V&V活动中对自诊断的关注和执行方法研究

张杰颖

(北京广利核系统工程有限公司，北京　100094)



V&V活动中对自诊断的关注和执行方法研究

张杰颖

(北京广利核系统工程有限公司，北京100094)

摘要：为保证和证明核电厂安全级数字化保护系统的安全性、可靠性，对其软件执行验证和确认(V&V)。自诊断V&V是常规V&V的补充。为指导自诊断V&V活动，基于软件生命周期模型提出一种方法。该方法依据标准、法规导则，将危险分析报告中与自诊断相关且妨碍安全功能执行的潜能危险作为软件开发中的解决项；综合考虑系统各相关要素对软件进行检查、分析和评估，通过设计V&V实例给出了分析与评估要点。仿真测试结果验证了该方法应用于自诊断V&V的正确性及可行性，表明该方法是值得推广的、实用的、有效的方法。

关键词：核电厂安全级数字化保护系统V&V自诊断安全性可靠性

0引言

验证和确认(verificationandvalidation，V&V)过程通过检查、分析、评估、评审、评价和测试的方法，为软件产品和软件过程提供置信度证明。该过程证明软件需求和分配给软件的系统需求是正确、完全、准确、一致和有效的，验证给定活动阶段的开发产品满足前一阶段的需求，并确认了软硬件集成后的系统与其预期需求、用户需求的符合性。软件V&V与软件开发并行执行，具有技术、管理、财物方面的独立性[1]。

自诊断作为衡量系统功能和系统安全完整性的指标[2-4]，得到核安全监管机构、用户、供应商各方的重视。本文从V&V视角，基于核电领域标准、法规，从保障系统安全性、可靠性的需求入手，精确解读抽象的标准、法规中关于自诊断的界定，介绍了一种自诊断V&V方法。该方法通过了工厂集成测试阶段仿真测试的验证，是V&V活动中值得推广应用的实用、有效方法。

1系统的安全性及可靠性

核电厂数字化保护系统是基于计算机的安全系统。基于核电厂工艺的事故分析、瞬态分析以及假设始发事件和所需满足安全准则，确定计算机系统的需求，即安全性、可用性、可靠性需求。安全性是功能性需求，可用性、可靠性是保证安全功能实现的非功能性需求[5]。

可用性是系统能够正常工作的前提，可靠性是系统在设计技术规范内能够完成预定功能的概率。当系统未完成预定的功能时，就称其发生了失效[6]。安全性不仅与可靠性相关，而且与系统的失效模式相关。在危险模式(系统需求失效模式)下，系统不会对潜在的危险工况作出反应，设备或过程处于非受控状态；在安全模式下，并没有潜在的危险工况发生，系统进入安全状态(误停机状态)[6]。

2自诊断

2.1自诊断与定期测试

数字化保护系统的设计遵循单一故障准则，即在任何单一可检测故障发生时，保护系统必须能完成所需的保护功能。自诊断和定期测试是系统满足单一故障准则的重要保证[7]。

自诊断在检测随机硬件故障方面比定期测试更加有效，是系统对自身运行状态的监督，是由系统自身完成的一种或一系列测试[8]。数字化保护系统通过软件和看门狗定时器进行自诊断，包括系统启动过程中的自诊断、运行当中的连续自诊断和操作员启动的自诊断[7]。自诊断与定期测试共同保证数字化保护系统的安全性、可靠性，自诊断范围外的故障检测是定期测试的范围，自诊断范围能缩小定期测试的范围。

2.2自诊断的开发原则及其范围

自诊断的开发原则是其给安全系统带来的优越性不应妥协于其带给安全系统的额外的复杂性，但要注意与质量合格鉴定要求相平衡；自诊断功能的执行不应影响系统执行安全功能的能力或导致安全功能误启动；完成自诊断功能的资源(如周期内时间、处理能力相关资源)应与执行安全重要功能的资源相平衡[5,8-10]。

