久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

★北京廣利核系統(tǒng)工程有限公司王金全，左新，王曉燕，武方杰，杜喬瑞，王國(guó)云，彭超，劉立華

摘要：經(jīng)過(guò)多年的發(fā)展，軟件V&V作為提供核級(jí)軟件質(zhì)量可信性證明的手段、硬件鑒定作為提供核級(jí)硬件設(shè)備可信性證明的手段已經(jīng)是核電行業(yè)的廣泛共識(shí)。隨著人們對(duì)不同核電標(biāo)準(zhǔn)體系理解認(rèn)識(shí)的深入，以及現(xiàn)場(chǎng)發(fā)生問(wèn)題的反饋，核級(jí)DCS平臺(tái)需要進(jìn)一步提高軟件和硬件的質(zhì)量以滿足后續(xù)核電建設(shè)越來(lái)越高的質(zhì)量要求。本文作者基于多年從事核級(jí)DCS平臺(tái)質(zhì)量控制工作以及參與英國(guó)GDA項(xiàng)目認(rèn)證過(guò)程獲得的經(jīng)驗(yàn)，從過(guò)程、技術(shù)、工具、人員能力等方面介紹了核級(jí)DCS平臺(tái)軟硬件質(zhì)量控制實(shí)踐，分析并提出了仍需重點(diǎn)關(guān)注的質(zhì)量控制方面的一些改進(jìn)建議，供從業(yè)人員參考。

關(guān)鍵詞：核級(jí)DCS；質(zhì)量控制

隨著我國(guó)經(jīng)濟(jì)的飛速發(fā)展，大家對(duì)電力的需求越來(lái)越旺盛。核電作為能夠穩(wěn)定提供基礎(chǔ)電力的清潔能源的重要來(lái)源，已被我國(guó)作為重點(diǎn)進(jìn)行建設(shè)，而核級(jí)DCS系統(tǒng)作為其中的神經(jīng)中樞，對(duì)核電站的安全和穩(wěn)定運(yùn)行發(fā)揮著十分重要的作用。核級(jí)DCS平臺(tái)是構(gòu)建核級(jí)DCS系統(tǒng)的重要組成部分，因此，如何確保核級(jí)DCS平臺(tái)的質(zhì)量就顯得尤為重要。核級(jí)DCS平臺(tái)中的產(chǎn)品是由軟硬件組成的，要想確保DCS產(chǎn)品的質(zhì)量就必須確保其中軟硬件的質(zhì)量。近年來(lái)，美國(guó)出于遏制中國(guó)發(fā)展，將中國(guó)視為競(jìng)爭(zhēng)對(duì)手，對(duì)中國(guó)加大了技術(shù)封鎖力度，這導(dǎo)致各行各業(yè)都在加速推進(jìn)國(guó)產(chǎn)化，核級(jí)DCS也是其中之一。不得不承認(rèn)的是，國(guó)產(chǎn)軟硬件由于起步晚，不僅應(yīng)用的時(shí)間短，而且應(yīng)用的行業(yè)范圍和規(guī)模也都比較小，其質(zhì)量很難與國(guó)外成熟的廠商相比。這就需要在質(zhì)量控制上投入更多成本和精力，除了要繼承以前好的做法外，還要不斷深挖自身的質(zhì)量短板，打破思維定式，以“刀刃向內(nèi)”的精神不斷超越自我、追求卓越。

