周長榮

摘 要：針對重大專項消化吸收課題數(shù)字化核電站控制系統(tǒng)平臺原理樣機研制項目過程總結(jié)，結(jié)合軟件驗證和確認(rèn)的基本要素，旨在概述基于軟件的分散控制系統(tǒng)工程應(yīng)用開發(fā)階段的質(zhì)量管理策略。對核電站在出廠前控制軟件開發(fā)的質(zhì)量提供基本的活動支持，從而提高軟件生命周期內(nèi)的質(zhì)量，以滿足系統(tǒng)開發(fā)需求。

關(guān)鍵詞：DCIS 軟件 V&V 質(zhì)量控制 管理

中圖分類號：HL362.1 文獻標(biāo)識碼：A 文章編號：1007-3973（2013）009-122-03

1 引言

隨著科技的發(fā)展，數(shù)字化儀控系統(tǒng)設(shè)備在核電領(lǐng)域的應(yīng)用范圍逐漸擴大。越來越多的儀控設(shè)備開發(fā)涉及硬件的開發(fā)、軟件的開發(fā)及軟/硬件的集成。為滿足國內(nèi)外法規(guī)/標(biāo)準(zhǔn)的要求，軟件及基于軟件的系統(tǒng)均采用驗證與確認(rèn)（Verification and Validation，V&V）的策略以確保開發(fā)過程受控、檢驗及證明產(chǎn)品的性能、保證相應(yīng)的需求已正確實現(xiàn)以保證軟件或系統(tǒng)（基于軟件）的置信度。

V&V是軟件開發(fā)過程的一部分，它包括一系列系統(tǒng)化的評審與測試活動，其貫穿于軟件開發(fā)或基于軟件的系統(tǒng)開發(fā)生命周期全過程。

2 軟件V&V概述

因為軟件有一些特有的方面需要被考慮，不同于以往設(shè)備（硬件）的質(zhì)量保證（QA）及質(zhì)量控制（QC），在軟件開發(fā)時往往關(guān)注軟件V&V，確切地說，軟件V&V是系統(tǒng)V&V的一部分。系統(tǒng)一般由硬件作支撐運行，硬件部分與生產(chǎn)、制造等相關(guān)特有活動，通常由QA、QC確保其產(chǎn)品質(zhì)量。對于系統(tǒng)分配至硬件的需求及設(shè)計、涉及與軟件相關(guān)的硬件產(chǎn)品、硬件設(shè)計的過程文件、活動記錄文件等，軟件及系統(tǒng)V&V的技術(shù)方法均適用。

V&V過程需要文件控制、需求管理、配置管理等輔助活動支持，用以提高V&V的執(zhí)行效率。V&V過程涉及與軟件開發(fā)一樣的控制與管理問題。其結(jié)果同樣可用于第三方或公司內(nèi)部專業(yè)質(zhì)保人員評審。

2.1 V&V與QA的基本關(guān)系

V&V是質(zhì)量保證（QA）的一部分。V&V既注重產(chǎn)品質(zhì)量，同樣也注重產(chǎn)品開發(fā)過程。V&V的“驗證”關(guān)注過程的實施。這點基本與QA思路一致。

當(dāng)討論核電站基于軟件的數(shù)字系統(tǒng)時，V&V與QA的關(guān)系可能被混淆。在上世紀(jì)末，軟件QA計劃一般遵循IEEE Std 730，其將軟件分類為關(guān)鍵軟件和非關(guān)鍵軟件。軟件QA包含軟件開發(fā)生命周期、編碼標(biāo)準(zhǔn)、管理控制與V&V。為澄清術(shù)語及應(yīng)用，EPRI的報告重新定義了核電QA與軟件QA的概念：

（1）核電QA——10 CFR 50附錄B中規(guī)定安全相關(guān)核電系統(tǒng)必須執(zhí)行的QA活動。

（2）軟件QA——IEEE 730描述的對于關(guān)鍵軟件和非關(guān)鍵軟件的QA活動。

所以，V&V可以被認(rèn)為是QA的活動子集。若一套數(shù)字控制或保護系統(tǒng)在核電QA大綱下執(zhí)行，那么必然包含完整的V&V活動。反之，V&V的執(zhí)行并不意味著執(zhí)行了核電QA。V&V適用于確?；谲浖臄?shù)字控制系統(tǒng)的質(zhì)量。

QA應(yīng)包含軟件V&V計劃及相應(yīng)等級的V&V活動需求。隨著系統(tǒng)工程的發(fā)展，IEEE Std. 1012- 2004逐漸取代軟件QA的概念，更注重對過程的管理、執(zhí)行與產(chǎn)品的質(zhì)量控制。4個軟件完整度等級的定義量化了軟件關(guān)鍵的數(shù)量，有效地協(xié)助項目組織對于資源的合理分配，以達到全面、有效地保證軟件質(zhì)量。

項目團隊?wèi)?yīng)正式、清晰地記錄V&V活動數(shù)據(jù)，供項目QA專業(yè)執(zhí)行人員審查。

2.2 V&V與CM的基本關(guān)系

配置管理（CM）必須滿足項目QA計劃的要求。CM必須確保：

（1）項目開發(fā)期間，每一個文檔版本的使用是正確的。

（2）在測試執(zhí)行期間，硬件、軟件、或系統(tǒng)參數(shù)的使用是正確的。

CM與V&V是并行的活動。CM的結(jié)果可用于V&V評審活動的輸入。若CM要求嚴(yán)格地執(zhí)行，V&V在某些方面的活動可能顯得低效。當(dāng)項目組織使用螺旋型生命周期模型（迭代開發(fā)）時，CM是尤其重要的。

項目開發(fā)組織必須謹(jǐn)慎地控制涉及軟件功能執(zhí)行的元素，保持其一致性，從而確保V&V的結(jié)果可以支持現(xiàn)行的配置。在開發(fā)期間，如果不能確定被安裝的配置是否與已存在的配置數(shù)據(jù)一致，即使這個系統(tǒng)被成功地開發(fā)（伴隨相適應(yīng)的V&V活動），那么其意義也是毫無價值的。

3 V&V過程

控制系統(tǒng)工程應(yīng)用開發(fā)過程中的V&V可遵循IEEE Std. 1012-2004標(biāo)準(zhǔn)或國際行業(yè)協(xié)會各報告中的指導(dǎo)內(nèi)容開展相關(guān)質(zhì)量控制與管理活動。

控制系統(tǒng)開發(fā)生命周期及相關(guān)V&V過程與活動，如圖1所示。

圖1 數(shù)字化控制系統(tǒng)開發(fā)過程V模型

通常，V&V輸出由V&V團隊生成。對于安全級系統(tǒng)，V&V團隊必須與設(shè)計團隊相互獨立，保持充分的獨立性，確保V&V流程不受設(shè)計流程中的進度和資源的影響。本項目中涉及的系統(tǒng)屬于非安全系統(tǒng)，因此保持項目組內(nèi)部的V&V技術(shù)的獨立性即可，來自設(shè)計團隊的工程師可以進入V&V團隊執(zhí)行驗證團隊的任務(wù)，但注意執(zhí)行此任務(wù)的產(chǎn)品項必須不是本人開發(fā)的?；诓煌耐暾鹊燃墸炞C任務(wù)也可以由開發(fā)團隊來生成，但這個過程及結(jié)果應(yīng)由V&V團隊來審查或見證。

為檢查軟件生命周期內(nèi)所定義的階段之間傳遞信息的正確性，應(yīng)通過驗證來控制、保證。驗證過程覆蓋了從系統(tǒng)需求規(guī)格書階段到設(shè)計、運行調(diào)試、維護和修改階段的全過程。

每個階段驗證的目的是為了確認(rèn)本階段開發(fā)的產(chǎn)品（輸出）正確地實施了本階段的輸入要求。每個階段的驗證過程包括對要求驗證的輸入文件、編碼和數(shù)據(jù)的審查，產(chǎn)生驗證結(jié)果文件。

確認(rèn)的目的是為了證明軟件和硬件集成的系統(tǒng)正確地執(zhí)行了系統(tǒng)需求規(guī)格書定義的功能。要求通過集成的系統(tǒng)全面測試來判定該系統(tǒng)是否能完全地、正確地、一致地和精確地執(zhí)行所有特定的功能。在確認(rèn)過程中，該系統(tǒng)與其他系統(tǒng)及用戶接口的完整性、正確性、一致性和精確性得到評估。確認(rèn)必須評估關(guān)鍵性能參數(shù)、重要的功能和其他的系統(tǒng)要求已滿足，必須證明控制系統(tǒng)完成其需求規(guī)格書的要求。

確認(rèn)是基于系統(tǒng)需求規(guī)格書的基礎(chǔ)上。通常確認(rèn)活動通過FTs（工廠試驗），F(xiàn)ATs（工廠驗收試驗）和SATs（現(xiàn)場驗收試驗）實施。

4 過程管理

4.1 組織需求

根據(jù)RG 1.168-2004，“用于核電站安全系統(tǒng)的數(shù)字計算機項目的驗證、確認(rèn)、審核、和審計”，IV&V（獨立驗證與確認(rèn)）活動對于評審人員有特定的獨立等級需求。IV&V評審的深度基于安全等級分類。

對于安全級系統(tǒng)而言，NRC與NNSA均要求驗證人員應(yīng)該不同于那些執(zhí)行初始設(shè)計的人員，應(yīng)該由負(fù)責(zé)V&V的組織為V&V的充分性承擔(dān)責(zé)任。負(fù)責(zé)V&V的人員必須與負(fù)責(zé)設(shè)計的人員相互獨立。必須要有充分的獨立性，以確保V&V流程不受設(shè)計流程中的進度和資源的影響。對于非安全級的控制系統(tǒng)項目而言，V&V活動的深度與獨立性可適當(dāng)降低要求，但必須滿足最基本的技術(shù)獨立需求。

V&V活動期間，管理控制關(guān)注以下幾個方面：

（1）文件/軟件/測試項的傳遞；（2）文件/測試事件報告和日志；（3）文件/測試總結(jié)報告；（4）V&V狀態(tài)管理；（5）驗證工程師所執(zhí)行的活動內(nèi)容；（6）可審查的配置管理執(zhí)行。

4.2 傳遞控制

V&V與開發(fā)過程在許多項目的執(zhí)行中存在一定的瓶頸。尤其是雙方在過程產(chǎn)物傳遞的控制過程。無論是設(shè)計中間產(chǎn)品提交給V&V團隊，還是V&V團隊將評審結(jié)果反饋至開發(fā)小組，其中設(shè)計團隊和V&V團隊的關(guān)系在第3章進行了描述。文件和項目文檔的維護是設(shè)計和V&V流程中的一個關(guān)鍵元素。在設(shè)計團隊和V&V團隊之間傳遞的可驗證材料、交流信息可通過項目文控工程師進行傳遞。該工程師必須具備良好的CM執(zhí)行意識，確認(rèn)工程輸出符合過程程序要求，保留當(dāng)前和過往歷史版本，并且保留發(fā)布的記錄和已驗證輸出的記錄。

4.3 問題跟蹤

在執(zhí)行V&V任務(wù)期間檢測到的任何差異都必須進行記錄。產(chǎn)品相關(guān)負(fù)責(zé)人需控制每一份差異報告，并且在需要時通知技術(shù)經(jīng)理，如未及時匯報，差異報告至少應(yīng)包含在V&V階段總結(jié)報告中。

所有的差異經(jīng)分析后會引申出一定的問題，而問題跟蹤確保V&V活動中發(fā)現(xiàn)的問題得以被記錄、追蹤并最終落實到具體的人員解決。典型的需要記錄的信息包括：

