龍門計畫安全系統儀控
軟體發展之介紹
林錦銘
台電核技處
壹、前言:
龍門計畫儀控系統採數位化方式,透過軟體來執行整廠之保護、控制、顯示及警示等功能。此整廠儀控系統係由奇異公司核能部門(GE Nuclear Energy,簡稱GENE)負責整合,故GENE除了執行系統整體概念設計與反應器保護系統之細部設計外,其餘涉及軟體細部設計與建置(Implementation)工作交由下包廠商(NUMAC、DRS、Invensys、Hitachi及GEIS)來完成。目前,所有安全系統除ESF系統是由DRS公司(前身為Eaton)承包外,全部是由GENE轄下NUMAC負責軟體設計與製作。而非安全系統之軟體發展則由Invensys, GEIS及Hitachi等廠家負責。
本文主要介紹龍門計畫分散式控制暨資訊系統(Distribution Control & Information System, DCIS)安全系統之儀控軟體發展作業。因台電龍門計畫安全系統儀控軟體發展作業承諾遵照美國核能管制委員會(NRC)所頒佈之標準審查規範(SRP)第七章BTP-14之要求,故擬對龍門計畫DCIS所有核能安全系統之儀控軟體作業說明其發展過程與符合情形。
以下各節說明龍門計畫DCIS安全系統之儀控軟體發展作業及其符合BTP-14要求情形。第貳節首先介紹BTP-14之目的與要求以及需遵循之軟體相關法規與標準;第參節再介紹安全系統儀控軟體發展之作業過程及符合情形;第肆節說明台電提升自我管制之相關作業,第伍節說明核能管制單位對龍門計畫安全系統之儀控軟體發展作業之監督;最後一節為結語。
貳、BTP-14之目的與要求
本節簡述BTP-14之目的與要求,以及為達成符合BTP-14所需遵循之軟體相關法規與標準。
一、BTP-14之目的與要求
BTP-14,“數位電腦化儀控系統之軟體審查準則”,目的是美國核管會訂定安全系統功能軟體發展作業之驗收準則,來
(一)確認已制定可接受的計畫書,以管制軟體發展活動;
(二)證實可接受的軟體生命週期係依計畫執行;
(三)證實軟體發展過程產生可接受的設計輸出;
以代表美國核管會幕僚(staff)對安全系統功能軟體發展作業之審查立場。
BTP-14之要求如圖(一)所示,將軟體發展活動分為三個主要部份:
(一)制定軟體生命週期所需之軟體計畫書以管制軟體發展活動;
(二)依所制定之軟體計畫書在軟體生命週期各階段產出設計輸出文件;
(三)依所制定之軟體計畫書對各階段之設計輸出文件執行審查及評估;
業主(台電公司)或軟體發展廠家(如GENE/NUMAC/DRS等)在龍門計畫安全系統之儀控軟體發展活動期間必需產出軟體計畫書、設計輸出文件及設計輸出文件之評估及審查報告。而上述每份文件之主題(Topic)必需被涵蓋在龍門計畫相關文件內,但主題之名稱並不一定要獨立。
同時,台電已對原能會承諾龍門計畫安全系統之儀控軟體發展作業將依BTP-14要求執行,台電在安全系統之儀控軟體發展過程中均以符合BTP-14之要求為接收準則來審查與評估龍門計畫廠家之軟體發展作業是否符合,此種做法與BTP-14 第四節要求業主先行扮演自我管制角色的要求相符合。
二、遵循之法規與標準
BTP-14為確保所發展之軟體能正確執行所要求之安全系統功能,故特別提供相關之軟體法規指引(Regulation Guide, R.G.)、工業標準及技術報告可供業主或廠家在軟體發展活動中遵循。
依BTP-14需求在軟體各發展階段對於功能(Function)之建置、品質(Quality)與安全(Safety)之要求整理出軟體發展法規需求架構,如圖(二)所示。相關需求分為四個層級,即法規、法規指引、工業標準及技術報告。
同時,依圖(二)所示,在軟體各發展階段作業所遵循之重要相關指引與標準簡述如下:
(一) 軟體發展生命週期: R.G. 1.173 (Endorse IEEE 1074-1995)
(二) 軟體需求階段: R.G. 1.172 (Endorse IEEE 830-1993)
(三) 各階段之軟體驗證與確認作業: R.G. 1.168 (Endorse IEEE 1012-1986及IEEE 1028-1988)
(四) 各階段之軟體構型管理作業: R.G. 1.169 (Endorse IEEE 828-1990及1042-1987)
(五) 軟體單元測試: R.G. 1.171 (Endorse IEEE 1008-1987)
(六) 在各階段之軟體安全分析: IEEE 1228-1994,NUREG 6430
(七) 軟體維護階段: IEEE 1219-1992
(八) 軟體測試文件: R.G. 1.170 (Endorse IEEE 829-1983)
(九) 軟體檢證作業: EPRI TR-106439
(十) 上述軟體發展各階段所有作業對於核能法規、指引以及工業標準需為更詳細之補充說明可參考NUREG CR-6101。
參、龍門計畫安全系統儀控軟體發展作業
龍門計畫儀控系統採數位化方式,透過軟體來執行整廠之保護、控制、顯示及警示等功能。此整廠儀控系統係由奇異公司核能部門負責整合,故GENE除了執行系統整體概念設計與反應器保護系統之細部設計外,許多細部設計與建置(Implementation)工作交由下包廠商來完成。目前,所有安全系統除ESF系統是由DRS(前身為Eaton)承包外,全部是由GENE轄下的NUMAC負責軟體設計與製作。
同時,台電在PSAR提出時向原能會承諾龍門計畫安全系統之儀控軟體發展作業係依BTP-14之要求來執行。經由上節對於BTP-14之簡述可清楚瞭解安全系統之軟體發展作業可分三個主要活動,即
l 制定軟體計畫書
l 產出設計輸出文件
l 程序建置(即評估及審查設計輸出文件)
本節擬依此三個活動之作業分別對GENE、NUMAC及DRS公司之軟體執行作業詳加說明,並與BTP-14之要求加以比較後,再說明其符合情形:
一、軟體生命週期程序計畫書之制定(Process Planning)
軟體發展作業第一個主要活動是在軟體計畫階段制定軟體計畫書,以管制軟體發展作業。
(一) BTP-14之要求
依BTP-14之要求,軟體計畫階段如圖(一)所示,應提出:
1. 軟體管理計畫書(Software Management Plan, SMP)
2. 軟體發展計畫書(Software Development Plan, SDP)
3. 軟體品質保證計畫書(Software Quality Assurance Plan, SQAP)
4. 軟體整合計畫書(Software Integration Plan, SIP)
5. 軟體安裝計畫書(Software Installation Plan, SIP)
6. 軟體維護計畫書(Software Maintenance Plan)
7. 軟體訓練計畫書(Software Training Plan, STP)
8. 軟體運轉計畫書(Software Operations Plan, SOP)
9. 軟體安全計畫書(Software Safety Plan, SSP)
10. 軟體驗證與確認計畫書(Software Verification and Validation Plan, SVVP)
11.軟體構型管理計畫書(Software Configuration Plan, SCMP)
但在BTP-14本文中亦說明,請照者對上述每個主題(Topic)可被涵蓋在其計畫內之其他文件內,而勿需每個主題皆發展其個別之文件。
(二) GENE(NUMAC)軟體計畫書
GENE在發展儀控系統軟體作業前依BTP-14要求完成下述相關軟體計畫書:
1. 龍門DCIS軟體管理計畫書(SMP)
2. 龍門DCIS軟體構型管理計畫書(SCMP)
3. 龍門DCIS軟體驗證與確認計畫書(SVVP)
4. 龍門DCIS軟體安全分析計畫書(SSP)
5. 龍門DCIS軟體緊要控制軟體發展計畫書( Software Essential Controls Software Development Project Plan, SECSDDP)
6. 龍門DCIS軟體獨立驗證與確認計畫書(SIVVP)
7. 龍門DCIS/NUMAC軟體測試計畫書(Software Test Plan)
其中NUMAC是GENE下包廠家,其軟體發展作業完全依照GENE軟體計畫書執行。
(三) DRS軟體計畫書
DRS係依GENE所頒佈之上述軟體計畫書發展出DRS在龍門計畫使用之軟體計畫書:
1. 龍門計畫計畫書(Lungmen Project Plan)
2. 設計輸入需求(Design Input Requirements)
3. 系統設計規範書(System Design Basis Specification)
4. 品質計畫書(Quality Plan)
5. 軟體發展/軟體品質保證計畫書(SDP/SQAP)
6. GENE To Eaton Document Mapping
7. 軟體構型管理計畫書(SCMP)
8. 軟體驗證與確認計畫書(SVVP)
(四) 討論
由上述可瞭解BTP-14在軟體計畫階段所要求之軟體計畫書共11份,而GENE(NUMAC)及DRS各準備7份與8份軟體計畫書。如龍門DCIS軟體緊要控制軟體發展計畫書第6.1.1.1及6.1.3.2.1.1節所示。同時,對於軟體發展作業因台電與GENE合約僅涵蓋到設備交運到台電為止(即完成軟體確認作業階段),故台電亦另準備軟體安裝、訓練、維護及運轉計畫書以補足其所需。
