商品級數(shù)字化設備關鍵特性識別及其驗收方法的研究

孫　武，王眷衛(wèi)，崔澤朋，張　源

商品級數(shù)字化設備關鍵特性識別及其驗收方法的研究

孫武，王眷衛(wèi)，崔澤朋，張源

（中核控制系統(tǒng)工程有限公司，北京 102488）

基于美國的核電質(zhì)量保證體系，安全級系統(tǒng)中使用商品級物項時，可通過商品級物項適用性確認技術以確保其質(zhì)量的可靠性。商品級物項可分為數(shù)字化設備和基于傳統(tǒng)硬件（無軟件）的設備。在國內(nèi)，針對基于傳統(tǒng)硬件設備的適用性確認技術已有一定的應用。但是，針對數(shù)字化設備的適用性確認技術尚未廣泛應用。隨著我國核電站儀控系統(tǒng)升級換代的需求日益增加，數(shù)字化設備的應用勢必將成為主流，而商品級物項適用性確認技術作為將數(shù)字化設備應用于安全級系統(tǒng)的一種方法，其重點和難點是數(shù)字化設備的關鍵特性的識別和驗收方法，而相關內(nèi)容尚未在國內(nèi)形成統(tǒng)一的標準。本文通過對數(shù)字化設備的關鍵特性的分析研究，總結出數(shù)字化設備的通用關鍵特性，并提出了一套針對數(shù)字化設備的驗收方法，可為商品級數(shù)字化設備適用性確認提供參考。

可信性；關鍵特性；商品級物項適用性確認；數(shù)字化設備

商品級物項適用性確認（Commercial Grade Dedication，CGD）在美國已有良好的實踐和經(jīng)驗反饋，并在其核電廠儀控系統(tǒng)安全相關物項的替換中得到廣泛的應用。國內(nèi)核電廠安全級系統(tǒng)中尚未大規(guī)模的應用，核安全監(jiān)管部門也未正式發(fā)布針對CGD工作的具體監(jiān)管要求（僅發(fā)布了能源行業(yè)指導性標準）。從2008年開始國內(nèi)儀控系統(tǒng)設備供應商也在陸續(xù)開展CGD相關的工作，并且積累了一定的工程應用經(jīng)驗[1]。然而，這些實踐和經(jīng)驗都是對基于傳統(tǒng)硬件設備的CGD，而非針對數(shù)字化設備（即包括計算機軟件的設備）的CGD。

CGD整體上分為技術評價和驗證兩個階段，在技術評價階段的主要內(nèi)容之一是確定數(shù)字化設備的關鍵特性，而對商品級物項關鍵特性的驗收是CGD中至關重要的一步，是確保商品級物項可用于核安全系統(tǒng)中有效措施。對傳統(tǒng)硬件設備關鍵特性的識別方法是非常成熟的，其關鍵特性包括物理特性（如設備的尺寸、重量、安裝方式、材質(zhì)等）和性能特性（如設備的輸入/輸出電壓、精度、響應時間等）[2]。但是，對于數(shù)字化設備的關鍵特性，除了上述兩類關鍵特性外，還包括可信性特性。也就是說，數(shù)字化設備的三個關鍵特性是物理特性、性能特性和可信性特性。可信性涵蓋了系統(tǒng)軟件的各種特性，如可靠性、安全性、可用性和可維護性等，它反映了設備能夠執(zhí)行和完成一項任務而未發(fā)生失效的能力[3]。數(shù)字化設備的適用性確認需要解決的基本問題是如何證明其可正確地執(zhí)行預期的安全功能[4]，這個證明的過程就是對數(shù)字化設備的三種關鍵特性進行驗收的過程。

本文對數(shù)字化設備所特有的物理特性和性能特性進行了研究，并對其可信性特性進行重點分析和識別，總結出了典型的數(shù)字化設備可信性特性，提出了一套針對數(shù)字化設備可信性關鍵特性的驗收方法。

1　物理特性和性能特性

數(shù)字化設備的物理特性和性能特性分類如表1所示，對其評估和驗收過程與對傳統(tǒng)硬件設備是一致的，通用的驗收方法包括專門的測試與檢查（方法1）、對供方的商業(yè)級調(diào)查（方法2）、源地驗證（方法3）、供方/物項的歷史性能記錄（方法4），或采用多種方法的組合來執(zhí)行商品級物項的驗收。

表1　數(shù)字化設備的物理特性和性能特性

數(shù)字化設備的物理特性通常是指表征設備外觀、尺寸、物理接口、安裝方式等信息的集合，對于數(shù)字化設備的這些物理特性，在CGD時可僅通過檢查和試驗的方法即可保證其應用于安全級儀控系統(tǒng)的質(zhì)量。但是，數(shù)字化設備由于含有軟件，其中的部分物理特性有其特殊性，在對這些物理特性識別和驗收時應進行額外的關注。如，針對數(shù)字化設備的物理特性中的“硬件版本”或“固件/軟件版本”等進行驗收時，應確定數(shù)字化設備的固件版本號與型號/序列號的關系，還應確定固件版本與應用軟件版本的關系，根據(jù)兩者的關系選擇適宜的驗收方法。如果固件版本與應用軟件版本之間沒有關聯(lián)，則需配合使用商業(yè)級調(diào)查的方法，以確定其版本配置管理的具體實施方法。在對數(shù)字化設備供貨商進行商業(yè)級調(diào)查時，應確定固件版本和應用軟件的關系是否體現(xiàn)在其設計開發(fā)流程中（如文件控制、版本控制或配置管理活動中）。

2　可信性特性

2.1　可信性特性的識別

物理特性、性能特性和可信性特性都是數(shù)字化設備的設計特性[5]，而軟件的設計特性通常又分為軟件質(zhì)量屬性和軟件開發(fā)過程屬性。軟件質(zhì)量屬性和軟件開發(fā)過程屬性對于數(shù)字化設備的正常運行，尤其是其軟件的正常運行都可能產(chǎn)生影響，而其中只有影響數(shù)字化設備安全功能執(zhí)行的那些設計特性才是關鍵特性。即：只有那些影響了軟件的正常運行，繼而影響數(shù)字化設備安全功能執(zhí)行的設計特性才是可信性特性。上述設計特性之間的關系如圖1所示。

圖1　設計特性與可信性特性的關系

從圖1可以看出，對于數(shù)字化設備關鍵特性的甄別，首先應總結出軟件質(zhì)量屬性和開發(fā)過程屬性兩個基本的設計特性；其次分析總結出影響數(shù)字化設備安全功能執(zhí)行的關鍵特性。影響軟件質(zhì)量屬性和開發(fā)過程屬性的因素按照其重要程度可包含若干個[6][2]，本文總結提煉出9個對于數(shù)字化系統(tǒng)安全功能的執(zhí)行起到至關重要的作用，即是可信性特性。為便于本文后續(xù)可信性特性的驗收，將這9個可信性特性分為三類：質(zhì)量保證體系、軟件/系統(tǒng)生命周期模型和管理體系。數(shù)字化設備可信性特性的分類如圖2所示。

圖2　數(shù)字化設備可信性特性的分類

其中，質(zhì)量保證體系包括產(chǎn)品的歷史數(shù)據(jù)及其分析、持續(xù)改進和不符合項控制三個。管理體系包括配置管理、人員及其控制兩個；軟件/系統(tǒng)生命周期模型包括獨立驗證與確認、分析技術、需求追蹤和軟件需求四個。同時，配置管理和質(zhì)量保證應具有獨立性的要求。即，從事軟件配置管理及其質(zhì)量保證的人員應不是負責開發(fā)產(chǎn)品的經(jīng)理和程序員。這種獨立性可通過審查公司的組織架構及相關制度來證明。

以下將重點分析這三類可信性特性在數(shù)字化設備的安全功能執(zhí)行中的作用。

（1）質(zhì)量保證

從事核電儀控系統(tǒng)開發(fā)的專業(yè)化公司都具備HAF003核質(zhì)保體系。在這個體系下，對于數(shù)字化設備的可信性特性，有幾個方面是需要格外的進行關注，這包括對軟件開發(fā)產(chǎn)品的持續(xù)改進措施，包括較長時間的開發(fā)活動記錄，包括開發(fā)過程缺陷的跟蹤與處理、軟件開發(fā)過程的結果評價以及在軟件開發(fā)的早期階段對質(zhì)量控制的措施。

