核电厂数字化设备的商品级评定

Commercial Grade Assessment of the Digitizing Devices for Nuclear Power Plant

毋　琦　任莉华　李世欣　王忠秋

(环境保护部核与辐射安全中心，北京　100082)

核电厂数字化设备的商品级评定

Commercial Grade Assessment of the Digitizing Devices for Nuclear Power Plant

毋琦任莉华李世欣王忠秋

(环境保护部核与辐射安全中心，北京100082)

摘要：在核电厂建造和运行过程中，需要采购大量的商品级物项。这些执行核电厂安全功能的商品级物项需要经过评定，才能用于核电厂。对核电厂商品级物项评定文件体系进行了概述，对核电厂数字化设备商品级评定的流程和方法进行了介绍；同时，对数字化设备商品级评定过程中的设备鉴定与商品级评定关系、数字化设备质量特性评定要素以及数字化设备质量特性验收准则三个重点问题进行了重点讨论。

关键词：核电厂数字化设备商品级评定质量特性安全功能

Abstract：In construction and operation of the nuclear power plants, a large number of commercial grade items are needed to be purchased. These commercial grade items are executing safety functions for nuclear power plants, so it is necessary to evaluate and assess. The file architecture of commercial grade items assessment for nuclear power plant is described. The process and method for commercial grade assessment of the digitizing devices for nuclear power plant are introduced, and in accordance with the three key points in such assessment process are discussed emphatically, i.e., the relationship between device identification and commercial grade assessment, evaluation factors for quality characteristics of digitizing devices, as well as the acceptance criteria of the quality characteristics of digitizing devices.

Keywords：Nuclear power plantDigitizing deviceCommercial-grade assessmentQuality characteristicsSafety function

0引言

对核电厂中执行安全功能的商品级物项进行评定(下文简称为“商品级评定”)的概念和工作起源于美国。从20世纪70年代开始，美国的新建核电厂逐渐减少，已投入运行的核电厂业主面临着大量的备品备件的采购需求，与此同时，部分设备原供应商逐步放弃了原有的满足美国联邦法规10CFR50附录B《核电厂和后处理设施质量保证准则》要求的核质保体系，这导致核电厂业主不得不从替代供应商处采购商品级物项(包括设备、材料、零部件、系统、构筑物以及软件)。按照10CFR50附录B中的要求，在核电厂中使用的用于执行安全功能的设备和部件以及影响设备安全功能的活动都应当符合10CFR50附录B中的要求，按照此要求。从事核电厂安全级设备和部件设计、制造、采购、试验等活动的供应商应当首先建立满足10CFR50附录B要求的质量保证体系(核质保体系)。而这些替代供应商一般没有符合10CFR50附录B要求的质量保证体系，其向核电厂提供的设备及部件多为符合工业标准的商品级产品。因此从20世纪70年代开始，美国核管会(nuclear regulatory commission,NRC)和美国电力研究协会(electric power research institute,EPRI)对用于核电厂中执行安全功能的商品级设备进行评定，用以确定这些商品级物项可以与基础物项(即符合10CFR50附录B的规定，在核电厂中执行安全功能的物项。为表述方便，本文将基础物项称为“核级物项”)一样提供其可以执行核电厂安全功能的合理保证，并逐步建立起比较完善的评定体系。本文将对美国已形成的核电厂商品级物项评定体系进行介绍和讨论，同时针对在核电厂中使用越来越广泛的数字化仪控设备的商品级评定方法和关键问题进行讨论。

1美国商品级物项评定的体系

1988年，在对美国核工业界工业实践进行了一系列调查、研究、分析和评价的基础上，美国电力研究协会(EPRI)发布了针对商品级物项在核电厂中的应用指导报告EPRI NP-5652《核电厂安全有关应用中商品级物项导则》[1]。在这份报告中，EPRI对应用于核电厂中执行安全功能的商品级物项评定背景、目标、基本概念、总体过程、基本方法进行了阐述，提出了对商品级物项采用技术评价加验收的评定方法，并对技术评价和验收的方法进行了具体论述。

1989年，美国核管会(NRC)在Generic Letter 89-02《反赝品和假货的法案》对EPRI NP-5652给予了认可，并对EPRI NP-5652中提出的商品级物项验收方法进行了补充规定。

Generic Letter 89- 02发布之后，1994年，EPRI发布了关于NP-5652的补充报告EPRI TR-102260《商品级物项应用EPRI NP-5652报告的补充指导》。该报告对NP-5652中所提到的一些关键问题进行了补充，主要包括如何对商品级物项实施技术评价、通用验收过程的实施以及评定程序的评价等问题。

1996年，EPRI发布EPRI TR-106439《核安全级应用中的商品级数字化设备评价及验收导则》。该技术报告针对数字化设备的特点，对用于核电厂的数字化设备商品级评定关键特性和方法进行了研究和论述[2]。

在EPRI一系列研究成果的基础上，美国电气电子工程师协会(institute of electrical and electrionics engineers,IEEE)发布IEEE Std.7- 4.3.2-2003《核电厂安全系统数字计算机准则》。其中关于数字化设备商品级评定的条款和规定与EPRI相关研究报告中的观点和结论基本一致。按照该标准的要求，针对核电厂数字化设备的商品级评定分为两个阶段(初步评定阶段和详细评定阶段)，该标准对两个阶段的具体工作和方法作出了具体规定[3]。

在监管层面，除上文提到的Generic Letter 89- 02以外，美国核管会(NRC)还发布了一系列的文件，对EPRI及IEEE相关报告及标准中的商品级物项评定原则和方法进行了认可和补充，主要包括以下内容。

① 管理导则R.G.1.152《核电厂安全系统计算机准则》，NRC通过该导则认可了IEEE 7- 4.3.2-2003。

② 标准审查大纲(SRP)NUREG 0800第7章中对审查人员进行商品级物项评定的审查方法和验收准则提出了明确规定。

③ 1997年，NRC通过评价报告《EPRI TR-106439的审查(TAC NO.M94127)》认可了EPRI TR-106439。

④ 1991年，NRC在Generic Letter 91-05《商品级采购和评定程序》中对核工业界的商品级物项评定程序以及实施过程中存在的问题进行了讨论并提出了监管要求。

⑤ 另外，NRC还制定了关于商品级物项评定的检查程序，主要有INSPECTION PROCEDURE 43004《商品级评定程序的检查》。

此外，在法律层面，美国联邦法规10CFR21和10CFR50附录B中对核电厂商品级物项评定的定义、概念和基本原则进行了规定。

美国关于核电厂商品级物项评定的文件体系具体如表1所示。

表1　美国核电厂商品级物项评定文件体系

2数字化设备商品级评定流程和方法

在EPRI NP-5652中对核电厂商品级物项评定的通用方法，总体来说就是对商品级物项进行技术评价加验收的方法进行评定。在进行商品级物项采购之前，首先要进行技术评价，评价的主要目的是保证在采购文件中所规定的物项包括物项的功能、性能、尺寸、材料、接口等要求满足设计的要求。技术评价的类型根据采购物项的不同分为三种形式，包括同种物项评价、替代物项评价、新物项评价[3]。

验收的主要目的是确认物项满足采购文件中所规定的要求。在 EPRI NP-5652中，提出了四种关于验收的的可选方法，分别是：①针对商品级物项的特殊试验和检查；②商业级调查；③源地验证；④质量记录调查。针对商品级物项评定的总体方法流程如图1所示。

图1　商品级物项评定总体流程

从图1可以看出，在进行商品级物项评定工作时，需要识别物项的关键特性，在EPRI NP-5256中所提出的四种物项验收方法主要围绕被评定物项的关键特性进行验收。该报告将商品级物项的关键特性分为物理特性和性能特性两类。

数字化设备关键特性举例如表2所示。

表2　数字化设备关键特性(举例)

数字化仪控设备的商品级评定流程和方法基本与上述方法和过程一致，但是由于数字化设备的功能实现依赖于软件的功能，例如逻辑符合、数据处理与存储等功能，因此数字化设备的质量由软件和硬件的质量共同决定。在EPRI TR-106439中将商品级数字化设备的关键特性划分为三类：物理特性、性能特性和质量特性(包括可靠性、安全性、可用性、可维护性等)，相比其他商品级物项的关键特性，增加了一类质量特性，质量特性在IEEE Std.7- 4.3.2-2003中也被称为开发过程特性。

3数字化设备商品级评定的重要问题

3.1　设备鉴定与商品级评定的关系

我国的核安全法规HAF102《核电厂设计安全规定》和美国联邦法规10CFR50.49《核电厂安全重要电气设备环境鉴定》中都明确要求对核电厂安全重要物项进行合格鉴定，以验证设备在整个寿期内能满足处于需要作用时的环境条件下执行安全功能的要求。IEEE Std.323《IEEE Standard for Qualifying Class 1E Equipment for Nuclear Power Generating Stations》中关于设备鉴定的定义为“产生和保持证明设备在正常、异常环境条件和设计基准事故下能够按照系统性能要求执行功能的证据的过程”[4]。从上述定义可以看出,设备鉴定是一个产生证据的过程，设备鉴定可以采用试验、分析计算、运行经验方法或这三种方法的组合进行，是设计验证的一种手段，其目的是证明设备能够在其寿期内可能运行的环境条件下执行其安全功能。