计算机系统能经受使系统功能降级但又不能被系统立即检测到的局部故障，对于能够通过其他方法及时检测到的故障，则无需自诊断检测[9]。典型的自诊断包括[8-10]：

①对存储程序完整性的确认；

②对随机存储器(RAM)保留数值能力的确认；

③对处理器正确执行安全重要功能指令集能力的确认，要特别注意那些不用于控制程序流的指令(如浮点数计算指令)；

④对访问存储器和外围设备相关的数据总线和地址完整性的确认；

⑤对两个处理器间通过复杂通信链路发送的信息正确性的确认；

⑥对异步处理进程间发送信息新鲜度的确认；

⑦对存储器访问正确性的确认；

⑧对过程信号有效性的确认；

⑨对程序控制流正确性的确认。

2.3自诊断实现方案及系统故障处理

当系统内发生故障时，故障板卡上的看门狗会通过指示灯报警。故障详细信息、故障定位信息的获取方法有两种。方法一：通过中控室监控画面中的系统状态图定位发生故障的子系统，连接维护工具与系统，获得故障信息。此方法成本较低，但信息获取不便。方法二：在中控室配备专门的监视站，实现在线获取。此方法虽然信息获取方便，但成本较高。

系统内的故障除触发报警机制外，还会触发故障处理机制，以保证系统在故障状态下安全功能不丧失，并及时通知系统操作及维护人员。系统开发过程中，根据故障发生部位及影响范围，将处理故障的权限分别赋予平台自诊断软件和工程应用软件。前者的处理范围包括复位并重启控制器、改变控制器运行模式、功能切换到备用控制器。后者的处理范围包括改变符合逻辑输出、部分或全部驱动安全重要功能、选择缺省值或参数、启动安全重要设备状态在中控室的报警和显示[10]。这两种处理方式都不会导致系统失效或系统功能丧失。通信链路故障由工程应用软件解决，且需在系统运行中进行评估[9]。

2.4自诊断的意义

依据IEC60812(2006-01)，对于系统级的故障，可利用风险系数(RPN)区分故障影响后果及其发生概率给系统带来的危险。

RPN=S×O×D

(1)

式中：S为无量纲数，表明故障发生时对系统影响的严重程度；O为在既定时间内故障模式发生的概率；D为系统在受影响前识别并消除故障的可能性。

D越大，RPN越小[11]。D与自诊断及其覆盖率密切相关。系统自诊断功能越完善，可检测性故障被检测到并消除的可能性(D)越大，其风险越低。即自诊断覆盖率越高，风险系数RPN越低，系统的安全性、可靠性越高。

从系统运行的角度分析，构成系统的各个元件、设备在运行中可能会发生故障。即使系统选用了高性能的硬件板卡，随着时间推移，由于受环境如温度、湿度、化学腐蚀、机械振动/冲击、电磁场、电涌等影响，设备性能会逐渐下降，故障率会逐渐上升。如果自诊断对系统内可检测性故障的覆盖率不够，将极有可能发生系统级功能的失效。

对于核电厂保护系统而言，当发生安全失效时，会造成反应堆误停堆和安全专设误启动，引起非计划停产事件，给电厂带来直接经济损失；当系统发生危险失效时，会阻止保护系统对潜在危险工况的响应，后果相当严重。因此，保护系统必须具有对系统硬件设备的检测能力和较高的自诊断覆盖率，并在较长的生产周期内允许在不停止生产的情况下对检测到的设备失效进行快速维修。

3自诊断V&V方法

软件V&V形式由软件安全完整性等级(safety integrity level,SIL)决定。由于软件是系统的一部分，其完整性等级由系统决定。由于核电厂安全级数字化保护系统对应的安全完整性等级为SIL4，因此对其软件执行对应SIL4的V&V任务。

3.1理论方法

安全系统软件的开发需选择合适的生命周期模型，并遵从其开展活动。国内、国际标准和技术文献中定义了许多生命周期。这些生命周期在活动组的定义、执行顺序上虽然存在差异，但活动组是通用的。软件开发方自主选择合适的生命周期，并确定在生命周期各阶段输出的软件产品。参考HAD102/16(2004)中基于计算机的安全重要系统软件开发生命周期模型[5]，某大型压水堆安全级数字化保护系统软件开发选取的生命周期模型及开发过程中执行的V&V活动如图1所示。图1中，双箭头表示所在阶段的V&V任务是双向的，包括正向验证和逆向可追溯性分析。

图1　软件开发生命周期模型及各阶段V&V活动Fig.1　Software development life cycle model and V&V activities in each phase

