核安全級DI&C系統平臺的安全性和可靠性分析方法的探索

北京廣利核系統工程有限公司 秦宇，張亞棟

環境保護核與輻射安全中心 尹寶娟

1 引言

核安全級數字化儀控系統（DI&C）的質量要求越來越高，并越來越多的依賴于軟件，因此數字化系統及其軟件的安全性和可靠性研究工作越來越重要。同時，隨著核電站應用需求的多樣化，核安全級DI&C系統平臺的應用越來越廣泛。

由于DI&C系統平臺的安全性和可靠性分析缺乏相應的指導，而大量的調查和研究都是針對DI&C系統的。因此，本文旨在利用DI&C系統的安全性和可靠性分析方法建立DI&C系統平臺的安全性和可靠性分析體系。

2 核安全級DI&C系統平臺介紹

核安全級DI&C系統平臺是一個與核電站的特定應用細節無關的設備組，該設備組被廣泛應用于市場，實現工業的自動化任務[1]。

DI&C系統平臺和DI&C系統的比較如下：

（1) DI&C系統平臺沒有確定的安全性和可靠性需求，需求是從典型工程應用中提取而來的；DI&C系統的需求來自于核電廠的特定要求。當前者應用于后者的用途時，需要進行適用性確認，并根據確認結果進行補充安全性和可靠性分析。

（2) 兩者都是核電廠安全保護系統的范疇，都由基于計算機系統的硬件和軟件組成，在應用中實現規定的安全功能；

（3) 依據的主要標準相同，對于特殊的DI&C系統可能有其特定的標準。

（4) 分析方法和過程基本相同，都可以采用安全性分析與可靠性分析相結合的方法。

由以上比較內容可以看出，DI&C系統平臺和DI&C系統的主要不同點是上述第（1）點，因此，除了需求分析之外，兩者的安全性和可靠性分析可以采用相同的方法。

3 核安全級DI&C系統平臺的安全性和可靠性分析

3.1 概述

近幾十年來，美國核管會（NRC）、其他安全關鍵領域的企業和組織致力于核安全級DI&C系統的安全性和可靠性的研究。同時國內外各組織各自制定了相應的法規、標準和指南，并不斷進行更新。相關的法規和標準有NRC文件、IEEE、IEC、IAEA、HAF、HAD、GB等。本文主要根據NRC和IEEE的要求，并結合DI&C系統平臺的特性和專業人員的經驗，選擇合適的分析方法。

系統和硬件采用分析、現場經驗和測試的綜合分析方法[2-4]，軟件的安全性和可靠性難以完全定量，主要通過定性分析、測試和可靠性度量來實現[5-6]。

分析工作的前期，應建立系統、硬件和軟件的失效模式庫，作為分析的參考或依據。建立失效模式庫的一般要求如下：

（1）應參考相似系統的分析或運行記錄、專家經驗、標準、技術資料等，建立通用失效模式庫；

（2）隨著工作的深入，應根據每個階段的輸出結果，更新失效模式庫，最終形成產品的失效模式庫；

（3）產品失效模式庫的最終確定和使用需經過分析小組或相關組織的一致認可。

3.2 概念階段

系統平臺的概要設計階段主要進行安全性和可靠性的需求分析和需求分配。

3.2.1 需求分析

需求分析在系統需求階段進行，并且隨著設計的修改在生命周期中隨時更新。在系統分析前（需求階段），應進行初步危險分析（PHA）。

PHA屬于定性分析，通過識別系統的潛在危險及其風險，識別并評價系統應對潛在危險的角色，或控制或減緩危險；PHA對系統整體的安全性進行分析和評價，并提出安全關鍵需求或建議。

對于軟件安全分析人員來說，可在概念階段單獨進行軟件在系統層面的PHA分析[7-8]。通過識別與軟件相關的系統的潛在危險，識別并評價軟件應對潛在危險的角色，或控制或減緩危險，并提出軟件安全關鍵需求或建議。

PHA是執行其他安全分析的前提條件，PHA的結果應作為后續各階段的危險分析的輸入或參考。如果設計有重大變更，則需要對PHA進行更新。

PHA考慮了標準中的要求、典型工程應用要求、設計資料、經驗、相似系統的需求文件或PHA報告等內容。PHA可提供下述信息：

（1）為制定安全性和可靠性工作計劃提供信息；

（2）確定進行安全性和可靠性試驗的范圍；

（3）危險和風險等級較高的關鍵需求項；

（4）災難性的和嚴重的失效，為設計階段的FTA和FMEDA分析提供參考依據；

（5）PHA足夠充分的話，不僅可以獲得完整的系統的安全性和可靠性需求，還可以獲得部分的甚至完整的硬件和軟件的需求。

定量需求需確定安全性和可靠性指標，如表1所示[6，9，10]。

表1 安全性和可靠性參數集

3.2.2 需求分配

在系統平臺的概要設計階段，進行需求的分配。如果無法達到需求，應更改需求，并重新進行需求分析和分配。

定性的需求分配過程為：建立系統的功能框圖，然后根據3.2.1節獲得的需求分析報告、設計資料和相關經驗將需求分配至子系統、硬件、軟件和工具中，最后通過FMEDA和FTA綜合分析法進行危險分析并識別關鍵需求項。

