V&V活動(dòng)中對(duì)自診斷的關(guān)注和執(zhí)行方法研究

張杰穎

(北京廣利核系統(tǒng)工程有限公司，北京　100094)

?

V&V活動(dòng)中對(duì)自診斷的關(guān)注和執(zhí)行方法研究

張杰穎

(北京廣利核系統(tǒng)工程有限公司，北京100094)

摘要：為保證和證明核電廠安全級(jí)數(shù)字化保護(hù)系統(tǒng)的安全性、可靠性，對(duì)其軟件執(zhí)行驗(yàn)證和確認(rèn)(V&V)。自診斷V&V是常規(guī)V&V的補(bǔ)充。為指導(dǎo)自診斷V&V活動(dòng)，基于軟件生命周期模型提出一種方法。該方法依據(jù)標(biāo)準(zhǔn)、法規(guī)導(dǎo)則，將危險(xiǎn)分析報(bào)告中與自診斷相關(guān)且妨礙安全功能執(zhí)行的潛能危險(xiǎn)作為軟件開(kāi)發(fā)中的解決項(xiàng)；綜合考慮系統(tǒng)各相關(guān)要素對(duì)軟件進(jìn)行檢查、分析和評(píng)估，通過(guò)設(shè)計(jì)V&V實(shí)例給出了分析與評(píng)估要點(diǎn)。仿真測(cè)試結(jié)果驗(yàn)證了該方法應(yīng)用于自診斷V&V的正確性及可行性，表明該方法是值得推廣的、實(shí)用的、有效的方法。

關(guān)鍵詞：核電廠安全級(jí)數(shù)字化保護(hù)系統(tǒng)V&V自診斷安全性可靠性

0引言

驗(yàn)證和確認(rèn)(verificationandvalidation，V&V)過(guò)程通過(guò)檢查、分析、評(píng)估、評(píng)審、評(píng)價(jià)和測(cè)試的方法，為軟件產(chǎn)品和軟件過(guò)程提供置信度證明。該過(guò)程證明軟件需求和分配給軟件的系統(tǒng)需求是正確、完全、準(zhǔn)確、一致和有效的，驗(yàn)證給定活動(dòng)階段的開(kāi)發(fā)產(chǎn)品滿足前一階段的需求，并確認(rèn)了軟硬件集成后的系統(tǒng)與其預(yù)期需求、用戶需求的符合性。軟件V&V與軟件開(kāi)發(fā)并行執(zhí)行，具有技術(shù)、管理、財(cái)物方面的獨(dú)立性[1]。

自診斷作為衡量系統(tǒng)功能和系統(tǒng)安全完整性的指標(biāo)[2-4]，得到核安全監(jiān)管機(jī)構(gòu)、用戶、供應(yīng)商各方的重視。本文從V&V視角，基于核電領(lǐng)域標(biāo)準(zhǔn)、法規(guī)，從保障系統(tǒng)安全性、可靠性的需求入手，精確解讀抽象的標(biāo)準(zhǔn)、法規(guī)中關(guān)于自診斷的界定，介紹了一種自診斷V&V方法。該方法通過(guò)了工廠集成測(cè)試階段仿真測(cè)試的驗(yàn)證，是V&V活動(dòng)中值得推廣應(yīng)用的實(shí)用、有效方法。

1系統(tǒng)的安全性及可靠性

核電廠數(shù)字化保護(hù)系統(tǒng)是基于計(jì)算機(jī)的安全系統(tǒng)。基于核電廠工藝的事故分析、瞬態(tài)分析以及假設(shè)始發(fā)事件和所需滿足安全準(zhǔn)則，確定計(jì)算機(jī)系統(tǒng)的需求，即安全性、可用性、可靠性需求。安全性是功能性需求，可用性、可靠性是保證安全功能實(shí)現(xiàn)的非功能性需求[5]。

可用性是系統(tǒng)能夠正常工作的前提，可靠性是系統(tǒng)在設(shè)計(jì)技術(shù)規(guī)范內(nèi)能夠完成預(yù)定功能的概率。當(dāng)系統(tǒng)未完成預(yù)定的功能時(shí)，就稱其發(fā)生了失效[6]。安全性不僅與可靠性相關(guān)，而且與系統(tǒng)的失效模式相關(guān)。在危險(xiǎn)模式(系統(tǒng)需求失效模式)下，系統(tǒng)不會(huì)對(duì)潛在的危險(xiǎn)工況作出反應(yīng)，設(shè)備或過(guò)程處于非受控狀態(tài)；在安全模式下，并沒(méi)有潛在的危險(xiǎn)工況發(fā)生，系統(tǒng)進(jìn)入安全狀態(tài)(誤停機(jī)狀態(tài))[6]。

2自診斷

2.1自診斷與定期測(cè)試

數(shù)字化保護(hù)系統(tǒng)的設(shè)計(jì)遵循單一故障準(zhǔn)則，即在任何單一可檢測(cè)故障發(fā)生時(shí)，保護(hù)系統(tǒng)必須能完成所需的保護(hù)功能。自診斷和定期測(cè)試是系統(tǒng)滿足單一故障準(zhǔn)則的重要保證[7]。

自診斷在檢測(cè)隨機(jī)硬件故障方面比定期測(cè)試更加有效，是系統(tǒng)對(duì)自身運(yùn)行狀態(tài)的監(jiān)督，是由系統(tǒng)自身完成的一種或一系列測(cè)試[8]。數(shù)字化保護(hù)系統(tǒng)通過(guò)軟件和看門狗定時(shí)器進(jìn)行自診斷，包括系統(tǒng)啟動(dòng)過(guò)程中的自診斷、運(yùn)行當(dāng)中的連續(xù)自診斷和操作員啟動(dòng)的自診斷[7]。自診斷與定期測(cè)試共同保證數(shù)字化保護(hù)系統(tǒng)的安全性、可靠性，自診斷范圍外的故障檢測(cè)是定期測(cè)試的范圍，自診斷范圍能縮小定期測(cè)試的范圍。

2.2自診斷的開(kāi)發(fā)原則及其范圍

自診斷的開(kāi)發(fā)原則是其給安全系統(tǒng)帶來(lái)的優(yōu)越性不應(yīng)妥協(xié)于其帶給安全系統(tǒng)的額外的復(fù)雜性，但要注意與質(zhì)量合格鑒定要求相平衡；自診斷功能的執(zhí)行不應(yīng)影響系統(tǒng)執(zhí)行安全功能的能力或?qū)е掳踩δ苷`啟動(dòng)；完成自診斷功能的資源(如周期內(nèi)時(shí)間、處理能力相關(guān)資源)應(yīng)與執(zhí)行安全重要功能的資源相平衡[5,8-10]。

計(jì)算機(jī)系統(tǒng)能經(jīng)受使系統(tǒng)功能降級(jí)但又不能被系統(tǒng)立即檢測(cè)到的局部故障，對(duì)于能夠通過(guò)其他方法及時(shí)檢測(cè)到的故障，則無(wú)需自診斷檢測(cè)[9]。典型的自診斷包括[8-10]：

①對(duì)存儲(chǔ)程序完整性的確認(rèn)；

②對(duì)隨機(jī)存儲(chǔ)器(RAM)保留數(shù)值能力的確認(rèn)；

③對(duì)處理器正確執(zhí)行安全重要功能指令集能力的確認(rèn)，要特別注意那些不用于控制程序流的指令(如浮點(diǎn)數(shù)計(jì)算指令)；

④對(duì)訪問(wèn)存儲(chǔ)器和外圍設(shè)備相關(guān)的數(shù)據(jù)總線和地址完整性的確認(rèn)；

⑤對(duì)兩個(gè)處理器間通過(guò)復(fù)雜通信鏈路發(fā)送的信息正確性的確認(rèn)；

⑥對(duì)異步處理進(jìn)程間發(fā)送信息新鮮度的確認(rèn)；

⑦對(duì)存儲(chǔ)器訪問(wèn)正確性的確認(rèn)；

⑧對(duì)過(guò)程信號(hào)有效性的確認(rèn)；

⑨對(duì)程序控制流正確性的確認(rèn)。

2.3自診斷實(shí)現(xiàn)方案及系統(tǒng)故障處理

當(dāng)系統(tǒng)內(nèi)發(fā)生故障時(shí)，故障板卡上的看門狗會(huì)通過(guò)指示燈報(bào)警。故障詳細(xì)信息、故障定位信息的獲取方法有兩種。方法一：通過(guò)中控室監(jiān)控畫面中的系統(tǒng)狀態(tài)圖定位發(fā)生故障的子系統(tǒng)，連接維護(hù)工具與系統(tǒng)，獲得故障信息。此方法成本較低，但信息獲取不便。方法二：在中控室配備專門的監(jiān)視站，實(shí)現(xiàn)在線獲取。此方法雖然信息獲取方便，但成本較高。

系統(tǒng)內(nèi)的故障除觸發(fā)報(bào)警機(jī)制外，還會(huì)觸發(fā)故障處理機(jī)制，以保證系統(tǒng)在故障狀態(tài)下安全功能不喪失，并及時(shí)通知系統(tǒng)操作及維護(hù)人員。系統(tǒng)開(kāi)發(fā)過(guò)程中，根據(jù)故障發(fā)生部位及影響范圍，將處理故障的權(quán)限分別賦予平臺(tái)自診斷軟件和工程應(yīng)用軟件。前者的處理范圍包括復(fù)位并重啟控制器、改變控制器運(yùn)行模式、功能切換到備用控制器。后者的處理范圍包括改變符合邏輯輸出、部分或全部驅(qū)動(dòng)安全重要功能、選擇缺省值或參數(shù)、啟動(dòng)安全重要設(shè)備狀態(tài)在中控室的報(bào)警和顯示[10]。這兩種處理方式都不會(huì)導(dǎo)致系統(tǒng)失效或系統(tǒng)功能喪失。通信鏈路故障由工程應(yīng)用軟件解決，且需在系統(tǒng)運(yùn)行中進(jìn)行評(píng)估[9]。

2.4自診斷的意義

依據(jù)IEC60812(2006-01)，對(duì)于系統(tǒng)級(jí)的故障，可利用風(fēng)險(xiǎn)系數(shù)(RPN)區(qū)分故障影響后果及其發(fā)生概率給系統(tǒng)帶來(lái)的危險(xiǎn)。

RPN=S×O×D

(1)

式中：S為無(wú)量綱數(shù)，表明故障發(fā)生時(shí)對(duì)系統(tǒng)影響的嚴(yán)重程度；O為在既定時(shí)間內(nèi)故障模式發(fā)生的概率；D為系統(tǒng)在受影響前識(shí)別并消除故障的可能性。

D越大，RPN越小[11]。D與自診斷及其覆蓋率密切相關(guān)。系統(tǒng)自診斷功能越完善，可檢測(cè)性故障被檢測(cè)到并消除的可能性(D)越大，其風(fēng)險(xiǎn)越低。即自診斷覆蓋率越高，風(fēng)險(xiǎn)系數(shù)RPN越低，系統(tǒng)的安全性、可靠性越高。

從系統(tǒng)運(yùn)行的角度分析，構(gòu)成系統(tǒng)的各個(gè)元件、設(shè)備在運(yùn)行中可能會(huì)發(fā)生故障。即使系統(tǒng)選用了高性能的硬件板卡，隨著時(shí)間推移，由于受環(huán)境如溫度、濕度、化學(xué)腐蝕、機(jī)械振動(dòng)/沖擊、電磁場(chǎng)、電涌等影響，設(shè)備性能會(huì)逐漸下降，故障率會(huì)逐漸上升。如果自診斷對(duì)系統(tǒng)內(nèi)可檢測(cè)性故障的覆蓋率不夠，將極有可能發(fā)生系統(tǒng)級(jí)功能的失效。

對(duì)于核電廠保護(hù)系統(tǒng)而言，當(dāng)發(fā)生安全失效時(shí)，會(huì)造成反應(yīng)堆誤停堆和安全專設(shè)誤啟動(dòng)，引起非計(jì)劃停產(chǎn)事件，給電廠帶來(lái)直接經(jīng)濟(jì)損失；當(dāng)系統(tǒng)發(fā)生危險(xiǎn)失效時(shí)，會(huì)阻止保護(hù)系統(tǒng)對(duì)潛在危險(xiǎn)工況的響應(yīng)，后果相當(dāng)嚴(yán)重。因此，保護(hù)系統(tǒng)必須具有對(duì)系統(tǒng)硬件設(shè)備的檢測(cè)能力和較高的自診斷覆蓋率，并在較長(zhǎng)的生產(chǎn)周期內(nèi)允許在不停止生產(chǎn)的情況下對(duì)檢測(cè)到的設(shè)備失效進(jìn)行快速維修。

3自診斷V&V方法

軟件V&V形式由軟件安全完整性等級(jí)(safety integrity level,SIL)決定。由于軟件是系統(tǒng)的一部分，其完整性等級(jí)由系統(tǒng)決定。由于核電廠安全級(jí)數(shù)字化保護(hù)系統(tǒng)對(duì)應(yīng)的安全完整性等級(jí)為SIL4，因此對(duì)其軟件執(zhí)行對(duì)應(yīng)SIL4的V&V任務(wù)。

3.1理論方法

安全系統(tǒng)軟件的開(kāi)發(fā)需選擇合適的生命周期模型，并遵從其開(kāi)展活動(dòng)。國(guó)內(nèi)、國(guó)際標(biāo)準(zhǔn)和技術(shù)文獻(xiàn)中定義了許多生命周期。這些生命周期在活動(dòng)組的定義、執(zhí)行順序上雖然存在差異，但活動(dòng)組是通用的。軟件開(kāi)發(fā)方自主選擇合適的生命周期，并確定在生命周期各階段輸出的軟件產(chǎn)品。參考HAD102/16(2004)中基于計(jì)算機(jī)的安全重要系統(tǒng)軟件開(kāi)發(fā)生命周期模型[5]，某大型壓水堆安全級(jí)數(shù)字化保護(hù)系統(tǒng)軟件開(kāi)發(fā)選取的生命周期模型及開(kāi)發(fā)過(guò)程中執(zhí)行的V&V活動(dòng)如圖1所示。圖1中，雙箭頭表示所在階段的V&V任務(wù)是雙向的，包括正向驗(yàn)證和逆向可追溯性分析。

圖1　軟件開(kāi)發(fā)生命周期模型及各階段V&V活動(dòng)Fig.1　Software development life cycle model and V&V activities in each phase

常規(guī)的V&V過(guò)程通過(guò)評(píng)價(jià)基于電廠設(shè)計(jì)基準(zhǔn)的不同失效組合及失效對(duì)系統(tǒng)的影響，確認(rèn)安全系統(tǒng)是否滿足設(shè)計(jì)需求。對(duì)于由設(shè)計(jì)基準(zhǔn)之外的異常事件、由設(shè)備故障導(dǎo)致的系統(tǒng)降級(jí)運(yùn)行對(duì)電廠產(chǎn)生的影響，卻不進(jìn)行評(píng)估。危險(xiǎn)分析可揭露和辨識(shí)在常規(guī)設(shè)計(jì)評(píng)審和測(cè)試中未被識(shí)別出的危險(xiǎn)。自診斷V&V將危險(xiǎn)分析報(bào)告中辨識(shí)的由設(shè)備故障導(dǎo)致的危險(xiǎn)作為活動(dòng)的輸入，只將那些妨礙安全功能執(zhí)行、具有重大影響后果且發(fā)生概率較高的危險(xiǎn)納入開(kāi)發(fā)過(guò)程中的解決項(xiàng)并重點(diǎn)關(guān)注。自診斷V&V是對(duì)常規(guī)V&V的重要補(bǔ)充。

自診斷V&V任務(wù)貫穿于軟件開(kāi)發(fā)生命周期各階段，執(zhí)行思路為：

①確定本階段的驗(yàn)證目標(biāo)和驗(yàn)證中所適用的基準(zhǔn)文件，關(guān)注危險(xiǎn)分析在軟件開(kāi)發(fā)生命周期中被識(shí)別的危險(xiǎn)；

②依據(jù)標(biāo)準(zhǔn)中推薦的自診斷范圍，確定危險(xiǎn)的檢測(cè)對(duì)象；

③根據(jù)開(kāi)發(fā)解決項(xiàng)的確定原則，確定解決項(xiàng)；

④依據(jù)標(biāo)準(zhǔn)中推薦的故障處理方案，確定分別由平臺(tái)軟件和工程應(yīng)用軟件處理的危險(xiǎn)；

⑤通過(guò)檢查、分析，確認(rèn)當(dāng)前驗(yàn)證目標(biāo)是否對(duì)危險(xiǎn)采取了相應(yīng)處理；

⑥依據(jù)標(biāo)準(zhǔn)中規(guī)定的自診斷開(kāi)發(fā)原則評(píng)估軟件對(duì)危險(xiǎn)處理的正確性，并確認(rèn)危險(xiǎn)處理時(shí)未引入非預(yù)期的特性。

3.2方法應(yīng)用實(shí)例

以驗(yàn)證工程應(yīng)用軟件設(shè)計(jì)階段對(duì)危險(xiǎn)的處理為例，介紹自診斷V&V方法。驗(yàn)證的基準(zhǔn)文件為軟件需求文件、相關(guān)標(biāo)準(zhǔn)、法規(guī)和危險(xiǎn)分析報(bào)告，驗(yàn)證目標(biāo)為軟件設(shè)計(jì)文件。要驗(yàn)證自診斷功能已通過(guò)軟件功能圖或工程算法語(yǔ)言得到了實(shí)現(xiàn)，確認(rèn)危險(xiǎn)分析報(bào)告中提到的系統(tǒng)設(shè)計(jì)、軟件需求、軟件設(shè)計(jì)階段危險(xiǎn)因素已被排除或能在后續(xù)開(kāi)發(fā)階段解決。

軟件需求包含系統(tǒng)功能需求和軟件開(kāi)發(fā)程序需求。前者描述了系統(tǒng)要執(zhí)行哪些功能，后者描述了構(gòu)成系統(tǒng)的程序如何運(yùn)行。由于工程應(yīng)用軟件需要系統(tǒng)級(jí)的軟、硬件平臺(tái)為其提供運(yùn)行環(huán)境，故在驗(yàn)證中要綜合考慮系統(tǒng)功能需求、軟件開(kāi)發(fā)程序需求、系統(tǒng)平臺(tái)特性及功能、各相關(guān)接口、各相關(guān)標(biāo)準(zhǔn)、法規(guī)開(kāi)展活動(dòng)。要求驗(yàn)證人員具備系統(tǒng)的、全局的視角和各方面的豐富經(jīng)驗(yàn)。

由前述可知：典型的自診斷包括對(duì)過(guò)程信號(hào)有效性的確認(rèn)，通過(guò)工程應(yīng)用軟件可實(shí)現(xiàn)對(duì)系統(tǒng)故障的處理。下面的實(shí)例在揭示了應(yīng)用軟件設(shè)計(jì)中引入自診斷進(jìn)行數(shù)據(jù)處理意義的同時(shí)，詳述了V&V分析與評(píng)估過(guò)程。3.2.1自診斷改善系統(tǒng)安全性和可靠性

當(dāng)系統(tǒng)模擬量輸入(AI)板卡故障時(shí)，系統(tǒng)所采集的信號(hào)可能保持不變，可能忽高忽低、大幅波動(dòng)，也可能快速變化超越量程范圍。在工程限值內(nèi)，如果信號(hào)保持不變，則不能反映電廠運(yùn)行中所檢測(cè)設(shè)備或工藝介質(zhì)的狀態(tài)。此時(shí)，如果操作/維護(hù)人員不能及時(shí)發(fā)現(xiàn)故障，就會(huì)增加保護(hù)系統(tǒng)降級(jí)運(yùn)行時(shí)間和設(shè)備故障累積導(dǎo)致的系統(tǒng)功能失效風(fēng)險(xiǎn)。如果數(shù)值忽高忽低、大幅波動(dòng)，這種突然的超越過(guò)程量工程整定值又恢復(fù)到正常值并反復(fù)的狀態(tài)，會(huì)使電廠運(yùn)行在一個(gè)極為不穩(wěn)定的工況下，極易引發(fā)反應(yīng)堆誤停堆和安全專設(shè)誤動(dòng)作。這種情況同樣會(huì)在過(guò)程量數(shù)值快速變化并超越量程范圍時(shí)發(fā)生，非計(jì)劃停產(chǎn)事件會(huì)給核電廠帶來(lái)直接的經(jīng)濟(jì)損失。為避免上述情況發(fā)生，在工程應(yīng)用軟件設(shè)計(jì)中采用自診斷改善系統(tǒng)的安全性、可靠性。

圖2為軟件功能圖。數(shù)字化保護(hù)系統(tǒng)通過(guò)模擬量輸入接口模塊采集過(guò)程信號(hào)，通過(guò)信號(hào)品質(zhì)判斷模塊當(dāng)前周期采集到的信號(hào)是否有效。如信號(hào)有效，則信號(hào)選擇模塊直接將其送入下一信號(hào)處理環(huán)節(jié)；如無(wú)效，根據(jù)故障安全準(zhǔn)則，將故障安全設(shè)定值(即電廠安全運(yùn)行經(jīng)驗(yàn)值、信號(hào)缺省值)送入下一信號(hào)處理環(huán)節(jié)。

圖2　AI過(guò)程信號(hào)相關(guān)的軟件功能圖-1Fig.2　The software function diagram related to AI process signal-1

在圖3中給出了模擬量過(guò)程信號(hào)相關(guān)的另一種軟件邏輯。當(dāng)輸入板卡故障時(shí)，其采集過(guò)程信號(hào)的品質(zhì)信號(hào)同過(guò)程信號(hào)一起被送至自動(dòng)停堆符合邏輯，經(jīng)過(guò)符合邏輯處理，系統(tǒng)在降級(jí)模式下運(yùn)行。帶有信號(hào)質(zhì)量信標(biāo)的過(guò)程信號(hào)便于第三方系統(tǒng)作出合適處理。中

控室或其他監(jiān)控系統(tǒng)的即時(shí)I/O通道故障提示，意味著對(duì)故障的迅速響應(yīng)和在線故障維修的迅速引入，從而減少系統(tǒng)在降級(jí)模式下的運(yùn)行時(shí)間，增加系統(tǒng)安全性、可靠性；同時(shí)，對(duì)故障的即時(shí)提示也給信號(hào)可能示值不一致的現(xiàn)象作出了解釋，節(jié)省了操作員人為對(duì)顯示信號(hào)有效性的判斷時(shí)間。

圖3　AI過(guò)程信號(hào)相關(guān)的軟件功能圖-2Fig.3　The softuare function diagram related to AI process signal-2

3.2.2自診斷信息對(duì)操作員操作的意義

核電廠汽機(jī)旁路系統(tǒng)調(diào)節(jié)閥有手操器調(diào)節(jié)和保護(hù)通道軟件調(diào)節(jié)兩種模式。在保護(hù)通道維護(hù)、定期測(cè)試時(shí)，通過(guò)手操器對(duì)閥門進(jìn)行調(diào)節(jié)。設(shè)計(jì)中要考慮操作員手/自動(dòng)切換、不同操作模式切換、不同調(diào)節(jié)方式切換瞬間對(duì)閥門的輸出和跟蹤處理。圖4為汽機(jī)旁路調(diào)節(jié)閥相關(guān)的調(diào)節(jié)功能簡(jiǎn)圖。

圖4　調(diào)節(jié)閥相關(guān)的調(diào)節(jié)功能簡(jiǎn)圖Fig.4　The software function diagram related with control valve

數(shù)字量輸入信號(hào)DI-1為手操器調(diào)節(jié)與軟件調(diào)節(jié)的切換信號(hào)，AI-1信號(hào)為手操器輸入到軟件的信號(hào)，AO-1信號(hào)為軟件對(duì)閥門的輸出信號(hào)。 當(dāng)DI-1信號(hào)為邏輯“0”時(shí)，調(diào)節(jié)閥接受軟件調(diào)節(jié)。調(diào)節(jié)閥輸出處理運(yùn)算單元只接收來(lái)自現(xiàn)場(chǎng)儀表的過(guò)程信號(hào)和安全級(jí)控制顯示系統(tǒng)的信號(hào)，判斷閥門的操作模式(中控室操作站操作模式、備用硬盤臺(tái)操作模式、遠(yuǎn)方應(yīng)急停堆站操作模式)、受控狀態(tài)(手動(dòng)或自動(dòng))、過(guò)程信號(hào)的信號(hào)品質(zhì)(有效或無(wú)效)，計(jì)算閥門的輸出開(kāi)度并輸出調(diào)節(jié)命令A(yù)O-1；當(dāng)DI-1信號(hào)為邏輯“1”時(shí)，調(diào)節(jié)閥接受手操器調(diào)節(jié)。此時(shí)調(diào)節(jié)閥輸出處理運(yùn)算單元不僅接收來(lái)自現(xiàn)儀表的過(guò)程信號(hào)和安全級(jí)控制顯示系統(tǒng)的信號(hào)，還接收AI-1信號(hào)(等效于手操器輸出給閥門的調(diào)節(jié)信號(hào))，依工程算法計(jì)算后使AO-1信號(hào)跟蹤手操器輸出給閥門的信號(hào)。電廠運(yùn)行時(shí)，在DI-1、AI-1信號(hào)所在板卡信號(hào)通道故障情況下，軟件可能無(wú)法跟蹤手操器對(duì)閥門的輸出信號(hào)，因而無(wú)法實(shí)現(xiàn)軟件輸出跟蹤手操器輸出。如果操作員未能及時(shí)發(fā)現(xiàn)上述異常現(xiàn)象，仍執(zhí)行從手操器調(diào)節(jié)到軟件調(diào)節(jié)的切換，就會(huì)發(fā)生切換瞬間閥門開(kāi)度躍變的現(xiàn)象。軟件中輸出到中控室的DO-1、AO-2信號(hào)正是為警示操作人員而設(shè)置的。

不同調(diào)節(jié)方式、不同操作模式切換瞬間對(duì)閥門的無(wú)擾輸出是閥門調(diào)節(jié)的基本要求。閥門狀態(tài)的平穩(wěn)過(guò)渡可有效降低流體流量大幅突變對(duì)閥門(主要是閥芯)沖擊而造成的閥門失效，降低由閥門狀態(tài)波動(dòng)引發(fā)的系統(tǒng)平衡狀態(tài)調(diào)節(jié)對(duì)整個(gè)電廠生產(chǎn)工藝的影響。軟件設(shè)計(jì)中應(yīng)考慮在中控室對(duì)其切換相關(guān)信號(hào)板卡提供必要的報(bào)警信息，以便于操作員及時(shí)通知維修人員更換故障I/O板卡。

3.3分析與評(píng)估要點(diǎn)

平臺(tái)硬件故障的檢測(cè)通過(guò)平臺(tái)自診斷實(shí)現(xiàn)，規(guī)避處理由工程應(yīng)用軟件完成。對(duì)于3.2.1中的例子，工程應(yīng)用軟件中將通過(guò)平臺(tái)自診斷確認(rèn)的有效過(guò)程信號(hào)作為控制反應(yīng)堆自動(dòng)停堆或?qū)ＴO(shè)安全設(shè)施啟動(dòng)邏輯處理的輸入信號(hào)。驗(yàn)證時(shí)，既要根據(jù)軟件需求判斷邏輯設(shè)計(jì)的正確性，又要逆向分析邏輯設(shè)計(jì)與軟件需求的可追溯性。對(duì)于3.2.2中的例子，主要考慮了不同軟件切換瞬間對(duì)閥門的輸出和跟蹤處理。驗(yàn)證時(shí)必須依據(jù)軟件需求和信號(hào)處理要規(guī)避系統(tǒng)風(fēng)險(xiǎn)的原則，評(píng)估相關(guān)信號(hào)及邏輯處理的正確性。

安全、可靠的數(shù)字化系統(tǒng)，其I/O板卡必定具有精確到通道級(jí)的自診斷和報(bào)警功能。工程應(yīng)用軟件設(shè)計(jì)時(shí)應(yīng)考慮系統(tǒng)平臺(tái)可能發(fā)生、影響過(guò)程信號(hào)處理和命令輸出的各種情況，結(jié)合自診斷信息對(duì)采集信號(hào)、輸出命令進(jìn)行分析判斷和處理，并在中控室給出相應(yīng)的報(bào)警提示，以便操作人員、維護(hù)人員能夠迅速響應(yīng)、啟動(dòng)維修。當(dāng)危險(xiǎn)分析識(shí)別出來(lái)的危險(xiǎn)不能通過(guò)設(shè)計(jì)變更消除或通過(guò)增加安全裝置降低相關(guān)風(fēng)險(xiǎn)到可接受的水平時(shí)，所增加的安全裝置應(yīng)能檢測(cè)危險(xiǎn)并提供足夠的報(bào)警信息，以最小化人為誤操作的可能性[11]。設(shè)計(jì)中可考慮在中控室設(shè)置用于監(jiān)視核電廠關(guān)鍵設(shè)備的電視監(jiān)視系統(tǒng)，通過(guò)電視監(jiān)視系統(tǒng)提供可聽(tīng)、可視的圖像，掃除了核電廠運(yùn)行中維護(hù)人員難以到達(dá)巡視的關(guān)鍵設(shè)備盲區(qū)，以及時(shí)發(fā)現(xiàn)并排除事件、事故隱患，保證核電廠的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行。

4自診斷V&V方法驗(yàn)證

在系統(tǒng)集成后的工廠測(cè)試階段，通過(guò)插拔系統(tǒng)卡件、斷線、斷電等方法制造、仿真/模擬各種系統(tǒng)內(nèi)故障和核電廠實(shí)際工況；通過(guò)觀察相關(guān)卡件上指示燈的狀態(tài)及顏色、中控室操作站上的顯示信息、維護(hù)工具上的診斷信息；并通過(guò)收集相關(guān)回路輸出信息，判斷故障發(fā)生時(shí)系統(tǒng)的響應(yīng)是否與V&V評(píng)估結(jié)果相一致。大量測(cè)試結(jié)果表明，V&V分析、評(píng)估結(jié)果是正確的。

5結(jié)束語(yǔ)

在核電廠安全級(jí)數(shù)字化保護(hù)系統(tǒng)開(kāi)發(fā)和不斷完善階段，相對(duì)高覆蓋率的系統(tǒng)自診斷及軟件對(duì)系統(tǒng)內(nèi)故障的有效處理是系統(tǒng)日趨成熟的標(biāo)志。自診斷V&V方法提供了系統(tǒng)開(kāi)發(fā)中的驗(yàn)證執(zhí)行經(jīng)驗(yàn)，是值得推廣的、實(shí)用的、有效的方法。

參考文獻(xiàn)：

[1] Institute of Electrical and Electronics Engineers.IEEE Std 1012-2004 IEEE Standard for Software Verification and Validation[S].New York: IEEE,2010.

[2] 謝亞蓮,尹寶娟.“功能安全產(chǎn)品實(shí)現(xiàn)技術(shù)”系列講座 第1講 安全相關(guān)產(chǎn)品的實(shí)現(xiàn)[J].自動(dòng)化儀表，2013,34(6):91-93.

[3] 謝亞蓮.“功能安全產(chǎn)品實(shí)現(xiàn)技術(shù)”系列講座 第5講 安全相關(guān)產(chǎn)品的硬件實(shí)現(xiàn)(二)[J].自動(dòng)化儀表，2013,34(10):91-93.

[4] 謝亞蓮,莊凌昀.“功能安全產(chǎn)品實(shí)現(xiàn)技術(shù)”系列講座 第7講 安全相關(guān)產(chǎn)品的軟件實(shí)現(xiàn)(一)[J].自動(dòng)化儀表，2013,34(12):91-93.

[5] 國(guó)家核安全局.HAD102/16-2004核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件[S].北京:中國(guó)法制出版社,2007.

[6] WILLIAM M.Control systems safety evaluation & reliability[M].白焰,董玲,楊國(guó)田,譯.北京:中國(guó)電力出版社,2008:30-74.

[7] U.S.Nuclear Regulatory Commission.NUREG-0800 BTP 7-17 Guidance on self-test and surveillance test provisions[EB/OL].[2014-08-10].http://pbadupws.nrc.gov/docs/ML0705/ML070550075.pdf.

[8] U.S.Nuclear Regulatory Commission.Regulatory Guide 1.168 (July 2013 Revision 2) Verification,Validation,Reviews,and Audits for Digital Computer Software Used in Safety Systems of Nuclear Power Plants[EB/OL].[2014-08-10].http://pbadupws.nrc.gov/docs/ML1307/ML13073A210.pdf.

[9] Institute of Electrical and Electronics Engineers.IEEE Std 7-4.3.2-2010 IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations[S].New York,USA: IEEE,2010.

[10]International Electrotechnical Commission.IEC 60671-2007 Nuclear power plants-Instrumentation and control systems important to safety-Surveillance testing[S].Geneva Switzerland: IEC Central Office,2007.

[11]International Electrotechnical Commission.IEC 60812(2006-01) Analysis techniques for system reliability-Procedure for failure mode and effects analysis (FMEA)[S].Geneva Switzerland: International Electrotechnical Commission,2006.

中圖分類號(hào)：TH-3;TP202

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201607019

ResearchontheConcernsandExecutionMethodofSelf-diagnosticsinV&VActivities

Abstract：In order to ensure and prove the safety and reliability of the digital protection system of safety level in nuclear power plant,the verification and validation (V&V) of software are executed.Self-diagnostics is the supplement of the normal V&V.To guide the self-diagnostics in V&V activities; based on the software life cycle model,a method is proposed.In accordance with standards and regulatory guidelines,with this method,the potential danger in the hazard analysis report,which is related to self-diagnostics and hinders the implementation of safety functions,is treated as the solution entries in software development.Comprehensively considering all relevant elements of the system,the inspection,analysis and evaluation of software are conducted.With the design examples of V&V,the main points of analysis and evaluation are given.The results of simulation test verify the correctness and feasibility of this method applying in self-diagnostics for V&V,and demonstrate this effective and practical method is worth to be popularized.

Keywords:Nuclear power plantDigital safety protection systemV&VSelf-diagnosticsSafetyReliability

修改稿收到日期：2015-05-26。

作者張杰穎(1971—)，女，1996年畢業(yè)于河北理工學(xué)院工業(yè)自動(dòng)化專業(yè)，獲學(xué)士學(xué)位，高級(jí)工程師；主要從事核電廠安全級(jí)應(yīng)用軟件驗(yàn)證與確認(rèn)(V&V)的研究。