核电站安全级DCS系统及软件安全分析

核电站安全级 DCS系统及软件安全分析

廖礼伟 中国核电工程有限公司华东分公司 甘肃嘉峪关市 735100

摘要：对于核电站安全级DCS系统来说，除了要监视并控制保护系统工艺参数符合运行要求之外，还要避免安全级DCS系统自身故障导致的保护系统降级或者跳堆。在核电站的运行水平方面，在保证安全性要求的前提下，系统修复所用的时间越少，则运行经济性越好。核电站的日常运行维护主要由预防性维护和纠正性维修组成，对于保护系统而言，预防性维护主要包括：机柜报警巡检、保护系统周期试验和数据备份；纠正性维修主要包括硬件故障的应急处理和软件组态修改，将危害和风险消除或控制在可接受范围内，确保核电站安全稳定运行。

关键词：核电站；安全级DCS系统；安全级应用软件；危害分析

核电站数字化控制系统是保障核电厂安全运行的核心，尤其是安全级DCS。结合目前核电站安全级DCS的工程实践，为了提高安全级DCS软件的安全性，根据IEEE1012等相关标准的要求，对安全级DCS应用软件的开发过程进行验证和确认（V&V）活动，对应用软件开发过程中的危险进行分析。

1DCS系统故障

1.1故障类型分析

根据HAF-102中有关假设始发事件的描述，在核电站运行中需要考虑的故障类型取决于所涉及的系统和部件的类型。对于DCS系统来说，其故障一般有如下形式：卡件输入/输出异常、信号测量误差大于允许范围、设备装置故障、通讯故障或上述形式的组合。在数字化反应堆保护系统中，主要的故障类型有：①信号故障：它是故障表征的最小单元（如测量的输入信号或逻辑运算后的输出信号等）；②高级故障：包括硬件模块、计算机设备或数据信息的故障。这类故障可能会产生多个信号故障。在进行故障分析时，需要将信号故障和高级故障区分开。对上述DCS系统故障进行分析，除了考虑故障的产生原因、表现形式之外，还考虑相应的检测方法和标识方式等。

1.2故障级别定义

对于同种硬件设备来说，不同情况的故障会给控制系统造成不同影响程度的后果；相反，对于使控制系统无法正常运行的原因，又可能是由不同的设备故障触发的。据此，可以根据事故后果的严重程度来反推故障的级别。根据上述故障类型及报警标识需求的分析，结合现有核电站DCS系统的运行经验，按照故障产生给控制系统运行带来的危害，是否会影响控制功能的正常执行，将安全级DCS系统故障定义为3种级别：系统级严重故障（简称故障）、设备级一般故障（简称报警）和卡件级一般故障（简称I/O警告）。①当发生的故障导致DCS系统无法正常运行时，将触发系统级严重故障报警。其中包括CPU卡的系统级严重故障、通讯卡的系统级严重故障以及电源故障等。②当DCS系统出现异常，但控制功能仍然能够正常执行时，将触发设备级一般故障报警。其中包括CPU卡的设备级一般故障、网络通讯卡的设备级一般故障、电源和风扇故障，柜内超温以及系统切换到维护模式。③当DCS系统进行数据处理过程中出现异常，但控制功能仍然能正常执行，将触发卡件级一般故障报警。其中包括机笼管理卡响应超时以及CRC校验故障、网络通讯卡通信数据故障、I/O模块故障、数据处理停止以及切换到模拟模式。

2生命周期各阶段危害分析活动

通过在生命周期的各个阶段开展危害分析活动，实现危害分析技术活动，每个阶段的危害分析技术活动主要包含3方面内容：危害识别、危害评估、危害控制。本节规定了安全级DCS工程设计和实施生命周期中，为保证项目系统和软件的安全性所要开展的与危害性分析相关的全部活动。危害分析的难点在于危害的识别，因此本节主要针对危害的识别进行描述。

2. 1. 初步危害分析

初步危害分析（PHA）是一种初始的识别技术，它与专家对系统各个部分的自由讨论会议相似，系统的关键功能清单和不期望的事件清单提供了PHA的起点并定义了PHA的范围。在执行初步危害分析前，应确定系统的关键功能清单和不期望的事件清单。完成初步危害分析后会得出项目的初步危害清单（PHL），依据PHL在工程设计和实施生命周期的各个阶段分别进行各阶段的危害分析。危害识别的方法本身有很多，本文提出了其中一种方法，且将根据项目实践过程逐步优化。

