核安全級儀控軟件可靠性評估模型構(gòu)建

遲淼，史麗萍，劉盈

（1.哈爾濱工程大學(xué)經(jīng)濟管理學(xué)院，黑龍江哈爾濱150001；2.哈爾濱工程大學(xué)核科學(xué)與技術(shù)學(xué)院，黑龍江哈爾濱150001）

核安全級儀控軟件可靠性評估模型構(gòu)建

遲淼1，史麗萍1，劉盈2

（1.哈爾濱工程大學(xué)經(jīng)濟管理學(xué)院，黑龍江哈爾濱150001；2.哈爾濱工程大學(xué)核科學(xué)與技術(shù)學(xué)院，黑龍江哈爾濱150001）

為了對核安全級儀控系統(tǒng)軟件可靠性進行定量評估，研究依照貝葉斯網(wǎng)絡(luò)建模步驟進行模型建設(shè)的方法。對國際上幾種主要核安全級儀控系統(tǒng)標(biāo)準(zhǔn)體系進行對比分析，構(gòu)建核安全級系統(tǒng)軟件可靠性評估綜合模型和子模型，使用貝葉斯公式對模型可靠性進行量化計算和評估，提出通過衡量模型各節(jié)點的敏感度驗證模型建立的合理性。實現(xiàn)運用貝葉斯網(wǎng)絡(luò)方法，通過對系統(tǒng)因素關(guān)系分析，結(jié)合專家定性判斷，對復(fù)雜系統(tǒng)進行模型構(gòu)建，同時提供對系統(tǒng)內(nèi)不確定因素進行定性與定量相結(jié)合的預(yù)測和驗證的方法。

核電廠；安全級；數(shù)字化儀控系統(tǒng)；軟件可靠性；核安全標(biāo)準(zhǔn)；定量評估

我國在引進美國第3代先進壓水堆核電技術(shù)AP1000的基礎(chǔ)上，正在著手進行具有自主知識產(chǎn)權(quán)的CAP1400的研發(fā)。作為核電廠的神經(jīng)中樞，數(shù)字化儀控系統(tǒng)的性能水平與核電站的安全性和經(jīng)濟性緊密相關(guān)［1］。各國還沒有制定該方面的標(biāo)準(zhǔn)體系；由于沒有針對可靠性專門的評估步驟和方法，監(jiān)管機構(gòu)和核電站只能借助其他復(fù)雜評估工具，而現(xiàn)有方法體系龐大，數(shù)據(jù)采集和計算成本高昂，較難兼顧定性和定量分析的有效結(jié)合［2］。在此背景下，2012－2015年的中歐核能開發(fā)科研合作項目“核安全級儀控系統(tǒng)軟件可靠性及驗證和確認(rèn)技術(shù)研究”，針對核安全級數(shù)字化儀控系統(tǒng)軟件的可靠性和安全性評價方法進行研究。本文將重點研究核安全級儀控系統(tǒng)軟件可靠性評估模型建設(shè)過程及定量定性相結(jié)合的分析方法。進行系統(tǒng)可靠性分析的挑戰(zhàn)在于對不確定性預(yù)測［3］。

1 評估建模步驟

相較其他定量評估軟件可靠性的方法，貝葉斯網(wǎng)絡(luò)方法具有對不確定知識的表達與推理，以及對多源信息強大的處理能力等優(yōu)點［4］。因此作者建議通過貝葉斯網(wǎng)絡(luò)方法進行研究?；谪惾~斯網(wǎng)絡(luò)進行核安全級軟件儀控系統(tǒng)可靠性評估建模的步驟如圖1所示。

圖1 貝葉斯網(wǎng)絡(luò)建模步驟Fig.1 The modeling steps of Bayesian belief network

1）問題定義：從本研究目的出發(fā)，對國際主要核安全級儀控系統(tǒng)軟件設(shè)計標(biāo)準(zhǔn)進行分析，找到定義網(wǎng)絡(luò)中目標(biāo)節(jié)點“核安全級軟件可靠性”和非目標(biāo)節(jié)點。

2）構(gòu)建網(wǎng)絡(luò)結(jié)構(gòu)：確定網(wǎng)絡(luò)的中間節(jié)點及基礎(chǔ)節(jié)點。基于定性和定量的分析技術(shù)，構(gòu)建具有影響關(guān)系的有向無環(huán)圖，即貝葉斯子模型和綜合模型。

3）定義節(jié)點概率表：根據(jù)專家經(jīng)驗及歷史資料，統(tǒng)計有影響關(guān)系的各節(jié)點的先驗概率，建立在貝葉斯網(wǎng)絡(luò)中各節(jié)點之間的概率表，對各節(jié)點的影響關(guān)系進行定量描述的過程。

