一种用于核电站的系统可靠性测试方法以及系统与流程

本发明涉及核电领域，尤其涉及一种用于核电站的系统可靠性测试方法以及系统。

背景技术：

核电数字化保护系统(简称dcs)，是一个基于微处理器的多级计算机控制系统，利用中央处理单元(cpu)进行逻辑处理和保护控制，具有快速计算、高可靠性和组态灵活性等特点。dcs必须具有很高的可靠性，才能保证核电站的安全、经济运行。随着大规模计算机系统和计算机通信网络的不断发展，可靠性问题己经成为一个十分重要的问题，其理论也在这种形势下不断地发展和完善。现有dcs中，由于缺乏实际的运行经验，同时由于设计寿命非常长，比如一般长达60年，导致dcs可靠性测试很难建立，无法开展实际的工程测试应用。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的上述可靠性测试耗时长的缺陷，提供一种用于核电站的系统可靠性测试方法以及系统。

本发明解决其技术问题所采用的技术方案是：构造一种用于核电站的系统可靠性测试方法，方法包括：

通过故障注入的方式使待测系统在不同的加速应力水平下运行；

获取待测系统在不同的加速应力水平下运行时的失效数据，并将不同的加速应力水平下获取的失效数据还原为正常应力水平下的失效数据；

根据正常应力水平下的失效数据获取待测系统的可靠性信息；

其中，所述正常应力水平代表待测系统的正常的运行环境，所述加速应力水平代表所述正常的运行环境恶化后的运行环境。

可选的，所述的通过故障注入的方式使待测系统在不同的加速应力水平下运行，包括：

从故障模式库中选取与不同的加速应力水平分别相应的故障模式；

针对每一个加速应力水平，分别执行以下操作：根据选取的与当前加速应力水平对应的故障模式确定测试故障，向待测系统中发生该测试故障的层级中进行故障注入以使待测系统在当前加速应力水平下运行。

可选的，所述故障模式库提供有对应不同危害度的故障模式，每一个加速应力水平具有对应的危害度要求，且加速应力水平越高其所对应的危害度要求越高；

针对每一个加速应力水平，从故障模式库中选取的故障模式满足以下条件：所选取的故障模式的危害度累加后符合当前加速应力水平所对应的危害度要求。

可选的，所述的从故障模式库中选取与不同的加速应力水平分别相应的故障模式，包括：

针对每一个加速应力水平，均反复执行以下步骤直至所选取的故障模式的危害度累加后符合当前加速应力水平所对应的危害度要求：随机抽取故障模式频度，基于所述故障模式频度，从所述故障模式库中逐次选取故障模式。

可选的，所述待测系统按照架构可划分为多个层级，所述故障模式库包括与所述多个层级分别一一对应的多种层级故障，每一种所述层级故障根据执行功能的不同进一步分为各种具体的故障模式。

可选的，所述多个层级包括：硬件层、操作系统层、支撑软件层以及应用软件层；

所述多种层级故障包括：发生在所述硬件层的硬件层故障、发送在所述操作系统层的操作系统层故障、发生在所述支撑软件层的支撑软件层故障以及发生在应用软件层的应用软件层故障。

可选的，所述的将不同的加速应力水平下获取的失效数据还原为正常应力水平下的失效数据，包括：

利用不同的加速应力水平下获取的失效数据，进行拟合得到应力水平与失效数据之间的函数关系；

将正常应力水平代入所述函数关系获取得到正常应力水平下的失效数据。

本发明还要求保护一种系统可靠性测试系统，包括：

故障注入模块，用于通过故障注入的方式使待测系统在不同的加速应力水平下运行；

数据获取及处理模块，用于获取待测系统在不同的加速应力水平下运行时的失效数据，并将不同的加速应力水平下获取的失效数据还原为正常应力水平下的失效数据；

可靠性分析模块，用于根据正常应力水平下的失效数据获取待测系统的可靠性信息。

可选的，所述故障注入模块包括：

故障选取单元，用于从故障模式库中选取与不同的加速应力水平分别相应的故障模式；

故障注入单元，用于针对每一个加速应力水平，分别执行以下操作：根据选取的与当前加速应力水平对应的故障模式确定测试故障，向待测系统中发生该测试故障的层级中进行故障注入以使待测系统在当前加速应力水平下运行。

