艾九斤，李運(yùn)堅(jiān)，李相建

（北京廣利核系統(tǒng)工程有限公司，北京100094）

0 引 言

核電廠數(shù)字控制系統(tǒng)是保障核電廠安全運(yùn)行的核心，尤其是保護(hù)控制系統(tǒng)（簡稱 “安全級”），而國內(nèi)在役和在建核電廠的保護(hù)控制系統(tǒng)均為國外引進(jìn)，這使得核電廠建造和運(yùn)行成本大幅提高，為了解決這一問題，提出了核電廠保護(hù)控制系統(tǒng)國產(chǎn)化的目標(biāo)。在保護(hù)控制系統(tǒng)國產(chǎn)化的過程中，除了對硬件的質(zhì)量嚴(yán)格要求外，還要保證軟件的安全性，為了提高軟件的安全性，需對核電廠保護(hù)控制系統(tǒng)應(yīng)用軟件開發(fā)過程中的危險(xiǎn)進(jìn)行分析。目前核電廠保護(hù)控制系統(tǒng)國產(chǎn)化才剛剛起步，還未建立對核電廠安全級應(yīng)用軟件開發(fā)過程的危險(xiǎn)分析體系。因此針對這一現(xiàn)狀，結(jié)合CPR1000（中國改進(jìn)型壓水堆核電站）項(xiàng)目的工程實(shí)踐，對核電廠安全級應(yīng)用軟件的開發(fā)過程進(jìn)行驗(yàn)證和確認(rèn)（verification ＆validation，V＆V）活動，對應(yīng)用軟件開發(fā)過程中的危險(xiǎn)進(jìn)行分析。

1 系統(tǒng)設(shè)計(jì)的危險(xiǎn)分析

在對核電廠內(nèi)執(zhí)行安全重要功能的安全級系統(tǒng)進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)，需對系統(tǒng)設(shè)計(jì)方案進(jìn)行全面的危險(xiǎn)分析以提高系統(tǒng)的預(yù)期安全性。所謂危險(xiǎn)，是指可能導(dǎo)致事故發(fā)生的一種狀態(tài)，它是發(fā)生事故的先決條件，危險(xiǎn)與事故的關(guān)系如圖1所示?？赡軐?dǎo)致事故的狀態(tài)有物質(zhì)狀態(tài)、環(huán)境狀態(tài)和人員活動狀態(tài)以及它們的組合。為了提高系統(tǒng)設(shè)計(jì)的安全性，應(yīng)分析、識別出系統(tǒng)設(shè)計(jì)方案中的危險(xiǎn)因素并對其采取必要的控制措施，使系統(tǒng)獲得最佳的整體安全性。

圖1 危險(xiǎn)與事故關(guān)系

1.1 危險(xiǎn)識別

在系統(tǒng)設(shè)計(jì)驗(yàn)證（verification1，V1）階段，通過分析標(biāo)準(zhǔn)法規(guī)以及合同技術(shù)條款等對于安全保護(hù)系統(tǒng)的基本要求，識別出系統(tǒng)設(shè)計(jì)中的潛在危險(xiǎn)。以CPR1000某項(xiàng)目為例，在V1階段，通過識別危險(xiǎn)項(xiàng)并對危險(xiǎn)因子以及危險(xiǎn)事故所產(chǎn)生的后果進(jìn)行分析，識別出系統(tǒng)設(shè)計(jì)在環(huán)境、安全性、可靠性等方面存在的潛在危險(xiǎn)。在V1階段識別出的部分危險(xiǎn)項(xiàng)，以及觸發(fā)危險(xiǎn)事故的危險(xiǎn)因子和事故的后果見表1。

1.2 危險(xiǎn)分析

在識別出危險(xiǎn)項(xiàng)后應(yīng)對引發(fā)危險(xiǎn)的危險(xiǎn)因子及危險(xiǎn)的后果進(jìn)行分析，以建立危險(xiǎn)緩解策略來減小或避免危險(xiǎn)帶來的后果。在V1階段采用基于安全保護(hù)層模型的分層危險(xiǎn)分析策略，將表1中的危險(xiǎn)項(xiàng)根據(jù)觸發(fā)危險(xiǎn)的因子和事故后果的影響程度，從安全保護(hù)層模型的固有安全層、控制和監(jiān)視層、防護(hù)層、抑制減輕層進(jìn)行分析。

