托卡馬克安全關鍵儀控系統的軟件驗證與確認

王靈芝，王 勇，許張后

(1.閩南師范大學物理與信息工程學院，福建漳州 363000；2.中國科學院等離子體物理研究所，安徽合肥 230031)

儀表與控制(I&C)系統是托卡馬克裝置的神經系統，其中安全關鍵儀控系統主要負責裝置運行狀態下的自動控制和監控操作，實現事故工況下的保護和事故緩解功能，包括事故工況下的緊急停止放電、磁體保護、事故監視等功能。安全關鍵儀控系統的可靠性關乎整個托卡馬克的安全，是確保裝置安全運行最重要的保障和防線之一。由于軟件在儀控系統中所占的比例越來越高，軟件可靠性已成為安全關鍵儀控系統質量的關鍵。軟件驗證和確認(Verification and Validation，V&V)是保證軟件質量的一項重要而且有效的手段[1]。安全性和可靠性是關于安全關鍵儀控系統最終的考慮因素，軟件V&V是軟件質量控制的有效方法，是提高托卡馬克安全關鍵儀控系統可靠性和可信度的重要手段。國際熱核聚變實驗堆(ITER)在其電廠聯鎖系統設計導則中亦明確了電廠保護系統的V&V要求[2]。

EAST(Experimental Advanced Superconducting Tokamak)超導托卡馬克是我國設計建造的國際上第一個建成的全超導托卡馬克實驗裝置。EAST全超導托卡馬克的運行風險將遠高于現有的任何超導托卡馬克的運行風險[3-5]。EAST在全廠范圍內建立了安全聯鎖系統，用于確保裝置、人員和環境的安全，從而最大程度地規避風險[6]。一體化設計的EAST安全聯鎖系統集成了安全系統和聯鎖系統，并劃分為中央層和分控層。分控系統層安全聯鎖子系統負責各子系統的狀態監測，并將狀態和故障信息發送至中央層，與此同時接收來自中央層的保護信號并對本子系統進行保護。而位于中央層的安全聯鎖監管系統統一協調控制事故工況下的緊急停止放電、磁體保護、事故監視等功能，實現對人身、環境和裝置設備的安全防護。安全聯鎖系統是EAST安全關鍵儀控系統最主要的組成部分之一[6]。因此，本文選擇該系統作為實例開展了第三方獨立V&V，闡述托卡馬克安全關鍵儀控系統的軟件V&V過程，研究結果為托卡馬克聯鎖系統和保護系統等安全關鍵儀控系統的工程技術開發與核安全許可，提供了必要的前期技術基礎。

1 V&V模型和方法

由于磁約束核聚變尚處于科學研究階段，所以IEC(國際電工委員會)、IEEE(美國電氣和電子工程師協會)等相關國際組織等并沒有為磁約束核聚變反應堆制定專門的技術標準和法規。正如ITER PCDH(電廠控制設計手冊)中體現出來的，對于托卡馬克安全攸關儀控系統的設計，只能借鑒IEC、IEEE等現行的關于核電廠安全級儀控系統的技術標準。ITER的設計、建造、測試、評估等環節涉及大量的技術標準，其中電氣部件、裝置或系統主要采用IEC發布的國際標準和法國標準(NF)。項目實施過程中主要依據的IEC、IEEE、ITER等相關設計標準和導則，包括：IEC 61513、IEC 61508、IEC 61226、IEC 60880、IEEE 1012、IEEE 1028、IEEE 830、ITER PCDH[7]等。PCDH衛星文件集制定了《軟件工程及質量保證》《PLC軟件工程手冊》和《CWS案例研究規范》。

ITER PCDH中規定ITER安全關鍵儀控系統(包括聯鎖系統和安全系統)應依據IEC 61508標準中的安全完整性等級(SIL)分配方法，對每個聯鎖和安全功能進行SIL分級。ITER儀控系統中大量使用西門子S7系列可編程邏輯控制器(PLC)，其聯鎖系統采用西門子S7-400 FH作為SIL2級和SIL3級PLC慢速控制器，安全系統使用S7-400 FH作為SIL3級PLC慢速控制器。S7-400 FH是故障安全和高可用性PLC，符合SIL3級的要求。EAST安全聯鎖系統亦采用S7系列雙冗余控制器PLC平臺進行了升級，在該平臺下開展V&V工作，也有助于加深對ITER儀控系統的研究和理解。