（1）問題發(fā)生的時間；（2）問題發(fā)生的位置；（3）問題發(fā)生前系統(tǒng)的狀態(tài)；（4）發(fā)生問題的證據(jù)；（5）導(dǎo)致問題發(fā)生的條件/輸入；（6）描述系統(tǒng)理想狀態(tài)的運行情況，以及相關(guān)的需求；（7）解決問題的優(yōu)先級。

4.4 軟件相關(guān)的信息安全控制與管理

信息安全是保證項目產(chǎn)品質(zhì)量與V&V活動正確展開的重要環(huán)節(jié)，其活動主要包括防止外部人員惡意竊取或篡改軟件產(chǎn)品、資料或驗證記錄，以及內(nèi)部人員非故意的信息泄漏、意外修改。

5 控制及執(zhí)行策略

本章節(jié)提供了軟件質(zhì)量控制及執(zhí)行V&V任務(wù)時要遵循的通用技術(shù)和方法。單獨技術(shù)或集成技術(shù)可用于執(zhí)行一項驗證/確認(rèn)任務(wù)，以控制軟件及其產(chǎn)品的質(zhì)量。

5.1 清單核查

清單用于協(xié)助產(chǎn)品的驗證和確認(rèn)。清單中的內(nèi)容提供了執(zhí)行驗證的工程師在評審過程中應(yīng)考慮到的基本事項集，可應(yīng)用于各階段、各種的設(shè)計產(chǎn)品。核查清單提供了一種可量化的評審方式。

5.2 檢查/分析

檢查/分析包含了研究被驗證的產(chǎn)品。需要確認(rèn)設(shè)計的某些方面，可以是正式記錄的評估和計算，但不限于正式證明、圖表分析方法和相關(guān)技術(shù)。分析包括完整性和正確性的評估。分析應(yīng)重點關(guān)注以下幾個方面：

（1）危害和風(fēng)險分析；（2）可跟蹤性分析；（3）數(shù)據(jù)分析；（4）COTS和質(zhì)量鑒定審核前的產(chǎn)品分析；（5）V&V回歸（變更）分析；（6）工具分析。這些方法適用于整個系統(tǒng)/軟件開發(fā)的生命周期。

5.3 測試策略

測試適用于開發(fā)的各個方面。測試由系統(tǒng)或設(shè)備在具體條件下的操作、結(jié)果記錄、和基于結(jié)果做出正確性評價組成。測試應(yīng)該自下而上地執(zhí)行，低等級目標(biāo)測試的執(zhí)行先于高等級組合。

測試可以分為兩類：功能測試和結(jié)構(gòu)測試。功能測試（黑盒測試）用于確定模塊或系統(tǒng)的執(zhí)行符合具體的需求。功能測試的測試用例直接由需求規(guī)范驅(qū)動，并且以模塊或系統(tǒng)輸入和輸出為基礎(chǔ)。該方法對于檢查模塊接口非常有用。結(jié)構(gòu)測試（白盒測試）評估軟件的內(nèi)部結(jié)構(gòu)。結(jié)構(gòu)測試應(yīng)該通過分支和路徑測試的結(jié)合來完成。分支測試涉及生成測試用例，以提供充分的可信度，認(rèn)為模塊中所有的分支都可以到達。在路徑測試中，開發(fā)測試用例以提供充分的可信度，認(rèn)為所有的路徑（所有模塊中可行的分支結(jié)合）都被測試到。功能測試和結(jié)構(gòu)測試的結(jié)合確保應(yīng)用中沒有意想不到的功能存在。

對于待執(zhí)行的各測試，應(yīng)提供測試規(guī)范、測試程序、測試結(jié)果報告、和任何差異報告。測試設(shè)備必須控制和記錄。測試工具必須校準(zhǔn)、控制、和記錄。

測試方法采用低層級到高層級的方案。但是，為了確認(rèn)合適的集成或低等級實體組合（元素、處理器模塊、或通道）的執(zhí)行功能，有必要采取重疊的功能測試。由于硬件組裝，軟件設(shè)計和與硬件集成，應(yīng)執(zhí)行一系列硬件和軟件測試?，F(xiàn)場驗收測試（SAT）作為安裝流程的一部分執(zhí)行。現(xiàn)場驗收測試在執(zhí)行以完成安全系統(tǒng)開發(fā)的V&V范圍之外。主要測試活動有：

