核安全級儀控軟件可靠性評估模型構建

遲淼，史麗萍，劉盈

（1.哈爾濱工程大學經濟管理學院，黑龍江哈爾濱150001；2.哈爾濱工程大學核科學與技術學院，黑龍江哈爾濱150001）

核安全級儀控軟件可靠性評估模型構建

遲淼1，史麗萍1，劉盈2

（1.哈爾濱工程大學經濟管理學院，黑龍江哈爾濱150001；2.哈爾濱工程大學核科學與技術學院，黑龍江哈爾濱150001）

為了對核安全級儀控系統軟件可靠性進行定量評估，研究依照貝葉斯網絡建模步驟進行模型建設的方法。對國際上幾種主要核安全級儀控系統標準體系進行對比分析，構建核安全級系統軟件可靠性評估綜合模型和子模型，使用貝葉斯公式對模型可靠性進行量化計算和評估，提出通過衡量模型各節點的敏感度驗證模型建立的合理性。實現運用貝葉斯網絡方法，通過對系統因素關系分析，結合專家定性判斷，對復雜系統進行模型構建，同時提供對系統內不確定因素進行定性與定量相結合的預測和驗證的方法。

核電廠；安全級；數字化儀控系統；軟件可靠性；核安全標準；定量評估

我國在引進美國第3代先進壓水堆核電技術AP1000的基礎上，正在著手進行具有自主知識產權的CAP1400的研發。作為核電廠的神經中樞，數字化儀控系統的性能水平與核電站的安全性和經濟性緊密相關［1］。各國還沒有制定該方面的標準體系；由于沒有針對可靠性專門的評估步驟和方法，監管機構和核電站只能借助其他復雜評估工具，而現有方法體系龐大，數據采集和計算成本高昂，較難兼顧定性和定量分析的有效結合［2］。在此背景下，2012－2015年的中歐核能開發科研合作項目“核安全級儀控系統軟件可靠性及驗證和確認技術研究”，針對核安全級數字化儀控系統軟件的可靠性和安全性評價方法進行研究。本文將重點研究核安全級儀控系統軟件可靠性評估模型建設過程及定量定性相結合的分析方法。進行系統可靠性分析的挑戰在于對不確定性預測［3］。

1 評估建模步驟

相較其他定量評估軟件可靠性的方法，貝葉斯網絡方法具有對不確定知識的表達與推理，以及對多源信息強大的處理能力等優點［4］。因此作者建議通過貝葉斯網絡方法進行研究。基于貝葉斯網絡進行核安全級軟件儀控系統可靠性評估建模的步驟如圖1所示。

圖1 貝葉斯網絡建模步驟Fig.1 The modeling steps of Bayesian belief network

1）問題定義：從本研究目的出發，對國際主要核安全級儀控系統軟件設計標準進行分析，找到定義網絡中目標節點“核安全級軟件可靠性”和非目標節點。

2）構建網絡結構：確定網絡的中間節點及基礎節點。基于定性和定量的分析技術，構建具有影響關系的有向無環圖，即貝葉斯子模型和綜合模型。

3）定義節點概率表：根據專家經驗及歷史資料，統計有影響關系的各節點的先驗概率，建立在貝葉斯網絡中各節點之間的概率表，對各節點的影響關系進行定量描述的過程。

4）驗證貝葉斯網絡：根據建立的貝葉斯網絡進行敏感度分析，驗證模型敏感度分布的合理性，用來判斷是否修改先驗概率或增刪網絡中定義的各節點，從而建立可有效工作的貝葉斯網絡模型。使用敏感度計算公式和貝葉斯分析軟件Hugin軟件2種方式分別對模型敏感度進行評價。

2 儀控系統標準層次定義

迄今，各國都沒有針對核安全級數字化儀控系統軟件的專門標準，不足以對其安全性設計進行充分指導。作者按“核安全級”、“儀控系統”、“軟件”等關鍵詞在美國核管會、國際電工委員會、美國電子和電氣工程師協會和中國國家核安全局發布標準中查找相關規定并尋找其構成規律。

研究表明，標準體系構成按照層次以法規和導則作為指導，國際電工委員會標準是在國際原子能機構的法規和導則的指導下建立的［5］。美國電子和電氣工程師協會標準是在聯邦法規和美國核管會導則的指導下建立的［6］。我國核電相關的國標、核工業行業標準是在核安全法規和導則的指導下建立的［7］。表1表示數字化儀系統軟件相關標準的劃分層次。

數字化儀控系統采用軟件技術具有特殊性，在調研相關標準后，本文建立核安全級數字化儀控系統軟件遵循標準模型（圖2），該模型縱向按照法規、導則層和標準層次對相關標準進行層次劃分，橫向按軟件的質量保證與配置管理部分、軟件開發部分、軟件的驗證與確認部分分類。

表1 數字化儀系統軟件相關標準的層次Table 1 Division levels of software standards for the digital instrumentation and control system

3 構建核安全級數字化儀控系統軟件定量評估模型

基于上述分析，作者歸納出影響核安全級軟件可靠性的特征部分要求能夠區別開軟件與其環境之間關系（實際問題和測試）的特征和軟件本身的特征，并建立核安全級數字化儀控系統軟件可靠性貝葉斯綜合評估模型（圖3）和13個子模型［8］。綜合模型中軟件的特征包括研發機構、研發過程、產品質量和解決方案節點。核安全級軟件可靠性從根本上受到研發機構節點和實際問題及節點的影響。其中實際問題節點是系統需要開發和測量的；研發機構的特征會影響研發過程節點；解決方案和產品質量均受到實際問題和研發過程的影響；而測試部分受到研發機構的影響（即研發機構是否做好充足的準備進行測試分析），以及解決方案的影響。

綜合評估模型的每個節點可分解成中間節點和基礎節點并建立子模型，其中“研發機構”節點下包括軟件項目管理計劃評估；“研發過程”節點下包括軟件需求規格說明書評估、軟件需求安全分析評估、軟件設計說明書評估、軟件開發計劃評估、代碼實施安全分析評估、軟件集成計劃評估、軟件安裝計劃評估、軟件維護計劃評估；“解決方案”節點下包括軟件結構管理計劃評估；“測試”節點下有軟件驗證及確認計劃評估；“產品質量”節點下有軟件質量保證計劃評估和軟件安全計劃評估。

圖2 安全級數字化儀控系統軟件遵循標準模型Fig.2 Levels of China＇s software standard for nuclear safety class digital instrumentation and control system

圖3 核安全級數字化儀控系統軟件可靠性貝葉斯綜合評估模型Fig.3 The evaluation model of the software reliability in nuclear safety class system

其中“軟件項目管理計劃評估”子模型如圖4所示，并可通過子指標進行評估，軟件項目管理計劃主要是要對整個項目進行監督、控制、報告和評估。在計劃中強調了組織問題，特別是過程模型、組織結構、邊界條件、接口和項目責任的問題［9］；描述了會影響安全性的管理和技術相關的程序問題。

為了實現對核安全級儀控系統軟件可靠性進行量化評估，作者結合相關電工委員會及電氣和電子工程師協會標準對子模型的各個指標分解成基礎節點，基礎節點以可用是或否回答的問題形式設置，以便設置調研問卷，專家組進行打分。以軟件項目管理計劃中的子指標A“軟件開發機構的組織范圍和接口問題”進行分析。在網絡中有3個影響因素：a開發機構的范圍是否被很好定義；b報告渠道是否清晰；c軟件開發機構與評審者是否有正式的溝通渠道。彼此相互獨立。為確保模型的完善，設置基礎節點時盡量保證各個提問之間的獨立性，以免給專家造成疑惑。

圖4 軟件項目管理計劃評估Fig.4 The software evaluation of management program

4 節點概率表定義

在模型進行定量評估時，為了克服主觀性，邀請對該軟件開發項目有經驗的專家就基礎節點進行評估。根據不同特征方面邀請不同方面有經驗的專家，大致可分3類：與標準本身有關的專家、與標準開發有關的專家、與核安全級儀控系統評估有關的專家。通過專家組頭腦風暴的形式給出網絡中各指標的先驗概率和條件概率表，如果遇到概率難以給出時，使用專家判斷工具和專家判斷技術。一般情況下專家組對于每一個節點應給出2種類型的條件概率：其一是特征為優，因素為差的概率；另一種是特征為差，因素為優的概率。以某公司的核安全儀控系統軟件為例，通過貝葉斯方法計算子指標A“軟件開發機構的組織范圍和接口問題”中每一個中間節點及目標節點的概率得到先驗概率和條件概率表格（表2）。

