王忠毅 杜麗巖 郭慧芳

中核戰(zhàn)略規(guī)劃研究總院有限公司 北京 100048

由于核電廠物項對安全運行有重要影響，因而提出了物項的安全功能以及按其對安全的重要性進(jìn)行分級的概念。劃分安全等級的目的是提供分級設(shè)計標(biāo)準(zhǔn)，對于不同安全等級的物項（主要指設(shè)備）規(guī)定不同的設(shè)計、制造、檢驗和試驗要求。核電廠物項的質(zhì)保分級是以安全分級為基礎(chǔ)建立的，核電廠安全相關(guān)軟件在法規(guī)HAF003中也是作為物項進(jìn)行管理。為保證核電廠直接或間接使用軟件的安全性及可靠性，同樣對核電廠安全相關(guān)軟件也提出了質(zhì)量分級要求。核電廠安全相關(guān)軟件質(zhì)保分級應(yīng)注意全局性、適度性和均衡性3個原則。

由于核電廠物項對安全運行有重要影響，因而提出了物項的安全功能以及按其對安全的重要性進(jìn)行分級的概念。劃分安全等級的目的是提供分級設(shè)計標(biāo)準(zhǔn)，對于不同安全等級的物項（主要指設(shè)備）規(guī)定不同的設(shè)計、制造、檢驗和試驗要求。核電廠物項的質(zhì)保分級是以安全分級為基礎(chǔ)建立的，核電廠安全相關(guān)軟件在法規(guī)HAF003中也是作為物項進(jìn)行管理。為保證核電廠直接或間接使用軟件的安全性及可靠性，同樣對核電廠安全相關(guān)軟件也提出了質(zhì)量分級要求。核電廠安全相關(guān)軟件質(zhì)保分級應(yīng)注意全局性、適度性和均衡性3個原則[1]。

1 核電廠物項安全分級原則和基本方法

核電廠物項分級主要指安全分級、抗震分級、設(shè)計制造的規(guī)范等級和質(zhì)量保證分級4種。其中安全分級是基礎(chǔ)，根據(jù)物項在核電廠對安全功能影響的重要程度，把物項劃分為不同的安全等級。不同安全級別物項的各項具體要求在抗震、規(guī)范、質(zhì)量保證等方面各不相同，這4種分級構(gòu)成了一個完整核動力廠的物項分級。我國核安全管理當(dāng)局制定了一系列有關(guān)核安全的政策、法規(guī)和導(dǎo)則，這些政策性文件從總體上提出了我國核電廠應(yīng)遵循的核安全原則，其中物項的安全分級是核安全準(zhǔn)則中的重要內(nèi)容之一。核電廠物項的安全分級不是目的，確保核電廠的安全及資金投入和產(chǎn)出比最小化才是要考慮的必需的前提條件。在物項的安全分級工作中應(yīng)特別注意全局性、適度性、均衡性3項原則。所謂全局性體現(xiàn)在核電廠的運行是瞬態(tài)的，其運行能力與設(shè)計、建造和管理各方面密切。

相關(guān)，只有把握住有機的整體，才能保證核電廠的安全；適度性是指從設(shè)計到運行管理的安全措施應(yīng)該以當(dāng)前社會的經(jīng)濟(jì)和大眾的心理承受能力為限，并非要求越高越好；均衡性是指核安全與其他工業(yè)活動的風(fēng)險控制，應(yīng)從社會總風(fēng)險的層次上把握，有一個適當(dāng)比例的風(fēng)險接受標(biāo)準(zhǔn)。

物項的安全分級一般根據(jù)實現(xiàn)某些重要功能，造成部分設(shè)備、部件承壓或損害，導(dǎo)致對安全產(chǎn)生影響。各安全等級按其對安全影響的大小次序排列，對安全影響最大的為安全1級，以此類推。用來確定對安全有關(guān)物項分級的兩種通用方法是確定論法和概率論法。定義一個物項的安全等級，應(yīng)考慮下列事項：

（1）從概率的觀點考慮部件失效的后果和燃料元件破損程度。

（2）從安全系統(tǒng)功能實現(xiàn)的可能性上考慮安全部件失效的后果。

（3）考慮部件失效的后果造成放射性物質(zhì)向環(huán)境中釋放的可能性及釋放的量。

（4）執(zhí)行放射性監(jiān)測功能的部件。

（5）部件對安全的影響。

2 核電廠安全等級劃分依據(jù)標(biāo)準(zhǔn)和安全等級劃分

2.1 核電廠安全等級劃分依據(jù)標(biāo)準(zhǔn)

各核電廠安全等級劃分依據(jù)的標(biāo)準(zhǔn)不盡相同，但我國的核電法規(guī)、標(biāo)準(zhǔn)是必須要采用的。根據(jù)實際情況，各家核電廠在建設(shè)過程中可能還會疊加采用一些國際通用標(biāo)準(zhǔn)（例如IEEE、IAEA）；合作方國家的一些工業(yè)標(biāo)準(zhǔn)（例如大亞灣核電站、嶺奧核電站采用法國法規(guī)標(biāo)準(zhǔn)、田灣核電站采用俄羅斯法規(guī)標(biāo)準(zhǔn)、AP1000核電站采用美國法規(guī)標(biāo)準(zhǔn)等）。一些核電相關(guān)的中國標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)如下：

（1）中國標(biāo)準(zhǔn)。HAD102/03用于沸水堆、壓水堆和壓力管式反應(yīng)堆的安全功能和部件分級。

GB/T15474-1995核電廠儀表和控制系統(tǒng)及其供電設(shè)備安全分級。

（2）國際標(biāo)準(zhǔn)。IEEE308-2001核電廠1E級電力系統(tǒng)標(biāo)準(zhǔn)（電力系統(tǒng)安全分級）。

ASME核電規(guī)范與標(biāo)準(zhǔn)的第III卷。

2.2 核電廠安全等級劃分

根據(jù)對不同堆型大量假設(shè)事故進(jìn)行分析的結(jié)果，分為四個安全等級。安全一級對安全的重要性最大，二、三、四級的重要性依次遞減。

（1）安全一級。包括為防止堆芯裂變產(chǎn)物總量中會產(chǎn)生實質(zhì)性影響的份額（在有關(guān)安全系統(tǒng)不起作用時）釋放到周圍環(huán)境所必須的那些安全功能。

（2）安全二級。包括為減輕某一事故后果所必需的那些安全功能，如果沒有這些安全功能的作用，該事故可能導(dǎo)致堆芯裂變產(chǎn)物總量中會產(chǎn)生實質(zhì)性影響的份額釋放到周圍環(huán)境，只有在另一安全功能初始失效后才有必要考慮這些屬于二級的安全功能失效的后果。還包括為防止預(yù)計運行事件發(fā)展為事故工況所必需的那些安全功能，但不包括只對另一安全功能起支持作用的那些安全功能。也包括這樣一些安全功能，如反應(yīng)堆余熱的排出，這些功能失效的后果與要求執(zhí)行這些安全功能的概率的乘積可能很大[2]。

（3）安全三級。包括對安全一、二級中的安全功能起支持作用的所有安全功能。由于這些功能的失效不會直接引起輻射照射增大的后果，所以將其劃入安全三級。還包括以下兩類安全功能：一類是為防止反應(yīng)堆冷卻劑系統(tǒng)以外的放射源對公眾和廠區(qū)人員產(chǎn)生超過可接受限值的輻射照射所必需的安全功能；另一類是與反應(yīng)性慢時標(biāo)的控制有關(guān)的安全功能。此外，還包括這樣一些功能，其作用是儲存在反應(yīng)堆冷卻劑系統(tǒng)以外的燃料保持在次臨界狀態(tài)或是排出貯存在反應(yīng)堆冷卻劑系統(tǒng)以外的輻照過的燃料所發(fā)出的衰變熱[3]。

（4）安全四級。又稱為非核級，包括未進(jìn)入一級、二級和三級的那些安全功能。除了對上述流體包容系統(tǒng)和部件分級外，還需對電氣部件和其他部件進(jìn)行分級。

3 核電廠物項質(zhì)量保證等級劃分原則和要求

核電廠的物項、服務(wù)和過程應(yīng)與規(guī)定的質(zhì)量要求相符合，以滿足核電廠安全和可靠運行的需要。這些質(zhì)量要求體現(xiàn)在使用的工程規(guī)范、技術(shù)標(biāo)準(zhǔn)和技術(shù)規(guī)格書等技術(shù)文件中，如果單位的管理工作和組織機構(gòu)不完善，則適用的工程規(guī)范等技術(shù)文件并不能保證物項、服務(wù)和過程的質(zhì)量滿足規(guī)定的要求。因此，必須實施有效管理，以從管理角度來保證或促成物項、服務(wù)和過程滿足規(guī)定的要求[4]。

