《核工程+數(shù)字化儀控+核安全+核動(dòng)力》@EnzoReventon

核電廠功能安全分類以及相關(guān)標(biāo)準(zhǔn)

1 根據(jù)核電廠安全功能的重要性進(jìn)行分類

參考 IEC61226-2005，核電廠的安全功能按其重要性分為 A、B 和C三類。

- A類

在發(fā)生任何一個(gè)DBC-2到DBC-4內(nèi)部事件后，將電廠帶入可控狀態(tài)的安全功能（包括支持功能）都定義為A類。此處DBC是指設(shè)計(jì)基準(zhǔn)工況，按核電廠發(fā)生該工況的頻率大小，分為4級(jí)。數(shù)字越大，工況越稀有但后果越嚴(yán)重。

- B類

在發(fā)生任何一個(gè)DBC-2到DBC-4內(nèi)部事件，電廠達(dá)到可控狀態(tài)后，用于確保電廠進(jìn)入安全停堆狀態(tài)的安全功能都定義為B類。
在電廠正常運(yùn)行時(shí)故障可以導(dǎo)致DBC-3或DBC-4事件的控制功能（一回路隔離）也定義為B類。

- C類

在DEC-A事件序列后將確保電廠帶到并維持在最終狀態(tài)的安全功能定義為C類。

2 軟件可靠性要求

“軟件可靠性”是軟件質(zhì)量度量的六大屬性之一。軟件可靠性的定義是軟件系統(tǒng)在規(guī)定的時(shí)間內(nèi)及規(guī)定的環(huán)境條件下，完成規(guī)定功能的能力，表明一個(gè)由軟件構(gòu)建的儀控系統(tǒng)能夠按照核電安全設(shè)計(jì)要求和目標(biāo)，正確執(zhí)行其功能的程度。

從軟件可靠性工程的角度，核安全級(jí)軟件的可靠性、性能以及安全性問(wèn)題都需要通過(guò)軟件周期模型各個(gè)階段的設(shè)計(jì)工作予以解決。軟件生命周期各階段與軟件可靠性相關(guān)的主要活動(dòng)和任務(wù)如下圖所示。

軟件可靠性要求，除生命周期模型，還需要考慮業(yè)內(nèi)相關(guān)法規(guī)、標(biāo)準(zhǔn)對(duì)安全級(jí)軟件的可靠性要求。國(guó)際上，IEEE 軟件可靠性標(biāo)準(zhǔn)主要涉及軟件可靠性度量體系和軟件可靠性評(píng)估兩方面內(nèi)容

IEEE 982.1-2005 為軟件可靠性度量標(biāo)準(zhǔn)，主要定義了度量軟件可靠性宜采用的12 個(gè)度量參數(shù)，包括失效率、平均失效間隔時(shí)間、缺陷密度、與需求的一致性、網(wǎng)絡(luò)可靠性等，借此可對(duì)軟件質(zhì)量、特別是軟件可靠性進(jìn)行預(yù)測(cè)評(píng)估。

IEEE 1633-2008（軟件可靠性操作規(guī)程）重點(diǎn)規(guī)定了軟件可靠性評(píng)估的實(shí)施
程和可采用的軟件可靠性評(píng)估模型，該標(biāo)準(zhǔn)也是當(dāng)前最新的、較為全面的有關(guān)軟件可靠性評(píng)估的國(guó)際標(biāo)準(zhǔn)。

最后，聚焦核電領(lǐng)域，核電的法規(guī)標(biāo)準(zhǔn)近幾年都在不斷強(qiáng)調(diào)核電安全級(jí)軟件的可靠性設(shè)計(jì)與評(píng)估要求，但是缺乏 IEEE 那樣具備具體操作指導(dǎo)的內(nèi)容：

HAD 102/16-2004基于“只有遵循系統(tǒng)化、文件化和可評(píng)審的工程步驟，才能夠預(yù)計(jì)并證明軟件可信性”的觀點(diǎn)，對(duì)核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件的生命周期各個(gè)階段應(yīng)實(shí)施的活動(dòng)、主要內(nèi)容、質(zhì)量保證、以及文件編制等方面提出詳細(xì)要求，從而以為安全性設(shè)計(jì)審查論證提供證據(jù)。

