核電廠DCS安全級(jí)應(yīng)用軟件開發(fā)的危險(xiǎn)分析

艾九斤，李運(yùn)堅(jiān)，李相建

（北京廣利核系統(tǒng)工程有限公司，北京100094）

0 引 言

核電廠數(shù)字控制系統(tǒng)是保障核電廠安全運(yùn)行的核心，尤其是保護(hù)控制系統(tǒng)（簡(jiǎn)稱 “安全級(jí)”），而國(guó)內(nèi)在役和在建核電廠的保護(hù)控制系統(tǒng)均為國(guó)外引進(jìn)，這使得核電廠建造和運(yùn)行成本大幅提高，為了解決這一問(wèn)題，提出了核電廠保護(hù)控制系統(tǒng)國(guó)產(chǎn)化的目標(biāo)。在保護(hù)控制系統(tǒng)國(guó)產(chǎn)化的過(guò)程中，除了對(duì)硬件的質(zhì)量嚴(yán)格要求外，還要保證軟件的安全性，為了提高軟件的安全性，需對(duì)核電廠保護(hù)控制系統(tǒng)應(yīng)用軟件開發(fā)過(guò)程中的危險(xiǎn)進(jìn)行分析。目前核電廠保護(hù)控制系統(tǒng)國(guó)產(chǎn)化才剛剛起步，還未建立對(duì)核電廠安全級(jí)應(yīng)用軟件開發(fā)過(guò)程的危險(xiǎn)分析體系。因此針對(duì)這一現(xiàn)狀，結(jié)合CPR1000（中國(guó)改進(jìn)型壓水堆核電站）項(xiàng)目的工程實(shí)踐，對(duì)核電廠安全級(jí)應(yīng)用軟件的開發(fā)過(guò)程進(jìn)行驗(yàn)證和確認(rèn)（verification ＆validation，V＆V）活動(dòng)，對(duì)應(yīng)用軟件開發(fā)過(guò)程中的危險(xiǎn)進(jìn)行分析。

1 系統(tǒng)設(shè)計(jì)的危險(xiǎn)分析

在對(duì)核電廠內(nèi)執(zhí)行安全重要功能的安全級(jí)系統(tǒng)進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)，需對(duì)系統(tǒng)設(shè)計(jì)方案進(jìn)行全面的危險(xiǎn)分析以提高系統(tǒng)的預(yù)期安全性。所謂危險(xiǎn)，是指可能導(dǎo)致事故發(fā)生的一種狀態(tài)，它是發(fā)生事故的先決條件，危險(xiǎn)與事故的關(guān)系如圖1所示?？赡軐?dǎo)致事故的狀態(tài)有物質(zhì)狀態(tài)、環(huán)境狀態(tài)和人員活動(dòng)狀態(tài)以及它們的組合。為了提高系統(tǒng)設(shè)計(jì)的安全性，應(yīng)分析、識(shí)別出系統(tǒng)設(shè)計(jì)方案中的危險(xiǎn)因素并對(duì)其采取必要的控制措施，使系統(tǒng)獲得最佳的整體安全性。

圖1 危險(xiǎn)與事故關(guān)系

1.1 危險(xiǎn)識(shí)別

在系統(tǒng)設(shè)計(jì)驗(yàn)證（verification1，V1）階段，通過(guò)分析標(biāo)準(zhǔn)法規(guī)以及合同技術(shù)條款等對(duì)于安全保護(hù)系統(tǒng)的基本要求，識(shí)別出系統(tǒng)設(shè)計(jì)中的潛在危險(xiǎn)。以CPR1000某項(xiàng)目為例，在V1階段，通過(guò)識(shí)別危險(xiǎn)項(xiàng)并對(duì)危險(xiǎn)因子以及危險(xiǎn)事故所產(chǎn)生的后果進(jìn)行分析，識(shí)別出系統(tǒng)設(shè)計(jì)在環(huán)境、安全性、可靠性等方面存在的潛在危險(xiǎn)。在V1階段識(shí)別出的部分危險(xiǎn)項(xiàng)，以及觸發(fā)危險(xiǎn)事故的危險(xiǎn)因子和事故的后果見表1。

