商品级物项适用性确认标准体系研究

2019-07-12何志军

自动化仪表 2019年6期

何志军，宋磊

(中国核电工程有限公司，北京 100840)

0 引言

20世纪80年代，美国核管会(nuclear regulatory commission,NRC)引入了商品级物项适用性确认(commercial grade dedication,CGD)的概念。从CGD概念的发展历程看，其起源于现实需求。从质量保证的角度来看，CGD过程可弥补质量保证证据链前端的缺失，确保商品级物项在应用于核安全相关场合的全生命周期中均得以管控。目前，在核电厂核安全级物项，尤其是复杂设备(如数字化设备)中，使用的大量标准产品均属于商品级物项。CGD工作的目标和出发点是对这些标准产品执行技术评价和验收过程，验证其能够满足核安全级物项要求的安全功能。

自本世纪初，我国加大能源结构调整力度，核能在能源结构中的地位日趋重要。截至2019年2月，我国投入商业运行的核电机组共46台，在建核电机组11台。目前，新建项目中大量核安全级物项和在役项目中大批核安全级物项的备品备件需要实施CGD。但由于我国核电标准体系中缺少指导CGD过程的相关标准，为满足核安全监管要求，在国内某几个核电项目的DCS供货过程中，CGD过程均参考了美国电力研究院(electric power research institute,EPRI)相关标准和技术报告。因此，研究CGD标准体系有利于解决目前我国核电行业面临的问题，为健全和完善我国核电标准体系打下坚实基础。这将有助于我国核电走出去战略的顺利实施。

1 CGD标准体系框架

1988年，在对美国核工业界进行了一系列调查、研究、分析和评价的基础上，EPRI发布了针对商品级物项在核电厂中的应用指导报告EPRI NP-5652《核电厂安全有关应用中商品级物项导则》[1]。随后，CGD相关实施导则和技术报告陆续发布和升版，相关顶层法规、标准和导则也不断地修订和完善，CGD标准体系基本建立并日趋完善。

纵向上看，CGD标准体系可以划分为四个层次：法规和指令、导则、基础标准、执行标准。

顶层是法规和指令、导则，属于上游强制性文件，包括美国联邦法规(10CFR21和10CFR50附录B)、导则(RG 1.28和RG 1.152)、标准审查大纲(NUREG 0800)、反应堆管理局发布的技术文件以及NRC通用信函(GL 89-02和GL 91-05)。这些法规、指令和导则并不是针对CGD的，只是部分章节提到相关要求。

中间层是基础标准，是整个CGD标准体系的核心，包括CGD总括性标准EPRI NP-5652、EPRI TR-102260和EPRI TR-3002002982，数字化计算机标准IEEE 7.4.3.2-2003以及质保标准ASME NQA-1。

最下层是执行标准。这些标准主要是针对CGD流程中某一步骤或过程进行详细说明和指导，包括技术评价、抗震评价、抽样指导、数字化设备、CGD相关方法应用和NRC检查手册等。

横向上看，CGD按其工作对象可分为三类：一般物项的CGD、数字化商品级物项的CGD和服务的CGD。其中，关于服务的CGD没有发布单独的指导标准，而是在各层次标准中有不同程度的涉及。

综上所述，CGD标准体系的层次关系如图1所示。

图1 CGD标准体系的层次关系

2 CGD法规、指令和导则

2.1 CGD法规和指令

美国联邦法规由NRC发布，具备强制性。10CFR21《缺陷和不符合项报告》第21.3节给出了基本部件(basic component)、商品级物项(commercial grade item)、关键特性(critical characteristics)、适用性确认(dedication)的定义。由此可见，CGD的重要程度以及美国政府重视程度，表明CGD在质保和物项缺陷管理中的重要作用[2]。这也是在较高等级文件中出现了CGD相关概念的定义。