表1 系統(tǒng)設(shè)計(jì)危險(xiǎn)項(xiàng)識別

（1）固有安全層：固有安全層是指通過工藝技術(shù)的選擇、設(shè)備結(jié)構(gòu)設(shè)計(jì)的考慮、操作參數(shù)的設(shè)置等因素，減輕或消除潛在的危險(xiǎn)。對于核電廠來說永遠(yuǎn)存在著發(fā)生地震的潛在危險(xiǎn)，該危險(xiǎn)發(fā)生的概率非常低，但后果卻是災(zāi)難性的。通過對固有安全層的安全級機(jī)柜進(jìn)行有效的抗震設(shè)計(jì)來緩解地震帶來的潛在危險(xiǎn)。

（2）控制和監(jiān)視層：控制和監(jiān)視層通過基本過程控制系統(tǒng)的常規(guī)控制、過程報(bào)警和操作人員的操作，將工藝過程參數(shù)控制在正常操作設(shè)定值以內(nèi)。不當(dāng)?shù)慕涌谠O(shè)計(jì)將使系統(tǒng)過分復(fù)雜化，給安全級與非安全級間的監(jiān)視、報(bào)警等信息的傳遞帶來潛在的危險(xiǎn)。通過簡化各系統(tǒng)軟件間的接口，采用高速、有效、可靠的通信方式來減小控制和監(jiān)視層的危險(xiǎn)。

（3）防護(hù)層：防護(hù)層的基本功能是試圖減少危險(xiǎn)事件發(fā)生的頻率，使工藝過程取得或保持安全狀態(tài)。在防護(hù)層中存在因特定單一事件引起的兩個(gè)或多個(gè)系統(tǒng)、部件功能失效的共因故障的潛在危險(xiǎn)。在防護(hù)層采用設(shè)備多樣性和功能多樣性設(shè)計(jì)來緩解共因故障的潛在危險(xiǎn)。

（4）抑制減輕層：抑制減輕層的作用是降低危險(xiǎn)事件發(fā)生的后果。在抑制減輕層中存在因反應(yīng)堆跳堆響應(yīng)時(shí)間超時(shí)而導(dǎo)致核安全事故的潛在危險(xiǎn)。通過嚴(yán)格驗(yàn)證的方法來確保反應(yīng)堆跳堆響應(yīng)時(shí)間滿足設(shè)計(jì)要求。

2 軟件設(shè)計(jì)的危險(xiǎn)分析

2.1 軟件需求危險(xiǎn)分析

軟件需求是系統(tǒng)需求的子集也是進(jìn)行軟件設(shè)計(jì)的基礎(chǔ)，軟件需求應(yīng)包含系統(tǒng)需求分配給軟件的各項(xiàng)約束，具體包括安全要求和潛在的故障狀態(tài)，在各種運(yùn)行模式下的功能需求和運(yùn)行要求，以及性能指標(biāo)、故障探測、安全監(jiān)測和安全防范等要求。

在軟件需求驗(yàn)證（verification2，V2）階段，為了能夠全面評估可能會涉及的危險(xiǎn)因素，采用了預(yù)先危險(xiǎn)分析法（preliminary hazard analysis，PHA）對軟件需求中的潛在危險(xiǎn)進(jìn)行分析。預(yù)先危險(xiǎn)分析法是對一個(gè)系統(tǒng)或子系統(tǒng)存在的危險(xiǎn)類別、出現(xiàn)條件及可能造成的后果進(jìn)行的一種定性分析。其目的是識別出危險(xiǎn)，鑒別危險(xiǎn)產(chǎn)生的原因及事故后果，對已識別的危險(xiǎn)進(jìn)行分級，確定安全設(shè)計(jì)準(zhǔn)則，并提出減輕或控制危險(xiǎn)的緩解策略。

