Research on Embedded Software Appraisal for Safety Level Equipment in Nuclear Power Plant

劉春磊　劉　棟　付豐年　張　甬

(中廣核工程有限公司,廣東 深圳　518124)

核電廠安全級(jí)設(shè)備嵌入式軟件鑒定研究

Research on Embedded Software Appraisal for Safety Level Equipment in Nuclear Power Plant

劉春磊劉棟付豐年張甬

(中廣核工程有限公司,廣東 深圳518124)

摘要：軟件鑒定是核電廠設(shè)備鑒定的一個(gè)重要方面，尤其是如何看待和處理安全級(jí)設(shè)備中嵌入式軟件的應(yīng)用和鑒定是核電廠建設(shè)和運(yùn)營(yíng)過(guò)程中一項(xiàng)重要的新課題。對(duì)核電廠安全級(jí)設(shè)備嵌入式軟件鑒定進(jìn)行了研究。安全級(jí)系統(tǒng)和設(shè)備的功能分類與系統(tǒng)分級(jí)是軟件鑒定的前提和基礎(chǔ)。基于計(jì)算機(jī)的系統(tǒng)需要，進(jìn)行軟件鑒定的原因是軟件缺陷屬于系統(tǒng)缺陷，因而可能引發(fā)共因故障。軟件鑒定各技術(shù)路線對(duì)嵌入式軟件鑒定的基本思路是相通的，相比較而言，IEC技術(shù)路線操作性最強(qiáng)，認(rèn)可度最高，應(yīng)用也最廣泛。

關(guān)鍵詞：核電廠安全級(jí)設(shè)備設(shè)備鑒定軟件鑒定嵌入式軟件

Abstract：Software appraisal is one of the important aspects of equipment appraisal in nuclear power plant, especially, how to treat and handle the application and appraisal for embedded software of safety level equipment is a new important task in construction and operation of nuclear power plants. The software appraisal for embedded software of safety level equipment is researched. Functional classification and system grading of the safety level system and equipment are the premise and foundation of software appraisal. The reason of requesting software appraisal for the systems based on computer is the defect of software belongs to the system defect, it may lead to common cause failures. Basic idea of various technical routes implementing software appraisal is interlinked, while in comparatively speaking, the technical route of IEC is most operable and highest acceptable, and most widely used.

Keywords：Nuclear power plantSafety level equipmentEquipment appraisalSoftware appraisalEmbedded software

0引言

核電廠安全重要儀表和控制(I&C)系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)IEC 61513指出：“系統(tǒng)質(zhì)量鑒定的過(guò)程是保證I&C系統(tǒng)在規(guī)定的環(huán)境條件下能連續(xù)滿足安全重要功能的設(shè)計(jì)基準(zhǔn)性能要求”。系統(tǒng)質(zhì)量鑒定包括兩方面：功能與環(huán)境質(zhì)量鑒定和軟件評(píng)價(jià)與評(píng)定[1]，也就是硬件鑒定和軟件鑒定。硬件鑒定實(shí)際上是傳統(tǒng)的質(zhì)量鑒定要求,人們已廣為接受；而軟件鑒定則在很長(zhǎng)一段時(shí)間不被人們所關(guān)注。自20世紀(jì)90年代以來(lái),隨著數(shù)字化技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，其影響也逐漸波及核電廠安全級(jí)設(shè)備，由此軟件鑒定的問(wèn)題日益突顯，尤其是如何看待和處理安全級(jí)設(shè)備中嵌入式軟件的應(yīng)用和鑒定已成為一個(gè)新的重要課題。本文重點(diǎn)對(duì)軟件鑒定的技術(shù)路線與標(biāo)準(zhǔn)體系、I&C系統(tǒng)的功能分類與系統(tǒng)分級(jí)、嵌入式軟件鑒定的原因及實(shí)施方法等有關(guān)問(wèn)題進(jìn)行探討。

