在所有高安全等级的工业控制系统中,核电控制系统无疑是最为特殊、最为严苛的存在。它不仅承担反应堆启停、功率调节、安全保护与应急切除等核心任务,更是整个核设施安全链条的中枢神经。因此,其软件验证与物理测试自然成为系统研制阶段中最关键,也最具挑战的环节。
与普通工业控制系统相比,核控制系统承担的是反应堆启停、功率调节、安全保护、应急切除等一系列核心任务,其安全等级极高、可靠性要求极致。正因为如此,软件系统一旦出现逻辑偏差或执行失误,其后果可能超出一般意义上的停机或故障,而可能导致辐射风险、核事故、公众安全影响等极端后果。因此,从制度、标准、工程方法角度,核控制系统的软件验证(Verification)与确认(Validation,V&V)被置于前所未有的重要位置。
从制度标准来看,国际电工委员会(IEC)60880《核电厂仪控系统软件安全相关计算机系统方面的要求》明确指出,核安全类别A的数字计算机系统软件必须经历完整且可追溯的生命周期验证;而我国核安全法规体系中的HAF 601/604证书制度,同样对核安全级设备的软件开发与验证提出了严格要求。
在这种制度背景下,核仪控系统的软件不能仅凭一两次功能测试通过就算完事,而需要贯穿“概念设计—子系统开发—系统集成—现场运行”全过程的分阶段验证(Multi-Stage Validation,MSV)办法。
从测试形态来看,物理测试环境在核控制系统中面临着巨大的成本、周期与风险压力。以重大设备联调为例,真实的反应堆、堆芯、控制棒驱动系统、主冷却泵、备用电源等都可能参与协同验证。
这意味着:一方面某个控制逻辑的改变往往需要整机停机、系统拆装、厂商配合、现场试验;另一方面,即使完成测试,也可能无法覆盖所有极端运行状态、偶发故障情况或系统间耦合效应。研究指出,对于安全数字控制系统而言,软件老化管理(Software Aging Management)问题尚处于探索阶段,其可靠性难以像硬件那样通过实物置换的方式实现全面保障。
再次,从工程协同性来看,当控制系统由多芯片、多板卡、多总线、多协议组成时,其耦合度、复杂度显著提高。尤其在安全级DCS(Distributed Control System,分布式控制系统)中,采用硬件可编程器件(HPD)技术的控制系统往往同时涉及多芯片、多总线与多协议协同,验证复杂度呈指数级上升。因而在核控制系统研制中,单靠物理测试不仅成本高、周期长,而且对复杂系统中的交互、耦合与极端工况“照明”能力有限
正是在上述几重难题背景下,行业开始探索软件仿真测试路径:
通过仿真环境预演、构建高保真模型、提前校验控制逻辑与系统行为,把验证的前端放在虚拟阶段,将实物测试的时间与风险大幅压缩,并提前解决逻辑、架构、耦合、故障注入等问题。
面对核控制系统在真实测试中高风险、高成本、系统级多芯片协同验证困难等现实挑战,行业开始加速采用更高保真、更强可控的虚拟化测试手段。在这一背景下,基于天目全数字实时仿真软件SkyEye构建的高保真异构仿真环境,正在成为核控制系统验证的重要支撑技术。
在某核控制系统仿真项目中,团队利用SkyEye构建了一套高保真异构测试环境,针对国产 PPC 架构的多板卡系统进行了精准仿真,并模拟了芯片加密算法的真实运行特征。同时,SkyEye支持与Simulink模型进行动态联合仿真,使控制软件能够在虚拟环境中获得闭环验证平台,从源头上降低对物理硬件的依赖,也使整体测试过程在安全可控的前提下得以推进。
在此基础上,本案例还搭建了自动化故障注入系统,能够对芯片寄存器、存储器以及CAN、1553B等通信总线进行无损故障注入与现场保存。通过图形化界面与脚本化配置,实现了多类型故障的统一管理、自动测试与报告生成,在大幅提升测试效率的同时,也提升了验证覆盖度,为核控制系统的正确性、可靠性与国产化替代提供了关键支撑。
▲SkyEye核控制系统仿真案例
参考文献
[1] 民用核安全设备设计制造安装和无损检验监督管理规定(HAF601)[J].中华人民共和国国务院公报,2008,(20):30-37.
[2] 丁义行,李世欣.基于HPD的核电厂分布式控制系统验证与确认[J].核动力工程,2016,37(06):75-79.DOI:10.13832/j.jnpe.2016.06.0075.
[3] Rudakov S, Dickerson C E. Harmonization of IEEE 1012 and IEC 60880 standards regarding verification and validation of nuclear power plant safety systems software using model-based methodology[J]. Progress in Nuclear Energy, 2017, 99: 86-95.