关于核电安全相关软件开发质保分级的探讨

2021-11-23 07:59:46王忠毅杜丽岩郭慧芳

商品与质量 2021年31期

王忠毅杜丽岩郭慧芳

中核战略规划研究总院有限公司北京 100048

由于核电厂物项对安全运行有重要影响，因而提出了物项的安全功能以及按其对安全的重要性进行分级的概念。划分安全等级的目的是提供分级设计标准，对于不同安全等级的物项（主要指设备）规定不同的设计、制造、检验和试验要求。核电厂物项的质保分级是以安全分级为基础建立的，核电厂安全相关软件在法规HAF003中也是作为物项进行管理。为保证核电厂直接或间接使用软件的安全性及可靠性，同样对核电厂安全相关软件也提出了质量分级要求。核电厂安全相关软件质保分级应注意全局性、适度性和均衡性3个原则。

1 核电厂物项安全分级原则和基本方法

核电厂物项分级主要指安全分级、抗震分级、设计制造的规范等级和质量保证分级4种。其中安全分级是基础，根据物项在核电厂对安全功能影响的重要程度，把物项划分为不同的安全等级。不同安全级别物项的各项具体要求在抗震、规范、质量保证等方面各不相同，这4种分级构成了一个完整核动力厂的物项分级。我国核安全管理当局制定了一系列有关核安全的政策、法规和导则，这些政策性文件从总体上提出了我国核电厂应遵循的核安全原则，其中物项的安全分级是核安全准则中的重要内容之一。核电厂物项的安全分级不是目的，确保核电厂的安全及资金投入和产出比最小化才是要考虑的必需的前提条件。在物项的安全分级工作中应特别注意全局性、适度性、均衡性3项原则。所谓全局性体现在核电厂的运行是瞬态的，其运行能力与设计、建造和管理各方面密切。

相关，只有把握住有机的整体，才能保证核电厂的安全；适度性是指从设计到运行管理的安全措施应该以当前社会的经济和大众的心理承受能力为限，并非要求越高越好；均衡性是指核安全与其他工业活动的风险控制，应从社会总风险的层次上把握，有一个适当比例的风险接受标准。

物项的安全分级一般根据实现某些重要功能，造成部分设备、部件承压或损害，导致对安全产生影响。各安全等级按其对安全影响的大小次序排列，对安全影响最大的为安全1级，以此类推。用来确定对安全有关物项分级的两种通用方法是确定论法和概率论法。定义一个物项的安全等级，应考虑下列事项：

（1）从概率的观点考虑部件失效的后果和燃料元件破损程度。

（2）从安全系统功能实现的可能性上考虑安全部件失效的后果。

（3）考虑部件失效的后果造成放射性物质向环境中释放的可能性及释放的量。

（4）执行放射性监测功能的部件。

（5）部件对安全的影响。

2 核电厂安全等级划分依据标准和安全等级划分

2.1 核电厂安全等级划分依据标准

各核电厂安全等级划分依据的标准不尽相同，但我国的核电法规、标准是必须要采用的。根据实际情况，各家核电厂在建设过程中可能还会叠加采用一些国际通用标准（例如IEEE、IAEA）；合作方国家的一些工业标准（例如大亚湾核电站、岭奥核电站采用法国法规标准、田湾核电站采用俄罗斯法规标准、AP1000核电站采用美国法规标准等）。一些核电相关的中国标准和国际标准如下：

（1）中国标准。HAD102/03用于沸水堆、压水堆和压力管式反应堆的安全功能和部件分级。

GB/T15474-1995核电厂仪表和控制系统及其供电设备安全分级。

（2）国际标准。IEEE308-2001核电厂1E级电力系统标准（电力系统安全分级）。

ASME核电规范与标准的第III卷。

2.2 核电厂安全等级划分

根据对不同堆型大量假设事故进行分析的结果，分为四个安全等级。安全一级对安全的重要性最大，二、三、四级的重要性依次递减。

（1）安全一级。包括为防止堆芯裂变产物总量中会产生实质性影响的份额（在有关安全系统不起作用时）释放到周围环境所必须的那些安全功能。

（2）安全二级。包括为减轻某一事故后果所必需的那些安全功能，如果没有这些安全功能的作用，该事故可能导致堆芯裂变产物总量中会产生实质性影响的份额释放到周围环境，只有在另一安全功能初始失效后才有必要考虑这些属于二级的安全功能失效的后果。还包括为防止预计运行事件发展为事故工况所必需的那些安全功能，但不包括只对另一安全功能起支持作用的那些安全功能。也包括这样一些安全功能，如反应堆余热的排出，这些功能失效的后果与要求执行这些安全功能的概率的乘积可能很大[2]。

（3）安全三级。包括对安全一、二级中的安全功能起支持作用的所有安全功能。由于这些功能的失效不会直接引起辐射照射增大的后果，所以将其划入安全三级。还包括以下两类安全功能：一类是为防止反应堆冷却剂系统以外的放射源对公众和厂区人员产生超过可接受限值的辐射照射所必需的安全功能；另一类是与反应性慢时标的控制有关的安全功能。此外，还包括这样一些功能，其作用是储存在反应堆冷却剂系统以外的燃料保持在次临界状态或是排出贮存在反应堆冷却剂系统以外的辐照过的燃料所发出的衰变热[3]。

（4）安全四级。又称为非核级，包括未进入一级、二级和三级的那些安全功能。除了对上述流体包容系统和部件分级外，还需对电气部件和其他部件进行分级。

3 核电厂物项质量保证等级划分原则和要求

核电厂的物项、服务和过程应与规定的质量要求相符合，以满足核电厂安全和可靠运行的需要。这些质量要求体现在使用的工程规范、技术标准和技术规格书等技术文件中，如果单位的管理工作和组织机构不完善，则适用的工程规范等技术文件并不能保证物项、服务和过程的质量满足规定的要求。因此，必须实施有效管理，以从管理角度来保证或促成物项、服务和过程满足规定的要求[4]。

3.1 划分质量保证等级的目的

根据核安全法规HAF003（91）的要求，必须对质量保证大纲所适用的物项、服务和过程规定的相应控制和验证的方法和等级。因此，需要制定一套分级的质量保证要求，规定对每一等级的物项、服务和过程所必须进行的大纲活动。对最高的质量保证等级应提出最严格的质量保证要求，当质量保证等级降低时，质量保证要求也相应降低。选择和确定恰当的质量保证要求，既能为物项、服务和过程符合规定的质量要求提供足够的置信度，又能达到节省费用的目的。

3.2 质量保证等级的划分和要求

根据物项、服务和过程的特性，应对供方（包括承担具体工作的买方）提出不同的技术和管理方面的要求。核电厂的物项、服务和过程，安全重要和非安全重要的，通常各分为三个质量保证等级，并分别与一定数量的质量保证要求相对应。

（1）质量保证1级（简称QA1）。即物项、服务和过程是至关重要的，由于活动控制失误所引起的故障和失效将危及厂区工作人员和公众的健康和安全以及核电厂的运行。通常涉及复杂和新颖的设计，复杂的工艺，大量高精度、非标准的运动部件，新建和缺少经验的供方以及多种功能和繁杂的单位或部门间接口。

质量保证1级要求供方遵照HAF003（91）和相应导则中适用的全部要求，制定和实施质量保证大纲，并满足合同等采购文件中的质量保证要求。

（2）质量保证2级（简称QA2）。如果物项、服务和过程的重要性、因活动控制失误所引起后果的严重性、工艺技术和接口的复杂性、工艺技术和设计的成熟程度都为中等水平。

质量保证2级要求供方遵照HAF003（91）和相应导则中适用部分要求的绝大，制定和实施质量保证大纲，并满足合同等采购文件中的质量保证要求。

（3）质量保证3级（简称QA3）。即物项、服务和过程是次要的，由于活动控制失误所引起的故障和失效不会危及厂区工作人员和公众的健康和安全以及核电厂的运行。通常涉及已验证过的设计，简单的工艺，低精度和少量运动部件，有经验的供方以及管理容易和少量的单位或部门间接口。

