ACS880-07C
关注中国自动化产业发展的先行者!
CAIAC 2025
2024
工业智能边缘计算2024年会
2023年工业安全大会
OICT公益讲堂
当前位置:首页 >> 案例 >> 案例首页

案例频道

核电仪控系统软件验证与确认的标准研究
V&V是系统工程的一个技术学科,其涵盖范围较为广泛,领域涉及 软件项目管理、软件测试、软件质量评价等,一般会由政府机构或产业主 管部门进行指导,需符合相关的法律法规。本文对美国、欧洲、中国的 核电法规标准体系和核电V&V标准体系进行调研梳理和对比分析,并针对 2021年国家核安全局发布的HAD102/10标准在仪控系统V&V领域的影响进 行分析,最后对国内标准体系提出建议性意见。本文为进一步开展我国核 安全级数字化仪控系统的软件验证与确认工作奠定了理论基础。

★北京广利核系统工程有限公司程聪

关键词:软件验证与确认;数字化仪控系统;核电

20世纪以来,随着现代信息技术的迅猛发展,从植入心脏起搏器到航天飞行控制器、火星探测器等硬件与软件技术相结合的产品渗透到了国民经济和国防建设的各个领域[1]。在自动化控制行业中,核电站的仪控系统经过了仪表的不断迭代和计算机技术的不断发展以及核电安全措施的不断突破,逐渐从模拟技术转向数字化技术。核电站采用数字化控制技术比传统的模拟技术有明显的优势,可以实现更多的功能、更完善的保护措施和可信度更高的软件质量,其安全性和可靠性经过了十余年的发展最终得到了国家核安全局的认可并广泛地应用于我国沿海城市核电厂中。然而核电安全问题一直备受国内外关注,在美国核安全峰会上曾提出:加强核材料和核设施安全,加强国际核安全体系,核安全事件的影响超越国界。因此,为了确保核电厂的安全运行,解决数字化保护系统规模日益增大、功能和结构日益复杂,从设计到最终产品需要经历繁琐的中间环节、代码量大、实现的手段和途径过于灵活等问题,故引入软件验证与确认(Software Verification and Validation,简称V&V)工作来确保数字化保护系统满足标准法规的相关要求[2]

本文对核电仪控系统软件验证与确认的标准体系进行研究,其必要性如下:

(1)随着我国核电产业的快速发展,对核电标准体系的需求也日益迫切。近二十年来,全球科技迅猛发展,新技术、新材料不断涌现,对V&V的性能、安全、环保等方面提出了更高要求。因此,持续跟踪并研究核电V&V的国际标准升级,对提升我国核电产业的国际竞争力、实现核电技术的自主化具有重要意义。

(2)在全球化的今天,标准体系已经成为国际贸易和技术交流的重要基础。核电V&V标准体系的研究工作可以促进我国与国际核电强国之间的交流与合作。参与国际标准组织,与各国核电机构开展交流,有助于我国学习和借鉴国际先进核电标准体系的建设经验和管理模式,推动我国核电V&V标准体系的不断完善和优化。

(3)V&V是系统工程的一个技术学科,其涵盖范围较为广泛,领域涉及软件项目管理、软件测试、软件质量评价等,一般会由政府机构或产业主管部门进行指导,需符合相关的法律法规。目前国内应用在核电领域的软件在开发过程中应严格遵循HAD102/10、IEC60880、IEC62138和IEEE1012等软件验证与确认的标准。因此,我国必须建立健全的核电V&V标准体系。

核电标准体系是核电行业的技术和管理规范,对于保障核电的安全和可持续发展具有重要作用。核电V&V标准的制定和执行,有助于提升核电项目的安全性、可靠性和经济性,促进核电产业的健康发展。下面将对美国、欧洲、中国的核电法规标准体系和核电V&V标准体系进行调研梳理和对比分析。

