&V

軟件安裝后，某些情況下可能需要額外的V&V活動(dòng)，主要包括：由于硬件修改而造成的軟件變更；為提高性能而進(jìn)行的軟件修改；發(fā)現(xiàn)需要修改的軟件錯(cuò)誤。

5.AP1000軟件V&V報(bào)告

V&V報(bào)告是用來記錄整個(gè)驗(yàn)證過程的文檔記錄。在軟件生命周期中每個(gè)階段均應(yīng)存在該報(bào)告，用于驗(yàn)證和確認(rèn)過程和結(jié)果符合要求，并且達(dá)到了V&V目的。主要包括V&V階段性總結(jié)報(bào)告，對總體性情況進(jìn)行描述；不符合項(xiàng)報(bào)告，應(yīng)記錄V&V過程中發(fā)現(xiàn)的所有不符合項(xiàng)目；最終V&V報(bào)告，該報(bào)告在最后階段發(fā)布，記錄整個(gè)生命周期內(nèi)的V&V活動(dòng)，包括任務(wù)概述、結(jié)論概述，發(fā)現(xiàn)的不符合項(xiàng)及應(yīng)對措施、整個(gè)系統(tǒng)和軟件的品質(zhì)評估、優(yōu)化建議和代碼證書。

6.關(guān)鍵V&V任務(wù)

在整個(gè)V&V過程中，以下幾個(gè)為關(guān)鍵任務(wù)：

（1）完整性分析

基于前一階段分析得出的安全性等級并結(jié)合本階段所獲取信息，對軟件模塊的完整性進(jìn)行判定，軟件完整性等級將決定下一階段中針對該軟件所需開展的活動(dòng)項(xiàng)目。

（2）需求追溯性分析

對本階段與上一階段要素間的一致性、完整性和正確性進(jìn)行追溯性分析，力求上一階段要求在本階段正確完整體現(xiàn)，且未引入額外的內(nèi)容。

（3）缺陷分析

在概念階段可通過故障樹等多種方法確定系統(tǒng)缺陷，評估其嚴(yán)重性、發(fā)生概率等。在其后每個(gè)階段的缺陷分析活動(dòng)中，均需對每項(xiàng)缺陷的后續(xù)處理進(jìn)行分析，以確定該系統(tǒng)已明確地制定了相應(yīng)的措施來緩解或消除該缺陷，同時(shí)該措施已正確設(shè)計(jì)，且未在該過程中引入新缺陷。

7.結(jié)束語

本文對AP1000安全儀控系統(tǒng)的V&V從建標(biāo)到完成報(bào)告流程進(jìn)行了介紹。建議參與V&V的業(yè)主人員熟悉相關(guān)法規(guī)標(biāo)準(zhǔn)，制定良好的工作計(jì)劃，熟悉各階段任務(wù)和完成方法，提供保留足夠的文檔記錄，對安全儀控系統(tǒng)后續(xù)軟件需求的可追溯性、軟件運(yùn)行可用可靠性具有重要意義。

AP1000采用COM Q作為安全儀控系統(tǒng)軟件平臺，在核電業(yè)內(nèi)供借鑒經(jīng)驗(yàn)較少。根據(jù)國內(nèi)同行經(jīng)驗(yàn)，軟件V&V工作需要有豐富的系統(tǒng)應(yīng)用與接口工藝系統(tǒng)知識的人員，才便于在該過程發(fā)現(xiàn)問題并提出合理可行的方案，這對后續(xù)項(xiàng)目核電機(jī)組的安全儀控軟件V&V工作將有重要借鑒意義。

（作者單位：山東核電有限公司）