GENE(NUMAC)與DRS皆因本身已是很成熟的軟體發展廠家,已有完備與固定之軟體計畫書編寫格式。此兩廠家為龍門計畫所準備之軟體計畫書皆在其基本格式下納入BTP-14之要求。同時,GENE(NUMAC)提出與BTP-14之軟體計畫書對照表供台電查對。而DRS是GENE下包廠家,也依GENE之軟體計畫書與內容提出DRS/GENE之軟體計畫書與軟體各發展階段相對應之產出文件對照表。此二表格亦經過台電OIVVT(業主獨立驗証與確認小組)及GE IVVT審查並接受。
GENE(NUMAC)及DRS雖與BTP-14有不同主題之軟體計畫書,但BTP-14所要求之軟體計畫書內容皆已被納入GENE(NUMAC)與DRS之軟體計畫書內。同時,亦符合BTP-14本文第2節敘述“請照者對每個主題之軟體計畫書可被涵蓋在其計畫內之其它文件內而勿需每個主題皆發展其個別之文件”之精神與要求。
二、軟體生命週期程序設計輸出文件之產出(Design Output)
軟體發展作業第二個主要活動是依所制定之軟體計畫書在軟體生命週期各階段產出軟體設計輸出文件。
(一) BTP-14之要求
依BTP-14之要求軟體生命週期各階段產出軟體設計輸出文件如圖(一)所示,應提出:
1. 軟體需求階段:軟體需求規範書(SRS)
2. 軟體設計階段:軟體設計規範書(SDS)、硬/軟體架構說明(SAD)
3. 軟體建置階段:程式碼目錄(Code Listing)
4. 軟體整合階段:System Build Document
5. 軟體驗證階段:未列出
6. 軟體安裝階段:運轉手冊、維護手冊、訓練手冊及安裝構型表(Installation Configuration Table)
7. 運轉與維護階段:未列出
(二) NUMAC軟體設計輸出
GENE NUMAC是負責安全等級SSLC/RTIF、NMS、PRMS、CMS、SLC及部份Reliability(R)等級 (如RCIS)之儀控系統的軟體設計與製作。除SSLC/RTIF系統是以現有NUMAC系列產品為基礎採部份新設計軟體外,其餘安全系統NMS、PRMS、CMS、SLC及相關R級系統皆採用在核電廠已有使用過實績(proven)之已發展軟體(Previously Developed Software, PDS)。僅依台電規範書要求在現有之PDS上執行些微之修改。
同時,NUMAC軟體發展係採傳統之Waterfall方法從軟體需求、設計、編碼、測試等階段之軟體生命週期方式發展。其軟體生命週期每階段產出之設計輸出文件如圖(三)及對照龍門DCIS軟體緊要控制軟體發展計畫書第6.1.3.1, 6.1.3.3, 6.1.2, 6.1.6~6.1.9節所示,簡列如下:
1. 軟體需求階段:硬/軟體規範書(HSS)、軟體測試計畫書(STP)、系統方塊圖(SBD)、儀器效能規範書(IPS)、子系統連結圖(SSS)、外部資料通訊協定規範書(EDCPS)、使用者手冊(User Manual)
2. 軟體設計階段:軟體編寫指引(SC&GD)、軟體設計規範書(SDS)、內部資料通訊協定規範書(IDCPS)、驗證測試程序書
3. 軟體建置階段:原始程式碼(SC)及模組測試報告(MTR)
4. 整合測試階段:整合與安裝測試報告(含System Build DeScription及整合測試資料)
5. 驗證測試階段:驗證測試報告
6. 修改控制階段:有關需修正之文件
(三) DRS軟體設計輸出
DRS是負責ESF之安全功能及安全有關儀控系統(包括ESF及NUMAC)在控制室螢幕顯示單元(Video Display Unit, VDU) 上之資訊顯示之細部設計與製作。故,DRS負責之軟體發展作業可分為二大部份:
1. ESF安全功能之軟體建置
此部份軟體發展非依傳統軟體設計方式,而是將GENE設計完成之控制邏輯圖(Control Logic Diagram, CLD)透過軟體工具(OrCAD)轉換為功能連結圖(Functional Interconnection Diagram, FID)。此FID再透過DRS Plus 32系統之軟體轉換為可執行程式,再燒製為EPROM。同時,此FID EPROM在執行ESF功能時亦是配合Plus 32系統之軟體執行。故,其軟體生命週期每階段產出之設計輸出文件如圖(四)及對照龍門DCIS軟體緊要控制軟體發展計畫書第6.1.3.2節所示,簡列如下:
(1).軟體需求階段:軟體需求規範書(SRS)、通訊協定規範書(CPS)
(2).軟體設計階段:軟體設計文件(SDD)、軟體測試計畫書(STP)、程式碼編寫指引(PSG)
