核電廠安全級儀控設備的商品級軟件鑒定初論

毋 琦 毛從吉

(環(huán)境保護部核與輻射安全中心，北京 100082)

0 引言

從20世紀70年代開始，數(shù)字化儀控系統(tǒng)和設備開始逐漸替代傳統(tǒng)的模擬儀控系統(tǒng)和設備，在常規(guī)工業(yè)領域得到了廣泛應用。數(shù)字計算機在核電廠安全級儀控系統(tǒng)中的應用也有近十年的時間。目前，不但在安全級的保護和控制系統(tǒng)中廣泛采用軟件控制邏輯，而且在現(xiàn)場的儀表和控制器中采用內置微處理器實現(xiàn)數(shù)字化測量和控制也成為一種趨勢。

在我國核安全法規(guī)HAF 102和導則HAD 102/14中要求對核電廠安全級儀表和控制設備進行設備鑒定，以驗證安全級儀表和控制設備始終能夠滿足設計基準性能的要求，即在可能需要承受的環(huán)境條件下，設備仍能可靠地完成其需要執(zhí)行的安全功能。對于傳統(tǒng)的模擬儀控設備的鑒定工作，國內外核工業(yè)界已開展多年。目前，針對不同種類的模擬儀控設備，已經(jīng)形成了相對比較完整和嚴密的鑒定原則、標準、方法和程序。通過設計評審、鑒定試驗和運行經(jīng)驗評價等分析驗證手段，可以確認模擬儀控設備是否能夠滿足其設計基準性能的要求。數(shù)字化儀控設備的硬件部分可以參照模擬儀控設備的鑒定方法進行硬件鑒定;但是對于數(shù)字化儀控設備所包含的軟件部分而言，尤其是已經(jīng)完成設計開發(fā)并已集成至設備中的商品級軟件，如何對這些軟件進行鑒定，已成為阻礙我國數(shù)字化儀控設備在核電廠安全級儀控系統(tǒng)中推廣應用的關鍵問題之一。

1 安全級軟件的分類

按照所執(zhí)行的安全功能的重要性，IEC 61226［1］將核電廠安全重要儀控系統(tǒng)功能分為A、B、C三類。A類安全功能是指為了阻止設計基準事故導致不可接受的事故后果，在達到或保持核電廠安全性方面起到最主要的作用。這類功能在電廠達到次臨界狀態(tài)、余熱排出和放射性包容方面是必須的。B類安全功能是指為了達到和保持核電廠安全性，對A類安全功能進行補充的功能，特別是指到達核電廠受控狀態(tài)后，為了防止設計基準事故導致不可接受的后果，或者緩解設計基準事故后果的功能。C類安全功能是指為了達到和保持核電廠安全性起支持性或非直接作用的功能。對應于 IEC 61226中的安全功能分級，IEC 61513［2］將核電廠安全重要儀表控制系統(tǒng)和設備分為安全1、2、3級。安全1、2、3級儀控系統(tǒng)和設備分別用于執(zhí)行A、B、C類安全功能，其所包含的軟件分別稱為A、B、C類軟件。IEC 60880［3］對A類軟件的開發(fā)和驗證過程進行了描述和規(guī)定，IEC 62138［4］對B、C類軟件的開發(fā)和驗證過程進行了描述和規(guī)定。

在IEEE標準中，核電廠儀控系統(tǒng)和設備被分為安全級(1E級)和非安全級。安全級儀控系統(tǒng)和設備用于執(zhí)行反應堆緊急停堆、安全殼隔離、反應堆堆芯冷卻、安全殼及反應堆余熱排出和放射性包容等安全重要功能，安全級儀控系統(tǒng)和設備中的軟件被稱為安全級軟件(1E級)。根據(jù)相關定義和功能范圍可知，IEEE有關標準中的1E級安全功能與IEC 61226中的A類安全功能基本相同［5］，相應的1E級軟件基本對應于IEC標準中的A類軟件。本文將重點探討商品級軟件用作安全A類軟件時所需要完成的鑒定工作。

2 IEC 60880中的鑒定要求

IEC 60880對核電廠A類軟件的設計、開發(fā)、驗證與確認、軟件工具的應用等多個方面提出了具體的要求，它是我國目前多數(shù)核電廠安全級數(shù)字化儀控系統(tǒng)和設備軟件遵循的主要標準之一。IEC 60880要求必須對商品級軟件進行以下4個方面的評價，以確認軟件設計的適當性和軟件質量的可靠性。

