王曉燕,張亞棟,杜喬瑞,周小波
(北京廣利核系統(tǒng)工程有限公司,北京 100094)
核電作為清潔能源,在能源匱乏的今天,越來越受到人們重視。中國作為能源消耗大國,正以積極態(tài)度,在確保安全前提下大力發(fā)展核電,這為核電事業(yè)的發(fā)展帶來了前所未有的機遇,但同時也帶來了巨大的挑戰(zhàn),其中就包括對核電站核安全相關(guān)物項的使用,因為這些核安全相關(guān)物項的性能直接影響到核電安全。
早期,核電站核安全相關(guān)物項都必須從合格的核級供應(yīng)商采購,即其設(shè)計與制造都符合核質(zhì)保大綱要求。隨著幾起核泄露事件的發(fā)生,核電發(fā)展處于停滯狀態(tài),使部分供應(yīng)商放棄苛刻的核質(zhì)保大綱要求轉(zhuǎn)做其它項目,符合核質(zhì)保大綱要求的供應(yīng)商越來越少。但隨著核電的發(fā)展,核安全相關(guān)物項的供不應(yīng)求,美國針對所需部件難以尋找滿足要求的核級供應(yīng)商的問題,經(jīng)過多年研究,已逐步形成一套較為完善的商品級物項適用性確認(Commercial Grade Dedication,CGD)方法,作為核電廠安全重要領(lǐng)域控制零部件質(zhì)量,杜絕引入不良品的重要手段,保證商品級物項(Commercial Grade Item,CGI)滿足核電廠功能安全要求,CGD 方法已逐步得到國際核電業(yè)主及承包商的認可和支持。
商品級物項是:1)不是為核設(shè)施專門設(shè)計或不以核設(shè)施特有的技術(shù)要求為條件;2)用于非核設(shè)施;3)按制造廠產(chǎn)品說明(例如樣本)中規(guī)定的技術(shù)條件從制造廠或供貨商處采購。商品級物項有3 種:①通用純軟件;②數(shù)字化設(shè)備;③通用純硬件設(shè)備。本文商品級物項特指數(shù)字化設(shè)備,即商業(yè)數(shù)字化設(shè)備。
隨著核電的發(fā)展,核電站要求的功能越來越多,由于核安全數(shù)字化設(shè)備供不應(yīng)求和技術(shù)發(fā)展的限制,導(dǎo)致需要采取非核級廠家的數(shù)字化設(shè)備。由于軟件不同于硬件,硬件是看得見、摸得著的物理部件或設(shè)備,軟件產(chǎn)品是以程序和文檔的形式存在,通過在計算機上運行來體現(xiàn)他的作用。在研制軟件產(chǎn)品的過程中,開發(fā)過程是在無形化方式下完成的,其能見度極差,這給軟件驗證帶來了極大的困難。隨著軟件的復(fù)雜度越來越大,軟件失效概率急劇上升。如何對商用數(shù)字化設(shè)備進行驗證達到核安全級相關(guān)標(biāo)準(zhǔn)要求是使用商用數(shù)字化設(shè)備前提,也是關(guān)鍵;目前國內(nèi)導(dǎo)則和標(biāo)準(zhǔn)空白,美國標(biāo)準(zhǔn)中并未明確具體指導(dǎo)方法,所以對于商用數(shù)字化設(shè)備驗證一直是當(dāng)前的難題。
中國目前已經(jīng)在核安全導(dǎo)則HAD102/16 以及相關(guān)國標(biāo)GB/T13629-2008(修改采用IEEE std 7-4.3.2-2003)中提出了商品級鑒定概念[2],但是還未形成完善、可實施的方法和程序。HAD102/16 附錄I 專門針對按其他工業(yè)安全關(guān)鍵應(yīng)用中的高標(biāo)準(zhǔn)開發(fā)的軟件的使用和確認提出了相關(guān)要求和建議[1]。
得到RG1.152 背書的EPRI TR 106439 明確軟件CGD如下:
識別CGD 對象,進行關(guān)鍵特性識別,確定關(guān)鍵特性驗證方法及接受準(zhǔn)則,執(zhí)行驗收活動。其中,關(guān)鍵特性驗證包括4 種方法:測試、源地驗證、商業(yè)級調(diào)查和運行經(jīng)驗[8]。
