白濤， 陳衛(wèi)華， 谷鵬飛(中廣核工程有限公司 核電安全監(jiān)控技術(shù)與裝備國家重點實驗室，深圳 518124)

基于貝葉斯網(wǎng)的核安全級軟件可靠性評估初探

白濤， 陳衛(wèi)華， 谷鵬飛
(中廣核工程有限公司 核電安全監(jiān)控技術(shù)與裝備國家重點實驗室，深圳 518124)

合理有效地定量評估核安全級軟件的可靠性是核電數(shù)字化儀控系統(tǒng)裝備研制中面臨的關(guān)鍵技術(shù)問題之一。由于核安全級軟件的高可靠性要求，僅通過有限的測試難以給出可信的可靠性評估結(jié)果。從軟件Vamp;V的角度，結(jié)合IEEE Std.1012—2004標準要求及實施核安全級軟件Vamp;V的工程經(jīng)驗，對核安全級軟件貝葉斯網(wǎng)絡(luò)推理修正模型及其可靠性定量評估方法進行了初步探討。應(yīng)用實例說明所提方法可為在軟件開發(fā)生命周期過程中盡早識別問題、評估軟件可靠性及分析Vamp;V活動的有效性提供參考。

核安全級軟件; 驗證與確認; 貝葉斯網(wǎng)絡(luò); 可靠性評估

0 引言

數(shù)字化儀控系統(tǒng)裝備是核電廠運行的神經(jīng)中樞，以軟件為核心實現(xiàn)核電廠控制和保護邏輯，其軟件質(zhì)量與核電廠運行的安全性、可靠性、可用性及經(jīng)濟性密切相關(guān)。核電廠儀控系統(tǒng)一般包括非安全級控制系統(tǒng)和安全級保護系統(tǒng)，其中控制系統(tǒng)用于持續(xù)執(zhí)行核電廠的正常運行功能；而保護系統(tǒng)在正常運行期間監(jiān)控核電廠的運行狀態(tài)，一旦發(fā)生事故則立即觸發(fā)適當?shù)谋Ｗo動作，實現(xiàn)反應(yīng)堆安全停堆，防止放射性物質(zhì)泄漏導(dǎo)致的安全問題。因此，數(shù)字化保護系統(tǒng)的軟件質(zhì)量至關(guān)重要。鑒于自主研制的國產(chǎn)核安全級儀控系統(tǒng)尚處于不斷發(fā)展和完善的階段，如何合理有效地定量評估核安全級軟件的可靠性是目前核電數(shù)字化儀控系統(tǒng)裝備研制中面臨的關(guān)鍵技術(shù)問題之一。相關(guān)難題的突破將為論證自主化核電數(shù)字化儀控系統(tǒng)裝備的可靠性提供更加直接鮮明的證據(jù)，也將為自主化核電數(shù)字化儀控系統(tǒng)裝備隨“華龍一號”核電技術(shù)走出國門，向歐洲高端核電市場的出口奠定必要的技術(shù)基礎(chǔ)。

