核安全級(jí)DI&C系統(tǒng)平臺(tái)的安全性和可靠性分析方法的探索

北京廣利核系統(tǒng)工程有限公司 秦宇，張亞棟

環(huán)境保護(hù)核與輻射安全中心 尹寶娟

1 引言

核安全級(jí)數(shù)字化儀控系統(tǒng)（DI&C）的質(zhì)量要求越來(lái)越高，并越來(lái)越多的依賴于軟件，因此數(shù)字化系統(tǒng)及其軟件的安全性和可靠性研究工作越來(lái)越重要。同時(shí)，隨著核電站應(yīng)用需求的多樣化，核安全級(jí)DI&C系統(tǒng)平臺(tái)的應(yīng)用越來(lái)越廣泛。

由于DI&C系統(tǒng)平臺(tái)的安全性和可靠性分析缺乏相應(yīng)的指導(dǎo)，而大量的調(diào)查和研究都是針對(duì)DI&C系統(tǒng)的。因此，本文旨在利用DI&C系統(tǒng)的安全性和可靠性分析方法建立DI&C系統(tǒng)平臺(tái)的安全性和可靠性分析體系。

2 核安全級(jí)DI&C系統(tǒng)平臺(tái)介紹

核安全級(jí)DI&C系統(tǒng)平臺(tái)是一個(gè)與核電站的特定應(yīng)用細(xì)節(jié)無(wú)關(guān)的設(shè)備組，該設(shè)備組被廣泛應(yīng)用于市場(chǎng)，實(shí)現(xiàn)工業(yè)的自動(dòng)化任務(wù)[1]。

DI&C系統(tǒng)平臺(tái)和DI&C系統(tǒng)的比較如下：

（1) DI&C系統(tǒng)平臺(tái)沒(méi)有確定的安全性和可靠性需求，需求是從典型工程應(yīng)用中提取而來(lái)的；DI&C系統(tǒng)的需求來(lái)自于核電廠的特定要求。當(dāng)前者應(yīng)用于后者的用途時(shí)，需要進(jìn)行適用性確認(rèn)，并根據(jù)確認(rèn)結(jié)果進(jìn)行補(bǔ)充安全性和可靠性分析。

（2) 兩者都是核電廠安全保護(hù)系統(tǒng)的范疇，都由基于計(jì)算機(jī)系統(tǒng)的硬件和軟件組成，在應(yīng)用中實(shí)現(xiàn)規(guī)定的安全功能；

（3) 依據(jù)的主要標(biāo)準(zhǔn)相同，對(duì)于特殊的DI&C系統(tǒng)可能有其特定的標(biāo)準(zhǔn)。

（4) 分析方法和過(guò)程基本相同，都可以采用安全性分析與可靠性分析相結(jié)合的方法。

由以上比較內(nèi)容可以看出，DI&C系統(tǒng)平臺(tái)和DI&C系統(tǒng)的主要不同點(diǎn)是上述第（1）點(diǎn)，因此，除了需求分析之外，兩者的安全性和可靠性分析可以采用相同的方法。

3 核安全級(jí)DI&C系統(tǒng)平臺(tái)的安全性和可靠性分析

3.1 概述

近幾十年來(lái)，美國(guó)核管會(huì)（NRC）、其他安全關(guān)鍵領(lǐng)域的企業(yè)和組織致力于核安全級(jí)DI&C系統(tǒng)的安全性和可靠性的研究。同時(shí)國(guó)內(nèi)外各組織各自制定了相應(yīng)的法規(guī)、標(biāo)準(zhǔn)和指南，并不斷進(jìn)行更新。相關(guān)的法規(guī)和標(biāo)準(zhǔn)有NRC文件、IEEE、IEC、IAEA、HAF、HAD、GB等。本文主要根據(jù)NRC和IEEE的要求，并結(jié)合DI&C系統(tǒng)平臺(tái)的特性和專業(yè)人員的經(jīng)驗(yàn)，選擇合適的分析方法。

系統(tǒng)和硬件采用分析、現(xiàn)場(chǎng)經(jīng)驗(yàn)和測(cè)試的綜合分析方法[2-4]，軟件的安全性和可靠性難以完全定量，主要通過(guò)定性分析、測(cè)試和可靠性度量來(lái)實(shí)現(xiàn)[5-6]。

分析工作的前期，應(yīng)建立系統(tǒng)、硬件和軟件的失效模式庫(kù)，作為分析的參考或依據(jù)。建立失效模式庫(kù)的一般要求如下：

（1）應(yīng)參考相似系統(tǒng)的分析或運(yùn)行記錄、專家經(jīng)驗(yàn)、標(biāo)準(zhǔn)、技術(shù)資料等，建立通用失效模式庫(kù)；

