商品级数字化设备关键特性识别及其验收方法的研究

孙　武，王眷卫，崔泽朋，张　源

商品级数字化设备关键特性识别及其验收方法的研究

孙武，王眷卫，崔泽朋，张源

（中核控制系统工程有限公司，北京 102488）

基于美国的核电质量保证体系，安全级系统中使用商品级物项时，可通过商品级物项适用性确认技术以确保其质量的可靠性。商品级物项可分为数字化设备和基于传统硬件（无软件）的设备。在国内，针对基于传统硬件设备的适用性确认技术已有一定的应用。但是，针对数字化设备的适用性确认技术尚未广泛应用。随着我国核电站仪控系统升级换代的需求日益增加，数字化设备的应用势必将成为主流，而商品级物项适用性确认技术作为将数字化设备应用于安全级系统的一种方法，其重点和难点是数字化设备的关键特性的识别和验收方法，而相关内容尚未在国内形成统一的标准。本文通过对数字化设备的关键特性的分析研究，总结出数字化设备的通用关键特性，并提出了一套针对数字化设备的验收方法，可为商品级数字化设备适用性确认提供参考。

可信性；关键特性；商品级物项适用性确认；数字化设备

商品级物项适用性确认（Commercial Grade Dedication，CGD）在美国已有良好的实践和经验反馈，并在其核电厂仪控系统安全相关物项的替换中得到广泛的应用。国内核电厂安全级系统中尚未大规模的应用，核安全监管部门也未正式发布针对CGD工作的具体监管要求（仅发布了能源行业指导性标准）。从2008年开始国内仪控系统设备供应商也在陆续开展CGD相关的工作，并且积累了一定的工程应用经验[1]。然而，这些实践和经验都是对基于传统硬件设备的CGD，而非针对数字化设备（即包括计算机软件的设备）的CGD。

CGD整体上分为技术评价和验证两个阶段，在技术评价阶段的主要内容之一是确定数字化设备的关键特性，而对商品级物项关键特性的验收是CGD中至关重要的一步，是确保商品级物项可用于核安全系统中有效措施。对传统硬件设备关键特性的识别方法是非常成熟的，其关键特性包括物理特性（如设备的尺寸、重量、安装方式、材质等）和性能特性（如设备的输入/输出电压、精度、响应时间等）[2]。但是，对于数字化设备的关键特性，除了上述两类关键特性外，还包括可信性特性。也就是说，数字化设备的三个关键特性是物理特性、性能特性和可信性特性。可信性涵盖了系统软件的各种特性，如可靠性、安全性、可用性和可维护性等，它反映了设备能够执行和完成一项任务而未发生失效的能力[3]。数字化设备的适用性确认需要解决的基本问题是如何证明其可正确地执行预期的安全功能[4]，这个证明的过程就是对数字化设备的三种关键特性进行验收的过程。

本文对数字化设备所特有的物理特性和性能特性进行了研究，并对其可信性特性进行重点分析和识别，总结出了典型的数字化设备可信性特性，提出了一套针对数字化设备可信性关键特性的验收方法。

1　物理特性和性能特性

数字化设备的物理特性和性能特性分类如表1所示，对其评估和验收过程与对传统硬件设备是一致的，通用的验收方法包括专门的测试与检查（方法1）、对供方的商业级调查（方法2）、源地验证（方法3）、供方/物项的历史性能记录（方法4），或采用多种方法的组合来执行商品级物项的验收。

表1　数字化设备的物理特性和性能特性

数字化设备的物理特性通常是指表征设备外观、尺寸、物理接口、安装方式等信息的集合，对于数字化设备的这些物理特性，在CGD时可仅通过检查和试验的方法即可保证其应用于安全级仪控系统的质量。但是，数字化设备由于含有软件，其中的部分物理特性有其特殊性，在对这些物理特性识别和验收时应进行额外的关注。如，针对数字化设备的物理特性中的“硬件版本”或“固件/软件版本”等进行验收时，应确定数字化设备的固件版本号与型号/序列号的关系，还应确定固件版本与应用软件版本的关系，根据两者的关系选择适宜的验收方法。如果固件版本与应用软件版本之间没有关联，则需配合使用商业级调查的方法，以确定其版本配置管理的具体实施方法。在对数字化设备供货商进行商业级调查时，应确定固件版本和应用软件的关系是否体现在其设计开发流程中（如文件控制、版本控制或配置管理活动中）。

