鄭駢垚,鐘 柏,,馬象睿

(1.中國核電工程有限公司采購部,北京 100840；2.環(huán)境保護部華北核與輻射安全監(jiān)督站,北京 100029)

核電廠DCS軟件驗證與確認標(biāo)準體系分析

鄭駢垚1,鐘 柏1,2,馬象睿2

(1.中國核電工程有限公司采購部,北京 100840；2.環(huán)境保護部華北核與輻射安全監(jiān)督站,北京 100029)

通過對軟件V&V活動的介紹以及核電廠軟件生命周期的劃分，明確了核電廠數(shù)字化儀控系統(tǒng)軟件V&V的目的，即通過驗證活動判斷系統(tǒng)是否滿足設(shè)計需求，通過確認活動判斷系統(tǒng)設(shè)計是否正確。結(jié)合核電廠安全級數(shù)字化儀控系統(tǒng)軟件V&V活動的監(jiān)督管理實踐，總結(jié)了美國、歐洲和我國數(shù)字化儀控系統(tǒng)軟件V&V活動所采用的法規(guī)和標(biāo)準體系。針對我國軟件V&V法規(guī)和標(biāo)準體系不健全的問題，通過對比我國與歐洲、美國法規(guī)標(biāo)準體系的差別，明確了我國軟件V&V法規(guī)和標(biāo)準體系存在標(biāo)準體系升版相對滯后、標(biāo)準路線不統(tǒng)一及欠缺標(biāo)準轉(zhuǎn)化的系統(tǒng)性等三方面的不足。從長遠目標(biāo)看，我國應(yīng)完善V&V法規(guī)標(biāo)準體系，使之有層次地逐步細化從法規(guī)要求到執(zhí)行標(biāo)準要求；從短期要求看，可從軟件開發(fā)的階段劃分、各項開發(fā)計劃的形成和實施、V&V活動的獨立性和文件記錄等方面落實V&V活動要求。

核電廠； 數(shù)字化儀控系統(tǒng)； DCS; 軟件V&V；標(biāo)準體系

0 引言

隨著計算機技術(shù)的不斷發(fā)展和廣泛應(yīng)用，核電廠儀控系統(tǒng)逐漸從采用模擬技術(shù)轉(zhuǎn)向數(shù)字技術(shù)。軟件作為數(shù)字化儀控系統(tǒng)的重要組成部分，其質(zhì)量是保障核電廠安全運行的重要因素之一。軟件驗證與確認(verification and validation，V&V)是一種過程方法，其主要目標(biāo)是為軟件的質(zhì)量提供足夠的置信度，證明軟件具有安全性和可靠性，能夠滿足其完整性等級要求。

目前，國際上軟件V&V活動的標(biāo)準體系有兩個主流，一個是以美國核管制委員會NRC及美國電氣與電子工程師學(xué)會IEEE頒布的相關(guān)法規(guī)、導(dǎo)則及標(biāo)準為主的美國標(biāo)準體系，另一個是以國際原子能機構(gòu)IAEA及國際電工委員會IEC頒布的相關(guān)法規(guī)、導(dǎo)則及標(biāo)準為主的歐洲標(biāo)準體系。我國根據(jù)IAEA和IEC的有關(guān)法規(guī)、導(dǎo)則及標(biāo)準，初步建立了核電廠安全重要系統(tǒng)相關(guān)設(shè)計、軟件驗證與確認的法規(guī)、導(dǎo)則和標(biāo)準，尚需根據(jù)工程實踐不斷積累、完善。

1 軟件V&V活動的定義

驗證(verification)和確認(validation)作為兩個分立的過程，由國際標(biāo)準化委員會在ISO 8402:1994中提出，隨后ISO/IEC 12207:1995將驗證和確認過程應(yīng)用于軟件生命周期。

我國核安全導(dǎo)則HAD 102/16[1-3]中，對V&V的定義如圖1所示。

圖1 HAD 102/16中V&V定義示意圖

根據(jù)IEC 60880:2006[1]的定義，驗證是通過檢查和提供客觀證據(jù)，證實該過程某種活動的結(jié)果是否符合此活動規(guī)定的目標(biāo)和需求；系統(tǒng)確認(即儀控系統(tǒng)的確認)是通過檢查和提供其他證據(jù)，證實該系統(tǒng)完全滿足預(yù)期的需求規(guī)格書。IEEE Std 1012[2]將驗證和確認合并作為一種過程方法，其將軟件V&V活動分為三個層次，即過程、活動和任務(wù)。針對某一個過程，其需要完成不同階段的活動；針對某一個活動，其需要完成不同的任務(wù)，以完成軟件和需求的驗證和確認。