（2）隨著工作的深入，應(yīng)根據(jù)每個(gè)階段的輸出結(jié)果，更新失效模式庫(kù)，最終形成產(chǎn)品的失效模式庫(kù)；

（3）產(chǎn)品失效模式庫(kù)的最終確定和使用需經(jīng)過(guò)分析小組或相關(guān)組織的一致認(rèn)可。

3.2 概念階段

系統(tǒng)平臺(tái)的概要設(shè)計(jì)階段主要進(jìn)行安全性和可靠性的需求分析和需求分配。

3.2.1 需求分析

需求分析在系統(tǒng)需求階段進(jìn)行，并且隨著設(shè)計(jì)的修改在生命周期中隨時(shí)更新。在系統(tǒng)分析前（需求階段），應(yīng)進(jìn)行初步危險(xiǎn)分析（PHA）。

PHA屬于定性分析，通過(guò)識(shí)別系統(tǒng)的潛在危險(xiǎn)及其風(fēng)險(xiǎn)，識(shí)別并評(píng)價(jià)系統(tǒng)應(yīng)對(duì)潛在危險(xiǎn)的角色，或控制或減緩危險(xiǎn)；PHA對(duì)系統(tǒng)整體的安全性進(jìn)行分析和評(píng)價(jià)，并提出安全關(guān)鍵需求或建議。

對(duì)于軟件安全分析人員來(lái)說(shuō)，可在概念階段單獨(dú)進(jìn)行軟件在系統(tǒng)層面的PHA分析[7-8]。通過(guò)識(shí)別與軟件相關(guān)的系統(tǒng)的潛在危險(xiǎn)，識(shí)別并評(píng)價(jià)軟件應(yīng)對(duì)潛在危險(xiǎn)的角色，或控制或減緩危險(xiǎn)，并提出軟件安全關(guān)鍵需求或建議。

PHA是執(zhí)行其他安全分析的前提條件，PHA的結(jié)果應(yīng)作為后續(xù)各階段的危險(xiǎn)分析的輸入或參考。如果設(shè)計(jì)有重大變更，則需要對(duì)PHA進(jìn)行更新。

PHA考慮了標(biāo)準(zhǔn)中的要求、典型工程應(yīng)用要求、設(shè)計(jì)資料、經(jīng)驗(yàn)、相似系統(tǒng)的需求文件或PHA報(bào)告等內(nèi)容。PHA可提供下述信息：

（1）為制定安全性和可靠性工作計(jì)劃提供信息；

（2）確定進(jìn)行安全性和可靠性試驗(yàn)的范圍；

（3）危險(xiǎn)和風(fēng)險(xiǎn)等級(jí)較高的關(guān)鍵需求項(xiàng)；

（4）災(zāi)難性的和嚴(yán)重的失效，為設(shè)計(jì)階段的FTA和FMEDA分析提供參考依據(jù)；

（5）PHA足夠充分的話，不僅可以獲得完整的系統(tǒng)的安全性和可靠性需求，還可以獲得部分的甚至完整的硬件和軟件的需求。

定量需求需確定安全性和可靠性指標(biāo)，如表1所示[6，9，10]。

表1 安全性和可靠性參數(shù)集

3.2.2 需求分配

在系統(tǒng)平臺(tái)的概要設(shè)計(jì)階段，進(jìn)行需求的分配。如果無(wú)法達(dá)到需求，應(yīng)更改需求，并重新進(jìn)行需求分析和分配。

定性的需求分配過(guò)程為：建立系統(tǒng)的功能框圖，然后根據(jù)3.2.1節(jié)獲得的需求分析報(bào)告、設(shè)計(jì)資料和相關(guān)經(jīng)驗(yàn)將需求分配至子系統(tǒng)、硬件、軟件和工具中，最后通過(guò)FMEDA和FTA綜合分析法進(jìn)行危險(xiǎn)分析并識(shí)別關(guān)鍵需求項(xiàng)。

FMEDA適用于具有高診斷性能的系統(tǒng)或硬件，但是無(wú)法表達(dá)復(fù)雜的邏輯關(guān)系，因此選用FMEDA為主，F(xiàn)TA為輔的分析方法，如圖1所示。