北京廣利核系統(tǒng)工程有限公司作為國(guó)內(nèi)核級(jí)DCS平臺(tái)自主化、國(guó)產(chǎn)化研制的開(kāi)路先鋒，已經(jīng)在核級(jí)DCS平臺(tái)研制的路上辛勤耕耘了近20年。該公司自主研發(fā)的和睦平臺(tái)自2017年成功應(yīng)用于陽(yáng)江56號(hào)機(jī)組，成為國(guó)內(nèi)應(yīng)用于百萬(wàn)千瓦核電站DCS系統(tǒng)的首臺(tái)套開(kāi)始，至今已經(jīng)成功應(yīng)用到了十幾個(gè)國(guó)內(nèi)外的核電機(jī)組，它也因此成為了行業(yè)內(nèi)的標(biāo)桿。該公司在核級(jí)DCS平臺(tái)上的研發(fā)和質(zhì)量控制一定程度上代表了國(guó)內(nèi)的最高水平，尤其是它通過(guò)了英國(guó)GDA認(rèn)證，這個(gè)是在核行業(yè)被世界公認(rèn)的最為嚴(yán)格、最難通過(guò)的認(rèn)證，使得廣利核公司拿到了走出國(guó)門(mén)、走向世界的通行證。GDA認(rèn)證是由英國(guó)ONR（相當(dāng)于中國(guó)的核安全監(jiān)管機(jī)構(gòu)）主導(dǎo)的認(rèn)證，被世界大多數(shù)國(guó)家，尤其是歐盟所認(rèn)可。本文從過(guò)程、技術(shù)、工具、人員能力等方面對(duì)廣利核公司在核級(jí)DCS平臺(tái)上的研發(fā)和質(zhì)量控制實(shí)踐進(jìn)行了闡述，分析并提出了適用于核級(jí)DCS平臺(tái)軟硬件的質(zhì)量改進(jìn)建議。

1 質(zhì)量控制實(shí)踐

1.1 選擇合適的生命周期模型

不同的行業(yè)可以有不同的開(kāi)發(fā)生命周期模型，從長(zhǎng)遠(yuǎn)來(lái)看，選擇適合自身的開(kāi)發(fā)生命周期模型不但可以使成本得到控制和可預(yù)測(cè)，而且還能夠使產(chǎn)品質(zhì)量得到控制和可預(yù)測(cè)，從而可以為產(chǎn)品質(zhì)量穩(wěn)步提升實(shí)施看得見(jiàn)、摸得著的措施。常見(jiàn)的生命周期模型有瀑布型、螺旋型、增量迭代型等，這里不討論各個(gè)模型的優(yōu)缺點(diǎn)，僅針對(duì)核電行業(yè)一般采用的模型進(jìn)行說(shuō)明。核電行業(yè)一般推薦的是V模型（瀑布型的一種），它是一種線性結(jié)構(gòu)，是項(xiàng)目自始至終按照一定順序開(kāi)展，從需求分析、進(jìn)展到系統(tǒng)測(cè)試，直到提交客戶使用。V模型提供了一種結(jié)構(gòu)化的、自頂向下的軟件開(kāi)發(fā)方法，每個(gè)階段的主要工作成果從一個(gè)階段傳遞到下一個(gè)階段時(shí)，必須經(jīng)過(guò)嚴(yán)格的驗(yàn)證或確認(rèn)，以判定是否可以開(kāi)展下一階段工作。V模型是所有生命周期模型的基礎(chǔ)，圖1為廣利核公司依據(jù)HAD102/16-2004制定的生命周期模型。

圖1 生命周期模型

下面我們分別從過(guò)程、技術(shù)、工具、人員培養(yǎng)、經(jīng)驗(yàn)反饋體系方面進(jìn)一步介紹廣利核公司施行的質(zhì)量控制實(shí)踐活動(dòng)。

1.2 過(guò)程

要想確保產(chǎn)品質(zhì)量，在核級(jí)DCS平臺(tái)研發(fā)的全生命周期中對(duì)其進(jìn)行質(zhì)量控制是必不可少的。從系統(tǒng)需求分析開(kāi)始，質(zhì)量控制人員就應(yīng)該參與進(jìn)來(lái)，并在研發(fā)人員提交后對(duì)其進(jìn)行驗(yàn)證。越早發(fā)現(xiàn)問(wèn)題，解決問(wèn)題的成本越小，這已經(jīng)是各個(gè)行業(yè)，尤其是IT業(yè)內(nèi)的共識(shí)。核電行業(yè)更是如此，核級(jí)產(chǎn)品一旦應(yīng)用到現(xiàn)場(chǎng)，解決一個(gè)哪怕很微小的錯(cuò)誤其成本都要成百上千倍的增長(zhǎng)。因此，在生命開(kāi)發(fā)周期的每個(gè)階段都要對(duì)產(chǎn)品開(kāi)展相應(yīng)級(jí)別的驗(yàn)證活動(dòng)。為了保證相應(yīng)的開(kāi)發(fā)和驗(yàn)證活動(dòng)有章可循，根據(jù)IEEE1012TM-2004軟件驗(yàn)證與確認(rèn)、HAD102/16-2004核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件安全導(dǎo)則、IEC61513-2011核電廠安全重要儀控系統(tǒng)的通用要求和IEC60880-2006核電廠安全重要儀控系統(tǒng)執(zhí)行A類(lèi)功能的計(jì)算機(jī)軟件、IEC60987-2007核電廠安全重要儀控系統(tǒng)基于計(jì)算機(jī)的硬件設(shè)計(jì)要求等相關(guān)法規(guī)標(biāo)準(zhǔn)，廣利核公司建立了自己的系統(tǒng)研發(fā)過(guò)程控制程序、軟件研發(fā)過(guò)程控制程序、硬件研發(fā)過(guò)程控制程序、核安全級(jí)軟件驗(yàn)證與確認(rèn)控制程序、測(cè)試控制程序等一系列過(guò)程控制程序文件。