在基于計算機系統(tǒng)的整個生命周期內(nèi)，驗證是保證一個階段能夠滿足前一階段所提需求的過程，也就是針對前一階段輸出結(jié)果進行的檢查；而確認是為保證集成后的計算機系統(tǒng)(硬件和軟件)符合功能、特性和接口需求，對其進行測試和評價的過程，也就是針對系統(tǒng)的需求和目標(biāo)進行的檢查。GB/T 13629-1998[4]中定義：驗證與確認是確定一個系統(tǒng)或部件制定的要求是否完整和正確、每個研制階段的產(chǎn)品是否滿足前一個階段提出的要求或條件，以及最終的系統(tǒng)或設(shè)備是否符合預(yù)定要求的過程。

2 美國和歐洲軟件V&V活動相關(guān)標(biāo)準

為進一步細化核電廠的質(zhì)量保證和設(shè)計的相關(guān)法規(guī)，指導(dǎo)核電廠業(yè)主或者設(shè)備供應(yīng)商取證工作，美國和歐洲的核安全監(jiān)管部門，發(fā)布了一系列的導(dǎo)則或標(biāo)準，明確了軟件V&V活動的一般方法。

2.1 美國軟件V&V標(biāo)準體系

美國軟件V&V活動標(biāo)準體系主要建立在美國核管制委員會NRC聯(lián)邦法規(guī)、管理導(dǎo)則及美國電氣與電子工程師學(xué)會IEEE行業(yè)標(biāo)準的基礎(chǔ)上。美國NRC聯(lián)邦法規(guī)10 CFR Part 50作為最頂層的法規(guī)，對核電廠的質(zhì)量保證及設(shè)計作出了規(guī)定，要求核電廠保護系統(tǒng)和其他安全系統(tǒng)需滿足IEEE Std 603-1991或者IEEE Std 279。第二層標(biāo)準審查大綱NUREG 0800技術(shù)分支BTP 7-14和管理導(dǎo)則RG1.152、RG1.168對基于計算機系統(tǒng)的重要軟件V&V活動提出了要求。NUREG 0800[5]認可了一系列IEEE標(biāo)準，關(guān)于安全級軟件V&V計劃認可了IEEE 1012-1986；RG1.152[6]認可了IEEE 7-4.3.2，而IEEE 7-4.3.2[7]明確了軟件V&V活動標(biāo)準參照IEEE 1012-1998執(zhí)行；RG1.168[8]認可了軟件V&V活動。美國軟件V&V活動法規(guī)標(biāo)準體系如圖2所示。

2.2 歐洲軟件V&V標(biāo)準體系

歐洲軟件V&V標(biāo)準體系主要建立在國際原子能機構(gòu)IAEA安全需求、安全導(dǎo)則及國際電工委員會IEC行業(yè)標(biāo)準的基礎(chǔ)上。IAEA安全需求GS-R-3(50-C-QA的演變)和NS-R-1對核電廠的質(zhì)量保證和安全設(shè)計給出了總體要求。第二層安全導(dǎo)則NS-G-1.3和NS-G-1.1對核電廠安全重要儀控系統(tǒng)及基于計算機的安全重要系統(tǒng)軟件提出了要求。作為行業(yè)標(biāo)準，IEC 61513[9]對核電廠儀控系統(tǒng)提出了一般要求，其中指出，當(dāng)涉及基于計算機的系統(tǒng)時，該標(biāo)準應(yīng)與IEC 60880和IEC 60987結(jié)合，以確保系統(tǒng)對軟件和硬件方面需求的完整性。根據(jù)安全的重要性，將IEC 61226[10]儀表和控制系統(tǒng)功能(系統(tǒng)和設(shè)備)分為A、B、C三類。IEC 60880提出了執(zhí)行A類安全功能的儀表和控制系統(tǒng)的軟件需求。IEC 62138提出了執(zhí)行B類和C類安全功能的儀表和控制系統(tǒng)的軟件需求。IEC 60987提出了基于計算機的儀控系統(tǒng)硬件設(shè)計需求。歐洲軟件V&V標(biāo)準體系如圖3所示。