EAST安全聯鎖系統軟件V&V的生命周期劃分為需求階段、設計階段、執行階段、測試階段和驗收階段。圖1所示為EAST安全聯鎖監管系統軟件可靠性設計和V&V方法模型，顯示了系統開發生命周期中各個階段的任務，項目依據該模型開展V&V活動。在項目的啟動階段，開發驗證與確認技術書(VVP)，建立需求追蹤矩陣(RTM)以便在各個階段開展可追蹤性分析。

圖1 EAST安全聯鎖監管系統軟件可靠性設計和V&V方法模型

2 V&V過程

2.1 概念V&V

在概念V&V階段，分析并驗證該系統的體系結構、系統需求的分配(包括硬件、軟件和用戶界面)、系統的SIL等級，以確保沒有錯誤的假設被納入設計之中。EAST安全聯鎖系統獨立于總控系統之外，是確保人員、環境和裝置設備安全，降低運行風險的安全關鍵性設備。開展軟件關鍵性分析,評估軟件的可靠性及其對系統的影響，從而為軟件分配適當的SIL。鑒于EAST未開展氘-氚核聚變實驗，對環境幾乎沒有放射性危害,位于其中央層的安全聯鎖監管系統的安全完整性級別設定為SIL 3是合理且正確的。

2.2 需求V&V

對于V&V活動處理軟件功能和性能需求分析等方面的要求，應結合可靠性需求分析結果，確保軟件需求的正確性、完整性、準確性、可測試性和一致性。在該階段，以EAST安全聯鎖監管系統需求書為輸入，分析并評審系統結構、故障危害級別設置、信號類型、故障處理機制、系統需求、信號接口等輸入文檔[6]。

2.2.1 可追蹤性分析

系統需求明確了EAST裝置的三個危害等級故障信號以及不同故障等級須采取的應對機制。由此提出的EAST安全聯鎖系統需求符合系統概念需求，滿足裝置運行過程中對安全聯鎖保護的技術要求，系統需求是正確、一致、完整、準確、可讀和可測的。

2.2.2 接口分析

系統接口包括硬件接口、軟件接口和人機用戶接口。硬件接口：鑒于托卡馬克裝置復雜的電磁環境，出于信號完整性和設備防護方面的要求，硬件接口必須進行電氣隔離。因此，所有信號均經由專用的光纖網傳輸，實現各子系統間完全的電氣隔離，這與系統需求一致。軟件接口：軟件接口主要包括安全聯鎖系統的狀態信息遠程監視、故障日志信息的上傳以及系統時鐘的在線同步。網絡通信需確保信號交互的通暢和實時性，并避免網絡病毒和黑客攻擊。人機用戶接口：在EAST總控制的計算機上建立人機界面程序，在裝置運行期間由操縱員監視安全聯鎖系統的運行狀態和故障日志。

2.2.3 系統V&V測試計劃

系統V&V測試計劃包括：軟件單元測試計劃、軟件集成測試計劃、系統集成測試計劃。軟件單元測試以仿真測試為主，分析測試用例和單元測試結果的正確性和完備性。軟件集成測試是對集成后軟件的測試，針對安全聯鎖監管系統監測的三類故障信號進行測試，確保單一和并發故障情況下，能夠提供正確的保護動作，使網絡信息通信順暢，故障日志及時且正確，從而確保軟件測試結果的正確性和完備性。系統集成測試，提供必要的外部測試設備和必要的測試用例，分析集成測試結果的正確性和完備性。

2.3 設計V&V

在設計階段，V&V需驗證系統構架和詳細設計輸出是否滿足安全要求。設計V&V活動解決軟件構架設計和軟件詳細設計。對系統本身和系統與外部界面的驗證需同時進行。設計V&V要結合可追溯性分析和可靠性分析，證明設計是準確的，是軟件需求的完整轉變，并沒有引入任何不需要的功能。

