★北京廣利核系統(tǒng)工程有限公司王金全，左新，王曉燕，武方杰，杜喬瑞，王國云，彭超，劉立華

摘要：經(jīng)過多年的發(fā)展，軟件V&V作為提供核級軟件質(zhì)量可信性證明的手段、硬件鑒定作為提供核級硬件設(shè)備可信性證明的手段已經(jīng)是核電行業(yè)的廣泛共識。隨著人們對不同核電標(biāo)準(zhǔn)體系理解認(rèn)識的深入，以及現(xiàn)場發(fā)生問題的反饋，核級DCS平臺需要進(jìn)一步提高軟件和硬件的質(zhì)量以滿足后續(xù)核電建設(shè)越來越高的質(zhì)量要求。本文作者基于多年從事核級DCS平臺質(zhì)量控制工作以及參與英國GDA項(xiàng)目認(rèn)證過程獲得的經(jīng)驗(yàn)，從過程、技術(shù)、工具、人員能力等方面介紹了核級DCS平臺軟硬件質(zhì)量控制實(shí)踐，分析并提出了仍需重點(diǎn)關(guān)注的質(zhì)量控制方面的一些改進(jìn)建議，供從業(yè)人員參考。

關(guān)鍵詞：核級DCS；質(zhì)量控制

隨著我國經(jīng)濟(jì)的飛速發(fā)展，大家對電力的需求越來越旺盛。核電作為能夠穩(wěn)定提供基礎(chǔ)電力的清潔能源的重要來源，已被我國作為重點(diǎn)進(jìn)行建設(shè)，而核級DCS系統(tǒng)作為其中的神經(jīng)中樞，對核電站的安全和穩(wěn)定運(yùn)行發(fā)揮著十分重要的作用。核級DCS平臺是構(gòu)建核級DCS系統(tǒng)的重要組成部分，因此，如何確保核級DCS平臺的質(zhì)量就顯得尤為重要。核級DCS平臺中的產(chǎn)品是由軟硬件組成的，要想確保DCS產(chǎn)品的質(zhì)量就必須確保其中軟硬件的質(zhì)量。近年來，美國出于遏制中國發(fā)展，將中國視為競爭對手，對中國加大了技術(shù)封鎖力度，這導(dǎo)致各行各業(yè)都在加速推進(jìn)國產(chǎn)化，核級DCS也是其中之一。不得不承認(rèn)的是，國產(chǎn)軟硬件由于起步晚，不僅應(yīng)用的時間短，而且應(yīng)用的行業(yè)范圍和規(guī)模也都比較小，其質(zhì)量很難與國外成熟的廠商相比。這就需要在質(zhì)量控制上投入更多成本和精力，除了要繼承以前好的做法外，還要不斷深挖自身的質(zhì)量短板，打破思維定式，以“刀刃向內(nèi)”的精神不斷超越自我、追求卓越。

北京廣利核系統(tǒng)工程有限公司作為國內(nèi)核級DCS平臺自主化、國產(chǎn)化研制的開路先鋒，已經(jīng)在核級DCS平臺研制的路上辛勤耕耘了近20年。該公司自主研發(fā)的和睦平臺自2017年成功應(yīng)用于陽江56號機(jī)組，成為國內(nèi)應(yīng)用于百萬千瓦核電站DCS系統(tǒng)的首臺套開始，至今已經(jīng)成功應(yīng)用到了十幾個國內(nèi)外的核電機(jī)組，它也因此成為了行業(yè)內(nèi)的標(biāo)桿。該公司在核級DCS平臺上的研發(fā)和質(zhì)量控制一定程度上代表了國內(nèi)的最高水平，尤其是它通過了英國GDA認(rèn)證，這個是在核行業(yè)被世界公認(rèn)的最為嚴(yán)格、最難通過的認(rèn)證，使得廣利核公司拿到了走出國門、走向世界的通行證。GDA認(rèn)證是由英國ONR（相當(dāng)于中國的核安全監(jiān)管機(jī)構(gòu)）主導(dǎo)的認(rèn)證，被世界大多數(shù)國家，尤其是歐盟所認(rèn)可。本文從過程、技術(shù)、工具、人員能力等方面對廣利核公司在核級DCS平臺上的研發(fā)和質(zhì)量控制實(shí)踐進(jìn)行了闡述，分析并提出了適用于核級DCS平臺軟硬件的質(zhì)量改進(jìn)建議。

1 質(zhì)量控制實(shí)踐

1.1 選擇合適的生命周期模型

不同的行業(yè)可以有不同的開發(fā)生命周期模型，從長遠(yuǎn)來看，選擇適合自身的開發(fā)生命周期模型不但可以使成本得到控制和可預(yù)測，而且還能夠使產(chǎn)品質(zhì)量得到控制和可預(yù)測，從而可以為產(chǎn)品質(zhì)量穩(wěn)步提升實(shí)施看得見、摸得著的措施。常見的生命周期模型有瀑布型、螺旋型、增量迭代型等，這里不討論各個模型的優(yōu)缺點(diǎn)，僅針對核電行業(yè)一般采用的模型進(jìn)行說明。核電行業(yè)一般推薦的是V模型（瀑布型的一種），它是一種線性結(jié)構(gòu)，是項(xiàng)目自始至終按照一定順序開展，從需求分析、進(jìn)展到系統(tǒng)測試，直到提交客戶使用。V模型提供了一種結(jié)構(gòu)化的、自頂向下的軟件開發(fā)方法，每個階段的主要工作成果從一個階段傳遞到下一個階段時，必須經(jīng)過嚴(yán)格的驗(yàn)證或確認(rèn)，以判定是否可以開展下一階段工作。V模型是所有生命周期模型的基礎(chǔ)，圖1為廣利核公司依據(jù)HAD102/16-2004制定的生命周期模型。

圖1 生命周期模型

下面我們分別從過程、技術(shù)、工具、人員培養(yǎng)、經(jīng)驗(yàn)反饋體系方面進(jìn)一步介紹廣利核公司施行的質(zhì)量控制實(shí)踐活動。

1.2 過程

要想確保產(chǎn)品質(zhì)量，在核級DCS平臺研發(fā)的全生命周期中對其進(jìn)行質(zhì)量控制是必不可少的。從系統(tǒng)需求分析開始，質(zhì)量控制人員就應(yīng)該參與進(jìn)來，并在研發(fā)人員提交后對其進(jìn)行驗(yàn)證。越早發(fā)現(xiàn)問題，解決問題的成本越小，這已經(jīng)是各個行業(yè)，尤其是IT業(yè)內(nèi)的共識。核電行業(yè)更是如此，核級產(chǎn)品一旦應(yīng)用到現(xiàn)場，解決一個哪怕很微小的錯誤其成本都要成百上千倍的增長。因此，在生命開發(fā)周期的每個階段都要對產(chǎn)品開展相應(yīng)級別的驗(yàn)證活動。為了保證相應(yīng)的開發(fā)和驗(yàn)證活動有章可循，根據(jù)IEEE1012TM-2004軟件驗(yàn)證與確認(rèn)、HAD102/16-2004核動力廠基于計算機(jī)的安全重要系統(tǒng)軟件安全導(dǎo)則、IEC61513-2011核電廠安全重要儀控系統(tǒng)的通用要求和IEC60880-2006核電廠安全重要儀控系統(tǒng)執(zhí)行A類功能的計算機(jī)軟件、IEC60987-2007核電廠安全重要儀控系統(tǒng)基于計算機(jī)的硬件設(shè)計要求等相關(guān)法規(guī)標(biāo)準(zhǔn)，廣利核公司建立了自己的系統(tǒng)研發(fā)過程控制程序、軟件研發(fā)過程控制程序、硬件研發(fā)過程控制程序、核安全級軟件驗(yàn)證與確認(rèn)控制程序、測試控制程序等一系列過程控制程序文件。

1.3 采用的技術(shù)及工具

確保產(chǎn)品質(zhì)量需要使用一定的技術(shù)和工具，廣利核公司所采用的技術(shù)包括評估（審查）、專項(xiàng)分析（包括關(guān)鍵性分析、需求分配分析、可追蹤性分析、接口分析、危險分析、安全保密分析、風(fēng)險分析）、測試（包括單元測試、產(chǎn)品確認(rèn)測試、系統(tǒng)集成測試、系統(tǒng)測試）和硬件鑒定。每種技術(shù)采用的工具，具體描述如下：

