袁 野1,王少华1
1. 中国核电工程有限公司,北京 100876)
摘要:仪控系统逻辑设计作为仪控系统产品实现的输入资料,是保证仪控功能安全有效的重要环节,文章以核电厂仪控专业设计的验证和确认为出发点,结合核电厂工程项目生命周期阶段,对设计中异常追踪管理办法进行了研究,首先说明了核电厂仪控设计的异常管理要素,提出了异常追踪管理过程,然后提出了异常分类方法及原则,并对异常追踪管理过程中使用的异常追踪系统进行了简单说明。
关键词:核电厂 仪控 V&V 异常
引言
仪控系统设计过程作为核电厂仪控系统平台产品全生命周期的早期过程[1],是对核电厂工艺系统专业控制功能要求进行逻辑化及图形化表示的必要过程。仪控系统逻辑设计作为仪控系统产品实现的输入资料,是保证仪控功能安全有效的重要环节,对仪控设计过程进行质量控制及验证和确认工作有助于尽早发现仪控功能图形化描述中的错误,对于确保数字化仪控系统安全正确运行有重要意义[2]。
设计V&V将设计过程中发现的设计偏离定义为异常,对异常的管理和追踪,是开展设计V&V活动的必要手段。从异常提出开始直至异常的关闭都应被追踪,才能确保V&V方发现的设计偏离无差的反应到设计文件中。
本文从核电厂仪控设计的验证和确认(V&V)活动出发,结合相关法规标准[3,4],对仪控设计活动中的异常管理要素进行了说明,阐述了仪控设计活动中的异常追踪过程管理的具体手段和方法。
1 异常管理要素
1.1 异常管理对象
仪控设计异常管理对象为核电厂仪控设计各V&V阶段产生的异常项,仪控设计V&V任务的对象主要是各设计阶段发布的设计文件,依据核电厂工程项目生命周期阶段划分,仪控设计主要的V&V阶段及各阶段主要任务如表所示。其中管理V&V任务贯穿于整个设计V&V活动中。
表1 仪控设计主要V&V阶段及任务
B V&V阶段 CC V&V任务
0 管理V&V阶段 01 验证和确认大纲生成
02 接口管理
03 进度管理
04 配置管理及评估
05 V&V报告生成
1 可行性研究设计V&V阶段 01 可行性研究报告审查
2 初步设计V&V阶段 01 初步设计说明书审查
02 初步安全分析报告审查
03 DCS设备规格书审查
3 施工图设计V&V阶段 01 0层设备接口规格书审查
02 电厂功能分配规格书审查
03 严重事故仪控系统需求规格书审查
04 仪表技术规格书审查
05 IPC系统手册测试
06 IPC系统手册审查
07 安全相关工艺系统手册测试
08 安全相关工艺系统手册审查
09 最终安全分析报告审查
注:B - 阶段编码,CC - 任务编码,用于生成异常编号。
1.2 异常管理角色
仪控设计V&V任务主要包括审查类任务与测试类任务,异常管理角色可简单划分为审查工程师、测试工程师、审查负责人、测试负责人及V&V项目负责人。
2 异常追踪管理过程
异常追踪管理过程包括异常识别、录入、分析、行动及评价过程,追踪管理过程如图1所示,可由异常追踪系统进行跟踪管理,其中异常追踪系统跟踪控制部分以实线框标注。
2.1 识别
异常识别通常由发现异常的测试工程师或审查工程师进行,异常识别至少包括以下内容:
- 明确异常发生时的生命周期阶段;
- 描述异常发生时的表现;
- 明确异常出现时正在发生的行为;
- 对于测试发现的异常,明确测试用例及步骤编号;
- 初步判定异常的严重性和优先级。
图1 异常追踪管理过程
2.2 录入
将异常信息输入至异常追踪系统(ATS)的过程,通常由异常识别人员进行,若异常识别人员不具备异常数据录入权限,须将异常情况反馈至测试工程师或审查工程师录入。
2.3 分析
在异常识别后,因由异常录入人员负责对异常进行分析。分析应有足够的深度,应初步确定异常产生的实际原因、来源和类型,同时,也对异常识别过程判定的异常属性及异常分级,进行回顾和修正。
2.4 行动
行动是基于分析结果,制定行动计划及解决方案、以及阻止类似异常再次发生而产生的修改、策略和其他活动。V&V实施方首先负责对异常进行初步评估,若异常需要V&V需方参与的,将异常分配至V&V需方,由V&V需方负责对异常进行分析及处理。
若判定异常无需进行处理,可考虑关闭异常,并在ATS中予以记录。
由V&V需方负责的行动,V&V需方应提供解决方案,并对异常产生的原因进行深入分析,确保该条件不会引发其他异常。解决方案反馈至V&V实施方进行回归验证。
2.5 评价
V&V实施方负责评价异常解决方案。若异常的解决方案需在后续文件中体现,V&V实施方跟踪异常解决方案的实现情况,经回归确认无误后关闭;若解决方案在升版文件中未正确体现,则对该异常继续进行跟踪;若判断异常项与之前录入的其他异常项类似且和合并处理,则可将异常项关闭,并在ATS中记录合并信息。异常报告和结论应体现在验证和确认大纲中。
3 异常追踪管理方法
3.1 异常分类方法及原则
异常分类是贯穿于异常识别、行动、评价和处理过程中进行的一系列决策活动。异常分类最初由异常识别人员进行,在异常追踪过程的每个环节中都会深化异常分类。每个异常都应该根据其对系统功能影响程度来评估该异常的严重程度和关键性等级。
以下条目应在确定仪控设计异常分类时予以考虑[5]:
1)环境
异常发生的环境,包括硬件、软件、接口、文件等;
2)类型
异常的类型,如文字错误、描述错误、功能偏离、逻辑错误、不可测试等;
3)严重性
根据异常对系统功能的影响程度来评判异常的严重性;严重性大致可分为严重、一般、次要、微小四个等级,如表2所示。
表2 严重性级别定义
严重性级别 描述
严重 无法满足基本要求,核心功能故障,安全、性能、功能等方面严重不达标;
一般 能满足基本要求,但是某些不涉及安全相关的功能存在不达标情况;
次要 设计与需求有出入但能完成功能,内容不全,局部数据错误等;
微小 对系统功能基本无影响,文字错位、界面不规范、文字使用不专业等。
4)优先级
包括高、中、低三个级别。优选级的确定应结合异常发生时的产品生命周期、其严重性程度、异常出现频率、出现异常的功能的重要性等综合考虑。
3.2 异常信息定义
异常信息定义包括以下基本内容:
1) 异常严重性及优先级定义,按照3.1节异常分类方法及原则中严重性和优先级确定方法明确异常的严重性和优先级;
2) 异常编码规范定义,根据不同项目要求定义异常编码规范,推荐异常编码规范为:A-B-CC-###,其中,
A - 字母‘A’,代表该编号为异常编号;
B - V&V阶段,用数字表示,在2.1节中定义;
CC - V&V任务,用数字表示,在2.1节中定义;
### - 流水号,用001,002表示。
3.3 异常追踪系统(ATS)
本文按照2.3节中定义了异常追踪管理过程,结合仪控设计专业特点,引入了ATS来进行异常的数据管理。ATS具有以下基本功能:
1)异常处理流程定义
提供了完善的异常处理流程定义功能,可对异常处理中的流程节点、节点顺序关系及各流程环节的角色、任务等进行配置。
2)异常分发
ATS能正确地根据异常处理流程定义中配置的相关流程节点操作进行分发工作。
3)异常归档
所有异常的信息及所有异常处理流程中的过程记录信息在ATS中归档保存,包括针对该异常开展的协调会议形成的意见单等。
4 结束语
文章以核电厂仪控设计的V&V活动为出发点,结合核电厂工程项目生命周期过程,从异常管理对象、角色两方面对仪控设计中的异常管理要素进行了说明,提出了异常追踪管理过程,然后对异常追踪管理方法进行了阐述,提出了异常分类方法及原则,引入了异常追踪系统来进行异常数据管理。通过仪控设计中的异常进行管理追踪,可为以后的核电厂仪控专业设计提供参考,是优化设计流程的一个重要手段。
参考文献
[1] 国家能源局. NB/T.20026-2014 电厂安全重要仪表和控制系统总要求[S]. 2014.
[2] 卢超, 张黎明, 张焕欣. 基于仿真技术的安全及DCS功能图设计验证实现[J]. 核科学与工程, 2010, 30: 17 - 20.
[3] 国家能源局. NB/T.20448-2017 核电厂软件验证和确认[S]. 2017.
[4] 国家能源局. NB/T.20272-2014 核电厂软件评审和审核[S]. 2014.
[5] IEEE Std.1044TM-2009 IEEE Standard Classification of Software Anomalies[S]. New York, USA: IEEE, 2009.
作者简介:袁野(1988-)、男、汉族、贵州遵义人、硕士研究生、中国核电工程有限公司、工程师,研究方向:数字化仪控