IEC62138标准的SR级软件VV验证的研究与实践.doc

基于IEC62138标准的SR级软件VV验证的研究与实践 摘 要：本文阐述了岭澳二期dcs的sr级软件vv验证的过程，并且通过用例分析来重点说明岭澳二期dcs的sr级软件vv验证中平台测试阶段具体测试活动的详细实施方法和策略。最后逐项分析了整个sr软件vv验证工作与iec62138标准的符合性。 关键词：iec62138, 数字化仪控系统，sr级软件，vv验证 1. 前言 岭澳二期数字控制系统（dcs）采用的是txp+txs平台，其安全分级分为1e（安全级），sr（安全相关级），nc（非安全级）。txs实现安全级仪控控制功能，txp实现安全相关以及非安全级仪控控制功能。1e类软件的vv（verification and validation验证和确认）要求按照iec60880 核电厂安全重要仪控系统—基于计算机系统执行a类功能的软件标准执行；sr级的软件vv要求按照iec62138 核电厂安全重要仪控系统—基于计算机系统执行b类、c类功能的软件标准执行。nc级软件的vv没有那么严格，只需执行iso9000-3标准。 基于iec62138标准对sr级软件进行vv验证在国内是一个全新的课题，在国外也只有少数全数字化核电站有所尝试。岭澳二期dcs项目对这一领域进行了具体实践，并且根据现场实际调试结果（sr软件部分发现很少的问题）来看，岭澳二期sr软件的vv验证工作是成功的，可以向其他项目进行推广和借鉴。 2． sr 软件vv验证的过程 sr 软件vv验证工作贯穿于整个sr软件的设计开发过程中，从需求提资、基础设计、详细设计、平台测试、一直到再设计阶段。具体参见图1（黄色部分为各阶段的vv活动）： 输入文件验证 检查输入文件的完整性以及其考虑转化成dcs实现的功能表征。 基础设计验证 这阶段的验证目的主要是为了使设计输入文件（这里指的是设计院出版的设计图纸）与基础设计结果（dcs功能图）保持一致。向验证部门提交电子或者纸质的dcs组态图纸或者整个dcs数据库的审查。 软件验证测试 软件验证测试在测试现场结合实际的硬件机柜进行，主要是为了应用软件和系统软件的正确整合，保持需求规范与应用软件的一致性。应用软件生成代码下装到硬件机柜后进行。这个阶段的测试主要分两个步骤： ●系统性测试：整体的功能性测试，按照测试分析（test analysis）中定义的测试划分，逐个对每个系统功能子组的功能测试。 ●抽样检查：功能测试完成后的一些专项测试，如 - 下层测试，例如信号的独立性，系统的初始化等等 - 与level0以及level2的接口 - 与其他控制机柜的接口 - 对于特殊标准要求ic系统的响应时间 sr软件vv验证在设计提资、基础/详细设计阶段都主要是文件审查的工作，其具体的测试活动主要在平台测试阶段执行。本文将重点讲述sr软件在平台测试阶段测试活动的实施办法和策略。 3. sr软件测试活动的实施 3.1 测试方法的选择 根据电站需求规范提交的不同特点，可以采用功能测试法和架构测试法这两种方法用于sr软件测试。 功能测试法： 功能测试方法需要首先将需求规范转化成标准的功能图，然后根据电站功能划分成相对独立的功能子组。功能子组定义好后就可以根据具体的功能逻辑编写测试用例和测试程序进行测试。 比如rcv系统（化学和容积控制系统）按功能可以分为如下几个功能子组： －容积控制功能 ssg rcv01 －下泄回路控制 ssg rcv02 －上充回路控制 ssg rcv03 －密封水注入 ssg rcv04 －稳压器辅助喷淋 ssg rcv05 －rra系统连接做准备（控制硼含量、加热、增压）ssg rcv06 功能测试方法的好处是，根据功能规范来编写的测试用例和测试程序可以相对保持不变，因为电站系统功能基本上是冻结不变的。并且，合理的功能子组划分可以节省很多平台测试期间机柜端子排上外部信号仿真以及工程师站中软件仿真的工作量。 构架测试法 选择需求规范中适当的部分（一整页或者是几页，或者是一页中的某部分）来编写测试用例和测试程序，同时必须保证测试用例的测试范围覆盖所有需求规范的逻辑。这种按照需求规范的组成架构来编写测试用例和测试程序进行测试的方法称为构架测试法。岭澳二期的做法是，一页逻辑图对应一个测试用例。 由于txp功能组的特性使得功能法在岭澳二期dcs项目中不能使用。因为按照txp的分区原则，一个系统最多可分为四个功能组（sr train a, sr train b, nc train a, nc train b），每个功能组里包含多个不同的系统功能，而无法按照功能测试法要求的按照系统独立划分功能子组。 并且在整个平台测试阶段，机柜的通道测试、性能测试与功能测试几乎是平行进行的，这样就无法保证测试目标系统涉及的所有设备如kcp kcs