今日頭條
官方微信
官方抖音
案例頻道★北京廣利核系統工程有限公司程聰
關鍵詞:軟件驗證與確認;數字化儀控系統;核電
20世紀以來,隨著現代信息技術的迅猛發展,從植入心臟起搏器到航天飛行控制器、火星探測器等硬件與軟件技術相結合的產品滲透到了國民經濟和國防建設的各個領域[1]。在自動化控制行業中,核電站的儀控系統經過了儀表的不斷迭代和計算機技術的不斷發展以及核電安全措施的不斷突破,逐漸從模擬技術轉向數字化技術。核電站采用數字化控制技術比傳統的模擬技術有明顯的優勢,可以實現更多的功能、更完善的保護措施和可信度更高的軟件質量,其安全性和可靠性經過了十余年的發展最終得到了國家核安全局的認可并廣泛地應用于我國沿海城市核電廠中。然而核電安全問題一直備受國內外關注,在美國核安全峰會上曾提出:加強核材料和核設施安全,加強國際核安全體系,核安全事件的影響超越國界。因此,為了確保核電廠的安全運行,解決數字化保護系統規模日益增大、功能和結構日益復雜,從設計到最終產品需要經歷繁瑣的中間環節、代碼量大、實現的手段和途徑過于靈活等問題,故引入軟件驗證與確認(Software Verification and Validation,簡稱V&V)工作來確保數字化保護系統滿足標準法規的相關要求[2]。
本文對核電儀控系統軟件驗證與確認的標準體系進行研究,其必要性如下:
(1)隨著我國核電產業的快速發展,對核電標準體系的需求也日益迫切。近二十年來,全球科技迅猛發展,新技術、新材料不斷涌現,對V&V的性能、安全、環保等方面提出了更高要求。因此,持續跟蹤并研究核電V&V的國際標準升級,對提升我國核電產業的國際競爭力、實現核電技術的自主化具有重要意義。
(2)在全球化的今天,標準體系已經成為國際貿易和技術交流的重要基礎。核電V&V標準體系的研究工作可以促進我國與國際核電強國之間的交流與合作。參與國際標準組織,與各國核電機構開展交流,有助于我國學習和借鑒國際先進核電標準體系的建設經驗和管理模式,推動我國核電V&V標準體系的不斷完善和優化。
(3)V&V是系統工程的一個技術學科,其涵蓋范圍較為廣泛,領域涉及軟件項目管理、軟件測試、軟件質量評價等,一般會由政府機構或產業主管部門進行指導,需符合相關的法律法規。目前國內應用在核電領域的軟件在開發過程中應嚴格遵循HAD102/10、IEC60880、IEC62138和IEEE1012等軟件驗證與確認的標準。因此,我國必須建立健全的核電V&V標準體系。
核電標準體系是核電行業的技術和管理規范,對于保障核電的安全和可持續發展具有重要作用。核電V&V標準的制定和執行,有助于提升核電項目的安全性、可靠性和經濟性,促進核電產業的健康發展。下面將對美國、歐洲、中國的核電法規標準體系和核電V&V標準體系進行調研梳理和對比分析。
1 美國核電V&V標準體系分析
美國作為目前核電總裝機容量排名第一的核電強國,早在上世紀50年代就形成了由國會發布的原子能法為首的美國核電標準體系,具體層次結構如圖1所示。美國聯邦法規CFR的第十部分《CFR-10能源》每年至少修訂一次并定期發布為了讓美國和平使用原子能。美國核管理委員會(NRC)在美國聯邦法規基礎上發布了管理導則(RG)和技術文件(NUREG),明確了較為具體的法規解釋和實施方法。除上述核安全當局外,美國各行業學會如美國國家標準學會(ANSI)、美國核學會(ANS)、美國機械工程師學會(ASME)、美國電氣與電子工程師學會(IEEE)等也紛紛通過工程試驗和實踐經驗提出了貫徹法規導則的相關標準以達到核安全目的。
圖1 美國核電法規標準體系圖
由于核電廠安全儀控系統主要由電氣與電子工程師協會(IEEE)負責,因此IEEE協會也形成了以IEEE7-4.3.2為首的核電標準體系,具體見圖2所示。《IEEE7-4.3.2 IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations》作為頂層標準,規定了計算機應用于核電廠安全系統時所達到的最低功能要求和設計要求[3]。第二層《IEEE1012 IEEE Standard for Software Verification and Validation》正式提出了軟件驗證與確認過程、活動以及任務。第三層是由以下文獻組成:
《IEEE828 IEEE Standard for Configuration Management in Systems and Software Engineering》明確了軟件的配置管理分析過程;
《IEEE829 IEEE Standard for Software Test Documentation》明確了軟件測試過程所產生的文檔要求;
《IEEE1008 IEEE Standard for Software Unit Testing》明確了軟件部件測試的具體實施細則;
《IEEE830 IEEE Recommended Practice for Software Requirements Specifications》明確了軟件需求分析過程和需求規格書的各項要求;
《IEEE1074 IIEEE Standard for Developing Software Life Circle Processes》明確了軟件開發生命周期模型中的各階段活動。
圖2 美國核電V&V法規和標準體系圖
對于驗證與確認的定義,最先由電氣和電子工程師協會IEEE于1984年正式提出,后來被美國核協會和國際標準組織采用[4]。IEEE610.12-1990標準的最初定義如下[5]:
(1)驗證(Verification)是評估一個系統或組件,以確定給定開發階段的產品滿足該階段開始時規定的條件的過程。
(2)確認(Validation)是指確保軟件在開發過程中滿足用戶需求和預期的功能和性能要求。
二者的主要區別在于:驗證目的是確認系統或組件是否符合規格和需求,而確認目的是確認系統或組件是否滿足用戶需求和預期軟件。
對于驗證與確認的獨立性,最先在IEEE 1012標準中從三個維度規定了V&V活動的獨立性特征。三個維度分別是技術獨立、財務獨立和管理獨立,具體如下:
(1)技術獨立:軟件開發人員不可以作為V&V人員,V&V工作應形成自己對問題的理解,能夠善于發現人們容易忽略的問題。對于軟件工具,盡量使用獨立于開發人員的測試工具,但對于獨立成本過高的工具(如編譯器等)允許共享。
(2)財務獨立:V&V組的財務預算和決算獨立于開發組,以防止由于資金在開發組和V&V組之間流動產生不利的財務壓力導致V&V活動無法按時完成。
(3)管理獨立:V&V組和開發組要有不同的管理組織。V&V組可以獨立地選擇部分軟件或者系統進行測試不受開發組制約,也可以獨立地確定V&V活動進度不受項目進度制約;V&V組可以不需要經過開發組的批準直接向管理層遞交V&V活動結果。
經過梳理分析可知,美國在核電V&V方面擁有豐富的經驗和技術,并不斷推進技術創新和應用。IEEE 1012強調了軟件、硬件和系統的V&V意義,并正式提出了V&V的三大獨立性,規范了軟件配置管理,并對四種完整性級別的軟件、硬件和系統提出了相應的V&V要求,同時針對電氣與電子工程師協會IEEE提出的全生命周期六大階段明確了每一個階段V&V活動的輸入和輸出以及技術和工具。但是由于標準的自身性質和發布機構的規定,IEEE 1012標準的升版并不會直接替換舊版本。隨著2012版本和2016版本的發布,新舊版本并行有效,這就意味著各供貨廠商需要根據自身情況來選擇適用哪個版本的標準。在某些特定場合或項目中,舊版本的標準仍然具有參考價值。
2 歐洲核電V&V標準體系分析
法國、英國、德國、瑞典等歐洲核電強國有著豐富的核能發電能力。聯合各個成員國的核能機構早已制定了完善的核電標準體系,主要以國際電工委員會IEC和國際原子能機構IAEA頒布的相關標準、導則及法規[6]為主。歐洲核電法規標準體系如圖3所示。歐洲核電儀控方面以IAEA標準體系中《SSG-39 Design of Instrumentation and Control Systems for Nuclear Power Plants》為頂層,由IEC SC 45A標準族來承接和展開。
圖3 歐洲核電法規標準體系圖
IEC的分技術委員會依據SSG-39中有關儀控系統在設計和實現的各個階段所遵循的原則,提出了以IEC61513為首的核電廠儀控系統總體要求,并依照IEC61226中的核電廠儀控系統安全等級分類進一步細化了A類功能的計算機軟件按照IEC60880、B類和C類功能的計算機軟件按照IEC62138、硬件按照IEC60987、A類功能的HDL編程固件按照IEC62566等一系列標準[7]。具體歐洲V&V標準體系如圖4所示。
圖4 歐洲核電V&V法規和標準體系圖
《IEC61226 Nuclear power plants– Instrumentation and control important to safety–Classification of instrumentation and control functions》將儀控系統功能分為A、B、C三類:安全系統范圍內的功能屬于A類或者B類;安全相關系統范圍內的功能屬于B類或C類。安全功能具體分類的流程圖如圖5所示[8]。
A類功能:實現達到或者維持核電廠安全,防止設計基準事件(為確定設備的性能要求,在設計中采用的假想異常事件)導致的災難性后果。
B類功能:B類功能的實施可以避免啟動A類功能。
C類功能:對于達到或者維持核電廠安全起輔助或間接作用的功能。
圖5 安全功能A、B、C類分級方法
經過梳理分析可知,對于A類軟件,V&V的活動在IEC60880中已經明確了如何將軟件從生成到發布的每個階段包括管理、需求、設計、編碼、測試、安裝與運行[9]。但是對于B類和C類軟件,IEC62138的實施細則過于寬泛,沒有清晰界定在執行B類和C類軟件V&V活動時工作任務的不同之處。另外,執行軟件V&V時有必要將所引用的硬件需求文檔和軟硬件的接口描述清楚,但SSG-39導則卻沒有對系統的硬件提出額外的要求。
3 中國核電V&V標準體系分析
我國核電領域的標準已經從零散逐步走向完整,形成了基本完善的核電法規標準體系。該體系共分為四個層次結構:第一層是國家法律(如核安全法、網絡安全法等)、條例(如第500號令);第二層是國務院各部門規章和政府制定的法規(HAF系列);第三層是由國務院批準發布或授權批準發布的強制性國家標準(GB系列)和政府制定的導則(HAD系列);第四層是各類非強制性國家標準(GB/T系列)和各行業標準(如NB/T系列、EJ/T系列)。該體系具體層次如圖6所示。
圖6 中國核電法規標準體系圖
我國核電V&V活動是在遵從國家法律和政府制定的法規和導則的前提下,具體的實施活動由IEEE標準和IEC標準來實現。中國的核電法規中與儀控系統相關的目前只有《HAF003核電廠質量保證安全規定》和《HAF102核動力廠設計安全規定》,屬于強制性法規,具有一定的法律效力,必須嚴格按照執行。國家核安全局在核電法規的基礎上又進一步制定了核安全導則,即在核安全法規HAF102中明確指出了驗證與確認的要求并在核安全導則HAD102/10中明確了核動力廠基于計算機的安全重要系統的軟件生命周期各個階段的指導性方法[10,11]。而對于具體的實施細則由國家能源局發布的相關NB/T標準來作為指導,相關NB/T標準是由IEC標準轉化而來,從而形成了我國完善的核電廠安全重要儀表和控制系統標準體系,具體詳見圖7所示。
圖7 中國核電V&V法規和標準體系圖
我國的核電設施管理體系除了依托于一系列的法律、法規、標準以外,還要根據國務院發布的第500號令采用嚴格的許可證制度,并結合現場監督和檢查來確保核安全電氣設備的質量和安全性能[12]。
經梳理可知,我國核電V&V相關的指導性標準已經具有較強的指導性、操作性,可作為指導核電廠業主與供貨廠商、核安全監管機構等進行V&V活動的正式依據。國內的核電V&V在近年來發展迅速,相關會議和期刊也在不斷涌現,中國核電研究院、中國原子能科學研究院、核電工程公司等機構對核電站的安全運行提供了大量的安全評估工作。總的來說,中國核電V&V在技術方面已經具備了一定的實力和水平,實踐應用方面在逐漸加強。
4 新版HAD102/10標準分析
隨著核電技術的不斷進步和核電行業的快速發展,原有的標準可能已經無法完全滿足當前的技術要求和行業需求。國家核安全局在2021年為進一步完善我國的核安全法規體系,加強核安全監管,以《SSG-39:2016 Design of Instrumentation and Control Systems for Nuclear Power Plants》為參考藍本組織編制了《HAD102/10-2021核動力廠儀表和控制系統設計》,與此同時正式廢除了與儀控系統相關的三項核安全導則,標準演變如圖8所示[13]。
圖8 HAD102/10-2021標準演變圖
下面將從儀控系統V&V領域出發,對該標準所帶來的影響進行五個方面的綜合分析,具體如下:
(1)在安全分級方面,該導則并未與SSG-39的安全分級要求保持一致,而是強調以安全重要性作為分類準則,弱化了安全相關系統的概念。由于SSG-39采用SSG-30的安全分類原則,即先對核電廠的物項進行分類(分為“執行功能的物項”和“貫徹設計規定的物項”兩種類型),再根據功能失效或物項失效的后果進行分級,結合我國在建核電站的系統多樣性和復雜性、數據獲取等限制,該分級原則的適用性可能受到一定限制。
(2)在生命周期方面,減少了計算機系統需求階段,增加了硬件的相關階段,以及硬件和軟件、系統之間的驗證活動。執行V&V活動時,應注意硬件、軟件、系統之間的雙向V&V活動,即不僅驗證軟件對硬件的支持,也驗證硬件對軟件的兼容性及系統的整體性能,這就要求更高的測試覆蓋率和更全面的測試設計,從而增加項目的復雜性和工作量。
(3)在已開發的物項范疇方面,增加了純粹的物理硬件設備,還將軟件與硬件深度融合的數字化裝置納入其中。此外,還引入了通過高級硬件描述語言定義或利用現成模塊靈活配置的硬件設備。執行V&V活動時,評審人員需要重點考慮數據安全、隱私保護等方面,注意軟硬件結合的設備要有更加嚴格的安全措施來保護用戶數據免受攻擊。
(4)在驗證和確認技術方面,增加了網絡安全測試(輸入來自脆弱性評估)。脆弱性評估是網絡安全測試的重要前置步驟,它通過對系統、網絡、應用等進行全面的安全分析,識別出潛在的安全漏洞和弱點。V&V人員在進行需求規格書審查時,應當注意是否已經將網絡安全特性納入儀控系統及軟件的需求考慮之中。這些脆弱性評估結果作為網絡安全測試的輸入,為測試人員提供了明確的目標和范圍,使得測試更加精準和高效。網絡安全測試是通過模擬真實的安全威脅場景,測試人員可以驗證系統在實際運行中的表現是否符合預期。將網絡安全測試的結果納入V&V流程中,可以更加全面地評估系統的安全性和穩定性,從而提高V&V的準確性。
(5)在人因工程方面,增加了人因工程和網絡安全活動之間的主要接口,并對影響這些方面的儀控設計特性給出了建議。V&V人員在進行接口需求評審和接口設計評審時,要注意人因工程接口的設計范圍應覆蓋到全面且易于管理的信息,包括主控制室、事故監測、運行人員通信系統、人因工程相關原則、歷史數據記錄等方面。這些信息要在核動力廠開發過程初期進行系統性考慮,并貫徹于開發生命周期全過程。
由上可見,技術的進步帶來了新工藝和新方法的應用,這些都需要在標準中得到體現和規范。同時,行業的發展也要求標準能夠跟上時代的步伐,與國際標準的更新相接軌。《HAD102/10-2021核動力廠儀表和控制系統設計》的發布為核電行業的技術創新和產業升級提供了有力支撐,同時也為國內軟件驗證與確認的標準體系奠定了堅實的基礎。
5 結論與建議
5.1 結論
國際上的軟件驗證與確認活動有兩大標準體系,一個是以美國的電氣和電子工程師協會IEEE和美國核管制委員會NRC頒布的相關標準、導則及法規為主的美國標準體系,另一個是以國際電工委員會IEC和國際原子能機構IAEA頒布的相關標準、導則及法規為主的歐洲標準體系。IEC標準和IEEE標準中的V&V技術存在一定的差異,例如IEC標準將安全等級分為A、B、C三大類,而IEEE標準將安全等級分為1~4級,因此在使用國際標準時應注意不同體系的協調性,避免出現技術和管理上的不兼容問題,進而導致安全或經濟上的風險。
國內軟件驗證與確認的標準體系是伴隨著中國核電工業的發展歷程,經歷了從技術引進、消化吸收到自主創新的全過程,從而逐步建立和完善起來的。在此期間引進并轉化了大量的國際標準,其中核電儀控系統方面包括較多的上述美國IEEE標準和歐洲IEC標準,在法規導則方面也參考了一些歐標體系方面的良好實踐,如HAF102以歐標體系的SSR-2/1為參考藍本編制的,HAD102以歐標體系的SSG-39為參考藍本編制的,充分體現了與國際標準的接軌與同步。
5.2 建議
(1)從復雜性和安全性的角度來看,隨著軟件系統的復雜性不斷增加,軟件V&V變得更加困難。特別是當軟件系統包含大量交互和并發的組件時,難以確定測試用例的完整性和正確性。這就需要不斷完善標準制定和修訂過程中的反饋機制,引入新技術、新方法的同時,避免標準的頻繁更新給行業帶來不必要的負擔和混亂,而過長的更新周期又無法及時反映技術進步和需求變化。
(2)引入更先進的設計理念和技術要求,如更高的可靠性、可用性、可維護性、安全性(RAMS)指標等;制定RAMS管理規范、建立RAMS管理體系、實施RAMS評估與改進、加強人員培訓和意識提升以及推動技術創新和研發等措施。這些指標的提升將有助于提升核動力廠儀表和控制系統的整體性能和安全水平,將進一步保障核能設施的安全運行和環境保護。
(3)我國的核電標準體系中,建議進一步明確安全管理責任,明確哪些活動屬于制造商/供應商范圍內,哪些屬于核電廠責任人范圍內,并采取相應的管理措施,推動組織不斷完善安全管理措施,提升安全管理水平。當安全管理責任被明確界定并分配給特定團隊時,所有相關人員都會更加意識到核安全的重要性,這種意識提升有助于形成積極的核安全文化,使核安全成為日常工作的一部分。
(4)我國的法規導則對核電標準的支撐可以借鑒美國核管理委員會NRC對IEEE標準的背書以及國際原子能機構IAEA對IEC標準的背書,完善體系上游對下游的支撐,避免標準與實際應用需求脫節,使其具有更高的權威性和參考價值。
作者簡介:
程 聰(1991-),女,吉林人,工程師,碩士,現就職于北京廣利核系統工程有限公司,主要從事系統驗證與確認方面的工作。
參考文獻:
[1] 趙靖, 王延斌, 曲立平, 等. 軟件可靠性工程[M]. 西安: 西北工業大學出版社, 2011.
[2] 陸玉中. 淺談中國核電發展的必要性[J]. 現代企業文化, 2018, (3) : 26 - 27.
[3] 電氣和電子工程師協會. IEEE7-4.3.2 IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations[S]. 2003.
[4] Oberkampf, William L, Timothy G, et al. Verification and 716 - 743. validation benchmarks[J]. Nuclear engineering and Design, 2008, 238 (3) :
[5] 電氣和電子工程師協會. IEEE Std.1012, IEEE Standard for Software Verification and Validation[S]. 2016.
[6] 吳秀坤, 王根生. 核安全級數字化儀控系統軟件驗證和確認技術標準研究[J]. 核標準計量與質量, 2014, (4) : 16 - 22.
[7] 國際原子能機構. IAEA guide, NS-G-1.3 Instrumentation and Control Systems Important to Safety in Nuclear Power Plant[S]. 2005
[8] 國際電工委員會. IEC61226 Nuclear power plants – Instrumentation and control important to safety – Classification of instrumentation and control functions[S]. 2009
[9] 國際電工委員會. IEC60880, Nuclear power Plants-Instrumentation and control important to safety-Software aspects for c [10] 國家核安全局. HAF102, 核電廠設計安全規定[S]. 2004. omputer-based systems performing category A functions[S]. 2006.
[11] 國家核安全局. HAD102/10, 核動力廠儀表和控制系統設計[S]. 2021.
[12] 中華人民共和國國務院. 民用核安全設備監督管理[Z]. 2019.
[13] International Atomic Energy Agency (IAEA). IAEA Safety Standards Series No. SSG-39: Design of Instrumentation and Control Systems for Nuclear Power Plants[S]. IAEA, Vienna, Austria, 2016.
摘自《自動化博覽》2024年11月刊
北京市公安局海淀分局備案號:11010802023656號