(3).軟體建置階段:程式館(Lab Notebooks)、建置測試計畫書(ITP)及原始程式碼目錄文件(SCLD)
(4).測試階段:模組測試報告(MTR)、軟體測試報告(STR)及原始程式碼目錄文件(SCLD)
(5).安裝及查核階段:廠家驗收測試報告(FATR)
(6).運轉與維護階段:相關改版文件
2. VDU之軟體建置
龍門計畫安全系統VDU之軟體在DRS公司大部份係新發展(約90%),此VDU是顯示所有安全系統螢幕畫面,且允許運轉員在螢幕上直接操作畫面顯示元件(Display Primitive, DP)來監視與控制電廠相關設備,如閥門(Valve)與泵(Pump)等。
VDU軟體依其功能是由VDU作業系統、VDU診斷子系統及VDU畫面操控子系統所組成。其軟體40%是透過人工發展,而60%是在人工發展之軟體下配合相關軟體工具及相關資料庫整合而自動產生原始程式碼。其透過人工發展之軟體是依傳統之Waterfall方法執行,故在軟體生命週期各階段之產出軟體設計輸出與參.二.(三).1所述相同。
(四) 討論
NUMAC與DRS公司在核能工業是成熟且已有使用實績之軟體發展廠家,皆具有已成熟之軟體發展模式與符合BTP-14軟體設計輸出文件之產出,簡述如下:
1. NUMAC是依BTP-14之傳統軟體發展模式執行龍門計畫安全系統數位儀控軟體發展工作,包括軟體需求、設計、編碼及測試等軟體生命週期,故其軟體發展各階段產出之設計文件經比對與BTP-14要求完全符合。
2. DRS公司前身為Eaton公司,Eaton公司以前是長期承包美國軍方合約,故其軟體發展皆依美國軍規執行。又DRS公司從Eaton公司買下電廠控制部門(Power Plant Control, PPC)而成立DRS Power & Control Technologies INC.。
同時,DRS公司擁有原由Eaton PPC依據10 CFR 50 App. B及NQA-1品保計畫,成功發展Plus 32系統做為數位化儀控系統之平台,以及以FID建置各安全系統之控制邏輯功能之能力。此平台系統與FID發展系統具有在核能安全等級之實際使用實績(Proven),如韓國核電廠Ulchin #3、#4及Yonggwang #5、#6。在龍門計畫GENE採用此Proven之Plus 32作為ESF系統之儀控平台系統。
另外,DRS公司在2003年12月亦取得Software Engineering Institute(SEI) Capability Maturity Model (CMM)第3級之認可,在軟體發展之品質方面具有一定水準之上。以下擬對DRS 在龍門計畫軟體發展過程之Plus 32平台系統、FID及VDU軟體輸出文件之產出做一簡述:
(1).Plus 32平台系統與VDU系統
A. Plus 32 平台系統由DRS發展成功並分別自1998年起在韓國Ulchin核電廠,及2002年起在Yonggwang核電廠之安全系統順利運轉,是一具有使用實績(Proven)的安全系統平台。同時,龍門計畫Plus 32系統採用之軟體約90%為PDS,10%為新發展軟體。
B. VDU軟體係依Eaton在美國軍方自1997年即已開始使用之畫面顯示基礎下,發展龍門計畫之畫面顯示及觸摸控制螢幕。
A.(A).VDU作業系統是仿照Plus 32作業系統設計及改進;其軟體約10%為PDS,90%為新發展軟體。
(B).VDU之顯示與控制之應用軟體為全新發展,並依GENE所提CLD, DCT, I/O DB、DPDS及安全系統畫面需求規範書等設計輸入文件建置而成。
C.PDS
Plus 32 平台系統軟體約90%為PDS軟體,此PDS之軟體發展是依Eaton PPC’s 10 CFR 50 APP.B及NQA-1 Quality Assurance Program所發展。其軟體是依BTP-14之傳統軟體發展模式執行,從軟體需求、設計、編碼及測試等軟體生命週期之發展方式執行,故其軟體發展各階段產出之設計文件可完全符合BTP-14要求。同時,此系統之硬體架構與平台已在韓國2個核電廠有使用過之實績(proven)並有成功之運轉經驗,龍門計畫對此PDS軟體僅有小部份修改。此外,DRS針對龍門計畫之應用亦提送PDS之Proven Technology Report給GE IVVT及台電OIVVT審查及評估,故此PDS之軟體設計輸出文件是符合BTP-14之要求,其結果為可接受。
D. 新發展之軟體:
包括前述Plus 32有10%新發展軟體、VDU作業系統有90%及VDU之顯示與控制之全部軟體,其軟體發展係遵循龍門計畫適用之相關法規與標準如R.G.1.168~1.173與BTP-14等之要求發展;且其品質亦是遵循10 CFR 50 APP. B之要求執行,此設計程序及文件並經GE IVVT與台電OIVVT審查與現場稽查為可接受,其軟體設計輸出文件符合BTP-14之要求是為可接受。
(2).FID(Functional Interconnect Diagram)
ESF之系統功能建置係為配合龍門計畫之特定設計為全新發展,其發展程序係先將各安全系統之控制邏輯圖(CLD)以軟體工具OrCAD轉為FID,並透過Plus 32系統之FIDC (FID Compiler)轉換為C語言再燒製為軔體(Firmware)放入模組中執行其功能。故其發展與建置過程屬硬體設計,均經10 CFR 50 App. B與NQA程序執行。
其雖非軟體設計模式,而無法依傳統軟體發展模式確切執行軟體需求、設計、編碼及測試等作業以產出相關軟體設計輸出文件,但其最終之邏輯功能是透過Plus 32系統之軟體來顯現,故ESF各安全系統之輸出文件除FID及FID測試報告外,其它是以Plus 32系統之軟體設計輸出文件來顯現。
綜合上述,NUMAC及DRS在龍門計畫軟體發展過程所產出之軟體設計輸出文件是符合BTP-14要求。
三、軟體生命週期程序之建置(Processing Implementation)
軟體發展第三個主要活動是依所制訂之軟體計畫書對各階段之設計輸出執行評估及審查,以證實其設計輸出是可接受。
(一) BTP-14要求
依BTP-14之要求是對軟體生命週期各階段產出之設計輸出執行審查及評估,並提出相關之審查報告,如圖(一)所示。依此活動應執行:
1. 軟體安全分析
2. 驗證與確認
3. 構型管理
上述3個作業之報告可以用一份或多份報告來說明,但對軟體生命週期之軟體需求、設計、製作、整合、驗證與確認、安裝及運轉與維護各階段的文件皆要執行評估與審查。
(二) NUMAC程序之建置(即設計輸出之評估及審查)
1. 軟體安全分析
有關在NUMAC對所發展之軟體設計輸出執行軟體安全分析部分,因NUMAC所負責之安全系統軟體發展除SSLC/RTIF之軟體大部分採用新發展外,其它NMS/CMS/PRMS/SLC等系統皆採用PDS。涉及NUMAC軟體安全分析之評估及審查工作,包括NUMAC軟體設計小組、GE SSA小組、GE IVVT及台電OIVVT其參與之工作概況,簡述如下:
(1).SSLC/RTIF
A. NUMAC 軟體設計小組
因,此系統之應用軟體大部份係新開發,故在軟體需求與設計階段,其設計規範書皆已納入對軟體安全之考量。如軟體需求階段之Critical Analysis、Timing Analysis及Abnormal Condition Events等,以及在軟體設計階段納入軟體安全設計指引等。
B.GENE SSA小組
GENE SSA對此系統提出
(A).SSLC/RTIF風險分析與深度防禦評估報告
(B).軟體各階段之異常狀況事件(ACE)分析報告,其皆以失效模式與影響分析(FMEA)方法執行
C.GENE IVVT小組
GENE IVVT小組對GE SSA小組所產出之軟體安全分析報告皆依IVVP執行獨立之審查並將其審查紀錄納入IRT追蹤系統(IRT ReTrad)之資料庫內可供查閱。
D.台電OIVVT小組
GE SSA小組完成之軟體安全分析報告皆須送台電OIVVT小組審查,所有審查意見均逐項追蹤並接受後才結案。
(2).NMS/CMS/PRMS/SLC
因NMS/CMS/PRMS/SLC等系統之軟體採用PDS,故對軟體安全分析之執行與審查除在NUMAC軟體設計小組未特別在軟體規範書納入相關安全議題以及GENE SSA小組未對軟體各發展階段執行ACE分析外,其餘皆與SSLC/RTIF系統一樣。其理由除了PDS很難再將以前已完成之軟體設計再逐項執行ACE分析外;同時,GE IVVT顧問CDA(Computer Dependability Associates)之Dr. Gary Johnson及Dr. Dennis Lawrence與OIVVT顧問MPR亦認為可接受,其理由為:
A. 此PDS依10 CFR 50 App.B之QA要求發展。
B. 此PDS已被NRC所接受。
C. 此PDS已經廣泛使用在運轉中之BWR核電廠,獲得證明其使用實績。
D. 龍門計畫NMS/CMS/PRNMS/SLC僅小部分修改
(A).對設計與編碼之影響可經由V&V評估認可
(B).在GENE PDS 之評估報告已有很詳細的分析
(C).故,進一步的分析並無多大效用
台電亦自94年以來陸續提送SSLC/RTIF,NMS/CMS/PRMS以及ESF之HPCF與SRV/ADS之軟體安全分析台電審查報告給原能會核備。
2. 驗證與確認分析及測試報告
對於NUMAC在安全儀控系統各軟體發展階段所產出之軟體設計輸出皆需執行驗證與確認作業,由下述各相關單位執行,簡述如下:
(1).GENE NUMAC軟體設計小組
A. 對於每階段軟體設計輸出依龍門SVVP要求執行內部驗證與確認(Internal V&V)並提出審查報告。
B. 對於Acquired software如軟體發展工具,PDS等執行評估並提出評估報告。
(2).GENE IVVT小組
A. 成員:GENE IVVT是由GENE服務部門(非龍門計畫部門)之員工抽調組成,以符合Third-party之要求,台電亦派代表參與。
B. 作業:IVVT小組依龍門獨立驗證與確認計畫(IVVP)要求執行作業如下:
(A).依R.G. 1.168之需求編寫龍門獨立驗證與確認計畫(IVVP)。
(B).依NUREG/CR-6101準備軟體發展各階段設計輸出文件之審查查核表。
(C).審查GENE NUMAC軟體各發展階段之內部V&V報告、Acquired software評估報告及軟體安全分析報告。
(D).依BTP-14要求對龍門軟體計畫書(SMP, SVVP, SCMP, SSP等)以及需求階段之軟體需求規範書執行100%審查。
(E).依取樣準則選取在設計、編碼、測試階段之設計輸出文件執行獨立審查。
(F).規劃GENE IVVT作業追蹤系統(ReTrad),此追蹤系統負責記錄IVVT所有驗收準則、評估及審查紀錄、會議紀錄、異常項目、懸案報告以及現況報告。並可透過此追蹤系統對異常之懸案項目執行追蹤。故,IVVT所有活動與審查紀錄皆可在IRT追踪系統(IRT ReTrad)查閱。
同時,GENE IVVT另聘Computer Dependability Associates(CDA)顧問公司負責審核GENE IVVT執行策略、GENE準備之IVVP以及各軟體發展計畫;同時,評估IVVT在軟體各發展階段執行IV&V作業之效能(Performance)以及支援法規與標準之解讀等相關工作。
(3).台電業主獨立驗證與確認小組(OIVVT)
A. 成員:OIVVT是由台電聘雇之MPR公司、台電公司、核研所等單位所組成。除台電提出特定的需求項目要求執行外,整個團隊是由MPR負責推動執行各項IV&V作業。
B.OIVVT執行之IV&V工作如下
(A).文件審查
依原能會要求以扮演自我管制角色的方式,執行BTP-14第B.4節審查程序所定之審查功能,使GENE及其下包廠家在各軟體發展階段所發展之軟體及應用之法規與標準皆能符合BTP-14第B.3所訂之驗收準測。
(B).廠家現場訪談(Site Visit)
OIVVT成員定期赴GENE及其下包廠家訪談,查核及檢驗其軟體發展之計畫、方針及程序是否有遵照相關法規之要求執行。目前共執行50次廠家訪談並將每次訪談之報告送原能會核備,此訪談將分散到軟體發展各階段之執行。
(C).循線稽查(Thread Audit)
尋線稽查的目的是從相關文件與設計過程去追查、評估其需求與設計是否相符。挑選循線稽查項目之原則是根據功能需求、透過危害評估(Hazard Assessment)、風險評估(Risk Analysis)、參酌審查相關文件、MPR過去執行與特定之考量以及台電特定要求項目而訂定。目前共執行85個循線稽查,其項目分散到軟體各發展階段。
(D).階段報告
在每一軟體發展階段完成後,OIVVT即準備一份完整的階段完成報告送管制單位備查。此報告涵蓋OIVVT執行上述作業所產生之文件審查報告、廠家現場訪談報告及循線稽查報告內容。執行過程所發現之異常項目均建立異常報告並由台電移送至GENE及其下包廠家追蹤管制,直至改正到可接受為止。
3. 構型管理
獨立審查小組(Independent Review Team, IRT)下之軟體階段完成審查小組(Baseline Review Team, BRT)在軟體每階段完成後召開階段完成審查會議,由BRT、IVVT及NUMAC設計小組成員參加。以確認在此階段
(1).所有設計輸出及相關評估與審查報告(PDS,IV&V,SSA等)皆已完成
(2).所有懸案皆已結案
BRT審查完成後會提出BRT Summary、BRT Comment及Open Item(如有的話)等報告並存於IRT之ReTrad資料庫供追踪。
故每階段待上述之(1)與(2)項完成後,再進入下一階段作業,OIVVT亦於赴廠家訪談時查驗GENE及NUMAC是否依軟體構型管理計畫書之要求執行。
(三) DRS程序之建置(即設計輸出之評估及審查)
1. 軟體安全分析之執行與審查
有關在DRS對ESF系統所發展之軟體設計輸出執行軟體安全分析部分,因DRS所負責之ESF安全系統軟體發展除VDU之軟體大部分是新發展外,其它Plus 32系統之軟體皆採用PDS。涉及DRS軟體安全分析之評估及審查工作,包括DRS軟體小組、GE SSA小組、GE IVVT小組及台電OIVVT其參與之工作概況,簡述如下:
(1).DRS對軟體安全分析之執行
A. DRS之PDS與新發展軟體
(A).Plus 32系統採用之軟體約90%為PDS,10%為新發展軟體.。
(B).VDU系統採用之軟體約10%為PDS,90%為新發展軟體。
B. DRS對PDS及新發展之軟體皆依IEEE 7-4.3.2之要求執行ACE分析。
(2).GENE對軟體安全分析之執行
GENE對ESF各安全系統及其有關Plus 32與VDU系統皆執行風險分析與深度防禦評估,且對VDU各軟體發展階段亦依IEEE 7-4.3.2之ACE要求執行分析,GENE對上述各軟體安全分析皆採FMEA方法來執行。
(3).GENE IVVT小組對軟體安全分析之審查
依龍門DCIS獨立驗證與確認計畫(IVVP)要求,安全系統及VDU各軟體發展階段之軟體安全分析報告完成後,須送GENE獨立驗證與確認小組(IVVT)審查,其審查意見需由GENE SSA小組解決後方可結案。
(4).台電OIVVT審查
A. 台電OIVVT對GENE所提ESF與VDU之風險分析與深度防禦評估報告、各軟体階段之VDU SSA ACE 報告以及各相關共同文件(Plus 32系統平台)之SSA評估報告皆依相關法規與工業標準進行審查;同時,對風險分析與深度防禦評估報告特別加入核能安全分析專家對於GENE在系統與全廠層級對各假設軟體失效所引起之風險及相對之緩和功能及分析是否正確特別加重審查。
B. 對於VDU軟體各階段之ACE審查,是依IEEE 7-4.3.2-1993 App. F ACE辨識與解決之要求來審查GENE所提VDU SSA ACE報告。GENE各軟體發展階段執行ACE之方法與步驟皆詳列在各階段SSA報告中供查閱與追蹤,以確認其符合IEEE 7-4.3.2-1993標準之要求。
C. ESF各系統所有相關之SSA 評估報告皆已送台電OIVVT審查並提出意見,台電對GENE回覆OIVVT審查意見均逐項追蹤並接受後才結案。
D. 台電OIVVT小組除審查DRS/GENE所提軟體安全分析報告外,亦赴DRS與GENE廠家稽查其相關SSA紀錄,結果與報告所述相符。
E. GENE SSA作業除透過上述OIVVT與IVVT審查程序管控外,台電亦另撥預算從94~96年(共3年)由核研所執行”軟體安全分析平行驗證”計畫,對所有DCIS安全儀控系統以取樣方式選取RTIF(NUMAC)與HPCF(DRS)兩系統獨立執行系統之風險分析、軟體需求、設計、編寫程式碼一路到軟體測試完成以與GENE之SSA作業及結果作平行驗證,以確認GENE對所有安全儀控系統在軟體發展階段之SSA作業是符合法規與標準要求。核研所工作同仁並分別於95與96年赴NUMAC與DRS針對RTIF與HPCF系統之SSA作業執行循線稽查(Thread Audit),稽查結果與GENE所提之RTIF與HPCF SSA報告所述相符。
2. 驗證與確認及測試報告
對於DRS在安全儀控系統各軟體發展階段所產出之軟體設計輸出皆需執行驗證與確認作業,由下述各相關單位執行;簡述如下:
(1).DRS公司
DRS核能品質保證小組(NQA)依DRS所準備之軟體V&V計畫書(SVVP)執行軟體V&V審查,並將其審查報告、Test Summary報告與異常狀態事件(ACE)分析彙總為V&V Summary報告送GE IVVT及台電OIVVT審查。
(2).GE IVVT小組
其組織為獨立審查作業,與參、三、(二)、2(2)節所述之GE IVVT所執行之工作相同,不再贅述。
(3).台電OIVVT小組
其組織為獨立審查作業,與參、三、(二)、2(3)節所述之台電OIVVT所執行之工作相同,不再贅述。
3. 構型管理
DRS之軟體設計輸出文件與相關審查報告在每階段完成後皆依DRS軟體構型管理計畫(SCMP)之要求執行文件釋出(Release)、存檔及構型控制等。同時,OIVVT亦於赴廠家訪談時確認GENE及DRS已確實依軟體構型管理計畫書之要求執行。
(四) 討論
1. 軟體安全分析作業
GENE是依軟體安全計畫書(SSP)執行軟體安全分析,除對於RTIF及VDU系統在各個軟体發展階段採用FMEA方法執行ACE之軟體安全分析外,同時,亦特別針對龍門計畫DCIS所有安全系統及DRS Plus 32平台系統執行風險與深度防禦評估,以証明各安全系統之安全關鍵功能在假設軟体失效下,其系統及全廠層級皆已有適當之設計予以阻止或緩和其失效衝擊,並說明其失效之後果皆已涵蓋在電廠現有之Licensing Basis內。同時,所有GE之SSA 評估報告皆送GE IVVT及台電OIVVT審查並提出意見,台電對GENE回覆OIVVT審查意見均逐項追蹤並接受後才結案。此外,台電亦另撥預算執行“軟體安全分析平行驗證”,並選取RTIF及HPCF兩重要系統,獨立執行系統之風險分析、軟體需求、設計、編寫程式碼,一路到軟體測試完成,以與GENE之SSA作業及結果作平行驗證,証實GENE對安全儀控系統在軟體發展階段之SSA作業是符合法規與標準要求。
最後,亦陸續提送RTIF、HPCF及SRV/ADS等系統之SSA審查報告送原能會核備。
2. 驗證與確認作業
NUMAC與DRS除各依SVVP執行Internal V&V外,亦由GE IVVT依R.G. 1.168編寫之IVVP執行IV&V作業。此外,台電OIVVT亦依BTP-14 Section 3.2要求扮演自我管制角色執行文件審查、廠家現場稽查及循線稽查等作業;並將每次赴廠家之稽查報告送原能會核備。以確保廠家之軟體發展作業有依BTP-14要求執行。
同時,原能會亦不定期配合台電OIVVT赴廠家執行稽查與觀察(Observation);以確保廠家之軟體發展作業有依BTP-14要求執行。
3. 構型管理
NUMAC與DRS除各依台電已審查核准之SCMP執行軟體構型管理作業外,GE IVVT亦於NUMAC完成軟體發展各階段之作業時將,相關文件提送階段完成審查小組(Baseline Review Team, BRT)執行階段完成審查。BRT審查同意後,再將此審查紀錄存於IRT Retrad追蹤系統(此追蹤系統巳安裝在台電,並每月將資料庫內容送台電更新供追蹤)。同時,台電亦於OIVVT赴廠家稽查時查驗NUMAC及DRS是否有依SCMP執行,稽查結果是否可接受。
綜合上述,NUMAC及DRS在龍門計畫軟體發展過程所執行軟體生命週期之程序建置的作業是符合BTP-14要求。
肆、台電提升自我管制之相關作業
台電為確保龍門計畫軟體品質符合BTP-14之要求,從1997年龍門計畫安全系統儀控軟體之發展廠家陸續展開工作以來,陸續編列預算執行下述專案工作與研發案,來支援軟體品質之審查與稽核等作業,以自我管制之方式提升軟體品質:
一、「龍門計畫數位儀控系統軟體設計文件審查」專案
(一)目的:本專案之目的即為委託核研所協助台電公司執行龍門計畫數位儀控系統軟體設計文件之審查工作,藉由審查軟體設計文件產出之程序及內容,協助台電公司找尋不符合法規與台電規範書要求之處、文件前後不一致的問題、設計及測試不嚴謹的地方等,要求GE公司提出澄清說明或修正,以確保龍門計畫數位儀控系統設計過程產出之軟體文件符合法規要求。
(二)範圍:本計畫工作範圍涵蓋龍門計畫5個安全儀控系統(RTIF,NMS, PRMS, CMS及ESF)及5個R等級儀控系統(SBPC, FWCS, RFCS, APR及RC&IS)軟體發展全程設計文件之審查。
(三)執行方式:執行審查作業前,先將相關法規、指引、工業標準之內容轉換為對應之待檢查問句形式,供文件審查工程師做為執行審查工作時之依據。文件審查工程師針對待審查文件內容所涵蓋之各項相關技術議題,評估其正確性與完整性;若審查文件內容複雜且涉及多家廠商,則召集相關專長工程師開審查會議,由負責審查之工程師報告其審查發現,經由全體討論同意後列入審查意見表中轉送台電。
(四)工作成果:本計劃自民國88年8月~96年12月已完成龍門計畫數位儀控系統規劃階段、設計定義階段、軟體設計階段、軟體程式碼階段、整合測試階段及確認測試階段之軟體設計文件、安全相關系統之軟體安全分析報告以及軟體驗證與確認報告約六百餘份文件。
二、「龍門計畫數位儀控系統軟體業主獨立驗証與確認」專案
(一)目的:本專案之目的為落實龍門計畫安全系統儀控軟體之驗証與確認作業符合R.G. 1.168, Section 3有關時程與Resource(包括組織、預算及技術等)獨立性之需求,台電除要求GE IVVT小組人員需獨立於GENE龍門計畫設計團隊外之第三者外;亦另成立業主獨立驗証與確認小組(OIVVT)執行獨立驗証與確認作業,除落實龍門計畫安全系統儀控軟體驗証與確認之獨立精神外,更增進各方對於軟體發展作業之V&V信心。
(二)範圍:本計畫工作範圍涵蓋龍門計畫5個安全儀控系統(RTIF,NMS,PRMS, CMS及ESF)及5個R等級儀控系統(SBPC,FWCS,RFCS,APR及RC&IS)軟體發展之獨立驗証與確認作業。
(三)執行方式:除台電另有特定議題要求執行驗証與確認外,整個團隊是由MPR負責推動執行各項獨立驗証與確認作業,簡述如下: