FirmSys平臺軟件第三方V&V過程和方法

北京廣利核系統工程有限公司 程建明，張亞棟，梁中起，章 丹，王曉燕

FirmSys平臺軟件第三方V&V過程和方法

北京廣利核系統工程有限公司 程建明，張亞棟，梁中起，章 丹，王曉燕

獨立性是核安全級儀控系統軟件驗證和確認（V&V）的重要要求之一。在公司內部獨立部門執行軟件V&V的基礎上，廣利核（CTEC）公司另外委托第三方認證機構ISTec公司對廣利核公司自主研發的國內首個核電站安全級數字化儀控系統平臺（FirmSys平臺）軟件執行獨立V&V工作。本文總結第三方IV&V工作的過程和方法，并與廣利核內部執行的軟件V&V工作的過程和方法進行對比分析。分析表明，第三方IV&V工作和CTEC內部V&V都有各自滿足法規、標準的完整的過程和方法，通過第三方IV&V工作可以佐證CTEC內部V&V工作的有效性，并增強了FirmSys平臺軟件安全性的可信度。

數字化核安全級儀控系統；獨立驗證和確認

1 引言

FirmSys平臺（中文名稱：和睦系統）是北京廣利核系統工程有限公司（以下稱CTEC公司）研制的國內首個核電站安全級數字化儀控系統平臺。FirmSys平臺包含將運行于核電站現場的一系列標準化設備模塊和工程師站計算機。FirmSys平臺軟件組成如表1所示。

表1 FirmSys平臺軟件組成

并行于FirmSys平臺開發，CTEC公司內獨立于開發團隊的V&V團隊對FirmSys平臺開展了全面的V&V工作。為了證明CTEC公司內部V&V工作的有效性，以及增強FirmSys平臺軟件安全性的可信度，CTEC公司委托德國反應堆安全研究院（GRS）全資子公司ISTec（2014年，ISTec成為TüV萊茵的全資子公司），對FirmSys平臺軟件執行了第三方獨立驗證和確認（第三方IV&V）工作。

2 第三方IV&V項目執行方式

FirmSys平臺的IV&V工作以獨立項目形式運作，項目分成A、B、C三個階段執行，每個階段均有明確目標，逐步深入。各個階段執行情況如下：

（1）A階段為項目預評估階段，預評估的內容包括：FirmSys平臺開發管理文檔、FirmSys平臺概念（平臺需求和平臺設計）文檔、主處理板卡軟件開發（需求、概要設計、詳細設計）文檔，由ISTEC專家在ISTEC公司技術體系指導下執行全部工作，并根據FirmSys平臺特點確定B、C階段工作方法。

（2）B、C階段是詳細評估階段，B階段完成FirmSys平臺概念及平臺中典型的嵌入式軟件模塊的詳細評估。C階段完成FirmSys平臺其它類型的軟件模塊的詳細評估，包括一個典型CPLD模塊的HPD邏輯、工程師站工具軟件關鍵功能模塊、應用算法功能塊庫軟件。

第三方IV&V項目從2011年9月啟動，到2015年4月結束，歷時3年多。通過一系列評估活動，證明FirmSys平臺軟件及其開發過程符合本行業相關標準IEC 61513、IEEE 7-4.3.2、IEC 60880、IEC 62566、IEEE 1012的要求，可用于核電站執行核安全A類功能的儀控系統中。

3 第三方IV&V項目各階段執行過程和方法

第三方IV&V工作依據標準由ISTec選取和確定，考慮到FirmSys平臺的技術特點，第三方IV&V工作依據表2中的標準開展。

表2 IV&V工作依據標準

第三方IV&V項目各階段開始前對本項目階段IV&V活動進行規劃，規劃活動的輸出是V&V任務定義和分配（Definition and Allocation of V&V Task）文件中，該文件作用與軟件V&V計劃類似。

ISTec還在第三方IV&V項目中針對被評估模塊的特點制定審查計劃（Review plan），審查計劃是針對被評估文檔（系統需求文檔、系統設計文檔、軟件需求文檔、軟件設計文檔、源代碼文檔、測試文檔）執行檢查時的指導文件，審查計劃詳細規定了審查流程、審查范圍及對象、檢查關注點等信息，并提供各項審查工作的檢查單。針對不同類別的軟件模塊使用不同的審查計劃。

第三方IV&V評估工作執行過程可分為數據收集、數據分析和評估總結三個步驟，如圖1所示。

圖1 評估和分析步驟

（1）數據收集

根據V&V任務定義和分配及審查計劃中提示的關注點檢查被評文檔，收集疑問及問題。在數據收集時，對被評估文檔進行一致性檢查、形式檢查、功能性檢查，將發現的問題或疑問記錄在LOP單中，如圖 2所示[1]。

圖2 數據收集方式

第三方IV&V發現的問題被分類為：輕微問題（Minor issues）、要求（Requests）、關鍵問題（Key issues）。每個問題又可分類為GR (general remark，普遍存在的問題)，R (remark，問題) 或 Q (question，疑問)。FirmSys研發團隊及FirmSys測試團隊需對問題進行澄清說明和處理情況回復，如需要，FirmSys研發團隊修改并發布相應設計文件，直到全部問題得到關閉。

（2）數據分析

對第三方IV&V發現的問題進行歸納和分析，將被評文檔與依據標準進行標準符合性分析，并記錄分析結果。根據軟件模塊類別的不同、文檔類型的不同，比對的標準及條目也不同。

（3）評估總結

對每個被評估軟件模塊生成一份評估總結報告，模塊評估總結報告陳述了評估該軟件模塊的過程，并對被評估文件從形式檢查、一致性檢驗和功能檢查、關鍵性分析、需求分配分析、可追蹤性分析、接口分析、危險分析、關鍵性分析、安全保密性分析、風險分析等方面進行總結。

項目B階段和C階段執行完成時，分別發布項目B階段和C階段第三方IV&V最終報告。第三方IV&V最終報告總結項目工作執行過程和V&V結論，總結內容包括：項目背景、被評軟件范圍、依據標準、所執行的任務、所發現的問題及處理情況、產品特點和質量狀態評價等，并對CTEC V&V團隊的工作進行總結和評價。

4 第三方IV&V與CTEC內部V&V的比較

第三方IV&V工作和CTEC內部V&V工作均嚴格按照IEEE 1012-2004及其它相關標準的要求執行，在V&V工作目標、主要過程和工作結果等方面一致的。但在具體執行細節上，第三方IV&V工作與CTEC內部V&V工作存在以下主要區別。

4.1 V&V工作依據標準比較

第三方IV&V工作和CTEC內部V&V工作均根據FirmSys平臺特點、應用目標、V&V目標等進行采標分析，選擇適合的法規、標準等作為V&V工作依據。第三方IV&V采用的標準如表2，包括IEC系列標準（61513/60880/62566）和IEEE系列標準（1012/7-4.3.2）。CTEC內部V&V采用的主要標準除表2所列標準外，還包括HAD 102/16。IEC 60880與HAD 102/16要求的原則是一致的。

第三方IV&V工作和CTEC內部V&V工作所依據的標準均能保證FirmSys平臺適用于核電站執行核安全A類功能的儀控系統中。

4.2 V&V工作具體執行過程和方法比較

第三方IV&V工作和CTEC內部V&V工作均依據相關法規、標準制定相應的流程規范體系，以規范和指導V&V工作的執行。如圖3所示。

圖3 技術指導文件比較

第三方IV&V項目工作規劃時針對該項目發布三個層次的技術指導文件，其中：

（1）V&V任務定義和分配（本項目的V&V計劃），具體規定了第三方IV&V項目所依據的標準、所需評估的軟件范圍、所需執行的過程和任務、各任務的目的和要求、各任務執行的工作分配、V&V報告要求等。其中IEEE Std 1012-2004要求的各分析任務在本項目中的執行要求包含于這些任務的描述中。

（2）軟件評審計劃，詳細規定了所需評審的文檔類別、各文檔的評審目的、評審執行過程、檢查關注點，并附各類文檔評審用的檢查單。

（3）LOP單/AR報告模板，規定軟件評審輸出的內容和格式。

CTEC內部V&V發布一系列V&V規范性文件，包括三個層次：

（1）工作流程，用于規定依據軟件生命周期所需開展的V&V活動，以及各項活動包含的任務以及依據技術規范，此外還包含偏離策略、迭代策略等處理原則。

（2）技術規范，用于規定某項V&V任務的工作方法、步驟、工具、策略、輸入、輸出等要求，確定某項V&V任務如何開展。

（3）模板/檢查單等，用于具體指導某項V&V任務的執行。其中，模板規定了不同類型的文件所需描述的內容、方式、顆粒度等，從而使得該類文件具有統一的展現形式；檢查單規定了針對某類文件審查過程中所需檢查的條目，從而使得有效的實踐經驗能被廣泛而統一的進行應用。

CTEC內部規范性文件適用于核安全重要的各類軟件，各V&V項目在制定V&V計劃時根據V&V工作對象和范圍確定具體所需執行的V&V任務并選用相應的指導文件。

在檢查內容及角度方面：

（1）第三方IV&V檢查單側重于提示需要檢查的項目，如“軟件任務描述需關注軟件初始化、啟動和重啟”。

（2）CTEC內部V&V檢查單多來源于核安全相關標準要求和已有的設計/運行經驗反饋，側重于規定某項設計應該或不應如何處理，如“如果概要設計涉及進程/任務及其調度，應給出任務的定義、調度方法/算法”。

CTEC內部V&V依據檢查單執行軟件評估后，比較容易說明軟件是否符合核安全相關標準要求。第三方IV&V工作中，使用檢查單執行軟件評估，在進行技術判斷時要求評估執行人員有較多的專家經驗。

在判斷軟件與標準的符合性方面，CTEC內部V&V將標準要求融入到檢查單中，執行文件評審過程中，在對檢查單中的檢查項進行判斷的同時對軟件產品執行了標準符合性判斷。IV&V通過在評審完成后專門的工作判斷軟件產品與選定標準的符合性。執行方式不同，但均能給出軟件產品與標準的符合性判斷，保證FirmSys平臺的安全性和可靠性。

第三方IV&V工作和CTEC內部V&V工作技術指導文件組織形式不同，但均包含對V&V工作內容和工作方式的規定，均能對各項V&V工作的執行提供明確和具體的指導，均能使V&V工作滿足相關標準的要求。

4.3 V&V輸出形式比較

第三方IV&V工作和CTEC內部V&V工作均按照各自的工作技術指導文件執行。在V&V工作輸出方面，第三方IV&V工作和CTEC內部V&V工作均按IEEE Std 1012-2004第6.1節要求輸出相關報告，用于記錄V&V過程中發現的問題和V&V結論等。輸出組織形式比較如圖4所示。

圖4 V&V工作輸出比較

第三方IV&V工作輸出以下文檔：

（1）LOP單（List of Open Point），記錄軟件評估過程中發現的疑問或問題（open point，開放話題），以及對這些疑問或問題進行的澄清或處理（被評文檔的修改）。同時，應本項目的要求，評估的對象與該被評估對象所依據的標準要求的符合性分析結果和結論也記錄于LOP單文件中。LOP單還承擔著IV&V項目和產品研發項目進行交流的主要渠道功能，模塊評估過程中新發現疑問或問題，或者對已發現疑問或問題有新的回復時，對LOP單文件進行升版。直到發現疑問或問題全部關閉。

（2）評估報告（AR，Assessment Report）與LOP單對應，對每個被評估軟件模塊使用一個AR文件，評估報告總結評估過程中的活動，總結所發現的重要問題及解決情況，給出評估結論。評估報告提供被評估文件和代碼文件詳細的引用列表。使用RIPEMD-160算法計算的校驗和來唯一標識引用文件列表中的文件。

（3）當軟件模塊通過評估時，證書（Certificate）用于確認該模塊用于執行核電廠安全重要的I&C軟件功能的適用性。

（4）V&V最終報告，總結項目執行過程并對被評估的軟件給出評估結論。其中項目執行過程的總結內容包括：項目背景、被評軟件范圍、依據標準、所執行的任務、所發現的問題及處理情況等。

CTEC內部V&V工作輸出以下文檔：

（1）任務記錄/報告，依據IEEE Std 1012-2004針對各模塊執行的各項V&V任務，均輸出相應的任務記錄或報告。包括評估記錄、各專項分析記錄、測試相關文檔等。任務記錄文件主要記錄任務執行過程收集到的證據及中間結論等。如評估記錄文件中記錄被評估對象是否符合各檢查項要求的分析說明，可追蹤性分析記錄文件中列出上下游文件雙向追蹤對應關系等。

（2）V&V異常記錄，CTEC內部V&V發現的所有異常統一錄入定制開發的V&V異常管理庫（CQ庫）中，提交到產品研發人員，在規定的流程下進行處理直到關閉。

（3）階段總結報告，對各軟件模塊的各V&V階段，總結該階段的所有V&V活動，對該模塊進行綜合評價。

（4）V&V最終報告，總結V&V項目的全部V&V活動，對FirmSys平臺進行綜合評價。

第三方IV&V工作輸出了必要的文檔，文檔量相對較小，并以證書形式確認所評模塊通過評估。CTEC內部V&V工作更注重記錄V&V過程收集到的證據，發現的異常在專門的軟件工具控制下統一處理。第三方IV&V工作和CTEC內部V&V工作均能滿足IEEE Std 1012-2004對V&V報告的要求。

4.4 V&V工作獨立性比較

第三方IV&V工作方法完全由ISTec建立，執行過程由ISTec完全控制，由CTEC的V&V團隊協助。為了保證ISTec在第三方IV&V工作中的完全的主導性，第三方IV&V工作按以下方式執行：

（1）完全由ISTec建立第三方IV&V項目評估技術體系，用以規定執行過程和所用的技術方法。ISTec分別針對詳細評估B、C階段工作范圍制定第三方IV&V計劃文件，并在第三方IV&V計劃文件指定并分配第三方IV&V任務，針對不同的軟件類型（如嵌入式軟件、工具軟件、功能塊庫軟件、CPLD軟件）分別制定具體技術方法。

（2）由ISTec提供培訓，使CTEC的V&V團隊成員具備按本項目要求執行所分配的V&V工作的能力，并對CTEC的V&V團隊成員頒發工作授權證書，獲得該證書的成員方可參與第三方IV&V工作。

（3）由ISTec專家執行第三方IV&V的關鍵工作及有代表性的模塊的V&V工作，將工作過程、方法和結果作為范例提供給CTEC的V&V團隊。

（4）由ISTec審查CTEC的V&V團隊的工作結果（LOP單，AR），在聯合工作會議期間與CTEC的V&V團隊、FirmSys研發團隊、FirmSys測試團隊對工作結果和技術問題進行討論和澄清，最終由ISTec批準CTEC的V&V團隊在三方IV&V項目中的工作成果。

（5）由ISTec對第三方IV&V項目進行質保監察，確保第三方IV&V項目工作（包括CTEC的V&V團隊協助執行的第三方IV&V項目范圍內的工作）按ISTec公司內的管理層制定的質量計劃中的要求執行。

CTEC內部V&V工作完全由CTEC的V&V團隊執行，CTEC的V&V團隊獨立于FirmSys研發團隊。從以下方面保證CTEC內部V&V工作的獨立性：

（1）V&V人員不參與軟件開發工作，獨立選取不同于軟件開發的V&V技術、方法和工具。

（2）V&V人員與研發人員分屬不同的行政組織，V&V部門領導直接向廣利核公司總經理部匯報工作。

（3）V&V工作有獨立的部門資金預算和獨立的V&V項目資金預算。

以上比較可以看出，第三方IV&V工作和CTEC內部V&V工作均能從技術、管理、財務方面保持與開發工作的獨立性，均能達到相關法規標準對V&V獨立性的要求。

5 結論與建議

通過第三方公司執行的IV&V工作，引入了另外一套完整的核安全級軟件V&V工作過程和方法，引入了第三方公司專家的獨立視角，完成了一次對FirmSys平臺軟件安全性和可靠性的檢驗。V&V工作過程和方法的比較表明，委托ISTec執行的第三方IV&V工作與CTEC內部V&V工作各自均可滿足相關法規、標準要求的V&V獨立性及其它要求。通過第三方IV&V工作可以佐證CTEC內部V&V工作的有效性，并增強了FirmSys平臺軟件安全性的可信度。

國產化的核安全級儀控系統設備在首次應用前引入外部第三方IV&V，可對已持續執行的供應商內部V&V工作有效性進行一次檢驗，并進一步增強用戶和監管單位對設備質量的信心，是值得推薦的一次良好實踐。

[1] MIEDL Horst, LINDNER Arndt, ZHANG Dan. Software V&V for digital safety I&C systems in NPPs – Fundamentals and practical application[J], Nuclear Safety and Simulation, 2014.

[2] 張亞棟, 等. 數字化核安全級儀控系統軟件的驗證與確認[J], 核科學與工程, 2012, (S2) ∶ 227 – 231.

[3] IEEE Std 1012-2004. IEEE Standard for Software Verification and Validation[S].

The Process and Method of the Third Party Software V&V for FirmSys Platform

Independence is one of the key requirements of software Verification and Validation (V&V) for the digital instrumentation and control (I&C) systems used in nuclear power plant. FirmSys is the first digital I&C platform independentlyR&D in China. For FirmSys platform, ISTec, a third party certification company, had been commissioned to perform the software third party IV&V while V&V is performed by independent department of CTEC. This articlesummarizes the processes and methods of the third party IV&V performed by ISTec, and compares the processes and methods to the IV&V performing by CTEC, it is indicated that the third party IV&V and the V&V performed in CTEC all have their integratedprocesses and methods, and comply with all the requirements of the standards. By the third party IV&V effort, the validity of the V&V performed in CTEC can be confirmed, and the reliability of the safety of FirmSysplatform software was markedly improved.

Digital instrumentation and control system; Independent verification and validation

程建明（1976-），男，四川人，高級工程師，本科，現就職于北京廣利核系統工程有限公司，主要從事核級軟件的驗證和確認工作。