基于IEC62138标准的SR级软件V&V验证的研究与实践

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于IEC62138标准的SR级软件V&V验证的研究与实践范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要：本文阐述了岭澳二期DCS的SR级软件V&V验证的过程，并且通过用例分析来重点说明岭澳二期DCS的SR级软件V&V验证中平台测试阶段具体测试活动的详细实施方法和策略。最后逐项分析了整个SR软件V&V验证工作与IEC62138标准的符合性。

关键词：IEC62138, 数字化仪控系统，SR级软件，V&V验证

1. 前言

岭澳二期数字控制系统（DCS）采用的是TXP+TXS平台，其安全分级分为1E（安全级），SR（安全相关级），NC（非安全级）。TXS实现安全级仪控控制功能，TXP实现安全相关以及非安全级仪控控制功能。1E类软件的V&V（Verification and validation验证和确认）要求按照IEC60880 核电厂安全重要仪控系统―基于计算机系统执行A类功能的软件标准执行；SR级的软件V&V要求按照iec62138 核电厂安全重要仪控系统―基于计算机系统执行B类、C类功能的软件标准执行。NC级软件的V&V没有那么严格，只需执行ISO9000-3标准。

基于IEC62138标准对SR级软件进行V&V验证在国内是一个全新的课题，在国外也只有少数全数字化核电站有所尝试。岭澳二期DCS项目对这一领域进行了具体实践，并且根据现场实际调试结果（SR软件部分发现很少的问题）来看，岭澳二期SR软件的V&V验证工作是成功的，可以向其他项目进行推广和借鉴。

2． SR 软件V&V验证的过程

SR 软件V&V验证工作贯穿于整个SR软件的设计开发过程中，从需求提资、基础设计、详细设计、平台测试、一直到再设计阶段。具体参见图1（黄色部分为各阶段的V&V活动）：

> 输入文件验证

检查输入文件的完整性以及其考虑转化成DCS实现的功能表征。

> 基础设计验证

这阶段的验证目的主要是为了使设计输入文件（这里指的是设计院出版的设计图纸）与基础设计结果（DCS功能图）保持一致。向验证部门提交电子或者纸质的DCS组态图纸或者整个DCS数据库的审查。

> 软件验证测试

软件验证测试在测试现场结合实际的硬件机柜进行，主要是为了应用软件和系统软件的正确整合，保持需求规范与应用软件的一致性。应用软件生成代码下装到硬件机柜后进行。这个阶段的测试主要分两个步骤：

系统性测试：整体的功能性测试，按照测试分析（test analysis）中定义的测试划分，逐个对每个系统功能子组的功能测试。

抽样检查：功能测试完成后的一些专项测试，如

- 下层测试，例如信号的独立性，系统的初始化等等

- 与level0以及level2的接口

- 与其他控制机柜的接口

- 对于特殊标准要求I&C系统的响应时间

SR软件V&V验证在设计提资、基础/详细设计阶段都主要是文件审查的工作，其具体的测试活动主要在平台测试阶段执行。本文将重点讲述SR软件在平台测试阶段测试活动的实施办法和策略。

3. SR软件测试活动的实施

3.1 测试方法的选择

根据电站需求规范提交的不同特点，可以采用功能测试法和架构测试法这两种方法用于SR软件测试。

> 功能测试法：

功能测试方法需要首先将需求规范转化成标准的功能图，然后根据电站功能划分成相对独立的功能子组。功能子组定义好后就可以根据具体的功能逻辑编写测试用例和测试程序进行测试。

比如RCV系统（化学和容积控制系统）按功能可以分为如下几个功能子组：

－容积控制功能 SSG RCV01

－下泄回路控制 SSG RCV02

－上充回路控制 SSG RCV03

－密封水注入 SSG RCV04

－稳压器辅助喷淋 SSG RCV05

－RRA系统连接做准备（控制硼含量、加热、增压）SSG RCV06

功能测试方法的好处是，根据功能规范来编写的测试用例和测试程序可以相对保持不变，因为电站系统功能基本上是冻结不变的。并且，合理的功能子组划分可以节省很多平台测试期间机柜端子排上外部信号仿真以及工程师站中软件仿真的工作量。