2.3.1 系統架構分析

EAST安全聯鎖系統主要由基于西門子S7-400H雙冗余PLC的控制器、安全聯鎖網絡和相關的硬件接口設備組成。系統劃分為軟件和硬件：軟件部分主要包括PLC的硬件組態、通信組態、梯形圖和功能塊圖程序以及上位機監控界面；硬件部分主要由ET200M遠程I/O站、安全聯鎖網絡及相關的硬件接口等設備組成。SIMATIC H Station主站作為系統控制器，從站IM 153-2實現I/O擴展，工程師站用于系統配置、程序開發和下裝等。其中，主站與從站通過冗余的Profibus現場總線連接，主站通過冗余的Ethernet總線與工程師站連接。系統結構和組態如圖2所示。

圖2 系統結構與組態

2.3.2 軟件評估與分析

依據系統需求，評估安全聯鎖系統PLC軟件設計書，評審架構文檔和系統設計圖。系統的軟件設計包括PLC系統組態和梯形圖編程設計，二者的正確集成才能滿足系統的具體需求。安全聯鎖系統的軟件模塊包括輸入信號掃描、保護動作輸出、端口狀態傳輸、故障日志傳輸與保存等。執行關鍵性、風險、危害和安全分析，通過軟件FMEA、FTA等可靠性分析技術識別出軟件需求、設計或編碼中的缺陷及薄弱環節，并通過制定和實施改進措施提高軟件的可靠性。

2.3.3 軟件單元與集成V&V測試計劃和設計評估

針對信號循環掃描、端口狀態UDP傳輸、故障日志TCP傳輸和就地保存、等離子體控制系統看門狗檢測等軟件單元，制定軟件單元測試計劃和測試規程以及軟件集成測試計劃和規程。

2.4 實現V&V

在實現階段，系統設計被轉換為具體的梯形圖和軟件組態。實現V&V活動,解決軟件編碼和測試，目的是保證V&V設計轉換的準確性、一致性、可追蹤性和完整性。

2.4.1 可追蹤性分析

追蹤源代碼和設計約束至設計文檔，前向追蹤源代碼組件到相應設計規格說明，后向追蹤設計規格說明到源代碼部分，分析標識的正確性、一致性和完備性。

2.4.1.1 S7-400 PLC軟件V&V

PLC下位機軟件單元包括：系統配置、高級故障檢測、狀態故障檢測和PCS看門狗檢測。在系統配置中，為了實現PLC系統時間與EAST中央授時系統時間服務程序的每日對時，在PLC配置中開啟并配置了SNTP(Simple Network Time Protocol)服務。系統端口狀態UDP傳輸和故障日志TCP傳輸，可為總控制室操作員站提供兩項服務：各安全聯鎖子系統的狀態信息實時顯示和系統故障日志及時序的查詢。

2.4.1.2 WinCC組態軟件V&V

系統人機交互界面是在工程師站中實現的，由西門子WinCC組態軟件開發，程序包括：人機界面、數據歸檔及與PLC的數據交互等軟件單元。

2.4.2 源代碼和源文檔評估

評估源代碼組件(源代碼和源代碼文件)的正確性、一致性、完整性、精確性、可讀性和可測性。

2.4.2.1 S7-400 PLC系統配置評估

評估系統主站和從站的配置信息。系統主站分別由2個冗余的CPU 417-4H作為系統控制器模塊、2個冗余電源PS407 10A模塊和2個冗余的CP 443-1以太網模塊組成。ET 200M從站包括：2個IM 153-2模塊、1個16通道的數字輸入模塊、1個16通道的數字輸出模塊、1個2通道的模擬量輸入模塊以及1個高速計數器FM350模塊組成。評估工作包括各模塊配置信息、系統架構配置等。

