核安全級DI&C系統(tǒng)平臺的安全性和可靠性分析方法的探索

北京廣利核系統(tǒng)工程有限公司 秦宇，張亞棟

環(huán)境保護核與輻射安全中心 尹寶娟

1 引言

核安全級數(shù)字化儀控系統(tǒng)（DI&C）的質(zhì)量要求越來越高，并越來越多的依賴于軟件，因此數(shù)字化系統(tǒng)及其軟件的安全性和可靠性研究工作越來越重要。同時，隨著核電站應用需求的多樣化，核安全級DI&C系統(tǒng)平臺的應用越來越廣泛。

由于DI&C系統(tǒng)平臺的安全性和可靠性分析缺乏相應的指導，而大量的調(diào)查和研究都是針對DI&C系統(tǒng)的。因此，本文旨在利用DI&C系統(tǒng)的安全性和可靠性分析方法建立DI&C系統(tǒng)平臺的安全性和可靠性分析體系。

2 核安全級DI&C系統(tǒng)平臺介紹

核安全級DI&C系統(tǒng)平臺是一個與核電站的特定應用細節(jié)無關(guān)的設備組，該設備組被廣泛應用于市場，實現(xiàn)工業(yè)的自動化任務[1]。

DI&C系統(tǒng)平臺和DI&C系統(tǒng)的比較如下：

（1) DI&C系統(tǒng)平臺沒有確定的安全性和可靠性需求，需求是從典型工程應用中提取而來的；DI&C系統(tǒng)的需求來自于核電廠的特定要求。當前者應用于后者的用途時，需要進行適用性確認，并根據(jù)確認結(jié)果進行補充安全性和可靠性分析。

（2) 兩者都是核電廠安全保護系統(tǒng)的范疇，都由基于計算機系統(tǒng)的硬件和軟件組成，在應用中實現(xiàn)規(guī)定的安全功能；

（3) 依據(jù)的主要標準相同，對于特殊的DI&C系統(tǒng)可能有其特定的標準。

（4) 分析方法和過程基本相同，都可以采用安全性分析與可靠性分析相結(jié)合的方法。

由以上比較內(nèi)容可以看出，DI&C系統(tǒng)平臺和DI&C系統(tǒng)的主要不同點是上述第（1）點，因此，除了需求分析之外，兩者的安全性和可靠性分析可以采用相同的方法。

3 核安全級DI&C系統(tǒng)平臺的安全性和可靠性分析

3.1 概述

近幾十年來，美國核管會（NRC）、其他安全關(guān)鍵領(lǐng)域的企業(yè)和組織致力于核安全級DI&C系統(tǒng)的安全性和可靠性的研究。同時國內(nèi)外各組織各自制定了相應的法規(guī)、標準和指南，并不斷進行更新。相關(guān)的法規(guī)和標準有NRC文件、IEEE、IEC、IAEA、HAF、HAD、GB等。本文主要根據(jù)NRC和IEEE的要求，并結(jié)合DI&C系統(tǒng)平臺的特性和專業(yè)人員的經(jīng)驗，選擇合適的分析方法。

系統(tǒng)和硬件采用分析、現(xiàn)場經(jīng)驗和測試的綜合分析方法[2-4]，軟件的安全性和可靠性難以完全定量，主要通過定性分析、測試和可靠性度量來實現(xiàn)[5-6]。

分析工作的前期，應建立系統(tǒng)、硬件和軟件的失效模式庫，作為分析的參考或依據(jù)。建立失效模式庫的一般要求如下：

（1）應參考相似系統(tǒng)的分析或運行記錄、專家經(jīng)驗、標準、技術(shù)資料等，建立通用失效模式庫；

（2）隨著工作的深入，應根據(jù)每個階段的輸出結(jié)果，更新失效模式庫，最終形成產(chǎn)品的失效模式庫；

（3）產(chǎn)品失效模式庫的最終確定和使用需經(jīng)過分析小組或相關(guān)組織的一致認可。

3.2 概念階段

系統(tǒng)平臺的概要設計階段主要進行安全性和可靠性的需求分析和需求分配。

3.2.1 需求分析

需求分析在系統(tǒng)需求階段進行，并且隨著設計的修改在生命周期中隨時更新。在系統(tǒng)分析前（需求階段），應進行初步危險分析（PHA）。

PHA屬于定性分析，通過識別系統(tǒng)的潛在危險及其風險，識別并評價系統(tǒng)應對潛在危險的角色，或控制或減緩危險；PHA對系統(tǒng)整體的安全性進行分析和評價，并提出安全關(guān)鍵需求或建議。

