核電廠數(shù)字化設(shè)備的商品級評定

Commercial Grade Assessment of the Digitizing Devices for Nuclear Power Plant

毋　琦　任莉華　李世欣　王忠秋

(環(huán)境保護部核與輻射安全中心，北京　100082)

核電廠數(shù)字化設(shè)備的商品級評定

Commercial Grade Assessment of the Digitizing Devices for Nuclear Power Plant

毋琦任莉華李世欣王忠秋

(環(huán)境保護部核與輻射安全中心，北京100082)

摘要：在核電廠建造和運行過程中，需要采購大量的商品級物項。這些執(zhí)行核電廠安全功能的商品級物項需要經(jīng)過評定，才能用于核電廠。對核電廠商品級物項評定文件體系進行了概述，對核電廠數(shù)字化設(shè)備商品級評定的流程和方法進行了介紹；同時，對數(shù)字化設(shè)備商品級評定過程中的設(shè)備鑒定與商品級評定關(guān)系、數(shù)字化設(shè)備質(zhì)量特性評定要素以及數(shù)字化設(shè)備質(zhì)量特性驗收準則三個重點問題進行了重點討論。

關(guān)鍵詞：核電廠數(shù)字化設(shè)備商品級評定質(zhì)量特性安全功能

Abstract：In construction and operation of the nuclear power plants, a large number of commercial grade items are needed to be purchased. These commercial grade items are executing safety functions for nuclear power plants, so it is necessary to evaluate and assess. The file architecture of commercial grade items assessment for nuclear power plant is described. The process and method for commercial grade assessment of the digitizing devices for nuclear power plant are introduced, and in accordance with the three key points in such assessment process are discussed emphatically, i.e., the relationship between device identification and commercial grade assessment, evaluation factors for quality characteristics of digitizing devices, as well as the acceptance criteria of the quality characteristics of digitizing devices.

Keywords：Nuclear power plantDigitizing deviceCommercial-grade assessmentQuality characteristicsSafety function

0引言

對核電廠中執(zhí)行安全功能的商品級物項進行評定(下文簡稱為“商品級評定”)的概念和工作起源于美國。從20世紀70年代開始，美國的新建核電廠逐漸減少，已投入運行的核電廠業(yè)主面臨著大量的備品備件的采購需求，與此同時，部分設(shè)備原供應(yīng)商逐步放棄了原有的滿足美國聯(lián)邦法規(guī)10CFR50附錄B《核電廠和后處理設(shè)施質(zhì)量保證準則》要求的核質(zhì)保體系，這導致核電廠業(yè)主不得不從替代供應(yīng)商處采購商品級物項(包括設(shè)備、材料、零部件、系統(tǒng)、構(gòu)筑物以及軟件)。按照10CFR50附錄B中的要求，在核電廠中使用的用于執(zhí)行安全功能的設(shè)備和部件以及影響設(shè)備安全功能的活動都應(yīng)當符合10CFR50附錄B中的要求，按照此要求。從事核電廠安全級設(shè)備和部件設(shè)計、制造、采購、試驗等活動的供應(yīng)商應(yīng)當首先建立滿足10CFR50附錄B要求的質(zhì)量保證體系(核質(zhì)保體系)。而這些替代供應(yīng)商一般沒有符合10CFR50附錄B要求的質(zhì)量保證體系，其向核電廠提供的設(shè)備及部件多為符合工業(yè)標準的商品級產(chǎn)品。因此從20世紀70年代開始，美國核管會(nuclear regulatory commission,NRC)和美國電力研究協(xié)會(electric power research institute,EPRI)對用于核電廠中執(zhí)行安全功能的商品級設(shè)備進行評定，用以確定這些商品級物項可以與基礎(chǔ)物項(即符合10CFR50附錄B的規(guī)定，在核電廠中執(zhí)行安全功能的物項。為表述方便，本文將基礎(chǔ)物項稱為“核級物項”)一樣提供其可以執(zhí)行核電廠安全功能的合理保證，并逐步建立起比較完善的評定體系。本文將對美國已形成的核電廠商品級物項評定體系進行介紹和討論，同時針對在核電廠中使用越來越廣泛的數(shù)字化儀控設(shè)備的商品級評定方法和關(guān)鍵問題進行討論。

