劉 真 胡立生 白 濤

(上海交通大學(xué)自動(dòng)化系1，上海 200030;深圳中廣核工程設(shè)計(jì)有限公司2，廣東 深圳 518172)

0 引言

反應(yīng)堆保護(hù)系統(tǒng)的數(shù)字化是信息技術(shù)高速發(fā)展時(shí)代的一種不可逆轉(zhuǎn)的趨勢(shì)，是計(jì)算機(jī)技術(shù)應(yīng)用于核電站反應(yīng)堆保護(hù)系統(tǒng)的必然。數(shù)字化保護(hù)系統(tǒng)可以獲得比模擬的保護(hù)系統(tǒng)更高的可靠性、準(zhǔn)確性和穩(wěn)定性，同時(shí)可大幅度地提高反應(yīng)堆保護(hù)系統(tǒng)的功能。數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)在具有極大優(yōu)越性的同時(shí)，也對(duì)設(shè)計(jì)和安全評(píng)審提出了區(qū)別于模擬系統(tǒng)的新問(wèn)題，其核心是如何遵循核電廠安全級(jí)軟件可靠性設(shè)計(jì)的相關(guān)法規(guī)標(biāo)準(zhǔn)要求，確保軟件能完整正確滿足預(yù)期的安全功能。

1 設(shè)計(jì)標(biāo)準(zhǔn)要求

核電廠建造過(guò)程中，系統(tǒng)執(zhí)行安全等級(jí)的功能不同，對(duì)其設(shè)備的鑒定要求也不同。所以核電廠儀控設(shè)計(jì)的首要任務(wù)是開(kāi)展安全等級(jí)劃分與定義。

國(guó)際上安全分級(jí)的標(biāo)準(zhǔn)體系以及類別各異，本文以IEC 61226 (2005)核電廠執(zhí)行安全重要功能的儀表和控制系統(tǒng)的安全等級(jí)劃分為采納標(biāo)準(zhǔn)，進(jìn)行安全分級(jí)討論。

按照三代核電廠用戶需求安全功能的規(guī)定，引入了電廠可控狀態(tài)、安全停堆狀態(tài)和超設(shè)計(jì)基準(zhǔn)(DEC -A)分析的最終狀態(tài)三個(gè)物理狀態(tài)。

①可控狀態(tài):堆芯次臨界，如通過(guò)蒸汽發(fā)生器在短時(shí)間內(nèi)堆芯熱排出、堆芯水裝量穩(wěn)定和放射性排放在允許范圍內(nèi)。

②安全停堆狀態(tài):堆芯次臨界，保證長(zhǎng)期地余熱排出和放射性排放在允許范圍內(nèi)。

③最終狀態(tài):堆芯次臨界，通過(guò)一、二次回路進(jìn)行余熱排出和放射性排放在允許范圍內(nèi)。

IEC 61226 (2005)，將核電廠的安全功能按其重要性分為A、B、C 級(jí)［7］。

①A 級(jí)

在發(fā)生任何一個(gè)DBC-2 ～DBC -4 內(nèi)部事件后，將電廠帶入可控狀態(tài)的安全功能(包括支持功能)都定義為A 級(jí)(注:DBC，設(shè)計(jì)基準(zhǔn)工況，按核電廠發(fā)生該工況的頻率大小，分為4 級(jí)。數(shù)字越大，工況越稀有，但后果越嚴(yán)重)。

②B 級(jí)

在發(fā)生任何一個(gè)DBC-2 ～DBC -4 內(nèi)部事件、電廠達(dá)到可控狀態(tài)后，用于確保電廠進(jìn)入安全停堆狀態(tài)的安全功能都定義為B 級(jí)。

在電廠正常運(yùn)行時(shí)故障可以導(dǎo)致DBC - 3 或DBC-4事件的控制功能(一回路隔離)，也定義為B 級(jí)。

③C 級(jí)

