核電廠保護(hù)系統(tǒng)軟件危害分析輔助模型的構(gòu)建方法研究

張杰穎 ,李 亮 ,張亞棟 ,杜喬瑞 ,張冬偉

(1.北京廣利核系統(tǒng)工程有限公司，北京 100089；2.生態(tài)環(huán)境部核與輻射安全中心，北京 102400)

0 引言

核電廠基于計(jì)算機(jī)的保護(hù)系統(tǒng)(數(shù)字化保護(hù)系統(tǒng))功能主要通過其軟件實(shí)現(xiàn)相關(guān)設(shè)備安全功能必需的特點(diǎn)或特征。對(duì)執(zhí)行安全功能的軟件進(jìn)行獨(dú)立的驗(yàn)證與確認(rèn)，是保證軟件質(zhì)量的必要手段之一[1]。危害分析是軟件驗(yàn)證中的一項(xiàng)分析任務(wù)。識(shí)別危害是危害分析的第一步。基于數(shù)字化保護(hù)系統(tǒng)結(jié)構(gòu)特點(diǎn)、軟件關(guān)鍵特性和軟件開發(fā)特點(diǎn)，從保護(hù)功能信號(hào)流邏輯路徑上可能引入的不希望的信號(hào)變化入手，構(gòu)建關(guān)于每個(gè)功能的、以識(shí)別潛在危害為目的的多維度軟件質(zhì)量度量模型。該思路奠定了建模方法的理論基礎(chǔ)?；诓捎迷摾碚摌?gòu)建的軟件質(zhì)量度量模型已經(jīng)過工程實(shí)踐檢驗(yàn)，可大大提高危害分析效率和作業(yè)質(zhì)量，對(duì)輔助危害分析具有重要意義。

1 危害分析輔助模型的構(gòu)建意義

1.1 軟件與數(shù)字化保護(hù)系統(tǒng)的置信度

核電廠保護(hù)系統(tǒng)是監(jiān)測反應(yīng)堆運(yùn)行，并根據(jù)接收到的異常工況信號(hào)自動(dòng)觸發(fā)動(dòng)作，以防止發(fā)生不安全或潛在不安全工況的系統(tǒng)[2]。與單純的硬件模擬系統(tǒng)相比，核電廠數(shù)字化保護(hù)系統(tǒng)是由軟件和硬件組成的可編程系統(tǒng)，軟件的實(shí)現(xiàn)更復(fù)雜，也更容易發(fā)生設(shè)計(jì)錯(cuò)誤，軟件對(duì)“小”錯(cuò)誤更敏感[3]。系統(tǒng)在設(shè)計(jì)上采用了更大范圍、更高程度的共享技術(shù)(除了更大程度上共享設(shè)備外，還共享代碼和數(shù)據(jù))，代碼、數(shù)據(jù)共享使得軟件有傳播共因故障的可能，從而可能導(dǎo)致冗余硬件失效[4]。同時(shí)，由于系統(tǒng)分配給軟件實(shí)現(xiàn)的功能組合在一個(gè)或多個(gè)處理單元中，致使一個(gè)處理單元中的組合功能可能出現(xiàn)非常難以分析的情況，且一個(gè)處理單元的故障會(huì)導(dǎo)致單元中多個(gè)功能同時(shí)失效。此外，一個(gè)功能也可能會(huì)通過不希望的交互影響另一個(gè)功能的執(zhí)行。因此，軟件的置信度會(huì)影響數(shù)字化保護(hù)系統(tǒng)的置信度。