2.1.1 預(yù)先危險(xiǎn)分析表

在進(jìn)行V2活動時(shí)，應(yīng)根據(jù)系統(tǒng)設(shè)計(jì)要求、用戶安全要求、安全標(biāo)準(zhǔn)法規(guī)文件和以往的實(shí)踐經(jīng)驗(yàn)，對軟件需求進(jìn)行分析和驗(yàn)證，列出需要進(jìn)行分析的危險(xiǎn)項(xiàng)或因素，并制定預(yù)先危險(xiǎn)分析表（preliminary hazard list，PHL），以確定預(yù)先危險(xiǎn)分析的待分析危險(xiǎn)項(xiàng)。在CPR1000某項(xiàng)目中，V2階段識別出的部分危險(xiǎn)見表2。

2.1.2 預(yù)先危險(xiǎn)分析

（1）安全性危險(xiǎn)分析：為了提高反應(yīng)堆控制的安全性，降低潛在的危險(xiǎn)。在軟件需求驗(yàn)證中通常從以下幾個(gè)方面對影響軟件需求的危險(xiǎn)因素進(jìn)行分析：①安全功能分級，將不同安全級別的功能分配到相應(yīng)的安全級設(shè)備中去執(zhí)行，可以避免非安全功能級別的故障影響安全級別的功能。②設(shè)備冗余設(shè)計(jì)，為了使保護(hù)系統(tǒng)滿足單一故障準(zhǔn)則，提高反應(yīng)堆的安全性?？蓪Π踩O(jiān)測通道進(jìn)行冗余設(shè)計(jì)，如在保護(hù)系統(tǒng)中廣泛采用二重，三重或四重通道。③邏輯符合設(shè)計(jì)，為了使保護(hù)系統(tǒng)的設(shè)計(jì)盡量滿足可靠性和安全性的要求，采用邏輯符合設(shè)計(jì)原則，也就是在保護(hù)系統(tǒng)動作之前必須有兩個(gè)或兩個(gè)以上的冗余信號相一致。④多樣性設(shè)計(jì)來降低共因故障的可能性。

表2 軟件需求初步危險(xiǎn)分析（PHL）

（2）防御性危險(xiǎn)分析：核電廠保護(hù)控制系統(tǒng)在發(fā)生共模故障時(shí)，存在喪失保護(hù)功能的危險(xiǎn)。為了防止共模故障帶來的危險(xiǎn)，可以采用縱深防御的設(shè)計(jì)策略?？v深防御在CPR1000項(xiàng)目安全級軟件設(shè)計(jì)中的體現(xiàn)有：①反應(yīng)堆保護(hù)系統(tǒng)有4個(gè)保護(hù)通道，每個(gè)通道彼此實(shí)現(xiàn)電氣隔離；②反應(yīng)堆保護(hù)系統(tǒng)采用雙子系統(tǒng)，兩個(gè)子系統(tǒng)彼此實(shí)現(xiàn)軟件的隔離；③將相同功能的設(shè)備邏輯分開到不同的專設(shè)驅(qū)動功能子系統(tǒng)中。

（3）故障探測危險(xiǎn)分析：如果探測設(shè)備或線路故障，存在因保護(hù)系統(tǒng)不能使反應(yīng)堆進(jìn)入到安全狀態(tài)的危險(xiǎn)。為了緩解故障探測的危險(xiǎn)，反應(yīng)堆保護(hù)系統(tǒng)進(jìn)行了以下設(shè)計(jì)：①采用四通道冗余設(shè)計(jì)；②對模擬量信號的量程、質(zhì)量位以及計(jì)算的有效性等進(jìn)行監(jiān)測；③采用降級邏輯設(shè)計(jì)，如四取二邏輯降級為三取二。

（4）可試驗(yàn)性危險(xiǎn)分析：在核電廠運(yùn)行期間對保護(hù)系統(tǒng)進(jìn)行定期試驗(yàn)，存在著參數(shù)修改、設(shè)備誤動作等人為因素帶來的危險(xiǎn)。為了緩解因定期試驗(yàn)帶來的危險(xiǎn)，設(shè)計(jì)了AT（automatic tester）系統(tǒng)來進(jìn)行定期試驗(yàn)。采用AT對保護(hù)系統(tǒng)進(jìn)行定期試驗(yàn)可以將系統(tǒng)的危險(xiǎn)累積降低到較低的水平。

