论文部分内容阅读
【摘要】数字化控制系统作为核电站的中枢神经系统对整个核电站的安全运行起着不可代替的作用。在软件的整个生命周期中,验证和确认工作是保证软件质量的最重要手段之一,本文将以福清12核电DCS项目为例对核电非安全级控制系统软件验证和确认过程进行介绍和分析。
【关键词】核电;数字化控制系统;验证与确认
前言
核电仪控系统主要经历了三代的发展过程:第一代,模拟组合仪表加继电器;第二代,在第一代的基础上加入了计算机数据采集系统;全数字化的核电站仪控系统(DCS)是第三代产品,它的控制层、监控层完全采用计算机化设备,便于操作员正确掌握核电站的运行状态及时发现故障。我国目前在建的核电项目全部采用了第三代仪控系统。如,福清12核电项目,该DCS系统由中国核电工程有限公司负责设计,美国IOM公司负责系统组态和供货。
DCS在带来等诸多益处的同时也带来了新的问题:软件的可靠性问题。软件V&V作为保证软件质量、提高可靠性的重要手段,在核电DCS的开发和设计中发挥着日益重要的作用。
一、V&V定义
V&V是Verification& Validation的缩写,一般翻译为验证与确认。验证主要是保证软件生命周期中各项活动过程的正确性和完整性并满足相关标准、约定的要求;确认主要是保证软件解决了正确的问题,满足预定的功能需求。
二、V&V工作范围与方法
V&V存在于软件的整个生存周期,从概念、需求、开发、设计、测试、安装到维护,在上述每一阶段V&V工作又有不同的任务组合如:设计审查、源代码审查、可追溯分析、测试等。但是也不是所有的软件都必须进行上述全部的任务,不同的软件V&V范围、方法是不同的。
1.软件的完整性等级
基于软件关键性的不同,软件可以被分为不同的关键性等级,而V&V的范围和深度与软件的关键性是直接相关的,关键的软件通常要求更大范围、更严格的V&V。在IEEE1012中采用软件完整性级别(SIL)的方法对软件的关键性进行了划分,由低到高总共分为4个级别SIL1至4,并且为每个级别的软件规定了最小任务群,这样一旦确定了相关软件的SIL等级就可以在IEEE1012找到其所对应的最小任务群。
福清12核电项目DCS系统的软件被确定为如下三个级别:SIL1->DCS非安全级系统、SIL3->DCS安全相关级系统、SIL4->DCS安全级系统。作为SIL1级的系统,福清12DCS非安全级系统的V&V工作主要集中在设计、开发、与测试阶段,所采用的主要手段包括:可追溯分析、源代码审查和测试。
2.V&V的组织机构
不同等级的软件对V&V的组织机构有不同的要求,IEEE1012中定义了V&V独立性,包括三个参量:技术、管理、财务。按照体现这三个独立参量的程度,V&V组织可化分为四种组织结构:古典型、调整型、内部型、嵌入型:
◆古典型,三个参量完全独立,通常用于软件SIL等级为4的情况。
◆调整型,在管理独立上面不如古典型,但在技术和财务上仍然保持相当的独立性,一般用于软件SIL等级为3的情况。
◆内部型,开发人员可以指导V&V活动,此种结构对技术、管理、财务上的独立性有一定要求但不如前两种那么苛刻,同时内部型V&V好处是效率高成本可控。福清12DCS非安全级系统软件就采用了此种结构。
◆嵌入型与内部型结构比较类似,V&V人员可以来自开发组中不直接参与开发过程的设计人员。嵌入型的好处是能快速将V&V结果反馈给开发过程但在独立性上比较差。
3.V&V的工作流程与方法
福清12 DCS非安全级软件V&V主要包括如下流程:
1)可追溯分析
可追溯分析存在于V&V的各个阶段,主要任务是确保软件在各个阶段的进展符合上一个阶段的要求,主要工具是DOORS(IBM公司开发的一种软件)。主要的方法是:工程人员把供货合同、买方设计文件分解,把每一个需求都按条分解汇总到DOORS这个软件中形成功能需求序列,然后把卖方编制的工程文件也按条分解汇总到DOORS中并且和功能需求形成链接;V&V人员检查这些链接是否正确、完整;是否买方所有的需求都在卖方的设计文件中得到了满足,卖方设计文件中的关键条目是否都有源头。
2)源代码审查
源代码审查主要存在于软件实现阶段,也就是将功能图和说明性文件转化为计算机程序的阶段。在工程人员完成了编程后,V&V工程师将对其编程进行逐条的核对,保证计算机程序能正确、完整的满足设计需求,同时程序的可读性也是审查的一个重要方面。
3)测试,福清12DCS非安全级系统的测试主要包括如下三个部分:
◆集成测试
集成测试主要是保证系统集成和系统设计规定相符合。福清12非安全系统主要进行了以下几种测试:数字量信号输入、输出测试,模拟量输入、输出测试、1层和2层接口通讯测试、不同平台间的接口测试。
◆系统测试
系统测试是主要是保证一些系统性的功能能够正确的被实现,福清12非安全系统,主要进行了:冗余电源、CPU负荷、机柜报警等测试。
◆验收测试
验收测试是对系统进行功能、性能测试,以确定系统是否满足设计要求的。福清12非安全系统,V&V工程师编写了专门的测试程序、画面,并在目标硬件平台上对DCS控制逻辑和功能进行了100%的测试。
三、V&V中发现问题的处理方式
对于在审查中发现的问题,V&V人员将审查意见通过设计审查意见单发给工程人员,工程人员针对相关问题进行修改,然后发回给V&V人员复核,如果双方有分歧会进行沟通,共同寻求解决方案。对于在测试中发现的问题V&V人员将会通过异常报告的形式提出,关闭方式同设计审查意见单。
结论
福清1号机组已经于2014年底发电运行,经过一年多的运行实践证明,其DCS系统功能是正确的性能是稳定可靠的,同时也证明这套V&V的方法是正确的可行的。
参考文献
[1]杨永祥,核电站数字化仪控系统软件验证和确认实用手册.
【关键词】核电;数字化控制系统;验证与确认
前言
核电仪控系统主要经历了三代的发展过程:第一代,模拟组合仪表加继电器;第二代,在第一代的基础上加入了计算机数据采集系统;全数字化的核电站仪控系统(DCS)是第三代产品,它的控制层、监控层完全采用计算机化设备,便于操作员正确掌握核电站的运行状态及时发现故障。我国目前在建的核电项目全部采用了第三代仪控系统。如,福清12核电项目,该DCS系统由中国核电工程有限公司负责设计,美国IOM公司负责系统组态和供货。
DCS在带来等诸多益处的同时也带来了新的问题:软件的可靠性问题。软件V&V作为保证软件质量、提高可靠性的重要手段,在核电DCS的开发和设计中发挥着日益重要的作用。
一、V&V定义
V&V是Verification& Validation的缩写,一般翻译为验证与确认。验证主要是保证软件生命周期中各项活动过程的正确性和完整性并满足相关标准、约定的要求;确认主要是保证软件解决了正确的问题,满足预定的功能需求。
二、V&V工作范围与方法
V&V存在于软件的整个生存周期,从概念、需求、开发、设计、测试、安装到维护,在上述每一阶段V&V工作又有不同的任务组合如:设计审查、源代码审查、可追溯分析、测试等。但是也不是所有的软件都必须进行上述全部的任务,不同的软件V&V范围、方法是不同的。
1.软件的完整性等级
基于软件关键性的不同,软件可以被分为不同的关键性等级,而V&V的范围和深度与软件的关键性是直接相关的,关键的软件通常要求更大范围、更严格的V&V。在IEEE1012中采用软件完整性级别(SIL)的方法对软件的关键性进行了划分,由低到高总共分为4个级别SIL1至4,并且为每个级别的软件规定了最小任务群,这样一旦确定了相关软件的SIL等级就可以在IEEE1012找到其所对应的最小任务群。
