核電廠DCS軟件驗(yàn)證與確認(rèn)標(biāo)準(zhǔn)體系分析

鄭駢垚,鐘 柏,,馬象睿

(1.中國(guó)核電工程有限公司采購(gòu)部,北京 100840；2.環(huán)境保護(hù)部華北核與輻射安全監(jiān)督站,北京 100029)

核電廠DCS軟件驗(yàn)證與確認(rèn)標(biāo)準(zhǔn)體系分析

鄭駢垚1,鐘 柏1,2,馬象睿2

(1.中國(guó)核電工程有限公司采購(gòu)部,北京 100840；2.環(huán)境保護(hù)部華北核與輻射安全監(jiān)督站,北京 100029)

通過(guò)對(duì)軟件V&V活動(dòng)的介紹以及核電廠軟件生命周期的劃分，明確了核電廠數(shù)字化儀控系統(tǒng)軟件V&V的目的，即通過(guò)驗(yàn)證活動(dòng)判斷系統(tǒng)是否滿足設(shè)計(jì)需求，通過(guò)確認(rèn)活動(dòng)判斷系統(tǒng)設(shè)計(jì)是否正確。結(jié)合核電廠安全級(jí)數(shù)字化儀控系統(tǒng)軟件V&V活動(dòng)的監(jiān)督管理實(shí)踐，總結(jié)了美國(guó)、歐洲和我國(guó)數(shù)字化儀控系統(tǒng)軟件V&V活動(dòng)所采用的法規(guī)和標(biāo)準(zhǔn)體系。針對(duì)我國(guó)軟件V&V法規(guī)和標(biāo)準(zhǔn)體系不健全的問(wèn)題，通過(guò)對(duì)比我國(guó)與歐洲、美國(guó)法規(guī)標(biāo)準(zhǔn)體系的差別，明確了我國(guó)軟件V&V法規(guī)和標(biāo)準(zhǔn)體系存在標(biāo)準(zhǔn)體系升版相對(duì)滯后、標(biāo)準(zhǔn)路線不統(tǒng)一及欠缺標(biāo)準(zhǔn)轉(zhuǎn)化的系統(tǒng)性等三方面的不足。從長(zhǎng)遠(yuǎn)目標(biāo)看，我國(guó)應(yīng)完善V&V法規(guī)標(biāo)準(zhǔn)體系，使之有層次地逐步細(xì)化從法規(guī)要求到執(zhí)行標(biāo)準(zhǔn)要求；從短期要求看，可從軟件開發(fā)的階段劃分、各項(xiàng)開發(fā)計(jì)劃的形成和實(shí)施、V&V活動(dòng)的獨(dú)立性和文件記錄等方面落實(shí)V&V活動(dòng)要求。

核電廠； 數(shù)字化儀控系統(tǒng)； DCS; 軟件V&V；標(biāo)準(zhǔn)體系

0 引言

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展和廣泛應(yīng)用，核電廠儀控系統(tǒng)逐漸從采用模擬技術(shù)轉(zhuǎn)向數(shù)字技術(shù)。軟件作為數(shù)字化儀控系統(tǒng)的重要組成部分，其質(zhì)量是保障核電廠安全運(yùn)行的重要因素之一。軟件驗(yàn)證與確認(rèn)(verification and validation，V&V)是一種過(guò)程方法，其主要目標(biāo)是為軟件的質(zhì)量提供足夠的置信度，證明軟件具有安全性和可靠性，能夠滿足其完整性等級(jí)要求。

目前，國(guó)際上軟件V&V活動(dòng)的標(biāo)準(zhǔn)體系有兩個(gè)主流，一個(gè)是以美國(guó)核管制委員會(huì)NRC及美國(guó)電氣與電子工程師學(xué)會(huì)IEEE頒布的相關(guān)法規(guī)、導(dǎo)則及標(biāo)準(zhǔn)為主的美國(guó)標(biāo)準(zhǔn)體系，另一個(gè)是以國(guó)際原子能機(jī)構(gòu)IAEA及國(guó)際電工委員會(huì)IEC頒布的相關(guān)法規(guī)、導(dǎo)則及標(biāo)準(zhǔn)為主的歐洲標(biāo)準(zhǔn)體系。我國(guó)根據(jù)IAEA和IEC的有關(guān)法規(guī)、導(dǎo)則及標(biāo)準(zhǔn)，初步建立了核電廠安全重要系統(tǒng)相關(guān)設(shè)計(jì)、軟件驗(yàn)證與確認(rèn)的法規(guī)、導(dǎo)則和標(biāo)準(zhǔn)，尚需根據(jù)工程實(shí)踐不斷積累、完善。

