核电厂安全级仪控设备的商品级软件鉴定初论

毋 琦 毛从吉

(环境保护部核与辐射安全中心，北京 100082)

0 引言

从20世纪70年代开始，数字化仪控系统和设备开始逐渐替代传统的模拟仪控系统和设备，在常规工业领域得到了广泛应用。数字计算机在核电厂安全级仪控系统中的应用也有近十年的时间。目前，不但在安全级的保护和控制系统中广泛采用软件控制逻辑，而且在现场的仪表和控制器中采用内置微处理器实现数字化测量和控制也成为一种趋势。

在我国核安全法规HAF 102和导则HAD 102/14中要求对核电厂安全级仪表和控制设备进行设备鉴定，以验证安全级仪表和控制设备始终能够满足设计基准性能的要求，即在可能需要承受的环境条件下，设备仍能可靠地完成其需要执行的安全功能。对于传统的模拟仪控设备的鉴定工作，国内外核工业界已开展多年。目前，针对不同种类的模拟仪控设备，已经形成了相对比较完整和严密的鉴定原则、标准、方法和程序。通过设计评审、鉴定试验和运行经验评价等分析验证手段，可以确认模拟仪控设备是否能够满足其设计基准性能的要求。数字化仪控设备的硬件部分可以参照模拟仪控设备的鉴定方法进行硬件鉴定;但是对于数字化仪控设备所包含的软件部分而言，尤其是已经完成设计开发并已集成至设备中的商品级软件，如何对这些软件进行鉴定，已成为阻碍我国数字化仪控设备在核电厂安全级仪控系统中推广应用的关键问题之一。

1 安全级软件的分类

按照所执行的安全功能的重要性，IEC 61226［1］将核电厂安全重要仪控系统功能分为A、B、C三类。A类安全功能是指为了阻止设计基准事故导致不可接受的事故后果，在达到或保持核电厂安全性方面起到最主要的作用。这类功能在电厂达到次临界状态、余热排出和放射性包容方面是必须的。B类安全功能是指为了达到和保持核电厂安全性，对A类安全功能进行补充的功能，特别是指到达核电厂受控状态后，为了防止设计基准事故导致不可接受的后果，或者缓解设计基准事故后果的功能。C类安全功能是指为了达到和保持核电厂安全性起支持性或非直接作用的功能。对应于 IEC 61226中的安全功能分级，IEC 61513［2］将核电厂安全重要仪表控制系统和设备分为安全1、2、3级。安全1、2、3级仪控系统和设备分别用于执行A、B、C类安全功能，其所包含的软件分别称为A、B、C类软件。IEC 60880［3］对A类软件的开发和验证过程进行了描述和规定，IEC 62138［4］对B、C类软件的开发和验证过程进行了描述和规定。

在IEEE标准中，核电厂仪控系统和设备被分为安全级(1E级)和非安全级。安全级仪控系统和设备用于执行反应堆紧急停堆、安全壳隔离、反应堆堆芯冷却、安全壳及反应堆余热排出和放射性包容等安全重要功能，安全级仪控系统和设备中的软件被称为安全级软件(1E级)。根据相关定义和功能范围可知，IEEE有关标准中的1E级安全功能与IEC 61226中的A类安全功能基本相同［5］，相应的1E级软件基本对应于IEC标准中的A类软件。本文将重点探讨商品级软件用作安全A类软件时所需要完成的鉴定工作。

2 IEC 60880中的鉴定要求

IEC 60880对核电厂A类软件的设计、开发、验证与确认、软件工具的应用等多个方面提出了具体的要求，它是我国目前多数核电厂安全级数字化仪控系统和设备软件遵循的主要标准之一。IEC 60880要求必须对商品级软件进行以下4个方面的评价，以确认软件设计的适当性和软件质量的可靠性。

①适用性评价，即对商品级软件的功能、性能和结构特性是否能够满足需求规格书的要求做出评价。

②质量评价，即对商品级软件的开发过程质量进行评价。

③运行经验评价，即对商品级软件的运行经验，包括故障和错误报告进行评价。这种评价一般作为上述两类评价的补充，用于补充说明①、②类评价中发现的不足和欠缺之处。

④综合评价，对上述三类评价过程中产生的证明文件和相关的补充工作进行评价。

适用性评价的目的主要是论证商品级软件的功能、性能和结构能够满足系统需求规格书，因此，对商品级软件进行适用性分析的前提是此软件具有完整、充分和详尽的功能、性能和结构特性描述，并且在系统需求规格书中定义了对此商品级软件功能、性能和结构的要求。需要特别注意的是，商品级软件必须置于有效的配置管理之下。

质量评价的目的是证明商品级软件的设计特性适用于执行A类安全功能的系统，并且在商品级软件的开发过程中质量保证体系的运转是有效的。因此，进行质量评价的前提是需求规格书中准确定义了由商品级软件所执行的安全功能;同时，软件质量保证软件的需求、设计、开发、测试和修改相关的文档，质量保证记录文件以及验证与确认过程文件是完整的、可查的。需要注意的是，对于商品级软件来说，上述过程记录文件可能会不完整。在这种情况下，必须进行附加的验证与确认、测试或代码分析进行补充验证，并且提供用于证明商品级软件运行经验的文件。

运行经验评价主要作为质量评价的补充。在质量评价过程中，当发现商品级软件的设计特性或质量保证体系运转存在某些不足时，采用运行经验评价可以提高对软件可靠性的置信度。进行运行经验评价时，必须评价以下内容:①运行经验数据的收集方法;②记录相应版本的商品级软件运行时间和产生运行记录的方法;③运行记录的数据，故障和错误报告;④软件修改记录。