按照10CFR21的定义，核电厂商品级物项评定的定义为“为提供商品级物项可以作为基础物项使用，能够执行其安全功能的合理保证的验收过程，经过评定的商品级物项可以等同于按照10CFR50附录B要求设计、制造的基础物项”。根据上述定义，商品级物项的评定工作是针对商品级物项的验收过程，其目的是证明商品级物项的设计、制造过程中的质量控制水平不低于10CFR50附录B中的要求。

通过对比设备鉴定和商品级物项评定工作的定义、目的和依据标准等方面，可以看到设备鉴定和商品级物项评定在以下几个方面存在明显差异。

① 针对商品级物项的评定过程中，物项在其预期的安装、运行和设计基准事故环境条件下执行功能的能力是物项的关键特性之一(为表述方便，本文将此特性称为“鉴定特性”)。针对物项开展鉴定工作是商品级物项评定的重要方面，用于验证鉴定特性是否满足确定的评定要求。对于商品级物项来说，设备鉴定工作是商品级物项评定工作的一部分。

② 设备鉴定是设计验证的手段之一，在设备设计未影响原有鉴定结论的设计变化的情况下，不同批次的设备一般不需要重新进行设备鉴定，这是以设备制造厂商按照核质保的要求对其设备设计和制造过程实施严格控制为基础的。但是由于商品级物项的制造厂商一般没有建立核质保体系，因此，针对商品级物项的评定工作往往带有“批次”的概念。根据之前的评定结果、设备的复杂和重要程度以及相关的运行经验和问题反馈等，采购方可以实施对不同设备批次的商品级物项评定工作，包括对鉴定特性的评定。

③ 设备鉴定和商品级物项评定所依据的标准不同，两者自成体系。关于设备鉴定和商品级物项评定的标准体系不在本文进行讨论。

在进行核电厂安全重要设备采购和验收过程中，采购方必须认识到满足设备鉴定要求不等同于商品级物项可以用于核电厂执行安全功能，商品级物项用于核电厂执行安全功能必须通过商品级物项的评定，证明其质量水平不低于基础物项(核级物项)。这也是核安全审查方特别需要予以关注的方面。

3.2　数字化设备质量特性的评定要素

如上所述，与传统的模拟仪控设备相比，针对数字化设备的商品级物项评定也是针对物项的关键特性进行评定，包括物理特性、性能特性。但与模拟设备不同，数字化设备商品级物项评定所覆盖的关键特性中增加了一类质量特性，IEEE Std.7- 4.3.2中将这类关键特性也称之为开发过程特性。数字化设备与模拟设备相比，前者质量的好坏和功能的可靠性取决于软件和硬件两个方面。硬件的可靠性降低主要是源于装配制造的缺陷、运行老化和磨损等因素，但是软件的故障和可靠性低则主要是由软件设计、开发错误所导致的。软件的高可靠性主要依靠系统、完整地实施软件生命周期各个阶段的设计、开发、集成、测试工作，并且在开发的每个阶段实施验证与确认及配置管理工作。与随机出现的硬件缺陷相比，软件错误具有确定性(即在满足一定条件下，缺陷一定会暴露)、难于检测和定位、层级传递性(即早期的设计缺陷会导致后续一系列的错误)以及难以复现性，因此针对数字化设备质量特性的评定关键和难点在于软件质量特性的评定。

应当注意的是，对于大部分商品级数字设备来说，其中的软件往往不是针对核电厂应用而订制开发的，其设计开发过程在早期已经完成。因此对于数字化设备软件质量特性的评定，主要针对设备供应商在软件设计开发过程中所遵循的体系、方法以及所产生的文件记录进行评定，同时还要对已开发完成的软件设计特性进行评价。数字化设备软件质量特性评定要素如表3所示。

表3　数字化设备软件质量特性评定要素

续表3

3.3　数字化设备质量特性的验收准则

上文列举了数字化设备软件的质量特性评定要素，在讨论这些评定要素的验收准则之前，必须要强调的是，商品级设备的评定工作不是对商品级设备质量的让步接收，其根本目的是证明设备供应商在设备设计制造过程中实施的质量控制水平不低于核级物项的要求。因此，对于数字化设备软件质量特性的评定验收准则是不低于核质保要求及相关的标准的，主要体现在以下几个方面。

