看不见的核安全：核控制系统如何降低测试风险？

​在所有高安全等级的工业控制系统中，核电控制系统无疑是最为特殊、最为严苛的存在。它不仅承担反应堆启停、功率调节、安全保护与应急切除等核心任务，更是整个核设施安全链条的中枢神经。因此，其软件验证与物理测试自然成为系统研制阶段中最关键，也最具挑战的环节。 

与普通工业控制系统相比，核控制系统承担的是反应堆启停、功率调节、安全保护、应急切除等一系列核心任务，其安全等级极高、可靠性要求极致。正因为如此，软件系统一旦出现逻辑偏差或执行失误，其后果可能超出一般意义上的停机或故障，而可能导致辐射风险、核事故、公众安全影响等极端后果。因此，从制度、标准、工程方法角度，核控制系统的软件验证（Verification）与确认（Validation,V&V）被置于前所未有的重要位置。

从制度标准来看，国际电工委员会（IEC）60880《核电厂仪控系统软件安全相关计算机系统方面的要求》明确指出，核安全类别A的数字计算机系统软件必须经历完整且可追溯的生命周期验证；而我国核安全法规体系中的HAF 601/604证书制度，同样对核安全级设备的软件开发与验证提出了严格要求。

在这种制度背景下，核仪控系统的软件不能仅凭一两次功能测试通过就算完事，而需要贯穿“概念设计—子系统开发—系统集成—现场运行”全过程的分阶段验证（Multi-Stage Validation,MSV）办法。

从测试形态来看，物理测试环境在核控制系统中面临着巨大的成本、周期与风险压力。以重大设备联调为例，真实的反应堆、堆芯、控制棒驱动系统、主冷却泵、备用电源等都可能参与协同验证。

这意味着：一方面某个控制逻辑的改变往往需要整机停机、系统拆装、厂商配合、现场试验；另一方面，即使完成测试，也可能无法覆盖所有极端运行状态、偶发故障情况或系统间耦合效应。研究指出，对于安全数字控制系统而言，软件老化管理（Software Aging Management）问题尚处于探索阶段，其可靠性难以像硬件那样通过实物置换的方式实现全面保障。

再次，从工程协同性来看，当控制系统由多芯片、多板卡、多总线、多协议组成时，其耦合度、复杂度显著提高。尤其在安全级DCS（Distributed Control System，分布式控制系统）中，采用硬件可编程器件（HPD）技术的控制系统往往同时涉及多芯片、多总线与多协议协同，验证复杂度呈指数级上升。因而在核控制系统研制中，单靠物理测试不仅成本高、周期长，而且对复杂系统中的交互、耦合与极端工况“照明”能力有限

正是在上述几重难题背景下，行业开始探索软件仿真测试路径：

通过仿真环境预演、构建高保真模型、提前校验控制逻辑与系统行为，把验证的前端放在虚拟阶段，将实物测试的时间与风险大幅压缩，并提前解决逻辑、架构、耦合、故障注入等问题。

面对核控制系统在真实测试中高风险、高成本、系统级多芯片协同验证困难等现实挑战，行业开始加速采用更高保真、更强可控的虚拟化测试手段。在这一背景下，基于天目全数字实时仿真软件SkyEye构建的高保真异构仿真环境，正在成为核控制系统验证的重要支撑技术。 

在某核控制系统仿真项目中，团队利用SkyEye构建了一套高保真异构测试环境，针对国产 PPC 架构的多板卡系统进行了精准仿真，并模拟了芯片加密算法的真实运行特征。同时，SkyEye支持与Simulink模型进行动态联合仿真，使控制软件能够在虚拟环境中获得闭环验证平台，从源头上降低对物理硬件的依赖，也使整体测试过程在安全可控的前提下得以推进。

在此基础上，本案例还搭建了自动化故障注入系统，能够对芯片寄存器、存储器以及CAN、1553B等通信总线进行无损故障注入与现场保存。通过图形化界面与脚本化配置，实现了多类型故障的统一管理、自动测试与报告生成，在大幅提升测试效率的同时，也提升了验证覆盖度，为核控制系统的正确性、可靠性与国产化替代提供了关键支撑。

▲SkyEye核控制系统仿真案例

 

参考文献

[1] 民用核安全设备设计制造安装和无损检验监督管理规定(HAF601)[J].中华人民共和国国务院公报,2008,(20):30-37.

[2] 丁义行,李世欣.基于HPD的核电厂分布式控制系统验证与确认[J].核动力工程,2016,37(06):75-79.DOI:10.13832/j.jnpe.2016.06.0075.

[3] Rudakov S, Dickerson C E. Harmonization of IEEE 1012 and IEC 60880 standards regarding verification and validation of nuclear power plant safety systems software using model-based methodology[J]. Progress in Nuclear Energy, 2017, 99: 86-95.