3 我國V&V法規(guī)標(biāo)準現(xiàn)狀及其存在的不足

3.1 我國軟件V&V法規(guī)標(biāo)準現(xiàn)狀

我國核安全法規(guī)HAF 003[11](由50-C-QA Rev.1轉(zhuǎn)化而來)和HAF 102[12](由NS-R-1轉(zhuǎn)化而來)作為最頂層的法規(guī)，對核電廠的質(zhì)量保證和安全設(shè)計提出了要求，規(guī)定：當(dāng)安全重要系統(tǒng)設(shè)計成依賴于計算機系統(tǒng)的可靠性時，必須確定或制定有關(guān)驗證計算機硬件和軟件的相應(yīng)標(biāo)準，并在系統(tǒng)的整個生命周期，特別是軟件的開發(fā)期間，就加以實施。第二層安全導(dǎo)則HAD 102/14[13](由50-SG-D8 1984轉(zhuǎn)化而來，于2002年升版為NS-G-1.3)和HAD 102/16(由NS-G-1.1轉(zhuǎn)化而來)對核電廠安全、有關(guān)儀表和控制系統(tǒng)以及基于計算機的安全重要系統(tǒng)軟件的開發(fā)和驗證活動提出了要求。在核行業(yè)標(biāo)準方面，我國尚未建立屬于自己的軟件V&V標(biāo)準體系框架下的可執(zhí)行標(biāo)準，而是陸續(xù)將國際和國外標(biāo)準稍加修改后成為我國的國家標(biāo)準或行業(yè)標(biāo)準。其中，GB 12172-1990等效采用IEC 880-1986標(biāo)準，對核電廠安全系統(tǒng)計算機軟件應(yīng)用原則作出了規(guī)定，IEC 880即為IEC 60880的前身，目前IEC 60880已升至2006版；GB/T 13629-2008修改采用美國標(biāo)準IEEE 7-4.3.2-2003，對核電廠安全系統(tǒng)中數(shù)字計算機的適用準則提出了要求，該標(biāo)準關(guān)于軟件V&V活動，認可了IEEE 1012-1998，IEEE 1012已升至2012版，但目前行業(yè)內(nèi)仍普遍采用IEEE 1012-2004版。

我國能源行業(yè)(即原來的核行業(yè))也陸續(xù)將國際標(biāo)準轉(zhuǎn)化為行業(yè)標(biāo)準，近幾年，已制定的標(biāo)準有NB/T 20026-2014(修改采用IEC 61513-2011，代替NB/T 20026-2010)、NB/T 20054-2011(修改采用IEC 60880-2006，代替EJ/T 1058-1998和EJ/T 1058.2 -2005)和NB/T 20055-2011(修改采用IEC 62138-2004)。我國已初步形成核電廠軟件V&V相關(guān)的法規(guī)標(biāo)準體系，具體如圖4所示，但標(biāo)準體系尚未健全。

圖4 我國軟件V&V法規(guī)標(biāo)準體系圖

3.2 我國軟件V&V法規(guī)標(biāo)準存在的不足

我國核電廠軟件V&V相關(guān)的法規(guī)標(biāo)準體系已經(jīng)初步形成，但仍存在以下幾個方面的不足。

①標(biāo)準體系升版相對滯后。

我國核電質(zhì)保法規(guī)HAF 003依據(jù)1988版的IAEA核質(zhì)保法規(guī)50-C-QA(Rev.1)轉(zhuǎn)化而來，50-C-QA于1996年升版為50-C/SG-Q，提出了一些新的理念，如“領(lǐng)導(dǎo)作用”、“持續(xù)改進”、“以績效為基礎(chǔ)”的質(zhì)量管理等；2006年IAEA提出了GS-R-3《The Management System for Facilities and Activities》，直接替代了50-C/SG-Q，以“管理體系”取代法規(guī)，囊括了“安全、健康、環(huán)境、安保、質(zhì)量和經(jīng)濟”六個領(lǐng)域，并推動各國參考執(zhí)行，各國目前尚在研究和進行初步嘗試階段。

歐洲標(biāo)準考慮到基于計算機的儀表和控制系統(tǒng)的核電站保護系統(tǒng)的大量應(yīng)用，于2002年將50-SG-D8與50-SG-D3(保護系統(tǒng)及有關(guān)設(shè)施)整合為NS-G-1.3。我國HAD 102/14由1984版的50-SG-D8轉(zhuǎn)化能源行業(yè)標(biāo)準，在執(zhí)行中存在一些與工程實踐不適應(yīng)的情況，所以也應(yīng)適當(dāng)升級。

②標(biāo)準路線不統(tǒng)一，美國標(biāo)準與歐洲標(biāo)準共存。

我國核電發(fā)展主要是引進美國和歐洲的核電技術(shù)，尤其對安全級數(shù)字化儀控系統(tǒng)，目前仍以進口歐美的成熟技術(shù)為主。在標(biāo)準要求方面，往往是國外供應(yīng)商占主導(dǎo)地位，大多使用相應(yīng)國家的標(biāo)準體系，而不是以滿足我國現(xiàn)有相關(guān)標(biāo)準為主，造成了執(zhí)行層面上美國和歐洲標(biāo)準體系共存的現(xiàn)狀。頂層的法規(guī)要求只有一個，而執(zhí)行層面有兩個共存的標(biāo)準，勢必存在部分法規(guī)要求落實不徹底的問題。

③標(biāo)準轉(zhuǎn)化的系統(tǒng)性不足。

GB 12172-1990由IEC 880-1986轉(zhuǎn)化而來，NB/T 20054-2006由IEC 60880-2006轉(zhuǎn)化而來，IEC 880-1986是IEC 60880-2006版的前身，目前已廢止。而我國同時存在GB 12172和NB/T 20054，兩者不僅不在同一標(biāo)準體系，且以相對更早的GB 12172作為強制性標(biāo)準。GB/T 13629-2008依據(jù)IEEE 7-4.3.2-2003轉(zhuǎn)化而來，IEEE 7-4.3.2-2003中明確軟件V&V相關(guān)工作則依據(jù)IEEE Std 1012-1998展開，而我國沒有IEEE 1012的等效或相關(guān)標(biāo)準。

4 完善我國軟件V&V法規(guī)標(biāo)準體系的建議

軟件V&V活動作為一種保證軟件質(zhì)量的方法，完善其活動過程對于保證軟件質(zhì)量和提供軟件質(zhì)量的置信度有至關(guān)重要的作用。為了能夠更好地指導(dǎo)、服務(wù)我國核電行業(yè)軟件V&V活動，針對當(dāng)前階段軟件V&V法規(guī)標(biāo)準體系不健全的問題，可從長遠目標(biāo)和短期工作要求兩方面作好管理工作。

從長遠目標(biāo)看，我國應(yīng)該完善V&V法規(guī)標(biāo)準體系，從法規(guī)要求到執(zhí)行標(biāo)準層次，逐步細化要求；從短期階段看，可從軟件開發(fā)的階段劃分、各項開發(fā)計劃的形成和實施、V&V活動的獨立性和文件記錄等方面落實V&V活動要求。

4.1 長遠目標(biāo)

隨著數(shù)字化儀控技術(shù)在我國核電廠的應(yīng)用及后續(xù)國產(chǎn)化的發(fā)展，完善我國軟件V&V法規(guī)標(biāo)準體系幾乎是業(yè)界的一致訴求，使賣方、買方和監(jiān)管方按照相同的標(biāo)準尺度說話，使我國核工業(yè)在國際舞臺競爭時能更好地發(fā)揮優(yōu)勢。對于我國V&V法規(guī)標(biāo)準體系的完善，建議著重考慮以下幾個方面。

①在法規(guī)建設(shè)層面，要注重系統(tǒng)性和層次性，完善與計算機軟件和V&V活動的相關(guān)導(dǎo)則。目前，HAD 102/14應(yīng)根據(jù)NS-G-1.3升版，從而與其他導(dǎo)則相匹配，共同支撐與計算機軟件和V&V活動相關(guān)的法規(guī)要求。

②在借鑒歐美標(biāo)準的同時，以一種標(biāo)準體系為主，將其規(guī)定作精、要求作細，形成軟件V&V活動要求的標(biāo)準體系。目前，我國已基本形成以IEC標(biāo)準為藍本的核電廠計算機軟件和軟件V&V活動的能源行業(yè)標(biāo)準體系，但在項目執(zhí)行層面仍存在與美國標(biāo)準共用的情況，如國內(nèi)和美國廠家在V&V活動過程和活動劃分方面大多參照IEEE 1012，而在獨立性要求方面，幾乎所有廠家均參照IEEE 1012執(zhí)行。應(yīng)考慮以當(dāng)前的能源行業(yè)標(biāo)準為主體，結(jié)合IEEE 1012，形成我國自己的V&V標(biāo)準體系，以避免引用規(guī)范過多、技術(shù)要求不清的問題。

