商品級數字化設備關鍵特性識別及其驗收方法的研究

孫　武，王眷衛，崔澤朋，張　源

商品級數字化設備關鍵特性識別及其驗收方法的研究

孫武，王眷衛，崔澤朋，張源

（中核控制系統工程有限公司，北京 102488）

基于美國的核電質量保證體系，安全級系統中使用商品級物項時，可通過商品級物項適用性確認技術以確保其質量的可靠性。商品級物項可分為數字化設備和基于傳統硬件（無軟件）的設備。在國內，針對基于傳統硬件設備的適用性確認技術已有一定的應用。但是，針對數字化設備的適用性確認技術尚未廣泛應用。隨著我國核電站儀控系統升級換代的需求日益增加，數字化設備的應用勢必將成為主流，而商品級物項適用性確認技術作為將數字化設備應用于安全級系統的一種方法，其重點和難點是數字化設備的關鍵特性的識別和驗收方法，而相關內容尚未在國內形成統一的標準。本文通過對數字化設備的關鍵特性的分析研究，總結出數字化設備的通用關鍵特性，并提出了一套針對數字化設備的驗收方法，可為商品級數字化設備適用性確認提供參考。

可信性；關鍵特性；商品級物項適用性確認；數字化設備

商品級物項適用性確認（Commercial Grade Dedication，CGD）在美國已有良好的實踐和經驗反饋，并在其核電廠儀控系統安全相關物項的替換中得到廣泛的應用。國內核電廠安全級系統中尚未大規模的應用，核安全監管部門也未正式發布針對CGD工作的具體監管要求（僅發布了能源行業指導性標準）。從2008年開始國內儀控系統設備供應商也在陸續開展CGD相關的工作，并且積累了一定的工程應用經驗[1]。然而，這些實踐和經驗都是對基于傳統硬件設備的CGD，而非針對數字化設備（即包括計算機軟件的設備）的CGD。

CGD整體上分為技術評價和驗證兩個階段，在技術評價階段的主要內容之一是確定數字化設備的關鍵特性，而對商品級物項關鍵特性的驗收是CGD中至關重要的一步，是確保商品級物項可用于核安全系統中有效措施。對傳統硬件設備關鍵特性的識別方法是非常成熟的，其關鍵特性包括物理特性（如設備的尺寸、重量、安裝方式、材質等）和性能特性（如設備的輸入/輸出電壓、精度、響應時間等）[2]。但是，對于數字化設備的關鍵特性，除了上述兩類關鍵特性外，還包括可信性特性。也就是說，數字化設備的三個關鍵特性是物理特性、性能特性和可信性特性。可信性涵蓋了系統軟件的各種特性，如可靠性、安全性、可用性和可維護性等，它反映了設備能夠執行和完成一項任務而未發生失效的能力[3]。數字化設備的適用性確認需要解決的基本問題是如何證明其可正確地執行預期的安全功能[4]，這個證明的過程就是對數字化設備的三種關鍵特性進行驗收的過程。

本文對數字化設備所特有的物理特性和性能特性進行了研究，并對其可信性特性進行重點分析和識別，總結出了典型的數字化設備可信性特性，提出了一套針對數字化設備可信性關鍵特性的驗收方法。

1　物理特性和性能特性

數字化設備的物理特性和性能特性分類如表1所示，對其評估和驗收過程與對傳統硬件設備是一致的，通用的驗收方法包括專門的測試與檢查（方法1）、對供方的商業級調查（方法2）、源地驗證（方法3）、供方/物項的歷史性能記錄（方法4），或采用多種方法的組合來執行商品級物項的驗收。

表1　數字化設備的物理特性和性能特性

數字化設備的物理特性通常是指表征設備外觀、尺寸、物理接口、安裝方式等信息的集合，對于數字化設備的這些物理特性，在CGD時可僅通過檢查和試驗的方法即可保證其應用于安全級儀控系統的質量。但是，數字化設備由于含有軟件，其中的部分物理特性有其特殊性，在對這些物理特性識別和驗收時應進行額外的關注。如，針對數字化設備的物理特性中的“硬件版本”或“固件/軟件版本”等進行驗收時，應確定數字化設備的固件版本號與型號/序列號的關系，還應確定固件版本與應用軟件版本的關系，根據兩者的關系選擇適宜的驗收方法。如果固件版本與應用軟件版本之間沒有關聯，則需配合使用商業級調查的方法，以確定其版本配置管理的具體實施方法。在對數字化設備供貨商進行商業級調查時，應確定固件版本和應用軟件的關系是否體現在其設計開發流程中（如文件控制、版本控制或配置管理活動中）。

2　可信性特性

2.1　可信性特性的識別

物理特性、性能特性和可信性特性都是數字化設備的設計特性[5]，而軟件的設計特性通常又分為軟件質量屬性和軟件開發過程屬性。軟件質量屬性和軟件開發過程屬性對于數字化設備的正常運行，尤其是其軟件的正常運行都可能產生影響，而其中只有影響數字化設備安全功能執行的那些設計特性才是關鍵特性。即：只有那些影響了軟件的正常運行，繼而影響數字化設備安全功能執行的設計特性才是可信性特性。上述設計特性之間的關系如圖1所示。

圖1　設計特性與可信性特性的關系

從圖1可以看出，對于數字化設備關鍵特性的甄別，首先應總結出軟件質量屬性和開發過程屬性兩個基本的設計特性；其次分析總結出影響數字化設備安全功能執行的關鍵特性。影響軟件質量屬性和開發過程屬性的因素按照其重要程度可包含若干個[6][2]，本文總結提煉出9個對于數字化系統安全功能的執行起到至關重要的作用，即是可信性特性。為便于本文后續可信性特性的驗收，將這9個可信性特性分為三類：質量保證體系、軟件/系統生命周期模型和管理體系。數字化設備可信性特性的分類如圖2所示。

圖2　數字化設備可信性特性的分類

其中，質量保證體系包括產品的歷史數據及其分析、持續改進和不符合項控制三個。管理體系包括配置管理、人員及其控制兩個；軟件/系統生命周期模型包括獨立驗證與確認、分析技術、需求追蹤和軟件需求四個。同時，配置管理和質量保證應具有獨立性的要求。即，從事軟件配置管理及其質量保證的人員應不是負責開發產品的經理和程序員。這種獨立性可通過審查公司的組織架構及相關制度來證明。

以下將重點分析這三類可信性特性在數字化設備的安全功能執行中的作用。

（1）質量保證

從事核電儀控系統開發的專業化公司都具備HAF003核質保體系。在這個體系下，對于數字化設備的可信性特性，有幾個方面是需要格外的進行關注，這包括對軟件開發產品的持續改進措施，包括較長時間的開發活動記錄，包括開發過程缺陷的跟蹤與處理、軟件開發過程的結果評價以及在軟件開發的早期階段對質量控制的措施。

在質量保證措施下，公司各個管理層對于產品質量的承諾也往往會對軟件的質量產生積極的影響，并能夠通過一定的制度保障措施與對應的質量承諾相匹配。

（2）管理體系

在數字化設備的軟件開發過程中，供貨商相應的管理體系對產品的可信性具有重要的作用。這包括對從事軟件開發人員的資質管理、培訓管理以及控制管理，比如，針對開發人員應制定年度培訓計劃，培訓過程和效果應具有完成的記錄。開發人員的能力（包括管理能力和技術能力）和資源可用性應與軟件開發的難度相匹配，比如開發人員的業績和成果等應具備完整的檔案記錄。

由于配置管理在數字化設備軟件開發過程中至關重要的，同時也是建立產品可信性特性的重要手段。因此，在數字化設備軟件開發過程中應持續使用配置管理手段。在軟件行業中，由于配置管理導致的錯誤是經常發生的。在實踐中，可通過檢查供貨商當前的和以往的證據來確定其配置管理是否充分。配置管理中必須對變更、接口和產品發布三項進行有效控制。數字化設備的系統軟件不應隨意重構，尤其是對于已成功應用的系統軟件設計，必須嚴格控制系統軟件的重新設計，非必要時不要修改當前的系統軟件設計。對于系統軟件代碼的修改應經過嚴格的變更流程。

（3）軟件/系統的生命周期模型

數字化設備的生命周期模型應以正式的文件進行確認，這個模型應明確所有的開發和相關認證活動。

在產品全壽期內的生命周期活動中，應具備清晰的軟件需求、IVV以及對產品的危險/風險分析。軟件開發過程應產生清晰有效的軟件需求，并且軟件需求應進行相應的分析和審查，確保其能明確反映產品的預期安全功能。同時，軟件開發過程應產生清晰、明確、有文檔化的設計，這些設計可以逐項驗證需求的實現。軟件/系統的生命周期是系統性工程，其開發過程應通過模型來證明軟件產品是可追蹤的。該模型是可以通過測量評估進行驗證的。IVV應獨立確認需求和開發屬性以及單個產品質量。在IVV活動中明確多維度/多層級的測試內容，如單元級、子系統級和系統級。

需求、開發過程、驗證與確認嚴酷等級以及產品設計等各階段生命周期活動中應始終使用危險分析與風險分析技術。在系統設計的同時，應進行風險分析，通過系統的風險分析識別軟件風險。風險分析應使用“自上而下”和“自下而上”兩種方法，“自上而下”的方法確保解決軟件風險，“自下而上”確保軟件錯誤不影響系統安全。

2.2　可信性特性的驗收

數字化設備可信性特性的驗收往往是有局限性的，這不僅表現在可信性特性的確認上，其次，確定后的可信性特性往往是數字化設備開發過程中的內在質量特性，這就導致其驗收的過程存在不可定量測量的問題。

針對本文節2.1總結分析出的數字化設備關鍵特性，根據不同類別關鍵特性的特點，并結合對傳統硬件設備的物理特性和性能特性驗收方法，本文提出如下針對數字化設備關鍵特性驗收方法。表2為數字化設備物理特性和性能特性的驗收方法和接收判據，表3為數字化設備可信性特性的驗收方法和接收判據。

表2　數字化設備的物理特性驗收方法

續表

類別關鍵特性描述驗收方法接收判據 性能 特性環境兼容性環境包括溫濕度、EMC、地震等。對于數字化設備已完成的環境兼容性試驗需進行更詳盡的檢查以確保其可用方法1環境試驗或檢查已完成的試驗報告，分析其適用性

表3　數字化設備的性能特性驗收方法

3　結論

本文通過對商品級數字化設備關鍵特性識別及驗收方法的研究，特別是針對可信性關鍵特性的詳細分析，提出數字化設備典型的可信性關鍵特性，綜合商品級傳統模擬設備的物理和性能兩個關鍵特性的識別和驗收方法，總結出了一套針對數字化設備關鍵特性的完整的識別和驗收方法，可為商品級數字化設備適用性確認提供參考，對于商品級數字化設備用于國內新建核電站和和安全級儀控系統升級換代具有重要的借鑒意義。

［1］ 孫洪濤，李紅霞，劉靜波，等．核電廠數字化儀表控制系統商品級物項適用性確認方法研究與應用［J］．核動力工程，2019，40（4）：80.

［2］ M.Tannenbaum. Guideline for the Acceptance of Commercial- Grade Items in Nuclear Safety-Related Applications［R］． Palo Alto，CA：EPRI，2014.

［3］ J.Dennis Lawrence，G. Gary Preckshot. Design Factors for Safety-Critical Software［R］．Livermore，CA：NRC，1994.

［4］ R.C.Torok. Guideline on Evaluation and Acceptance of Commercial Grade Digital Equipment for Nuclear Safety Applications［R］．Palo Alto，CA：EPRI，1996.

［5］ 石秦，王忠秋，張云波，等．核電廠商品級物項適用性確認研究與應用［J］．自動化儀表，2019，40（6）：54.

［6］ Lawrence J D. Workshop on Developing Safe Software［R］．United States：N.p.，1994.

［7］ Lawrence J D. Software reliability and safety in nuclear reactor protection systems［R］．United States：N.p.，1993. Web.doi：10.2172/10108329.

［8］ Holmstrom K J. Introduction to IEEE Std.7-4.3.2 Annex D—Qualification of existing commercial computers［R］． United States：N.p.，1995. Web.doi：10.1109/23.467759.

［9］ Kindred，Greg.Nuclear Safety via Commercial Grade Dedication-Hitting the Right Target-12163［R］．United States：N.p.，2012.

Study on Critical Characteristics of Commercial Digital Equipment and Its Acceptance Methods

SUN Wu，WANG Juanwei，CUI Zepeng，ZHANG Yuan

（China Nuclear Control System Engineering Co.，Ltd.，Beijing 102488，China）

Commercial-grade items（CGI）being used for safety-class system（especially in its upgrading），Commercial Grade Dedication（CGD）method can be applied for ensuring its quality and reliability under American Nuclear Quality Assurance System. CGI can be generally divided into digital equipment and traditional hardware（without software）equipment，and CGD method for traditional hardware equipment has already been used in some specific applications. However，CGD method for digital equipment hasn’t been widely used in domestic nuclear power plants. As upgrading demands for Instrumentation & Control System in domestic nuclear power plant，application of digital equipment will be an advantage. CGD is one of method for digital equipment being used in safety-class system，and selection for digital-equipment’s critical characteristic and its acceptance methods are key points in digital equipment dedication. However，general standards for these haven’t been drafted. Based on analysis and research of critical characteristic，with summarizing general critical characteristic of digital equipment，an acceptance method for digital equipment is proposed in this paper，which can provide a reference for CGD of digital equipment.

Dependability；Critical Characteristic；Commercial Grade Dedication；Digital Equipment

TL361

A

0258-0918（2021）05-1055-05

2021-07-11

孫 武（1983—），山東青島人，高級工程師，碩士，現主要從事核電DCS管理、設計和驗證方面研究