對于軟件安全分析人員來說，可在概念階段單獨進行軟件在系統(tǒng)層面的PHA分析[7-8]。通過識別與軟件相關(guān)的系統(tǒng)的潛在危險，識別并評價軟件應對潛在危險的角色，或控制或減緩危險，并提出軟件安全關(guān)鍵需求或建議。

PHA是執(zhí)行其他安全分析的前提條件，PHA的結(jié)果應作為后續(xù)各階段的危險分析的輸入或參考。如果設計有重大變更，則需要對PHA進行更新。

PHA考慮了標準中的要求、典型工程應用要求、設計資料、經(jīng)驗、相似系統(tǒng)的需求文件或PHA報告等內(nèi)容。PHA可提供下述信息：

（1）為制定安全性和可靠性工作計劃提供信息；

（2）確定進行安全性和可靠性試驗的范圍；

（3）危險和風險等級較高的關(guān)鍵需求項；

（4）災難性的和嚴重的失效，為設計階段的FTA和FMEDA分析提供參考依據(jù)；

（5）PHA足夠充分的話，不僅可以獲得完整的系統(tǒng)的安全性和可靠性需求，還可以獲得部分的甚至完整的硬件和軟件的需求。

定量需求需確定安全性和可靠性指標，如表1所示[6，9，10]。

表1 安全性和可靠性參數(shù)集

3.2.2 需求分配

在系統(tǒng)平臺的概要設計階段，進行需求的分配。如果無法達到需求，應更改需求，并重新進行需求分析和分配。

定性的需求分配過程為：建立系統(tǒng)的功能框圖，然后根據(jù)3.2.1節(jié)獲得的需求分析報告、設計資料和相關(guān)經(jīng)驗將需求分配至子系統(tǒng)、硬件、軟件和工具中，最后通過FMEDA和FTA綜合分析法進行危險分析并識別關(guān)鍵需求項。

FMEDA適用于具有高診斷性能的系統(tǒng)或硬件，但是無法表達復雜的邏輯關(guān)系，因此選用FMEDA為主，F(xiàn)TA為輔的分析方法，如圖1所示。

圖1 FMEDA和FTA綜合分析法

定量指標的分配應用Markov和FTA綜合分析法，通過建立系統(tǒng)的安全性和可靠性模型，估算出A、R、MTTF、PFD、PFS等參數(shù)。若不符合要求，應進行需求重分配分析。當軟件的失效模式和失效率充分時，將軟件的失效考慮進定量分析模型中；否則，模型中不考慮軟件失效。

Markov可用于可降級的容錯系統(tǒng)，能夠表達系統(tǒng)的多狀態(tài)轉(zhuǎn)變過程。然而Markov模型的復雜性和較長的計算時間限制了它的使用[11]。FTA是Markov的一個補償模型。使用Markov模型中的各狀態(tài)作為FTA模型的頂事件，展開該故障樹，并計算頂事件的失效率，將計算結(jié)果代入到Markov模型中的各狀態(tài)中，最終計算出系統(tǒng)平臺的安全性和可靠性參數(shù)。

系統(tǒng)的Markov和FTA綜合分析法如圖2所示。

圖2 Markov和FTA綜合分析法

3.3 需求階段

在軟/硬件的需求階段，首先進行危險分析，以便確定可能危及安全功能的任何特定風險，并指出需要更改或附加的需求以減緩危險的影響。

硬件采用FTA和FMEDA綜合分析法，具體內(nèi)容參見3.2.2的圖1。分析的結(jié)果將輸入到3.2.2中的系統(tǒng)平臺的Markov和FTA綜合分析模型中，以便進行后續(xù)的安全性和可靠性參數(shù)計算。

軟件的失效機理和硬件不同，因此采用HAZOP分析[7，12]。HAZOP分析屬于定性分析，HAZOP分析軟件功能框圖或數(shù)據(jù)流圖中可能存在的偏差、原因、影響及安全措施等。首先應根據(jù)3.1中的失效模式庫的建立要求，建立軟件的失效模式庫。軟件的失效模式用偏差來表示，即屬性和引導詞。DFD和HAZOP屬性-引導詞的示例見圖3和表2。

圖3 數(shù)據(jù)路/控制流圖（CFD/DFD）示意圖

表2 CFD/DFD的HAZOP屬性-引導詞示例

3.4 設計階段

在軟/硬件的設計階段，首先應進行危險分析，確保設計滿足規(guī)定的安全功能，并且不引入其它新的危險。

硬件的分析方法和3.3中需求階段的方法相同。

軟件的HAZOP分析和需求階段類似，不同的是設計階段用功能框圖、控制流圖、函數(shù)關(guān)系圖或狀態(tài)轉(zhuǎn)換圖來表達。根據(jù)不同的分析對象，選用不同的屬性和關(guān)鍵詞。

3.5 實現(xiàn)階段

在軟/硬件的實現(xiàn)階段中，應進行危險分析，確保實現(xiàn)滿足規(guī)定的安全功能，并且不引入其它新的危險。

硬件的分析方法和3.3中需求階段的方法相同。

軟件的分析主要是依據(jù)NUREG6463進行代碼評估[13]。

應記錄該階段中軟/硬件的安全性和可靠性測試過程中所產(chǎn)生的差錯、故障或失效數(shù)據(jù)，以便進行相應的安全性和可靠性分析或度量。

3.6 測試階段

在測試階段，應用FMEDA進行危險分析，驗證測試儀器沒有引入新的危險。

記錄安全功能測試、可靠性增長測試和可靠性驗證測試過程中的失效數(shù)據(jù)，并進行安全性和可靠性參數(shù)的計算。計算模型和需求分配分析中使用的模型相同。

最后基于分析、測試和運行經(jīng)驗的綜合分析進行安全性和可靠性評估，評估結(jié)果顯示是否滿足用戶的要求以及滿足要求的程度。如果不滿足要求，需對系統(tǒng)進行修改，并重新進行分析和評估。

3.7 數(shù)據(jù)收集

第3.1節(jié)提到，應在分析之前建立失效模式庫，并在設計、分析、測試和運行過程中記錄相關(guān)的故障、錯誤和失效。收集的數(shù)據(jù)應真實、完整和連續(xù)[14]。

系統(tǒng)和硬件的失效數(shù)據(jù)較完善，歸結(jié)于系統(tǒng)和硬件可靠性技術(shù)的相對成熟，并收集了實際運行中大量的失效數(shù)據(jù)。系統(tǒng)和硬件的失效數(shù)據(jù)包括：類型、任務描述、時間歷程、故障情況和維修信息等。

軟件的失效數(shù)據(jù)較少，并且軟件的失效主要是人為的設計錯誤造成的，在每個項目中失效數(shù)據(jù)都是不同的，因此缺乏足夠的統(tǒng)計特性。具有足夠統(tǒng)計特性的數(shù)據(jù)需要通過長時間的進行大量信息的收集來獲得。軟件的數(shù)據(jù)收集需根據(jù)選用的度量參數(shù)有針對性的進行分析和測試，并記錄相關(guān)的數(shù)據(jù)，包括執(zhí)行時間、工程數(shù)據(jù)、人員和時間投入、部件數(shù)據(jù)、異常數(shù)據(jù)及其修正等。

數(shù)據(jù)收集程序：

（1）明確數(shù)據(jù)收集的目的以及具體需要收集的數(shù)據(jù)條目；

（2）計劃數(shù)據(jù)收集計劃；

（3）應對收集人員進行數(shù)據(jù)收集要求和工具使用的培訓；

（4）應執(zhí)行試運行，過程中解決所有運行的問題以及對數(shù)據(jù)收集計劃的誤解；

（5）利用取得的數(shù)據(jù)預計可靠性，可靠性預計應按照一定的時間間隔有規(guī)律的經(jīng)常進行；

（6）及時反饋，對數(shù)據(jù)收集過程中發(fā)現(xiàn)的失效情況應盡早反饋以便盡早進行糾正。

3.8 DI&C系統(tǒng)平臺應用于以確定對象為目標的DI&C系統(tǒng)的要求

由3.1節(jié)可知，安全級DI&C系統(tǒng)平臺和以確定對象為目標的DI&C系統(tǒng)的安全性和可靠性分析的唯一區(qū)別是需求分析。因此，當前者的需求分析完全符合后者的需求時，兩者之間的差異可消除。要消除這一差異，需要具備以下條件：

（1）需求分析小組具有豐富的DI&C系統(tǒng)平臺開發(fā)、試驗和運行相關(guān)的經(jīng)驗，并且熟悉相關(guān)的法規(guī)、標準和指南，以確保DI&C系統(tǒng)平臺能夠具有合理的、完整的典型工程應用要求；

（2）建立完整的安全性和可靠性分析的體系和方法，以確保能夠?qū)崿F(xiàn)DI&C系統(tǒng)平臺的安全性和可靠性要求；

（3）獲得豐富的DI&C系統(tǒng)平臺相關(guān)的歷史數(shù)據(jù)，包括運行狀態(tài)記錄、失效或故障記錄、維修記錄等，以確保安全性和可靠性分析工作的順利開展及其有效性；

（4）當DI&C系統(tǒng)平臺應用于以確定對象為目標的應用時，應對DI&C系統(tǒng)平臺進行適用性確認。必要的話，應根據(jù)適用性確認結(jié)果，進行補充安全性和可靠性分析。

4 結(jié)語

本文通過比較核安全級DI&C系統(tǒng)平臺和DI&C系統(tǒng)，指出兩者之間的主要不同是前者需要進行需求分析，除此之外，兩者可以采用相同的安全性和可靠性分析方法。因此作者根據(jù)現(xiàn)有的核安全級DI&C系統(tǒng)的安全性和可靠性分析方法建立了核安全級DI&C系統(tǒng)平臺的安全性和可靠性分析體系，包括需求分析。該分析體系主要包括：

（1）系統(tǒng)采用分析、現(xiàn)場經(jīng)驗和測試的綜合分析方法，其中軟件的安全性和可靠性通過定性分析、測試和可靠性度量來實現(xiàn)。

（2）對不同的生命周期階段，采用不同的分析方法：

系統(tǒng)概要設計階段：采用PHA分析、FMEDA/FTA綜合分析和Markov/FTA綜合分析；

軟/硬件需求階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件采用HAZOP分析；

軟/硬件設計階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件采用HAZOP分析；

軟/硬件實現(xiàn)階段：硬件采用FMEDA/FTA綜合分析和Markov/FTA綜合分析，軟件根據(jù)NUREG6463進行代碼評估；

測試階段：安全性/可靠性參數(shù)計算和評估。

（3）介紹了安全性和可靠性數(shù)據(jù)收集方法以確保分析的科學性和有效性。

（4）提出了DI&C系統(tǒng)平臺應用于以確定對象為目標的應用系統(tǒng)時的限制要求。

上述分析方法為核安全級DI&C系統(tǒng)平臺的安全性和可靠性分析工作提供了技術(shù)支持，并且已部分地應用于核安全級儀控平臺Firmsys?的分析工作中，提高了工作的完整性和有效性。

[1] IEC Std. 60880-2009: Nuclear Power Plants – Instrumentation and Control System Important to Safety Software Aspects for Computer-based Systems Performing Category A Functions， International Electrotechnical Commission， Switzerland.

[2] National Research Council: Digital Instrumentation and Control Systems in Nuclear Power Plants—Safety and Reliability Issues, National Academy Press,Washington, D.C., May 1997.

[3] IEEE Std. 7-4.3.2-2010: Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations， IEEE-SA Standards Board.

[4] RG 1.152-2011: Criteria for use of Computers in Safety Systems of Nuclear Power Plants， U.S. Nuclear Regulatory Commission.

[5] IEC 61513-2011: International Electrotechnical Commission, Switzerland.[6] IEEE 982.1-2005: Dictionary of Measures of the Software Aspects of Dependability, IEEE-SA Standards Board.

[7] NUREG/CR-6430 1996: Software Safety Hazard Analysis.

[8] NASA-GB-8719.13 2004: NASA Software Safety Guidebook

[9] IEC 61508-3 2010: Functional safety of electrical/electronic/programmable electronic safety-related systems –Part 3: Software requirements.

[10] William M. Goble: Control Systems Safety Evaluation and Reliability, ISA,January 2010: 1-177.

[11] Michael R. Lyu: Handbook of Software Reliability Engineering IEEE Computer Society Press, April 1996, 229-231.

[12] McDermid, John A., M. Nicholson, D. J. Pumfrey and P. Fenelon:Experience with the Application of HAZOP to Computer-Based Systems.Computer Assurance, June 1995: 37-48.

[13] Dong-Yung Lee. Development Experiences of a Digital Safety System in Korea. IAEA Technical Meeting, Nov, 2008.

[14] 秦宇.現(xiàn)場設備的可靠性數(shù)據(jù)收集[J]. 石油化工設備, 2012, 41(1):21-24.