劉 真 胡立生 白 濤

(上海交通大學(xué)自動化系1，上海 200030;深圳中廣核工程設(shè)計有限公司2，廣東 深圳 518172)

0 引言

反應(yīng)堆保護系統(tǒng)的數(shù)字化是信息技術(shù)高速發(fā)展時代的一種不可逆轉(zhuǎn)的趨勢，是計算機技術(shù)應(yīng)用于核電站反應(yīng)堆保護系統(tǒng)的必然。數(shù)字化保護系統(tǒng)可以獲得比模擬的保護系統(tǒng)更高的可靠性、準(zhǔn)確性和穩(wěn)定性，同時可大幅度地提高反應(yīng)堆保護系統(tǒng)的功能。數(shù)字化反應(yīng)堆保護系統(tǒng)在具有極大優(yōu)越性的同時，也對設(shè)計和安全評審提出了區(qū)別于模擬系統(tǒng)的新問題，其核心是如何遵循核電廠安全級軟件可靠性設(shè)計的相關(guān)法規(guī)標(biāo)準(zhǔn)要求，確保軟件能完整正確滿足預(yù)期的安全功能。

1 設(shè)計標(biāo)準(zhǔn)要求

核電廠建造過程中，系統(tǒng)執(zhí)行安全等級的功能不同，對其設(shè)備的鑒定要求也不同。所以核電廠儀控設(shè)計的首要任務(wù)是開展安全等級劃分與定義。

國際上安全分級的標(biāo)準(zhǔn)體系以及類別各異，本文以IEC 61226 (2005)核電廠執(zhí)行安全重要功能的儀表和控制系統(tǒng)的安全等級劃分為采納標(biāo)準(zhǔn)，進(jìn)行安全分級討論。

按照三代核電廠用戶需求安全功能的規(guī)定，引入了電廠可控狀態(tài)、安全停堆狀態(tài)和超設(shè)計基準(zhǔn)(DEC -A)分析的最終狀態(tài)三個物理狀態(tài)。

①可控狀態(tài):堆芯次臨界，如通過蒸汽發(fā)生器在短時間內(nèi)堆芯熱排出、堆芯水裝量穩(wěn)定和放射性排放在允許范圍內(nèi)。

②安全停堆狀態(tài):堆芯次臨界，保證長期地余熱排出和放射性排放在允許范圍內(nèi)。

③最終狀態(tài):堆芯次臨界，通過一、二次回路進(jìn)行余熱排出和放射性排放在允許范圍內(nèi)。

IEC 61226 (2005)，將核電廠的安全功能按其重要性分為A、B、C 級［7］。

①A 級

在發(fā)生任何一個DBC-2 ～DBC -4 內(nèi)部事件后，將電廠帶入可控狀態(tài)的安全功能(包括支持功能)都定義為A 級(注:DBC，設(shè)計基準(zhǔn)工況，按核電廠發(fā)生該工況的頻率大小，分為4 級。數(shù)字越大，工況越稀有，但后果越嚴(yán)重)。

②B 級

在發(fā)生任何一個DBC-2 ～DBC -4 內(nèi)部事件、電廠達(dá)到可控狀態(tài)后，用于確保電廠進(jìn)入安全停堆狀態(tài)的安全功能都定義為B 級。

在電廠正常運行時故障可以導(dǎo)致DBC - 3 或DBC-4事件的控制功能(一回路隔離)，也定義為B 級。

③C 級

在DEC-A 事件序列后，將確保電廠帶到并維持在最終狀態(tài)的安全功能定義為C 級。

本文重點執(zhí)行A 類安全功能的軟件可靠性分析方法，其他部分(執(zhí)行B、C 類安全功能的軟件)不再贅述。

對于工業(yè)關(guān)鍵領(lǐng)域的軟件可靠性標(biāo)準(zhǔn)，IEEE 標(biāo)準(zhǔn)體系相對其他體系更豐富且可操作性更強，主要包括軟件可靠性度量體系和軟件可靠性評估兩方面。軟件可靠性度量體系由IEEE 982.1 -2005(軟件可信性度量詞典)和IEEE 982.2 -1988(軟件可靠性度量實施指南)組成。

