郑骈垚,钟 柏,,马象睿

(1.中国核电工程有限公司采购部,北京 100840；2.环境保护部华北核与辐射安全监督站,北京 100029)

核电厂DCS软件验证与确认标准体系分析

郑骈垚1,钟 柏1,2,马象睿2

(1.中国核电工程有限公司采购部,北京 100840；2.环境保护部华北核与辐射安全监督站,北京 100029)

通过对软件V&V活动的介绍以及核电厂软件生命周期的划分，明确了核电厂数字化仪控系统软件V&V的目的，即通过验证活动判断系统是否满足设计需求，通过确认活动判断系统设计是否正确。结合核电厂安全级数字化仪控系统软件V&V活动的监督管理实践，总结了美国、欧洲和我国数字化仪控系统软件V&V活动所采用的法规和标准体系。针对我国软件V&V法规和标准体系不健全的问题，通过对比我国与欧洲、美国法规标准体系的差别，明确了我国软件V&V法规和标准体系存在标准体系升版相对滞后、标准路线不统一及欠缺标准转化的系统性等三方面的不足。从长远目标看，我国应完善V&V法规标准体系，使之有层次地逐步细化从法规要求到执行标准要求；从短期要求看，可从软件开发的阶段划分、各项开发计划的形成和实施、V&V活动的独立性和文件记录等方面落实V&V活动要求。

核电厂； 数字化仪控系统； DCS; 软件V&V；标准体系

0 引言

随着计算机技术的不断发展和广泛应用，核电厂仪控系统逐渐从采用模拟技术转向数字技术。软件作为数字化仪控系统的重要组成部分，其质量是保障核电厂安全运行的重要因素之一。软件验证与确认(verification and validation，V&V)是一种过程方法，其主要目标是为软件的质量提供足够的置信度，证明软件具有安全性和可靠性，能够满足其完整性等级要求。

目前，国际上软件V&V活动的标准体系有两个主流，一个是以美国核管制委员会NRC及美国电气与电子工程师学会IEEE颁布的相关法规、导则及标准为主的美国标准体系，另一个是以国际原子能机构IAEA及国际电工委员会IEC颁布的相关法规、导则及标准为主的欧洲标准体系。我国根据IAEA和IEC的有关法规、导则及标准，初步建立了核电厂安全重要系统相关设计、软件验证与确认的法规、导则和标准，尚需根据工程实践不断积累、完善。

1 软件V&V活动的定义

验证(verification)和确认(validation)作为两个分立的过程，由国际标准化委员会在ISO 8402:1994中提出，随后ISO/IEC 12207:1995将验证和确认过程应用于软件生命周期。

我国核安全导则HAD 102/16[1-3]中，对V&V的定义如图1所示。

图1 HAD 102/16中V&V定义示意图

根据IEC 60880:2006[1]的定义，验证是通过检查和提供客观证据，证实该过程某种活动的结果是否符合此活动规定的目标和需求；系统确认(即仪控系统的确认)是通过检查和提供其他证据，证实该系统完全满足预期的需求规格书。IEEE Std 1012[2]将验证和确认合并作为一种过程方法，其将软件V&V活动分为三个层次，即过程、活动和任务。针对某一个过程，其需要完成不同阶段的活动；针对某一个活动，其需要完成不同的任务，以完成软件和需求的验证和确认。

在基于计算机系统的整个生命周期内，验证是保证一个阶段能够满足前一阶段所提需求的过程，也就是针对前一阶段输出结果进行的检查；而确认是为保证集成后的计算机系统(硬件和软件)符合功能、特性和接口需求，对其进行测试和评价的过程，也就是针对系统的需求和目标进行的检查。GB/T 13629-1998[4]中定义：验证与确认是确定一个系统或部件制定的要求是否完整和正确、每个研制阶段的产品是否满足前一个阶段提出的要求或条件，以及最终的系统或设备是否符合预定要求的过程。

2 美国和欧洲软件V&V活动相关标准

为进一步细化核电厂的质量保证和设计的相关法规，指导核电厂业主或者设备供应商取证工作，美国和欧洲的核安全监管部门，发布了一系列的导则或标准，明确了软件V&V活动的一般方法。

2.1 美国软件V&V标准体系

美国软件V&V活动标准体系主要建立在美国核管制委员会NRC联邦法规、管理导则及美国电气与电子工程师学会IEEE行业标准的基础上。美国NRC联邦法规10 CFR Part 50作为最顶层的法规，对核电厂的质量保证及设计作出了规定，要求核电厂保护系统和其他安全系统需满足IEEE Std 603-1991或者IEEE Std 279。第二层标准审查大纲NUREG 0800技术分支BTP 7-14和管理导则RG1.152、RG1.168对基于计算机系统的重要软件V&V活动提出了要求。NUREG 0800[5]认可了一系列IEEE标准，关于安全级软件V&V计划认可了IEEE 1012-1986；RG1.152[6]认可了IEEE 7-4.3.2，而IEEE 7-4.3.2[7]明确了软件V&V活动标准参照IEEE 1012-1998执行；RG1.168[8]认可了软件V&V活动。美国软件V&V活动法规标准体系如图2所示。

2.2 欧洲软件V&V标准体系

欧洲软件V&V标准体系主要建立在国际原子能机构IAEA安全需求、安全导则及国际电工委员会IEC行业标准的基础上。IAEA安全需求GS-R-3(50-C-QA的演变)和NS-R-1对核电厂的质量保证和安全设计给出了总体要求。第二层安全导则NS-G-1.3和NS-G-1.1对核电厂安全重要仪控系统及基于计算机的安全重要系统软件提出了要求。作为行业标准，IEC 61513[9]对核电厂仪控系统提出了一般要求，其中指出，当涉及基于计算机的系统时，该标准应与IEC 60880和IEC 60987结合，以确保系统对软件和硬件方面需求的完整性。根据安全的重要性，将IEC 61226[10]仪表和控制系统功能(系统和设备)分为A、B、C三类。IEC 60880提出了执行A类安全功能的仪表和控制系统的软件需求。IEC 62138提出了执行B类和C类安全功能的仪表和控制系统的软件需求。IEC 60987提出了基于计算机的仪控系统硬件设计需求。欧洲软件V&V标准体系如图3所示。

3 我国V&V法规标准现状及其存在的不足

3.1 我国软件V&V法规标准现状

我国核安全法规HAF 003[11](由50-C-QA Rev.1转化而来)和HAF 102[12](由NS-R-1转化而来)作为最顶层的法规，对核电厂的质量保证和安全设计提出了要求，规定：当安全重要系统设计成依赖于计算机系统的可靠性时，必须确定或制定有关验证计算机硬件和软件的相应标准，并在系统的整个生命周期，特别是软件的开发期间，就加以实施。第二层安全导则HAD 102/14[13](由50-SG-D8 1984转化而来，于2002年升版为NS-G-1.3)和HAD 102/16(由NS-G-1.1转化而来)对核电厂安全、有关仪表和控制系统以及基于计算机的安全重要系统软件的开发和验证活动提出了要求。在核行业标准方面，我国尚未建立属于自己的软件V&V标准体系框架下的可执行标准，而是陆续将国际和国外标准稍加修改后成为我国的国家标准或行业标准。其中，GB 12172-1990等效采用IEC 880-1986标准，对核电厂安全系统计算机软件应用原则作出了规定，IEC 880即为IEC 60880的前身，目前IEC 60880已升至2006版；GB/T 13629-2008修改采用美国标准IEEE 7-4.3.2-2003，对核电厂安全系统中数字计算机的适用准则提出了要求，该标准关于软件V&V活动，认可了IEEE 1012-1998，IEEE 1012已升至2012版，但目前行业内仍普遍采用IEEE 1012-2004版。