③完善軟件V&V活動的上、下游標(biāo)準，形成軟件V&V活動的標(biāo)準體系。軟件V&V活動的充分執(zhí)行，需要計算軟件的安全分級、生命周期劃分、軟件審查和硬件相關(guān)標(biāo)準等上游標(biāo)準支撐，同時，也需要適當(dāng)細化V&V活動的下游標(biāo)準，如V&V活動中某一項工作的具體方法。

4.2 短期要求

V&V作為一種過程方法，在監(jiān)管過程中要能夠做到深入淺出。針對我國當(dāng)前法規(guī)標(biāo)準體系不健全的現(xiàn)狀，可采取分階段的策略，逐漸深化對軟件V&V的監(jiān)管要求。建議短期內(nèi)可明確以下幾個方面的V&V監(jiān)管要求，作為法規(guī)標(biāo)準體系完善期的過渡階段管理要求。

①明確安全級軟件開發(fā)過程的階段劃分。

安全重要系統(tǒng)的開發(fā)應(yīng)是一個可逐步控制的過程，其本質(zhì)就是一個逐步逼近的過程。開發(fā)過程應(yīng)分為若干階段，每個階段使用前一階段開發(fā)的結(jié)果，為后續(xù)階段提供輸入信息。根據(jù)HAD 102/16，核電廠安全級數(shù)字化儀控系統(tǒng)軟件應(yīng)分為計算機系統(tǒng)需求、計算機系統(tǒng)設(shè)計、軟件需求、軟件設(shè)計、軟件實現(xiàn)、計算機系統(tǒng)集成、安裝和調(diào)試等七個階段。

②實施配置管理計劃。

數(shù)字化儀控系統(tǒng)的開發(fā)過程是系統(tǒng)需求不斷明確和細化的過程，同時也是對硬件和軟件不斷明確的過程，需要對需求、硬件及軟件進行動態(tài)管理，保證需求與實現(xiàn)的匹配以及開發(fā)團隊工作基線的一致。通過編制并實施配置管理計劃，明確軟件的基線、版本、版本變更的流程和評估方式，可以使設(shè)計團隊與V&V團隊有“共同語言”。

③軟件V&V活動大綱。

在V&V活動實施前，應(yīng)制定明確的V&V活動大綱，從組織結(jié)構(gòu)、資源需求、工具技術(shù)、V&V活動的實施范圍和準則、問題的處理、V&V的文檔等方面，對V&V活動進行明確的定義，同時給出如何確保V&V大綱實施的方案。IEEE 1012中明確規(guī)定了大綱所必須包含的內(nèi)容。

④軟件V&V獨立性要求。

獨立性是保證V&V活動能夠有效開展的關(guān)鍵，包括組織獨立性、財務(wù)獨立性和技術(shù)獨立性三個方面。對于組織獨立性，V&V團隊和開發(fā)團隊必須由處于不同部門的部門領(lǐng)導(dǎo)分別管理和績效考核，不能有利益相關(guān)性；V&V活動不受工程進度和成本的約束；V&V團隊的領(lǐng)導(dǎo)要有足夠高的權(quán)限直接向分管質(zhì)量的領(lǐng)導(dǎo)或最高領(lǐng)導(dǎo)匯報工作。對于技術(shù)獨立性，要求V&V團隊?wèi)?yīng)使用不同于開發(fā)團隊的技術(shù)和工具完成。對于財務(wù)獨立性，要求V&V團隊?wèi)?yīng)有各自獨立的財務(wù)預(yù)算及決算，以限制資金在開發(fā)與V&V活動之間的流動。

⑤文檔規(guī)范化、標(biāo)準化、明確化。

軟件V&V活動文檔，作為V&V活動完成情況和結(jié)論的客觀證據(jù)，有必要對其完整性提出要求，應(yīng)該明確V&V活動中哪些活動必須形成文檔，文檔中應(yīng)該包含的內(nèi)容等。各階段的V&V活動必須形成有效的文件記錄，期間發(fā)生的異常項和不符合項處理過程必須形成詳細記錄，各類文件必須嚴格按照廠家V&V工作程序執(zhí)行。各個階段的總結(jié)報告為必須完成的內(nèi)容，其中至少應(yīng)包含該階段活動所要求的內(nèi)容、已完成的內(nèi)容、完成的基本狀況、對后續(xù)活動的影響等方面。

5 結(jié)束語

軟件V&V活動能夠為軟件的安全性和可靠性提供客觀的證據(jù)。隨著數(shù)字化應(yīng)用的不斷深入，對核電廠安全級數(shù)字化儀控系統(tǒng)軟件開展V&V活動將逐漸成為軟件開發(fā)必不可少的環(huán)節(jié)。針對當(dāng)前國內(nèi)軟件V&V標(biāo)準體系尚不健全、安全級數(shù)字化儀控系統(tǒng)大部分靠引進國外技術(shù)的問題，我國應(yīng)逐步健全軟件V&V標(biāo)準體系，監(jiān)管要求需要逐步深入，既要保安全、保質(zhì)量，又要逐步培養(yǎng)我國核工業(yè)的核心競爭力。

[1] IEC.IEC 60880:2006 Nuclear power plants-Instrumentation and control systems important to safety-software aspects for computer-based systems performing category A functions[S].switzerland: IEC,2006.

[2] IEEE.IEEE Std 1012-2004 IEEE Standard for software verification and validation[S].US: IEEE,2005.

[3] 國家核安全局. 核動力廠基于計算機的安全重要系統(tǒng)軟件[R].北京:國家核安全局,2004.

[4] 國家質(zhì)量技術(shù)監(jiān)督局，GB/T13629-1998 核電廠安全系統(tǒng)中數(shù)字計算機的適用準則[S].北京:中國標(biāo)準出版社,1998.

[5] USNRC.Guidance on software reviews for digital computer-based instrumentation and control systems[R].US: USNRC,1997.

[6] USNRC.Regulatory guide 1.152 Criteria for use of computers in safety system of nuclear power plants[S].US: USNRC,2011.

[7] IEEE.IEEE Std 7-4.3.2-2003 IEEE Standard criteria for digital computers in safety systems of nuclear power generating stations[S].US: IEEE,2003.[8] USNRC.Regulatory guide 1.168 Verification,validation,reviews,and audits for digital computer software used in safety systems of nuclear power plants[S].US: USNRC,2013.

[9] IEC.IEC 61513 Nuclear power plants-Instrumentation and control important to safety-general requirements for systems[S].Switzerland: IEC,2011.

[10]IEC.IEC 61226 Nuclear power plants-Instrumentation and control important to safety-classification of instrumentation and control functions[S].Switzerland: IEC,2009.

[11]國家核安全局.核電廠質(zhì)量保證安全規(guī)定[R].北京:國家核安全局,1991.

[12]國家核安全局. 核動力廠設(shè)計安全規(guī)定[R].北京:國家核安全局,2004.

[13]國家核安全局. 核電廠安全有關(guān)儀表和控制系統(tǒng)[R].北京:國家核安全局,1988.

Analysis of the Standard System for Software Verification and Validation of Digital Control System in Nuclear Power Plant

ZHENG Pianyao1,ZHONG Bai1,2,MA Xiangrui2

(1.Procurement Department,China Nuclear Power Engineering Co.,Ltd.,Beijing 100840,China;2.Northern Regional Office of Nuclear and Radiation Safety Inspection Ministry of Environment Protection of the P.R.China,Beijing 100029,China)

Through introducing the activities of software V&V and dividing the life cycle of software for nuclear power plant, the object of digital control system software V&V for the nuclear power plant is clearly defined;that is the verification activities are to judge whether the system meets the design requirements or not;and the validation activities are to judge whether the system design is correct or not. Combining with the supervision and management practice of the software V&V activities of the safety grade digital instrument control systems in NPP, the regulations and the standard system used for digital control system V&V activities in USA, Europe and China are summarized. Aiming at the problem of inadequate regulations and standard system in our country, the differences from such topics in USA and Europe are compared, and it is clarified that our regulations and standard system has deficiencies in three aspects, i.e., lag in upgrade, the standard route is not unified, and lack of systematic for transformation of the standards. From the long-term goal to see that we should consummate the V&V regulations and standard system, from the regulatory requirements to the execution of standards, to gradually refine a hierarchy of requirements;while from the short-term view, the requirements of V&V activities should be carried out from stage division of software development, formation and implementation of various developing plans, the independence of V&V activities, and documents and records.

Nuclear power plant; Digital instrument control system； DCS; Software V&V; Standard system

鄭駢垚(1976—)，女，碩士，工程師，主要從事民用核與輻射安全的監(jiān)督和評審工作。E-mail:pianyao.zheng@foxmail.com。

TH86;TP273

A

10.16086/j.cnki.issn1000-0380.201703004

修改稿收到日期:2016-04-17