孫　武，王眷衛(wèi)，崔澤朋，張　源

商品級數(shù)字化設(shè)備關(guān)鍵特性識別及其驗(yàn)收方法的研究

孫武，王眷衛(wèi)，崔澤朋，張源

（中核控制系統(tǒng)工程有限公司，北京 102488）

基于美國的核電質(zhì)量保證體系，安全級系統(tǒng)中使用商品級物項(xiàng)時，可通過商品級物項(xiàng)適用性確認(rèn)技術(shù)以確保其質(zhì)量的可靠性。商品級物項(xiàng)可分為數(shù)字化設(shè)備和基于傳統(tǒng)硬件（無軟件）的設(shè)備。在國內(nèi)，針對基于傳統(tǒng)硬件設(shè)備的適用性確認(rèn)技術(shù)已有一定的應(yīng)用。但是，針對數(shù)字化設(shè)備的適用性確認(rèn)技術(shù)尚未廣泛應(yīng)用。隨著我國核電站儀控系統(tǒng)升級換代的需求日益增加，數(shù)字化設(shè)備的應(yīng)用勢必將成為主流，而商品級物項(xiàng)適用性確認(rèn)技術(shù)作為將數(shù)字化設(shè)備應(yīng)用于安全級系統(tǒng)的一種方法，其重點(diǎn)和難點(diǎn)是數(shù)字化設(shè)備的關(guān)鍵特性的識別和驗(yàn)收方法，而相關(guān)內(nèi)容尚未在國內(nèi)形成統(tǒng)一的標(biāo)準(zhǔn)。本文通過對數(shù)字化設(shè)備的關(guān)鍵特性的分析研究，總結(jié)出數(shù)字化設(shè)備的通用關(guān)鍵特性，并提出了一套針對數(shù)字化設(shè)備的驗(yàn)收方法，可為商品級數(shù)字化設(shè)備適用性確認(rèn)提供參考。

可信性；關(guān)鍵特性；商品級物項(xiàng)適用性確認(rèn)；數(shù)字化設(shè)備

商品級物項(xiàng)適用性確認(rèn)（Commercial Grade Dedication，CGD）在美國已有良好的實(shí)踐和經(jīng)驗(yàn)反饋，并在其核電廠儀控系統(tǒng)安全相關(guān)物項(xiàng)的替換中得到廣泛的應(yīng)用。國內(nèi)核電廠安全級系統(tǒng)中尚未大規(guī)模的應(yīng)用，核安全監(jiān)管部門也未正式發(fā)布針對CGD工作的具體監(jiān)管要求（僅發(fā)布了能源行業(yè)指導(dǎo)性標(biāo)準(zhǔn)）。從2008年開始國內(nèi)儀控系統(tǒng)設(shè)備供應(yīng)商也在陸續(xù)開展CGD相關(guān)的工作，并且積累了一定的工程應(yīng)用經(jīng)驗(yàn)[1]。然而，這些實(shí)踐和經(jīng)驗(yàn)都是對基于傳統(tǒng)硬件設(shè)備的CGD，而非針對數(shù)字化設(shè)備（即包括計算機(jī)軟件的設(shè)備）的CGD。

CGD整體上分為技術(shù)評價和驗(yàn)證兩個階段，在技術(shù)評價階段的主要內(nèi)容之一是確定數(shù)字化設(shè)備的關(guān)鍵特性，而對商品級物項(xiàng)關(guān)鍵特性的驗(yàn)收是CGD中至關(guān)重要的一步，是確保商品級物項(xiàng)可用于核安全系統(tǒng)中有效措施。對傳統(tǒng)硬件設(shè)備關(guān)鍵特性的識別方法是非常成熟的，其關(guān)鍵特性包括物理特性（如設(shè)備的尺寸、重量、安裝方式、材質(zhì)等）和性能特性（如設(shè)備的輸入/輸出電壓、精度、響應(yīng)時間等）[2]。但是，對于數(shù)字化設(shè)備的關(guān)鍵特性，除了上述兩類關(guān)鍵特性外，還包括可信性特性。也就是說，數(shù)字化設(shè)備的三個關(guān)鍵特性是物理特性、性能特性和可信性特性?？尚判院w了系統(tǒng)軟件的各種特性，如可靠性、安全性、可用性和可維護(hù)性等，它反映了設(shè)備能夠執(zhí)行和完成一項(xiàng)任務(wù)而未發(fā)生失效的能力[3]。數(shù)字化設(shè)備的適用性確認(rèn)需要解決的基本問題是如何證明其可正確地執(zhí)行預(yù)期的安全功能[4]，這個證明的過程就是對數(shù)字化設(shè)備的三種關(guān)鍵特性進(jìn)行驗(yàn)收的過程。

