保護(hù)系統(tǒng)1E級(jí)軟件獨(dú)立驗(yàn)證實(shí)施管理

魏 鵬 黃平兒 吳 俊

（海南核電有限公司 海南昌江）

隨著數(shù)字化儀控技術(shù)的快速發(fā)展，在我國新建電廠中，反應(yīng)堆保護(hù)系統(tǒng)及事故后監(jiān)視等安全重要功能均已采用數(shù)字化儀控系統(tǒng)（以下簡(jiǎn)稱DCS）來實(shí)現(xiàn)。DCS系統(tǒng)的可靠性取決于設(shè)備硬件和軟件兩方面。為保證安全性和可靠性，數(shù)字化保護(hù)系統(tǒng)除必須通過通常的質(zhì)量鑒定程序確認(rèn)其硬件質(zhì)量外，還必須對(duì)執(zhí)行安全功能的1E軟件遵循國家的各項(xiàng)核安全法規(guī)、導(dǎo)則及標(biāo)準(zhǔn)，進(jìn)行獨(dú)立驗(yàn)證與確認(rèn)活動(dòng)（即Independent Verification&Validation）。

1E軟件獨(dú)立驗(yàn)證和確認(rèn)是一種綜合性的軟件質(zhì)量保證方法。驗(yàn)證（verification）是通過檢查和提供客觀證據(jù)，證實(shí)規(guī)定的需求已經(jīng)得到滿足；確認(rèn)（validation）用于證實(shí)特定預(yù)期用途的需求是否得到滿足。驗(yàn)證側(cè)重于過程性檢查測(cè)試，即白盒測(cè)試，確保前一個(gè)活動(dòng)輸出的產(chǎn)品合格地成為后一個(gè)活動(dòng)的輸入；確認(rèn)側(cè)重于對(duì)結(jié)果的檢查測(cè)試，保證系統(tǒng)和軟件所做的符合需求規(guī)格說明書和合同的規(guī)定，從而滿足用戶的預(yù)期，即黑盒測(cè)試。兩者結(jié)合起來形成一個(gè)套IV&V方法論，它包括了對(duì)軟件產(chǎn)品和過程的分析、評(píng)價(jià)、評(píng)審、審查、評(píng)估和測(cè)試等活動(dòng)，集中了許多技術(shù)和方法，覆蓋了軟件生存周期過程的所有基本過程，具有較高的獨(dú)立性和可操作性。

對(duì)于每項(xiàng)具體的IV&V活動(dòng)，需結(jié)合相應(yīng)設(shè)計(jì)、測(cè)試、分析等技術(shù)領(lǐng)域的通用標(biāo)準(zhǔn)并將其與核安全領(lǐng)域的法規(guī)、導(dǎo)則、標(biāo)準(zhǔn)的特定要求相結(jié)合，制定出符合要求并且可行的具體執(zhí)行方法。在IV&V活動(dòng)的執(zhí)行過程中，應(yīng)嚴(yán)格遵循法規(guī)及標(biāo)準(zhǔn)的要求，并將該要求貫徹落實(shí)到每項(xiàng)具體的IV&V行動(dòng)中。

一、海南項(xiàng)目IV&V實(shí)施概況

海南項(xiàng)目1E IV&V活動(dòng)，根據(jù)核安全法規(guī)HAF 102-2004中的要求，基于核安全導(dǎo)則HAD102/16-2004中的驗(yàn)證與確認(rèn)的基本流程及相應(yīng)的要求，并參考IEEE Std 1012-1998軟件V&V、IEEE Std 1028-1997軟件審查，Nureg 1.168-2004用于核電廠安全級(jí)系統(tǒng)數(shù)字化計(jì)算機(jī)軟件驗(yàn)證、確認(rèn)、審查、審計(jì)導(dǎo)則等，編制SVVP（軟件驗(yàn)證確認(rèn)大綱）。

海南項(xiàng)目RPS系統(tǒng)平臺(tái)設(shè)備Triconex V10已經(jīng)過美國核管會(huì)、中國核安全局驗(yàn)證、審查，取得核級(jí)鑒定證明，故海南項(xiàng)目軟件IV&V活動(dòng)僅針對(duì)應(yīng)用軟件，不包括操作系統(tǒng)、硬件、平臺(tái)軟件。本文僅針對(duì)在出廠測(cè)試階段的IV&V活動(dòng)，其他獲取、供應(yīng)、開發(fā)、運(yùn)作、維護(hù)、組織、文檔編制、配置管理、質(zhì)量保證、審核等軟件生命周期階段的IV&V活動(dòng)和任務(wù)，不在本文論述范圍內(nèi)。