1 軟件V&V活動(dòng)的定義

驗(yàn)證(verification)和確認(rèn)(validation)作為兩個(gè)分立的過(guò)程，由國(guó)際標(biāo)準(zhǔn)化委員會(huì)在ISO 8402:1994中提出，隨后ISO/IEC 12207:1995將驗(yàn)證和確認(rèn)過(guò)程應(yīng)用于軟件生命周期。

我國(guó)核安全導(dǎo)則HAD 102/16[1-3]中，對(duì)V&V的定義如圖1所示。

圖1 HAD 102/16中V&V定義示意圖

根據(jù)IEC 60880:2006[1]的定義，驗(yàn)證是通過(guò)檢查和提供客觀證據(jù)，證實(shí)該過(guò)程某種活動(dòng)的結(jié)果是否符合此活動(dòng)規(guī)定的目標(biāo)和需求；系統(tǒng)確認(rèn)(即儀控系統(tǒng)的確認(rèn))是通過(guò)檢查和提供其他證據(jù)，證實(shí)該系統(tǒng)完全滿足預(yù)期的需求規(guī)格書。IEEE Std 1012[2]將驗(yàn)證和確認(rèn)合并作為一種過(guò)程方法，其將軟件V&V活動(dòng)分為三個(gè)層次，即過(guò)程、活動(dòng)和任務(wù)。針對(duì)某一個(gè)過(guò)程，其需要完成不同階段的活動(dòng)；針對(duì)某一個(gè)活動(dòng)，其需要完成不同的任務(wù)，以完成軟件和需求的驗(yàn)證和確認(rèn)。

在基于計(jì)算機(jī)系統(tǒng)的整個(gè)生命周期內(nèi)，驗(yàn)證是保證一個(gè)階段能夠滿足前一階段所提需求的過(guò)程，也就是針對(duì)前一階段輸出結(jié)果進(jìn)行的檢查；而確認(rèn)是為保證集成后的計(jì)算機(jī)系統(tǒng)(硬件和軟件)符合功能、特性和接口需求，對(duì)其進(jìn)行測(cè)試和評(píng)價(jià)的過(guò)程，也就是針對(duì)系統(tǒng)的需求和目標(biāo)進(jìn)行的檢查。GB/T 13629-1998[4]中定義：驗(yàn)證與確認(rèn)是確定一個(gè)系統(tǒng)或部件制定的要求是否完整和正確、每個(gè)研制階段的產(chǎn)品是否滿足前一個(gè)階段提出的要求或條件，以及最終的系統(tǒng)或設(shè)備是否符合預(yù)定要求的過(guò)程。

2 美國(guó)和歐洲軟件V&V活動(dòng)相關(guān)標(biāo)準(zhǔn)

為進(jìn)一步細(xì)化核電廠的質(zhì)量保證和設(shè)計(jì)的相關(guān)法規(guī)，指導(dǎo)核電廠業(yè)主或者設(shè)備供應(yīng)商取證工作，美國(guó)和歐洲的核安全監(jiān)管部門，發(fā)布了一系列的導(dǎo)則或標(biāo)準(zhǔn)，明確了軟件V&V活動(dòng)的一般方法。