IEEE1012 的附錄D 對于可復(fù)用軟件(軟件庫軟件、其他用途開發(fā)的定制軟件、商品級軟件、現(xiàn)存軟件)的鑒定提出了較為詳細的要求,主要體現(xiàn)在如下幾個方面[6]:
1)在軟件預(yù)期用途所在領(lǐng)域環(huán)境中,指定一個完整性等級,以確定要執(zhí)行的最小的V&V 任務(wù)集。
2)當(dāng)軟件開發(fā)匯總適用的信息被標(biāo)識的、可獲取和有組織的,應(yīng)根據(jù)軟件的完整性等級,開展相應(yīng)等級軟件V&V 最小任務(wù)(例如:概念V&V、需求V&V、設(shè)計V&V、實現(xiàn)V&V、測試V&V)。
3)當(dāng)軟件所需V&V 輸入不可用,且軟件要求具有高置信度時,應(yīng)考慮使用替代分析和測試方法代替V&V 任務(wù),以得出軟件正確性、完整性、準(zhǔn)確性和可用性的客觀結(jié)論。
IEC61513 指出需要進行質(zhì)量鑒定,包括軟件、硬件和系統(tǒng)方面質(zhì)量鑒定[3]。軟件的質(zhì)量鑒定指向了IEC60880 的要求,硬件的鑒定主要是環(huán)境、抗震等,指向IEC60780 的要求等。IEC60880 對核電廠A 類軟件設(shè)計、開發(fā)、驗證與確認、軟件工具的應(yīng)用提出了具體要求,同時也對預(yù)開發(fā)軟件的鑒定提出要求,主要包含如下4 個方面:①對PDS 的功能和性能特征以及現(xiàn)有的鑒定文件的適用性評估;②軟件開發(fā)過程的質(zhì)量評估;③運行經(jīng)驗評估;④系統(tǒng)測試[5]。
通過對以上標(biāo)準(zhǔn)的研究,對于商品級物項鑒定的具體實施方法、程序和驗收準(zhǔn)則,包括審查的方法和準(zhǔn)則,都主要參考歐美相關(guān)標(biāo)準(zhǔn)體系。本文針對商用數(shù)字化設(shè)備的驗證過程采用美國的CGD 流程,首要滿足國內(nèi)法規(guī)和標(biāo)準(zhǔn),同時參考IEC 標(biāo)準(zhǔn)相關(guān)要求。
根據(jù)EPRI NP-5652、TR-106439 所規(guī)定的方法,對一個用于核電站商品級物項的鑒定使用通常分為兩個階段:技術(shù)評估階段與檢驗驗收階段[7,8]。技術(shù)評估階段是工程師根據(jù)自身經(jīng)驗與核安全相關(guān)系統(tǒng)需求,界定此商品級物項的適用范圍、設(shè)計的安全相關(guān)功能、使用條件,并要考慮可能發(fā)生的失效及影響和一些關(guān)鍵特性;檢驗驗收階段是根據(jù)技術(shù)評估階段的要求,選擇合適的檢驗方法與接受標(biāo)準(zhǔn),并對其進行檢驗驗收。在這兩個階段實施過程中,很重要的一點是都需要形成文件來記錄實施過程,做到有據(jù)可查。只有這兩階段完成且合格后,此物項方可使用。
作為商品級物項適用性確認過程的重要組成部分,技術(shù)評估是適用性確認過程的基礎(chǔ)。只有做好技術(shù)評估,后續(xù)的檢驗驗收才能全面有效地驗證該物項的性能。技術(shù)評估主要從以下面方面來進行:
1)商品級物項所執(zhí)行功能、確認在核電站中所執(zhí)行的安全相關(guān)功能,安全等級及適用范圍。
從商用數(shù)字化設(shè)備的功能、性能、接口、失效處理、安全防范角度驗證是否滿足系統(tǒng)需求和系統(tǒng)設(shè)計要求。采取的方法可以是可追溯性分析、接口分析、失效分析、安全防范分析等,確定商用數(shù)字化設(shè)備所執(zhí)行安全相關(guān)功能、安全等級和適用范圍。
2)分析商品級物項的失效模式,及在其失效時對核安全相關(guān)系統(tǒng)或功能的影響;確定商品級物項的關(guān)鍵特性。