1.IV&V團(tuán)隊(duì)組織和責(zé)任

根據(jù)法規(guī)要求、海南項(xiàng)目合同約定，并基于供貨商項(xiàng)目管理架構(gòu)，海南項(xiàng)目由設(shè)計(jì)團(tuán)隊(duì)、質(zhì)保團(tuán)隊(duì)、IV&V團(tuán)隊(duì)等共同開展IV&V活動(dòng)管理工作。為保證海南項(xiàng)目IV&V活動(dòng)的獨(dú)立性，在1E應(yīng)用軟件的開發(fā)過程中，由滿足技術(shù)、管理和財(cái)務(wù)獨(dú)立的團(tuán)隊(duì)組成IV&V測(cè)試團(tuán)隊(duì)。

IV&V測(cè)試團(tuán)隊(duì)負(fù)責(zé)實(shí)施獨(dú)立設(shè)計(jì)文件審查、軟件設(shè)計(jì)驗(yàn)證、需求跟蹤、開發(fā)和審查IV&V文件，準(zhǔn)備和執(zhí)行IV&V分析任務(wù)，并負(fù)責(zé)IV&V測(cè)試執(zhí)行。確保應(yīng)用軟件開發(fā)每個(gè)階段的輸出滿足上一階段的約束，確保每個(gè)階段的輸出滿足用戶需求和法規(guī)要求，確保最終產(chǎn)品滿足用戶需求。為保證獨(dú)立性，IV&V測(cè)試團(tuán)隊(duì)根據(jù)IV&V活動(dòng)自身的情況來制定計(jì)劃，而不受來自軟件設(shè)計(jì)團(tuán)隊(duì)的任何限定、財(cái)務(wù)約束、直接或間接的壓力。

對(duì)于項(xiàng)目工程設(shè)計(jì)團(tuán)隊(duì)，在整個(gè)核級(jí)應(yīng)用軟件開發(fā)生命周期中，僅負(fù)責(zé)依據(jù)設(shè)計(jì)輸入，完成項(xiàng)目軟件和硬件設(shè)計(jì)，系統(tǒng)集成發(fā)貨等工作，完全獨(dú)立于IV&V活動(dòng)。

在整個(gè)IV&V活動(dòng)中，項(xiàng)目QA團(tuán)隊(duì)依據(jù)項(xiàng)目的質(zhì)保大綱和軟件IV&V大綱監(jiān)督和檢查IV&V活動(dòng)，審查測(cè)試規(guī)程確保符合項(xiàng)目質(zhì)保程序，執(zhí)行獨(dú)立核查和監(jiān)督，管理IV&V活動(dòng)中的不符合項(xiàng)，審查和關(guān)閉測(cè)試活動(dòng)中的異常報(bào)告（Anomaly Report）。

2.軟件完整性

IEEE 1012-1998標(biāo)準(zhǔn)對(duì)保護(hù)系統(tǒng)軟件完整性Software Integrity Level（ SIL）建立了分類模型，在 IEC 61508（ 2.18）和IEC 61513（2.20）中也援引此模型。完整性模型將1E軟件錯(cuò)誤的后果分為災(zāi)難性的、嚴(yán)重性的、微小的、可以忽略的，并依據(jù)導(dǎo)致該錯(cuò)誤運(yùn)行狀態(tài)的概率，將應(yīng)用軟件歸為4類，根據(jù)Nureg 1.168-2004導(dǎo)則建議，將 RTS（反應(yīng)堆停堆功能）和 ESFAS（專設(shè)安全功能）歸為SIL-4級(jí)。不管其是否執(zhí)行安全功能，依照Nureg 1.152-2006（2.3）導(dǎo)則要求，任何1E級(jí)計(jì)算機(jī)系統(tǒng)的軟件模塊都將被歸為SIL-4級(jí)。

故保護(hù)系統(tǒng)IV&V過程中任何微小的、可以忽略的，即便不經(jīng)常發(fā)生的軟件錯(cuò)誤都必須經(jīng)過驗(yàn)證和確認(rèn)。