2.1 美國(guó)軟件V&V標(biāo)準(zhǔn)體系

美國(guó)軟件V&V活動(dòng)標(biāo)準(zhǔn)體系主要建立在美國(guó)核管制委員會(huì)NRC聯(lián)邦法規(guī)、管理導(dǎo)則及美國(guó)電氣與電子工程師學(xué)會(huì)IEEE行業(yè)標(biāo)準(zhǔn)的基礎(chǔ)上。美國(guó)NRC聯(lián)邦法規(guī)10 CFR Part 50作為最頂層的法規(guī)，對(duì)核電廠的質(zhì)量保證及設(shè)計(jì)作出了規(guī)定，要求核電廠保護(hù)系統(tǒng)和其他安全系統(tǒng)需滿足IEEE Std 603-1991或者IEEE Std 279。第二層標(biāo)準(zhǔn)審查大綱NUREG 0800技術(shù)分支BTP 7-14和管理導(dǎo)則RG1.152、RG1.168對(duì)基于計(jì)算機(jī)系統(tǒng)的重要軟件V&V活動(dòng)提出了要求。NUREG 0800[5]認(rèn)可了一系列IEEE標(biāo)準(zhǔn)，關(guān)于安全級(jí)軟件V&V計(jì)劃認(rèn)可了IEEE 1012-1986；RG1.152[6]認(rèn)可了IEEE 7-4.3.2，而IEEE 7-4.3.2[7]明確了軟件V&V活動(dòng)標(biāo)準(zhǔn)參照IEEE 1012-1998執(zhí)行；RG1.168[8]認(rèn)可了軟件V&V活動(dòng)。美國(guó)軟件V&V活動(dòng)法規(guī)標(biāo)準(zhǔn)體系如圖2所示。

2.2 歐洲軟件V&V標(biāo)準(zhǔn)體系

歐洲軟件V&V標(biāo)準(zhǔn)體系主要建立在國(guó)際原子能機(jī)構(gòu)IAEA安全需求、安全導(dǎo)則及國(guó)際電工委員會(huì)IEC行業(yè)標(biāo)準(zhǔn)的基礎(chǔ)上。IAEA安全需求GS-R-3(50-C-QA的演變)和NS-R-1對(duì)核電廠的質(zhì)量保證和安全設(shè)計(jì)給出了總體要求。第二層安全導(dǎo)則NS-G-1.3和NS-G-1.1對(duì)核電廠安全重要儀控系統(tǒng)及基于計(jì)算機(jī)的安全重要系統(tǒng)軟件提出了要求。作為行業(yè)標(biāo)準(zhǔn)，IEC 61513[9]對(duì)核電廠儀控系統(tǒng)提出了一般要求，其中指出，當(dāng)涉及基于計(jì)算機(jī)的系統(tǒng)時(shí)，該標(biāo)準(zhǔn)應(yīng)與IEC 60880和IEC 60987結(jié)合，以確保系統(tǒng)對(duì)軟件和硬件方面需求的完整性。根據(jù)安全的重要性，將IEC 61226[10]儀表和控制系統(tǒng)功能(系統(tǒng)和設(shè)備)分為A、B、C三類。IEC 60880提出了執(zhí)行A類安全功能的儀表和控制系統(tǒng)的軟件需求。IEC 62138提出了執(zhí)行B類和C類安全功能的儀表和控制系統(tǒng)的軟件需求。IEC 60987提出了基于計(jì)算機(jī)的儀控系統(tǒng)硬件設(shè)計(jì)需求。歐洲軟件V&V標(biāo)準(zhǔn)體系如圖3所示。