IEEE 982.1 -2005 主要回答了使用哪些參數(shù)對軟件可靠性進(jìn)行度量的問題，即用戶可以通過哪些方面對軟件質(zhì)量特別是對軟件的可靠性進(jìn)行了解和評價［1］。

IEEE 982.1 -2005 是IEEE 982.1 -1988 的修訂版，體現(xiàn)了軟件可靠性作為軟件質(zhì)量重要屬性在軟件質(zhì)量控制方面的新方法和新趨勢。與IEEE 982.1 -1988 相比，IEEE 982.1 -2005 作了較大程度的修改。IEEE 982.1 -1988 關(guān)于軟件可靠性屬性有39 個不同的度量參數(shù)，而IEEE 982.1 -2005 刪除了其中的32個度量參數(shù)，并對剩余度量參數(shù)中4 個進(jìn)行了修改，只有3 個得到完全保留。同時新增了5 個度量參數(shù)，即可靠性度量參數(shù)變更為12 個，其中有75%的度量參數(shù)是新增或修改的。軟件可靠性評估主要包括IEEE 1633 -2008(軟件可靠性操作規(guī)程)，其替代了AIAA/ANSI R -013 -1992(軟件可靠性操作規(guī)程)。IEEE 1633 -2008 是IEEE 最新發(fā)布的軟件可靠性評估標(biāo)準(zhǔn)，也是當(dāng)前最新的關(guān)于軟件可靠性評估的國際標(biāo)準(zhǔn)。IEEE 1633 -2008 主要解決了如何進(jìn)行軟件可靠性評估的問題，包括軟件可靠性評估過程和軟件可靠性評估模型兩方面。

20 世紀(jì)90 年代至今，通過借鑒國外相關(guān)標(biāo)準(zhǔn)，我國也制定了軟件可靠性相關(guān)標(biāo)準(zhǔn)。

①國軍標(biāo)GJB/Z102A-2012《軟件安全性設(shè)計指南》規(guī)定軍用軟件安全性設(shè)計的實施指南，給出軍用軟件在需求分析、設(shè)計和實現(xiàn)階段的軟件安全性設(shè)計準(zhǔn)則、要求及實現(xiàn)的技術(shù)方法，同時也為可靠性設(shè)計提供參考。附錄C 中給出軟件故障樹定性分析的基本實施步驟及應(yīng)用示例，但未提及定量分析的相關(guān)內(nèi)容。該標(biāo)準(zhǔn)已代替GJB/Z 102 -1997《軟件可靠性安全性設(shè)計準(zhǔn)則》。

②國軍標(biāo)GJB/Z161 -2012《軍用軟件可靠性評估指南》規(guī)定軍用軟件可靠性評估與可靠性測試的實施指南，其中包括定量評估軍用軟件產(chǎn)品可靠性的實施方法。

③國軍標(biāo)GJB/Z 1391 -2006《故障模式、影響及危害性分析指南》規(guī)定了故障模式、影響及危害性分析(FMECA)的程序和方法，適用于產(chǎn)品(包括硬件、軟件)在論證、方案、工程研制與定型、生產(chǎn)和使用等生命周期各階段開展FMECA 工作。其中第6 章專門對嵌入式軟件FMECA 的工作步驟、分析方法及注意事項進(jìn)行了詳細(xì)說明。

可以看出，國軍標(biāo)在執(zhí)行安全功能軟件的可靠性設(shè)計與評估方面，處于國內(nèi)較領(lǐng)先地位。但是，隨著數(shù)字化核電廠的大規(guī)模項目上馬，核電設(shè)計的主要法規(guī)標(biāo)準(zhǔn)也不斷強調(diào)核電安全級軟件的可靠性設(shè)計與評估要求。