3.IV&V活動(dòng)工具、技術(shù)、方法等資源管理

為了保證IV&V活動(dòng)過程的高效性、準(zhǔn)確性、獨(dú)立性，并保證活動(dòng)符合發(fā)揮、導(dǎo)則、標(biāo)準(zhǔn)要求，IV&V引入了先進(jìn)的軟件工具、技術(shù)、測(cè)試方法，實(shí)踐中采取了一系列的措施，以支持軟件的驗(yàn)證和確認(rèn)過程。各階段使用的工具、技術(shù)、方法分別介紹如下。

需求跟蹤環(huán)節(jié)，供貨商采用IBM Rational DOORS軟件，將需求以具體的條目形式保存，通過創(chuàng)建RTM（Requirement Traceability Matrix）跟蹤需求矩陣，整個(gè)需求分為從系統(tǒng)需求SyRS（系統(tǒng)需求規(guī)格書）、子系統(tǒng)設(shè)計(jì)需求、軟件需求SRS（軟件需求規(guī)格書）和軟件設(shè)計(jì)需求SDD等幾個(gè)等級(jí)，在每一個(gè)等級(jí)中，所有的需求都以條目形式管理。每個(gè)條目都具有相應(yīng)的創(chuàng)建、修訂和變更歷史，并維持了與上下級(jí)需求之間的鏈接關(guān)系。RTM跟蹤器中中每一條獨(dú)立的設(shè)計(jì)需求。并據(jù)此生成每個(gè)子系統(tǒng)的SDD（軟件設(shè)計(jì)描述），以及單獨(dú)的測(cè)試規(guī)程文件TP。V&V環(huán)節(jié)通過跟蹤RTM文件，來證明應(yīng)用軟件100%的依照設(shè)計(jì)需求來實(shí)施，從上下游跟蹤需求也證明了其可追溯性，并為需求追溯分析提供支持。

軟件部件測(cè)試（Software component test）、集成測(cè)試（Software Integration test）環(huán)節(jié)的工具主要包括：TriStation 1131 4.7.0，Triconex Emulator 1.1.0，Triconex 動(dòng)態(tài)數(shù)據(jù)交換（ DDE）客戶端4.7.0，TS1131仿真測(cè)試驅(qū)動(dòng)，供貨商開發(fā)的SCT、SIT自動(dòng)測(cè)試腳本，微軟Excel等工具；驗(yàn)收測(cè)試環(huán)節(jié)IV&V活動(dòng)包括一些經(jīng)過驗(yàn)證的供貨商內(nèi)部軟件、CAPE商用貨架測(cè)試軟件和硬件，如利用商用計(jì)算機(jī)仿真電站傳感器、執(zhí)行機(jī)構(gòu)輸入輸出，利用Tristation IVU工具檢查Triconex硬件之間的連接，利用經(jīng)過驗(yàn)證的VP-link仿真工具模擬現(xiàn)場(chǎng)設(shè)備輸入、提供GUI圖形接口畫面，測(cè)試人員可以手動(dòng)改變現(xiàn)場(chǎng)設(shè)備的輸入輸出值。其他IV&V工具還包括：UCM文檔管理系統(tǒng)、SVN版本管理軟件、eroom文檔交換系統(tǒng)、其他辦公軟件和工具。

二、IV&V開發(fā)生命周期

為了確保系統(tǒng)的軟件安全可靠，針對(duì)軟件的V&V必須貫穿軟件的生存周期，以驗(yàn)證各項(xiàng)需求被滿足且未引入新的風(fēng)險(xiǎn)。從軟件最初的需求獲取到最終的運(yùn)行、維護(hù)，V&V均需全程參與。并且涵蓋軟件、硬件和外部運(yùn)行環(huán)境綜合進(jìn)行考慮。在當(dāng)前階段，V&V更多是從軟件角度來考慮，但由于軟件的可靠性等與硬件及外部運(yùn)行環(huán)境密不可分，為此，目前的趨勢(shì)越來越多的將三者一并考慮。在本文中描述的內(nèi)容是以軟件為主，同時(shí)考慮了相關(guān)的硬件及外部運(yùn)行環(huán)境。

1.管理活動(dòng)