2　可信性特性

2.1　可信性特性的识别

物理特性、性能特性和可信性特性都是数字化设备的设计特性[5]，而软件的设计特性通常又分为软件质量属性和软件开发过程属性。软件质量属性和软件开发过程属性对于数字化设备的正常运行，尤其是其软件的正常运行都可能产生影响，而其中只有影响数字化设备安全功能执行的那些设计特性才是关键特性。即：只有那些影响了软件的正常运行，继而影响数字化设备安全功能执行的设计特性才是可信性特性。上述设计特性之间的关系如图1所示。

图1　设计特性与可信性特性的关系

从图1可以看出，对于数字化设备关键特性的甄别，首先应总结出软件质量属性和开发过程属性两个基本的设计特性；其次分析总结出影响数字化设备安全功能执行的关键特性。影响软件质量属性和开发过程属性的因素按照其重要程度可包含若干个[6][2]，本文总结提炼出9个对于数字化系统安全功能的执行起到至关重要的作用，即是可信性特性。为便于本文后续可信性特性的验收，将这9个可信性特性分为三类：质量保证体系、软件/系统生命周期模型和管理体系。数字化设备可信性特性的分类如图2所示。

图2　数字化设备可信性特性的分类

其中，质量保证体系包括产品的历史数据及其分析、持续改进和不符合项控制三个。管理体系包括配置管理、人员及其控制两个；软件/系统生命周期模型包括独立验证与确认、分析技术、需求追踪和软件需求四个。同时，配置管理和质量保证应具有独立性的要求。即，从事软件配置管理及其质量保证的人员应不是负责开发产品的经理和程序员。这种独立性可通过审查公司的组织架构及相关制度来证明。

以下将重点分析这三类可信性特性在数字化设备的安全功能执行中的作用。

（1）质量保证

从事核电仪控系统开发的专业化公司都具备HAF003核质保体系。在这个体系下，对于数字化设备的可信性特性，有几个方面是需要格外的进行关注，这包括对软件开发产品的持续改进措施，包括较长时间的开发活动记录，包括开发过程缺陷的跟踪与处理、软件开发过程的结果评价以及在软件开发的早期阶段对质量控制的措施。

在质量保证措施下，公司各个管理层对于产品质量的承诺也往往会对软件的质量产生积极的影响，并能够通过一定的制度保障措施与对应的质量承诺相匹配。

（2）管理体系

在数字化设备的软件开发过程中，供货商相应的管理体系对产品的可信性具有重要的作用。这包括对从事软件开发人员的资质管理、培训管理以及控制管理，比如，针对开发人员应制定年度培训计划，培训过程和效果应具有完成的记录。开发人员的能力（包括管理能力和技术能力）和资源可用性应与软件开发的难度相匹配，比如开发人员的业绩和成果等应具备完整的档案记录。

由于配置管理在数字化设备软件开发过程中至关重要的，同时也是建立产品可信性特性的重要手段。因此，在数字化设备软件开发过程中应持续使用配置管理手段。在软件行业中，由于配置管理导致的错误是经常发生的。在实践中，可通过检查供货商当前的和以往的证据来确定其配置管理是否充分。配置管理中必须对变更、接口和产品发布三项进行有效控制。数字化设备的系统软件不应随意重构，尤其是对于已成功应用的系统软件设计，必须严格控制系统软件的重新设计，非必要时不要修改当前的系统软件设计。对于系统软件代码的修改应经过严格的变更流程。

（3）软件/系统的生命周期模型

数字化设备的生命周期模型应以正式的文件进行确认，这个模型应明确所有的开发和相关认证活动。

在产品全寿期内的生命周期活动中，应具备清晰的软件需求、IVV以及对产品的危险/风险分析。软件开发过程应产生清晰有效的软件需求，并且软件需求应进行相应的分析和审查，确保其能明确反映产品的预期安全功能。同时，软件开发过程应产生清晰、明确、有文档化的设计，这些设计可以逐项验证需求的实现。软件/系统的生命周期是系统性工程，其开发过程应通过模型来证明软件产品是可追踪的。该模型是可以通过测量评估进行验证的。IVV应独立确认需求和开发属性以及单个产品质量。在IVV活动中明确多维度/多层级的测试内容，如单元级、子系统级和系统级。

需求、开发过程、验证与确认严酷等级以及产品设计等各阶段生命周期活动中应始终使用危险分析与风险分析技术。在系统设计的同时，应进行风险分析，通过系统的风险分析识别软件风险。风险分析应使用“自上而下”和“自下而上”两种方法，“自上而下”的方法确保解决软件风险，“自下而上”确保软件错误不影响系统安全。

