商用数字化设备在核安全级仪控系统中适用性确认研究及实践
2019-03-02王晓燕张亚栋杜乔瑞周小波
王晓燕,张亚栋,杜乔瑞,周小波
(北京广利核系统工程有限公司,北京 100094)
0 引言
核电作为清洁能源,在能源匮乏的今天,越来越受到人们重视。中国作为能源消耗大国,正以积极态度,在确保安全前提下大力发展核电,这为核电事业的发展带来了前所未有的机遇,但同时也带来了巨大的挑战,其中就包括对核电站核安全相关物项的使用,因为这些核安全相关物项的性能直接影响到核电安全。
早期,核电站核安全相关物项都必须从合格的核级供应商采购,即其设计与制造都符合核质保大纲要求。随着几起核泄露事件的发生,核电发展处于停滞状态,使部分供应商放弃苛刻的核质保大纲要求转做其它项目,符合核质保大纲要求的供应商越来越少。但随着核电的发展,核安全相关物项的供不应求,美国针对所需部件难以寻找满足要求的核级供应商的问题,经过多年研究,已逐步形成一套较为完善的商品级物项适用性确认(Commercial Grade Dedication,CGD)方法,作为核电厂安全重要领域控制零部件质量,杜绝引入不良品的重要手段,保证商品级物项(Commercial Grade Item,CGI)满足核电厂功能安全要求,CGD 方法已逐步得到国际核电业主及承包商的认可和支持。
商品级物项是:1)不是为核设施专门设计或不以核设施特有的技术要求为条件;2)用于非核设施;3)按制造厂产品说明(例如样本)中规定的技术条件从制造厂或供货商处采购。商品级物项有3 种:①通用纯软件;②数字化设备;③通用纯硬件设备。本文商品级物项特指数字化设备,即商业数字化设备。
随着核电的发展,核电站要求的功能越来越多,由于核安全数字化设备供不应求和技术发展的限制,导致需要采取非核级厂家的数字化设备。由于软件不同于硬件,硬件是看得见、摸得着的物理部件或设备,软件产品是以程序和文档的形式存在,通过在计算机上运行来体现他的作用。在研制软件产品的过程中,开发过程是在无形化方式下完成的,其能见度极差,这给软件验证带来了极大的困难。随着软件的复杂度越来越大,软件失效概率急剧上升。如何对商用数字化设备进行验证达到核安全级相关标准要求是使用商用数字化设备前提,也是关键;目前国内导则和标准空白,美国标准中并未明确具体指导方法,所以对于商用数字化设备验证一直是当前的难题。
1 与商用数字化设备有关标准要求
中国目前已经在核安全导则HAD102/16 以及相关国标GB/T13629-2008(修改采用IEEE std 7-4.3.2-2003)中提出了商品级鉴定概念[2],但是还未形成完善、可实施的方法和程序。HAD102/16 附录I 专门针对按其他工业安全关键应用中的高标准开发的软件的使用和确认提出了相关要求和建议[1]。
得到RG1.152 背书的EPRI TR 106439 明确软件CGD如下:
识别CGD 对象,进行关键特性识别,确定关键特性验证方法及接受准则,执行验收活动。其中,关键特性验证包括4 种方法:测试、源地验证、商业级调查和运行经验[8]。
IEEE1012 的附录D 对于可复用软件(软件库软件、其他用途开发的定制软件、商品级软件、现存软件)的鉴定提出了较为详细的要求,主要体现在如下几个方面[6]:
1)在软件预期用途所在领域环境中,指定一个完整性等级,以确定要执行的最小的V&V 任务集。
2)当软件开发汇总适用的信息被标识的、可获取和有组织的,应根据软件的完整性等级,开展相应等级软件V&V 最小任务(例如:概念V&V、需求V&V、设计V&V、实现V&V、测试V&V)。
3)当软件所需V&V 输入不可用,且软件要求具有高置信度时,应考虑使用替代分析和测试方法代替V&V 任务,以得出软件正确性、完整性、准确性和可用性的客观结论。