我国能源行业(即原来的核行业)也陆续将国际标准转化为行业标准，近几年，已制定的标准有NB/T 20026-2014(修改采用IEC 61513-2011，代替NB/T 20026-2010)、NB/T 20054-2011(修改采用IEC 60880-2006，代替EJ/T 1058-1998和EJ/T 1058.2 -2005)和NB/T 20055-2011(修改采用IEC 62138-2004)。我国已初步形成核电厂软件V&V相关的法规标准体系，具体如图4所示，但标准体系尚未健全。

图4 我国软件V&V法规标准体系图

3.2 我国软件V&V法规标准存在的不足

我国核电厂软件V&V相关的法规标准体系已经初步形成，但仍存在以下几个方面的不足。

①标准体系升版相对滞后。

我国核电质保法规HAF 003依据1988版的IAEA核质保法规50-C-QA(Rev.1)转化而来，50-C-QA于1996年升版为50-C/SG-Q，提出了一些新的理念，如“领导作用”、“持续改进”、“以绩效为基础”的质量管理等；2006年IAEA提出了GS-R-3《The Management System for Facilities and Activities》，直接替代了50-C/SG-Q，以“管理体系”取代法规，囊括了“安全、健康、环境、安保、质量和经济”六个领域，并推动各国参考执行，各国目前尚在研究和进行初步尝试阶段。

欧洲标准考虑到基于计算机的仪表和控制系统的核电站保护系统的大量应用，于2002年将50-SG-D8与50-SG-D3(保护系统及有关设施)整合为NS-G-1.3。我国HAD 102/14由1984版的50-SG-D8转化能源行业标准，在执行中存在一些与工程实践不适应的情况，所以也应适当升级。

②标准路线不统一，美国标准与欧洲标准共存。

我国核电发展主要是引进美国和欧洲的核电技术，尤其对安全级数字化仪控系统，目前仍以进口欧美的成熟技术为主。在标准要求方面，往往是国外供应商占主导地位，大多使用相应国家的标准体系，而不是以满足我国现有相关标准为主，造成了执行层面上美国和欧洲标准体系共存的现状。顶层的法规要求只有一个，而执行层面有两个共存的标准，势必存在部分法规要求落实不彻底的问题。

③标准转化的系统性不足。

GB 12172-1990由IEC 880-1986转化而来，NB/T 20054-2006由IEC 60880-2006转化而来，IEC 880-1986是IEC 60880-2006版的前身，目前已废止。而我国同时存在GB 12172和NB/T 20054，两者不仅不在同一标准体系，且以相对更早的GB 12172作为强制性标准。GB/T 13629-2008依据IEEE 7-4.3.2-2003转化而来，IEEE 7-4.3.2-2003中明确软件V&V相关工作则依据IEEE Std 1012-1998展开，而我国没有IEEE 1012的等效或相关标准。

4 完善我国软件V&V法规标准体系的建议

软件V&V活动作为一种保证软件质量的方法，完善其活动过程对于保证软件质量和提供软件质量的置信度有至关重要的作用。为了能够更好地指导、服务我国核电行业软件V&V活动，针对当前阶段软件V&V法规标准体系不健全的问题，可从长远目标和短期工作要求两方面作好管理工作。

从长远目标看，我国应该完善V&V法规标准体系，从法规要求到执行标准层次，逐步细化要求；从短期阶段看，可从软件开发的阶段划分、各项开发计划的形成和实施、V&V活动的独立性和文件记录等方面落实V&V活动要求。

4.1 长远目标

随着数字化仪控技术在我国核电厂的应用及后续国产化的发展，完善我国软件V&V法规标准体系几乎是业界的一致诉求，使卖方、买方和监管方按照相同的标准尺度说话，使我国核工业在国际舞台竞争时能更好地发挥优势。对于我国V&V法规标准体系的完善，建议着重考虑以下几个方面。

①在法规建设层面，要注重系统性和层次性，完善与计算机软件和V&V活动的相关导则。目前，HAD 102/14应根据NS-G-1.3升版，从而与其他导则相匹配，共同支撑与计算机软件和V&V活动相关的法规要求。