3.1 劃分質(zhì)量保證等級的目的

根據(jù)核安全法規(guī)HAF003（91）的要求，必須對質(zhì)量保證大綱所適用的物項、服務(wù)和過程規(guī)定的相應(yīng)控制和驗證的方法和等級。因此，需要制定一套分級的質(zhì)量保證要求，規(guī)定對每一等級的物項、服務(wù)和過程所必須進(jìn)行的大綱活動。對最高的質(zhì)量保證等級應(yīng)提出最嚴(yán)格的質(zhì)量保證要求，當(dāng)質(zhì)量保證等級降低時，質(zhì)量保證要求也相應(yīng)降低。選擇和確定恰當(dāng)?shù)馁|(zhì)量保證要求，既能為物項、服務(wù)和過程符合規(guī)定的質(zhì)量要求提供足夠的置信度，又能達(dá)到節(jié)省費用的目的。

3.2 質(zhì)量保證等級的劃分和要求

根據(jù)物項、服務(wù)和過程的特性，應(yīng)對供方（包括承擔(dān)具體工作的買方）提出不同的技術(shù)和管理方面的要求。核電廠的物項、服務(wù)和過程，安全重要和非安全重要的，通常各分為三個質(zhì)量保證等級，并分別與一定數(shù)量的質(zhì)量保證要求相對應(yīng)。

（1）質(zhì)量保證1級（簡稱QA1）。即物項、服務(wù)和過程是至關(guān)重要的，由于活動控制失誤所引起的故障和失效將危及廠區(qū)工作人員和公眾的健康和安全以及核電廠的運行。通常涉及復(fù)雜和新穎的設(shè)計，復(fù)雜的工藝，大量高精度、非標(biāo)準(zhǔn)的運動部件，新建和缺少經(jīng)驗的供方以及多種功能和繁雜的單位或部門間接口。

質(zhì)量保證1級要求供方遵照HAF003（91）和相應(yīng)導(dǎo)則中適用的全部要求，制定和實施質(zhì)量保證大綱，并滿足合同等采購文件中的質(zhì)量保證要求。

（2）質(zhì)量保證2級（簡稱QA2）。如果物項、服務(wù)和過程的重要性、因活動控制失誤所引起后果的嚴(yán)重性、工藝技術(shù)和接口的復(fù)雜性、工藝技術(shù)和設(shè)計的成熟程度都為中等水平。

質(zhì)量保證2級要求供方遵照HAF003（91）和相應(yīng)導(dǎo)則中適用部分要求的絕大，制定和實施質(zhì)量保證大綱，并滿足合同等采購文件中的質(zhì)量保證要求。

（3）質(zhì)量保證3級（簡稱QA3）。即物項、服務(wù)和過程是次要的，由于活動控制失誤所引起的故障和失效不會危及廠區(qū)工作人員和公眾的健康和安全以及核電廠的運行。通常涉及已驗證過的設(shè)計，簡單的工藝，低精度和少量運動部件，有經(jīng)驗的供方以及管理容易和少量的單位或部門間接口。

質(zhì)量保證3級要求供方遵照HAF003（91）和相應(yīng)導(dǎo)則中適用的部分要求，制定和實施質(zhì)量保證大綱，并滿足合同等采購文件中的質(zhì)量保證要求。

4 核電安全相關(guān)軟件的分級

核動力廠直接使用的核安全相關(guān)軟件，例如：

（1）核動力廠儀器儀表控制系統(tǒng)軟件；

（2）核動力廠安全系統(tǒng)軟件；

（3）核動力廠運行系統(tǒng)軟件。

核動力廠未直接使用的安全相關(guān)軟件，例如：

（1）核動力廠設(shè)計軟件和安全分析計算軟件；

（2）核動力廠物項制造、試驗和檢驗軟件；

（3）核動力廠采購和施工等管理軟件；

（4）支持工具軟件等。

《核動力廠設(shè)計安全規(guī)定HAF102》“5.1安全分級”中規(guī)定：“必須首先確定屬于安全重要物項的所有構(gòu)筑物、系統(tǒng)和部件，包括儀表和控制軟件，然后根據(jù)其安全功能和安全重要性分級。它們的設(shè)計、建造和維修必須使其質(zhì)量和可靠性與這種分級相適應(yīng)。”所以，應(yīng)該對核動力廠核安全相關(guān)軟件進(jìn)行分級。

