张恩博，赵立东，刘 标，徐 朋，宫成军

(1.三门核电有限公司，浙江 三门 317112；2.环境保护部华东核与辐射安全监督站，上海 200233；3.福建福清核电有限公司，福建 福清 350318)

0 引言

在核电领域，全数字化仪控平台为电厂的非干预保护、自动控制、人机交互等方面提供了极大便利，与此同时也来了新的风险和挑战。为提高安全性和可靠性，数字化仪控系统软件的开发过程都要经过确认和独立验证(validation and verification,V&V)，各设计单位、系统供方、监管方针对软件的独立验证与确认(IV&V)的相关研究也不断深入。软件的V&V活动应伴随软件的采购、供货、开发、运行、维护等完整生命周期。目前，核电行业相关研究主要集中在开发阶段。涉及临时或永久的小范围修改的运行、维护阶段，关注较少。本文立足核电厂数字化仪控系统的运行和维护阶段，探索适应软件修改V&V活动的流程和方法，同时从核安全监管角度提出关注点建议，以期为后续相关研究及具体的V&V实践活动提供借鉴。

1 运行核电厂软件修改的分类

仪控系统修改的目的是消除或避免系统故障。仪控系统的硬件故障一般源于设计或制造中的错误，或是使用过程中的磨损、老化以及环境改变。软件故障不存在磨损和老化因素，主要由设计或开发中的错误以及使用过程中的环境改变而引起，也是典型的运行核电厂仪控系统软件的故障来源，软件故障本身具有隐蔽性[1]。

针对不同的修改类型和范围，对运行核电厂的软件修改可进行如下分类[2]。

第一类，因工作需要实施的临时控制变更。

第二类，因技术改造等需要实施的永久性变更。

第三类，供方软件配置错误或组态逻辑/参数与现场实际要求不一致而产生的修改。

第四类，供方新发布的软件，现场需要实施的增量式或覆盖式升版。

数字化仪控系统的软件V&V的主要任务是查找可能存在的缺陷，评估软件潜在的风险与危害，并提供解决方案以保证产品质量。重要的技术改造以及厂家发布的增量或覆盖式修改必须要有针对性的V&V，以保证软件功能的正确性和安全性。其他几类变更或修改同样需要质量管控。虽然无需像初始软件开发使用完整的V&V流程，但仍应采用某一种或几种V&V活动子项来进行变更内容的验证和确认。

2 运行核电厂V&V活动流程探讨

软件V&V的具体阶段可划分为：验证仪控系统需求到仪控系统设计，仪控系统设计到软件需求分析，软件需求分析到软件设计，软件设计到软件实现，软件实现到软件集成。通过一系列软件V&V活动，确认各阶段的需求是否均已得到满足，验证软件开发是否按照设计流程和要求开展，从用户的角度确认软件是否符合系统设计的真正需求[3]。

典型验证和确认流程(HAD 102-16)如图1所示。

图1 典型验证和确认流程(HAD 102-16)

从V&V活动的流程角度，针对运行核电厂不同类型的软件修改活动，应选取不同的V&V活动进行适配，确保软件修改的安全性。

第一类和第二类软件修改。这两类软件修改主要来源于工艺系统需求，软件修改的量并不大，只涉及部分机柜和部分控制逻辑，对仪控系统没有全局性影响。对于这些软件修改，需要把控如下关键步骤：工艺系统需求→仪控系统需求→软件需求。因此，主要采取的是需求V&V、实现V&V和测试V&V活动。活动执行应当以营运单位为主体，应当包括但不限于运行技术人员、工艺需求提出人员、仪控专业执行者等。除采取典型V&V流程以外，还需充分分析变更部分同其他系统的接口影响，以及软件删除和下装过程中带来的控制状态的改变，避免在执行软件变更的时候引入额外风险[4]。

第三类软件修改。这类修改对仪控系统的逻辑架构以及大部分参数配置无影响，因此软件原有V&V的有效性得到延续。针对这类修改，必须考虑修改引入的对软件整体的危险与挑战，尤其关注逻辑触发条件的改变。需要关注软件执行的正确性，即软件对工艺及仪控需求实现的符合性验证。在这一类的软件修改中，如涉及逻辑架构的偏差，则应当参照第一、二类软件修改的V&V活动方式进行考虑。此类软件修改的活动主体仍应当以营运单位为主体，但要将工艺设计方、仪控软件供方协同在V&V组织机构内，以便确认修改方案的完整性和有效性。

第四类软件修改。这类软件修改变动的范围很大，对仪控系统的整体逻辑架构和功能完整性有很大影响，多数情况下软件要整体重新安装，因此需要按照新开发仪控系统软件的要求执行完整的软件V&V流程。这类软件修改的V&V活动主体一般应该是软件的供方。如果条件成熟，也可以采用第三方独立验证方式。但作为对核安全负有全面责任的核电厂营运单位应当深度参与V&V活动，确保V&V活动能够全面准确的排查出仪控软件安全隐患。同样，这类修改的执行和V&V需充分分析变更部分同其他系统的接口影响，以及软件删除和下装过程中带来的控制状态的改变，避免在执行软件变更的时候引入额外风险。

3 运行核电厂V&V活动方法探讨

电气和电子工程师协会标准(IEEE 1012)给出了典型的软件测试和验证方法[5-6]，包括追溯分析、文档分析与评价、设计图对比分析、静态分析、代码走查、白盒测试、黑盒测试等。针对运行核电厂不同的软件修改类型，所使用的V&V方法也可以进行适当优化和调整，提高V&V活动的针对性和实效性。

