軟件V&V基于嚴重性分級的異常處理流程研究

★北京廣利核系統工程有限公司 申高軍，張亞棟，梁中起，劉春明

軟件V&V基于嚴重性分級的異常處理流程研究

★北京廣利核系統工程有限公司 申高軍，張亞棟，梁中起，劉春明

軟件V&V是核安全級軟件開發過程中評估軟件產品的一種系統性方法，與軟件開發同步開展。通過軟件V&V活動，辨識和解決異常，對軟件開發中出現的偏離進行控制。本文結合安全級軟件開發生命周期的特點，優化異常處理流程，軟件V&V對每一階段發現的異常問題進行影響評估，按后果嚴重性進行分級，確定異常關鍵等級。上一階段關鍵異常的解決作為下一階段軟件開發結束的必要條件，前一設計階段的關鍵異常全部解決后，下一階段的設計活動才能結束。該異常處理流程可推進關鍵異常及時解決，防止向后續開發過程傳遞，有效減少開發后期的異常數量及修復成本。該流程已在某核電項目中得以實施，并取得良好效果。

安全級軟件；驗證與確認；異常處理流程

1 引言

隨著核電事業的高速發展，在核電站儀控系統中，基于計算機的數字化技術已經逐步取代傳統的模擬技術，并且應用于高可靠性要求的核電站安全保護系統中。數字化技術的應用提高了儀控保護系統認證的難度，如何有效保證安全級軟件的安全性和可靠性是實現數字化保護系統的關鍵技術[1]。根據核電相關國際標準，采用獨立的驗證與確認（Verification and Validation）技術是保證安全級軟件質量的重要舉措和必要步驟[2]。

安全級軟件V&V驗證安全級軟件產品是否符合它的預期要求和用戶需求，貫穿于軟件產品開發的整個生命周期，軟件V&V活動與軟件開發活動同步開展，按照IEEE1012對軟件V&V過程要求，對應軟件開發生命周期的系統設計、軟件需求、軟件設計、軟件實現、軟件集成各階段，V&V活動分為概念V&V、需求V&V、設計V&V、實現V&V、測試V&V[3]。在V&V活動的每一階段，要驗證該階段的產品輸出是否符合本階段的輸入要求，識別驗證對象中存在的異常，并進行分析和評估，確定異常后果的嚴重程度。一般來說，在開發階段盡早發現并解決異常是有好處的，但是還應避免為解決不必要異常而中斷開發過程。因此軟件V&V與軟件開發過程之間的匹配關系，各階段異常的影響評估、以及關鍵異常問題的解決時機，對于提升軟件產品質量，具有重要的作用。

基于核電站安全級DCS系統高安全性和可靠性的要求，加強軟件開發過程的質量控制，軟件V&V對每一階段的異常進行影響評估，前一階段關鍵異常全部解決后，下一個階段設計工作才可以結束，保證關鍵異常不向開發后續階段傳遞，減少后續階段異常修復的數量和成本。

2 異常處理流程

軟件V&V活動與軟件開發活動同步開展，雙方按照軟件開發生命周期模型分階段開展工作，每一階段的開發活動結束后，將當前階段的輸出文檔、編碼和數據等提交V&V團隊驗證，V&V團隊采取評審、分析和測試技術對開發過程的設計輸出進行驗證，確定當前階段的設計輸出是否滿足設計輸入要求，識別異常問題，對異常問題進行影響評估和關鍵性分級，并反饋給開發團隊。

對于易導致嚴重后果影響的異常問題應在下一階段設計工作結束前解決，保證該異常問題不會傳遞到下一階段的設計輸出中，防止異常問題向產品開發的后期傳遞而帶來的產品質量的下降和異常修復成本的提高。對于后果輕微異常問題，開發團隊可以根據進度安排，在適當的時候解決。

軟件V&V與軟件開發活動分階段交叉開展，形成一定制約關系，設計階段活動完成后提交V&V團隊驗證，此過程中，開發可開展下一階段的活動，但只有在該階段發現的關鍵異常問題全部解決后，開發團隊才能結束下一階段的設計活動，保證關鍵異常及時解決，防止向開發后期傳遞。

軟件V&V中異常處理流程圖如圖1所示。

3 異常分析

通過對各階段的輸出產品如：需求說明書、設計說明書、邏輯圖、代碼等與輸入基準要求對照檢查，辨識出輸出產品中的異常。對于辨識出的每個異常問題，建立一個異常記錄檔案，記錄該異常處理的整個過程信息，如：異常編號、異常位置、異常處理過程執行人、異常描述、原因分析、影響分析、關鍵性等級、修復緊急度、解決方案、處理結果等內容，便于異常的追蹤管理[4]。

圖1 軟件V&V中異常處理流程圖

要分析異常對核電廠安全運行的影響，根據評估結果，確定異常的關鍵性及修復緊急度。對異?？赡茉斐傻暮穗姀S安全運行后果進行系統定性或定量的評價[3]。這些后果可能包括任務失敗、經濟損失、財產損失、環境破壞或負面社會影響。

