Research on Embedded Software Appraisal for Safety Level Equipment in Nuclear Power Plant

劉春磊　劉　棟　付豐年　張　甬

(中廣核工程有限公司,廣東 深圳　518124)

核電廠安全級設(shè)備嵌入式軟件鑒定研究

Research on Embedded Software Appraisal for Safety Level Equipment in Nuclear Power Plant

劉春磊劉棟付豐年張甬

(中廣核工程有限公司,廣東 深圳518124)

摘要：軟件鑒定是核電廠設(shè)備鑒定的一個重要方面，尤其是如何看待和處理安全級設(shè)備中嵌入式軟件的應(yīng)用和鑒定是核電廠建設(shè)和運營過程中一項重要的新課題。對核電廠安全級設(shè)備嵌入式軟件鑒定進行了研究。安全級系統(tǒng)和設(shè)備的功能分類與系統(tǒng)分級是軟件鑒定的前提和基礎(chǔ)。基于計算機的系統(tǒng)需要，進行軟件鑒定的原因是軟件缺陷屬于系統(tǒng)缺陷，因而可能引發(fā)共因故障。軟件鑒定各技術(shù)路線對嵌入式軟件鑒定的基本思路是相通的，相比較而言，IEC技術(shù)路線操作性最強，認可度最高，應(yīng)用也最廣泛。

關(guān)鍵詞：核電廠安全級設(shè)備設(shè)備鑒定軟件鑒定嵌入式軟件

Abstract：Software appraisal is one of the important aspects of equipment appraisal in nuclear power plant, especially, how to treat and handle the application and appraisal for embedded software of safety level equipment is a new important task in construction and operation of nuclear power plants. The software appraisal for embedded software of safety level equipment is researched. Functional classification and system grading of the safety level system and equipment are the premise and foundation of software appraisal. The reason of requesting software appraisal for the systems based on computer is the defect of software belongs to the system defect, it may lead to common cause failures. Basic idea of various technical routes implementing software appraisal is interlinked, while in comparatively speaking, the technical route of IEC is most operable and highest acceptable, and most widely used.

Keywords：Nuclear power plantSafety level equipmentEquipment appraisalSoftware appraisalEmbedded software

0引言

核電廠安全重要儀表和控制(I&C)系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)IEC 61513指出：“系統(tǒng)質(zhì)量鑒定的過程是保證I&C系統(tǒng)在規(guī)定的環(huán)境條件下能連續(xù)滿足安全重要功能的設(shè)計基準(zhǔn)性能要求”。系統(tǒng)質(zhì)量鑒定包括兩方面：功能與環(huán)境質(zhì)量鑒定和軟件評價與評定[1]，也就是硬件鑒定和軟件鑒定。硬件鑒定實際上是傳統(tǒng)的質(zhì)量鑒定要求,人們已廣為接受；而軟件鑒定則在很長一段時間不被人們所關(guān)注。自20世紀(jì)90年代以來,隨著數(shù)字化技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，其影響也逐漸波及核電廠安全級設(shè)備，由此軟件鑒定的問題日益突顯，尤其是如何看待和處理安全級設(shè)備中嵌入式軟件的應(yīng)用和鑒定已成為一個新的重要課題。本文重點對軟件鑒定的技術(shù)路線與標(biāo)準(zhǔn)體系、I&C系統(tǒng)的功能分類與系統(tǒng)分級、嵌入式軟件鑒定的原因及實施方法等有關(guān)問題進行探討。

1軟件鑒定的技術(shù)路線與標(biāo)準(zhǔn)體系

總體而言，核電廠安全重要I&C系統(tǒng)軟件鑒定的技術(shù)路線有三條：IEC技術(shù)路線、IEEE技術(shù)路線和RCC-E技術(shù)路線。各技術(shù)路線的標(biāo)準(zhǔn)體系如表1所示。

表1　軟件鑒定的技術(shù)路線與標(biāo)準(zhǔn)體系

由表1可見，IEC和IEEE技術(shù)路線均有相對完備的標(biāo)準(zhǔn)體系，而RCC-E技術(shù)路線主要依靠其自身的標(biāo)準(zhǔn)規(guī)定。

1.1　IEC技術(shù)路線

在IEC標(biāo)準(zhǔn)體系中，關(guān)于安全重要I&C系統(tǒng)的基礎(chǔ)標(biāo)準(zhǔn)是IEC 61513《核電廠安全重要儀表和控制系統(tǒng)總體要求》。該標(biāo)準(zhǔn)以核安全法規(guī)與導(dǎo)則為指導(dǎo)，采用與功能安全基礎(chǔ)標(biāo)準(zhǔn)IEC 61508和軟件工程基礎(chǔ)標(biāo)準(zhǔn)ISO/IEC 12207相同的“生命周期”模式，給出了核電廠安全重要I&C系統(tǒng)的總體要求。IEC 61513在IEC關(guān)于安全重要I&C系統(tǒng)標(biāo)準(zhǔn)體系中具有特殊地位，可視為核安全法規(guī)與IEC其他有關(guān)標(biāo)準(zhǔn)之間的橋梁。

IEC 61226《核電廠安全重要儀表和控制系統(tǒng)功能分類》則按照IEC 61513對系統(tǒng)功能安全分類的指導(dǎo)思想，給出了核動力廠安全重要I&C系統(tǒng)功能分類的具體要求。

在軟件要求方面，IEC 60880《核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的計算機軟件》和IEC 62138《核電廠安全重要儀表和控制系統(tǒng)執(zhí)行B/C類功能的計算機軟件》分別規(guī)定了核電廠安全重要I&C系統(tǒng)執(zhí)行A類和B/C類功能的計算機軟件在生命周期各階段的要求，尤其是給出了適用于嵌入式軟件鑒定的預(yù)開發(fā)軟件(PDS)的鑒定要求與方法。

1.2　IEEE技術(shù)路線

IEEE技術(shù)路線中核電廠安全級系統(tǒng)軟件鑒定的基礎(chǔ)標(biāo)準(zhǔn)為IEEE 7- 4.3.2《核電廠安全系統(tǒng)中數(shù)字計算機的適用準(zhǔn)則》。該標(biāo)準(zhǔn)同時包括軟件與硬件兩方面要求。在軟件要求方面，其特別提出了適用于嵌入式軟件的“現(xiàn)有商品級計算機的質(zhì)量鑒定”。對于新軟件，該標(biāo)準(zhǔn)指出軟件應(yīng)依據(jù)IEEE 1012進行驗證與確認(V&V)。

IEEE 1012《系統(tǒng)和軟件驗證與確認的適用準(zhǔn)則》并不是核工業(yè)的專用標(biāo)準(zhǔn)，而是系統(tǒng)和軟件驗證與確認的通用標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)建立了一個為支持所有系統(tǒng)、軟件、硬件在其生命周期各階段所需進行的V&V過程、活動以及任務(wù)的通用架構(gòu)。

1.3　RCC-E技術(shù)路線

RCC-E技術(shù)路線主要依靠其自身的標(biāo)準(zhǔn)規(guī)定對軟件鑒定進行要求。標(biāo)準(zhǔn)RCC-E《核島電氣設(shè)備設(shè)計和建造規(guī)則》在其第C5000章節(jié)規(guī)定了針對核電廠安全級系統(tǒng)計算機系統(tǒng)(重點是軟件方面)的有關(guān)要求。需說明的是，盡管RCC-E也提出了有關(guān)軟件鑒定的流程、方法和基本要求，但在具體要求方面則參考和引用了IEC相關(guān)標(biāo)準(zhǔn)。

2I&C系統(tǒng)的功能分類與系統(tǒng)分級

I&C系統(tǒng)的功能分類和系統(tǒng)分級是軟件鑒定的前提和基礎(chǔ)，涉及到軟件是否需要鑒定，如何進行鑒定以及依據(jù)何標(biāo)準(zhǔn)進行鑒定等重要問題。比如IEC標(biāo)準(zhǔn)和RCC-E均提出A類軟件鑒定遵循標(biāo)準(zhǔn)IEC 60880，B/C類軟件鑒定分別遵循標(biāo)準(zhǔn)IEC 62138第6章和第5章。

對于I&C系統(tǒng)的功能分類和系統(tǒng)分級，最重要的是不能將兩者混為一談或者簡單對應(yīng)。在標(biāo)準(zhǔn)IEC 61513發(fā)布以前，無論是IAEA文件還是IEC標(biāo)準(zhǔn)，主要討論的是系統(tǒng)分級，沒有明確提出功能分類這個主題。IEC 61513首次區(qū)分了功能分類和系統(tǒng)分級這兩個概念，并建立了兩者之間的聯(lián)系。

(1) 功能分類

核電廠設(shè)計從功能角度對核電廠及其系統(tǒng)進行分析，規(guī)定了特定的假使始發(fā)事件(PIE)和防止PIE發(fā)展為事故工況所需要的安全重要功能。按縱深防御原則，每個PIE要求一系列的獨立功能(或子功能)。依據(jù)這些功能在核電廠安全中所起的作用，其被指定為A類、B類、C類或無類別[2]。

(2) 系統(tǒng)分級

核電廠設(shè)計從系統(tǒng)角度對核電廠及其系統(tǒng)進行分析，將每個I&C系統(tǒng)和設(shè)備按其所執(zhí)行功能的安全重要性進行定級，共劃分為1級、2級、3級和無級別。只有當(dāng)I&C系統(tǒng)或設(shè)備達到一定級別的要求，才能執(zhí)行相應(yīng)類別的功能。

(3) 功能分類與系統(tǒng)分級之間的關(guān)系

I&C系統(tǒng)的功能類別與其系統(tǒng)級別之間不是簡單對應(yīng)的關(guān)系。某一類別的功能應(yīng)當(dāng)用一定級別的系統(tǒng)實現(xiàn)，也可用較高級別的系統(tǒng)實現(xiàn)；而某一級別的系統(tǒng)可完成其允許最高類別的功能，也可完成較低類別的功能。例如，2級系統(tǒng)可完成B類功能，還可完成C類功能。功能分類與系統(tǒng)分級之間的關(guān)系如表2所示。

表2　功能類別與系統(tǒng)級別

對于功能分類的方法，IEC 61513指出既考慮確定論的方法，也考慮概率論的方法。即在確定論的基礎(chǔ)上，考慮在功能失效所導(dǎo)致后果的概率及其嚴重程度、安全功能啟動后的需求時間、替代措施的采用或故障恢復(fù)的及時性與可靠性等[1]。因此，功能分類是一個需要綜合考慮的問題，通常需要系統(tǒng)設(shè)計方與設(shè)備供應(yīng)商之間進行充分溝通后確定。在此過程中，特別需注意不能簡單地認為安全級系統(tǒng)所執(zhí)行的功能只能劃分為A類。

3軟件鑒定的原因

3.1　計算機系統(tǒng)的應(yīng)用

核電廠的I&C系統(tǒng)以前采用的是硬接線系統(tǒng)，即電氣元器件和電氣設(shè)備構(gòu)建的所謂模擬系統(tǒng)；后來發(fā)展成為可編程電子或基于計算機的系統(tǒng)，即功能主要依靠或完全由使用微處理器、可編程電子設(shè)備或計算機來實現(xiàn)的I&C系統(tǒng)。隨著數(shù)字化技術(shù)和計算機技術(shù)的迅速發(fā)展及其在I&C系統(tǒng)中大量應(yīng)用，核電廠安全重要I&C系統(tǒng)也不得不更多地采用基于計算機的系統(tǒng)。計算機系統(tǒng)可采取多種形式，從支持多種功能的大型信息處理機到特定應(yīng)用的小型處理器構(gòu)成的高分布式網(wǎng)絡(luò)均可應(yīng)用。帶嵌入式軟件的設(shè)備就是典型的、小型的基于計算機的系統(tǒng)。

基于計算機的系統(tǒng)的最大特點是帶有可編程軟件，而可編程軟件雖然容易實現(xiàn)一些較復(fù)雜的功能，但同時也更容易發(fā)生設(shè)計錯誤，從而導(dǎo)致軟件共因失效(cammon cause failure,CCF)。

3.2　軟件導(dǎo)致的CCF

如果在不同的系統(tǒng)或一個系統(tǒng)的不同通道中使用了相同的軟件或軟件缺陷，則在這些系統(tǒng)或通道中就存在軟件CCF的可能[3]。對于軟件引入的CCF，必定是信號軌跡觸發(fā)了一個軟件缺陷，從而導(dǎo)致影響到兩個或更多的系統(tǒng)或通道(例如兩個保護通道、兩個閉環(huán)控制器或兩個邏輯控制子系統(tǒng))的故障。對于會涉及到某種安全的CCF，這些故障一定會破壞安全功能，并在可能產(chǎn)生安全威脅的時段內(nèi)發(fā)生，或故障本身產(chǎn)生對安全的威脅，例如失去保護或控制[3]。由于軟件缺陷是系統(tǒng)性的而非隨機性的，所以一個系統(tǒng)的軟件設(shè)計不能按與硬件相同的方式應(yīng)用單一故障準(zhǔn)則。IEC 60880指出，防御由軟件引起的CCF的基本和最重要的做法是開發(fā)高質(zhì)量的軟件，即盡可能沒有錯誤[3]。

3.3　嵌入式軟件需要進行鑒定

由上述分析可知，嵌入式軟件屬于基于計算機的系統(tǒng)，軟件缺陷屬于系統(tǒng)故障，從而可能導(dǎo)致系統(tǒng)共因故障，減少或消除軟件共因故障最重要的方法是提高軟件的質(zhì)量與可靠性。評價并改善軟件質(zhì)量與可靠性的方法是軟件鑒定，因此有必要對用于安全級系統(tǒng)的嵌入式軟件進行鑒定。

4嵌入式軟件鑒定的方法與流程

嵌入式軟件在IEC技術(shù)路線中屬于預(yù)開發(fā)軟件(pre-developed software，PDS)，在IEEE技術(shù)路線中屬于現(xiàn)有商品級物項(commercial-off-the shelf,COTS),在RCC-E技術(shù)路線中屬于現(xiàn)有軟件或可編程電子部件(programmable electronic controller,PEC)。以下分別就在上述三種技術(shù)路線下嵌入式軟件鑒定如何實施進行介紹。

4.1　IEC技術(shù)路線嵌入式軟件鑒定

按照IEC 61513及RCC-E的規(guī)定，核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能的計算機軟件遵循標(biāo)準(zhǔn)IEC 60880，執(zhí)行B/C類功能的計算機軟件遵循標(biāo)準(zhǔn)IEC 62138。標(biāo)準(zhǔn)IEC 60880和IEC 62138針對核電廠基于計算機的系統(tǒng)的軟件生命周期的各個階段均提出了相應(yīng)的要求，其不僅適用于新開發(fā)的軟件，也對預(yù)開發(fā)軟件的鑒定和使用給出了辦法和要求。預(yù)開發(fā)軟件(PDS)指現(xiàn)有的、作為商品或?qū)Ｓ挟a(chǎn)品可得到的、用于基于計算機系統(tǒng)的軟件。

IEC 62138提出了B類預(yù)開發(fā)軟件的一般鑒定流程，如圖1所示。A類及C類預(yù)開發(fā)軟件的鑒定流程與B類類似，但C類軟件鑒定相對簡略[4]。

圖1　預(yù)開發(fā)軟件鑒定流程圖

從圖1可看出，對預(yù)開發(fā)軟件的鑒定，首先可考慮根據(jù)新開發(fā)軟件的要求對預(yù)開發(fā)軟件進行標(biāo)準(zhǔn)全范圍要求的一致性評估，包括通用要求(如質(zhì)量保證、軟件驗證、配置管理、軟件工具的選擇和使用、語言選擇、安全防范、文檔要求)和軟件生命周期各階段的要求(包括軟件需求、軟件設(shè)計、軟件實現(xiàn)、軟件集成、系統(tǒng)確認、軟件修改、安裝及運行)。如經(jīng)評估，預(yù)開發(fā)軟件符合標(biāo)準(zhǔn)對軟件的通用要求及新開發(fā)軟件的要求，則可直接接受。經(jīng)常發(fā)生的情況是，對于一開始未按照相關(guān)標(biāo)準(zhǔn)進行開發(fā)的預(yù)開發(fā)軟件，很難提供足夠的證據(jù)證明其符合標(biāo)準(zhǔn)的全范圍要求，或者所提供的證據(jù)無法證明預(yù)開發(fā)軟件符合標(biāo)準(zhǔn)的全部適用要求(即存在與標(biāo)準(zhǔn)要求的不符合項或不足之處)。IEC 60880及IEC 62138針對這種情況，專門提出了采用其他方式進行合理性證明的辦法，即針對預(yù)開發(fā)軟件的專用評價。此過程是對預(yù)開發(fā)軟件進行適宜性評價、質(zhì)量評價、補充測試、運行經(jīng)驗評價的綜合活動。當(dāng)完成預(yù)開發(fā)軟件的專用評價后，如果可得出預(yù)開發(fā)軟件的合理性證明，則可接受此軟件在系統(tǒng)中的應(yīng)用；如果確認預(yù)開發(fā)軟件與系統(tǒng)要求及相應(yīng)的標(biāo)準(zhǔn)規(guī)定要求之間存在重大的、不可容忍的不符合項或缺陷，則應(yīng)考慮對該軟件進行改進。在此情況下，如該軟件按標(biāo)準(zhǔn)要求進行了相應(yīng)修改，則可接受此軟件在系統(tǒng)中的應(yīng)用；如軟件無法修改，則應(yīng)拒絕其應(yīng)用。

4.2　IEEE技術(shù)路線嵌入式軟件鑒定

IEEE 7- 4.3.2對于“現(xiàn)有商品級計算機的質(zhì)量鑒定”的要求適用于嵌入式軟件的鑒定。這里“商品級物項”指以下物項：不是為核設(shè)施專門設(shè)計或不以核設(shè)施特有的技術(shù)要求為條件的物項；用于非核設(shè)施的物項；或按制造廠產(chǎn)品說明中規(guī)定的技術(shù)條件從制造廠或供貨商處采購的物項。該標(biāo)準(zhǔn)特別說明，在那些傳統(tǒng)的鑒定過程不適用的情況下，為驗證一個設(shè)備可用于安全應(yīng)用的一種替代方法是“商品級物項的使用性確認”。按IEEE 7- 4.3.2的要求，“商品級物項的使用性確認”過程包含初步階段和詳細階段兩個階段。

IEEE 7- 4.3.2同時指出“計算機研制需要鑒別出可能使安全功能失效的危害(即異常狀態(tài)和事件)。危害是事故的一種先決條件。危害包括外部事件以及計算機硬件和軟件的內(nèi)部狀態(tài)”[5]。實際上對計算機軟件內(nèi)部狀態(tài)危害的鑒別正是軟件鑒定的重要內(nèi)容。IEEE 7- 4.3.2只給出了鑒別危害和解決危害的方法或指導(dǎo)，而并未針對核電廠安全級計算機系統(tǒng)軟件及硬件提出具體的危害內(nèi)容。這與IEC 60880不同，IEC 60880未特別提出要求鑒別危害，而是直接給出了具體的危害內(nèi)容，并要求安全級計算機軟件落實相關(guān)要求，以避免危害，從而實現(xiàn)安全性。從這個意義上來說，對于軟件鑒定，IEC 60880可能更具有操作性。

4.3　RCC-E技術(shù)路線下嵌入式軟件鑒定的實施

標(biāo)準(zhǔn)RCC-E在其第C5000章節(jié)規(guī)定了針對核電廠安全級系統(tǒng)計算機系統(tǒng)(重點是軟件方面)的有關(guān)要求。RCC-E 2002及2005版特別提出了針對現(xiàn)有軟件和可編程電子部件(PEC)的軟件鑒定方法。帶嵌入式軟件的部件屬于可編程電子部件。為了更好的理解可編程電子部件的概念，可參考標(biāo)準(zhǔn)IEC 61508對于可編程電子(PE)的定義：可編程電子以計算機技術(shù)為基礎(chǔ)，可以由硬件、軟件及其輸入和(或)輸出單元構(gòu)成，包括以一個或多個中央處理器(CPU)及相關(guān)的存儲器等為基礎(chǔ)的微電子裝置。下列均是可編程電子裝置：微處理器、微控制器、可編程控制器、專用集成電路(ASIC)、可編程邏輯控制器(PLC)、其他以計算機為基礎(chǔ)的裝置(智能傳感器、變送器、執(zhí)行器)[6]。

RCC-E提出可采用“補充功能鑒定”(即在設(shè)備硬件鑒定基礎(chǔ)上的補充軟件鑒定)的方法對安全級PEC進行軟件鑒定。“補充功能鑒定”要求對PEC從以下幾方面進行評價：技術(shù)性評價、功能性評價、質(zhì)量保證的評價、軟件可靠性的評價、補充試驗、經(jīng)驗反饋評價、軟件變更管理過程評價[7]。

綜上所述，各技術(shù)路線對嵌入式軟件鑒定的基本思路是相通的，均要求對軟件的性能與功能、質(zhì)量保證、運行經(jīng)驗、補充測試、變更管理等方面進行評價。相比較而言，IEC技術(shù)路線操作性最強，認可度最高，應(yīng)用也最廣泛。

5結(jié)束語

嵌入式軟件屬于基于計算機的系統(tǒng)，軟件缺陷屬于系統(tǒng)故障，從而可能導(dǎo)致系統(tǒng)共因故障，消除或減少軟件共因故障最重要的方法是提高軟件的質(zhì)量與可靠性，評價并改善軟件質(zhì)量與可靠性的方法是軟件鑒定。軟件鑒定的前提和基礎(chǔ)是對安全級系統(tǒng)或設(shè)備的功能分類與系統(tǒng)分級。核電廠安全級設(shè)備嵌入式軟件鑒定各技術(shù)路線的基本思路是相通的，相比較而言，IEC技術(shù)路線操作性最強，認可度最高，應(yīng)用也最廣泛。

參考文獻

[1] IEC 61513-2001.Nuclear power plants-Instrumentation and control systems important to safety-General requirements for systems[S].

[2] IEC 61226-2005.Nuclear power plants-Instrumentation and control systems important to safety-classification of instrumentation and control functions[S].

[3] IEC 60880-2006.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category A functions[S].

[4] IEC 62138-2004.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category B or C functions[S].

[5] IEEE 7- 4.3.2-2003.IEEE standard for digital computers in safety systems of nuclear power generation stations[S].

[6] IEC 61508-2010.Function safety of electrical/ electronic/programmable electronic safety-related system[S].

[7] RCC-E-2005.Design and construction rules for electrical equipment of nuclear islands[S].

中圖分類號：TH7；TL48

文獻標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201507014

修改稿收到日期：2014-06-13。

第一作者劉春磊(1980-)，男，2007年畢業(yè)于大連理工大學(xué)電氣工程及其自動化專業(yè)，獲學(xué)士學(xué)位，工程師；主要從事核電廠設(shè)備鑒定、電氣設(shè)備采購與成套等方面的工作。