在質(zhì)量保證措施下，公司各個管理層對于產(chǎn)品質(zhì)量的承諾也往往會對軟件的質(zhì)量產(chǎn)生積極的影響，并能夠通過一定的制度保障措施與對應的質(zhì)量承諾相匹配。

（2）管理體系

在數(shù)字化設備的軟件開發(fā)過程中，供貨商相應的管理體系對產(chǎn)品的可信性具有重要的作用。這包括對從事軟件開發(fā)人員的資質(zhì)管理、培訓管理以及控制管理，比如，針對開發(fā)人員應制定年度培訓計劃，培訓過程和效果應具有完成的記錄。開發(fā)人員的能力（包括管理能力和技術能力）和資源可用性應與軟件開發(fā)的難度相匹配，比如開發(fā)人員的業(yè)績和成果等應具備完整的檔案記錄。

由于配置管理在數(shù)字化設備軟件開發(fā)過程中至關重要的，同時也是建立產(chǎn)品可信性特性的重要手段。因此，在數(shù)字化設備軟件開發(fā)過程中應持續(xù)使用配置管理手段。在軟件行業(yè)中，由于配置管理導致的錯誤是經(jīng)常發(fā)生的。在實踐中，可通過檢查供貨商當前的和以往的證據(jù)來確定其配置管理是否充分。配置管理中必須對變更、接口和產(chǎn)品發(fā)布三項進行有效控制。數(shù)字化設備的系統(tǒng)軟件不應隨意重構，尤其是對于已成功應用的系統(tǒng)軟件設計，必須嚴格控制系統(tǒng)軟件的重新設計，非必要時不要修改當前的系統(tǒng)軟件設計。對于系統(tǒng)軟件代碼的修改應經(jīng)過嚴格的變更流程。

（3）軟件/系統(tǒng)的生命周期模型

數(shù)字化設備的生命周期模型應以正式的文件進行確認，這個模型應明確所有的開發(fā)和相關認證活動。

在產(chǎn)品全壽期內(nèi)的生命周期活動中，應具備清晰的軟件需求、IVV以及對產(chǎn)品的危險/風險分析。軟件開發(fā)過程應產(chǎn)生清晰有效的軟件需求，并且軟件需求應進行相應的分析和審查，確保其能明確反映產(chǎn)品的預期安全功能。同時，軟件開發(fā)過程應產(chǎn)生清晰、明確、有文檔化的設計，這些設計可以逐項驗證需求的實現(xiàn)。軟件/系統(tǒng)的生命周期是系統(tǒng)性工程，其開發(fā)過程應通過模型來證明軟件產(chǎn)品是可追蹤的。該模型是可以通過測量評估進行驗證的。IVV應獨立確認需求和開發(fā)屬性以及單個產(chǎn)品質(zhì)量。在IVV活動中明確多維度/多層級的測試內(nèi)容，如單元級、子系統(tǒng)級和系統(tǒng)級。

需求、開發(fā)過程、驗證與確認嚴酷等級以及產(chǎn)品設計等各階段生命周期活動中應始終使用危險分析與風險分析技術。在系統(tǒng)設計的同時，應進行風險分析，通過系統(tǒng)的風險分析識別軟件風險。風險分析應使用“自上而下”和“自下而上”兩種方法，“自上而下”的方法確保解決軟件風險，“自下而上”確保軟件錯誤不影響系統(tǒng)安全。

2.2　可信性特性的驗收

數(shù)字化設備可信性特性的驗收往往是有局限性的，這不僅表現(xiàn)在可信性特性的確認上，其次，確定后的可信性特性往往是數(shù)字化設備開發(fā)過程中的內(nèi)在質(zhì)量特性，這就導致其驗收的過程存在不可定量測量的問題。

針對本文節(jié)2.1總結分析出的數(shù)字化設備關鍵特性，根據(jù)不同類別關鍵特性的特點，并結合對傳統(tǒng)硬件設備的物理特性和性能特性驗收方法，本文提出如下針對數(shù)字化設備關鍵特性驗收方法。表2為數(shù)字化設備物理特性和性能特性的驗收方法和接收判據(jù)，表3為數(shù)字化設備可信性特性的驗收方法和接收判據(jù)。

表2　數(shù)字化設備的物理特性驗收方法

續(xù)表

類別關鍵特性描述驗收方法接收判據(jù) 性能 特性環(huán)境兼容性環(huán)境包括溫濕度、EMC、地震等。對于數(shù)字化設備已完成的環(huán)境兼容性試驗需進行更詳盡的檢查以確保其可用方法1環(huán)境試驗或檢查已完成的試驗報告，分析其適用性

表3　數(shù)字化設備的性能特性驗收方法

3　結論

本文通過對商品級數(shù)字化設備關鍵特性識別及驗收方法的研究，特別是針對可信性關鍵特性的詳細分析，提出數(shù)字化設備典型的可信性關鍵特性，綜合商品級傳統(tǒng)模擬設備的物理和性能兩個關鍵特性的識別和驗收方法，總結出了一套針對數(shù)字化設備關鍵特性的完整的識別和驗收方法，可為商品級數(shù)字化設備適用性確認提供參考，對于商品級數(shù)字化設備用于國內(nèi)新建核電站和和安全級儀控系統(tǒng)升級換代具有重要的借鑒意義。

［1］ 孫洪濤，李紅霞，劉靜波，等．核電廠數(shù)字化儀表控制系統(tǒng)商品級物項適用性確認方法研究與應用［J］．核動力工程，2019，40（4）：80.

［2］ M.Tannenbaum. Guideline for the Acceptance of Commercial- Grade Items in Nuclear Safety-Related Applications［R］． Palo Alto，CA：EPRI，2014.

［3］ J.Dennis Lawrence，G. Gary Preckshot. Design Factors for Safety-Critical Software［R］．Livermore，CA：NRC，1994.

［4］ R.C.Torok. Guideline on Evaluation and Acceptance of Commercial Grade Digital Equipment for Nuclear Safety Applications［R］．Palo Alto，CA：EPRI，1996.

［5］ 石秦，王忠秋，張云波，等．核電廠商品級物項適用性確認研究與應用［J］．自動化儀表，2019，40（6）：54.

［6］ Lawrence J D. Workshop on Developing Safe Software［R］．United States：N.p.，1994.

［7］ Lawrence J D. Software reliability and safety in nuclear reactor protection systems［R］．United States：N.p.，1993. Web.doi：10.2172/10108329.

［8］ Holmstrom K J. Introduction to IEEE Std.7-4.3.2 Annex D—Qualification of existing commercial computers［R］． United States：N.p.，1995. Web.doi：10.1109/23.467759.

［9］ Kindred，Greg.Nuclear Safety via Commercial Grade Dedication-Hitting the Right Target-12163［R］．United States：N.p.，2012.

Study on Critical Characteristics of Commercial Digital Equipment and Its Acceptance Methods

SUN Wu，WANG Juanwei，CUI Zepeng，ZHANG Yuan

（China Nuclear Control System Engineering Co.，Ltd.，Beijing 102488，China）

Commercial-grade items（CGI）being used for safety-class system（especially in its upgrading），Commercial Grade Dedication（CGD）method can be applied for ensuring its quality and reliability under American Nuclear Quality Assurance System. CGI can be generally divided into digital equipment and traditional hardware（without software）equipment，and CGD method for traditional hardware equipment has already been used in some specific applications. However，CGD method for digital equipment hasn’t been widely used in domestic nuclear power plants. As upgrading demands for Instrumentation & Control System in domestic nuclear power plant，application of digital equipment will be an advantage. CGD is one of method for digital equipment being used in safety-class system，and selection for digital-equipment’s critical characteristic and its acceptance methods are key points in digital equipment dedication. However，general standards for these haven’t been drafted. Based on analysis and research of critical characteristic，with summarizing general critical characteristic of digital equipment，an acceptance method for digital equipment is proposed in this paper，which can provide a reference for CGD of digital equipment.

Dependability；Critical Characteristic；Commercial Grade Dedication；Digital Equipment

TL361

A

0258-0918（2021）05-1055-05

2021-07-11

孫 武（1983—），山東青島人，高級工程師，碩士，現(xiàn)主要從事核電DCS管理、設計和驗證方面研究