馬書麗，孫 武

(中核控制系統(tǒng)工程有限公司，北京 102401)

0 引言

日本福島核事故發(fā)生后，全球核電安全性問題越來越突出，功能安全問題越來越得到世界各國的關(guān)注。功能安全認證是基于IEC 61508[1]及IEC 61511[2]等系列標準，對安全設(shè)備的安全完整性等級(safety integrity level,SIL)進行評估和確認的一種第三方評估、驗證和認證。系統(tǒng)或產(chǎn)品獲得安全完整性等級認證，就意味著其質(zhì)量和安全性獲得了認可。這不僅可以提高企業(yè)的市場競爭力，也可以增強客戶對產(chǎn)品的信心。

本文主要基于現(xiàn)場可編程門陣列(field programmable gate array,FPGA)技術(shù)的核電廠安全級系統(tǒng)典型應(yīng)用的功能安全認證流程和認證工作進行研究，提出符合基于FPGA技術(shù)核電廠反應(yīng)堆保護系統(tǒng)功能安全認證流程，為今后國產(chǎn)自主化核電廠反應(yīng)堆保護系統(tǒng)獲得國際認可打下良好的基礎(chǔ)。

1 功能安全認證

功能安全強調(diào)的是系統(tǒng)安全功能的正確執(zhí)行，主要包括管理和技術(shù)兩方面。在技術(shù)和管理上，要保證電氣/電子/可編程電子(electrical/electronic/programmable electronic,E/E/PE)安全系統(tǒng)、其他技術(shù)安全系統(tǒng)和外界風險降低設(shè)施功能的正確執(zhí)行。功能安全認證要求必須在技術(shù)上和管理上同時滿足相應(yīng)的安全完整性等級的要求。安全完整性等級共劃分為4個等級。其中，SIL4為最高級，SIL1為最低級，依據(jù)IEC61508的要求；SIL1、SIL2可在組織內(nèi)部由獨立團隊進行認證；SIL3和SIL4需要第三方認證機構(gòu)進行認證。

①依據(jù)文件。

功能安全認證依據(jù)文件有法規(guī)和標準。

法規(guī)為國家安全監(jiān)管總局關(guān)于加強化工安全儀表系統(tǒng)管理的指導意見，相關(guān)標準為IEC 61508-1～7 Functional safety of electrical/electronic/programmable electronic safety-related systems、IEC 61511-1-～3 Functional safety-Safety instrumented systems for the process industry sector。

②安全級系統(tǒng)功能安全認證流程。

功能安全認證流程可分為概念階段審核、主檢階段審核、場內(nèi)測試和型式試驗。按照工作內(nèi)容，又可將功能安全認證劃分為安全設(shè)備開發(fā)流程的文檔管理評估、硬件可靠性計算和評估、軟件評估、型式試驗等內(nèi)容。

結(jié)合實際開展功能安全認證的經(jīng)驗，確定核電廠核安全系統(tǒng)功能安全認證流程如圖1所示。

圖1 核安全系統(tǒng)功能安全認證流程Fig.1 Nuclear safety system functional safety certification process

2 安全級系統(tǒng)安全生命周期模型

安全級系統(tǒng)包括硬件和邏輯兩部分。根據(jù)IEC 61508標準中規(guī)定的硬件安全生命周期和軟件安全生命周期，結(jié)合FPGA技術(shù)的特點和安全級系統(tǒng)整體開發(fā)流程，得到基于FPGA技術(shù)的核電廠安全級系統(tǒng)開發(fā)安全生命周期模型[3]。該模型包括需求分析、系統(tǒng)安全概念設(shè)計、模塊級安全概念設(shè)計、硬件詳細設(shè)計、邏輯詳細設(shè)計、硬件實現(xiàn)、邏輯實現(xiàn)、測試等重要階段。在開發(fā)安全生命周期的各階段，都有各自相關(guān)的功能安全活動和要求。

核安全系統(tǒng)安全生命周期模型如圖2所示。

圖2 核安全系統(tǒng)安全生命周期模型Fig.2 Safety life cycle model of nuclear safety system

3 安全級系統(tǒng)功能安全

功能安全認證的本質(zhì)是對安全相關(guān)系統(tǒng)進行功能安全評估。其主要目的是調(diào)查并判斷E/E/PE安全相關(guān)系統(tǒng)所達到的功能安全，主要包括管理和技術(shù)兩個方面。一方面評估確保達到功能安全目的所必需的管理活動是否有效；另一方面評估安全儀表系統(tǒng)(safety iustrumentation system,SIS)是否達到了要求的安全完整性等級。關(guān)鍵工作如下。

3.1 功能安全管理

功能安全管理工作貫穿整個開發(fā)安全生命周期，是為達到功能安全要求對安全生命周期活動及參與活動的組織和資源等進行管理。功能安全管理確定整體的、硬件和軟件的安全生命周期所有階段的管理和技術(shù)活動的內(nèi)容，并確定人員、部門和組織在安全生命周期各階段所承擔的責任。通過一系列的管理措施，保證每一個安全功能在整體開發(fā)安全生命周期中全部得到落實，以此保障系統(tǒng)要求的安全完整性。

①技術(shù)管理措施。

在開發(fā)生命周期每一開發(fā)階段進行設(shè)計審查和需求跟蹤分析，以確保硬件和軟件的自診斷措施、故障處理機制及隨機失效控制措施等被有效實現(xiàn)。設(shè)計審查由獨立于研發(fā)團隊之外的驗證與確認(verification and validation,V&V)團隊進行。V&V團隊成員資質(zhì)需與研發(fā)人員水平同等或高于研發(fā)人員水平。同時，在每個階段結(jié)束時進行需求追蹤分析，確保每一個安全功能在下一階段被正確設(shè)計和考慮。在整個開發(fā)生命周期中，利用缺陷管理工具記錄開發(fā)和測試過程中出現(xiàn)的各種問題，以便在必要時對設(shè)計變更進行追蹤。

②文檔管理措施。

功能安全認證的基本工作就是對管理文件進行審核，從而確認實現(xiàn)系統(tǒng)功能安全要求的手段和依據(jù)是否充分合理、文件內(nèi)容是否滿足系統(tǒng)整個安全生命周期各階段工作的要求、是否能為系統(tǒng)功能安全認證提供有力的審核依據(jù)。文件包括：體系文件、設(shè)計文件、測試文件、用戶手冊等。中核控制采用開源代碼的版本控制系統(tǒng)Subversion(SNV)，記錄文檔的每一次變動和版本更新，實現(xiàn)文檔版本的變更控制。

③本節(jié)小結(jié)。

建議在提交第三方機構(gòu)審查前，由發(fā)起認證組織內(nèi)部的功能安全審核專員對所有文檔信息的一致性和完整性進行二次審核，確保被審核文檔的正確性。

在開展需求跟蹤分析時，通常采用excel工具人為制作需求追蹤矩陣，使文檔需求、文檔設(shè)計、測試文檔條目化，便于前后追蹤。為保證需求追蹤工作的快速、高效開展，必要時采用需求追蹤分析軟件工具輔助開展。

3.2 硬件安全完整性分析

依據(jù)IEC 61508標準可知，硬件安全完整性評估是對系統(tǒng)安全完整性等級和硬件邏輯架構(gòu)等信息的準確性進行確認的過程。硬件安全功能所聲明的最高安全完整性等級與故障率、安全失效分數(shù)和故障裕度等參數(shù)相關(guān)。硬件的安全完整性等級可通過要求時的失效率(probability of dangerous failure on demand,PFD)或每小時的失效概率(average frequency of dangerous failure per hour,PFH)等指標進行量化評估，也可以從系統(tǒng)架構(gòu)和系統(tǒng)類型的角度對安全完整性等級進行定性分析[4]。

①硬件可靠性分析。

可靠性分析是開展硬件安全完整性等級定性分析和定量分析工作的基礎(chǔ)[5]?？煽啃苑治龉ぷ髦饕ㄊ暑A計、故障模式、影響及診斷分析(failure modes effects and diagnostic analysis,FMEDA)、共因故障分析等。硬件故障模式從失效后果和診斷結(jié)果角度綜合考慮，可分為危險可診失效、危險不可診失效、安全可診失效、安全不可診失效四種類型。反應(yīng)堆保護系統(tǒng)依據(jù)SN 29500標準進行板級失效率預計，并將預計結(jié)果作為后續(xù)一系列可靠性分析工作的基礎(chǔ)數(shù)據(jù)；利用FMEDA方法，結(jié)合模塊原理圖、自診斷設(shè)計等文件，基于失效數(shù)據(jù)對模塊級產(chǎn)品的四種失效類型進行分析，并識別影響系統(tǒng)安全的關(guān)鍵故障模式，進而推算出模塊級產(chǎn)品的安全失效分數(shù)(safe failure fraction,SFF)；同時，依據(jù)IEC 61508 標準中的共因故障因子評估方法對反應(yīng)堆保護系統(tǒng)(reactor protection system,RPS)的共因故障因子β進行評估。

②SIL定性分析。

硬件安全完整性定性分析是指通過分析硬件結(jié)構(gòu)約束得到最高硬件的安全完整性等級。硬件結(jié)構(gòu)約束主要包括反應(yīng)堆保護系統(tǒng)的類型、故障裕度和SFF。按照IEC 61508標準規(guī)定的系統(tǒng)類型分類要求，核電廠反應(yīng)堆保護系統(tǒng)目前通過可靠性分析的手段分析計算可診和不可診的危險失效率。因此，反應(yīng)堆保護系統(tǒng)的硬件類型為B類；典型反應(yīng)堆保護系統(tǒng)為2oo4冗余架構(gòu)；根據(jù)失效率預計和FMEDA分析得到硬件子系統(tǒng)的安全失效分數(shù)SFF，且各模塊的SFF值均在66%～99%之間。依據(jù)IEC 61508.2標準中的硬件安全完整性等級與安全失效分數(shù)和故障裕度對照表，可評估判斷典型反應(yīng)堆保護系統(tǒng)硬件的安全完整性等級。

③SIL定量分析。

硬件安全完整性定量分析是對RPS系統(tǒng)的PFD和PFH指標進行評估,從而驗證量化指標是否滿足系統(tǒng)功能安全完整性等級的要求。

參考IEC 61508-6標準中提供的1oo1、1oo2、1oo2D、2oo2、1oo3、2oo3架構(gòu)的PFD和PFH的計算公式，對反應(yīng)堆保護系統(tǒng)2oo4架構(gòu)PFD和PFH公式進行推導，并根據(jù)計算結(jié)果從定量的角度推斷反應(yīng)堆保護系統(tǒng)硬件的安全完整性等級。推導結(jié)果如下：

PPFD=24×λchannel∧3×t_CE×t_GE×t_G2E+β×

λ_DU×(T_1/2+MMRT)+β_D×λ_DD×MMTTR

PPFH=24×(1-β)×λ_DU×λchannel∧2×t_CE×

t_GE+β×λ_DU

自我效能感具有普遍性和具體性這兩種性質(zhì)。自我效能感被認為是在某一特定行為、情境或任務(wù)中，人們經(jīng)由這些行為、情景對自我目標達成能力的信念。自我效能感在人格特質(zhì)中并不穩(wěn)定，他經(jīng)常受一些行為、活動、情景影響。但是 又由于各項活動任務(wù)多領(lǐng)域的較差，自我效能感又具有了相對普遍的性質(zhì)。

④本節(jié)小結(jié)

盡量保證所有系統(tǒng)功能安全相關(guān)的模塊在技術(shù)層面得以實現(xiàn)，避免出現(xiàn)由人因失誤造成功能安全失效的風險。由于功能安全認證過程繁瑣，且模塊級元器件數(shù)量多、數(shù)據(jù)量較大，采用標準數(shù)據(jù)庫進行計算。一旦基礎(chǔ)數(shù)據(jù)出現(xiàn)變更，其上層分析文檔均需要更新，且更新過程中容易出現(xiàn)更新不及時和更新遺漏等問題。同時，也可考慮采用相對成熟的功能安全評估軟件進行硬件安全完整性等級的評估，并以此建立相關(guān)數(shù)據(jù)庫。

3.3 軟件安全完整性分析

軟件與硬件相比，軟件沒有老化的過程，也不會出現(xiàn)隨機失效。因此，F(xiàn)PGA的功能安全要求也與硬件不同，其安全完整性等級無法用PFD或PFH進行量化。IEC 61508-3提供了一套完整的開發(fā)流程和一系列的技術(shù)措施，通過嚴格的質(zhì)量管理與安全生命周期流程的控制，實現(xiàn)避免故障、檢測故障、排除故障及容忍故障的目的，以此保證軟件的安全完整性。

①FPGA故障避免措施。

對外圍電路和FPGA內(nèi)部隨機存儲器(random access memory,RAM)和程序進行自診斷設(shè)計。診斷措施包括：獨立時基看門狗、循環(huán)冗余校驗(cyolic redundancy check,CRC)、奇偶校驗等；在典型核電廠反應(yīng)堆保護系統(tǒng)FPGA開發(fā)過程中，對電路描述中使用的布爾表達式同時采用真值表仿真、狀態(tài)轉(zhuǎn)移仿真和人工檢查等；在寄存器轉(zhuǎn)換級(register transfer level,RTL)代碼設(shè)計完成之后，對代碼規(guī)則進行檢查，并進行功能仿真；分別在綜合階段和布局布線后兩次執(zhí)行門級網(wǎng)表與代碼的等效性檢查，如果有任何不一致時，則需要重新修改設(shè)計。

②開發(fā)和測試要求。

安全級系統(tǒng)安全生命周期中將軟件的開發(fā)和測試工作劃分為兩個獨立的工作流程，但兩項工作之間又存在一一對應(yīng)的關(guān)系。在每個設(shè)計工作結(jié)束后，都會相應(yīng)地開展測試工作，以便及時發(fā)現(xiàn)問題并迅速解決，從而在保證軟件可靠性前提下提高設(shè)計效率。

軟件開發(fā)和測試所用的工具必須符合功能安全認證的要求。必要時，由工具開發(fā)商提供所使用工具的功能安全的證書，或由使用方對該階段所使用的工具進行安全評估。主要評估內(nèi)容包括工具使用范圍是否滿足功能安全需求、工具運行環(huán)境是否滿足工具本身對運行與安裝環(huán)境的要求、對使用人員進行培訓以保證用戶正確使用工具、對工具本身進行確認測試；對于符合IEC 61508中定義的T3類工具，則需要進一步根據(jù)IEC 61882《危險和可操作性(hazard and operability,HAZOP)分析應(yīng)用指南》進行HAZOP分析。

③本節(jié)小結(jié)。

FPGA開發(fā)過程中，采用了RTL編寫規(guī)范，提高了代碼質(zhì)量和可靠性；盡量使用已通過功能安全認證的開發(fā)和測試工具，從而減少功能安全認證的部分工作，縮短認證周期。

3.4 故障插入測試

故障插入測試是功能安全認證的關(guān)鍵環(huán)節(jié)。硬件故障插入測試是經(jīng)過注入故障驗證RPS系統(tǒng)硬件功能是否滿足功能安全的要求。測試內(nèi)容包含熱插拔電路、電壓監(jiān)控范圍等。軟件故障插入測試是經(jīng)過修改代碼注入軟件故障驗證RPS系統(tǒng)軟件功能是否滿足功能安全的要求。測試內(nèi)容包含RAM錯誤、外部鐵由存儲器(ferroelectric random access memory,FRAM)錯誤、系統(tǒng)配置信息錯誤等。

故障插入測試用例需覆蓋所有情況的分支，保證每一項功能安全相關(guān)功能均被驗證。硬件故障插入測試中部分測試具有破壞性，需要準備充足的備件，且硬件人員應(yīng)具備過硬的開發(fā)測試能力。

3.5 型式試驗評估

安全級系統(tǒng)型式試驗的審核應(yīng)當滿足IEC 61508標準和IEC 61511標準要求外，還應(yīng)符合IEC 61326-3-1[6]及IEC 61131-2[7]標準的要求，試驗項嚴酷等級選擇IEC 61326-3-1及IEC 61131-2標準中最嚴格試驗要求。試驗過程根據(jù)IEC 61131-2及IEC 61326-3-1標準中試驗項要求，參考標準IEC 61000-4系列和IEC 60068-2系列執(zhí)行。性能合格判據(jù)選用IEC 61131-2及IEC 61326-3-1標準中最嚴格的判據(jù)。

功能安全認證要求選取的第三方實驗室應(yīng)覆蓋IEC 61326-3-1及IEC 61131-2標準，且CNAS資質(zhì)的范圍必須包含IEC 61326-3-1及IEC 61131-2標準要求核電廠安全級系統(tǒng)所需執(zhí)行的所有試驗項。經(jīng)調(diào)研發(fā)現(xiàn)，目前國內(nèi)具備CNAS資質(zhì)且范圍覆蓋IEC 61326-3-1及IEC 61131-2標準的實驗室非常少，即便是某些實驗室的CNAS資質(zhì)包含了IEC 61326-3-1及IEC 61131-2標準，但也只是覆蓋了IEC 61326-3-1及IEC 61131-2標準和核電廠安全級系統(tǒng)要求執(zhí)行的部分試驗項。國內(nèi)實驗室CNAS資質(zhì)普遍不能滿足核電廠反應(yīng)堆保護系統(tǒng)功能安全認證型式試驗大綱的要求。因此，建議第三方實驗室充分考慮市場需求，并對此問題引起重視，并盡快獲得IEC 61326-3-1及IEC 61131-2相應(yīng)的CNAS資質(zhì)。

4 結(jié)論

本文基于FPGA技術(shù)的核電廠安全級系統(tǒng)的特點和實際功能安全認證過程中工作，提出了一些在功能安全認證流程和關(guān)鍵工作的意見和建議。本文所提出的流程和應(yīng)用成果對于核電廠的安全級系統(tǒng)功能安全認證和安全完整性審核工作具有指導意義。同時，針對基于FPGA技術(shù)的安全級系統(tǒng)，經(jīng)過功能安全認證后可有效確保經(jīng)過功能安全認證的產(chǎn)品應(yīng)用于安全級系統(tǒng)時的質(zhì)量可靠性，為產(chǎn)品的其他認證提供有力佐證。