核電廠DCS軟件驗證與確認標準體系分析

鄭駢垚,鐘 柏,,馬象睿

(1.中國核電工程有限公司采購部,北京 100840；2.環境保護部華北核與輻射安全監督站,北京 100029)

核電廠DCS軟件驗證與確認標準體系分析

鄭駢垚1,鐘 柏1,2,馬象睿2

(1.中國核電工程有限公司采購部,北京 100840；2.環境保護部華北核與輻射安全監督站,北京 100029)

通過對軟件V&V活動的介紹以及核電廠軟件生命周期的劃分，明確了核電廠數字化儀控系統軟件V&V的目的，即通過驗證活動判斷系統是否滿足設計需求，通過確認活動判斷系統設計是否正確。結合核電廠安全級數字化儀控系統軟件V&V活動的監督管理實踐，總結了美國、歐洲和我國數字化儀控系統軟件V&V活動所采用的法規和標準體系。針對我國軟件V&V法規和標準體系不健全的問題，通過對比我國與歐洲、美國法規標準體系的差別，明確了我國軟件V&V法規和標準體系存在標準體系升版相對滯后、標準路線不統一及欠缺標準轉化的系統性等三方面的不足。從長遠目標看，我國應完善V&V法規標準體系，使之有層次地逐步細化從法規要求到執行標準要求；從短期要求看，可從軟件開發的階段劃分、各項開發計劃的形成和實施、V&V活動的獨立性和文件記錄等方面落實V&V活動要求。

核電廠； 數字化儀控系統； DCS; 軟件V&V；標準體系

0 引言

隨著計算機技術的不斷發展和廣泛應用，核電廠儀控系統逐漸從采用模擬技術轉向數字技術。軟件作為數字化儀控系統的重要組成部分，其質量是保障核電廠安全運行的重要因素之一。軟件驗證與確認(verification and validation，V&V)是一種過程方法，其主要目標是為軟件的質量提供足夠的置信度，證明軟件具有安全性和可靠性，能夠滿足其完整性等級要求。

目前，國際上軟件V&V活動的標準體系有兩個主流，一個是以美國核管制委員會NRC及美國電氣與電子工程師學會IEEE頒布的相關法規、導則及標準為主的美國標準體系，另一個是以國際原子能機構IAEA及國際電工委員會IEC頒布的相關法規、導則及標準為主的歐洲標準體系。我國根據IAEA和IEC的有關法規、導則及標準，初步建立了核電廠安全重要系統相關設計、軟件驗證與確認的法規、導則和標準，尚需根據工程實踐不斷積累、完善。

1 軟件V&V活動的定義

驗證(verification)和確認(validation)作為兩個分立的過程，由國際標準化委員會在ISO 8402:1994中提出，隨后ISO/IEC 12207:1995將驗證和確認過程應用于軟件生命周期。

我國核安全導則HAD 102/16[1-3]中，對V&V的定義如圖1所示。

圖1 HAD 102/16中V&V定義示意圖

根據IEC 60880:2006[1]的定義，驗證是通過檢查和提供客觀證據，證實該過程某種活動的結果是否符合此活動規定的目標和需求；系統確認(即儀控系統的確認)是通過檢查和提供其他證據，證實該系統完全滿足預期的需求規格書。IEEE Std 1012[2]將驗證和確認合并作為一種過程方法，其將軟件V&V活動分為三個層次，即過程、活動和任務。針對某一個過程，其需要完成不同階段的活動；針對某一個活動，其需要完成不同的任務，以完成軟件和需求的驗證和確認。

在基于計算機系統的整個生命周期內，驗證是保證一個階段能夠滿足前一階段所提需求的過程，也就是針對前一階段輸出結果進行的檢查；而確認是為保證集成后的計算機系統(硬件和軟件)符合功能、特性和接口需求，對其進行測試和評價的過程，也就是針對系統的需求和目標進行的檢查。GB/T 13629-1998[4]中定義：驗證與確認是確定一個系統或部件制定的要求是否完整和正確、每個研制階段的產品是否滿足前一個階段提出的要求或條件，以及最終的系統或設備是否符合預定要求的過程。

2 美國和歐洲軟件V&V活動相關標準

為進一步細化核電廠的質量保證和設計的相關法規，指導核電廠業主或者設備供應商取證工作，美國和歐洲的核安全監管部門，發布了一系列的導則或標準，明確了軟件V&V活動的一般方法。

2.1 美國軟件V&V標準體系

美國軟件V&V活動標準體系主要建立在美國核管制委員會NRC聯邦法規、管理導則及美國電氣與電子工程師學會IEEE行業標準的基礎上。美國NRC聯邦法規10 CFR Part 50作為最頂層的法規，對核電廠的質量保證及設計作出了規定，要求核電廠保護系統和其他安全系統需滿足IEEE Std 603-1991或者IEEE Std 279。第二層標準審查大綱NUREG 0800技術分支BTP 7-14和管理導則RG1.152、RG1.168對基于計算機系統的重要軟件V&V活動提出了要求。NUREG 0800[5]認可了一系列IEEE標準，關于安全級軟件V&V計劃認可了IEEE 1012-1986；RG1.152[6]認可了IEEE 7-4.3.2，而IEEE 7-4.3.2[7]明確了軟件V&V活動標準參照IEEE 1012-1998執行；RG1.168[8]認可了軟件V&V活動。美國軟件V&V活動法規標準體系如圖2所示。

2.2 歐洲軟件V&V標準體系

歐洲軟件V&V標準體系主要建立在國際原子能機構IAEA安全需求、安全導則及國際電工委員會IEC行業標準的基礎上。IAEA安全需求GS-R-3(50-C-QA的演變)和NS-R-1對核電廠的質量保證和安全設計給出了總體要求。第二層安全導則NS-G-1.3和NS-G-1.1對核電廠安全重要儀控系統及基于計算機的安全重要系統軟件提出了要求。作為行業標準，IEC 61513[9]對核電廠儀控系統提出了一般要求，其中指出，當涉及基于計算機的系統時，該標準應與IEC 60880和IEC 60987結合，以確保系統對軟件和硬件方面需求的完整性。根據安全的重要性，將IEC 61226[10]儀表和控制系統功能(系統和設備)分為A、B、C三類。IEC 60880提出了執行A類安全功能的儀表和控制系統的軟件需求。IEC 62138提出了執行B類和C類安全功能的儀表和控制系統的軟件需求。IEC 60987提出了基于計算機的儀控系統硬件設計需求。歐洲軟件V&V標準體系如圖3所示。

3 我國V&V法規標準現狀及其存在的不足

3.1 我國軟件V&V法規標準現狀

我國核安全法規HAF 003[11](由50-C-QA Rev.1轉化而來)和HAF 102[12](由NS-R-1轉化而來)作為最頂層的法規，對核電廠的質量保證和安全設計提出了要求，規定：當安全重要系統設計成依賴于計算機系統的可靠性時，必須確定或制定有關驗證計算機硬件和軟件的相應標準，并在系統的整個生命周期，特別是軟件的開發期間，就加以實施。第二層安全導則HAD 102/14[13](由50-SG-D8 1984轉化而來，于2002年升版為NS-G-1.3)和HAD 102/16(由NS-G-1.1轉化而來)對核電廠安全、有關儀表和控制系統以及基于計算機的安全重要系統軟件的開發和驗證活動提出了要求。在核行業標準方面，我國尚未建立屬于自己的軟件V&V標準體系框架下的可執行標準，而是陸續將國際和國外標準稍加修改后成為我國的國家標準或行業標準。其中，GB 12172-1990等效采用IEC 880-1986標準，對核電廠安全系統計算機軟件應用原則作出了規定，IEC 880即為IEC 60880的前身，目前IEC 60880已升至2006版；GB/T 13629-2008修改采用美國標準IEEE 7-4.3.2-2003，對核電廠安全系統中數字計算機的適用準則提出了要求，該標準關于軟件V&V活動，認可了IEEE 1012-1998，IEEE 1012已升至2012版，但目前行業內仍普遍采用IEEE 1012-2004版。

我國能源行業(即原來的核行業)也陸續將國際標準轉化為行業標準，近幾年，已制定的標準有NB/T 20026-2014(修改采用IEC 61513-2011，代替NB/T 20026-2010)、NB/T 20054-2011(修改采用IEC 60880-2006，代替EJ/T 1058-1998和EJ/T 1058.2 -2005)和NB/T 20055-2011(修改采用IEC 62138-2004)。我國已初步形成核電廠軟件V&V相關的法規標準體系，具體如圖4所示，但標準體系尚未健全。

圖4 我國軟件V&V法規標準體系圖

3.2 我國軟件V&V法規標準存在的不足

我國核電廠軟件V&V相關的法規標準體系已經初步形成，但仍存在以下幾個方面的不足。

①標準體系升版相對滯后。

我國核電質保法規HAF 003依據1988版的IAEA核質保法規50-C-QA(Rev.1)轉化而來，50-C-QA于1996年升版為50-C/SG-Q，提出了一些新的理念，如“領導作用”、“持續改進”、“以績效為基礎”的質量管理等；2006年IAEA提出了GS-R-3《The Management System for Facilities and Activities》，直接替代了50-C/SG-Q，以“管理體系”取代法規，囊括了“安全、健康、環境、安保、質量和經濟”六個領域，并推動各國參考執行，各國目前尚在研究和進行初步嘗試階段。

歐洲標準考慮到基于計算機的儀表和控制系統的核電站保護系統的大量應用，于2002年將50-SG-D8與50-SG-D3(保護系統及有關設施)整合為NS-G-1.3。我國HAD 102/14由1984版的50-SG-D8轉化能源行業標準，在執行中存在一些與工程實踐不適應的情況，所以也應適當升級。

②標準路線不統一，美國標準與歐洲標準共存。

我國核電發展主要是引進美國和歐洲的核電技術，尤其對安全級數字化儀控系統，目前仍以進口歐美的成熟技術為主。在標準要求方面，往往是國外供應商占主導地位，大多使用相應國家的標準體系，而不是以滿足我國現有相關標準為主，造成了執行層面上美國和歐洲標準體系共存的現狀。頂層的法規要求只有一個，而執行層面有兩個共存的標準，勢必存在部分法規要求落實不徹底的問題。

③標準轉化的系統性不足。

GB 12172-1990由IEC 880-1986轉化而來，NB/T 20054-2006由IEC 60880-2006轉化而來，IEC 880-1986是IEC 60880-2006版的前身，目前已廢止。而我國同時存在GB 12172和NB/T 20054，兩者不僅不在同一標準體系，且以相對更早的GB 12172作為強制性標準。GB/T 13629-2008依據IEEE 7-4.3.2-2003轉化而來，IEEE 7-4.3.2-2003中明確軟件V&V相關工作則依據IEEE Std 1012-1998展開，而我國沒有IEEE 1012的等效或相關標準。

4 完善我國軟件V&V法規標準體系的建議

軟件V&V活動作為一種保證軟件質量的方法，完善其活動過程對于保證軟件質量和提供軟件質量的置信度有至關重要的作用。為了能夠更好地指導、服務我國核電行業軟件V&V活動，針對當前階段軟件V&V法規標準體系不健全的問題，可從長遠目標和短期工作要求兩方面作好管理工作。

從長遠目標看，我國應該完善V&V法規標準體系，從法規要求到執行標準層次，逐步細化要求；從短期階段看，可從軟件開發的階段劃分、各項開發計劃的形成和實施、V&V活動的獨立性和文件記錄等方面落實V&V活動要求。

4.1 長遠目標

隨著數字化儀控技術在我國核電廠的應用及后續國產化的發展，完善我國軟件V&V法規標準體系幾乎是業界的一致訴求，使賣方、買方和監管方按照相同的標準尺度說話，使我國核工業在國際舞臺競爭時能更好地發揮優勢。對于我國V&V法規標準體系的完善，建議著重考慮以下幾個方面。

①在法規建設層面，要注重系統性和層次性，完善與計算機軟件和V&V活動的相關導則。目前，HAD 102/14應根據NS-G-1.3升版，從而與其他導則相匹配，共同支撐與計算機軟件和V&V活動相關的法規要求。

②在借鑒歐美標準的同時，以一種標準體系為主，將其規定作精、要求作細，形成軟件V&V活動要求的標準體系。目前，我國已基本形成以IEC標準為藍本的核電廠計算機軟件和軟件V&V活動的能源行業標準體系，但在項目執行層面仍存在與美國標準共用的情況，如國內和美國廠家在V&V活動過程和活動劃分方面大多參照IEEE 1012，而在獨立性要求方面，幾乎所有廠家均參照IEEE 1012執行。應考慮以當前的能源行業標準為主體，結合IEEE 1012，形成我國自己的V&V標準體系，以避免引用規范過多、技術要求不清的問題。

③完善軟件V&V活動的上、下游標準，形成軟件V&V活動的標準體系。軟件V&V活動的充分執行，需要計算軟件的安全分級、生命周期劃分、軟件審查和硬件相關標準等上游標準支撐，同時，也需要適當細化V&V活動的下游標準，如V&V活動中某一項工作的具體方法。

4.2 短期要求

V&V作為一種過程方法，在監管過程中要能夠做到深入淺出。針對我國當前法規標準體系不健全的現狀，可采取分階段的策略，逐漸深化對軟件V&V的監管要求。建議短期內可明確以下幾個方面的V&V監管要求，作為法規標準體系完善期的過渡階段管理要求。

①明確安全級軟件開發過程的階段劃分。

安全重要系統的開發應是一個可逐步控制的過程，其本質就是一個逐步逼近的過程。開發過程應分為若干階段，每個階段使用前一階段開發的結果，為后續階段提供輸入信息。根據HAD 102/16，核電廠安全級數字化儀控系統軟件應分為計算機系統需求、計算機系統設計、軟件需求、軟件設計、軟件實現、計算機系統集成、安裝和調試等七個階段。

②實施配置管理計劃。

數字化儀控系統的開發過程是系統需求不斷明確和細化的過程，同時也是對硬件和軟件不斷明確的過程，需要對需求、硬件及軟件進行動態管理，保證需求與實現的匹配以及開發團隊工作基線的一致。通過編制并實施配置管理計劃，明確軟件的基線、版本、版本變更的流程和評估方式，可以使設計團隊與V&V團隊有“共同語言”。

③軟件V&V活動大綱。

在V&V活動實施前，應制定明確的V&V活動大綱，從組織結構、資源需求、工具技術、V&V活動的實施范圍和準則、問題的處理、V&V的文檔等方面，對V&V活動進行明確的定義，同時給出如何確保V&V大綱實施的方案。IEEE 1012中明確規定了大綱所必須包含的內容。

④軟件V&V獨立性要求。

獨立性是保證V&V活動能夠有效開展的關鍵，包括組織獨立性、財務獨立性和技術獨立性三個方面。對于組織獨立性，V&V團隊和開發團隊必須由處于不同部門的部門領導分別管理和績效考核，不能有利益相關性；V&V活動不受工程進度和成本的約束；V&V團隊的領導要有足夠高的權限直接向分管質量的領導或最高領導匯報工作。對于技術獨立性，要求V&V團隊應使用不同于開發團隊的技術和工具完成。對于財務獨立性，要求V&V團隊應有各自獨立的財務預算及決算，以限制資金在開發與V&V活動之間的流動。

⑤文檔規范化、標準化、明確化。

軟件V&V活動文檔，作為V&V活動完成情況和結論的客觀證據，有必要對其完整性提出要求，應該明確V&V活動中哪些活動必須形成文檔，文檔中應該包含的內容等。各階段的V&V活動必須形成有效的文件記錄，期間發生的異常項和不符合項處理過程必須形成詳細記錄，各類文件必須嚴格按照廠家V&V工作程序執行。各個階段的總結報告為必須完成的內容，其中至少應包含該階段活動所要求的內容、已完成的內容、完成的基本狀況、對后續活動的影響等方面。

5 結束語

軟件V&V活動能夠為軟件的安全性和可靠性提供客觀的證據。隨著數字化應用的不斷深入，對核電廠安全級數字化儀控系統軟件開展V&V活動將逐漸成為軟件開發必不可少的環節。針對當前國內軟件V&V標準體系尚不健全、安全級數字化儀控系統大部分靠引進國外技術的問題，我國應逐步健全軟件V&V標準體系，監管要求需要逐步深入，既要保安全、保質量，又要逐步培養我國核工業的核心競爭力。

[1] IEC.IEC 60880:2006 Nuclear power plants-Instrumentation and control systems important to safety-software aspects for computer-based systems performing category A functions[S].switzerland: IEC,2006.

[2] IEEE.IEEE Std 1012-2004 IEEE Standard for software verification and validation[S].US: IEEE,2005.

[3] 國家核安全局. 核動力廠基于計算機的安全重要系統軟件[R].北京:國家核安全局,2004.

[4] 國家質量技術監督局，GB/T13629-1998 核電廠安全系統中數字計算機的適用準則[S].北京:中國標準出版社,1998.

[5] USNRC.Guidance on software reviews for digital computer-based instrumentation and control systems[R].US: USNRC,1997.

[6] USNRC.Regulatory guide 1.152 Criteria for use of computers in safety system of nuclear power plants[S].US: USNRC,2011.

[7] IEEE.IEEE Std 7-4.3.2-2003 IEEE Standard criteria for digital computers in safety systems of nuclear power generating stations[S].US: IEEE,2003.[8] USNRC.Regulatory guide 1.168 Verification,validation,reviews,and audits for digital computer software used in safety systems of nuclear power plants[S].US: USNRC,2013.

[9] IEC.IEC 61513 Nuclear power plants-Instrumentation and control important to safety-general requirements for systems[S].Switzerland: IEC,2011.

[10]IEC.IEC 61226 Nuclear power plants-Instrumentation and control important to safety-classification of instrumentation and control functions[S].Switzerland: IEC,2009.

[11]國家核安全局.核電廠質量保證安全規定[R].北京:國家核安全局,1991.

[12]國家核安全局. 核動力廠設計安全規定[R].北京:國家核安全局,2004.

[13]國家核安全局. 核電廠安全有關儀表和控制系統[R].北京:國家核安全局,1988.

Analysis of the Standard System for Software Verification and Validation of Digital Control System in Nuclear Power Plant

ZHENG Pianyao1,ZHONG Bai1,2,MA Xiangrui2

(1.Procurement Department,China Nuclear Power Engineering Co.,Ltd.,Beijing 100840,China;2.Northern Regional Office of Nuclear and Radiation Safety Inspection Ministry of Environment Protection of the P.R.China,Beijing 100029,China)

Through introducing the activities of software V&V and dividing the life cycle of software for nuclear power plant, the object of digital control system software V&V for the nuclear power plant is clearly defined;that is the verification activities are to judge whether the system meets the design requirements or not;and the validation activities are to judge whether the system design is correct or not. Combining with the supervision and management practice of the software V&V activities of the safety grade digital instrument control systems in NPP, the regulations and the standard system used for digital control system V&V activities in USA, Europe and China are summarized. Aiming at the problem of inadequate regulations and standard system in our country, the differences from such topics in USA and Europe are compared, and it is clarified that our regulations and standard system has deficiencies in three aspects, i.e., lag in upgrade, the standard route is not unified, and lack of systematic for transformation of the standards. From the long-term goal to see that we should consummate the V&V regulations and standard system, from the regulatory requirements to the execution of standards, to gradually refine a hierarchy of requirements;while from the short-term view, the requirements of V&V activities should be carried out from stage division of software development, formation and implementation of various developing plans, the independence of V&V activities, and documents and records.

Nuclear power plant; Digital instrument control system； DCS; Software V&V; Standard system

鄭駢垚(1976—)，女，碩士，工程師，主要從事民用核與輻射安全的監督和評審工作。E-mail:pianyao.zheng@foxmail.com。

TH86;TP273

A

10.16086/j.cnki.issn1000-0380.201703004

修改稿收到日期:2016-04-17