1.3 采用的技術(shù)及工具

確保產(chǎn)品質(zhì)量需要使用一定的技術(shù)和工具，廣利核公司所采用的技術(shù)包括評(píng)估（審查）、專(zhuān)項(xiàng)分析（包括關(guān)鍵性分析、需求分配分析、可追蹤性分析、接口分析、危險(xiǎn)分析、安全保密分析、風(fēng)險(xiǎn)分析）、測(cè)試（包括單元測(cè)試、產(chǎn)品確認(rèn)測(cè)試、系統(tǒng)集成測(cè)試、系統(tǒng)測(cè)試）和硬件鑒定。每種技術(shù)采用的工具，具體描述如下：

（１）評(píng)估（審查）采用的工具有：評(píng)估技術(shù)規(guī)范、評(píng)估規(guī)則、評(píng)估記錄表。

（2）關(guān)鍵性分析采用的工具有：關(guān)鍵性分析技術(shù)規(guī)范、完整性級(jí)別定義、等級(jí)映射表、關(guān)鍵性分析記錄表。技術(shù)規(guī)范、需求分配分析記錄表。

（3）需求分配分析采用的工具有：需求分配分析

（4）可追蹤性分析采用的工具有：可追蹤性分析技術(shù)規(guī)范、雙向可追蹤性輔助分析工具、可追蹤性分析記錄表。

（5）接口分析采用的工具有：接口分析技術(shù)規(guī)范、接口分析規(guī)則、N2圖、接口分析記錄表。

（6）危險(xiǎn)分析采用的工具有：危險(xiǎn)分析技術(shù)規(guī)范、功能框圖、危險(xiǎn)分析記錄表。

（7）安全保密分析采用的工具有：安全保密分析技術(shù)規(guī)范、安全保密分析記錄表。

（8）風(fēng)險(xiǎn)分析采用的工具有：風(fēng)險(xiǎn)分析技術(shù)規(guī)范、風(fēng)險(xiǎn)分析記錄表。

（9）軟件單元測(cè)試采用的工具有：代碼審查單、靜態(tài)分析工具、動(dòng)態(tài)測(cè)試工具。

（10）產(chǎn)品確認(rèn)測(cè)試采用的工具有：測(cè)試工裝、信號(hào)發(fā)生器、示波器等。

（11）系統(tǒng)集成測(cè)試采用的工具有：測(cè)試工裝、信號(hào)發(fā)生器、示波器等。

（12）系統(tǒng)測(cè)試采用的工具有：測(cè)試工裝、信號(hào)發(fā)生器、示波器等。

（13）硬件鑒定采用的工具有：EMI/ESD試驗(yàn)臺(tái)、高低溫交變箱、抗震試驗(yàn)臺(tái)等。

1.4 人員培養(yǎng)

