王曉燕，張亞棟，杜喬瑞，周小波

（北京廣利核系統(tǒng)工程有限公司，北京 100094）

0 引言

核電作為清潔能源，在能源匱乏的今天，越來越受到人們重視。中國作為能源消耗大國，正以積極態(tài)度，在確保安全前提下大力發(fā)展核電，這為核電事業(yè)的發(fā)展帶來了前所未有的機遇，但同時也帶來了巨大的挑戰(zhàn)，其中就包括對核電站核安全相關(guān)物項的使用，因為這些核安全相關(guān)物項的性能直接影響到核電安全。

早期，核電站核安全相關(guān)物項都必須從合格的核級供應(yīng)商采購，即其設(shè)計與制造都符合核質(zhì)保大綱要求。隨著幾起核泄露事件的發(fā)生，核電發(fā)展處于停滯狀態(tài)，使部分供應(yīng)商放棄苛刻的核質(zhì)保大綱要求轉(zhuǎn)做其它項目，符合核質(zhì)保大綱要求的供應(yīng)商越來越少。但隨著核電的發(fā)展，核安全相關(guān)物項的供不應(yīng)求，美國針對所需部件難以尋找滿足要求的核級供應(yīng)商的問題，經(jīng)過多年研究，已逐步形成一套較為完善的商品級物項適用性確認（Commercial Grade Dedication，CGD）方法，作為核電廠安全重要領(lǐng)域控制零部件質(zhì)量，杜絕引入不良品的重要手段，保證商品級物項（Commercial Grade Item，CGI）滿足核電廠功能安全要求，CGD 方法已逐步得到國際核電業(yè)主及承包商的認可和支持。

商品級物項是：1）不是為核設(shè)施專門設(shè)計或不以核設(shè)施特有的技術(shù)要求為條件；2）用于非核設(shè)施；3）按制造廠產(chǎn)品說明（例如樣本）中規(guī)定的技術(shù)條件從制造廠或供貨商處采購。商品級物項有3 種：①通用純軟件；②數(shù)字化設(shè)備；③通用純硬件設(shè)備。本文商品級物項特指數(shù)字化設(shè)備，即商業(yè)數(shù)字化設(shè)備。

隨著核電的發(fā)展，核電站要求的功能越來越多，由于核安全數(shù)字化設(shè)備供不應(yīng)求和技術(shù)發(fā)展的限制，導(dǎo)致需要采取非核級廠家的數(shù)字化設(shè)備。由于軟件不同于硬件，硬件是看得見、摸得著的物理部件或設(shè)備，軟件產(chǎn)品是以程序和文檔的形式存在，通過在計算機上運行來體現(xiàn)他的作用。在研制軟件產(chǎn)品的過程中，開發(fā)過程是在無形化方式下完成的，其能見度極差，這給軟件驗證帶來了極大的困難。隨著軟件的復(fù)雜度越來越大，軟件失效概率急劇上升。如何對商用數(shù)字化設(shè)備進行驗證達到核安全級相關(guān)標(biāo)準(zhǔn)要求是使用商用數(shù)字化設(shè)備前提，也是關(guān)鍵；目前國內(nèi)導(dǎo)則和標(biāo)準(zhǔn)空白，美國標(biāo)準(zhǔn)中并未明確具體指導(dǎo)方法，所以對于商用數(shù)字化設(shè)備驗證一直是當(dāng)前的難題。

1 與商用數(shù)字化設(shè)備有關(guān)標(biāo)準(zhǔn)要求

中國目前已經(jīng)在核安全導(dǎo)則HAD102/16 以及相關(guān)國標(biāo)GB/T13629-2008（修改采用IEEE std 7-4.3.2-2003）中提出了商品級鑒定概念[2]，但是還未形成完善、可實施的方法和程序。HAD102/16 附錄I 專門針對按其他工業(yè)安全關(guān)鍵應(yīng)用中的高標(biāo)準(zhǔn)開發(fā)的軟件的使用和確認提出了相關(guān)要求和建議[1]。

得到RG1.152 背書的EPRI TR 106439 明確軟件CGD如下:

識別CGD 對象，進行關(guān)鍵特性識別，確定關(guān)鍵特性驗證方法及接受準(zhǔn)則，執(zhí)行驗收活動。其中，關(guān)鍵特性驗證包括4 種方法：測試、源地驗證、商業(yè)級調(diào)查和運行經(jīng)驗[8]。

IEEE1012 的附錄D 對于可復(fù)用軟件（軟件庫軟件、其他用途開發(fā)的定制軟件、商品級軟件、現(xiàn)存軟件）的鑒定提出了較為詳細的要求，主要體現(xiàn)在如下幾個方面[6]：

1）在軟件預(yù)期用途所在領(lǐng)域環(huán)境中，指定一個完整性等級，以確定要執(zhí)行的最小的V&V 任務(wù)集。

2）當(dāng)軟件開發(fā)匯總適用的信息被標(biāo)識的、可獲取和有組織的，應(yīng)根據(jù)軟件的完整性等級，開展相應(yīng)等級軟件V&V 最小任務(wù)（例如：概念V&V、需求V&V、設(shè)計V&V、實現(xiàn)V&V、測試V&V）。

3）當(dāng)軟件所需V&V 輸入不可用，且軟件要求具有高置信度時，應(yīng)考慮使用替代分析和測試方法代替V&V 任務(wù)，以得出軟件正確性、完整性、準(zhǔn)確性和可用性的客觀結(jié)論。

IEC61513 指出需要進行質(zhì)量鑒定，包括軟件、硬件和系統(tǒng)方面質(zhì)量鑒定[3]。軟件的質(zhì)量鑒定指向了IEC60880 的要求，硬件的鑒定主要是環(huán)境、抗震等，指向IEC60780 的要求等。IEC60880 對核電廠A 類軟件設(shè)計、開發(fā)、驗證與確認、軟件工具的應(yīng)用提出了具體要求，同時也對預(yù)開發(fā)軟件的鑒定提出要求，主要包含如下4 個方面：①對PDS 的功能和性能特征以及現(xiàn)有的鑒定文件的適用性評估；②軟件開發(fā)過程的質(zhì)量評估；③運行經(jīng)驗評估；④系統(tǒng)測試[5]。

通過對以上標(biāo)準(zhǔn)的研究，對于商品級物項鑒定的具體實施方法、程序和驗收準(zhǔn)則，包括審查的方法和準(zhǔn)則，都主要參考歐美相關(guān)標(biāo)準(zhǔn)體系。本文針對商用數(shù)字化設(shè)備的驗證過程采用美國的CGD 流程，首要滿足國內(nèi)法規(guī)和標(biāo)準(zhǔn)，同時參考IEC 標(biāo)準(zhǔn)相關(guān)要求。

2 商用數(shù)字化設(shè)備適用性確認研究

根據(jù)EPRI NP-5652、TR-106439 所規(guī)定的方法，對一個用于核電站商品級物項的鑒定使用通常分為兩個階段：技術(shù)評估階段與檢驗驗收階段[7,8]。技術(shù)評估階段是工程師根據(jù)自身經(jīng)驗與核安全相關(guān)系統(tǒng)需求，界定此商品級物項的適用范圍、設(shè)計的安全相關(guān)功能、使用條件，并要考慮可能發(fā)生的失效及影響和一些關(guān)鍵特性；檢驗驗收階段是根據(jù)技術(shù)評估階段的要求，選擇合適的檢驗方法與接受標(biāo)準(zhǔn)，并對其進行檢驗驗收。在這兩個階段實施過程中，很重要的一點是都需要形成文件來記錄實施過程，做到有據(jù)可查。只有這兩階段完成且合格后，此物項方可使用。

2.1 技術(shù)評估階段

作為商品級物項適用性確認過程的重要組成部分，技術(shù)評估是適用性確認過程的基礎(chǔ)。只有做好技術(shù)評估，后續(xù)的檢驗驗收才能全面有效地驗證該物項的性能。技術(shù)評估主要從以下面方面來進行：

1）商品級物項所執(zhí)行功能、確認在核電站中所執(zhí)行的安全相關(guān)功能，安全等級及適用范圍。

從商用數(shù)字化設(shè)備的功能、性能、接口、失效處理、安全防范角度驗證是否滿足系統(tǒng)需求和系統(tǒng)設(shè)計要求。采取的方法可以是可追溯性分析、接口分析、失效分析、安全防范分析等，確定商用數(shù)字化設(shè)備所執(zhí)行安全相關(guān)功能、安全等級和適用范圍。

2）分析商品級物項的失效模式，及在其失效時對核安全相關(guān)系統(tǒng)或功能的影響；確定商品級物項的關(guān)鍵特性。

根據(jù)核儀控系統(tǒng)的設(shè)計和商用數(shù)字化設(shè)備需求的要求，對商用數(shù)字化設(shè)備進行可能導(dǎo)致安全功能失效的異常狀態(tài)和事件危險分析，根據(jù)故障模式和后果分析的結(jié)果判斷故障模式是否采取相關(guān)措施進行處理；確定失效時對核安全相關(guān)系統(tǒng)或功能的影響，結(jié)合執(zhí)行安全功能，確定關(guān)鍵特性。

3）關(guān)鍵特性識別和劃分

關(guān)鍵特性根據(jù)使用的安全功能和使用約束來確定關(guān)鍵特性，依據(jù)EPRI 106439 第4 章的指導(dǎo)，商用軟件的關(guān)鍵特性同硬件CGD 的關(guān)鍵特性一樣，分為包括物理特性、功能/性能特性、可信性特性3 大類型，具體如下：

① 物理特性：主要包括型號、大小、顏色、重量、材質(zhì)、軟件版本號等。

② 功能/性能特性：使用的功能、接口、精度、溫度、相對溫度、抗震及EMC 等。

③ 可信性特性：質(zhì)保和管理、軟件開發(fā)和驗證，硬件開發(fā)和驗證、生產(chǎn)制造等。

2.2 檢查驗收階段

根據(jù)被美國核管會認可的導(dǎo)則NP-5652 檢驗驗收方法包括以下4 種：①特定檢驗和試驗；②對供方的商品級調(diào)查；③對物項的源地驗證；④供方/物項表現(xiàn)記錄的可接受性。根據(jù)所選擇的檢驗驗收方法鑒定合格，且商品級物項的可追溯性符合核級物項要求，形成并保存記錄，即認為所選商品級物項可像核級物項一樣用到核安全相關(guān)應(yīng)用中。對于商用數(shù)字化設(shè)備，在實際驗收中對于不同特性采取不同驗收方法：對于數(shù)字化設(shè)備的物理特性、功能/性能特性驗收采取方法1 特定檢驗和試驗（可以是測試、環(huán)境與抗震的鑒定、檢驗）進行驗收；對于含有的軟件的數(shù)字化設(shè)備，由于軟件的復(fù)雜性、重要性，對于軟件開發(fā)和驗證的可信特性的驗收采取白盒化的驗收方式，即軟件V&V 或軟件V&V 審查方式（屬于特定檢驗和試驗）；對于質(zhì)保和管理、硬件開發(fā)和驗證、生產(chǎn)和組裝及調(diào)試可以采取商業(yè)級調(diào)查方式驗收；對于軟件版本確認可以采取源地驗證進行驗收，如果感覺供應(yīng)商提供證據(jù)不足，可以采取運行經(jīng)驗分析進行補充。

① 軟件V&V 或軟件V&V 審查

執(zhí)行該種方法的前提是供應(yīng)商提供商用數(shù)字化設(shè)備的需求、軟件需求、設(shè)計和源代碼，如果執(zhí)行軟件V&V 審查，供應(yīng)商還需要提供對應(yīng)于商用軟件版本的V&V 一套完整文件；該種方法主要驗證軟件開發(fā)過程和軟件驗證過程。

◇ 用戶獨立執(zhí)行軟件V&V 工作，滿足HAD102/16和IEEE1012-2004 對于軟件V&V 的管理獨立性、技術(shù)獨立性和財務(wù)獨立性的要求。在執(zhí)行軟件V&V 工作需按照IEEE1012 的SIL4 和相關(guān)標(biāo)準(zhǔn)要求（例如IEC60880），執(zhí)行軟件V&V，對數(shù)字化的設(shè)備功能分配、不同類型接口（軟軟接口、軟硬接口、人機接口、通信接口）危險源、敏感源、風(fēng)險等方面進行評估和分析，對軟件進行單元測試（語句覆蓋100%、分支覆蓋100%、修正條件判斷覆蓋100%）集成測試和系統(tǒng)測試，從而確保數(shù)字化設(shè)備軟件滿足核安全要求。

◇ 對供應(yīng)商提供的軟件V&V 材料進行審查，首先要審查執(zhí)行第三方V&V 的單位是否具備軟件V&V 的能力，同時驗證該單位是否滿足HAD102/16 和IEEE1012-2004 對于軟件V&V 的管理獨立性、技術(shù)獨立性和財務(wù)獨立性的要求。在這兩個條件滿足的前提下，審查軟件V&V 的過程、方法和結(jié)果；審查依據(jù)的標(biāo)準(zhǔn)是V&V 工作需按照IEEE1012的SIL4 和相關(guān)標(biāo)準(zhǔn)要求（例如IEC60880）。

② 進檢、環(huán)境與抗震有關(guān)鑒定

按照標(biāo)準(zhǔn)TR-017218 抽取樣品[4]，對商用數(shù)字化設(shè)備的物理特性和功能/性能進行進檢；對環(huán)境與抗震有關(guān)關(guān)鍵特性，按照核安全有關(guān)標(biāo)準(zhǔn)進行鑒定，本文就不具體展開。

（六）仔豬合理補飼 仔豬出生后，應(yīng)讓其及早(15 min內(nèi))吃上初乳，獲得被動免疫保護。及時補鐵，則可有效防治仔豬營養(yǎng)性貧血，增強仔豬抵抗力。在7日齡左右，仔豬即開始補喂全價飼料，在保證仔豬生長發(fā)育所需的必需氨基酸條件下，飼料中粗蛋白質(zhì)含量應(yīng)控制在19%以下。在斷奶前后，避免突然變換飼料引起應(yīng)激性腹瀉。仔豬飼料中適當(dāng)補充礦物質(zhì)、微量元素、維生素、有機酸、復(fù)合酶制劑和微生態(tài)制劑等，可提高飼料蛋白質(zhì)的消化率，促進營養(yǎng)物質(zhì)的消化吸收，加快仔豬生長發(fā)育，有效地預(yù)防和降低仔豬腹瀉。

方法二：商業(yè)級調(diào)查

該方法可以對商用數(shù)字化設(shè)備進行商業(yè)級調(diào)查，以獲取供應(yīng)商采用的商業(yè)控制措施的可信度。這些控制措施可以是基于質(zhì)量程序、規(guī)程和實踐。商業(yè)級調(diào)查包括3 部分：軟件部分的商業(yè)級調(diào)查、硬件部分商業(yè)級調(diào)查、生產(chǎn)制造部分商業(yè)級調(diào)查。首先應(yīng)準(zhǔn)備調(diào)查計劃，以確認供應(yīng)商保持了對商用軟件所要用到的每一個關(guān)鍵特性的控制。調(diào)查報告應(yīng)該描述供貨商所使用的方法，用于評估方法的證據(jù)以及確認方法被使用的客觀證據(jù)，以及調(diào)查人員的結(jié)論。

方法三：源地驗證

源地驗證方法主要是商品級物項發(fā)運之前，在供應(yīng)商工廠進行質(zhì)量見證活動，進行關(guān)鍵特性驗證，見證內(nèi)容可以是制造和裝配過程、非破壞性檢驗、性能測試或最終檢查，還可包括確認供應(yīng)商的設(shè)計、采購、校準(zhǔn)以及為采購某些特殊的商品級物項而采用的材料控制方法等。

方法四：供方/物項表現(xiàn)記錄的可接受性

在質(zhì)量評估不充分的情況下，適當(dāng)?shù)纳逃密浖\行經(jīng)驗可補充商用軟件的置信度。根據(jù)供貨商提供的數(shù)據(jù)或從其他用戶得到的數(shù)據(jù)，對產(chǎn)品運行經(jīng)驗進行評估；根據(jù)要使用商用軟件的版本、配置和功能使用情況，對已運行的商用軟件配置、功能和被評定軟件的相似性或一致性進行運行經(jīng)驗總結(jié)。方法4 最適用于以下兩種情形：對于一個或多個關(guān)鍵特性，與另一個驗收方法結(jié)合，作為減少樣本量的基礎(chǔ)；當(dāng)其他關(guān)鍵特性通過另一種驗收方法的使用得到驗證時，作為驗收某一特定關(guān)鍵特性的基礎(chǔ)。

在實際執(zhí)行時，物項在其他領(lǐng)域的歷史性能記錄很難獲取，一般情況下，可基于物項的一些工業(yè)標(biāo)準(zhǔn)認證、供應(yīng)商提供的物項的相應(yīng)的返修情況等，以及物項在自身項目中的一些應(yīng)用情況等。

3 應(yīng)用實踐

公司預(yù)采購某供應(yīng)商的驅(qū)動設(shè)備用于核電儀控系統(tǒng)中，要求供應(yīng)商提供驅(qū)動軟件的需求、設(shè)計和源代碼，同時也支持商業(yè)級調(diào)查。

公司按照CGD 流程對其進行技術(shù)評估和檢查驗收，首先進行安全功能確認、關(guān)鍵特性識別；根據(jù)關(guān)鍵特性確定驗收方法，具體驗收方法如下：

方法一：特定檢驗和試驗

對于數(shù)字化的物理特性采取進檢檢驗方式（屬于特定檢驗和試驗）驗收；對于功能/性能特性驗收可以采取進檢檢驗（屬于特定檢驗和試驗）和環(huán)境、抗震有關(guān)鑒定方式（屬于特定檢驗和試驗）進行驗收；對于含有的軟件的數(shù)字化設(shè)備，由于軟件的復(fù)雜性、重要性，對于軟件開發(fā)和驗證的可信特性的驗收采取白盒化的驗收方式，采取執(zhí)行軟件V&V（屬于特定檢驗和試驗）。

①執(zhí)行軟件V&V：公司的V&V 團隊在接收到供應(yīng)商提供的驅(qū)動設(shè)備需求、可編程邏輯需求、設(shè)計和源代碼后，執(zhí)行軟件V&V；依據(jù)的標(biāo)準(zhǔn)是IEEE1012、IEC62566、HAD102/16；按照軟件生命周期執(zhí)行概念V&V、需求V&V、設(shè)計V&V、實現(xiàn)V&V 和測試V&V；針對V&V 提出的問題供應(yīng)商進行修改，V&V 的結(jié)論是通過。

②進檢：本項目共需25 臺，供應(yīng)商提供的25 臺是同一生產(chǎn)線、同一批次的，根據(jù)相關(guān)標(biāo)準(zhǔn)和設(shè)備的功能簡單、單一的特性，采取了常規(guī)抽檢6 臺，驗證物理特性、部分功能和性能特性。在對功能和性能驗證中，首先編寫測試需求和設(shè)計，在測試設(shè)計中驗證常規(guī)功能情況下，增加了異常測試、接口測試、邊界測試，同時考慮驅(qū)動軟件在系統(tǒng)中應(yīng)用各種工況的測試。

③環(huán)境和抗震的鑒定：公司按照鑒定有關(guān)的標(biāo)準(zhǔn)執(zhí)行，有關(guān)鑒定內(nèi)容在此不詳述。

方法二：商業(yè)級調(diào)查

商業(yè)級調(diào)查包括3 部分：軟件部分的商業(yè)級調(diào)查、硬件部分商業(yè)級調(diào)查、生產(chǎn)制造部分商業(yè)級調(diào)查，具體驗證要求如下：

①軟件部分商業(yè)級調(diào)查：調(diào)查范圍涉及到軟件質(zhì)保大綱、項目管理、配置管理、軟件變更、異常處理、開發(fā)環(huán)境、人員資質(zhì)等方面，通過對其進行商業(yè)級調(diào)查，驗證軟件部分質(zhì)量保證是否滿足核質(zhì)保要求。

②硬件部分商業(yè)級調(diào)查：調(diào)查范圍涉及到硬件質(zhì)保大綱、項目管理、供應(yīng)商評價、硬件設(shè)計、硬件驗證、采購文件、配置管理、硬件變更、異常處理、開發(fā)環(huán)境、人員資質(zhì)等方面，驗證硬件部分質(zhì)量保證是否滿足核質(zhì)保要求。

③生產(chǎn)制造部分商業(yè)級調(diào)查：調(diào)查范圍涉及到進料檢驗、制造過程控制、軟件下裝、生產(chǎn)測試、生產(chǎn)及測試設(shè)備和儀器控制、包裝運輸管理等方面，通過對其進行商業(yè)級調(diào)查，驗證生產(chǎn)制造部分質(zhì)量保證是否滿足核質(zhì)保要求。

方法三：源地驗證

為了確保驅(qū)動設(shè)備出廠前的質(zhì)量，在驅(qū)動設(shè)備出廠前，公司人員選取了功能和性能特性中關(guān)鍵驗證點和公司不具備的驗證點，在供應(yīng)商測試場地，抽取了6 臺驅(qū)動設(shè)備，由供應(yīng)商按照公司選取驗證點進行測試，公司人員進行見證。

方法四：供方/物項表現(xiàn)記錄的可接受性

針對公司使用驅(qū)動設(shè)備版本和相近版本，對驅(qū)動設(shè)備的銷售情況、維修情況、實際應(yīng)用情況進行評價。

4 小結(jié)

在核電廠設(shè)計、建造和運行過程中需要采購大量的商品級物項，這些執(zhí)行核安全級功能的商品級物項需要進行評定才能應(yīng)用。本文通過對國內(nèi)外標(biāo)準(zhǔn)對商用數(shù)字化設(shè)備的要求，提出適合中國國情的、可操作的適用性確認過程和方法，用于指導(dǎo)商用數(shù)字化設(shè)備驗收工作具體執(zhí)行，確保商用數(shù)字化設(shè)備能夠正確可靠執(zhí)行安全功能達到核電要求。