2.2 軟件組態(tài)設(shè)計(jì)危險(xiǎn)分析

軟件組態(tài)設(shè)計(jì)是利用軟件組態(tài)工具和面向應(yīng)用的程序設(shè)計(jì)語言將軟件需求轉(zhuǎn)化為可實(shí)現(xiàn)的軟件設(shè)計(jì)方案的過程。在軟件組態(tài)階段可能存在著因人為因素、邏輯設(shè)計(jì)、接口方式等方面的問題而給軟件設(shè)計(jì)和運(yùn)行帶來潛在的危險(xiǎn)。為了降低組態(tài)設(shè)計(jì)中的危險(xiǎn)性，對軟件組態(tài)設(shè)計(jì)進(jìn)行驗(yàn)證，通過對組態(tài)設(shè)計(jì)過程及設(shè)計(jì)輸出結(jié)果進(jìn)行驗(yàn)證來發(fā)現(xiàn)軟件組態(tài)設(shè)計(jì)中的問題。

2.2.1 人為因素危險(xiǎn)

人對組態(tài)過程的影響主要來自于組態(tài)時(shí)的人為錯(cuò)誤，這些錯(cuò)誤突出表現(xiàn)為組態(tài)不符合組態(tài)規(guī)范。在CPR1000項(xiàng)目的軟件設(shè)計(jì)驗(yàn)證（verification3，V3）階段，對組態(tài)是否符合組態(tài)規(guī)范進(jìn)行驗(yàn)證，并對驗(yàn)證結(jié)果采用故障樹分析的方法分析人為因素給軟件組態(tài)設(shè)計(jì)帶來的潛在危險(xiǎn)。

以CPR1000某項(xiàng)目中反應(yīng)堆保護(hù)柜第二通道（reactor protection cabinet II，RPC－II）通道軟件組態(tài)為例，假設(shè)故障＝組態(tài)規(guī)范不符合，基本故障＝不符合項(xiàng)，引發(fā)事件＝人為組態(tài)錯(cuò)誤。定義故障發(fā)生率＝P，基本故障發(fā)生率＝P（A），引發(fā)事件發(fā)生率＝P（B）。根據(jù)故障樹分析模型可知當(dāng)引發(fā)事件發(fā)生時(shí)引發(fā)基本故障發(fā)生，最終導(dǎo)致故障的發(fā)生，則P＝P（A）×P（B）。為了便于分析將人為組態(tài)錯(cuò)誤發(fā)生率P（B）定為0.01。在V3階段RPC－II發(fā)現(xiàn)的不符合項(xiàng)統(tǒng)計(jì)情況見表3，故障樹分析結(jié)果見表4。

表3 V3階段RPC－II不符合項(xiàng)統(tǒng)計(jì)

表4 V2階段RPC－II故障樹分析結(jié)果

通過對表4的結(jié)果進(jìn)行分析，發(fā)現(xiàn)跳轉(zhuǎn)不符合組態(tài)規(guī)范的發(fā)生率高達(dá)28.4%，而在假定人為組態(tài)錯(cuò)誤發(fā)生率為1%時(shí)，跳轉(zhuǎn)不符合規(guī)范的故障率為0.284%，從而可見人為因素對組態(tài)的影響非常顯著。

2.2.2 邏輯符合危險(xiǎn)

