托卡马克安全关键仪控系统的软件验证与确认

王灵芝，王 勇，许张后

(1.闽南师范大学物理与信息工程学院，福建漳州 363000；2.中国科学院等离子体物理研究所，安徽合肥 230031)

仪表与控制(I&C)系统是托卡马克装置的神经系统，其中安全关键仪控系统主要负责装置运行状态下的自动控制和监控操作，实现事故工况下的保护和事故缓解功能，包括事故工况下的紧急停止放电、磁体保护、事故监视等功能。安全关键仪控系统的可靠性关乎整个托卡马克的安全，是确保装置安全运行最重要的保障和防线之一。由于软件在仪控系统中所占的比例越来越高，软件可靠性已成为安全关键仪控系统质量的关键。软件验证和确认(Verification and Validation，V&V)是保证软件质量的一项重要而且有效的手段[1]。安全性和可靠性是关于安全关键仪控系统最终的考虑因素，软件V&V是软件质量控制的有效方法，是提高托卡马克安全关键仪控系统可靠性和可信度的重要手段。国际热核聚变实验堆(ITER)在其电厂联锁系统设计导则中亦明确了电厂保护系统的V&V要求[2]。

EAST(Experimental Advanced Superconducting Tokamak)超导托卡马克是我国设计建造的国际上第一个建成的全超导托卡马克实验装置。EAST全超导托卡马克的运行风险将远高于现有的任何超导托卡马克的运行风险[3-5]。EAST在全厂范围内建立了安全联锁系统，用于确保装置、人员和环境的安全，从而最大程度地规避风险[6]。一体化设计的EAST安全联锁系统集成了安全系统和联锁系统，并划分为中央层和分控层。分控系统层安全联锁子系统负责各子系统的状态监测，并将状态和故障信息发送至中央层，与此同时接收来自中央层的保护信号并对本子系统进行保护。而位于中央层的安全联锁监管系统统一协调控制事故工况下的紧急停止放电、磁体保护、事故监视等功能，实现对人身、环境和装置设备的安全防护。安全联锁系统是EAST安全关键仪控系统最主要的组成部分之一[6]。因此，本文选择该系统作为实例开展了第三方独立V&V，阐述托卡马克安全关键仪控系统的软件V&V过程，研究结果为托卡马克联锁系统和保护系统等安全关键仪控系统的工程技术开发与核安全许可，提供了必要的前期技术基础。

1 V&V模型和方法

由于磁约束核聚变尚处于科学研究阶段，所以IEC(国际电工委员会)、IEEE(美国电气和电子工程师协会)等相关国际组织等并没有为磁约束核聚变反应堆制定专门的技术标准和法规。正如ITER PCDH(电厂控制设计手册)中体现出来的，对于托卡马克安全攸关仪控系统的设计，只能借鉴IEC、IEEE等现行的关于核电厂安全级仪控系统的技术标准。ITER的设计、建造、测试、评估等环节涉及大量的技术标准，其中电气部件、装置或系统主要采用IEC发布的国际标准和法国标准(NF)。项目实施过程中主要依据的IEC、IEEE、ITER等相关设计标准和导则，包括：IEC 61513、IEC 61508、IEC 61226、IEC 60880、IEEE 1012、IEEE 1028、IEEE 830、ITER PCDH[7]等。PCDH卫星文件集制定了《软件工程及质量保证》《PLC软件工程手册》和《CWS案例研究规范》。

ITER PCDH中规定ITER安全关键仪控系统(包括联锁系统和安全系统)应依据IEC 61508标准中的安全完整性等级(SIL)分配方法，对每个联锁和安全功能进行SIL分级。ITER仪控系统中大量使用西门子S7系列可编程逻辑控制器(PLC)，其联锁系统采用西门子S7-400 FH作为SIL2级和SIL3级PLC慢速控制器，安全系统使用S7-400 FH作为SIL3级PLC慢速控制器。S7-400 FH是故障安全和高可用性PLC，符合SIL3级的要求。EAST安全联锁系统亦采用S7系列双冗余控制器PLC平台进行了升级，在该平台下开展V&V工作，也有助于加深对ITER仪控系统的研究和理解。

EAST安全联锁系统软件V&V的生命周期划分为需求阶段、设计阶段、执行阶段、测试阶段和验收阶段。图1所示为EAST安全联锁监管系统软件可靠性设计和V&V方法模型，显示了系统开发生命周期中各个阶段的任务，项目依据该模型开展V&V活动。在项目的启动阶段，开发验证与确认技术书(VVP)，建立需求追踪矩阵(RTM)以便在各个阶段开展可追踪性分析。

图1 EAST安全联锁监管系统软件可靠性设计和V&V方法模型

2 V&V过程

2.1 概念V&V

在概念V&V阶段，分析并验证该系统的体系结构、系统需求的分配(包括硬件、软件和用户界面)、系统的SIL等级，以确保没有错误的假设被纳入设计之中。EAST安全联锁系统独立于总控系统之外，是确保人员、环境和装置设备安全，降低运行风险的安全关键性设备。开展软件关键性分析,评估软件的可靠性及其对系统的影响，从而为软件分配适当的SIL。鉴于EAST未开展氘-氚核聚变实验，对环境几乎没有放射性危害,位于其中央层的安全联锁监管系统的安全完整性级别设定为SIL 3是合理且正确的。