表2 組織范圍和接口問題的先驗概率和條件概率Table 2 Conditional probability of the structural scope and interface issues

可通過該模型對網絡的可靠性進行預測推理。當事件a、b、c均處在正常工作狀態時，結合貝葉斯公式：

則事件A“組織范圍和接口問題”為可靠的概率：

因貝葉斯網絡關系復雜計算量大，作者建議使用Hugin工具軟件輔助計算。Hugin工具軟件是基于貝葉斯網絡理論的風險預測和決策支持的工具軟件。通過Hugin軟件可得到形象化描述（圖5），同理，還可對網絡進行薄弱環節診斷、原因關聯推理。

圖5 織范圍和接口問題節點評估Fig.5 Evaluation of organization and interface problem

5 網絡敏感度驗證

貝葉斯網絡因子的錯誤會在敏感度總量低的網絡中引起較小的輸出偏差，因此，質量高的網絡結構中其因子的敏感度較低，即，敏感度在各因子間平均分布，則其總敏感度數值較小。敏感度分析常被用作對網絡質量和有效性進行驗證的工具［10］。信度網絡中的每個參數和后驗概率之間存在函數關系。其計算公式為［11］

圖1研究了研發過程節點在測試節點影響下的敏感性，涉及到局部網絡里的3個節點（研發過程、測試、研發機構）。則需研究幾點的先驗概率與之間的條件概率：

以某公司的核安全儀控系統軟件為例，應用敏感度分析，驗證模型的有效性。對該軟件性能較熟悉工作人員及軟件可靠性領域專家對基礎節點評估問題進行經驗判斷，從而獲得網絡各因子間的影響關系，及節點的條件概率或者先驗概率。

根據敏感度計算公式可計算各模塊的敏感度分析表，綜合評估模型的敏感度分析表如表3所示，清晰而定量的給出各個節點相對目標節點的敏感度值，表中敏感度最大值、最小值、平均值表達了一致性含義。

Hugin軟件對敏感度進行分析可以形成直觀的圖示（圖6），節點模塊的分別由色塊、條紋、布格圖案組成。左邊色塊部分表示該節點對目標節點的敏感度最大值，中間條紋部分表示該節點對目標節點的敏感度最小值，右邊布格部分表示該節點對目標節點的敏感度平均值，其中每種圖案部分中的顏色色度越深表示敏感性越強。由圖分析得到，敏感性排序前三位的模塊是“研發機構”、“實際問題”及“測試”，與計算結果一致。各模塊敏感度都低于0.1，各模塊影響不是非常顯著，所以該模型敏感度分布較平衡，模型設置比較合理。

表3 綜合評估模型敏感度分析結果Table 3 Sensitivity analysis of the evaluation model of the software reliability in nuclear safety class system

圖6 綜合評估模型敏感度分析Fig.6 Sensitivity analysis of the evaluation model of the software reliability in nuclear safety class system

敏感度分析發現其中“研發機構”模塊的敏感性0.06，是所有節點中對目標節點敏感度最大的，也就是說如果提高了研發機構的可靠度，將對整體可靠度的影響最為顯著。所以，為保證核安全級數字化儀控系統軟件的可靠性，應高度重視研發機構，加強研發機構的遴選及管理工作。同時，研發過程、解決方案和產品質量模塊敏感度較低，說明幾個模塊對整體影響率較低，可適當調整該節點，檢查其子節點確立過程，調查歷史數據，組織專家進行討論以去掉敏感度過低的基礎節點，或適當調整權重。

6 結論

核安全法規和標準是人們在核電發展歷程中對技術和經驗的總結。本文基于中歐核能合作項目對核安全級儀控系統設計的國際標準體系進行了分析，通過參考國際現有法規和標準歸納總結出適用于我國核安全級儀控系統軟件所遵循的標準體系，并建立核安全級數字化儀控系統軟件可靠性評估綜合模型和子模型，各核電站和監管機構可參考該標準體系進行核電站可靠性評估。

1）應用貝葉斯網絡建模步驟建立和分析模型，該方法可從系統分析相關因素入手，建立并驗證貝葉斯模型。通過該模型還可實現對模型進行改進和完善。

2）在模型構建和定量分析時，使用貝葉斯網絡方法，該方法可結合業內專家多年的知識及經驗積累，從管理層到決策層都能給出專家的判斷。作者提出通過敏感度分析評估模型構建質量，進而對構建的模型進行驗證。

［1］王家勝，洪振.核電站數字化儀控系統改造中的幾種控制系統綜合應用分析［J］.核科學與工程，2005，25（3）：163-171.WANG Jiasheng，HONG Zhen.Some digit I＆C system applies and analyses in nuclear power station＇s reconstruct［J］.Chinese Journal of Nuclear Science and Engineering，2005，25（3）：163-171.

［2］孔美榮.中國核電標準化癥結如何化解［J］.中國核工業，2007，9：9.KONG Meirong.Solution to the problems on China Nuclear Power Standards［J］.China Nuclear Industry，2007，9：9.

［3］晁冰.軟件可靠性模型分類及失效分析［D］.武漢：武漢大學，2010：6-8.CHAO Bing.Software model categorization and failure analysis［D］.Wuhan：Wuhan University，2010：6-8.

［4］GRAN B A.The use of Bayesian belief nets in safety assessment of software based systems［J］.Int J General Systems，2000，29（2）：205-229.

［5］International Electrotechnical Commission.IEC61513，Nuclear power plants-instrumentation and control system important to safety-general requirements for systems［S］.Zurich：International Electrotechnical Commission，2009.

［6］U.S.Nuclear Regulatory Commission.NUREG-0800，standard review plan for the review of safety analysis reports for nuclear power plants［S］.New York：U.S.Nuclear Regulatory Commission，2007.

［7］國家核安全局.HAD102／16，核電廠基于計算機的安全系統軟件［S］.北京：國家核安全局，1988.

［8］CHI M，YANG M.Research on the evaluation model of the software reliability in nuclear safety class digital instrumentation and control system［J］.Nuclear Safety and Simulation，2013，4（4）：260-271.

［9］LAWRENCE D J.Software reliability and safety in nuclear reactor protection systems［R］.Livermore：U.S.Nuclear Regulatory Commission，1993：19-21.

［10］BEDNARSKI M.Identification of sensitivities in Bayesian networks［J］.Engineering Applications of Artificial Intelligence，2004，17：334-335.

［11］COUPE V M H.Using sensitivity analysis for efficient quantification of a belief network［J］.Artificial Intelligence in Medicine，1999，17：223-247.

Software reliability model construction in nuclear safety class digital instrumentation and control system

CHI Miao1，SHI Liping1，LIU Ying2
（1.School of Economics and Management，Harbin Engineering University，Harbin 150001，China；2.College of Nuclear Science and Technology，Harbin Engineering University，Harbin 150001，China）

In this paper，the model construction method based on Modeling Steps of Bayesian Belief Network（BBN）is studied in order to quantitatively analyze the software reliability in nuclear safety class digital instrumentation and control system（D-I＆C）.Comparative analysis was performed on major international nuclear safety class D-I＆C software standard systems，and comprehensive Evaluation Models of D-I＆C Software Reliability and sub-models were constructed.Quantitative calculation and evaluation were performed for the models by Bayesian function，verifying the rationality of the models by sensitivity analysis on the nodes in the network.In the application of the BBN method，the relations of elements in a system are analyzed in combination with the qualitative judgment made by professionals and experts，and the models for a complicated system were constructed.As a result，it is concluded that the indefinite elements in the network can be predicted and verified by qualitative and quantitative methods.

nuclear power plant；safety class；digital instrumentation and control system；software reliability；nuclear safety standards；quantitative analysis

10.3969／j.issn.1006-7043.201407006

http：／／www.cnki.net／kcms／detail／23.1390.U.20141204.1525.004.html

X923

A

1006-7043（2014）12-1570-05

2014-07-03.網絡出版時間：2014-12-04.

歐盟資助項目（J154213001）.

遲淼（1980-），女，助理研究員，博士；史麗萍（1960-），女，教授，博士.

遲淼，E-mail：chimiao＠hrbeu.edu.cn.