孟广国，裴红伟，傅春霞，卢 炜，张 晨，林 桢，张 弋

(北京广利核系统工程有限公司，北京 100094)

0 引言

数字化仪控系统(digital instrument and control system,DCS)是核电站的“神经中枢”，控制着整个核电站的运行和各类工况处理过程，对于保证核电站安全、可靠、稳定运行发挥着重要作用[1]。而承担反应堆安全停堆和事故缓解功能的核级控制保护系统，因为要满足单一故障准则、冗余、多样性、故障安全、独立原则等可靠性要求，设计和研制更为复杂。其核心技术过去一直被美国、法国、日本等国家的少数几个公司掌握。

广利核公司历经多年的技术储备和潜心研发，于2010年发布了中国首个自主核级DCS平台——和睦系统，并于2013年取得阳江5、6号机组一体化DCS供货合同。这意味着和睦系统将在DCS设备100%自主化、国产化的百万千瓦级核电机组——阳江5号机组实现首台套应用。

如何做好自主核级DCS首台套的质量保证，国内尚缺乏经验的支撑。经过三年的努力，2016年11月，广利核向阳江核电完成核级DCS设备交付，实现了百万千瓦级核电站核级DCS首堆应用工期无延误，为解决制约我国核电工程建设关键路径的难题作出了示范。

2018年5月23日，阳江核电5号机组并网发电，实现了核电站“神经中枢”中国造。这也验证了广利核创建的核级DCS设计制造质量保证体系的有效性。

1 核安全法律法规要求

我国坚持从高、从严建立核安全法律法规体系，如图1所示。国务院有关部门按照职责分工制定核安全标准。核安全标准是强制执行的标准。

图1 核安全法律法规体系

广利核公司依照《民用核安全设备监督管理条例》(国务院令第500号)及其配套文件、《民用核安全设备设计制造安装和无损检验监督管理规定(HAF601)》、《核电厂质量保证安全规定》(HAF003-1991)及其相关导则的原则和要求，建立了质量保证体系。

在核级质保大纲的统领下，广利核公司针对所有对质量有影响的活动制定了程序、细则。公司严格按照质保体系文件规定的要求和方法对安全级产品的设计和制造活动进行控制，及时发现不符合项并加以纠正，确保安全级产品的质量和可靠性。同时，依据国家的监管要求，对核安全级产品设计制造活动及时备案，接受国家核安全局监管[2]。

2 核级DCS全生命周期质量保证过程

核电站数字化仪控系统的设计制造是一个综合、复杂的工程，涉及多学科、多专业、多工种，并且需要多个部门长期共同协作。在阳江5、6号机组一体化DCS供货过程中，涉及产品研发、工程设计、采购、制造集成、检查和试验、运维服务、质保监查、质量监督等专业[3]。厂内的设计制造周期通常在20个月以上。自DCS的产品研发到其在核电站现场长期运行，直至其退役的全生命周期过程中，DCS产品必须保障核电站的高质量和高可靠性的运行。广利核公司经过自主DCS在阳江5号机组的首台套应用实践，验证了公司全生命周期质量保证过程的有效性，既保证了工程工期，又实现了“零缺陷”出厂，达到了质量、进度、成本的平衡。核级DCS的全生命周期质量保证如图2所示。

图2 核级DCS的全生命周期质量保证

HAF003将质量保证活动分为两类：一类是实现质量的活动，即为使公司安全级产品设计、制造、系统集成和运维服务等活动达到相应的质量所必需的活动；另一类是验证质量的活动，即为验证所有工作已正确地履行，验证所要求的质量已达到并产生了客观证据所必需的活动。

广利核公司的核质量保证体系中，实现质量的活动主要包括产品研发、工程设计、物资采购、生产集成、安装调试、运维服务等。伴随着每一项实现质量的活动，公司设置独立的部门和人员，在不受工作压力、成本和进度影响的情况下，对核级DCS产品设计制造全生命周期过程开展设计审查、产品测试、进货检验、生产工序检验、工程测试、设备鉴定试验等质量控制(quality control,QC)活动。

针对核级DCS的特点，按照标准要求，对安全级软件开展独立的审查评估、专项分析等验证与确认(verification and validation,V&V)活动。

1.1一般资料选取2016年12月到2017年12月的经超声、CT或MRI检查结合临床病史确诊为细菌性肝脓肿的患者72例,男41例,女31例;脓肿直径为5~18cm。将患者随机分为细针抽吸组36例,置管引流组36例;其中置管引流组年龄为(30~85)岁,平均年龄(58.8±3.19)岁;细针抽吸组年龄为(32-84)岁。两组一般资料无明显差异(P>0.05)。

公司设置独立的安全量保证部门，针对质保体系各要素，开展质保策划、质保监查、过程审计、管理部门审查等质量保证(quality assurance,QA)活动，依据质量计划对设定的见证点实施质量监督(quality surveillance,QS)活动，项目QA活动、全周期QC活动以及针对安全级软件的V&V活动等内容，构成了全生命周期质量保证过程的关键环节[4]。

3 全面的质量控制过程

图3是核级DCS测试活动图。

图3 核级DCS测试活动图

质量控制的目的是使产品、系统或过程的固有特性达到规定的要求。质量控制是贯穿在产品形成和体系运行的全过程。对影响质量的人、机、料、法、环等因素进行控制、验证，以便及时发现问题、查明原因、采取措施，防止类似问题的重复发生，并使问题在早期得到解决，减少经济损失。质量控制活动包括设计文件审查、生产检验、物料检验、测试等活动。核级DCS产品构成复杂，包括系统软件、嵌入式软件、可编程逻辑、硬件板卡、机箱、机柜、盘台等。如何对其单个产品以及构成的系统产品进行多层次的全面测试活动，是质量控制的核心。