IV&V管理活動(dòng)也屬于IV&V開發(fā)流程中的一個(gè)環(huán)節(jié)。這個(gè)活動(dòng)將持續(xù)地評(píng)審V&V工作，應(yīng)用軟件開發(fā)是一個(gè)循環(huán)和交互的過程，管理活動(dòng)基于更新的項(xiàng)目進(jìn)度和開發(fā)狀態(tài)對(duì)SVVP進(jìn)行必要的修訂，并與開發(fā)方以及諸如質(zhì)量保證、配置管理、評(píng)審和審核等其他支持過程協(xié)調(diào)V&V結(jié)果。根據(jù)IEEE 1012-1998標(biāo)準(zhǔn)要求SVVP軟件驗(yàn)證確認(rèn)大綱編制作為SIL-4級(jí)的任務(wù)在IV&V管理活動(dòng)中進(jìn)行。SVVP作為整個(gè)IV&V活動(dòng)開始后的第一項(xiàng)工作，其他管理工作將伴隨整個(gè)IV&V開發(fā)生命周期過程。

2.軟件IV&V開發(fā)流程

根據(jù)IEEE 1012-1998標(biāo)準(zhǔn)，軟件IV&V開發(fā)過程，包括需求分析、設(shè)計(jì)、代碼編制、集成、測(cè)試、安裝、驗(yàn)收測(cè)試活動(dòng)；這些活動(dòng)被劃分為6個(gè)階段：概念V&V、需求V&V、設(shè)計(jì)V&V、實(shí)施V&V、測(cè)試V&V、安裝和檢驗(yàn)V&V。

其中概念V&V活動(dòng)涉及系統(tǒng)體系結(jié)構(gòu)設(shè)計(jì)和系統(tǒng)需求分析，概念V&V的目標(biāo)是驗(yàn)證系統(tǒng)需求的分配，確認(rèn)選定的解決方案，確保沒有采納錯(cuò)誤的解決方案。安裝和檢驗(yàn)V&V活動(dòng)是指在目標(biāo)環(huán)境下對(duì)軟件產(chǎn)品的安裝、以及需方對(duì)軟件產(chǎn)品的驗(yàn)收評(píng)審和測(cè)試。安裝和檢驗(yàn)V&V活動(dòng)涉及軟件安裝和軟件驗(yàn)收支持。V&V的目標(biāo)是驗(yàn)證和確認(rèn)在目標(biāo)環(huán)境下軟件安裝的正確性。

基于SVVP大綱，由于概念V&V在參考機(jī)組中已完成，安裝檢查V&V由電站運(yùn)營單位自主實(shí)施，所以不在IV&V開發(fā)流程內(nèi)。

根據(jù)IV&V流程，每個(gè)階段都需要完成相應(yīng)的確認(rèn)和驗(yàn)證工作，包括關(guān)鍵性、安全性、危害、風(fēng)險(xiǎn)和追溯性（Criticality/Hazard/Risk/Interface/Traceability）分析，并完成相應(yīng)階段的IV&V報(bào)告。

①關(guān)鍵性分析（criticality analysis）。針對(duì)系統(tǒng)失效、系統(tǒng)老化或未能滿足軟件要求或系統(tǒng)目標(biāo)所造成影響的嚴(yán)重性而進(jìn)行的軟件特性（例如，安全性、安全保密性、復(fù)雜性和性能）的結(jié)構(gòu)化評(píng)估。

②危險(xiǎn)（hazard analysis）。危險(xiǎn)性分析是指在人身傷害和健康、財(cái)產(chǎn)、環(huán)境的損害等方面的潛在傷害來源或具有潛在傷害的情形。在概念階段需通過故障樹等多種方法來確定系統(tǒng)潛在的危險(xiǎn)源，并評(píng)估其嚴(yán)重性、概率等。在其后的每個(gè)階段的危險(xiǎn)分析活動(dòng)中，均需對(duì)每項(xiàng)危險(xiǎn)源的后繼處理進(jìn)行分析，以確定該危險(xiǎn)已被系統(tǒng)明確的定義了相應(yīng)的需求項(xiàng)來緩解或消除，并且該需求被正確地設(shè)計(jì)和實(shí)現(xiàn)；同時(shí)還需確保在軟件的研發(fā)活動(dòng)過程中沒有引入新的危險(xiǎn)。

③風(fēng)險(xiǎn)（risk analysis）。特定危險(xiǎn)事件的頻率或概率與后果的綜合。

④接口分析（interface analysis）。當(dāng)信息橫穿邊界時(shí)（例如硬件到軟件、軟件到軟件、軟件到用戶），總有丟失一些信息或改變信息內(nèi)容的可能性。接口分析的目的是在接口需求的正確的、一致的、完整的和精確的描述方面去評(píng)價(jià)具體的軟件可交付產(chǎn)品（ 例如，需求、設(shè)計(jì)、代碼）。

⑤可追溯性分析（traceability analysis）。可追蹤性是標(biāo)識(shí)初始需求與最后所得到的系統(tǒng)特征之間關(guān)系的能力，它提供了把一個(gè)要素與另一個(gè)要素聯(lián)系起來的線索。在需求、設(shè)計(jì)和實(shí)現(xiàn)活動(dòng)中，要進(jìn)行可追蹤性分析。

（1）需求V&V。軟件需求V&V活動(dòng)構(gòu)成設(shè)計(jì)和驗(yàn)證活動(dòng)的基礎(chǔ)，用于整個(gè)軟件生命周期，也同樣是設(shè)計(jì)、實(shí)施環(huán)節(jié)的基礎(chǔ)。需求V&V活動(dòng)確定了功能性和性能需求、軟件外部接口、合格性需求、安全性和安全保密性需求、人因工程、數(shù)據(jù)定義、軟件用戶文檔、安裝和驗(yàn)收需求、用戶操作和執(zhí)行需求、用戶維護(hù)需求。軟件需求V&V活動(dòng)的目標(biāo)是確保軟件需求的完整性、正確性、一致性、清晰、可追溯性和可測(cè)性。軟件需求跟蹤文件的主要目的是，清除的定義系統(tǒng)誰就和開發(fā)過程的對(duì)象和需求，并作為作為設(shè)計(jì)V&V環(huán)節(jié)的基礎(chǔ)。

根據(jù)IEEE 1012-1998標(biāo)準(zhǔn)的分級(jí)，SIL-4級(jí)系統(tǒng)的需求V&V活動(dòng)最低限度需要完成以下任務(wù)：可追蹤性分析；軟件需求評(píng)價(jià)；接口分析；關(guān)鍵性分析；系統(tǒng)V&V測(cè)試計(jì)劃生成和驗(yàn)證；驗(yàn)收V&V測(cè)試計(jì)劃生成和驗(yàn)證；配置管理評(píng)估；危險(xiǎn)分析；風(fēng)險(xiǎn)分析。

以上任務(wù)將產(chǎn)生如下輸出文件：系統(tǒng)V&V測(cè)試大綱文件、驗(yàn)收V&V測(cè)試大綱文件、任務(wù)報(bào)告-軟件配置管理評(píng)估報(bào)告，需求V&V環(huán)節(jié)的關(guān)鍵性、安全性、危害、風(fēng)險(xiǎn)（Criticality/Hazard/Risk/Interface）分析報(bào)告文件，任務(wù)報(bào)告-追溯性分析報(bào)告，任務(wù)報(bào)告-本階段需求評(píng)估報(bào)告，以及各任務(wù)的異常項(xiàng)報(bào)告（ Anomaly Report）。本環(huán)節(jié)結(jié)束后，將完成需求V&V活動(dòng)總結(jié)報(bào)告。

（2）設(shè)計(jì)V&V。在1E軟件設(shè)計(jì)IV&V活動(dòng)中，軟件需求被轉(zhuǎn)化為系統(tǒng)體系結(jié)構(gòu)、信息流、處理步驟、每個(gè)軟件部件的結(jié)構(gòu)和詳細(xì)設(shè)計(jì)以及其他需要實(shí)施方面。設(shè)計(jì)包括數(shù)據(jù)庫和接口（軟件外部、軟件部件間、軟件單元間）。設(shè)計(jì)V&V活動(dòng)涉及軟件體系結(jié)構(gòu)設(shè)計(jì)和軟件詳細(xì)設(shè)計(jì)。V&V的目標(biāo)是驗(yàn)證設(shè)計(jì)輸出文件可理解、清晰、正確、準(zhǔn)確、一致、完整、可測(cè)試、可追溯的轉(zhuǎn)化了來自于上一環(huán)節(jié)的設(shè)計(jì)輸入，而且沒有引入非預(yù)期的特征。

根據(jù)IEEE 1012-1998標(biāo)準(zhǔn)的分級(jí)，SIL-4級(jí)系統(tǒng)的設(shè)計(jì)V&V活動(dòng)最低限度需要完成以下任務(wù)：可追蹤性分析；軟件設(shè)計(jì)評(píng)價(jià)；接口分析；關(guān)鍵性分析；部件V&V測(cè)試計(jì)劃生成和驗(yàn)證；集成V&V測(cè)試計(jì)劃生成和驗(yàn)證；V&V測(cè)試設(shè)計(jì)生成和驗(yàn)證；危險(xiǎn)分析；風(fēng)險(xiǎn)分析。