在DEC-A 事件序列后，將確保電廠帶到并維持在最終狀態(tài)的安全功能定義為C 級(jí)。

本文重點(diǎn)執(zhí)行A 類安全功能的軟件可靠性分析方法，其他部分(執(zhí)行B、C 類安全功能的軟件)不再贅述。

對(duì)于工業(yè)關(guān)鍵領(lǐng)域的軟件可靠性標(biāo)準(zhǔn)，IEEE 標(biāo)準(zhǔn)體系相對(duì)其他體系更豐富且可操作性更強(qiáng)，主要包括軟件可靠性度量體系和軟件可靠性評(píng)估兩方面。軟件可靠性度量體系由IEEE 982.1 -2005(軟件可信性度量詞典)和IEEE 982.2 -1988(軟件可靠性度量實(shí)施指南)組成。

IEEE 982.1 -2005 主要回答了使用哪些參數(shù)對(duì)軟件可靠性進(jìn)行度量的問(wèn)題，即用戶可以通過(guò)哪些方面對(duì)軟件質(zhì)量特別是對(duì)軟件的可靠性進(jìn)行了解和評(píng)價(jià)［1］。

IEEE 982.1 -2005 是IEEE 982.1 -1988 的修訂版，體現(xiàn)了軟件可靠性作為軟件質(zhì)量重要屬性在軟件質(zhì)量控制方面的新方法和新趨勢(shì)。與IEEE 982.1 -1988 相比，IEEE 982.1 -2005 作了較大程度的修改。IEEE 982.1 -1988 關(guān)于軟件可靠性屬性有39 個(gè)不同的度量參數(shù)，而IEEE 982.1 -2005 刪除了其中的32個(gè)度量參數(shù)，并對(duì)剩余度量參數(shù)中4 個(gè)進(jìn)行了修改，只有3 個(gè)得到完全保留。同時(shí)新增了5 個(gè)度量參數(shù)，即可靠性度量參數(shù)變更為12 個(gè)，其中有75%的度量參數(shù)是新增或修改的。軟件可靠性評(píng)估主要包括IEEE 1633 -2008(軟件可靠性操作規(guī)程)，其替代了AIAA/ANSI R -013 -1992(軟件可靠性操作規(guī)程)。IEEE 1633 -2008 是IEEE 最新發(fā)布的軟件可靠性評(píng)估標(biāo)準(zhǔn)，也是當(dāng)前最新的關(guān)于軟件可靠性評(píng)估的國(guó)際標(biāo)準(zhǔn)。IEEE 1633 -2008 主要解決了如何進(jìn)行軟件可靠性評(píng)估的問(wèn)題，包括軟件可靠性評(píng)估過(guò)程和軟件可靠性評(píng)估模型兩方面。

20 世紀(jì)90 年代至今，通過(guò)借鑒國(guó)外相關(guān)標(biāo)準(zhǔn)，我國(guó)也制定了軟件可靠性相關(guān)標(biāo)準(zhǔn)。

①國(guó)軍標(biāo)GJB/Z102A-2012《軟件安全性設(shè)計(jì)指南》規(guī)定軍用軟件安全性設(shè)計(jì)的實(shí)施指南，給出軍用軟件在需求分析、設(shè)計(jì)和實(shí)現(xiàn)階段的軟件安全性設(shè)計(jì)準(zhǔn)則、要求及實(shí)現(xiàn)的技術(shù)方法，同時(shí)也為可靠性設(shè)計(jì)提供參考。附錄C 中給出軟件故障樹(shù)定性分析的基本實(shí)施步驟及應(yīng)用示例，但未提及定量分析的相關(guān)內(nèi)容。該標(biāo)準(zhǔn)已代替GJB/Z 102 -1997《軟件可靠性安全性設(shè)計(jì)準(zhǔn)則》。

②國(guó)軍標(biāo)GJB/Z161 -2012《軍用軟件可靠性評(píng)估指南》規(guī)定軍用軟件可靠性評(píng)估與可靠性測(cè)試的實(shí)施指南，其中包括定量評(píng)估軍用軟件產(chǎn)品可靠性的實(shí)施方法。

③國(guó)軍標(biāo)GJB/Z 1391 -2006《故障模式、影響及危害性分析指南》規(guī)定了故障模式、影響及危害性分析(FMECA)的程序和方法，適用于產(chǎn)品(包括硬件、軟件)在論證、方案、工程研制與定型、生產(chǎn)和使用等生命周期各階段開(kāi)展FMECA 工作。其中第6 章專門對(duì)嵌入式軟件FMECA 的工作步驟、分析方法及注意事項(xiàng)進(jìn)行了詳細(xì)說(shuō)明。

可以看出，國(guó)軍標(biāo)在執(zhí)行安全功能軟件的可靠性設(shè)計(jì)與評(píng)估方面，處于國(guó)內(nèi)較領(lǐng)先地位。但是，隨著數(shù)字化核電廠的大規(guī)模項(xiàng)目上馬，核電設(shè)計(jì)的主要法規(guī)標(biāo)準(zhǔn)也不斷強(qiáng)調(diào)核電安全級(jí)軟件的可靠性設(shè)計(jì)與評(píng)估要求。

①HAD 102/16 -2004 基于“只有遵循系統(tǒng)化、文件化和可評(píng)審的工程步驟，才能夠預(yù)計(jì)并證明軟件可信性”的觀點(diǎn)，對(duì)核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件的生命周期各個(gè)階段應(yīng)實(shí)施的活動(dòng)、重點(diǎn)關(guān)注內(nèi)容、管理和質(zhì)量保證、文件編制等方面提出要求，從而為安全性論證提供證據(jù)。

②IEEE 7-4.3.2 -2011 在5.15 可靠性一節(jié)中要求“在論證核安全級(jí)數(shù)字化系統(tǒng)的可靠性時(shí)應(yīng)考慮軟件。當(dāng)采用分析、現(xiàn)場(chǎng)經(jīng)驗(yàn)或測(cè)試相結(jié)合的方法論證系統(tǒng)可靠性時(shí)，也將軟件錯(cuò)誤記錄和趨勢(shì)納入其中。”

③IEC 61513 -2011 在6.2.4.2.2 可靠性評(píng)定一節(jié)中要求:“軟件可能的設(shè)計(jì)缺陷對(duì)功能可靠性影響的評(píng)估宜基于定性評(píng)價(jià)，并考慮設(shè)計(jì)的復(fù)雜性、開(kāi)發(fā)過(guò)程的質(zhì)量以及運(yùn)行經(jīng)驗(yàn)的反饋。評(píng)價(jià)宜基于先前認(rèn)可的方法，宜證明軟件質(zhì)量符合可靠性目標(biāo)”。

2 核電廠數(shù)字化儀控總體方案

核電站儀表和控制系統(tǒng)為核電站各系統(tǒng)及工藝設(shè)備提供控制、保護(hù)及信息監(jiān)測(cè)手段，以保證核電站能安全、可靠和經(jīng)濟(jì)地運(yùn)行。核電站儀表和控制系統(tǒng)在縱向上主要可分為3 個(gè)層次:0 層(工藝系統(tǒng)接口層)、1 層(自動(dòng)控制和保護(hù)層)和2 層(操作和信息管理層)?？傮w方案結(jié)構(gòu)如圖1 所示(注:某些核電廠還有第3 層即全廠信息管理層，屬于信號(hào)單向的信息管理層，不在本文討論之列)。該方案結(jié)構(gòu)滿足三代核電技術(shù)特征。

圖1 滿足三代核電特征的儀控總體結(jié)構(gòu)圖Fig.1 The overall structure of the I ＆ C system meets features of the third generation nuclear power

目前，滿足三代核電技術(shù)特征的核電廠通常都采用了數(shù)字化儀控系統(tǒng)，來(lái)完成數(shù)據(jù)采集、信號(hào)預(yù)處理、邏輯處理、控制算法運(yùn)算、產(chǎn)生自動(dòng)控制指令和保護(hù)等功能，包括反應(yīng)堆保護(hù)系統(tǒng)(RTS +ESFAS)、電站標(biāo)準(zhǔn)自動(dòng)化系統(tǒng)(PCS)和反應(yīng)堆功率控制系統(tǒng)(RCCS)。除此之外，還采用了多樣化驅(qū)動(dòng)系統(tǒng)(DAS)，以對(duì)付保護(hù)系統(tǒng)共因故障，其主要功能包括ATWS 系統(tǒng)和專設(shè)驅(qū)動(dòng)邏輯系統(tǒng)。此外，還采用了嚴(yán)重事故系統(tǒng)(SAS)，它能在嚴(yán)重事故情況下提供必要的指令和信息，并與專用于嚴(yán)重事故的非能動(dòng)安全系統(tǒng)相結(jié)合，提供限制放射性物質(zhì)排放到環(huán)境中的必要的緩解途徑。

核電站儀表和控制系統(tǒng)的操作和管理信息層執(zhí)行信息支持、診斷、工藝信息和操縱員動(dòng)作的記錄，以及通過(guò)操作設(shè)備對(duì)機(jī)組進(jìn)行控制等任務(wù)，包括過(guò)程信息和控制系統(tǒng)(VDU)及安全信息和控制系統(tǒng)(SVDU +ECP)。

PICS(VDU)提供了對(duì)電站所有系統(tǒng)(包括安全級(jí)和非安全級(jí)系統(tǒng))的監(jiān)視和控制，采用數(shù)字化技術(shù)。

SICS(SVDU+ECP)用于關(guān)鍵安全功能的系統(tǒng)級(jí)手動(dòng)觸發(fā)、非自動(dòng)執(zhí)行的其他安全功能的手動(dòng)觸發(fā)及向操縱員提供所有安全相關(guān)的電站信息(包括事故后所需的關(guān)鍵參數(shù))。SICS 中的SVDU 為人機(jī)接口設(shè)備，布置在操縱員站和后備盤上。

3 核電廠安全級(jí)軟件可靠性設(shè)計(jì)方法

3.1 軟件可靠性避錯(cuò)設(shè)計(jì)

研究表明，人的錯(cuò)誤可以導(dǎo)致軟件缺陷病造成系統(tǒng)失效，因此缺陷是一切失效的根源。要消除軟件的失效，最明智的做法是在軟件開(kāi)發(fā)過(guò)程中盡可能避免或減少缺陷，這也就是軟件避錯(cuò)設(shè)計(jì)的出發(fā)點(diǎn)，也是本節(jié)討論的重點(diǎn)。軟件避錯(cuò)設(shè)計(jì)要通過(guò)嚴(yán)格的軟件開(kāi)發(fā)過(guò)程、方法以及正式規(guī)范加以實(shí)現(xiàn)。

軟件可靠性設(shè)計(jì)應(yīng)和軟件的常規(guī)設(shè)計(jì)緊密結(jié)合，貫穿常規(guī)設(shè)計(jì)過(guò)程的始終，它包括了從計(jì)劃制定、需求分析開(kāi)始，直至軟件實(shí)現(xiàn)的全部過(guò)程［2］。軟件和硬件的可靠性雖然有相似的特征，但是又存在不同，包括失效原因、失效率、廢棄原因等。從硬件和軟件可靠性特征的比對(duì)得出，設(shè)計(jì)質(zhì)量對(duì)于軟件可靠性具有特殊意義。與硬件相比，軟件可靠性對(duì)設(shè)計(jì)的依賴程度更大，要保障軟件的可靠性，關(guān)鍵在于軟件的可靠性設(shè)計(jì)。

NUREG/CR6101 -1993《核電廠保護(hù)系統(tǒng)軟件的可靠性與安全性》從軟件的全生命周期角度提出了軟件可靠性定性評(píng)估條款。這些條款來(lái)源于關(guān)鍵工業(yè)軟件設(shè)計(jì)以及制作的活動(dòng)，它是已有的、相似軟件的工程經(jīng)驗(yàn)的總結(jié)，并被美國(guó)電力行業(yè)專題報(bào)告所采納。美國(guó)核管會(huì)NRC 認(rèn)為，當(dāng)貫徹執(zhí)行了NUREG/CR6101所羅列的可靠性要求條款后，對(duì)于核電廠安全級(jí)軟件的可靠性具有重要意義，可以有效避免或減少軟件缺陷的引入，提高軟件的固有可靠性。以“核電廠安全級(jí)軟件需求階段”為例，做為軟件可靠性設(shè)計(jì)的源頭，軟件需求規(guī)格(SRS)記錄軟件的所有需求，對(duì)于保證最終軟件產(chǎn)品的可靠性屬性至關(guān)重要。結(jié)合法規(guī)標(biāo)準(zhǔn)要求以及核電廠設(shè)計(jì)建設(shè)經(jīng)驗(yàn)，為了保證執(zhí)行核電廠安全功能軟件的可靠性要求，SRS 編制時(shí)除了常規(guī)的功能性描述外，還需重點(diǎn)關(guān)注［10］以下幾個(gè)方面。

①對(duì)硬件或者軟件進(jìn)行的變更是否在SRS 中記錄?功能需求是否已獨(dú)立驗(yàn)證?

②每個(gè)需求是否都無(wú)歧義表達(dá)?功能需求作為一個(gè)整體能否相互協(xié)調(diào)?

③每個(gè)功能需求是否都能夠檢驗(yàn)，或者通過(guò)檢查，或者通過(guò)測(cè)試?

④子程序調(diào)用、遠(yuǎn)程過(guò)程調(diào)用，通信信道是否清晰表述?

⑤每個(gè)信息的傳送方法和介質(zhì)是否定義?

⑥靜態(tài)運(yùn)行要求是否充分描述?是否有完整清晰的時(shí)序要求?

⑦每個(gè)軟件需求是否可測(cè)試?可靠性和安全要求是否獨(dú)立定義?

⑧在系統(tǒng)危險(xiǎn)分析中確認(rèn)的每個(gè)危險(xiǎn)是否都能夠追蹤到一個(gè)或者多個(gè)軟件需求，它們會(huì)防止、抑制或者減輕這些危險(xiǎn)?

⑨如果軟件被要求診斷硬件或者軟件錯(cuò)誤，所檢測(cè)的錯(cuò)誤的等級(jí)是否將被分級(jí)?

3.2 軟件可靠性容錯(cuò)設(shè)計(jì)

研究表明，軟件之所以不可靠，一是與軟件中存在的缺陷有關(guān)，二是與軟件使用相關(guān)。軟件缺陷是導(dǎo)致軟件失效、影響軟件可靠性的根源，沒(méi)有缺陷，軟件就絕對(duì)可靠。因此為了保障軟件可靠性，可以有兩種設(shè)計(jì)途徑:一種是3.1 節(jié)所討論的軟件避錯(cuò)設(shè)計(jì)，體現(xiàn)了以預(yù)防為主的思想，避錯(cuò)設(shè)計(jì)適用一切類型的軟件，應(yīng)當(dāng)貫穿軟件開(kāi)發(fā)的全過(guò)程;另一種則是“軟件容錯(cuò)設(shè)計(jì)”［4］。

面對(duì)日益龐大、復(fù)雜的軟件系統(tǒng)，不論其設(shè)計(jì)如何精心，軟件仍然難免存在缺陷。因此軟件通過(guò)避錯(cuò)設(shè)計(jì)不能做到?jīng)]有缺陷，只能讓軟件達(dá)到一定程度的可靠性，對(duì)有高可靠性要求或失效后果可能為災(zāi)難性的系統(tǒng)，僅僅采用避錯(cuò)設(shè)計(jì)是不能滿足要求的。錯(cuò)誤容忍是最后一道防線。其目的在于將允許系統(tǒng)檢測(cè)錯(cuò)誤并且避免失效的技術(shù);或者檢測(cè)錯(cuò)誤并從其所導(dǎo)致的錯(cuò)誤中恢復(fù)的技術(shù)，其中隱含的哲理是縱深防御［6］。