3 我國(guó)V&V法規(guī)標(biāo)準(zhǔn)現(xiàn)狀及其存在的不足

3.1 我國(guó)軟件V&V法規(guī)標(biāo)準(zhǔn)現(xiàn)狀

我國(guó)核安全法規(guī)HAF 003[11](由50-C-QA Rev.1轉(zhuǎn)化而來(lái))和HAF 102[12](由NS-R-1轉(zhuǎn)化而來(lái))作為最頂層的法規(guī)，對(duì)核電廠的質(zhì)量保證和安全設(shè)計(jì)提出了要求，規(guī)定：當(dāng)安全重要系統(tǒng)設(shè)計(jì)成依賴于計(jì)算機(jī)系統(tǒng)的可靠性時(shí)，必須確定或制定有關(guān)驗(yàn)證計(jì)算機(jī)硬件和軟件的相應(yīng)標(biāo)準(zhǔn)，并在系統(tǒng)的整個(gè)生命周期，特別是軟件的開發(fā)期間，就加以實(shí)施。第二層安全導(dǎo)則HAD 102/14[13](由50-SG-D8 1984轉(zhuǎn)化而來(lái)，于2002年升版為NS-G-1.3)和HAD 102/16(由NS-G-1.1轉(zhuǎn)化而來(lái))對(duì)核電廠安全、有關(guān)儀表和控制系統(tǒng)以及基于計(jì)算機(jī)的安全重要系統(tǒng)軟件的開發(fā)和驗(yàn)證活動(dòng)提出了要求。在核行業(yè)標(biāo)準(zhǔn)方面，我國(guó)尚未建立屬于自己的軟件V&V標(biāo)準(zhǔn)體系框架下的可執(zhí)行標(biāo)準(zhǔn)，而是陸續(xù)將國(guó)際和國(guó)外標(biāo)準(zhǔn)稍加修改后成為我國(guó)的國(guó)家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)。其中，GB 12172-1990等效采用IEC 880-1986標(biāo)準(zhǔn)，對(duì)核電廠安全系統(tǒng)計(jì)算機(jī)軟件應(yīng)用原則作出了規(guī)定，IEC 880即為IEC 60880的前身，目前IEC 60880已升至2006版；GB/T 13629-2008修改采用美國(guó)標(biāo)準(zhǔn)IEEE 7-4.3.2-2003，對(duì)核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則提出了要求，該標(biāo)準(zhǔn)關(guān)于軟件V&V活動(dòng)，認(rèn)可了IEEE 1012-1998，IEEE 1012已升至2012版，但目前行業(yè)內(nèi)仍普遍采用IEEE 1012-2004版。

我國(guó)能源行業(yè)(即原來(lái)的核行業(yè))也陸續(xù)將國(guó)際標(biāo)準(zhǔn)轉(zhuǎn)化為行業(yè)標(biāo)準(zhǔn)，近幾年，已制定的標(biāo)準(zhǔn)有NB/T 20026-2014(修改采用IEC 61513-2011，代替NB/T 20026-2010)、NB/T 20054-2011(修改采用IEC 60880-2006，代替EJ/T 1058-1998和EJ/T 1058.2 -2005)和NB/T 20055-2011(修改采用IEC 62138-2004)。我國(guó)已初步形成核電廠軟件V&V相關(guān)的法規(guī)標(biāo)準(zhǔn)體系，具體如圖4所示，但標(biāo)準(zhǔn)體系尚未健全。

圖4 我國(guó)軟件V&V法規(guī)標(biāo)準(zhǔn)體系圖

3.2 我國(guó)軟件V&V法規(guī)標(biāo)準(zhǔn)存在的不足

我國(guó)核電廠軟件V&V相關(guān)的法規(guī)標(biāo)準(zhǔn)體系已經(jīng)初步形成，但仍存在以下幾個(gè)方面的不足。

①標(biāo)準(zhǔn)體系升版相對(duì)滯后。

我國(guó)核電質(zhì)保法規(guī)HAF 003依據(jù)1988版的IAEA核質(zhì)保法規(guī)50-C-QA(Rev.1)轉(zhuǎn)化而來(lái)，50-C-QA于1996年升版為50-C/SG-Q，提出了一些新的理念，如“領(lǐng)導(dǎo)作用”、“持續(xù)改進(jìn)”、“以績(jī)效為基礎(chǔ)”的質(zhì)量管理等；2006年IAEA提出了GS-R-3《The Management System for Facilities and Activities》，直接替代了50-C/SG-Q，以“管理體系”取代法規(guī)，囊括了“安全、健康、環(huán)境、安保、質(zhì)量和經(jīng)濟(jì)”六個(gè)領(lǐng)域，并推動(dòng)各國(guó)參考執(zhí)行，各國(guó)目前尚在研究和進(jìn)行初步嘗試階段。

歐洲標(biāo)準(zhǔn)考慮到基于計(jì)算機(jī)的儀表和控制系統(tǒng)的核電站保護(hù)系統(tǒng)的大量應(yīng)用，于2002年將50-SG-D8與50-SG-D3(保護(hù)系統(tǒng)及有關(guān)設(shè)施)整合為NS-G-1.3。我國(guó)HAD 102/14由1984版的50-SG-D8轉(zhuǎn)化能源行業(yè)標(biāo)準(zhǔn)，在執(zhí)行中存在一些與工程實(shí)踐不適應(yīng)的情況，所以也應(yīng)適當(dāng)升級(jí)。

②標(biāo)準(zhǔn)路線不統(tǒng)一，美國(guó)標(biāo)準(zhǔn)與歐洲標(biāo)準(zhǔn)共存。

我國(guó)核電發(fā)展主要是引進(jìn)美國(guó)和歐洲的核電技術(shù)，尤其對(duì)安全級(jí)數(shù)字化儀控系統(tǒng)，目前仍以進(jìn)口歐美的成熟技術(shù)為主。在標(biāo)準(zhǔn)要求方面，往往是國(guó)外供應(yīng)商占主導(dǎo)地位，大多使用相應(yīng)國(guó)家的標(biāo)準(zhǔn)體系，而不是以滿足我國(guó)現(xiàn)有相關(guān)標(biāo)準(zhǔn)為主，造成了執(zhí)行層面上美國(guó)和歐洲標(biāo)準(zhǔn)體系共存的現(xiàn)狀。頂層的法規(guī)要求只有一個(gè)，而執(zhí)行層面有兩個(gè)共存的標(biāo)準(zhǔn)，勢(shì)必存在部分法規(guī)要求落實(shí)不徹底的問(wèn)題。

③標(biāo)準(zhǔn)轉(zhuǎn)化的系統(tǒng)性不足。

GB 12172-1990由IEC 880-1986轉(zhuǎn)化而來(lái)，NB/T 20054-2006由IEC 60880-2006轉(zhuǎn)化而來(lái)，IEC 880-1986是IEC 60880-2006版的前身，目前已廢止。而我國(guó)同時(shí)存在GB 12172和NB/T 20054，兩者不僅不在同一標(biāo)準(zhǔn)體系，且以相對(duì)更早的GB 12172作為強(qiáng)制性標(biāo)準(zhǔn)。GB/T 13629-2008依據(jù)IEEE 7-4.3.2-2003轉(zhuǎn)化而來(lái)，IEEE 7-4.3.2-2003中明確軟件V&V相關(guān)工作則依據(jù)IEEE Std 1012-1998展開，而我國(guó)沒(méi)有IEEE 1012的等效或相關(guān)標(biāo)準(zhǔn)。

4 完善我國(guó)軟件V&V法規(guī)標(biāo)準(zhǔn)體系的建議

軟件V&V活動(dòng)作為一種保證軟件質(zhì)量的方法，完善其活動(dòng)過(guò)程對(duì)于保證軟件質(zhì)量和提供軟件質(zhì)量的置信度有至關(guān)重要的作用。為了能夠更好地指導(dǎo)、服務(wù)我國(guó)核電行業(yè)軟件V&V活動(dòng)，針對(duì)當(dāng)前階段軟件V&V法規(guī)標(biāo)準(zhǔn)體系不健全的問(wèn)題，可從長(zhǎng)遠(yuǎn)目標(biāo)和短期工作要求兩方面作好管理工作。

從長(zhǎng)遠(yuǎn)目標(biāo)看，我國(guó)應(yīng)該完善V&V法規(guī)標(biāo)準(zhǔn)體系，從法規(guī)要求到執(zhí)行標(biāo)準(zhǔn)層次，逐步細(xì)化要求；從短期階段看，可從軟件開發(fā)的階段劃分、各項(xiàng)開發(fā)計(jì)劃的形成和實(shí)施、V&V活動(dòng)的獨(dú)立性和文件記錄等方面落實(shí)V&V活動(dòng)要求。

4.1 長(zhǎng)遠(yuǎn)目標(biāo)

隨著數(shù)字化儀控技術(shù)在我國(guó)核電廠的應(yīng)用及后續(xù)國(guó)產(chǎn)化的發(fā)展，完善我國(guó)軟件V&V法規(guī)標(biāo)準(zhǔn)體系幾乎是業(yè)界的一致訴求，使賣方、買方和監(jiān)管方按照相同的標(biāo)準(zhǔn)尺度說(shuō)話，使我國(guó)核工業(yè)在國(guó)際舞臺(tái)競(jìng)爭(zhēng)時(shí)能更好地發(fā)揮優(yōu)勢(shì)。對(duì)于我國(guó)V&V法規(guī)標(biāo)準(zhǔn)體系的完善，建議著重考慮以下幾個(gè)方面。

①在法規(guī)建設(shè)層面，要注重系統(tǒng)性和層次性，完善與計(jì)算機(jī)軟件和V&V活動(dòng)的相關(guān)導(dǎo)則。目前，HAD 102/14應(yīng)根據(jù)NS-G-1.3升版，從而與其他導(dǎo)則相匹配，共同支撐與計(jì)算機(jī)軟件和V&V活動(dòng)相關(guān)的法規(guī)要求。

②在借鑒歐美標(biāo)準(zhǔn)的同時(shí)，以一種標(biāo)準(zhǔn)體系為主，將其規(guī)定作精、要求作細(xì)，形成軟件V&V活動(dòng)要求的標(biāo)準(zhǔn)體系。目前，我國(guó)已基本形成以IEC標(biāo)準(zhǔn)為藍(lán)本的核電廠計(jì)算機(jī)軟件和軟件V&V活動(dòng)的能源行業(yè)標(biāo)準(zhǔn)體系，但在項(xiàng)目執(zhí)行層面仍存在與美國(guó)標(biāo)準(zhǔn)共用的情況，如國(guó)內(nèi)和美國(guó)廠家在V&V活動(dòng)過(guò)程和活動(dòng)劃分方面大多參照IEEE 1012，而在獨(dú)立性要求方面，幾乎所有廠家均參照IEEE 1012執(zhí)行。應(yīng)考慮以當(dāng)前的能源行業(yè)標(biāo)準(zhǔn)為主體，結(jié)合IEEE 1012，形成我國(guó)自己的V&V標(biāo)準(zhǔn)體系，以避免引用規(guī)范過(guò)多、技術(shù)要求不清的問(wèn)題。

③完善軟件V&V活動(dòng)的上、下游標(biāo)準(zhǔn)，形成軟件V&V活動(dòng)的標(biāo)準(zhǔn)體系。軟件V&V活動(dòng)的充分執(zhí)行，需要計(jì)算軟件的安全分級(jí)、生命周期劃分、軟件審查和硬件相關(guān)標(biāo)準(zhǔn)等上游標(biāo)準(zhǔn)支撐，同時(shí)，也需要適當(dāng)細(xì)化V&V活動(dòng)的下游標(biāo)準(zhǔn)，如V&V活動(dòng)中某一項(xiàng)工作的具體方法。

4.2 短期要求

V&V作為一種過(guò)程方法，在監(jiān)管過(guò)程中要能夠做到深入淺出。針對(duì)我國(guó)當(dāng)前法規(guī)標(biāo)準(zhǔn)體系不健全的現(xiàn)狀，可采取分階段的策略，逐漸深化對(duì)軟件V&V的監(jiān)管要求。建議短期內(nèi)可明確以下幾個(gè)方面的V&V監(jiān)管要求，作為法規(guī)標(biāo)準(zhǔn)體系完善期的過(guò)渡階段管理要求。

①明確安全級(jí)軟件開發(fā)過(guò)程的階段劃分。

安全重要系統(tǒng)的開發(fā)應(yīng)是一個(gè)可逐步控制的過(guò)程，其本質(zhì)就是一個(gè)逐步逼近的過(guò)程。開發(fā)過(guò)程應(yīng)分為若干階段，每個(gè)階段使用前一階段開發(fā)的結(jié)果，為后續(xù)階段提供輸入信息。根據(jù)HAD 102/16，核電廠安全級(jí)數(shù)字化儀控系統(tǒng)軟件應(yīng)分為計(jì)算機(jī)系統(tǒng)需求、計(jì)算機(jī)系統(tǒng)設(shè)計(jì)、軟件需求、軟件設(shè)計(jì)、軟件實(shí)現(xiàn)、計(jì)算機(jī)系統(tǒng)集成、安裝和調(diào)試等七個(gè)階段。

②實(shí)施配置管理計(jì)劃。

數(shù)字化儀控系統(tǒng)的開發(fā)過(guò)程是系統(tǒng)需求不斷明確和細(xì)化的過(guò)程，同時(shí)也是對(duì)硬件和軟件不斷明確的過(guò)程，需要對(duì)需求、硬件及軟件進(jìn)行動(dòng)態(tài)管理，保證需求與實(shí)現(xiàn)的匹配以及開發(fā)團(tuán)隊(duì)工作基線的一致。通過(guò)編制并實(shí)施配置管理計(jì)劃，明確軟件的基線、版本、版本變更的流程和評(píng)估方式，可以使設(shè)計(jì)團(tuán)隊(duì)與V&V團(tuán)隊(duì)有“共同語(yǔ)言”。

③軟件V&V活動(dòng)大綱。

在V&V活動(dòng)實(shí)施前，應(yīng)制定明確的V&V活動(dòng)大綱，從組織結(jié)構(gòu)、資源需求、工具技術(shù)、V&V活動(dòng)的實(shí)施范圍和準(zhǔn)則、問(wèn)題的處理、V&V的文檔等方面，對(duì)V&V活動(dòng)進(jìn)行明確的定義，同時(shí)給出如何確保V&V大綱實(shí)施的方案。IEEE 1012中明確規(guī)定了大綱所必須包含的內(nèi)容。

④軟件V&V獨(dú)立性要求。

獨(dú)立性是保證V&V活動(dòng)能夠有效開展的關(guān)鍵，包括組織獨(dú)立性、財(cái)務(wù)獨(dú)立性和技術(shù)獨(dú)立性三個(gè)方面。對(duì)于組織獨(dú)立性，V&V團(tuán)隊(duì)和開發(fā)團(tuán)隊(duì)必須由處于不同部門的部門領(lǐng)導(dǎo)分別管理和績(jī)效考核，不能有利益相關(guān)性；V&V活動(dòng)不受工程進(jìn)度和成本的約束；V&V團(tuán)隊(duì)的領(lǐng)導(dǎo)要有足夠高的權(quán)限直接向分管質(zhì)量的領(lǐng)導(dǎo)或最高領(lǐng)導(dǎo)匯報(bào)工作。對(duì)于技術(shù)獨(dú)立性，要求V&V團(tuán)隊(duì)?wèi)?yīng)使用不同于開發(fā)團(tuán)隊(duì)的技術(shù)和工具完成。對(duì)于財(cái)務(wù)獨(dú)立性，要求V&V團(tuán)隊(duì)?wèi)?yīng)有各自獨(dú)立的財(cái)務(wù)預(yù)算及決算，以限制資金在開發(fā)與V&V活動(dòng)之間的流動(dòng)。

⑤文檔規(guī)范化、標(biāo)準(zhǔn)化、明確化。

軟件V&V活動(dòng)文檔，作為V&V活動(dòng)完成情況和結(jié)論的客觀證據(jù)，有必要對(duì)其完整性提出要求，應(yīng)該明確V&V活動(dòng)中哪些活動(dòng)必須形成文檔，文檔中應(yīng)該包含的內(nèi)容等。各階段的V&V活動(dòng)必須形成有效的文件記錄，期間發(fā)生的異常項(xiàng)和不符合項(xiàng)處理過(guò)程必須形成詳細(xì)記錄，各類文件必須嚴(yán)格按照廠家V&V工作程序執(zhí)行。各個(gè)階段的總結(jié)報(bào)告為必須完成的內(nèi)容，其中至少應(yīng)包含該階段活動(dòng)所要求的內(nèi)容、已完成的內(nèi)容、完成的基本狀況、對(duì)后續(xù)活動(dòng)的影響等方面。

5 結(jié)束語(yǔ)

軟件V&V活動(dòng)能夠?yàn)檐浖陌踩院涂煽啃蕴峁┛陀^的證據(jù)。隨著數(shù)字化應(yīng)用的不斷深入，對(duì)核電廠安全級(jí)數(shù)字化儀控系統(tǒng)軟件開展V&V活動(dòng)將逐漸成為軟件開發(fā)必不可少的環(huán)節(jié)。針對(duì)當(dāng)前國(guó)內(nèi)軟件V&V標(biāo)準(zhǔn)體系尚不健全、安全級(jí)數(shù)字化儀控系統(tǒng)大部分靠引進(jìn)國(guó)外技術(shù)的問(wèn)題，我國(guó)應(yīng)逐步健全軟件V&V標(biāo)準(zhǔn)體系，監(jiān)管要求需要逐步深入，既要保安全、保質(zhì)量，又要逐步培養(yǎng)我國(guó)核工業(yè)的核心競(jìng)爭(zhēng)力。

[1] IEC.IEC 60880:2006 Nuclear power plants-Instrumentation and control systems important to safety-software aspects for computer-based systems performing category A functions[S].switzerland: IEC,2006.

[2] IEEE.IEEE Std 1012-2004 IEEE Standard for software verification and validation[S].US: IEEE,2005.

[3] 國(guó)家核安全局. 核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件[R].北京:國(guó)家核安全局,2004.

[4] 國(guó)家質(zhì)量技術(shù)監(jiān)督局，GB/T13629-1998 核電廠安全系統(tǒng)中數(shù)字計(jì)算機(jī)的適用準(zhǔn)則[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,1998.

[5] USNRC.Guidance on software reviews for digital computer-based instrumentation and control systems[R].US: USNRC,1997.

[6] USNRC.Regulatory guide 1.152 Criteria for use of computers in safety system of nuclear power plants[S].US: USNRC,2011.

[7] IEEE.IEEE Std 7-4.3.2-2003 IEEE Standard criteria for digital computers in safety systems of nuclear power generating stations[S].US: IEEE,2003.[8] USNRC.Regulatory guide 1.168 Verification,validation,reviews,and audits for digital computer software used in safety systems of nuclear power plants[S].US: USNRC,2013.

[9] IEC.IEC 61513 Nuclear power plants-Instrumentation and control important to safety-general requirements for systems[S].Switzerland: IEC,2011.

[10]IEC.IEC 61226 Nuclear power plants-Instrumentation and control important to safety-classification of instrumentation and control functions[S].Switzerland: IEC,2009.

[11]國(guó)家核安全局.核電廠質(zhì)量保證安全規(guī)定[R].北京:國(guó)家核安全局,1991.

[12]國(guó)家核安全局. 核動(dòng)力廠設(shè)計(jì)安全規(guī)定[R].北京:國(guó)家核安全局,2004.

[13]國(guó)家核安全局. 核電廠安全有關(guān)儀表和控制系統(tǒng)[R].北京:國(guó)家核安全局,1988.

Analysis of the Standard System for Software Verification and Validation of Digital Control System in Nuclear Power Plant

ZHENG Pianyao1,ZHONG Bai1,2,MA Xiangrui2

(1.Procurement Department,China Nuclear Power Engineering Co.,Ltd.,Beijing 100840,China;2.Northern Regional Office of Nuclear and Radiation Safety Inspection Ministry of Environment Protection of the P.R.China,Beijing 100029,China)

Through introducing the activities of software V&V and dividing the life cycle of software for nuclear power plant, the object of digital control system software V&V for the nuclear power plant is clearly defined;that is the verification activities are to judge whether the system meets the design requirements or not;and the validation activities are to judge whether the system design is correct or not. Combining with the supervision and management practice of the software V&V activities of the safety grade digital instrument control systems in NPP, the regulations and the standard system used for digital control system V&V activities in USA, Europe and China are summarized. Aiming at the problem of inadequate regulations and standard system in our country, the differences from such topics in USA and Europe are compared, and it is clarified that our regulations and standard system has deficiencies in three aspects, i.e., lag in upgrade, the standard route is not unified, and lack of systematic for transformation of the standards. From the long-term goal to see that we should consummate the V&V regulations and standard system, from the regulatory requirements to the execution of standards, to gradually refine a hierarchy of requirements;while from the short-term view, the requirements of V&V activities should be carried out from stage division of software development, formation and implementation of various developing plans, the independence of V&V activities, and documents and records.

Nuclear power plant; Digital instrument control system； DCS; Software V&V; Standard system

鄭駢垚(1976—)，女，碩士，工程師，主要從事民用核與輻射安全的監(jiān)督和評(píng)審工作。E-mail:pianyao.zheng@foxmail.com。

TH86;TP273

A

10.16086/j.cnki.issn1000-0380.201703004

修改稿收到日期:2016-04-17