（1）機柜硬件測試；（2）單元軟件測試；（3）軟件集成測試；（4）系統(tǒng)集成測試；（5）驗收測試；（6）設(shè)備質(zhì)量鑒定測試；（7）回歸測試。

6 記錄與度量

在控制系統(tǒng)開發(fā)過程的質(zhì)量控制和管理過程中，記錄的控制和管理將是重要的一環(huán)。在法規(guī)和標(biāo)準(zhǔn)中，對于記錄的控制和管理有著強制的要求。10 CFR 50附錄A中要求在核電廠的整個生命周期期間，安全重要系統(tǒng)和設(shè)備的設(shè)計、制造、安裝的記錄必須由核電廠執(zhí)照持有者進行控制和管理。同時ASME NQA-1要求，記錄必須提供描述滿足質(zhì)量需求的相關(guān)活動的證明文件。在記錄的控制和管理過程中，考慮將圖紙、技術(shù)規(guī)格書，采購文件，測試設(shè)備檢定程序和檢定報告，不符合項報告和糾正措施報告，審查、檢查、監(jiān)查、監(jiān)督工作執(zhí)行報告，試驗和材料分析的結(jié)果都將作為記錄的一部分。

6.1 驗證與確認(rèn)記錄

質(zhì)量保證記錄中包括了驗證和確認(rèn)過程中產(chǎn)生的驗證記錄和測試記錄，并且在項目的開展過程中合理地控制和管理這些記錄。根據(jù)消化吸收原理樣機研制項目實踐經(jīng)驗，對于生命周期的不同階段，驗證的記錄可以采用審查清單的方式，選擇合適的審查內(nèi)容，編制不同的審查記錄清單。

而測試的記錄則重點要求測試配置記錄，測試執(zhí)行記錄，測試數(shù)據(jù)記錄，不符合項記錄與糾正措施記錄的完整性、一致性。以確保在某些分析活動下，可以再次復(fù)現(xiàn)測試活動。

6.2 度量探索

度量活動適用于整個V&V流程中，以幫助分析、預(yù)測、確定有疑問的傾向。這些信息將盡快反饋到設(shè)計和V&V流程中，以糾正管理缺陷和減少返工。

7 結(jié)束語

本文對基于重大專項消化吸收課題數(shù)字化核電站控制系統(tǒng)原理樣機研制項目V&V活動進行概述，其過程滿足國內(nèi)外法律、法規(guī)要求，并適用于核電站其它非安全相關(guān)的儀控子系統(tǒng)生命周期內(nèi)軟件的V&V活動。

參考文獻：

[1] 龔益.核電廠安全系統(tǒng)軟件驗證和確認(rèn)方法探索[J].低壓電器，2004（5）：27.

[2] RG 1.153-2011：Criteria for Use of Computers in Safety Systems of Nuclear Power Plants.

[3] TR-103291-CD，1998：Handbook for Verification and Validation of Digital Systems.

[4] IEEE Std 730-1998：Software Quality Assurance Plans.

[5] ASME NQA-1-2004，Quality Assurance Requirements for Nuclear Facility Applications.

[6] IEEE Std 1012-2004：Standard for Software Verification and Validation.

[7] IEEE Std 828-1998：Software Configuration Management Plan.

[8] IAEA TRS No.384，1999：Verification and Validation of Software Related to Nuclear Power Plant Instrumentation and Control.

[9] RG 1.168-2004：Verification， Validation， Reviews， and Audits for Digital Computer Software Used in Safety Systems of Nuclear Power Plants.

[10] SEI-CM-13-1.1，1988，Introduction to Software Verification and Validation.

[11] HAD 106-2004：核電廠基于計算機的安全重要系統(tǒng)軟件.

[12] IEEE Std 1028-2008：Standard for Software Reviews and Audits.