迟淼，史丽萍，刘盈

（1.哈尔滨工程大学经济管理学院，黑龙江哈尔滨150001；2.哈尔滨工程大学核科学与技术学院，黑龙江哈尔滨150001）

核安全级仪控软件可靠性评估模型构建

迟淼1，史丽萍1，刘盈2

（1.哈尔滨工程大学经济管理学院，黑龙江哈尔滨150001；2.哈尔滨工程大学核科学与技术学院，黑龙江哈尔滨150001）

为了对核安全级仪控系统软件可靠性进行定量评估，研究依照贝叶斯网络建模步骤进行模型建设的方法。对国际上几种主要核安全级仪控系统标准体系进行对比分析，构建核安全级系统软件可靠性评估综合模型和子模型，使用贝叶斯公式对模型可靠性进行量化计算和评估，提出通过衡量模型各节点的敏感度验证模型建立的合理性。实现运用贝叶斯网络方法，通过对系统因素关系分析，结合专家定性判断，对复杂系统进行模型构建，同时提供对系统内不确定因素进行定性与定量相结合的预测和验证的方法。

核电厂；安全级；数字化仪控系统；软件可靠性；核安全标准；定量评估

我国在引进美国第3代先进压水堆核电技术AP1000的基础上，正在着手进行具有自主知识产权的CAP1400的研发。作为核电厂的神经中枢，数字化仪控系统的性能水平与核电站的安全性和经济性紧密相关［1］。各国还没有制定该方面的标准体系；由于没有针对可靠性专门的评估步骤和方法，监管机构和核电站只能借助其他复杂评估工具，而现有方法体系庞大，数据采集和计算成本高昂，较难兼顾定性和定量分析的有效结合［2］。在此背景下，2012－2015年的中欧核能开发科研合作项目“核安全级仪控系统软件可靠性及验证和确认技术研究”，针对核安全级数字化仪控系统软件的可靠性和安全性评价方法进行研究。本文将重点研究核安全级仪控系统软件可靠性评估模型建设过程及定量定性相结合的分析方法。进行系统可靠性分析的挑战在于对不确定性预测［3］。

1 评估建模步骤

相较其他定量评估软件可靠性的方法，贝叶斯网络方法具有对不确定知识的表达与推理，以及对多源信息强大的处理能力等优点［4］。因此作者建议通过贝叶斯网络方法进行研究。基于贝叶斯网络进行核安全级软件仪控系统可靠性评估建模的步骤如图1所示。

图1 贝叶斯网络建模步骤Fig.1 The modeling steps of Bayesian belief network

1）问题定义：从本研究目的出发，对国际主要核安全级仪控系统软件设计标准进行分析，找到定义网络中目标节点“核安全级软件可靠性”和非目标节点。

2）构建网络结构：确定网络的中间节点及基础节点。基于定性和定量的分析技术，构建具有影响关系的有向无环图，即贝叶斯子模型和综合模型。

3）定义节点概率表：根据专家经验及历史资料，统计有影响关系的各节点的先验概率，建立在贝叶斯网络中各节点之间的概率表，对各节点的影响关系进行定量描述的过程。

4）验证贝叶斯网络：根据建立的贝叶斯网络进行敏感度分析，验证模型敏感度分布的合理性，用来判断是否修改先验概率或增删网络中定义的各节点，从而建立可有效工作的贝叶斯网络模型。使用敏感度计算公式和贝叶斯分析软件Hugin软件2种方式分别对模型敏感度进行评价。

2 仪控系统标准层次定义

迄今，各国都没有针对核安全级数字化仪控系统软件的专门标准，不足以对其安全性设计进行充分指导。作者按“核安全级”、“仪控系统”、“软件”等关键词在美国核管会、国际电工委员会、美国电子和电气工程师协会和中国国家核安全局发布标准中查找相关规定并寻找其构成规律。

研究表明，标准体系构成按照层次以法规和导则作为指导，国际电工委员会标准是在国际原子能机构的法规和导则的指导下建立的［5］。美国电子和电气工程师协会标准是在联邦法规和美国核管会导则的指导下建立的［6］。我国核电相关的国标、核工业行业标准是在核安全法规和导则的指导下建立的［7］。表1表示数字化仪系统软件相关标准的划分层次。

数字化仪控系统采用软件技术具有特殊性，在调研相关标准后，本文建立核安全级数字化仪控系统软件遵循标准模型（图2），该模型纵向按照法规、导则层和标准层次对相关标准进行层次划分，横向按软件的质量保证与配置管理部分、软件开发部分、软件的验证与确认部分分类。

表1 数字化仪系统软件相关标准的层次Table 1 Division levels of software standards for the digital instrumentation and control system

3 构建核安全级数字化仪控系统软件定量评估模型

基于上述分析，作者归纳出影响核安全级软件可靠性的特征部分要求能够区别开软件与其环境之间关系（实际问题和测试）的特征和软件本身的特征，并建立核安全级数字化仪控系统软件可靠性贝叶斯综合评估模型（图3）和13个子模型［8］。综合模型中软件的特征包括研发机构、研发过程、产品质量和解决方案节点。核安全级软件可靠性从根本上受到研发机构节点和实际问题及节点的影响。其中实际问题节点是系统需要开发和测量的；研发机构的特征会影响研发过程节点；解决方案和产品质量均受到实际问题和研发过程的影响；而测试部分受到研发机构的影响（即研发机构是否做好充足的准备进行测试分析），以及解决方案的影响。

综合评估模型的每个节点可分解成中间节点和基础节点并建立子模型，其中“研发机构”节点下包括软件项目管理计划评估；“研发过程”节点下包括软件需求规格说明书评估、软件需求安全分析评估、软件设计说明书评估、软件开发计划评估、代码实施安全分析评估、软件集成计划评估、软件安装计划评估、软件维护计划评估；“解决方案”节点下包括软件结构管理计划评估；“测试”节点下有软件验证及确认计划评估；“产品质量”节点下有软件质量保证计划评估和软件安全计划评估。

图2 安全级数字化仪控系统软件遵循标准模型Fig.2 Levels of China＇s software standard for nuclear safety class digital instrumentation and control system

图3 核安全级数字化仪控系统软件可靠性贝叶斯综合评估模型Fig.3 The evaluation model of the software reliability in nuclear safety class system

其中“软件项目管理计划评估”子模型如图4所示，并可通过子指标进行评估，软件项目管理计划主要是要对整个项目进行监督、控制、报告和评估。在计划中强调了组织问题，特别是过程模型、组织结构、边界条件、接口和项目责任的问题［9］；描述了会影响安全性的管理和技术相关的程序问题。

为了实现对核安全级仪控系统软件可靠性进行量化评估，作者结合相关电工委员会及电气和电子工程师协会标准对子模型的各个指标分解成基础节点，基础节点以可用是或否回答的问题形式设置，以便设置调研问卷，专家组进行打分。以软件项目管理计划中的子指标A“软件开发机构的组织范围和接口问题”进行分析。在网络中有3个影响因素：a开发机构的范围是否被很好定义；b报告渠道是否清晰；c软件开发机构与评审者是否有正式的沟通渠道。彼此相互独立。为确保模型的完善，设置基础节点时尽量保证各个提问之间的独立性，以免给专家造成疑惑。

图4 软件项目管理计划评估Fig.4 The software evaluation of management program

4 节点概率表定义

在模型进行定量评估时，为了克服主观性，邀请对该软件开发项目有经验的专家就基础节点进行评估。根据不同特征方面邀请不同方面有经验的专家，大致可分3类：与标准本身有关的专家、与标准开发有关的专家、与核安全级仪控系统评估有关的专家。通过专家组头脑风暴的形式给出网络中各指标的先验概率和条件概率表，如果遇到概率难以给出时，使用专家判断工具和专家判断技术。一般情况下专家组对于每一个节点应给出2种类型的条件概率：其一是特征为优，因素为差的概率；另一种是特征为差，因素为优的概率。以某公司的核安全仪控系统软件为例，通过贝叶斯方法计算子指标A“软件开发机构的组织范围和接口问题”中每一个中间节点及目标节点的概率得到先验概率和条件概率表格（表2）。

表2 组织范围和接口问题的先验概率和条件概率Table 2 Conditional probability of the structural scope and interface issues

可通过该模型对网络的可靠性进行预测推理。当事件a、b、c均处在正常工作状态时，结合贝叶斯公式：

则事件A“组织范围和接口问题”为可靠的概率：

因贝叶斯网络关系复杂计算量大，作者建议使用Hugin工具软件辅助计算。Hugin工具软件是基于贝叶斯网络理论的风险预测和决策支持的工具软件。通过Hugin软件可得到形象化描述（图5），同理，还可对网络进行薄弱环节诊断、原因关联推理。

图5 织范围和接口问题节点评估Fig.5 Evaluation of organization and interface problem

5 网络敏感度验证

贝叶斯网络因子的错误会在敏感度总量低的网络中引起较小的输出偏差，因此，质量高的网络结构中其因子的敏感度较低，即，敏感度在各因子间平均分布，则其总敏感度数值较小。敏感度分析常被用作对网络质量和有效性进行验证的工具［10］。信度网络中的每个参数和后验概率之间存在函数关系。其计算公式为［11］

图1研究了研发过程节点在测试节点影响下的敏感性，涉及到局部网络里的3个节点（研发过程、测试、研发机构）。则需研究几点的先验概率与之间的条件概率：

以某公司的核安全仪控系统软件为例，应用敏感度分析，验证模型的有效性。对该软件性能较熟悉工作人员及软件可靠性领域专家对基础节点评估问题进行经验判断，从而获得网络各因子间的影响关系，及节点的条件概率或者先验概率。

根据敏感度计算公式可计算各模块的敏感度分析表，综合评估模型的敏感度分析表如表3所示，清晰而定量的给出各个节点相对目标节点的敏感度值，表中敏感度最大值、最小值、平均值表达了一致性含义。

Hugin软件对敏感度进行分析可以形成直观的图示（图6），节点模块的分别由色块、条纹、布格图案组成。左边色块部分表示该节点对目标节点的敏感度最大值，中间条纹部分表示该节点对目标节点的敏感度最小值，右边布格部分表示该节点对目标节点的敏感度平均值，其中每种图案部分中的颜色色度越深表示敏感性越强。由图分析得到，敏感性排序前三位的模块是“研发机构”、“实际问题”及“测试”，与计算结果一致。各模块敏感度都低于0.1，各模块影响不是非常显著，所以该模型敏感度分布较平衡，模型设置比较合理。

表3 综合评估模型敏感度分析结果Table 3 Sensitivity analysis of the evaluation model of the software reliability in nuclear safety class system

图6 综合评估模型敏感度分析Fig.6 Sensitivity analysis of the evaluation model of the software reliability in nuclear safety class system

敏感度分析发现其中“研发机构”模块的敏感性0.06，是所有节点中对目标节点敏感度最大的，也就是说如果提高了研发机构的可靠度，将对整体可靠度的影响最为显著。所以，为保证核安全级数字化仪控系统软件的可靠性，应高度重视研发机构，加强研发机构的遴选及管理工作。同时，研发过程、解决方案和产品质量模块敏感度较低，说明几个模块对整体影响率较低，可适当调整该节点，检查其子节点确立过程，调查历史数据，组织专家进行讨论以去掉敏感度过低的基础节点，或适当调整权重。

6 结论

核安全法规和标准是人们在核电发展历程中对技术和经验的总结。本文基于中欧核能合作项目对核安全级仪控系统设计的国际标准体系进行了分析，通过参考国际现有法规和标准归纳总结出适用于我国核安全级仪控系统软件所遵循的标准体系，并建立核安全级数字化仪控系统软件可靠性评估综合模型和子模型，各核电站和监管机构可参考该标准体系进行核电站可靠性评估。

1）应用贝叶斯网络建模步骤建立和分析模型，该方法可从系统分析相关因素入手，建立并验证贝叶斯模型。通过该模型还可实现对模型进行改进和完善。

2）在模型构建和定量分析时，使用贝叶斯网络方法，该方法可结合业内专家多年的知识及经验积累，从管理层到决策层都能给出专家的判断。作者提出通过敏感度分析评估模型构建质量，进而对构建的模型进行验证。

［1］王家胜，洪振.核电站数字化仪控系统改造中的几种控制系统综合应用分析［J］.核科学与工程，2005，25（3）：163-171.WANG Jiasheng，HONG Zhen.Some digit I＆C system applies and analyses in nuclear power station＇s reconstruct［J］.Chinese Journal of Nuclear Science and Engineering，2005，25（3）：163-171.

［2］孔美荣.中国核电标准化症结如何化解［J］.中国核工业，2007，9：9.KONG Meirong.Solution to the problems on China Nuclear Power Standards［J］.China Nuclear Industry，2007，9：9.

［3］晁冰.软件可靠性模型分类及失效分析［D］.武汉：武汉大学，2010：6-8.CHAO Bing.Software model categorization and failure analysis［D］.Wuhan：Wuhan University，2010：6-8.

［4］GRAN B A.The use of Bayesian belief nets in safety assessment of software based systems［J］.Int J General Systems，2000，29（2）：205-229.

［5］International Electrotechnical Commission.IEC61513，Nuclear power plants-instrumentation and control system important to safety-general requirements for systems［S］.Zurich：International Electrotechnical Commission，2009.

［6］U.S.Nuclear Regulatory Commission.NUREG-0800，standard review plan for the review of safety analysis reports for nuclear power plants［S］.New York：U.S.Nuclear Regulatory Commission，2007.

［7］国家核安全局.HAD102／16，核电厂基于计算机的安全系统软件［S］.北京：国家核安全局，1988.

［8］CHI M，YANG M.Research on the evaluation model of the software reliability in nuclear safety class digital instrumentation and control system［J］.Nuclear Safety and Simulation，2013，4（4）：260-271.

［9］LAWRENCE D J.Software reliability and safety in nuclear reactor protection systems［R］.Livermore：U.S.Nuclear Regulatory Commission，1993：19-21.

［10］BEDNARSKI M.Identification of sensitivities in Bayesian networks［J］.Engineering Applications of Artificial Intelligence，2004，17：334-335.

［11］COUPE V M H.Using sensitivity analysis for efficient quantification of a belief network［J］.Artificial Intelligence in Medicine，1999，17：223-247.

Software reliability model construction in nuclear safety class digital instrumentation and control system

CHI Miao1，SHI Liping1，LIU Ying2
（1.School of Economics and Management，Harbin Engineering University，Harbin 150001，China；2.College of Nuclear Science and Technology，Harbin Engineering University，Harbin 150001，China）

In this paper，the model construction method based on Modeling Steps of Bayesian Belief Network（BBN）is studied in order to quantitatively analyze the software reliability in nuclear safety class digital instrumentation and control system（D-I＆C）.Comparative analysis was performed on major international nuclear safety class D-I＆C software standard systems，and comprehensive Evaluation Models of D-I＆C Software Reliability and sub-models were constructed.Quantitative calculation and evaluation were performed for the models by Bayesian function，verifying the rationality of the models by sensitivity analysis on the nodes in the network.In the application of the BBN method，the relations of elements in a system are analyzed in combination with the qualitative judgment made by professionals and experts，and the models for a complicated system were constructed.As a result，it is concluded that the indefinite elements in the network can be predicted and verified by qualitative and quantitative methods.

nuclear power plant；safety class；digital instrumentation and control system；software reliability；nuclear safety standards；quantitative analysis

10.3969／j.issn.1006-7043.201407006

http：／／www.cnki.net／kcms／detail／23.1390.U.20141204.1525.004.html

X923

A

1006-7043（2014）12-1570-05

2014-07-03.网络出版时间：2014-12-04.

欧盟资助项目（J154213001）.

迟淼（1980-），女，助理研究员，博士；史丽萍（1960-），女，教授，博士.

迟淼，E-mail：chimiao＠hrbeu.edu.cn.