IEC61513 指出需要进行质量鉴定,包括软件、硬件和系统方面质量鉴定[3]。软件的质量鉴定指向了IEC60880 的要求,硬件的鉴定主要是环境、抗震等,指向IEC60780 的要求等。IEC60880 对核电厂A 类软件设计、开发、验证与确认、软件工具的应用提出了具体要求,同时也对预开发软件的鉴定提出要求,主要包含如下4 个方面:①对PDS 的功能和性能特征以及现有的鉴定文件的适用性评估;②软件开发过程的质量评估;③运行经验评估;④系统测试[5]。
通过对以上标准的研究,对于商品级物项鉴定的具体实施方法、程序和验收准则,包括审查的方法和准则,都主要参考欧美相关标准体系。本文针对商用数字化设备的验证过程采用美国的CGD 流程,首要满足国内法规和标准,同时参考IEC 标准相关要求。
2 商用数字化设备适用性确认研究
根据EPRI NP-5652、TR-106439 所规定的方法,对一个用于核电站商品级物项的鉴定使用通常分为两个阶段:技术评估阶段与检验验收阶段[7,8]。技术评估阶段是工程师根据自身经验与核安全相关系统需求,界定此商品级物项的适用范围、设计的安全相关功能、使用条件,并要考虑可能发生的失效及影响和一些关键特性;检验验收阶段是根据技术评估阶段的要求,选择合适的检验方法与接受标准,并对其进行检验验收。在这两个阶段实施过程中,很重要的一点是都需要形成文件来记录实施过程,做到有据可查。只有这两阶段完成且合格后,此物项方可使用。
2.1 技术评估阶段
作为商品级物项适用性确认过程的重要组成部分,技术评估是适用性确认过程的基础。只有做好技术评估,后续的检验验收才能全面有效地验证该物项的性能。技术评估主要从以下面方面来进行:
1)商品级物项所执行功能、确认在核电站中所执行的安全相关功能,安全等级及适用范围。
从商用数字化设备的功能、性能、接口、失效处理、安全防范角度验证是否满足系统需求和系统设计要求。采取的方法可以是可追溯性分析、接口分析、失效分析、安全防范分析等,确定商用数字化设备所执行安全相关功能、安全等级和适用范围。
2)分析商品级物项的失效模式,及在其失效时对核安全相关系统或功能的影响;确定商品级物项的关键特性。
根据核仪控系统的设计和商用数字化设备需求的要求,对商用数字化设备进行可能导致安全功能失效的异常状态和事件危险分析,根据故障模式和后果分析的结果判断故障模式是否采取相关措施进行处理;确定失效时对核安全相关系统或功能的影响,结合执行安全功能,确定关键特性。
3)关键特性识别和划分
关键特性根据使用的安全功能和使用约束来确定关键特性,依据EPRI 106439 第4 章的指导,商用软件的关键特性同硬件CGD 的关键特性一样,分为包括物理特性、功能/性能特性、可信性特性3 大类型,具体如下:
① 物理特性:主要包括型号、大小、颜色、重量、材质、软件版本号等。
② 功能/性能特性:使用的功能、接口、精度、温度、相对温度、抗震及EMC 等。
③ 可信性特性:质保和管理、软件开发和验证,硬件开发和验证、生产制造等。
2.2 检查验收阶段
根据被美国核管会认可的导则NP-5652 检验验收方法包括以下4 种:①特定检验和试验;②对供方的商品级调查;③对物项的源地验证;④供方/物项表现记录的可接受性。根据所选择的检验验收方法鉴定合格,且商品级物项的可追溯性符合核级物项要求,形成并保存记录,即认为所选商品级物项可像核级物项一样用到核安全相关应用中。对于商用数字化设备,在实际验收中对于不同特性采取不同验收方法:对于数字化设备的物理特性、功能/性能特性验收采取方法1 特定检验和试验(可以是测试、环境与抗震的鉴定、检验)进行验收;对于含有的软件的数字化设备,由于软件的复杂性、重要性,对于软件开发和验证的可信特性的验收采取白盒化的验收方式,即软件V&V 或软件V&V 审查方式(属于特定检验和试验);对于质保和管理、硬件开发和验证、生产和组装及调试可以采取商业级调查方式验收;对于软件版本确认可以采取源地验证进行验收,如果感觉供应商提供证据不足,可以采取运行经验分析进行补充。