2.2工程软件危害分析

2.2.1需求危害分析

工程软件负责人负责组织并开展软件需求的危害分析活动。软件需求危害识别过程涉及到对软件需求、接口需求和软件单元结构（各个站之间）的评估，其目的是识别可能导致系统危害的需求，如不合理的需求实现，可能影响安全功能的执行或遗漏的需求可能导致系统存在缺陷。软件需求危害分析可从以下几个对软件质量特性产生影响的方面进行考虑。软件的其他质量特性，如完备性、一致性、正确性、可追踪性、无二义性、可验证性等，通常被认为是软件需求规范必备的质量特性，宜将其视为需求分析和验证的内容，而非危害分析的要素。

2.2.2设计危害分析

工程软件负责人负责组织并开展软件设计的危害分析活动。软件设计基于已经验证的模块（算法块）组合实现，因此工程设计的设计危害分析活动能够直接在应用和功能的层次开展（非代码层次）。针对计算机化的软件设计危害识别还需对潜在的计算问题进行危害分析，如不正确的公式、以不正确的顺序执行公式要素的运算、不充分的精度和扫描速率、不正确的单位、非法数字、超范围的结果、符号法则故障。软件设计危害分析活动可从以下方面进行考虑，同时软件负责人和软件组成员有义务对以下内容进行补充。

2.3工程硬件危害分析

2.3.1需求危害分析

工程硬件负责人负责组织并开展硬件需求的危害分析活动。执行硬件需求危害分析前，应由硬件负责人整理应用硬件的所有需求。硬件需求危害识别过程涉及到对硬件功能性能要求、系统接口、设计要求和环境要求的评估，其目的是识别可能导致系统危害的需求，如不合理的需求实现，可能影响安全功能的执行或遗漏的需求可能导致系统存在缺陷。

2.3.2硬件设计危害分析

工程硬件负责人负责组织并开展硬件设计的危害分析活动。硬件设计的危害分析需要在需求阶段的可能危害以外，识别出详细设计阶段可能引入的新的危害，并进行分析、评估和处理。硬件设计危害分析活动可从以下方面进行考虑，同时硬件负责人和硬件组成员有义务对以下内容进行补充。

2.3.3生产制造危害分析

生产制造负责人负责组织并开展硬件生产制造的危害分析活动。生产制造阶段的危害分析主要是检查硬件的生产制造是否带来了新的危害。

2.4集成危害分析

集成测试阶段主要是系统软硬件集成，包含硬件集成和软件代码下装，集成阶段的危害分析主要检查软硬件集成是否引入新的危害。集成阶段由生产制造负责人组织并开展危害分析活动。

2.5危害验证

系统确认阶段与其他阶段不同，系统确认阶段的危害分析活动主要针对危害进行测试和验证，测试时应特别注意对危害措施是否正确实施进行验证，同时根据常规的测试活动分析判断是否存在其他危害。该活动由测试负责人组织和实施。

2.6系统安装和调试危害分析

系统安装和调试阶段主要是安全级DCS发货到现场进行安装和调试。因电厂调试期间现场环境的复杂性，系统安装和调试阶段的危害分析活动包含两部分：1）系统安装和调试前进行，评估系统安装和调试过程中可能引入的危害，并采取措施进行预防。2）系统安装和调试后进行，分析系统现场安装和调试实际过程中是否引入了新的危害。该活动由测试负责人组织和实施。

3结束语

为了提高核电站安全级DCS系统及软件的安全性，在验证与确认活动中所进行的危害分析之外，本文提出了工程设计和实施人员在安全级DCS全生命周期进行系统及软件安全分析的方法和实践经验，重点讨论工程软件、硬件设计过程的危害分析，并根据分析结果将危害和风险消除或控制在可接受范围内，保证安全级DCS系统及应用软件的功能安全。

参考文献：

[1]艾九斤,李运坚,李相建.核电厂DCS安全级应用软件开发的危险分析[J].计算机工程与设计,2012,33(06):2323-2327.

[2]黄清淮,刘明明,公民,等.基于NASPIC平台的核电站安全级DCS网关通信[J].仪器仪表用户,2020,27(11):65-67,31.