在上述评价及相关的补充工作的基础上，应当对商品级软件用于执行规定的A类安全功能的适当性、软件设计、开发的质量水平以及软件的运行记录等方面给出综合评定，即完成商品级软件的鉴定工作。

3 美国核管会的要求

美国核管会在其发布的《标准审查大纲》第7章附件7.0-A中提到“对于商品级计算机的鉴定问题在RG.1.152中进行了讨论，同时，在 EPRI TR-106439中给出了商品级计算机鉴定的一种可以接受的方法”。另外，在BTP-14［6］中提到“应该对诸如智能仪表、断路器或报警模块中所包含的商品级软件进行评价，以确定其能够满足所要求的各项特性。EPRI TR-106439［7］给出了执行这种评价的一种可接受的方法。NUREG/CR-6421［5］提供了关于商品级软件鉴定方面的更为详细的信息”。按照上述描述，可以确定美国核管会已经认可了EPRI TR-106439作为商品级软件鉴定的指导准则。

EPRI TR-106439参考引用了EPRI NP-5652中提出的商品级物项评定的四种方法(①试验和检查、②对供货商进行商品级调查、③源地验证、④运行记录评价)，对数字化商品级仪控设备的软硬件关键特性进行评价(美国核管会在Generic Letter 89-02中认可了EPRI NP-5652)，并针对如何验证数字化商品级仪控设备的软硬件关键特性，提出了一系列的方法和验收准则。商品级仪控设备的软硬件关键特性主要分为以下三类加以验证和评价。

①物理特性:硬件的尺寸、结构、安装方式和软件版本等特性。数字化仪控设备和模拟仪控设备在硬件物理特性验证方面没有差异，均可以通过相关的检查和测量等手段加以验证。需要注意的是，对于数字化的仪控设备软件升版情况需要特别地加以验证和评价。

②性能特性:设备在其运行环境条件下执行功能的能力以及与功能相关的性能特性，例如响应时间、精度等。数字化设备和模拟设备在性能特性方面的验证没有明显差异，验证的方法主要有试验和设计审查、故障分析和运行记录审查。需要注意的是，性能特性验证应该通过故障分析等方法验证设备在特定条件下的故障探测和故障安全特性。

③可靠性特性:由于数字化设备执行功能的可靠性取决于硬件和软件两方面因素，因此对于此类特性的验证，数字化设备与模拟设备存在较大的差异。硬件的可靠性降低主要是源于装配制造的缺陷、老化和磨损等因素，但是软件的故障率高和可靠性低则主要是由软件设计、开发错误所导致的。软件的高可靠性特性主要依靠系统、完整地实施软件生命周期各个阶段的设计开发工作，并且在每个阶段实施验证与确认过程来保证。因此，对于软件可靠性特性的验证重点在于对软件开发和质量保证过程的评价，包括对软件验证与确认过程、配置管理和运行记录的评价。

EPRI TR-106439给出了商品级数字化设备各类特性的验证方法、验收准则的详细说明。通过上述三类特性的验证，可以评价商品级数字化设备(包括软件部分)是否可以在规定的条件下执行其预定的功能。

4 结束语

目前我国所有在建的核电厂均拟采用数字化的仪表和控制系统。国家核安全局对于安全级数字化仪控系统中新开发的安全级系统软件和应用软件的审查所依据的标准主要是 IEC 60880、IEEE 7-4.3.2、IEEE 1012和NUREG 0800第7章BTP-14等标准导则。

对于部分结构简单、功能单一的安全级数字化仪控设备中所包含的软件，特别是设计开发工作已经完成的软件，要求软件设计方按照上述相关标准实施软件的设计开发过程和验证与确认过程是不现实的，重新进行软件的设计开发及验证与确认工作会造成巨大的时间、人力、物力成本的负担。对比IEC 60880和EPRI TR-106439中关于商品级软件鉴定方面的要求，可以看到两者并没有本质差异，均要求通过评价软件的关键特性、开发过程质量记录(包括验证与确认和配置管理记录)、运行记录等完成商品级软件的鉴定工作。目前，我国针对商品级软件的鉴定工作尚处于研究初期，对于商品级软件的鉴定实施具体方法、程序、条件和验收准则，包括审查的方法和准则，都是下一步亟待研究的重要问题。

［1］ IEC 61226-2005.Nuclear power plants-instrumentation and control systems important to safety-classification of instrumentation and control functions［S］.International Electrotechnical Commission，2005.

［2］ IEC 61513-2001.Nuclear power plants-instrumentation and control systems important to safety-general requirements for systems［S］.International Electrotechnical Commission，2001.

［3］ IEC 60880-2006.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category a functions［S］.International Electrotechnical Commission，2006.

［4］ IEC 62138-2004.Nuclear power plants-instrumentation and control systems important to safety-software aspects for computer-based systems performing category B or C functions［S］.International Electrotechnical Commission，2004.

［5］ NUREG/CR-6421.A proposed acceptance process for commercial off-the-shelf(COTS)software in reactor applications［S］.Lawrence Livermore Nation Laboratory，1996.

［6］ NUREG 0800，chpt.7.Appendix 7-A，branch technical position HICB-14［S］.Guidance on Software Reviews for Digital Computer-Based Instrumentation and ControlSystems，USA.NuclearRegulatory Commission，2007.

［7］ EPRI-TR 106439.Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications［S］.Electric Power Research Institute，1996.