文献标识码：B文章编号：1003-0492（2025）09-106-05中图分类号：TP311

★高贺，周良，冯健村，徐先柱（北京广利核系统工程有限公司，北京100094）

关键词：验证与确认；自动化；风险识别；实现V&V活动；FirmSys；工具研究

1　引言

核安全级DCS应用验证与确认（Verification and Validation，V&V）是一门系统工程的技术学科，其目的是帮助开发组织在生命周期中将质量融入系统^[1]。V&V生命周期存在六个阶段，即概念V&V活动、需求V&V活动、设计V&V活动、实现V&V活动、测试V&V活动以及安装与检验V&V活动^[2]。每个验证阶段都需要按照法规、标准的要求开展相应的V&V工作。由于不可避免地会出现多项目并行冲突或执行验证的人员减少等状况，固有的V&V执行模式及方法已无法满足实际的任务需求，在这种背景下开展自动化验证研究是十分必要的。随着数字化时代的不断发展，机器人流程自动化（Robotic Process Ａutomation，RPA）技术应用越来越广泛，为V&V活动的自动化研究分析提供了理论和技术支持。

图1仪控系统生命周期过程与验证和确认活动之间的典型关系^[3]

根据工程项目实际出现的问题和经验反馈，核安全级DCS应用软件实现阶段出现过因人因失误导致的算法库版本使用错误、编译出现错误等问题。在对相关问题进行根本原因分析的过程中，我们发现工程项目V&V人员在执行实现V&V活动的应用软件验证过程中因验证技术手段不足，导致上述问题出现。为避免此类问题再次发生，深入研究该问题验证执行方法和技防手段十分有必要。

基于FirmSys平台的工程应用软件展示的信息多为用于人机交互的必要信息。从安全方面考虑，除必要信息外，其它数据信息将完全隐藏于工程底层文件中，工程应用软件编译数据也存在于此。人工执行V&V任务时无法分析这些数据，如何将这些信息挖掘出来并进行分析是亟待解决的问题。

采用计算机编程语言可以很好地弥补人工验证的不足，提升V&V任务质量属性，是一种降低人力成本、提升工作可靠性的有效方式。采用编程语言实现自动化解析底层数据，再将该功能集成到专用V&V自动化工具中，在后续算法库、环网及控制站编译验证的过程中便可以代替人工验证，实现自动化验证。

技术思路：研究与算法库、控制站、环网编译相关的文件有哪些，文件中的哪些技术参数可以直接反馈工程应用软件的实际情况，不同的底层文件之间存在什么样的技术关联，依此实现V&V活动的技术研究，从根本上解决当前无据可依的情况。

2　技术方案

2.1　实现V&V活动方法分析

从实现V&V活动方法研究的可行性来看，V&V验证方法是基于平台技术特性以及相关技术指标归纳总结得出，通过对得出的技术方法通过讨论、评审等方式确定，因此满足方法研究的可行性要求。根据FirmSys平台特点，对风险引入过程进行分析。

2.1.1　风险引入过程分析

核安全法规HAF102-2016^[4]明确提出了需开展V&V活动，核安全导则HAD102/10-2021^[3]进一步给出了V&V的要求。对于每个V&V阶段具体的V&V任务，需结合相应设计、测试、分析等技术领域的通用标准，并将其与核安全领域的法规、导则和标准的特定要求相结合，制定出符合要求并且可行的具体执行方法[5]。因此在进行相关研究之前，有必要对有可能引入风险的工作环节进行分析。

工程应用软件从应用软件设计阶段到应用软件实现阶段的流程如图2所示。

图2应用软件实现流程图

根据上图可知，在工程应用软件设计和应用软件实现的过程中，主要分三步进行。

第一步：导入算法库和组态文件进行编译生成组态源文件。该环节存在人因导致的算法库导入错误以及编译顺序错误或漏编译的风险。

第二步：该步骤中工程算法转换成代码，由代码生成器自动完成，人员无法干预，因此不存在人为引入异常的风险。

第三步：该步骤进行工程编译，由编译器自动完成，人员无法干预，因此不存在人为引入异常的风险。

通过以上分析可知，第一步是需要重点研究分析的过程。

2.1.2　库版本验证方法研究

工程应用软件底层文件中存在算法库版本信息，但每个控制站中的库版本信息无法获取，这为验证库版本信息带来了障碍。通过深入研究分析，我们发现在FirmSys平台每个控制站的底层文件路径下均有一个组态源文件，该文件中恰好储存了编译使用的算法库版本信息。