根據(jù)核儀控系統(tǒng)的設(shè)計和商用數(shù)字化設(shè)備需求的要求,對商用數(shù)字化設(shè)備進行可能導(dǎo)致安全功能失效的異常狀態(tài)和事件危險分析,根據(jù)故障模式和后果分析的結(jié)果判斷故障模式是否采取相關(guān)措施進行處理;確定失效時對核安全相關(guān)系統(tǒng)或功能的影響,結(jié)合執(zhí)行安全功能,確定關(guān)鍵特性。
3)關(guān)鍵特性識別和劃分
關(guān)鍵特性根據(jù)使用的安全功能和使用約束來確定關(guān)鍵特性,依據(jù)EPRI 106439 第4 章的指導(dǎo),商用軟件的關(guān)鍵特性同硬件CGD 的關(guān)鍵特性一樣,分為包括物理特性、功能/性能特性、可信性特性3 大類型,具體如下:
① 物理特性:主要包括型號、大小、顏色、重量、材質(zhì)、軟件版本號等。
② 功能/性能特性:使用的功能、接口、精度、溫度、相對溫度、抗震及EMC 等。
③ 可信性特性:質(zhì)保和管理、軟件開發(fā)和驗證,硬件開發(fā)和驗證、生產(chǎn)制造等。
根據(jù)被美國核管會認可的導(dǎo)則NP-5652 檢驗驗收方法包括以下4 種:①特定檢驗和試驗;②對供方的商品級調(diào)查;③對物項的源地驗證;④供方/物項表現(xiàn)記錄的可接受性。根據(jù)所選擇的檢驗驗收方法鑒定合格,且商品級物項的可追溯性符合核級物項要求,形成并保存記錄,即認為所選商品級物項可像核級物項一樣用到核安全相關(guān)應(yīng)用中。對于商用數(shù)字化設(shè)備,在實際驗收中對于不同特性采取不同驗收方法:對于數(shù)字化設(shè)備的物理特性、功能/性能特性驗收采取方法1 特定檢驗和試驗(可以是測試、環(huán)境與抗震的鑒定、檢驗)進行驗收;對于含有的軟件的數(shù)字化設(shè)備,由于軟件的復(fù)雜性、重要性,對于軟件開發(fā)和驗證的可信特性的驗收采取白盒化的驗收方式,即軟件V&V 或軟件V&V 審查方式(屬于特定檢驗和試驗);對于質(zhì)保和管理、硬件開發(fā)和驗證、生產(chǎn)和組裝及調(diào)試可以采取商業(yè)級調(diào)查方式驗收;對于軟件版本確認可以采取源地驗證進行驗收,如果感覺供應(yīng)商提供證據(jù)不足,可以采取運行經(jīng)驗分析進行補充。
① 軟件V&V 或軟件V&V 審查
執(zhí)行該種方法的前提是供應(yīng)商提供商用數(shù)字化設(shè)備的需求、軟件需求、設(shè)計和源代碼,如果執(zhí)行軟件V&V 審查,供應(yīng)商還需要提供對應(yīng)于商用軟件版本的V&V 一套完整文件;該種方法主要驗證軟件開發(fā)過程和軟件驗證過程。
◇ 用戶獨立執(zhí)行軟件V&V 工作,滿足HAD102/16和IEEE1012-2004 對于軟件V&V 的管理獨立性、技術(shù)獨立性和財務(wù)獨立性的要求。在執(zhí)行軟件V&V 工作需按照IEEE1012 的SIL4 和相關(guān)標(biāo)準(zhǔn)要求(例如IEC60880),執(zhí)行軟件V&V,對數(shù)字化的設(shè)備功能分配、不同類型接口(軟軟接口、軟硬接口、人機接口、通信接口)危險源、敏感源、風(fēng)險等方面進行評估和分析,對軟件進行單元測試(語句覆蓋100%、分支覆蓋100%、修正條件判斷覆蓋100%)集成測試和系統(tǒng)測試,從而確保數(shù)字化設(shè)備軟件滿足核安全要求。
◇ 對供應(yīng)商提供的軟件V&V 材料進行審查,首先要審查執(zhí)行第三方V&V 的單位是否具備軟件V&V 的能力,同時驗證該單位是否滿足HAD102/16 和IEEE1012-2004 對于軟件V&V 的管理獨立性、技術(shù)獨立性和財務(wù)獨立性的要求。在這兩個條件滿足的前提下,審查軟件V&V 的過程、方法和結(jié)果;審查依據(jù)的標(biāo)準(zhǔn)是V&V 工作需按照IEEE1012的SIL4 和相關(guān)標(biāo)準(zhǔn)要求(例如IEC60880)。
② 進檢、環(huán)境與抗震有關(guān)鑒定