本文對數(shù)字化設(shè)備所特有的物理特性和性能特性進(jìn)行了研究，并對其可信性特性進(jìn)行重點(diǎn)分析和識別，總結(jié)出了典型的數(shù)字化設(shè)備可信性特性，提出了一套針對數(shù)字化設(shè)備可信性關(guān)鍵特性的驗(yàn)收方法。

1　物理特性和性能特性

數(shù)字化設(shè)備的物理特性和性能特性分類如表1所示，對其評估和驗(yàn)收過程與對傳統(tǒng)硬件設(shè)備是一致的，通用的驗(yàn)收方法包括專門的測試與檢查（方法1）、對供方的商業(yè)級調(diào)查（方法2）、源地驗(yàn)證（方法3）、供方/物項(xiàng)的歷史性能記錄（方法4），或采用多種方法的組合來執(zhí)行商品級物項(xiàng)的驗(yàn)收。

表1　數(shù)字化設(shè)備的物理特性和性能特性

數(shù)字化設(shè)備的物理特性通常是指表征設(shè)備外觀、尺寸、物理接口、安裝方式等信息的集合，對于數(shù)字化設(shè)備的這些物理特性，在CGD時可僅通過檢查和試驗(yàn)的方法即可保證其應(yīng)用于安全級儀控系統(tǒng)的質(zhì)量。但是，數(shù)字化設(shè)備由于含有軟件，其中的部分物理特性有其特殊性，在對這些物理特性識別和驗(yàn)收時應(yīng)進(jìn)行額外的關(guān)注。如，針對數(shù)字化設(shè)備的物理特性中的“硬件版本”或“固件/軟件版本”等進(jìn)行驗(yàn)收時，應(yīng)確定數(shù)字化設(shè)備的固件版本號與型號/序列號的關(guān)系，還應(yīng)確定固件版本與應(yīng)用軟件版本的關(guān)系，根據(jù)兩者的關(guān)系選擇適宜的驗(yàn)收方法。如果固件版本與應(yīng)用軟件版本之間沒有關(guān)聯(lián)，則需配合使用商業(yè)級調(diào)查的方法，以確定其版本配置管理的具體實(shí)施方法。在對數(shù)字化設(shè)備供貨商進(jìn)行商業(yè)級調(diào)查時，應(yīng)確定固件版本和應(yīng)用軟件的關(guān)系是否體現(xiàn)在其設(shè)計開發(fā)流程中（如文件控制、版本控制或配置管理活動中）。

2　可信性特性

2.1　可信性特性的識別

物理特性、性能特性和可信性特性都是數(shù)字化設(shè)備的設(shè)計特性[5]，而軟件的設(shè)計特性通常又分為軟件質(zhì)量屬性和軟件開發(fā)過程屬性。軟件質(zhì)量屬性和軟件開發(fā)過程屬性對于數(shù)字化設(shè)備的正常運(yùn)行，尤其是其軟件的正常運(yùn)行都可能產(chǎn)生影響，而其中只有影響數(shù)字化設(shè)備安全功能執(zhí)行的那些設(shè)計特性才是關(guān)鍵特性。即：只有那些影響了軟件的正常運(yùn)行，繼而影響數(shù)字化設(shè)備安全功能執(zhí)行的設(shè)計特性才是可信性特性。上述設(shè)計特性之間的關(guān)系如圖1所示。

圖1　設(shè)計特性與可信性特性的關(guān)系

從圖1可以看出，對于數(shù)字化設(shè)備關(guān)鍵特性的甄別，首先應(yīng)總結(jié)出軟件質(zhì)量屬性和開發(fā)過程屬性兩個基本的設(shè)計特性；其次分析總結(jié)出影響數(shù)字化設(shè)備安全功能執(zhí)行的關(guān)鍵特性。影響軟件質(zhì)量屬性和開發(fā)過程屬性的因素按照其重要程度可包含若干個[6][2]，本文總結(jié)提煉出9個對于數(shù)字化系統(tǒng)安全功能的執(zhí)行起到至關(guān)重要的作用，即是可信性特性。為便于本文后續(xù)可信性特性的驗(yàn)收，將這9個可信性特性分為三類：質(zhì)量保證體系、軟件/系統(tǒng)生命周期模型和管理體系。數(shù)字化設(shè)備可信性特性的分類如圖2所示。

圖2　數(shù)字化設(shè)備可信性特性的分類

其中，質(zhì)量保證體系包括產(chǎn)品的歷史數(shù)據(jù)及其分析、持續(xù)改進(jìn)和不符合項(xiàng)控制三個。管理體系包括配置管理、人員及其控制兩個；軟件/系統(tǒng)生命周期模型包括獨(dú)立驗(yàn)證與確認(rèn)、分析技術(shù)、需求追蹤和軟件需求四個。同時，配置管理和質(zhì)量保證應(yīng)具有獨(dú)立性的要求。即，從事軟件配置管理及其質(zhì)量保證的人員應(yīng)不是負(fù)責(zé)開發(fā)產(chǎn)品的經(jīng)理和程序員。這種獨(dú)立性可通過審查公司的組織架構(gòu)及相關(guān)制度來證明。

以下將重點(diǎn)分析這三類可信性特性在數(shù)字化設(shè)備的安全功能執(zhí)行中的作用。

（1）質(zhì)量保證

從事核電儀控系統(tǒng)開發(fā)的專業(yè)化公司都具備HAF003核質(zhì)保體系。在這個體系下，對于數(shù)字化設(shè)備的可信性特性，有幾個方面是需要格外的進(jìn)行關(guān)注，這包括對軟件開發(fā)產(chǎn)品的持續(xù)改進(jìn)措施，包括較長時間的開發(fā)活動記錄，包括開發(fā)過程缺陷的跟蹤與處理、軟件開發(fā)過程的結(jié)果評價以及在軟件開發(fā)的早期階段對質(zhì)量控制的措施。

在質(zhì)量保證措施下，公司各個管理層對于產(chǎn)品質(zhì)量的承諾也往往會對軟件的質(zhì)量產(chǎn)生積極的影響，并能夠通過一定的制度保障措施與對應(yīng)的質(zhì)量承諾相匹配。

（2）管理體系

在數(shù)字化設(shè)備的軟件開發(fā)過程中，供貨商相應(yīng)的管理體系對產(chǎn)品的可信性具有重要的作用。這包括對從事軟件開發(fā)人員的資質(zhì)管理、培訓(xùn)管理以及控制管理，比如，針對開發(fā)人員應(yīng)制定年度培訓(xùn)計劃，培訓(xùn)過程和效果應(yīng)具有完成的記錄。開發(fā)人員的能力（包括管理能力和技術(shù)能力）和資源可用性應(yīng)與軟件開發(fā)的難度相匹配，比如開發(fā)人員的業(yè)績和成果等應(yīng)具備完整的檔案記錄。

由于配置管理在數(shù)字化設(shè)備軟件開發(fā)過程中至關(guān)重要的，同時也是建立產(chǎn)品可信性特性的重要手段。因此，在數(shù)字化設(shè)備軟件開發(fā)過程中應(yīng)持續(xù)使用配置管理手段。在軟件行業(yè)中，由于配置管理導(dǎo)致的錯誤是經(jīng)常發(fā)生的。在實(shí)踐中，可通過檢查供貨商當(dāng)前的和以往的證據(jù)來確定其配置管理是否充分。配置管理中必須對變更、接口和產(chǎn)品發(fā)布三項(xiàng)進(jìn)行有效控制。數(shù)字化設(shè)備的系統(tǒng)軟件不應(yīng)隨意重構(gòu)，尤其是對于已成功應(yīng)用的系統(tǒng)軟件設(shè)計，必須嚴(yán)格控制系統(tǒng)軟件的重新設(shè)計，非必要時不要修改當(dāng)前的系統(tǒng)軟件設(shè)計。對于系統(tǒng)軟件代碼的修改應(yīng)經(jīng)過嚴(yán)格的變更流程。

（3）軟件/系統(tǒng)的生命周期模型

數(shù)字化設(shè)備的生命周期模型應(yīng)以正式的文件進(jìn)行確認(rèn)，這個模型應(yīng)明確所有的開發(fā)和相關(guān)認(rèn)證活動。

在產(chǎn)品全壽期內(nèi)的生命周期活動中，應(yīng)具備清晰的軟件需求、IVV以及對產(chǎn)品的危險/風(fēng)險分析。軟件開發(fā)過程應(yīng)產(chǎn)生清晰有效的軟件需求，并且軟件需求應(yīng)進(jìn)行相應(yīng)的分析和審查，確保其能明確反映產(chǎn)品的預(yù)期安全功能。同時，軟件開發(fā)過程應(yīng)產(chǎn)生清晰、明確、有文檔化的設(shè)計，這些設(shè)計可以逐項(xiàng)驗(yàn)證需求的實(shí)現(xiàn)。軟件/系統(tǒng)的生命周期是系統(tǒng)性工程，其開發(fā)過程應(yīng)通過模型來證明軟件產(chǎn)品是可追蹤的。該模型是可以通過測量評估進(jìn)行驗(yàn)證的。IVV應(yīng)獨(dú)立確認(rèn)需求和開發(fā)屬性以及單個產(chǎn)品質(zhì)量。在IVV活動中明確多維度/多層級的測試內(nèi)容，如單元級、子系統(tǒng)級和系統(tǒng)級。

需求、開發(fā)過程、驗(yàn)證與確認(rèn)嚴(yán)酷等級以及產(chǎn)品設(shè)計等各階段生命周期活動中應(yīng)始終使用危險分析與風(fēng)險分析技術(shù)。在系統(tǒng)設(shè)計的同時，應(yīng)進(jìn)行風(fēng)險分析，通過系統(tǒng)的風(fēng)險分析識別軟件風(fēng)險。風(fēng)險分析應(yīng)使用“自上而下”和“自下而上”兩種方法，“自上而下”的方法確保解決軟件風(fēng)險，“自下而上”確保軟件錯誤不影響系統(tǒng)安全。

2.2　可信性特性的驗(yàn)收

數(shù)字化設(shè)備可信性特性的驗(yàn)收往往是有局限性的，這不僅表現(xiàn)在可信性特性的確認(rèn)上，其次，確定后的可信性特性往往是數(shù)字化設(shè)備開發(fā)過程中的內(nèi)在質(zhì)量特性，這就導(dǎo)致其驗(yàn)收的過程存在不可定量測量的問題。

針對本文節(jié)2.1總結(jié)分析出的數(shù)字化設(shè)備關(guān)鍵特性，根據(jù)不同類別關(guān)鍵特性的特點(diǎn)，并結(jié)合對傳統(tǒng)硬件設(shè)備的物理特性和性能特性驗(yàn)收方法，本文提出如下針對數(shù)字化設(shè)備關(guān)鍵特性驗(yàn)收方法。表2為數(shù)字化設(shè)備物理特性和性能特性的驗(yàn)收方法和接收判據(jù)，表3為數(shù)字化設(shè)備可信性特性的驗(yàn)收方法和接收判據(jù)。

表2　數(shù)字化設(shè)備的物理特性驗(yàn)收方法

續(xù)表

類別關(guān)鍵特性描述驗(yàn)收方法接收判據(jù) 性能 特性環(huán)境兼容性環(huán)境包括溫濕度、EMC、地震等。對于數(shù)字化設(shè)備已完成的環(huán)境兼容性試驗(yàn)需進(jìn)行更詳盡的檢查以確保其可用方法1環(huán)境試驗(yàn)或檢查已完成的試驗(yàn)報告，分析其適用性

表3　數(shù)字化設(shè)備的性能特性驗(yàn)收方法

3　結(jié)論

本文通過對商品級數(shù)字化設(shè)備關(guān)鍵特性識別及驗(yàn)收方法的研究，特別是針對可信性關(guān)鍵特性的詳細(xì)分析，提出數(shù)字化設(shè)備典型的可信性關(guān)鍵特性，綜合商品級傳統(tǒng)模擬設(shè)備的物理和性能兩個關(guān)鍵特性的識別和驗(yàn)收方法，總結(jié)出了一套針對數(shù)字化設(shè)備關(guān)鍵特性的完整的識別和驗(yàn)收方法，可為商品級數(shù)字化設(shè)備適用性確認(rèn)提供參考，對于商品級數(shù)字化設(shè)備用于國內(nèi)新建核電站和和安全級儀控系統(tǒng)升級換代具有重要的借鑒意義。

［1］ 孫洪濤，李紅霞，劉靜波，等．核電廠數(shù)字化儀表控制系統(tǒng)商品級物項(xiàng)適用性確認(rèn)方法研究與應(yīng)用［J］．核動力工程，2019，40（4）：80.

［2］ M.Tannenbaum. Guideline for the Acceptance of Commercial- Grade Items in Nuclear Safety-Related Applications［R］． Palo Alto，CA：EPRI，2014.

［3］ J.Dennis Lawrence，G. Gary Preckshot. Design Factors for Safety-Critical Software［R］．Livermore，CA：NRC，1994.

［4］ R.C.Torok. Guideline on Evaluation and Acceptance of Commercial Grade Digital Equipment for Nuclear Safety Applications［R］．Palo Alto，CA：EPRI，1996.

［5］ 石秦，王忠秋，張云波，等．核電廠商品級物項(xiàng)適用性確認(rèn)研究與應(yīng)用［J］．自動化儀表，2019，40（6）：54.

［6］ Lawrence J D. Workshop on Developing Safe Software［R］．United States：N.p.，1994.

［7］ Lawrence J D. Software reliability and safety in nuclear reactor protection systems［R］．United States：N.p.，1993. Web.doi：10.2172/10108329.

［8］ Holmstrom K J. Introduction to IEEE Std.7-4.3.2 Annex D—Qualification of existing commercial computers［R］． United States：N.p.，1995. Web.doi：10.1109/23.467759.

［9］ Kindred，Greg.Nuclear Safety via Commercial Grade Dedication-Hitting the Right Target-12163［R］．United States：N.p.，2012.

Study on Critical Characteristics of Commercial Digital Equipment and Its Acceptance Methods

SUN Wu，WANG Juanwei，CUI Zepeng，ZHANG Yuan

（China Nuclear Control System Engineering Co.，Ltd.，Beijing 102488，China）

Commercial-grade items（CGI）being used for safety-class system（especially in its upgrading），Commercial Grade Dedication（CGD）method can be applied for ensuring its quality and reliability under American Nuclear Quality Assurance System. CGI can be generally divided into digital equipment and traditional hardware（without software）equipment，and CGD method for traditional hardware equipment has already been used in some specific applications. However，CGD method for digital equipment hasn’t been widely used in domestic nuclear power plants. As upgrading demands for Instrumentation & Control System in domestic nuclear power plant，application of digital equipment will be an advantage. CGD is one of method for digital equipment being used in safety-class system，and selection for digital-equipment’s critical characteristic and its acceptance methods are key points in digital equipment dedication. However，general standards for these haven’t been drafted. Based on analysis and research of critical characteristic，with summarizing general critical characteristic of digital equipment，an acceptance method for digital equipment is proposed in this paper，which can provide a reference for CGD of digital equipment.

Dependability；Critical Characteristic；Commercial Grade Dedication；Digital Equipment

TL361

A

0258-0918（2021）05-1055-05

2021-07-11

孫 武（1983—），山東青島人，高級工程師，碩士，現(xiàn)主要從事核電DCS管理、設(shè)計和驗(yàn)證方面研究