以上任務(wù)將產(chǎn)生如下輸出文件：更新SVVP文件、部件級(jí)V&V測(cè)試大綱、集成V&V測(cè)試大綱、測(cè)試規(guī)格書（包含測(cè)試規(guī)程和用例）、任務(wù)報(bào)告-軟件設(shè)計(jì)評(píng)估報(bào)告，設(shè)計(jì)V&V環(huán)節(jié)的關(guān)鍵性、安全性、危害、風(fēng)險(xiǎn)（ Criticality/Hazard/Risk/Interface）分析報(bào)告文件，任務(wù)報(bào)告-追溯性分析報(bào)告，任務(wù)報(bào)告-本環(huán)節(jié)需求評(píng)估報(bào)告，以及各任務(wù)的異常項(xiàng)報(bào)告（Anomaly Report）。本環(huán)節(jié)結(jié)束后，將完成設(shè)計(jì)V&V活動(dòng)總結(jié)報(bào)告。

（3）實(shí)施V&V。實(shí)施V&V活動(dòng)將設(shè)計(jì)轉(zhuǎn)化為代碼、數(shù)據(jù)庫結(jié)構(gòu)和相關(guān)的可執(zhí)行機(jī)器表示。實(shí)施階段文件的客觀性促進(jìn)了有效的生產(chǎn)、測(cè)試、使用、傳遞和轉(zhuǎn)化到不同的環(huán)境，為后續(xù)修改、設(shè)計(jì)文件的追蹤性提供便利。實(shí)施V&V活動(dòng)涉及軟件編碼和測(cè)試，通過確認(rèn)軟件的源代碼、數(shù)據(jù)結(jié)構(gòu)等，進(jìn)行部件級(jí)測(cè)試和軟件集成測(cè)試SIT，驗(yàn)證整個(gè)設(shè)計(jì)過程，屬于白盒測(cè)試。實(shí)施V&V的目標(biāo)是驗(yàn)證和確認(rèn)這些轉(zhuǎn)化是正確、準(zhǔn)確和完備的，回答了以下問題：①軟件實(shí)施是否滿足設(shè)計(jì)文件；②軟件實(shí)施是否符合相關(guān)設(shè)計(jì)標(biāo)準(zhǔn)；③軟件實(shí)施是否符合相關(guān)文檔標(biāo)準(zhǔn)；④軟件實(shí)施是否滿足用戶的生產(chǎn)、測(cè)試、使用、傳遞等需求。

根據(jù)IEEE 1012-1998標(biāo)準(zhǔn)的分級(jí)，SIL-4級(jí)系統(tǒng)的實(shí)施V&V活動(dòng)最低限度需要完成以下任務(wù)：可追蹤性分析；源代碼和源代碼文檔評(píng)價(jià)；接口分析；關(guān)鍵性分析；V&V測(cè)試用例生成和驗(yàn)證；V&V測(cè)試規(guī)程生成和驗(yàn)證；部件V&V測(cè)試執(zhí)行和驗(yàn)證；危險(xiǎn)分析；風(fēng)險(xiǎn)分析。

以上任務(wù)將產(chǎn)生如下輸出文件：更新SVVP文件、部件級(jí)測(cè)試規(guī)格書/測(cè)試規(guī)程/用例、集成測(cè)試規(guī)格書/測(cè)試規(guī)程/用例、系統(tǒng)&驗(yàn)收測(cè)試規(guī)格書/測(cè)試規(guī)程/測(cè)試用例，執(zhí)行的部件級(jí)測(cè)試規(guī)程和測(cè)試用例，部件級(jí)別測(cè)試結(jié)果，實(shí)施V&V環(huán)節(jié)的關(guān)鍵性、安全性、危害、風(fēng)險(xiǎn)（Criticality/Hazard/Risk/Interface）分析報(bào)告文件，任務(wù)報(bào)告-源代碼和源代碼文件評(píng)估報(bào)告，任務(wù)報(bào)告-本環(huán)節(jié)追溯性分析報(bào)告，以及各任務(wù)的異常項(xiàng)報(bào)告（Anomaly Report）。本環(huán)節(jié)結(jié)束后，將完成實(shí)施V&V活動(dòng)總結(jié)報(bào)告。