1.2 危險(xiǎn)分析

在識(shí)別出危險(xiǎn)項(xiàng)后應(yīng)對(duì)引發(fā)危險(xiǎn)的危險(xiǎn)因子及危險(xiǎn)的后果進(jìn)行分析，以建立危險(xiǎn)緩解策略來(lái)減小或避免危險(xiǎn)帶來(lái)的后果。在V1階段采用基于安全保護(hù)層模型的分層危險(xiǎn)分析策略，將表1中的危險(xiǎn)項(xiàng)根據(jù)觸發(fā)危險(xiǎn)的因子和事故后果的影響程度，從安全保護(hù)層模型的固有安全層、控制和監(jiān)視層、防護(hù)層、抑制減輕層進(jìn)行分析。

表1 系統(tǒng)設(shè)計(jì)危險(xiǎn)項(xiàng)識(shí)別

（1）固有安全層：固有安全層是指通過(guò)工藝技術(shù)的選擇、設(shè)備結(jié)構(gòu)設(shè)計(jì)的考慮、操作參數(shù)的設(shè)置等因素，減輕或消除潛在的危險(xiǎn)。對(duì)于核電廠來(lái)說(shuō)永遠(yuǎn)存在著發(fā)生地震的潛在危險(xiǎn)，該危險(xiǎn)發(fā)生的概率非常低，但后果卻是災(zāi)難性的。通過(guò)對(duì)固有安全層的安全級(jí)機(jī)柜進(jìn)行有效的抗震設(shè)計(jì)來(lái)緩解地震帶來(lái)的潛在危險(xiǎn)。

（2）控制和監(jiān)視層：控制和監(jiān)視層通過(guò)基本過(guò)程控制系統(tǒng)的常規(guī)控制、過(guò)程報(bào)警和操作人員的操作，將工藝過(guò)程參數(shù)控制在正常操作設(shè)定值以內(nèi)。不當(dāng)?shù)慕涌谠O(shè)計(jì)將使系統(tǒng)過(guò)分復(fù)雜化，給安全級(jí)與非安全級(jí)間的監(jiān)視、報(bào)警等信息的傳遞帶來(lái)潛在的危險(xiǎn)。通過(guò)簡(jiǎn)化各系統(tǒng)軟件間的接口，采用高速、有效、可靠的通信方式來(lái)減小控制和監(jiān)視層的危險(xiǎn)。

（3）防護(hù)層：防護(hù)層的基本功能是試圖減少危險(xiǎn)事件發(fā)生的頻率，使工藝過(guò)程取得或保持安全狀態(tài)。在防護(hù)層中存在因特定單一事件引起的兩個(gè)或多個(gè)系統(tǒng)、部件功能失效的共因故障的潛在危險(xiǎn)。在防護(hù)層采用設(shè)備多樣性和功能多樣性設(shè)計(jì)來(lái)緩解共因故障的潛在危險(xiǎn)。

（4）抑制減輕層：抑制減輕層的作用是降低危險(xiǎn)事件發(fā)生的后果。在抑制減輕層中存在因反應(yīng)堆跳堆響應(yīng)時(shí)間超時(shí)而導(dǎo)致核安全事故的潛在危險(xiǎn)。通過(guò)嚴(yán)格驗(yàn)證的方法來(lái)確保反應(yīng)堆跳堆響應(yīng)時(shí)間滿足設(shè)計(jì)要求。

2 軟件設(shè)計(jì)的危險(xiǎn)分析

2.1 軟件需求危險(xiǎn)分析

軟件需求是系統(tǒng)需求的子集也是進(jìn)行軟件設(shè)計(jì)的基礎(chǔ)，軟件需求應(yīng)包含系統(tǒng)需求分配給軟件的各項(xiàng)約束，具體包括安全要求和潛在的故障狀態(tài)，在各種運(yùn)行模式下的功能需求和運(yùn)行要求，以及性能指標(biāo)、故障探測(cè)、安全監(jiān)測(cè)和安全防范等要求。

在軟件需求驗(yàn)證（verification2，V2）階段，為了能夠全面評(píng)估可能會(huì)涉及的危險(xiǎn)因素，采用了預(yù)先危險(xiǎn)分析法（preliminary hazard analysis，PHA）對(duì)軟件需求中的潛在危險(xiǎn)進(jìn)行分析。預(yù)先危險(xiǎn)分析法是對(duì)一個(gè)系統(tǒng)或子系統(tǒng)存在的危險(xiǎn)類別、出現(xiàn)條件及可能造成的后果進(jìn)行的一種定性分析。其目的是識(shí)別出危險(xiǎn)，鑒別危險(xiǎn)產(chǎn)生的原因及事故后果，對(duì)已識(shí)別的危險(xiǎn)進(jìn)行分級(jí)，確定安全設(shè)計(jì)準(zhǔn)則，并提出減輕或控制危險(xiǎn)的緩解策略。