① 在进行商品级数字化设备软件开发工作之初应当建立软件开发大纲。在软件开发大纲中应当对软件生命周期进行完整的描述；软件生命周期应当将软件开发过程划分为若干个边界接口清晰的阶段，各个开发阶段的的参与人员、开发输入条件、开发工具、工作任务和开发输出应当确定；软件生命周期的开发过程应当符合相关标准(例如 IEEE 1074)的要求。

② 软件验证与确认及配置管理工作应当贯穿软件生命周期的各个阶段。应当验证软件开发各个阶段的输出满足输入的要求；应当确认最终软件满足软件需求定义的要求；软件验证与确认的工作应当独立于设计开发工作；应当将软件的全部要素包括软件模块、软件文档置于配置管理的控制之下。

③ 软件需求、设计、实施、集成和测试各个阶段应当具有可追溯性。应当在软件需求阶段就明确定义并标识软件功能需求，并以此为基础，在软件开发的各个阶段与软件功能需求项目建立可追溯的对应关系。

④ 软件测试工作应当覆盖全部的软件功能需求，应当确认附加的功能不会影响软件的安全功能。软件测试工作应当包括单元测试、集成测试和异常测试。

⑤ 在数字化设备的故障模式和后果分析工作中，应当识别软件故障模式并采取相应的设计措施；应当在软件开发工作结束后，进行故障模式和后果分析工作，确认没有因为开发工作引入新的故障模式和风险。

由于在进行商品级数字化设备软件的设计开发过程中设备供应商一般遵循的是工业标准，开发过程的记录文件、验证与确认记录和报告、配置管理报告和故障模式和后果分析报告往往是不完整或不完全满足核工业相关标准要求的，因此在进行商品级物项评定的过程中，往往需要评定人员综合考虑数字化设备的运行经验、开发过程中对所确定的质量特性的控制措施、软件的设计特性和软件的复杂程度等因素，同时辅以必要的补充测试，对已开发完成的软件质量做出工程判断。美国NRC认可采用工程判断的方式对商品级物项的评定给出结论意见(多用于缺乏足够的证据文件证明软件设计开发过程满足核质保要求及相关标准的情况)。需要特别说明的是，按照IEEE Std.7- 4.3.2标准中的建议，对商品级物项的评定应当限于对那些功能相对其应用比较简单的物项开展。因此，对大规模的商品级软件开展评定工作是需要审慎对待的。同时，采购方必须认识到不是所有的商品级物项都可以被评定为核级物项。

4结束语

在核电厂建造和运行过程中需要采购大量的商品级物项，这些执行核电厂安全功能的商品级物项需要经过评定才能用于核电厂。2013年，韩国核电厂使用伪劣的零部件导致韩国多座核电机组停运，因此在核电厂商品级物项的采购管理过程中必须开展对商品级物项的评定工作，这对保证核电厂建造质量和运行安全意义重大。本文对商品级物项评定的背景和概念进

行了介绍，梳理了美国核电厂商品级物项评定的文件体系，介绍了数字化设备的商品级评定工作方法和流程，同时针对数字化设备商品级评定过程中的三个重要问题进行了探讨，说明了设备鉴定与商品级物项评定的关系，给出了数字化设备商品级评定的评定要素，并对评定的验收准则进行了探讨。目前，我国针对核电厂商品级物项的评定工作尚处在研究初期的阶段，对于商品级物项评定的法规依据、评定原则、实施具体方法、程序、条件和验收准则，包括审查和监督的方法和准则，都是下一步亟待研究的重要问题。

参考文献

[1] EPRI NP-5652.Guidelinefor the utilization of commercial grade items in nuclear safety related applications[R].Electric Power Research Institute,1988.

[2] EPRI TR-106439.Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications[R].Electric Power Research Institute,1996.

[3] IEEE Std.7-4.3.2-2003.IEEE standard criteria for digital computers in safety systems of nuclear power generating stations[S].Institute of Electrical and Electronics Engineers,Inc,2003.

[4] IEEE Std.323-2003.IEEE standard for qualifying class 1E equipment for nuclear power generating stations[S].Institute of Electrical and Electronics Engineers,Inc,2003.

中图分类号：TH89；TP202

文献标志码：A

DOI:10.16086/j.cnki.issn1000-0380.201507016

通讯作者任莉华(1977-)，女，2004年毕业于华北电力大学电力系统及其自动化专业，获硕士学位，高级工程师；现从事核安全审评工作。

修改稿收到日期： 2014-12-29。

第一作者毋琦(1982-)，男，2006年毕业于华北电力大学自动化专业，获硕士学位,高级工程师；现从事核安全设备审评与安全检验方面的工作。