（4）測(cè)試V&V。通過以上需求、設(shè)計(jì)、實(shí)施環(huán)節(jié)的IV&V活動(dòng)，能夠保證軟件在一定程度上適當(dāng)、準(zhǔn)確的轉(zhuǎn)化了設(shè)計(jì)需求。測(cè)試IV&V活動(dòng)用來確定保護(hù)系統(tǒng)軟件是否滿足其邏輯功能、運(yùn)行、系統(tǒng)級(jí)性能、外部接口（包括第三方及I/A）、內(nèi)部接口、可測(cè)性等設(shè)計(jì)指標(biāo)；系統(tǒng)確認(rèn)通過在目標(biāo)軟件、硬件設(shè)備上測(cè)試，評(píng)估了軟件在實(shí)際運(yùn)行環(huán)境下的性能。

測(cè)試V&V活動(dòng)覆蓋軟件邏輯功能測(cè)試、軟件集成、軟件合格性測(cè)試、系統(tǒng)集成和系統(tǒng)合格性測(cè)試。測(cè)試通過驅(qū)動(dòng)系統(tǒng)輸入確認(rèn)輸出來驗(yàn)證，屬于黑盒測(cè)試，V&V的目標(biāo)是確保通過執(zhí)行集成測(cè)試、系統(tǒng)測(cè)試和驗(yàn)收測(cè)試使軟件需求和分配給軟件的系統(tǒng)需求得到滿足。

根據(jù)IEEE 1012-1998標(biāo)準(zhǔn)的分級(jí)，SIL-4級(jí)系統(tǒng)V&V工作應(yīng)生成自己的V&V軟件和系統(tǒng)測(cè)試產(chǎn)品（例如，計(jì)劃、設(shè)計(jì)、用例、規(guī)程），執(zhí)行并記錄自己的測(cè)試，并對(duì)照軟件需求驗(yàn)證開發(fā)過程的測(cè)試計(jì)劃、設(shè)計(jì)、用例、規(guī)程和結(jié)果。測(cè)試V&V活動(dòng)最低限度需要完成以下任務(wù)：可追蹤性分析；驗(yàn)收V&V測(cè)試規(guī)程生成和驗(yàn)證；集成V&V測(cè)試執(zhí)行和驗(yàn)證；系統(tǒng)V&V測(cè)試執(zhí)行和驗(yàn)證；驗(yàn)收V&V測(cè)試執(zhí)行和驗(yàn)證；危險(xiǎn)分析；風(fēng)險(xiǎn)分析。

以上任務(wù)將產(chǎn)生如下輸出文件：更新SVVP文件、集成測(cè)試規(guī)格書/測(cè)試規(guī)程/用例/任務(wù)報(bào)告-測(cè)試結(jié)果、驗(yàn)收測(cè)試規(guī)格書/測(cè)試規(guī)程/測(cè)試用例，執(zhí)行的系統(tǒng)測(cè)試規(guī)程和用例/任務(wù)報(bào)告-測(cè)試結(jié)果，執(zhí)行驗(yàn)收測(cè)試規(guī)程/測(cè)試用例/任務(wù)報(bào)告-測(cè)試結(jié)果，測(cè)試V&V環(huán)節(jié)的危害、風(fēng)險(xiǎn)（Hazard/Risk）分析報(bào)告文件，任務(wù)報(bào)告-本環(huán)節(jié)追溯性分析報(bào)告，以及各任務(wù)的異常項(xiàng)報(bào)告（Anomaly Report）。本環(huán)節(jié)結(jié)束后，將完成測(cè)試V&V活動(dòng)總結(jié)報(bào)告。并完成IV&V活動(dòng)最終報(bào)告。

（5）其他任務(wù)。根據(jù)標(biāo)準(zhǔn)中列出的可選任務(wù)，海南項(xiàng)目1E反應(yīng)堆保護(hù)系統(tǒng)軟件還進(jìn)行了安全評(píng)價(jià)（Security Assessment），用來評(píng)估系統(tǒng)是否安全可控，保證系統(tǒng)的硬件、軟件的部件不會(huì)被未授權(quán)使用、修改、披露，并驗(yàn)證用戶權(quán)限管理。驗(yàn)證系統(tǒng)安全相關(guān)對(duì)象的存儲(chǔ)、歸檔是否受控等。本任務(wù)在各階段都需執(zhí)行，并形成相應(yīng)分析報(bào)告。

