北京廣利核系統(tǒng)工程有限公司 程建明，張亞棟，梁中起，章 丹，王曉燕

FirmSys平臺(tái)軟件第三方V&V過(guò)程和方法

北京廣利核系統(tǒng)工程有限公司 程建明，張亞棟，梁中起，章 丹，王曉燕

獨(dú)立性是核安全級(jí)儀控系統(tǒng)軟件驗(yàn)證和確認(rèn)（V&V）的重要要求之一。在公司內(nèi)部獨(dú)立部門(mén)執(zhí)行軟件V&V的基礎(chǔ)上，廣利核（CTEC）公司另外委托第三方認(rèn)證機(jī)構(gòu)ISTec公司對(duì)廣利核公司自主研發(fā)的國(guó)內(nèi)首個(gè)核電站安全級(jí)數(shù)字化儀控系統(tǒng)平臺(tái)（FirmSys平臺(tái)）軟件執(zhí)行獨(dú)立V&V工作。本文總結(jié)第三方IV&V工作的過(guò)程和方法，并與廣利核內(nèi)部執(zhí)行的軟件V&V工作的過(guò)程和方法進(jìn)行對(duì)比分析。分析表明，第三方IV&V工作和CTEC內(nèi)部V&V都有各自滿足法規(guī)、標(biāo)準(zhǔn)的完整的過(guò)程和方法，通過(guò)第三方IV&V工作可以佐證CTEC內(nèi)部V&V工作的有效性，并增強(qiáng)了FirmSys平臺(tái)軟件安全性的可信度。

數(shù)字化核安全級(jí)儀控系統(tǒng)；獨(dú)立驗(yàn)證和確認(rèn)

1 引言

FirmSys平臺(tái)（中文名稱(chēng)：和睦系統(tǒng)）是北京廣利核系統(tǒng)工程有限公司（以下稱(chēng)CTEC公司）研制的國(guó)內(nèi)首個(gè)核電站安全級(jí)數(shù)字化儀控系統(tǒng)平臺(tái)。FirmSys平臺(tái)包含將運(yùn)行于核電站現(xiàn)場(chǎng)的一系列標(biāo)準(zhǔn)化設(shè)備模塊和工程師站計(jì)算機(jī)。FirmSys平臺(tái)軟件組成如表1所示。

表1 FirmSys平臺(tái)軟件組成

并行于FirmSys平臺(tái)開(kāi)發(fā)，CTEC公司內(nèi)獨(dú)立于開(kāi)發(fā)團(tuán)隊(duì)的V&V團(tuán)隊(duì)對(duì)FirmSys平臺(tái)開(kāi)展了全面的V&V工作。為了證明CTEC公司內(nèi)部V&V工作的有效性，以及增強(qiáng)FirmSys平臺(tái)軟件安全性的可信度，CTEC公司委托德國(guó)反應(yīng)堆安全研究院（GRS）全資子公司ISTec（2014年，ISTec成為T(mén)üV萊茵的全資子公司），對(duì)FirmSys平臺(tái)軟件執(zhí)行了第三方獨(dú)立驗(yàn)證和確認(rèn)（第三方IV&V）工作。

2 第三方IV&V項(xiàng)目執(zhí)行方式

FirmSys平臺(tái)的IV&V工作以獨(dú)立項(xiàng)目形式運(yùn)作，項(xiàng)目分成A、B、C三個(gè)階段執(zhí)行，每個(gè)階段均有明確目標(biāo)，逐步深入。各個(gè)階段執(zhí)行情況如下：

（1）A階段為項(xiàng)目預(yù)評(píng)估階段，預(yù)評(píng)估的內(nèi)容包括：FirmSys平臺(tái)開(kāi)發(fā)管理文檔、FirmSys平臺(tái)概念（平臺(tái)需求和平臺(tái)設(shè)計(jì)）文檔、主處理板卡軟件開(kāi)發(fā)（需求、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)）文檔，由ISTEC專(zhuān)家在ISTEC公司技術(shù)體系指導(dǎo)下執(zhí)行全部工作，并根據(jù)FirmSys平臺(tái)特點(diǎn)確定B、C階段工作方法。

（2）B、C階段是詳細(xì)評(píng)估階段，B階段完成FirmSys平臺(tái)概念及平臺(tái)中典型的嵌入式軟件模塊的詳細(xì)評(píng)估。C階段完成FirmSys平臺(tái)其它類(lèi)型的軟件模塊的詳細(xì)評(píng)估，包括一個(gè)典型CPLD模塊的HPD邏輯、工程師站工具軟件關(guān)鍵功能模塊、應(yīng)用算法功能塊庫(kù)軟件。

第三方IV&V項(xiàng)目從2011年9月啟動(dòng)，到2015年4月結(jié)束，歷時(shí)3年多。通過(guò)一系列評(píng)估活動(dòng)，證明FirmSys平臺(tái)軟件及其開(kāi)發(fā)過(guò)程符合本行業(yè)相關(guān)標(biāo)準(zhǔn)IEC 61513、IEEE 7-4.3.2、IEC 60880、IEC 62566、IEEE 1012的要求，可用于核電站執(zhí)行核安全A類(lèi)功能的儀控系統(tǒng)中。

3 第三方IV&V項(xiàng)目各階段執(zhí)行過(guò)程和方法

第三方IV&V工作依據(jù)標(biāo)準(zhǔn)由ISTec選取和確定，考慮到FirmSys平臺(tái)的技術(shù)特點(diǎn)，第三方IV&V工作依據(jù)表2中的標(biāo)準(zhǔn)開(kāi)展。

表2 IV&V工作依據(jù)標(biāo)準(zhǔn)

第三方IV&V項(xiàng)目各階段開(kāi)始前對(duì)本項(xiàng)目階段IV&V活動(dòng)進(jìn)行規(guī)劃，規(guī)劃活動(dòng)的輸出是V&V任務(wù)定義和分配（Definition and Allocation of V&V Task）文件中，該文件作用與軟件V&V計(jì)劃類(lèi)似。

ISTec還在第三方IV&V項(xiàng)目中針對(duì)被評(píng)估模塊的特點(diǎn)制定審查計(jì)劃（Review plan），審查計(jì)劃是針對(duì)被評(píng)估文檔（系統(tǒng)需求文檔、系統(tǒng)設(shè)計(jì)文檔、軟件需求文檔、軟件設(shè)計(jì)文檔、源代碼文檔、測(cè)試文檔）執(zhí)行檢查時(shí)的指導(dǎo)文件，審查計(jì)劃詳細(xì)規(guī)定了審查流程、審查范圍及對(duì)象、檢查關(guān)注點(diǎn)等信息，并提供各項(xiàng)審查工作的檢查單。針對(duì)不同類(lèi)別的軟件模塊使用不同的審查計(jì)劃。

第三方IV&V評(píng)估工作執(zhí)行過(guò)程可分為數(shù)據(jù)收集、數(shù)據(jù)分析和評(píng)估總結(jié)三個(gè)步驟，如圖1所示。

圖1 評(píng)估和分析步驟

（1）數(shù)據(jù)收集

根據(jù)V&V任務(wù)定義和分配及審查計(jì)劃中提示的關(guān)注點(diǎn)檢查被評(píng)文檔，收集疑問(wèn)及問(wèn)題。在數(shù)據(jù)收集時(shí)，對(duì)被評(píng)估文檔進(jìn)行一致性檢查、形式檢查、功能性檢查，將發(fā)現(xiàn)的問(wèn)題或疑問(wèn)記錄在LOP單中，如圖 2所示[1]。

圖2 數(shù)據(jù)收集方式

第三方IV&V發(fā)現(xiàn)的問(wèn)題被分類(lèi)為：輕微問(wèn)題（Minor issues）、要求（Requests）、關(guān)鍵問(wèn)題（Key issues）。每個(gè)問(wèn)題又可分類(lèi)為GR (general remark，普遍存在的問(wèn)題)，R (remark，問(wèn)題) 或 Q (question，疑問(wèn))。FirmSys研發(fā)團(tuán)隊(duì)及FirmSys測(cè)試團(tuán)隊(duì)需對(duì)問(wèn)題進(jìn)行澄清說(shuō)明和處理情況回復(fù)，如需要，F(xiàn)irmSys研發(fā)團(tuán)隊(duì)修改并發(fā)布相應(yīng)設(shè)計(jì)文件，直到全部問(wèn)題得到關(guān)閉。

（2）數(shù)據(jù)分析

對(duì)第三方IV&V發(fā)現(xiàn)的問(wèn)題進(jìn)行歸納和分析，將被評(píng)文檔與依據(jù)標(biāo)準(zhǔn)進(jìn)行標(biāo)準(zhǔn)符合性分析，并記錄分析結(jié)果。根據(jù)軟件模塊類(lèi)別的不同、文檔類(lèi)型的不同，比對(duì)的標(biāo)準(zhǔn)及條目也不同。

（3）評(píng)估總結(jié)

對(duì)每個(gè)被評(píng)估軟件模塊生成一份評(píng)估總結(jié)報(bào)告，模塊評(píng)估總結(jié)報(bào)告陳述了評(píng)估該軟件模塊的過(guò)程，并對(duì)被評(píng)估文件從形式檢查、一致性檢驗(yàn)和功能檢查、關(guān)鍵性分析、需求分配分析、可追蹤性分析、接口分析、危險(xiǎn)分析、關(guān)鍵性分析、安全保密性分析、風(fēng)險(xiǎn)分析等方面進(jìn)行總結(jié)。

項(xiàng)目B階段和C階段執(zhí)行完成時(shí)，分別發(fā)布項(xiàng)目B階段和C階段第三方IV&V最終報(bào)告。第三方IV&V最終報(bào)告總結(jié)項(xiàng)目工作執(zhí)行過(guò)程和V&V結(jié)論，總結(jié)內(nèi)容包括：項(xiàng)目背景、被評(píng)軟件范圍、依據(jù)標(biāo)準(zhǔn)、所執(zhí)行的任務(wù)、所發(fā)現(xiàn)的問(wèn)題及處理情況、產(chǎn)品特點(diǎn)和質(zhì)量狀態(tài)評(píng)價(jià)等，并對(duì)CTEC V&V團(tuán)隊(duì)的工作進(jìn)行總結(jié)和評(píng)價(jià)。

4 第三方IV&V與CTEC內(nèi)部V&V的比較

第三方IV&V工作和CTEC內(nèi)部V&V工作均嚴(yán)格按照IEEE 1012-2004及其它相關(guān)標(biāo)準(zhǔn)的要求執(zhí)行，在V&V工作目標(biāo)、主要過(guò)程和工作結(jié)果等方面一致的。但在具體執(zhí)行細(xì)節(jié)上，第三方IV&V工作與CTEC內(nèi)部V&V工作存在以下主要區(qū)別。

4.1 V&V工作依據(jù)標(biāo)準(zhǔn)比較

第三方IV&V工作和CTEC內(nèi)部V&V工作均根據(jù)FirmSys平臺(tái)特點(diǎn)、應(yīng)用目標(biāo)、V&V目標(biāo)等進(jìn)行采標(biāo)分析，選擇適合的法規(guī)、標(biāo)準(zhǔn)等作為V&V工作依據(jù)。第三方IV&V采用的標(biāo)準(zhǔn)如表2，包括IEC系列標(biāo)準(zhǔn)（61513/60880/62566）和IEEE系列標(biāo)準(zhǔn)（1012/7-4.3.2）。CTEC內(nèi)部V&V采用的主要標(biāo)準(zhǔn)除表2所列標(biāo)準(zhǔn)外，還包括HAD 102/16。IEC 60880與HAD 102/16要求的原則是一致的。

第三方IV&V工作和CTEC內(nèi)部V&V工作所依據(jù)的標(biāo)準(zhǔn)均能保證FirmSys平臺(tái)適用于核電站執(zhí)行核安全A類(lèi)功能的儀控系統(tǒng)中。

4.2 V&V工作具體執(zhí)行過(guò)程和方法比較

第三方IV&V工作和CTEC內(nèi)部V&V工作均依據(jù)相關(guān)法規(guī)、標(biāo)準(zhǔn)制定相應(yīng)的流程規(guī)范體系，以規(guī)范和指導(dǎo)V&V工作的執(zhí)行。如圖3所示。

圖3 技術(shù)指導(dǎo)文件比較

第三方IV&V項(xiàng)目工作規(guī)劃時(shí)針對(duì)該項(xiàng)目發(fā)布三個(gè)層次的技術(shù)指導(dǎo)文件，其中：

（1）V&V任務(wù)定義和分配（本項(xiàng)目的V&V計(jì)劃），具體規(guī)定了第三方IV&V項(xiàng)目所依據(jù)的標(biāo)準(zhǔn)、所需評(píng)估的軟件范圍、所需執(zhí)行的過(guò)程和任務(wù)、各任務(wù)的目的和要求、各任務(wù)執(zhí)行的工作分配、V&V報(bào)告要求等。其中IEEE Std 1012-2004要求的各分析任務(wù)在本項(xiàng)目中的執(zhí)行要求包含于這些任務(wù)的描述中。

（2）軟件評(píng)審計(jì)劃，詳細(xì)規(guī)定了所需評(píng)審的文檔類(lèi)別、各文檔的評(píng)審目的、評(píng)審執(zhí)行過(guò)程、檢查關(guān)注點(diǎn)，并附各類(lèi)文檔評(píng)審用的檢查單。

（3）LOP單/AR報(bào)告模板，規(guī)定軟件評(píng)審輸出的內(nèi)容和格式。

CTEC內(nèi)部V&V發(fā)布一系列V&V規(guī)范性文件，包括三個(gè)層次：

（1）工作流程，用于規(guī)定依據(jù)軟件生命周期所需開(kāi)展的V&V活動(dòng)，以及各項(xiàng)活動(dòng)包含的任務(wù)以及依據(jù)技術(shù)規(guī)范，此外還包含偏離策略、迭代策略等處理原則。

（2）技術(shù)規(guī)范，用于規(guī)定某項(xiàng)V&V任務(wù)的工作方法、步驟、工具、策略、輸入、輸出等要求，確定某項(xiàng)V&V任務(wù)如何開(kāi)展。

（3）模板/檢查單等，用于具體指導(dǎo)某項(xiàng)V&V任務(wù)的執(zhí)行。其中，模板規(guī)定了不同類(lèi)型的文件所需描述的內(nèi)容、方式、顆粒度等，從而使得該類(lèi)文件具有統(tǒng)一的展現(xiàn)形式；檢查單規(guī)定了針對(duì)某類(lèi)文件審查過(guò)程中所需檢查的條目，從而使得有效的實(shí)踐經(jīng)驗(yàn)?zāi)鼙粡V泛而統(tǒng)一的進(jìn)行應(yīng)用。

CTEC內(nèi)部規(guī)范性文件適用于核安全重要的各類(lèi)軟件，各V&V項(xiàng)目在制定V&V計(jì)劃時(shí)根據(jù)V&V工作對(duì)象和范圍確定具體所需執(zhí)行的V&V任務(wù)并選用相應(yīng)的指導(dǎo)文件。

在檢查內(nèi)容及角度方面：

（1）第三方IV&V檢查單側(cè)重于提示需要檢查的項(xiàng)目，如“軟件任務(wù)描述需關(guān)注軟件初始化、啟動(dòng)和重啟”。

（2）CTEC內(nèi)部V&V檢查單多來(lái)源于核安全相關(guān)標(biāo)準(zhǔn)要求和已有的設(shè)計(jì)/運(yùn)行經(jīng)驗(yàn)反饋，側(cè)重于規(guī)定某項(xiàng)設(shè)計(jì)應(yīng)該或不應(yīng)如何處理，如“如果概要設(shè)計(jì)涉及進(jìn)程/任務(wù)及其調(diào)度，應(yīng)給出任務(wù)的定義、調(diào)度方法/算法”。

CTEC內(nèi)部V&V依據(jù)檢查單執(zhí)行軟件評(píng)估后，比較容易說(shuō)明軟件是否符合核安全相關(guān)標(biāo)準(zhǔn)要求。第三方IV&V工作中，使用檢查單執(zhí)行軟件評(píng)估，在進(jìn)行技術(shù)判斷時(shí)要求評(píng)估執(zhí)行人員有較多的專(zhuān)家經(jīng)驗(yàn)。

在判斷軟件與標(biāo)準(zhǔn)的符合性方面，CTEC內(nèi)部V&V將標(biāo)準(zhǔn)要求融入到檢查單中，執(zhí)行文件評(píng)審過(guò)程中，在對(duì)檢查單中的檢查項(xiàng)進(jìn)行判斷的同時(shí)對(duì)軟件產(chǎn)品執(zhí)行了標(biāo)準(zhǔn)符合性判斷。IV&V通過(guò)在評(píng)審?fù)瓿珊髮?zhuān)門(mén)的工作判斷軟件產(chǎn)品與選定標(biāo)準(zhǔn)的符合性。執(zhí)行方式不同，但均能給出軟件產(chǎn)品與標(biāo)準(zhǔn)的符合性判斷，保證FirmSys平臺(tái)的安全性和可靠性。

第三方IV&V工作和CTEC內(nèi)部V&V工作技術(shù)指導(dǎo)文件組織形式不同，但均包含對(duì)V&V工作內(nèi)容和工作方式的規(guī)定，均能對(duì)各項(xiàng)V&V工作的執(zhí)行提供明確和具體的指導(dǎo)，均能使V&V工作滿足相關(guān)標(biāo)準(zhǔn)的要求。

4.3 V&V輸出形式比較

第三方IV&V工作和CTEC內(nèi)部V&V工作均按照各自的工作技術(shù)指導(dǎo)文件執(zhí)行。在V&V工作輸出方面，第三方IV&V工作和CTEC內(nèi)部V&V工作均按IEEE Std 1012-2004第6.1節(jié)要求輸出相關(guān)報(bào)告，用于記錄V&V過(guò)程中發(fā)現(xiàn)的問(wèn)題和V&V結(jié)論等。輸出組織形式比較如圖4所示。

圖4 V&V工作輸出比較

第三方IV&V工作輸出以下文檔：

（1）LOP單（List of Open Point），記錄軟件評(píng)估過(guò)程中發(fā)現(xiàn)的疑問(wèn)或問(wèn)題（open point，開(kāi)放話題），以及對(duì)這些疑問(wèn)或問(wèn)題進(jìn)行的澄清或處理（被評(píng)文檔的修改）。同時(shí)，應(yīng)本項(xiàng)目的要求，評(píng)估的對(duì)象與該被評(píng)估對(duì)象所依據(jù)的標(biāo)準(zhǔn)要求的符合性分析結(jié)果和結(jié)論也記錄于LOP單文件中。LOP單還承擔(dān)著IV&V項(xiàng)目和產(chǎn)品研發(fā)項(xiàng)目進(jìn)行交流的主要渠道功能，模塊評(píng)估過(guò)程中新發(fā)現(xiàn)疑問(wèn)或問(wèn)題，或者對(duì)已發(fā)現(xiàn)疑問(wèn)或問(wèn)題有新的回復(fù)時(shí)，對(duì)LOP單文件進(jìn)行升版。直到發(fā)現(xiàn)疑問(wèn)或問(wèn)題全部關(guān)閉。

（2）評(píng)估報(bào)告（AR，Assessment Report）與LOP單對(duì)應(yīng)，對(duì)每個(gè)被評(píng)估軟件模塊使用一個(gè)AR文件，評(píng)估報(bào)告總結(jié)評(píng)估過(guò)程中的活動(dòng)，總結(jié)所發(fā)現(xiàn)的重要問(wèn)題及解決情況，給出評(píng)估結(jié)論。評(píng)估報(bào)告提供被評(píng)估文件和代碼文件詳細(xì)的引用列表。使用RIPEMD-160算法計(jì)算的校驗(yàn)和來(lái)唯一標(biāo)識(shí)引用文件列表中的文件。

（3）當(dāng)軟件模塊通過(guò)評(píng)估時(shí)，證書(shū)（Certificate）用于確認(rèn)該模塊用于執(zhí)行核電廠安全重要的I&C軟件功能的適用性。

（4）V&V最終報(bào)告，總結(jié)項(xiàng)目執(zhí)行過(guò)程并對(duì)被評(píng)估的軟件給出評(píng)估結(jié)論。其中項(xiàng)目執(zhí)行過(guò)程的總結(jié)內(nèi)容包括：項(xiàng)目背景、被評(píng)軟件范圍、依據(jù)標(biāo)準(zhǔn)、所執(zhí)行的任務(wù)、所發(fā)現(xiàn)的問(wèn)題及處理情況等。