4）驗證貝葉斯網(wǎng)絡(luò)：根據(jù)建立的貝葉斯網(wǎng)絡(luò)進行敏感度分析，驗證模型敏感度分布的合理性，用來判斷是否修改先驗概率或增刪網(wǎng)絡(luò)中定義的各節(jié)點，從而建立可有效工作的貝葉斯網(wǎng)絡(luò)模型。使用敏感度計算公式和貝葉斯分析軟件Hugin軟件2種方式分別對模型敏感度進行評價。

2 儀控系統(tǒng)標(biāo)準(zhǔn)層次定義

迄今，各國都沒有針對核安全級數(shù)字化儀控系統(tǒng)軟件的專門標(biāo)準(zhǔn)，不足以對其安全性設(shè)計進行充分指導(dǎo)。作者按“核安全級”、“儀控系統(tǒng)”、“軟件”等關(guān)鍵詞在美國核管會、國際電工委員會、美國電子和電氣工程師協(xié)會和中國國家核安全局發(fā)布標(biāo)準(zhǔn)中查找相關(guān)規(guī)定并尋找其構(gòu)成規(guī)律。

研究表明，標(biāo)準(zhǔn)體系構(gòu)成按照層次以法規(guī)和導(dǎo)則作為指導(dǎo)，國際電工委員會標(biāo)準(zhǔn)是在國際原子能機構(gòu)的法規(guī)和導(dǎo)則的指導(dǎo)下建立的［5］。美國電子和電氣工程師協(xié)會標(biāo)準(zhǔn)是在聯(lián)邦法規(guī)和美國核管會導(dǎo)則的指導(dǎo)下建立的［6］。我國核電相關(guān)的國標(biāo)、核工業(yè)行業(yè)標(biāo)準(zhǔn)是在核安全法規(guī)和導(dǎo)則的指導(dǎo)下建立的［7］。表1表示數(shù)字化儀系統(tǒng)軟件相關(guān)標(biāo)準(zhǔn)的劃分層次。

數(shù)字化儀控系統(tǒng)采用軟件技術(shù)具有特殊性，在調(diào)研相關(guān)標(biāo)準(zhǔn)后，本文建立核安全級數(shù)字化儀控系統(tǒng)軟件遵循標(biāo)準(zhǔn)模型（圖2），該模型縱向按照法規(guī)、導(dǎo)則層和標(biāo)準(zhǔn)層次對相關(guān)標(biāo)準(zhǔn)進行層次劃分，橫向按軟件的質(zhì)量保證與配置管理部分、軟件開發(fā)部分、軟件的驗證與確認(rèn)部分分類。

表1 數(shù)字化儀系統(tǒng)軟件相關(guān)標(biāo)準(zhǔn)的層次Table 1 Division levels of software standards for the digital instrumentation and control system

3 構(gòu)建核安全級數(shù)字化儀控系統(tǒng)軟件定量評估模型

基于上述分析，作者歸納出影響核安全級軟件可靠性的特征部分要求能夠區(qū)別開軟件與其環(huán)境之間關(guān)系（實際問題和測試）的特征和軟件本身的特征，并建立核安全級數(shù)字化儀控系統(tǒng)軟件可靠性貝葉斯綜合評估模型（圖3）和13個子模型［8］。綜合模型中軟件的特征包括研發(fā)機構(gòu)、研發(fā)過程、產(chǎn)品質(zhì)量和解決方案節(jié)點。核安全級軟件可靠性從根本上受到研發(fā)機構(gòu)節(jié)點和實際問題及節(jié)點的影響。其中實際問題節(jié)點是系統(tǒng)需要開發(fā)和測量的；研發(fā)機構(gòu)的特征會影響研發(fā)過程節(jié)點；解決方案和產(chǎn)品質(zhì)量均受到實際問題和研發(fā)過程的影響；而測試部分受到研發(fā)機構(gòu)的影響（即研發(fā)機構(gòu)是否做好充足的準(zhǔn)備進行測試分析），以及解決方案的影響。

綜合評估模型的每個節(jié)點可分解成中間節(jié)點和基礎(chǔ)節(jié)點并建立子模型，其中“研發(fā)機構(gòu)”節(jié)點下包括軟件項目管理計劃評估；“研發(fā)過程”節(jié)點下包括軟件需求規(guī)格說明書評估、軟件需求安全分析評估、軟件設(shè)計說明書評估、軟件開發(fā)計劃評估、代碼實施安全分析評估、軟件集成計劃評估、軟件安裝計劃評估、軟件維護計劃評估；“解決方案”節(jié)點下包括軟件結(jié)構(gòu)管理計劃評估；“測試”節(jié)點下有軟件驗證及確認(rèn)計劃評估；“產(chǎn)品質(zhì)量”節(jié)點下有軟件質(zhì)量保證計劃評估和軟件安全計劃評估。

圖2 安全級數(shù)字化儀控系統(tǒng)軟件遵循標(biāo)準(zhǔn)模型Fig.2 Levels of China＇s software standard for nuclear safety class digital instrumentation and control system

圖3 核安全級數(shù)字化儀控系統(tǒng)軟件可靠性貝葉斯綜合評估模型Fig.3 The evaluation model of the software reliability in nuclear safety class system

其中“軟件項目管理計劃評估”子模型如圖4所示，并可通過子指標(biāo)進行評估，軟件項目管理計劃主要是要對整個項目進行監(jiān)督、控制、報告和評估。在計劃中強調(diào)了組織問題，特別是過程模型、組織結(jié)構(gòu)、邊界條件、接口和項目責(zé)任的問題［9］；描述了會影響安全性的管理和技術(shù)相關(guān)的程序問題。

為了實現(xiàn)對核安全級儀控系統(tǒng)軟件可靠性進行量化評估，作者結(jié)合相關(guān)電工委員會及電氣和電子工程師協(xié)會標(biāo)準(zhǔn)對子模型的各個指標(biāo)分解成基礎(chǔ)節(jié)點，基礎(chǔ)節(jié)點以可用是或否回答的問題形式設(shè)置，以便設(shè)置調(diào)研問卷，專家組進行打分。以軟件項目管理計劃中的子指標(biāo)A“軟件開發(fā)機構(gòu)的組織范圍和接口問題”進行分析。在網(wǎng)絡(luò)中有3個影響因素：a開發(fā)機構(gòu)的范圍是否被很好定義；b報告渠道是否清晰；c軟件開發(fā)機構(gòu)與評審者是否有正式的溝通渠道。彼此相互獨立。為確保模型的完善，設(shè)置基礎(chǔ)節(jié)點時盡量保證各個提問之間的獨立性，以免給專家造成疑惑。

圖4 軟件項目管理計劃評估Fig.4 The software evaluation of management program

4 節(jié)點概率表定義

在模型進行定量評估時，為了克服主觀性，邀請對該軟件開發(fā)項目有經(jīng)驗的專家就基礎(chǔ)節(jié)點進行評估。根據(jù)不同特征方面邀請不同方面有經(jīng)驗的專家，大致可分3類：與標(biāo)準(zhǔn)本身有關(guān)的專家、與標(biāo)準(zhǔn)開發(fā)有關(guān)的專家、與核安全級儀控系統(tǒng)評估有關(guān)的專家。通過專家組頭腦風(fēng)暴的形式給出網(wǎng)絡(luò)中各指標(biāo)的先驗概率和條件概率表，如果遇到概率難以給出時，使用專家判斷工具和專家判斷技術(shù)。一般情況下專家組對于每一個節(jié)點應(yīng)給出2種類型的條件概率：其一是特征為優(yōu)，因素為差的概率；另一種是特征為差，因素為優(yōu)的概率。以某公司的核安全儀控系統(tǒng)軟件為例，通過貝葉斯方法計算子指標(biāo)A“軟件開發(fā)機構(gòu)的組織范圍和接口問題”中每一個中間節(jié)點及目標(biāo)節(jié)點的概率得到先驗概率和條件概率表格（表2）。

表2 組織范圍和接口問題的先驗概率和條件概率Table 2 Conditional probability of the structural scope and interface issues

可通過該模型對網(wǎng)絡(luò)的可靠性進行預(yù)測推理。當(dāng)事件a、b、c均處在正常工作狀態(tài)時，結(jié)合貝葉斯公式：

則事件A“組織范圍和接口問題”為可靠的概率：

因貝葉斯網(wǎng)絡(luò)關(guān)系復(fù)雜計算量大，作者建議使用Hugin工具軟件輔助計算。Hugin工具軟件是基于貝葉斯網(wǎng)絡(luò)理論的風(fēng)險預(yù)測和決策支持的工具軟件。通過Hugin軟件可得到形象化描述（圖5），同理，還可對網(wǎng)絡(luò)進行薄弱環(huán)節(jié)診斷、原因關(guān)聯(lián)推理。

圖5 織范圍和接口問題節(jié)點評估Fig.5 Evaluation of organization and interface problem

5 網(wǎng)絡(luò)敏感度驗證

貝葉斯網(wǎng)絡(luò)因子的錯誤會在敏感度總量低的網(wǎng)絡(luò)中引起較小的輸出偏差，因此，質(zhì)量高的網(wǎng)絡(luò)結(jié)構(gòu)中其因子的敏感度較低，即，敏感度在各因子間平均分布，則其總敏感度數(shù)值較小。敏感度分析常被用作對網(wǎng)絡(luò)質(zhì)量和有效性進行驗證的工具［10］。信度網(wǎng)絡(luò)中的每個參數(shù)和后驗概率之間存在函數(shù)關(guān)系。其計算公式為［11］

圖1研究了研發(fā)過程節(jié)點在測試節(jié)點影響下的敏感性，涉及到局部網(wǎng)絡(luò)里的3個節(jié)點（研發(fā)過程、測試、研發(fā)機構(gòu)）。則需研究幾點的先驗概率與之間的條件概率：

以某公司的核安全儀控系統(tǒng)軟件為例，應(yīng)用敏感度分析，驗證模型的有效性。對該軟件性能較熟悉工作人員及軟件可靠性領(lǐng)域?qū)＜覍A(chǔ)節(jié)點評估問題進行經(jīng)驗判斷，從而獲得網(wǎng)絡(luò)各因子間的影響關(guān)系，及節(jié)點的條件概率或者先驗概率。

根據(jù)敏感度計算公式可計算各模塊的敏感度分析表，綜合評估模型的敏感度分析表如表3所示，清晰而定量的給出各個節(jié)點相對目標(biāo)節(jié)點的敏感度值，表中敏感度最大值、最小值、平均值表達了一致性含義。

Hugin軟件對敏感度進行分析可以形成直觀的圖示（圖6），節(jié)點模塊的分別由色塊、條紋、布格圖案組成。左邊色塊部分表示該節(jié)點對目標(biāo)節(jié)點的敏感度最大值，中間條紋部分表示該節(jié)點對目標(biāo)節(jié)點的敏感度最小值，右邊布格部分表示該節(jié)點對目標(biāo)節(jié)點的敏感度平均值，其中每種圖案部分中的顏色色度越深表示敏感性越強。由圖分析得到，敏感性排序前三位的模塊是“研發(fā)機構(gòu)”、“實際問題”及“測試”，與計算結(jié)果一致。各模塊敏感度都低于0.1，各模塊影響不是非常顯著，所以該模型敏感度分布較平衡，模型設(shè)置比較合理。

表3 綜合評估模型敏感度分析結(jié)果Table 3 Sensitivity analysis of the evaluation model of the software reliability in nuclear safety class system

圖6 綜合評估模型敏感度分析Fig.6 Sensitivity analysis of the evaluation model of the software reliability in nuclear safety class system

敏感度分析發(fā)現(xiàn)其中“研發(fā)機構(gòu)”模塊的敏感性0.06，是所有節(jié)點中對目標(biāo)節(jié)點敏感度最大的，也就是說如果提高了研發(fā)機構(gòu)的可靠度，將對整體可靠度的影響最為顯著。所以，為保證核安全級數(shù)字化儀控系統(tǒng)軟件的可靠性，應(yīng)高度重視研發(fā)機構(gòu)，加強研發(fā)機構(gòu)的遴選及管理工作。同時，研發(fā)過程、解決方案和產(chǎn)品質(zhì)量模塊敏感度較低，說明幾個模塊對整體影響率較低，可適當(dāng)調(diào)整該節(jié)點，檢查其子節(jié)點確立過程，調(diào)查歷史數(shù)據(jù)，組織專家進行討論以去掉敏感度過低的基礎(chǔ)節(jié)點，或適當(dāng)調(diào)整權(quán)重。

6 結(jié)論

核安全法規(guī)和標(biāo)準(zhǔn)是人們在核電發(fā)展歷程中對技術(shù)和經(jīng)驗的總結(jié)。本文基于中歐核能合作項目對核安全級儀控系統(tǒng)設(shè)計的國際標(biāo)準(zhǔn)體系進行了分析，通過參考國際現(xiàn)有法規(guī)和標(biāo)準(zhǔn)歸納總結(jié)出適用于我國核安全級儀控系統(tǒng)軟件所遵循的標(biāo)準(zhǔn)體系，并建立核安全級數(shù)字化儀控系統(tǒng)軟件可靠性評估綜合模型和子模型，各核電站和監(jiān)管機構(gòu)可參考該標(biāo)準(zhǔn)體系進行核電站可靠性評估。

1）應(yīng)用貝葉斯網(wǎng)絡(luò)建模步驟建立和分析模型，該方法可從系統(tǒng)分析相關(guān)因素入手，建立并驗證貝葉斯模型。通過該模型還可實現(xiàn)對模型進行改進和完善。

2）在模型構(gòu)建和定量分析時，使用貝葉斯網(wǎng)絡(luò)方法，該方法可結(jié)合業(yè)內(nèi)專家多年的知識及經(jīng)驗積累，從管理層到?jīng)Q策層都能給出專家的判斷。作者提出通過敏感度分析評估模型構(gòu)建質(zhì)量，進而對構(gòu)建的模型進行驗證。

［1］王家勝，洪振.核電站數(shù)字化儀控系統(tǒng)改造中的幾種控制系統(tǒng)綜合應(yīng)用分析［J］.核科學(xué)與工程，2005，25（3）：163-171.WANG Jiasheng，HONG Zhen.Some digit I＆C system applies and analyses in nuclear power station＇s reconstruct［J］.Chinese Journal of Nuclear Science and Engineering，2005，25（3）：163-171.

［2］孔美榮.中國核電標(biāo)準(zhǔn)化癥結(jié)如何化解［J］.中國核工業(yè)，2007，9：9.KONG Meirong.Solution to the problems on China Nuclear Power Standards［J］.China Nuclear Industry，2007，9：9.

［3］晁冰.軟件可靠性模型分類及失效分析［D］.武漢：武漢大學(xué)，2010：6-8.CHAO Bing.Software model categorization and failure analysis［D］.Wuhan：Wuhan University，2010：6-8.

［4］GRAN B A.The use of Bayesian belief nets in safety assessment of software based systems［J］.Int J General Systems，2000，29（2）：205-229.

［5］International Electrotechnical Commission.IEC61513，Nuclear power plants-instrumentation and control system important to safety-general requirements for systems［S］.Zurich：International Electrotechnical Commission，2009.

［6］U.S.Nuclear Regulatory Commission.NUREG-0800，standard review plan for the review of safety analysis reports for nuclear power plants［S］.New York：U.S.Nuclear Regulatory Commission，2007.

［7］國家核安全局.HAD102／16，核電廠基于計算機的安全系統(tǒng)軟件［S］.北京：國家核安全局，1988.

［8］CHI M，YANG M.Research on the evaluation model of the software reliability in nuclear safety class digital instrumentation and control system［J］.Nuclear Safety and Simulation，2013，4（4）：260-271.

［9］LAWRENCE D J.Software reliability and safety in nuclear reactor protection systems［R］.Livermore：U.S.Nuclear Regulatory Commission，1993：19-21.

［10］BEDNARSKI M.Identification of sensitivities in Bayesian networks［J］.Engineering Applications of Artificial Intelligence，2004，17：334-335.

［11］COUPE V M H.Using sensitivity analysis for efficient quantification of a belief network［J］.Artificial Intelligence in Medicine，1999，17：223-247.

Software reliability model construction in nuclear safety class digital instrumentation and control system

CHI Miao1，SHI Liping1，LIU Ying2
（1.School of Economics and Management，Harbin Engineering University，Harbin 150001，China；2.College of Nuclear Science and Technology，Harbin Engineering University，Harbin 150001，China）

In this paper，the model construction method based on Modeling Steps of Bayesian Belief Network（BBN）is studied in order to quantitatively analyze the software reliability in nuclear safety class digital instrumentation and control system（D-I＆C）.Comparative analysis was performed on major international nuclear safety class D-I＆C software standard systems，and comprehensive Evaluation Models of D-I＆C Software Reliability and sub-models were constructed.Quantitative calculation and evaluation were performed for the models by Bayesian function，verifying the rationality of the models by sensitivity analysis on the nodes in the network.In the application of the BBN method，the relations of elements in a system are analyzed in combination with the qualitative judgment made by professionals and experts，and the models for a complicated system were constructed.As a result，it is concluded that the indefinite elements in the network can be predicted and verified by qualitative and quantitative methods.

nuclear power plant；safety class；digital instrumentation and control system；software reliability；nuclear safety standards；quantitative analysis

10.3969／j.issn.1006-7043.201407006

http：／／www.cnki.net／kcms／detail／23.1390.U.20141204.1525.004.html

X923

A

1006-7043（2014）12-1570-05

2014-07-03.網(wǎng)絡(luò)出版時間：2014-12-04.

歐盟資助項目（J154213001）.

遲淼（1980-），女，助理研究員，博士；史麗萍（1960-），女，教授，博士.

遲淼，E-mail：chimiao＠hrbeu.edu.cn.