毋 琦 毛從吉

(環(huán)境保護(hù)部核與輻射安全中心，北京 100082)

0 引言

從20世紀(jì)70年代開(kāi)始，數(shù)字化儀控系統(tǒng)和設(shè)備開(kāi)始逐漸替代傳統(tǒng)的模擬儀控系統(tǒng)和設(shè)備，在常規(guī)工業(yè)領(lǐng)域得到了廣泛應(yīng)用。數(shù)字計(jì)算機(jī)在核電廠安全級(jí)儀控系統(tǒng)中的應(yīng)用也有近十年的時(shí)間。目前，不但在安全級(jí)的保護(hù)和控制系統(tǒng)中廣泛采用軟件控制邏輯，而且在現(xiàn)場(chǎng)的儀表和控制器中采用內(nèi)置微處理器實(shí)現(xiàn)數(shù)字化測(cè)量和控制也成為一種趨勢(shì)。

在我國(guó)核安全法規(guī)HAF 102和導(dǎo)則HAD 102/14中要求對(duì)核電廠安全級(jí)儀表和控制設(shè)備進(jìn)行設(shè)備鑒定，以驗(yàn)證安全級(jí)儀表和控制設(shè)備始終能夠滿足設(shè)計(jì)基準(zhǔn)性能的要求，即在可能需要承受的環(huán)境條件下，設(shè)備仍能可靠地完成其需要執(zhí)行的安全功能。對(duì)于傳統(tǒng)的模擬儀控設(shè)備的鑒定工作，國(guó)內(nèi)外核工業(yè)界已開(kāi)展多年。目前，針對(duì)不同種類的模擬儀控設(shè)備，已經(jīng)形成了相對(duì)比較完整和嚴(yán)密的鑒定原則、標(biāo)準(zhǔn)、方法和程序。通過(guò)設(shè)計(jì)評(píng)審、鑒定試驗(yàn)和運(yùn)行經(jīng)驗(yàn)評(píng)價(jià)等分析驗(yàn)證手段，可以確認(rèn)模擬儀控設(shè)備是否能夠滿足其設(shè)計(jì)基準(zhǔn)性能的要求。數(shù)字化儀控設(shè)備的硬件部分可以參照模擬儀控設(shè)備的鑒定方法進(jìn)行硬件鑒定;但是對(duì)于數(shù)字化儀控設(shè)備所包含的軟件部分而言，尤其是已經(jīng)完成設(shè)計(jì)開(kāi)發(fā)并已集成至設(shè)備中的商品級(jí)軟件，如何對(duì)這些軟件進(jìn)行鑒定，已成為阻礙我國(guó)數(shù)字化儀控設(shè)備在核電廠安全級(jí)儀控系統(tǒng)中推廣應(yīng)用的關(guān)鍵問(wèn)題之一。

1 安全級(jí)軟件的分類

按照所執(zhí)行的安全功能的重要性，IEC 61226［1］將核電廠安全重要儀控系統(tǒng)功能分為A、B、C三類。A類安全功能是指為了阻止設(shè)計(jì)基準(zhǔn)事故導(dǎo)致不可接受的事故后果，在達(dá)到或保持核電廠安全性方面起到最主要的作用。這類功能在電廠達(dá)到次臨界狀態(tài)、余熱排出和放射性包容方面是必須的。B類安全功能是指為了達(dá)到和保持核電廠安全性，對(duì)A類安全功能進(jìn)行補(bǔ)充的功能，特別是指到達(dá)核電廠受控狀態(tài)后，為了防止設(shè)計(jì)基準(zhǔn)事故導(dǎo)致不可接受的后果，或者緩解設(shè)計(jì)基準(zhǔn)事故后果的功能。C類安全功能是指為了達(dá)到和保持核電廠安全性起支持性或非直接作用的功能。對(duì)應(yīng)于 IEC 61226中的安全功能分級(jí)，IEC 61513［2］將核電廠安全重要儀表控制系統(tǒng)和設(shè)備分為安全1、2、3級(jí)。安全1、2、3級(jí)儀控系統(tǒng)和設(shè)備分別用于執(zhí)行A、B、C類安全功能，其所包含的軟件分別稱為A、B、C類軟件。IEC 60880［3］對(duì)A類軟件的開(kāi)發(fā)和驗(yàn)證過(guò)程進(jìn)行了描述和規(guī)定，IEC 62138［4］對(duì)B、C類軟件的開(kāi)發(fā)和驗(yàn)證過(guò)程進(jìn)行了描述和規(guī)定。

在IEEE標(biāo)準(zhǔn)中，核電廠儀控系統(tǒng)和設(shè)備被分為安全級(jí)(1E級(jí))和非安全級(jí)。安全級(jí)儀控系統(tǒng)和設(shè)備用于執(zhí)行反應(yīng)堆緊急停堆、安全殼隔離、反應(yīng)堆堆芯冷卻、安全殼及反應(yīng)堆余熱排出和放射性包容等安全重要功能，安全級(jí)儀控系統(tǒng)和設(shè)備中的軟件被稱為安全級(jí)軟件(1E級(jí))。根據(jù)相關(guān)定義和功能范圍可知，IEEE有關(guān)標(biāo)準(zhǔn)中的1E級(jí)安全功能與IEC 61226中的A類安全功能基本相同［5］，相應(yīng)的1E級(jí)軟件基本對(duì)應(yīng)于IEC標(biāo)準(zhǔn)中的A類軟件。本文將重點(diǎn)探討商品級(jí)軟件用作安全A類軟件時(shí)所需要完成的鑒定工作。

2 IEC 60880中的鑒定要求

IEC 60880對(duì)核電廠A類軟件的設(shè)計(jì)、開(kāi)發(fā)、驗(yàn)證與確認(rèn)、軟件工具的應(yīng)用等多個(gè)方面提出了具體的要求，它是我國(guó)目前多數(shù)核電廠安全級(jí)數(shù)字化儀控系統(tǒng)和設(shè)備軟件遵循的主要標(biāo)準(zhǔn)之一。IEC 60880要求必須對(duì)商品級(jí)軟件進(jìn)行以下4個(gè)方面的評(píng)價(jià)，以確認(rèn)軟件設(shè)計(jì)的適當(dāng)性和軟件質(zhì)量的可靠性。

①適用性評(píng)價(jià)，即對(duì)商品級(jí)軟件的功能、性能和結(jié)構(gòu)特性是否能夠滿足需求規(guī)格書(shū)的要求做出評(píng)價(jià)。

②質(zhì)量評(píng)價(jià)，即對(duì)商品級(jí)軟件的開(kāi)發(fā)過(guò)程質(zhì)量進(jìn)行評(píng)價(jià)。

③運(yùn)行經(jīng)驗(yàn)評(píng)價(jià)，即對(duì)商品級(jí)軟件的運(yùn)行經(jīng)驗(yàn)，包括故障和錯(cuò)誤報(bào)告進(jìn)行評(píng)價(jià)。這種評(píng)價(jià)一般作為上述兩類評(píng)價(jià)的補(bǔ)充，用于補(bǔ)充說(shuō)明①、②類評(píng)價(jià)中發(fā)現(xiàn)的不足和欠缺之處。

④綜合評(píng)價(jià)，對(duì)上述三類評(píng)價(jià)過(guò)程中產(chǎn)生的證明文件和相關(guān)的補(bǔ)充工作進(jìn)行評(píng)價(jià)。

適用性評(píng)價(jià)的目的主要是論證商品級(jí)軟件的功能、性能和結(jié)構(gòu)能夠滿足系統(tǒng)需求規(guī)格書(shū)，因此，對(duì)商品級(jí)軟件進(jìn)行適用性分析的前提是此軟件具有完整、充分和詳盡的功能、性能和結(jié)構(gòu)特性描述，并且在系統(tǒng)需求規(guī)格書(shū)中定義了對(duì)此商品級(jí)軟件功能、性能和結(jié)構(gòu)的要求。需要特別注意的是，商品級(jí)軟件必須置于有效的配置管理之下。

質(zhì)量評(píng)價(jià)的目的是證明商品級(jí)軟件的設(shè)計(jì)特性適用于執(zhí)行A類安全功能的系統(tǒng)，并且在商品級(jí)軟件的開(kāi)發(fā)過(guò)程中質(zhì)量保證體系的運(yùn)轉(zhuǎn)是有效的。因此，進(jìn)行質(zhì)量評(píng)價(jià)的前提是需求規(guī)格書(shū)中準(zhǔn)確定義了由商品級(jí)軟件所執(zhí)行的安全功能;同時(shí)，軟件質(zhì)量保證軟件的需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試和修改相關(guān)的文檔，質(zhì)量保證記錄文件以及驗(yàn)證與確認(rèn)過(guò)程文件是完整的、可查的。需要注意的是，對(duì)于商品級(jí)軟件來(lái)說(shuō)，上述過(guò)程記錄文件可能會(huì)不完整。在這種情況下，必須進(jìn)行附加的驗(yàn)證與確認(rèn)、測(cè)試或代碼分析進(jìn)行補(bǔ)充驗(yàn)證，并且提供用于證明商品級(jí)軟件運(yùn)行經(jīng)驗(yàn)的文件。