运行核电厂DCS软件修改V&V方法的选择并不严格对应前文对软件修改的分类，而是更多地针对软件修改的内容和形式。

追溯分析、文档分析与评价等手段更多的是用于对软件开发的各级需求文档的符合性验证。对于大部分的运行核电厂DCS软件修改，并不一定存在严格意义上的各级需求文件，而是在已经具备的很明确的修改需求基础上直接生成修改方案，因此可以适当开展追溯分析、文档分析与评价，不必专门去组织这类工作或开发相应的文件。对于修改需求较多或者修改内容层次复杂、关联逻辑较多的情况，可以采取较为正式的追溯分析和文档分析与评价，以确保各层级修改需求及开发文档的正确连贯和范围准确，剔除不必要的修改源项，也保证修改内容的完整性。

对比分析目前在运行核电厂DCS软件修改的审查中广泛应用。除了前文分类中的第三类修改，其他各类修改，不论是图形化输入还是代码输入的DCS平台，在修改编辑之前都会优先修改逻辑图或模拟图，在此阶段执行设计图对比分析非常有针对性，效果非常显著。

静态分析和代码走查方法针对的是已经成型的软件修改代码或组态，是一种对代码直接检查的必要方法。执行过程可采用标准化的软件分析方法、走查工具，在运行核电厂的各类软件修改中，均需要不同程度的静态分析和代码走查；在实际运用中，也可不依赖自动化的工具，采用人工方法沿程序和代码进行检查，以找出代码中存在的各类错误[7]。

黑盒测试是指将程序看作是内部不可见的黑盒，不考虑内部/编码结构和语句路径，通过专用工具从程序输入与输出间的关系检查测试结果是否满足预期要求。此方法依靠软件设计说明书中的功能来设计测试用例，以检验软件的功能完整性。测试用例设计应具有代表性，覆盖各种合理的和不合理的、合法的和非法的、边界的和越界的及极限的输人数据和期望输出。目前运行核电厂的软件修改验证多采用黑盒测试的方式。这种方式能够最贴近实际运行环境，能够直观给出软件修改功能完好性的评价。但黑盒测试并不能完整覆盖全部的软件结构和语句，尤其对多余语句和其他非预期影响的挖掘能力不足，因此，仅仅执行黑盒测试是不够的。

白盒测试是通过专用工具设计测试用例分析程序内部逻辑/编码结构，覆盖程序的每个语句、每个条件分支、每个控制路径，检验其是否存在缺陷或错误。此方法根据软件内部构造设计测试用例，检验代码测试的完整性。未来运行核电厂可以在DCS系统采购时考虑增加配套V&V工具的开发与服务，在技术上提高运行核电厂对软件变更质量管控水平[8-9]。

4 运行核电厂V&V活动的监管建议

目前，大部分运行电厂DCS系统的V&V活动是由DCS厂家主导执行，一部分小修改的V&V是由运行电厂自己完成。这种局面一是因为DCS供方在售卖系统和设备时的利益考虑，另外也是由于核电厂自身技术能力限制，同时也有核电运营者对数字化系统软件V&V重要性认识不足的因素。核电厂营运单位对核安全负有全面责任，对运行机组的核安全监管，主要的着力点是核电厂营运单位，在运行机组软件V&V活动方面，应加强以下几个方面的监管。

第一，要形成明确的V&V质保要求和相应的管理程序、技术程序，对数字化仪控系统的软件修改进行有效管控[10-11]。管理和技术程序应包括基本的V&V流程、V&V程序开发方法(包括典型方法、测试用例等)。应当形成一套完整的厂内V&V管理体系，并由专业人员和质保人员对程序进行不定期的修订和升版，保持厂内V&V管理体系的有效性和活力。在建立程序体系过程中，电厂可参考核安全导则(HAD102/16)中的第15节“交付后的修改”。该章节对运行核电厂安全级软件修改的V&V提供了较明确的要求和指导原则。

第二，核电厂应具备充足的V&V技术人员。虽然软件开发流程和V&V活动过程都是类似的，但不同的DCS平台所使用的操作系统、开发工具、测试环境都有各式各类的差别。执行V&V活动的人员应充分掌握本电厂DCS软件的开发方法、各应用软件的使用方法以及V&V工具的使用方法等，同时应当熟悉DCS中的工艺控制逻辑及各变量对电厂状态的影响，以便分析和弄清V&V活动的风险预案和隔离方法。因此，电厂应当组织和培养相关专业人才队伍，保证V&V活动有充足、有效的人力保证。

第三，V&V执行工具。电厂应配备适用的V&V活动工具和模拟平台，用于支持V&V程序、测试用例的开发，支持验证的模拟、人员的培训等活动。没有配套的V&V执行工具，电厂无法真正有效实施IV&V工作。这些工具可以从DCS的供方处进行定制和采购，也可以委托独立的第三方进行开发。目前，国外已有一些专门的公司负责开发独立的V&V执行工具，国内也有公司和院所在做相关的研究和开发。这部分工作也是需要电厂的关注与投入以及监管方的推动的[11]。

5 结束语

运行核电厂软件V&V活动对于保障电厂核安全风险可控是十分重要的，从监管角度看，要对核电厂牵头组织的这部分工作给予足够的关注，并要从技术、管理、法规等多方面角度对其进行管控，切实保障核电机组不受软件问题的侵害。本文立足于数字化仪控系统的V&V活动这一特定技术范畴，侧重于软件交付后的电厂运行阶段，结合典型的V&V活动流程和V&V方法，对数字化仪控系统软件修改的V&V工作进行了探讨。同时，结合目前运行核电厂数字化仪控系统工作的实际开展情况，对软件V&V工作的监管提出建议，为后续的相关研究提供了一些思路和参考。