① 软件V&V 或软件V&V 审查
执行该种方法的前提是供应商提供商用数字化设备的需求、软件需求、设计和源代码,如果执行软件V&V 审查,供应商还需要提供对应于商用软件版本的V&V 一套完整文件;该种方法主要验证软件开发过程和软件验证过程。
◇ 用户独立执行软件V&V 工作,满足HAD102/16和IEEE1012-2004 对于软件V&V 的管理独立性、技术独立性和财务独立性的要求。在执行软件V&V 工作需按照IEEE1012 的SIL4 和相关标准要求(例如IEC60880),执行软件V&V,对数字化的设备功能分配、不同类型接口(软软接口、软硬接口、人机接口、通信接口)危险源、敏感源、风险等方面进行评估和分析,对软件进行单元测试(语句覆盖100%、分支覆盖100%、修正条件判断覆盖100%)集成测试和系统测试,从而确保数字化设备软件满足核安全要求。
◇ 对供应商提供的软件V&V 材料进行审查,首先要审查执行第三方V&V 的单位是否具备软件V&V 的能力,同时验证该单位是否满足HAD102/16 和IEEE1012-2004 对于软件V&V 的管理独立性、技术独立性和财务独立性的要求。在这两个条件满足的前提下,审查软件V&V 的过程、方法和结果;审查依据的标准是V&V 工作需按照IEEE1012的SIL4 和相关标准要求(例如IEC60880)。
② 进检、环境与抗震有关鉴定
按照标准TR-017218 抽取样品[4],对商用数字化设备的物理特性和功能/性能进行进检;对环境与抗震有关关键特性,按照核安全有关标准进行鉴定,本文就不具体展开。
(六)仔猪合理补饲 仔猪出生后,应让其及早(15 min内)吃上初乳,获得被动免疫保护。及时补铁,则可有效防治仔猪营养性贫血,增强仔猪抵抗力。在7日龄左右,仔猪即开始补喂全价饲料,在保证仔猪生长发育所需的必需氨基酸条件下,饲料中粗蛋白质含量应控制在19%以下。在断奶前后,避免突然变换饲料引起应激性腹泻。仔猪饲料中适当补充矿物质、微量元素、维生素、有机酸、复合酶制剂和微生态制剂等,可提高饲料蛋白质的消化率,促进营养物质的消化吸收,加快仔猪生长发育,有效地预防和降低仔猪腹泻。
方法二:商业级调查
该方法可以对商用数字化设备进行商业级调查,以获取供应商采用的商业控制措施的可信度。这些控制措施可以是基于质量程序、规程和实践。商业级调查包括3 部分:软件部分的商业级调查、硬件部分商业级调查、生产制造部分商业级调查。首先应准备调查计划,以确认供应商保持了对商用软件所要用到的每一个关键特性的控制。调查报告应该描述供货商所使用的方法,用于评估方法的证据以及确认方法被使用的客观证据,以及调查人员的结论。
方法三:源地验证
源地验证方法主要是商品级物项发运之前,在供应商工厂进行质量见证活动,进行关键特性验证,见证内容可以是制造和装配过程、非破坏性检验、性能测试或最终检查,还可包括确认供应商的设计、采购、校准以及为采购某些特殊的商品级物项而采用的材料控制方法等。
方法四:供方/物项表现记录的可接受性
在质量评估不充分的情况下,适当的商用软件运行经验可补充商用软件的置信度。根据供货商提供的数据或从其他用户得到的数据,对产品运行经验进行评估;根据要使用商用软件的版本、配置和功能使用情况,对已运行的商用软件配置、功能和被评定软件的相似性或一致性进行运行经验总结。方法4 最适用于以下两种情形:对于一个或多个关键特性,与另一个验收方法结合,作为减少样本量的基础;当其他关键特性通过另一种验收方法的使用得到验证时,作为验收某一特定关键特性的基础。
在实际执行时,物项在其他领域的历史性能记录很难获取,一般情况下,可基于物项的一些工业标准认证、供应商提供的物项的相应的返修情况等,以及物项在自身项目中的一些应用情况等。
3 应用实践
公司预采购某供应商的驱动设备用于核电仪控系统中,要求供应商提供驱动软件的需求、设计和源代码,同时也支持商业级调查。
公司按照CGD 流程对其进行技术评估和检查验收,首先进行安全功能确认、关键特性识别;根据关键特性确定验收方法,具体验收方法如下:
方法一:特定检验和试验
对于数字化的物理特性采取进检检验方式(属于特定检验和试验)验收;对于功能/性能特性验收可以采取进检检验(属于特定检验和试验)和环境、抗震有关鉴定方式(属于特定检验和试验)进行验收;对于含有的软件的数字化设备,由于软件的复杂性、重要性,对于软件开发和验证的可信特性的验收采取白盒化的验收方式,采取执行软件V&V(属于特定检验和试验)。
①执行软件V&V:公司的V&V 团队在接收到供应商提供的驱动设备需求、可编程逻辑需求、设计和源代码后,执行软件V&V;依据的标准是IEEE1012、IEC62566、HAD102/16;按照软件生命周期执行概念V&V、需求V&V、设计V&V、实现V&V 和测试V&V;针对V&V 提出的问题供应商进行修改,V&V 的结论是通过。
②进检:本项目共需25 台,供应商提供的25 台是同一生产线、同一批次的,根据相关标准和设备的功能简单、单一的特性,采取了常规抽检6 台,验证物理特性、部分功能和性能特性。在对功能和性能验证中,首先编写测试需求和设计,在测试设计中验证常规功能情况下,增加了异常测试、接口测试、边界测试,同时考虑驱动软件在系统中应用各种工况的测试。
③环境和抗震的鉴定:公司按照鉴定有关的标准执行,有关鉴定内容在此不详述。
方法二:商业级调查
商业级调查包括3 部分:软件部分的商业级调查、硬件部分商业级调查、生产制造部分商业级调查,具体验证要求如下:
①软件部分商业级调查:调查范围涉及到软件质保大纲、项目管理、配置管理、软件变更、异常处理、开发环境、人员资质等方面,通过对其进行商业级调查,验证软件部分质量保证是否满足核质保要求。
②硬件部分商业级调查:调查范围涉及到硬件质保大纲、项目管理、供应商评价、硬件设计、硬件验证、采购文件、配置管理、硬件变更、异常处理、开发环境、人员资质等方面,验证硬件部分质量保证是否满足核质保要求。
③生产制造部分商业级调查:调查范围涉及到进料检验、制造过程控制、软件下装、生产测试、生产及测试设备和仪器控制、包装运输管理等方面,通过对其进行商业级调查,验证生产制造部分质量保证是否满足核质保要求。
方法三:源地验证
为了确保驱动设备出厂前的质量,在驱动设备出厂前,公司人员选取了功能和性能特性中关键验证点和公司不具备的验证点,在供应商测试场地,抽取了6 台驱动设备,由供应商按照公司选取验证点进行测试,公司人员进行见证。
方法四:供方/物项表现记录的可接受性
针对公司使用驱动设备版本和相近版本,对驱动设备的销售情况、维修情况、实际应用情况进行评价。
4 小结
在核电厂设计、建造和运行过程中需要采购大量的商品级物项,这些执行核安全级功能的商品级物项需要进行评定才能应用。本文通过对国内外标准对商用数字化设备的要求,提出适合中国国情的、可操作的适用性确认过程和方法,用于指导商用数字化设备验收工作具体执行,确保商用数字化设备能够正确可靠执行安全功能达到核电要求。