核电厂安全级设备嵌入式软件鉴定研究

Research on Embedded Software Appraisal for Safety Level Equipment in Nuclear Power Plant

刘春磊　刘　栋　付丰年　张　甬

(中广核工程有限公司,广东 深圳　518124)

核电厂安全级设备嵌入式软件鉴定研究

Research on Embedded Software Appraisal for Safety Level Equipment in Nuclear Power Plant

刘春磊刘栋付丰年张甬

(中广核工程有限公司,广东 深圳518124)

摘要：软件鉴定是核电厂设备鉴定的一个重要方面，尤其是如何看待和处理安全级设备中嵌入式软件的应用和鉴定是核电厂建设和运营过程中一项重要的新课题。对核电厂安全级设备嵌入式软件鉴定进行了研究。安全级系统和设备的功能分类与系统分级是软件鉴定的前提和基础。基于计算机的系统需要，进行软件鉴定的原因是软件缺陷属于系统缺陷，因而可能引发共因故障。软件鉴定各技术路线对嵌入式软件鉴定的基本思路是相通的，相比较而言，IEC技术路线操作性最强，认可度最高，应用也最广泛。

关键词：核电厂安全级设备设备鉴定软件鉴定嵌入式软件

Abstract：Software appraisal is one of the important aspects of equipment appraisal in nuclear power plant, especially, how to treat and handle the application and appraisal for embedded software of safety level equipment is a new important task in construction and operation of nuclear power plants. The software appraisal for embedded software of safety level equipment is researched. Functional classification and system grading of the safety level system and equipment are the premise and foundation of software appraisal. The reason of requesting software appraisal for the systems based on computer is the defect of software belongs to the system defect, it may lead to common cause failures. Basic idea of various technical routes implementing software appraisal is interlinked, while in comparatively speaking, the technical route of IEC is most operable and highest acceptable, and most widely used.

Keywords：Nuclear power plantSafety level equipmentEquipment appraisalSoftware appraisalEmbedded software

0引言

核电厂安全重要仪表和控制(I&C)系统的基础标准IEC 61513指出：“系统质量鉴定的过程是保证I&C系统在规定的环境条件下能连续满足安全重要功能的设计基准性能要求”。系统质量鉴定包括两方面：功能与环境质量鉴定和软件评价与评定[1]，也就是硬件鉴定和软件鉴定。硬件鉴定实际上是传统的质量鉴定要求,人们已广为接受；而软件鉴定则在很长一段时间不被人们所关注。自20世纪90年代以来,随着数字化技术的迅猛发展和广泛应用，其影响也逐渐波及核电厂安全级设备，由此软件鉴定的问题日益突显，尤其是如何看待和处理安全级设备中嵌入式软件的应用和鉴定已成为一个新的重要课题。本文重点对软件鉴定的技术路线与标准体系、I&C系统的功能分类与系统分级、嵌入式软件鉴定的原因及实施方法等有关问题进行探讨。

1软件鉴定的技术路线与标准体系

总体而言，核电厂安全重要I&C系统软件鉴定的技术路线有三条：IEC技术路线、IEEE技术路线和RCC-E技术路线。各技术路线的标准体系如表1所示。

表1　软件鉴定的技术路线与标准体系

由表1可见，IEC和IEEE技术路线均有相对完备的标准体系，而RCC-E技术路线主要依靠其自身的标准规定。

1.1　IEC技术路线

在IEC标准体系中，关于安全重要I&C系统的基础标准是IEC 61513《核电厂安全重要仪表和控制系统总体要求》。该标准以核安全法规与导则为指导，采用与功能安全基础标准IEC 61508和软件工程基础标准ISO/IEC 12207相同的“生命周期”模式，给出了核电厂安全重要I&C系统的总体要求。IEC 61513在IEC关于安全重要I&C系统标准体系中具有特殊地位，可视为核安全法规与IEC其他有关标准之间的桥梁。

IEC 61226《核电厂安全重要仪表和控制系统功能分类》则按照IEC 61513对系统功能安全分类的指导思想，给出了核动力厂安全重要I&C系统功能分类的具体要求。

在软件要求方面，IEC 60880《核电厂安全重要仪表和控制系统执行A类功能的计算机软件》和IEC 62138《核电厂安全重要仪表和控制系统执行B/C类功能的计算机软件》分别规定了核电厂安全重要I&C系统执行A类和B/C类功能的计算机软件在生命周期各阶段的要求，尤其是给出了适用于嵌入式软件鉴定的预开发软件(PDS)的鉴定要求与方法。

