2004 년도안전기술정보회의 DPPS 상용인증품질활동에대한평가 황희수 안전평가부계측제어실한국원자력안전기술원
발표순서 1. 서론 2. 디지털상용인증기술기준 3. Common Q 와 Teleperm XS NRC 인증내용비교 4. DPPS 상용인증및심사내용 5. 결론 2
1. 서론 가동및신규원전의안전계통계측제어설비는아날로그에서디지털설계로변화되고, 원자력등급의제조업체감소로인하여상용디지털설비를상용인증프로그램에따라원자력등급으로상향조정하여발전소에적용하는추세임. 울진 5,6 호기 DPPS/DESFAS-AC 설계는산업용으로개발된디지털 PLC 기반이며, 동 PLC 검증에는상용등급인증프로그램이포함되어있음. 울진 5,6 호기 DPPS/DESFAS-AC AC 상용인증내용이관련기술기준에따라제작및설계과정의품질보증내용을적합하게검증하였는지를안전심사지침에규정된내용및관련기술기준을기반으로심사하였음. 응용소프트웨어개발과관련하여수행된수명주기활동은원자력 QA 절차를적용하였으므로동인증내용에포함하지않았음. 울진 5,6 호기디지털상용인증심사내용을기반으로후속설비의인증심사에활용. 본자료는울진 5,6 호기 DPPS/DESFAS-AC 상용인증내용에대하여심사한사항을기술하였음. 3
2. 디지털상용인증기술기준 원자로시설등의기술기준에관한규칙 o 제 40 조 ( 성능검증부품의사용 ) 10CFR 21.3 상용등급품인증내용 NRC Generic Letter 89-02,91 02,91-05 05 IEEE 7-4.3.2, 5.3.2 절및부록 D EPRI NP-5652, TR-102260, TR-106439, TR- 107330 NUREG/CR 6421 경수로형안전심사지침 7장 KINS 원자력품질보증지침집기본요건 7 구매품목및용역의관리 에상용제품적용기준을일부제시 안전성품목에대한일반규격품대체적용에관한지침 ( 안 ) : KINS 지침으로작성 : 과기부승인요청중 4
2-1. IEEE 7-4.3.2 디지털상용등급인증요건 5.3.2 절 기성상용컴퓨터의품질 (2 가지품질검증방법제시 ) (1) 상용등급제품을인증대행기관이검증 (2) IEEE 7-4.3.2 요건에따라개발되지않은컴퓨터를개발한제조업자가검증 검토기준 (IEEE 7-4.3.2 4.3.2-1993) 검증절차는안전기능확보에필요한기능및성능요건을명시 안전기능을수행하는컴퓨터하드웨어, 소프트웨어, 펌웨어등이검증과정에포함되어야하고, 이용가능한증거물및공학적판단을근거로수락 소프트웨어개발공정의누락요소를대체하는보상인자사용 ( 발표자료 2.5 절참조 ) 인증과정은형상관리적용 부록 D " 기성상용컴퓨터의품질 참조 IEEE 7-4.3.2 4.3.2-2003 2003 의상용인증내용 (5.4.2 절, 부록 C) 은 IEEE- 7-4.3.2 4.3.2-1993 부록 D, EPRI TR-106439 방법을보완하였으므로적용가능함. 5
2-2. 2. EPRI NP-5652 인증방법 의도하는기능을수행할것이라는합리적인확신을근거로인증 합리적인확신 구매자또는제3 기관이필수특성을확인하여검사, 시험또는분석을통해적합성확인 상용등급조사, 제작공정의중간확인점에서제품검사또는시험입회, 제품이력분석을통한성능확인 - 수락방법 ( 각각또는조합 ) 1 방법 1 특별시험과검사 2 방법 2 공급자의상용제품에관한조사 3 방법 3 현장소스확인 4 방법 4 수락가능한업체 / 제품의성능기록 6