1軟件鑒定的技術(shù)路線與標(biāo)準(zhǔn)體系

總體而言，核電廠安全重要I&C系統(tǒng)軟件鑒定的技術(shù)路線有三條：IEC技術(shù)路線、IEEE技術(shù)路線和RCC-E技術(shù)路線。各技術(shù)路線的標(biāo)準(zhǔn)體系如表1所示。

表1　軟件鑒定的技術(shù)路線與標(biāo)準(zhǔn)體系

由表1可見，IEC和IEEE技術(shù)路線均有相對(duì)完備的標(biāo)準(zhǔn)體系，而RCC-E技術(shù)路線主要依靠其自身的標(biāo)準(zhǔn)規(guī)定。

1.1　IEC技術(shù)路線

在IEC標(biāo)準(zhǔn)體系中，關(guān)于安全重要I&C系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)是IEC 61513《核電廠安全重要儀表和控制系統(tǒng)總體要求》。該標(biāo)準(zhǔn)以核安全法規(guī)與導(dǎo)則為指導(dǎo)，采用與功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC 61508和軟件工程基礎(chǔ)標(biāo)準(zhǔn)ISO/IEC 12207相同的“生命周期”模式，給出了核電廠安全重要I&C系統(tǒng)的總體要求。IEC 61513在IEC關(guān)于安全重要I&C系統(tǒng)標(biāo)準(zhǔn)體系中具有特殊地位，可視為核安全法規(guī)與IEC其他有關(guān)標(biāo)準(zhǔn)之間的橋梁。

IEC 61226《核電廠安全重要儀表和控制系統(tǒng)功能分類》則按照IEC 61513對(duì)系統(tǒng)功能安全分類的指導(dǎo)思想，給出了核動(dòng)力廠安全重要I&C系統(tǒng)功能分類的具體要求。

在軟件要求方面，IEC 60880《核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的計(jì)算機(jī)軟件》和IEC 62138《核電廠安全重要儀表和控制系統(tǒng)執(zhí)行B/C類功能的計(jì)算機(jī)軟件》分別規(guī)定了核電廠安全重要I&C系統(tǒng)執(zhí)行A類和B/C類功能的計(jì)算機(jī)軟件在生命周期各階段的要求，尤其是給出了適用于嵌入式軟件鑒定的預(yù)開發(fā)軟件(PDS)的鑒定要求與方法。

1.2　IEEE技術(shù)路線

IEEE技術(shù)路線中核電廠安全級(jí)系統(tǒng)軟件鑒定的基礎(chǔ)標(biāo)準(zhǔn)為IEEE 7- 4.3.2《核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則》。該標(biāo)準(zhǔn)同時(shí)包括軟件與硬件兩方面要求。在軟件要求方面，其特別提出了適用于嵌入式軟件的“現(xiàn)有商品級(jí)計(jì)算機(jī)的質(zhì)量鑒定”。對(duì)于新軟件，該標(biāo)準(zhǔn)指出軟件應(yīng)依據(jù)IEEE 1012進(jìn)行驗(yàn)證與確認(rèn)(V&V)。

IEEE 1012《系統(tǒng)和軟件驗(yàn)證與確認(rèn)的適用準(zhǔn)則》并不是核工業(yè)的專用標(biāo)準(zhǔn)，而是系統(tǒng)和軟件驗(yàn)證與確認(rèn)的通用標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)建立了一個(gè)為支持所有系統(tǒng)、軟件、硬件在其生命周期各階段所需進(jìn)行的V&V過(guò)程、活動(dòng)以及任務(wù)的通用架構(gòu)。

1.3　RCC-E技術(shù)路線

RCC-E技術(shù)路線主要依靠其自身的標(biāo)準(zhǔn)規(guī)定對(duì)軟件鑒定進(jìn)行要求。標(biāo)準(zhǔn)RCC-E《核島電氣設(shè)備設(shè)計(jì)和建造規(guī)則》在其第C5000章節(jié)規(guī)定了針對(duì)核電廠安全級(jí)系統(tǒng)計(jì)算機(jī)系統(tǒng)(重點(diǎn)是軟件方面)的有關(guān)要求。需說(shuō)明的是，盡管RCC-E也提出了有關(guān)軟件鑒定的流程、方法和基本要求，但在具體要求方面則參考和引用了IEC相關(guān)標(biāo)準(zhǔn)。

2I&C系統(tǒng)的功能分類與系統(tǒng)分級(jí)

I&C系統(tǒng)的功能分類和系統(tǒng)分級(jí)是軟件鑒定的前提和基礎(chǔ)，涉及到軟件是否需要鑒定，如何進(jìn)行鑒定以及依據(jù)何標(biāo)準(zhǔn)進(jìn)行鑒定等重要問(wèn)題。比如IEC標(biāo)準(zhǔn)和RCC-E均提出A類軟件鑒定遵循標(biāo)準(zhǔn)IEC 60880，B/C類軟件鑒定分別遵循標(biāo)準(zhǔn)IEC 62138第6章和第5章。

對(duì)于I&C系統(tǒng)的功能分類和系統(tǒng)分級(jí)，最重要的是不能將兩者混為一談或者簡(jiǎn)單對(duì)應(yīng)。在標(biāo)準(zhǔn)IEC 61513發(fā)布以前，無(wú)論是IAEA文件還是IEC標(biāo)準(zhǔn)，主要討論的是系統(tǒng)分級(jí)，沒(méi)有明確提出功能分類這個(gè)主題。IEC 61513首次區(qū)分了功能分類和系統(tǒng)分級(jí)這兩個(gè)概念，并建立了兩者之間的聯(lián)系。

(1) 功能分類

核電廠設(shè)計(jì)從功能角度對(duì)核電廠及其系統(tǒng)進(jìn)行分析，規(guī)定了特定的假使始發(fā)事件(PIE)和防止PIE發(fā)展為事故工況所需要的安全重要功能。按縱深防御原則，每個(gè)PIE要求一系列的獨(dú)立功能(或子功能)。依據(jù)這些功能在核電廠安全中所起的作用，其被指定為A類、B類、C類或無(wú)類別[2]。

(2) 系統(tǒng)分級(jí)

核電廠設(shè)計(jì)從系統(tǒng)角度對(duì)核電廠及其系統(tǒng)進(jìn)行分析，將每個(gè)I&C系統(tǒng)和設(shè)備按其所執(zhí)行功能的安全重要性進(jìn)行定級(jí)，共劃分為1級(jí)、2級(jí)、3級(jí)和無(wú)級(jí)別。只有當(dāng)I&C系統(tǒng)或設(shè)備達(dá)到一定級(jí)別的要求，才能執(zhí)行相應(yīng)類別的功能。

(3) 功能分類與系統(tǒng)分級(jí)之間的關(guān)系

I&C系統(tǒng)的功能類別與其系統(tǒng)級(jí)別之間不是簡(jiǎn)單對(duì)應(yīng)的關(guān)系。某一類別的功能應(yīng)當(dāng)用一定級(jí)別的系統(tǒng)實(shí)現(xiàn)，也可用較高級(jí)別的系統(tǒng)實(shí)現(xiàn)；而某一級(jí)別的系統(tǒng)可完成其允許最高類別的功能，也可完成較低類別的功能。例如，2級(jí)系統(tǒng)可完成B類功能，還可完成C類功能。功能分類與系統(tǒng)分級(jí)之間的關(guān)系如表2所示。