按照標(biāo)準(zhǔn)TR-017218 抽取樣品[4],對商用數(shù)字化設(shè)備的物理特性和功能/性能進行進檢;對環(huán)境與抗震有關(guān)關(guān)鍵特性,按照核安全有關(guān)標(biāo)準(zhǔn)進行鑒定,本文就不具體展開。
(六)仔豬合理補飼 仔豬出生后,應(yīng)讓其及早(15 min內(nèi))吃上初乳,獲得被動免疫保護。及時補鐵,則可有效防治仔豬營養(yǎng)性貧血,增強仔豬抵抗力。在7日齡左右,仔豬即開始補喂全價飼料,在保證仔豬生長發(fā)育所需的必需氨基酸條件下,飼料中粗蛋白質(zhì)含量應(yīng)控制在19%以下。在斷奶前后,避免突然變換飼料引起應(yīng)激性腹瀉。仔豬飼料中適當(dāng)補充礦物質(zhì)、微量元素、維生素、有機酸、復(fù)合酶制劑和微生態(tài)制劑等,可提高飼料蛋白質(zhì)的消化率,促進營養(yǎng)物質(zhì)的消化吸收,加快仔豬生長發(fā)育,有效地預(yù)防和降低仔豬腹瀉。
方法二:商業(yè)級調(diào)查
該方法可以對商用數(shù)字化設(shè)備進行商業(yè)級調(diào)查,以獲取供應(yīng)商采用的商業(yè)控制措施的可信度。這些控制措施可以是基于質(zhì)量程序、規(guī)程和實踐。商業(yè)級調(diào)查包括3 部分:軟件部分的商業(yè)級調(diào)查、硬件部分商業(yè)級調(diào)查、生產(chǎn)制造部分商業(yè)級調(diào)查。首先應(yīng)準(zhǔn)備調(diào)查計劃,以確認供應(yīng)商保持了對商用軟件所要用到的每一個關(guān)鍵特性的控制。調(diào)查報告應(yīng)該描述供貨商所使用的方法,用于評估方法的證據(jù)以及確認方法被使用的客觀證據(jù),以及調(diào)查人員的結(jié)論。
方法三:源地驗證
源地驗證方法主要是商品級物項發(fā)運之前,在供應(yīng)商工廠進行質(zhì)量見證活動,進行關(guān)鍵特性驗證,見證內(nèi)容可以是制造和裝配過程、非破壞性檢驗、性能測試或最終檢查,還可包括確認供應(yīng)商的設(shè)計、采購、校準(zhǔn)以及為采購某些特殊的商品級物項而采用的材料控制方法等。
方法四:供方/物項表現(xiàn)記錄的可接受性
在質(zhì)量評估不充分的情況下,適當(dāng)?shù)纳逃密浖\行經(jīng)驗可補充商用軟件的置信度。根據(jù)供貨商提供的數(shù)據(jù)或從其他用戶得到的數(shù)據(jù),對產(chǎn)品運行經(jīng)驗進行評估;根據(jù)要使用商用軟件的版本、配置和功能使用情況,對已運行的商用軟件配置、功能和被評定軟件的相似性或一致性進行運行經(jīng)驗總結(jié)。方法4 最適用于以下兩種情形:對于一個或多個關(guān)鍵特性,與另一個驗收方法結(jié)合,作為減少樣本量的基礎(chǔ);當(dāng)其他關(guān)鍵特性通過另一種驗收方法的使用得到驗證時,作為驗收某一特定關(guān)鍵特性的基礎(chǔ)。
在實際執(zhí)行時,物項在其他領(lǐng)域的歷史性能記錄很難獲取,一般情況下,可基于物項的一些工業(yè)標(biāo)準(zhǔn)認證、供應(yīng)商提供的物項的相應(yīng)的返修情況等,以及物項在自身項目中的一些應(yīng)用情況等。
公司預(yù)采購某供應(yīng)商的驅(qū)動設(shè)備用于核電儀控系統(tǒng)中,要求供應(yīng)商提供驅(qū)動軟件的需求、設(shè)計和源代碼,同時也支持商業(yè)級調(diào)查。
公司按照CGD 流程對其進行技術(shù)評估和檢查驗收,首先進行安全功能確認、關(guān)鍵特性識別;根據(jù)關(guān)鍵特性確定驗收方法,具體驗收方法如下:
方法一:特定檢驗和試驗