圖1 FMEDA和FTA綜合分析法

定量指標(biāo)的分配應(yīng)用Markov和FTA綜合分析法，通過(guò)建立系統(tǒng)的安全性和可靠性模型，估算出A、R、MTTF、PFD、PFS等參數(shù)。若不符合要求，應(yīng)進(jìn)行需求重分配分析。當(dāng)軟件的失效模式和失效率充分時(shí)，將軟件的失效考慮進(jìn)定量分析模型中；否則，模型中不考慮軟件失效。

Markov可用于可降級(jí)的容錯(cuò)系統(tǒng)，能夠表達(dá)系統(tǒng)的多狀態(tài)轉(zhuǎn)變過(guò)程。然而Markov模型的復(fù)雜性和較長(zhǎng)的計(jì)算時(shí)間限制了它的使用[11]。FTA是Markov的一個(gè)補(bǔ)償模型。使用Markov模型中的各狀態(tài)作為FTA模型的頂事件，展開(kāi)該故障樹(shù)，并計(jì)算頂事件的失效率，將計(jì)算結(jié)果代入到Markov模型中的各狀態(tài)中，最終計(jì)算出系統(tǒng)平臺(tái)的安全性和可靠性參數(shù)。

系統(tǒng)的Markov和FTA綜合分析法如圖2所示。

圖2 Markov和FTA綜合分析法

3.3 需求階段

在軟/硬件的需求階段，首先進(jìn)行危險(xiǎn)分析，以便確定可能危及安全功能的任何特定風(fēng)險(xiǎn)，并指出需要更改或附加的需求以減緩危險(xiǎn)的影響。

硬件采用FTA和FMEDA綜合分析法，具體內(nèi)容參見(jiàn)3.2.2的圖1。分析的結(jié)果將輸入到3.2.2中的系統(tǒng)平臺(tái)的Markov和FTA綜合分析模型中，以便進(jìn)行后續(xù)的安全性和可靠性參數(shù)計(jì)算。

軟件的失效機(jī)理和硬件不同，因此采用HAZOP分析[7，12]。HAZOP分析屬于定性分析，HAZOP分析軟件功能框圖或數(shù)據(jù)流圖中可能存在的偏差、原因、影響及安全措施等。首先應(yīng)根據(jù)3.1中的失效模式庫(kù)的建立要求，建立軟件的失效模式庫(kù)。軟件的失效模式用偏差來(lái)表示，即屬性和引導(dǎo)詞。DFD和HAZOP屬性-引導(dǎo)詞的示例見(jiàn)圖3和表2。

圖3 數(shù)據(jù)路/控制流圖（CFD/DFD）示意圖

表2 CFD/DFD的HAZOP屬性-引導(dǎo)詞示例

3.4 設(shè)計(jì)階段

在軟/硬件的設(shè)計(jì)階段，首先應(yīng)進(jìn)行危險(xiǎn)分析，確保設(shè)計(jì)滿足規(guī)定的安全功能，并且不引入其它新的危險(xiǎn)。

硬件的分析方法和3.3中需求階段的方法相同。

軟件的HAZOP分析和需求階段類似，不同的是設(shè)計(jì)階段用功能框圖、控制流圖、函數(shù)關(guān)系圖或狀態(tài)轉(zhuǎn)換圖來(lái)表達(dá)。根據(jù)不同的分析對(duì)象，選用不同的屬性和關(guān)鍵詞。

3.5 實(shí)現(xiàn)階段

在軟/硬件的實(shí)現(xiàn)階段中，應(yīng)進(jìn)行危險(xiǎn)分析，確保實(shí)現(xiàn)滿足規(guī)定的安全功能，并且不引入其它新的危險(xiǎn)。

硬件的分析方法和3.3中需求階段的方法相同。

軟件的分析主要是依據(jù)NUREG6463進(jìn)行代碼評(píng)估[13]。

應(yīng)記錄該階段中軟/硬件的安全性和可靠性測(cè)試過(guò)程中所產(chǎn)生的差錯(cuò)、故障或失效數(shù)據(jù)，以便進(jìn)行相應(yīng)的安全性和可靠性分析或度量。

3.6 測(cè)試階段

在測(cè)試階段，應(yīng)用FMEDA進(jìn)行危險(xiǎn)分析，驗(yàn)證測(cè)試儀器沒(méi)有引入新的危險(xiǎn)。

記錄安全功能測(cè)試、可靠性增長(zhǎng)測(cè)試和可靠性驗(yàn)證測(cè)試過(guò)程中的失效數(shù)據(jù)，并進(jìn)行安全性和可靠性參數(shù)的計(jì)算。計(jì)算模型和需求分配分析中使用的模型相同。

最后基于分析、測(cè)試和運(yùn)行經(jīng)驗(yàn)的綜合分析進(jìn)行安全性和可靠性評(píng)估，評(píng)估結(jié)果顯示是否滿足用戶的要求以及滿足要求的程度。如果不滿足要求，需對(duì)系統(tǒng)進(jìn)行修改，并重新進(jìn)行分析和評(píng)估。

3.7 數(shù)據(jù)收集

第3.1節(jié)提到，應(yīng)在分析之前建立失效模式庫(kù)，并在設(shè)計(jì)、分析、測(cè)試和運(yùn)行過(guò)程中記錄相關(guān)的故障、錯(cuò)誤和失效。收集的數(shù)據(jù)應(yīng)真實(shí)、完整和連續(xù)[14]。

系統(tǒng)和硬件的失效數(shù)據(jù)較完善，歸結(jié)于系統(tǒng)和硬件可靠性技術(shù)的相對(duì)成熟，并收集了實(shí)際運(yùn)行中大量的失效數(shù)據(jù)。系統(tǒng)和硬件的失效數(shù)據(jù)包括：類型、任務(wù)描述、時(shí)間歷程、故障情況和維修信息等。

軟件的失效數(shù)據(jù)較少，并且軟件的失效主要是人為的設(shè)計(jì)錯(cuò)誤造成的，在每個(gè)項(xiàng)目中失效數(shù)據(jù)都是不同的，因此缺乏足夠的統(tǒng)計(jì)特性。具有足夠統(tǒng)計(jì)特性的數(shù)據(jù)需要通過(guò)長(zhǎng)時(shí)間的進(jìn)行大量信息的收集來(lái)獲得。軟件的數(shù)據(jù)收集需根據(jù)選用的度量參數(shù)有針對(duì)性的進(jìn)行分析和測(cè)試，并記錄相關(guān)的數(shù)據(jù)，包括執(zhí)行時(shí)間、工程數(shù)據(jù)、人員和時(shí)間投入、部件數(shù)據(jù)、異常數(shù)據(jù)及其修正等。

數(shù)據(jù)收集程序：

（1）明確數(shù)據(jù)收集的目的以及具體需要收集的數(shù)據(jù)條目；

（2）計(jì)劃數(shù)據(jù)收集計(jì)劃；

（3）應(yīng)對(duì)收集人員進(jìn)行數(shù)據(jù)收集要求和工具使用的培訓(xùn)；

（4）應(yīng)執(zhí)行試運(yùn)行，過(guò)程中解決所有運(yùn)行的問(wèn)題以及對(duì)數(shù)據(jù)收集計(jì)劃的誤解；

（5）利用取得的數(shù)據(jù)預(yù)計(jì)可靠性，可靠性預(yù)計(jì)應(yīng)按照一定的時(shí)間間隔有規(guī)律的經(jīng)常進(jìn)行；

（6）及時(shí)反饋，對(duì)數(shù)據(jù)收集過(guò)程中發(fā)現(xiàn)的失效情況應(yīng)盡早反饋以便盡早進(jìn)行糾正。

3.8 DI&C系統(tǒng)平臺(tái)應(yīng)用于以確定對(duì)象為目標(biāo)的DI&C系統(tǒng)的要求

由3.1節(jié)可知，安全級(jí)DI&C系統(tǒng)平臺(tái)和以確定對(duì)象為目標(biāo)的DI&C系統(tǒng)的安全性和可靠性分析的唯一區(qū)別是需求分析。因此，當(dāng)前者的需求分析完全符合后者的需求時(shí)，兩者之間的差異可消除。要消除這一差異，需要具備以下條件：

（1）需求分析小組具有豐富的DI&C系統(tǒng)平臺(tái)開(kāi)發(fā)、試驗(yàn)和運(yùn)行相關(guān)的經(jīng)驗(yàn)，并且熟悉相關(guān)的法規(guī)、標(biāo)準(zhǔn)和指南，以確保DI&C系統(tǒng)平臺(tái)能夠具有合理的、完整的典型工程應(yīng)用要求；

（2）建立完整的安全性和可靠性分析的體系和方法，以確保能夠?qū)崿F(xiàn)DI&C系統(tǒng)平臺(tái)的安全性和可靠性要求；

（3）獲得豐富的DI&C系統(tǒng)平臺(tái)相關(guān)的歷史數(shù)據(jù)，包括運(yùn)行狀態(tài)記錄、失效或故障記錄、維修記錄等，以確保安全性和可靠性分析工作的順利開(kāi)展及其有效性；