①HAD 102/16 -2004 基于“只有遵循系統(tǒng)化、文件化和可評審的工程步驟，才能夠預(yù)計并證明軟件可信性”的觀點，對核動力廠基于計算機的安全重要系統(tǒng)軟件的生命周期各個階段應(yīng)實施的活動、重點關(guān)注內(nèi)容、管理和質(zhì)量保證、文件編制等方面提出要求，從而為安全性論證提供證據(jù)。

②IEEE 7-4.3.2 -2011 在5.15 可靠性一節(jié)中要求“在論證核安全級數(shù)字化系統(tǒng)的可靠性時應(yīng)考慮軟件。當(dāng)采用分析、現(xiàn)場經(jīng)驗或測試相結(jié)合的方法論證系統(tǒng)可靠性時，也將軟件錯誤記錄和趨勢納入其中?！?/p>

③IEC 61513 -2011 在6.2.4.2.2 可靠性評定一節(jié)中要求:“軟件可能的設(shè)計缺陷對功能可靠性影響的評估宜基于定性評價，并考慮設(shè)計的復(fù)雜性、開發(fā)過程的質(zhì)量以及運行經(jīng)驗的反饋。評價宜基于先前認(rèn)可的方法，宜證明軟件質(zhì)量符合可靠性目標(biāo)”。

2 核電廠數(shù)字化儀控總體方案

核電站儀表和控制系統(tǒng)為核電站各系統(tǒng)及工藝設(shè)備提供控制、保護及信息監(jiān)測手段，以保證核電站能安全、可靠和經(jīng)濟地運行。核電站儀表和控制系統(tǒng)在縱向上主要可分為3 個層次:0 層(工藝系統(tǒng)接口層)、1 層(自動控制和保護層)和2 層(操作和信息管理層)?？傮w方案結(jié)構(gòu)如圖1 所示(注:某些核電廠還有第3 層即全廠信息管理層，屬于信號單向的信息管理層，不在本文討論之列)。該方案結(jié)構(gòu)滿足三代核電技術(shù)特征。

圖1 滿足三代核電特征的儀控總體結(jié)構(gòu)圖Fig.1 The overall structure of the I ＆ C system meets features of the third generation nuclear power

目前，滿足三代核電技術(shù)特征的核電廠通常都采用了數(shù)字化儀控系統(tǒng)，來完成數(shù)據(jù)采集、信號預(yù)處理、邏輯處理、控制算法運算、產(chǎn)生自動控制指令和保護等功能，包括反應(yīng)堆保護系統(tǒng)(RTS +ESFAS)、電站標(biāo)準(zhǔn)自動化系統(tǒng)(PCS)和反應(yīng)堆功率控制系統(tǒng)(RCCS)。除此之外，還采用了多樣化驅(qū)動系統(tǒng)(DAS)，以對付保護系統(tǒng)共因故障，其主要功能包括ATWS 系統(tǒng)和專設(shè)驅(qū)動邏輯系統(tǒng)。此外，還采用了嚴(yán)重事故系統(tǒng)(SAS)，它能在嚴(yán)重事故情況下提供必要的指令和信息，并與專用于嚴(yán)重事故的非能動安全系統(tǒng)相結(jié)合，提供限制放射性物質(zhì)排放到環(huán)境中的必要的緩解途徑。

核電站儀表和控制系統(tǒng)的操作和管理信息層執(zhí)行信息支持、診斷、工藝信息和操縱員動作的記錄，以及通過操作設(shè)備對機組進(jìn)行控制等任務(wù)，包括過程信息和控制系統(tǒng)(VDU)及安全信息和控制系統(tǒng)(SVDU +ECP)。

PICS(VDU)提供了對電站所有系統(tǒng)(包括安全級和非安全級系統(tǒng))的監(jiān)視和控制，采用數(shù)字化技術(shù)。

SICS(SVDU+ECP)用于關(guān)鍵安全功能的系統(tǒng)級手動觸發(fā)、非自動執(zhí)行的其他安全功能的手動觸發(fā)及向操縱員提供所有安全相關(guān)的電站信息(包括事故后所需的關(guān)鍵參數(shù))。SICS 中的SVDU 為人機接口設(shè)備，布置在操縱員站和后備盤上。