常规的V&V过程通过评价基于电厂设计基准的不同失效组合及失效对系统的影响，确认安全系统是否满足设计需求。对于由设计基准之外的异常事件、由设备故障导致的系统降级运行对电厂产生的影响，却不进行评估。危险分析可揭露和辨识在常规设计评审和测试中未被识别出的危险。自诊断V&V将危险分析报告中辨识的由设备故障导致的危险作为活动的输入，只将那些妨碍安全功能执行、具有重大影响后果且发生概率较高的危险纳入开发过程中的解决项并重点关注。自诊断V&V是对常规V&V的重要补充。

自诊断V&V任务贯穿于软件开发生命周期各阶段，执行思路为：

①确定本阶段的验证目标和验证中所适用的基准文件，关注危险分析在软件开发生命周期中被识别的危险；

②依据标准中推荐的自诊断范围，确定危险的检测对象；

③根据开发解决项的确定原则，确定解决项；

④依据标准中推荐的故障处理方案，确定分别由平台软件和工程应用软件处理的危险；

⑤通过检查、分析，确认当前验证目标是否对危险采取了相应处理；

⑥依据标准中规定的自诊断开发原则评估软件对危险处理的正确性，并确认危险处理时未引入非预期的特性。

3.2方法应用实例

以验证工程应用软件设计阶段对危险的处理为例，介绍自诊断V&V方法。验证的基准文件为软件需求文件、相关标准、法规和危险分析报告，验证目标为软件设计文件。要验证自诊断功能已通过软件功能图或工程算法语言得到了实现，确认危险分析报告中提到的系统设计、软件需求、软件设计阶段危险因素已被排除或能在后续开发阶段解决。

软件需求包含系统功能需求和软件开发程序需求。前者描述了系统要执行哪些功能，后者描述了构成系统的程序如何运行。由于工程应用软件需要系统级的软、硬件平台为其提供运行环境，故在验证中要综合考虑系统功能需求、软件开发程序需求、系统平台特性及功能、各相关接口、各相关标准、法规开展活动。要求验证人员具备系统的、全局的视角和各方面的丰富经验。

由前述可知：典型的自诊断包括对过程信号有效性的确认，通过工程应用软件可实现对系统故障的处理。下面的实例在揭示了应用软件设计中引入自诊断进行数据处理意义的同时，详述了V&V分析与评估过程。3.2.1自诊断改善系统安全性和可靠性

当系统模拟量输入(AI)板卡故障时，系统所采集的信号可能保持不变，可能忽高忽低、大幅波动，也可能快速变化超越量程范围。在工程限值内，如果信号保持不变，则不能反映电厂运行中所检测设备或工艺介质的状态。此时，如果操作/维护人员不能及时发现故障，就会增加保护系统降级运行时间和设备故障累积导致的系统功能失效风险。如果数值忽高忽低、大幅波动，这种突然的超越过程量工程整定值又恢复到正常值并反复的状态，会使电厂运行在一个极为不稳定的工况下，极易引发反应堆误停堆和安全专设误动作。这种情况同样会在过程量数值快速变化并超越量程范围时发生，非计划停产事件会给核电厂带来直接的经济损失。为避免上述情况发生，在工程应用软件设计中采用自诊断改善系统的安全性、可靠性。

图2为软件功能图。数字化保护系统通过模拟量输入接口模块采集过程信号，通过信号品质判断模块当前周期采集到的信号是否有效。如信号有效，则信号选择模块直接将其送入下一信号处理环节；如无效，根据故障安全准则，将故障安全设定值(即电厂安全运行经验值、信号缺省值)送入下一信号处理环节。

图2　AI过程信号相关的软件功能图-1Fig.2　The software function diagram related to AI process signal-1

在图3中给出了模拟量过程信号相关的另一种软件逻辑。当输入板卡故障时，其采集过程信号的品质信号同过程信号一起被送至自动停堆符合逻辑，经过符合逻辑处理，系统在降级模式下运行。带有信号质量信标的过程信号便于第三方系统作出合适处理。中

控室或其他监控系统的即时I/O通道故障提示，意味着对故障的迅速响应和在线故障维修的迅速引入，从而减少系统在降级模式下的运行时间，增加系统安全性、可靠性；同时，对故障的即时提示也给信号可能示值不一致的现象作出了解释，节省了操作员人为对显示信号有效性的判断时间。

图3　AI过程信号相关的软件功能图-2Fig.3　The softuare function diagram related to AI process signal-2

3.2.2自诊断信息对操作员操作的意义

核电厂汽机旁路系统调节阀有手操器调节和保护通道软件调节两种模式。在保护通道维护、定期测试时，通过手操器对阀门进行调节。设计中要考虑操作员手/自动切换、不同操作模式切换、不同调节方式切换瞬间对阀门的输出和跟踪处理。图4为汽机旁路调节阀相关的调节功能简图。

图4　调节阀相关的调节功能简图Fig.4　The software function diagram related with control valve

数字量输入信号DI-1为手操器调节与软件调节的切换信号，AI-1信号为手操器输入到软件的信号，AO-1信号为软件对阀门的输出信号。 当DI-1信号为逻辑“0”时，调节阀接受软件调节。调节阀输出处理运算单元只接收来自现场仪表的过程信号和安全级控制显示系统的信号，判断阀门的操作模式(中控室操作站操作模式、备用硬盘台操作模式、远方应急停堆站操作模式)、受控状态(手动或自动)、过程信号的信号品质(有效或无效)，计算阀门的输出开度并输出调节命令AO-1；当DI-1信号为逻辑“1”时，调节阀接受手操器调节。此时调节阀输出处理运算单元不仅接收来自现仪表的过程信号和安全级控制显示系统的信号，还接收AI-1信号(等效于手操器输出给阀门的调节信号)，依工程算法计算后使AO-1信号跟踪手操器输出给阀门的信号。电厂运行时，在DI-1、AI-1信号所在板卡信号通道故障情况下，软件可能无法跟踪手操器对阀门的输出信号，因而无法实现软件输出跟踪手操器输出。如果操作员未能及时发现上述异常现象，仍执行从手操器调节到软件调节的切换，就会发生切换瞬间阀门开度跃变的现象。软件中输出到中控室的DO-1、AO-2信号正是为警示操作人员而设置的。

不同调节方式、不同操作模式切换瞬间对阀门的无扰输出是阀门调节的基本要求。阀门状态的平稳过渡可有效降低流体流量大幅突变对阀门(主要是阀芯)冲击而造成的阀门失效，降低由阀门状态波动引发的系统平衡状态调节对整个电厂生产工艺的影响。软件设计中应考虑在中控室对其切换相关信号板卡提供必要的报警信息，以便于操作员及时通知维修人员更换故障I/O板卡。

3.3分析与评估要点

平台硬件故障的检测通过平台自诊断实现，规避处理由工程应用软件完成。对于3.2.1中的例子，工程应用软件中将通过平台自诊断确认的有效过程信号作为控制反应堆自动停堆或专设安全设施启动逻辑处理的输入信号。验证时，既要根据软件需求判断逻辑设计的正确性，又要逆向分析逻辑设计与软件需求的可追溯性。对于3.2.2中的例子，主要考虑了不同软件切换瞬间对阀门的输出和跟踪处理。验证时必须依据软件需求和信号处理要规避系统风险的原则，评估相关信号及逻辑处理的正确性。

安全、可靠的数字化系统，其I/O板卡必定具有精确到通道级的自诊断和报警功能。工程应用软件设计时应考虑系统平台可能发生、影响过程信号处理和命令输出的各种情况，结合自诊断信息对采集信号、输出命令进行分析判断和处理，并在中控室给出相应的报警提示，以便操作人员、维护人员能够迅速响应、启动维修。当危险分析识别出来的危险不能通过设计变更消除或通过增加安全装置降低相关风险到可接受的水平时，所增加的安全装置应能检测危险并提供足够的报警信息，以最小化人为误操作的可能性[11]。设计中可考虑在中控室设置用于监视核电厂关键设备的电视监视系统，通过电视监视系统提供可听、可视的图像，扫除了核电厂运行中维护人员难以到达巡视的关键设备盲区，以及时发现并排除事件、事故隐患，保证核电厂的安全、稳定、经济运行。