1 美国核电V&V标准体系分析

美国作为目前核电总装机容量排名第一的核电强国,早在上世纪50年代就形成了由国会发布的原子能法为首的美国核电标准体系,具体层次结构如图1所示。美国联邦法规CFR的第十部分《CFR-10能源》每年至少修订一次并定期发布为了让美国和平使用原子能。美国核管理委员会(NRC)在美国联邦法规基础上发布了管理导则(RG)和技术文件(NUREG),明确了较为具体的法规解释和实施方法。除上述核安全当局外,美国各行业学会如美国国家标准学会(ANSI)、美国核学会(ANS)、美国机械工程师学会(ASME)、美国电气与电子工程师学会(IEEE)等也纷纷通过工程试验和实践经验提出了贯彻法规导则的相关标准以达到核安全目的。

image.png

图1 美国核电法规标准体系图

由于核电厂安全仪控系统主要由电气与电子工程师协会(IEEE)负责,因此IEEE协会也形成了以IEEE7-4.3.2为首的核电标准体系,具体见图2所示。《IEEE7-4.3.2 IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations》作为顶层标准,规定了计算机应用于核电厂安全系统时所达到的最低功能要求和设计要求[3]。第二层《IEEE1012 IEEE Standard for Software Verification and Validation》正式提出了软件验证与确认过程、活动以及任务。第三层是由以下文献组成:

《IEEE828 IEEE Standard for Configuration Management in Systems and Software Engineering》明确了软件的配置管理分析过程;

《IEEE829 IEEE Standard for Software Test Documentation》明确了软件测试过程所产生的文档要求;

《IEEE1008 IEEE Standard for Software Unit Testing》明确了软件部件测试的具体实施细则;

《IEEE830 IEEE Recommended Practice for Software Requirements Specifications》明确了软件需求分析过程和需求规格书的各项要求;

《IEEE1074 IIEEE Standard for Developing Software Life Circle Processes》明确了软件开发生命周期模型中的各阶段活动。

image.png

图2 美国核电V&V法规和标准体系图

对于验证与确认的定义,最先由电气和电子工程师协会IEEE于1984年正式提出,后来被美国核协会和国际标准组织采用[4]。IEEE610.12-1990标准的最初定义如下[5]

(1)验证(Verification)是评估一个系统或组件,以确定给定开发阶段的产品满足该阶段开始时规定的条件的过程。

(2)确认(Validation)是指确保软件在开发过程中满足用户需求和预期的功能和性能要求。

二者的主要区别在于:验证目的是确认系统或组件是否符合规格和需求,而确认目的是确认系统或组件是否满足用户需求和预期软件。

对于验证与确认的独立性,最先在IEEE 1012标准中从三个维度规定了V&V活动的独立性特征。三个维度分别是技术独立、财务独立和管理独立,具体如下:

(1)技术独立:软件开发人员不可以作为V&V人员,V&V工作应形成自己对问题的理解,能够善于发现人们容易忽略的问题。对于软件工具,尽量使用独立于开发人员的测试工具,但对于独立成本过高的工具(如编译器等)允许共享。

(2)财务独立:V&V组的财务预算和决算独立于开发组,以防止由于资金在开发组和V&V组之间流动产生不利的财务压力导致V&V活动无法按时完成。

(3)管理独立:V&V组和开发组要有不同的管理组织。V&V组可以独立地选择部分软件或者系统进行测试不受开发组制约,也可以独立地确定V&V活动进度不受项目进度制约;V&V组可以不需要经过开发组的批准直接向管理层递交V&V活动结果。

经过梳理分析可知,美国在核电V&V方面拥有丰富的经验和技术,并不断推进技术创新和应用。IEEE 1012强调了软件、硬件和系统的V&V意义,并正式提出了V&V的三大独立性,规范了软件配置管理,并对四种完整性级别的软件、硬件和系统提出了相应的V&V要求,同时针对电气与电子工程师协会IEEE提出的全生命周期六大阶段明确了每一个阶段V&V活动的输入和输出以及技术和工具。但是由于标准的自身性质和发布机构的规定,IEEE 1012标准的升版并不会直接替换旧版本。随着2012版本和2016版本的发布,新旧版本并行有效,这就意味着各供货厂商需要根据自身情况来选择适用哪个版本的标准。在某些特定场合或项目中,旧版本的标准仍然具有参考价值。