3 核電廠安全級軟件可靠性設(shè)計方法

3.1 軟件可靠性避錯設(shè)計

研究表明，人的錯誤可以導(dǎo)致軟件缺陷病造成系統(tǒng)失效，因此缺陷是一切失效的根源。要消除軟件的失效，最明智的做法是在軟件開發(fā)過程中盡可能避免或減少缺陷，這也就是軟件避錯設(shè)計的出發(fā)點，也是本節(jié)討論的重點。軟件避錯設(shè)計要通過嚴(yán)格的軟件開發(fā)過程、方法以及正式規(guī)范加以實現(xiàn)。

軟件可靠性設(shè)計應(yīng)和軟件的常規(guī)設(shè)計緊密結(jié)合，貫穿常規(guī)設(shè)計過程的始終，它包括了從計劃制定、需求分析開始，直至軟件實現(xiàn)的全部過程［2］。軟件和硬件的可靠性雖然有相似的特征，但是又存在不同，包括失效原因、失效率、廢棄原因等。從硬件和軟件可靠性特征的比對得出，設(shè)計質(zhì)量對于軟件可靠性具有特殊意義。與硬件相比，軟件可靠性對設(shè)計的依賴程度更大，要保障軟件的可靠性，關(guān)鍵在于軟件的可靠性設(shè)計。

NUREG/CR6101 -1993《核電廠保護系統(tǒng)軟件的可靠性與安全性》從軟件的全生命周期角度提出了軟件可靠性定性評估條款。這些條款來源于關(guān)鍵工業(yè)軟件設(shè)計以及制作的活動，它是已有的、相似軟件的工程經(jīng)驗的總結(jié)，并被美國電力行業(yè)專題報告所采納。美國核管會NRC 認(rèn)為，當(dāng)貫徹執(zhí)行了NUREG/CR6101所羅列的可靠性要求條款后，對于核電廠安全級軟件的可靠性具有重要意義，可以有效避免或減少軟件缺陷的引入，提高軟件的固有可靠性。以“核電廠安全級軟件需求階段”為例，做為軟件可靠性設(shè)計的源頭，軟件需求規(guī)格(SRS)記錄軟件的所有需求，對于保證最終軟件產(chǎn)品的可靠性屬性至關(guān)重要。結(jié)合法規(guī)標(biāo)準(zhǔn)要求以及核電廠設(shè)計建設(shè)經(jīng)驗，為了保證執(zhí)行核電廠安全功能軟件的可靠性要求，SRS 編制時除了常規(guī)的功能性描述外，還需重點關(guān)注［10］以下幾個方面。

①對硬件或者軟件進(jìn)行的變更是否在SRS 中記錄?功能需求是否已獨立驗證?

②每個需求是否都無歧義表達(dá)?功能需求作為一個整體能否相互協(xié)調(diào)?

③每個功能需求是否都能夠檢驗，或者通過檢查，或者通過測試?

④子程序調(diào)用、遠(yuǎn)程過程調(diào)用，通信信道是否清晰表述?

⑤每個信息的傳送方法和介質(zhì)是否定義?

⑥靜態(tài)運行要求是否充分描述?是否有完整清晰的時序要求?

⑦每個軟件需求是否可測試?可靠性和安全要求是否獨立定義?

⑧在系統(tǒng)危險分析中確認(rèn)的每個危險是否都能夠追蹤到一個或者多個軟件需求，它們會防止、抑制或者減輕這些危險?

⑨如果軟件被要求診斷硬件或者軟件錯誤，所檢測的錯誤的等級是否將被分級?

3.2 軟件可靠性容錯設(shè)計

研究表明，軟件之所以不可靠，一是與軟件中存在的缺陷有關(guān)，二是與軟件使用相關(guān)。軟件缺陷是導(dǎo)致軟件失效、影響軟件可靠性的根源，沒有缺陷，軟件就絕對可靠。因此為了保障軟件可靠性，可以有兩種設(shè)計途徑:一種是3.1 節(jié)所討論的軟件避錯設(shè)計，體現(xiàn)了以預(yù)防為主的思想，避錯設(shè)計適用一切類型的軟件，應(yīng)當(dāng)貫穿軟件開發(fā)的全過程;另一種則是“軟件容錯設(shè)計”［4］。

面對日益龐大、復(fù)雜的軟件系統(tǒng)，不論其設(shè)計如何精心，軟件仍然難免存在缺陷。因此軟件通過避錯設(shè)計不能做到?jīng)]有缺陷，只能讓軟件達(dá)到一定程度的可靠性，對有高可靠性要求或失效后果可能為災(zāi)難性的系統(tǒng)，僅僅采用避錯設(shè)計是不能滿足要求的。錯誤容忍是最后一道防線。其目的在于將允許系統(tǒng)檢測錯誤并且避免失效的技術(shù);或者檢測錯誤并從其所導(dǎo)致的錯誤中恢復(fù)的技術(shù)，其中隱含的哲理是縱深防御［6］。

以某核電廠數(shù)字化儀控保護系統(tǒng)為例，當(dāng)系統(tǒng)在容錯設(shè)計的軟硬件支撐環(huán)境下，由Watchdog 定時器監(jiān)控每一個進(jìn)程的運行狀態(tài)。當(dāng)系統(tǒng)由于外部干擾等原因使程序故障進(jìn)而引起該進(jìn)程工作步長超過其Watchdog 定時值時，Watchdog 捕捉了這一狀態(tài)，中斷服務(wù)子程序識別了該進(jìn)程，并執(zhí)行了一系列識別修復(fù)步驟。首先，即時檢查系統(tǒng)設(shè)置的RAM 保護區(qū)是否被改寫，采集的數(shù)據(jù)是否在合理范圍內(nèi)。例如:保護溫度值的第一字節(jié)的值必須在0 ～50 之間，除此之外的任何值都說明是被破壞的非法數(shù)據(jù)。通過重讀控制輸出反饋狀態(tài)值，判定控制輸出是否正確，將運行處理結(jié)果與系統(tǒng)設(shè)置的一組標(biāo)準(zhǔn)范圍值相比較，確定是否要修正。根據(jù)診斷的故障類型和性質(zhì)，可提出不同的修復(fù)決策。如出現(xiàn)反復(fù)性破壞RAM 工作區(qū)等不可修復(fù)故障，則強行報警、切換后投入系統(tǒng)復(fù)位，實行人工干預(yù)排錯處理。

3.3 其他軟件可靠性設(shè)計方法

在筆者所了解到的核電廠軟件可靠性設(shè)計方法中，除了3.1、3.2 所描述的方法外，目前科研工作者仍在不斷地擴展軟件可靠性設(shè)計研究方法，例如FMEA/FMECA、makov 法、Petri 網(wǎng)分析法等，但是考慮到其種種限制使用條件(如輸入數(shù)據(jù)、分析工具、龐大的數(shù)據(jù)量等)，相關(guān)方法仍未在核電領(lǐng)域得到廣泛工程采用。

FMEA/FMECA 是用于分析故障和發(fā)現(xiàn)故障樹終端事件的系統(tǒng)性方法。其應(yīng)用重點在早期系統(tǒng)設(shè)計階段和軟件開發(fā)過程的早期(如需求分析與概要設(shè)計階段)，用于發(fā)現(xiàn)與功能和性能有關(guān)的、軟件需求或體系結(jié)構(gòu)等存在的缺陷，以盡早完善需求分析和概要設(shè)計，從而影響設(shè)計以降低風(fēng)險。

