陸、問題討論此外,為確保龍門電廠安全功能在面臨軟體共因失效時,可透過核電廠多樣化與深度防禦之設計不致失效(Disable),以確保核電廠安全。GENE針對龍門電廠實際設計,依BTP-19之最佳估算法進行數位元儀控系統多樣化與深度防禦(D3)評估,以驗證龍門電廠之多樣化與深度防禦符合BTP-19之驗收準則。最後,對整個非安全系統亦執行HA&DID評估,以確保非安全系統所有功能不會造成安全系統功能之失效,且確認其暫態皆被涵蓋在請照之初期安全分析報告範圍內。
龍門計畫DCIS軟體安全分析之作業,基本上是依法規R.G. 1.173、BTP-14與IEEE 1228-1994之要求來執行。因其法規是首次使用,故在執行過程中也面臨到一些問題,茲簡述如下:
6.1.目前尚無SSA法規指引供參考執行
龍門計畫DCIS軟體安全分析,GENE依PSAR承諾僅依IEEE 1228-1994要求執行。GENE一開始原擬採用自創之Pareto Chart方法執行各軟體發展階段之SSA作業,但因廠家(GE)/業主(台電)/管制單位(AEC)對法規與標準所要求之執行方法在認知上有不同之解讀,且其方法不具全面有效性,使得GE SSA小組之做法未能被有關單位所認同。故台電陸續經與管制單位(AEC)、GE SSA小組、OIVVT MPR、GE IVVT及其所聘顧問CDA數次討論過後,最後於2004年5月GE/台電/AEC三方在台電DCIS會議中,對龍門計畫安全系統儀控軟體SSA之執行方法達成共識。但,此使得廠家在SSA工作之執行與時程上造成很大的困擾。
由於龍門計畫執行SSA係大規模應用在全廠儀控系統,在全球核能界係屬首次,故包括美國核能管制委員會與台灣原子能委員會都非常關注此議題,並將其列為審照重點。GENE雖已依相關法規要求執行SSA,但因法規之規定未能詳盡完備,同時又是首次使用,最重要是管制單位未能提供法規指引以供執行時遵循;以致管制
單位、業主及廠家在法規引用及作業執行要求方面時有不同解讀,因而造成各相關單位在執行與審查時之困擾。故建議管制單位能提供SSA相關之法規指引供執行時遵循。(據悉目前NRC已在著手此指引之研訂)
6.2.軟體工具建置系統功能之議題
管制單位對ESF系統透過軟體工具建置系統功能,而未執行各軟體發展階段之ACE分析,要求台電對此議題提出澄清。下為簡述龍門計畫採用軟體工具建置系統功能之符合性及建議:
1. 軟體發展程式與BTP-14之差異
龍門計畫ESF系統功能係將控制邏輯圖(CLD)透過軟體工具(OrCAD)建置功能連接圖(FID),再透過DRS依安全等級軟體要求所發展PLuS 32平臺系統之軟體FID編譯器(Compiler),將FID直接編譯為C語言之原始程式碼,並燒製在EPROM製成軔體。此建置程式跳過BTP-14所述之軟體設計、編碼及單元測試階段,未與BTP-14所要求之逐階段執行軟體生命週期之作業一致。故,ESF系統之建置無法在每軟體發展階段執行軟體生命週期之作業,故亦未能逐階段執行軟體安全分析之ACE。
2. Plus 32平臺系統軟體之ACE執行
Plus 32系統之軟體包括控制作業系統(COS)、網路介面模組(NIM)、控制演算法(CA)及功能連接圖編譯器(FIDC)等。皆為以前發展之軟體(PDS),均有依BTP-14之要求執行軟體發展各階段作業。且在韓國Ulchin及Yonggwang兩核電廠皆有使用實績(Proven)。同時,在軟體各發展階段皆有DRS核能品保(NQA)小組依DRS SVVP ER7348/08所列Quality Assurance Instruction for ACE Identification and Resolution Checklist(QAI-3.3) and ACE Form(QAI-3.3.1)之要求執行ACE分析。
3. Plus 32平臺系統之ACE視同ESF之ACE執行
由上1及2項所述,Plus 32系統之軟體係屬PDS,在軟體發展各階段皆有執行ACE,但龍門ESF系統之FID建置程式跳過BTP-14所述之軟體設計、編碼及單元測試階段,未能完全依BTP-14所要求之逐階段執行之軟體生命週期作業及軟體安全分析之ACE評估,因其軟體特性係透過PLus 32平臺系統軟體來展現(如FIDC將FID轉為原始程式碼及其邏輯透過CA軟體在COS控制下執行運算),故,ESF系統軟體各發展階段之ACE可等同視為已在Plus 32系統PDS軟體各發展階段完成執行。
4. 建議
DRS對ESF安全系統之功能建置採用軟體工具來執行,依目前核能工業界作法,因軟體工具在建置過程中可減少很多人為因素的設計錯誤。故,只要軟體工具透過評估、構型管理(CM)及具有使用實績應是一個值得鼓勵之作法。但目前管制單位因對安全之考量,在法規之訂定較業界現行做法為保守而造成法規符合性之議題。擬建議管制單位可因現行科技進步而採用軟體工具建置安全系統功能,能提出更彈性之法規要求及指引供業主及業界在執行軟體發展過程、V&V及SSA可遵循;亦可減少管制單位為個案審查而耗費額外之資源。
柒、結語