以某核電廠數(shù)字化儀控保護(hù)系統(tǒng)為例，當(dāng)系統(tǒng)在容錯(cuò)設(shè)計(jì)的軟硬件支撐環(huán)境下，由Watchdog 定時(shí)器監(jiān)控每一個(gè)進(jìn)程的運(yùn)行狀態(tài)。當(dāng)系統(tǒng)由于外部干擾等原因使程序故障進(jìn)而引起該進(jìn)程工作步長(zhǎng)超過(guò)其Watchdog 定時(shí)值時(shí)，Watchdog 捕捉了這一狀態(tài)，中斷服務(wù)子程序識(shí)別了該進(jìn)程，并執(zhí)行了一系列識(shí)別修復(fù)步驟。首先，即時(shí)檢查系統(tǒng)設(shè)置的RAM 保護(hù)區(qū)是否被改寫，采集的數(shù)據(jù)是否在合理范圍內(nèi)。例如:保護(hù)溫度值的第一字節(jié)的值必須在0 ～50 之間，除此之外的任何值都說(shuō)明是被破壞的非法數(shù)據(jù)。通過(guò)重讀控制輸出反饋狀態(tài)值，判定控制輸出是否正確，將運(yùn)行處理結(jié)果與系統(tǒng)設(shè)置的一組標(biāo)準(zhǔn)范圍值相比較，確定是否要修正。根據(jù)診斷的故障類型和性質(zhì)，可提出不同的修復(fù)決策。如出現(xiàn)反復(fù)性破壞RAM 工作區(qū)等不可修復(fù)故障，則強(qiáng)行報(bào)警、切換后投入系統(tǒng)復(fù)位，實(shí)行人工干預(yù)排錯(cuò)處理。

3.3 其他軟件可靠性設(shè)計(jì)方法

在筆者所了解到的核電廠軟件可靠性設(shè)計(jì)方法中，除了3.1、3.2 所描述的方法外，目前科研工作者仍在不斷地?cái)U(kuò)展軟件可靠性設(shè)計(jì)研究方法，例如FMEA/FMECA、makov 法、Petri 網(wǎng)分析法等，但是考慮到其種種限制使用條件(如輸入數(shù)據(jù)、分析工具、龐大的數(shù)據(jù)量等)，相關(guān)方法仍未在核電領(lǐng)域得到廣泛工程采用。

FMEA/FMECA 是用于分析故障和發(fā)現(xiàn)故障樹(shù)終端事件的系統(tǒng)性方法。其應(yīng)用重點(diǎn)在早期系統(tǒng)設(shè)計(jì)階段和軟件開(kāi)發(fā)過(guò)程的早期(如需求分析與概要設(shè)計(jì)階段)，用于發(fā)現(xiàn)與功能和性能有關(guān)的、軟件需求或體系結(jié)構(gòu)等存在的缺陷，以盡早完善需求分析和概要設(shè)計(jì)，從而影響設(shè)計(jì)以降低風(fēng)險(xiǎn)。

Markov 模型是一種用于捕捉系統(tǒng)狀態(tài)以及狀態(tài)間轉(zhuǎn)換概率的統(tǒng)計(jì)模型，其刻畫的系統(tǒng)狀態(tài)變遷過(guò)程就是Markov 過(guò)程。Markov 過(guò)程的特性是無(wú)后效性，即對(duì)于一個(gè)系統(tǒng)，由一個(gè)狀態(tài)轉(zhuǎn)換至另一個(gè)狀態(tài)的轉(zhuǎn)換過(guò)程中，存在轉(zhuǎn)移概率，并且這種轉(zhuǎn)移概率可以依據(jù)其緊接的前一狀態(tài)推算出來(lái)，與系統(tǒng)的原始狀態(tài)和此次轉(zhuǎn)移前的Makov 過(guò)程無(wú)關(guān)。

