核电厂DCS安全级软件IV&V流程介绍

摘要：核电厂DCS系统是整个电厂安全运行控制的神经中枢，由安全级系统和非安全级系统两大部分组成。由于安全级系统用于核反应堆的控制，因此对其可靠性提出了非常严苛的要求。为了确保核电厂DCS安全级系统的可靠性满足设计要求，对其硬件设备采用实验的方法进行可靠性试验，对其软件设计采用IV&V的方法进行可靠性验证。

Abstract： Digital Control System of nuclear power plant is the nerve center for safety operation， which included safety and non-safety two systems. Because safety system was used to control nuclear reactor， the request of reliability for it is very high. In order to ensure the reliability of safety system satisfy design request， adopt experiment method to validate hardware reliability， and IV&V method to validate software reliability.

关键词：核电厂；安全级软件；IV&V

Key words： nuclear power plant；safety software；Independent Verification and Validation

中图分类号：TP31 文献标识码：A 文章编号：1006-4311（2017）17-0223-02

0 引言

核电厂DCS系统由安全级和非安全级两大部分组成，分别由不同的硬件和软件组合而成。其中安全级系统用于核反应堆的控制，非安全级系统用于常规岛的控制。核反应堆的安全性对于核电厂的安全至关重要，一旦核反应堆发生事故将会对人民生命财产、社会和自然环境造成毁灭性的破坏，其后果不堪设想。在行业内将用于核反应堆相关的设备统称为核级设备，其可靠性是以核电厂基准事故进行设计的，因此当核级设备的可靠性满足核电厂基准事故的控制要求时，才能确保核电厂的安全。当前对于核级设备可靠性验证的方法，主要是模拟核电厂基准事故对核级设备的功能核性能进行验证，以确保其可靠性设计满足要求。核电厂DCS安全级系统设备由硬件和软件组成，其中硬件的可靠性采用实验的方法进行验证，软件的可靠性采用IV&V的方法进行验证。当前国内该行业的基本情况是，硬件的可靠性实验已非常成熟和完善，软件的可靠性验证还处于探索和学习阶段，因此本文将结合国外某公司的工程经验对核电厂DCS安全级软件IV&V的流程进行介绍。

1 软件IV&V定义

IV&V是英文Independent Verification and Validation的缩写，即独立的验证与确认。标准1EEE 1012中对Independent即独立的定义为：经济独立、技术独立、组织独立；对Verification即验证的定义为：如何证明我们是不是在正确的设计或制造产品；对Validation即确认的定义为：如何证明我们是不是设计或制造了正确的产品。其中对于独立性的定义并没有明确要求是完全第三方的独立，因此在同一公司内具备经济、技术、组织完全独立于产品设计或制造部门的组织或部门也满足独立性的要求。软件IV&V，即对软件设计开展独立性的验证与确认，以确保软件设计过程和结果满足设计要求。

2 软件IV&V活动描述

核电厂DCS系统软件是一种图形化的计算机语言的集合，即在算机平台软件的基础上采用图形化的逻辑单元搭建完整的逻辑用于核电厂的运行控制，在行业内将整个逻辑搭建的过程称为软件组态。根据软件组态的特点并结合IEEE 1012的定义，将核电厂DCS安全级软件IV&V的活动分为四个阶段，即需求、设计、实现、测试。其中需求和设计阶段属于verification，实现和测试阶段属于validation，对于每个阶段的主要活动描述如下：

2.1 第一阶段：需求分析

需求分析阶段对系统需求描述、软件需求描述进行可追踪分析，以确保安全级软件组态的输入与用户的需求保持正确性、一致性、完整性。

2.2 第二阶段：软件设计

软件设计阶段将软件需求描述中的要求转化为软件组态的规范和说明，即软件设计描述，并以此完成软件的组态工作。

2.3 第三阶段：软件实现

软件实现阶段对已完成的软件组态进行确认，以证明组态的形式和规则满足软件设计描述的要求。可以采用静态对比、动态仿真的方法进对组态进行逐一确认。

2.4 第四阶段：软件测试

软件测试阶段将已完成形式和规则确认的组态下装到硬件设备中进行软件功能测试，以确认最终交付给用户的软件组态满足用户的需求。

3 软件IV&V流程介绍

目前国内根据IEEE 1012建立的核电厂安全级软件IV&V活动体系中，属美国Invensys（英维斯）公司为福清/方家山/海南核电厂DCS安全级软件提供的IV&V活动比较好，已得到国家核安全局华北监督站的认可，接下来将对英维斯公司为国内核电项目提供的安全级软件IV&V活动的流程进行介绍。