②在借鉴欧美标准的同时，以一种标准体系为主，将其规定作精、要求作细，形成软件V&V活动要求的标准体系。目前，我国已基本形成以IEC标准为蓝本的核电厂计算机软件和软件V&V活动的能源行业标准体系，但在项目执行层面仍存在与美国标准共用的情况，如国内和美国厂家在V&V活动过程和活动划分方面大多参照IEEE 1012，而在独立性要求方面，几乎所有厂家均参照IEEE 1012执行。应考虑以当前的能源行业标准为主体，结合IEEE 1012，形成我国自己的V&V标准体系，以避免引用规范过多、技术要求不清的问题。

③完善软件V&V活动的上、下游标准，形成软件V&V活动的标准体系。软件V&V活动的充分执行，需要计算软件的安全分级、生命周期划分、软件审查和硬件相关标准等上游标准支撑，同时，也需要适当细化V&V活动的下游标准，如V&V活动中某一项工作的具体方法。

4.2 短期要求

V&V作为一种过程方法，在监管过程中要能够做到深入浅出。针对我国当前法规标准体系不健全的现状，可采取分阶段的策略，逐渐深化对软件V&V的监管要求。建议短期内可明确以下几个方面的V&V监管要求，作为法规标准体系完善期的过渡阶段管理要求。

①明确安全级软件开发过程的阶段划分。

安全重要系统的开发应是一个可逐步控制的过程，其本质就是一个逐步逼近的过程。开发过程应分为若干阶段，每个阶段使用前一阶段开发的结果，为后续阶段提供输入信息。根据HAD 102/16，核电厂安全级数字化仪控系统软件应分为计算机系统需求、计算机系统设计、软件需求、软件设计、软件实现、计算机系统集成、安装和调试等七个阶段。

②实施配置管理计划。

数字化仪控系统的开发过程是系统需求不断明确和细化的过程，同时也是对硬件和软件不断明确的过程，需要对需求、硬件及软件进行动态管理，保证需求与实现的匹配以及开发团队工作基线的一致。通过编制并实施配置管理计划，明确软件的基线、版本、版本变更的流程和评估方式，可以使设计团队与V&V团队有“共同语言”。

③软件V&V活动大纲。

在V&V活动实施前，应制定明确的V&V活动大纲，从组织结构、资源需求、工具技术、V&V活动的实施范围和准则、问题的处理、V&V的文档等方面，对V&V活动进行明确的定义，同时给出如何确保V&V大纲实施的方案。IEEE 1012中明确规定了大纲所必须包含的内容。

④软件V&V独立性要求。

独立性是保证V&V活动能够有效开展的关键，包括组织独立性、财务独立性和技术独立性三个方面。对于组织独立性，V&V团队和开发团队必须由处于不同部门的部门领导分别管理和绩效考核，不能有利益相关性；V&V活动不受工程进度和成本的约束；V&V团队的领导要有足够高的权限直接向分管质量的领导或最高领导汇报工作。对于技术独立性，要求V&V团队应使用不同于开发团队的技术和工具完成。对于财务独立性，要求V&V团队应有各自独立的财务预算及决算，以限制资金在开发与V&V活动之间的流动。

⑤文档规范化、标准化、明确化。

软件V&V活动文档，作为V&V活动完成情况和结论的客观证据，有必要对其完整性提出要求，应该明确V&V活动中哪些活动必须形成文档，文档中应该包含的内容等。各阶段的V&V活动必须形成有效的文件记录，期间发生的异常项和不符合项处理过程必须形成详细记录，各类文件必须严格按照厂家V&V工作程序执行。各个阶段的总结报告为必须完成的内容，其中至少应包含该阶段活动所要求的内容、已完成的内容、完成的基本状况、对后续活动的影响等方面。

5 结束语

软件V&V活动能够为软件的安全性和可靠性提供客观的证据。随着数字化应用的不断深入，对核电厂安全级数字化仪控系统软件开展V&V活动将逐渐成为软件开发必不可少的环节。针对当前国内软件V&V标准体系尚不健全、安全级数字化仪控系统大部分靠引进国外技术的问题，我国应逐步健全软件V&V标准体系，监管要求需要逐步深入，既要保安全、保质量，又要逐步培养我国核工业的核心竞争力。

[1] IEC.IEC 60880:2006 Nuclear power plants-Instrumentation and control systems important to safety-software aspects for computer-based systems performing category A functions[S].switzerland: IEC,2006.