2.1.1 預(yù)先危險(xiǎn)分析表

在進(jìn)行V2活動(dòng)時(shí)，應(yīng)根據(jù)系統(tǒng)設(shè)計(jì)要求、用戶安全要求、安全標(biāo)準(zhǔn)法規(guī)文件和以往的實(shí)踐經(jīng)驗(yàn)，對(duì)軟件需求進(jìn)行分析和驗(yàn)證，列出需要進(jìn)行分析的危險(xiǎn)項(xiàng)或因素，并制定預(yù)先危險(xiǎn)分析表（preliminary hazard list，PHL），以確定預(yù)先危險(xiǎn)分析的待分析危險(xiǎn)項(xiàng)。在CPR1000某項(xiàng)目中，V2階段識(shí)別出的部分危險(xiǎn)見表2。

2.1.2 預(yù)先危險(xiǎn)分析

（1）安全性危險(xiǎn)分析：為了提高反應(yīng)堆控制的安全性，降低潛在的危險(xiǎn)。在軟件需求驗(yàn)證中通常從以下幾個(gè)方面對(duì)影響軟件需求的危險(xiǎn)因素進(jìn)行分析：①安全功能分級(jí)，將不同安全級(jí)別的功能分配到相應(yīng)的安全級(jí)設(shè)備中去執(zhí)行，可以避免非安全功能級(jí)別的故障影響安全級(jí)別的功能。②設(shè)備冗余設(shè)計(jì)，為了使保護(hù)系統(tǒng)滿足單一故障準(zhǔn)則，提高反應(yīng)堆的安全性?？蓪?duì)安全監(jiān)測(cè)通道進(jìn)行冗余設(shè)計(jì)，如在保護(hù)系統(tǒng)中廣泛采用二重，三重或四重通道。③邏輯符合設(shè)計(jì)，為了使保護(hù)系統(tǒng)的設(shè)計(jì)盡量滿足可靠性和安全性的要求，采用邏輯符合設(shè)計(jì)原則，也就是在保護(hù)系統(tǒng)動(dòng)作之前必須有兩個(gè)或兩個(gè)以上的冗余信號(hào)相一致。④多樣性設(shè)計(jì)來(lái)降低共因故障的可能性。

表2 軟件需求初步危險(xiǎn)分析（PHL）

（2）防御性危險(xiǎn)分析：核電廠保護(hù)控制系統(tǒng)在發(fā)生共模故障時(shí)，存在喪失保護(hù)功能的危險(xiǎn)。為了防止共模故障帶來(lái)的危險(xiǎn)，可以采用縱深防御的設(shè)計(jì)策略。縱深防御在CPR1000項(xiàng)目安全級(jí)軟件設(shè)計(jì)中的體現(xiàn)有：①反應(yīng)堆保護(hù)系統(tǒng)有4個(gè)保護(hù)通道，每個(gè)通道彼此實(shí)現(xiàn)電氣隔離；②反應(yīng)堆保護(hù)系統(tǒng)采用雙子系統(tǒng)，兩個(gè)子系統(tǒng)彼此實(shí)現(xiàn)軟件的隔離；③將相同功能的設(shè)備邏輯分開到不同的專設(shè)驅(qū)動(dòng)功能子系統(tǒng)中。

（3）故障探測(cè)危險(xiǎn)分析：如果探測(cè)設(shè)備或線路故障，存在因保護(hù)系統(tǒng)不能使反應(yīng)堆進(jìn)入到安全狀態(tài)的危險(xiǎn)。為了緩解故障探測(cè)的危險(xiǎn)，反應(yīng)堆保護(hù)系統(tǒng)進(jìn)行了以下設(shè)計(jì)：①采用四通道冗余設(shè)計(jì)；②對(duì)模擬量信號(hào)的量程、質(zhì)量位以及計(jì)算的有效性等進(jìn)行監(jiān)測(cè)；③采用降級(jí)邏輯設(shè)計(jì)，如四取二邏輯降級(jí)為三取二。