軟件具有與硬件截然不同的失效模式和失效機理，軟件缺陷主要由設(shè)計錯誤造成，軟件缺陷導(dǎo)致的系統(tǒng)失效與其運行環(huán)境(即運行剖面)密切相關(guān)。因此，成熟的硬件可靠性評估方法并不完全適用于軟件。國際上對于軟件可靠性評估的方法、步驟，至今未能形成統(tǒng)一的技術(shù)規(guī)范。另一方面，對于有高可靠性要求的核安全級軟件，利用大量的窮盡式測試評估其可靠性不現(xiàn)實，而有限的測試難以給出可信的可靠性評估結(jié)果。如何利用軟件開發(fā)生命周期過程中收集到的數(shù)據(jù)進行可靠性定量評估，將定性與定量評估有機結(jié)合等問題仍處于研究和探討中。已有的研究成果中，由于貝葉斯網(wǎng)絡(luò)具有對不確定性和不完整性問題表達與推理的優(yōu)點，在核安全級軟件可靠性建模與定量評估中獲較為廣泛的應(yīng)用研究。NRC在NUREG/CR系列報告中對軟件可靠性分析與評估技術(shù)進行了探討，其中NUREG/CR 7044—2013[1]對基于貝葉斯網(wǎng)絡(luò)的核安全級儀控系統(tǒng)軟件可靠性定量評估方法進行了分析。芬蘭VTT利用軟件開發(fā)過程中的“可靠性軟證據(jù)”信息和基于操作剖面測試的“可靠性硬證據(jù)”信息建立基于貝葉斯網(wǎng)絡(luò)的安全級軟件系統(tǒng)可靠性估計方法，并針對不同系統(tǒng)及其操作剖面配置構(gòu)建了四種貝葉斯網(wǎng)絡(luò)評估模型[2]。文獻[3，4]根據(jù)NRC NUREG 0800數(shù)字化計算機儀控系統(tǒng)軟件審評指南BTP-7-14[5]對軟件功能特性及過程特性的定義，提出基于軟件開發(fā)生命周期的核安全級軟件貝葉斯網(wǎng)絡(luò)推理模型，并進一步地給出基于Vamp;V的軟件失效估計模型以評估軟件的預(yù)期殘留失效數(shù)。文獻[6]從研發(fā)機構(gòu)、研發(fā)過程等高層次的角度了構(gòu)建基于貝葉斯網(wǎng)絡(luò)的核安全級儀控系統(tǒng)軟件可靠性模型，并對系統(tǒng)中的不確定性因素進行了分析。

業(yè)界普遍認可軟件獨立驗證與確認(Vamp;V)是確保核安全級軟件可靠性的關(guān)鍵技術(shù)手段，本文從軟件開發(fā)生命周期Vamp;V的角度，結(jié)合IEEE Std. 1012—2004[7]標準要求及實施核安全級軟件Vamp;V的工程經(jīng)驗，針對文獻[4]的核安全級軟件貝葉斯網(wǎng)絡(luò)推理模型提出分級修正模型，并在此基礎(chǔ)上建立可靠性定量評估方法，以便在軟件開發(fā)生命周期過程中盡早識別軟件缺陷和評估軟件可靠性；同時，分析Vamp;V活動的有效性對提高軟件可靠性的影響。

2 基于貝葉斯統(tǒng)計推斷的軟件可靠性評估方法

貝葉斯網(wǎng)絡(luò)是一種有向無環(huán)概率圖模型，可以模擬人類推理過程中因果關(guān)系的不確定性。其節(jié)點表示隨機變量，是可直接觀測變量或隱藏變量，兩節(jié)點間的有向邊表示隨機變量間的條件依賴關(guān)系，這種依賴關(guān)系的強度用條件概率值表征。貝葉斯統(tǒng)計推斷的核心是某事件(隨機變量表征)發(fā)生的概率可由其先驗概率分布及已發(fā)生的事件估計(參見貝葉斯公式)。

根據(jù)貝葉斯統(tǒng)計推斷的思想，可建立軟件可靠性評估方法[8]。在軟件開發(fā)生命周期各階段都將產(chǎn)生一定形式的階段性產(chǎn)品，通過軟件Vamp;V可確保和提高軟件階段性產(chǎn)品的質(zhì)量，從而保證最終產(chǎn)品的可靠性。在通過一定的測評方法對軟件進行測試和評估分析后，可利用測評結(jié)果對軟件可靠性進行評估，同時也可分析Vamp;V活動的有效性。

假設(shè)對于被測軟件，其總的輸入域為n，正確性概率為r，在隨機測試過程中有t個輸入通過測試條件的概率密度函數(shù)為f(r|t)。根據(jù)貝葉斯公式，則f(r|t)可表示為式(1)。

(1)

其中，p(t|r)表示在軟件的正確性概率為r的條件下，總輸入域n中有t個輸入通過測試的概率。f(r)是該被測軟件正確性的先驗分布概率密度，先驗概率是貝葉斯統(tǒng)計推斷中必不可少的要素，一般可依據(jù)專家判斷給出；當無任何信息時，一般假設(shè)先驗概率服從均勻分布。