1美國商品級物項評定的體系

1988年，在對美國核工業(yè)界工業(yè)實踐進行了一系列調(diào)查、研究、分析和評價的基礎(chǔ)上，美國電力研究協(xié)會(EPRI)發(fā)布了針對商品級物項在核電廠中的應(yīng)用指導報告EPRI NP-5652《核電廠安全有關(guān)應(yīng)用中商品級物項導則》[1]。在這份報告中，EPRI對應(yīng)用于核電廠中執(zhí)行安全功能的商品級物項評定背景、目標、基本概念、總體過程、基本方法進行了闡述，提出了對商品級物項采用技術(shù)評價加驗收的評定方法，并對技術(shù)評價和驗收的方法進行了具體論述。

1989年，美國核管會(NRC)在Generic Letter 89-02《反贗品和假貨的法案》對EPRI NP-5652給予了認可，并對EPRI NP-5652中提出的商品級物項驗收方法進行了補充規(guī)定。

Generic Letter 89- 02發(fā)布之后，1994年，EPRI發(fā)布了關(guān)于NP-5652的補充報告EPRI TR-102260《商品級物項應(yīng)用EPRI NP-5652報告的補充指導》。該報告對NP-5652中所提到的一些關(guān)鍵問題進行了補充，主要包括如何對商品級物項實施技術(shù)評價、通用驗收過程的實施以及評定程序的評價等問題。

1996年，EPRI發(fā)布EPRI TR-106439《核安全級應(yīng)用中的商品級數(shù)字化設(shè)備評價及驗收導則》。該技術(shù)報告針對數(shù)字化設(shè)備的特點，對用于核電廠的數(shù)字化設(shè)備商品級評定關(guān)鍵特性和方法進行了研究和論述[2]。

在EPRI一系列研究成果的基礎(chǔ)上，美國電氣電子工程師協(xié)會(institute of electrical and electrionics engineers,IEEE)發(fā)布IEEE Std.7- 4.3.2-2003《核電廠安全系統(tǒng)數(shù)字計算機準則》。其中關(guān)于數(shù)字化設(shè)備商品級評定的條款和規(guī)定與EPRI相關(guān)研究報告中的觀點和結(jié)論基本一致。按照該標準的要求，針對核電廠數(shù)字化設(shè)備的商品級評定分為兩個階段(初步評定階段和詳細評定階段)，該標準對兩個階段的具體工作和方法作出了具體規(guī)定[3]。

在監(jiān)管層面，除上文提到的Generic Letter 89- 02以外，美國核管會(NRC)還發(fā)布了一系列的文件，對EPRI及IEEE相關(guān)報告及標準中的商品級物項評定原則和方法進行了認可和補充，主要包括以下內(nèi)容。

① 管理導則R.G.1.152《核電廠安全系統(tǒng)計算機準則》，NRC通過該導則認可了IEEE 7- 4.3.2-2003。

② 標準審查大綱(SRP)NUREG 0800第7章中對審查人員進行商品級物項評定的審查方法和驗收準則提出了明確規(guī)定。

③ 1997年，NRC通過評價報告《EPRI TR-106439的審查(TAC NO.M94127)》認可了EPRI TR-106439。

④ 1991年，NRC在Generic Letter 91-05《商品級采購和評定程序》中對核工業(yè)界的商品級物項評定程序以及實施過程中存在的問題進行了討論并提出了監(jiān)管要求。

⑤ 另外，NRC還制定了關(guān)于商品級物項評定的檢查程序，主要有INSPECTION PROCEDURE 43004《商品級評定程序的檢查》。

此外，在法律層面，美國聯(lián)邦法規(guī)10CFR21和10CFR50附錄B中對核電廠商品級物項評定的定義、概念和基本原則進行了規(guī)定。

美國關(guān)于核電廠商品級物項評定的文件體系具體如表1所示。

表1　美國核電廠商品級物項評定文件體系

2數(shù)字化設(shè)備商品級評定流程和方法

在EPRI NP-5652中對核電廠商品級物項評定的通用方法，總體來說就是對商品級物項進行技術(shù)評價加驗收的方法進行評定。在進行商品級物項采購之前，首先要進行技術(shù)評價，評價的主要目的是保證在采購文件中所規(guī)定的物項包括物項的功能、性能、尺寸、材料、接口等要求滿足設(shè)計的要求。技術(shù)評價的類型根據(jù)采購物項的不同分為三種形式，包括同種物項評價、替代物項評價、新物項評價[3]。

驗收的主要目的是確認物項滿足采購文件中所規(guī)定的要求。在 EPRI NP-5652中，提出了四種關(guān)于驗收的的可選方法，分別是：①針對商品級物項的特殊試驗和檢查；②商業(yè)級調(diào)查；③源地驗證；④質(zhì)量記錄調(diào)查。針對商品級物項評定的總體方法流程如圖1所示。

圖1　商品級物項評定總體流程

從圖1可以看出，在進行商品級物項評定工作時，需要識別物項的關(guān)鍵特性，在EPRI NP-5256中所提出的四種物項驗收方法主要圍繞被評定物項的關(guān)鍵特性進行驗收。該報告將商品級物項的關(guān)鍵特性分為物理特性和性能特性兩類。

數(shù)字化設(shè)備關(guān)鍵特性舉例如表2所示。

表2　數(shù)字化設(shè)備關(guān)鍵特性(舉例)

數(shù)字化儀控設(shè)備的商品級評定流程和方法基本與上述方法和過程一致，但是由于數(shù)字化設(shè)備的功能實現(xiàn)依賴于軟件的功能，例如邏輯符合、數(shù)據(jù)處理與存儲等功能，因此數(shù)字化設(shè)備的質(zhì)量由軟件和硬件的質(zhì)量共同決定。在EPRI TR-106439中將商品級數(shù)字化設(shè)備的關(guān)鍵特性劃分為三類：物理特性、性能特性和質(zhì)量特性(包括可靠性、安全性、可用性、可維護性等)，相比其他商品級物項的關(guān)鍵特性，增加了一類質(zhì)量特性，質(zhì)量特性在IEEE Std.7- 4.3.2-2003中也被稱為開發(fā)過程特性。

3數(shù)字化設(shè)備商品級評定的重要問題

3.1　設(shè)備鑒定與商品級評定的關(guān)系

我國的核安全法規(guī)HAF102《核電廠設(shè)計安全規(guī)定》和美國聯(lián)邦法規(guī)10CFR50.49《核電廠安全重要電氣設(shè)備環(huán)境鑒定》中都明確要求對核電廠安全重要物項進行合格鑒定，以驗證設(shè)備在整個壽期內(nèi)能滿足處于需要作用時的環(huán)境條件下執(zhí)行安全功能的要求。IEEE Std.323《IEEE Standard for Qualifying Class 1E Equipment for Nuclear Power Generating Stations》中關(guān)于設(shè)備鑒定的定義為“產(chǎn)生和保持證明設(shè)備在正常、異常環(huán)境條件和設(shè)計基準事故下能夠按照系統(tǒng)性能要求執(zhí)行功能的證據(jù)的過程”[4]。從上述定義可以看出,設(shè)備鑒定是一個產(chǎn)生證據(jù)的過程，設(shè)備鑒定可以采用試驗、分析計算、運行經(jīng)驗方法或這三種方法的組合進行，是設(shè)計驗證的一種手段，其目的是證明設(shè)備能夠在其壽期內(nèi)可能運行的環(huán)境條件下執(zhí)行其安全功能。

按照10CFR21的定義，核電廠商品級物項評定的定義為“為提供商品級物項可以作為基礎(chǔ)物項使用，能夠執(zhí)行其安全功能的合理保證的驗收過程，經(jīng)過評定的商品級物項可以等同于按照10CFR50附錄B要求設(shè)計、制造的基礎(chǔ)物項”。根據(jù)上述定義，商品級物項的評定工作是針對商品級物項的驗收過程，其目的是證明商品級物項的設(shè)計、制造過程中的質(zhì)量控制水平不低于10CFR50附錄B中的要求。

通過對比設(shè)備鑒定和商品級物項評定工作的定義、目的和依據(jù)標準等方面，可以看到設(shè)備鑒定和商品級物項評定在以下幾個方面存在明顯差異。

① 針對商品級物項的評定過程中，物項在其預期的安裝、運行和設(shè)計基準事故環(huán)境條件下執(zhí)行功能的能力是物項的關(guān)鍵特性之一(為表述方便，本文將此特性稱為“鑒定特性”)。針對物項開展鑒定工作是商品級物項評定的重要方面，用于驗證鑒定特性是否滿足確定的評定要求。對于商品級物項來說，設(shè)備鑒定工作是商品級物項評定工作的一部分。

② 設(shè)備鑒定是設(shè)計驗證的手段之一，在設(shè)備設(shè)計未影響原有鑒定結(jié)論的設(shè)計變化的情況下，不同批次的設(shè)備一般不需要重新進行設(shè)備鑒定，這是以設(shè)備制造廠商按照核質(zhì)保的要求對其設(shè)備設(shè)計和制造過程實施嚴格控制為基礎(chǔ)的。但是由于商品級物項的制造廠商一般沒有建立核質(zhì)保體系，因此，針對商品級物項的評定工作往往帶有“批次”的概念。根據(jù)之前的評定結(jié)果、設(shè)備的復雜和重要程度以及相關(guān)的運行經(jīng)驗和問題反饋等，采購方可以實施對不同設(shè)備批次的商品級物項評定工作，包括對鑒定特性的評定。

③ 設(shè)備鑒定和商品級物項評定所依據(jù)的標準不同，兩者自成體系。關(guān)于設(shè)備鑒定和商品級物項評定的標準體系不在本文進行討論。

在進行核電廠安全重要設(shè)備采購和驗收過程中，采購方必須認識到滿足設(shè)備鑒定要求不等同于商品級物項可以用于核電廠執(zhí)行安全功能，商品級物項用于核電廠執(zhí)行安全功能必須通過商品級物項的評定，證明其質(zhì)量水平不低于基礎(chǔ)物項(核級物項)。這也是核安全審查方特別需要予以關(guān)注的方面。

3.2　數(shù)字化設(shè)備質(zhì)量特性的評定要素

如上所述，與傳統(tǒng)的模擬儀控設(shè)備相比，針對數(shù)字化設(shè)備的商品級物項評定也是針對物項的關(guān)鍵特性進行評定，包括物理特性、性能特性。但與模擬設(shè)備不同，數(shù)字化設(shè)備商品級物項評定所覆蓋的關(guān)鍵特性中增加了一類質(zhì)量特性，IEEE Std.7- 4.3.2中將這類關(guān)鍵特性也稱之為開發(fā)過程特性。數(shù)字化設(shè)備與模擬設(shè)備相比，前者質(zhì)量的好壞和功能的可靠性取決于軟件和硬件兩個方面。硬件的可靠性降低主要是源于裝配制造的缺陷、運行老化和磨損等因素，但是軟件的故障和可靠性低則主要是由軟件設(shè)計、開發(fā)錯誤所導致的。軟件的高可靠性主要依靠系統(tǒng)、完整地實施軟件生命周期各個階段的設(shè)計、開發(fā)、集成、測試工作，并且在開發(fā)的每個階段實施驗證與確認及配置管理工作。與隨機出現(xiàn)的硬件缺陷相比，軟件錯誤具有確定性(即在滿足一定條件下，缺陷一定會暴露)、難于檢測和定位、層級傳遞性(即早期的設(shè)計缺陷會導致后續(xù)一系列的錯誤)以及難以復現(xiàn)性，因此針對數(shù)字化設(shè)備質(zhì)量特性的評定關(guān)鍵和難點在于軟件質(zhì)量特性的評定。

應(yīng)當注意的是，對于大部分商品級數(shù)字設(shè)備來說，其中的軟件往往不是針對核電廠應(yīng)用而訂制開發(fā)的，其設(shè)計開發(fā)過程在早期已經(jīng)完成。因此對于數(shù)字化設(shè)備軟件質(zhì)量特性的評定，主要針對設(shè)備供應(yīng)商在軟件設(shè)計開發(fā)過程中所遵循的體系、方法以及所產(chǎn)生的文件記錄進行評定，同時還要對已開發(fā)完成的軟件設(shè)計特性進行評價。數(shù)字化設(shè)備軟件質(zhì)量特性評定要素如表3所示。

表3　數(shù)字化設(shè)備軟件質(zhì)量特性評定要素

續(xù)表3

3.3　數(shù)字化設(shè)備質(zhì)量特性的驗收準則

上文列舉了數(shù)字化設(shè)備軟件的質(zhì)量特性評定要素，在討論這些評定要素的驗收準則之前，必須要強調(diào)的是，商品級設(shè)備的評定工作不是對商品級設(shè)備質(zhì)量的讓步接收，其根本目的是證明設(shè)備供應(yīng)商在設(shè)備設(shè)計制造過程中實施的質(zhì)量控制水平不低于核級物項的要求。因此，對于數(shù)字化設(shè)備軟件質(zhì)量特性的評定驗收準則是不低于核質(zhì)保要求及相關(guān)的標準的，主要體現(xiàn)在以下幾個方面。

① 在進行商品級數(shù)字化設(shè)備軟件開發(fā)工作之初應(yīng)當建立軟件開發(fā)大綱。在軟件開發(fā)大綱中應(yīng)當對軟件生命周期進行完整的描述；軟件生命周期應(yīng)當將軟件開發(fā)過程劃分為若干個邊界接口清晰的階段，各個開發(fā)階段的的參與人員、開發(fā)輸入條件、開發(fā)工具、工作任務(wù)和開發(fā)輸出應(yīng)當確定；軟件生命周期的開發(fā)過程應(yīng)當符合相關(guān)標準(例如 IEEE 1074)的要求。

② 軟件驗證與確認及配置管理工作應(yīng)當貫穿軟件生命周期的各個階段。應(yīng)當驗證軟件開發(fā)各個階段的輸出滿足輸入的要求；應(yīng)當確認最終軟件滿足軟件需求定義的要求；軟件驗證與確認的工作應(yīng)當獨立于設(shè)計開發(fā)工作；應(yīng)當將軟件的全部要素包括軟件模塊、軟件文檔置于配置管理的控制之下。

③ 軟件需求、設(shè)計、實施、集成和測試各個階段應(yīng)當具有可追溯性。應(yīng)當在軟件需求階段就明確定義并標識軟件功能需求，并以此為基礎(chǔ)，在軟件開發(fā)的各個階段與軟件功能需求項目建立可追溯的對應(yīng)關(guān)系。

④ 軟件測試工作應(yīng)當覆蓋全部的軟件功能需求，應(yīng)當確認附加的功能不會影響軟件的安全功能。軟件測試工作應(yīng)當包括單元測試、集成測試和異常測試。

⑤ 在數(shù)字化設(shè)備的故障模式和后果分析工作中，應(yīng)當識別軟件故障模式并采取相應(yīng)的設(shè)計措施；應(yīng)當在軟件開發(fā)工作結(jié)束后，進行故障模式和后果分析工作，確認沒有因為開發(fā)工作引入新的故障模式和風險。

由于在進行商品級數(shù)字化設(shè)備軟件的設(shè)計開發(fā)過程中設(shè)備供應(yīng)商一般遵循的是工業(yè)標準，開發(fā)過程的記錄文件、驗證與確認記錄和報告、配置管理報告和故障模式和后果分析報告往往是不完整或不完全滿足核工業(yè)相關(guān)標準要求的，因此在進行商品級物項評定的過程中，往往需要評定人員綜合考慮數(shù)字化設(shè)備的運行經(jīng)驗、開發(fā)過程中對所確定的質(zhì)量特性的控制措施、軟件的設(shè)計特性和軟件的復雜程度等因素，同時輔以必要的補充測試，對已開發(fā)完成的軟件質(zhì)量做出工程判斷。美國NRC認可采用工程判斷的方式對商品級物項的評定給出結(jié)論意見(多用于缺乏足夠的證據(jù)文件證明軟件設(shè)計開發(fā)過程滿足核質(zhì)保要求及相關(guān)標準的情況)。需要特別說明的是，按照IEEE Std.7- 4.3.2標準中的建議，對商品級物項的評定應(yīng)當限于對那些功能相對其應(yīng)用比較簡單的物項開展。因此，對大規(guī)模的商品級軟件開展評定工作是需要審慎對待的。同時，采購方必須認識到不是所有的商品級物項都可以被評定為核級物項。

4結(jié)束語

在核電廠建造和運行過程中需要采購大量的商品級物項，這些執(zhí)行核電廠安全功能的商品級物項需要經(jīng)過評定才能用于核電廠。2013年，韓國核電廠使用偽劣的零部件導致韓國多座核電機組停運，因此在核電廠商品級物項的采購管理過程中必須開展對商品級物項的評定工作，這對保證核電廠建造質(zhì)量和運行安全意義重大。本文對商品級物項評定的背景和概念進

行了介紹，梳理了美國核電廠商品級物項評定的文件體系，介紹了數(shù)字化設(shè)備的商品級評定工作方法和流程，同時針對數(shù)字化設(shè)備商品級評定過程中的三個重要問題進行了探討，說明了設(shè)備鑒定與商品級物項評定的關(guān)系，給出了數(shù)字化設(shè)備商品級評定的評定要素，并對評定的驗收準則進行了探討。目前，我國針對核電廠商品級物項的評定工作尚處在研究初期的階段，對于商品級物項評定的法規(guī)依據(jù)、評定原則、實施具體方法、程序、條件和驗收準則，包括審查和監(jiān)督的方法和準則，都是下一步亟待研究的重要問題。

參考文獻

[1] EPRI NP-5652.Guidelinefor the utilization of commercial grade items in nuclear safety related applications[R].Electric Power Research Institute,1988.

[2] EPRI TR-106439.Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications[R].Electric Power Research Institute,1996.

[3] IEEE Std.7-4.3.2-2003.IEEE standard criteria for digital computers in safety systems of nuclear power generating stations[S].Institute of Electrical and Electronics Engineers,Inc,2003.

[4] IEEE Std.323-2003.IEEE standard for qualifying class 1E equipment for nuclear power generating stations[S].Institute of Electrical and Electronics Engineers,Inc,2003.

中圖分類號：TH89；TP202

文獻標志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201507016

通訊作者任莉華(1977-)，女，2004年畢業(yè)于華北電力大學電力系統(tǒng)及其自動化專業(yè)，獲碩士學位，高級工程師；現(xiàn)從事核安全審評工作。

修改稿收到日期： 2014-12-29。

第一作者毋琦(1982-)，男，2006年畢業(yè)于華北電力大學自動化專業(yè)，獲碩士學位,高級工程師；現(xiàn)從事核安全設(shè)備審評與安全檢驗方面的工作。