再好的質(zhì)量控制措施也主要是通過(guò)人來(lái)實(shí)施的，要使得整個(gè)生命周期中的質(zhì)量控制措施切實(shí)有效，無(wú)論如何都不能忽視人在其中發(fā)揮的作用。而要使人發(fā)揮良好的作用，就需要對(duì)人進(jìn)行培養(yǎng)，使其達(dá)到應(yīng)有的水平。對(duì)人的培養(yǎng)除了通過(guò)崗位培訓(xùn)使其達(dá)到崗位任職資格外，還要結(jié)合具體的技能進(jìn)行專(zhuān)門(mén)的培訓(xùn)和交流，并不斷通過(guò)實(shí)踐來(lái)應(yīng)用和積累。下面是廣利核公司施行的人員培養(yǎng)策略。

活動(dòng)的承擔(dān)部門(mén)在活動(dòng)開(kāi)始前需要識(shí)別人員的培訓(xùn)需求，并向人力資源部提出培訓(xùn)要求，確?；顒?dòng)參加人員達(dá)到并保持足夠的業(yè)務(wù)熟練程度。培訓(xùn)內(nèi)容包括（但不限于）：

（1）核安全文化、核質(zhì)保的培訓(xùn)；

（2）公司及項(xiàng)目質(zhì)量保證大綱的培訓(xùn)；

（3）工作程序及操作要求培訓(xùn)；

（4）專(zhuān)業(yè)技術(shù)培訓(xùn)。

人力資源部負(fù)責(zé)組織制定培訓(xùn)計(jì)劃和實(shí)施工作，以及組織編寫(xiě)崗位培訓(xùn)大綱。崗位培訓(xùn)大綱應(yīng)包括培訓(xùn)方式、培訓(xùn)課程和課時(shí)以及考核授權(quán)的規(guī)定。崗位培訓(xùn)大綱規(guī)定的培訓(xùn)課程應(yīng)與其相關(guān)的崗位說(shuō)明書(shū)相對(duì)應(yīng)。

活動(dòng)的承擔(dān)部門(mén)按照崗位說(shuō)明書(shū)的要求負(fù)責(zé)對(duì)從事安全級(jí)活動(dòng)的人員進(jìn)行評(píng)價(jià)，形成評(píng)價(jià)結(jié)果，并保持記錄。

對(duì)于從事質(zhì)量控制的相關(guān)人員經(jīng)評(píng)價(jià)合格，由人力資源部頒發(fā)相關(guān)資格證書(shū)后方可從事相應(yīng)資格的工作。

1.5 經(jīng)驗(yàn)反饋體系

“金無(wú)足赤，人無(wú)完人”，工作中出現(xiàn)失誤是難免的，由人制造的產(chǎn)品中出現(xiàn)各種各樣的問(wèn)題也是難免的。俗話說(shuō)“不要在同一個(gè)地方跌倒兩次”，如果能對(duì)出現(xiàn)的問(wèn)題進(jìn)行系統(tǒng)性的總結(jié)和經(jīng)驗(yàn)反饋，確保類(lèi)似的問(wèn)題不要復(fù)現(xiàn)，對(duì)產(chǎn)品的質(zhì)量提升無(wú)疑是非常有幫助的。另外，根據(jù)海因里希300∶29∶1的事故法則：當(dāng)一個(gè)企業(yè)有300起隱患或違章時(shí)，非?？赡芤l(fā)生29起輕傷或故障，還有1起重傷或死亡事故。這就告訴我們，通過(guò)經(jīng)驗(yàn)反饋盡量減少隱患或違規(guī)可以有效降低發(fā)生重大事故的幾率。廣利核公司經(jīng)驗(yàn)反饋體系包括：事件的定級(jí)、事件的原因分析、糾正行動(dòng)方案的制定、糾正行動(dòng)的實(shí)施、糾正行動(dòng)的驗(yàn)證與關(guān)閉、經(jīng)驗(yàn)教訓(xùn)和良好實(shí)踐的利用、經(jīng)驗(yàn)反饋的評(píng)價(jià)等。

2 質(zhì)量控制改進(jìn)建議

這里，筆者主要根據(jù)自身經(jīng)驗(yàn)從過(guò)程、技術(shù)、工具、人員等方面提出一些需要重點(diǎn)關(guān)注的改進(jìn)建議，以供行業(yè)參考。