1.2 危害分析與輔助模型

為了保證數(shù)字化保護(hù)系統(tǒng)軟件設(shè)計(jì)質(zhì)量與所需的安全功能相適應(yīng)，提高軟件置信度，必須在軟件開發(fā)中應(yīng)用軟件驗(yàn)證與確認(rèn)技術(shù)[2]。常規(guī)的軟件驗(yàn)證與確認(rèn)是根據(jù)核電廠設(shè)計(jì)基準(zhǔn)要求，通過設(shè)計(jì)評(píng)審和測試評(píng)估不同失效組合及其對(duì)系統(tǒng)的影響，以確認(rèn)系統(tǒng)是否滿足設(shè)計(jì)需求[5]。而軟件驗(yàn)證中危害分析的范圍不僅包括電廠設(shè)計(jì)基準(zhǔn)事件，還包括異常事件、工廠設(shè)備和系統(tǒng)降級(jí)運(yùn)行[5]。分析人員將危害分析結(jié)論(含軟件薄弱點(diǎn))傳遞給軟件設(shè)計(jì)人員，促進(jìn)軟件設(shè)計(jì)變更，并通過迭代分析確認(rèn)針對(duì)危害的解決方案。

危害分析輔助模型又稱危害導(dǎo)出模型，涵蓋了識(shí)別危害的7個(gè)軟件功能特性。7個(gè)軟件功能特性包括功能性(functionality)、準(zhǔn)確性(accuracy)、可靠性(reliability)和魯棒性(robustness)、容量(capacity)、安全性(safety)和安保(security)，因此危害分析輔助模型可簡稱為FARCS度量模型。基于數(shù)字化保護(hù)系統(tǒng)模塊化結(jié)構(gòu)特點(diǎn)、軟件關(guān)鍵特性和軟件開發(fā)特點(diǎn)構(gòu)建，以7個(gè)軟件功能特性為維度度量軟件質(zhì)量，并在不同維度下基于多個(gè)考量標(biāo)準(zhǔn)(完備性、一致性、正確性、可追溯性、無歧義、可核實(shí)性、樣式等)、針對(duì)功能信號(hào)可能的突變部位，構(gòu)建軟件設(shè)計(jì)過程中由系統(tǒng)環(huán)境、操作員/用戶、軟件組件、硬件組件及其連接可能引入的潛在危害度量模型，能夠更全面、系統(tǒng)地識(shí)別危害,為后續(xù)的危害分析工作奠定良好基礎(chǔ)。

2 建模理論基礎(chǔ)

2.1 數(shù)字化保護(hù)系統(tǒng)結(jié)構(gòu)特點(diǎn)

根據(jù)HAD102/16—2004[3]中的定義“計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)是計(jì)算機(jī)系統(tǒng)的硬件部件(處理器、存儲(chǔ)器、輸入輸出設(shè)備)，它們的連接，通信系統(tǒng)以及軟件功能在這些部件上的映像”，對(duì)于由軟件和硬件組成的核電廠數(shù)字化保護(hù)系統(tǒng)，硬件是軟件的載體，軟件的各種進(jìn)程、數(shù)據(jù)存儲(chǔ)、邏輯通信路徑、數(shù)據(jù)顯示屏布局通過映射與硬件建立聯(lián)系。軟件不是獨(dú)立存在的。軟件組件的表現(xiàn)形式是系統(tǒng)組件。

核電廠保護(hù)系統(tǒng)應(yīng)用軟件中包含大量軟件邏輯。每條軟件邏輯路徑對(duì)應(yīng)一個(gè)功能回路，即對(duì)應(yīng)一個(gè)系統(tǒng)功能。單個(gè)功能的觸發(fā)往往需要一定數(shù)量的探測信號(hào)以達(dá)到閾值條件。探測信號(hào)由系統(tǒng)通過輸入單元(輸入設(shè)備)采集現(xiàn)場儀表信號(hào)獲得，通過中央處理單元(處理器)進(jìn)行閾值等算法處理。處理結(jié)果通過人機(jī)接口單元(輸入輸出設(shè)備)傳輸給系統(tǒng)操作員，并通過輸出單元(輸出設(shè)備)輸出至現(xiàn)場對(duì)應(yīng)設(shè)備。各系統(tǒng)組件間的信號(hào)傳輸通過通信單元和系統(tǒng)總線完成。

2.2 數(shù)字化保護(hù)系統(tǒng)軟件開發(fā)特點(diǎn)

數(shù)字化保護(hù)系統(tǒng)軟件開發(fā)遵循預(yù)定義的生命周期[6]，參考HAD102/16—2004，核電廠數(shù)字化保護(hù)系統(tǒng)軟件開發(fā)生命周期始于系統(tǒng)需求階段，歷經(jīng)系統(tǒng)設(shè)計(jì)、軟件需求、軟件設(shè)計(jì)、軟件實(shí)現(xiàn)、系統(tǒng)集成、安裝和調(diào)試、運(yùn)行和交付后修改這幾個(gè)階段。因此，必須對(duì)計(jì)算機(jī)系統(tǒng)設(shè)計(jì)、軟件需求、軟件設(shè)計(jì)和軟件實(shí)現(xiàn)階段的產(chǎn)品實(shí)施驗(yàn)證[3]。軟件驗(yàn)證中的危害分析與設(shè)計(jì)活動(dòng)如圖1所示。

圖1 軟件驗(yàn)證中的危害分析與設(shè)計(jì)活動(dòng)

對(duì)基于計(jì)算機(jī)的系統(tǒng)的開發(fā)，HAD102/16—2004提出了自頂至底分解、抽象化層級(jí)和模塊化結(jié)構(gòu)的開發(fā)原則。在這種開發(fā)原則下，從概念提出到過程實(shí)現(xiàn)是設(shè)計(jì)不斷深化、細(xì)化的過程。因此，隨著設(shè)計(jì)的進(jìn)展，危害分析的顆粒度會(huì)逐漸細(xì)化并與設(shè)計(jì)對(duì)象相匹配。

2.3 數(shù)字化保護(hù)系統(tǒng)軟件關(guān)鍵特性

核電廠數(shù)字化保護(hù)系統(tǒng)是人機(jī)相結(jié)合的系統(tǒng)，包含軟件、硬件和操作員。軟件關(guān)鍵特性可分為功能特性和過程特性[7]。其中，功能特性直接與功能相關(guān)，包括功能性、準(zhǔn)確性、可靠性、魯棒性、時(shí)間、安全性和安保。軟件功能特性如表1所示。過程特性是確保功能執(zhí)行的軟件開發(fā)過程特性，包括完備性、一致性、正確性、可追溯性、無歧義、可核實(shí)性和樣式。軟件過程特性如表2所示。為便于描述，將系統(tǒng)設(shè)計(jì)到軟件實(shí)現(xiàn)各階段的設(shè)計(jì)輸出稱為軟件產(chǎn)品。軟件產(chǎn)品包含軟件文檔、軟件代碼。

表1 軟件功能特性

表2 軟件過程特性

作為安全系統(tǒng)的核電廠數(shù)字化保護(hù)系統(tǒng)具有確定性的運(yùn)行特性。系統(tǒng)的數(shù)據(jù)通信具有確定的傳輸時(shí)間，且在系統(tǒng)規(guī)格書范圍內(nèi)對(duì)于任何給定的輸入信號(hào)序列將始終產(chǎn)生相同的輸出和響應(yīng)時(shí)間[8]。

3 建模方法

3.1 方法概述

依據(jù)HAD102/16—2004“應(yīng)對(duì)計(jì)算機(jī)系統(tǒng)的結(jié)構(gòu)和功能進(jìn)行危害分析，以便確定可能危及安全功能的任何特定風(fēng)險(xiǎn)，并指出需要更改的結(jié)構(gòu)或附加功能(例如自檢)以減緩危害的影響”，危害分析是識(shí)別、評(píng)估危害并提供緩解或消除危害影響方法的一項(xiàng)分析。其目標(biāo)是保證軟件完成系統(tǒng)分配給軟件的功能以及系統(tǒng)功能的實(shí)現(xiàn)不受任何潛在危害的影響。

功能實(shí)現(xiàn)是危害分析中的重點(diǎn)。核電廠數(shù)字化保護(hù)系統(tǒng)屬于大型復(fù)雜系統(tǒng)。根據(jù)數(shù)字化保護(hù)系統(tǒng)承擔(dān)的功能(總功能)將系統(tǒng)逐步分解為子系統(tǒng)，然后再將子系統(tǒng)分解為多個(gè)功能回路。每個(gè)回路承擔(dān)特定子功能。系統(tǒng)分配給軟件實(shí)現(xiàn)的功能由軟件邏輯路徑上不同的軟件組件共同完成。這些軟件組件以對(duì)應(yīng)的硬件部件為載體。功能的實(shí)現(xiàn)不僅與其自身質(zhì)量相關(guān)，還受其硬件載體及硬件載體間連接的影響。因此，可在每個(gè)開發(fā)階段將關(guān)系系統(tǒng)功能實(shí)現(xiàn)的軟件危害分析轉(zhuǎn)化為與該功能實(shí)現(xiàn)相關(guān)的、影響軟件/系統(tǒng)組件功能實(shí)現(xiàn)的潛在危害分析。

3.2 方法具體實(shí)施

對(duì)應(yīng)系統(tǒng)設(shè)計(jì)階段的FARCS度量模型如圖2所示。

圖2 對(duì)應(yīng)系統(tǒng)設(shè)計(jì)階段的FARCS度量模型

圖2中，根據(jù)軟件功能特性定義，軟件/系統(tǒng)組件可能是信號(hào)輸入單元、通信單元、處理單元、輸出單元、人機(jī)接口單元或它們的任意組合。

將軟件功能特性作為識(shí)別危害的質(zhì)量度量指標(biāo)，而將保證軟件功能實(shí)現(xiàn)的過程特性在識(shí)別危害時(shí)作為判據(jù)使用。例如：可將識(shí)別到的系統(tǒng)規(guī)格書內(nèi)容相關(guān)的“每種運(yùn)行模式下的功能描述不全”(涉及軟件功能特性的“功能性”，軟件過程特性的“完備性”)作為軟件“功能性”度量維度下關(guān)于“完備性”不足而引入的潛在危害。

在數(shù)字化保護(hù)系統(tǒng)中，輸入信號(hào)在離散的時(shí)間點(diǎn)進(jìn)行采集。采集的輸入信號(hào)在系統(tǒng)組件間周期性地傳輸，并周期性地產(chǎn)生并輸出信號(hào)。如果數(shù)字化保護(hù)系統(tǒng)的設(shè)計(jì)不正確，系統(tǒng)處理負(fù)載或通信負(fù)載的變化可能會(huì)影響信號(hào)傳輸速度和響應(yīng)時(shí)間。由此可見，軟件實(shí)現(xiàn)其特定目標(biāo)的能力受到存儲(chǔ)空間(負(fù)載率相關(guān))的限制。因此，考慮將存儲(chǔ)空間作為度量軟件質(zhì)量的一個(gè)指標(biāo)，并將其與功能特性中的“時(shí)間”合并為一個(gè)質(zhì)量度量指標(biāo)“容量”。

綜上所述，在從系統(tǒng)設(shè)計(jì)到軟件實(shí)現(xiàn)的每個(gè)開發(fā)階段，從功能性、準(zhǔn)確性、可靠性、魯棒性、容量、安全性和安保這7個(gè)功能特性維度度量軟件產(chǎn)品；針對(duì)每個(gè)度量指標(biāo)，又分別從完備性、一致性、正確性、可追溯性、無歧義、可核實(shí)性和樣式這7個(gè)過程特性維度考察軟件中是否存在使指標(biāo)惡化的潛在危害。通過軟件功能特性與過程特性的共同度量，形成一個(gè)關(guān)于軟件潛在危害的度量矩陣，并通過FARCS度量模型展示。

被度量的每個(gè)開發(fā)階段的軟件產(chǎn)品是核電廠數(shù)字化保護(hù)系統(tǒng)總功能層層分解后得到的單個(gè)功能所對(duì)應(yīng)的軟件/系統(tǒng)組件，一般包含輸入單元、通信單元、處理單元、輸出單元、人機(jī)接口單元。