质量保证3级要求供方遵照HAF003（91）和相应导则中适用的部分要求，制定和实施质量保证大纲，并满足合同等采购文件中的质量保证要求。

4 核电安全相关软件的分级

核动力厂直接使用的核安全相关软件，例如：

（1）核动力厂仪器仪表控制系统软件；

（2）核动力厂安全系统软件；

（3）核动力厂运行系统软件。

核动力厂未直接使用的安全相关软件，例如：

（1）核动力厂设计软件和安全分析计算软件；

（2）核动力厂物项制造、试验和检验软件；

（3）核动力厂采购和施工等管理软件；

（4）支持工具软件等。

《核动力厂设计安全规定HAF102》“5.1安全分级”中规定：“必须首先确定属于安全重要物项的所有构筑物、系统和部件，包括仪表和控制软件，然后根据其安全功能和安全重要性分级。它们的设计、建造和维修必须使其质量和可靠性与这种分级相适应。”所以，应该对核动力厂核安全相关软件进行分级。

4.1 核动力厂直接使用的核安全软件的分级

对于核动力厂直接使用的核安全软件已有相应的法规导则。在《核动力厂基于计算机的安全重要系统软件HAD102/16》“3.2.3安全分级方案”规定：“决定仪表和控制系统功能的安全重要性的安全分级方案可用于系统的开发过程，这促使核动力厂的设计人员、操纵员和国家核安全监管部门高度重视那些保证系统和设备安全的技术规格书、设计、质量鉴定、质量保证、制造、安装、维护和试验。”“3.2.4降低风险与研制计划之间的平衡”规定：“在系统及其相关软件设计的每个步骤，对为实现各种交叉设计目标而达成的折衷方案应谨慎予以评定，并采用自顶至底的设计和开发过程以便进行这种评定。当分级设计和质量鉴定要求适用于计算机系统的功能时，可从安全分级方案导出。这个分级可在设计与质量鉴定效果之间取得平衡，计算机系统应满足所执行功能中最高安全级别的准则。”

仪表和控制系统功能的安全重要性的安全级分为核级和非核级。按照上述准则，一般情况下，应按照核级要求管理仪表和控制系统软件开发过程。

4.2 核动力厂未直接使用的核安全软件的分级

（1）核动力厂设计软件与安全分析计算软件的分级。核动力厂设计软件一般是由一系列设计软件组成，例如总体布置软件、机械部件设计软件、管道设计软件、仪器仪表设计软件等。安全分析软件是用来对核动力厂模型进行安全分析的计算工具，以便对核动力厂模型安全性进行验证和确认。

在核动力厂设计安全规定 HAF102中“5.9安全分析”中规定：“安全分析中应用的计算机程序、分析方法和核动力厂模型必须加以验证和确认，并必须充分考虑各种不确定性。”因为安全分析计算软件涉及到堆芯的安全分析计算，所以安全分析软件应按照计算机系统应满足所执行功能中最高安全级别的准则来进行，并采用相应级别的质量保证要求管理其开发过程。

其他设计软件所设计的物项如果涉及到核安全，亦可按照应满足所执行功能中最高安全级别的准则来进行。

（2）核动力厂物项制造、试验和检验软件的分级。核动力厂物项制造、试验和检验软件，因直接涉及到物项，如果涉及到的物项为核安全物项，可按照应满足所执行功能中最高安全级别的准则来进行，并采用相应级别的质量保证要求管理其开发过程。

