關于核電安全相關軟件開發質保分級的探討

2021-11-23 07:59:46王忠毅杜麗巖郭慧芳

商品與質量 2021年31期

王忠毅杜麗巖郭慧芳

中核戰略規劃研究總院有限公司北京 100048

由于核電廠物項對安全運行有重要影響，因而提出了物項的安全功能以及按其對安全的重要性進行分級的概念。劃分安全等級的目的是提供分級設計標準，對于不同安全等級的物項（主要指設備）規定不同的設計、制造、檢驗和試驗要求。核電廠物項的質保分級是以安全分級為基礎建立的，核電廠安全相關軟件在法規HAF003中也是作為物項進行管理。為保證核電廠直接或間接使用軟件的安全性及可靠性，同樣對核電廠安全相關軟件也提出了質量分級要求。核電廠安全相關軟件質保分級應注意全局性、適度性和均衡性3個原則。

1 核電廠物項安全分級原則和基本方法

核電廠物項分級主要指安全分級、抗震分級、設計制造的規范等級和質量保證分級4種。其中安全分級是基礎，根據物項在核電廠對安全功能影響的重要程度，把物項劃分為不同的安全等級。不同安全級別物項的各項具體要求在抗震、規范、質量保證等方面各不相同，這4種分級構成了一個完整核動力廠的物項分級。我國核安全管理當局制定了一系列有關核安全的政策、法規和導則，這些政策性文件從總體上提出了我國核電廠應遵循的核安全原則，其中物項的安全分級是核安全準則中的重要內容之一。核電廠物項的安全分級不是目的，確保核電廠的安全及資金投入和產出比最小化才是要考慮的必需的前提條件。在物項的安全分級工作中應特別注意全局性、適度性、均衡性3項原則。所謂全局性體現在核電廠的運行是瞬態的，其運行能力與設計、建造和管理各方面密切。

相關，只有把握住有機的整體，才能保證核電廠的安全；適度性是指從設計到運行管理的安全措施應該以當前社會的經濟和大眾的心理承受能力為限，并非要求越高越好；均衡性是指核安全與其他工業活動的風險控制，應從社會總風險的層次上把握，有一個適當比例的風險接受標準。

物項的安全分級一般根據實現某些重要功能，造成部分設備、部件承壓或損害，導致對安全產生影響。各安全等級按其對安全影響的大小次序排列，對安全影響最大的為安全1級，以此類推。用來確定對安全有關物項分級的兩種通用方法是確定論法和概率論法。定義一個物項的安全等級，應考慮下列事項：

（1）從概率的觀點考慮部件失效的后果和燃料元件破損程度。

（2）從安全系統功能實現的可能性上考慮安全部件失效的后果。

（3）考慮部件失效的后果造成放射性物質向環境中釋放的可能性及釋放的量。

（4）執行放射性監測功能的部件。

（5）部件對安全的影響。

2 核電廠安全等級劃分依據標準和安全等級劃分

2.1 核電廠安全等級劃分依據標準

各核電廠安全等級劃分依據的標準不盡相同，但我國的核電法規、標準是必須要采用的。根據實際情況，各家核電廠在建設過程中可能還會疊加采用一些國際通用標準（例如IEEE、IAEA）；合作方國家的一些工業標準（例如大亞灣核電站、嶺奧核電站采用法國法規標準、田灣核電站采用俄羅斯法規標準、AP1000核電站采用美國法規標準等）。一些核電相關的中國標準和國際標準如下：

（1）中國標準。HAD102/03用于沸水堆、壓水堆和壓力管式反應堆的安全功能和部件分級。

GB/T15474-1995核電廠儀表和控制系統及其供電設備安全分級。

（2）國際標準。IEEE308-2001核電廠1E級電力系統標準（電力系統安全分級）。

ASME核電規范與標準的第III卷。

2.2 核電廠安全等級劃分

根據對不同堆型大量假設事故進行分析的結果，分為四個安全等級。安全一級對安全的重要性最大，二、三、四級的重要性依次遞減。

（1）安全一級。包括為防止堆芯裂變產物總量中會產生實質性影響的份額（在有關安全系統不起作用時）釋放到周圍環境所必須的那些安全功能。

（2）安全二級。包括為減輕某一事故后果所必需的那些安全功能，如果沒有這些安全功能的作用，該事故可能導致堆芯裂變產物總量中會產生實質性影響的份額釋放到周圍環境，只有在另一安全功能初始失效后才有必要考慮這些屬于二級的安全功能失效的后果。還包括為防止預計運行事件發展為事故工況所必需的那些安全功能，但不包括只對另一安全功能起支持作用的那些安全功能。也包括這樣一些安全功能，如反應堆余熱的排出，這些功能失效的后果與要求執行這些安全功能的概率的乘積可能很大[2]。

（3）安全三級。包括對安全一、二級中的安全功能起支持作用的所有安全功能。由于這些功能的失效不會直接引起輻射照射增大的后果，所以將其劃入安全三級。還包括以下兩類安全功能：一類是為防止反應堆冷卻劑系統以外的放射源對公眾和廠區人員產生超過可接受限值的輻射照射所必需的安全功能；另一類是與反應性慢時標的控制有關的安全功能。此外，還包括這樣一些功能，其作用是儲存在反應堆冷卻劑系統以外的燃料保持在次臨界狀態或是排出貯存在反應堆冷卻劑系統以外的輻照過的燃料所發出的衰變熱[3]。

（4）安全四級。又稱為非核級，包括未進入一級、二級和三級的那些安全功能。除了對上述流體包容系統和部件分級外，還需對電氣部件和其他部件進行分級。

3 核電廠物項質量保證等級劃分原則和要求

核電廠的物項、服務和過程應與規定的質量要求相符合，以滿足核電廠安全和可靠運行的需要。這些質量要求體現在使用的工程規范、技術標準和技術規格書等技術文件中，如果單位的管理工作和組織機構不完善，則適用的工程規范等技術文件并不能保證物項、服務和過程的質量滿足規定的要求。因此，必須實施有效管理，以從管理角度來保證或促成物項、服務和過程滿足規定的要求[4]。

3.1 劃分質量保證等級的目的

根據核安全法規HAF003（91）的要求，必須對質量保證大綱所適用的物項、服務和過程規定的相應控制和驗證的方法和等級。因此，需要制定一套分級的質量保證要求，規定對每一等級的物項、服務和過程所必須進行的大綱活動。對最高的質量保證等級應提出最嚴格的質量保證要求，當質量保證等級降低時，質量保證要求也相應降低。選擇和確定恰當的質量保證要求，既能為物項、服務和過程符合規定的質量要求提供足夠的置信度，又能達到節省費用的目的。

3.2 質量保證等級的劃分和要求

根據物項、服務和過程的特性，應對供方（包括承擔具體工作的買方）提出不同的技術和管理方面的要求。核電廠的物項、服務和過程，安全重要和非安全重要的，通常各分為三個質量保證等級，并分別與一定數量的質量保證要求相對應。

（1）質量保證1級（簡稱QA1）。即物項、服務和過程是至關重要的，由于活動控制失誤所引起的故障和失效將危及廠區工作人員和公眾的健康和安全以及核電廠的運行。通常涉及復雜和新穎的設計，復雜的工藝，大量高精度、非標準的運動部件，新建和缺少經驗的供方以及多種功能和繁雜的單位或部門間接口。

質量保證1級要求供方遵照HAF003（91）和相應導則中適用的全部要求，制定和實施質量保證大綱，并滿足合同等采購文件中的質量保證要求。

（2）質量保證2級（簡稱QA2）。如果物項、服務和過程的重要性、因活動控制失誤所引起后果的嚴重性、工藝技術和接口的復雜性、工藝技術和設計的成熟程度都為中等水平。

質量保證2級要求供方遵照HAF003（91）和相應導則中適用部分要求的絕大，制定和實施質量保證大綱，并滿足合同等采購文件中的質量保證要求。

（3）質量保證3級（簡稱QA3）。即物項、服務和過程是次要的，由于活動控制失誤所引起的故障和失效不會危及廠區工作人員和公眾的健康和安全以及核電廠的運行。通常涉及已驗證過的設計，簡單的工藝，低精度和少量運動部件，有經驗的供方以及管理容易和少量的單位或部門間接口。

質量保證3級要求供方遵照HAF003（91）和相應導則中適用的部分要求，制定和實施質量保證大綱，并滿足合同等采購文件中的質量保證要求。

4 核電安全相關軟件的分級

核動力廠直接使用的核安全相關軟件，例如：

（1）核動力廠儀器儀表控制系統軟件；

（2）核動力廠安全系統軟件；

（3）核動力廠運行系統軟件。

核動力廠未直接使用的安全相關軟件，例如：

（1）核動力廠設計軟件和安全分析計算軟件；

（2）核動力廠物項制造、試驗和檢驗軟件；

（3）核動力廠采購和施工等管理軟件；

（4）支持工具軟件等。

《核動力廠設計安全規定HAF102》“5.1安全分級”中規定：“必須首先確定屬于安全重要物項的所有構筑物、系統和部件，包括儀表和控制軟件，然后根據其安全功能和安全重要性分級。它們的設計、建造和維修必須使其質量和可靠性與這種分級相適應。”所以，應該對核動力廠核安全相關軟件進行分級。

4.1 核動力廠直接使用的核安全軟件的分級

對于核動力廠直接使用的核安全軟件已有相應的法規導則。在《核動力廠基于計算機的安全重要系統軟件HAD102/16》“3.2.3安全分級方案”規定：“決定儀表和控制系統功能的安全重要性的安全分級方案可用于系統的開發過程，這促使核動力廠的設計人員、操縱員和國家核安全監管部門高度重視那些保證系統和設備安全的技術規格書、設計、質量鑒定、質量保證、制造、安裝、維護和試驗。”“3.2.4降低風險與研制計劃之間的平衡”規定：“在系統及其相關軟件設計的每個步驟，對為實現各種交叉設計目標而達成的折衷方案應謹慎予以評定，并采用自頂至底的設計和開發過程以便進行這種評定。當分級設計和質量鑒定要求適用于計算機系統的功能時，可從安全分級方案導出。這個分級可在設計與質量鑒定效果之間取得平衡，計算機系統應滿足所執行功能中最高安全級別的準則。”

儀表和控制系統功能的安全重要性的安全級分為核級和非核級。按照上述準則，一般情況下，應按照核級要求管理儀表和控制系統軟件開發過程。

4.2 核動力廠未直接使用的核安全軟件的分級

（1）核動力廠設計軟件與安全分析計算軟件的分級。核動力廠設計軟件一般是由一系列設計軟件組成，例如總體布置軟件、機械部件設計軟件、管道設計軟件、儀器儀表設計軟件等。安全分析軟件是用來對核動力廠模型進行安全分析的計算工具，以便對核動力廠模型安全性進行驗證和確認。

在核動力廠設計安全規定 HAF102中“5.9安全分析”中規定：“安全分析中應用的計算機程序、分析方法和核動力廠模型必須加以驗證和確認，并必須充分考慮各種不確定性。”因為安全分析計算軟件涉及到堆芯的安全分析計算，所以安全分析軟件應按照計算機系統應滿足所執行功能中最高安全級別的準則來進行，并采用相應級別的質量保證要求管理其開發過程。

其他設計軟件所設計的物項如果涉及到核安全，亦可按照應滿足所執行功能中最高安全級別的準則來進行。

（2）核動力廠物項制造、試驗和檢驗軟件的分級。核動力廠物項制造、試驗和檢驗軟件，因直接涉及到物項，如果涉及到的物項為核安全物項，可按照應滿足所執行功能中最高安全級別的準則來進行，并采用相應級別的質量保證要求管理其開發過程。

（3）核動力廠采購和施工等管理軟件的分級。核動力廠采購和施工等管理軟件，因為不直接涉及到核安全級物項，不必遵從應滿足所執行功能中最高安全級別的準則要求，但應滿足核電廠采購管理和施工管理的要求。

（4）支持工具軟件的分級。支持工具軟件，例如：測試軟件、數據庫軟件、配置管理軟件和需求管理軟件等，是否采用核安全分級方法對其進行分級，取決于這個軟件是否直接涉及核安全相關物項。

測試軟件和數據庫軟件，如果直接涉及到核安全相關物項，亦可按照應滿足所執行功能中最高安全級別的準則來進行，并采用相應級別的質量保證要求管理其開發過程。

配置管理軟件和需求管理軟件，因為不直接涉及到物項，不必按照應滿足核安全級的要求進行要求，但應滿足所涉及開發軟件的管理要求。

5 推薦采用軟件能力成熟度模型（CMMI）為軟件開發提供質量保證

CMMI全稱是Capability Maturity Model Integration，即軟件能力成熟度模型集成，是由美國國防部與卡內基-梅隆大學和美國國防工業協會共同開發和研制的，其目的是幫助軟件企業對軟件工程過程進行管理和改進，增強開發與改進能力，從而能按時、不超預算的開發出高質量的軟件。CMMI設定了五級目標，讓企業非常清楚的知道，通過不斷改進研發過程、流程等，可以提升企業軟件開發能力，從而達到提升軟件產品質量的目的。

5.1 CMMI各級定義

（1）CMMI1級—完成級。在完成級水平上，企業對項目的目標與要做的努力很清晰，項目的目標得以實現，但由于任務的完成帶有很大的偶然性，企業無法保證在實施同類項目的時候仍然能夠完成任務，企業在一級上的項目實施對實施人員有很大的依賴性。

（2）CMMI2級—管理級。在管理級水平上，企業在項目實施上能夠遵守既定的計劃與流程，有資源準備，權責到人，對相關的項目實施人員有相應的培訓，對整個流程有監測與控制，并與上級單位對項目與流程進行審查。企業在二級水平上體現了對項目的一系列的管理程序，這一系列的管理手段排除了企業在一級時完成任務的隨機性，保證了企業的所有項目實施都會得到成功。

（3）CMMI3級—定義級。在定義級水平上，企業不僅能夠對項目的實施有一整套的管理措施，并保障項目的完成，而且企業能夠根據自身的特殊情況以及自己的標準流程，將這套管理體系與流程予以制度化，企業不僅能夠在同類的項目上得到成功的實施，在不同類的項目上一樣能夠得到成功的實施。科學的管理成為企業的一種文化，企業的組織財富。

（4）CMMI4級—量化管理級。在量化管理級水平上，企業的項目管理不僅形成了一種制度，而且要實現數字化的管理。對管理流程要做到量化與數字化，通過量化技術來實現流程的穩定性，實現管理的精度，降低項目實施在質量上的波動。

（5）CMMI5級—優化級。在優化級水平上，企業的項目管理達到了最高的境界。企業不僅能夠通過信息手段與數字化手段來實現對項目的管理，而且能夠充分利用信息資料，對企業在項目實施的過程中可能出現的次品予以預防，能夠主動地改善流程，運用新技術，實現流程的優化。

5.2 核安全相關軟件開發的質量要求

建議核安全相關軟件開發項目采用CMMI3級以上要求管理開發過程，這樣才能保證核安全相關軟件開發過程和最終產品的質量，能與為之服務的物項核安全要求相匹配，達到核安全法規要求。

6 結語

核安全相關軟件開發質量保證分級的劃分是以物項核安全級的劃分為基礎，并根據分級設計和質量鑒定要求可從安全分級方案導出。分級應在設計與質量鑒定之間取得平衡，并應滿足所執行功能中最高安全級別的準則，其目的是通過質量檢查并能保證物項在設計、制造、試驗和檢驗等階段對物項的安全等級的要求。建議采用CMMI分級方法管理軟件開發過程，以保證核電安全相關軟件開發過程和最終產品質量能達到核電法規的要求。