组态源文件的产生机制：工程设计人员在进行工程应用软件实现时，每一个控制站单独导入算法库文件进行保存编译。该组态源文件会自动生成，将当前算法库信息存储到该文件中，后续如果算法库内容如有更新，组态源文件随之更新。

由此产生一个思路，将工程应用软件中每一个控制站中的组态源文件进行备份（对象），然后将当前算法库删除，重新导入正确版本的算法库，生成新的组态源文件（基准），通过对比对象和基准的内容差异来判断该控制站算法库版本是否正确。

2.1.3　控制站编译验证方法研究

基于FirmSys平台的工程应用软件，控制站在完成编译后，会在相应文件目录下生成一个包含编译标识码的文件，其中保存的是对应控制站编译后的十进制标识码。同时位于环网下装文件夹下的也存在包含标识码的文件，该文件的第一行前八位是十六进制的标识码。将这两个文件的标识码统一进制后进行比对，标识码一致表明当前控制站的编译过程和结果正确。

2.1.4　环网站编译验证方法研究

工程应用软件的环网站编译验证方式与控制站的编译验证方式相似，同样要对编译的标识码进行验证。实际情况表明，环网站编译仅依据标识码的一致性判断相对片面，存在误判风险。根据架构特点，与单个环网相关联的控制站有很多，若要保证编译后的工程完全无误，就需要每一个与之相关联的控制站先于环网编译。但负责编译的人员极有可能在这个环节出错。如果实现V&V活动的验证执行人员，不了解这深层的原理，根据常规方式执行验证活动，则该类风险能被识别出来的可能性极低。如若该隐患跟随设备出厂，将为现场核电机组的安全运行带来巨大的安全隐患。

如何判断控制站与环网编译的先后顺序呢？经研究得知，可以根据工程的底层文件中的相关文件时间戳进行判断。控制站编译完成时会生成或更新包含标识码的文件，因此该文件的最终更新日期即为控制站完成编译的时间。环网编译完成时，同样会更新对应环网路径标识码文件，而这个更新的时间即为环网完成过编译的时间。环网站的编译时间必须要晚于与之相关的控制站编译时间才能保证整个工程应用软件的正确性。

2.2　自动化验证工具研究

风险识别方案研究完成后，自然而然为方案的自动化实现研究提供了基础。工具研究的意义在于解放生产力、提升效率、保证质量。根据历史上的众多安全事件分析可知，一切问题发生的原因归根结底都是人的问题。在建立了明确的规则下，人在各种环境因素影响下会犯错，但依托代码的、经过严谨测试过的工具不会出错。

自动化工具应具有自动识别风险的功能。除此之外，还应尽可能地减少人的操作。为达到这种效果，需要从人机交互界面和逻辑处理进行设计。整体结构流程如图3所示。

图3整体流程

2.2.1　自动化开发可行性论证

工具开发不仅仅是想做即做这么简单，还需要对开发的可行性、可靠性、有效性进行分析研究。只有满足以上各方面的要求，才能保证开发出的工具是可用、可信的。

从工具开发的可行性上来看，FirmSys平台的工程应用软件的底层文件均为常规的文件类型，因此采用编程语言可以对这些文件进行解析处理，不存在技术难题。满足可行性要求。

从工具开发的可靠性上来看，工具在开发过程中体量不大，不存在服务器或联网等操作，并且在计划的时间范围内可以完成既定的验证任务。满足可靠性要求。

从工具开发的有效性上来看，工具开发流程管控十分严格，要经过需求分析、概要设计、测试计划、测试设计和测试执行等一系列管控环节，尤其在测试阶段需要针对不同的项目、不同的测试项插入不同类型、不同数量的故障点，来测试工具实际的运行情况。满足有效性要求。

2.2.2　算法库版本验证工具研究

通过2.1.2章节对算法库版本验证方法的研究可知，工程应用软件的算法库版本信息，在每次算法库导入控制站使用时，会生成一个组态源文件，如果算法库版本变化，那么该文件必然发生变化。基于该特性，将原组态源文件重命名为对象文件，将每个控制站中的算法库删除，重新导入新的算法库，选中根路径保存，这时生成新的组态源文件，命名为基准文件。

采用编程语言开发出的工具可以自动对比对象文件与基准文件之间的差异性。若两者内容完全一致，则算法库版本正确；若两者内容不完全一致，则算法库版本异常，由人工复核判定最终结果，并对相关信息进行统计。