[2] IEEE.IEEE Std 1012-2004 IEEE Standard for software verification and validation[S].US: IEEE,2005.

[3] 国家核安全局. 核动力厂基于计算机的安全重要系统软件[R].北京:国家核安全局,2004.

[4] 国家质量技术监督局，GB/T13629-1998 核电厂安全系统中数字计算机的适用准则[S].北京:中国标准出版社,1998.

[5] USNRC.Guidance on software reviews for digital computer-based instrumentation and control systems[R].US: USNRC,1997.

[6] USNRC.Regulatory guide 1.152 Criteria for use of computers in safety system of nuclear power plants[S].US: USNRC,2011.

[7] IEEE.IEEE Std 7-4.3.2-2003 IEEE Standard criteria for digital computers in safety systems of nuclear power generating stations[S].US: IEEE,2003.[8] USNRC.Regulatory guide 1.168 Verification,validation,reviews,and audits for digital computer software used in safety systems of nuclear power plants[S].US: USNRC,2013.

[9] IEC.IEC 61513 Nuclear power plants-Instrumentation and control important to safety-general requirements for systems[S].Switzerland: IEC,2011.

[10]IEC.IEC 61226 Nuclear power plants-Instrumentation and control important to safety-classification of instrumentation and control functions[S].Switzerland: IEC,2009.

[11]国家核安全局.核电厂质量保证安全规定[R].北京:国家核安全局,1991.

[12]国家核安全局. 核动力厂设计安全规定[R].北京:国家核安全局,2004.

[13]国家核安全局. 核电厂安全有关仪表和控制系统[R].北京:国家核安全局,1988.

Analysis of the Standard System for Software Verification and Validation of Digital Control System in Nuclear Power Plant

ZHENG Pianyao1,ZHONG Bai1,2,MA Xiangrui2

(1.Procurement Department,China Nuclear Power Engineering Co.,Ltd.,Beijing 100840,China;2.Northern Regional Office of Nuclear and Radiation Safety Inspection Ministry of Environment Protection of the P.R.China,Beijing 100029,China)

Through introducing the activities of software V&V and dividing the life cycle of software for nuclear power plant, the object of digital control system software V&V for the nuclear power plant is clearly defined;that is the verification activities are to judge whether the system meets the design requirements or not;and the validation activities are to judge whether the system design is correct or not. Combining with the supervision and management practice of the software V&V activities of the safety grade digital instrument control systems in NPP, the regulations and the standard system used for digital control system V&V activities in USA, Europe and China are summarized. Aiming at the problem of inadequate regulations and standard system in our country, the differences from such topics in USA and Europe are compared, and it is clarified that our regulations and standard system has deficiencies in three aspects, i.e., lag in upgrade, the standard route is not unified, and lack of systematic for transformation of the standards. From the long-term goal to see that we should consummate the V&V regulations and standard system, from the regulatory requirements to the execution of standards, to gradually refine a hierarchy of requirements;while from the short-term view, the requirements of V&V activities should be carried out from stage division of software development, formation and implementation of various developing plans, the independence of V&V activities, and documents and records.

Nuclear power plant; Digital instrument control system； DCS; Software V&V; Standard system

郑骈垚(1976—)，女，硕士，工程师，主要从事民用核与辐射安全的监督和评审工作。E-mail:pianyao.zheng@foxmail.com。

TH86;TP273

A

10.16086/j.cnki.issn1000-0380.201703004

修改稿收到日期:2016-04-17