> 构架测试法

选择需求规范中适当的部分（一整页或者是几页，或者是一页中的某部分）来编写测试用例和测试程序，同时必须保证测试用例的测试范围覆盖所有需求规范的逻辑。这种按照需求规范的组成架构来编写测试用例和测试程序进行测试的方法称为构架测试法。岭澳二期的做法是，一页逻辑图对应一个测试用例。

由于TXP功能组的特性使得功能法在岭澳二期DCS项目中不能使用。因为按照TXP的分区原则，一个系统最多可分为四个功能组（sr train A, SR train B, NC train A, NC train B），每个功能组里包含多个不同的系统功能，而无法按照功能测试法要求的按照系统独立划分功能子组。

并且在整个平台测试阶段，机柜的通道测试、性能测试与功能测试几乎是平行进行的，这样就无法保证测试目标系统涉及的所有设备如KCP KCS机柜二层画面和其他配套设施等都同时可用，而且考虑到对测试人员工艺系统专业知识的要求和测试进度的要求，所以，功能测试法在岭澳二期SR软件测试时并不适用，最终岭澳二期选择的是构架测试法。

3.2 测试活动的具体实施

3.2.1 测试工具:

> 测试计算机：安装了VEE软件，可以模拟level0层设备（按钮、执行器、指示器）等设备的动作。

> ES680 软件： TXP工程师站的软件，可以修改组态，生成代码，下装也可以用来动态监测。

> OM690 系统：人机接口系统

> Tec4 功能图组态工具：TXP TEC4 EDITOR软件

> Tec4功能图数据库： 下装到各个AP，用于测试的TEC4数据据库。

测试前，相关硬件设备安装完善，视需要与其他DCS系统（如BUP TXS机柜等）连接。然后将应用软件下装至自动控制系统（AP）中，使之在操作系统环境中运行。

3.2.2 测试活动的执行

在定义好测试用例（TEST CASE）后，就可以编写制定详细的测试程序(TEST ANALYSIS)，然后在测试现场基于实际的硬件机柜执行测试用例，如果测试结果合格则可以测试报告，如果结果不合格，则需要分析测试中发现的问题，解决后考虑再测试过程。具体见图2所示。

3.2.2.1 定义测试用例（TEST CASE）

构架测试法的测试用例是直接按照系统逻辑图/模拟图SR部分的结构划分来定义，通常一个用例对应一页或几页逻辑图/模拟图。比如LHAB系统，经过分析所有AD/LD的SR部分的逻辑，一共产生了26个测试用例（TEST CASE）。

测试用例TC_3LHA_7定义见下图3，对应的是LHA LD的第20页的逻辑：

> 输入信号：

输入1: 3LHA / Manual control INTERLOCK SR

输出2: 3LHA 002JA CLOSE SELECT SR

> 输出信号：

输出1：3LHA 002JA CLOSE manual order SR

输出2：3LHA 060KS CLOSE manual order SR

3.2.2.2 编写测试程序（TEST ANALYSIS）

在定义好测试用例后，需要编写详细的测试程序。测试程序中需要包括如下信息：

> 设计输入文件的详细清单信息（接口、通讯渠道、版本等等）以及供应商的审查意见和实现文件的信息（SR的软件部分就是TEC4功能图和端子接线图）。

> 系统的功能介绍、测试方法、测试地点

> 测试用例设计划分，测试目的

> 测试程序，测试记录真值表

> 测试中所需的执行机构的端子信息。

测试程序（TEST ANALYSIS）编写完成后，要经过严格审查通过后才能用于测试。在测试程序中最重要的是根据测试用例中的逻辑关系定义输入信号与输出信号之间的真值表。

比如：测试用例TC_3LHA_7的输入信号

3.2.2.3 执行测试活动

为了确保测试人员可以拿着测试程序就可以直接测试并且记录测试结果，需要将TEST analysis中的每个测试用例转化成测试test protocol。

在Test protocol 中列出TEC4中所有的需要仿真的信号、连接模拟LEVEL0执行机构的端子信息、BUP操作相关信息、定义测试初始状态等更加详细的信息。

测试活动的具体执行只是按程序操作和记录的过程，见下图4，逐步按照输入信号的要求操作，比对输出信号中的结果。