（3）核动力厂采购和施工等管理软件的分级。核动力厂采购和施工等管理软件，因为不直接涉及到核安全级物项，不必遵从应满足所执行功能中最高安全级别的准则要求，但应满足核电厂采购管理和施工管理的要求。

（4）支持工具软件的分级。支持工具软件，例如：测试软件、数据库软件、配置管理软件和需求管理软件等，是否采用核安全分级方法对其进行分级，取决于这个软件是否直接涉及核安全相关物项。

测试软件和数据库软件，如果直接涉及到核安全相关物项，亦可按照应满足所执行功能中最高安全级别的准则来进行，并采用相应级别的质量保证要求管理其开发过程。

配置管理软件和需求管理软件，因为不直接涉及到物项，不必按照应满足核安全级的要求进行要求，但应满足所涉及开发软件的管理要求。

5 推荐采用软件能力成熟度模型（CMMI）为软件开发提供质量保证

CMMI全称是Capability Maturity Model Integration，即软件能力成熟度模型集成，是由美国国防部与卡内基-梅隆大学和美国国防工业协会共同开发和研制的，其目的是帮助软件企业对软件工程过程进行管理和改进，增强开发与改进能力，从而能按时、不超预算的开发出高质量的软件。CMMI设定了五级目标，让企业非常清楚的知道，通过不断改进研发过程、流程等，可以提升企业软件开发能力，从而达到提升软件产品质量的目的。

5.1 CMMI各级定义

（1）CMMI1级—完成级。在完成级水平上，企业对项目的目标与要做的努力很清晰，项目的目标得以实现，但由于任务的完成带有很大的偶然性，企业无法保证在实施同类项目的时候仍然能够完成任务，企业在一级上的项目实施对实施人员有很大的依赖性。

（2）CMMI2级—管理级。在管理级水平上，企业在项目实施上能够遵守既定的计划与流程，有资源准备，权责到人，对相关的项目实施人员有相应的培训，对整个流程有监测与控制，并与上级单位对项目与流程进行审查。企业在二级水平上体现了对项目的一系列的管理程序，这一系列的管理手段排除了企业在一级时完成任务的随机性，保证了企业的所有项目实施都会得到成功。

（3）CMMI3级—定义级。在定义级水平上，企业不仅能够对项目的实施有一整套的管理措施，并保障项目的完成，而且企业能够根据自身的特殊情况以及自己的标准流程，将这套管理体系与流程予以制度化，企业不仅能够在同类的项目上得到成功的实施，在不同类的项目上一样能够得到成功的实施。科学的管理成为企业的一种文化，企业的组织财富。

（4）CMMI4级—量化管理级。在量化管理级水平上，企业的项目管理不仅形成了一种制度，而且要实现数字化的管理。对管理流程要做到量化与数字化，通过量化技术来实现流程的稳定性，实现管理的精度，降低项目实施在质量上的波动。

（5）CMMI5级—优化级。在优化级水平上，企业的项目管理达到了最高的境界。企业不仅能够通过信息手段与数字化手段来实现对项目的管理，而且能够充分利用信息资料，对企业在项目实施的过程中可能出现的次品予以预防，能够主动地改善流程，运用新技术，实现流程的优化。

5.2 核安全相关软件开发的质量要求

建议核安全相关软件开发项目采用CMMI3级以上要求管理开发过程，这样才能保证核安全相关软件开发过程和最终产品的质量，能与为之服务的物项核安全要求相匹配，达到核安全法规要求。

6 结语

核安全相关软件开发质量保证分级的划分是以物项核安全级的划分为基础，并根据分级设计和质量鉴定要求可从安全分级方案导出。分级应在设计与质量鉴定之间取得平衡，并应满足所执行功能中最高安全级别的准则，其目的是通过质量检查并能保证物项在设计、制造、试验和检验等阶段对物项的安全等级的要求。建议采用CMMI分级方法管理软件开发过程，以保证核电安全相关软件开发过程和最终产品质量能达到核电法规的要求。