2.2 需求V&V

对于V&V活动处理软件功能和性能需求分析等方面的要求，应结合可靠性需求分析结果，确保软件需求的正确性、完整性、准确性、可测试性和一致性。在该阶段，以EAST安全联锁监管系统需求书为输入，分析并评审系统结构、故障危害级别设置、信号类型、故障处理机制、系统需求、信号接口等输入文档[6]。

2.2.1 可追踪性分析

系统需求明确了EAST装置的三个危害等级故障信号以及不同故障等级须采取的应对机制。由此提出的EAST安全联锁系统需求符合系统概念需求，满足装置运行过程中对安全联锁保护的技术要求，系统需求是正确、一致、完整、准确、可读和可测的。

2.2.2 接口分析

系统接口包括硬件接口、软件接口和人机用户接口。硬件接口：鉴于托卡马克装置复杂的电磁环境，出于信号完整性和设备防护方面的要求，硬件接口必须进行电气隔离。因此，所有信号均经由专用的光纤网传输，实现各子系统间完全的电气隔离，这与系统需求一致。软件接口：软件接口主要包括安全联锁系统的状态信息远程监视、故障日志信息的上传以及系统时钟的在线同步。网络通信需确保信号交互的通畅和实时性，并避免网络病毒和黑客攻击。人机用户接口：在EAST总控制的计算机上建立人机界面程序，在装置运行期间由操纵员监视安全联锁系统的运行状态和故障日志。

2.2.3 系统V&V测试计划

系统V&V测试计划包括：软件单元测试计划、软件集成测试计划、系统集成测试计划。软件单元测试以仿真测试为主，分析测试用例和单元测试结果的正确性和完备性。软件集成测试是对集成后软件的测试，针对安全联锁监管系统监测的三类故障信号进行测试，确保单一和并发故障情况下，能够提供正确的保护动作，使网络信息通信顺畅，故障日志及时且正确，从而确保软件测试结果的正确性和完备性。系统集成测试，提供必要的外部测试设备和必要的测试用例，分析集成测试结果的正确性和完备性。

2.3 设计V&V

在设计阶段，V&V需验证系统构架和详细设计输出是否满足安全要求。设计V&V活动解决软件构架设计和软件详细设计。对系统本身和系统与外部界面的验证需同时进行。设计V&V要结合可追溯性分析和可靠性分析，证明设计是准确的，是软件需求的完整转变，并没有引入任何不需要的功能。

2.3.1 系统架构分析

EAST安全联锁系统主要由基于西门子S7-400H双冗余PLC的控制器、安全联锁网络和相关的硬件接口设备组成。系统划分为软件和硬件：软件部分主要包括PLC的硬件组态、通信组态、梯形图和功能块图程序以及上位机监控界面；硬件部分主要由ET200M远程I/O站、安全联锁网络及相关的硬件接口等设备组成。SIMATIC H Station主站作为系统控制器，从站IM 153-2实现I/O扩展，工程师站用于系统配置、程序开发和下装等。其中，主站与从站通过冗余的Profibus现场总线连接，主站通过冗余的Ethernet总线与工程师站连接。系统结构和组态如图2所示。

图2 系统结构与组态

2.3.2 软件评估与分析

依据系统需求，评估安全联锁系统PLC软件设计书，评审架构文档和系统设计图。系统的软件设计包括PLC系统组态和梯形图编程设计，二者的正确集成才能满足系统的具体需求。安全联锁系统的软件模块包括输入信号扫描、保护动作输出、端口状态传输、故障日志传输与保存等。执行关键性、风险、危害和安全分析，通过软件FMEA、FTA等可靠性分析技术识别出软件需求、设计或编码中的缺陷及薄弱环节，并通过制定和实施改进措施提高软件的可靠性。

2.3.3 软件单元与集成V&V测试计划和设计评估

针对信号循环扫描、端口状态UDP传输、故障日志TCP传输和就地保存、等离子体控制系统看门狗检测等软件单元，制定软件单元测试计划和测试规程以及软件集成测试计划和规程。

2.4 实现V&V

在实现阶段，系统设计被转换为具体的梯形图和软件组态。实现V&V活动,解决软件编码和测试，目的是保证V&V设计转换的准确性、一致性、可追踪性和完整性。

2.4.1 可追踪性分析

追踪源代码和设计约束至设计文档，前向追踪源代码组件到相应设计规格说明，后向追踪设计规格说明到源代码部分，分析标识的正确性、一致性和完备性。

2.4.1.1 S7-400 PLC软件V&V

PLC下位机软件单元包括：系统配置、高级故障检测、状态故障检测和PCS看门狗检测。在系统配置中，为了实现PLC系统时间与EAST中央授时系统时间服务程序的每日对时，在PLC配置中开启并配置了SNTP(Simple Network Time Protocol)服务。系统端口状态UDP传输和故障日志TCP传输，可为总控制室操作员站提供两项服务：各安全联锁子系统的状态信息实时显示和系统故障日志及时序的查询。

