★北京广利核系统工程有限公司王金全，左新，王晓燕，武方杰，杜乔瑞，王国云，彭超，刘立华

摘要：经过多年的发展，软件V&V作为提供核级软件质量可信性证明的手段、硬件鉴定作为提供核级硬件设备可信性证明的手段已经是核电行业的广泛共识。随着人们对不同核电标准体系理解认识的深入，以及现场发生问题的反馈，核级DCS平台需要进一步提高软件和硬件的质量以满足后续核电建设越来越高的质量要求。本文作者基于多年从事核级DCS平台质量控制工作以及参与英国GDA项目认证过程获得的经验，从过程、技术、工具、人员能力等方面介绍了核级DCS平台软硬件质量控制实践，分析并提出了仍需重点关注的质量控制方面的一些改进建议，供从业人员参考。

关键词：核级DCS；质量控制

随着我国经济的飞速发展，大家对电力的需求越来越旺盛。核电作为能够稳定提供基础电力的清洁能源的重要来源，已被我国作为重点进行建设，而核级DCS系统作为其中的神经中枢，对核电站的安全和稳定运行发挥着十分重要的作用。核级DCS平台是构建核级DCS系统的重要组成部分，因此，如何确保核级DCS平台的质量就显得尤为重要。核级DCS平台中的产品是由软硬件组成的，要想确保DCS产品的质量就必须确保其中软硬件的质量。近年来，美国出于遏制中国发展，将中国视为竞争对手，对中国加大了技术封锁力度，这导致各行各业都在加速推进国产化，核级DCS也是其中之一。不得不承认的是，国产软硬件由于起步晚，不仅应用的时间短，而且应用的行业范围和规模也都比较小，其质量很难与国外成熟的厂商相比。这就需要在质量控制上投入更多成本和精力，除了要继承以前好的做法外，还要不断深挖自身的质量短板，打破思维定式，以“刀刃向内”的精神不断超越自我、追求卓越。

北京广利核系统工程有限公司作为国内核级DCS平台自主化、国产化研制的开路先锋，已经在核级DCS平台研制的路上辛勤耕耘了近20年。该公司自主研发的和睦平台自2017年成功应用于阳江56号机组，成为国内应用于百万千瓦核电站DCS系统的首台套开始，至今已经成功应用到了十几个国内外的核电机组，它也因此成为了行业内的标杆。该公司在核级DCS平台上的研发和质量控制一定程度上代表了国内的最高水平，尤其是它通过了英国GDA认证，这个是在核行业被世界公认的最为严格、最难通过的认证，使得广利核公司拿到了走出国门、走向世界的通行证。GDA认证是由英国ONR（相当于中国的核安全监管机构）主导的认证，被世界大多数国家，尤其是欧盟所认可。本文从过程、技术、工具、人员能力等方面对广利核公司在核级DCS平台上的研发和质量控制实践进行了阐述，分析并提出了适用于核级DCS平台软硬件的质量改进建议。

1 质量控制实践

1.1 选择合适的生命周期模型

不同的行业可以有不同的开发生命周期模型，从长远来看，选择适合自身的开发生命周期模型不但可以使成本得到控制和可预测，而且还能够使产品质量得到控制和可预测，从而可以为产品质量稳步提升实施看得见、摸得着的措施。常见的生命周期模型有瀑布型、螺旋型、增量迭代型等，这里不讨论各个模型的优缺点，仅针对核电行业一般采用的模型进行说明。核电行业一般推荐的是V模型（瀑布型的一种），它是一种线性结构，是项目自始至终按照一定顺序开展，从需求分析、进展到系统测试，直到提交客户使用。V模型提供了一种结构化的、自顶向下的软件开发方法，每个阶段的主要工作成果从一个阶段传递到下一个阶段时，必须经过严格的验证或确认，以判定是否可以开展下一阶段工作。V模型是所有生命周期模型的基础，图1为广利核公司依据HAD102/16-2004制定的生命周期模型。

图1 生命周期模型

下面我们分别从过程、技术、工具、人员培养、经验反馈体系方面进一步介绍广利核公司施行的质量控制实践活动。

1.2 过程

要想确保产品质量，在核级DCS平台研发的全生命周期中对其进行质量控制是必不可少的。从系统需求分析开始，质量控制人员就应该参与进来，并在研发人员提交后对其进行验证。越早发现问题，解决问题的成本越小，这已经是各个行业，尤其是IT业内的共识。核电行业更是如此，核级产品一旦应用到现场，解决一个哪怕很微小的错误其成本都要成百上千倍的增长。因此，在生命开发周期的每个阶段都要对产品开展相应级别的验证活动。为了保证相应的开发和验证活动有章可循，根据IEEE1012TM-2004软件验证与确认、HAD102/16-2004核动力厂基于计算机的安全重要系统软件安全导则、IEC61513-2011核电厂安全重要仪控系统的通用要求和IEC60880-2006核电厂安全重要仪控系统执行A类功能的计算机软件、IEC60987-2007核电厂安全重要仪控系统基于计算机的硬件设计要求等相关法规标准，广利核公司建立了自己的系统研发过程控制程序、软件研发过程控制程序、硬件研发过程控制程序、核安全级软件验证与确认控制程序、测试控制程序等一系列过程控制程序文件。

1.3 采用的技术及工具

确保产品质量需要使用一定的技术和工具，广利核公司所采用的技术包括评估（审查）、专项分析（包括关键性分析、需求分配分析、可追踪性分析、接口分析、危险分析、安全保密分析、风险分析）、测试（包括单元测试、产品确认测试、系统集成测试、系统测试）和硬件鉴定。每种技术采用的工具，具体描述如下：

（１）评估（审查）采用的工具有：评估技术规范、评估规则、评估记录表。

（2）关键性分析采用的工具有：关键性分析技术规范、完整性级别定义、等级映射表、关键性分析记录表。技术规范、需求分配分析记录表。

（3）需求分配分析采用的工具有：需求分配分析

（4）可追踪性分析采用的工具有：可追踪性分析技术规范、双向可追踪性辅助分析工具、可追踪性分析记录表。

（5）接口分析采用的工具有：接口分析技术规范、接口分析规则、N2图、接口分析记录表。

（6）危险分析采用的工具有：危险分析技术规范、功能框图、危险分析记录表。

（7）安全保密分析采用的工具有：安全保密分析技术规范、安全保密分析记录表。

（8）风险分析采用的工具有：风险分析技术规范、风险分析记录表。

（9）软件单元测试采用的工具有：代码审查单、静态分析工具、动态测试工具。

（10）产品确认测试采用的工具有：测试工装、信号发生器、示波器等。

（11）系统集成测试采用的工具有：测试工装、信号发生器、示波器等。

（12）系统测试采用的工具有：测试工装、信号发生器、示波器等。

（13）硬件鉴定采用的工具有：EMI/ESD试验台、高低温交变箱、抗震试验台等。

1.4 人员培养

再好的质量控制措施也主要是通过人来实施的，要使得整个生命周期中的质量控制措施切实有效，无论如何都不能忽视人在其中发挥的作用。而要使人发挥良好的作用，就需要对人进行培养，使其达到应有的水平。对人的培养除了通过岗位培训使其达到岗位任职资格外，还要结合具体的技能进行专门的培训和交流，并不断通过实践来应用和积累。下面是广利核公司施行的人员培养策略。

活动的承担部门在活动开始前需要识别人员的培训需求，并向人力资源部提出培训要求，确保活动参加人员达到并保持足够的业务熟练程度。培训内容包括（但不限于）：

（1）核安全文化、核质保的培训；

（2）公司及项目质量保证大纲的培训；

（3）工作程序及操作要求培训；

（4）专业技术培训。

人力资源部负责组织制定培训计划和实施工作，以及组织编写岗位培训大纲。岗位培训大纲应包括培训方式、培训课程和课时以及考核授权的规定。岗位培训大纲规定的培训课程应与其相关的岗位说明书相对应。

活动的承担部门按照岗位说明书的要求负责对从事安全级活动的人员进行评价，形成评价结果，并保持记录。

对于从事质量控制的相关人员经评价合格，由人力资源部颁发相关资格证书后方可从事相应资格的工作。

1.5 经验反馈体系

“金无足赤，人无完人”，工作中出现失误是难免的，由人制造的产品中出现各种各样的问题也是难免的。俗话说“不要在同一个地方跌倒两次”，如果能对出现的问题进行系统性的总结和经验反馈，确保类似的问题不要复现，对产品的质量提升无疑是非常有帮助的。另外，根据海因里希300∶29∶1的事故法则：当一个企业有300起隐患或违章时，非常可能要发生29起轻伤或故障，还有1起重伤或死亡事故。这就告诉我们，通过经验反馈尽量减少隐患或违规可以有效降低发生重大事故的几率。广利核公司经验反馈体系包括：事件的定级、事件的原因分析、纠正行动方案的制定、纠正行动的实施、纠正行动的验证与关闭、经验教训和良好实践的利用、经验反馈的评价等。

2 质量控制改进建议

这里，笔者主要根据自身经验从过程、技术、工具、人员等方面提出一些需要重点关注的改进建议，以供行业参考。

2.1 过程方面

（1）质量入口、出口准则

“质量是设计出来的，而不是验证出来的”，这应该是核级DCS从业人员的共识，充分说明了设计人员在核电质量上应该承担的是主要责任。这里仅从质量控制角度来说，如果能制定出适合本公司的产品质量入口和出口准则，则能有效地促进产品的设计质量提升。适合的质量入口和出口准则不仅可以促进产品质量提升，而且可以有效降低成本。软件行业有人曾对何时结束测试有这样一种戏谑说法，“要么是发布时间到了，要么是项目没钱了”，这就是因为没有制定出合理的出口准则所导致的。产品的出口准则固然重要，但是，要想提高产品的质量，根本上还是得提高产品的入口质量，也就是说设计部门交付验证部门的产品质量必须是高质量的，因为在投入人力不变的前提下，有限的时间内只能发现有限的缺陷。如果产品入口质量不高，还想按原来的时间发布，就会导致有很多缺陷被遗漏到客户那里。

（2）验证过程记录

使用所有验证手段（评估、分析、测试等）执行验证时，不能只有通过或不通过的结果，务必留下足够详细的验证过程记录，以便取信于审查人员。所有发现的缺陷都应该进入缺陷管理系统进行统一管理，异常描述信息要足够明确，以便精准定位。

（3）传递项的管理

每个阶段的对象都应该在对应阶段的验证中得到充分的验证，但是总会由于一些原因（例如，为了节省成本或优化验证方案）而需要将当前阶段的某些对象传递到其他阶段去执行，对于传递到其他阶段进行验证的传递项，应该建立相应的规范，以确保传递项确实得到验证。

2.2 技术与工具方面

（1）需求双向追踪性矩阵

为需求建立自上而下、自下而上的追踪性矩阵，是确保需求被完整、正确地实现且没有实现多余功能的有效手段。这可以通过自己研发或者引入合适的需求追踪管理工具来进行管理。

（2）评估规则

评估规则作为评估人员执行评估的依据，一般来源于标准、法规或者行业经验等。标准和法规一般都是比较通用或者宏观的，要拿来做规则务必要给出详细的指导说明，以保证不同人员对其理解的一致性。

（3）工具的选型和验证

通过使用工具使验证活动尽量自动化，从而降低人为疏漏、提高验证效率，是一个好的趋势。但是对于工具的选择要尤其重视，如果是自研，只要按照公司的研发过程控制程序进行控制就可以。如果是进行外购，对工具进行选型和验证时则需要重点监控工具供应商在工具中发现的故障，评估工具的可靠性和工具将故障引入开发过程的潜在风险，包括监控任何已识别的故障和对工具造成的影响，并在识别出关键故障后更新工具。

2.3 人员方面

在质量控制方面，人是最主要的。再好的工具，再详细的流程规范，都需要人来执行，这就需要时刻关注人的表现。主要需关注如下几点：

（1）人员独立性

核级DCS软件V&V强调管理、技术、财务三大独立性，其中我们认为最重要的就是人员管理的独立性方面。人员管理方面如果不独立，遇到问题总被设计部门压制或者没有独立反馈渠道，即使其他两个独立性做得再好也无法提升产品质量。反之，如果把人员管理的独立性做好了，再加上技术、财务的独立就好比如虎添翼。在实践中，可以通过将验证项目独立立项来提升管理独立性，也可以通过将验证部门独立来提升管理独立性，或者将二者结合都可以。

（2）人员的质量意识和核安全文化素质

人们所掌握的以往的知识、技能需要不断更新，进行质量控制的惯性思维也需要不断进行审视，不能因循守旧。因此，不但要加大人员技术技能上的培训和指导，还要从思想观念上对其进行教育引导，加强核安全文化的宣贯，让严谨的工作作风、质疑的工作态度、沟通交流的工作习惯成为自觉，让人人都把自己当成最后一道屏障真正入脑入心，使人人都把守护核安全当做自己的责任和使命。

3 小结

目前，应用于高可靠性领域的产品基本都是由软件和硬件共同配合完成的，因此，软硬件的质量直接关系到产品的质量。本文作者基于多年从事核级DCS平台质量控制工作以及对外交流的经验，从过程、技术、工具、人员等方面对广利核公司在核级DCS平台软硬件质量控制的良好实践进行了阐述，分析并提出了适用于核级DCS平台软硬件的需要重点关注的质量控制改进建议。同时，本文阐述的过程和方法经过吸收调整后也适用于一般行业的软硬件质量改善。

作者简介：

王金全（1974-），男，山西运城人，高级工程师，学士，现就职于北京广利核系统工程有限公司，主要从事核电领域工业控制系统相关的研究工作。

摘自《自动化博览》2023年3月刊