可选的，所述故障模式库提供有对应不同危害度的故障模式，每一个加速应力水平具有对应的危害度要求，且加速应力水平越高其所对应的危害度要求越高；

针对每一个加速应力水平，故障选取单元从故障模式库中选取的故障模式满足以下条件：所选取的故障模式的危害度累加后符合当前加速应力水平所对应的危害度要求。

可选的，所述待测系统按照架构可划分为多个层级，所述故障模式库包括与所述多个层级分别一一对应的多种层级故障，每一种所述层级故障根据执行功能的不同进一步分为各种具体的故障模式。

可选的，所述多个层级包括：硬件层、操作系统层、支撑软件层以及应用软件层；

所述多种层级故障包括：发生在所述硬件层的硬件层故障、发送在所述操作系统层的操作系统层故障、发生在所述支撑软件层的支撑软件层故障以及发生在应用软件层的应用软件层故障。

可选的，所述数据获取及处理模块包括：

数据获取单元，用于获取待测系统在不同的加速应力水平下运行时的失效数据，

处理单元，用于利用不同的加速应力水平下获取的失效数据，进行拟合得到应力水平与失效数据之间的函数关系，将正常应力水平代入所述函数关系获取得到正常应力水平下的失效数据。

实施本发明的用于核电站的系统可靠性测试方法以及系统，具有以下有益效果：本发明通过故障注入的方式使待测系统在不同的加速应力水平下运行，将不同的加速应力水平下获取的失效数据还原为正常应力水平下的失效数据，从而可以获取待测系统的可靠性信息，这种测试方式加速了失效过程，可以将长时间的可靠性测试缩短到可接受的水平；

进一步地，故障模式库包括与待测系统的层级架构对应的几种层级故障，因此故障选取时可选的故障模式囊括了各种层级故障，可以引发系统各层级协同失效，克服单一应力不足以表征系统失效机理的弊端；进一步地，通过危害度刻画应力水平，所选取的故障模式的危害度累加符合当前的加速应力水平所对应的危害度要求。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图：

图1是本发明的系统可靠性测试方法的流程图；

图2是本发明实施例一提供的系统可靠性测试方法的详细流程图；

图3是dcs系统架构图；

图4是dcs系统对应的故障模式库的构成示意图；

图5是本发明实施例二提供的系统可靠性测试系统的示意图。

具体实施方式

为了便于理解本发明，下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的典型实施例。但是，本发明可以以许多不同的形式来实现，并不限于本文所描述的实施例。相反地，提供这些实施例的目的是使对本发明的公开内容更加透彻全面。

除非另有定义，本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的，不是旨在于限制本发明。

本发明总的思路是：构造一种系统可靠性测试方法以及系统，将故障引入到待测系统的运行环境中，通过不同的故障构造出不同的应力水平，以此加速系统失效，缩短试验时间。参考图1，方法包括：

s101、通过故障注入的方式使待测系统在不同的加速应力水平下运行；

s102、获取待测系统在不同的加速应力水平下运行时的失效数据，并将不同的加速应力水平下获取的失效数据还原为正常应力水平下的失效数据；

s103、根据正常应力水平下的失效数据获取待测系统的可靠性信息；

其中，应力水平代表待测系统的运行环境，正常应力水平代表待测系统的正常的运行环境，加速应力水平代表所述正常的运行环境恶化后的运行环境。

为了更好的理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明，应当理解本发明实施例以及实施例中的具体特征是对本申请技术方案的详细的说明，而不是对本申请技术方案的限定，在不冲突的情况下，本发明实施例以及实施例中的技术特征可以相互组合。

实施例一

参考图2，本实施例公开了一种用于核电站的系统可靠性测试方法，用于对核电站中的待测系统进行可靠性测试，在不改变待测系统失效机理(具体为硬件部分不改变物理结构，软件部分不改变源代码)的前提下，在应力水平超过待测系统的运行环境的条件下对待测系统进行试验，从而加速产品的失效，缩短试验时间。具体的，方法包括：

s201、从故障模式库中选取与不同的加速应力水平分别相应的故障模式；

其中，所述待测系统按照架构可划分为多个层级，从故障发生位置的角度来看，所述故障模式库包括发生在所述多个层级的多种层级故障，所述多种层级故障与所述多个层级分别一一对应。每一种所述层级故障根据执行功能的不同进一步分为各种具体的故障模式。

本发明不仅可以用于核电dcs系统，还可以用于其他类似的大型系统。参考图3，以dcs系统为例，dcs系统按照架构分为以下的多个层级：硬件层、操作系统层、支撑软件层以及应用软件层。其中，硬件层主要包括各种硬件设备，比如控制机柜、传感器和执行器等。操作系统层负责软件和硬件资源的管理和分配，包括与支撑软件层以及应用软件层对接的接口、各种硬件设备对应的驱动程序、资源管理逻辑及其他。应用软件层负责dcs控制逻辑的实现。支撑软件层负责程序编译、数据库管理和通讯连接。相应的，不改变dcs系统的失效机理包括四个方面的内容，即不改变操作系统层源代码、不改变支撑软件层源代码、不改变应用软件层源代码、不改变硬件层的物理结构。

相应的，dcs系统对应的故障模式库的构成详见图4，可见，dcs系统对应的故障模式库中包括以下多种层级故障：发生在所述硬件层的硬件层故障、发送在所述操作系统层的操作系统层故障、发生在所述支撑软件层的支撑软件层故障以及发生在应用软件层的应用软件层故障。继续参考图4，操作系统层故障可细分为进程管理错误和存储管理错误等，进程管理错误可进一步细分为进程创建失败、进程异常终止和进程同步失败等故障模式，详见图4，此处不再赘述。

s202、针对每一个加速应力水平，分别执行以下操作：根据选取的与当前加速应力水平对应的故障模式确定测试故障，向待测系统中发生该测试故障的层级中进行故障注入以使待测系统在当前加速应力水平下运行。

本实施例中，为每一个故障模式分配一个危害度，从故障导致的危害度的角度来看，所述故障模式库提供有对应不同危害度的故障模式。每一个故障模式对应的危害度，根据相应的故障模式发生的频率及其对待测系统的危害程度确定。例如，某一故障模式的发生频率为p，此可以通过统计经验数据得到。危害程度为k，此可以通过经验数据将危害程度量化，如下表1，当然此仅为一个示例。危害度为h，则该某一故障模式的危害度h＝k*p。

表1

其中，每一个加速应力水平具有对应的危害度要求，且加速应力水平越高其所对应的危害度要求越高。假设步骤s201中的不同的加速应力水平具体为s1、…、sn，假设他们对应的危害度要求分别是：危害度超过阈值d1、…、dn。假如s1、…、sn是逐渐提高的(实际上并不要求s1、…、sn是逐渐提高，只需要保证s1、…、sn的情形都有测试即可，顺序并不做限制。另外，所谓加速应力水平提高，是指的待测系统的运行环境恶化情况更严重)，则相应的d1、…、dn也是逐渐提高的。

具体的，该步骤s202中，针对每一个加速应力水平s1、…、sn，从故障模式库中选取的故障模式满足以下条件：所选取的故障模式的危害度累加后符合当前加速应力水平所对应的危害度要求。例如，假定，s1、…、sn所选取的故障模式的分别为：集合x1…集合xn,集合x1中的故障模式的危害度累加后为∑dx1，依次类推，集合xn中的故障模式的危害度累加后为∑dxn，则s1、…、sn所选取的故障模式必须满足：∑dx1≥d1，…，∑dxn≥dn。