根據(jù)軟件功能特性的含義(見表 1)，每個(gè)功能特性相關(guān)的軟件/系統(tǒng)組件不同，如“功能性”涉及處理單元，“準(zhǔn)確性”涉及輸入單元、處理單元、輸出單元、人機(jī)接口單元。由于電源是軟件/系統(tǒng)組件工作的使能組件，電源故障、電壓/頻率波動(dòng)能夠影響軟件/系統(tǒng)組件功能的實(shí)現(xiàn)，因此將電源質(zhì)量也納入相關(guān)軟件質(zhì)量度量維度下的考察指標(biāo)。圖2是對(duì)應(yīng)于系統(tǒng)設(shè)計(jì)階段的FARCS度量模型，只列出了每個(gè)軟件/系統(tǒng)組件的功能特性以及不同功能特性下能夠判斷危害是否產(chǎn)生的軟件過程特性，未列出軟件/系統(tǒng)組件電源異常情況。對(duì)應(yīng)于軟件需求階段、軟件設(shè)計(jì)階段和軟件實(shí)現(xiàn)階段的FARCS度量模型與此類似。

4 模型優(yōu)勢

FARCS度量模型以核電廠數(shù)字化保護(hù)系統(tǒng)模塊化結(jié)構(gòu)為基礎(chǔ)。系統(tǒng)自頂至底分解、抽象化層級(jí)、模塊化結(jié)構(gòu)開發(fā)的特點(diǎn)使軟件/系統(tǒng)組件與通過功能分解得到的單個(gè)功能間能夠建立聯(lián)系，從而可以將單個(gè)功能失效歸因?yàn)橄嚓P(guān)軟件/系統(tǒng)組件及其連接、所處環(huán)境引入到功能回路中的潛在危害。從系統(tǒng)設(shè)計(jì)到軟件實(shí)現(xiàn)階段，對(duì)于每個(gè)開發(fā)階段中的軟件/系統(tǒng)組件設(shè)計(jì)，設(shè)計(jì)深度不同則對(duì)應(yīng)的設(shè)計(jì)對(duì)象或設(shè)計(jì)對(duì)象顆粒度不同。軟件功能特性(結(jié)果)結(jié)合軟件過程特性(過程)的軟件質(zhì)量度量方法能夠統(tǒng)一危害識(shí)別思路，使危害識(shí)別覆蓋率更高并且系統(tǒng)化。

5 模型實(shí)例及其應(yīng)用方法

核島一回路穩(wěn)壓器壓力超過高3限值(閾值)觸發(fā)緊急停堆，是保護(hù)系統(tǒng)適應(yīng)核電廠工況完成的一項(xiàng)重要安全保護(hù)功能。國內(nèi)某核電廠數(shù)字化保護(hù)系統(tǒng)采用基于FirmSys平臺(tái)的安全級(jí)分布式控制系統(tǒng)(distributed control system,DCS)。FirmSys平臺(tái)為安全級(jí)DCS軟件開發(fā)人員提供了面向應(yīng)用的語言編程環(huán)境。該開發(fā)環(huán)境決定了由系統(tǒng)設(shè)計(jì)文檔和軟件需求文檔中的錯(cuò)誤引入到系統(tǒng)中的潛在危害遠(yuǎn)比軟件設(shè)計(jì)文檔和代碼中的錯(cuò)誤本身對(duì)整個(gè)系統(tǒng)的危害大得多。因此，在安全級(jí)DCS軟件驗(yàn)證的危害分析中，將危害識(shí)別的重點(diǎn)放在系統(tǒng)設(shè)計(jì)和軟件需求階段，而在軟件設(shè)計(jì)和實(shí)現(xiàn)階段主要關(guān)注因編程語言不合規(guī)而產(chǎn)生的相關(guān)危害。下面以對(duì)軟件需求文檔(軟件需求階段輸出的軟件產(chǎn)品)的危害分析引出FARCS模型實(shí)例并介紹模型應(yīng)用方法。