10CFR50附录B是核电厂和燃料后处理厂质保标准，对应于国内的HAF003 核电厂质量保证安全规定。二者均以法规的形式发布，具备强制性，即核电厂的厂址选择、设计、制造、建造、调试、运行和退役等均需遵照核电厂专用质保体系[3]。当使用一般工业产品时，其制造过程多遵照ISO质保体系，而核安全级设备需遵循核级质保体系，二者有着较大差异。由此可见，CGD的提出是为了弥补非核电厂质保体系制造的产品或服务应用于核电厂的一种措施，本质上是两种质保体系的转化措施。一般认为，核级质保体系比ISO体系更完善和严格。因此，两种质保体系和CGD的关系可简化为：ISO 9000体系下设计制造的产品或服务+CGD=满足核级质量保证要求的产品或服务。需要指出的是，上式只是从质保程序角度而言的，并不能够代替设备质量鉴定的验证作用。

GL89-02《加强对假冒伪劣市售产品的检查行动》是NRC发给所有核电运营和建设许可执证者的一般信函，目的是与所有执证者分享鉴别假冒伪劣产品似乎有效的基本程序，从而保证供应商的产品质量。信函中NRC有条件认可了ENPR NP-5652，并且通过检查活动识别出三个保障采购和确认大纲有效性的要素：采购过程的工程人员参与、产品的验收程序以及适用性确认程序。NRC认为，如果执证者采购程序有效地实施了上述三个要素，假冒伪劣产品被引入核电厂的可能性将会减少。

由于具有核级资质的供货商不断减少，NRC意识到了核电厂物项采购方式的转变。一般信函GL 91-05《持证方商业级采购和适用性确认大纲》的目的，是让持证者有足够时间去充分理解和执行商品级物项采购和适用性确认大纲。该信函表达了NRC关于持证者在商品级采购和适用性确认大纲方面的立场，即提供验收方法来满足管理导则要求。

2.2 CGD导则

导则RG 1.28《设计和建造阶段质量保证大纲要求》描述了为核电厂与核燃料后处理厂的设计与建造而建立并实施一套质量保证标准的研究方法，受NRC认可[4]。该导则是10 CFR50附录B和ASME NQA-1质量保证要求的补充说明。CGD实施过程中，关于质量保证记录的保存、内部审查和外部审查的要求可参考其执行。

导则RG 1.152《核电厂安全系统中计算机的使用准则》描述了一种用于核电厂安全级系统中数字化计算机的，可提高其功能可靠性、设计质量、安全开发和操作环境的方法[5]。该导则中，NRC明确对IEEE 7-4.3.2的资料性附录B～F并不认可。其中，附录C是关于现有商品级计算机的适用性确认，其不认可理由为附录C未给出足够的CGD指导，充分的CGD指导参见EPRI TR-106439。

NUREG-0800《核电厂安全分析报告标准审查大纲》是NRC发布的技术类导则。其中，第7章附录7.0-A提及CGD内容。该附录针对商品级数字化设备验收的审查给出了指导，对数字化商品级物项的适用性确认具有借鉴意义。

3 CGD基础标准

CGD基础标准是EPRI NP-5652，后发布的技术报告EPRI TR-102260对其进行补充。而EPRI TR-3002002982《核安全相关应用商品级物项验收指导》是在EPRI NP-5652和EPRI TR-102260基础上发展起来的，以流程图的形式展现了CGD步骤，并给出了详细的CGD实施案例。其未来将成为CGD的主导标准[6]。

EPRI NP-5652中描述的CGD基本过程最初来源于持证者的观点，而EPRI TR-3002002982第5 节提出的详细过程计划源于持证者和供应商观点的讨论。EPRI TR-3002002982扩展了CGD的通用技术评价过程，并提供了关于CGD过程中每一步更为详细的信息，得出如图2所示的CGD流程图。对于CGD技术评价和验收过程中不包含的活动和步骤未体现在图2中(例如不包含采购活动)。