2-3. EPRI TR-106439 의인증방법 주된내용 기술적및품질요건을결정하고필수특성파악하는지침으로 NRC 승인 필수특성을확인하여디지털제품을인증하는방법 하드웨어상용등급인증절차 (EPRI NP-5652) 에디지털추가지침보완 EPRI TR-102348 및 IEEE 7-4.3.2 의규제측면을제시 적용분야 가동원전설비개선및신규원전 마이크로프로세서및연관소프트웨어또는펌웨어를사용하는상용등급장비 디지털장비를포함하는기계및전기기기 ASIC (Application Specific Integrated Circuit) 사업자또는인증대행기관에서인증가능 7
그림 2.3-1 디지털설비의인증방법 상용디지털설비의품질인증계획수립 ( 인증과정 : 원자력 QA 적용 ) 물리적특성 o 방법 1 로확인 o 주요특성 - 모델번호, 설비의치수 - HW/SW 개정번호및사양 - 인터페이스 ( 전원, 입출력, 통신특성등 ) - HMI 및프로그램인터페이스 성능특성 o 방법 1, 2, 4 로확인 o 주요특성 - 입출력처리, 시험 / 진단 - 응답시간, 정확도, 등 - 비정상 / 고장조건의요구성능 - 내진및내환경 - 전자파장해 - 운전이력 - HMI 성능및편리성 종속특성 o 방법 2,3,4 로확인추가활동필요 o 주요특성 - 신뢰성, 안전성, 가용성등 - 내장품질 ; 설계 / 제작품질, 고장관리, 운전원 / 보수원적합성 - 형상통제, 추적성 ; HW/SW/ 펌웨어 - 문제점보고 수락방법선정및평가 인증및원전설치 상용디지털설비의필수특성확인및인증 8
2-4. EPRI TR-107330 PLC 명세서요건 계통요건 기능요건, 하드웨어요건, 소프트웨어 / 펌웨어요건, HMI, 전기, 유지보수요건 제3 기관 /Sub Sub-Vendor 품목에대한요건수락 / 운영시험 Pre-Qualification Acceptance Test Operability Test, Prudency Testing Application Software Objects Acceptance Testing 검증시험및분석 검증시험 (Aging, EMI/RFI, Surge Withstand, 내진 ) 및분석 (FM FMEA, 전원, 인적요소등 ) 요건 시험중품질보증품질보증 품질보증요건 Legacy S/W 에대한보상 형상관리 / 문제점보고 / 추적요건문서화 9
2-5. 주요검토현안 평가노력의등급화 안전성의중요도와상응하는평가노력 잠재된고장의충격을근거로한결과의등급화 구성된부품의안전성중요도관점의등급화 COTS 소프트웨어평가시어려움 누락 (Missing) 문서의보상 공학적판단은특정문제에대하여주의깊고, 세심하게의문점을정의하고, 문서화하여동등한자격을갖는외부전문가또는조사에서동일한결론에도달하여야함. 대체방안 1) 운전경험 ( 예, 화력발전소, 화학공장, 석유시설등유사시설 ) 2) 개발문서의부족부분을보상하기위한추가시험 ( 예, 기능시험, 도전시험등 ) 및분석 3) 역엔지니어링과같은방법으로데이터재작성 4) IEEE 1012-1998 1998 Annex D 참조가능 예상되지않은기능 COTS 부품의적용시안전성에중요한특성및기능의검증이필요 의도되지않은기능들이수행되지않음을시험또는판매자시험기록을통하여확인 10