三、IV&V 過程管理

在開展IV&V開發(fā)各生命周期各環(huán)節(jié)活動(dòng)中，都有可能出現(xiàn)各種問題，海南項(xiàng)目主要出現(xiàn)的問題有：AR、任務(wù)重新執(zhí)行、TRB審查。

關(guān)于AR異常項(xiàng)（Anomaly Reports），每個(gè)環(huán)節(jié)出現(xiàn)的AR將都會(huì)被統(tǒng)計(jì)在相應(yīng)環(huán)節(jié)的IV&V總結(jié)報(bào)告中。但在測(cè)試階段，發(fā)現(xiàn)有SRS的AR需要處理，則僅需在測(cè)試環(huán)節(jié)總結(jié)報(bào)告中描述即可，無需返回修前幾個(gè)階段的總結(jié)報(bào)告。對(duì)于AR解決，依據(jù)Nureg-1.168-2004（2.4）的推薦，采用回歸測(cè)試作為處理AR、復(fù)測(cè)的手段。如果測(cè)試過程中發(fā)現(xiàn)與測(cè)試規(guī)程之間存在差異或偏離，也將需生成AR，在經(jīng)過充分的分析后，將需要修改測(cè)試步驟或者驗(yàn)收標(biāo)準(zhǔn)，在修改前，須要經(jīng)過AR處理和確認(rèn)過程，包括測(cè)試文件確認(rèn)、受影響文件的獨(dú)立審查等工作。在執(zhí)行過程中，IV&V團(tuán)隊(duì)辨識(shí)軟件AR和工程設(shè)計(jì)團(tuán)隊(duì)處理軟件AR、IV&V測(cè)試AR均需獨(dú)立進(jìn)行。在完成復(fù)測(cè)后，測(cè)試結(jié)果將作為AR報(bào)告的一部分，完成

關(guān)于任務(wù)確認(rèn)工作，在IV&V活動(dòng)中，由于本環(huán)節(jié)的輸入變更，應(yīng)基于對(duì)應(yīng)用質(zhì)量和軟件完整性的影響兩方面的評(píng)估，來決定V&V任務(wù)重復(fù)執(zhí)行的范圍。如果輸入變更僅限于軟件需求版本、性能準(zhǔn)則，此時(shí)評(píng)估僅影響軟件功能，需要復(fù)測(cè)，為確認(rèn)修改沒有引入其他非預(yù)期性副作用。但如果修改涉及到計(jì)算機(jī)的基本性能要求，比如程序執(zhí)行時(shí)間，通訊負(fù)荷、自診斷路線，評(píng)估工作應(yīng)包含所有受影響的安全級(jí)計(jì)算機(jī)。

關(guān)于測(cè)試文件審查工作，根據(jù)Nureg-1.168-2004導(dǎo)則建議，海南項(xiàng)目IV&V活動(dòng)建立了Test Review Board（TRB）機(jī)構(gòu)，TRB機(jī)構(gòu)由項(xiàng)目經(jīng)理、質(zhì)保工程師、IV&V測(cè)試工程師等組成。所有項(xiàng)目測(cè)試文件的重大修改都需要經(jīng)過TRB審批。包括測(cè)試大綱、規(guī)程、用例、分析報(bào)告、測(cè)試記錄、測(cè)試報(bào)告等文件。

四、結(jié)論

討論了IV&V的方法論及其在對(duì)數(shù)字化核安全級(jí)儀控系統(tǒng)開展軟件驗(yàn)證與確認(rèn)過程中的具體應(yīng)用，同時(shí)也介紹了為確保該活動(dòng)的有效開展而制定或建立的驗(yàn)證與確認(rèn)工作流程、技術(shù)規(guī)范體系以及V&V工作平臺(tái)等，這些不但推動(dòng)了驗(yàn)證與確認(rèn)工作的開展，還可使得驗(yàn)證與確認(rèn)的工作更規(guī)范、更可信。這套方法及相應(yīng)的平臺(tái)將有助于在產(chǎn)品功能、性能、安全性及可靠性等指標(biāo)的符合性方面給出客觀、可信的評(píng)價(jià)。

針對(duì)數(shù)字化核安全級(jí)儀控系統(tǒng)的驗(yàn)證與確認(rèn)的過程及技術(shù)、平臺(tái)等也可應(yīng)用到諸如鐵路信號(hào)、航空航天、軍工等其他多個(gè)安全領(lǐng)域。