图2 CGD流程图

如图2所示，CGD过程的主要步骤用实线框表示，而对于包含更为具体流程的步骤则使用虚线方框来表示。实线框和虚线框中的数字为EPRI TR-3002002982中的章节号。相应章节中给出了该步骤的描述、方法和预防措施/经验教训。EPRI TR-3002002982提供一系列基础表格，可用于记录商品级物项(commercial grade item,CGI)的技术评价结果和其他工具的结果，例如商业级调查。此外，EPRI TR-3002002982还参考引用了其他标准文件，对CGD特定活动和复杂商品级物项的确认(如数字化设备和计算机程序)提供了具体指导。

IEEE Std7-4.3.2《核电厂安全系统中数字计算机适用准则》于2003年由电气和电子工程师协会(institute of electrical and electronics engineers,IEEE)发布，目前已被GB/T 13629-2008修改采用。其技术内容是等同的。这是国标中首次定义了CGD的中文名称。IEEE Std7-4.3.2中第5.4.2节提到商品级计算机的质量鉴定，并在附录C中给出了商品级计算机的CGD过程指导。但导则RG 1.152中对此附录并不认可。

ASME NQA-1中也有关于CGD的描述。由于ASME NQA-1是一份质量保证要求文件，其侧重从质保体系角度对CGD进行约束。

4 CGD执行标准

CGD执行标准处于CGD标准体系最下层，主要针对CGD基础标准中的某一过程或步骤进行详细说明和指导，涉及验收样品抽样方法、技术评价、抗震评价、数字化设备以及NRC检查手册等内容。

4.1 验收样品抽样准则

相对于大批量采购而言，由于核电厂采购订单具有数量少和种类多的特点，因此大批量采购中所使用的抽样选择方案并不适用。EPRI TR-017218针对EPRINP-5652中用于商品级物项验收过程所使用的样品选取方案给予指导，着重解决以下问题：①破坏性试验时的样品抽检数量；②选取样品数量时应考虑物项所承担的安全功能及其重要性；③相同批次的选取考虑；④文件记录要求[7]。

针对商品级物项的不同关键特性，抽样方案可能不同。同一个商品级物项，针对其多个关键特性的选择不同样品抽检方案，集合在一起可为其提供可信的、满足验收要求的保证。

EPRI TR-017218中给出的CGD验收方法与样品抽检方案关系如图3所示。

图3 CGD验收方法与样品抽检方案关系图

4.2 技术评价

EPRI NP-6895于1991年发布，结合当时的工业标准和规范，针对核电厂中的系统、部件的安全分级提供指导[8]。导则讨论了各种不同体系下“安全相关”的相互关系，包括10CFR、最终安全分析报告(final safety analysis report,FSAR)、IEEE标准和美国国家标准(American national standard,ANS)。导则涉及从核电厂到零件的所有层级，对运行维修更换部件级物项时进行安全分级评价具有借鉴意义。导则与CGD有关的内容主要是“安全相关”的定义、原则和方法，针对确认“安全相关”物项提供了指导和帮助，方法可参考第9章关于零部件分级的内容执行。

EPRI TR-1008256提供了核电厂更替物项的技术评价过程，给出了一种更替物项的技术评价通用流程，包括物项的安全分级、功能分级和替换物项一致性评价[9]。这些过程也适用于核电厂技术改造中的新采购物项。该标准与EPRI NP-5652和ANS N45.2.13配套使用，涵盖了商品级物项的技术要求和验收。

EPRINP-6406是核电厂更替物项的技术评价导则，重点关注商品级物项的技术评价过程[10]。而EPRI NP-5652关注验收过程。二者共同构成CGD两大主要环节，即技术评价和验收过程。不同的是，EPRI NP-5652对于整个CGD通用过程也作了简要介绍。因此，二者并非单纯的上下游或互补关系。对于二者的关系，可进一步理解为：技术评价过程是为保证设计所确定的采购技术要求是全面和正确的，而验收过程是为保证验收的物项满足指定技术规格要求。前者涉及设计要求确定，属于设计过程，对应文件是设备/采购规格书；后者涉及质量保证，主要是采购过程，对应文件是CGD验收大纲和程序文件。