2.4.2.2 代碼走查

以一級故障代碼靜態走查為例說明代碼走查過程?！罢婵障到y一級故障”源代碼如圖3所示。程序段10：在“真空一級故障”為正常態(即為低電平)時，I0.1閉合，程序未檢測到“真空一級故障”，DB1.DBW4為0。當“真空一級故障”為故障態(即為高電平時)，I0.1斷開，程序進入檢測“真空一級故障”部分，為了降低噪聲干擾，程序段11和程序段12只有在連續的3個掃描周期中都檢測到“真空一級故障”，才觸發一次“真空一級故障”事件，即M101.1閉合。程序段13在檢測到M101.1閉合時，記錄“發生真空一級故障”這一事件。程序段14在檢測到M101.1斷開時，記錄“解除真空一級故障”事件。

圖3 “真空一級故障”檢測源代碼

2.4.3 單元與集成V&V測試用例設計和規程評估開發并驗證單元測試用例和測試規程，以便在下一個V&V階段使用。

2.5 測試V&V

測試V&V活動覆蓋軟件單元測試、軟件集成測試、系統集成測試和系統驗收測試，目的是確保軟件需求和系統需求得到滿足。驗證V&V測試用例是否遵循項目定義的測試文檔目的、格式和內容。確認V&V測試用例滿足V&V任務中有關組件、集成、系統和驗收測試的各自的準則。

軟件單元測試和集成測試均采用S7-PLCSIM仿真工具進行仿真測試。各軟件單元包括：一級與二級故障、狀態信號和PCS看門狗等，設置輸入節點信號量模擬各子系統輸入信號，并監測輸出各內存單元和輸入輸出單元的狀態變化。集成軟件測試包括：故障信號、狀態信號和PCS看門狗信號的聯鎖保護、Profibus總線冗余通信、以太網通信、FEPROM存儲卡操作測試等系統功能。

系統測試在實驗室環境下進行，由NI虛擬儀器系統與S7-400 PLC直接連接，構成閉環測試系統。測試系統向PLC提供外部硬件測試信號，模擬裝置運行過程。測試系統自動檢測并分析PLC的保護輸出信號，判斷PLC的功能與系統需求是否一致。

驗收測試在EAST安全聯鎖監管系統的安裝地點進行，以上述閉環測試系統進行測試。該測試驗證了安全聯鎖各項保護功能、現場總線的通信功能和性能、數據存儲歸檔功能、網絡通信功能和性能、工程師站數據記錄歸檔功能以及光纖信號接口設備的功能和性能。基于以上驗收測試過程，確認系統實際功能與軟件需求和系統需求相一致，系統滿足用戶對其正確性、完備性和準確性的要求。

3 結語

本文以安全關鍵系統EAST托卡馬克安全聯鎖系統為實例，實施了第三方獨立軟件V&V。V&V活動和EAST安全聯鎖監管系統的升級開發活動同步進行，有利于在開發活動中發現錯誤，提高開發測試效率，降低開發成本。V&V活動包括了設計審查、設計驗證、源代碼審查、需求分析和評估、接口分析和評估、需求跟蹤分析、配置管理評估、安全分析和測試等。鑒于篇幅有限,本文僅闡述其中部分主要工作。V&V的結果記錄在V&V報告中，包括設計需求審查、評估準則、錯誤報告等。研究結果可為托卡馬克聯鎖系統和保護系統等安全關鍵儀控系統的工程技術開發與核安全許可提供必要的前期技術基礎。

[參考文獻]

[1]IEEE Std.1012-2012,IEEE standard for system and software verification and validation[S].New York:IEEE,2012.

[2]Journeaux J Y.Plant control design handbook(27LH2V_v7_0)[R].ITER,2013.

[3]李建剛.托卡馬克研究的現狀及發展[J].物理,2016(2):88-97.

[4]萬寶年,徐國盛.EAST超導托卡馬克[J].科學通報,2015(23):2157-2168.

[5]萬元熙.全超導托卡馬克的運行風險和需要采取的對策[Z].2006年EAST學術報告包,2006-07-31.

[6]吳一純,季振山,孫曉陽,等.EAST安全聯鎖監管系統設計[J].原子能科學技術,2011(2):250-256.

[7]Savouillan M.Guidelines for the design of the plant interlock system(3PZ2D2_v4_0)[R].ITER,2014.