CTEC內(nèi)部V&V工作輸出以下文檔：

（1）任務(wù)記錄/報(bào)告，依據(jù)IEEE Std 1012-2004針對(duì)各模塊執(zhí)行的各項(xiàng)V&V任務(wù)，均輸出相應(yīng)的任務(wù)記錄或報(bào)告。包括評(píng)估記錄、各專(zhuān)項(xiàng)分析記錄、測(cè)試相關(guān)文檔等。任務(wù)記錄文件主要記錄任務(wù)執(zhí)行過(guò)程收集到的證據(jù)及中間結(jié)論等。如評(píng)估記錄文件中記錄被評(píng)估對(duì)象是否符合各檢查項(xiàng)要求的分析說(shuō)明，可追蹤性分析記錄文件中列出上下游文件雙向追蹤對(duì)應(yīng)關(guān)系等。

（2）V&V異常記錄，CTEC內(nèi)部V&V發(fā)現(xiàn)的所有異常統(tǒng)一錄入定制開(kāi)發(fā)的V&V異常管理庫(kù)（CQ庫(kù)）中，提交到產(chǎn)品研發(fā)人員，在規(guī)定的流程下進(jìn)行處理直到關(guān)閉。

（3）階段總結(jié)報(bào)告，對(duì)各軟件模塊的各V&V階段，總結(jié)該階段的所有V&V活動(dòng)，對(duì)該模塊進(jìn)行綜合評(píng)價(jià)。

（4）V&V最終報(bào)告，總結(jié)V&V項(xiàng)目的全部V&V活動(dòng)，對(duì)FirmSys平臺(tái)進(jìn)行綜合評(píng)價(jià)。

第三方IV&V工作輸出了必要的文檔，文檔量相對(duì)較小，并以證書(shū)形式確認(rèn)所評(píng)模塊通過(guò)評(píng)估。CTEC內(nèi)部V&V工作更注重記錄V&V過(guò)程收集到的證據(jù)，發(fā)現(xiàn)的異常在專(zhuān)門(mén)的軟件工具控制下統(tǒng)一處理。第三方IV&V工作和CTEC內(nèi)部V&V工作均能滿足IEEE Std 1012-2004對(duì)V&V報(bào)告的要求。

4.4 V&V工作獨(dú)立性比較

第三方IV&V工作方法完全由ISTec建立，執(zhí)行過(guò)程由ISTec完全控制，由CTEC的V&V團(tuán)隊(duì)協(xié)助。為了保證ISTec在第三方IV&V工作中的完全的主導(dǎo)性，第三方IV&V工作按以下方式執(zhí)行：

（1）完全由ISTec建立第三方IV&V項(xiàng)目評(píng)估技術(shù)體系，用以規(guī)定執(zhí)行過(guò)程和所用的技術(shù)方法。ISTec分別針對(duì)詳細(xì)評(píng)估B、C階段工作范圍制定第三方IV&V計(jì)劃文件，并在第三方IV&V計(jì)劃文件指定并分配第三方IV&V任務(wù)，針對(duì)不同的軟件類(lèi)型（如嵌入式軟件、工具軟件、功能塊庫(kù)軟件、CPLD軟件）分別制定具體技術(shù)方法。

（2）由ISTec提供培訓(xùn)，使CTEC的V&V團(tuán)隊(duì)成員具備按本項(xiàng)目要求執(zhí)行所分配的V&V工作的能力，并對(duì)CTEC的V&V團(tuán)隊(duì)成員頒發(fā)工作授權(quán)證書(shū)，獲得該證書(shū)的成員方可參與第三方IV&V工作。

（3）由ISTec專(zhuān)家執(zhí)行第三方IV&V的關(guān)鍵工作及有代表性的模塊的V&V工作，將工作過(guò)程、方法和結(jié)果作為范例提供給CTEC的V&V團(tuán)隊(duì)。

（4）由ISTec審查CTEC的V&V團(tuán)隊(duì)的工作結(jié)果（LOP單，AR），在聯(lián)合工作會(huì)議期間與CTEC的V&V團(tuán)隊(duì)、FirmSys研發(fā)團(tuán)隊(duì)、FirmSys測(cè)試團(tuán)隊(duì)對(duì)工作結(jié)果和技術(shù)問(wèn)題進(jìn)行討論和澄清，最終由ISTec批準(zhǔn)CTEC的V&V團(tuán)隊(duì)在三方IV&V項(xiàng)目中的工作成果。

（5）由ISTec對(duì)第三方IV&V項(xiàng)目進(jìn)行質(zhì)保監(jiān)察，確保第三方IV&V項(xiàng)目工作（包括CTEC的V&V團(tuán)隊(duì)協(xié)助執(zhí)行的第三方IV&V項(xiàng)目范圍內(nèi)的工作）按ISTec公司內(nèi)的管理層制定的質(zhì)量計(jì)劃中的要求執(zhí)行。

