孟廣國，裴紅偉，傅春霞，盧 煒，張 晨，林 楨，張 弋

(北京廣利核系統(tǒng)工程有限公司，北京 100094)

0 引言

數(shù)字化儀控系統(tǒng)(digital instrument and control system,DCS)是核電站的“神經(jīng)中樞”，控制著整個核電站的運(yùn)行和各類工況處理過程，對于保證核電站安全、可靠、穩(wěn)定運(yùn)行發(fā)揮著重要作用[1]。而承擔(dān)反應(yīng)堆安全停堆和事故緩解功能的核級控制保護(hù)系統(tǒng)，因?yàn)橐獫M足單一故障準(zhǔn)則、冗余、多樣性、故障安全、獨(dú)立原則等可靠性要求，設(shè)計(jì)和研制更為復(fù)雜。其核心技術(shù)過去一直被美國、法國、日本等國家的少數(shù)幾個公司掌握。

廣利核公司歷經(jīng)多年的技術(shù)儲備和潛心研發(fā)，于2010年發(fā)布了中國首個自主核級DCS平臺——和睦系統(tǒng)，并于2013年取得陽江5、6號機(jī)組一體化DCS供貨合同。這意味著和睦系統(tǒng)將在DCS設(shè)備100%自主化、國產(chǎn)化的百萬千瓦級核電機(jī)組——陽江5號機(jī)組實(shí)現(xiàn)首臺套應(yīng)用。

如何做好自主核級DCS首臺套的質(zhì)量保證，國內(nèi)尚缺乏經(jīng)驗(yàn)的支撐。經(jīng)過三年的努力，2016年11月，廣利核向陽江核電完成核級DCS設(shè)備交付，實(shí)現(xiàn)了百萬千瓦級核電站核級DCS首堆應(yīng)用工期無延誤，為解決制約我國核電工程建設(shè)關(guān)鍵路徑的難題作出了示范。

2018年5月23日，陽江核電5號機(jī)組并網(wǎng)發(fā)電，實(shí)現(xiàn)了核電站“神經(jīng)中樞”中國造。這也驗(yàn)證了廣利核創(chuàng)建的核級DCS設(shè)計(jì)制造質(zhì)量保證體系的有效性。

1 核安全法律法規(guī)要求

我國堅(jiān)持從高、從嚴(yán)建立核安全法律法規(guī)體系，如圖1所示。國務(wù)院有關(guān)部門按照職責(zé)分工制定核安全標(biāo)準(zhǔn)。核安全標(biāo)準(zhǔn)是強(qiáng)制執(zhí)行的標(biāo)準(zhǔn)。

圖1 核安全法律法規(guī)體系

廣利核公司依照《民用核安全設(shè)備監(jiān)督管理?xiàng)l例》(國務(wù)院令第500號)及其配套文件、《民用核安全設(shè)備設(shè)計(jì)制造安裝和無損檢驗(yàn)監(jiān)督管理規(guī)定(HAF601)》、《核電廠質(zhì)量保證安全規(guī)定》(HAF003-1991)及其相關(guān)導(dǎo)則的原則和要求，建立了質(zhì)量保證體系。

在核級質(zhì)保大綱的統(tǒng)領(lǐng)下，廣利核公司針對所有對質(zhì)量有影響的活動制定了程序、細(xì)則。公司嚴(yán)格按照質(zhì)保體系文件規(guī)定的要求和方法對安全級產(chǎn)品的設(shè)計(jì)和制造活動進(jìn)行控制，及時發(fā)現(xiàn)不符合項(xiàng)并加以糾正，確保安全級產(chǎn)品的質(zhì)量和可靠性。同時，依據(jù)國家的監(jiān)管要求，對核安全級產(chǎn)品設(shè)計(jì)制造活動及時備案，接受國家核安全局監(jiān)管[2]。

2 核級DCS全生命周期質(zhì)量保證過程

核電站數(shù)字化儀控系統(tǒng)的設(shè)計(jì)制造是一個綜合、復(fù)雜的工程，涉及多學(xué)科、多專業(yè)、多工種，并且需要多個部門長期共同協(xié)作。在陽江5、6號機(jī)組一體化DCS供貨過程中，涉及產(chǎn)品研發(fā)、工程設(shè)計(jì)、采購、制造集成、檢查和試驗(yàn)、運(yùn)維服務(wù)、質(zhì)保監(jiān)查、質(zhì)量監(jiān)督等專業(yè)[3]。廠內(nèi)的設(shè)計(jì)制造周期通常在20個月以上。自DCS的產(chǎn)品研發(fā)到其在核電站現(xiàn)場長期運(yùn)行，直至其退役的全生命周期過程中，DCS產(chǎn)品必須保障核電站的高質(zhì)量和高可靠性的運(yùn)行。廣利核公司經(jīng)過自主DCS在陽江5號機(jī)組的首臺套應(yīng)用實(shí)踐，驗(yàn)證了公司全生命周期質(zhì)量保證過程的有效性，既保證了工程工期，又實(shí)現(xiàn)了“零缺陷”出廠，達(dá)到了質(zhì)量、進(jìn)度、成本的平衡。核級DCS的全生命周期質(zhì)量保證如圖2所示。

圖2 核級DCS的全生命周期質(zhì)量保證

HAF003將質(zhì)量保證活動分為兩類：一類是實(shí)現(xiàn)質(zhì)量的活動，即為使公司安全級產(chǎn)品設(shè)計(jì)、制造、系統(tǒng)集成和運(yùn)維服務(wù)等活動達(dá)到相應(yīng)的質(zhì)量所必需的活動；另一類是驗(yàn)證質(zhì)量的活動，即為驗(yàn)證所有工作已正確地履行，驗(yàn)證所要求的質(zhì)量已達(dá)到并產(chǎn)生了客觀證據(jù)所必需的活動。

廣利核公司的核質(zhì)量保證體系中，實(shí)現(xiàn)質(zhì)量的活動主要包括產(chǎn)品研發(fā)、工程設(shè)計(jì)、物資采購、生產(chǎn)集成、安裝調(diào)試、運(yùn)維服務(wù)等。伴隨著每一項(xiàng)實(shí)現(xiàn)質(zhì)量的活動，公司設(shè)置獨(dú)立的部門和人員，在不受工作壓力、成本和進(jìn)度影響的情況下，對核級DCS產(chǎn)品設(shè)計(jì)制造全生命周期過程開展設(shè)計(jì)審查、產(chǎn)品測試、進(jìn)貨檢驗(yàn)、生產(chǎn)工序檢驗(yàn)、工程測試、設(shè)備鑒定試驗(yàn)等質(zhì)量控制(quality control,QC)活動。

針對核級DCS的特點(diǎn)，按照標(biāo)準(zhǔn)要求，對安全級軟件開展獨(dú)立的審查評估、專項(xiàng)分析等驗(yàn)證與確認(rèn)(verification and validation,V&V)活動。

1.1一般資料選取2016年12月到2017年12月的經(jīng)超聲、CT或MRI檢查結(jié)合臨床病史確診為細(xì)菌性肝膿腫的患者72例,男41例,女31例;膿腫直徑為5~18cm。將患者隨機(jī)分為細(xì)針抽吸組36例,置管引流組36例;其中置管引流組年齡為(30~85)歲,平均年齡(58.8±3.19)歲;細(xì)針抽吸組年齡為(32-84)歲。兩組一般資料無明顯差異(P>0.05)。

公司設(shè)置獨(dú)立的安全量保證部門，針對質(zhì)保體系各要素，開展質(zhì)保策劃、質(zhì)保監(jiān)查、過程審計(jì)、管理部門審查等質(zhì)量保證(quality assurance,QA)活動，依據(jù)質(zhì)量計(jì)劃對設(shè)定的見證點(diǎn)實(shí)施質(zhì)量監(jiān)督(quality surveillance,QS)活動，項(xiàng)目QA活動、全周期QC活動以及針對安全級軟件的V&V活動等內(nèi)容，構(gòu)成了全生命周期質(zhì)量保證過程的關(guān)鍵環(huán)節(jié)[4]。

3 全面的質(zhì)量控制過程

圖3是核級DCS測試活動圖。

圖3 核級DCS測試活動圖

質(zhì)量控制的目的是使產(chǎn)品、系統(tǒng)或過程的固有特性達(dá)到規(guī)定的要求。質(zhì)量控制是貫穿在產(chǎn)品形成和體系運(yùn)行的全過程。對影響質(zhì)量的人、機(jī)、料、法、環(huán)等因素進(jìn)行控制、驗(yàn)證，以便及時發(fā)現(xiàn)問題、查明原因、采取措施，防止類似問題的重復(fù)發(fā)生，并使問題在早期得到解決，減少經(jīng)濟(jì)損失。質(zhì)量控制活動包括設(shè)計(jì)文件審查、生產(chǎn)檢驗(yàn)、物料檢驗(yàn)、測試等活動。核級DCS產(chǎn)品構(gòu)成復(fù)雜，包括系統(tǒng)軟件、嵌入式軟件、可編程邏輯、硬件板卡、機(jī)箱、機(jī)柜、盤臺等。如何對其單個產(chǎn)品以及構(gòu)成的系統(tǒng)產(chǎn)品進(jìn)行多層次的全面測試活動，是質(zhì)量控制的核心。

公司依據(jù)HAD 102/16-2004、NB/T 20026-2010、NB/T 20054-2011等標(biāo)準(zhǔn)，經(jīng)過不斷實(shí)踐經(jīng)驗(yàn)總結(jié)，摸索出一套嚴(yán)謹(jǐn)、全面的核級DCS測試過程以及詳細(xì)的活動要求，與產(chǎn)品實(shí)現(xiàn)的瀑布模型共同構(gòu)成了測試驗(yàn)證V模型。各個測試階段緊密銜接，按順序執(zhí)行。

根據(jù)軟件工程的質(zhì)量模型“1∶10∶100定律”，在產(chǎn)品研發(fā)和工程實(shí)施過程中，每推遲一個過程階段，缺陷的清除成本將增加10倍。因此，公司將DCS的測試活動盡量提前。測試活動從單元測試開始，包括軟件單元測試、硬件單板測試、可編程邏輯測試；然后是軟件、硬件的產(chǎn)品確認(rèn)測試以及結(jié)構(gòu)測試；將軟硬件及結(jié)構(gòu)裝配集成一個系統(tǒng)之后，開展系統(tǒng)集成測試、系統(tǒng)測試、工廠測試、工廠驗(yàn)收測試以及現(xiàn)場改造測試等。

4 獨(dú)立的驗(yàn)證與確認(rèn)過程

對執(zhí)行安全功能的軟件進(jìn)行獨(dú)立的V&V工作，是保證軟件質(zhì)量的必要手段之一。核安全級軟件的驗(yàn)證和確認(rèn)是基于相關(guān)法規(guī)和標(biāo)準(zhǔn)的指導(dǎo)，貫穿于軟件生命周期全過程的、用于驗(yàn)證軟件生命周期各個階段活動的輸出滿足此活動的要求，并確認(rèn)系統(tǒng)可以執(zhí)行其預(yù)期的功能且滿足用戶需求的一組系統(tǒng)化、工程化的活動[5]。

針對核級DCS軟件的V&V活動必須遵循HAF 102、HAD 102/16等核安全法規(guī)和導(dǎo)則的要求，同時滿足GB/T 13629及IEC 60880等核安全相關(guān)標(biāo)準(zhǔn)的要求。在V&V執(zhí)行過程和方法上，選取IEEE Std 1012作為主要指導(dǎo)標(biāo)準(zhǔn)[6]。核級DCS軟件V&V針對軟件生命周期中開發(fā)過程，依次開展概念階段V&V、需求階段V&V、設(shè)計(jì)階段V&V、實(shí)現(xiàn)階段V&V、測試階段V&V活動。每個階段的V&V活動包括若干目的明確的任務(wù)。通過這些任務(wù)證實(shí)軟件產(chǎn)品是符合產(chǎn)品需求和用戶要求，以及符合標(biāo)準(zhǔn)法規(guī)的要求。圖4是核級DCS軟件開發(fā)過程各階段應(yīng)包含的V&V活動與任務(wù)。

圖4 V&V活動與任務(wù)圖

5 核級DCS設(shè)計(jì)制造質(zhì)量保證良好實(shí)踐

①主動與上下游溝通交流，構(gòu)建透明的核安全文化。

由于陽江5號機(jī)組是自主核級DCS在百萬千瓦機(jī)組的首臺套應(yīng)用，為了及時把控安全質(zhì)量風(fēng)險，公司主動與上下游進(jìn)行質(zhì)量溝通，強(qiáng)化透明的核安全文化，對存在的安全質(zhì)量隱患及問題，及時制定有效措施，做到發(fā)現(xiàn)問題立即整改。

公司組織定期與工程公司的質(zhì)量溝通會議，涉及核安全文化、質(zhì)保體系、供應(yīng)商管理等內(nèi)容；組織與國家核安全局、核與輻射安全中心以及華北核與輻射安全監(jiān)督站等監(jiān)管部門召開質(zhì)量管理研討會，澄清概念、分析案例，主動查找自身質(zhì)量管理和核安全文化建設(shè)方面的不足之處，深入剖析原因并制定改進(jìn)措施；建立供應(yīng)商質(zhì)量幫扶機(jī)制，對供應(yīng)商所承接的外協(xié)產(chǎn)品制造過程中的質(zhì)量控制流程、重要工藝等進(jìn)行梳理，排查制造過程質(zhì)量控制可能存在的薄弱環(huán)節(jié)及風(fēng)險，與供應(yīng)商共同制訂改進(jìn)措施。

②投入充足的質(zhì)保人員和設(shè)備，為打造高質(zhì)量核級DCS提供資源保障。

為充分落實(shí)質(zhì)量保證組織獨(dú)立性要求，廣利核經(jīng)歷了由人員獨(dú)立逐步發(fā)展到完全組織獨(dú)立的過程。公司專門成立安全質(zhì)保部、質(zhì)量控制部、驗(yàn)證與確認(rèn)部，獨(dú)立于設(shè)計(jì)/制造部門，開展各項(xiàng)質(zhì)量保證和驗(yàn)證工作；充分的人力資源投入，確保質(zhì)量保證人員能力、經(jīng)驗(yàn)、知識、技能滿足所執(zhí)行質(zhì)量驗(yàn)證工作的要求。同時，對公司建設(shè)的國內(nèi)唯一一套核安全級DCS板卡生產(chǎn)線，堅(jiān)持做到對每一個板卡制造工序進(jìn)行充分檢查和全面測試，識別和掌控各制造工序質(zhì)量風(fēng)險點(diǎn)，確保每個板卡質(zhì)量可靠，為打造高質(zhì)量核級DCS提供資源保障。

③使用自動化測試裝置，減少人因失誤。

為確保核級DCS滿足高質(zhì)量、高可靠性的要求，在交付核電運(yùn)營方之前，每臺機(jī)組要進(jìn)行全面的功能和性能測試單體測試、集成測試到系統(tǒng)測試的3個大測試階段，涉及32個測試類，共283個測試大項(xiàng)，74 000多個測試小項(xiàng)。為減少人因失誤，提高測試效率，通過搭建包括硬件可靠性測試和基礎(chǔ)平臺系統(tǒng)測試的自動化測試系統(tǒng)，覆蓋了常規(guī)配置、邊界配置、極限配置，并模擬設(shè)備真實(shí)運(yùn)行狀態(tài)，自動化測試系統(tǒng)負(fù)載達(dá)到實(shí)際應(yīng)用系統(tǒng)的2倍。通過自動化測試工具，使單機(jī)組DCS測試自動化率達(dá)到20%，測試效率提升20(人×月)，累計(jì)發(fā)現(xiàn)設(shè)計(jì)缺陷43 000余條，實(shí)現(xiàn)了更廣、更深的測試覆蓋，效率和準(zhǔn)確性明顯提高，切實(shí)消除了后端工程應(yīng)用中的質(zhì)量風(fēng)險。

④開展錯漏測分析，落實(shí)經(jīng)驗(yàn)反饋。

開展全范圍的錯漏測分析，通過對廠內(nèi)FT/FAT發(fā)現(xiàn)的缺陷進(jìn)行分析，研發(fā)質(zhì)量防線的漏洞；通過對陽江現(xiàn)場調(diào)試過程中發(fā)現(xiàn)的缺陷進(jìn)行分析，工程質(zhì)量防線的漏洞。找到漏掉這個缺陷的根本原因，也就找到了質(zhì)量防線的漏洞。通過邀請廣核工程公司和運(yùn)營公司的經(jīng)驗(yàn)反饋專家來交流和培訓(xùn)經(jīng)驗(yàn)反饋，提升了根本原因分析方法和思路，進(jìn)而不斷完善經(jīng)驗(yàn)反饋體系，實(shí)現(xiàn)收集、篩選分級、原因分析、制定糾正措施、落實(shí)、跟蹤和驗(yàn)證關(guān)閉的閉環(huán)處理，確保有分析、有水平展開、有行動、有落實(shí)監(jiān)督和評估。

6 結(jié)束語

通過分析核級DCS設(shè)計(jì)制造質(zhì)量保證法規(guī)和標(biāo)準(zhǔn)要求，建立核級DCS全生命周期質(zhì)量保證過程、全面的質(zhì)量控制過程以及針對核級軟件獨(dú)立的驗(yàn)證與確認(rèn)活動。依托陽江5號機(jī)組項(xiàng)目的自主化應(yīng)用，實(shí)現(xiàn)核級DCS全生命周期質(zhì)量保證活動的具體實(shí)踐，并不斷持續(xù)改進(jìn)和優(yōu)化。總結(jié)和睦系統(tǒng)在陽江5號機(jī)組工程應(yīng)用過程中的質(zhì)量保證良好實(shí)踐，為核電領(lǐng)域相關(guān)單位后續(xù)開展核級DCS設(shè)計(jì)制造質(zhì)量保證提供借鑒。