核電廠數(shù)字化設(shè)備的商品級(jí)評(píng)定

Commercial Grade Assessment of the Digitizing Devices for Nuclear Power Plant

毋　琦　任莉華　李世欣　王忠秋

(環(huán)境保護(hù)部核與輻射安全中心，北京　100082)

核電廠數(shù)字化設(shè)備的商品級(jí)評(píng)定

Commercial Grade Assessment of the Digitizing Devices for Nuclear Power Plant

毋琦任莉華李世欣王忠秋

(環(huán)境保護(hù)部核與輻射安全中心，北京100082)

摘要：在核電廠建造和運(yùn)行過(guò)程中，需要采購(gòu)大量的商品級(jí)物項(xiàng)。這些執(zhí)行核電廠安全功能的商品級(jí)物項(xiàng)需要經(jīng)過(guò)評(píng)定，才能用于核電廠。對(duì)核電廠商品級(jí)物項(xiàng)評(píng)定文件體系進(jìn)行了概述，對(duì)核電廠數(shù)字化設(shè)備商品級(jí)評(píng)定的流程和方法進(jìn)行了介紹；同時(shí)，對(duì)數(shù)字化設(shè)備商品級(jí)評(píng)定過(guò)程中的設(shè)備鑒定與商品級(jí)評(píng)定關(guān)系、數(shù)字化設(shè)備質(zhì)量特性評(píng)定要素以及數(shù)字化設(shè)備質(zhì)量特性驗(yàn)收準(zhǔn)則三個(gè)重點(diǎn)問(wèn)題進(jìn)行了重點(diǎn)討論。

關(guān)鍵詞：核電廠數(shù)字化設(shè)備商品級(jí)評(píng)定質(zhì)量特性安全功能

Abstract：In construction and operation of the nuclear power plants, a large number of commercial grade items are needed to be purchased. These commercial grade items are executing safety functions for nuclear power plants, so it is necessary to evaluate and assess. The file architecture of commercial grade items assessment for nuclear power plant is described. The process and method for commercial grade assessment of the digitizing devices for nuclear power plant are introduced, and in accordance with the three key points in such assessment process are discussed emphatically, i.e., the relationship between device identification and commercial grade assessment, evaluation factors for quality characteristics of digitizing devices, as well as the acceptance criteria of the quality characteristics of digitizing devices.

Keywords：Nuclear power plantDigitizing deviceCommercial-grade assessmentQuality characteristicsSafety function

0引言

對(duì)核電廠中執(zhí)行安全功能的商品級(jí)物項(xiàng)進(jìn)行評(píng)定(下文簡(jiǎn)稱為“商品級(jí)評(píng)定”)的概念和工作起源于美國(guó)。從20世紀(jì)70年代開(kāi)始，美國(guó)的新建核電廠逐漸減少，已投入運(yùn)行的核電廠業(yè)主面臨著大量的備品備件的采購(gòu)需求，與此同時(shí)，部分設(shè)備原供應(yīng)商逐步放棄了原有的滿足美國(guó)聯(lián)邦法規(guī)10CFR50附錄B《核電廠和后處理設(shè)施質(zhì)量保證準(zhǔn)則》要求的核質(zhì)保體系，這導(dǎo)致核電廠業(yè)主不得不從替代供應(yīng)商處采購(gòu)商品級(jí)物項(xiàng)(包括設(shè)備、材料、零部件、系統(tǒng)、構(gòu)筑物以及軟件)。按照10CFR50附錄B中的要求，在核電廠中使用的用于執(zhí)行安全功能的設(shè)備和部件以及影響設(shè)備安全功能的活動(dòng)都應(yīng)當(dāng)符合10CFR50附錄B中的要求，按照此要求。從事核電廠安全級(jí)設(shè)備和部件設(shè)計(jì)、制造、采購(gòu)、試驗(yàn)等活動(dòng)的供應(yīng)商應(yīng)當(dāng)首先建立滿足10CFR50附錄B要求的質(zhì)量保證體系(核質(zhì)保體系)。而這些替代供應(yīng)商一般沒(méi)有符合10CFR50附錄B要求的質(zhì)量保證體系，其向核電廠提供的設(shè)備及部件多為符合工業(yè)標(biāo)準(zhǔn)的商品級(jí)產(chǎn)品。因此從20世紀(jì)70年代開(kāi)始，美國(guó)核管會(huì)(nuclear regulatory commission,NRC)和美國(guó)電力研究協(xié)會(huì)(electric power research institute,EPRI)對(duì)用于核電廠中執(zhí)行安全功能的商品級(jí)設(shè)備進(jìn)行評(píng)定，用以確定這些商品級(jí)物項(xiàng)可以與基礎(chǔ)物項(xiàng)(即符合10CFR50附錄B的規(guī)定，在核電廠中執(zhí)行安全功能的物項(xiàng)。為表述方便，本文將基礎(chǔ)物項(xiàng)稱為“核級(jí)物項(xiàng)”)一樣提供其可以執(zhí)行核電廠安全功能的合理保證，并逐步建立起比較完善的評(píng)定體系。本文將對(duì)美國(guó)已形成的核電廠商品級(jí)物項(xiàng)評(píng)定體系進(jìn)行介紹和討論，同時(shí)針對(duì)在核電廠中使用越來(lái)越廣泛的數(shù)字化儀控設(shè)備的商品級(jí)評(píng)定方法和關(guān)鍵問(wèn)題進(jìn)行討論。