Petri 網(wǎng)分析法是一種系統(tǒng)的數(shù)學(xué)模型和圖形分析技術(shù)，可用來(lái)模擬和分析復(fù)雜系統(tǒng)的同步、并發(fā)、分布、沖突、資源共享等現(xiàn)象，以及關(guān)鍵安全的系統(tǒng)諸如可恢復(fù)性、可達(dá)性、死鎖及故障容限等方面的特性。Petri 網(wǎng)分析法是一種動(dòng)態(tài)分析方法，根據(jù)所構(gòu)造的Petri 網(wǎng)模型，可以得到系統(tǒng)的結(jié)構(gòu)和動(dòng)態(tài)行為等方面信息。在Petri 網(wǎng)中，系統(tǒng)的狀態(tài)用庫(kù)所表示，改變狀態(tài)的事件用變遷表示，令牌用來(lái)模擬系統(tǒng)的行為及其并發(fā)活動(dòng)。它可以清晰地說(shuō)明狀態(tài)轉(zhuǎn)移的進(jìn)程，并可轉(zhuǎn)化為數(shù)學(xué)邏輯表達(dá)式。

4 結(jié)束語(yǔ)

目前，越來(lái)越多的基于軟件的系統(tǒng)和設(shè)備在核電站儀控系統(tǒng)得到大規(guī)模應(yīng)用，因此軟件的可靠性問(wèn)題已成為數(shù)字化核電廠設(shè)計(jì)與制造過(guò)程中必須要解決的重要安全問(wèn)題。上述背景之下，本文通過(guò)梳理國(guó)內(nèi)外針對(duì)核電站數(shù)字化儀控系統(tǒng)軟件可靠性的相關(guān)標(biāo)準(zhǔn)要求，結(jié)合國(guó)內(nèi)核電廠軟件可靠性工程研究經(jīng)驗(yàn)，完成了核電廠關(guān)鍵軟件的可靠性標(biāo)準(zhǔn)要求及方法研究，以期對(duì)我國(guó)核電安全級(jí)軟件可靠性評(píng)估策劃和實(shí)施提供借鑒。

［1］ 王文東.軟件可靠性保證與評(píng)測(cè)技術(shù)［J］.微機(jī)發(fā)展，2004(11):104 -106.

［2］ 魏穎.航天載荷應(yīng)用軟件可靠性參數(shù)的分析與確立［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2008(10):2564 -2566.

［3］ 蔡開(kāi)元.軟件可靠性概要［J］.系統(tǒng)工程與電子技術(shù)，1993(4):45 -47.

［4］ 宮云戰(zhàn).軟件測(cè)試與軟件可靠性之間的關(guān)系［J］. 同濟(jì)大學(xué)學(xué)報(bào):自然科學(xué)版，2002(12):967 -978.

［5］ 朱起悅.軟件可靠性的定量評(píng)估［J］.電子產(chǎn)品可靠性與環(huán)境試驗(yàn)，2003(4):30 -32.

［6］ 吳玉美，陸民燕，阮鐮.軟件可靠性加速測(cè)試方法研究［J］.計(jì)算機(jī)工程與應(yīng)用，2006(8):40 -43.

［7］ IEC 60880 - 2006 Nuclear power plants - instrumentation and control systems important to safety -software aspect for computerbased systems performing category a functions［R］.2006.

［8］ BTP 7 -14 guidange on software reviews for digital computer-based instrumentation and control systems［R］.2007.

［9］ NUREG/CR-6430:software safety hazard analysis［S］.1996.

［10］NUREG/CR - 6101:software reliability and safety in nuclear reactor protection systems［R］.1993.