軟件需求邏輯如圖3所示。圖3中，一個(gè)輸出信號(hào)、與輸出信號(hào)具有邏輯相關(guān)性的采集信號(hào)及它們間的處理邏輯共同組成一個(gè)軟件邏輯路徑，對(duì)應(yīng)一個(gè)系統(tǒng)功能。取決于信號(hào)源，采集信號(hào)可能由系統(tǒng)輸入單元、系統(tǒng)間通信單元、人機(jī)接口單元獲得，輸出信號(hào)通過系統(tǒng)輸出單元、系統(tǒng)間通信單元、人機(jī)接口單元輸出到現(xiàn)場設(shè)備、其他系統(tǒng)或系統(tǒng)操作員，采集信號(hào)與輸出信號(hào)間的功能邏輯在系統(tǒng)處理單元中計(jì)算處理。將軟件邏輯路徑映射到系統(tǒng)硬件組件及其連接，對(duì)應(yīng)系統(tǒng)輸入單元、通信單元、處理單元、輸出單元、人機(jī)接口單元及存在輸入輸出關(guān)系的各系統(tǒng)組件間的連接。軟件需求危害分析的范圍是系統(tǒng)負(fù)責(zé)完成的保護(hù)功能(系統(tǒng)功能)、對(duì)應(yīng)保護(hù)功能回路，與保護(hù)功能相關(guān)的輔助功能不作為分析的重點(diǎn)，其他功能(如單純的顯示、報(bào)警功能)則被排除在危害分析范圍外。

圖3 軟件需求邏輯

以RPC1子組2反應(yīng)堆停堆觸發(fā)功能的軟件需求邏輯為例。保護(hù)功能軟件需求邏輯如圖4所示。

對(duì)圖4中的9個(gè)輸出信號(hào)進(jìn)行分析，只有HDO3信號(hào)為保護(hù)功能信號(hào)，是反應(yīng)堆停堆功能回路的輸出信號(hào)。分析與HDO3信號(hào)相關(guān)的采集信號(hào)，HAI1、HDI1信號(hào)來自于系統(tǒng)輸入單元，分別為現(xiàn)場的穩(wěn)壓器壓力儀表RCP005MP探測信號(hào)、壓力儀表RCP005MP維護(hù)時(shí)使用的旁通信號(hào)；NDI1～NDI8 2組8個(gè)信號(hào)來自于系統(tǒng)間通信單元，分別與穩(wěn)壓器壓力信號(hào)RCP006MP、RCP013MP相關(guān)，并分別從RPC2子組2、RPC3子組2通信傳輸進(jìn)入RPC1子組2。上述信號(hào)及其相關(guān)邏輯共同完成反應(yīng)堆停堆功能，是危害分析的主要對(duì)象，如圖3所示。其余信號(hào)及相關(guān)邏輯(完成反應(yīng)堆停堆功能相關(guān)的顯示功能、系統(tǒng)間信號(hào)傳輸功能)為反應(yīng)堆停堆功能的輔助功能。

圖4 保護(hù)功能軟件需求邏輯圖

針對(duì)圖3所示的軟件需求邏輯，軟件驗(yàn)證/分析人員可通過本文介紹的建模方法構(gòu)建FARCS度量模型。建模時(shí)，分析并列出模型中每個(gè)度量維度下反應(yīng)堆停堆功能軟件邏輯路徑上所有可能的潛在危害(異常的信號(hào)變化)，注意考慮系統(tǒng)運(yùn)行環(huán)境以及可能的人員誤操作、設(shè)計(jì)錯(cuò)誤的影響，例如系統(tǒng)各種運(yùn)行模式下功能的觸發(fā)/執(zhí)行/結(jié)束異常、數(shù)據(jù)處理異常、系統(tǒng)平臺(tái)自診斷信息未及時(shí)上報(bào)給操作員/用戶、違背行業(yè)設(shè)計(jì)準(zhǔn)則等。

