基于PSA模型的安全級儀控系統T2試驗用例集策略

李 倩，楊正吉，張子鵬，楊宗昊

（中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

0 引言

核電廠安全級儀控系統用于實時監測反應堆的工藝參數，當參數超過整定閾值時，自動觸發緊急停堆信號及必要的專用安全設施，以維護安全屏障的完整性[1]。安全級儀控系統一般設計有4 個保護組：保護組I、保護組II、保護組III 和保護組IV 和兩個邏輯系列（邏輯系列A 和邏輯系列B）。為探測故障和檢查保護系統可運行性，需要對保護系統進行定期試驗。反應堆保護系統定期試驗一般分三段交疊進行，分別為T1 試驗（測量通道試驗）、T2 試驗（邏輯功能試驗）和T3 試驗（輸出通道試驗）[2]。其中，T2 試驗主要驗證安全級儀控系統應用軟件的可靠性，其軟件可靠性主要通過運行測試用例來檢驗和確認[3]。因此，有必要根據定期試驗方案以及相關法規標準對T2 定期試驗內容進行分析，應用軟件測試的方法設計相對簡潔高效的T2 試驗測試用例集來驗證系統軟件的可靠性，保證核電廠數字化安全級儀控系統的軟件高可靠性。

概率安全分析（Probability Safety Assessment）是依據事故的基本誘因發生的概率，采用概率論的分析方法，計算出事故誘因因素的關聯度和重要度[4]。PSA 分析方法經30 年的快速發展，已被國際原子能機構（IAEA）認定為“核電廠安全評價的一個標準化工具”。目前，中國最新頒布的核安全法規已明確提出需把PSA 法用于對核電廠的設計與運行中。PSA 分析方法的運用可以使民眾深入了解核電廠的設計、性能和環境的影響，甚至是支配性風險因素的鑒別和對可降低風險的不同實現方式的比較[5]。本文基于概率風險評價（PSA）分析方法，依托NASPIC 平臺，提出了一種核電廠測試用例集的生成策略；選取某核電廠保護系統的穩壓器壓力高工況，進行T2 試驗測試用例生成策略研究，并分析了該策略的有效性和覆蓋性。

1 理論模型

1.1 核電廠數字化安全級儀控系統的PSA模型建立

概率安全分析（Probability Safety Assessment）是一種系統化的安全分析方法，采用系統可靠性評價技術（即故障樹和事件樹分析）和概率風險分析方法對復雜系統的各種可能事故的發生和發展過程進行全面分析，從他們的發生概率以及造成的后果綜合進行考慮。

為了得到核電廠數字化安全級儀控系統（NASPIC 平臺）應用軟件的實際PSA 模型，首先進行核電廠安全級儀控系統（NASPIC 平臺）設備可靠性和初因信息的收集，然后針對收集的信息進行故障樹和事件樹的分析，并結合故障樹和事件樹進行人因分析，形成故障樹和事件樹數據庫；其次，對故障樹和事件樹數據庫進行定量分析，并提取故障樹和事件樹數據庫的元素簇，并建立元素簇數據庫；再次，針對元素簇數據庫進行不確定性分析，形成事件元素簇概率分布圖；最終形成核電廠數字化安全級儀控系統（NASPIC 平臺）應用軟件的實際PSA 模型，用于指導T2試驗測試用例集策略的生成。圖1 是本文應用概率安全分析方法生成的核電廠數字化安全級儀控系統（NASPIC 平臺）應用軟件PSA 模型流程圖。

1.2 核電廠數字化安全級儀控系統（NASPIC平臺）T2測試用例需求約簡模型建立

本文提出了結合應用軟件PSA 模型進行測試用例集約簡化處理，進行針對性的應用軟件測試用例需求分析，保證軟件的安全可靠性，有利于測試用例的高效執行，減少測試時間。圖2 為基于PSA 模型的核電廠數字化安全級儀控系統（NASPIC 平臺）T2 測試用例約簡模型。

2 T2測試用例集生成

圖1 核電廠數字化安全級儀控系統（NASPIC平臺）應用軟件PSA模型流程圖Fig.1 Flow chart based on PSA model of NASPIC application software