軟件組態(tài)設(shè)計(jì)中最重要的是邏輯符合，同時(shí)邏輯符合也是最難達(dá)到的。因?yàn)椋壿嬙O(shè)計(jì)不只是將設(shè)計(jì)輸入的模擬圖或邏輯圖等功能圖簡單地轉(zhuǎn)化為組態(tài)圖，同時(shí)還要確保轉(zhuǎn)化中的完整性、準(zhǔn)確性、一致性，并且沒有引入非預(yù)期功能和危險(xiǎn)，從而最終實(shí)現(xiàn)工藝系統(tǒng)及安全功能的要求。在V3階段對CPR1000某項(xiàng)目進(jìn)行邏輯驗(yàn)證時(shí)，對識別出的部分危險(xiǎn)采用事件樹的分析方法，從設(shè)計(jì)輸入、工藝及安全功能要求等方面對危險(xiǎn)因素進(jìn)行分析。事件樹分析方法，常用于分析在不同防護(hù)或抑制措施生效或失效狀態(tài)下，分析危險(xiǎn)發(fā)生的概率及發(fā)生的后果。為了便于分析對初始事件和中間事件發(fā)生的概率作了假定。

（1）RSS與KIC、BUP切換組態(tài)的潛在危險(xiǎn)

在設(shè)計(jì)輸入中無運(yùn)程停堆站（remote shutdown station，RSS）與 KIC（plant computer information ＆control system，電站計(jì)算機(jī)和控制系統(tǒng)）、后備盤（backup panel，BUP）之間的切換，在組態(tài)時(shí)存在因遺漏遠(yuǎn)程控制而喪失遠(yuǎn)程控制功能的潛在危險(xiǎn)。采用事件樹分析方法對該危險(xiǎn)進(jìn)行分析，假定RSS與KIC、BUP切換組態(tài)遺漏發(fā)生的概率為0.1/次，V＆V驗(yàn)證人員成功驗(yàn)證出組態(tài)遺漏的概率為0.9/次，未成功驗(yàn)證出的概率為0.1/次，則 RSS與KIC、BUP切換組態(tài)遺漏的事件樹分析結(jié)果如圖2所示。

圖2 RSS與KIC、BUP切換危險(xiǎn)事件樹分析

（2）降級邏輯設(shè)計(jì)復(fù)雜化帶來的潛在危險(xiǎn)

在驗(yàn)證降級邏輯時(shí)，發(fā)現(xiàn)有降級邏輯組態(tài)復(fù)雜化的情況出現(xiàn)。降級邏輯組態(tài)復(fù)雜化會導(dǎo)致軟件復(fù)雜化，進(jìn)而降低系統(tǒng)的響應(yīng)速度，最終降低系統(tǒng)的可靠性。為了便于分析，假設(shè)降級邏輯復(fù)雜化設(shè)計(jì)的概率為0.1/次，導(dǎo)致軟件復(fù)雜化概率為0.9/次，軟件未復(fù)雜化概率為0.1/次，響應(yīng)時(shí)間增加的概率為0.9/次，響應(yīng)時(shí)間未增加的概率為0.1/次，則降級邏輯設(shè)計(jì)復(fù)雜化的事件樹分析結(jié)果如圖3所示。

圖3 降級邏輯設(shè)計(jì)復(fù)雜化事件樹分析

3 軟件實(shí)現(xiàn)的危險(xiǎn)分析

在CPR1000項(xiàng)目中，安全級工程應(yīng)用軟件的實(shí)現(xiàn)階段是將設(shè)計(jì)好的組態(tài)轉(zhuǎn)化為計(jì)算機(jī)能識別的機(jī)器語言，然后下裝到保護(hù)控制系統(tǒng)的主控器運(yùn)行。軟件實(shí)現(xiàn)階段是對軟件設(shè)計(jì)的檢驗(yàn)，對軟件實(shí)現(xiàn)的危險(xiǎn)分析將從以下幾個(gè)方面進(jìn)行分析。

3.1 代碼轉(zhuǎn)換的危險(xiǎn)

在CPR1000項(xiàng)目中，將應(yīng)用軟件組態(tài)圖通過組態(tài)軟件轉(zhuǎn)化為計(jì)算機(jī)代碼，由于采用軟件進(jìn)行代碼轉(zhuǎn)換，所以會存在由于編譯器、鏈接器等原因造成的轉(zhuǎn)換錯(cuò)誤等潛在危險(xiǎn)。為了降低代碼轉(zhuǎn)換帶來的潛在危險(xiǎn)，一方面需要選擇具有良好使用業(yè)績和遵循嚴(yán)格質(zhì)保過程開發(fā)的可靠編譯工具，另一方面需在軟件實(shí)現(xiàn)驗(yàn)證階段（verification4，V4）對代碼轉(zhuǎn)換進(jìn)行驗(yàn)證。驗(yàn)證的內(nèi)容包括：