依標準審查計畫書(SRP)Section 7.1.II.7, Defense Against Common-mode Failure說明”經驗顯示儘管有好的工程發展程式與測試之高品質軟體,在軟體需求與設計仍可能有殘留之缺失(Residual flaws)”。此有缺失之軟體,有可能會影響系統之安全。基於此,安全數位儀控系統在1997年後被要求在軟體發展過程需執行SSA,以確保系統之安全功能不受影響。
SSA之執行是在軟體每階段需執行風險(Hazard)分析,其假設軟體在不同之失效模式狀況下,辨識(Identify)是否有風險在本軟體發展階段產生。否則應對此風險予以評估,如是有影響到軟體或系統之安全,則透過系統或電廠層級加以弱化(Mitigation)或控制風險在可接受的水準;甚至透過設計方法予以終結(Terminate)此風險。
故,SSA之需求不是要軟體絕對不會”失效”,而是要它不會造成或引起違反系統在任何安全行為之Constraints;其目的是辨識與減少由軟體潛存缺失(Residual Flaws)所造成之危害(Risk),以使其在一可接受之範圍。因此,龍門計畫DCIS SSA作業之執行總結如下:
1. GENE是依相關法規與標準BTP-14、R.G.1.173及IEEE 1228-1994要求
而準備之軟體安全計畫書(SSP)來執行軟體安全分析,除對於RTIF及VDU系統在各個軟體發展階段採用FMEA方法執行ACE之軟體安全分析,以及對使用PDS之NMS/PRMS/CMS等系統以Pareto Chart方法執行分析外。同時,亦特別針對龍門計畫DCIS所有安全系統及VDU與DRS Plus 32平臺系統執行風險分析與深度防禦(HA&DID)評估,以証明各安全系統之安全與關鍵功能在假設軟體失效下,其系統及全廠層級皆已有適當之設計予以阻絕或緩和其失效衝擊,並說明其失效之後果皆已涵蓋在電廠現有之Licensing Basis內。
2.
3. 經整理,GE SSA小組在整個SSA執行過程中(1997年~2008年),共投入約30人年的人力,產出62份SSA報告以及發現約485Findings。同時,所有GE之SSA評估報告皆送GE IVVT及台電OIVVT審查並提出審查意見,台電對GENE回覆OIVVT審查意見均逐項追蹤並接受後才結案。此外,台電亦另撥預算執行”軟體安全分析平行驗證”並選取RTIF及HPCF兩重要安全系統,獨立執行系統之風險分析、軟體需求、設計、編寫程式碼一路到軟體測試完成,以與GENE之SSA作業及結果作平行驗證,証實GENE對安全儀控系統在軟體發展階段之SSA作業是符合法規與標準要求。
4. 更進一步,台電為做好自我管制執行如第伍節所述各項專案工作及研發案,包括執行軟體安全分析報告之審查、軟體獨立驗證與確認計畫及現場稽查等工作,使業主與管制單位對廠家發展之軟體安全分析品質更具信心。此外,原子能委員會於龍門計畫開始即將軟體安全分析視為審照重點特別加以關注(Concern)與監督。同時,台電對於管制單位所關注之SSA特定議題及要求注意改進事項等皆提出報告或說明直至獲准結案為止。
綜上所述,龍門計畫DCIS軟體安全分析作業皆依BTP-14、R.G.1.173及IEEE 1228-1994要求執行並經GE IVVT、台電OIVVT及原能會等獨立審查單位依相關法規與標準執行審查與監督;故其軟體安全分析之程式與品質符合相關法規之要求。
捌、參考文件
1. Regulatory Guide 1.173 “Developing Software Life Cycle Processes for Digital Computer Software Used in Safety Systems of Nuclear Poser Plants.”
2. NUREG 0800, BTP-14, Guidance on Software Reviews for Digital Computer-Based Instrumentation and Control Systems, USNRC, Washington D.C., USA, 1997。
3. IEEE Std 1228-1994 Standard for Software Safety Plan.
4. IEEE Std 7-4.3.2-1993 Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations.
5. NUREG/CR-6430, Software Safety Hazard Analysis UCRL-ID-122514. Lawrence Livermore National Laboratory Lawrence, J. Dennis. 1995.
6. 31113-0A51-4504 Lungmen DCIS Software Safety Plan Rev. 2
7. 31113-1A51-4501 SSA Concept Definition Report Rev. 1
8. Hazard Analysis & Defense in Depth (HA&DID), ACE and Related Evaluation Reports for DCIS SSA of Lungmen Project