3. Common Q 와 Teleperm XS NRC 인증내용비교 Common Q WEC 는 ABB-CE 에서산업용으로개발한 AC160 모델을울진 5,6 호기등한국원전및미국의가동원전의안전등급에사용하기위하여상용등급품목으로인증함. 인증은 EPRI TR-106439(NP 106439(NP-5652 포함 ) 을기반으로 4 가지방법을적용하여하드웨어및소프트웨어 / 펌웨어관점에서구분하여인증을실시함. PLC HW/SW 계통요건, 성능시험, EQ 시험, 신뢰도확인방법, 수락시험등은 EPRI TR-107330 의일반요건을만족하였음. NRC 는 CGI 인증관점에서평가를실시함. 하드웨어품목은특별시험 ( 내진, 내환경, EMI/RFI) 으로검증. 소프트웨어품목은통신용소프트웨어펌웨어, 운영체제, 툴등을구분하여사안별로현장실사 ( 방법 2), 운전이력평가 ( 방법 4), 특별시험 ( 방법 1) 등으로추가확인, 응용소프트웨어는원자력품질보증을준수하여생산및관리를요구함. KINS 는 Common-Q 및울진 5,6 호기설계내용등에대하여특정기술주제보고서, FSAR 심사에서심층검토하여안전성평가함. 11
3. Common Q 와 Teleperm XS NRC 인증내용비교 Teleperm XS(TXS) Siemens 는자체생산 PLC 시스템을원자력규격으로검증하고 TXS 로명시, 유럽을포함한여러발전소에서사용중임. 외부구매 ASIC 등일부부품이상용등급품임. NRC 는평가시 CGI 인증측면보다는원자력등급의품질요건의만족여부에중점심사함. IEC 등유럽품질규격을사용하여검증되었으며, NRC 는이들규격이미국 (EPRI TR-106439, 107330 등 ) 의규정을만족하므로일반설계내용을승인함. 세부발전소적용시해당원전의특성에일치하는지를확인하도록요구함. 12
4. DPPS 상용인증및심사내용 4.1 계통설계개략도 4.1-1 발전소보호계통기본구성도 4.1-2 DESFAS-AC AC 기본구성도 4.1-3 FSAR 7.1.4 상용제품인증절차 4.2 WEC 인증내용 4.2-1 DPPS/DESFAS-AC AC 상용인증내용 4.2-2 기타인증설비 4.2-3 QPS 401.3, 상용디지털컴퓨터공급품질요건 4.2-4 AC-160 소프트웨어, S600 I/O 모듈펌웨어, 툴 4.3 심사내용 4.3-1 심사기준및주안점 4.3-2 기기검증시험결과검토 4.3-3 디지털장비의필수특성검토 4.3-4 심사보완요구내용 4.3-5 현장실사결과 4.3-6 상용인증심사결과 13
4.1-1 발전소보호계통기본구성도 14
4.1-2 DESFAS-AC AC 기본구성도 15
4.1-3 FSAR 7.1.4 상용제품인증절차 기성소프트웨어와상용등급디지털장비의품질은상용제품인증절차와확인 / 검증프로그램을거쳐안전등급계측제어계통에사용함으로써보장됨. 상용제품인증절차 : 가. 상용등급기기가안전등급계측제어계통의기능및성능요건을만족하는지에대한기술적평가나. 구매이후해당기기의요건을만족하는지검증다. 추가적인개조나수정, 시험을통한분석및조정 기성소프트웨어와상용등급디지털장비의수락에관한상세한정보는규제지침서 1.152( 디지털컴퓨터검증 ) 와 1.173( 수명주기활동 ) 을준용하고있음. 16
4.2-1 DPPS/DESFAS-AC AC 상용인증내용 DPPS/DESFAS-AC HW 상용인증보고서 (CD560-00) PM646A, CI631, TC514V2, AO610, AI620,DI620, DO620/630 DPPS/DESFAS-AC SW 상용인증보고서 (CD560-01) 하드웨어검증계획 (QP560-02) 상용디지털 HW/ SW 공급품질요건 (QPS401.3) HW/SW 기기공급협정 (BAAUT-99- ADVANT-01) 모듈 SW/ 펌웨어상용인증보고서 - CI 527 (ICE-37760) - PM 646A (ICE-37767) - AI 620 (ICE-37768) - AO 610 (ICE-37769) - CI 631 (ICE-37770) MTP Flat Panel Display - SW 인증보고서 (CD560-02) SW/ 펌웨어상용인증계획 (ICE-35486) 17