（1）驗(yàn)證用于代碼轉(zhuǎn)換的工具軟件本身是否可靠，應(yīng)用業(yè)績是否可信，是否經(jīng)過權(quán)威機(jī)構(gòu)認(rèn)證，并且轉(zhuǎn)換規(guī)則和轉(zhuǎn)換過程是否符合相應(yīng)標(biāo)準(zhǔn)；

（2）對轉(zhuǎn)換后的代碼進(jìn)行審查，驗(yàn)證代碼是否具備可讀性和可追溯性，編碼方式是否滿足指定的編碼規(guī)范，是否正確實(shí)現(xiàn)了組態(tài)的功能，是否沒有引入非預(yù)期功能等。

3.2 代碼可測試性的危險(xiǎn)

代碼的可測試性是衡量代碼質(zhì)量的重要因素。除考慮是否滿足邏輯要求外，還需考慮是否具備可測試的特征，以便能快速查找出代碼中的錯(cuò)誤。

由于組態(tài)人員的風(fēng)格、習(xí)慣存在差異，加之組態(tài)工具自身還不十分完善，導(dǎo)致對相同的邏輯可能會出現(xiàn)不同風(fēng)格的組態(tài)或?qū)⒔M態(tài)復(fù)雜化，因而在將其轉(zhuǎn)換為代碼后可能會存在因代碼結(jié)構(gòu)復(fù)雜，執(zhí)行語序不一致帶來的可測性降低的潛在危險(xiǎn)。

為了減小代碼可測性的潛在危險(xiǎn)，在軟件組態(tài)設(shè)計(jì)階段應(yīng)嚴(yán)格按組態(tài)規(guī)范進(jìn)行組態(tài)設(shè)計(jì)，在滿足設(shè)計(jì)需求的前提下盡量簡化組態(tài)步驟，使其轉(zhuǎn)換為計(jì)算機(jī)代碼后具備可測試性。

4 實(shí)踐分析

在CPR1000項(xiàng)目實(shí)踐中，采用驗(yàn)證與確認(rèn)的方法，并結(jié)合安全保護(hù)層模型、預(yù)先危險(xiǎn)分析、故障樹分析和事件樹分析的方法對安全級應(yīng)用軟件的開發(fā)過程進(jìn)行危險(xiǎn)分析，分析的結(jié)果見表5。

表5 安全級應(yīng)用軟件開發(fā)過程危險(xiǎn)識別結(jié)果

5 結(jié)束語

為了提高核電廠DCS安全級應(yīng)用軟件的安全性，對安全級應(yīng)用軟件的開發(fā)過程采用驗(yàn)證和確認(rèn)的方法，從危險(xiǎn)發(fā)生的概率、產(chǎn)生的后果對危險(xiǎn)進(jìn)行分析。同時(shí)將安全保護(hù)層模型、預(yù)先危險(xiǎn)分析、故障樹和事件樹分析應(yīng)用于危險(xiǎn)分析中，對已識別的危險(xiǎn)從影響危險(xiǎn)發(fā)生概率和后果的因素進(jìn)行分析，為建立危險(xiǎn)緩解策略提供了分析依據(jù)。實(shí)踐表明，采用驗(yàn)證與確認(rèn)的方法，結(jié)合安全保護(hù)層模型、預(yù)先危險(xiǎn)分析、故障樹和事件樹分析能有效地發(fā)現(xiàn)和緩解核電廠DCS安全級應(yīng)用軟件開發(fā)過程中因環(huán)境、人因、技術(shù)實(shí)現(xiàn)等因素造成的危險(xiǎn)，從而實(shí)現(xiàn)提高核電廠DCS安全級應(yīng)用軟件安全性的目的。