Markov 模型是一種用于捕捉系統(tǒng)狀態(tài)以及狀態(tài)間轉(zhuǎn)換概率的統(tǒng)計模型，其刻畫的系統(tǒng)狀態(tài)變遷過程就是Markov 過程。Markov 過程的特性是無后效性，即對于一個系統(tǒng)，由一個狀態(tài)轉(zhuǎn)換至另一個狀態(tài)的轉(zhuǎn)換過程中，存在轉(zhuǎn)移概率，并且這種轉(zhuǎn)移概率可以依據(jù)其緊接的前一狀態(tài)推算出來，與系統(tǒng)的原始狀態(tài)和此次轉(zhuǎn)移前的Makov 過程無關(guān)。

Petri 網(wǎng)分析法是一種系統(tǒng)的數(shù)學(xué)模型和圖形分析技術(shù)，可用來模擬和分析復(fù)雜系統(tǒng)的同步、并發(fā)、分布、沖突、資源共享等現(xiàn)象，以及關(guān)鍵安全的系統(tǒng)諸如可恢復(fù)性、可達(dá)性、死鎖及故障容限等方面的特性。Petri 網(wǎng)分析法是一種動態(tài)分析方法，根據(jù)所構(gòu)造的Petri 網(wǎng)模型，可以得到系統(tǒng)的結(jié)構(gòu)和動態(tài)行為等方面信息。在Petri 網(wǎng)中，系統(tǒng)的狀態(tài)用庫所表示，改變狀態(tài)的事件用變遷表示，令牌用來模擬系統(tǒng)的行為及其并發(fā)活動。它可以清晰地說明狀態(tài)轉(zhuǎn)移的進(jìn)程，并可轉(zhuǎn)化為數(shù)學(xué)邏輯表達(dá)式。

4 結(jié)束語

目前，越來越多的基于軟件的系統(tǒng)和設(shè)備在核電站儀控系統(tǒng)得到大規(guī)模應(yīng)用，因此軟件的可靠性問題已成為數(shù)字化核電廠設(shè)計與制造過程中必須要解決的重要安全問題。上述背景之下，本文通過梳理國內(nèi)外針對核電站數(shù)字化儀控系統(tǒng)軟件可靠性的相關(guān)標(biāo)準(zhǔn)要求，結(jié)合國內(nèi)核電廠軟件可靠性工程研究經(jīng)驗，完成了核電廠關(guān)鍵軟件的可靠性標(biāo)準(zhǔn)要求及方法研究，以期對我國核電安全級軟件可靠性評估策劃和實施提供借鑒。

［1］ 王文東.軟件可靠性保證與評測技術(shù)［J］.微機發(fā)展，2004(11):104 -106.

［2］ 魏穎.航天載荷應(yīng)用軟件可靠性參數(shù)的分析與確立［J］.計算機工程與設(shè)計，2008(10):2564 -2566.

［3］ 蔡開元.軟件可靠性概要［J］.系統(tǒng)工程與電子技術(shù)，1993(4):45 -47.

［4］ 宮云戰(zhàn).軟件測試與軟件可靠性之間的關(guān)系［J］. 同濟大學(xué)學(xué)報:自然科學(xué)版，2002(12):967 -978.

［5］ 朱起悅.軟件可靠性的定量評估［J］.電子產(chǎn)品可靠性與環(huán)境試驗，2003(4):30 -32.

［6］ 吳玉美，陸民燕，阮鐮.軟件可靠性加速測試方法研究［J］.計算機工程與應(yīng)用，2006(8):40 -43.

［7］ IEC 60880 - 2006 Nuclear power plants - instrumentation and control systems important to safety -software aspect for computerbased systems performing category a functions［R］.2006.

［8］ BTP 7 -14 guidange on software reviews for digital computer-based instrumentation and control systems［R］.2007.

［9］ NUREG/CR-6430:software safety hazard analysis［S］.1996.

［10］NUREG/CR - 6101:software reliability and safety in nuclear reactor protection systems［R］.1993.