2 欧洲核电V&V标准体系分析

法国、英国、德国、瑞典等欧洲核电强国有着丰富的核能发电能力。联合各个成员国的核能机构早已制定了完善的核电标准体系,主要以国际电工委员会IEC和国际原子能机构IAEA颁布的相关标准、导则及法规[6]为主。欧洲核电法规标准体系如图3所示。欧洲核电仪控方面以IAEA标准体系中《SSG-39 Design of Instrumentation and Control Systems for Nuclear Power Plants》为顶层,由IEC SC 45A标准族来承接和展开。

image.png

图3 欧洲核电法规标准体系图

IEC的分技术委员会依据SSG-39中有关仪控系统在设计和实现的各个阶段所遵循的原则,提出了以IEC61513为首的核电厂仪控系统总体要求,并依照IEC61226中的核电厂仪控系统安全等级分类进一步细化了A类功能的计算机软件按照IEC60880、B类和C类功能的计算机软件按照IEC62138、硬件按照IEC60987、A类功能的HDL编程固件按照IEC62566等一系列标准[7]。具体欧洲V&V标准体系如图4所示。

image.png

图4 欧洲核电V&V法规和标准体系图

《IEC61226 Nuclear power plants– Instrumentation and control important to safety–Classification of instrumentation and control functions》将仪控系统功能分为A、B、C三类:安全系统范围内的功能属于A类或者B类;安全相关系统范围内的功能属于B类或C类。安全功能具体分类的流程图如图5所示[8]

A类功能:实现达到或者维持核电厂安全,防止设计基准事件(为确定设备的性能要求,在设计中采用的假想异常事件)导致的灾难性后果。

B类功能:B类功能的实施可以避免启动A类功能。

C类功能:对于达到或者维持核电厂安全起辅助或间接作用的功能。

image.png

图5 安全功能A、B、C类分级方法

经过梳理分析可知,对于A类软件,V&V的活动在IEC60880中已经明确了如何将软件从生成到发布的每个阶段包括管理、需求、设计、编码、测试、安装与运行[9]。但是对于B类和C类软件,IEC62138的实施细则过于宽泛,没有清晰界定在执行B类和C类软件V&V活动时工作任务的不同之处。另外,执行软件V&V时有必要将所引用的硬件需求文档和软硬件的接口描述清楚,但SSG-39导则却没有对系统的硬件提出额外的要求。

3 中国核电V&V标准体系分析

我国核电领域的标准已经从零散逐步走向完整,形成了基本完善的核电法规标准体系。该体系共分为四个层次结构:第一层是国家法律(如核安全法、网络安全法等)、条例(如第500号令);第二层是国务院各部门规章和政府制定的法规(HAF系列);第三层是由国务院批准发布或授权批准发布的强制性国家标准(GB系列)和政府制定的导则(HAD系列);第四层是各类非强制性国家标准(GB/T系列)和各行业标准(如NB/T系列、EJ/T系列)。该体系具体层次如图6所示。

image.png

图6 中国核电法规标准体系图

我国核电V&V活动是在遵从国家法律和政府制定的法规和导则的前提下,具体的实施活动由IEEE标准和IEC标准来实现。中国的核电法规中与仪控系统相关的目前只有《HAF003核电厂质量保证安全规定》和《HAF102核动力厂设计安全规定》,属于强制性法规,具有一定的法律效力,必须严格按照执行。国家核安全局在核电法规的基础上又进一步制定了核安全导则,即在核安全法规HAF102中明确指出了验证与确认的要求并在核安全导则HAD102/10中明确了核动力厂基于计算机的安全重要系统的软件生命周期各个阶段的指导性方法[10,11]。而对于具体的实施细则由国家能源局发布的相关NB/T标准来作为指导,相关NB/T标准是由IEC标准转化而来,从而形成了我国完善的核电厂安全重要仪表和控制系统标准体系,具体详见图7所示。

image.png

图7 中国核电V&V法规和标准体系图

我国的核电设施管理体系除了依托于一系列的法律、法规、标准以外,还要根据国务院发布的第500号令采用严格的许可证制度,并结合现场监督和检查来确保核安全电气设备的质量和安全性能[12]

经梳理可知,我国核电V&V相关的指导性标准已经具有较强的指导性、操作性,可作为指导核电厂业主与供货厂商、核安全监管机构等进行V&V活动的正式依据。国内的核电V&V在近年来发展迅速,相关会议和期刊也在不断涌现,中国核电研究院、中国原子能科学研究院、核电工程公司等机构对核电站的安全运行提供了大量的安全评估工作。总的来说,中国核电V&V在技术方面已经具备了一定的实力和水平,实践应用方面在逐渐加强。

4 新版HAD102/10标准分析

随着核电技术的不断进步和核电行业的快速发展,原有的标准可能已经无法完全满足当前的技术要求和行业需求。国家核安全局在2021年为进一步完善我国的核安全法规体系,加强核安全监管,以《SSG-39:2016 Design of Instrumentation and Control Systems for Nuclear Power Plants》为参考蓝本组织编制了《HAD102/10-2021核动力厂仪表和控制系统设计》,与此同时正式废除了与仪控系统相关的三项核安全导则,标准演变如图8所示[13]

image.png

图8 HAD102/10-2021标准演变图

下面将从仪控系统V&V领域出发,对该标准所带来的影响进行五个方面的综合分析,具体如下:

(1)在安全分级方面,该导则并未与SSG-39的安全分级要求保持一致,而是强调以安全重要性作为分类准则,弱化了安全相关系统的概念。由于SSG-39采用SSG-30的安全分类原则,即先对核电厂的物项进行分类(分为“执行功能的物项”和“贯彻设计规定的物项”两种类型),再根据功能失效或物项失效的后果进行分级,结合我国在建核电站的系统多样性和复杂性、数据获取等限制,该分级原则的适用性可能受到一定限制。

(2)在生命周期方面,减少了计算机系统需求阶段,增加了硬件的相关阶段,以及硬件和软件、系统之间的验证活动。执行V&V活动时,应注意硬件、软件、系统之间的双向V&V活动,即不仅验证软件对硬件的支持,也验证硬件对软件的兼容性及系统的整体性能,这就要求更高的测试覆盖率和更全面的测试设计,从而增加项目的复杂性和工作量。

(3)在已开发的物项范畴方面,增加了纯粹的物理硬件设备,还将软件与硬件深度融合的数字化装置纳入其中。此外,还引入了通过高级硬件描述语言定义或利用现成模块灵活配置的硬件设备。执行V&V活动时,评审人员需要重点考虑数据安全、隐私保护等方面,注意软硬件结合的设备要有更加严格的安全措施来保护用户数据免受攻击。

(4)在验证和确认技术方面,增加了网络安全测试(输入来自脆弱性评估)。脆弱性评估是网络安全测试的重要前置步骤,它通过对系统、网络、应用等进行全面的安全分析,识别出潜在的安全漏洞和弱点。V&V人员在进行需求规格书审查时,应当注意是否已经将网络安全特性纳入仪控系统及软件的需求考虑之中。这些脆弱性评估结果作为网络安全测试的输入,为测试人员提供了明确的目标和范围,使得测试更加精准和高效。网络安全测试是通过模拟真实的安全威胁场景,测试人员可以验证系统在实际运行中的表现是否符合预期。将网络安全测试的结果纳入V&V流程中,可以更加全面地评估系统的安全性和稳定性,从而提高V&V的准确性。

(5)在人因工程方面,增加了人因工程和网络安全活动之间的主要接口,并对影响这些方面的仪控设计特性给出了建议。V&V人员在进行接口需求评审和接口设计评审时,要注意人因工程接口的设计范围应覆盖到全面且易于管理的信息,包括主控制室、事故监测、运行人员通信系统、人因工程相关原则、历史数据记录等方面。这些信息要在核动力厂开发过程初期进行系统性考虑,并贯彻于开发生命周期全过程。

由上可见,技术的进步带来了新工艺和新方法的应用,这些都需要在标准中得到体现和规范。同时,行业的发展也要求标准能够跟上时代的步伐,与国际标准的更新相接轨。《HAD102/10-2021核动力厂仪表和控制系统设计》的发布为核电行业的技术创新和产业升级提供了有力支撑,同时也为国内软件验证与确认的标准体系奠定了坚实的基础。

5 结论与建议

5.1 结论

国际上的软件验证与确认活动有两大标准体系,一个是以美国的电气和电子工程师协会IEEE和美国核管制委员会NRC颁布的相关标准、导则及法规为主的美国标准体系,另一个是以国际电工委员会IEC和国际原子能机构IAEA颁布的相关标准、导则及法规为主的欧洲标准体系。IEC标准和IEEE标准中的V&V技术存在一定的差异,例如IEC标准将安全等级分为A、B、C三大类,而IEEE标准将安全等级分为1~4级,因此在使用国际标准时应注意不同体系的协调性,避免出现技术和管理上的不兼容问题,进而导致安全或经济上的风险。

国内软件验证与确认的标准体系是伴随着中国核电工业的发展历程,经历了从技术引进、消化吸收到自主创新的全过程,从而逐步建立和完善起来的。在此期间引进并转化了大量的国际标准,其中核电仪控系统方面包括较多的上述美国IEEE标准和欧洲IEC标准,在法规导则方面也参考了一些欧标体系方面的良好实践,如HAF102以欧标体系的SSR-2/1为参考蓝本编制的,HAD102以欧标体系的SSG-39为参考蓝本编制的,充分体现了与国际标准的接轨与同步。

5.2 建议

(1)从复杂性和安全性的角度来看,随着软件系统的复杂性不断增加,软件V&V变得更加困难。特别是当软件系统包含大量交互和并发的组件时,难以确定测试用例的完整性和正确性。这就需要不断完善标准制定和修订过程中的反馈机制,引入新技术、新方法的同时,避免标准的频繁更新给行业带来不必要的负担和混乱,而过长的更新周期又无法及时反映技术进步和需求变化。

(2)引入更先进的设计理念和技术要求,如更高的可靠性、可用性、可维护性、安全性(RAMS)指标等;制定RAMS管理规范、建立RAMS管理体系、实施RAMS评估与改进、加强人员培训和意识提升以及推动技术创新和研发等措施。这些指标的提升将有助于提升核动力厂仪表和控制系统的整体性能和安全水平,将进一步保障核能设施的安全运行和环境保护。

(3)我国的核电标准体系中,建议进一步明确安全管理责任,明确哪些活动属于制造商/供应商范围内,哪些属于核电厂责任人范围内,并采取相应的管理措施,推动组织不断完善安全管理措施,提升安全管理水平。当安全管理责任被明确界定并分配给特定团队时,所有相关人员都会更加意识到核安全的重要性,这种意识提升有助于形成积极的核安全文化,使核安全成为日常工作的一部分。

(4)我国的法规导则对核电标准的支撑可以借鉴美国核管理委员会NRC对IEEE标准的背书以及国际原子能机构IAEA对IEC标准的背书,完善体系上游对下游的支撑,避免标准与实际应用需求脱节,使其具有更高的权威性和参考价值。

作者简介:

程 聪(1991-),女,吉林人,工程师,硕士,现就职于北京广利核系统工程有限公司,主要从事系统验证与确认方面的工作。

参考文献:

[1] 赵靖, 王延斌, 曲立平, 等. 软件可靠性工程[M]. 西安: 西北工业大学出版社, 2011.

[2] 陆玉中. 浅谈中国核电发展的必要性[J]. 现代企业文化, 2018, (3) : 26 - 27.

[3] 电气和电子工程师协会. IEEE7-4.3.2 IEEE Standard Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations[S]. 2003.

[4] Oberkampf, William L, Timothy G, et al. Verification and 716 - 743. validation benchmarks[J]. Nuclear engineering and Design, 2008, 238 (3) :

[5] 电气和电子工程师协会. IEEE Std.1012, IEEE Standard for Software Verification and Validation[S]. 2016.

[6] 吴秀坤, 王根生. 核安全级数字化仪控系统软件验证和确认技术标准研究[J]. 核标准计量与质量, 2014, (4) : 16 - 22.

[7] 国际原子能机构. IAEA guide, NS-G-1.3 Instrumentation and Control Systems Important to Safety in Nuclear Power Plant[S]. 2005

[8] 国际电工委员会. IEC61226 Nuclear power plants – Instrumentation and control important to safety – Classification of instrumentation and control functions[S]. 2009

[9] 国际电工委员会. IEC60880, Nuclear power Plants-Instrumentation and control important to safety-Software aspects for c [10] 国家核安全局. HAF102, 核电厂设计安全规定[S]. 2004. omputer-based systems performing category A functions[S]. 2006.

[11] 国家核安全局. HAD102/10, 核动力厂仪表和控制系统设计[S]. 2021.

[12] 中华人民共和国国务院. 民用核安全设备监督管理[Z]. 2019.

[13] International Atomic Energy Agency (IAEA). IAEA Safety Standards Series No. SSG-39: Design of Instrumentation and Control Systems for Nuclear Power Plants[S]. IAEA, Vienna, Austria, 2016.

摘自《自动化博览》2024年11月刊

热点新闻

推荐产品

x
  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: