核電廠安全級儀控設(shè)備的商品級軟件鑒定初論

毋 琦 毛從吉

(環(huán)境保護(hù)部核與輻射安全中心，北京 100082)

0 引言

從20世紀(jì)70年代開始，數(shù)字化儀控系統(tǒng)和設(shè)備開始逐漸替代傳統(tǒng)的模擬儀控系統(tǒng)和設(shè)備，在常規(guī)工業(yè)領(lǐng)域得到了廣泛應(yīng)用。數(shù)字計算機(jī)在核電廠安全級儀控系統(tǒng)中的應(yīng)用也有近十年的時間。目前，不但在安全級的保護(hù)和控制系統(tǒng)中廣泛采用軟件控制邏輯，而且在現(xiàn)場的儀表和控制器中采用內(nèi)置微處理器實現(xiàn)數(shù)字化測量和控制也成為一種趨勢。

在我國核安全法規(guī)HAF 102和導(dǎo)則HAD 102/14中要求對核電廠安全級儀表和控制設(shè)備進(jìn)行設(shè)備鑒定，以驗證安全級儀表和控制設(shè)備始終能夠滿足設(shè)計基準(zhǔn)性能的要求，即在可能需要承受的環(huán)境條件下，設(shè)備仍能可靠地完成其需要執(zhí)行的安全功能。對于傳統(tǒng)的模擬儀控設(shè)備的鑒定工作，國內(nèi)外核工業(yè)界已開展多年。目前，針對不同種類的模擬儀控設(shè)備，已經(jīng)形成了相對比較完整和嚴(yán)密的鑒定原則、標(biāo)準(zhǔn)、方法和程序。通過設(shè)計評審、鑒定試驗和運(yùn)行經(jīng)驗評價等分析驗證手段，可以確認(rèn)模擬儀控設(shè)備是否能夠滿足其設(shè)計基準(zhǔn)性能的要求。數(shù)字化儀控設(shè)備的硬件部分可以參照模擬儀控設(shè)備的鑒定方法進(jìn)行硬件鑒定;但是對于數(shù)字化儀控設(shè)備所包含的軟件部分而言，尤其是已經(jīng)完成設(shè)計開發(fā)并已集成至設(shè)備中的商品級軟件，如何對這些軟件進(jìn)行鑒定，已成為阻礙我國數(shù)字化儀控設(shè)備在核電廠安全級儀控系統(tǒng)中推廣應(yīng)用的關(guān)鍵問題之一。

1 安全級軟件的分類

按照所執(zhí)行的安全功能的重要性，IEC 61226［1］將核電廠安全重要儀控系統(tǒng)功能分為A、B、C三類。A類安全功能是指為了阻止設(shè)計基準(zhǔn)事故導(dǎo)致不可接受的事故后果，在達(dá)到或保持核電廠安全性方面起到最主要的作用。這類功能在電廠達(dá)到次臨界狀態(tài)、余熱排出和放射性包容方面是必須的。B類安全功能是指為了達(dá)到和保持核電廠安全性，對A類安全功能進(jìn)行補(bǔ)充的功能，特別是指到達(dá)核電廠受控狀態(tài)后，為了防止設(shè)計基準(zhǔn)事故導(dǎo)致不可接受的后果，或者緩解設(shè)計基準(zhǔn)事故后果的功能。C類安全功能是指為了達(dá)到和保持核電廠安全性起支持性或非直接作用的功能。對應(yīng)于 IEC 61226中的安全功能分級，IEC 61513［2］將核電廠安全重要儀表控制系統(tǒng)和設(shè)備分為安全1、2、3級。安全1、2、3級儀控系統(tǒng)和設(shè)備分別用于執(zhí)行A、B、C類安全功能，其所包含的軟件分別稱為A、B、C類軟件。IEC 60880［3］對A類軟件的開發(fā)和驗證過程進(jìn)行了描述和規(guī)定，IEC 62138［4］對B、C類軟件的開發(fā)和驗證過程進(jìn)行了描述和規(guī)定。

在IEEE標(biāo)準(zhǔn)中，核電廠儀控系統(tǒng)和設(shè)備被分為安全級(1E級)和非安全級。安全級儀控系統(tǒng)和設(shè)備用于執(zhí)行反應(yīng)堆緊急停堆、安全殼隔離、反應(yīng)堆堆芯冷卻、安全殼及反應(yīng)堆余熱排出和放射性包容等安全重要功能，安全級儀控系統(tǒng)和設(shè)備中的軟件被稱為安全級軟件(1E級)。根據(jù)相關(guān)定義和功能范圍可知，IEEE有關(guān)標(biāo)準(zhǔn)中的1E級安全功能與IEC 61226中的A類安全功能基本相同［5］，相應(yīng)的1E級軟件基本對應(yīng)于IEC標(biāo)準(zhǔn)中的A類軟件。本文將重點探討商品級軟件用作安全A類軟件時所需要完成的鑒定工作。

2 IEC 60880中的鑒定要求

IEC 60880對核電廠A類軟件的設(shè)計、開發(fā)、驗證與確認(rèn)、軟件工具的應(yīng)用等多個方面提出了具體的要求，它是我國目前多數(shù)核電廠安全級數(shù)字化儀控系統(tǒng)和設(shè)備軟件遵循的主要標(biāo)準(zhǔn)之一。IEC 60880要求必須對商品級軟件進(jìn)行以下4個方面的評價，以確認(rèn)軟件設(shè)計的適當(dāng)性和軟件質(zhì)量的可靠性。

①適用性評價，即對商品級軟件的功能、性能和結(jié)構(gòu)特性是否能夠滿足需求規(guī)格書的要求做出評價。

②質(zhì)量評價，即對商品級軟件的開發(fā)過程質(zhì)量進(jìn)行評價。

③運(yùn)行經(jīng)驗評價，即對商品級軟件的運(yùn)行經(jīng)驗，包括故障和錯誤報告進(jìn)行評價。這種評價一般作為上述兩類評價的補(bǔ)充，用于補(bǔ)充說明①、②類評價中發(fā)現(xiàn)的不足和欠缺之處。

④綜合評價，對上述三類評價過程中產(chǎn)生的證明文件和相關(guān)的補(bǔ)充工作進(jìn)行評價。

適用性評價的目的主要是論證商品級軟件的功能、性能和結(jié)構(gòu)能夠滿足系統(tǒng)需求規(guī)格書，因此，對商品級軟件進(jìn)行適用性分析的前提是此軟件具有完整、充分和詳盡的功能、性能和結(jié)構(gòu)特性描述，并且在系統(tǒng)需求規(guī)格書中定義了對此商品級軟件功能、性能和結(jié)構(gòu)的要求。需要特別注意的是，商品級軟件必須置于有效的配置管理之下。

質(zhì)量評價的目的是證明商品級軟件的設(shè)計特性適用于執(zhí)行A類安全功能的系統(tǒng)，并且在商品級軟件的開發(fā)過程中質(zhì)量保證體系的運(yùn)轉(zhuǎn)是有效的。因此，進(jìn)行質(zhì)量評價的前提是需求規(guī)格書中準(zhǔn)確定義了由商品級軟件所執(zhí)行的安全功能;同時，軟件質(zhì)量保證軟件的需求、設(shè)計、開發(fā)、測試和修改相關(guān)的文檔，質(zhì)量保證記錄文件以及驗證與確認(rèn)過程文件是完整的、可查的。需要注意的是，對于商品級軟件來說，上述過程記錄文件可能會不完整。在這種情況下，必須進(jìn)行附加的驗證與確認(rèn)、測試或代碼分析進(jìn)行補(bǔ)充驗證，并且提供用于證明商品級軟件運(yùn)行經(jīng)驗的文件。

運(yùn)行經(jīng)驗評價主要作為質(zhì)量評價的補(bǔ)充。在質(zhì)量評價過程中，當(dāng)發(fā)現(xiàn)商品級軟件的設(shè)計特性或質(zhì)量保證體系運(yùn)轉(zhuǎn)存在某些不足時，采用運(yùn)行經(jīng)驗評價可以提高對軟件可靠性的置信度。進(jìn)行運(yùn)行經(jīng)驗評價時，必須評價以下內(nèi)容:①運(yùn)行經(jīng)驗數(shù)據(jù)的收集方法;②記錄相應(yīng)版本的商品級軟件運(yùn)行時間和產(chǎn)生運(yùn)行記錄的方法;③運(yùn)行記錄的數(shù)據(jù)，故障和錯誤報告;④軟件修改記錄。

在上述評價及相關(guān)的補(bǔ)充工作的基礎(chǔ)上，應(yīng)當(dāng)對商品級軟件用于執(zhí)行規(guī)定的A類安全功能的適當(dāng)性、軟件設(shè)計、開發(fā)的質(zhì)量水平以及軟件的運(yùn)行記錄等方面給出綜合評定，即完成商品級軟件的鑒定工作。

3 美國核管會的要求

美國核管會在其發(fā)布的《標(biāo)準(zhǔn)審查大綱》第7章附件7.0-A中提到“對于商品級計算機(jī)的鑒定問題在RG.1.152中進(jìn)行了討論，同時，在 EPRI TR-106439中給出了商品級計算機(jī)鑒定的一種可以接受的方法”。另外，在BTP-14［6］中提到“應(yīng)該對諸如智能儀表、斷路器或報警模塊中所包含的商品級軟件進(jìn)行評價，以確定其能夠滿足所要求的各項特性。EPRI TR-106439［7］給出了執(zhí)行這種評價的一種可接受的方法。NUREG/CR-6421［5］提供了關(guān)于商品級軟件鑒定方面的更為詳細(xì)的信息”。按照上述描述，可以確定美國核管會已經(jīng)認(rèn)可了EPRI TR-106439作為商品級軟件鑒定的指導(dǎo)準(zhǔn)則。

EPRI TR-106439參考引用了EPRI NP-5652中提出的商品級物項評定的四種方法(①試驗和檢查、②對供貨商進(jìn)行商品級調(diào)查、③源地驗證、④運(yùn)行記錄評價)，對數(shù)字化商品級儀控設(shè)備的軟硬件關(guān)鍵特性進(jìn)行評價(美國核管會在Generic Letter 89-02中認(rèn)可了EPRI NP-5652)，并針對如何驗證數(shù)字化商品級儀控設(shè)備的軟硬件關(guān)鍵特性，提出了一系列的方法和驗收準(zhǔn)則。商品級儀控設(shè)備的軟硬件關(guān)鍵特性主要分為以下三類加以驗證和評價。

①物理特性:硬件的尺寸、結(jié)構(gòu)、安裝方式和軟件版本等特性。數(shù)字化儀控設(shè)備和模擬儀控設(shè)備在硬件物理特性驗證方面沒有差異，均可以通過相關(guān)的檢查和測量等手段加以驗證。需要注意的是，對于數(shù)字化的儀控設(shè)備軟件升版情況需要特別地加以驗證和評價。

②性能特性:設(shè)備在其運(yùn)行環(huán)境條件下執(zhí)行功能的能力以及與功能相關(guān)的性能特性，例如響應(yīng)時間、精度等。數(shù)字化設(shè)備和模擬設(shè)備在性能特性方面的驗證沒有明顯差異，驗證的方法主要有試驗和設(shè)計審查、故障分析和運(yùn)行記錄審查。需要注意的是，性能特性驗證應(yīng)該通過故障分析等方法驗證設(shè)備在特定條件下的故障探測和故障安全特性。

③可靠性特性:由于數(shù)字化設(shè)備執(zhí)行功能的可靠性取決于硬件和軟件兩方面因素，因此對于此類特性的驗證，數(shù)字化設(shè)備與模擬設(shè)備存在較大的差異。硬件的可靠性降低主要是源于裝配制造的缺陷、老化和磨損等因素，但是軟件的故障率高和可靠性低則主要是由軟件設(shè)計、開發(fā)錯誤所導(dǎo)致的。軟件的高可靠性特性主要依靠系統(tǒng)、完整地實施軟件生命周期各個階段的設(shè)計開發(fā)工作，并且在每個階段實施驗證與確認(rèn)過程來保證。因此，對于軟件可靠性特性的驗證重點在于對軟件開發(fā)和質(zhì)量保證過程的評價，包括對軟件驗證與確認(rèn)過程、配置管理和運(yùn)行記錄的評價。

EPRI TR-106439給出了商品級數(shù)字化設(shè)備各類特性的驗證方法、驗收準(zhǔn)則的詳細(xì)說明。通過上述三類特性的驗證，可以評價商品級數(shù)字化設(shè)備(包括軟件部分)是否可以在規(guī)定的條件下執(zhí)行其預(yù)定的功能。

4 結(jié)束語

目前我國所有在建的核電廠均擬采用數(shù)字化的儀表和控制系統(tǒng)。國家核安全局對于安全級數(shù)字化儀控系統(tǒng)中新開發(fā)的安全級系統(tǒng)軟件和應(yīng)用軟件的審查所依據(jù)的標(biāo)準(zhǔn)主要是 IEC 60880、IEEE 7-4.3.2、IEEE 1012和NUREG 0800第7章BTP-14等標(biāo)準(zhǔn)導(dǎo)則。

對于部分結(jié)構(gòu)簡單、功能單一的安全級數(shù)字化儀控設(shè)備中所包含的軟件，特別是設(shè)計開發(fā)工作已經(jīng)完成的軟件，要求軟件設(shè)計方按照上述相關(guān)標(biāo)準(zhǔn)實施軟件的設(shè)計開發(fā)過程和驗證與確認(rèn)過程是不現(xiàn)實的，重新進(jìn)行軟件的設(shè)計開發(fā)及驗證與確認(rèn)工作會造成巨大的時間、人力、物力成本的負(fù)擔(dān)。對比IEC 60880和EPRI TR-106439中關(guān)于商品級軟件鑒定方面的要求，可以看到兩者并沒有本質(zhì)差異，均要求通過評價軟件的關(guān)鍵特性、開發(fā)過程質(zhì)量記錄(包括驗證與確認(rèn)和配置管理記錄)、運(yùn)行記錄等完成商品級軟件的鑒定工作。目前，我國針對商品級軟件的鑒定工作尚處于研究初期，對于商品級軟件的鑒定實施具體方法、程序、條件和驗收準(zhǔn)則，包括審查的方法和準(zhǔn)則，都是下一步亟待研究的重要問題。

［1］ IEC 61226-2005.Nuclear power plants-instrumentation and control systems important to safety-classification of instrumentation and control functions［S］.International Electrotechnical Commission，2005.

［2］ IEC 61513-2001.Nuclear power plants-instrumentation and control systems important to safety-general requirements for systems［S］.International Electrotechnical Commission，2001.

［3］ IEC 60880-2006.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category a functions［S］.International Electrotechnical Commission，2006.

［4］ IEC 62138-2004.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category B or C functions［S］.International Electrotechnical Commission，2004.

［5］ NUREG/CR-6421.A proposed acceptance process for commercial off-the-shelf(COTS)software in reactor applications［S］.Lawrence Livermore Nation Laboratory，1996.

［6］ NUREG 0800，chpt.7.Appendix 7-A，branch technical position HICB-14［S］.Guidance on Software Reviews for Digital Computer-Based Instrumentation and ControlSystems，USA.NuclearRegulatory Commission，2007.

［7］ EPRI-TR 106439.Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications［S］.Electric Power Research Institute，1996.