先進堆芯測量系統安全級用戶軟件V&V過程探討

余俊輝 何 鵬 霍雨佳 陳 靜

（中國核動力研究設計院 設計所，四川 成都 610041）

先進堆芯測量系統作為中國自主化三代核電站的一個關鍵系統，其中一個重要部分，水位溫度測量部分簡稱ICCMS，需要在事故及事故后執行燃料組件出口溫度及壓力容器水位測量功能，系統所使用的用戶軟件質量將直接影響到系統能否正常執行其必要的安全功能，而目前軟件V&V是公認的保證軟件安全性與可靠性的有效手段。因此在一個安全級軟件的開發過程中，需要根據相關法規和標準的要求，根據系統用戶軟件的特點，制定合理的V&V方案和技術路線，來確保軟件的質量滿足要求。

1 安全級軟件V&V總體要求

數字化系統與傳統模擬系統的故障失效機理有很大不同，大部分軟件的故障是在設計階段引入的，因此軟件的故障具有潛在性。另外，由于軟件是無法證明不含錯誤的，因此軟件的質量只能靠嚴格的開發過程和必要的驗證和確認（V&V）來保證。

1.1 標準分析

IEEE、IAEA、和IEC等機構發布了多個標準對軟件V&V的要求進行了說明，IEEE std7-4.3.2作為IEEE Std 603的擴展和補充，經過NRC的確認成為了安全級系統軟件標準。IEC60880是國際公認的安全級軟件的設計標準，其中部分涉及V&V的基本要求和一般方法。IAEA從質量保證、安全設計和軟件要求三方面層層遞進說明了保證軟件質量的重要性，同時其也聲明IAEA NS-G-1.1的內容與IEEE std 1012在內容上是一致的。IEEE1012關于V&V的要求較為完整，其根據軟件的重要性程度分為了4個等級。

我國目前還沒有發布關于安全級軟件V&V的相應標準，但已將IEEE7-4.3.2等效為國家推薦標準GB/T13629,將IAEA NS-G-1.1等效為我國核安全導則HAD 102/16,因此，也就承認IEEE1012作為V&V的標準。

1.2 V&V標準要求

在核電廠安全級軟件V&V活動中，國內廣泛采用的是IEEE Std 1012，根據該標準的要求一個完整的V&V應該包括獲取階段V&V、概念階段V&V、需求階段V&V、設計階段V&V、實現階段V&V、測試階段V&V和安全階段V&V。其中關鍵階段包括了需求、設計和實現三個階段。

其中需求階段V&V需要明確軟件的具體需求，通過驗證來明確軟件功能、軟件外部接口、維護要求和性能等要求。設計階段V&V要求通過評審軟件設計文件，對系統功能轉化為成軟件設計體系和部件的過程進行嚴格的驗證和確認，以此來保證軟件設計的正確性、一致性、完成性等。實現階段V&V要求對設計轉化為軟件代碼或軟功能圖進行驗證和確認，同時對軟件進行可追蹤性分析。

2 先進堆芯測量系統用戶軟件V&V過程

2.1 系統介紹

先進堆芯測量系統屬于核電廠事故后監測系統的一部分，為安全級系統，對反應堆的安全運行具有重要的作用。該系統用戶軟件的開發環境采用圖形化的安全級軟件開發工具SCADE進行開發，該系統的主要功能如下：

（1）處理來自燃料組件出口的熱電偶溫度信號，計算出平均溫度、最高溫度和區域溫度最高差值等信息。

（2）根據堆芯溫度以及反應堆壓力計算堆芯過冷裕度。

（3）堆芯水位信號的采集和處理，并給出關鍵點水位的報警信息。

（4）系統故障監測和故障報警。

2.2 V&V準備

在進行具體的V&V活動之前首先要了解軟件的設計特點，先進堆芯測量系統用戶軟件采用的是SCADE軟件，是一款圖形化的安全級軟件開發工具，軟件在設計完成后會通過經過安全級驗證的工具模塊自動的將SCADE模型轉換為C代碼，避免了手工編碼。

關于軟件級別的劃分，對應于IEC 60880應劃分為A級，即核電廠安全重要儀表和控制系統執行A類功能的計算機軟件，而對應于標準IEEE 1012應劃分為4級，即該級別軟件必須正確執行其功能，否則會導致嚴重的后果且無法緩解。

根據IEEE Std 1012-2012的要求，在V&V正式活動開始前要制定軟件V&V計劃（SVVP），該文檔是開展各項V&V活動的依據和指南，其中主要包括V&V活動組織結構、V&V具體方法、過程，V&V過程中使用的工具等。圖1給出了SVVP中定義的本系統用戶軟件的V&V模型。

圖1 用戶軟件V&V模型

2.3 需求階段V&V

需求階段V&V活動主要是從準確性、完整性、可讀性和可追溯性等方面對需求文檔進行驗證，關鍵是要驗證軟件需求是否完整和準確的覆蓋了系統設計時分配給軟件的功能。本階段V&V活動主要是采取如文檔審查和評審等人工驗證（Verify）的手段，并且通過功能矩陣來保證系統功能的全覆蓋。

需求階段V&V活動的輸入文件包括了 《ICCMS數據處理柜用戶軟件研制任務書》和《ICCMS數據處理柜用戶軟件需求說明書》輸出文件包括了V&V問題報告單、《ICCMS數據處理柜用戶軟件V&V階段報告(需求)》和V&V獨立驗證模型。

2.4 設計階段V&V

軟件設計的目的是將需求信息轉換為軟件層次的實現，設計階段V&V主要是證明軟件需求是否被正確完整體現在軟件設計中，確保軟件的設計能夠正確實現系統的功能需求和性能需求。

設計階段V&V活動的輸入文件包括 《ICCMS數據處理機柜軟件需求說明書》、《ICCMS數據處理機柜軟件設計說明書》和V&V獨立驗證模型。輸出文件包括了V&V問題報告單和《ICCMS數據處理柜用戶軟件V&V階段報告(設計)》。

另外，在本階段V&V團隊與設計團隊分別根據需求文件分別開發了設計模型和V&V模型，該開發過程采用的是背靠背的方式。主要驗證手段與需求階段類似，但是不同的是需要根據SCADE自身的編碼規則對軟件進行審查，以評估其是否符合編碼規范。

2.5 實現階段V&V

實現階段V&V的主要活動是軟件功能測試、模型對比測試以及覆蓋率測試。軟件實現階段的主要內容是進行軟件的功能測試，，其主要目的是確認軟件實現的功能與上游設計輸入的一致性。因此在這一階段的主要任務是設計測試用例（Test Case），本項目針對每一個功能設計了一組測試用例，通過測試用例的測試結果來說明軟件實現的功能是否一致。

模型對比測試，是將相同的Test case應用到設計模型和V&V模型中，將兩個模型的輸出結果進行對比，對于輸出結果不一致的情況進行分析并形成報告單。最后對軟件進行覆蓋率測試，保證軟件的測試達到100%全路徑覆蓋。

3 關鍵技術

標準中關于V&V只是一個總體的要求，由于軟件不可能進行無窮盡的測試，因此只能根據具體軟件開發過程以及軟件自身的特點來制定盡可能合理的V&V計劃。本系統用戶軟件的V&V活動制定過程中除了滿足標準的相關要求外，還形成了一些獨有的V&V方法和策略，對提高本系統應用軟件的質量起到了積極的作用。

3.1 背靠背開發

在需求階段，經過V&V團隊驗證的軟件需求規格書是軟件設計階段的唯一正式設計輸入。軟件設計團隊和V&V團隊均以該文件為輸入根據分別建立設計模型和V&V模型，其中設計模型為最終用戶軟件所使用的模型，而V&V模型只用來定義預期的輸出。在設計階段要對兩個模型進行人工比對，對比后兩個模型不一致的部分可以兩類，一類問題主要是由雙方對需求規格書的理解不一致或者雙方的人因錯誤造成的，這類問題必須進行對錯誤的模型進行修改。另一類是兩個模型使用的基礎模塊不一致，但通過人工驗證認為其實現的功能是一直的，對于這類問題則不需要修改。在實現階段需要將相同的測試用例分別輸入兩個模型中，最后對輸出結果進行核實，圖2是兩個模型輸出一致的情況，從圖中可見兩個模型的輸出一致且重合成為一條線。圖3是兩個模型輸出不一致的情況。

圖2 輸出曲線一致

圖3 輸出曲線不一致

通過上述描述可知，背靠背的驗證方式對提升軟件的質量存在明顯的優勢，首先兩個團隊獨立開發模型，這種多樣化的設置可以大大避免人因的共模錯誤，另外雙方通過背靠背的方式對需求文件進行解讀，視同為對需求文件進行了二次驗證，需求錯誤的減少可以將軟件錯誤處理在萌芽階段，很好的提高了V&V的效率。

3.2 全路徑覆蓋測試

雖然在標準中對于圖形化軟件的全路徑覆蓋測試并沒有詳細的要求，但是全路徑覆蓋測試仍然是評估軟件質量以及通過核安全當局審查的有效手段，但是由于圖形化軟件的固有特點，人工很難完成對于軟件的全路徑覆蓋測試。

借助于SCADE的MCDC工具，本軟件V&V活動中實現了全路徑的覆蓋測試，該工具是基于MC/DC覆蓋率準則制定的，其定義為：每個入口點和出口點至少要喚醒一次，判定中每個條件的所有可能結果至少出現一次，每個判定本身的所有可能結果也至少出現一次，并且每個條件都能單獨影響判定結果。基于該準側，本系統用戶軟件的測試覆蓋率達到了89.89%（見圖4），其中剩余的10.1%是常數節點相關部分無需覆蓋，因此可以認為達到了100%全覆蓋測試。

圖4 覆蓋率測試結果

3.3 功能追蹤

軟件是否完整、正確的反應了系統需求規格書中規定的軟件功能是軟件V&V活動的重要內容。本項目采取了基于基線的功能追蹤矩陣對軟件功能進行驗證。基本思路是從需求階段開始建立功能代碼，以該代碼為唯一功能識別符在后續的設計階段、實現階段以及集成測試階段對相關功能進行追蹤。

唯一功能識別符的采用以及功能矩陣的應用能夠保證系統功能完整的體現在軟件中，另外在背靠背的開發過程中能夠保證雙方對功能驗證的一致性。

4 結論

安全級軟件的開發過程需要有相應的V&V流程來保證軟件的質量與可靠性，這已經是業內以及核安全監管當局的共識。通過先進堆芯測量系統用戶軟件V&V活動的進行，一套完整的安全級軟件V&V流程被建立。本文在分析相關V&V標準要求的基礎上，對先進堆芯測量系統的V&V流程進行了討論。該流程在每個階段嚴格遵守相關的法規和標準，在不同階段均開展了相應的V&V活動。同時，根據軟件自身的特點，通過背靠背開發、全路徑覆蓋測試和功能追蹤等方法的應用對先進堆芯測量系統軟件進行了完整的V&V活動，有效的保證了軟件的質量和可靠性。

［1］IEEE Std 1012，IEEE Standard for Software Verification and Validation[S].

［2］劉真，孫永濱，李季學.核電廠數字化安全儀控軟件的V&V實現[J].核科學與工程，2010，12，30-13.

［3］楊岐.核電廠數字化儀表與控制系統的應用現狀與發展趨勢[J].核動力工程，1998,19(2)-129.

［4］何正熙，李白，吳峻，等.秦山二期擴建工程堆芯冷卻檢測系統設計[J].核動力工程，2008,29（1）：5-9.