軟件危害分析宜將輸入信號(hào)作為分析的起點(diǎn)，以信號(hào)流向及傳輸路徑為導(dǎo)向、以輸出信號(hào)為終點(diǎn)開展分析。圖3中，與反應(yīng)堆停堆功能信號(hào)HDO3直接相關(guān)的2/3D1(3取2)算法模塊稱為主算法模塊。3取2算法模塊有6個(gè)輸入信號(hào)，其中3個(gè)輸入信號(hào)為其他算法模塊的輸出信號(hào)，因此3取2算法模塊共涉及11個(gè)輸入信號(hào)。對(duì)于3取2算法模塊涉及的11個(gè)輸入信號(hào)，在危害識(shí)別和判斷時(shí)均要從數(shù)字化保護(hù)系統(tǒng)信號(hào)采集開始。

FARCS度量模型構(gòu)建完成后，軟件驗(yàn)證/分析人員在模型的引導(dǎo)下結(jié)合其他圖紙，如接口信號(hào)所在的其他軟件需求邏輯圖、接口信號(hào)相關(guān)的硬件接口圖、FirmSys硬件產(chǎn)品手冊(cè)、系統(tǒng)設(shè)計(jì)規(guī)格書、FirmSys軟件產(chǎn)品手冊(cè)等，逐項(xiàng)、依次識(shí)別圖3中軟件需求邏輯中是否存在模型中列出的潛在危害。對(duì)于多個(gè)采集信號(hào)，根據(jù)其信號(hào)來源確定每個(gè)采集信號(hào)對(duì)應(yīng)到FARCS模型中的系統(tǒng)單元(輸入單元、通信單元、人機(jī)接口單元)。對(duì)于每個(gè)潛在危害，均在假定不存在其他潛在危害的條件下(即遵循單一故障準(zhǔn)則)，展開分析和判斷。逐項(xiàng)定性分析、判斷每個(gè)度量維度下的每個(gè)軟件/系統(tǒng)組件相關(guān)的潛在危害。如果軟件需求邏輯中存在模型中列出的潛在危害，則需要軟件驗(yàn)證/分析人員結(jié)合需求邏輯，評(píng)估所存在危害的影響后果，確定是否需要在軟件中解決。如果潛在危害需要在軟件中解決，則要對(duì)軟件需求邏輯進(jìn)一步分析，判斷需要在軟件中解決的潛在危害是否在軟件中設(shè)計(jì)了預(yù)防或緩解措施，最后給出軟件質(zhì)量評(píng)估結(jié)果、提出軟件改進(jìn)建議。

6 結(jié)論

全面、準(zhǔn)確地識(shí)別可能存在于核電廠數(shù)字化保護(hù)系統(tǒng)中的潛在危害是進(jìn)行危害分析的必要條件，要求分析人員具備多方面的能力，如了解系統(tǒng)運(yùn)行環(huán)境、熟悉整個(gè)系統(tǒng)結(jié)構(gòu)及接口、清楚軟件功能實(shí)現(xiàn)原理、理解并精通法規(guī)標(biāo)準(zhǔn)對(duì)系統(tǒng)的設(shè)計(jì)原則要求，并需具備豐富的功能安全、軟件工程、系統(tǒng)設(shè)計(jì)和維護(hù)等方面的經(jīng)驗(yàn)。在危害分析中使用FARCS度量模型輔助分析，可以避免由分析人員導(dǎo)致的對(duì)較重要的潛在危害的遺漏，識(shí)別軟件設(shè)計(jì)中的每個(gè)薄弱點(diǎn)；同時(shí)，能夠顯著縮短危害分析所耗費(fèi)的時(shí)間，提高分析效率。

軟件驗(yàn)證與確認(rèn)是系統(tǒng)工程的一門技術(shù)學(xué)科，能夠幫助開發(fā)組織在軟件生命周期內(nèi)提高軟件質(zhì)量[9]。本文介紹的模型構(gòu)建方法不僅有利于核電廠保護(hù)系統(tǒng)軟件驗(yàn)證中的危險(xiǎn)分析，而且為軟件工程領(lǐng)域各行業(yè)軟件的質(zhì)量度量提供了思路，對(duì)相關(guān)研究具有借鑒和啟示意義。