2.1 過(guò)程方面

（1）質(zhì)量入口、出口準(zhǔn)則

“質(zhì)量是設(shè)計(jì)出來(lái)的，而不是驗(yàn)證出來(lái)的”，這應(yīng)該是核級(jí)DCS從業(yè)人員的共識(shí)，充分說(shuō)明了設(shè)計(jì)人員在核電質(zhì)量上應(yīng)該承擔(dān)的是主要責(zé)任。這里僅從質(zhì)量控制角度來(lái)說(shuō)，如果能制定出適合本公司的產(chǎn)品質(zhì)量入口和出口準(zhǔn)則，則能有效地促進(jìn)產(chǎn)品的設(shè)計(jì)質(zhì)量提升。適合的質(zhì)量入口和出口準(zhǔn)則不僅可以促進(jìn)產(chǎn)品質(zhì)量提升，而且可以有效降低成本。軟件行業(yè)有人曾對(duì)何時(shí)結(jié)束測(cè)試有這樣一種戲謔說(shuō)法，“要么是發(fā)布時(shí)間到了，要么是項(xiàng)目沒(méi)錢(qián)了”，這就是因?yàn)闆](méi)有制定出合理的出口準(zhǔn)則所導(dǎo)致的。產(chǎn)品的出口準(zhǔn)則固然重要，但是，要想提高產(chǎn)品的質(zhì)量，根本上還是得提高產(chǎn)品的入口質(zhì)量，也就是說(shuō)設(shè)計(jì)部門(mén)交付驗(yàn)證部門(mén)的產(chǎn)品質(zhì)量必須是高質(zhì)量的，因?yàn)樵谕度肴肆Σ蛔兊那疤嵯拢邢薜臅r(shí)間內(nèi)只能發(fā)現(xiàn)有限的缺陷。如果產(chǎn)品入口質(zhì)量不高，還想按原來(lái)的時(shí)間發(fā)布，就會(huì)導(dǎo)致有很多缺陷被遺漏到客戶那里。

（2）驗(yàn)證過(guò)程記錄

使用所有驗(yàn)證手段（評(píng)估、分析、測(cè)試等）執(zhí)行驗(yàn)證時(shí)，不能只有通過(guò)或不通過(guò)的結(jié)果，務(wù)必留下足夠詳細(xì)的驗(yàn)證過(guò)程記錄，以便取信于審查人員。所有發(fā)現(xiàn)的缺陷都應(yīng)該進(jìn)入缺陷管理系統(tǒng)進(jìn)行統(tǒng)一管理，異常描述信息要足夠明確，以便精準(zhǔn)定位。

（3）傳遞項(xiàng)的管理

每個(gè)階段的對(duì)象都應(yīng)該在對(duì)應(yīng)階段的驗(yàn)證中得到充分的驗(yàn)證，但是總會(huì)由于一些原因（例如，為了節(jié)省成本或優(yōu)化驗(yàn)證方案）而需要將當(dāng)前階段的某些對(duì)象傳遞到其他階段去執(zhí)行，對(duì)于傳遞到其他階段進(jìn)行驗(yàn)證的傳遞項(xiàng)，應(yīng)該建立相應(yīng)的規(guī)范，以確保傳遞項(xiàng)確實(shí)得到驗(yàn)證。

2.2 技術(shù)與工具方面

（1）需求雙向追蹤性矩陣

為需求建立自上而下、自下而上的追蹤性矩陣，是確保需求被完整、正確地實(shí)現(xiàn)且沒(méi)有實(shí)現(xiàn)多余功能的有效手段。這可以通過(guò)自己研發(fā)或者引入合適的需求追蹤管理工具來(lái)進(jìn)行管理。

（2）評(píng)估規(guī)則

評(píng)估規(guī)則作為評(píng)估人員執(zhí)行評(píng)估的依據(jù)，一般來(lái)源于標(biāo)準(zhǔn)、法規(guī)或者行業(yè)經(jīng)驗(yàn)等。標(biāo)準(zhǔn)和法規(guī)一般都是比較通用或者宏觀的，要拿來(lái)做規(guī)則務(wù)必要給出詳細(xì)的指導(dǎo)說(shuō)明，以保證不同人員對(duì)其理解的一致性。

