核電廠數字化設備的商品級評定

Commercial Grade Assessment of the Digitizing Devices for Nuclear Power Plant

毋　琦　任莉華　李世欣　王忠秋

(環境保護部核與輻射安全中心，北京　100082)

核電廠數字化設備的商品級評定

Commercial Grade Assessment of the Digitizing Devices for Nuclear Power Plant

毋琦任莉華李世欣王忠秋

(環境保護部核與輻射安全中心，北京100082)

摘要：在核電廠建造和運行過程中，需要采購大量的商品級物項。這些執行核電廠安全功能的商品級物項需要經過評定，才能用于核電廠。對核電廠商品級物項評定文件體系進行了概述，對核電廠數字化設備商品級評定的流程和方法進行了介紹；同時，對數字化設備商品級評定過程中的設備鑒定與商品級評定關系、數字化設備質量特性評定要素以及數字化設備質量特性驗收準則三個重點問題進行了重點討論。

關鍵詞：核電廠數字化設備商品級評定質量特性安全功能

Abstract：In construction and operation of the nuclear power plants, a large number of commercial grade items are needed to be purchased. These commercial grade items are executing safety functions for nuclear power plants, so it is necessary to evaluate and assess. The file architecture of commercial grade items assessment for nuclear power plant is described. The process and method for commercial grade assessment of the digitizing devices for nuclear power plant are introduced, and in accordance with the three key points in such assessment process are discussed emphatically, i.e., the relationship between device identification and commercial grade assessment, evaluation factors for quality characteristics of digitizing devices, as well as the acceptance criteria of the quality characteristics of digitizing devices.

Keywords：Nuclear power plantDigitizing deviceCommercial-grade assessmentQuality characteristicsSafety function

0引言

對核電廠中執行安全功能的商品級物項進行評定(下文簡稱為“商品級評定”)的概念和工作起源于美國。從20世紀70年代開始，美國的新建核電廠逐漸減少，已投入運行的核電廠業主面臨著大量的備品備件的采購需求，與此同時，部分設備原供應商逐步放棄了原有的滿足美國聯邦法規10CFR50附錄B《核電廠和后處理設施質量保證準則》要求的核質保體系，這導致核電廠業主不得不從替代供應商處采購商品級物項(包括設備、材料、零部件、系統、構筑物以及軟件)。按照10CFR50附錄B中的要求，在核電廠中使用的用于執行安全功能的設備和部件以及影響設備安全功能的活動都應當符合10CFR50附錄B中的要求，按照此要求。從事核電廠安全級設備和部件設計、制造、采購、試驗等活動的供應商應當首先建立滿足10CFR50附錄B要求的質量保證體系(核質保體系)。而這些替代供應商一般沒有符合10CFR50附錄B要求的質量保證體系，其向核電廠提供的設備及部件多為符合工業標準的商品級產品。因此從20世紀70年代開始，美國核管會(nuclear regulatory commission,NRC)和美國電力研究協會(electric power research institute,EPRI)對用于核電廠中執行安全功能的商品級設備進行評定，用以確定這些商品級物項可以與基礎物項(即符合10CFR50附錄B的規定，在核電廠中執行安全功能的物項。為表述方便，本文將基礎物項稱為“核級物項”)一樣提供其可以執行核電廠安全功能的合理保證，并逐步建立起比較完善的評定體系。本文將對美國已形成的核電廠商品級物項評定體系進行介紹和討論，同時針對在核電廠中使用越來越廣泛的數字化儀控設備的商品級評定方法和關鍵問題進行討論。

1美國商品級物項評定的體系

1988年，在對美國核工業界工業實踐進行了一系列調查、研究、分析和評價的基礎上，美國電力研究協會(EPRI)發布了針對商品級物項在核電廠中的應用指導報告EPRI NP-5652《核電廠安全有關應用中商品級物項導則》[1]。在這份報告中，EPRI對應用于核電廠中執行安全功能的商品級物項評定背景、目標、基本概念、總體過程、基本方法進行了闡述，提出了對商品級物項采用技術評價加驗收的評定方法，并對技術評價和驗收的方法進行了具體論述。

1989年，美國核管會(NRC)在Generic Letter 89-02《反贗品和假貨的法案》對EPRI NP-5652給予了認可，并對EPRI NP-5652中提出的商品級物項驗收方法進行了補充規定。

Generic Letter 89- 02發布之后，1994年，EPRI發布了關于NP-5652的補充報告EPRI TR-102260《商品級物項應用EPRI NP-5652報告的補充指導》。該報告對NP-5652中所提到的一些關鍵問題進行了補充，主要包括如何對商品級物項實施技術評價、通用驗收過程的實施以及評定程序的評價等問題。

1996年，EPRI發布EPRI TR-106439《核安全級應用中的商品級數字化設備評價及驗收導則》。該技術報告針對數字化設備的特點，對用于核電廠的數字化設備商品級評定關鍵特性和方法進行了研究和論述[2]。

在EPRI一系列研究成果的基礎上，美國電氣電子工程師協會(institute of electrical and electrionics engineers,IEEE)發布IEEE Std.7- 4.3.2-2003《核電廠安全系統數字計算機準則》。其中關于數字化設備商品級評定的條款和規定與EPRI相關研究報告中的觀點和結論基本一致。按照該標準的要求，針對核電廠數字化設備的商品級評定分為兩個階段(初步評定階段和詳細評定階段)，該標準對兩個階段的具體工作和方法作出了具體規定[3]。

在監管層面，除上文提到的Generic Letter 89- 02以外，美國核管會(NRC)還發布了一系列的文件，對EPRI及IEEE相關報告及標準中的商品級物項評定原則和方法進行了認可和補充，主要包括以下內容。

① 管理導則R.G.1.152《核電廠安全系統計算機準則》，NRC通過該導則認可了IEEE 7- 4.3.2-2003。

② 標準審查大綱(SRP)NUREG 0800第7章中對審查人員進行商品級物項評定的審查方法和驗收準則提出了明確規定。

③ 1997年，NRC通過評價報告《EPRI TR-106439的審查(TAC NO.M94127)》認可了EPRI TR-106439。

④ 1991年，NRC在Generic Letter 91-05《商品級采購和評定程序》中對核工業界的商品級物項評定程序以及實施過程中存在的問題進行了討論并提出了監管要求。

⑤ 另外，NRC還制定了關于商品級物項評定的檢查程序，主要有INSPECTION PROCEDURE 43004《商品級評定程序的檢查》。

此外，在法律層面，美國聯邦法規10CFR21和10CFR50附錄B中對核電廠商品級物項評定的定義、概念和基本原則進行了規定。

美國關于核電廠商品級物項評定的文件體系具體如表1所示。

表1　美國核電廠商品級物項評定文件體系

2數字化設備商品級評定流程和方法

在EPRI NP-5652中對核電廠商品級物項評定的通用方法，總體來說就是對商品級物項進行技術評價加驗收的方法進行評定。在進行商品級物項采購之前，首先要進行技術評價，評價的主要目的是保證在采購文件中所規定的物項包括物項的功能、性能、尺寸、材料、接口等要求滿足設計的要求。技術評價的類型根據采購物項的不同分為三種形式，包括同種物項評價、替代物項評價、新物項評價[3]。

驗收的主要目的是確認物項滿足采購文件中所規定的要求。在 EPRI NP-5652中，提出了四種關于驗收的的可選方法，分別是：①針對商品級物項的特殊試驗和檢查；②商業級調查；③源地驗證；④質量記錄調查。針對商品級物項評定的總體方法流程如圖1所示。

圖1　商品級物項評定總體流程

從圖1可以看出，在進行商品級物項評定工作時，需要識別物項的關鍵特性，在EPRI NP-5256中所提出的四種物項驗收方法主要圍繞被評定物項的關鍵特性進行驗收。該報告將商品級物項的關鍵特性分為物理特性和性能特性兩類。

數字化設備關鍵特性舉例如表2所示。

表2　數字化設備關鍵特性(舉例)

數字化儀控設備的商品級評定流程和方法基本與上述方法和過程一致，但是由于數字化設備的功能實現依賴于軟件的功能，例如邏輯符合、數據處理與存儲等功能，因此數字化設備的質量由軟件和硬件的質量共同決定。在EPRI TR-106439中將商品級數字化設備的關鍵特性劃分為三類：物理特性、性能特性和質量特性(包括可靠性、安全性、可用性、可維護性等)，相比其他商品級物項的關鍵特性，增加了一類質量特性，質量特性在IEEE Std.7- 4.3.2-2003中也被稱為開發過程特性。

3數字化設備商品級評定的重要問題

3.1　設備鑒定與商品級評定的關系

我國的核安全法規HAF102《核電廠設計安全規定》和美國聯邦法規10CFR50.49《核電廠安全重要電氣設備環境鑒定》中都明確要求對核電廠安全重要物項進行合格鑒定，以驗證設備在整個壽期內能滿足處于需要作用時的環境條件下執行安全功能的要求。IEEE Std.323《IEEE Standard for Qualifying Class 1E Equipment for Nuclear Power Generating Stations》中關于設備鑒定的定義為“產生和保持證明設備在正常、異常環境條件和設計基準事故下能夠按照系統性能要求執行功能的證據的過程”[4]。從上述定義可以看出,設備鑒定是一個產生證據的過程，設備鑒定可以采用試驗、分析計算、運行經驗方法或這三種方法的組合進行，是設計驗證的一種手段，其目的是證明設備能夠在其壽期內可能運行的環境條件下執行其安全功能。

按照10CFR21的定義，核電廠商品級物項評定的定義為“為提供商品級物項可以作為基礎物項使用，能夠執行其安全功能的合理保證的驗收過程，經過評定的商品級物項可以等同于按照10CFR50附錄B要求設計、制造的基礎物項”。根據上述定義，商品級物項的評定工作是針對商品級物項的驗收過程，其目的是證明商品級物項的設計、制造過程中的質量控制水平不低于10CFR50附錄B中的要求。

通過對比設備鑒定和商品級物項評定工作的定義、目的和依據標準等方面，可以看到設備鑒定和商品級物項評定在以下幾個方面存在明顯差異。

① 針對商品級物項的評定過程中，物項在其預期的安裝、運行和設計基準事故環境條件下執行功能的能力是物項的關鍵特性之一(為表述方便，本文將此特性稱為“鑒定特性”)。針對物項開展鑒定工作是商品級物項評定的重要方面，用于驗證鑒定特性是否滿足確定的評定要求。對于商品級物項來說，設備鑒定工作是商品級物項評定工作的一部分。

② 設備鑒定是設計驗證的手段之一，在設備設計未影響原有鑒定結論的設計變化的情況下，不同批次的設備一般不需要重新進行設備鑒定，這是以設備制造廠商按照核質保的要求對其設備設計和制造過程實施嚴格控制為基礎的。但是由于商品級物項的制造廠商一般沒有建立核質保體系，因此，針對商品級物項的評定工作往往帶有“批次”的概念。根據之前的評定結果、設備的復雜和重要程度以及相關的運行經驗和問題反饋等，采購方可以實施對不同設備批次的商品級物項評定工作，包括對鑒定特性的評定。

③ 設備鑒定和商品級物項評定所依據的標準不同，兩者自成體系。關于設備鑒定和商品級物項評定的標準體系不在本文進行討論。

在進行核電廠安全重要設備采購和驗收過程中，采購方必須認識到滿足設備鑒定要求不等同于商品級物項可以用于核電廠執行安全功能，商品級物項用于核電廠執行安全功能必須通過商品級物項的評定，證明其質量水平不低于基礎物項(核級物項)。這也是核安全審查方特別需要予以關注的方面。

3.2　數字化設備質量特性的評定要素

如上所述，與傳統的模擬儀控設備相比，針對數字化設備的商品級物項評定也是針對物項的關鍵特性進行評定，包括物理特性、性能特性。但與模擬設備不同，數字化設備商品級物項評定所覆蓋的關鍵特性中增加了一類質量特性，IEEE Std.7- 4.3.2中將這類關鍵特性也稱之為開發過程特性。數字化設備與模擬設備相比，前者質量的好壞和功能的可靠性取決于軟件和硬件兩個方面。硬件的可靠性降低主要是源于裝配制造的缺陷、運行老化和磨損等因素，但是軟件的故障和可靠性低則主要是由軟件設計、開發錯誤所導致的。軟件的高可靠性主要依靠系統、完整地實施軟件生命周期各個階段的設計、開發、集成、測試工作，并且在開發的每個階段實施驗證與確認及配置管理工作。與隨機出現的硬件缺陷相比，軟件錯誤具有確定性(即在滿足一定條件下，缺陷一定會暴露)、難于檢測和定位、層級傳遞性(即早期的設計缺陷會導致后續一系列的錯誤)以及難以復現性，因此針對數字化設備質量特性的評定關鍵和難點在于軟件質量特性的評定。

應當注意的是，對于大部分商品級數字設備來說，其中的軟件往往不是針對核電廠應用而訂制開發的，其設計開發過程在早期已經完成。因此對于數字化設備軟件質量特性的評定，主要針對設備供應商在軟件設計開發過程中所遵循的體系、方法以及所產生的文件記錄進行評定，同時還要對已開發完成的軟件設計特性進行評價。數字化設備軟件質量特性評定要素如表3所示。

表3　數字化設備軟件質量特性評定要素

續表3

3.3　數字化設備質量特性的驗收準則

上文列舉了數字化設備軟件的質量特性評定要素，在討論這些評定要素的驗收準則之前，必須要強調的是，商品級設備的評定工作不是對商品級設備質量的讓步接收，其根本目的是證明設備供應商在設備設計制造過程中實施的質量控制水平不低于核級物項的要求。因此，對于數字化設備軟件質量特性的評定驗收準則是不低于核質保要求及相關的標準的，主要體現在以下幾個方面。

① 在進行商品級數字化設備軟件開發工作之初應當建立軟件開發大綱。在軟件開發大綱中應當對軟件生命周期進行完整的描述；軟件生命周期應當將軟件開發過程劃分為若干個邊界接口清晰的階段，各個開發階段的的參與人員、開發輸入條件、開發工具、工作任務和開發輸出應當確定；軟件生命周期的開發過程應當符合相關標準(例如 IEEE 1074)的要求。

② 軟件驗證與確認及配置管理工作應當貫穿軟件生命周期的各個階段。應當驗證軟件開發各個階段的輸出滿足輸入的要求；應當確認最終軟件滿足軟件需求定義的要求；軟件驗證與確認的工作應當獨立于設計開發工作；應當將軟件的全部要素包括軟件模塊、軟件文檔置于配置管理的控制之下。

③ 軟件需求、設計、實施、集成和測試各個階段應當具有可追溯性。應當在軟件需求階段就明確定義并標識軟件功能需求，并以此為基礎，在軟件開發的各個階段與軟件功能需求項目建立可追溯的對應關系。

④ 軟件測試工作應當覆蓋全部的軟件功能需求，應當確認附加的功能不會影響軟件的安全功能。軟件測試工作應當包括單元測試、集成測試和異常測試。

⑤ 在數字化設備的故障模式和后果分析工作中，應當識別軟件故障模式并采取相應的設計措施；應當在軟件開發工作結束后，進行故障模式和后果分析工作，確認沒有因為開發工作引入新的故障模式和風險。

由于在進行商品級數字化設備軟件的設計開發過程中設備供應商一般遵循的是工業標準，開發過程的記錄文件、驗證與確認記錄和報告、配置管理報告和故障模式和后果分析報告往往是不完整或不完全滿足核工業相關標準要求的，因此在進行商品級物項評定的過程中，往往需要評定人員綜合考慮數字化設備的運行經驗、開發過程中對所確定的質量特性的控制措施、軟件的設計特性和軟件的復雜程度等因素，同時輔以必要的補充測試，對已開發完成的軟件質量做出工程判斷。美國NRC認可采用工程判斷的方式對商品級物項的評定給出結論意見(多用于缺乏足夠的證據文件證明軟件設計開發過程滿足核質保要求及相關標準的情況)。需要特別說明的是，按照IEEE Std.7- 4.3.2標準中的建議，對商品級物項的評定應當限于對那些功能相對其應用比較簡單的物項開展。因此，對大規模的商品級軟件開展評定工作是需要審慎對待的。同時，采購方必須認識到不是所有的商品級物項都可以被評定為核級物項。

4結束語

在核電廠建造和運行過程中需要采購大量的商品級物項，這些執行核電廠安全功能的商品級物項需要經過評定才能用于核電廠。2013年，韓國核電廠使用偽劣的零部件導致韓國多座核電機組停運，因此在核電廠商品級物項的采購管理過程中必須開展對商品級物項的評定工作，這對保證核電廠建造質量和運行安全意義重大。本文對商品級物項評定的背景和概念進

行了介紹，梳理了美國核電廠商品級物項評定的文件體系，介紹了數字化設備的商品級評定工作方法和流程，同時針對數字化設備商品級評定過程中的三個重要問題進行了探討，說明了設備鑒定與商品級物項評定的關系，給出了數字化設備商品級評定的評定要素，并對評定的驗收準則進行了探討。目前，我國針對核電廠商品級物項的評定工作尚處在研究初期的階段，對于商品級物項評定的法規依據、評定原則、實施具體方法、程序、條件和驗收準則，包括審查和監督的方法和準則，都是下一步亟待研究的重要問題。

參考文獻

[1] EPRI NP-5652.Guidelinefor the utilization of commercial grade items in nuclear safety related applications[R].Electric Power Research Institute,1988.

[2] EPRI TR-106439.Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications[R].Electric Power Research Institute,1996.

[3] IEEE Std.7-4.3.2-2003.IEEE standard criteria for digital computers in safety systems of nuclear power generating stations[S].Institute of Electrical and Electronics Engineers,Inc,2003.

[4] IEEE Std.323-2003.IEEE standard for qualifying class 1E equipment for nuclear power generating stations[S].Institute of Electrical and Electronics Engineers,Inc,2003.

中圖分類號：TH89；TP202

文獻標志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201507016

通訊作者任莉華(1977-)，女，2004年畢業于華北電力大學電力系統及其自動化專業，獲碩士學位，高級工程師；現從事核安全審評工作。

修改稿收到日期： 2014-12-29。

第一作者毋琦(1982-)，男，2006年畢業于華北電力大學自動化專業，獲碩士學位,高級工程師；現從事核安全設備審評與安全檢驗方面的工作。