1.2　IEEE技术路线

IEEE技术路线中核电厂安全级系统软件鉴定的基础标准为IEEE 7- 4.3.2《核电厂安全系统中数字计算机的适用准则》。该标准同时包括软件与硬件两方面要求。在软件要求方面，其特别提出了适用于嵌入式软件的“现有商品级计算机的质量鉴定”。对于新软件，该标准指出软件应依据IEEE 1012进行验证与确认(V&V)。

IEEE 1012《系统和软件验证与确认的适用准则》并不是核工业的专用标准，而是系统和软件验证与确认的通用标准。该标准建立了一个为支持所有系统、软件、硬件在其生命周期各阶段所需进行的V&V过程、活动以及任务的通用架构。

1.3　RCC-E技术路线

RCC-E技术路线主要依靠其自身的标准规定对软件鉴定进行要求。标准RCC-E《核岛电气设备设计和建造规则》在其第C5000章节规定了针对核电厂安全级系统计算机系统(重点是软件方面)的有关要求。需说明的是，尽管RCC-E也提出了有关软件鉴定的流程、方法和基本要求，但在具体要求方面则参考和引用了IEC相关标准。

2I&C系统的功能分类与系统分级

I&C系统的功能分类和系统分级是软件鉴定的前提和基础，涉及到软件是否需要鉴定，如何进行鉴定以及依据何标准进行鉴定等重要问题。比如IEC标准和RCC-E均提出A类软件鉴定遵循标准IEC 60880，B/C类软件鉴定分别遵循标准IEC 62138第6章和第5章。

对于I&C系统的功能分类和系统分级，最重要的是不能将两者混为一谈或者简单对应。在标准IEC 61513发布以前，无论是IAEA文件还是IEC标准，主要讨论的是系统分级，没有明确提出功能分类这个主题。IEC 61513首次区分了功能分类和系统分级这两个概念，并建立了两者之间的联系。

(1) 功能分类

核电厂设计从功能角度对核电厂及其系统进行分析，规定了特定的假使始发事件(PIE)和防止PIE发展为事故工况所需要的安全重要功能。按纵深防御原则，每个PIE要求一系列的独立功能(或子功能)。依据这些功能在核电厂安全中所起的作用，其被指定为A类、B类、C类或无类别[2]。

(2) 系统分级

核电厂设计从系统角度对核电厂及其系统进行分析，将每个I&C系统和设备按其所执行功能的安全重要性进行定级，共划分为1级、2级、3级和无级别。只有当I&C系统或设备达到一定级别的要求，才能执行相应类别的功能。

(3) 功能分类与系统分级之间的关系

I&C系统的功能类别与其系统级别之间不是简单对应的关系。某一类别的功能应当用一定级别的系统实现，也可用较高级别的系统实现；而某一级别的系统可完成其允许最高类别的功能，也可完成较低类别的功能。例如，2级系统可完成B类功能，还可完成C类功能。功能分类与系统分级之间的关系如表2所示。

表2　功能类别与系统级别

对于功能分类的方法，IEC 61513指出既考虑确定论的方法，也考虑概率论的方法。即在确定论的基础上，考虑在功能失效所导致后果的概率及其严重程度、安全功能启动后的需求时间、替代措施的采用或故障恢复的及时性与可靠性等[1]。因此，功能分类是一个需要综合考虑的问题，通常需要系统设计方与设备供应商之间进行充分沟通后确定。在此过程中，特别需注意不能简单地认为安全级系统所执行的功能只能划分为A类。

3软件鉴定的原因

3.1　计算机系统的应用

核电厂的I&C系统以前采用的是硬接线系统，即电气元器件和电气设备构建的所谓模拟系统；后来发展成为可编程电子或基于计算机的系统，即功能主要依靠或完全由使用微处理器、可编程电子设备或计算机来实现的I&C系统。随着数字化技术和计算机技术的迅速发展及其在I&C系统中大量应用，核电厂安全重要I&C系统也不得不更多地采用基于计算机的系统。计算机系统可采取多种形式，从支持多种功能的大型信息处理机到特定应用的小型处理器构成的高分布式网络均可应用。带嵌入式软件的设备就是典型的、小型的基于计算机的系统。

基于计算机的系统的最大特点是带有可编程软件，而可编程软件虽然容易实现一些较复杂的功能，但同时也更容易发生设计错误，从而导致软件共因失效(cammon cause failure,CCF)。

3.2　软件导致的CCF

如果在不同的系统或一个系统的不同通道中使用了相同的软件或软件缺陷，则在这些系统或通道中就存在软件CCF的可能[3]。对于软件引入的CCF，必定是信号轨迹触发了一个软件缺陷，从而导致影响到两个或更多的系统或通道(例如两个保护通道、两个闭环控制器或两个逻辑控制子系统)的故障。对于会涉及到某种安全的CCF，这些故障一定会破坏安全功能，并在可能产生安全威胁的时段内发生，或故障本身产生对安全的威胁，例如失去保护或控制[3]。由于软件缺陷是系统性的而非随机性的，所以一个系统的软件设计不能按与硬件相同的方式应用单一故障准则。IEC 60880指出，防御由软件引起的CCF的基本和最重要的做法是开发高质量的软件，即尽可能没有错误[3]。

3.3　嵌入式软件需要进行鉴定

由上述分析可知，嵌入式软件属于基于计算机的系统，软件缺陷属于系统故障，从而可能导致系统共因故障，减少或消除软件共因故障最重要的方法是提高软件的质量与可靠性。评价并改善软件质量与可靠性的方法是软件鉴定，因此有必要对用于安全级系统的嵌入式软件进行鉴定。

4嵌入式软件鉴定的方法与流程

嵌入式软件在IEC技术路线中属于预开发软件(pre-developed software，PDS)，在IEEE技术路线中属于现有商品级物项(commercial-off-the shelf,COTS),在RCC-E技术路线中属于现有软件或可编程电子部件(programmable electronic controller,PEC)。以下分别就在上述三种技术路线下嵌入式软件鉴定如何实施进行介绍。

4.1　IEC技术路线嵌入式软件鉴定

按照IEC 61513及RCC-E的规定，核电厂安全重要仪表和控制系统执行A类功能的计算机软件遵循标准IEC 60880，执行B/C类功能的计算机软件遵循标准IEC 62138。标准IEC 60880和IEC 62138针对核电厂基于计算机的系统的软件生命周期的各个阶段均提出了相应的要求，其不仅适用于新开发的软件，也对预开发软件的鉴定和使用给出了办法和要求。预开发软件(PDS)指现有的、作为商品或专有产品可得到的、用于基于计算机系统的软件。

IEC 62138提出了B类预开发软件的一般鉴定流程，如图1所示。A类及C类预开发软件的鉴定流程与B类类似，但C类软件鉴定相对简略[4]。

图1　预开发软件鉴定流程图

从图1可看出，对预开发软件的鉴定，首先可考虑根据新开发软件的要求对预开发软件进行标准全范围要求的一致性评估，包括通用要求(如质量保证、软件验证、配置管理、软件工具的选择和使用、语言选择、安全防范、文档要求)和软件生命周期各阶段的要求(包括软件需求、软件设计、软件实现、软件集成、系统确认、软件修改、安装及运行)。如经评估，预开发软件符合标准对软件的通用要求及新开发软件的要求，则可直接接受。经常发生的情况是，对于一开始未按照相关标准进行开发的预开发软件，很难提供足够的证据证明其符合标准的全范围要求，或者所提供的证据无法证明预开发软件符合标准的全部适用要求(即存在与标准要求的不符合项或不足之处)。IEC 60880及IEC 62138针对这种情况，专门提出了采用其他方式进行合理性证明的办法，即针对预开发软件的专用评价。此过程是对预开发软件进行适宜性评价、质量评价、补充测试、运行经验评价的综合活动。当完成预开发软件的专用评价后，如果可得出预开发软件的合理性证明，则可接受此软件在系统中的应用；如果确认预开发软件与系统要求及相应的标准规定要求之间存在重大的、不可容忍的不符合项或缺陷，则应考虑对该软件进行改进。在此情况下，如该软件按标准要求进行了相应修改，则可接受此软件在系统中的应用；如软件无法修改，则应拒绝其应用。

4.2　IEEE技术路线嵌入式软件鉴定

IEEE 7- 4.3.2对于“现有商品级计算机的质量鉴定”的要求适用于嵌入式软件的鉴定。这里“商品级物项”指以下物项：不是为核设施专门设计或不以核设施特有的技术要求为条件的物项；用于非核设施的物项；或按制造厂产品说明中规定的技术条件从制造厂或供货商处采购的物项。该标准特别说明，在那些传统的鉴定过程不适用的情况下，为验证一个设备可用于安全应用的一种替代方法是“商品级物项的使用性确认”。按IEEE 7- 4.3.2的要求，“商品级物项的使用性确认”过程包含初步阶段和详细阶段两个阶段。

IEEE 7- 4.3.2同时指出“计算机研制需要鉴别出可能使安全功能失效的危害(即异常状态和事件)。危害是事故的一种先决条件。危害包括外部事件以及计算机硬件和软件的内部状态”[5]。实际上对计算机软件内部状态危害的鉴别正是软件鉴定的重要内容。IEEE 7- 4.3.2只给出了鉴别危害和解决危害的方法或指导，而并未针对核电厂安全级计算机系统软件及硬件提出具体的危害内容。这与IEC 60880不同，IEC 60880未特别提出要求鉴别危害，而是直接给出了具体的危害内容，并要求安全级计算机软件落实相关要求，以避免危害，从而实现安全性。从这个意义上来说，对于软件鉴定，IEC 60880可能更具有操作性。

4.3　RCC-E技术路线下嵌入式软件鉴定的实施

标准RCC-E在其第C5000章节规定了针对核电厂安全级系统计算机系统(重点是软件方面)的有关要求。RCC-E 2002及2005版特别提出了针对现有软件和可编程电子部件(PEC)的软件鉴定方法。带嵌入式软件的部件属于可编程电子部件。为了更好的理解可编程电子部件的概念，可参考标准IEC 61508对于可编程电子(PE)的定义：可编程电子以计算机技术为基础，可以由硬件、软件及其输入和(或)输出单元构成，包括以一个或多个中央处理器(CPU)及相关的存储器等为基础的微电子装置。下列均是可编程电子装置：微处理器、微控制器、可编程控制器、专用集成电路(ASIC)、可编程逻辑控制器(PLC)、其他以计算机为基础的装置(智能传感器、变送器、执行器)[6]。

RCC-E提出可采用“补充功能鉴定”(即在设备硬件鉴定基础上的补充软件鉴定)的方法对安全级PEC进行软件鉴定。“补充功能鉴定”要求对PEC从以下几方面进行评价：技术性评价、功能性评价、质量保证的评价、软件可靠性的评价、补充试验、经验反馈评价、软件变更管理过程评价[7]。

综上所述，各技术路线对嵌入式软件鉴定的基本思路是相通的，均要求对软件的性能与功能、质量保证、运行经验、补充测试、变更管理等方面进行评价。相比较而言，IEC技术路线操作性最强，认可度最高，应用也最广泛。

5结束语

嵌入式软件属于基于计算机的系统，软件缺陷属于系统故障，从而可能导致系统共因故障，消除或减少软件共因故障最重要的方法是提高软件的质量与可靠性，评价并改善软件质量与可靠性的方法是软件鉴定。软件鉴定的前提和基础是对安全级系统或设备的功能分类与系统分级。核电厂安全级设备嵌入式软件鉴定各技术路线的基本思路是相通的，相比较而言，IEC技术路线操作性最强，认可度最高，应用也最广泛。

参考文献

[1] IEC 61513-2001.Nuclear power plants-Instrumentation and control systems important to safety-General requirements for systems[S].

[2] IEC 61226-2005.Nuclear power plants-Instrumentation and control systems important to safety-classification of instrumentation and control functions[S].

[3] IEC 60880-2006.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category A functions[S].

[4] IEC 62138-2004.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category B or C functions[S].

[5] IEEE 7- 4.3.2-2003.IEEE standard for digital computers in safety systems of nuclear power generation stations[S].

[6] IEC 61508-2010.Function safety of electrical/ electronic/programmable electronic safety-related system[S].

[7] RCC-E-2005.Design and construction rules for electrical equipment of nuclear islands[S].

中图分类号：TH7；TL48

文献标志码：A

DOI:10.16086/j.cnki.issn1000-0380.201507014

修改稿收到日期：2014-06-13。

第一作者刘春磊(1980-)，男，2007年毕业于大连理工大学电气工程及其自动化专业，获学士学位，工程师；主要从事核电厂设备鉴定、电气设备采购与成套等方面的工作。