4.3 地震敏感物项评价

EPRI TR-112579中提到，由于供货商放弃维持核质保体系，导致很多设备或部件设计和制造没有在核质保体系下进行控制，物项通过商品级采购获得。这对地震敏感物项提出了挑战(例如内部有弹簧的继电器)。基于此情况，EPRI TR-112579在抗震鉴定基准与商品级物项用于验收的关键特性之间建立了关联，同时确定了验证抗震关键特性的合理方法。而EPRI NP-7484为确保核电厂在更换有抗震要求的物项时的抗震性能提供了一种实用、经济的指南，同时提供了一种确定在备件和需更换部件的采购过程中能够使其完全满足抗震要求的方法。

4.4 商品级数字化设备

商品级数字化设备作为综合性设备，包括软硬件、固件、接口、开发工具等，其CGD过程最为复杂，实施难度最大。EPRI先后发布了多份标准文件，用于指导商品级数字化设备的CGD实施。商品级数字化设备的CGD标准主要内容如表1所示。

表1 商品级数字化设备的CGD标准

此外，EPRI TR-1003105利用ISO 9000质量管理体系和认证来辅助CGD验收，替代一部分CGD验证工作。其在EPRI TR-1003104的基础上进行了更为详细的解读和总结。同时，NRC还发布了检查手册IP 43004、IP 38703和IP 88114，用于检查CGD程序是否符合10CFR50附录B和10CFR21中关于采购和验收商品级物项作为基本部件使用的要求，以及检查核安全相关物项的失效是否是由于CGD实施过程或有质量缺陷物项的采购过程(10CFR21)导致的。NRC发布的检查手册将CGD过程构成一个闭式循环，确保了CGD各个实施环节的符合性和准确性。

5 CGD标准体系应用探讨

5.1 CGD标准体系的适用性

目前，美国已建立的CGD标准体系涵盖了法规&指令、导则、基础标准和执行标准四个层次，自上而下地形成了一个较为完善、具备可操作性的标准体系框架。而我国目前仅有国标GB/T 13629-2008《核电厂安全系统中数字计算机的适用准则》提及CGD相关概念。该标准简述了商品级计算机的CGD过程，但缺少详细的实施指导；且该标准引用文件中未包含有相关CGD执行标准，不具备可操作性[11]。核电标准NB/T 20088-2012参考EPRI NP-6406编制，规定了核电厂安全级电气设备的零部件更换的基本要求，给出了替代物项、等同物项替代和等效物项替代的术语定义，但未直接提及CGD内容[12]。NB/T标准《商品级物项在核电厂安全级电气仪控系统中的应用指南》尚在待批准阶段，无法用于指导CGD过程。因此，参考EPRI发布的相关标准来实施CGD过程是当前我国核电行业的合理选择。

需要注意的是，CGD标准中的物项分级原则与我国现行法规导则要求并不完全一致。我国目前采用现行有效核安全导则HAD102/03(1986)《用于沸水堆、压水堆和压力管式反应堆的安全功能和部件分级》的规定，依据IAEA SSG-30最新要求制定的安全分级导则尚未正式发布。

5.2 建立和完善我国CGD标准体系的建议

目前，我国制定了《压水堆核电厂标准体系项目表》。但标准体系尚需完善，部分标准之间缺乏良好的协调性，且大多参照上世纪80年代的国外核电标准来完成编制，未能及时吸纳近些年来核电发展的先进成果。这将导致标准更新不及时，整体水平不够高。

在CGD标准方面，目前我国核电标准的顶层法规或导则文件中尚未提及CGD相关内容，属于整个核电标准体系的空白地带。但我国核电行业已逐步意识CGD标准制订的重要性，正在积累大量核电项目CGD实施经验基础上，着手制订相关NB标准。核电法规标准建设是一项十分复杂的系统工程，技术要求高，时间跨度长。因此，如何统筹协调CGD标准制订和体系规划之间的关系，需要核安全监管机构的重点关注,以及核电行业各企业的共同努力。