FMEDA適用于具有高診斷性能的系統或硬件，但是無法表達復雜的邏輯關系，因此選用FMEDA為主，FTA為輔的分析方法，如圖1所示。

圖1 FMEDA和FTA綜合分析法

定量指標的分配應用Markov和FTA綜合分析法，通過建立系統的安全性和可靠性模型，估算出A、R、MTTF、PFD、PFS等參數。若不符合要求，應進行需求重分配分析。當軟件的失效模式和失效率充分時，將軟件的失效考慮進定量分析模型中；否則，模型中不考慮軟件失效。

Markov可用于可降級的容錯系統，能夠表達系統的多狀態轉變過程。然而Markov模型的復雜性和較長的計算時間限制了它的使用[11]。FTA是Markov的一個補償模型。使用Markov模型中的各狀態作為FTA模型的頂事件，展開該故障樹，并計算頂事件的失效率，將計算結果代入到Markov模型中的各狀態中，最終計算出系統平臺的安全性和可靠性參數。

系統的Markov和FTA綜合分析法如圖2所示。

圖2 Markov和FTA綜合分析法

3.3 需求階段

在軟/硬件的需求階段，首先進行危險分析，以便確定可能危及安全功能的任何特定風險，并指出需要更改或附加的需求以減緩危險的影響。

硬件采用FTA和FMEDA綜合分析法，具體內容參見3.2.2的圖1。分析的結果將輸入到3.2.2中的系統平臺的Markov和FTA綜合分析模型中，以便進行后續的安全性和可靠性參數計算。

軟件的失效機理和硬件不同，因此采用HAZOP分析[7，12]。HAZOP分析屬于定性分析，HAZOP分析軟件功能框圖或數據流圖中可能存在的偏差、原因、影響及安全措施等。首先應根據3.1中的失效模式庫的建立要求，建立軟件的失效模式庫。軟件的失效模式用偏差來表示，即屬性和引導詞。DFD和HAZOP屬性-引導詞的示例見圖3和表2。

圖3 數據路/控制流圖（CFD/DFD）示意圖

表2 CFD/DFD的HAZOP屬性-引導詞示例

3.4 設計階段

在軟/硬件的設計階段，首先應進行危險分析，確保設計滿足規定的安全功能，并且不引入其它新的危險。

硬件的分析方法和3.3中需求階段的方法相同。

軟件的HAZOP分析和需求階段類似，不同的是設計階段用功能框圖、控制流圖、函數關系圖或狀態轉換圖來表達。根據不同的分析對象，選用不同的屬性和關鍵詞。

3.5 實現階段

在軟/硬件的實現階段中，應進行危險分析，確保實現滿足規定的安全功能，并且不引入其它新的危險。

硬件的分析方法和3.3中需求階段的方法相同。

軟件的分析主要是依據NUREG6463進行代碼評估[13]。

應記錄該階段中軟/硬件的安全性和可靠性測試過程中所產生的差錯、故障或失效數據，以便進行相應的安全性和可靠性分析或度量。

3.6 測試階段

在測試階段，應用FMEDA進行危險分析，驗證測試儀器沒有引入新的危險。

記錄安全功能測試、可靠性增長測試和可靠性驗證測試過程中的失效數據，并進行安全性和可靠性參數的計算。計算模型和需求分配分析中使用的模型相同。

最后基于分析、測試和運行經驗的綜合分析進行安全性和可靠性評估，評估結果顯示是否滿足用戶的要求以及滿足要求的程度。如果不滿足要求，需對系統進行修改，并重新進行分析和評估。

3.7 數據收集

第3.1節提到，應在分析之前建立失效模式庫，并在設計、分析、測試和運行過程中記錄相關的故障、錯誤和失效。收集的數據應真實、完整和連續[14]。

系統和硬件的失效數據較完善，歸結于系統和硬件可靠性技術的相對成熟，并收集了實際運行中大量的失效數據。系統和硬件的失效數據包括：類型、任務描述、時間歷程、故障情況和維修信息等。

軟件的失效數據較少，并且軟件的失效主要是人為的設計錯誤造成的，在每個項目中失效數據都是不同的，因此缺乏足夠的統計特性。具有足夠統計特性的數據需要通過長時間的進行大量信息的收集來獲得。軟件的數據收集需根據選用的度量參數有針對性的進行分析和測試，并記錄相關的數據，包括執行時間、工程數據、人員和時間投入、部件數據、異常數據及其修正等。