IEEE 7-4.3.2-2011在 5.15 可靠性一節(jié)中要求在論證核安全級(jí)數(shù)字化系統(tǒng)的可靠性時(shí)應(yīng)考慮軟件。當(dāng)采用分析、現(xiàn)場(chǎng)經(jīng)驗(yàn)或測(cè)試相結(jié)合的方法論證系統(tǒng)可靠性時(shí)，也將軟件錯(cuò)誤記錄和趨勢(shì)納入其中。

IEC 61513-2011在 6.2.4.2.2 可靠性評(píng)定一節(jié)中要求：“軟件可能的設(shè)計(jì)缺陷對(duì)功能可靠性影響的評(píng)估宜基于定性評(píng)價(jià)，并考慮設(shè)計(jì)的復(fù)雜性、開(kāi)發(fā)過(guò)程的質(zhì)量以及運(yùn)行經(jīng)驗(yàn)的反饋。評(píng)價(jià)宜基于先前認(rèn)可的方法，宜證明軟件質(zhì)量符合可靠性目標(biāo)。”

劉真. 核電廠安全級(jí)軟件可靠性設(shè)計(jì)審查、分析與測(cè)試方法研究[D].上海交通大學(xué),2015.

3 軟件可靠性避錯(cuò)設(shè)計(jì)審查

設(shè)計(jì)缺陷是軟件失效的根源之一，為避免軟件失效，軟件開(kāi)發(fā)過(guò)程中盡可能避免或減少缺陷。軟件避錯(cuò)設(shè)計(jì)審查要依據(jù)具體的技術(shù)審查條款，檢查是否將這些保障軟件可靠性的技術(shù)要求在軟件開(kāi)發(fā)過(guò)程規(guī)范并加以實(shí)現(xiàn)。

以軟件設(shè)計(jì)與實(shí)現(xiàn)活動(dòng)為例，通過(guò)梳理歸納美國(guó)核管會(huì) NRC 技術(shù)報(bào)告NUREG/CR-6101、國(guó)際電工委員會(huì)核電標(biāo)準(zhǔn) IEC60880、并結(jié)合核電工程建設(shè)經(jīng)驗(yàn)，軟件可靠性設(shè)計(jì)技術(shù)審查需重點(diǎn)關(guān)注以下可靠性要求。包括：

• 在軟件需求書(shū)里面給出的每個(gè)需求能否追蹤到一個(gè)或者多個(gè)具體的實(shí)現(xiàn)該需求的設(shè)計(jì)元素？
• 每個(gè)設(shè)計(jì)元素能夠被追蹤到一個(gè)或者多個(gè)設(shè)計(jì)元素實(shí)現(xiàn)的具體需求？
• 是否有足夠的證據(jù)表明在設(shè)計(jì)中沒(méi)有計(jì)劃外的功能？
• 設(shè)計(jì)是否完整、協(xié)調(diào)、正確、無(wú)歧義且簡(jiǎn)單？
• 靜態(tài)和動(dòng)態(tài)結(jié)構(gòu)是否簡(jiǎn)單，設(shè)計(jì)元素間有最小的聯(lián)系？
• 軟件結(jié)構(gòu)是否實(shí)質(zhì)上層次分明？
• 對(duì)于創(chuàng)建軟件結(jié)構(gòu)，每個(gè)層次的改進(jìn)過(guò)程是否完整、自協(xié)調(diào)、以及與上一級(jí)協(xié)調(diào)（如果有）？
• 設(shè)計(jì)是否將重要的安全功能與正常操作功能分離，且它們之間設(shè)有定義明確的交互？
• 浮點(diǎn)算法比較
• 慎用遞歸算法
• 中斷，處理周期計(jì)時(shí)器中斷
• 單個(gè)處理器處理多過(guò)程
• 動(dòng)態(tài)內(nèi)存管理
• 過(guò)程間的事件驅(qū)動(dòng)通信
• 如果有多于一個(gè)正式的設(shè)計(jì)方法，它們是否相互協(xié)調(diào)？
• 是否確認(rèn)重要安全數(shù)據(jù)條目，包括它們的類型、單位、范圍和誤差界？
• 設(shè)計(jì)元素間控制連接的設(shè)計(jì)是否正確，相協(xié)調(diào)？
• 是否已證明設(shè)計(jì)元素間經(jīng)過(guò)的所有參數(shù)在種類、結(jié)構(gòu)、物理單元和方向上都相協(xié)調(diào)？
• 是否有令人信服的證據(jù)表明在初始化之前沒(méi)有使用重要安全相關(guān)的數(shù)據(jù)條目？
• 在設(shè)計(jì)過(guò)程中，需求規(guī)范中所列出的設(shè)計(jì)限制是否已遵循？
• 已知的對(duì)設(shè)計(jì)的外部限制是否確認(rèn)并包含進(jìn)設(shè)計(jì)中？這包括硬件限制、設(shè)備限制、保護(hù)系統(tǒng)設(shè)備的操作、物理規(guī)律和相似的內(nèi)容
• 將代碼調(diào)入或者調(diào)出存儲(chǔ)器
• 無(wú)法保證終止的循環(huán)
• 某種方式存入數(shù)組，指數(shù)無(wú)法保證在數(shù)組指數(shù)范圍內(nèi)
• 無(wú)條件分支
• 分支進(jìn)入循環(huán)或者模塊
• 分支出循環(huán)，除了直到循環(huán)結(jié)束后的聲明，或者知道錯(cuò)誤程序
• 將“if”聲明嵌套超過(guò) 3-4 層
• 在“case”結(jié)構(gòu)中應(yīng)用默認(rèn)條件
• 在子程序中使用多個(gè)入口點(diǎn)
• 變量過(guò)載（使用同一個(gè)變量超過(guò)一個(gè)目的）
• 動(dòng)態(tài)指令修正
• 變量隱式類型
• 在 FORTRAN 中使用“equivalence”聲明
• 模塊帶有除了向執(zhí)行器輸出、終止或者入檔外的側(cè)放作用。
• 將程序以參數(shù)的形式輸給子程序
• 測(cè)試浮點(diǎn)數(shù)是否真的相等。
• 代碼的邏輯是否正確完成重要安全設(shè)計(jì)標(biāo)準(zhǔn)？
• 設(shè)計(jì)的方程和算法是否在代碼中正確實(shí)現(xiàn)
• 代碼是否正確實(shí)現(xiàn)誤差處理設(shè)計(jì)？
• 代碼是否正確實(shí)現(xiàn)非正常和緊急處理設(shè)計(jì)？
• 是否存在令人信服的證據(jù)表明被認(rèn)為不重要的代碼能夠?qū)δ堋r(shí)序和重要安全代碼的可靠性產(chǎn)生不利影響。
• 是否存在令人信服的證據(jù)表明，程序中包含的任何中斷都不會(huì)優(yōu)先于或者組織重要安全代碼模塊的執(zhí)行
• 代碼中所定義和使用的數(shù)據(jù)條目是否與軟件設(shè)計(jì)中一致？
• 代碼中的每個(gè)數(shù)據(jù)條目是否表示為顯式類型？
• 是否存在令人信服的論據(jù)表明，沒(méi)有重要安全數(shù)據(jù)條目會(huì)以非計(jì)劃的方式或者被一個(gè)非預(yù)料到的模塊改變？
• 是否存在令人信服的論據(jù)表明，沒(méi)有中斷可以毀掉重要安全數(shù)據(jù)條目？
• 編碼模塊中參數(shù)的傳輸是否進(jìn)行一致性分析，包括類型、結(jié)構(gòu)、物理單位以及參數(shù)的數(shù)值和順序？