福清12核电项目DCS系统的软件被确定为如下三个级别:SIL1->DCS非安全级系统、SIL3->DCS安全相关级系统、SIL4->DCS安全级系统。作为SIL1级的系统,福清12DCS非安全级系统的V&V工作主要集中在设计、开发、与测试阶段,所采用的主要手段包括:可追溯分析、源代码审查和测试。
2.V&V的组织机构
不同等级的软件对V&V的组织机构有不同的要求,IEEE1012中定义了V&V独立性,包括三个参量:技术、管理、财务。按照体现这三个独立参量的程度,V&V组织可化分为四种组织结构:古典型、调整型、内部型、嵌入型:
◆古典型,三个参量完全独立,通常用于软件SIL等级为4的情况。
◆调整型,在管理独立上面不如古典型,但在技术和财务上仍然保持相当的独立性,一般用于软件SIL等级为3的情况。
◆内部型,开发人员可以指导V&V活动,此种结构对技术、管理、财务上的独立性有一定要求但不如前两种那么苛刻,同时内部型V&V好处是效率高成本可控。福清12DCS非安全级系统软件就采用了此种结构。
◆嵌入型与内部型结构比较类似,V&V人员可以来自开发组中不直接参与开发过程的设计人员。嵌入型的好处是能快速将V&V结果反馈给开发过程但在独立性上比较差。
3.V&V的工作流程与方法
福清12 DCS非安全级软件V&V主要包括如下流程:
1)可追溯分析
可追溯分析存在于V&V的各个阶段,主要任务是确保软件在各个阶段的进展符合上一个阶段的要求,主要工具是DOORS(IBM公司开发的一种软件)。主要的方法是:工程人员把供货合同、买方设计文件分解,把每一个需求都按条分解汇总到DOORS这个软件中形成功能需求序列,然后把卖方编制的工程文件也按条分解汇总到DOORS中并且和功能需求形成链接;V&V人员检查这些链接是否正确、完整;是否买方所有的需求都在卖方的设计文件中得到了满足,卖方设计文件中的关键条目是否都有源头。
2)源代码审查
源代码审查主要存在于软件实现阶段,也就是将功能图和说明性文件转化为计算机程序的阶段。在工程人员完成了编程后,V&V工程师将对其编程进行逐条的核对,保证计算机程序能正确、完整的满足设计需求,同时程序的可读性也是审查的一个重要方面。
3)测试,福清12DCS非安全级系统的测试主要包括如下三个部分:
◆集成测试
集成测试主要是保证系统集成和系统设计规定相符合。福清12非安全系统主要进行了以下几种测试:数字量信号输入、输出测试,模拟量输入、输出测试、1层和2层接口通讯测试、不同平台间的接口测试。
◆系统测试
系统测试是主要是保证一些系统性的功能能够正确的被实现,福清12非安全系统,主要进行了:冗余电源、CPU负荷、机柜报警等测试。
◆验收测试
验收测试是对系统进行功能、性能测试,以确定系统是否满足设计要求的。福清12非安全系统,V&V工程师编写了专门的测试程序、画面,并在目标硬件平台上对DCS控制逻辑和功能进行了100%的测试。
三、V&V中发现问题的处理方式
对于在审查中发现的问题,V&V人员将审查意见通过设计审查意见单发给工程人员,工程人员针对相关问题进行修改,然后发回给V&V人员复核,如果双方有分歧会进行沟通,共同寻求解决方案。对于在测试中发现的问题V&V人员将会通过异常报告的形式提出,关闭方式同设计审查意见单。
结论
福清1号机组已经于2014年底发电运行,经过一年多的运行实践证明,其DCS系统功能是正确的性能是稳定可靠的,同时也证明这套V&V的方法是正确的可行的。
参考文献
[1]杨永祥,核电站数字化仪控系统软件验证和确认实用手册.