表2　功能類別與系統(tǒng)級(jí)別

對(duì)于功能分類的方法，IEC 61513指出既考慮確定論的方法，也考慮概率論的方法。即在確定論的基礎(chǔ)上，考慮在功能失效所導(dǎo)致后果的概率及其嚴(yán)重程度、安全功能啟動(dòng)后的需求時(shí)間、替代措施的采用或故障恢復(fù)的及時(shí)性與可靠性等[1]。因此，功能分類是一個(gè)需要綜合考慮的問(wèn)題，通常需要系統(tǒng)設(shè)計(jì)方與設(shè)備供應(yīng)商之間進(jìn)行充分溝通后確定。在此過(guò)程中，特別需注意不能簡(jiǎn)單地認(rèn)為安全級(jí)系統(tǒng)所執(zhí)行的功能只能劃分為A類。

3軟件鑒定的原因

3.1　計(jì)算機(jī)系統(tǒng)的應(yīng)用

核電廠的I&C系統(tǒng)以前采用的是硬接線系統(tǒng)，即電氣元器件和電氣設(shè)備構(gòu)建的所謂模擬系統(tǒng)；后來(lái)發(fā)展成為可編程電子或基于計(jì)算機(jī)的系統(tǒng)，即功能主要依靠或完全由使用微處理器、可編程電子設(shè)備或計(jì)算機(jī)來(lái)實(shí)現(xiàn)的I&C系統(tǒng)。隨著數(shù)字化技術(shù)和計(jì)算機(jī)技術(shù)的迅速發(fā)展及其在I&C系統(tǒng)中大量應(yīng)用，核電廠安全重要I&C系統(tǒng)也不得不更多地采用基于計(jì)算機(jī)的系統(tǒng)。計(jì)算機(jī)系統(tǒng)可采取多種形式，從支持多種功能的大型信息處理機(jī)到特定應(yīng)用的小型處理器構(gòu)成的高分布式網(wǎng)絡(luò)均可應(yīng)用。帶嵌入式軟件的設(shè)備就是典型的、小型的基于計(jì)算機(jī)的系統(tǒng)。

基于計(jì)算機(jī)的系統(tǒng)的最大特點(diǎn)是帶有可編程軟件，而可編程軟件雖然容易實(shí)現(xiàn)一些較復(fù)雜的功能，但同時(shí)也更容易發(fā)生設(shè)計(jì)錯(cuò)誤，從而導(dǎo)致軟件共因失效(cammon cause failure,CCF)。

3.2　軟件導(dǎo)致的CCF

如果在不同的系統(tǒng)或一個(gè)系統(tǒng)的不同通道中使用了相同的軟件或軟件缺陷，則在這些系統(tǒng)或通道中就存在軟件CCF的可能[3]。對(duì)于軟件引入的CCF，必定是信號(hào)軌跡觸發(fā)了一個(gè)軟件缺陷，從而導(dǎo)致影響到兩個(gè)或更多的系統(tǒng)或通道(例如兩個(gè)保護(hù)通道、兩個(gè)閉環(huán)控制器或兩個(gè)邏輯控制子系統(tǒng))的故障。對(duì)于會(huì)涉及到某種安全的CCF，這些故障一定會(huì)破壞安全功能，并在可能產(chǎn)生安全威脅的時(shí)段內(nèi)發(fā)生，或故障本身產(chǎn)生對(duì)安全的威脅，例如失去保護(hù)或控制[3]。由于軟件缺陷是系統(tǒng)性的而非隨機(jī)性的，所以一個(gè)系統(tǒng)的軟件設(shè)計(jì)不能按與硬件相同的方式應(yīng)用單一故障準(zhǔn)則。IEC 60880指出，防御由軟件引起的CCF的基本和最重要的做法是開發(fā)高質(zhì)量的軟件，即盡可能沒(méi)有錯(cuò)誤[3]。

3.3　嵌入式軟件需要進(jìn)行鑒定

由上述分析可知，嵌入式軟件屬于基于計(jì)算機(jī)的系統(tǒng)，軟件缺陷屬于系統(tǒng)故障，從而可能導(dǎo)致系統(tǒng)共因故障，減少或消除軟件共因故障最重要的方法是提高軟件的質(zhì)量與可靠性。評(píng)價(jià)并改善軟件質(zhì)量與可靠性的方法是軟件鑒定，因此有必要對(duì)用于安全級(jí)系統(tǒng)的嵌入式軟件進(jìn)行鑒定。

4嵌入式軟件鑒定的方法與流程

嵌入式軟件在IEC技術(shù)路線中屬于預(yù)開發(fā)軟件(pre-developed software，PDS)，在IEEE技術(shù)路線中屬于現(xiàn)有商品級(jí)物項(xiàng)(commercial-off-the shelf,COTS),在RCC-E技術(shù)路線中屬于現(xiàn)有軟件或可編程電子部件(programmable electronic controller,PEC)。以下分別就在上述三種技術(shù)路線下嵌入式軟件鑒定如何實(shí)施進(jìn)行介紹。

4.1　IEC技術(shù)路線嵌入式軟件鑒定

按照IEC 61513及RCC-E的規(guī)定，核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的計(jì)算機(jī)軟件遵循標(biāo)準(zhǔn)IEC 60880，執(zhí)行B/C類功能的計(jì)算機(jī)軟件遵循標(biāo)準(zhǔn)IEC 62138。標(biāo)準(zhǔn)IEC 60880和IEC 62138針對(duì)核電廠基于計(jì)算機(jī)的系統(tǒng)的軟件生命周期的各個(gè)階段均提出了相應(yīng)的要求，其不僅適用于新開發(fā)的軟件，也對(duì)預(yù)開發(fā)軟件的鑒定和使用給出了辦法和要求。預(yù)開發(fā)軟件(PDS)指現(xiàn)有的、作為商品或?qū)Ｓ挟a(chǎn)品可得到的、用于基于計(jì)算機(jī)系統(tǒng)的軟件。

IEC 62138提出了B類預(yù)開發(fā)軟件的一般鑒定流程，如圖1所示。A類及C類預(yù)開發(fā)軟件的鑒定流程與B類類似，但C類軟件鑒定相對(duì)簡(jiǎn)略[4]。

圖1　預(yù)開發(fā)軟件鑒定流程圖

從圖1可看出，對(duì)預(yù)開發(fā)軟件的鑒定，首先可考慮根據(jù)新開發(fā)軟件的要求對(duì)預(yù)開發(fā)軟件進(jìn)行標(biāo)準(zhǔn)全范圍要求的一致性評(píng)估，包括通用要求(如質(zhì)量保證、軟件驗(yàn)證、配置管理、軟件工具的選擇和使用、語(yǔ)言選擇、安全防范、文檔要求)和軟件生命周期各階段的要求(包括軟件需求、軟件設(shè)計(jì)、軟件實(shí)現(xiàn)、軟件集成、系統(tǒng)確認(rèn)、軟件修改、安裝及運(yùn)行)。如經(jīng)評(píng)估，預(yù)開發(fā)軟件符合標(biāo)準(zhǔn)對(duì)軟件的通用要求及新開發(fā)軟件的要求，則可直接接受。經(jīng)常發(fā)生的情況是，對(duì)于一開始未按照相關(guān)標(biāo)準(zhǔn)進(jìn)行開發(fā)的預(yù)開發(fā)軟件，很難提供足夠的證據(jù)證明其符合標(biāo)準(zhǔn)的全范圍要求，或者所提供的證據(jù)無(wú)法證明預(yù)開發(fā)軟件符合標(biāo)準(zhǔn)的全部適用要求(即存在與標(biāo)準(zhǔn)要求的不符合項(xiàng)或不足之處)。IEC 60880及IEC 62138針對(duì)這種情況，專門提出了采用其他方式進(jìn)行合理性證明的辦法，即針對(duì)預(yù)開發(fā)軟件的專用評(píng)價(jià)。此過(guò)程是對(duì)預(yù)開發(fā)軟件進(jìn)行適宜性評(píng)價(jià)、質(zhì)量評(píng)價(jià)、補(bǔ)充測(cè)試、運(yùn)行經(jīng)驗(yàn)評(píng)價(jià)的綜合活動(dòng)。當(dāng)完成預(yù)開發(fā)軟件的專用評(píng)價(jià)后，如果可得出預(yù)開發(fā)軟件的合理性證明，則可接受此軟件在系統(tǒng)中的應(yīng)用；如果確認(rèn)預(yù)開發(fā)軟件與系統(tǒng)要求及相應(yīng)的標(biāo)準(zhǔn)規(guī)定要求之間存在重大的、不可容忍的不符合項(xiàng)或缺陷，則應(yīng)考慮對(duì)該軟件進(jìn)行改進(jìn)。在此情況下，如該軟件按標(biāo)準(zhǔn)要求進(jìn)行了相應(yīng)修改，則可接受此軟件在系統(tǒng)中的應(yīng)用；如軟件無(wú)法修改，則應(yīng)拒絕其應(yīng)用。

4.2　IEEE技術(shù)路線嵌入式軟件鑒定

IEEE 7- 4.3.2對(duì)于“現(xiàn)有商品級(jí)計(jì)算機(jī)的質(zhì)量鑒定”的要求適用于嵌入式軟件的鑒定。這里“商品級(jí)物項(xiàng)”指以下物項(xiàng)：不是為核設(shè)施專門設(shè)計(jì)或不以核設(shè)施特有的技術(shù)要求為條件的物項(xiàng)；用于非核設(shè)施的物項(xiàng)；或按制造廠產(chǎn)品說(shuō)明中規(guī)定的技術(shù)條件從制造廠或供貨商處采購(gòu)的物項(xiàng)。該標(biāo)準(zhǔn)特別說(shuō)明，在那些傳統(tǒng)的鑒定過(guò)程不適用的情況下，為驗(yàn)證一個(gè)設(shè)備可用于安全應(yīng)用的一種替代方法是“商品級(jí)物項(xiàng)的使用性確認(rèn)”。按IEEE 7- 4.3.2的要求，“商品級(jí)物項(xiàng)的使用性確認(rèn)”過(guò)程包含初步階段和詳細(xì)階段兩個(gè)階段。

IEEE 7- 4.3.2同時(shí)指出“計(jì)算機(jī)研制需要鑒別出可能使安全功能失效的危害(即異常狀態(tài)和事件)。危害是事故的一種先決條件。危害包括外部事件以及計(jì)算機(jī)硬件和軟件的內(nèi)部狀態(tài)”[5]。實(shí)際上對(duì)計(jì)算機(jī)軟件內(nèi)部狀態(tài)危害的鑒別正是軟件鑒定的重要內(nèi)容。IEEE 7- 4.3.2只給出了鑒別危害和解決危害的方法或指導(dǎo)，而并未針對(duì)核電廠安全級(jí)計(jì)算機(jī)系統(tǒng)軟件及硬件提出具體的危害內(nèi)容。這與IEC 60880不同，IEC 60880未特別提出要求鑒別危害，而是直接給出了具體的危害內(nèi)容，并要求安全級(jí)計(jì)算機(jī)軟件落實(shí)相關(guān)要求，以避免危害，從而實(shí)現(xiàn)安全性。從這個(gè)意義上來(lái)說(shuō)，對(duì)于軟件鑒定，IEC 60880可能更具有操作性。

4.3　RCC-E技術(shù)路線下嵌入式軟件鑒定的實(shí)施

標(biāo)準(zhǔn)RCC-E在其第C5000章節(jié)規(guī)定了針對(duì)核電廠安全級(jí)系統(tǒng)計(jì)算機(jī)系統(tǒng)(重點(diǎn)是軟件方面)的有關(guān)要求。RCC-E 2002及2005版特別提出了針對(duì)現(xiàn)有軟件和可編程電子部件(PEC)的軟件鑒定方法。帶嵌入式軟件的部件屬于可編程電子部件。為了更好的理解可編程電子部件的概念，可參考標(biāo)準(zhǔn)IEC 61508對(duì)于可編程電子(PE)的定義：可編程電子以計(jì)算機(jī)技術(shù)為基礎(chǔ)，可以由硬件、軟件及其輸入和(或)輸出單元構(gòu)成，包括以一個(gè)或多個(gè)中央處理器(CPU)及相關(guān)的存儲(chǔ)器等為基礎(chǔ)的微電子裝置。下列均是可編程電子裝置：微處理器、微控制器、可編程控制器、專用集成電路(ASIC)、可編程邏輯控制器(PLC)、其他以計(jì)算機(jī)為基礎(chǔ)的裝置(智能傳感器、變送器、執(zhí)行器)[6]。

RCC-E提出可采用“補(bǔ)充功能鑒定”(即在設(shè)備硬件鑒定基礎(chǔ)上的補(bǔ)充軟件鑒定)的方法對(duì)安全級(jí)PEC進(jìn)行軟件鑒定。“補(bǔ)充功能鑒定”要求對(duì)PEC從以下幾方面進(jìn)行評(píng)價(jià)：技術(shù)性評(píng)價(jià)、功能性評(píng)價(jià)、質(zhì)量保證的評(píng)價(jià)、軟件可靠性的評(píng)價(jià)、補(bǔ)充試驗(yàn)、經(jīng)驗(yàn)反饋評(píng)價(jià)、軟件變更管理過(guò)程評(píng)價(jià)[7]。

綜上所述，各技術(shù)路線對(duì)嵌入式軟件鑒定的基本思路是相通的，均要求對(duì)軟件的性能與功能、質(zhì)量保證、運(yùn)行經(jīng)驗(yàn)、補(bǔ)充測(cè)試、變更管理等方面進(jìn)行評(píng)價(jià)。相比較而言，IEC技術(shù)路線操作性最強(qiáng)，認(rèn)可度最高，應(yīng)用也最廣泛。

5結(jié)束語(yǔ)

嵌入式軟件屬于基于計(jì)算機(jī)的系統(tǒng)，軟件缺陷屬于系統(tǒng)故障，從而可能導(dǎo)致系統(tǒng)共因故障，消除或減少軟件共因故障最重要的方法是提高軟件的質(zhì)量與可靠性，評(píng)價(jià)并改善軟件質(zhì)量與可靠性的方法是軟件鑒定。軟件鑒定的前提和基礎(chǔ)是對(duì)安全級(jí)系統(tǒng)或設(shè)備的功能分類與系統(tǒng)分級(jí)。核電廠安全級(jí)設(shè)備嵌入式軟件鑒定各技術(shù)路線的基本思路是相通的，相比較而言，IEC技術(shù)路線操作性最強(qiáng)，認(rèn)可度最高，應(yīng)用也最廣泛。

參考文獻(xiàn)

[1] IEC 61513-2001.Nuclear power plants-Instrumentation and control systems important to safety-General requirements for systems[S].

[2] IEC 61226-2005.Nuclear power plants-Instrumentation and control systems important to safety-classification of instrumentation and control functions[S].

[3] IEC 60880-2006.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category A functions[S].

[4] IEC 62138-2004.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category B or C functions[S].

[5] IEEE 7- 4.3.2-2003.IEEE standard for digital computers in safety systems of nuclear power generation stations[S].

[6] IEC 61508-2010.Function safety of electrical/ electronic/programmable electronic safety-related system[S].

[7] RCC-E-2005.Design and construction rules for electrical equipment of nuclear islands[S].

中圖分類號(hào)：TH7；TL48

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201507014

修改稿收到日期：2014-06-13。

第一作者劉春磊(1980-)，男，2007年畢業(yè)于大連理工大學(xué)電氣工程及其自動(dòng)化專業(yè)，獲學(xué)士學(xué)位，工程師；主要從事核電廠設(shè)備鑒定、電氣設(shè)備采購(gòu)與成套等方面的工作。