4 軟件可靠性容錯(cuò)設(shè)計(jì)審查

軟件避錯(cuò)設(shè)計(jì)體現(xiàn)了以預(yù)防為主的思想，該方法適用一切類型的軟件，尤其是關(guān)鍵領(lǐng)域的軟件。但對(duì)于復(fù)雜的高可靠性、高安全性軟件，往往難以完全避免軟件的設(shè)計(jì)錯(cuò)誤。軟件容錯(cuò)設(shè)計(jì)體現(xiàn)了對(duì)軟件錯(cuò)誤的包容思想。容錯(cuò)設(shè)計(jì)審查是避錯(cuò)設(shè)計(jì)審查的“縱深防御”措施，主要審查軟件錯(cuò)誤的檢測(cè)、失效的避免，以及系統(tǒng)恢復(fù)等，下面主要從冗余設(shè)計(jì)審查、多樣性設(shè)計(jì)審查、故障檢測(cè)和自恢復(fù)等方面描述軟件容錯(cuò)設(shè)計(jì)審查的要求。

5 軟件多樣性設(shè)計(jì)的審查

多樣性審查主要考慮人員多樣性、設(shè)計(jì)多樣性、軟件多樣性、功能多樣性、信號(hào)多樣性和設(shè)備多樣性 。

- 人員多樣性： 審查設(shè)計(jì)人員獨(dú)立性、維護(hù)人員分組，以減少同樣錯(cuò)誤的發(fā)生。
- 設(shè)計(jì)多樣性： 審查硬件和軟件的不同設(shè)計(jì)方法以及設(shè)計(jì)的獨(dú)立性，以使設(shè)計(jì)擁有不同的失效模式。
- 軟件多樣性： 審查使用不同設(shè)計(jì)者和不同程序設(shè)計(jì)，以至同樣錯(cuò)誤不會(huì)反復(fù)。
- 功能多樣性： 審查系統(tǒng)是否使用多個(gè)子系統(tǒng)來(lái)執(zhí)行不同的功能。
- 信號(hào)多樣性： 審查是否使用不同測(cè)量參數(shù)來(lái)啟動(dòng)保護(hù)機(jī)制。
- 設(shè)備多樣性： 審查是否采用不同的設(shè)備來(lái)執(zhí)行相似的安全功能，以使受到失效影響的可能盡量減小。

6 軟件故障檢測(cè)與自恢復(fù)技術(shù)的設(shè)計(jì)審查

對(duì)軟件故障檢測(cè)與自恢復(fù)技術(shù)的設(shè)計(jì)審查應(yīng)重點(diǎn)考慮如下內(nèi)容：

• 系統(tǒng)中是否設(shè)置有看門狗定時(shí)器?
• 看門狗定時(shí)器是否可以對(duì)每一個(gè)執(zhí)行重要功能的進(jìn)程的運(yùn)行狀態(tài)進(jìn)行監(jiān)控？
• 系統(tǒng)故障檢測(cè)和自恢復(fù)功能是否能及時(shí)捕捉到程序故障、中斷相應(yīng)保護(hù)功能子程序，并執(zhí)行內(nèi)部設(shè)定的、相應(yīng)故障識(shí)別修復(fù)功能？
• 系統(tǒng)故障檢測(cè)和自恢復(fù)功能能否實(shí)現(xiàn)以下功能的檢查，包括：
  ‐ 是否改寫(xiě)系統(tǒng)設(shè)置的 RAM 保護(hù)區(qū)？
  ‐ 采樣數(shù)據(jù)是否在合理范圍內(nèi)？
  ‐ 能否重讀控制輸出的反饋狀態(tài)值，并與系統(tǒng)設(shè)置的標(biāo)準(zhǔn)范圍值進(jìn)行一致性檢查？
  ‐ 系統(tǒng)故障檢測(cè)和自恢復(fù)功能能否對(duì)檢查出的錯(cuò)誤進(jìn)行危害嚴(yán)重性判斷，
  并執(zhí)行預(yù)設(shè)的恢復(fù)功能、報(bào)警功能或其他必要的功能？

劉真. 核電廠安全級(jí)軟件可靠性設(shè)計(jì)審查、分析與測(cè)試方法研究[D].上海交通大學(xué),2015.

總結(jié)

以上是生活随笔為你收集整理的核电厂功能安全分类、软件可靠性以及相关标准的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。