［1］ZHOU Sheng，WANG Gehua.The development situation of international nuclear energy ［J］.Science and Technology Newspaper，2006，24（6）：15－17（in Chinese）. ［周勝，王革華.國際核能發(fā)展態(tài)勢 ［J］.科技導(dǎo)報(bào)，2006，24（6）：15－17.］

［2］OU－YANG Yu.Technology development situation of overseas nuclear electricity ［J］.China Nuclear Industry，2006，18（1）：23－26（in Chinese）. ［歐陽予.國外核電技術(shù)發(fā)展趨勢［J］.中國核工業(yè)，2006，18（1）：23－26.］

［3］IEEE Std 1012TM–2004.IEEE standard for software verification and validation ［S］.

［4］HAD 102/16.The safety important system of nuclear power plant based on computer ［S］（in Chinese）.［HAD 102/16.核動力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件 ［S］.］

［5］ZHANG Jianguo.The application of safety instrument system in industry ［M］.Beijing：China Electric Power Publishing Company，2010：74－93（in Chinese）. ［張建國.安全儀表系統(tǒng)在過程工業(yè)中的應(yīng)用 ［M］.北京：中國電力出版社，2010：74－93.］

［6］ZHOU Haixiang.Data communication of TXP/TXS system in Tianwan nuclear power plant ［J］.Nuclear Power Engineering，2006，27（3）：67－70（in Chinese）. ［周海翔.田灣核電廠TXP/TXS系統(tǒng)的數(shù)據(jù)通信 ［J］.核動力工程，2006，27（3）：67－70.］

［7］SHEN Guangyao.Software safety assurance framework and safety technology application ［D］.Beijing：Beijing Institute of Information and Control，2005：10－29（in Chinese）. ［申光耀.軟件安全性保障框架及安全性技術(shù)應(yīng)用 ［D］.北京：北京信息控制研究所，2005：10－29.］

［8］GB/T20438－2006.The safety function of electric，electron and programmable logic device ［S］（in Chinese）. ［GB/T20438－2006.電氣/電子/可編程電子安全相關(guān)系統(tǒng)的功能安全 ［S］.］

［9］Willianm M Goble.Control systems safety evaluation ＆reliability ［M］.BAI Yan，DONG Ling，YANG Guotian，transl.Beijing：China Electric Power Publishing Company，2008：55－99（in Chinese）.［威廉·戈布爾.控制系統(tǒng)的安全評估與可靠 ［M］.白焰，董玲，楊國田，譯.北京：中國電力出版社，2008：55－99.］

［10］CCPS，Guidelines for safe and reliable instrumented protective systems ［S］.American Institute of Chemical Engineers，2007.

［11］WANG Duozhi.A study on the research and implement about safety analysis theory based on the requirement analysis ［D］.Changsha：National University of Defense Technology，2005：29－40（in Chinese）.［王多智.基于需求分析的安全分析理論研究及實(shí)現(xiàn) ［D］.長沙：國防科學(xué)技術(shù)大學(xué)，2005：29－40.］

［12］GJB/Z 1391－2006.Failure mode and infection and harm analysis guide ［S］（in Chinese）. ［GJB/Z 1391－2006.故障模式、影響及危害性分析指南 ［S］.］

［13］LU Minyan，HAN Fengyan.The quality and reliability management for software of equipment ［M］.Beijing：National Industry Publishing Company，2006：60－89（in Chinese）.［陸民燕，韓峰巖.裝備軟件質(zhì)量和可靠性管理 ［M］.北京：國防工業(yè)出版社，2006：60－89.］

［14］ WU You－nian.Invalidation mode research ［D］.Beijing：School of Electronic Engineering，Beijing University of Aeronautics and Astronautics，2007：45－65（in Chinese）. ［吳有年.失效模式研究 ［D］.北京：北京航空航天大學(xué)，2007：45－65.］

［15］NIE Miao.Technology of failure mode and effects analysis research and software system development ［D］.Hefei：Hefei University of Technology，2007：30－60（in Chinese）. ［聶淼.FMEA技術(shù)研究與軟件系統(tǒng)發(fā)展 ［D］.合肥：合肥工業(yè)大學(xué)，2007：30－60.］