2.2　可信性特性的验收

数字化设备可信性特性的验收往往是有局限性的，这不仅表现在可信性特性的确认上，其次，确定后的可信性特性往往是数字化设备开发过程中的内在质量特性，这就导致其验收的过程存在不可定量测量的问题。

针对本文节2.1总结分析出的数字化设备关键特性，根据不同类别关键特性的特点，并结合对传统硬件设备的物理特性和性能特性验收方法，本文提出如下针对数字化设备关键特性验收方法。表2为数字化设备物理特性和性能特性的验收方法和接收判据，表3为数字化设备可信性特性的验收方法和接收判据。

表2　数字化设备的物理特性验收方法

续表

类别关键特性描述验收方法接收判据 性能 特性环境兼容性环境包括温湿度、EMC、地震等。对于数字化设备已完成的环境兼容性试验需进行更详尽的检查以确保其可用方法1环境试验或检查已完成的试验报告，分析其适用性

表3　数字化设备的性能特性验收方法

3　结论

本文通过对商品级数字化设备关键特性识别及验收方法的研究，特别是针对可信性关键特性的详细分析，提出数字化设备典型的可信性关键特性，综合商品级传统模拟设备的物理和性能两个关键特性的识别和验收方法，总结出了一套针对数字化设备关键特性的完整的识别和验收方法，可为商品级数字化设备适用性确认提供参考，对于商品级数字化设备用于国内新建核电站和和安全级仪控系统升级换代具有重要的借鉴意义。

［1］ 孙洪涛，李红霞，刘静波，等．核电厂数字化仪表控制系统商品级物项适用性确认方法研究与应用［J］．核动力工程，2019，40（4）：80.

［2］ M.Tannenbaum. Guideline for the Acceptance of Commercial- Grade Items in Nuclear Safety-Related Applications［R］． Palo Alto，CA：EPRI，2014.

［3］ J.Dennis Lawrence，G. Gary Preckshot. Design Factors for Safety-Critical Software［R］．Livermore，CA：NRC，1994.

［4］ R.C.Torok. Guideline on Evaluation and Acceptance of Commercial Grade Digital Equipment for Nuclear Safety Applications［R］．Palo Alto，CA：EPRI，1996.

［5］ 石秦，王忠秋，张云波，等．核电厂商品级物项适用性确认研究与应用［J］．自动化仪表，2019，40（6）：54.

［6］ Lawrence J D. Workshop on Developing Safe Software［R］．United States：N.p.，1994.

［7］ Lawrence J D. Software reliability and safety in nuclear reactor protection systems［R］．United States：N.p.，1993. Web.doi：10.2172/10108329.

［8］ Holmstrom K J. Introduction to IEEE Std.7-4.3.2 Annex D—Qualification of existing commercial computers［R］． United States：N.p.，1995. Web.doi：10.1109/23.467759.

［9］ Kindred，Greg.Nuclear Safety via Commercial Grade Dedication-Hitting the Right Target-12163［R］．United States：N.p.，2012.

Study on Critical Characteristics of Commercial Digital Equipment and Its Acceptance Methods

SUN Wu，WANG Juanwei，CUI Zepeng，ZHANG Yuan

（China Nuclear Control System Engineering Co.，Ltd.，Beijing 102488，China）

Commercial-grade items（CGI）being used for safety-class system（especially in its upgrading），Commercial Grade Dedication（CGD）method can be applied for ensuring its quality and reliability under American Nuclear Quality Assurance System. CGI can be generally divided into digital equipment and traditional hardware（without software）equipment，and CGD method for traditional hardware equipment has already been used in some specific applications. However，CGD method for digital equipment hasn’t been widely used in domestic nuclear power plants. As upgrading demands for Instrumentation & Control System in domestic nuclear power plant，application of digital equipment will be an advantage. CGD is one of method for digital equipment being used in safety-class system，and selection for digital-equipment’s critical characteristic and its acceptance methods are key points in digital equipment dedication. However，general standards for these haven’t been drafted. Based on analysis and research of critical characteristic，with summarizing general critical characteristic of digital equipment，an acceptance method for digital equipment is proposed in this paper，which can provide a reference for CGD of digital equipment.

Dependability；Critical Characteristic；Commercial Grade Dedication；Digital Equipment

TL361

A

0258-0918（2021）05-1055-05

2021-07-11

孙 武（1983—），山东青岛人，高级工程师，硕士，现主要从事核电DCS管理、设计和验证方面研究