CTEC內(nèi)部V&V工作完全由CTEC的V&V團(tuán)隊(duì)執(zhí)行，CTEC的V&V團(tuán)隊(duì)獨(dú)立于FirmSys研發(fā)團(tuán)隊(duì)。從以下方面保證CTEC內(nèi)部V&V工作的獨(dú)立性：

（1）V&V人員不參與軟件開(kāi)發(fā)工作，獨(dú)立選取不同于軟件開(kāi)發(fā)的V&V技術(shù)、方法和工具。

（2）V&V人員與研發(fā)人員分屬不同的行政組織，V&V部門(mén)領(lǐng)導(dǎo)直接向廣利核公司總經(jīng)理部匯報(bào)工作。

（3）V&V工作有獨(dú)立的部門(mén)資金預(yù)算和獨(dú)立的V&V項(xiàng)目資金預(yù)算。

以上比較可以看出，第三方IV&V工作和CTEC內(nèi)部V&V工作均能從技術(shù)、管理、財(cái)務(wù)方面保持與開(kāi)發(fā)工作的獨(dú)立性，均能達(dá)到相關(guān)法規(guī)標(biāo)準(zhǔn)對(duì)V&V獨(dú)立性的要求。

5 結(jié)論與建議

通過(guò)第三方公司執(zhí)行的IV&V工作，引入了另外一套完整的核安全級(jí)軟件V&V工作過(guò)程和方法，引入了第三方公司專(zhuān)家的獨(dú)立視角，完成了一次對(duì)FirmSys平臺(tái)軟件安全性和可靠性的檢驗(yàn)。V&V工作過(guò)程和方法的比較表明，委托ISTec執(zhí)行的第三方IV&V工作與CTEC內(nèi)部V&V工作各自均可滿足相關(guān)法規(guī)、標(biāo)準(zhǔn)要求的V&V獨(dú)立性及其它要求。通過(guò)第三方IV&V工作可以佐證CTEC內(nèi)部V&V工作的有效性，并增強(qiáng)了FirmSys平臺(tái)軟件安全性的可信度。

國(guó)產(chǎn)化的核安全級(jí)儀控系統(tǒng)設(shè)備在首次應(yīng)用前引入外部第三方IV&V，可對(duì)已持續(xù)執(zhí)行的供應(yīng)商內(nèi)部V&V工作有效性進(jìn)行一次檢驗(yàn)，并進(jìn)一步增強(qiáng)用戶(hù)和監(jiān)管單位對(duì)設(shè)備質(zhì)量的信心，是值得推薦的一次良好實(shí)踐。

[1] MIEDL Horst, LINDNER Arndt, ZHANG Dan. Software V&V for digital safety I&C systems in NPPs – Fundamentals and practical application[J], Nuclear Safety and Simulation, 2014.

[2] 張亞棟, 等. 數(shù)字化核安全級(jí)儀控系統(tǒng)軟件的驗(yàn)證與確認(rèn)[J], 核科學(xué)與工程, 2012, (S2) ∶ 227 – 231.

[3] IEEE Std 1012-2004. IEEE Standard for Software Verification and Validation[S].

The Process and Method of the Third Party Software V&V for FirmSys Platform

Independence is one of the key requirements of software Verification and Validation (V&V) for the digital instrumentation and control (I&C) systems used in nuclear power plant. FirmSys is the first digital I&C platform independentlyR&D in China. For FirmSys platform, ISTec, a third party certification company, had been commissioned to perform the software third party IV&V while V&V is performed by independent department of CTEC. This articlesummarizes the processes and methods of the third party IV&V performed by ISTec, and compares the processes and methods to the IV&V performing by CTEC, it is indicated that the third party IV&V and the V&V performed in CTEC all have their integratedprocesses and methods, and comply with all the requirements of the standards. By the third party IV&V effort, the validity of the V&V performed in CTEC can be confirmed, and the reliability of the safety of FirmSysplatform software was markedly improved.

Digital instrumentation and control system; Independent verification and validation

程建明（1976-），男，四川人，高級(jí)工程師，本科，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核級(jí)軟件的驗(yàn)證和確認(rèn)工作。