一种可行的方式中，该步骤s202中选取故障模式时采用的频度匹配的随机抽取原则，具体为：针对每一个加速应力水平s1、…、sn，均反复执行以下步骤直至所选取的故障模式的危害度累加后符合当前加速应力水平所对应的危害度要求：随机抽取故障模式频度，基于所述故障模式频度，从所述故障模式库中逐次选取发生频率最接近所述故障模式频度的故障模式。例如，针对加速应力水平si，根据上文可知，si对应的危害度要求是危害度超过阈值di。假定，第一次随机抽取故障模式频度为pi1，则先从故障模式库中选取一个发生频率最接近pi1的故障模式，记为gi1，如果gi1的危害度di1小于di，则继续随机抽取故障模式频度为pi2，从故障模式库中选取一个发生频率最接近pi2的故障模式，记为gi2，如果gi2的危害度di2和di1的危害度累加后小于di，则继续随机抽取故障模式频度为pi3，依次类推，假定第r次随机抽取故障模式频度为pir，从故障模式库中选取发生频率最接近pir的故障模式gir后，故障模式gir的危害度为dir，若gi1…gir的危害度累加(即di1+di2…+dir)后大于等于di，则停止从故障模式库中选取故障模式，所以最终确定的si所选取的故障模式为集合xi＝[gi1，gi2，…，gir]，集合xi中故障模式的危害度累加后为∑dxi＝di1+di2…+dir≥di。

s203、获取待测系统在不同的加速应力水平下运行时的失效数据；

其中，失效数据可以根据需要选择，例如，对于dcs系统的可靠性测试来说，一般需要获取软件平均无故障时间。我们将加速应力水平s1、…、sn对应的失效数据分别记为t1、…、tn。

s204、利用不同的加速应力水平下获取的失效数据，进行拟合得到应力水平与失效数据之间的函数关系，将正常应力水平代入所述函数关系获取得到正常应力水平下的失效数据。

例如，我们将应力水平进行数值量化，比如正常应力水平s0为0，加速应力水平s1、…、sn为1、…、n。将应力水平s1、…、sn作为横坐标，将他们对应的失效数据t1、…、tn作为纵坐标，通过拟合算法，比如极大似然法等，进行曲线拟合，得到应力水平s与失效数据t之间的函数关系：t＝f(s)。然后再将正常应力水平s0＝0代入t＝f(s)即可获取正常应力水平s0下的失效数据t0。

另外，为了保证拟合的可靠性，建议所选取的加速应力水平s1、…、sn的个数最好是不少于4个。

s205、根据正常应力水平下的失效数据获取待测系统的可靠性信息。该步骤可以参考现有的技术，此处不再赘述。

可见，本实施例的测试方式加速了失效过程，可以将长时间的可靠性测试缩短到可接受的水平，以核电dcs系统为例，dcs系统的失效表现为拒动和误动，即在需要保护设备动作时没有执行保护动作和在不需要保护设备动作时执行保护动作，正常情况下拒动和误动的概率很低，一般为10^-5次/年的数量级。在进行可靠性测试时，失效概率低意味着在有限的时间内很难获取到足够多的失效数据来进行系统可靠性的预测和分析。而通过本实施例的方法，可以对dcs系统进行故障注入，来提高dcs运行的应力水平，加速dcs的失效，进而在相同的时间内得到更多的失效数据。而且由于故障模式库包括与dsc的硬件层、操作系统层、支撑软件层以及应用软件层对应的四种层级故障，因此故障选取时可选的故障模式囊括了各种层级故障，当选取的注入dcs的故障中包括发生在这些层级的故障模式时，可以引发系统各层级协同失效，克服单一应力不足以表征系统失效机理的弊端。

实施例二

本实施例公开了一种用于核电站的系统可靠性测试系统，包括：

故障注入模块301，用于通过故障注入的方式使待测系统在不同的加速应力水平下运行；

数据获取及处理模块302，用于获取待测系统在不同的加速应力水平下运行时的失效数据，并将不同的加速应力水平下获取的失效数据还原为正常应力水平下的失效数据；

可靠性分析模块303，用于根据正常应力水平下的失效数据获取待测系统的可靠性信息。

其中，所述故障注入模块301包括：

故障模式库3011，从故障导致的危害度的角度来看，故障模式库3011提供有对应不同危害度的故障模式。从故障发生位置的角度来看，所述待测系统按照架构可划分为多个层级，所述故障模式库3011包括与所述多个层级分别一一对应的多种层级故障，每一种所述层级故障根据执行功能的不同进一步分为各种具体的故障模式。例如，对于类似dcs这种大型的工业系统来说，一般包括如下的多个层级：硬件层、操作系统层、支撑软件层以及应用软件层。相应的，所述多种层级故障包括：发生在所述硬件层的硬件层故障、发送在所述操作系统层的操作系统层故障、发生在所述支撑软件层的支撑软件层故障以及发生在应用软件层的应用软件层故障。

故障选取单元3012，用于从故障模式库中选取与不同的加速应力水平分别相应的故障模式。其中，每一个加速应力水平具有对应的危害度要求，且加速应力水平越高其所对应的危害度要求越高。针对每一个加速应力水平，故障选取单元3012从故障模式库3011中选取的故障模式满足以下条件：所选取的故障模式的危害度累加后符合当前加速应力水平所对应的危害度要求。

故障注入单元3013，用于针对每一个加速应力水平，分别执行以下操作：根据选取的与当前加速应力水平对应的故障模式确定测试故障，向待测系统中发生该测试故障的层级中进行故障注入以使待测系统在当前加速应力水平下运行。

其中，数据获取及处理模块302包括：

数据获取单元3021，用于获取待测系统在不同的加速应力水平下运行时的失效数据，

处理单元3022，用于利用不同的加速应力水平下获取的失效数据，进行拟合得到应力水平与失效数据之间的函数关系，将正常应力水平代入所述函数关系获取得到正常应力水平下的失效数据。

其他相关细节内容可以参考实施例一部分，此处不再赘述。

综上所述，实施本发明的用于核电站的系统可靠性测试方法以及系统，具有以下有益效果：本发明通过故障注入的方式使待测系统在不同的加速应力水平下运行，将不同的加速应力水平下获取的失效数据还原为正常应力水平下的失效数据，从而可以获取待测系统的可靠性信息，这种测试方式加速了失效过程，可以将长时间的可靠性测试缩短到可接受的水平；进一步地，故障模式库包括与待测系统的层级架构对应的几种层级故障，因此故障选取时可选的故障模式囊括了各种层级故障，可以引发系统各层级协同失效，克服单一应力不足以表征系统失效机理的弊端；进一步地，通过危害度刻画应力水平，所选取的故障模式的危害度累加符合当前的加速应力水平所对应的危害度要求。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(readonlymemory，rom)或随机存储记忆体(randomabbessmemory，ram)等。

上述描述涉及各种模块。这些模块通常包括硬件和/或硬件与软件的组合(例如固化软件)。这些模块还可以包括包含指令(例如，软件指令)的计算机可读介质(例如，永久性介质)，当处理器执行这些指令时，就可以执行本发明的各种功能性特点。相应地，除非明确要求，本发明的范围不受实施例中明确提到的模块中的特定硬件和/或软件特性的限制。作为非限制性例子，本发明在实施例中可以由一种或多种处理器(例如微处理器、数字信号处理器、基带处理器、微控制器)执行软件指令(例如存储在非永久性存储器和/或永久性存储器)。另外，本发明还可以用专用集成电路(asic)和/或其他硬件元件执行。需要指出的是，上文对各种模块的描述中，分割成这些模块，是为了说明清楚。然而，在实际实施中，各种模块的界限可以是模糊的。例如，本文中的任意或所有功能性模块可以共享各种硬件和/或软件元件。又例如，本文中的任何和/或所有功能模块可以由共有的处理器执行软件指令来全部或部分实施。另外，由一个或多个处理器执行的各种软件子模块可以在各种软件模块间共享。相应地，除非明确要求，本发明的范围不受各种硬件和/或软件元件间强制性界限的限制。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。