公司依据HAD 102/16-2004、NB/T 20026-2010、NB/T 20054-2011等标准，经过不断实践经验总结，摸索出一套严谨、全面的核级DCS测试过程以及详细的活动要求，与产品实现的瀑布模型共同构成了测试验证V模型。各个测试阶段紧密衔接，按顺序执行。

根据软件工程的质量模型“1∶10∶100定律”，在产品研发和工程实施过程中，每推迟一个过程阶段，缺陷的清除成本将增加10倍。因此，公司将DCS的测试活动尽量提前。测试活动从单元测试开始，包括软件单元测试、硬件单板测试、可编程逻辑测试；然后是软件、硬件的产品确认测试以及结构测试；将软硬件及结构装配集成一个系统之后，开展系统集成测试、系统测试、工厂测试、工厂验收测试以及现场改造测试等。

4 独立的验证与确认过程

对执行安全功能的软件进行独立的V&V工作，是保证软件质量的必要手段之一。核安全级软件的验证和确认是基于相关法规和标准的指导，贯穿于软件生命周期全过程的、用于验证软件生命周期各个阶段活动的输出满足此活动的要求，并确认系统可以执行其预期的功能且满足用户需求的一组系统化、工程化的活动[5]。

针对核级DCS软件的V&V活动必须遵循HAF 102、HAD 102/16等核安全法规和导则的要求，同时满足GB/T 13629及IEC 60880等核安全相关标准的要求。在V&V执行过程和方法上，选取IEEE Std 1012作为主要指导标准[6]。核级DCS软件V&V针对软件生命周期中开发过程，依次开展概念阶段V&V、需求阶段V&V、设计阶段V&V、实现阶段V&V、测试阶段V&V活动。每个阶段的V&V活动包括若干目的明确的任务。通过这些任务证实软件产品是符合产品需求和用户要求，以及符合标准法规的要求。图4是核级DCS软件开发过程各阶段应包含的V&V活动与任务。

图4 V&V活动与任务图

5 核级DCS设计制造质量保证良好实践

①主动与上下游沟通交流，构建透明的核安全文化。

由于阳江5号机组是自主核级DCS在百万千瓦机组的首台套应用，为了及时把控安全质量风险，公司主动与上下游进行质量沟通，强化透明的核安全文化，对存在的安全质量隐患及问题，及时制定有效措施，做到发现问题立即整改。

公司组织定期与工程公司的质量沟通会议，涉及核安全文化、质保体系、供应商管理等内容；组织与国家核安全局、核与辐射安全中心以及华北核与辐射安全监督站等监管部门召开质量管理研讨会，澄清概念、分析案例，主动查找自身质量管理和核安全文化建设方面的不足之处，深入剖析原因并制定改进措施；建立供应商质量帮扶机制，对供应商所承接的外协产品制造过程中的质量控制流程、重要工艺等进行梳理，排查制造过程质量控制可能存在的薄弱环节及风险，与供应商共同制订改进措施。

②投入充足的质保人员和设备，为打造高质量核级DCS提供资源保障。

为充分落实质量保证组织独立性要求，广利核经历了由人员独立逐步发展到完全组织独立的过程。公司专门成立安全质保部、质量控制部、验证与确认部，独立于设计/制造部门，开展各项质量保证和验证工作；充分的人力资源投入，确保质量保证人员能力、经验、知识、技能满足所执行质量验证工作的要求。同时，对公司建设的国内唯一一套核安全级DCS板卡生产线，坚持做到对每一个板卡制造工序进行充分检查和全面测试，识别和掌控各制造工序质量风险点，确保每个板卡质量可靠，为打造高质量核级DCS提供资源保障。

③使用自动化测试装置，减少人因失误。

为确保核级DCS满足高质量、高可靠性的要求，在交付核电运营方之前，每台机组要进行全面的功能和性能测试单体测试、集成测试到系统测试的3个大测试阶段，涉及32个测试类，共283个测试大项，74 000多个测试小项。为减少人因失误，提高测试效率，通过搭建包括硬件可靠性测试和基础平台系统测试的自动化测试系统，覆盖了常规配置、边界配置、极限配置，并模拟设备真实运行状态，自动化测试系统负载达到实际应用系统的2倍。通过自动化测试工具，使单机组DCS测试自动化率达到20%，测试效率提升20(人×月)，累计发现设计缺陷43 000余条，实现了更广、更深的测试覆盖，效率和准确性明显提高，切实消除了后端工程应用中的质量风险。

④开展错漏测分析，落实经验反馈。

开展全范围的错漏测分析，通过对厂内FT/FAT发现的缺陷进行分析，研发质量防线的漏洞；通过对阳江现场调试过程中发现的缺陷进行分析，工程质量防线的漏洞。找到漏掉这个缺陷的根本原因，也就找到了质量防线的漏洞。通过邀请广核工程公司和运营公司的经验反馈专家来交流和培训经验反馈，提升了根本原因分析方法和思路，进而不断完善经验反馈体系，实现收集、筛选分级、原因分析、制定纠正措施、落实、跟踪和验证关闭的闭环处理，确保有分析、有水平展开、有行动、有落实监督和评估。

6 结束语

通过分析核级DCS设计制造质量保证法规和标准要求，建立核级DCS全生命周期质量保证过程、全面的质量控制过程以及针对核级软件独立的验证与确认活动。依托阳江5号机组项目的自主化应用，实现核级DCS全生命周期质量保证活动的具体实践，并不断持续改进和优化。总结和睦系统在阳江5号机组工程应用过程中的质量保证良好实践，为核电领域相关单位后续开展核级DCS设计制造质量保证提供借鉴。