運(yùn)行經(jīng)驗(yàn)評(píng)價(jià)主要作為質(zhì)量評(píng)價(jià)的補(bǔ)充。在質(zhì)量評(píng)價(jià)過(guò)程中，當(dāng)發(fā)現(xiàn)商品級(jí)軟件的設(shè)計(jì)特性或質(zhì)量保證體系運(yùn)轉(zhuǎn)存在某些不足時(shí)，采用運(yùn)行經(jīng)驗(yàn)評(píng)價(jià)可以提高對(duì)軟件可靠性的置信度。進(jìn)行運(yùn)行經(jīng)驗(yàn)評(píng)價(jià)時(shí)，必須評(píng)價(jià)以下內(nèi)容:①運(yùn)行經(jīng)驗(yàn)數(shù)據(jù)的收集方法;②記錄相應(yīng)版本的商品級(jí)軟件運(yùn)行時(shí)間和產(chǎn)生運(yùn)行記錄的方法;③運(yùn)行記錄的數(shù)據(jù)，故障和錯(cuò)誤報(bào)告;④軟件修改記錄。

在上述評(píng)價(jià)及相關(guān)的補(bǔ)充工作的基礎(chǔ)上，應(yīng)當(dāng)對(duì)商品級(jí)軟件用于執(zhí)行規(guī)定的A類安全功能的適當(dāng)性、軟件設(shè)計(jì)、開(kāi)發(fā)的質(zhì)量水平以及軟件的運(yùn)行記錄等方面給出綜合評(píng)定，即完成商品級(jí)軟件的鑒定工作。

3 美國(guó)核管會(huì)的要求

美國(guó)核管會(huì)在其發(fā)布的《標(biāo)準(zhǔn)審查大綱》第7章附件7.0-A中提到“對(duì)于商品級(jí)計(jì)算機(jī)的鑒定問(wèn)題在RG.1.152中進(jìn)行了討論，同時(shí)，在 EPRI TR-106439中給出了商品級(jí)計(jì)算機(jī)鑒定的一種可以接受的方法”。另外，在BTP-14［6］中提到“應(yīng)該對(duì)諸如智能儀表、斷路器或報(bào)警模塊中所包含的商品級(jí)軟件進(jìn)行評(píng)價(jià)，以確定其能夠滿足所要求的各項(xiàng)特性。EPRI TR-106439［7］給出了執(zhí)行這種評(píng)價(jià)的一種可接受的方法。NUREG/CR-6421［5］提供了關(guān)于商品級(jí)軟件鑒定方面的更為詳細(xì)的信息”。按照上述描述，可以確定美國(guó)核管會(huì)已經(jīng)認(rèn)可了EPRI TR-106439作為商品級(jí)軟件鑒定的指導(dǎo)準(zhǔn)則。

EPRI TR-106439參考引用了EPRI NP-5652中提出的商品級(jí)物項(xiàng)評(píng)定的四種方法(①試驗(yàn)和檢查、②對(duì)供貨商進(jìn)行商品級(jí)調(diào)查、③源地驗(yàn)證、④運(yùn)行記錄評(píng)價(jià))，對(duì)數(shù)字化商品級(jí)儀控設(shè)備的軟硬件關(guān)鍵特性進(jìn)行評(píng)價(jià)(美國(guó)核管會(huì)在Generic Letter 89-02中認(rèn)可了EPRI NP-5652)，并針對(duì)如何驗(yàn)證數(shù)字化商品級(jí)儀控設(shè)備的軟硬件關(guān)鍵特性，提出了一系列的方法和驗(yàn)收準(zhǔn)則。商品級(jí)儀控設(shè)備的軟硬件關(guān)鍵特性主要分為以下三類加以驗(yàn)證和評(píng)價(jià)。

①物理特性:硬件的尺寸、結(jié)構(gòu)、安裝方式和軟件版本等特性。數(shù)字化儀控設(shè)備和模擬儀控設(shè)備在硬件物理特性驗(yàn)證方面沒(méi)有差異，均可以通過(guò)相關(guān)的檢查和測(cè)量等手段加以驗(yàn)證。需要注意的是，對(duì)于數(shù)字化的儀控設(shè)備軟件升版情況需要特別地加以驗(yàn)證和評(píng)價(jià)。

②性能特性:設(shè)備在其運(yùn)行環(huán)境條件下執(zhí)行功能的能力以及與功能相關(guān)的性能特性，例如響應(yīng)時(shí)間、精度等。數(shù)字化設(shè)備和模擬設(shè)備在性能特性方面的驗(yàn)證沒(méi)有明顯差異，驗(yàn)證的方法主要有試驗(yàn)和設(shè)計(jì)審查、故障分析和運(yùn)行記錄審查。需要注意的是，性能特性驗(yàn)證應(yīng)該通過(guò)故障分析等方法驗(yàn)證設(shè)備在特定條件下的故障探測(cè)和故障安全特性。

③可靠性特性:由于數(shù)字化設(shè)備執(zhí)行功能的可靠性取決于硬件和軟件兩方面因素，因此對(duì)于此類特性的驗(yàn)證，數(shù)字化設(shè)備與模擬設(shè)備存在較大的差異。硬件的可靠性降低主要是源于裝配制造的缺陷、老化和磨損等因素，但是軟件的故障率高和可靠性低則主要是由軟件設(shè)計(jì)、開(kāi)發(fā)錯(cuò)誤所導(dǎo)致的。軟件的高可靠性特性主要依靠系統(tǒng)、完整地實(shí)施軟件生命周期各個(gè)階段的設(shè)計(jì)開(kāi)發(fā)工作，并且在每個(gè)階段實(shí)施驗(yàn)證與確認(rèn)過(guò)程來(lái)保證。因此，對(duì)于軟件可靠性特性的驗(yàn)證重點(diǎn)在于對(duì)軟件開(kāi)發(fā)和質(zhì)量保證過(guò)程的評(píng)價(jià)，包括對(duì)軟件驗(yàn)證與確認(rèn)過(guò)程、配置管理和運(yùn)行記錄的評(píng)價(jià)。

EPRI TR-106439給出了商品級(jí)數(shù)字化設(shè)備各類特性的驗(yàn)證方法、驗(yàn)收準(zhǔn)則的詳細(xì)說(shuō)明。通過(guò)上述三類特性的驗(yàn)證，可以評(píng)價(jià)商品級(jí)數(shù)字化設(shè)備(包括軟件部分)是否可以在規(guī)定的條件下執(zhí)行其預(yù)定的功能。

4 結(jié)束語(yǔ)

目前我國(guó)所有在建的核電廠均擬采用數(shù)字化的儀表和控制系統(tǒng)。國(guó)家核安全局對(duì)于安全級(jí)數(shù)字化儀控系統(tǒng)中新開(kāi)發(fā)的安全級(jí)系統(tǒng)軟件和應(yīng)用軟件的審查所依據(jù)的標(biāo)準(zhǔn)主要是 IEC 60880、IEEE 7-4.3.2、IEEE 1012和NUREG 0800第7章BTP-14等標(biāo)準(zhǔn)導(dǎo)則。

對(duì)于部分結(jié)構(gòu)簡(jiǎn)單、功能單一的安全級(jí)數(shù)字化儀控設(shè)備中所包含的軟件，特別是設(shè)計(jì)開(kāi)發(fā)工作已經(jīng)完成的軟件，要求軟件設(shè)計(jì)方按照上述相關(guān)標(biāo)準(zhǔn)實(shí)施軟件的設(shè)計(jì)開(kāi)發(fā)過(guò)程和驗(yàn)證與確認(rèn)過(guò)程是不現(xiàn)實(shí)的，重新進(jìn)行軟件的設(shè)計(jì)開(kāi)發(fā)及驗(yàn)證與確認(rèn)工作會(huì)造成巨大的時(shí)間、人力、物力成本的負(fù)擔(dān)。對(duì)比IEC 60880和EPRI TR-106439中關(guān)于商品級(jí)軟件鑒定方面的要求，可以看到兩者并沒(méi)有本質(zhì)差異，均要求通過(guò)評(píng)價(jià)軟件的關(guān)鍵特性、開(kāi)發(fā)過(guò)程質(zhì)量記錄(包括驗(yàn)證與確認(rèn)和配置管理記錄)、運(yùn)行記錄等完成商品級(jí)軟件的鑒定工作。目前，我國(guó)針對(duì)商品級(jí)軟件的鑒定工作尚處于研究初期，對(duì)于商品級(jí)軟件的鑒定實(shí)施具體方法、程序、條件和驗(yàn)收準(zhǔn)則，包括審查的方法和準(zhǔn)則，都是下一步亟待研究的重要問(wèn)題。

［1］ IEC 61226-2005.Nuclear power plants-instrumentation and control systems important to safety-classification of instrumentation and control functions［S］.International Electrotechnical Commission，2005.

［2］ IEC 61513-2001.Nuclear power plants-instrumentation and control systems important to safety-general requirements for systems［S］.International Electrotechnical Commission，2001.

［3］ IEC 60880-2006.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category a functions［S］.International Electrotechnical Commission，2006.

［4］ IEC 62138-2004.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category B or C functions［S］.International Electrotechnical Commission，2004.

［5］ NUREG/CR-6421.A proposed acceptance process for commercial off-the-shelf(COTS)software in reactor applications［S］.Lawrence Livermore Nation Laboratory，1996.

［6］ NUREG 0800，chpt.7.Appendix 7-A，branch technical position HICB-14［S］.Guidance on Software Reviews for Digital Computer-Based Instrumentation and ControlSystems，USA.NuclearRegulatory Commission，2007.

［7］ EPRI-TR 106439.Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications［S］.Electric Power Research Institute，1996.