（１）評估（審查）采用的工具有：評估技術(shù)規(guī)范、評估規(guī)則、評估記錄表。

（2）關(guān)鍵性分析采用的工具有：關(guān)鍵性分析技術(shù)規(guī)范、完整性級別定義、等級映射表、關(guān)鍵性分析記錄表。技術(shù)規(guī)范、需求分配分析記錄表。

（3）需求分配分析采用的工具有：需求分配分析

（4）可追蹤性分析采用的工具有：可追蹤性分析技術(shù)規(guī)范、雙向可追蹤性輔助分析工具、可追蹤性分析記錄表。

（5）接口分析采用的工具有：接口分析技術(shù)規(guī)范、接口分析規(guī)則、N2圖、接口分析記錄表。

（6）危險分析采用的工具有：危險分析技術(shù)規(guī)范、功能框圖、危險分析記錄表。

（7）安全保密分析采用的工具有：安全保密分析技術(shù)規(guī)范、安全保密分析記錄表。

（8）風(fēng)險分析采用的工具有：風(fēng)險分析技術(shù)規(guī)范、風(fēng)險分析記錄表。

（9）軟件單元測試采用的工具有：代碼審查單、靜態(tài)分析工具、動態(tài)測試工具。

（10）產(chǎn)品確認(rèn)測試采用的工具有：測試工裝、信號發(fā)生器、示波器等。

（11）系統(tǒng)集成測試采用的工具有：測試工裝、信號發(fā)生器、示波器等。

（12）系統(tǒng)測試采用的工具有：測試工裝、信號發(fā)生器、示波器等。

（13）硬件鑒定采用的工具有：EMI/ESD試驗(yàn)臺、高低溫交變箱、抗震試驗(yàn)臺等。

1.4 人員培養(yǎng)

再好的質(zhì)量控制措施也主要是通過人來實(shí)施的，要使得整個生命周期中的質(zhì)量控制措施切實(shí)有效，無論如何都不能忽視人在其中發(fā)揮的作用。而要使人發(fā)揮良好的作用，就需要對人進(jìn)行培養(yǎng)，使其達(dá)到應(yīng)有的水平。對人的培養(yǎng)除了通過崗位培訓(xùn)使其達(dá)到崗位任職資格外，還要結(jié)合具體的技能進(jìn)行專門的培訓(xùn)和交流，并不斷通過實(shí)踐來應(yīng)用和積累。下面是廣利核公司施行的人員培養(yǎng)策略。

活動的承擔(dān)部門在活動開始前需要識別人員的培訓(xùn)需求，并向人力資源部提出培訓(xùn)要求，確保活動參加人員達(dá)到并保持足夠的業(yè)務(wù)熟練程度。培訓(xùn)內(nèi)容包括（但不限于）：

（1）核安全文化、核質(zhì)保的培訓(xùn)；

（2）公司及項(xiàng)目質(zhì)量保證大綱的培訓(xùn)；

（3）工作程序及操作要求培訓(xùn)；

（4）專業(yè)技術(shù)培訓(xùn)。

人力資源部負(fù)責(zé)組織制定培訓(xùn)計劃和實(shí)施工作，以及組織編寫崗位培訓(xùn)大綱。崗位培訓(xùn)大綱應(yīng)包括培訓(xùn)方式、培訓(xùn)課程和課時以及考核授權(quán)的規(guī)定。崗位培訓(xùn)大綱規(guī)定的培訓(xùn)課程應(yīng)與其相關(guān)的崗位說明書相對應(yīng)。

活動的承擔(dān)部門按照崗位說明書的要求負(fù)責(zé)對從事安全級活動的人員進(jìn)行評價，形成評價結(jié)果，并保持記錄。

對于從事質(zhì)量控制的相關(guān)人員經(jīng)評價合格，由人力資源部頒發(fā)相關(guān)資格證書后方可從事相應(yīng)資格的工作。

1.5 經(jīng)驗(yàn)反饋體系

“金無足赤，人無完人”，工作中出現(xiàn)失誤是難免的，由人制造的產(chǎn)品中出現(xiàn)各種各樣的問題也是難免的。俗話說“不要在同一個地方跌倒兩次”，如果能對出現(xiàn)的問題進(jìn)行系統(tǒng)性的總結(jié)和經(jīng)驗(yàn)反饋，確保類似的問題不要復(fù)現(xiàn)，對產(chǎn)品的質(zhì)量提升無疑是非常有幫助的。另外，根據(jù)海因里希300∶29∶1的事故法則：當(dāng)一個企業(yè)有300起隱患或違章時，非?？赡芤l(fā)生29起輕傷或故障，還有1起重傷或死亡事故。這就告訴我們，通過經(jīng)驗(yàn)反饋盡量減少隱患或違規(guī)可以有效降低發(fā)生重大事故的幾率。廣利核公司經(jīng)驗(yàn)反饋體系包括：事件的定級、事件的原因分析、糾正行動方案的制定、糾正行動的實(shí)施、糾正行動的驗(yàn)證與關(guān)閉、經(jīng)驗(yàn)教訓(xùn)和良好實(shí)踐的利用、經(jīng)驗(yàn)反饋的評價等。

2 質(zhì)量控制改進(jìn)建議

這里，筆者主要根據(jù)自身經(jīng)驗(yàn)從過程、技術(shù)、工具、人員等方面提出一些需要重點(diǎn)關(guān)注的改進(jìn)建議，以供行業(yè)參考。

2.1 過程方面

（1）質(zhì)量入口、出口準(zhǔn)則

“質(zhì)量是設(shè)計出來的，而不是驗(yàn)證出來的”，這應(yīng)該是核級DCS從業(yè)人員的共識，充分說明了設(shè)計人員在核電質(zhì)量上應(yīng)該承擔(dān)的是主要責(zé)任。這里僅從質(zhì)量控制角度來說，如果能制定出適合本公司的產(chǎn)品質(zhì)量入口和出口準(zhǔn)則，則能有效地促進(jìn)產(chǎn)品的設(shè)計質(zhì)量提升。適合的質(zhì)量入口和出口準(zhǔn)則不僅可以促進(jìn)產(chǎn)品質(zhì)量提升，而且可以有效降低成本。軟件行業(yè)有人曾對何時結(jié)束測試有這樣一種戲謔說法，“要么是發(fā)布時間到了，要么是項(xiàng)目沒錢了”，這就是因?yàn)闆]有制定出合理的出口準(zhǔn)則所導(dǎo)致的。產(chǎn)品的出口準(zhǔn)則固然重要，但是，要想提高產(chǎn)品的質(zhì)量，根本上還是得提高產(chǎn)品的入口質(zhì)量，也就是說設(shè)計部門交付驗(yàn)證部門的產(chǎn)品質(zhì)量必須是高質(zhì)量的，因?yàn)樵谕度肴肆Σ蛔兊那疤嵯拢邢薜臅r間內(nèi)只能發(fā)現(xiàn)有限的缺陷。如果產(chǎn)品入口質(zhì)量不高，還想按原來的時間發(fā)布，就會導(dǎo)致有很多缺陷被遺漏到客戶那里。

（2）驗(yàn)證過程記錄

使用所有驗(yàn)證手段（評估、分析、測試等）執(zhí)行驗(yàn)證時，不能只有通過或不通過的結(jié)果，務(wù)必留下足夠詳細(xì)的驗(yàn)證過程記錄，以便取信于審查人員。所有發(fā)現(xiàn)的缺陷都應(yīng)該進(jìn)入缺陷管理系統(tǒng)進(jìn)行統(tǒng)一管理，異常描述信息要足夠明確，以便精準(zhǔn)定位。

（3）傳遞項(xiàng)的管理

每個階段的對象都應(yīng)該在對應(yīng)階段的驗(yàn)證中得到充分的驗(yàn)證，但是總會由于一些原因（例如，為了節(jié)省成本或優(yōu)化驗(yàn)證方案）而需要將當(dāng)前階段的某些對象傳遞到其他階段去執(zhí)行，對于傳遞到其他階段進(jìn)行驗(yàn)證的傳遞項(xiàng)，應(yīng)該建立相應(yīng)的規(guī)范，以確保傳遞項(xiàng)確實(shí)得到驗(yàn)證。

2.2 技術(shù)與工具方面

（1）需求雙向追蹤性矩陣

為需求建立自上而下、自下而上的追蹤性矩陣，是確保需求被完整、正確地實(shí)現(xiàn)且沒有實(shí)現(xiàn)多余功能的有效手段。這可以通過自己研發(fā)或者引入合適的需求追蹤管理工具來進(jìn)行管理。

（2）評估規(guī)則

評估規(guī)則作為評估人員執(zhí)行評估的依據(jù)，一般來源于標(biāo)準(zhǔn)、法規(guī)或者行業(yè)經(jīng)驗(yàn)等。標(biāo)準(zhǔn)和法規(guī)一般都是比較通用或者宏觀的，要拿來做規(guī)則務(wù)必要給出詳細(xì)的指導(dǎo)說明，以保證不同人員對其理解的一致性。

（3）工具的選型和驗(yàn)證

通過使用工具使驗(yàn)證活動盡量自動化，從而降低人為疏漏、提高驗(yàn)證效率，是一個好的趨勢。但是對于工具的選擇要尤其重視，如果是自研，只要按照公司的研發(fā)過程控制程序進(jìn)行控制就可以。如果是進(jìn)行外購，對工具進(jìn)行選型和驗(yàn)證時則需要重點(diǎn)監(jiān)控工具供應(yīng)商在工具中發(fā)現(xiàn)的故障，評估工具的可靠性和工具將故障引入開發(fā)過程的潛在風(fēng)險，包括監(jiān)控任何已識別的故障和對工具造成的影響，并在識別出關(guān)鍵故障后更新工具。

2.3 人員方面

在質(zhì)量控制方面，人是最主要的。再好的工具，再詳細(xì)的流程規(guī)范，都需要人來執(zhí)行，這就需要時刻關(guān)注人的表現(xiàn)。主要需關(guān)注如下幾點(diǎn)：

（1）人員獨(dú)立性

核級DCS軟件V&V強(qiáng)調(diào)管理、技術(shù)、財務(wù)三大獨(dú)立性，其中我們認(rèn)為最重要的就是人員管理的獨(dú)立性方面。人員管理方面如果不獨(dú)立，遇到問題總被設(shè)計部門壓制或者沒有獨(dú)立反饋渠道，即使其他兩個獨(dú)立性做得再好也無法提升產(chǎn)品質(zhì)量。反之，如果把人員管理的獨(dú)立性做好了，再加上技術(shù)、財務(wù)的獨(dú)立就好比如虎添翼。在實(shí)踐中，可以通過將驗(yàn)證項(xiàng)目獨(dú)立立項(xiàng)來提升管理獨(dú)立性，也可以通過將驗(yàn)證部門獨(dú)立來提升管理獨(dú)立性，或者將二者結(jié)合都可以。

（2）人員的質(zhì)量意識和核安全文化素質(zhì)

人們所掌握的以往的知識、技能需要不斷更新，進(jìn)行質(zhì)量控制的慣性思維也需要不斷進(jìn)行審視，不能因循守舊。因此，不但要加大人員技術(shù)技能上的培訓(xùn)和指導(dǎo)，還要從思想觀念上對其進(jìn)行教育引導(dǎo)，加強(qiáng)核安全文化的宣貫，讓嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)、質(zhì)疑的工作態(tài)度、溝通交流的工作習(xí)慣成為自覺，讓人人都把自己當(dāng)成最后一道屏障真正入腦入心，使人人都把守護(hù)核安全當(dāng)做自己的責(zé)任和使命。

3 小結(jié)

目前，應(yīng)用于高可靠性領(lǐng)域的產(chǎn)品基本都是由軟件和硬件共同配合完成的，因此，軟硬件的質(zhì)量直接關(guān)系到產(chǎn)品的質(zhì)量。本文作者基于多年從事核級DCS平臺質(zhì)量控制工作以及對外交流的經(jīng)驗(yàn)，從過程、技術(shù)、工具、人員等方面對廣利核公司在核級DCS平臺軟硬件質(zhì)量控制的良好實(shí)踐進(jìn)行了闡述，分析并提出了適用于核級DCS平臺軟硬件的需要重點(diǎn)關(guān)注的質(zhì)量控制改進(jìn)建議。同時，本文闡述的過程和方法經(jīng)過吸收調(diào)整后也適用于一般行業(yè)的軟硬件質(zhì)量改善。

作者簡介：

王金全（1974-），男，山西運(yùn)城人，高級工程師，學(xué)士，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核電領(lǐng)域工業(yè)控制系統(tǒng)相關(guān)的研究工作。

摘自《自動化博覽》2023年3月刊