黃清淮，劉明明，黃 鵬，曾 山，呂 曦

（中國核動(dòng)力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

0 引言

核電站數(shù)字化控制系統(tǒng)是保障核電廠安全運(yùn)行的核心，尤其是安全級DCS。結(jié)合目前核電站安全級DCS 的工程實(shí)踐，為了提高安全級DCS 軟件的安全性[1]，根據(jù)IEEE1012等相關(guān)標(biāo)準(zhǔn)的要求，對安全級DCS 應(yīng)用軟件的開發(fā)過程進(jìn)行驗(yàn)證和確認(rèn)（V&V）活動(dòng)，對應(yīng)用軟件開發(fā)過程中的危險(xiǎn)進(jìn)行分析[2]。

2018 年12 月6 日，中國核動(dòng)力研究設(shè)計(jì)院自主開發(fā)的安全級DCS 平臺(tái)NASPIC 正式發(fā)布，成功打破了國外廠商在核安全級DCS 領(lǐng)域的壟斷地位，為核安全級DCS 市場帶來了新鮮血液。隨著NASPIC 平臺(tái)的正式發(fā)布，應(yīng)用NASPIC 平臺(tái)的核電站工程項(xiàng)目逐漸鋪開[3]，本院在安全級DCS 工程設(shè)計(jì)和實(shí)施過程中，除了在V&V 活動(dòng)中對軟件開發(fā)過程的危險(xiǎn)進(jìn)行分析以外[4]，探索了在安全級DCS 工程設(shè)計(jì)和實(shí)施的各個(gè)階段，由工程設(shè)計(jì)與實(shí)施人員對安全級DCS 系統(tǒng)及軟件開展安全分析，從另一個(gè)角度加強(qiáng)了安全級DCS 的縱深防御，以確保核電站安全穩(wěn)定運(yùn)行。本文重點(diǎn)闡述工程設(shè)計(jì)與實(shí)施人員進(jìn)行的安全分析技術(shù)活動(dòng)。

1 安全級DCS安全分析與工程設(shè)計(jì)實(shí)施、V&V的關(guān)系

安全級DCS 危害分析相關(guān)的技術(shù)活動(dòng)與工程設(shè)計(jì)和實(shí)施活動(dòng)、V&V 活動(dòng)相關(guān)，并行開展具體工作。在安全級DCS 生命周期模型中，上述各種活動(dòng)之間的對應(yīng)關(guān)系如圖1 所示[5]。

圖1 安全級DCS生命周期模型及其危害分析、V&V活動(dòng)Fig.1 Safety-level DCS life cycle model and its hazard analysis,V&V activities

2 生命周期各階段危害分析活動(dòng)

通過在生命周期的各個(gè)階段開展危害分析活動(dòng)，實(shí)現(xiàn)危害分析技術(shù)活動(dòng)，每個(gè)階段的危害分析技術(shù)活動(dòng)主要包含3 方面內(nèi)容：危害識(shí)別、危害評估、危害控制[6]。

本節(jié)規(guī)定了安全級DCS 工程設(shè)計(jì)和實(shí)施生命周期中，為保證項(xiàng)目系統(tǒng)和軟件的安全性所要開展的與危害性分析相關(guān)的全部活動(dòng)。危害分析的難點(diǎn)在于危害的識(shí)別，因此本節(jié)主要針對危害的識(shí)別進(jìn)行描述。

2.1 初步危害分析

初步危害分析（PHA）是一種初始的識(shí)別技術(shù)，它與專家對系統(tǒng)各個(gè)部分的自由討論會(huì)議相似，系統(tǒng)的關(guān)鍵功能清單和不期望的事件清單提供了PHA 的起點(diǎn)并定義了PHA 的范圍。在執(zhí)行初步危害分析前，應(yīng)確定系統(tǒng)的關(guān)鍵功能清單和不期望的事件清單。完成初步危害分析后會(huì)得出項(xiàng)目的初步危害清單（PHL），依據(jù)PHL 在工程設(shè)計(jì)和實(shí)施生命周期的各個(gè)階段分別進(jìn)行各階段的危害分析。危害識(shí)別的方法本身有很多，本文提出了其中一種方法，且將根據(jù)項(xiàng)目實(shí)踐過程逐步優(yōu)化。系統(tǒng)初步危害清單舉例見表1。