1美國(guó)商品級(jí)物項(xiàng)評(píng)定的體系

1988年，在對(duì)美國(guó)核工業(yè)界工業(yè)實(shí)踐進(jìn)行了一系列調(diào)查、研究、分析和評(píng)價(jià)的基礎(chǔ)上，美國(guó)電力研究協(xié)會(huì)(EPRI)發(fā)布了針對(duì)商品級(jí)物項(xiàng)在核電廠中的應(yīng)用指導(dǎo)報(bào)告EPRI NP-5652《核電廠安全有關(guān)應(yīng)用中商品級(jí)物項(xiàng)導(dǎo)則》[1]。在這份報(bào)告中，EPRI對(duì)應(yīng)用于核電廠中執(zhí)行安全功能的商品級(jí)物項(xiàng)評(píng)定背景、目標(biāo)、基本概念、總體過(guò)程、基本方法進(jìn)行了闡述，提出了對(duì)商品級(jí)物項(xiàng)采用技術(shù)評(píng)價(jià)加驗(yàn)收的評(píng)定方法，并對(duì)技術(shù)評(píng)價(jià)和驗(yàn)收的方法進(jìn)行了具體論述。

1989年，美國(guó)核管會(huì)(NRC)在Generic Letter 89-02《反贗品和假貨的法案》對(duì)EPRI NP-5652給予了認(rèn)可，并對(duì)EPRI NP-5652中提出的商品級(jí)物項(xiàng)驗(yàn)收方法進(jìn)行了補(bǔ)充規(guī)定。

Generic Letter 89- 02發(fā)布之后，1994年，EPRI發(fā)布了關(guān)于NP-5652的補(bǔ)充報(bào)告EPRI TR-102260《商品級(jí)物項(xiàng)應(yīng)用EPRI NP-5652報(bào)告的補(bǔ)充指導(dǎo)》。該報(bào)告對(duì)NP-5652中所提到的一些關(guān)鍵問(wèn)題進(jìn)行了補(bǔ)充，主要包括如何對(duì)商品級(jí)物項(xiàng)實(shí)施技術(shù)評(píng)價(jià)、通用驗(yàn)收過(guò)程的實(shí)施以及評(píng)定程序的評(píng)價(jià)等問(wèn)題。

1996年，EPRI發(fā)布EPRI TR-106439《核安全級(jí)應(yīng)用中的商品級(jí)數(shù)字化設(shè)備評(píng)價(jià)及驗(yàn)收導(dǎo)則》。該技術(shù)報(bào)告針對(duì)數(shù)字化設(shè)備的特點(diǎn)，對(duì)用于核電廠的數(shù)字化設(shè)備商品級(jí)評(píng)定關(guān)鍵特性和方法進(jìn)行了研究和論述[2]。