（4）當(dāng)DI&C系統(tǒng)平臺(tái)應(yīng)用于以確定對(duì)象為目標(biāo)的應(yīng)用時(shí)，應(yīng)對(duì)DI&C系統(tǒng)平臺(tái)進(jìn)行適用性確認(rèn)。必要的話，應(yīng)根據(jù)適用性確認(rèn)結(jié)果，進(jìn)行補(bǔ)充安全性和可靠性分析。

4 結(jié)語(yǔ)

本文通過(guò)比較核安全級(jí)DI&C系統(tǒng)平臺(tái)和DI&C系統(tǒng)，指出兩者之間的主要不同是前者需要進(jìn)行需求分析，除此之外，兩者可以采用相同的安全性和可靠性分析方法。因此作者根據(jù)現(xiàn)有的核安全級(jí)DI&C系統(tǒng)的安全性和可靠性分析方法建立了核安全級(jí)DI&C系統(tǒng)平臺(tái)的安全性和可靠性分析體系，包括需求分析。該分析體系主要包括：

（1）系統(tǒng)采用分析、現(xiàn)場(chǎng)經(jīng)驗(yàn)和測(cè)試的綜合分析方法，其中軟件的安全性和可靠性通過(guò)定性分析、測(cè)試和可靠性度量來(lái)實(shí)現(xiàn)。

（2）對(duì)不同的生命周期階段，采用不同的分析方法：

系統(tǒng)概要設(shè)計(jì)階段：采用PHA分析、FMEDA/FTA綜合分析和Markov/FTA綜合分析；

軟/硬件需求階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件采用HAZOP分析；

軟/硬件設(shè)計(jì)階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件采用HAZOP分析；

軟/硬件實(shí)現(xiàn)階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件根據(jù)NUREG6463進(jìn)行代碼評(píng)估；

測(cè)試階段：安全性/可靠性參數(shù)計(jì)算和評(píng)估。

（3）介紹了安全性和可靠性數(shù)據(jù)收集方法以確保分析的科學(xué)性和有效性。

（4）提出了DI&C系統(tǒng)平臺(tái)應(yīng)用于以確定對(duì)象為目標(biāo)的應(yīng)用系統(tǒng)時(shí)的限制要求。

上述分析方法為核安全級(jí)DI&C系統(tǒng)平臺(tái)的安全性和可靠性分析工作提供了技術(shù)支持，并且已部分地應(yīng)用于核安全級(jí)儀控平臺(tái)Firmsys?的分析工作中，提高了工作的完整性和有效性。

[1] IEC Std. 60880-2009: Nuclear Power Plants – Instrumentation and Control System Important to Safety Software Aspects for Computer-based Systems Performing Category A Functions， International Electrotechnical Commission， Switzerland.

[2] National Research Council: Digital Instrumentation and Control Systems in Nuclear Power Plants—Safety and Reliability Issues, National Academy Press,Washington, D.C., May 1997.

[3] IEEE Std. 7-4.3.2-2010: Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations， IEEE-SA Standards Board.

[4] RG 1.152-2011: Criteria for use of Computers in Safety Systems of Nuclear Power Plants， U.S. Nuclear Regulatory Commission.

[5] IEC 61513-2011: International Electrotechnical Commission, Switzerland.[6] IEEE 982.1-2005: Dictionary of Measures of the Software Aspects of Dependability, IEEE-SA Standards Board.

[7] NUREG/CR-6430 1996: Software Safety Hazard Analysis.

[8] NASA-GB-8719.13 2004: NASA Software Safety Guidebook

[9] IEC 61508-3 2010: Functional safety of electrical/electronic/programmable electronic safety-related systems –Part 3: Software requirements.

[10] William M. Goble: Control Systems Safety Evaluation and Reliability, ISA,January 2010: 1-177.

[11] Michael R. Lyu: Handbook of Software Reliability Engineering IEEE Computer Society Press, April 1996, 229-231.

[12] McDermid, John A., M. Nicholson, D. J. Pumfrey and P. Fenelon:Experience with the Application of HAZOP to Computer-Based Systems.Computer Assurance, June 1995: 37-48.

[13] Dong-Yung Lee. Development Experiences of a Digital Safety System in Korea. IAEA Technical Meeting, Nov, 2008.

[14] 秦宇.現(xiàn)場(chǎng)設(shè)備的可靠性數(shù)據(jù)收集[J]. 石油化工設(shè)備, 2012, 41(1):21-24.