（4）可試驗(yàn)性危險(xiǎn)分析：在核電廠運(yùn)行期間對(duì)保護(hù)系統(tǒng)進(jìn)行定期試驗(yàn)，存在著參數(shù)修改、設(shè)備誤動(dòng)作等人為因素帶來(lái)的危險(xiǎn)。為了緩解因定期試驗(yàn)帶來(lái)的危險(xiǎn)，設(shè)計(jì)了AT（automatic tester）系統(tǒng)來(lái)進(jìn)行定期試驗(yàn)。采用AT對(duì)保護(hù)系統(tǒng)進(jìn)行定期試驗(yàn)可以將系統(tǒng)的危險(xiǎn)累積降低到較低的水平。

2.2 軟件組態(tài)設(shè)計(jì)危險(xiǎn)分析

軟件組態(tài)設(shè)計(jì)是利用軟件組態(tài)工具和面向應(yīng)用的程序設(shè)計(jì)語(yǔ)言將軟件需求轉(zhuǎn)化為可實(shí)現(xiàn)的軟件設(shè)計(jì)方案的過(guò)程。在軟件組態(tài)階段可能存在著因人為因素、邏輯設(shè)計(jì)、接口方式等方面的問(wèn)題而給軟件設(shè)計(jì)和運(yùn)行帶來(lái)潛在的危險(xiǎn)。為了降低組態(tài)設(shè)計(jì)中的危險(xiǎn)性，對(duì)軟件組態(tài)設(shè)計(jì)進(jìn)行驗(yàn)證，通過(guò)對(duì)組態(tài)設(shè)計(jì)過(guò)程及設(shè)計(jì)輸出結(jié)果進(jìn)行驗(yàn)證來(lái)發(fā)現(xiàn)軟件組態(tài)設(shè)計(jì)中的問(wèn)題。

2.2.1 人為因素危險(xiǎn)

人對(duì)組態(tài)過(guò)程的影響主要來(lái)自于組態(tài)時(shí)的人為錯(cuò)誤，這些錯(cuò)誤突出表現(xiàn)為組態(tài)不符合組態(tài)規(guī)范。在CPR1000項(xiàng)目的軟件設(shè)計(jì)驗(yàn)證（verification3，V3）階段，對(duì)組態(tài)是否符合組態(tài)規(guī)范進(jìn)行驗(yàn)證，并對(duì)驗(yàn)證結(jié)果采用故障樹分析的方法分析人為因素給軟件組態(tài)設(shè)計(jì)帶來(lái)的潛在危險(xiǎn)。

以CPR1000某項(xiàng)目中反應(yīng)堆保護(hù)柜第二通道（reactor protection cabinet II，RPC－II）通道軟件組態(tài)為例，假設(shè)故障＝組態(tài)規(guī)范不符合，基本故障＝不符合項(xiàng)，引發(fā)事件＝人為組態(tài)錯(cuò)誤。定義故障發(fā)生率＝P，基本故障發(fā)生率＝P（A），引發(fā)事件發(fā)生率＝P（B）。根據(jù)故障樹分析模型可知當(dāng)引發(fā)事件發(fā)生時(shí)引發(fā)基本故障發(fā)生，最終導(dǎo)致故障的發(fā)生，則P＝P（A）×P（B）。為了便于分析將人為組態(tài)錯(cuò)誤發(fā)生率P（B）定為0.01。在V3階段RPC－II發(fā)現(xiàn)的不符合項(xiàng)統(tǒng)計(jì)情況見表3，故障樹分析結(jié)果見表4。

表3 V3階段RPC－II不符合項(xiàng)統(tǒng)計(jì)

表4 V2階段RPC－II故障樹分析結(jié)果

通過(guò)對(duì)表4的結(jié)果進(jìn)行分析，發(fā)現(xiàn)跳轉(zhuǎn)不符合組態(tài)規(guī)范的發(fā)生率高達(dá)28.4%，而在假定人為組態(tài)錯(cuò)誤發(fā)生率為1%時(shí)，跳轉(zhuǎn)不符合規(guī)范的故障率為0.284%，從而可見人為因素對(duì)組態(tài)的影響非常顯著。

2.2.2 邏輯符合危險(xiǎn)

軟件組態(tài)設(shè)計(jì)中最重要的是邏輯符合，同時(shí)邏輯符合也是最難達(dá)到的。因?yàn)?，邏輯設(shè)計(jì)不只是將設(shè)計(jì)輸入的模擬圖或邏輯圖等功能圖簡(jiǎn)單地轉(zhuǎn)化為組態(tài)圖，同時(shí)還要確保轉(zhuǎn)化中的完整性、準(zhǔn)確性、一致性，并且沒(méi)有引入非預(yù)期功能和危險(xiǎn)，從而最終實(shí)現(xiàn)工藝系統(tǒng)及安全功能的要求。在V3階段對(duì)CPR1000某項(xiàng)目進(jìn)行邏輯驗(yàn)證時(shí)，對(duì)識(shí)別出的部分危險(xiǎn)采用事件樹的分析方法，從設(shè)計(jì)輸入、工藝及安全功能要求等方面對(duì)危險(xiǎn)因素進(jìn)行分析。事件樹分析方法，常用于分析在不同防護(hù)或抑制措施生效或失效狀態(tài)下，分析危險(xiǎn)發(fā)生的概率及發(fā)生的后果。為了便于分析對(duì)初始事件和中間事件發(fā)生的概率作了假定。

（1）RSS與KIC、BUP切換組態(tài)的潛在危險(xiǎn)

在設(shè)計(jì)輸入中無(wú)運(yùn)程停堆站（remote shutdown station，RSS）與 KIC（plant computer information ＆control system，電站計(jì)算機(jī)和控制系統(tǒng)）、后備盤（backup panel，BUP）之間的切換，在組態(tài)時(shí)存在因遺漏遠(yuǎn)程控制而喪失遠(yuǎn)程控制功能的潛在危險(xiǎn)。采用事件樹分析方法對(duì)該危險(xiǎn)進(jìn)行分析，假定RSS與KIC、BUP切換組態(tài)遺漏發(fā)生的概率為0.1/次，V＆V驗(yàn)證人員成功驗(yàn)證出組態(tài)遺漏的概率為0.9/次，未成功驗(yàn)證出的概率為0.1/次，則 RSS與KIC、BUP切換組態(tài)遺漏的事件樹分析結(jié)果如圖2所示。

圖2 RSS與KIC、BUP切換危險(xiǎn)事件樹分析

（2）降級(jí)邏輯設(shè)計(jì)復(fù)雜化帶來(lái)的潛在危險(xiǎn)

在驗(yàn)證降級(jí)邏輯時(shí)，發(fā)現(xiàn)有降級(jí)邏輯組態(tài)復(fù)雜化的情況出現(xiàn)。降級(jí)邏輯組態(tài)復(fù)雜化會(huì)導(dǎo)致軟件復(fù)雜化，進(jìn)而降低系統(tǒng)的響應(yīng)速度，最終降低系統(tǒng)的可靠性。為了便于分析，假設(shè)降級(jí)邏輯復(fù)雜化設(shè)計(jì)的概率為0.1/次，導(dǎo)致軟件復(fù)雜化概率為0.9/次，軟件未復(fù)雜化概率為0.1/次，響應(yīng)時(shí)間增加的概率為0.9/次，響應(yīng)時(shí)間未增加的概率為0.1/次，則降級(jí)邏輯設(shè)計(jì)復(fù)雜化的事件樹分析結(jié)果如圖3所示。

圖3 降級(jí)邏輯設(shè)計(jì)復(fù)雜化事件樹分析

3 軟件實(shí)現(xiàn)的危險(xiǎn)分析

在CPR1000項(xiàng)目中，安全級(jí)工程應(yīng)用軟件的實(shí)現(xiàn)階段是將設(shè)計(jì)好的組態(tài)轉(zhuǎn)化為計(jì)算機(jī)能識(shí)別的機(jī)器語(yǔ)言，然后下裝到保護(hù)控制系統(tǒng)的主控器運(yùn)行。軟件實(shí)現(xiàn)階段是對(duì)軟件設(shè)計(jì)的檢驗(yàn)，對(duì)軟件實(shí)現(xiàn)的危險(xiǎn)分析將從以下幾個(gè)方面進(jìn)行分析。

3.1 代碼轉(zhuǎn)換的危險(xiǎn)

在CPR1000項(xiàng)目中，將應(yīng)用軟件組態(tài)圖通過(guò)組態(tài)軟件轉(zhuǎn)化為計(jì)算機(jī)代碼，由于采用軟件進(jìn)行代碼轉(zhuǎn)換，所以會(huì)存在由于編譯器、鏈接器等原因造成的轉(zhuǎn)換錯(cuò)誤等潛在危險(xiǎn)。為了降低代碼轉(zhuǎn)換帶來(lái)的潛在危險(xiǎn)，一方面需要選擇具有良好使用業(yè)績(jī)和遵循嚴(yán)格質(zhì)保過(guò)程開發(fā)的可靠編譯工具，另一方面需在軟件實(shí)現(xiàn)驗(yàn)證階段（verification4，V4）對(duì)代碼轉(zhuǎn)換進(jìn)行驗(yàn)證。驗(yàn)證的內(nèi)容包括：

（1）驗(yàn)證用于代碼轉(zhuǎn)換的工具軟件本身是否可靠，應(yīng)用業(yè)績(jī)是否可信，是否經(jīng)過(guò)權(quán)威機(jī)構(gòu)認(rèn)證，并且轉(zhuǎn)換規(guī)則和轉(zhuǎn)換過(guò)程是否符合相應(yīng)標(biāo)準(zhǔn)；

（2）對(duì)轉(zhuǎn)換后的代碼進(jìn)行審查，驗(yàn)證代碼是否具備可讀性和可追溯性，編碼方式是否滿足指定的編碼規(guī)范，是否正確實(shí)現(xiàn)了組態(tài)的功能，是否沒(méi)有引入非預(yù)期功能等。

3.2 代碼可測(cè)試性的危險(xiǎn)

代碼的可測(cè)試性是衡量代碼質(zhì)量的重要因素。除考慮是否滿足邏輯要求外，還需考慮是否具備可測(cè)試的特征，以便能快速查找出代碼中的錯(cuò)誤。

由于組態(tài)人員的風(fēng)格、習(xí)慣存在差異，加之組態(tài)工具自身還不十分完善，導(dǎo)致對(duì)相同的邏輯可能會(huì)出現(xiàn)不同風(fēng)格的組態(tài)或?qū)⒔M態(tài)復(fù)雜化，因而在將其轉(zhuǎn)換為代碼后可能會(huì)存在因代碼結(jié)構(gòu)復(fù)雜，執(zhí)行語(yǔ)序不一致帶來(lái)的可測(cè)性降低的潛在危險(xiǎn)。

為了減小代碼可測(cè)性的潛在危險(xiǎn)，在軟件組態(tài)設(shè)計(jì)階段應(yīng)嚴(yán)格按組態(tài)規(guī)范進(jìn)行組態(tài)設(shè)計(jì)，在滿足設(shè)計(jì)需求的前提下盡量簡(jiǎn)化組態(tài)步驟，使其轉(zhuǎn)換為計(jì)算機(jī)代碼后具備可測(cè)試性。

4 實(shí)踐分析

在CPR1000項(xiàng)目實(shí)踐中，采用驗(yàn)證與確認(rèn)的方法，并結(jié)合安全保護(hù)層模型、預(yù)先危險(xiǎn)分析、故障樹分析和事件樹分析的方法對(duì)安全級(jí)應(yīng)用軟件的開發(fā)過(guò)程進(jìn)行危險(xiǎn)分析，分析的結(jié)果見表5。

表5 安全級(jí)應(yīng)用軟件開發(fā)過(guò)程危險(xiǎn)識(shí)別結(jié)果

5 結(jié)束語(yǔ)

為了提高核電廠DCS安全級(jí)應(yīng)用軟件的安全性，對(duì)安全級(jí)應(yīng)用軟件的開發(fā)過(guò)程采用驗(yàn)證和確認(rèn)的方法，從危險(xiǎn)發(fā)生的概率、產(chǎn)生的后果對(duì)危險(xiǎn)進(jìn)行分析。同時(shí)將安全保護(hù)層模型、預(yù)先危險(xiǎn)分析、故障樹和事件樹分析應(yīng)用于危險(xiǎn)分析中，對(duì)已識(shí)別的危險(xiǎn)從影響危險(xiǎn)發(fā)生概率和后果的因素進(jìn)行分析，為建立危險(xiǎn)緩解策略提供了分析依據(jù)。實(shí)踐表明，采用驗(yàn)證與確認(rèn)的方法，結(jié)合安全保護(hù)層模型、預(yù)先危險(xiǎn)分析、故障樹和事件樹分析能有效地發(fā)現(xiàn)和緩解核電廠DCS安全級(jí)應(yīng)用軟件開發(fā)過(guò)程中因環(huán)境、人因、技術(shù)實(shí)現(xiàn)等因素造成的危險(xiǎn)，從而實(shí)現(xiàn)提高核電廠DCS安全級(jí)應(yīng)用軟件安全性的目的。

［1］ZHOU Sheng，WANG Gehua.The development situation of international nuclear energy ［J］.Science and Technology Newspaper，2006，24（6）：15－17（in Chinese）. ［周勝，王革華.國(guó)際核能發(fā)展態(tài)勢(shì) ［J］.科技導(dǎo)報(bào)，2006，24（6）：15－17.］

［2］OU－YANG Yu.Technology development situation of overseas nuclear electricity ［J］.China Nuclear Industry，2006，18（1）：23－26（in Chinese）. ［歐陽(yáng)予.國(guó)外核電技術(shù)發(fā)展趨勢(shì)［J］.中國(guó)核工業(yè)，2006，18（1）：23－26.］

［3］IEEE Std 1012TM–2004.IEEE standard for software verification and validation ［S］.

［4］HAD 102/16.The safety important system of nuclear power plant based on computer ［S］（in Chinese）.［HAD 102/16.核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件 ［S］.］

［5］ZHANG Jianguo.The application of safety instrument system in industry ［M］.Beijing：China Electric Power Publishing Company，2010：74－93（in Chinese）. ［張建國(guó).安全儀表系統(tǒng)在過(guò)程工業(yè)中的應(yīng)用 ［M］.北京：中國(guó)電力出版社，2010：74－93.］

［6］ZHOU Haixiang.Data communication of TXP/TXS system in Tianwan nuclear power plant ［J］.Nuclear Power Engineering，2006，27（3）：67－70（in Chinese）. ［周海翔.田灣核電廠TXP/TXS系統(tǒng)的數(shù)據(jù)通信 ［J］.核動(dòng)力工程，2006，27（3）：67－70.］

［7］SHEN Guangyao.Software safety assurance framework and safety technology application ［D］.Beijing：Beijing Institute of Information and Control，2005：10－29（in Chinese）. ［申光耀.軟件安全性保障框架及安全性技術(shù)應(yīng)用 ［D］.北京：北京信息控制研究所，2005：10－29.］

［8］GB/T20438－2006.The safety function of electric，electron and programmable logic device ［S］（in Chinese）. ［GB/T20438－2006.電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 ［S］.］

［9］Willianm M Goble.Control systems safety evaluation ＆reliability ［M］.BAI Yan，DONG Ling，YANG Guotian，transl.Beijing：China Electric Power Publishing Company，2008：55－99（in Chinese）.［威廉·戈布爾.控制系統(tǒng)的安全評(píng)估與可靠 ［M］.白焰，董玲，楊國(guó)田，譯.北京：中國(guó)電力出版社，2008：55－99.］

［10］CCPS，Guidelines for safe and reliable instrumented protective systems ［S］.American Institute of Chemical Engineers，2007.

［11］WANG Duozhi.A study on the research and implement about safety analysis theory based on the requirement analysis ［D］.Changsha：National University of Defense Technology，2005：29－40（in Chinese）.［王多智.基于需求分析的安全分析理論研究及實(shí)現(xiàn) ［D］.長(zhǎng)沙：國(guó)防科學(xué)技術(shù)大學(xué)，2005：29－40.］

［12］GJB/Z 1391－2006.Failure mode and infection and harm analysis guide ［S］（in Chinese）. ［GJB/Z 1391－2006.故障模式、影響及危害性分析指南 ［S］.］

［13］LU Minyan，HAN Fengyan.The quality and reliability management for software of equipment ［M］.Beijing：National Industry Publishing Company，2006：60－89（in Chinese）.［陸民燕，韓峰巖.裝備軟件質(zhì)量和可靠性管理 ［M］.北京：國(guó)防工業(yè)出版社，2006：60－89.］

［14］ WU You－nian.Invalidation mode research ［D］.Beijing：School of Electronic Engineering，Beijing University of Aeronautics and Astronautics，2007：45－65（in Chinese）. ［吳有年.失效模式研究 ［D］.北京：北京航空航天大學(xué)，2007：45－65.］

［15］NIE Miao.Technology of failure mode and effects analysis research and software system development ［D］.Hefei：Hefei University of Technology，2007：30－60（in Chinese）. ［聶淼.FMEA技術(shù)研究與軟件系統(tǒng)發(fā)展 ［D］.合肥：合肥工業(yè)大學(xué)，2007：30－60.］