4.1 核動力廠直接使用的核安全軟件的分級

對于核動力廠直接使用的核安全軟件已有相應(yīng)的法規(guī)導(dǎo)則。在《核動力廠基于計算機的安全重要系統(tǒng)軟件HAD102/16》“3.2.3安全分級方案”規(guī)定：“決定儀表和控制系統(tǒng)功能的安全重要性的安全分級方案可用于系統(tǒng)的開發(fā)過程，這促使核動力廠的設(shè)計人員、操縱員和國家核安全監(jiān)管部門高度重視那些保證系統(tǒng)和設(shè)備安全的技術(shù)規(guī)格書、設(shè)計、質(zhì)量鑒定、質(zhì)量保證、制造、安裝、維護(hù)和試驗。”“3.2.4降低風(fēng)險與研制計劃之間的平衡”規(guī)定：“在系統(tǒng)及其相關(guān)軟件設(shè)計的每個步驟，對為實現(xiàn)各種交叉設(shè)計目標(biāo)而達(dá)成的折衷方案應(yīng)謹(jǐn)慎予以評定，并采用自頂至底的設(shè)計和開發(fā)過程以便進(jìn)行這種評定。當(dāng)分級設(shè)計和質(zhì)量鑒定要求適用于計算機系統(tǒng)的功能時，可從安全分級方案導(dǎo)出。這個分級可在設(shè)計與質(zhì)量鑒定效果之間取得平衡，計算機系統(tǒng)應(yīng)滿足所執(zhí)行功能中最高安全級別的準(zhǔn)則?！?/p>

儀表和控制系統(tǒng)功能的安全重要性的安全級分為核級和非核級。按照上述準(zhǔn)則，一般情況下，應(yīng)按照核級要求管理儀表和控制系統(tǒng)軟件開發(fā)過程。

4.2 核動力廠未直接使用的核安全軟件的分級

（1）核動力廠設(shè)計軟件與安全分析計算軟件的分級。核動力廠設(shè)計軟件一般是由一系列設(shè)計軟件組成，例如總體布置軟件、機械部件設(shè)計軟件、管道設(shè)計軟件、儀器儀表設(shè)計軟件等。安全分析軟件是用來對核動力廠模型進(jìn)行安全分析的計算工具，以便對核動力廠模型安全性進(jìn)行驗證和確認(rèn)。

在核動力廠設(shè)計安全規(guī)定 HAF102中“5.9安全分析”中規(guī)定：“安全分析中應(yīng)用的計算機程序、分析方法和核動力廠模型必須加以驗證和確認(rèn)，并必須充分考慮各種不確定性?！币驗榘踩治鲇嬎丬浖婕暗蕉研镜陌踩治鲇嬎?，所以安全分析軟件應(yīng)按照計算機系統(tǒng)應(yīng)滿足所執(zhí)行功能中最高安全級別的準(zhǔn)則來進(jìn)行，并采用相應(yīng)級別的質(zhì)量保證要求管理其開發(fā)過程。

其他設(shè)計軟件所設(shè)計的物項如果涉及到核安全，亦可按照應(yīng)滿足所執(zhí)行功能中最高安全級別的準(zhǔn)則來進(jìn)行。

（2）核動力廠物項制造、試驗和檢驗軟件的分級。核動力廠物項制造、試驗和檢驗軟件，因直接涉及到物項，如果涉及到的物項為核安全物項，可按照應(yīng)滿足所執(zhí)行功能中最高安全級別的準(zhǔn)則來進(jìn)行，并采用相應(yīng)級別的質(zhì)量保證要求管理其開發(fā)過程。

（3）核動力廠采購和施工等管理軟件的分級。核動力廠采購和施工等管理軟件，因為不直接涉及到核安全級物項，不必遵從應(yīng)滿足所執(zhí)行功能中最高安全級別的準(zhǔn)則要求，但應(yīng)滿足核電廠采購管理和施工管理的要求。

（4）支持工具軟件的分級。支持工具軟件，例如：測試軟件、數(shù)據(jù)庫軟件、配置管理軟件和需求管理軟件等，是否采用核安全分級方法對其進(jìn)行分級，取決于這個軟件是否直接涉及核安全相關(guān)物項。

測試軟件和數(shù)據(jù)庫軟件，如果直接涉及到核安全相關(guān)物項，亦可按照應(yīng)滿足所執(zhí)行功能中最高安全級別的準(zhǔn)則來進(jìn)行，并采用相應(yīng)級別的質(zhì)量保證要求管理其開發(fā)過程。

配置管理軟件和需求管理軟件，因為不直接涉及到物項，不必按照應(yīng)滿足核安全級的要求進(jìn)行要求，但應(yīng)滿足所涉及開發(fā)軟件的管理要求。

