★北京廣利核系統工程有限公司王金全，左新，王曉燕，武方杰，杜喬瑞，王國云，彭超，劉立華

摘要：經(jīng)過(guò)多年的發(fā)展，軟件V&V作為提供核級軟件質(zhì)量可信性證明的手段、硬件鑒定作為提供核級硬件設備可信性證明的手段已經(jīng)是核電行業(yè)的廣泛共識。隨著(zhù)人們對不同核電標準體系理解認識的深入，以及現場(chǎng)發(fā)生問(wèn)題的反饋，核級DCS平臺需要進(jìn)一步提高軟件和硬件的質(zhì)量以滿(mǎn)足后續核電建設越來(lái)越高的質(zhì)量要求。本文作者基于多年從事核級DCS平臺質(zhì)量控制工作以及參與英國GDA項目認證過(guò)程獲得的經(jīng)驗，從過(guò)程、技術(shù)、工具、人員能力等方面介紹了核級DCS平臺軟硬件質(zhì)量控制實(shí)踐，分析并提出了仍需重點(diǎn)關(guān)注的質(zhì)量控制方面的一些改進(jìn)建議，供從業(yè)人員參考。

關(guān)鍵詞：核級DCS；質(zhì)量控制

隨著(zhù)我國經(jīng)濟的飛速發(fā)展，大家對電力的需求越來(lái)越旺盛。核電作為能夠穩定提供基礎電力的清潔能源的重要來(lái)源，已被我國作為重點(diǎn)進(jìn)行建設，而核級DCS系統作為其中的神經(jīng)中樞，對核電站的安全和穩定運行發(fā)揮著(zhù)十分重要的作用。核級DCS平臺是構建核級DCS系統的重要組成部分，因此，如何確保核級DCS平臺的質(zhì)量就顯得尤為重要。核級DCS平臺中的產(chǎn)品是由軟硬件組成的，要想確保DCS產(chǎn)品的質(zhì)量就必須確保其中軟硬件的質(zhì)量。近年來(lái)，美國出于遏制中國發(fā)展，將中國視為競爭對手，對中國加大了技術(shù)封鎖力度，這導致各行各業(yè)都在加速推進(jìn)國產(chǎn)化，核級DCS也是其中之一。不得不承認的是，國產(chǎn)軟硬件由于起步晚，不僅應用的時(shí)間短，而且應用的行業(yè)范圍和規模也都比較小，其質(zhì)量很難與國外成熟的廠(chǎng)商相比。這就需要在質(zhì)量控制上投入更多成本和精力，除了要繼承以前好的做法外，還要不斷深挖自身的質(zhì)量短板，打破思維定式，以“刀刃向內”的精神不斷超越自我、追求卓越。

北京廣利核系統工程有限公司作為國內核級DCS平臺自主化、國產(chǎn)化研制的開(kāi)路先鋒，已經(jīng)在核級DCS平臺研制的路上辛勤耕耘了近20年。該公司自主研發(fā)的和睦平臺自2017年成功應用于陽(yáng)江56號機組，成為國內應用于百萬(wàn)千瓦核電站DCS系統的首臺套開(kāi)始，至今已經(jīng)成功應用到了十幾個(gè)國內外的核電機組，它也因此成為了行業(yè)內的標桿。該公司在核級DCS平臺上的研發(fā)和質(zhì)量控制一定程度上代表了國內的最高水平，尤其是它通過(guò)了英國GDA認證，這個(gè)是在核行業(yè)被世界公認的最為嚴格、最難通過(guò)的認證，使得廣利核公司拿到了走出國門(mén)、走向世界的通行證。GDA認證是由英國ONR（相當于中國的核安全監管機構）主導的認證，被世界大多數國家，尤其是歐盟所認可。本文從過(guò)程、技術(shù)、工具、人員能力等方面對廣利核公司在核級DCS平臺上的研發(fā)和質(zhì)量控制實(shí)踐進(jìn)行了闡述，分析并提出了適用于核級DCS平臺軟硬件的質(zhì)量改進(jìn)建議。

1 質(zhì)量控制實(shí)踐

1.1 選擇合適的生命周期模型

不同的行業(yè)可以有不同的開(kāi)發(fā)生命周期模型，從長(cháng)遠來(lái)看，選擇適合自身的開(kāi)發(fā)生命周期模型不但可以使成本得到控制和可預測，而且還能夠使產(chǎn)品質(zhì)量得到控制和可預測，從而可以為產(chǎn)品質(zhì)量穩步提升實(shí)施看得見(jiàn)、摸得著(zhù)的措施。常見(jiàn)的生命周期模型有瀑布型、螺旋型、增量迭代型等，這里不討論各個(gè)模型的優(yōu)缺點(diǎn)，僅針對核電行業(yè)一般采用的模型進(jìn)行說(shuō)明。核電行業(yè)一般推薦的是V模型（瀑布型的一種），它是一種線(xiàn)性結構，是項目自始至終按照一定順序開(kāi)展，從需求分析、進(jìn)展到系統測試，直到提交客戶(hù)使用。V模型提供了一種結構化的、自頂向下的軟件開(kāi)發(fā)方法，每個(gè)階段的主要工作成果從一個(gè)階段傳遞到下一個(gè)階段時(shí)，必須經(jīng)過(guò)嚴格的驗證或確認，以判定是否可以開(kāi)展下一階段工作。V模型是所有生命周期模型的基礎，圖1為廣利核公司依據HAD102/16-2004制定的生命周期模型。

圖1 生命周期模型

下面我們分別從過(guò)程、技術(shù)、工具、人員培養、經(jīng)驗反饋體系方面進(jìn)一步介紹廣利核公司施行的質(zhì)量控制實(shí)踐活動(dòng)。

1.2 過(guò)程

要想確保產(chǎn)品質(zhì)量，在核級DCS平臺研發(fā)的全生命周期中對其進(jìn)行質(zhì)量控制是必不可少的。從系統需求分析開(kāi)始，質(zhì)量控制人員就應該參與進(jìn)來(lái)，并在研發(fā)人員提交后對其進(jìn)行驗證。越早發(fā)現問(wèn)題，解決問(wèn)題的成本越小，這已經(jīng)是各個(gè)行業(yè)，尤其是IT業(yè)內的共識。核電行業(yè)更是如此，核級產(chǎn)品一旦應用到現場(chǎng)，解決一個(gè)哪怕很微小的錯誤其成本都要成百上千倍的增長(cháng)。因此，在生命開(kāi)發(fā)周期的每個(gè)階段都要對產(chǎn)品開(kāi)展相應級別的驗證活動(dòng)。為了保證相應的開(kāi)發(fā)和驗證活動(dòng)有章可循，根據IEEE1012TM-2004軟件驗證與確認、HAD102/16-2004核動(dòng)力廠(chǎng)基于計算機的安全重要系統軟件安全導則、IEC61513-2011核電廠(chǎng)安全重要儀控系統的通用要求和IEC60880-2006核電廠(chǎng)安全重要儀控系統執行A類(lèi)功能的計算機軟件、IEC60987-2007核電廠(chǎng)安全重要儀控系統基于計算機的硬件設計要求等相關(guān)法規標準，廣利核公司建立了自己的系統研發(fā)過(guò)程控制程序、軟件研發(fā)過(guò)程控制程序、硬件研發(fā)過(guò)程控制程序、核安全級軟件驗證與確認控制程序、測試控制程序等一系列過(guò)程控制程序文件。

1.3 采用的技術(shù)及工具

確保產(chǎn)品質(zhì)量需要使用一定的技術(shù)和工具，廣利核公司所采用的技術(shù)包括評估（審查）、專(zhuān)項分析（包括關(guān)鍵性分析、需求分配分析、可追蹤性分析、接口分析、危險分析、安全保密分析、風(fēng)險分析）、測試（包括單元測試、產(chǎn)品確認測試、系統集成測試、系統測試）和硬件鑒定。每種技術(shù)采用的工具，具體描述如下：

（１）評估（審查）采用的工具有：評估技術(shù)規范、評估規則、評估記錄表。

（2）關(guān)鍵性分析采用的工具有：關(guān)鍵性分析技術(shù)規范、完整性級別定義、等級映射表、關(guān)鍵性分析記錄表。技術(shù)規范、需求分配分析記錄表。

（3）需求分配分析采用的工具有：需求分配分析

（4）可追蹤性分析采用的工具有：可追蹤性分析技術(shù)規范、雙向可追蹤性輔助分析工具、可追蹤性分析記錄表。

（5）接口分析采用的工具有：接口分析技術(shù)規范、接口分析規則、N2圖、接口分析記錄表。

（6）危險分析采用的工具有：危險分析技術(shù)規范、功能框圖、危險分析記錄表。

（7）安全保密分析采用的工具有：安全保密分析技術(shù)規范、安全保密分析記錄表。

（8）風(fēng)險分析采用的工具有：風(fēng)險分析技術(shù)規范、風(fēng)險分析記錄表。

（9）軟件單元測試采用的工具有：代碼審查單、靜態(tài)分析工具、動(dòng)態(tài)測試工具。

（10）產(chǎn)品確認測試采用的工具有：測試工裝、信號發(fā)生器、示波器等。

（11）系統集成測試采用的工具有：測試工裝、信號發(fā)生器、示波器等。

（12）系統測試采用的工具有：測試工裝、信號發(fā)生器、示波器等。

（13）硬件鑒定采用的工具有：EMI/ESD試驗臺、高低溫交變箱、抗震試驗臺等。

1.4 人員培養

再好的質(zhì)量控制措施也主要是通過(guò)人來(lái)實(shí)施的，要使得整個(gè)生命周期中的質(zhì)量控制措施切實(shí)有效，無(wú)論如何都不能忽視人在其中發(fā)揮的作用。而要使人發(fā)揮良好的作用，就需要對人進(jìn)行培養，使其達到應有的水平。對人的培養除了通過(guò)崗位培訓使其達到崗位任職資格外，還要結合具體的技能進(jìn)行專(zhuān)門(mén)的培訓和交流，并不斷通過(guò)實(shí)踐來(lái)應用和積累。下面是廣利核公司施行的人員培養策略。

活動(dòng)的承擔部門(mén)在活動(dòng)開(kāi)始前需要識別人員的培訓需求，并向人力資源部提出培訓要求，確?；顒?dòng)參加人員達到并保持足夠的業(yè)務(wù)熟練程度。培訓內容包括（但不限于）：

（1）核安全文化、核質(zhì)保的培訓；

（2）公司及項目質(zhì)量保證大綱的培訓；

（3）工作程序及操作要求培訓；

（4）專(zhuān)業(yè)技術(shù)培訓。

人力資源部負責組織制定培訓計劃和實(shí)施工作，以及組織編寫(xiě)崗位培訓大綱。崗位培訓大綱應包括培訓方式、培訓課程和課時(shí)以及考核授權的規定。崗位培訓大綱規定的培訓課程應與其相關(guān)的崗位說(shuō)明書(shū)相對應。

活動(dòng)的承擔部門(mén)按照崗位說(shuō)明書(shū)的要求負責對從事安全級活動(dòng)的人員進(jìn)行評價(jià)，形成評價(jià)結果，并保持記錄。

對于從事質(zhì)量控制的相關(guān)人員經(jīng)評價(jià)合格，由人力資源部頒發(fā)相關(guān)資格證書(shū)后方可從事相應資格的工作。

1.5 經(jīng)驗反饋體系

“金無(wú)足赤，人無(wú)完人”，工作中出現失誤是難免的，由人制造的產(chǎn)品中出現各種各樣的問(wèn)題也是難免的。俗話(huà)說(shuō)“不要在同一個(gè)地方跌倒兩次”，如果能對出現的問(wèn)題進(jìn)行系統性的總結和經(jīng)驗反饋，確保類(lèi)似的問(wèn)題不要復現，對產(chǎn)品的質(zhì)量提升無(wú)疑是非常有幫助的。另外，根據海因里希300∶29∶1的事故法則：當一個(gè)企業(yè)有300起隱患或違章時(shí)，非?？赡芤l(fā)生29起輕傷或故障，還有1起重傷或死亡事故。這就告訴我們，通過(guò)經(jīng)驗反饋盡量減少隱患或違規可以有效降低發(fā)生重大事故的幾率。廣利核公司經(jīng)驗反饋體系包括：事件的定級、事件的原因分析、糾正行動(dòng)方案的制定、糾正行動(dòng)的實(shí)施、糾正行動(dòng)的驗證與關(guān)閉、經(jīng)驗教訓和良好實(shí)踐的利用、經(jīng)驗反饋的評價(jià)等。

2 質(zhì)量控制改進(jìn)建議

這里，筆者主要根據自身經(jīng)驗從過(guò)程、技術(shù)、工具、人員等方面提出一些需要重點(diǎn)關(guān)注的改進(jìn)建議，以供行業(yè)參考。

2.1 過(guò)程方面

（1）質(zhì)量入口、出口準則

“質(zhì)量是設計出來(lái)的，而不是驗證出來(lái)的”，這應該是核級DCS從業(yè)人員的共識，充分說(shuō)明了設計人員在核電質(zhì)量上應該承擔的是主要責任。這里僅從質(zhì)量控制角度來(lái)說(shuō)，如果能制定出適合本公司的產(chǎn)品質(zhì)量入口和出口準則，則能有效地促進(jìn)產(chǎn)品的設計質(zhì)量提升。適合的質(zhì)量入口和出口準則不僅可以促進(jìn)產(chǎn)品質(zhì)量提升，而且可以有效降低成本。軟件行業(yè)有人曾對何時(shí)結束測試有這樣一種戲謔說(shuō)法，“要么是發(fā)布時(shí)間到了，要么是項目沒(méi)錢(qián)了”，這就是因為沒(méi)有制定出合理的出口準則所導致的。產(chǎn)品的出口準則固然重要，但是，要想提高產(chǎn)品的質(zhì)量，根本上還是得提高產(chǎn)品的入口質(zhì)量，也就是說(shuō)設計部門(mén)交付驗證部門(mén)的產(chǎn)品質(zhì)量必須是高質(zhì)量的，因為在投入人力不變的前提下，有限的時(shí)間內只能發(fā)現有限的缺陷。如果產(chǎn)品入口質(zhì)量不高，還想按原來(lái)的時(shí)間發(fā)布，就會(huì )導致有很多缺陷被遺漏到客戶(hù)那里。

（2）驗證過(guò)程記錄

使用所有驗證手段（評估、分析、測試等）執行驗證時(shí)，不能只有通過(guò)或不通過(guò)的結果，務(wù)必留下足夠詳細的驗證過(guò)程記錄，以便取信于審查人員。所有發(fā)現的缺陷都應該進(jìn)入缺陷管理系統進(jìn)行統一管理，異常描述信息要足夠明確，以便精準定位。

（3）傳遞項的管理

每個(gè)階段的對象都應該在對應階段的驗證中得到充分的驗證，但是總會(huì )由于一些原因（例如，為了節省成本或優(yōu)化驗證方案）而需要將當前階段的某些對象傳遞到其他階段去執行，對于傳遞到其他階段進(jìn)行驗證的傳遞項，應該建立相應的規范，以確保傳遞項確實(shí)得到驗證。

2.2 技術(shù)與工具方面

（1）需求雙向追蹤性矩陣

為需求建立自上而下、自下而上的追蹤性矩陣，是確保需求被完整、正確地實(shí)現且沒(méi)有實(shí)現多余功能的有效手段。這可以通過(guò)自己研發(fā)或者引入合適的需求追蹤管理工具來(lái)進(jìn)行管理。

（2）評估規則

評估規則作為評估人員執行評估的依據，一般來(lái)源于標準、法規或者行業(yè)經(jīng)驗等。標準和法規一般都是比較通用或者宏觀(guān)的，要拿來(lái)做規則務(wù)必要給出詳細的指導說(shuō)明，以保證不同人員對其理解的一致性。

（3）工具的選型和驗證

通過(guò)使用工具使驗證活動(dòng)盡量自動(dòng)化，從而降低人為疏漏、提高驗證效率，是一個(gè)好的趨勢。但是對于工具的選擇要尤其重視，如果是自研，只要按照公司的研發(fā)過(guò)程控制程序進(jìn)行控制就可以。如果是進(jìn)行外購，對工具進(jìn)行選型和驗證時(shí)則需要重點(diǎn)監控工具供應商在工具中發(fā)現的故障，評估工具的可靠性和工具將故障引入開(kāi)發(fā)過(guò)程的潛在風(fēng)險，包括監控任何已識別的故障和對工具造成的影響，并在識別出關(guān)鍵故障后更新工具。

2.3 人員方面

在質(zhì)量控制方面，人是最主要的。再好的工具，再詳細的流程規范，都需要人來(lái)執行，這就需要時(shí)刻關(guān)注人的表現。主要需關(guān)注如下幾點(diǎn)：

（1）人員獨立性

核級DCS軟件V&V強調管理、技術(shù)、財務(wù)三大獨立性，其中我們認為最重要的就是人員管理的獨立性方面。人員管理方面如果不獨立，遇到問(wèn)題總被設計部門(mén)壓制或者沒(méi)有獨立反饋渠道，即使其他兩個(gè)獨立性做得再好也無(wú)法提升產(chǎn)品質(zhì)量。反之，如果把人員管理的獨立性做好了，再加上技術(shù)、財務(wù)的獨立就好比如虎添翼。在實(shí)踐中，可以通過(guò)將驗證項目獨立立項來(lái)提升管理獨立性，也可以通過(guò)將驗證部門(mén)獨立來(lái)提升管理獨立性，或者將二者結合都可以。

（2）人員的質(zhì)量意識和核安全文化素質(zhì)

人們所掌握的以往的知識、技能需要不斷更新，進(jìn)行質(zhì)量控制的慣性思維也需要不斷進(jìn)行審視，不能因循守舊。因此，不但要加大人員技術(shù)技能上的培訓和指導，還要從思想觀(guān)念上對其進(jìn)行教育引導，加強核安全文化的宣貫，讓嚴謹的工作作風(fēng)、質(zhì)疑的工作態(tài)度、溝通交流的工作習慣成為自覺(jué)，讓人人都把自己當成最后一道屏障真正入腦入心，使人人都把守護核安全當做自己的責任和使命。

3 小結

目前，應用于高可靠性領(lǐng)域的產(chǎn)品基本都是由軟件和硬件共同配合完成的，因此，軟硬件的質(zhì)量直接關(guān)系到產(chǎn)品的質(zhì)量。本文作者基于多年從事核級DCS平臺質(zhì)量控制工作以及對外交流的經(jīng)驗，從過(guò)程、技術(shù)、工具、人員等方面對廣利核公司在核級DCS平臺軟硬件質(zhì)量控制的良好實(shí)踐進(jìn)行了闡述，分析并提出了適用于核級DCS平臺軟硬件的需要重點(diǎn)關(guān)注的質(zhì)量控制改進(jìn)建議。同時(shí)，本文闡述的過(guò)程和方法經(jīng)過(guò)吸收調整后也適用于一般行業(yè)的軟硬件質(zhì)量改善。

作者簡(jiǎn)介：

王金全（1974-），男，山西運城人，高級工程師，學(xué)士，現就職于北京廣利核系統工程有限公司，主要從事核電領(lǐng)域工業(yè)控制系統相關(guān)的研究工作。

摘自《自動(dòng)化博覽》2023年3月刊