數據收集程序：

（1）明確數據收集的目的以及具體需要收集的數據條目；

（2）計劃數據收集計劃；

（3）應對收集人員進行數據收集要求和工具使用的培訓；

（4）應執行試運行，過程中解決所有運行的問題以及對數據收集計劃的誤解；

（5）利用取得的數據預計可靠性，可靠性預計應按照一定的時間間隔有規律的經常進行；

（6）及時反饋，對數據收集過程中發現的失效情況應盡早反饋以便盡早進行糾正。

3.8 DI&C系統平臺應用于以確定對象為目標的DI&C系統的要求

由3.1節可知，安全級DI&C系統平臺和以確定對象為目標的DI&C系統的安全性和可靠性分析的唯一區別是需求分析。因此，當前者的需求分析完全符合后者的需求時，兩者之間的差異可消除。要消除這一差異，需要具備以下條件：

（1）需求分析小組具有豐富的DI&C系統平臺開發、試驗和運行相關的經驗，并且熟悉相關的法規、標準和指南，以確保DI&C系統平臺能夠具有合理的、完整的典型工程應用要求；

（2）建立完整的安全性和可靠性分析的體系和方法，以確保能夠實現DI&C系統平臺的安全性和可靠性要求；

（3）獲得豐富的DI&C系統平臺相關的歷史數據，包括運行狀態記錄、失效或故障記錄、維修記錄等，以確保安全性和可靠性分析工作的順利開展及其有效性；

（4）當DI&C系統平臺應用于以確定對象為目標的應用時，應對DI&C系統平臺進行適用性確認。必要的話，應根據適用性確認結果，進行補充安全性和可靠性分析。

4 結語

本文通過比較核安全級DI&C系統平臺和DI&C系統，指出兩者之間的主要不同是前者需要進行需求分析，除此之外，兩者可以采用相同的安全性和可靠性分析方法。因此作者根據現有的核安全級DI&C系統的安全性和可靠性分析方法建立了核安全級DI&C系統平臺的安全性和可靠性分析體系，包括需求分析。該分析體系主要包括：

（1）系統采用分析、現場經驗和測試的綜合分析方法，其中軟件的安全性和可靠性通過定性分析、測試和可靠性度量來實現。

（2）對不同的生命周期階段，采用不同的分析方法：

系統概要設計階段：采用PHA分析、FMEDA/FTA綜合分析和Markov/FTA綜合分析；

軟/硬件需求階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件采用HAZOP分析；

軟/硬件設計階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件采用HAZOP分析；

軟/硬件實現階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件根據NUREG6463進行代碼評估；

測試階段：安全性/可靠性參數計算和評估。

（3）介紹了安全性和可靠性數據收集方法以確保分析的科學性和有效性。

（4）提出了DI&C系統平臺應用于以確定對象為目標的應用系統時的限制要求。

上述分析方法為核安全級DI&C系統平臺的安全性和可靠性分析工作提供了技術支持，并且已部分地應用于核安全級儀控平臺Firmsys?的分析工作中，提高了工作的完整性和有效性。

[1] IEC Std. 60880-2009: Nuclear Power Plants – Instrumentation and Control System Important to Safety Software Aspects for Computer-based Systems Performing Category A Functions， International Electrotechnical Commission， Switzerland.

[2] National Research Council: Digital Instrumentation and Control Systems in Nuclear Power Plants—Safety and Reliability Issues, National Academy Press,Washington, D.C., May 1997.

[3] IEEE Std. 7-4.3.2-2010: Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations， IEEE-SA Standards Board.

[4] RG 1.152-2011: Criteria for use of Computers in Safety Systems of Nuclear Power Plants， U.S. Nuclear Regulatory Commission.

[5] IEC 61513-2011: International Electrotechnical Commission, Switzerland.[6] IEEE 982.1-2005: Dictionary of Measures of the Software Aspects of Dependability, IEEE-SA Standards Board.

[7] NUREG/CR-6430 1996: Software Safety Hazard Analysis.

[8] NASA-GB-8719.13 2004: NASA Software Safety Guidebook

[9] IEC 61508-3 2010: Functional safety of electrical/electronic/programmable electronic safety-related systems –Part 3: Software requirements.

[10] William M. Goble: Control Systems Safety Evaluation and Reliability, ISA,January 2010: 1-177.

[11] Michael R. Lyu: Handbook of Software Reliability Engineering IEEE Computer Society Press, April 1996, 229-231.

[12] McDermid, John A., M. Nicholson, D. J. Pumfrey and P. Fenelon:Experience with the Application of HAZOP to Computer-Based Systems.Computer Assurance, June 1995: 37-48.

[13] Dong-Yung Lee. Development Experiences of a Digital Safety System in Korea. IAEA Technical Meeting, Nov, 2008.

[14] 秦宇.現場設備的可靠性數據收集[J]. 石油化工設備, 2012, 41(1):21-24.