5 推薦采用軟件能力成熟度模型（CMMI）為軟件開發(fā)提供質(zhì)量保證

CMMI全稱是Capability Maturity Model Integration，即軟件能力成熟度模型集成，是由美國國防部與卡內(nèi)基-梅隆大學(xué)和美國國防工業(yè)協(xié)會共同開發(fā)和研制的，其目的是幫助軟件企業(yè)對軟件工程過程進(jìn)行管理和改進(jìn)，增強開發(fā)與改進(jìn)能力，從而能按時、不超預(yù)算的開發(fā)出高質(zhì)量的軟件。CMMI設(shè)定了五級目標(biāo)，讓企業(yè)非常清楚的知道，通過不斷改進(jìn)研發(fā)過程、流程等，可以提升企業(yè)軟件開發(fā)能力，從而達(dá)到提升軟件產(chǎn)品質(zhì)量的目的。

5.1 CMMI各級定義

（1）CMMI1級—完成級。在完成級水平上，企業(yè)對項目的目標(biāo)與要做的努力很清晰，項目的目標(biāo)得以實現(xiàn)，但由于任務(wù)的完成帶有很大的偶然性，企業(yè)無法保證在實施同類項目的時候仍然能夠完成任務(wù)，企業(yè)在一級上的項目實施對實施人員有很大的依賴性。

（2）CMMI2級—管理級。在管理級水平上，企業(yè)在項目實施上能夠遵守既定的計劃與流程，有資源準(zhǔn)備，權(quán)責(zé)到人，對相關(guān)的項目實施人員有相應(yīng)的培訓(xùn)，對整個流程有監(jiān)測與控制，并與上級單位對項目與流程進(jìn)行審查。企業(yè)在二級水平上體現(xiàn)了對項目的一系列的管理程序，這一系列的管理手段排除了企業(yè)在一級時完成任務(wù)的隨機性，保證了企業(yè)的所有項目實施都會得到成功。

（3）CMMI3級—定義級。在定義級水平上，企業(yè)不僅能夠?qū)椖康膶嵤┯幸徽椎墓芾泶胧?，并保障項目的完成，而且企業(yè)能夠根據(jù)自身的特殊情況以及自己的標(biāo)準(zhǔn)流程，將這套管理體系與流程予以制度化，企業(yè)不僅能夠在同類的項目上得到成功的實施，在不同類的項目上一樣能夠得到成功的實施?？茖W(xué)的管理成為企業(yè)的一種文化，企業(yè)的組織財富。

（4）CMMI4級—量化管理級。在量化管理級水平上，企業(yè)的項目管理不僅形成了一種制度，而且要實現(xiàn)數(shù)字化的管理。對管理流程要做到量化與數(shù)字化，通過量化技術(shù)來實現(xiàn)流程的穩(wěn)定性，實現(xiàn)管理的精度，降低項目實施在質(zhì)量上的波動。

（5）CMMI5級—優(yōu)化級。在優(yōu)化級水平上，企業(yè)的項目管理達(dá)到了最高的境界。企業(yè)不僅能夠通過信息手段與數(shù)字化手段來實現(xiàn)對項目的管理，而且能夠充分利用信息資料，對企業(yè)在項目實施的過程中可能出現(xiàn)的次品予以預(yù)防，能夠主動地改善流程，運用新技術(shù)，實現(xiàn)流程的優(yōu)化。

5.2 核安全相關(guān)軟件開發(fā)的質(zhì)量要求

建議核安全相關(guān)軟件開發(fā)項目采用CMMI3級以上要求管理開發(fā)過程，這樣才能保證核安全相關(guān)軟件開發(fā)過程和最終產(chǎn)品的質(zhì)量，能與為之服務(wù)的物項核安全要求相匹配，達(dá)到核安全法規(guī)要求。

6 結(jié)語

核安全相關(guān)軟件開發(fā)質(zhì)量保證分級的劃分是以物項核安全級的劃分為基礎(chǔ)，并根據(jù)分級設(shè)計和質(zhì)量鑒定要求可從安全分級方案導(dǎo)出。分級應(yīng)在設(shè)計與質(zhì)量鑒定之間取得平衡，并應(yīng)滿足所執(zhí)行功能中最高安全級別的準(zhǔn)則，其目的是通過質(zhì)量檢查并能保證物項在設(shè)計、制造、試驗和檢驗等階段對物項的安全等級的要求。建議采用CMMI分級方法管理軟件開發(fā)過程，以保證核電安全相關(guān)軟件開發(fā)過程和最終產(chǎn)品質(zhì)量能達(dá)到核電法規(guī)的要求。