4.2-2 기타인증설비 기타하드웨어기기검증으로인증된설비 - Processor 19 Subrack - Expansion 19 Subrack -TC514 광섬유모뎀 -OZDV 114 광섬유모뎀 - TC625 wire 모뎀 -P8 P8-WDT24/PLC 감시타이머 18
4.2-3 QPS 401.3, 상용디지털컴퓨터공급품질요건 DPPS/DESFAS-AC AC 상용인증절차기술 제조업체품질확인미흡부분을전문엔지니어 엔지니어 (CENSYS/ABB CENSYS/ABB-EM) EM) 가인증 인증 내진시험, 내환경검증, 형식시험, SW 확인 / 검증등보충 HW/SW 기기에대한제조업체관리 - 기기운영, 동일기기 / 소프트웨어, 기기식별, 문서화 / 문서관리 - 문서의재생산 ( 소프트웨어포함 ) - 하드웨어 ( 진단, 성능시험, 환경시험, 기능시험, EMI/RFI 시험 ) - 문제점보고, 제조업체변경의통지, 교체및수리, SW 버전관리 - 바이러스보호, 소프트웨어개발과정, 제조업체 SW 변경의통지 - 소프트웨어시험내용입증 ( 코드검사, incremental Testing, System Testing, Beta Testing) 19
4.2-4 AC160 소프트웨어, S600 I/O 모듈펌웨어, 툴 소프트웨어패키지 상용인증방법 세부활동 판매자활동 AC160 운영체제 1.3/1 모든방법 - 판매자조사 - 품질보증감사 - 일반운전이력평가 SQP-0101.0, SPM QPS-0401.3, 품질요건 MOD-00 00-0780, 0780, AC160 HW 제조요건 ABB 형상관리계획 ACC Advanced 2.7/0 모든방법 - 판매자조사 - 품질보증감사 - 설계및수명주기평가 - 일반운전이력평가 SQP-0101.0, SPM QPS-0401.3, 품질요건 WB/QS/AP/01/0048, 상용등급조사보고서 MOD-00 00-0780, 0780, AC160 HW 제조요건 ABB 형상관리계획 S600 Modules and Firmware - AI620, - AO610, - CI527W, - CI631, - PM646A 모든방법 - 판매자조사 - 품질보증감사 - 일치확인서 - 검사 - 계통또는응용 FEMA - 검증시험 SQP-0101.0, SPM QPS-0401.3, 품질요건 MOD-00 00-0780, 0780, AC160 HW 제조요건 ABB 형상관리계획 ICE-37768, AI620 상용인증보고서 ICE-37769, AO610 펌웨어상용인증보고서 ICE-37760, CI527 상용인증보고서 ICE-37770, CI631 펌웨어상용인증보고서 ICE-37767, PM646A 상용인증보고서 MTP - Xycom FPD-OS, BIOS - Intellution iflx 모든방법 - 판매자조사 - 품질보증감사 - 일치확인서 - 검사 SQP-0101.0, SPM SX560-01, 01, SW 형상관리계획 QPS-0401.3, 품질요건 20
4.3-1 심사기준및주안점 디지털 HW/SW 기기는의도하는안전성기능을위하여품질이검증되어야함. 원자력 QA 또는상용등급인증절차에따라필수기능및성능요건을만족하는설비에한하여안전계통에적용 IEEE 7-4.3.2 및 EPRI TR-106439/107330 에서요구하는평가기준을만족하도록제품의특성을선정 / 평가하고인증된제품은원자력 QA 절차에의거유지관리 21
4.3-2 기기검증시험결과검토 내환경검증시험보고서 (QR QR-564 564-04) 검토온화한환경조건 ( 주제어실환경 ) 에서수명기간동안열화되지않음을 IEEE 323 에의거정상운전 / 비정상운전을모의 / 시험하여요구되는성능을확인하였음. EMI 시험보고서 (TR560 TR560-03 03 및 TR564-03) 검토전기적서지, EMI, RFI 및 ESD 환경에대하여 EPRI-TR TR-102323 및 MIL-STD STD-461D 의요건에따라전자기파내성 (EMC) 시험이수행되었음. 시험결과, DPPS 및 DESFAS-AC AC 계통에서발생하는 EMI 는주위의다른계통에영향을주지않으며또한주위환경으로부터발생한 EMI 로인해서계통의기능이저하되지않음을확인하였음. 지진검증보고서 (QR560 QR560-02) 02) 검토 DPPS 한채널과 DESFAS-AC AC 한 Train 에대해서 IEEE Std. 344 요건에 5 회의 OBE 와 3 회의 SSE 에대해서시험수행중및시험수행후, DPPS 및 DESFAS-AC AC 계통은계통의구조적건전성을유지하고또한그기능이정상적으로수행됨을확인하였음. 이러한시험들은상용등급품목의특별시험 ( 방법 1) 에해당됨. 22
4.3-3 디지털장비의필수특성검토 (1/3) 필수특성 ( 물리적특성 ) 검토결과 - 모델 / 부품,SW/ 펌웨어 /HW 개정식별 - 하드웨어의물리적특성 - 접속설비의물리적특성 전원, 신호, 데이터통신 인간 - 기계접속설비 제품의부품 / 펌웨어, 운영체제, 통신소프트웨어등에대한버전식별, 물리적제원등에대하여요구되는필수특성을확인해서적절히평가한것으로판단함. 23
4.3-3 디지털장비의필수특성검토 (2/3) 필수특성 ( 성능특성 ) 기능성 입력처리 요구되는특정기능또는알고리즘 출력신호요건 HMI 기능성 시험및진단기능필수기능에관한성능요건 응답시간, 정확도, 범위, 안정도, 데이터처리, 전원, 신호및데이터통신등의접속설비 HMI 효과 검토결과시제품제작및활용계획을제출하도록요구하였고, 시제품을이용한하드웨어특성, 기능및성능시험을수행하여 AC160 프로세서, 통신모듈, 입출력모듈및관련부품이기능적요구사항을만족하는지를입증하도록요구함. 시제품을활용하여응답시간, 정확도, 감시범위, 안정도, 데이터처리, 전원, 데이터통신, HMI 등에대한필수기능에대하여상용인증보고서, FSAR, 보충시험, 설계자료등에검증내용이포함되어있으므로적합함. 필수기능및성능관련환경조건 온도, 습도, 지진, EMI/RFI 민감성및방사, ESD 특정비정상또는고장조건에서거동 특정비정상조건과사건 (ACEs ACEs) 에따른응답 고장 - 안전특성 내진, 내환경, EMI/RFI, ESD 등시험을별도로실시하여기준을만족하였음. FSAR 표 7.2-5 에 BP, LCL, CIP, 보수시험반등에포함된입, 출력모듈, 프로세서, 통신모듈, 모뎀, 케이블, 감시타이머등에대한고장유형별로영향을분석하였으며, 그결과는고장 - 안전특성을고려하였으므로타당함. 24
4.3-3 디지털장비의필수특성검토 (3/3) 필수특성 ( 종속성 ) 종속성필수기능관련신뢰성및유지보수성 검토결과운전이력데이터검토, 설계내용평가, 신뢰도분석등을통하여신뢰성과유지보수성확인하였음. 내장된품질 설계의품질 제작의품질 고장관리 운전원및보수원의적합성형상관리 (CC) 와추적성 하드웨어 소프트웨어 펌웨어 문제점보고 판매자설계, 개발및확인공정, QA 프로그램, 확인 / 검증공정, 관례, 고장관리등수명주기평가, 운전이력평가등을통하여이전개발소프트웨어, 하드웨어설계내용을평가하였음. 문제점및평가시확인된사항, 질의사항은품질문서 ( 예, PMR) 로관리하였음. 제조업체와기술협정에의거하드웨어및소프트웨어 / 펌웨어개정, 문제점보고체제, 형상관리체계를유지하고있으며, 이러한내용은식별번호를부여하여추적가능하도록유지하고있으므로타당함. 25
4.3-4 심사보완요구내용 보완요구 프로세서모듈의건전성확인을위한시제품제작요구 PLC 제어프로그램의건전성및개정이력제시 프로세서 HW 개정이력및운전경험, 고장 / 고장률자료, 필수특성확인방법등제출 보완답변및인증자료검토 프로세서모듈의건전성확인을위한시제품제작및활용계획제출함. 시제품을이용한하드웨어특성, 기능및성능시험을수행하여 AC160 프로세서, 통신모듈, 입출력모듈및관련부품이기능적요구사항을만족하는지를입증하였음. PLC 제어프로그램은프로그래밍툴의일부로확인및검증되었고, V&V 팀은상용소프트웨어평가결과및공급자에대한실사결과를공식검토또는평가및실사과정에참여함을확인 인증절차서에하드웨어운전이력확인절차가포함 이러한인증절차는철저한공정관리및감사가필요하고, 상세설계결과물에대한후속심사를실시하였음. 26
4.3-5 현장실사결과 현장실사 WEC 현장실사를통한 DPPS/DESFAS-AC AC COTS 프로그램적용내용및결과의타당성확인 감시타이머 (Brentek P8-WDT24/PLC) 의상용인증결과를제출하도록요구하였고, 이후제출내용을검토한결과, 기기검증시험내용에감시타이머의인증내용이포함되어타당함. 27
4.3-6 상용인증심사결과 심사보완요구내용에따라시제품을제작하여 HW/SW 기능및성능시험, 통신설계내용의검증에활용하였음. V&V 팀이상용 SW 평가및공급자실사결과를공식검토및평가과정에포함되었으며, 실사과정에서상용인증내용의적합성을확인하였음. 상용등급컴퓨터의필수특성확인및평가는 IEEE 7-4.3.2 및 EPRI TR-106439/107330 에서요구하는기준을만족하도록적합성을평가하고, 인증된품목은원자력품질보증프로그램에따라서유지되고있음. 디지털상용인증과관련하여인증방법을 FSAR 7.1.4 절에기술하였고, 동내용에는상용인증관련기술평가방법, 검증방법등에대하여적절히기술하였음. 이상의심사결과를토대로울진 5,6 호기 DPPS/DEFAS-AC AC 상용인증내용은적합한것으로평가하였음. 단, 인증된부품만안전계통에사용하여야함. 28
5. 결론 심사결과 울진 5,6 호기 DPPS/DESFAS-AC AC 상용인증내용은 ABB AC160 PLC 의제작및설계품질보증내용을웨스팅하우스및 ABB 설계자가 IEEE 7-4.3.2, EPRI TR-106439/107330 등을만족하도록상용인증하였으며, 이들인증내용은안전심사지침에규정된내용, 기술기준등을적합하게만족하는것으로평가함. 울진 5,6 호기상용인증내용에대한평가방향및평가내용을기반으로후속디지털상용설비의안전성평가에활용가능 향후보완방안 운영체제 SW 의적합성, 문제점보고체계의적합성, 운전이력평가, 보상시험등에대한평가는명확한기준이없이공학적판단에의존하므로합당한확신을얻기위해서는상용인증자의철저한역할이중요함. 상용인증자료에는제조업체의지적재산들이많이포함되어세부내용에대한적합성확인이쉽지않으므로이러한내용에대한현장실사강화필요 29