4自诊断V&V方法验证

在系统集成后的工厂测试阶段，通过插拔系统卡件、断线、断电等方法制造、仿真/模拟各种系统内故障和核电厂实际工况；通过观察相关卡件上指示灯的状态及颜色、中控室操作站上的显示信息、维护工具上的诊断信息；并通过收集相关回路输出信息，判断故障发生时系统的响应是否与V&V评估结果相一致。大量测试结果表明，V&V分析、评估结果是正确的。

5结束语

在核电厂安全级数字化保护系统开发和不断完善阶段，相对高覆盖率的系统自诊断及软件对系统内故障的有效处理是系统日趋成熟的标志。自诊断V&V方法提供了系统开发中的验证执行经验，是值得推广的、实用的、有效的方法。

参考文献：

[1] Institute of Electrical and Electronics Engineers.IEEE Std 1012-2004 IEEE Standard for Software Verification and Validation[S].New York: IEEE,2010.

[2] 谢亚莲,尹宝娟.“功能安全产品实现技术”系列讲座 第1讲 安全相关产品的实现[J].自动化仪表，2013,34(6):91-93.

[3] 谢亚莲.“功能安全产品实现技术”系列讲座 第5讲 安全相关产品的硬件实现(二)[J].自动化仪表，2013,34(10):91-93.

[4] 谢亚莲,庄凌昀.“功能安全产品实现技术”系列讲座 第7讲 安全相关产品的软件实现(一)[J].自动化仪表，2013,34(12):91-93.

[5] 国家核安全局.HAD102/16-2004核动力厂基于计算机的安全重要系统软件[S].北京:中国法制出版社,2007.

[6] WILLIAM M.Control systems safety evaluation & reliability[M].白焰,董玲,杨国田,译.北京:中国电力出版社,2008:30-74.

[7] U.S.Nuclear Regulatory Commission.NUREG-0800 BTP 7-17 Guidance on self-test and surveillance test provisions[EB/OL].[2014-08-10].http://pbadupws.nrc.gov/docs/ML0705/ML070550075.pdf.

[8] U.S.Nuclear Regulatory Commission.Regulatory Guide 1.168 (July 2013 Revision 2) Verification,Validation,Reviews,and Audits for Digital Computer Software Used in Safety Systems of Nuclear Power Plants[EB/OL].[2014-08-10].http://pbadupws.nrc.gov/docs/ML1307/ML13073A210.pdf.

[9] Institute of Electrical and Electronics Engineers.IEEE Std 7-4.3.2-2010 IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations[S].New York,USA: IEEE,2010.

[10]International Electrotechnical Commission.IEC 60671-2007 Nuclear power plants-Instrumentation and control systems important to safety-Surveillance testing[S].Geneva Switzerland: IEC Central Office,2007.

[11]International Electrotechnical Commission.IEC 60812(2006-01) Analysis techniques for system reliability-Procedure for failure mode and effects analysis (FMEA)[S].Geneva Switzerland: International Electrotechnical Commission,2006.

中图分类号：TH-3;TP202

文献标志码：A

DOI:10.16086/j.cnki.issn1000-0380.201607019

ResearchontheConcernsandExecutionMethodofSelf-diagnosticsinV&VActivities

Abstract：In order to ensure and prove the safety and reliability of the digital protection system of safety level in nuclear power plant,the verification and validation (V&V) of software are executed.Self-diagnostics is the supplement of the normal V&V.To guide the self-diagnostics in V&V activities; based on the software life cycle model,a method is proposed.In accordance with standards and regulatory guidelines,with this method,the potential danger in the hazard analysis report,which is related to self-diagnostics and hinders the implementation of safety functions,is treated as the solution entries in software development.Comprehensively considering all relevant elements of the system,the inspection,analysis and evaluation of software are conducted.With the design examples of V&V,the main points of analysis and evaluation are given.The results of simulation test verify the correctness and feasibility of this method applying in self-diagnostics for V&V,and demonstrate this effective and practical method is worth to be popularized.

Keywords:Nuclear power plantDigital safety protection systemV&VSelf-diagnosticsSafetyReliability

修改稿收到日期：2015-05-26。

作者张杰颖(1971—)，女，1996年毕业于河北理工学院工业自动化专业，获学士学位，高级工程师；主要从事核电厂安全级应用软件验证与确认(V&V)的研究。