HAD 102-16 核电厂基于计算机的安全重要系统软件
|
ID: |
5A77DBAEB3B54DF5833602B9C6AC3C48 |
|
文件大小(MB): |
2.31 |
|
页数: |
47 |
|
文件格式: |
|
|
日期: |
2024-7-14 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
附件三:,核动力厂设计安全导则之十六 HAD 102/16,核动力厂基于计算机的安全重要系统软件,(2004年12月8日国家核安全局批准发布),本导则自2005年1月1日起实施,本导则由国家核安全局负责解释,1引言,1.1 概述,i.i.i 基于计算机的系统在核动力厂日益广泛应用,它们对核动力厂安全的重要性也,正在增加。这类系统既用于安全有关系统(例如过程控制和监测系统的某些功能),也用于,安全系统(例如核反应堆保护或安全设施的驱动)。核动力厂基于计算机的安全重要系统的,可信性应首先被关注并给予保证,1.1.2 采用现代技术,为安全重要系统开发基于计算机的仪表和控制系统在原理上是,可能的,该系统有潜力提高其安全性和可靠性并具有足够的可信性。但是,只有遵循系统,化、文件化和可评审的工程步骤,才能够预计并证明它们的可信性。核动力厂基于计算机,的安全重要系统软件的开发应遵循已经发布的有关软件工程和质量保证方面的法规、,导则,和标准,1.2 目的,本导则的目的是在核动力厂基于计算机的安全重要系统的软件的生存周期各个阶段,为安全论证提供收集证据和编制文件的指导,1.3 范围,1.3.1 本导则适用于有关核安全法规定义的安全重要系统。由于目前基于计算机的系,统的可靠性还不能完全依靠设计过程或内部配置进行预计,所以对安全有关系统软件的应,用不允许系统性地放宽要求。只要有可能,应明确标识仅适用于安全系统而不适用于安全,有关系统的软件,1,1.3.2 本导则主要涉及基于计算机的安全重要系统的软件。?有关计算机系统自身及其,硬件的设计和运行等问题,不属于本导则的范畴,除非它们与软件的开发、验证和确认有,关,1.33本 导则重点在于指导编制文件,用以充分证明基于计算机的安全重要系统的软,件具有安全性和可靠性,1.3.4 本导则适用于所有类型的软件:已有软件或固件(例如操作系统):为项目专门,开发的软件;或从已有硬件的设备序列或软件模块开发出来的软件.对已有或现有商用软,件,由于有关开发过程的资料很难得到,其安全功能的应用问题在附录A中另行叙述,1.3.5 本导则供从事基于计算机的系统的生产、评定和取证的人员使用,他们包括核,动力厂系统设计人员、软件设计人员和程序员、验证人员、确认人员、认证人员和管理人,员以及核动力厂操纵员,2基于计算机的系统的技术考虑,2.1 基于计算机的系统的特性,2.1.1 基于计算机的系统有两个有关安全性和可靠性评定的基本性能:它们是可编程,的,且其硬件建立在离散数字逻辑的基础上。如其他系统一样,硬件故障可能源于设计或,前造中的错误,但通常它们是由磨损、老化或环境变化引起的,并具有随机性。软件(即,计算机系统可编程的部分)不磨损,但它可能受运行环境改变的影响。软件故障既可能由,有问题的或不明确的需求规格说明(它导致逻辑设计和实现中的错误)引起,也可能由实,现阶段或维护阶段导入的错误引起,2.1.2 基于计算机的系统的可编程特性与数字逻辑的结合意味着,它们拥有许多超过,非编程或非数字系统的优点。它们很容易实现复杂的功能,特别是它们能修改核动力厂变,量的监测,修改操纵员接口,修改试验、校准、自检和故障诊断设备。它们也能提供更高,的准确度和稳定性。使用多路传输“总线”结构可减少电缆的数量。修改软件几乎不需要,改动硬设备,这有利于维护,2.1.3 基于计算机的系统也有缺点。与单纯硬件系统相比,软件的实现更复杂、也就,更容易发生设计错误。此外,软件实现是客观存在的数字逻辑模式。这引起两类后果:软,件对“小”错误更敏感(不能容忍);测试也更难,因为对基于计算机的系统使用传统模拟,系统通用的内插法和外推法有较多的困难,甚至不完全有效,2.2 开发过程,221安全重要系统的开发应是一个可逐步控制的过程,其本质也就是一个逐步逼近,的过程。在该方法中,将开发过程编排为若干不同阶段的有序集合。每个阶段使用前一阶,段开发的结果,并为后续阶段提供输入信息。当设计向前进行时,前期阶段形成的故障和,2,疏忽变得明显,因此需要在较早的阶段认真对待。这种方法的基本特征是每个阶段的输出,(开发结果)针对前一阶段的需求进行验证。在开发的某些阶段,将实施确认过程以证实,安全重要系统与所有功能需求和非功能需求的符合性,同时不存在未预期的特性,2.2.2 开发过程的典型阶段和适用过程的框图见图图中的方框表示将要进行的开,发活动,而箭头表示预期的顺序和主信息流。图1括弧内的序号指明本导则中描述开发活,动’的章号,未标明序号的活动不属于本导则的范围。图2说明验证、确认与需求、设计和,实现之间的关系。在图1和图2中,特定开发活动及其顺序的选择不一定要求特定的开发,方法;但方法变更应有必需的属性并能满足需求「 ',图1基于计算机的安全重要系统的软件开发(括号内的数字为本导则的章号),2.2.3 基于计算机的系统的开发应从核动力厂和系统的需求分析开始,它们由工程专,家(包括安全工程师和软件工程师)实施。在分析结果的基础上导出基于计算机的系统的,需求。在分析中通常需要使用逐步逼近的方法以最终确定一组需求。由于这个阶段的疏忽,不适当的安全措施可能导致需求规格说明的错误,并可能产生一个不安全的系统,所以对,系统化的推导过程应予以清晰的证明,2.2 4对基于计算机的系统,第一个设计决策应在计算机系统与测量核动力厂变量和,驱动控制设备(其他部件)的常规电气和电子设备之间分配需求。设计人员也可以选择模,拟设备实现某些功能需求①,3,2.2.5 在计算机系统设计中,其系统需求在软件需求与计算机硬件之间分配。然后,将软件设计为一套相互配合的……
……