在所有高安全等級的工業控制系統中,核電控制系統無疑是最為特殊、最為嚴苛的存在。它不僅承擔反應堆啓停、功率調節、安全保護與應急切除等核心任務,更是整個核設施安全鏈條的中樞神經。因此,其軟件驗證與物理測試自然成為系統研製階段中最關鍵,也最具挑戰的環節。
與普通工業控制系統相比,核控制系統承擔的是反應堆啓停、功率調節、安全保護、應急切除等一系列核心任務,其安全等級極高、可靠性要求極致。正因為如此,軟件系統一旦出現邏輯偏差或執行失誤,其後果可能超出一般意義上的停機或故障,而可能導致輻射風險、核事故、公眾安全影響等極端後果。因此,從制度、標準、工程方法角度,核控制系統的軟件驗證(Verification)與確認(Validation,V&V)被置於前所未有的重要位置。
從制度標準來看,國際電工委員會(IEC)60880《核電廠儀控系統軟件安全相關計算機系統方面的要求》明確指出,核安全類別A的數字計算機系統軟件必須經歷完整且可追溯的生命週期驗證;而我國核安全法規體系中的HAF 601/604證書制度,同樣對核安全級設備的軟件開發與驗證提出了嚴格要求。
在這種制度背景下,核儀控系統的軟件不能僅憑一兩次功能測試通過就算完事,而需要貫穿“概念設計—子系統開發—系統集成—現場運行”全過程的分階段驗證(Multi-Stage Validation,MSV)辦法。
從測試形態來看,物理測試環境在核控制系統中面臨着巨大的成本、週期與風險壓力。以重大設備聯調為例,真實的反應堆、堆芯、控制棒驅動系統、主冷卻泵、備用電源等都可能參與協同驗證。
這意味着:一方面某個控制邏輯的改變往往需要整機停機、系統拆裝、廠商配合、現場試驗;另一方面,即使完成測試,也可能無法覆蓋所有極端運行狀態、偶發故障情況或系統間耦合效應。研究指出,對於安全數字控制系統而言,軟件老化管理(Software Aging Management)問題尚處於探索階段,其可靠性難以像硬件那樣通過實物置換的方式實現全面保障。
再次,從工程協同性來看,當控制系統由多芯片、多板卡、多總線、多協議組成時,其耦合度、複雜度顯著提高。尤其在安全級DCS(Distributed Control System,分佈式控制系統)中,採用硬件可編程器件(HPD)技術的控制系統往往同時涉及多芯片、多總線與多協議協同,驗證複雜度呈指數級上升。因而在核控制系統研製中,單靠物理測試不僅成本高、週期長,而且對複雜系統中的交互、耦合與極端工況“照明”能力有限
正是在上述幾重難題背景下,行業開始探索軟件仿真測試路徑:
通過仿真環境預演、構建高保真模型、提前校驗控制邏輯與系統行為,把驗證的前端放在虛擬階段,將實物測試的時間與風險大幅壓縮,並提前解決邏輯、架構、耦合、故障注入等問題。
面對核控制系統在真實測試中高風險、高成本、系統級多芯片協同驗證困難等現實挑戰,行業開始加速採用更高保真、更強可控的虛擬化測試手段。在這一背景下,基於天目全數字實時仿真軟件SkyEye構建的高保真異構仿真環境,正在成為核控制系統驗證的重要支撐技術。
在某核控制系統仿真項目中,團隊利用SkyEye構建了一套高保真異構測試環境,針對國產 PPC 架構的多板卡系統進行了精準仿真,並模擬了芯片加密算法的真實運行特徵。同時,SkyEye支持與Simulink模型進行動態聯合仿真,使控制軟件能夠在虛擬環境中獲得閉環驗證平台,從源頭上降低對物理硬件的依賴,也使整體測試過程在安全可控的前提下得以推進。
在此基礎上,本案例還搭建了自動化故障注入系統,能夠對芯片寄存器、存儲器以及CAN、1553B等通信總線進行無損故障注入與現場保存。通過圖形化界面與腳本化配置,實現了多類型故障的統一管理、自動測試與報告生成,在大幅提升測試效率的同時,也提升了驗證覆蓋度,為核控制系統的正確性、可靠性與國產化替代提供了關鍵支撐。
▲SkyEye核控制系統仿真案例
參考文獻
[1] 民用核安全設備設計製造安裝和無損檢驗監督管理規定(HAF601)[J].中華人民共和國國務院公報,2008,(20):30-37.
[2] 丁義行,李世欣.基於HPD的核電廠分佈式控制系統驗證與確認[J].核動力工程,2016,37(06):75-79.DOI:10.13832/j.jnpe.2016.06.0075.
[3] Rudakov S, Dickerson C E. Harmonization of IEEE 1012 and IEC 60880 standards regarding verification and validation of nuclear power plant safety systems software using model-based methodology[J]. Progress in Nuclear Energy, 2017, 99: 86-95.
