北京广利核系统工程有限公司 秦宇，张亚栋

环境保护核与辐射安全中心 尹宝娟

1 引言

核安全级数字化仪控系统（DI&C）的质量要求越来越高，并越来越多的依赖于软件，因此数字化系统及其软件的安全性和可靠性研究工作越来越重要。同时，随着核电站应用需求的多样化，核安全级DI&C系统平台的应用越来越广泛。

由于DI&C系统平台的安全性和可靠性分析缺乏相应的指导，而大量的调查和研究都是针对DI&C系统的。因此，本文旨在利用DI&C系统的安全性和可靠性分析方法建立DI&C系统平台的安全性和可靠性分析体系。

2 核安全级DI&C系统平台介绍

核安全级DI&C系统平台是一个与核电站的特定应用细节无关的设备组，该设备组被广泛应用于市场，实现工业的自动化任务[1]。

DI&C系统平台和DI&C系统的比较如下：

（1) DI&C系统平台没有确定的安全性和可靠性需求，需求是从典型工程应用中提取而来的；DI&C系统的需求来自于核电厂的特定要求。当前者应用于后者的用途时，需要进行适用性确认，并根据确认结果进行补充安全性和可靠性分析。

（2) 两者都是核电厂安全保护系统的范畴，都由基于计算机系统的硬件和软件组成，在应用中实现规定的安全功能；

（3) 依据的主要标准相同，对于特殊的DI&C系统可能有其特定的标准。

（4) 分析方法和过程基本相同，都可以采用安全性分析与可靠性分析相结合的方法。

由以上比较内容可以看出，DI&C系统平台和DI&C系统的主要不同点是上述第（1）点，因此，除了需求分析之外，两者的安全性和可靠性分析可以采用相同的方法。

3 核安全级DI&C系统平台的安全性和可靠性分析

3.1 概述

近几十年来，美国核管会（NRC）、其他安全关键领域的企业和组织致力于核安全级DI&C系统的安全性和可靠性的研究。同时国内外各组织各自制定了相应的法规、标准和指南，并不断进行更新。相关的法规和标准有NRC文件、IEEE、IEC、IAEA、HAF、HAD、GB等。本文主要根据NRC和IEEE的要求，并结合DI&C系统平台的特性和专业人员的经验，选择合适的分析方法。

系统和硬件采用分析、现场经验和测试的综合分析方法[2-4]，软件的安全性和可靠性难以完全定量，主要通过定性分析、测试和可靠性度量来实现[5-6]。

分析工作的前期，应建立系统、硬件和软件的失效模式库，作为分析的参考或依据。建立失效模式库的一般要求如下：

（1）应参考相似系统的分析或运行记录、专家经验、标准、技术资料等，建立通用失效模式库；

（2）随着工作的深入，应根据每个阶段的输出结果，更新失效模式库，最终形成产品的失效模式库；

（3）产品失效模式库的最终确定和使用需经过分析小组或相关组织的一致认可。

3.2 概念阶段

系统平台的概要设计阶段主要进行安全性和可靠性的需求分析和需求分配。

3.2.1 需求分析

需求分析在系统需求阶段进行，并且随着设计的修改在生命周期中随时更新。在系统分析前（需求阶段），应进行初步危险分析（PHA）。

PHA属于定性分析，通过识别系统的潜在危险及其风险，识别并评价系统应对潜在危险的角色，或控制或减缓危险；PHA对系统整体的安全性进行分析和评价，并提出安全关键需求或建议。

对于软件安全分析人员来说，可在概念阶段单独进行软件在系统层面的PHA分析[7-8]。通过识别与软件相关的系统的潜在危险，识别并评价软件应对潜在危险的角色，或控制或减缓危险，并提出软件安全关键需求或建议。

PHA是执行其他安全分析的前提条件，PHA的结果应作为后续各阶段的危险分析的输入或参考。如果设计有重大变更，则需要对PHA进行更新。

PHA考虑了标准中的要求、典型工程应用要求、设计资料、经验、相似系统的需求文件或PHA报告等内容。PHA可提供下述信息：

（1）为制定安全性和可靠性工作计划提供信息；

（2）确定进行安全性和可靠性试验的范围；

（3）危险和风险等级较高的关键需求项；

（4）灾难性的和严重的失效，为设计阶段的FTA和FMEDA分析提供参考依据；

（5）PHA足够充分的话，不仅可以获得完整的系统的安全性和可靠性需求，还可以获得部分的甚至完整的硬件和软件的需求。

定量需求需确定安全性和可靠性指标，如表1所示[6，9，10]。

表1 安全性和可靠性参数集

3.2.2 需求分配

在系统平台的概要设计阶段，进行需求的分配。如果无法达到需求，应更改需求，并重新进行需求分析和分配。

定性的需求分配过程为：建立系统的功能框图，然后根据3.2.1节获得的需求分析报告、设计资料和相关经验将需求分配至子系统、硬件、软件和工具中，最后通过FMEDA和FTA综合分析法进行危险分析并识别关键需求项。

FMEDA适用于具有高诊断性能的系统或硬件，但是无法表达复杂的逻辑关系，因此选用FMEDA为主，FTA为辅的分析方法，如图1所示。

图1 FMEDA和FTA综合分析法

定量指标的分配应用Markov和FTA综合分析法，通过建立系统的安全性和可靠性模型，估算出A、R、MTTF、PFD、PFS等参数。若不符合要求，应进行需求重分配分析。当软件的失效模式和失效率充分时，将软件的失效考虑进定量分析模型中；否则，模型中不考虑软件失效。

Markov可用于可降级的容错系统，能够表达系统的多状态转变过程。然而Markov模型的复杂性和较长的计算时间限制了它的使用[11]。FTA是Markov的一个补偿模型。使用Markov模型中的各状态作为FTA模型的顶事件，展开该故障树，并计算顶事件的失效率，将计算结果代入到Markov模型中的各状态中，最终计算出系统平台的安全性和可靠性参数。

系统的Markov和FTA综合分析法如图2所示。

图2 Markov和FTA综合分析法

3.3 需求阶段

在软/硬件的需求阶段，首先进行危险分析，以便确定可能危及安全功能的任何特定风险，并指出需要更改或附加的需求以减缓危险的影响。

硬件采用FTA和FMEDA综合分析法，具体内容参见3.2.2的图1。分析的结果将输入到3.2.2中的系统平台的Markov和FTA综合分析模型中，以便进行后续的安全性和可靠性参数计算。

软件的失效机理和硬件不同，因此采用HAZOP分析[7，12]。HAZOP分析属于定性分析，HAZOP分析软件功能框图或数据流图中可能存在的偏差、原因、影响及安全措施等。首先应根据3.1中的失效模式库的建立要求，建立软件的失效模式库。软件的失效模式用偏差来表示，即属性和引导词。DFD和HAZOP属性-引导词的示例见图3和表2。

图3 数据路/控制流图（CFD/DFD）示意图

表2 CFD/DFD的HAZOP属性-引导词示例

3.4 设计阶段

在软/硬件的设计阶段，首先应进行危险分析，确保设计满足规定的安全功能，并且不引入其它新的危险。

硬件的分析方法和3.3中需求阶段的方法相同。

软件的HAZOP分析和需求阶段类似，不同的是设计阶段用功能框图、控制流图、函数关系图或状态转换图来表达。根据不同的分析对象，选用不同的属性和关键词。

3.5 实现阶段

在软/硬件的实现阶段中，应进行危险分析，确保实现满足规定的安全功能，并且不引入其它新的危险。

硬件的分析方法和3.3中需求阶段的方法相同。

软件的分析主要是依据NUREG6463进行代码评估[13]。

应记录该阶段中软/硬件的安全性和可靠性测试过程中所产生的差错、故障或失效数据，以便进行相应的安全性和可靠性分析或度量。

3.6 测试阶段

在测试阶段，应用FMEDA进行危险分析，验证测试仪器没有引入新的危险。

记录安全功能测试、可靠性增长测试和可靠性验证测试过程中的失效数据，并进行安全性和可靠性参数的计算。计算模型和需求分配分析中使用的模型相同。

最后基于分析、测试和运行经验的综合分析进行安全性和可靠性评估，评估结果显示是否满足用户的要求以及满足要求的程度。如果不满足要求，需对系统进行修改，并重新进行分析和评估。

3.7 数据收集

第3.1节提到，应在分析之前建立失效模式库，并在设计、分析、测试和运行过程中记录相关的故障、错误和失效。收集的数据应真实、完整和连续[14]。

系统和硬件的失效数据较完善，归结于系统和硬件可靠性技术的相对成熟，并收集了实际运行中大量的失效数据。系统和硬件的失效数据包括：类型、任务描述、时间历程、故障情况和维修信息等。

软件的失效数据较少，并且软件的失效主要是人为的设计错误造成的，在每个项目中失效数据都是不同的，因此缺乏足够的统计特性。具有足够统计特性的数据需要通过长时间的进行大量信息的收集来获得。软件的数据收集需根据选用的度量参数有针对性的进行分析和测试，并记录相关的数据，包括执行时间、工程数据、人员和时间投入、部件数据、异常数据及其修正等。

数据收集程序：

（1）明确数据收集的目的以及具体需要收集的数据条目；

（2）计划数据收集计划；

（3）应对收集人员进行数据收集要求和工具使用的培训；

（4）应执行试运行，过程中解决所有运行的问题以及对数据收集计划的误解；

（5）利用取得的数据预计可靠性，可靠性预计应按照一定的时间间隔有规律的经常进行；

（6）及时反馈，对数据收集过程中发现的失效情况应尽早反馈以便尽早进行纠正。

3.8 DI&C系统平台应用于以确定对象为目标的DI&C系统的要求

由3.1节可知，安全级DI&C系统平台和以确定对象为目标的DI&C系统的安全性和可靠性分析的唯一区别是需求分析。因此，当前者的需求分析完全符合后者的需求时，两者之间的差异可消除。要消除这一差异，需要具备以下条件：

（1）需求分析小组具有丰富的DI&C系统平台开发、试验和运行相关的经验，并且熟悉相关的法规、标准和指南，以确保DI&C系统平台能够具有合理的、完整的典型工程应用要求；

（2）建立完整的安全性和可靠性分析的体系和方法，以确保能够实现DI&C系统平台的安全性和可靠性要求；

（3）获得丰富的DI&C系统平台相关的历史数据，包括运行状态记录、失效或故障记录、维修记录等，以确保安全性和可靠性分析工作的顺利开展及其有效性；

（4）当DI&C系统平台应用于以确定对象为目标的应用时，应对DI&C系统平台进行适用性确认。必要的话，应根据适用性确认结果，进行补充安全性和可靠性分析。

4 结语

本文通过比较核安全级DI&C系统平台和DI&C系统，指出两者之间的主要不同是前者需要进行需求分析，除此之外，两者可以采用相同的安全性和可靠性分析方法。因此作者根据现有的核安全级DI&C系统的安全性和可靠性分析方法建立了核安全级DI&C系统平台的安全性和可靠性分析体系，包括需求分析。该分析体系主要包括：

（1）系统采用分析、现场经验和测试的综合分析方法，其中软件的安全性和可靠性通过定性分析、测试和可靠性度量来实现。

（2）对不同的生命周期阶段，采用不同的分析方法：

系统概要设计阶段：采用PHA分析、FMEDA/FTA综合分析和Markov/FTA综合分析；

软/硬件需求阶段：硬件采用FMEDA/FTA综合分析和Markov/FTA综合分析，软件采用HAZOP分析；

软/硬件设计阶段：硬件采用FMEDA/FTA综合分析和Markov/FTA综合分析，软件采用HAZOP分析；

软/硬件实现阶段：硬件采用FMEDA/FTA综合分析和Markov/FTA综合分析，软件根据NUREG6463进行代码评估；

测试阶段：安全性/可靠性参数计算和评估。

（3）介绍了安全性和可靠性数据收集方法以确保分析的科学性和有效性。

（4）提出了DI&C系统平台应用于以确定对象为目标的应用系统时的限制要求。

上述分析方法为核安全级DI&C系统平台的安全性和可靠性分析工作提供了技术支持，并且已部分地应用于核安全级仪控平台Firmsys®的分析工作中，提高了工作的完整性和有效性。

[1] IEC Std. 60880-2009: Nuclear Power Plants – Instrumentation and Control System Important to Safety Software Aspects for Computer-based Systems Performing Category A Functions， International Electrotechnical Commission， Switzerland.

[2] National Research Council: Digital Instrumentation and Control Systems in Nuclear Power Plants—Safety and Reliability Issues, National Academy Press,Washington, D.C., May 1997.

[3] IEEE Std. 7-4.3.2-2010: Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations， IEEE-SA Standards Board.

[4] RG 1.152-2011: Criteria for use of Computers in Safety Systems of Nuclear Power Plants， U.S. Nuclear Regulatory Commission.

[5] IEC 61513-2011: International Electrotechnical Commission, Switzerland.[6] IEEE 982.1-2005: Dictionary of Measures of the Software Aspects of Dependability, IEEE-SA Standards Board.

[7] NUREG/CR-6430 1996: Software Safety Hazard Analysis.

[8] NASA-GB-8719.13 2004: NASA Software Safety Guidebook

[9] IEC 61508-3 2010: Functional safety of electrical/electronic/programmable electronic safety-related systems –Part 3: Software requirements.

[10] William M. Goble: Control Systems Safety Evaluation and Reliability, ISA,January 2010: 1-177.

[11] Michael R. Lyu: Handbook of Software Reliability Engineering IEEE Computer Society Press, April 1996, 229-231.

[12] McDermid, John A., M. Nicholson, D. J. Pumfrey and P. Fenelon:Experience with the Application of HAZOP to Computer-Based Systems.Computer Assurance, June 1995: 37-48.

[13] Dong-Yung Lee. Development Experiences of a Digital Safety System in Korea. IAEA Technical Meeting, Nov, 2008.

[14] 秦宇.现场设备的可靠性数据收集[J]. 石油化工设备, 2012, 41(1):21-24.