對于每一次測試，軟件在給定輸入條件下有正確與錯誤2種狀態(tài)。軟件正確與否的判定條件是測試結(jié)果與需求是否一致。若與需求一致，軟件正確，否則，軟件錯誤。因此，在n次隨機測試中，隨機變量t(軟件正確的次數(shù))服從二項分布為式(2)。

(2)

將式(2)代入(1)中可得式(3)。

(3)

由式(3)可知，軟件正確性后驗概率服從參數(shù)為t+1和n-t+1的β分布。

對式(3)進行積分，可得到軟件正確性的后驗概率分布函數(shù)F(r|t)，即式(4)。

(4)

利用公式(4)，可以估計被測軟件正確性r大于任意目標可靠性估計值的概率，也即被測軟件可靠性評估的量化結(jié)果。

3 基于貝葉斯網(wǎng)的核安全級軟件可靠性模型

如前所述，核安全級軟件的可靠性評估不應(yīng)僅依賴于可靠性測試，還需考慮軟件開發(fā)生命周期過程各類活動中收集到的可靠性證據(jù)。Vamp;V是確保核安全級軟件可靠性的關(guān)鍵技術(shù)手段，Vamp;V活動貫穿于軟件開發(fā)生命周期的各個階段，利用人員和工具的獨立性以及技術(shù)多樣性以盡可能多地發(fā)現(xiàn)開發(fā)團隊未能發(fā)現(xiàn)或排查的缺陷或失效，從而提高軟件質(zhì)量。Vamp;V活動對軟件可靠性的影響,如圖1所示。

圖1 軟件開發(fā)生命周期中的核安全級軟件可靠性評估策略

在軟件開發(fā)生命周期的某個階段，其特定形式的階段性軟件產(chǎn)品的可靠性受到前一階段軟件產(chǎn)品的影響、本階段開發(fā)活動的影響以及本階段軟件Vamp;V活動的影響。軟件開發(fā)生命周期的各個階段以Vamp;V活動所發(fā)現(xiàn)的缺陷或失效全部被正確修正，且未引入新的錯誤為結(jié)束條件，從而確保下一階段的軟件開發(fā)活動以前一階段高質(zhì)量的軟件產(chǎn)品為基準展開。

為分析軟件Vamp;V活動對軟件可靠性的影響，分析中假定本階段軟件可靠性的先驗概率估計值是由前一階段軟件可靠性結(jié)果與本階段開發(fā)活動共同作用的結(jié)果。

3.1 建模

針對核安全級軟件的運行安全特性要求，BTP-7-14給出其功能特性及過程特性的定義，其中功能特性包括精度、功能性、可靠性、強壯性、安全性、安全防范性、實時性等7項子特性。過程特性包括：完備性、一致性、正確性、格式、可追溯性、無二義性、可驗證性等7項子特性。文獻[3，4]基于BTP-7-14的軟件功能特性及過程特性定義提出核安全級軟件貝葉斯網(wǎng)絡(luò)推理模型，但沒有考慮功能特性與過程特性間的耦合關(guān)系，本文結(jié)合IEEE Std. 1012—2004[7]標準要求及實施核安全級軟件Vamp;V的工程經(jīng)驗，提出分級的核安全級軟件貝葉斯網(wǎng)絡(luò)推理修正模型。以功能特性為核心建議的一級貝葉斯網(wǎng)絡(luò)推理模型如圖2所示。

圖2 基于功能特性的一級貝葉斯推理模型

同時，建立各子功能特性與過程特性相關(guān)的二級貝葉斯網(wǎng)絡(luò)推理模型，如圖3所示。

圖3 子功能特性二級貝葉斯推理模型

軟件開發(fā)生命周期各階段Vamp;V活動的目的就是發(fā)現(xiàn)不符合軟件功能特性及其過程特性要求的各類異常項或缺陷。由于不同Vamp;V人員的技術(shù)能力、工程經(jīng)驗、心理因素等影響，其實施的Vamp;V過程是一種隨機過程。

3.2 歸一化處理

軟件的部件級測試或系統(tǒng)集成測試的結(jié)果直接體現(xiàn)為系統(tǒng)功能特性的正確性，而在軟件開發(fā)生命周期的其他階段，如概念、需求和設(shè)計階段，其階段性軟件產(chǎn)品是文檔，Vamp;V過程中發(fā)現(xiàn)的異?；蛉毕菰斐傻南到y(tǒng)功能失效的后果嚴重程度不同，或者說對源代碼或最終產(chǎn)品正確性的影響程度有所不同。工程上，通常根據(jù)異常項或缺陷造成的系統(tǒng)功能失效后果的嚴重程度，將異常項劃分為5個等級，分別“致命”、“關(guān)鍵”、“重要”、“一般”和“建議”。為此，根據(jù)對Vamp;V異常項分級情況對異常項進行歸一化處理為式(5)。

(5)

Mi為等級為i的異常項的統(tǒng)計數(shù)量。

異常項經(jīng)過歸一化處理后，可將Vamp;V異常項轉(zhuǎn)換為軟件正確與否的二元結(jié)果，從而可以利用本文第二部分貝葉斯統(tǒng)計推斷方法進行軟件可靠性評估。

表1 錯誤歸一化處理

4 應(yīng)用實例

以某國產(chǎn)自主化核安全級專用監(jiān)測裝置樣機軟件Vamp;V項目為例，利用本文提出的核安全級軟件貝葉斯推理分級修正模型及統(tǒng)計推斷方法對其進行軟件可靠性評估，以說明該方法的有效性。在軟件需求Vamp;V階段，對該項目軟件需求文檔審查中，結(jié)合系統(tǒng)功能特性及其子特性細化，結(jié)合貝葉斯推理分級修改模型共形成需求檢查條目377項，由2名Vamp;V人員分別獨立執(zhí)行審查工作，相當于對被測系統(tǒng)執(zhí)行754項測試，累計發(fā)現(xiàn)異常項5項，其中2項異常屬“重要”類，3項異常屬“一般”類。為進行需求階段的軟件可靠性評估，首先對發(fā)現(xiàn)的異常項數(shù)量進行歸一化處理，計算可得歸一化后的異常項數(shù)量為2*1+0.5*3=3.5，也即有751.5項通過測試。根據(jù)測試結(jié)果，將n=754，t=751.5代入式(4)，可得到以軟件正確性先驗概率r為自變量的軟件正確性后驗估計概率密度及概率分布曲線，如圖4所示。

圖4 被測軟件在n=754，t=751.5時的概率曲線

由于在軟件開發(fā)生命周期的初期階段可獲得的可靠性證據(jù)數(shù)量有限，其可靠性估計值難以達到預(yù)期目標值。假定需求階段Vamp;V活動執(zhí)行前，軟件正確性估計的先驗概率為0.990 1，則依據(jù)概率分布特性可知F(r|t)=p(r≤ri)，則p(rgt;ri)=1-p(r≤ri)。計算結(jié)果表明Vamp;V活動后軟件正確性估計的后驗概率為0.964 2。從另一方面來看，即如果假定需求階段Vamp;V活動執(zhí)行前后的軟件正確性概率不變，則表明當前Vamp;V活動的有效性為96.42%。

進一步地，經(jīng)Vamp;V回歸測試發(fā)現(xiàn)所有的異常項均已正確修改且未引入新的異常項后，可得到軟件正確性后驗估計概率密度及概率分布曲線，如圖5所示。

圖5中，n=754,t=754。根據(jù)計算結(jié)果可知，軟件正確性估計的先驗概率為0.990 1時，其后驗概率估計值為0.994 6，經(jīng)Vamp;V活動后軟件可靠性增加。

圖5 被測軟件在n=754，t=754時的概率曲線

5 總結(jié)

對于具有高可靠性要求的核安全級軟件，僅通過有限的測試難以給出可信的可靠性評估結(jié)果。充分利用軟件開發(fā)生命周期過程中的各類證據(jù)，合理有效地定量評估核安全級軟件的可靠性是核電數(shù)字化儀控系統(tǒng)裝備研制中面臨的關(guān)鍵技術(shù)問題之一，相關(guān)問題的突破將為論證自主化核電數(shù)字化儀控系統(tǒng)裝備的可靠性提供更加直接鮮明的證據(jù)。本文從軟件Vamp;V的角度，結(jié)合IEEE Std. 1012—2004[7]標準要求及實施核安全級軟件Vamp;V的工程經(jīng)驗，提出核安全級軟件貝葉斯網(wǎng)絡(luò)推理模型[4]的修正模型，并在此基礎(chǔ)上建立可靠性定量評估方法，以便在軟件開發(fā)生命周期過程中盡早識別問題和評估可靠性，同時也為分析Vamp;V活動的有效性及其對軟件可靠性的影響提供了佐證。本文僅是基于貝葉斯網(wǎng)絡(luò)的核安全級軟件可靠性定量評估的初步探討，關(guān)于先驗分布、參數(shù)敏感度等問題有待進一步研究。

[1] NUREG/CR—7044. Development of Quantitative Software Reliability Models for Digital Protection Systems of Nuclear Power Plants[M].Nuclear Regulatory Commission, 2013.

[2] Helminen A. Reliability Estimation of Safety-critical Software-based System Using Bayesian Networks[M]. Helsinki: STUK, 2001.

[3] KIM M.C. High level issues in reliability quantification of safety-critical software[J]. Nuclear Safety and Simulation, 2012, 3(2): 97-103.

[4] Eom H.S., Park G.Y., Jang S.C., et al. Vamp;V-based Remaining Fault Estimation Model for Safety-critical Software of a Nuclear Power Plant[J]. Annals of Nuclear Energy, 2013, (51): 38-49.

[5] BTP-7-14. Guidance on Software Reviews for Digital Computer-based Instrumentation and Control Systems(Revision 5)[M]. Nuclear Regulatory Commission, 2007.

[6] 遲淼，史麗萍，劉盈. 核安全級儀控軟件可靠性評估模型構(gòu)建[J]. 哈爾濱工程大學(xué)學(xué)報，2014，35(12)：1570-1574.

[7] IEEE Std. 1012. IEEE standard for software verification and validation[S].New York IEEE, 2004.

[8] 柴哲麗，林佳齊，朱金平，等. 基于貝葉斯的軟件可靠性評估研究[J]. 計算機工程，2010，36(2)：73-74.

PreliminaryStudyonNuclearSafety-CriticalSoftwareReliabilityEvaluationBasedonBayesianNetwork

Bai Tao， Chen Weihua， Gu Pengfei
(State Key Laboratory of Nuclear Power Safety Monitoring Technology and Equipment, China Nuclear Power Engineering Co., Ltd., Shenzhen 518124)

It is a key issue ofevaluating the safety-critical software reliability quantitatively during developing digital instrumentation and control system for nuclear power plants. Due to the high reliability requirements on nuclear safety-critical software, it may be practically impossible to obtainthe reliabilityestimation with high confidence level only through limited testing.From the viewpoint of software verification and validation (Vamp;V), a preliminary study on nuclear safety-critical software reliability modeling and evaluation based on Bayesian network is given in this note by considering the requirements of IEEE Std. 1012—2004 and our experiences. It is shown by an example that the proposed software reliabilitymethod couldprovidesupportfor evaluating software reliability and analyzing the Vamp;V effectiveness during its life cycle simultaneously.

Nuclear safety-critical software; Verification and validation (Vamp;V); Bayesian network; Reliability evaluation

國家重大科技專項資助項目(2014ZX06004002-004)

白濤(1975-)，女，回，河北正定，高工，博士，研究方向：核安全級軟件Vamp;V技術(shù).

陳衛(wèi)華(1972-)，男，天津薊縣，高工，學(xué)士，研究方向：核電數(shù)字化儀控系統(tǒng)設(shè)計與可靠性研究.

谷鵬飛(1980-)，男，江蘇鹽城，高工，博士，研究方向：核安全級軟件Vamp;V技術(shù).

1007-757X(2017)11-0012-03

TK08

A

2017.08.31)