表1 條件數據表Table 1 Conditional data table

本文選取穩壓器壓力高停堆邏輯為例進行T2 測試用例集的設計。穩壓器壓力參數的測量，一般設計為四路相互獨立的壓力儀表。四路壓力儀表按“四取二”表決邏輯進行判斷，當存在兩路或兩路以上壓力超過設定值時，將觸發緊急停堆。基于PSA 模型的T2 測試用例需求約簡模型得出穩壓器壓力高停堆邏輯需要進行信號輸入失效、參數旁通邏輯、定值比較邏輯、“四取二”表決邏輯以及輸出預設值的測試驗證。信號輸入失效會導致邏輯降級處理，信號點名被修改會導致輸出錯誤。因此，他們將被包含在其他用例中。輸出預設值的驗證在定值驗證中被包含，不單獨列出說明。

2.1 定值驗證

NASPIC 平臺的定期試驗工具，針對T2 試驗設計有條件數據表和用例數據表。條件數據表即用于試驗前的先決條件檢查，確認當前軟件邏輯中定值的正確性設置。用例數據表主要用于對邏輯功能的驗證。具體執行步驟為：先執行條件數據表，條件數據表檢查正確，方可執行用例數據表。定值驗證可通過條件數據表進行校驗，條件數據表的形式見表1。

圖2 基于PSA模型的T2測試用例需求約簡模型Fig.2 Requirement reduction model of T2 test case based on PSA

圖3 穩壓器壓力高邏輯示意圖（以RPC-1為例）Fig.3 Logic diagram of high pressurizer pressure(taking an example of RPC-1)

針對穩壓器壓力高工況，需判斷其邏輯中的定值是否等于16.45Mpa，回差是否等于0.07 Mpa。若當前邏輯中的定值與表格中的數據不一致，則校驗失敗，無法執行用例數據表。

表2 參數旁通邏輯試驗數據表Table 2 Test table of signal bypass

2.2 參數旁通邏輯驗證

參數旁通邏輯即對一個保護參數進行旁通，以便于傳感器的在線維護。每一個保護參數設置一個參數旁通開關，每個開關設有兩個操作位置，分別為正常和旁通狀態。旁通開關打到旁通狀態時，旁通對應的保護參數，所有其參與的保護邏輯進行降級處理；開關打到正常狀態時降級邏輯解除，示意圖如圖3 所示。

針對參數旁通邏輯功能的驗證，設計用例數據表見表2。

2.3 表決邏輯驗證

表決邏輯可為正常邏輯和降級邏輯，正常邏輯即為所有參與表決的輸入信號質量位均為“好”；降級邏輯為部分輸入信號的質量位為“壞”從而引起了表決邏輯的降級。為簡化T2 試驗設計，采取正常邏輯和降級邏輯分離測試原則。

表3 正常表決邏輯試驗數據表Table 3 Test table of normal voting

表4 降級表決邏輯試驗數據表Table 4 Test table of degraded voting

2.3.1 正常表決邏輯功能驗證

在正常表決邏輯功能驗證中，將兩個保護組觸發停堆的所有情況進行組合與排列，并通過策略優化方式減少測試用例，達到既保證邏輯全覆蓋驗證又節約測試時間的目的。

2.3.2 降級表決邏輯功能驗證

在降級表決邏輯功能驗證中，將引起邏輯降級的所有情況行組合。

3 結論

本文應用概率安全分析方法形成核電廠數字化安全級儀控系統（NASPIC 平臺）應用軟件的實際PSA 模型，并選取穩壓器壓力高停堆工況生成了針對核電廠安全級儀控系統（NASPIC 平臺）應用軟件的包含故障樹與事件樹信息的軟件測試用例集。通過此方法能夠保證軟件測試的安全針對性覆蓋，滿足核電廠數字化安全級儀控系統的高可靠性要求。目前該設計已經用于工程實踐中，本文的設計方法可為相關核電廠安全級儀控系統T2 設計提供指導。