3.1 Verification流程介绍

英维斯公司的安全级软件verification由公司内部独立于工程部门的IV&V团队执行，该团队在经济、技术、人员组成上均与工程部绝对独立，因此在执行verification时不会受到工程部的干扰和影响，确保了verification的有效性。

①需求验证流程：IV&V团队对工程部门提供的系统需求描述、软件需求描述进行可追踪性分析，只有当可追踪分析结果通过后方可允许工程部门开展软件的组态工作。每当系统需求有修改时，首先由工程部门根据系统需求修改对应的软件需求描述，然后由IV&V人员对工程部的修改进行一致性验证。英维斯公司采用Doors工具将系统需求、软件需求进行条目化，即将所有的需求逐一转换成文字描述，并标记Doors编号，因此在进行verification时只需知道Doors号即可进行快速定位查找，然后进行对比验证。

②设计验证流程：当需求验证通过后，工程部才可以根据系统需求、软件需求编写软件组态设计描述，然后由IV&V人员对工程部完成的软件组态设计描述与软件需求进行逐一验证，以确保软件组态设计描述与软件需求保持正确性、一致性、完整性，只有当软件组态设计描述验证通过后才允许工程部实施软件组态。软件组态设计说明也采用Doors工具条目化，因此该验证也同样采用Doors定位查找对比的方法进行。

3.2 Validation流程介绍

英维斯公司的validation包括软件实现和测试两个阶段的活动，当verification完成且结果通过后，工程部才可以开展软件的组态工作，然后交由IV&V团队对已完成组态的形式和规则进行确认，在确认通过后，由工程部将软件组态下装到目标设备中，由IV&V人员对软件组态的功能进行确认，以保证软件功能满足核电厂控制的需求。

①软件实现流程：英维斯公司采用仿真测试的方式对工程部完成的组态软件进行形式和规则的确认。IV&V团队根据软件设计描述编写测试用例，然后按测试用例对软件组态进行仿真测试。

②软件测试流程：软件测试是将已确认的组态下装到运行该软件的目标设备中进行功能测试，当前所有核电厂DCS系统供应商均采用工厂测试的方法进行软件功能的最终确认，英维斯由IV&V团队工程师根据系统需求编写出测试用例，然后依据测试用例在工厂对软件组态的功能进行逐一测试，以确保提供的软件组态最终满足核电厂安全运行的要求。

4 结论

核电厂DCS安全级系统是整个电厂安全运行的重要屏障，一旦该屏障被突破，若发生事故则后果将不堪设想，因此安全级系统的可靠性对于核电厂来说至关重要。为了确保安全级系统的可靠性能满足电厂安全运行的要求，除了采用高标准的设计要求外，还应对系统的可靠性进行验证。用于核电厂反应堆控制的安全级系统硬件平台通过认证对可靠性进行验证，软件通过IV&V对可靠性进行验证。对于软件IV&V，由于不同供应商的硬件平台、软件设计方法均不相同，从而导致软件IV&V流程和方法也不尽相同。即便如此，供应商应遵循IEEE 1012的要求，并结合自身特点建立一套完善的IV&V流程，以便于有效地对安全级系统软件进行可靠性验证。

参考文献：

[1]刘真，江进，孙永滨.核电安全级仪控系统软件V&V活动及其方法研究[J].北京：核科学与工程，2011，31（2）：45-50.

[2]刘朋波，周韦，张淑慧.核安全级数字化仪控系统软件相关标准研究[J].上海：自动化仪表，2015，36（11）：61-64.

[3]魏鹏，黄平儿，吴俊.保护系统1E级软件独立验证实施管理[J].设备管理与维修，2015（S2）.