表1 異常影響分級

綜合分析異常對核電廠安全運行影響后果的嚴重性，確定異常的關鍵性等級，具體如表1所示。根據關鍵性等級確定不同的修復緊急度要求。

對于不同關鍵性異常的修復緊急度要求如下：

（1）關鍵異常：對核電廠安全運行有災難性和嚴重性影響的異常問題，應在下一階段軟件開發活動結束前解決。

（2）非關鍵異常：該異常對核電廠安全運行影響一般或輕微，且不影響軟件開發的后續活動，可以根據項目進度需要，在產品交付用戶前解決。

4 異常解決

V&V團隊識別出異常并進行分析后，應給相應開發人員和管理人員進行報告，提示項目存在的風險，并為項目質量、進度和成本控制決策提供建議。

異常報告要選擇恰當的時機，既要保證盡可能早地報告并及時解決異常，又要避免開發過程被不必要的通知中斷，一般根據異常的修復緊急度要求分批進行報告。

異常的解決方案可能是復雜的、主觀的和耗費時間的，可能導致文檔集、軟件或硬件的更改[6]，主要通過輸出產品的變更升級，使目前的異常在新版輸出產品中得以解決。開發團隊根據異常的修復緊急度要求，在下一階段開發工作結束前，及時解決每項關鍵異常，保證關鍵異常不向開發后續階段傳遞。對于沒有及時解決的非關鍵異常，應繼續進行跟蹤，確保在產品交付用戶前解決。

5 異常統計分析

異常會導致軟件的開發不滿足預定功能和質量要求，異常的積累會給產品質量、項目進度、項目成本帶來極大的風險。因此V&V活動中一項重要任務就是，對驗證過程中發現的異常進行分類統計，對異常出現的頻次、關鍵性分布、影響范圍、解決情況等進行統計分析，提示項目風險[7]。下面是基本的統計分析舉例：

（1）統計每個輸出驗證對象檢查項總數和該驗證對象出現的異常項數，以及不同嚴重等級異常的數量，分析異常項占檢查總項的比例，得出產品開發輸出對輸入基準的偏離程度，提示設計風險。

如表2所示為異常分類統計數據，可以得出異常項占檢查項總數的比例為47/385，即該階段設計偏離程度為12%，存在設計風險。參考圖3異常分布柱形圖，可以得知單個驗證對象的設計偏離程度。

表2 異常分類統計表(示例)

圖2 設計偏離分布圖（示例）

（2）對異常的解決情況進行跟蹤，統計每個關鍵性等級的異常項數和異常解決數，分析關鍵、非關鍵異常解決項數，如果關鍵異常項沒有全部解決，需要提示開發團隊，不得結束下一階段的開發工作，防止該階段的關鍵異常引入到下一階段的工作中去。如圖3所示，XXX.1，XXX.2的關鍵異常項沒有全部解決，因此XXX.1，XXX.2的設計不得結束下一階段的開發工作。

圖3 關鍵異常解決情況圖（示例）

6 應用實踐

該異常處理流程，在某核電機組安全級DCS開發過程中得以應用。每階段的異常問題經過分析評估，并確定關鍵性等級，設計團隊按修復緊急度要求進行異常解決，在下一階段設計工作結束前，將關鍵異常問題全部解決，防止關鍵異常向開發的后續階段傳遞。減少了后續階段異常的數量，降低了開發后期異常修復的成本。

表3 異常統計數據

7 結語

核安全級軟件開發與V&V過程階段同步執行，及時發現軟件開發過程中產品的異常問題并進行報告，對軟件在開發過程中出現的偏離進行控制，保證每一開發階段的產品滿足前一階段的需求?；诋惓５挠绊懞蠊麌乐匦源_定其關鍵性等級，前一階段的關鍵異常在下一階段開發活動結束前必須全部解決，有效避免了關鍵異常向開發的后續階段傳遞，大大減少了后續階段異常的數量，降低了開發后期異常修復的成本。

圖4 異常分布趨勢圖

[1] 李鐸, 張良駒, 馮俊婷. 安全軟件驗證與確認中的單元模塊測試技術[J]. 原子能科學技術 2008, 42( 6 ) : 552 - 556.

[2] RG1.168-2013, VERIFICATION, VALIDATION, REVIEWS, AND AUDITS FOR DIGITAL COMPUTER SOFTWARE USED IN SAFETY SYSTEMS OF NUCLEAR POWER PLANTS.

[3] IEEE1012-2004, IEEE Standard for Software Verification and Validation[S].

[4] 張冬偉, 李運堅, 李相建. 核電廠安全級DCS應用軟件V&V缺陷分類體系研究與應用[R]. 中國核科學技術進展報告（第二卷）——中國核學會2011年學術年會論文集第10冊（核情報（含計算機技術）分卷、核技術經濟與管理現代化分卷）, 2011.

[5] 李靜霞, 于勁松. 核電站安全級DCS缺陷危害性分級的研究與應用[J]. 自動化博覽, 2015, 32 ( 3 ) : 64 - 67.

[6] IEEE1059-1993, IEEE Guide for Software Verification and Validation Plans[S].

[7] IEEE1044-1993, IEEE Standard Classification for Software Anomalies[S].

Study on Software V&V Anomaly Procedures Base on Severity Classif i cation

Software Verification and Validation (V&V) is a disciplined approach to assessing software products throughout the product life cycle, and is carried out in parallel with software development. Software V&V activities identify and resolve anomalies, to control deviations in software development. Based on the characteristics of the software development lifecycle, the software V&V is used to evaluate the abnormal problems found in each stage, and the critical severity is determined according to the severity of the consequences. As a necessary condition for the end of the next stage of software development, after the key exception of the previous design stage is completely solved, the design activities of the next stage can be finished. The anomaly procedure can promote critical anomalies in a timely manner to prevent the follow-up to the development process to pass, effectively reduce the development of the late number of abnormal and repair costs. The process has been implemented in the Power Plant Project, and achieved good results.

Safety software; Verification and validation (V&V); Anomaly procedure

申高軍(1982-)，男，山西人，工程師，本科，現就職于北京廣利核系統工程有限公司，任軟件V&V主管工程師，主要研究方向為核安全級數字化儀控系統軟件驗證與確認（V&V）。