①適用性評價，即對商品級軟件的功能、性能和結構特性是否能夠滿足需求規(guī)格書的要求做出評價。

②質量評價，即對商品級軟件的開發(fā)過程質量進行評價。

③運行經(jīng)驗評價，即對商品級軟件的運行經(jīng)驗，包括故障和錯誤報告進行評價。這種評價一般作為上述兩類評價的補充，用于補充說明①、②類評價中發(fā)現(xiàn)的不足和欠缺之處。

④綜合評價，對上述三類評價過程中產生的證明文件和相關的補充工作進行評價。

適用性評價的目的主要是論證商品級軟件的功能、性能和結構能夠滿足系統(tǒng)需求規(guī)格書，因此，對商品級軟件進行適用性分析的前提是此軟件具有完整、充分和詳盡的功能、性能和結構特性描述，并且在系統(tǒng)需求規(guī)格書中定義了對此商品級軟件功能、性能和結構的要求。需要特別注意的是，商品級軟件必須置于有效的配置管理之下。

質量評價的目的是證明商品級軟件的設計特性適用于執(zhí)行A類安全功能的系統(tǒng)，并且在商品級軟件的開發(fā)過程中質量保證體系的運轉是有效的。因此，進行質量評價的前提是需求規(guī)格書中準確定義了由商品級軟件所執(zhí)行的安全功能;同時，軟件質量保證軟件的需求、設計、開發(fā)、測試和修改相關的文檔，質量保證記錄文件以及驗證與確認過程文件是完整的、可查的。需要注意的是，對于商品級軟件來說，上述過程記錄文件可能會不完整。在這種情況下，必須進行附加的驗證與確認、測試或代碼分析進行補充驗證，并且提供用于證明商品級軟件運行經(jīng)驗的文件。

運行經(jīng)驗評價主要作為質量評價的補充。在質量評價過程中，當發(fā)現(xiàn)商品級軟件的設計特性或質量保證體系運轉存在某些不足時，采用運行經(jīng)驗評價可以提高對軟件可靠性的置信度。進行運行經(jīng)驗評價時，必須評價以下內容:①運行經(jīng)驗數(shù)據(jù)的收集方法;②記錄相應版本的商品級軟件運行時間和產生運行記錄的方法;③運行記錄的數(shù)據(jù)，故障和錯誤報告;④軟件修改記錄。

在上述評價及相關的補充工作的基礎上，應當對商品級軟件用于執(zhí)行規(guī)定的A類安全功能的適當性、軟件設計、開發(fā)的質量水平以及軟件的運行記錄等方面給出綜合評定，即完成商品級軟件的鑒定工作。

3 美國核管會的要求

美國核管會在其發(fā)布的《標準審查大綱》第7章附件7.0-A中提到“對于商品級計算機的鑒定問題在RG.1.152中進行了討論，同時，在 EPRI TR-106439中給出了商品級計算機鑒定的一種可以接受的方法”。另外，在BTP-14［6］中提到“應該對諸如智能儀表、斷路器或報警模塊中所包含的商品級軟件進行評價，以確定其能夠滿足所要求的各項特性。EPRI TR-106439［7］給出了執(zhí)行這種評價的一種可接受的方法。NUREG/CR-6421［5］提供了關于商品級軟件鑒定方面的更為詳細的信息”。按照上述描述，可以確定美國核管會已經(jīng)認可了EPRI TR-106439作為商品級軟件鑒定的指導準則。

EPRI TR-106439參考引用了EPRI NP-5652中提出的商品級物項評定的四種方法(①試驗和檢查、②對供貨商進行商品級調查、③源地驗證、④運行記錄評價)，對數(shù)字化商品級儀控設備的軟硬件關鍵特性進行評價(美國核管會在Generic Letter 89-02中認可了EPRI NP-5652)，并針對如何驗證數(shù)字化商品級儀控設備的軟硬件關鍵特性，提出了一系列的方法和驗收準則。商品級儀控設備的軟硬件關鍵特性主要分為以下三類加以驗證和評價。

①物理特性:硬件的尺寸、結構、安裝方式和軟件版本等特性。數(shù)字化儀控設備和模擬儀控設備在硬件物理特性驗證方面沒有差異，均可以通過相關的檢查和測量等手段加以驗證。需要注意的是，對于數(shù)字化的儀控設備軟件升版情況需要特別地加以驗證和評價。

②性能特性:設備在其運行環(huán)境條件下執(zhí)行功能的能力以及與功能相關的性能特性，例如響應時間、精度等。數(shù)字化設備和模擬設備在性能特性方面的驗證沒有明顯差異，驗證的方法主要有試驗和設計審查、故障分析和運行記錄審查。需要注意的是，性能特性驗證應該通過故障分析等方法驗證設備在特定條件下的故障探測和故障安全特性。

③可靠性特性:由于數(shù)字化設備執(zhí)行功能的可靠性取決于硬件和軟件兩方面因素，因此對于此類特性的驗證，數(shù)字化設備與模擬設備存在較大的差異。硬件的可靠性降低主要是源于裝配制造的缺陷、老化和磨損等因素，但是軟件的故障率高和可靠性低則主要是由軟件設計、開發(fā)錯誤所導致的。軟件的高可靠性特性主要依靠系統(tǒng)、完整地實施軟件生命周期各個階段的設計開發(fā)工作，并且在每個階段實施驗證與確認過程來保證。因此，對于軟件可靠性特性的驗證重點在于對軟件開發(fā)和質量保證過程的評價，包括對軟件驗證與確認過程、配置管理和運行記錄的評價。

EPRI TR-106439給出了商品級數(shù)字化設備各類特性的驗證方法、驗收準則的詳細說明。通過上述三類特性的驗證，可以評價商品級數(shù)字化設備(包括軟件部分)是否可以在規(guī)定的條件下執(zhí)行其預定的功能。

4 結束語

目前我國所有在建的核電廠均擬采用數(shù)字化的儀表和控制系統(tǒng)。國家核安全局對于安全級數(shù)字化儀控系統(tǒng)中新開發(fā)的安全級系統(tǒng)軟件和應用軟件的審查所依據(jù)的標準主要是 IEC 60880、IEEE 7-4.3.2、IEEE 1012和NUREG 0800第7章BTP-14等標準導則。

對于部分結構簡單、功能單一的安全級數(shù)字化儀控設備中所包含的軟件，特別是設計開發(fā)工作已經(jīng)完成的軟件，要求軟件設計方按照上述相關標準實施軟件的設計開發(fā)過程和驗證與確認過程是不現(xiàn)實的，重新進行軟件的設計開發(fā)及驗證與確認工作會造成巨大的時間、人力、物力成本的負擔。對比IEC 60880和EPRI TR-106439中關于商品級軟件鑒定方面的要求，可以看到兩者并沒有本質差異，均要求通過評價軟件的關鍵特性、開發(fā)過程質量記錄(包括驗證與確認和配置管理記錄)、運行記錄等完成商品級軟件的鑒定工作。目前，我國針對商品級軟件的鑒定工作尚處于研究初期，對于商品級軟件的鑒定實施具體方法、程序、條件和驗收準則，包括審查的方法和準則，都是下一步亟待研究的重要問題。

［1］ IEC 61226-2005.Nuclear power plants-instrumentation and control systems important to safety-classification of instrumentation and control functions［S］.International Electrotechnical Commission，2005.

［2］ IEC 61513-2001.Nuclear power plants-instrumentation and control systems important to safety-general requirements for systems［S］.International Electrotechnical Commission，2001.

［3］ IEC 60880-2006.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category a functions［S］.International Electrotechnical Commission，2006.

［4］ IEC 62138-2004.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category B or C functions［S］.International Electrotechnical Commission，2004.

［5］ NUREG/CR-6421.A proposed acceptance process for commercial off-the-shelf(COTS)software in reactor applications［S］.Lawrence Livermore Nation Laboratory，1996.

［6］ NUREG 0800，chpt.7.Appendix 7-A，branch technical position HICB-14［S］.Guidance on Software Reviews for Digital Computer-Based Instrumentation and ControlSystems，USA.NuclearRegulatory Commission，2007.

［7］ EPRI-TR 106439.Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications［S］.Electric Power Research Institute，1996.