使用广利核公司自研产品和睦至臻中的工程组态V&V工具（VD-Vert）构建人机交互界面，如图4所示。

图4 算法库编译验证人机交互界面

工具开发到这里已经可以完成自动化验证过程，但是这种比对结果无法以一种直观的方式展现出来。因此我们针对文件内容把每一份文件转换成一份MD5码。MD5码通常被用于数据加密，一份文件仅有一个MD5码与之对应，一旦文件内容发生变化，MD5码必然随之变化。根据这个特点，可以将基准文件和对象文件转化成的MD5进行比对，且结果也可以将MD5码体现出来，验证基准文件和对象文件是否一致。

在工具实现的过程中，需要代码实现自动化提取必要的信息，这些信息包括：

（1）控制站站号；

（2）对象文件；

（3）对象文件的MD5码；

（4）基准文件；

（5）基准文件的MD5码。

为进一步降低该工作人员在上面所用时间，依据已经发布的标准检查记录模板进行检查记录内容自动整理填充，一键生成验证工作所需要的所有过程文件和结果文件。

2.2.3　控制站编译验证工具研究

通过2.1.3章节对控制站编译完成情况验证方法的研究可知，基于FirmSys平台的工程应用软件中，进行控制站编译后的版本配置文件中的十进制标识码与控制站下装文件中的十六进制标识码相同，需要提取各控制站中的相关信息进行换算比较。

在工具实现的过程中，需要代码实现自动化提取必要的信息，这些信息包括：

（1）控制站信息；

（2）版本配置文件中的十进制标识码；

（3）版本配置文件中的十进制标识码转化成的十六进制标识码；

（4）控制站下装中的十六进制标识码；

（5）控制站下装文件的时间戳；

（6）工程应用软件发布文档中的标识码表格信息。

将（2）和（3）中标识码与（5）中的标识码信息进行一致性比对，这三个标识完全一致即可以认为控制站编译结果正确。

2.2.4　环网编译验证工具研究

通过2.1.4章节对环网站编译情况验证方法的研究可知，基于FirmSys平台的工程中，进行控制站编译后的控制站下装文件中的时间戳与环网下装文件时间戳之间存在关系特性。对工程应用软件中的相关信息提取并进行比较，符合上述特性，则认为该控制站或环网进行了编译；不符合上述特性，则交由人工复核判断是否该控制站或环网未进行编译，并对相关信息进行统计。

因此在使用代码进行信息提取时，需要自动化提取的信息如下：

（1）环网下装文件时间戳；

（2）环网下装文件中的十六进制标识码；

（3）分析环网-控制站映射关系文件中的控制站节点信息。

获取以上信息后，可以根据环网-控制站映射关系文件中的控制站节点信息，来判断当前环网与哪些控制站相关。再将（1）的时间戳信息与2.2.3中获取的（5）的时间戳信息对比，如果（3）中所涉及的所有控制站的时间戳时间均早于（1）的时间，则认定为环网编译正常；若其中存在任意一个控制站的时间戳信息晚于（1），则认定该环网编译过程存在问题，将问题项转人工复核。

该过程会将相关信息存储到工具验证过程文件中，环网的结果写入对应的检查记录中。

2.3　应用实践

本文研究成果已在中广核集团的多台典型“华龙一号”项目上进行了应用，并产生了良好效果，在保证质量的前提下，使总体效率提升达三至七倍。实践证明，该成果既提升了工作效率，又保证了验证质量，对实现V&V活动自动化风险识别的推进产生了实质性的作用。

3　结论

本文为解决核安全级DCS工程应用软件在实现V&V活动阶段因人因引入风险难以识别的难题，对FirmSys平台编译过程原理和底层数据文件架构进行了深入研究，总结出自动化风险识别的方案，以及开发出适用的工具。通过核安全级典型工程项目的应用实践，该成果被证明是可行有效的，可以起到核安全级DCS高质量控制的要求，对实现V&V活动自动风险识别有了新的突破。

作者简介：

高　贺（1992-），男，河北人，工程师，学士，现就职于北京广利核系统工程有限公司，主要从事核安全级仪控系统的工程V&V工作。

参考文献：

[1] 张亚栋, 周良, 徐先柱, 等. 核级系统、软件和硬件的V＆V研究与应用[J]. 自动化仪表, 2023, (6) : 90 - 95 + 99.

[2] IEEE 1012 - 2004, IEEE Standard for Software Verification and Validation[S].

[3] HAD102/10 - 2021, 核动力厂仪表和控制系统设计[S].

[4] HAF102 - 2016, 核动力厂设计安全规定[S].

[5] 张亚栋, 左新, 尹宝娟, 等. 数字化核安全级仪控系统软件的验证与确认[J]. 核科学与工程, 2012, (12) : 227 - 231.

摘自《自动化博览》2025年9月刊