對于數(shù)字化的物理特性采取進檢檢驗方式(屬于特定檢驗和試驗)驗收;對于功能/性能特性驗收可以采取進檢檢驗(屬于特定檢驗和試驗)和環(huán)境、抗震有關(guān)鑒定方式(屬于特定檢驗和試驗)進行驗收;對于含有的軟件的數(shù)字化設(shè)備,由于軟件的復(fù)雜性、重要性,對于軟件開發(fā)和驗證的可信特性的驗收采取白盒化的驗收方式,采取執(zhí)行軟件V&V(屬于特定檢驗和試驗)。
①執(zhí)行軟件V&V:公司的V&V 團隊在接收到供應(yīng)商提供的驅(qū)動設(shè)備需求、可編程邏輯需求、設(shè)計和源代碼后,執(zhí)行軟件V&V;依據(jù)的標(biāo)準(zhǔn)是IEEE1012、IEC62566、HAD102/16;按照軟件生命周期執(zhí)行概念V&V、需求V&V、設(shè)計V&V、實現(xiàn)V&V 和測試V&V;針對V&V 提出的問題供應(yīng)商進行修改,V&V 的結(jié)論是通過。
②進檢:本項目共需25 臺,供應(yīng)商提供的25 臺是同一生產(chǎn)線、同一批次的,根據(jù)相關(guān)標(biāo)準(zhǔn)和設(shè)備的功能簡單、單一的特性,采取了常規(guī)抽檢6 臺,驗證物理特性、部分功能和性能特性。在對功能和性能驗證中,首先編寫測試需求和設(shè)計,在測試設(shè)計中驗證常規(guī)功能情況下,增加了異常測試、接口測試、邊界測試,同時考慮驅(qū)動軟件在系統(tǒng)中應(yīng)用各種工況的測試。
③環(huán)境和抗震的鑒定:公司按照鑒定有關(guān)的標(biāo)準(zhǔn)執(zhí)行,有關(guān)鑒定內(nèi)容在此不詳述。
方法二:商業(yè)級調(diào)查
商業(yè)級調(diào)查包括3 部分:軟件部分的商業(yè)級調(diào)查、硬件部分商業(yè)級調(diào)查、生產(chǎn)制造部分商業(yè)級調(diào)查,具體驗證要求如下:
①軟件部分商業(yè)級調(diào)查:調(diào)查范圍涉及到軟件質(zhì)保大綱、項目管理、配置管理、軟件變更、異常處理、開發(fā)環(huán)境、人員資質(zhì)等方面,通過對其進行商業(yè)級調(diào)查,驗證軟件部分質(zhì)量保證是否滿足核質(zhì)保要求。
②硬件部分商業(yè)級調(diào)查:調(diào)查范圍涉及到硬件質(zhì)保大綱、項目管理、供應(yīng)商評價、硬件設(shè)計、硬件驗證、采購文件、配置管理、硬件變更、異常處理、開發(fā)環(huán)境、人員資質(zhì)等方面,驗證硬件部分質(zhì)量保證是否滿足核質(zhì)保要求。
③生產(chǎn)制造部分商業(yè)級調(diào)查:調(diào)查范圍涉及到進料檢驗、制造過程控制、軟件下裝、生產(chǎn)測試、生產(chǎn)及測試設(shè)備和儀器控制、包裝運輸管理等方面,通過對其進行商業(yè)級調(diào)查,驗證生產(chǎn)制造部分質(zhì)量保證是否滿足核質(zhì)保要求。
方法三:源地驗證
為了確保驅(qū)動設(shè)備出廠前的質(zhì)量,在驅(qū)動設(shè)備出廠前,公司人員選取了功能和性能特性中關(guān)鍵驗證點和公司不具備的驗證點,在供應(yīng)商測試場地,抽取了6 臺驅(qū)動設(shè)備,由供應(yīng)商按照公司選取驗證點進行測試,公司人員進行見證。
方法四:供方/物項表現(xiàn)記錄的可接受性
針對公司使用驅(qū)動設(shè)備版本和相近版本,對驅(qū)動設(shè)備的銷售情況、維修情況、實際應(yīng)用情況進行評價。
在核電廠設(shè)計、建造和運行過程中需要采購大量的商品級物項,這些執(zhí)行核安全級功能的商品級物項需要進行評定才能應(yīng)用。本文通過對國內(nèi)外標(biāo)準(zhǔn)對商用數(shù)字化設(shè)備的要求,提出適合中國國情的、可操作的適用性確認過程和方法,用于指導(dǎo)商用數(shù)字化設(shè)備驗收工作具體執(zhí)行,確保商用數(shù)字化設(shè)備能夠正確可靠執(zhí)行安全功能達到核電要求。