李 倩，楊正吉，張子鵬，楊宗昊

（中國(guó)核動(dòng)力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

0 引言

核電廠安全級(jí)儀控系統(tǒng)用于實(shí)時(shí)監(jiān)測(cè)反應(yīng)堆的工藝參數(shù)，當(dāng)參數(shù)超過(guò)整定閾值時(shí)，自動(dòng)觸發(fā)緊急停堆信號(hào)及必要的專用安全設(shè)施，以維護(hù)安全屏障的完整性[1]。安全級(jí)儀控系統(tǒng)一般設(shè)計(jì)有4 個(gè)保護(hù)組：保護(hù)組I、保護(hù)組II、保護(hù)組III 和保護(hù)組IV 和兩個(gè)邏輯系列（邏輯系列A 和邏輯系列B）。為探測(cè)故障和檢查保護(hù)系統(tǒng)可運(yùn)行性，需要對(duì)保護(hù)系統(tǒng)進(jìn)行定期試驗(yàn)。反應(yīng)堆保護(hù)系統(tǒng)定期試驗(yàn)一般分三段交疊進(jìn)行，分別為T1 試驗(yàn)（測(cè)量通道試驗(yàn)）、T2 試驗(yàn)（邏輯功能試驗(yàn)）和T3 試驗(yàn)（輸出通道試驗(yàn)）[2]。其中，T2 試驗(yàn)主要驗(yàn)證安全級(jí)儀控系統(tǒng)應(yīng)用軟件的可靠性，其軟件可靠性主要通過(guò)運(yùn)行測(cè)試用例來(lái)檢驗(yàn)和確認(rèn)[3]。因此，有必要根據(jù)定期試驗(yàn)方案以及相關(guān)法規(guī)標(biāo)準(zhǔn)對(duì)T2 定期試驗(yàn)內(nèi)容進(jìn)行分析，應(yīng)用軟件測(cè)試的方法設(shè)計(jì)相對(duì)簡(jiǎn)潔高效的T2 試驗(yàn)測(cè)試用例集來(lái)驗(yàn)證系統(tǒng)軟件的可靠性，保證核電廠數(shù)字化安全級(jí)儀控系統(tǒng)的軟件高可靠性。

概率安全分析（Probability Safety Assessment）是依據(jù)事故的基本誘因發(fā)生的概率，采用概率論的分析方法，計(jì)算出事故誘因因素的關(guān)聯(lián)度和重要度[4]。PSA 分析方法經(jīng)30 年的快速發(fā)展，已被國(guó)際原子能機(jī)構(gòu)（IAEA）認(rèn)定為“核電廠安全評(píng)價(jià)的一個(gè)標(biāo)準(zhǔn)化工具”。目前，中國(guó)最新頒布的核安全法規(guī)已明確提出需把PSA 法用于對(duì)核電廠的設(shè)計(jì)與運(yùn)行中。PSA 分析方法的運(yùn)用可以使民眾深入了解核電廠的設(shè)計(jì)、性能和環(huán)境的影響，甚至是支配性風(fēng)險(xiǎn)因素的鑒別和對(duì)可降低風(fēng)險(xiǎn)的不同實(shí)現(xiàn)方式的比較[5]。本文基于概率風(fēng)險(xiǎn)評(píng)價(jià)（PSA）分析方法，依托NASPIC 平臺(tái)，提出了一種核電廠測(cè)試用例集的生成策略；選取某核電廠保護(hù)系統(tǒng)的穩(wěn)壓器壓力高工況，進(jìn)行T2 試驗(yàn)測(cè)試用例生成策略研究，并分析了該策略的有效性和覆蓋性。

1 理論模型

1.1 核電廠數(shù)字化安全級(jí)儀控系統(tǒng)的PSA模型建立

概率安全分析（Probability Safety Assessment）是一種系統(tǒng)化的安全分析方法，采用系統(tǒng)可靠性評(píng)價(jià)技術(shù)（即故障樹(shù)和事件樹(shù)分析）和概率風(fēng)險(xiǎn)分析方法對(duì)復(fù)雜系統(tǒng)的各種可能事故的發(fā)生和發(fā)展過(guò)程進(jìn)行全面分析，從他們的發(fā)生概率以及造成的后果綜合進(jìn)行考慮。

為了得到核電廠數(shù)字化安全級(jí)儀控系統(tǒng)（NASPIC 平臺(tái)）應(yīng)用軟件的實(shí)際PSA 模型，首先進(jìn)行核電廠安全級(jí)儀控系統(tǒng)（NASPIC 平臺(tái)）設(shè)備可靠性和初因信息的收集，然后針對(duì)收集的信息進(jìn)行故障樹(shù)和事件樹(shù)的分析，并結(jié)合故障樹(shù)和事件樹(shù)進(jìn)行人因分析，形成故障樹(shù)和事件樹(shù)數(shù)據(jù)庫(kù)；其次，對(duì)故障樹(shù)和事件樹(shù)數(shù)據(jù)庫(kù)進(jìn)行定量分析，并提取故障樹(shù)和事件樹(shù)數(shù)據(jù)庫(kù)的元素簇，并建立元素簇?cái)?shù)據(jù)庫(kù)；再次，針對(duì)元素簇?cái)?shù)據(jù)庫(kù)進(jìn)行不確定性分析，形成事件元素簇概率分布圖；最終形成核電廠數(shù)字化安全級(jí)儀控系統(tǒng)（NASPIC 平臺(tái)）應(yīng)用軟件的實(shí)際PSA 模型，用于指導(dǎo)T2試驗(yàn)測(cè)試用例集策略的生成。圖1 是本文應(yīng)用概率安全分析方法生成的核電廠數(shù)字化安全級(jí)儀控系統(tǒng)（NASPIC 平臺(tái)）應(yīng)用軟件PSA 模型流程圖。

1.2 核電廠數(shù)字化安全級(jí)儀控系統(tǒng)（NASPIC平臺(tái)）T2測(cè)試用例需求約簡(jiǎn)模型建立

本文提出了結(jié)合應(yīng)用軟件PSA 模型進(jìn)行測(cè)試用例集約簡(jiǎn)化處理，進(jìn)行針對(duì)性的應(yīng)用軟件測(cè)試用例需求分析，保證軟件的安全可靠性，有利于測(cè)試用例的高效執(zhí)行，減少測(cè)試時(shí)間。圖2 為基于PSA 模型的核電廠數(shù)字化安全級(jí)儀控系統(tǒng)（NASPIC 平臺(tái)）T2 測(cè)試用例約簡(jiǎn)模型。

2 T2測(cè)試用例集生成

圖1 核電廠數(shù)字化安全級(jí)儀控系統(tǒng)（NASPIC平臺(tái)）應(yīng)用軟件PSA模型流程圖Fig.1 Flow chart based on PSA model of NASPIC application software

表1 條件數(shù)據(jù)表Table 1 Conditional data table

本文選取穩(wěn)壓器壓力高停堆邏輯為例進(jìn)行T2 測(cè)試用例集的設(shè)計(jì)。穩(wěn)壓器壓力參數(shù)的測(cè)量，一般設(shè)計(jì)為四路相互獨(dú)立的壓力儀表。四路壓力儀表按“四取二”表決邏輯進(jìn)行判斷，當(dāng)存在兩路或兩路以上壓力超過(guò)設(shè)定值時(shí)，將觸發(fā)緊急停堆?；赑SA 模型的T2 測(cè)試用例需求約簡(jiǎn)模型得出穩(wěn)壓器壓力高停堆邏輯需要進(jìn)行信號(hào)輸入失效、參數(shù)旁通邏輯、定值比較邏輯、“四取二”表決邏輯以及輸出預(yù)設(shè)值的測(cè)試驗(yàn)證。信號(hào)輸入失效會(huì)導(dǎo)致邏輯降級(jí)處理，信號(hào)點(diǎn)名被修改會(huì)導(dǎo)致輸出錯(cuò)誤。因此，他們將被包含在其他用例中。輸出預(yù)設(shè)值的驗(yàn)證在定值驗(yàn)證中被包含，不單獨(dú)列出說(shuō)明。

2.1 定值驗(yàn)證

NASPIC 平臺(tái)的定期試驗(yàn)工具，針對(duì)T2 試驗(yàn)設(shè)計(jì)有條件數(shù)據(jù)表和用例數(shù)據(jù)表。條件數(shù)據(jù)表即用于試驗(yàn)前的先決條件檢查，確認(rèn)當(dāng)前軟件邏輯中定值的正確性設(shè)置。用例數(shù)據(jù)表主要用于對(duì)邏輯功能的驗(yàn)證。具體執(zhí)行步驟為：先執(zhí)行條件數(shù)據(jù)表，條件數(shù)據(jù)表檢查正確，方可執(zhí)行用例數(shù)據(jù)表。定值驗(yàn)證可通過(guò)條件數(shù)據(jù)表進(jìn)行校驗(yàn)，條件數(shù)據(jù)表的形式見(jiàn)表1。

圖2 基于PSA模型的T2測(cè)試用例需求約簡(jiǎn)模型Fig.2 Requirement reduction model of T2 test case based on PSA

圖3 穩(wěn)壓器壓力高邏輯示意圖（以RPC-1為例）Fig.3 Logic diagram of high pressurizer pressure(taking an example of RPC-1)

針對(duì)穩(wěn)壓器壓力高工況，需判斷其邏輯中的定值是否等于16.45Mpa，回差是否等于0.07 Mpa。若當(dāng)前邏輯中的定值與表格中的數(shù)據(jù)不一致，則校驗(yàn)失敗，無(wú)法執(zhí)行用例數(shù)據(jù)表。

表2 參數(shù)旁通邏輯試驗(yàn)數(shù)據(jù)表Table 2 Test table of signal bypass

2.2 參數(shù)旁通邏輯驗(yàn)證

參數(shù)旁通邏輯即對(duì)一個(gè)保護(hù)參數(shù)進(jìn)行旁通，以便于傳感器的在線維護(hù)。每一個(gè)保護(hù)參數(shù)設(shè)置一個(gè)參數(shù)旁通開(kāi)關(guān)，每個(gè)開(kāi)關(guān)設(shè)有兩個(gè)操作位置，分別為正常和旁通狀態(tài)。旁通開(kāi)關(guān)打到旁通狀態(tài)時(shí)，旁通對(duì)應(yīng)的保護(hù)參數(shù)，所有其參與的保護(hù)邏輯進(jìn)行降級(jí)處理；開(kāi)關(guān)打到正常狀態(tài)時(shí)降級(jí)邏輯解除，示意圖如圖3 所示。

針對(duì)參數(shù)旁通邏輯功能的驗(yàn)證，設(shè)計(jì)用例數(shù)據(jù)表見(jiàn)表2。

2.3 表決邏輯驗(yàn)證

表決邏輯可為正常邏輯和降級(jí)邏輯，正常邏輯即為所有參與表決的輸入信號(hào)質(zhì)量位均為“好”；降級(jí)邏輯為部分輸入信號(hào)的質(zhì)量位為“壞”從而引起了表決邏輯的降級(jí)。為簡(jiǎn)化T2 試驗(yàn)設(shè)計(jì)，采取正常邏輯和降級(jí)邏輯分離測(cè)試原則。

表3 正常表決邏輯試驗(yàn)數(shù)據(jù)表Table 3 Test table of normal voting

表4 降級(jí)表決邏輯試驗(yàn)數(shù)據(jù)表Table 4 Test table of degraded voting

2.3.1 正常表決邏輯功能驗(yàn)證

在正常表決邏輯功能驗(yàn)證中，將兩個(gè)保護(hù)組觸發(fā)停堆的所有情況進(jìn)行組合與排列，并通過(guò)策略優(yōu)化方式減少測(cè)試用例，達(dá)到既保證邏輯全覆蓋驗(yàn)證又節(jié)約測(cè)試時(shí)間的目的。

2.3.2 降級(jí)表決邏輯功能驗(yàn)證

在降級(jí)表決邏輯功能驗(yàn)證中，將引起邏輯降級(jí)的所有情況行組合。

3 結(jié)論

本文應(yīng)用概率安全分析方法形成核電廠數(shù)字化安全級(jí)儀控系統(tǒng)（NASPIC 平臺(tái)）應(yīng)用軟件的實(shí)際PSA 模型，并選取穩(wěn)壓器壓力高停堆工況生成了針對(duì)核電廠安全級(jí)儀控系統(tǒng)（NASPIC 平臺(tái)）應(yīng)用軟件的包含故障樹(shù)與事件樹(shù)信息的軟件測(cè)試用例集。通過(guò)此方法能夠保證軟件測(cè)試的安全針對(duì)性覆蓋，滿足核電廠數(shù)字化安全級(jí)儀控系統(tǒng)的高可靠性要求。目前該設(shè)計(jì)已經(jīng)用于工程實(shí)踐中，本文的設(shè)計(jì)方法可為相關(guān)核電廠安全級(jí)儀控系統(tǒng)T2 設(shè)計(jì)提供指導(dǎo)。