在EPRI一系列研究成果的基礎(chǔ)上，美國(guó)電氣電子工程師協(xié)會(huì)(institute of electrical and electrionics engineers,IEEE)發(fā)布IEEE Std.7- 4.3.2-2003《核電廠安全系統(tǒng)數(shù)字計(jì)算機(jī)準(zhǔn)則》。其中關(guān)于數(shù)字化設(shè)備商品級(jí)評(píng)定的條款和規(guī)定與EPRI相關(guān)研究報(bào)告中的觀點(diǎn)和結(jié)論基本一致。按照該標(biāo)準(zhǔn)的要求，針對(duì)核電廠數(shù)字化設(shè)備的商品級(jí)評(píng)定分為兩個(gè)階段(初步評(píng)定階段和詳細(xì)評(píng)定階段)，該標(biāo)準(zhǔn)對(duì)兩個(gè)階段的具體工作和方法作出了具體規(guī)定[3]。

在監(jiān)管層面，除上文提到的Generic Letter 89- 02以外，美國(guó)核管會(huì)(NRC)還發(fā)布了一系列的文件，對(duì)EPRI及IEEE相關(guān)報(bào)告及標(biāo)準(zhǔn)中的商品級(jí)物項(xiàng)評(píng)定原則和方法進(jìn)行了認(rèn)可和補(bǔ)充，主要包括以下內(nèi)容。

① 管理導(dǎo)則R.G.1.152《核電廠安全系統(tǒng)計(jì)算機(jī)準(zhǔn)則》，NRC通過(guò)該導(dǎo)則認(rèn)可了IEEE 7- 4.3.2-2003。

② 標(biāo)準(zhǔn)審查大綱(SRP)NUREG 0800第7章中對(duì)審查人員進(jìn)行商品級(jí)物項(xiàng)評(píng)定的審查方法和驗(yàn)收準(zhǔn)則提出了明確規(guī)定。

③ 1997年，NRC通過(guò)評(píng)價(jià)報(bào)告《EPRI TR-106439的審查(TAC NO.M94127)》認(rèn)可了EPRI TR-106439。

④ 1991年，NRC在Generic Letter 91-05《商品級(jí)采購(gòu)和評(píng)定程序》中對(duì)核工業(yè)界的商品級(jí)物項(xiàng)評(píng)定程序以及實(shí)施過(guò)程中存在的問(wèn)題進(jìn)行了討論并提出了監(jiān)管要求。

⑤ 另外，NRC還制定了關(guān)于商品級(jí)物項(xiàng)評(píng)定的檢查程序，主要有INSPECTION PROCEDURE 43004《商品級(jí)評(píng)定程序的檢查》。

此外，在法律層面，美國(guó)聯(lián)邦法規(guī)10CFR21和10CFR50附錄B中對(duì)核電廠商品級(jí)物項(xiàng)評(píng)定的定義、概念和基本原則進(jìn)行了規(guī)定。

美國(guó)關(guān)于核電廠商品級(jí)物項(xiàng)評(píng)定的文件體系具體如表1所示。

表1　美國(guó)核電廠商品級(jí)物項(xiàng)評(píng)定文件體系

2數(shù)字化設(shè)備商品級(jí)評(píng)定流程和方法

在EPRI NP-5652中對(duì)核電廠商品級(jí)物項(xiàng)評(píng)定的通用方法，總體來(lái)說(shuō)就是對(duì)商品級(jí)物項(xiàng)進(jìn)行技術(shù)評(píng)價(jià)加驗(yàn)收的方法進(jìn)行評(píng)定。在進(jìn)行商品級(jí)物項(xiàng)采購(gòu)之前，首先要進(jìn)行技術(shù)評(píng)價(jià)，評(píng)價(jià)的主要目的是保證在采購(gòu)文件中所規(guī)定的物項(xiàng)包括物項(xiàng)的功能、性能、尺寸、材料、接口等要求滿足設(shè)計(jì)的要求。技術(shù)評(píng)價(jià)的類型根據(jù)采購(gòu)物項(xiàng)的不同分為三種形式，包括同種物項(xiàng)評(píng)價(jià)、替代物項(xiàng)評(píng)價(jià)、新物項(xiàng)評(píng)價(jià)[3]。

驗(yàn)收的主要目的是確認(rèn)物項(xiàng)滿足采購(gòu)文件中所規(guī)定的要求。在 EPRI NP-5652中，提出了四種關(guān)于驗(yàn)收的的可選方法，分別是：①針對(duì)商品級(jí)物項(xiàng)的特殊試驗(yàn)和檢查；②商業(yè)級(jí)調(diào)查；③源地驗(yàn)證；④質(zhì)量記錄調(diào)查。針對(duì)商品級(jí)物項(xiàng)評(píng)定的總體方法流程如圖1所示。

圖1　商品級(jí)物項(xiàng)評(píng)定總體流程

從圖1可以看出，在進(jìn)行商品級(jí)物項(xiàng)評(píng)定工作時(shí)，需要識(shí)別物項(xiàng)的關(guān)鍵特性，在EPRI NP-5256中所提出的四種物項(xiàng)驗(yàn)收方法主要圍繞被評(píng)定物項(xiàng)的關(guān)鍵特性進(jìn)行驗(yàn)收。該報(bào)告將商品級(jí)物項(xiàng)的關(guān)鍵特性分為物理特性和性能特性兩類。

數(shù)字化設(shè)備關(guān)鍵特性舉例如表2所示。

表2　數(shù)字化設(shè)備關(guān)鍵特性(舉例)

數(shù)字化儀控設(shè)備的商品級(jí)評(píng)定流程和方法基本與上述方法和過(guò)程一致，但是由于數(shù)字化設(shè)備的功能實(shí)現(xiàn)依賴于軟件的功能，例如邏輯符合、數(shù)據(jù)處理與存儲(chǔ)等功能，因此數(shù)字化設(shè)備的質(zhì)量由軟件和硬件的質(zhì)量共同決定。在EPRI TR-106439中將商品級(jí)數(shù)字化設(shè)備的關(guān)鍵特性劃分為三類：物理特性、性能特性和質(zhì)量特性(包括可靠性、安全性、可用性、可維護(hù)性等)，相比其他商品級(jí)物項(xiàng)的關(guān)鍵特性，增加了一類質(zhì)量特性，質(zhì)量特性在IEEE Std.7- 4.3.2-2003中也被稱為開(kāi)發(fā)過(guò)程特性。

3數(shù)字化設(shè)備商品級(jí)評(píng)定的重要問(wèn)題

3.1　設(shè)備鑒定與商品級(jí)評(píng)定的關(guān)系

我國(guó)的核安全法規(guī)HAF102《核電廠設(shè)計(jì)安全規(guī)定》和美國(guó)聯(lián)邦法規(guī)10CFR50.49《核電廠安全重要電氣設(shè)備環(huán)境鑒定》中都明確要求對(duì)核電廠安全重要物項(xiàng)進(jìn)行合格鑒定，以驗(yàn)證設(shè)備在整個(gè)壽期內(nèi)能滿足處于需要作用時(shí)的環(huán)境條件下執(zhí)行安全功能的要求。IEEE Std.323《IEEE Standard for Qualifying Class 1E Equipment for Nuclear Power Generating Stations》中關(guān)于設(shè)備鑒定的定義為“產(chǎn)生和保持證明設(shè)備在正常、異常環(huán)境條件和設(shè)計(jì)基準(zhǔn)事故下能夠按照系統(tǒng)性能要求執(zhí)行功能的證據(jù)的過(guò)程”[4]。從上述定義可以看出,設(shè)備鑒定是一個(gè)產(chǎn)生證據(jù)的過(guò)程，設(shè)備鑒定可以采用試驗(yàn)、分析計(jì)算、運(yùn)行經(jīng)驗(yàn)方法或這三種方法的組合進(jìn)行，是設(shè)計(jì)驗(yàn)證的一種手段，其目的是證明設(shè)備能夠在其壽期內(nèi)可能運(yùn)行的環(huán)境條件下執(zhí)行其安全功能。

按照10CFR21的定義，核電廠商品級(jí)物項(xiàng)評(píng)定的定義為“為提供商品級(jí)物項(xiàng)可以作為基礎(chǔ)物項(xiàng)使用，能夠執(zhí)行其安全功能的合理保證的驗(yàn)收過(guò)程，經(jīng)過(guò)評(píng)定的商品級(jí)物項(xiàng)可以等同于按照10CFR50附錄B要求設(shè)計(jì)、制造的基礎(chǔ)物項(xiàng)”。根據(jù)上述定義，商品級(jí)物項(xiàng)的評(píng)定工作是針對(duì)商品級(jí)物項(xiàng)的驗(yàn)收過(guò)程，其目的是證明商品級(jí)物項(xiàng)的設(shè)計(jì)、制造過(guò)程中的質(zhì)量控制水平不低于10CFR50附錄B中的要求。

通過(guò)對(duì)比設(shè)備鑒定和商品級(jí)物項(xiàng)評(píng)定工作的定義、目的和依據(jù)標(biāo)準(zhǔn)等方面，可以看到設(shè)備鑒定和商品級(jí)物項(xiàng)評(píng)定在以下幾個(gè)方面存在明顯差異。

① 針對(duì)商品級(jí)物項(xiàng)的評(píng)定過(guò)程中，物項(xiàng)在其預(yù)期的安裝、運(yùn)行和設(shè)計(jì)基準(zhǔn)事故環(huán)境條件下執(zhí)行功能的能力是物項(xiàng)的關(guān)鍵特性之一(為表述方便，本文將此特性稱為“鑒定特性”)。針對(duì)物項(xiàng)開(kāi)展鑒定工作是商品級(jí)物項(xiàng)評(píng)定的重要方面，用于驗(yàn)證鑒定特性是否滿足確定的評(píng)定要求。對(duì)于商品級(jí)物項(xiàng)來(lái)說(shuō)，設(shè)備鑒定工作是商品級(jí)物項(xiàng)評(píng)定工作的一部分。

② 設(shè)備鑒定是設(shè)計(jì)驗(yàn)證的手段之一，在設(shè)備設(shè)計(jì)未影響原有鑒定結(jié)論的設(shè)計(jì)變化的情況下，不同批次的設(shè)備一般不需要重新進(jìn)行設(shè)備鑒定，這是以設(shè)備制造廠商按照核質(zhì)保的要求對(duì)其設(shè)備設(shè)計(jì)和制造過(guò)程實(shí)施嚴(yán)格控制為基礎(chǔ)的。但是由于商品級(jí)物項(xiàng)的制造廠商一般沒(méi)有建立核質(zhì)保體系，因此，針對(duì)商品級(jí)物項(xiàng)的評(píng)定工作往往帶有“批次”的概念。根據(jù)之前的評(píng)定結(jié)果、設(shè)備的復(fù)雜和重要程度以及相關(guān)的運(yùn)行經(jīng)驗(yàn)和問(wèn)題反饋等，采購(gòu)方可以實(shí)施對(duì)不同設(shè)備批次的商品級(jí)物項(xiàng)評(píng)定工作，包括對(duì)鑒定特性的評(píng)定。

③ 設(shè)備鑒定和商品級(jí)物項(xiàng)評(píng)定所依據(jù)的標(biāo)準(zhǔn)不同，兩者自成體系。關(guān)于設(shè)備鑒定和商品級(jí)物項(xiàng)評(píng)定的標(biāo)準(zhǔn)體系不在本文進(jìn)行討論。

在進(jìn)行核電廠安全重要設(shè)備采購(gòu)和驗(yàn)收過(guò)程中，采購(gòu)方必須認(rèn)識(shí)到滿足設(shè)備鑒定要求不等同于商品級(jí)物項(xiàng)可以用于核電廠執(zhí)行安全功能，商品級(jí)物項(xiàng)用于核電廠執(zhí)行安全功能必須通過(guò)商品級(jí)物項(xiàng)的評(píng)定，證明其質(zhì)量水平不低于基礎(chǔ)物項(xiàng)(核級(jí)物項(xiàng))。這也是核安全審查方特別需要予以關(guān)注的方面。

3.2　數(shù)字化設(shè)備質(zhì)量特性的評(píng)定要素

如上所述，與傳統(tǒng)的模擬儀控設(shè)備相比，針對(duì)數(shù)字化設(shè)備的商品級(jí)物項(xiàng)評(píng)定也是針對(duì)物項(xiàng)的關(guān)鍵特性進(jìn)行評(píng)定，包括物理特性、性能特性。但與模擬設(shè)備不同，數(shù)字化設(shè)備商品級(jí)物項(xiàng)評(píng)定所覆蓋的關(guān)鍵特性中增加了一類質(zhì)量特性，IEEE Std.7- 4.3.2中將這類關(guān)鍵特性也稱之為開(kāi)發(fā)過(guò)程特性。數(shù)字化設(shè)備與模擬設(shè)備相比，前者質(zhì)量的好壞和功能的可靠性取決于軟件和硬件兩個(gè)方面。硬件的可靠性降低主要是源于裝配制造的缺陷、運(yùn)行老化和磨損等因素，但是軟件的故障和可靠性低則主要是由軟件設(shè)計(jì)、開(kāi)發(fā)錯(cuò)誤所導(dǎo)致的。軟件的高可靠性主要依靠系統(tǒng)、完整地實(shí)施軟件生命周期各個(gè)階段的設(shè)計(jì)、開(kāi)發(fā)、集成、測(cè)試工作，并且在開(kāi)發(fā)的每個(gè)階段實(shí)施驗(yàn)證與確認(rèn)及配置管理工作。與隨機(jī)出現(xiàn)的硬件缺陷相比，軟件錯(cuò)誤具有確定性(即在滿足一定條件下，缺陷一定會(huì)暴露)、難于檢測(cè)和定位、層級(jí)傳遞性(即早期的設(shè)計(jì)缺陷會(huì)導(dǎo)致后續(xù)一系列的錯(cuò)誤)以及難以復(fù)現(xiàn)性，因此針對(duì)數(shù)字化設(shè)備質(zhì)量特性的評(píng)定關(guān)鍵和難點(diǎn)在于軟件質(zhì)量特性的評(píng)定。

應(yīng)當(dāng)注意的是，對(duì)于大部分商品級(jí)數(shù)字設(shè)備來(lái)說(shuō)，其中的軟件往往不是針對(duì)核電廠應(yīng)用而訂制開(kāi)發(fā)的，其設(shè)計(jì)開(kāi)發(fā)過(guò)程在早期已經(jīng)完成。因此對(duì)于數(shù)字化設(shè)備軟件質(zhì)量特性的評(píng)定，主要針對(duì)設(shè)備供應(yīng)商在軟件設(shè)計(jì)開(kāi)發(fā)過(guò)程中所遵循的體系、方法以及所產(chǎn)生的文件記錄進(jìn)行評(píng)定，同時(shí)還要對(duì)已開(kāi)發(fā)完成的軟件設(shè)計(jì)特性進(jìn)行評(píng)價(jià)。數(shù)字化設(shè)備軟件質(zhì)量特性評(píng)定要素如表3所示。

表3　數(shù)字化設(shè)備軟件質(zhì)量特性評(píng)定要素

續(xù)表3

3.3　數(shù)字化設(shè)備質(zhì)量特性的驗(yàn)收準(zhǔn)則

上文列舉了數(shù)字化設(shè)備軟件的質(zhì)量特性評(píng)定要素，在討論這些評(píng)定要素的驗(yàn)收準(zhǔn)則之前，必須要強(qiáng)調(diào)的是，商品級(jí)設(shè)備的評(píng)定工作不是對(duì)商品級(jí)設(shè)備質(zhì)量的讓步接收，其根本目的是證明設(shè)備供應(yīng)商在設(shè)備設(shè)計(jì)制造過(guò)程中實(shí)施的質(zhì)量控制水平不低于核級(jí)物項(xiàng)的要求。因此，對(duì)于數(shù)字化設(shè)備軟件質(zhì)量特性的評(píng)定驗(yàn)收準(zhǔn)則是不低于核質(zhì)保要求及相關(guān)的標(biāo)準(zhǔn)的，主要體現(xiàn)在以下幾個(gè)方面。

① 在進(jìn)行商品級(jí)數(shù)字化設(shè)備軟件開(kāi)發(fā)工作之初應(yīng)當(dāng)建立軟件開(kāi)發(fā)大綱。在軟件開(kāi)發(fā)大綱中應(yīng)當(dāng)對(duì)軟件生命周期進(jìn)行完整的描述；軟件生命周期應(yīng)當(dāng)將軟件開(kāi)發(fā)過(guò)程劃分為若干個(gè)邊界接口清晰的階段，各個(gè)開(kāi)發(fā)階段的的參與人員、開(kāi)發(fā)輸入條件、開(kāi)發(fā)工具、工作任務(wù)和開(kāi)發(fā)輸出應(yīng)當(dāng)確定；軟件生命周期的開(kāi)發(fā)過(guò)程應(yīng)當(dāng)符合相關(guān)標(biāo)準(zhǔn)(例如 IEEE 1074)的要求。

② 軟件驗(yàn)證與確認(rèn)及配置管理工作應(yīng)當(dāng)貫穿軟件生命周期的各個(gè)階段。應(yīng)當(dāng)驗(yàn)證軟件開(kāi)發(fā)各個(gè)階段的輸出滿足輸入的要求；應(yīng)當(dāng)確認(rèn)最終軟件滿足軟件需求定義的要求；軟件驗(yàn)證與確認(rèn)的工作應(yīng)當(dāng)獨(dú)立于設(shè)計(jì)開(kāi)發(fā)工作；應(yīng)當(dāng)將軟件的全部要素包括軟件模塊、軟件文檔置于配置管理的控制之下。

③ 軟件需求、設(shè)計(jì)、實(shí)施、集成和測(cè)試各個(gè)階段應(yīng)當(dāng)具有可追溯性。應(yīng)當(dāng)在軟件需求階段就明確定義并標(biāo)識(shí)軟件功能需求，并以此為基礎(chǔ)，在軟件開(kāi)發(fā)的各個(gè)階段與軟件功能需求項(xiàng)目建立可追溯的對(duì)應(yīng)關(guān)系。

④ 軟件測(cè)試工作應(yīng)當(dāng)覆蓋全部的軟件功能需求，應(yīng)當(dāng)確認(rèn)附加的功能不會(huì)影響軟件的安全功能。軟件測(cè)試工作應(yīng)當(dāng)包括單元測(cè)試、集成測(cè)試和異常測(cè)試。

⑤ 在數(shù)字化設(shè)備的故障模式和后果分析工作中，應(yīng)當(dāng)識(shí)別軟件故障模式并采取相應(yīng)的設(shè)計(jì)措施；應(yīng)當(dāng)在軟件開(kāi)發(fā)工作結(jié)束后，進(jìn)行故障模式和后果分析工作，確認(rèn)沒(méi)有因?yàn)殚_(kāi)發(fā)工作引入新的故障模式和風(fēng)險(xiǎn)。

由于在進(jìn)行商品級(jí)數(shù)字化設(shè)備軟件的設(shè)計(jì)開(kāi)發(fā)過(guò)程中設(shè)備供應(yīng)商一般遵循的是工業(yè)標(biāo)準(zhǔn)，開(kāi)發(fā)過(guò)程的記錄文件、驗(yàn)證與確認(rèn)記錄和報(bào)告、配置管理報(bào)告和故障模式和后果分析報(bào)告往往是不完整或不完全滿足核工業(yè)相關(guān)標(biāo)準(zhǔn)要求的，因此在進(jìn)行商品級(jí)物項(xiàng)評(píng)定的過(guò)程中，往往需要評(píng)定人員綜合考慮數(shù)字化設(shè)備的運(yùn)行經(jīng)驗(yàn)、開(kāi)發(fā)過(guò)程中對(duì)所確定的質(zhì)量特性的控制措施、軟件的設(shè)計(jì)特性和軟件的復(fù)雜程度等因素，同時(shí)輔以必要的補(bǔ)充測(cè)試，對(duì)已開(kāi)發(fā)完成的軟件質(zhì)量做出工程判斷。美國(guó)NRC認(rèn)可采用工程判斷的方式對(duì)商品級(jí)物項(xiàng)的評(píng)定給出結(jié)論意見(jiàn)(多用于缺乏足夠的證據(jù)文件證明軟件設(shè)計(jì)開(kāi)發(fā)過(guò)程滿足核質(zhì)保要求及相關(guān)標(biāo)準(zhǔn)的情況)。需要特別說(shuō)明的是，按照IEEE Std.7- 4.3.2標(biāo)準(zhǔn)中的建議，對(duì)商品級(jí)物項(xiàng)的評(píng)定應(yīng)當(dāng)限于對(duì)那些功能相對(duì)其應(yīng)用比較簡(jiǎn)單的物項(xiàng)開(kāi)展。因此，對(duì)大規(guī)模的商品級(jí)軟件開(kāi)展評(píng)定工作是需要審慎對(duì)待的。同時(shí)，采購(gòu)方必須認(rèn)識(shí)到不是所有的商品級(jí)物項(xiàng)都可以被評(píng)定為核級(jí)物項(xiàng)。

4結(jié)束語(yǔ)

在核電廠建造和運(yùn)行過(guò)程中需要采購(gòu)大量的商品級(jí)物項(xiàng)，這些執(zhí)行核電廠安全功能的商品級(jí)物項(xiàng)需要經(jīng)過(guò)評(píng)定才能用于核電廠。2013年，韓國(guó)核電廠使用偽劣的零部件導(dǎo)致韓國(guó)多座核電機(jī)組停運(yùn)，因此在核電廠商品級(jí)物項(xiàng)的采購(gòu)管理過(guò)程中必須開(kāi)展對(duì)商品級(jí)物項(xiàng)的評(píng)定工作，這對(duì)保證核電廠建造質(zhì)量和運(yùn)行安全意義重大。本文對(duì)商品級(jí)物項(xiàng)評(píng)定的背景和概念進(jìn)

行了介紹，梳理了美國(guó)核電廠商品級(jí)物項(xiàng)評(píng)定的文件體系，介紹了數(shù)字化設(shè)備的商品級(jí)評(píng)定工作方法和流程，同時(shí)針對(duì)數(shù)字化設(shè)備商品級(jí)評(píng)定過(guò)程中的三個(gè)重要問(wèn)題進(jìn)行了探討，說(shuō)明了設(shè)備鑒定與商品級(jí)物項(xiàng)評(píng)定的關(guān)系，給出了數(shù)字化設(shè)備商品級(jí)評(píng)定的評(píng)定要素，并對(duì)評(píng)定的驗(yàn)收準(zhǔn)則進(jìn)行了探討。目前，我國(guó)針對(duì)核電廠商品級(jí)物項(xiàng)的評(píng)定工作尚處在研究初期的階段，對(duì)于商品級(jí)物項(xiàng)評(píng)定的法規(guī)依據(jù)、評(píng)定原則、實(shí)施具體方法、程序、條件和驗(yàn)收準(zhǔn)則，包括審查和監(jiān)督的方法和準(zhǔn)則，都是下一步亟待研究的重要問(wèn)題。

參考文獻(xiàn)

[1] EPRI NP-5652.Guidelinefor the utilization of commercial grade items in nuclear safety related applications[R].Electric Power Research Institute,1988.

[2] EPRI TR-106439.Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications[R].Electric Power Research Institute,1996.

[3] IEEE Std.7-4.3.2-2003.IEEE standard criteria for digital computers in safety systems of nuclear power generating stations[S].Institute of Electrical and Electronics Engineers,Inc,2003.

[4] IEEE Std.323-2003.IEEE standard for qualifying class 1E equipment for nuclear power generating stations[S].Institute of Electrical and Electronics Engineers,Inc,2003.

中圖分類號(hào)：TH89；TP202

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201507016

通訊作者任莉華(1977-)，女，2004年畢業(yè)于華北電力大學(xué)電力系統(tǒng)及其自動(dòng)化專業(yè)，獲碩士學(xué)位，高級(jí)工程師；現(xiàn)從事核安全審評(píng)工作。

修改稿收到日期： 2014-12-29。

第一作者毋琦(1982-)，男，2006年畢業(yè)于華北電力大學(xué)自動(dòng)化專業(yè)，獲碩士學(xué)位,高級(jí)工程師；現(xiàn)從事核安全設(shè)備審評(píng)與安全檢驗(yàn)方面的工作。