2.4.1.2 WinCC组态软件V&V

系统人机交互界面是在工程师站中实现的，由西门子WinCC组态软件开发，程序包括：人机界面、数据归档及与PLC的数据交互等软件单元。

2.4.2 源代码和源文档评估

评估源代码组件(源代码和源代码文件)的正确性、一致性、完整性、精确性、可读性和可测性。

2.4.2.1 S7-400 PLC系统配置评估

评估系统主站和从站的配置信息。系统主站分别由2个冗余的CPU 417-4H作为系统控制器模块、2个冗余电源PS407 10A模块和2个冗余的CP 443-1以太网模块组成。ET 200M从站包括：2个IM 153-2模块、1个16通道的数字输入模块、1个16通道的数字输出模块、1个2通道的模拟量输入模块以及1个高速计数器FM350模块组成。评估工作包括各模块配置信息、系统架构配置等。

2.4.2.2 代码走查

以一级故障代码静态走查为例说明代码走查过程。“真空系统一级故障”源代码如图3所示。程序段10：在“真空一级故障”为正常态(即为低电平)时，I0.1闭合，程序未检测到“真空一级故障”，DB1.DBW4为0。当“真空一级故障”为故障态(即为高电平时)，I0.1断开，程序进入检测“真空一级故障”部分，为了降低噪声干扰，程序段11和程序段12只有在连续的3个扫描周期中都检测到“真空一级故障”，才触发一次“真空一级故障”事件，即M101.1闭合。程序段13在检测到M101.1闭合时，记录“发生真空一级故障”这一事件。程序段14在检测到M101.1断开时，记录“解除真空一级故障”事件。

图3 “真空一级故障”检测源代码

2.4.3 单元与集成V&V测试用例设计和规程评估开发并验证单元测试用例和测试规程，以便在下一个V&V阶段使用。

2.5 测试V&V

测试V&V活动覆盖软件单元测试、软件集成测试、系统集成测试和系统验收测试，目的是确保软件需求和系统需求得到满足。验证V&V测试用例是否遵循项目定义的测试文档目的、格式和内容。确认V&V测试用例满足V&V任务中有关组件、集成、系统和验收测试的各自的准则。

软件单元测试和集成测试均采用S7-PLCSIM仿真工具进行仿真测试。各软件单元包括：一级与二级故障、状态信号和PCS看门狗等，设置输入节点信号量模拟各子系统输入信号，并监测输出各内存单元和输入输出单元的状态变化。集成软件测试包括：故障信号、状态信号和PCS看门狗信号的联锁保护、Profibus总线冗余通信、以太网通信、FEPROM存储卡操作测试等系统功能。

系统测试在实验室环境下进行，由NI虚拟仪器系统与S7-400 PLC直接连接，构成闭环测试系统。测试系统向PLC提供外部硬件测试信号，模拟装置运行过程。测试系统自动检测并分析PLC的保护输出信号，判断PLC的功能与系统需求是否一致。

验收测试在EAST安全联锁监管系统的安装地点进行，以上述闭环测试系统进行测试。该测试验证了安全联锁各项保护功能、现场总线的通信功能和性能、数据存储归档功能、网络通信功能和性能、工程师站数据记录归档功能以及光纤信号接口设备的功能和性能。基于以上验收测试过程，确认系统实际功能与软件需求和系统需求相一致，系统满足用户对其正确性、完备性和准确性的要求。

3 结语

本文以安全关键系统EAST托卡马克安全联锁系统为实例，实施了第三方独立软件V&V。V&V活动和EAST安全联锁监管系统的升级开发活动同步进行，有利于在开发活动中发现错误，提高开发测试效率，降低开发成本。V&V活动包括了设计审查、设计验证、源代码审查、需求分析和评估、接口分析和评估、需求跟踪分析、配置管理评估、安全分析和测试等。鉴于篇幅有限,本文仅阐述其中部分主要工作。V&V的结果记录在V&V报告中，包括设计需求审查、评估准则、错误报告等。研究结果可为托卡马克联锁系统和保护系统等安全关键仪控系统的工程技术开发与核安全许可提供必要的前期技术基础。

[参考文献]

[1]IEEE Std.1012-2012,IEEE standard for system and software verification and validation[S].New York:IEEE,2012.

[2]Journeaux J Y.Plant control design handbook(27LH2V_v7_0)[R].ITER,2013.

[3]李建刚.托卡马克研究的现状及发展[J].物理,2016(2):88-97.

[4]万宝年,徐国盛.EAST超导托卡马克[J].科学通报,2015(23):2157-2168.

[5]万元熙.全超导托卡马克的运行风险和需要采取的对策[Z].2006年EAST学术报告包,2006-07-31.

[6]吴一纯,季振山,孙晓阳,等.EAST安全联锁监管系统设计[J].原子能科学技术,2011(2):250-256.

[7]Savouillan M.Guidelines for the design of the plant interlock system(3PZ2D2_v4_0)[R].ITER,2014.