2. 中国原子能工业有限公司 北京 100031
摘要:科技在不断的发展,社会在不断的进步,随着数字化技术全面应用于核电站仪控系统,与过去的模拟技术相比,其控制更集中,信息处理更复杂,信息关联性更强。但是庞大且集中的仪控系统所引起的安全性分析工作日益引起人们的重视,尤其是核安全级数字化仪控系统,它能否正常工作直接关系着核电站的安全。本文以核安全级数字化仪控系统在核电站的工程实践为例,结合软件验证和确认(V&V)的相关法规标准,分析了核安全级数字化仪控系统软件安全性分析所面临的主要问题,并提出了软件安全性分析工作的主要内容,为后续核电站的相关实际工作提供技术参考。
关键词:数字化技术;仪控系统;核安全级;验证和确认;软件安全性分析
引言
网络拓扑结构是指用传输媒体互连各种节点设备的物理布局。对于复杂网络系统,主干网连接多个功能子系统,承载大量数据通讯,直接影响数字化仪控系统的稳定运行。因此,本文主要分析主干网的拓扑结构,拓扑节点为交换机(或具有交换机功能的通信设备)和服务器。受核电厂各数字化仪控子系统AB列隔离及房间抗震要求限制,仪控系统设备被分散安装到多个房间,主要有主控室、远程停堆站、技术支持中心、维护中心、多个现场控制站电子设备间。网络设计之初,最先需要确定的是网络拓扑结构。网络的拓扑结构有很多种,主要有星型结构、环型结构、总线结构、树型结构、网状结构等。
1自诊断功能设计
故障模式是自诊断功能的对象,因此故障分析工作是自诊断功能的设计基础,故障分析与故障处理设计、诊断措施设计、报警指示方案设计构成了反应堆保护系统自诊断功能的设计工作。自诊断功能的核心是检测自身状态并将诊断信息上报出去,供故障处理与报警指示使用,最终帮助维护人员修复故障。由自诊断功能原理可知,异常状态是自诊断功能的对象,因此故障分析工作是自诊断功能的设计基础,故障分析与故障处理设计、诊断措施设计、报警指示方案设计构成了反应堆保护系统自诊断功能的设计工作,自诊断方案设计具有以下特点:(1)故障诊断功能设计:诊断措施周期运行,范围涵盖信号采集、信号处理、数据通信和信号输出等设备,一旦检测到异常,将通过数据质量位或设备状态信息上报故障,作为后续报警指示的依据;(2)故障处理功能设计:诊断措施检测到异常状态后,系统为了确保核电站的安全运行,将会根据故障等级触发故障处理机制,将自身的运行状态、输出保持在可控状态;(3)报警指示功能设计:包括远程报警指示和本地报警,这两个层次的报警指示,均需要故障诊断措施上报的故障诊断信息:●远程报警指示为顶层报警指示,反应堆保护系统的故障信息通过网络传输至主控室NC-DCS并进行图形指示,帮助操作人员和维护人员定位发生故障的控制站;●本地报警为低一层次报警指示,通过机柜指示、板卡或模块指示,帮助维护人员迅速锁定故障所在机柜和故障板卡或模块。
2软件安全性分析与软件V&V的关系
随着数字化技术逐渐在核电站的应用,核电领域安全级软件的V&V工作受到广泛的关注,尤其是针对安全级数字化仪控系统的软件V&V。
期刊文章分类查询,尽在期刊图书馆核电站安全级数字化仪控系统的软件V&V是保证安全级数字化仪控系统安全性和可靠性的必要环节,通过V&V全流程验证的软件才能确保其安全级数字化仪控系统的安全性和可靠性,安全级数字化仪控系统才能被允许应用到核电站工程,如图1所示。核电站安全级数字化仪控系统软件的V&V活动为保证其有效性,必须遵循国内HAF102-2004、HAD102/16-2004等核安全法规和导则的要求,同时满足IEC60880-2006、IEEE7-4.3.2-2010等核安全标准的要求。在V&V执行过程和V&V方法上,选择IEEE1012-2012作为主要指导标准。从实际执行来看,IEEE1012规定了V&V每个阶段所要验证和确认的内容,也涉及到软件的危害性、风险性分析,但并没有把软件安全性分析纳入各阶段的工作内容,如图2所示。