表1 初步危害分析內(nèi)容Table 1 Contents of preliminary hazard analysis

2.2 工程軟件危害分析

2.2.1 需求危害分析

工程軟件負(fù)責(zé)人負(fù)責(zé)組織并開展軟件需求的危害分析活動(dòng)。軟件需求危害識(shí)別過程涉及到對軟件需求、接口需求和軟件單元結(jié)構(gòu)（各個(gè)站之間）的評估，其目的是識(shí)別可能導(dǎo)致系統(tǒng)危害的需求，如不合理的需求實(shí)現(xiàn)，可能影響安全功能的執(zhí)行或遺漏的需求可能導(dǎo)致系統(tǒng)存在缺陷。軟件需求危害分析可從以下幾個(gè)對軟件質(zhì)量特性產(chǎn)生影響的方面進(jìn)行考慮。

軟件的其他質(zhì)量特性，如完備性、一致性、正確性、可追蹤性、無二義性、可驗(yàn)證性等，通常被認(rèn)為是軟件需求規(guī)范必備的質(zhì)量特性，宜將其視為需求分析和驗(yàn)證的內(nèi)容，而非危害分析的要素。

表2 軟件質(zhì)量特性Table 2 Software quality characteristics

2.2.2 設(shè)計(jì)危害分析

工程軟件負(fù)責(zé)人負(fù)責(zé)組織并開展軟件設(shè)計(jì)的危害分析活動(dòng)。軟件設(shè)計(jì)基于已經(jīng)驗(yàn)證的模塊（算法塊）組合實(shí)現(xiàn)，因此工程設(shè)計(jì)的設(shè)計(jì)危害分析活動(dòng)能夠直接在應(yīng)用和功能的層次開展（非代碼層次）。針對計(jì)算機(jī)化的軟件設(shè)計(jì)危害識(shí)別還需對潛在的計(jì)算問題進(jìn)行危害分析，如不正確的公式、以不正確的順序執(zhí)行公式要素的運(yùn)算、不充分的精度和掃描速率、不正確的單位、非法數(shù)字、超范圍的結(jié)果、符號(hào)法則故障。軟件設(shè)計(jì)危害分析活動(dòng)可從以下方面進(jìn)行考慮，同時(shí)軟件負(fù)責(zé)人和軟件組成員有義務(wù)對以下內(nèi)容進(jìn)行補(bǔ)充。

2.2.3 實(shí)現(xiàn)危害分析

工程軟件負(fù)責(zé)人負(fù)責(zé)組織并開展軟件實(shí)現(xiàn)的危害分析活動(dòng)。實(shí)現(xiàn)階段的危害分析主要是檢查軟件實(shí)現(xiàn)階段的代碼編譯是否帶來了新的危害。軟件實(shí)現(xiàn)階段也可能產(chǎn)生危害，可能引入的危害包括：

◇ 工具的使用。

◇ 編碼/編程的實(shí)際操作。

◇ 開發(fā)環(huán)境。

◇ 配置控制。

如軟件設(shè)計(jì)基于一個(gè)比較完整的算法庫進(jìn)行，如在軟件實(shí)現(xiàn)時(shí)對未使用的算法塊進(jìn)行了編譯，可能會(huì)對最終的編譯結(jié)果產(chǎn)生影響。

2.3 工程硬件危害分析

2.3.1 需求危害分析

工程硬件負(fù)責(zé)人負(fù)責(zé)組織并開展硬件需求的危害分析活動(dòng)。執(zhí)行硬件需求危害分析前，應(yīng)由硬件負(fù)責(zé)人整理應(yīng)用硬件的所有需求。硬件需求危害識(shí)別過程涉及到對硬件功能性能要求、系統(tǒng)接口、設(shè)計(jì)要求和環(huán)境要求的評估，其目的是識(shí)別可能導(dǎo)致系統(tǒng)危害的需求，如不合理的需求實(shí)現(xiàn)，可能影響安全功能的執(zhí)行或遺漏的需求可能導(dǎo)致系統(tǒng)存在缺陷。硬件需求危害分析的主要工作見表4。

表3 軟件設(shè)計(jì)危害分析內(nèi)容Table 3 Software design hazard analysis content

表4 硬件需求危害分析Table 4 Hazard analysis of hardware requirements

2.3.2 硬件設(shè)計(jì)危害分析

工程硬件負(fù)責(zé)人負(fù)責(zé)組織并開展硬件設(shè)計(jì)的危害分析活動(dòng)。硬件設(shè)計(jì)的危害分析需要在需求階段的可能危害以外，識(shí)別出詳細(xì)設(shè)計(jì)階段可能引入的新的危害，并進(jìn)行分析、評估和處理。硬件設(shè)計(jì)危害分析活動(dòng)可從以下方面進(jìn)行考慮，同時(shí)硬件負(fù)責(zé)人和硬件組成員有義務(wù)對以下內(nèi)容進(jìn)行補(bǔ)充。

2.3.3 生產(chǎn)制造危害分析

生產(chǎn)制造負(fù)責(zé)人負(fù)責(zé)組織并開展硬件生產(chǎn)制造的危害分析活動(dòng)。生產(chǎn)制造階段的危害分析主要是檢查硬件的生產(chǎn)制造是否帶來了新的危害。生產(chǎn)制造階段也可能產(chǎn)生危害，可能引入的危害包括：

表5 硬件設(shè)計(jì)危害分析Table 5 Hazard analysis of hardware design

◇ 工具的使用。

◇ 生產(chǎn)制造的實(shí)際操作。

◇ 生產(chǎn)環(huán)境。

2.4 集成危害分析

集成測試階段主要是系統(tǒng)軟硬件集成，包含硬件集成和軟件代碼下裝，集成階段的危害分析主要檢查軟硬件集成是否引入新的危害。集成階段由生產(chǎn)制造負(fù)責(zé)人組織并開展危害分析活動(dòng)，危害分析活動(dòng)的開展可按如表6 所示的方面進(jìn)行。

表6 集成危害分析Table 6 Integrated hazard analysis

2.5 危害驗(yàn)證

系統(tǒng)確認(rèn)階段與其他階段不同，系統(tǒng)確認(rèn)階段的危害分析活動(dòng)主要針對危害進(jìn)行測試和驗(yàn)證，測試時(shí)應(yīng)特別注意對危害措施是否正確實(shí)施進(jìn)行驗(yàn)證，同時(shí)根據(jù)常規(guī)的測試活動(dòng)分析判斷是否存在其他危害。該活動(dòng)由測試負(fù)責(zé)人組織和實(shí)施。

2.6 系統(tǒng)安裝和調(diào)試危害分析

系統(tǒng)安裝和調(diào)試階段主要是安全級DCS 發(fā)貨到現(xiàn)場進(jìn)行安裝和調(diào)試。因電廠調(diào)試期間現(xiàn)場環(huán)境的復(fù)雜性，系統(tǒng)安裝和調(diào)試階段的危害分析活動(dòng)包含兩部分：

1）系統(tǒng)安裝和調(diào)試前進(jìn)行，評估系統(tǒng)安裝和調(diào)試過程中可能引入的危害，并采取措施進(jìn)行預(yù)防。

2）系統(tǒng)安裝和調(diào)試后進(jìn)行，分析系統(tǒng)現(xiàn)場安裝和調(diào)試實(shí)際過程中是否引入了新的危害。該活動(dòng)由測試負(fù)責(zé)人組織和實(shí)施。

2.7 系統(tǒng)修改危害分析

系統(tǒng)修改階段是安全級DCS 到現(xiàn)場后需要進(jìn)行更改，系統(tǒng)的修改和系統(tǒng)設(shè)計(jì)制造過程中的迭代一樣，可能引入新的、嚴(yán)重的危害，因此在系統(tǒng)修改后應(yīng)進(jìn)行全面的、覆蓋各個(gè)階段的危害分析，具體分析方法按照各個(gè)階段執(zhí)行。系統(tǒng)修改危害分析由工程設(shè)計(jì)負(fù)責(zé)人牽頭，相關(guān)專業(yè)負(fù)責(zé)人協(xié)同執(zhí)行。

3 結(jié)束語

為了提高核電站安全級DCS 系統(tǒng)及軟件的安全性，在驗(yàn)證與確認(rèn)活動(dòng)中所進(jìn)行的危害分析之外，本文提出了工程設(shè)計(jì)和實(shí)施人員在安全級DCS 全生命周期進(jìn)行系統(tǒng)及軟件安全分析的方法和實(shí)踐經(jīng)驗(yàn)，重點(diǎn)討論工程軟件、硬件設(shè)計(jì)過程的危害分析，并根據(jù)分析結(jié)果將危害和風(fēng)險(xiǎn)消除或控制在可接受范圍內(nèi)，保證安全級DCS 系統(tǒng)及應(yīng)用軟件的功能安全。