商用數字化設備在核安全級儀控系統中適用性確認研究及實踐

王曉燕，張亞棟，杜喬瑞，周小波

（北京廣利核系統工程有限公司，北京 100094）

0 引言

核電作為清潔能源，在能源匱乏的今天，越來越受到人們重視。中國作為能源消耗大國，正以積極態度，在確保安全前提下大力發展核電，這為核電事業的發展帶來了前所未有的機遇，但同時也帶來了巨大的挑戰，其中就包括對核電站核安全相關物項的使用，因為這些核安全相關物項的性能直接影響到核電安全。

早期，核電站核安全相關物項都必須從合格的核級供應商采購，即其設計與制造都符合核質保大綱要求。隨著幾起核泄露事件的發生，核電發展處于停滯狀態，使部分供應商放棄苛刻的核質保大綱要求轉做其它項目，符合核質保大綱要求的供應商越來越少。但隨著核電的發展，核安全相關物項的供不應求，美國針對所需部件難以尋找滿足要求的核級供應商的問題，經過多年研究，已逐步形成一套較為完善的商品級物項適用性確認（Commercial Grade Dedication，CGD）方法，作為核電廠安全重要領域控制零部件質量，杜絕引入不良品的重要手段，保證商品級物項（Commercial Grade Item，CGI）滿足核電廠功能安全要求，CGD 方法已逐步得到國際核電業主及承包商的認可和支持。

商品級物項是：1）不是為核設施專門設計或不以核設施特有的技術要求為條件；2）用于非核設施；3）按制造廠產品說明（例如樣本）中規定的技術條件從制造廠或供貨商處采購。商品級物項有3 種：①通用純軟件；②數字化設備；③通用純硬件設備。本文商品級物項特指數字化設備，即商業數字化設備。

隨著核電的發展，核電站要求的功能越來越多，由于核安全數字化設備供不應求和技術發展的限制，導致需要采取非核級廠家的數字化設備。由于軟件不同于硬件，硬件是看得見、摸得著的物理部件或設備，軟件產品是以程序和文檔的形式存在，通過在計算機上運行來體現他的作用。在研制軟件產品的過程中，開發過程是在無形化方式下完成的，其能見度極差，這給軟件驗證帶來了極大的困難。隨著軟件的復雜度越來越大，軟件失效概率急劇上升。如何對商用數字化設備進行驗證達到核安全級相關標準要求是使用商用數字化設備前提，也是關鍵；目前國內導則和標準空白，美國標準中并未明確具體指導方法，所以對于商用數字化設備驗證一直是當前的難題。

1 與商用數字化設備有關標準要求

中國目前已經在核安全導則HAD102/16 以及相關國標GB/T13629-2008（修改采用IEEE std 7-4.3.2-2003）中提出了商品級鑒定概念[2]，但是還未形成完善、可實施的方法和程序。HAD102/16 附錄I 專門針對按其他工業安全關鍵應用中的高標準開發的軟件的使用和確認提出了相關要求和建議[1]。

得到RG1.152 背書的EPRI TR 106439 明確軟件CGD如下:

識別CGD 對象，進行關鍵特性識別，確定關鍵特性驗證方法及接受準則，執行驗收活動。其中，關鍵特性驗證包括4 種方法：測試、源地驗證、商業級調查和運行經驗[8]。

IEEE1012 的附錄D 對于可復用軟件（軟件庫軟件、其他用途開發的定制軟件、商品級軟件、現存軟件）的鑒定提出了較為詳細的要求，主要體現在如下幾個方面[6]：

1）在軟件預期用途所在領域環境中，指定一個完整性等級，以確定要執行的最小的V&V 任務集。

2）當軟件開發匯總適用的信息被標識的、可獲取和有組織的，應根據軟件的完整性等級，開展相應等級軟件V&V 最小任務（例如：概念V&V、需求V&V、設計V&V、實現V&V、測試V&V）。

3）當軟件所需V&V 輸入不可用，且軟件要求具有高置信度時，應考慮使用替代分析和測試方法代替V&V 任務，以得出軟件正確性、完整性、準確性和可用性的客觀結論。

IEC61513 指出需要進行質量鑒定，包括軟件、硬件和系統方面質量鑒定[3]。軟件的質量鑒定指向了IEC60880 的要求，硬件的鑒定主要是環境、抗震等，指向IEC60780 的要求等。IEC60880 對核電廠A 類軟件設計、開發、驗證與確認、軟件工具的應用提出了具體要求，同時也對預開發軟件的鑒定提出要求，主要包含如下4 個方面：①對PDS 的功能和性能特征以及現有的鑒定文件的適用性評估；②軟件開發過程的質量評估；③運行經驗評估；④系統測試[5]。

通過對以上標準的研究，對于商品級物項鑒定的具體實施方法、程序和驗收準則，包括審查的方法和準則，都主要參考歐美相關標準體系。本文針對商用數字化設備的驗證過程采用美國的CGD 流程，首要滿足國內法規和標準，同時參考IEC 標準相關要求。

2 商用數字化設備適用性確認研究

根據EPRI NP-5652、TR-106439 所規定的方法，對一個用于核電站商品級物項的鑒定使用通常分為兩個階段：技術評估階段與檢驗驗收階段[7,8]。技術評估階段是工程師根據自身經驗與核安全相關系統需求，界定此商品級物項的適用范圍、設計的安全相關功能、使用條件，并要考慮可能發生的失效及影響和一些關鍵特性；檢驗驗收階段是根據技術評估階段的要求，選擇合適的檢驗方法與接受標準，并對其進行檢驗驗收。在這兩個階段實施過程中，很重要的一點是都需要形成文件來記錄實施過程，做到有據可查。只有這兩階段完成且合格后，此物項方可使用。

2.1 技術評估階段

作為商品級物項適用性確認過程的重要組成部分，技術評估是適用性確認過程的基礎。只有做好技術評估，后續的檢驗驗收才能全面有效地驗證該物項的性能。技術評估主要從以下面方面來進行：

1）商品級物項所執行功能、確認在核電站中所執行的安全相關功能，安全等級及適用范圍。

從商用數字化設備的功能、性能、接口、失效處理、安全防范角度驗證是否滿足系統需求和系統設計要求。采取的方法可以是可追溯性分析、接口分析、失效分析、安全防范分析等，確定商用數字化設備所執行安全相關功能、安全等級和適用范圍。

2）分析商品級物項的失效模式，及在其失效時對核安全相關系統或功能的影響；確定商品級物項的關鍵特性。

根據核儀控系統的設計和商用數字化設備需求的要求，對商用數字化設備進行可能導致安全功能失效的異常狀態和事件危險分析，根據故障模式和后果分析的結果判斷故障模式是否采取相關措施進行處理；確定失效時對核安全相關系統或功能的影響，結合執行安全功能，確定關鍵特性。

3）關鍵特性識別和劃分

關鍵特性根據使用的安全功能和使用約束來確定關鍵特性，依據EPRI 106439 第4 章的指導，商用軟件的關鍵特性同硬件CGD 的關鍵特性一樣，分為包括物理特性、功能/性能特性、可信性特性3 大類型，具體如下：

① 物理特性：主要包括型號、大小、顏色、重量、材質、軟件版本號等。

② 功能/性能特性：使用的功能、接口、精度、溫度、相對溫度、抗震及EMC 等。

③ 可信性特性：質保和管理、軟件開發和驗證，硬件開發和驗證、生產制造等。

2.2 檢查驗收階段

根據被美國核管會認可的導則NP-5652 檢驗驗收方法包括以下4 種：①特定檢驗和試驗；②對供方的商品級調查；③對物項的源地驗證；④供方/物項表現記錄的可接受性。根據所選擇的檢驗驗收方法鑒定合格，且商品級物項的可追溯性符合核級物項要求，形成并保存記錄，即認為所選商品級物項可像核級物項一樣用到核安全相關應用中。對于商用數字化設備，在實際驗收中對于不同特性采取不同驗收方法：對于數字化設備的物理特性、功能/性能特性驗收采取方法1 特定檢驗和試驗（可以是測試、環境與抗震的鑒定、檢驗）進行驗收；對于含有的軟件的數字化設備，由于軟件的復雜性、重要性，對于軟件開發和驗證的可信特性的驗收采取白盒化的驗收方式，即軟件V&V 或軟件V&V 審查方式（屬于特定檢驗和試驗）；對于質保和管理、硬件開發和驗證、生產和組裝及調試可以采取商業級調查方式驗收；對于軟件版本確認可以采取源地驗證進行驗收，如果感覺供應商提供證據不足，可以采取運行經驗分析進行補充。

① 軟件V&V 或軟件V&V 審查

執行該種方法的前提是供應商提供商用數字化設備的需求、軟件需求、設計和源代碼，如果執行軟件V&V 審查，供應商還需要提供對應于商用軟件版本的V&V 一套完整文件；該種方法主要驗證軟件開發過程和軟件驗證過程。

◇ 用戶獨立執行軟件V&V 工作，滿足HAD102/16和IEEE1012-2004 對于軟件V&V 的管理獨立性、技術獨立性和財務獨立性的要求。在執行軟件V&V 工作需按照IEEE1012 的SIL4 和相關標準要求（例如IEC60880），執行軟件V&V，對數字化的設備功能分配、不同類型接口（軟軟接口、軟硬接口、人機接口、通信接口）危險源、敏感源、風險等方面進行評估和分析，對軟件進行單元測試（語句覆蓋100%、分支覆蓋100%、修正條件判斷覆蓋100%）集成測試和系統測試，從而確保數字化設備軟件滿足核安全要求。

◇ 對供應商提供的軟件V&V 材料進行審查，首先要審查執行第三方V&V 的單位是否具備軟件V&V 的能力，同時驗證該單位是否滿足HAD102/16 和IEEE1012-2004 對于軟件V&V 的管理獨立性、技術獨立性和財務獨立性的要求。在這兩個條件滿足的前提下，審查軟件V&V 的過程、方法和結果；審查依據的標準是V&V 工作需按照IEEE1012的SIL4 和相關標準要求（例如IEC60880）。

② 進檢、環境與抗震有關鑒定

按照標準TR-017218 抽取樣品[4]，對商用數字化設備的物理特性和功能/性能進行進檢；對環境與抗震有關關鍵特性，按照核安全有關標準進行鑒定，本文就不具體展開。

（六）仔豬合理補飼 仔豬出生后，應讓其及早(15 min內)吃上初乳，獲得被動免疫保護。及時補鐵，則可有效防治仔豬營養性貧血，增強仔豬抵抗力。在7日齡左右，仔豬即開始補喂全價飼料，在保證仔豬生長發育所需的必需氨基酸條件下，飼料中粗蛋白質含量應控制在19%以下。在斷奶前后，避免突然變換飼料引起應激性腹瀉。仔豬飼料中適當補充礦物質、微量元素、維生素、有機酸、復合酶制劑和微生態制劑等，可提高飼料蛋白質的消化率，促進營養物質的消化吸收，加快仔豬生長發育，有效地預防和降低仔豬腹瀉。

方法二：商業級調查

該方法可以對商用數字化設備進行商業級調查，以獲取供應商采用的商業控制措施的可信度。這些控制措施可以是基于質量程序、規程和實踐。商業級調查包括3 部分：軟件部分的商業級調查、硬件部分商業級調查、生產制造部分商業級調查。首先應準備調查計劃，以確認供應商保持了對商用軟件所要用到的每一個關鍵特性的控制。調查報告應該描述供貨商所使用的方法，用于評估方法的證據以及確認方法被使用的客觀證據，以及調查人員的結論。

方法三：源地驗證

源地驗證方法主要是商品級物項發運之前，在供應商工廠進行質量見證活動，進行關鍵特性驗證，見證內容可以是制造和裝配過程、非破壞性檢驗、性能測試或最終檢查，還可包括確認供應商的設計、采購、校準以及為采購某些特殊的商品級物項而采用的材料控制方法等。

方法四：供方/物項表現記錄的可接受性

在質量評估不充分的情況下，適當的商用軟件運行經驗可補充商用軟件的置信度。根據供貨商提供的數據或從其他用戶得到的數據，對產品運行經驗進行評估；根據要使用商用軟件的版本、配置和功能使用情況，對已運行的商用軟件配置、功能和被評定軟件的相似性或一致性進行運行經驗總結。方法4 最適用于以下兩種情形：對于一個或多個關鍵特性，與另一個驗收方法結合，作為減少樣本量的基礎；當其他關鍵特性通過另一種驗收方法的使用得到驗證時，作為驗收某一特定關鍵特性的基礎。

在實際執行時，物項在其他領域的歷史性能記錄很難獲取，一般情況下，可基于物項的一些工業標準認證、供應商提供的物項的相應的返修情況等，以及物項在自身項目中的一些應用情況等。

3 應用實踐

公司預采購某供應商的驅動設備用于核電儀控系統中，要求供應商提供驅動軟件的需求、設計和源代碼，同時也支持商業級調查。

公司按照CGD 流程對其進行技術評估和檢查驗收，首先進行安全功能確認、關鍵特性識別；根據關鍵特性確定驗收方法，具體驗收方法如下：

方法一：特定檢驗和試驗

對于數字化的物理特性采取進檢檢驗方式（屬于特定檢驗和試驗）驗收；對于功能/性能特性驗收可以采取進檢檢驗（屬于特定檢驗和試驗）和環境、抗震有關鑒定方式（屬于特定檢驗和試驗）進行驗收；對于含有的軟件的數字化設備，由于軟件的復雜性、重要性，對于軟件開發和驗證的可信特性的驗收采取白盒化的驗收方式，采取執行軟件V&V（屬于特定檢驗和試驗）。

①執行軟件V&V：公司的V&V 團隊在接收到供應商提供的驅動設備需求、可編程邏輯需求、設計和源代碼后，執行軟件V&V；依據的標準是IEEE1012、IEC62566、HAD102/16；按照軟件生命周期執行概念V&V、需求V&V、設計V&V、實現V&V 和測試V&V；針對V&V 提出的問題供應商進行修改，V&V 的結論是通過。

②進檢：本項目共需25 臺，供應商提供的25 臺是同一生產線、同一批次的，根據相關標準和設備的功能簡單、單一的特性，采取了常規抽檢6 臺，驗證物理特性、部分功能和性能特性。在對功能和性能驗證中，首先編寫測試需求和設計，在測試設計中驗證常規功能情況下，增加了異常測試、接口測試、邊界測試，同時考慮驅動軟件在系統中應用各種工況的測試。

③環境和抗震的鑒定：公司按照鑒定有關的標準執行，有關鑒定內容在此不詳述。

方法二：商業級調查

商業級調查包括3 部分：軟件部分的商業級調查、硬件部分商業級調查、生產制造部分商業級調查，具體驗證要求如下：

①軟件部分商業級調查：調查范圍涉及到軟件質保大綱、項目管理、配置管理、軟件變更、異常處理、開發環境、人員資質等方面，通過對其進行商業級調查，驗證軟件部分質量保證是否滿足核質保要求。

②硬件部分商業級調查：調查范圍涉及到硬件質保大綱、項目管理、供應商評價、硬件設計、硬件驗證、采購文件、配置管理、硬件變更、異常處理、開發環境、人員資質等方面，驗證硬件部分質量保證是否滿足核質保要求。

③生產制造部分商業級調查：調查范圍涉及到進料檢驗、制造過程控制、軟件下裝、生產測試、生產及測試設備和儀器控制、包裝運輸管理等方面，通過對其進行商業級調查，驗證生產制造部分質量保證是否滿足核質保要求。

方法三：源地驗證

為了確保驅動設備出廠前的質量，在驅動設備出廠前，公司人員選取了功能和性能特性中關鍵驗證點和公司不具備的驗證點，在供應商測試場地，抽取了6 臺驅動設備，由供應商按照公司選取驗證點進行測試，公司人員進行見證。

方法四：供方/物項表現記錄的可接受性

針對公司使用驅動設備版本和相近版本，對驅動設備的銷售情況、維修情況、實際應用情況進行評價。

4 小結

在核電廠設計、建造和運行過程中需要采購大量的商品級物項，這些執行核安全級功能的商品級物項需要進行評定才能應用。本文通過對國內外標準對商用數字化設備的要求，提出適合中國國情的、可操作的適用性確認過程和方法，用于指導商用數字化設備驗收工作具體執行，確保商用數字化設備能夠正確可靠執行安全功能達到核電要求。