根据软件开发的生命周期模型,后续核电站关键软件的V&V工作应逐步考虑开展软件安全性分析工作,具体可以按照下列步骤进行。在概念V&V阶段,应该确认软件安全性等级,并制定相关的工作计划(可以纳入V&V工作大纲)。软件安全性等级的不同,对于软件的要求也不同,对于核电站安全级数字化仪控系统,应该按照高等级的要求来执行。在需求V&V阶段,应该获取软件安全性的相关需求,并验证软件安全性需求的正确性、一致性等内容。软件安全性需求也应该纳入软件V&V的需求矩阵一并进行跟踪确认。在软件设计阶段,应该进行软件安全性分析,并对安全性进行验证。这里的安全性验证主要是针对设计方案的安全性进行验证。在软件实现阶段,应根据软件安全性需求验证代码是否达到了预期的安全性要求。对于代码的安全性验证,需要在设计代码测试用例时考虑安全性的需求。在软件集成测试阶段,应通过仿真的方式对软件的安全性进行功能测试。功能测试是黑盒测试,需要借助于一定的工具来执行。
3和睦系统故障处理功能设计
和睦系统检测到故障发生后,将会采取相应的故障处理措施,不同的故障等级处理措施也不同。对于输入/输出类故障,有4种情况:(1)模拟量输入或数字量输入模块发生通道故障,则板卡正常运行,故障通道的数据质量位置为无效,表征此通道采集的数据不可信。(2)模拟量输入或数字量输入模块发生处理功能故障,则板卡进入故障状态,停止运行、通信中断,所有通道数据质量位置为无效,表征此板卡采集数据不可信。(3)模拟量输出或数字量输出模块发生通道故障,则板卡正常运行,故障通道的数据质量位置为无效,输出状态为故障安全状态。(4)模拟量输出或数字量输出模块发生处理功能故障,则板卡进入故障状态,停止运行、通信中断,所有通道数据质量位置为无效,所有输出状态均为故障安全状态。对于数据通信模块故障,有3种情况:(1)输入/输出通信功能模块发生故障,模块进入故障状态,停止运行、通信中断,所有输入/输出通道数据质量位置为无效,数据为保持上一帧有效数据,模拟量输出模块、数字量输出模块输出状态为故障安全状态。(2)点对点通信功能模块发生故障,模块进入块进入故障状态,停止运行、通信中断,所有来自于其他控制站的通信数据质量位置为无效,不再参与本控制应用逻辑算法。(3)多节点通信功能模块发生故障,模块进入故障处理状态,停止运行通信中断,本节点进入旁通状态,退出多节点通信环,多节点通信功能模块主要功能为数据传输,以向操作员提供监视指示功能,因此其故障不影响安全功能。对于主处理功能模块,发生故障时,模块进入故障状态,停止运行通信中断;所有数据通信模块进入故障状态,停止运行通信中断;所有输入/输出模块停止运行,模拟量输出模块、数字量输出模块输出状态为故障安全状态。
结语
随着信息化技术的日益发展,软件安全性分析工作必将越来越重要。本文所阐述的方法不仅适用于核电站安全级数字化仪控系统软件,也适用于核电站其他关键设备软件的安全分析工作,对于非核项目也具有很好的通用性。
参考文献
[1]杨岐.核电厂数字化仪表与控制系统的应用现状与发展趋势[J].核动力工程,1998,19(2):124-129.
[2]刘伟瑞.核电站仪表与控制系统的发展概况[J].自动化仪表,1997,18(9):1-5.
[3]刘新宪,朱道立.选择与判断—AHP(层次分析法)决策[M].上海:上海科学普及出版社,1990.
[4]刘志军.基于全生命周期的机舱火灾风险评估与控制模型研究[D].大连:大连理工大学博士学位论文,2011.
论文作者:刘兴斌1,王鹏2
论文发表刊物:《建筑学研究前沿》2019年9期
论文发表时间:2019/8/23
标签:故障论文; 软件论文; 安全性论文; 核电站论文; 状态论文; 系统论文; 级数论文; 《建筑学研究前沿》2019年9期论文;