（3）工具的選型和驗(yàn)證

通過(guò)使用工具使驗(yàn)證活動(dòng)盡量自動(dòng)化，從而降低人為疏漏、提高驗(yàn)證效率，是一個(gè)好的趨勢(shì)。但是對(duì)于工具的選擇要尤其重視，如果是自研，只要按照公司的研發(fā)過(guò)程控制程序進(jìn)行控制就可以。如果是進(jìn)行外購(gòu)，對(duì)工具進(jìn)行選型和驗(yàn)證時(shí)則需要重點(diǎn)監(jiān)控工具供應(yīng)商在工具中發(fā)現(xiàn)的故障，評(píng)估工具的可靠性和工具將故障引入開(kāi)發(fā)過(guò)程的潛在風(fēng)險(xiǎn)，包括監(jiān)控任何已識(shí)別的故障和對(duì)工具造成的影響，并在識(shí)別出關(guān)鍵故障后更新工具。

2.3 人員方面

在質(zhì)量控制方面，人是最主要的。再好的工具，再詳細(xì)的流程規(guī)范，都需要人來(lái)執(zhí)行，這就需要時(shí)刻關(guān)注人的表現(xiàn)。主要需關(guān)注如下幾點(diǎn)：

（1）人員獨(dú)立性

核級(jí)DCS軟件V&V強(qiáng)調(diào)管理、技術(shù)、財(cái)務(wù)三大獨(dú)立性，其中我們認(rèn)為最重要的就是人員管理的獨(dú)立性方面。人員管理方面如果不獨(dú)立，遇到問(wèn)題總被設(shè)計(jì)部門(mén)壓制或者沒(méi)有獨(dú)立反饋渠道，即使其他兩個(gè)獨(dú)立性做得再好也無(wú)法提升產(chǎn)品質(zhì)量。反之，如果把人員管理的獨(dú)立性做好了，再加上技術(shù)、財(cái)務(wù)的獨(dú)立就好比如虎添翼。在實(shí)踐中，可以通過(guò)將驗(yàn)證項(xiàng)目獨(dú)立立項(xiàng)來(lái)提升管理獨(dú)立性，也可以通過(guò)將驗(yàn)證部門(mén)獨(dú)立來(lái)提升管理獨(dú)立性，或者將二者結(jié)合都可以。

（2）人員的質(zhì)量意識(shí)和核安全文化素質(zhì)

人們所掌握的以往的知識(shí)、技能需要不斷更新，進(jìn)行質(zhì)量控制的慣性思維也需要不斷進(jìn)行審視，不能因循守舊。因此，不但要加大人員技術(shù)技能上的培訓(xùn)和指導(dǎo)，還要從思想觀念上對(duì)其進(jìn)行教育引導(dǎo)，加強(qiáng)核安全文化的宣貫，讓嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)、質(zhì)疑的工作態(tài)度、溝通交流的工作習(xí)慣成為自覺(jué)，讓人人都把自己當(dāng)成最后一道屏障真正入腦入心，使人人都把守護(hù)核安全當(dāng)做自己的責(zé)任和使命。

3 小結(jié)

目前，應(yīng)用于高可靠性領(lǐng)域的產(chǎn)品基本都是由軟件和硬件共同配合完成的，因此，軟硬件的質(zhì)量直接關(guān)系到產(chǎn)品的質(zhì)量。本文作者基于多年從事核級(jí)DCS平臺(tái)質(zhì)量控制工作以及對(duì)外交流的經(jīng)驗(yàn)，從過(guò)程、技術(shù)、工具、人員等方面對(duì)廣利核公司在核級(jí)DCS平臺(tái)軟硬件質(zhì)量控制的良好實(shí)踐進(jìn)行了闡述，分析并提出了適用于核級(jí)DCS平臺(tái)軟硬件的需要重點(diǎn)關(guān)注的質(zhì)量控制改進(jìn)建議。同時(shí)，本文闡述的過(guò)程和方法經(jīng)過(guò)吸收調(diào)整后也適用于一般行業(yè)的軟硬件質(zhì)量改善。

作者簡(jiǎn)介：

王金全（1974-），男，山西運(yùn)城人，高級(jí)工程師，學(xué)士，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核電領(lǐng)域工業(yè)控制系統(tǒng)相關(guān)的研究工作。

摘自《自動(dòng)化博覽》2023年3月刊