(高清版)GBT 40444-2021 核電廠安全重要儀表和控制系統(tǒng)總體要求

GB/T40444—2021核電廠安全重要儀表和控制系統(tǒng)總體要求(IEC61513:2011,Nuclearpowerplants—Instrumentationandcontrolimportanttosafety—Generalrequirementsforsystems,MOD)國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T40444—2021 V 1 13術(shù)語和定義 24縮略語 5總的I&.C安全生命周期 5.1概述 5.2基于電廠安全設(shè)計(jì)基準(zhǔn)的I&-C要求 5.3輸出文檔 5.4I&.C總體構(gòu)架設(shè)計(jì)和I&.C功能分配 5.5總計(jì)劃的制定 205.6輸出文檔 246系統(tǒng)安全生命周期 256.1概述 256.2要求 276.3系統(tǒng)計(jì)劃制定 6.4輸出文檔 426.5系統(tǒng)鑒定 467總的集成和調(diào)試 7.1概述 7.2目標(biāo)要求 7.3輸出文檔 8總的運(yùn)行和維護(hù) 8.1概述 8.2目標(biāo)要求 8.3輸出文檔 附錄A(資料性)核電廠的基本安全問題 附錄B(資料性)功能分類和系統(tǒng)分級(jí) 附錄C(資料性)防御CCF的定性方法 圖1本文件的整體結(jié)構(gòu) 圖2基于計(jì)算機(jī)的系統(tǒng)中硬件與軟件的典型關(guān)系 9 ⅡGB/T40444—2021圖4總的I&.C安全生命周期與單個(gè)I&C系統(tǒng)安全生命周期之間的關(guān)系 圖5系統(tǒng)安全生命周期 圖6系統(tǒng)鑒定計(jì)劃中與產(chǎn)品和電廠特定應(yīng)用有關(guān)的主要內(nèi)容 圖B.1I&C功能與I&.C系統(tǒng)之間的關(guān)系 圖C.1I&.C系統(tǒng)安全組的功能分配示例 表1總的I&-C安全生命周期 表2I&C系統(tǒng)級(jí)別與I&.C功能類別之間的關(guān)系 表3系統(tǒng)安全生命周期 表B.1I&C系統(tǒng)典型的分級(jí) ⅢGB/T40444—2021本文件使用重新起草法修改采用IEC61513:2011《核電廠安全重要儀表和控制系統(tǒng)總體要本文件與IEC61513:2011的技術(shù)性差●用修改采用國際標(biāo)準(zhǔn)的GB/T●用修改采用國際標(biāo)準(zhǔn)的NB/T13631代替IEC20342代替IEC●用修改采用國際標(biāo)準(zhǔn)的NB/T20055—2011代替IEC62138(見5.4.2.5、5.6.2、6.1、●用修改采用國際標(biāo)準(zhǔn)的NB/T20298—2014代替IEC●刪除了IEC60780和IEC60980。GB/T40444—2021●修改了(系統(tǒng)特性的)評(píng)價(jià)的定義，采用GB/T18272.1—2000中的定義(見3.19);●修改了質(zhì)量的定義，采用GB/T19000—2016中的定義(見3.38);●修改了可靠性的定義，采用GB/T7163—2008中的定義(見3.41);——?jiǎng)h除了第4章中部分正文中未使用的縮略語。——按照GB/T1.1—2020的要求，規(guī)范了第1章的編寫；-—將5.2.3.1注2中“不同國家對(duì)功能分類的規(guī)范性引用文件可能不同，并可能與本文件的引用 將A.4中縱深防御描述修改為和HAF102(2016)一致：——?jiǎng)h除附錄B中“IAEANS-G-1.3將這種分級(jí)理念擴(kuò)展到儀表和控制系統(tǒng)。將I&C系統(tǒng)分為全有關(guān)系統(tǒng)對(duì)應(yīng)A、B和C類)。并且IAEA和IEC使用的定義和概念也不同(IAEA的系統(tǒng)分級(jí)對(duì)應(yīng)IEC的功能分類/系統(tǒng)分級(jí)),而這些差異可能導(dǎo)致不同的解釋。”-—?jiǎng)h除了附錄D和附錄E。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國核儀器儀表標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC30)提出并歸口。VGB/T40444—2021安全重要儀表和控制(I&.C)系統(tǒng)可采用傳統(tǒng)的基于模擬技術(shù)的設(shè)備、基于計(jì)算機(jī)技術(shù)的設(shè)備或這兩類設(shè)備的組合實(shí)現(xiàn)。本文件對(duì)安全重要I&C系統(tǒng)的總體架構(gòu)提出要求和建議，適用于包含上述任一項(xiàng)技術(shù)的I&.C系統(tǒng)。本文件強(qiáng)調(diào)了根據(jù)核電廠安全目標(biāo)導(dǎo)出安全重要I&C系統(tǒng)完整和準(zhǔn)確要求的必要性，這是制定I8.C總體架構(gòu)的總體要求、并進(jìn)而制定單個(gè)安全重要I8.C系統(tǒng)要求的前提。本文件提出了I&.C總體架構(gòu)的安全生命周期以及單個(gè)系統(tǒng)安全生命周期的概念。它著重說明核電廠安全目標(biāo)與安全重要I&.C系統(tǒng)總體架構(gòu)要求之間的關(guān)系，以及I&.C總體架構(gòu)與單個(gè)安全重要I&C系統(tǒng)要求之間的關(guān)系?？梢宰裱渌芷凇１疚募饕诵募夹g(shù)要素包括以下4個(gè)章節(jié)(圖1給出了整體框架結(jié)構(gòu)):●根據(jù)核電廠安全分析確定I&.C的功能需求以及有關(guān)的系統(tǒng)和設(shè)備，并確定I&.C功能分●建立I&C的總體架構(gòu)，將其劃分為多個(gè)系統(tǒng)并將I&C功能分配給系統(tǒng)。確定設(shè)計(jì)準(zhǔn)則，包括提供縱深防御和最大限度降低共因故障(CCF)可能性的準(zhǔn)則；●設(shè)計(jì)I&.C系統(tǒng)的總體架構(gòu)?！?章敘述單個(gè)安全重要I&-C系統(tǒng)的要求，特別是基于計(jì)算機(jī)系統(tǒng)的要求。其中，對(duì)單個(gè)安全重要I&.C系統(tǒng)的要求依據(jù)其所執(zhí)行功能的安全類別而有所區(qū)別。——第7章和第8章敘述安全重要I&.C本文件包括3個(gè)資料性附錄：——附錄A給出了核電廠安全重要I&.C系統(tǒng)設(shè)計(jì)考慮的主要安全概念；——附錄B提供關(guān)于功能分類和系統(tǒng)分級(jí)原則的說明；——附錄C列舉了安全重要I&-C系統(tǒng)對(duì)CCF敏感的例子，并給出了防御CCF的定性方法。VGB/T40444—20215.2基于電廠安全設(shè)計(jì)基準(zhǔn)的I&C要求5.2.2功能、性能和獨(dú)立性要求5.2.3分類要求5.2.4電廠限制5.5總計(jì)劃的制定5.5.2總的質(zhì)量保證大綱5.5.3總的安全防范計(jì)劃5.5.4總的集成和調(diào)試計(jì)劃5.5.5總的運(yùn)行計(jì)劃5.2基于電廠安全設(shè)計(jì)基準(zhǔn)的I&C要求5.2.2功能、性能和獨(dú)立性要求5.2.3分類要求5.2.4電廠限制5.5總計(jì)劃的制定5.5.2總的質(zhì)量保證大綱5.5.3總的安全防范計(jì)劃5.5.4總的集成和調(diào)試計(jì)劃5.5.5總的運(yùn)行計(jì)劃5.5.6總的維護(hù)計(jì)劃5.6輸出文檔5.6.2構(gòu)架設(shè)計(jì)文檔5.6.3功能分配文檔6.4輸出文檔6.4.2系統(tǒng)需求規(guī)格書6.4.3系統(tǒng)技術(shù)規(guī)格書6.4.4系統(tǒng)詳細(xì)設(shè)計(jì)文檔6.4.5系統(tǒng)集成文檔6.4.6系統(tǒng)確認(rèn)文檔6.4.7系統(tǒng)修改文檔6.3系統(tǒng)計(jì)劃制定6.3.2系統(tǒng)質(zhì)量保證計(jì)劃6.3.3系統(tǒng)安全防范計(jì)劃6.3.4系統(tǒng)集成計(jì)劃6.3.5系統(tǒng)確認(rèn)計(jì)劃6.3.6系統(tǒng)安裝計(jì)劃6.3.7系統(tǒng)運(yùn)行計(jì)劃6.3.8系統(tǒng)維護(hù)計(jì)劃6.5.3鑒定計(jì)劃6.5.5鑒定的保持6.5.6文檔3輸出文檔要I&C系統(tǒng)總需求規(guī)格書5總的安全生命周期：I&C總體架構(gòu)的設(shè)計(jì)、計(jì)劃及T&C功能對(duì)單個(gè)I&C系統(tǒng)的分配5.41&C總體架構(gòu)設(shè)計(jì)和1&C功能分配要求5.4.2I&C架構(gòu)設(shè)計(jì)5.4.3系統(tǒng)功能分配5.4.4必要的分析6.2系統(tǒng)生命周期各階段的目標(biāo)要求6.2.2系統(tǒng)需求規(guī)格書6.2.3系統(tǒng)技術(shù)規(guī)格書6.2.4系統(tǒng)的詳細(xì)設(shè)計(jì)和實(shí)施6.2.5系統(tǒng)集成6.2.6系統(tǒng)確認(rèn)6.2.7系統(tǒng)安裝6.2.8系統(tǒng)設(shè)計(jì)修改6.5系統(tǒng)鑒定6.5.2通用鑒定和特定應(yīng)用鑒定6.5.4互連系統(tǒng)的附加鑒定8總的運(yùn)行和維護(hù)8.2目標(biāo)要求8.38.2目標(biāo)要求圖1本文件的整體結(jié)構(gòu)1GB/T40444—2021核電廠安全重要儀表和控制系統(tǒng)總體要求本文件確立了核電廠安全重要儀表和控制(I&.C)系統(tǒng)的總體要求，規(guī)定了總的I&-C安全生命周本文件適用于新建核電廠安全重要I&.C系統(tǒng)。對(duì)于現(xiàn)有核電廠安全重要I&.C系統(tǒng)的升級(jí)或改造GB/T13630—2015核電廠控制室設(shè)計(jì)(IEC60964:2009,MOD)GB/T13631核電廠輔助控制點(diǎn)設(shè)計(jì)準(zhǔn)則(GB/T13631—2015,IEC60965:2009,MOD)GB/T15474—2010核電廠安全重要儀表和控制功能分類(IECGB/T17626.1電磁兼容試驗(yàn)和測量技術(shù)抗擾度試驗(yàn)總論(GB/T17626.1—2006,IEC61000-4-1:2000,IDT)GB/T17626.2電磁兼容試驗(yàn)和測量技術(shù)靜電放電抗擾度試驗(yàn)(GB/T17626.2—2018,IEC61000-4-2:2008,IDT)GB/T17626.3電磁兼容試驗(yàn)和測量技術(shù)射頻電磁場輻射抗擾度試驗(yàn)(GB/T17626.3—2016,IEC61000-4-3:2010,IDT)GB/T17626.4電磁兼容試驗(yàn)和測量技術(shù)電快速瞬變脈沖群抗擾度試驗(yàn)(GB/T17626.4—2018,IEC61000-4-4:2012,IDT)GB/T17626.5電磁兼容試驗(yàn)和測量技術(shù)浪涌(沖擊)抗擾度試驗(yàn)(GB/T17626.5—2019,IEC61000-4-5:2014,IDT)GB/T17626.6電磁兼容試驗(yàn)和測量技術(shù)射頻場感應(yīng)的傳導(dǎo)騷擾抗擾度(GB/T17626.6—2017,IEC61000-4-6:2013,IDT)GB/T19001質(zhì)量管理體系要求(GB/T19001—2016,ISO9001:2015,IDT)NB/T20054—2011核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能計(jì)算機(jī)系統(tǒng)的軟件(IEC60880:2006,MOD)NB/T20055—2011核電廠安全重要儀表和控制系統(tǒng)執(zhí)行B類或C類功能計(jì)算機(jī)系統(tǒng)的軟件(IEC62138:2004,MOD)NB/T20060核電廠安全重要儀表和控制系統(tǒng)隔離(NB/T20060—2012,IEC60709:2004,MOD)NB/T20068核電廠安全重要儀表和控制系統(tǒng)應(yīng)對(duì)共因故障的要求(NB/T20068—2012,IEC62340:2007,MOD)2GB/T40444—2021NB/T20298—2014核電廠安全重要數(shù)字儀表和控制系統(tǒng)硬件設(shè)計(jì)要求(IEC60987:2007,MOD)NB/T20342核電廠安全重要儀表和控制系統(tǒng)執(zhí)行A類功能系統(tǒng)中的數(shù)據(jù)通信(NB/T20342—2015,IEC61500:2009,MOD)IEC60671核電廠安全重要儀表和控制系統(tǒng)監(jiān)督測試(Nuclearpowerplants—Instrumenta-tionandcontrolsystemsimportanttosafety—Surveillancetesting)注2:應(yīng)用功能通常是I&.C功能的子功能。注3:另見圖2。注4:在應(yīng)用復(fù)雜電子器件(如專用集成電路或FPGA)注2:另見圖2。根據(jù)所執(zhí)行的功能對(duì)于安全的重要性確定的I&C功能的三種可能的安全類別(A,B,C)。如果功3.6I&C系統(tǒng)的級(jí)別classofanI&Csystem根據(jù)所要實(shí)現(xiàn)的I&C功能的不同安全重要性所確定的安全重要I&.C系統(tǒng)的三種可能級(jí)別3GB/T40444—20213.7標(biāo)準(zhǔn)的過程。[HAF003(1991)]3.8注：共因可以是I&.C系統(tǒng)內(nèi)部的或I&.C系統(tǒng)外部的。3.9復(fù)雜性complexity3.103.11其功能主要依靠或完全由微處理器、可編程電子設(shè)備或計(jì)算機(jī)實(shí)現(xiàn)的I&.C系統(tǒng)。3.123.133.143.15多樣性diversity為執(zhí)行某一確定功能設(shè)置兩個(gè)或多個(gè)獨(dú)立(或冗余)的系統(tǒng)或部件，這些不同系統(tǒng)或部件具有不同4GB/T40444—20213.16注2:設(shè)備可包含軟件。3.17注2:一個(gè)設(shè)備族可以是某個(gè)制造商的一個(gè)產(chǎn)品，也可以是某個(gè)供應(yīng)商集成的一套產(chǎn)品。庫),這些功能塊組合起來可生成特定的應(yīng)用軟件。3.183.193.20注1:設(shè)備只要不能執(zhí)行功能即視為失效，無論此時(shí)是否需要設(shè)備運(yùn)行。例如，后備系統(tǒng)中的失效可能只有在試驗(yàn)期間或被后備的系統(tǒng)失效要求該后備系統(tǒng)運(yùn)行時(shí)才會(huì)暴露出來。3.21注1:另見圖3。5GB/T40444—20213.223.23根據(jù)頂層的電廠功能和性能要求對(duì)應(yīng)用功能規(guī)格書的正確性進(jìn)行的驗(yàn)證。它是系統(tǒng)確認(rèn)(驗(yàn)證系3.243.25注2:外部災(zāi)害的例子是地震和雷電。3.26電廠安全重要I&.C系統(tǒng)的組織結(jié)構(gòu)。注3:本文件中，該術(shù)語僅指電廠整個(gè)1&.C體系架構(gòu)的一個(gè)子集，即安全重要I還包括不分級(jí)的系統(tǒng)和設(shè)備。3.28I&C功能I&Cfunction注1:術(shù)語“I&.C功能”由工藝工程師用于構(gòu)建I&.C的功能要求。一個(gè)I&.C功能按下述方法規(guī)定： ——包括為實(shí)現(xiàn)其功能目標(biāo)所需的從傳感器到驅(qū)動(dòng)器的最小實(shí)體。3.29I&C系統(tǒng)I&Csystem服務(wù)和監(jiān)督功能。6GB/T40444—2021注3:根據(jù)I8.C系統(tǒng)典型的功能特性，按自動(dòng)控制系統(tǒng)、HMI系統(tǒng)、聯(lián)鎖系統(tǒng)和保護(hù)系統(tǒng)來區(qū)分I&.C系統(tǒng)(參3.30I&C系統(tǒng)架構(gòu)I&Csystemarchitecture一個(gè)I&.C系統(tǒng)的組織結(jié)構(gòu)。3.31兼有下列兩個(gè)特性的設(shè)備：a)執(zhí)行其所需功能的能力不受其他設(shè)備運(yùn)行或失效的影響；b)執(zhí)行其功能的能力不受要求它起作用的假設(shè)始發(fā)事件的后果的影響。3.32由一個(gè)過程的外部事件引起該過程(如計(jì)算機(jī)程序的執(zhí)行)的暫停。3.33安全重要物項(xiàng)itemsimportanttosafety屬于某一安全組的一部分和(或)其失效或故障可能導(dǎo)致對(duì)廠區(qū)人員或周圍公眾的輻射照射的物項(xiàng)?！涫Щ蚬收峡赡芤饛S區(qū)人員或周圍公眾受到過量輻射照射的那些構(gòu)筑物、系統(tǒng)或部件；—-——防止預(yù)計(jì)運(yùn)行事件發(fā)展為事故工況的那些構(gòu)筑物、系統(tǒng)或部件；注1:本定義意圖包括核安全的所有方面。注2:本文件考慮的物項(xiàng)主要是I&.C系統(tǒng)或I&.C功能。3.34總的I&C安全生命周期overallI&Csafetylifecycle從根據(jù)電廠安全設(shè)計(jì)基準(zhǔn)導(dǎo)出I&.C要求開始，直到所有I&.C系統(tǒng)不再有效使用的時(shí)間期間內(nèi)發(fā)注1:總的I8.C安全生命周期包括單個(gè)系統(tǒng)安全生命周期的要求。3.35設(shè)計(jì)期間確定的可能導(dǎo)致預(yù)計(jì)運(yùn)行事件或事故工況的事件。3.36在總的I&.C安全生命周期的各階段和(或)各個(gè)I&.C系統(tǒng)安全生命周期的各階段，負(fù)責(zé)規(guī)定和執(zhí)7GB/T40444—2021行與安全重要I&.C功能、系統(tǒng)和設(shè)備有關(guān)的管理和技術(shù)活動(dòng)的組織或個(gè)人。3.37鑒定qualification確定系統(tǒng)或部件是否適合運(yùn)行使用的過程。鑒定需要依據(jù)I&.C系統(tǒng)的規(guī)定級(jí)別與相應(yīng)的一套鑒定要求來實(shí)現(xiàn)。注1:鑒定要求根據(jù)I&.C系統(tǒng)的具體級(jí)別和具體應(yīng)用環(huán)境確定。注2:一般來說，I&.C系統(tǒng)是用一組相互配合的設(shè)備實(shí)現(xiàn)的。這些設(shè)備可以是作為項(xiàng)目的一部分開發(fā)的，也可以是首先對(duì)單個(gè)現(xiàn)有設(shè)備鑒定(通常在系統(tǒng)實(shí)現(xiàn)過程的早期);第二步對(duì)集成的I&C系統(tǒng)鑒定(即，最后設(shè)計(jì)的實(shí)注3:I&.C系統(tǒng)的鑒定總是一項(xiàng)電廠特定和應(yīng)用特定的活動(dòng)。但是，它很大程度上可以依賴于在特定電廠設(shè)計(jì)的框架之外進(jìn)行的鑒定活動(dòng)(這些鑒定活動(dòng)稱為“通用鑒定”3.38可感知或可想象的任何事物一組固有特性滿足要求的程度。3.39為使物項(xiàng)或服務(wù)與規(guī)定的質(zhì)量要求相符合并提供足夠的置信度所必需的一系列有計(jì)劃的系統(tǒng)的3.40冗余redundancy3.41可靠性reliability在給定狀態(tài)下和給定時(shí)間間隔內(nèi)某物項(xiàng)的屬性(或系統(tǒng))完成所要求使命的概率。注：基于計(jì)算機(jī)的系統(tǒng)的可靠性包括硬件可靠性和軟件可靠性，硬件可靠性通常由鑒定確定，軟件可靠性通常只能定性度量，因?yàn)槟壳斑€沒有定量度量軟件可靠性的公認(rèn)方法。3.423.43安全組safetygroup安全組包括一個(gè)或多個(gè)序列。8GB/T40444—20213.443.453.46單一故障singlefailure3.473.483.493.503.51注1:另見“I&.C系統(tǒng)”。注2:I&.C系統(tǒng)不同于核電廠的機(jī)械系統(tǒng)和電氣系統(tǒng)。3.52注1:系統(tǒng)安全生命周期參照總的I8.C安全生命周期活動(dòng)。3.539GB/T40444—2021注1:系統(tǒng)軟件通常由操作系統(tǒng)軟件和支持軟件組成。注2:操作系統(tǒng)軟件：系統(tǒng)運(yùn)行期間在目標(biāo)處理器上執(zhí)行的軟件，例如，操作系統(tǒng)、輸入/輸出驅(qū)動(dòng)程序，異常處理程注5:另見圖2。3.543.55系統(tǒng)性缺陷systematicfault[來源：GB/T20438.4—23.56型式試驗(yàn)typetest(s)對(duì)代表產(chǎn)品的一個(gè)或多個(gè)物項(xiàng)進(jìn)行的符合性試驗(yàn)。3.57驗(yàn)證verification通過檢查和提供客觀證據(jù)，證實(shí)該過程某種活動(dòng)的結(jié)果是否符合為此活動(dòng)規(guī)電廠設(shè)計(jì)數(shù)據(jù)電廠設(shè)計(jì)數(shù)據(jù)應(yīng)用軟件庫冗余管理程序支持系統(tǒng)軟件輸入/輸出驅(qū)動(dòng)程序圖形編輯器數(shù)據(jù)管理程序編譯程序代碼生成器輸入/輸出模塊驗(yàn)證和確認(rèn)工具服務(wù)單元等系統(tǒng)硬件硬件安裝支撐電源裝置異常處理程序自監(jiān)督功能操作系統(tǒng)通信軟件基于計(jì)算機(jī)的系統(tǒng)操作系統(tǒng)軟件運(yùn)行時(shí)間控制程序通信模塊處理模塊圖2基于計(jì)算機(jī)的系統(tǒng)中硬件與軟件的典型關(guān)系GB/T40444—2021實(shí)際需要實(shí)際需要需求規(guī)格書，設(shè)計(jì)和實(shí)現(xiàn)系統(tǒng)性缺陷(差錯(cuò))系統(tǒng)正確隨機(jī)失效系統(tǒng)錯(cuò)誤執(zhí)行過程碰到錯(cuò)誤(故障)系統(tǒng)失效設(shè)計(jì)錯(cuò)誤設(shè)計(jì)正確規(guī)定CCF:共因故障(Common-CauseFailure)COTS:商品級(jí)物項(xiàng)(CommercialOff-The-Shelf)FPGA:現(xiàn)場可編程門陣列(Field-ProgrammableGateArray)HMI:人機(jī)接口(HumanMachineInterface)I&.C:儀表和控制(InstrumentationandControl)PIE:假設(shè)始發(fā)事件(PostulatedInitiatingEvents)PLD:可編程邏輯器件(ProgrammableLogicDevice)5總的I&C安全生命周期本章的目的是規(guī)定：——如何從核電廠的安全設(shè)計(jì)基準(zhǔn)(參見A.2和A.3)導(dǎo)出對(duì)安全重要I&.C系統(tǒng)架構(gòu)的要求；——如何從這些總要求導(dǎo)出單個(gè)安全重要I&.C系統(tǒng)的要求。要把與I&C的設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行相關(guān)的活動(dòng)置于總的I&C安全生命周期的框架內(nèi)。總的I&C安全生命周期又涉及單個(gè)I&.C系統(tǒng)的安全生命周期(見第6章)。典型總的I&.C安全生命周期包括下列階段：a)電廠安全設(shè)計(jì)基準(zhǔn)的審查(見5.2),包括：GB/T40444—20213)電廠設(shè)計(jì)框架的限制；b)安全重要I&.C功能、系統(tǒng)和設(shè)備總需求規(guī)格書的制定(見5.3);c)I&-C總體架構(gòu)設(shè)計(jì)和I&.C功能對(duì)單個(gè)系統(tǒng)和設(shè)備的分配(見5.4);d)總計(jì)劃的制定(見5.5);e)單個(gè)系統(tǒng)的實(shí)現(xiàn)(見第6章);f)系統(tǒng)總的集成和調(diào)試(見第7章);g)系統(tǒng)總的運(yùn)行和維護(hù)(見第8章)?？偟腎&-C安全生命周期與單個(gè)I&-C系統(tǒng)的安全生命周期之間的聯(lián)系以簡化的形式表示在圖4中?！偟腎&-C安全生命周期是一個(gè)反復(fù)迭代過程，對(duì)每個(gè)階段的輸出應(yīng)驗(yàn)證其與來自以前活動(dòng)輸入的符合性。如果已采用適當(dāng)?shù)呐渲每刂埔员ＷC開發(fā)過程全面的一致性，即使前一階段的活表1總的I&C安全生命周期章條號(hào)輸入活動(dòng)的目標(biāo)范圍輸出5總的I&-C安全生命周期及其與系統(tǒng)生命周期的關(guān)系5.2基于電廠安全設(shè)計(jì)基準(zhǔn)的1&.C要求功能、性能和獨(dú)立性要求電廠安全設(shè)計(jì)基準(zhǔn)文件電廠運(yùn)行原則確定：——安全重要I&.C系統(tǒng)總的功能和性能要求；--—電廠縱深防御概念以及I8.C功能的獨(dú)立性要求；——自動(dòng)功能和操縱員任務(wù)安全重要的電廠系統(tǒng)和相關(guān)18.C系統(tǒng)確定5.3的輸入要求分類要求電廠安全分類確定I&.C功能的分類完整性驗(yàn)證復(fù)雜要求的可行性驗(yàn)證安全重要的I&.C功能確定5.3的輸入要求電廠限制電廠的布置文件和設(shè)計(jì)數(shù)據(jù)庫確定：——電廠和(或)I&.C系統(tǒng)的——支持系統(tǒng)、電廠布置和環(huán)境條件的限制；——潛在的內(nèi)部和外部的災(zāi)——電廠運(yùn)行規(guī)程和維護(hù)原則電廠布置電廠系統(tǒng)I8.C系統(tǒng)確定構(gòu)架設(shè)計(jì)的限制(5.4),確定單個(gè)1&.C系統(tǒng)需求規(guī)格書的限制(6.2)輸出文檔5.2的輸出按功能、性能、獨(dú)立性和分類要求編制安全重要I&.C系統(tǒng)總需求規(guī)格書I8.C系統(tǒng)I&.C總需求規(guī)格書GB/T40444—2021表1總的I&C安全生命周期(續(xù))章條號(hào)輸入活動(dòng)的目標(biāo)范圍輸出5.4I&.C總體架構(gòu)設(shè)計(jì)和I8.C功能分配1&.C架構(gòu)設(shè)計(jì)5.3的輸出完成I8.C總體架構(gòu)設(shè)計(jì)，恰當(dāng)實(shí)現(xiàn)安全重要的18.C系統(tǒng)總需求針對(duì)潛在的CCF提供充分的防御措施I8.C功能和1&.C系統(tǒng)從自動(dòng)化系統(tǒng)、HMI及連接關(guān)系、工具方面開展安全I(xiàn)&.C架構(gòu)的詳細(xì)設(shè)計(jì)(見5.6.2)系統(tǒng)功能分配5.4.2和5.5的輸出(以6.4的輸出反復(fù)迭代)將1&.C功能分配給單個(gè)I8.C系統(tǒng)和設(shè)備對(duì)單個(gè)I&.C系統(tǒng)提出要求(邊界、分級(jí)、功能特性、可靠性和其他要求的特性)I8.C功能和I&.C系統(tǒng)系統(tǒng)和HMI應(yīng)用功能的要求，I&.C系統(tǒng)設(shè)計(jì)和工具的要求(見5.6.3)必要的分析5.4.2和5.4.3的輸出可靠性評(píng)定和對(duì)CCF防御的評(píng)定人因評(píng)定I&.C功能和I8.C系統(tǒng)可靠性評(píng)定和對(duì)CCF5.4.4.2)人因評(píng)定(見5,4,4.3)總計(jì)劃的制定5.4的輸出制定系統(tǒng)質(zhì)量保證、安全防范、集成、調(diào)試、運(yùn)行和維護(hù)的總計(jì)劃工作指定活動(dòng)的計(jì)劃6周期5.6的輸出確定和建立符合I&.C架構(gòu)規(guī)定的I8.C系統(tǒng)單個(gè)I&.C系統(tǒng)表3中描述的輸出7總的集成和調(diào)試5.5.4和6.3.6的輸出對(duì)I8.C架構(gòu)內(nèi)互連的系統(tǒng)進(jìn)行試驗(yàn)和調(diào)試系統(tǒng)完整的集成和調(diào)試的系統(tǒng)總的調(diào)試報(bào)告(見7.3)8總的運(yùn)行和維護(hù)5.5.5,5.5.6和7.2的輸出通過運(yùn)行、維護(hù)和修復(fù)系統(tǒng)來維持安全系統(tǒng)功能實(shí)現(xiàn)的連續(xù)性運(yùn)行和維護(hù)記錄(見8.3)GB/T40444—2021總的總的T&C安全生命周期：電廠安全設(shè)計(jì)基準(zhǔn)的要求I&C總體架構(gòu)設(shè)計(jì)I&C系統(tǒng)n的安全生命周期系統(tǒng)需求規(guī)格書系統(tǒng)安裝總的集成和調(diào)試總的運(yùn)行和維護(hù)I&C系統(tǒng)1的安全生命周期I&C系統(tǒng)功能分配系統(tǒng)安裝圖4總的I&C安全生命周期與單個(gè)I&C系統(tǒng)安全生命周期之間的關(guān)系5.2基于電廠安全設(shè)計(jì)基準(zhǔn)的I&C要求本條要求的目的是根據(jù)電廠安全設(shè)計(jì)基準(zhǔn)和電廠設(shè)計(jì)框架導(dǎo)出I&.C系統(tǒng)需求規(guī)格書的輸入要求和I&.C架構(gòu)設(shè)計(jì)的輸入限制。HAF102規(guī)定了一系列安全原則的設(shè)計(jì)要求，考慮所有相關(guān)的假設(shè)始發(fā)事件(PIE)和連續(xù)實(shí)體屏地響應(yīng)所有PIE以及便于在事故后長期管理電廠。電廠安全設(shè)計(jì)基準(zhǔn)規(guī)定了安全重要I&.C功能的功能、性能和獨(dú)立性要求以及電廠運(yùn)行原則，它是整個(gè)I&-C設(shè)計(jì)項(xiàng)目的固有因素。人機(jī)接口要求將運(yùn)行原則與人機(jī)工程學(xué)因素結(jié)合起來考慮，以盡可能減少由人因造成的失效。I&.C設(shè)計(jì)過程需要電廠安全設(shè)計(jì)基準(zhǔn)提供下述輸入：a)電廠縱深防御概念(參見A.4)和應(yīng)對(duì)PIE事故序列以實(shí)現(xiàn)安全目標(biāo)的功能組(參見A.3);注1:在功能可靠性要求很高的情況下，電廠和I&.C的需求規(guī)格書規(guī)定對(duì)同一個(gè)PIE必須設(shè)置不同的防線，例如，兩個(gè)或多個(gè)獨(dú)立的且功能多樣的物理觸發(fā)準(zhǔn)制的機(jī)械系統(tǒng)。注2:縱深防御的梯次配置可包括安全重要功能，也可包括其他功能。本文件的要求僅針對(duì)安全重要的那些功能。b)為滿足總的安全要求所必要的電廠安全重要功能的功能和性能要求(參見A.4);注3:當(dāng)需要進(jìn)行功能確認(rèn)時(shí)(見6.2.4.2),設(shè)計(jì)基準(zhǔn)將提供由安全重要18.C系統(tǒng)控制的電廠變量的初始條件、允許限值和允許變化率。GB/T40444—2021c)自動(dòng)系統(tǒng)和規(guī)定的操縱員動(dòng)作在管理預(yù)計(jì)運(yùn)行事件和事故工況中的作用；d)按GB/T13630—2015的6.3進(jìn)行任務(wù)分析，規(guī)定哪些任務(wù)宜分配給操縱員，哪些任務(wù)宜分配e)為操縱員執(zhí)行手動(dòng)操作而顯示的變量；f)自動(dòng)與手動(dòng)動(dòng)作之間的優(yōu)先原則，確定優(yōu)先原則時(shí)宜考慮功能類別及操縱員所在房間或位置。核電廠中的功能、系統(tǒng)和設(shè)備是按它們對(duì)安全的重要性進(jìn)行分級(jí)的。本文件依據(jù)GB/T15474將I&.C功能分類與I8.C系統(tǒng)分級(jí)分開考慮。分類過程將每個(gè)I&.C功能按其對(duì)安全的重要性歸為某一類別。要求適用于為實(shí)現(xiàn)給定類別的功能所必要的整個(gè)物項(xiàng)系列，而無論這些物項(xiàng)如何分布于若干互連的I&.C系統(tǒng)。因此，規(guī)定I&.C系統(tǒng)的不同級(jí)別使其適合于實(shí)現(xiàn)規(guī)定類別的I&C功能是切實(shí)可行的。I&.C功能的分類是電廠安全設(shè)計(jì)基準(zhǔn)的一部分，超出本文件的范圍。本文件假定電廠安全設(shè)計(jì)基準(zhǔn)已將安全重要的單個(gè)I&.C功能指定為A、B或C三個(gè)類別之一，并假定與這些類別相關(guān)的系統(tǒng)和設(shè)備的主要設(shè)計(jì)要求符合GB/T15474—2010第7章的要求。注2:不同實(shí)踐的功能分類方法可能不同?，F(xiàn)有核電廠采用本文件時(shí)也可能出現(xiàn)特殊情況(新的分類要求僅對(duì)改造I&.C系統(tǒng)的分級(jí)由I&C項(xiàng)目組織在I&.C功能分配給系統(tǒng)前的I&C架構(gòu)設(shè)計(jì)階段予以規(guī)定(見I&.C功能分類要求如下。a)I&.C功能分類應(yīng)在電廠安全設(shè)計(jì)基準(zhǔn)中提供，并應(yīng)作為整個(gè)I&.C需求規(guī)格書的基準(zhǔn)輸入(見b)I&.C項(xiàng)目組織應(yīng)對(duì)該分類進(jìn)行審查并驗(yàn)證其完整性和可行性。在不具備可行性的情況下(如將由于電廠設(shè)計(jì)無法滿足單一故障準(zhǔn)則的功能分為最高安全類別),應(yīng)根據(jù)電廠I&.C功能要求對(duì)I&.C功能的定義和分類進(jìn)行審查。應(yīng)反復(fù)審查功能要求及其分類，直到達(dá)到一個(gè)可行的解決方法。I&.C系統(tǒng)的架構(gòu)設(shè)計(jì)(見5.4)受電廠設(shè)計(jì)框架的限制。a)I&.C項(xiàng)目組織應(yīng)確定由電廠布置、與電廠設(shè)備的接口以及I&.C外部事件所產(chǎn)生的對(duì)I&.C設(shè)1)I&C系統(tǒng)和設(shè)備與電廠系統(tǒng)之間的邊界，包括與電氣和(或)機(jī)械驅(qū)動(dòng)系統(tǒng)及與輔助系統(tǒng)3)在要求I&.C系統(tǒng)運(yùn)行的正常、異常和事故工況下，驅(qū)動(dòng)和控制電源的瞬態(tài)和穩(wěn)態(tài)條件的GB/T40444—20214)對(duì)安裝和電纜布線的限制。5)諸如控制室和電纜敷設(shè)間等匯聚點(diǎn)對(duì)安裝和電纜布線的特殊限制。6)對(duì)接地和電源配電的限制。b)I&-C項(xiàng)目組織應(yīng)確定由營運(yùn)單位的運(yùn)行原則施加于18.C設(shè)備的限制，包括：1)安全防范的限制。2)運(yùn)行和維護(hù)的限制(見GB/T13630—2015的5.6)。3)I&-C系統(tǒng)的在役維護(hù)的限制。通常，這將產(chǎn)生用于指導(dǎo)I&.C架構(gòu)細(xì)分為不同子系統(tǒng)的附加要求。需要考慮的方面包括：活動(dòng)。I&.C系統(tǒng)的細(xì)分宜考慮該邊界條件。2)在其他子系統(tǒng)保持正常運(yùn)行的情況下，可以合理安排，選擇電廠和I&.C定期試驗(yàn)和變更活動(dòng)。3)對(duì)I&.C系統(tǒng)進(jìn)行細(xì)分時(shí)，宜分析并考慮運(yùn)行人員責(zé)任分配和責(zé)任共擔(dān)的影響。4)宜確定維護(hù)和診斷工具與維護(hù)工作站的相關(guān)要求，包括它們與工程系統(tǒng)接口的要求。這也包括維護(hù)人員人機(jī)接口以及與電廠管理系統(tǒng)接口的相關(guān)要求。5.2中所述活動(dòng)的輸出文檔是安全重要I8.C系統(tǒng)需求規(guī)格書。功能。這些需求規(guī)格書的進(jìn)一步分解將產(chǎn)生單個(gè)I&.C系統(tǒng)的子功能的需求規(guī)格書。這將取決于I&.C架構(gòu)a)每個(gè)18.C功能應(yīng)建立一個(gè)需求規(guī)格書，它包括：注2:這包括過去在模擬系統(tǒng)可忽略的對(duì)動(dòng)作及時(shí)性的要求。3)功能類別。注3:功能分類隱含了為實(shí)現(xiàn)功能所需的18.C系統(tǒng)的最低級(jí)別要求(見表2)。b)總需求規(guī)格書應(yīng)規(guī)定功能之間的各種相關(guān)性，這些相關(guān)性將對(duì)I&.C系統(tǒng)的功能分配產(chǎn)生限1)觸發(fā)保護(hù)動(dòng)作的各種監(jiān)督功能的組合；2)保證縱深防御的各種功能的組合；3)構(gòu)成一個(gè)安全組的各種功能的組合。c)應(yīng)對(duì)所有I&.C功能的需求規(guī)格書進(jìn)行驗(yàn)證，以保證需求規(guī)格書所規(guī)定的功能和限制條件是完善規(guī)格書使其包括所有的傳感器和驅(qū)動(dòng)器。對(duì)原來未考慮到的任何追加的驅(qū)動(dòng)器的控制還需進(jìn)行評(píng)定和適GB/T40444—2021表2I&C系統(tǒng)級(jí)別與I&C功能類別之間的關(guān)系安全重要I8.C功能的類別對(duì)應(yīng)的安全重要I8.C系統(tǒng)的級(jí)別A1B2C35.4I&C總體架構(gòu)設(shè)計(jì)和I&C功能分配——5.2.4的限制和5.3的要求如何應(yīng)用于安全重要I&C系統(tǒng)總體架構(gòu)(簡稱“I&C架構(gòu)”)的——I&.C功能如何分配給單個(gè)I&.C系統(tǒng)。5.4.2I&C架構(gòu)設(shè)計(jì)I&.C架構(gòu)設(shè)計(jì)提供核電廠I&C系統(tǒng)的頂層規(guī)定，其中包括這些系統(tǒng)之間通信的規(guī)定以及為保證這些系統(tǒng)之間接口的一致性所需工具的規(guī)定。18.C架構(gòu)設(shè)計(jì)總的要求如下。a)I&.C架構(gòu)設(shè)計(jì)應(yīng)包含為實(shí)現(xiàn)5.3規(guī)定的安全重要I&-C功能所需的所有I&C。b)I&.C架構(gòu)設(shè)計(jì)應(yīng)將整個(gè)I&.C分解為不同的系統(tǒng)和設(shè)備，以滿足下述要求：2)不同級(jí)別系統(tǒng)的充分隔離；3)滿足實(shí)體分隔和電氣隔離要求，這些要求是由環(huán)境和布置限制、災(zāi)害分析以及啟動(dòng)活動(dòng)、c)I&.C架構(gòu)設(shè)計(jì)應(yīng)提供足夠的系統(tǒng)和子系統(tǒng)，以便使A類功能在所有允許的電廠和系統(tǒng)配置下都能滿足單一故障準(zhǔn)則。d)每個(gè)18.C系統(tǒng)應(yīng)按其所實(shí)現(xiàn)的I&.C功能的最高類別進(jìn)行分級(jí)。e)與電廠的接口以及I&.C系統(tǒng)之間的互連應(yīng)規(guī)定為架構(gòu)設(shè)計(jì)的一部分，以便確定：l)不同安全重要功能所共用的(測量)信號(hào)；2)來自不同系統(tǒng)的驅(qū)動(dòng)信號(hào)的表決方式以及它們之間的優(yōu)先權(quán)；3)不同防線中自動(dòng)和手動(dòng)驅(qū)動(dòng)功能所共有的信號(hào)路徑和設(shè)備。a)I&.C架構(gòu)設(shè)計(jì)應(yīng)規(guī)劃電廠不同控制和監(jiān)督區(qū)域的HMI系統(tǒng)，這些區(qū)域包括主控制室、輔助控GB/T40444—2021制室、就地控制盤和應(yīng)急指揮中心，并應(yīng)滿足電廠運(yùn)行和維護(hù)限制(見5.2.4)所要求的冗余度b)I&.C架構(gòu)設(shè)計(jì)應(yīng)遵循電廠設(shè)計(jì)基準(zhǔn)1)自動(dòng)信號(hào)與手動(dòng)控制信號(hào)之間的優(yōu)先原則；2)正常、事故和事故后運(yùn)行期間不同HMI系統(tǒng)之間的優(yōu)先原則；3)正常和后備HMI系統(tǒng)之間的優(yōu)先原則；4)正常和后備HMI系統(tǒng)之間切換條件的原則。c)架構(gòu)設(shè)計(jì)應(yīng)規(guī)定，由單個(gè)系統(tǒng)的診斷設(shè)備所探測的缺陷或故障如何向電廠操縱員通告。通告1)立即發(fā)現(xiàn)故障指示并將其與其他運(yùn)行指示區(qū)分開；2)決定是否需要采取手動(dòng)操作將電廠帶入安全狀態(tài)；3)將有問題的系統(tǒng)通告適當(dāng)?shù)木S護(hù)人員。注1:手動(dòng)控制操作是指使用控制器和反饋信息顯示。不考慮對(duì)I&.C設(shè)備的直接干預(yù)，例如插入模擬針腳或斷開d)應(yīng)證明I&.C架構(gòu)設(shè)計(jì)符合HMI系統(tǒng)的基本技術(shù)選擇(如計(jì)算機(jī)化的或常規(guī)的)。如更復(fù)雜的系統(tǒng)提供更好的信息可減少執(zhí)行命令中由人因?qū)е碌氖д`，則宜用更復(fù)雜的系統(tǒng)向電廠操縱員表達(dá)信息。除了考慮人因失誤的可能性外，對(duì)于基于計(jì)算機(jī)的信息系統(tǒng)宜同時(shí)考慮CCFe)I&.C架構(gòu)設(shè)計(jì)應(yīng)：1)按電廠設(shè)計(jì)基準(zhǔn)的任務(wù)分析將功能分配給手動(dòng)控制或自動(dòng)控制(見5.2.2);2)確定I&.C系統(tǒng)處理信息所需的處理能力，以及完成規(guī)定的操縱員人機(jī)交互任務(wù)的能力(見GB/T13630—2015的6.3.3);3)保證操縱員為執(zhí)行手動(dòng)控制操作可用的信息、HMI特性和時(shí)間符合電廠設(shè)計(jì)基準(zhǔn)的要求f)在電廠主控制室和其他控制區(qū)域設(shè)計(jì)中，應(yīng)采用基于GB/T13630和GB/T13631的人因技術(shù)以保證HMI的有效性。注2:相關(guān)的操縱員任務(wù)(尤其對(duì)經(jīng)常執(zhí)行的任務(wù)，時(shí)間要求緊迫的任務(wù)或人因失誤會(huì)增加風(fēng)險(xiǎn)的任務(wù))及其性能要求是人因分析的起點(diǎn)，這可以使顯示與控制適當(dāng)?shù)丶伞)在設(shè)計(jì)分析中應(yīng)考慮操縱員的任務(wù)及HMI要求的最優(yōu)化，在此過程中，應(yīng)同時(shí)考慮安全重要任務(wù)和非安全重要的任務(wù)。組成I&.C架構(gòu)的系統(tǒng)之間的數(shù)據(jù)通信包括采用串行數(shù)據(jù)通信在一個(gè)或多個(gè)路徑上傳送一個(gè)或多個(gè)信號(hào)或信息的所有鏈路。a)通信鏈路應(yīng)能滿足所有電廠要求工況下的總體性能需求(見5.3)。b)通信鏈路的架構(gòu)和技術(shù)應(yīng)保證滿足系統(tǒng)之間的獨(dú)立性要求。除滿足實(shí)體分隔和電氣隔離要求c)通信鏈路應(yīng)包括檢查通信設(shè)備運(yùn)行狀態(tài)和所傳送數(shù)據(jù)完整性的措施。d)宜提供冗余的通信鏈路以應(yīng)對(duì)失效。e)通信鏈路的設(shè)計(jì)應(yīng)滿足NB/T20342和NB/T20060的要求使得與低級(jí)別系統(tǒng)的數(shù)據(jù)通信不能危害高安全類別功能的數(shù)據(jù)通信和運(yùn)行。GB/T40444—2021a)I&.C架構(gòu)設(shè)計(jì)應(yīng)包括工具的規(guī)定(見NB/T20054—2011第14章和NB/T20055—2011的5.2.4和6.2.4),這些工具通常以計(jì)算機(jī)為基礎(chǔ)，用于保證在協(xié)同工作的I&.C系統(tǒng)之間所交換注：單個(gè)系統(tǒng)特定的工具在系統(tǒng)技術(shù)規(guī)格書階段予以規(guī)定(見6.2,3.2)。b)工具宜用于總的安全生命周期的所有階段，有利于保證安全重要功能的質(zhì)量和可靠性，例如1)與I8.C系統(tǒng)之間接口設(shè)計(jì)有關(guān)的所有方面；2)分布式功能的總的集成和調(diào)試。c)應(yīng)分別按照NB/T20054(對(duì)1級(jí)系統(tǒng))和NB/T20055(對(duì)2級(jí)/3級(jí)系統(tǒng))的要求選擇工具，并規(guī)定能獲得高質(zhì)量輸出的方法。5.4.2.6對(duì)CCF的防御在采用冗余架構(gòu)的I&.C系統(tǒng)中，如果兩個(gè)或多個(gè)冗余通道同時(shí)失效(即，冗余通道的表決結(jié)果失效),則采用這種設(shè)計(jì)的I&C系統(tǒng)就會(huì)失效。如果一個(gè)或多個(gè)潛在的缺陷系統(tǒng)性地存在于幾個(gè)或所有系統(tǒng)性潛在缺陷的根源大部分是與人因失誤有關(guān)的。它們可能在I&C系統(tǒng)生命周期的任一階段引入。與僅采用模擬技術(shù)相比，計(jì)算機(jī)的應(yīng)用允許使用更復(fù)雜的算法和處理。而且，基于計(jì)算機(jī)I&.C的設(shè)計(jì)難度(包括底層I&.C平臺(tái)設(shè)計(jì)相關(guān)的活動(dòng))比模擬I&.C更高，設(shè)計(jì)也可能更復(fù)雜。對(duì)I&.C系統(tǒng)CCF的防御包括下述層次。a)宜對(duì)1級(jí)系統(tǒng)的應(yīng)用功能需求規(guī)格書進(jìn)行功能確認(rèn)(見6.2.4.2.1),以降低需求規(guī)格書中存在潛在缺陷的可能性。缺陷的可能性。對(duì)1級(jí)、2級(jí)和3級(jí)系統(tǒng)，這些要求宜依次降低。c)1級(jí)I&.C系統(tǒng)及其支持系統(tǒng)的運(yùn)行不應(yīng)受電廠過程的影響，以最大限度降低觸發(fā)潛在缺陷的可能性(例如，緩解PIE的硬件部件不應(yīng)受PIE造成的不利環(huán)境條件的影響；軟件執(zhí)行的調(diào)度不宜依賴于電廠信號(hào))。d)應(yīng)對(duì)1級(jí)系統(tǒng)進(jìn)行分析，以確定可能的CCF源以及可能觸發(fā)假設(shè)潛在缺陷導(dǎo)致失效的機(jī)制。在分析時(shí)應(yīng)特別關(guān)注通信鏈接和數(shù)據(jù)傳輸裝置以及負(fù)載隨需要而變化的部件。宜針對(duì)可能的CCF源及其影響來評(píng)定這類部件可能的失效模式和失效序列。分析也宜包括那些對(duì)于緩解1級(jí)系統(tǒng)假設(shè)CCF后果是可信的相關(guān)安全組的系統(tǒng)。如果安全重要功能的假設(shè)失效可能導(dǎo)致不可接受的后果，則需要有應(yīng)對(duì)CCF的設(shè)計(jì)。這通常針對(duì)A類功能和一部分B類功能(見GB/T15474—2010的5.1和5.2)。e)對(duì)安全組要求高可靠性，并由此考慮CCF源及其影響的地方，I&.C架構(gòu)設(shè)計(jì)宜使用多樣性原則。宜考慮功能多樣性、信號(hào)多樣性和設(shè)備多樣性措施。如果采用多樣性來防御CCF,則架構(gòu)設(shè)計(jì)應(yīng)包括多樣性措施(用于最大限度降低CCF的可能性)有效性的分析。GB/T40444—2021f)從確定論安全角度，如果采用1級(jí)和較低級(jí)別的I&C系統(tǒng)作為有效應(yīng)對(duì)設(shè)計(jì)基準(zhǔn)事故的不同的防線，這些I&-C系統(tǒng)應(yīng)是獨(dú)立的。如果任一I&.C系統(tǒng)的單一假設(shè)故障不會(huì)妨礙其他系統(tǒng)執(zhí)行預(yù)期功能，則這些I&.C系統(tǒng)可認(rèn)為是獨(dú)立執(zhí)行安全功能。獨(dú)立的I&.C系統(tǒng)應(yīng)運(yùn)行在不同的信號(hào)軌跡。這可以通過多樣性(如設(shè)備多樣性或功能多樣性)來保證。關(guān)于執(zhí)行A類功能系統(tǒng)內(nèi)的CCF應(yīng)對(duì)措施應(yīng)滿足NB/T20068的要求。注2:宜進(jìn)行電廠安全分析層面的活動(dòng)，以驗(yàn)證應(yīng)對(duì)I8-C失效的設(shè)計(jì)措施將處于規(guī)定的A類、B類或C類功能管理功能分配過程將5.3中確立的安全重要I&C功能的總要求分配給I&.C架構(gòu)的單個(gè)系統(tǒng)。必要時(shí)，一項(xiàng)功能可分解為若干個(gè)子功能并分配到多個(gè)系統(tǒng)。所有功能或子功能都稱為I&-C系統(tǒng)的應(yīng)用功a)應(yīng)用功能的功能和性能需求規(guī)格書應(yīng)說明I&.C功能的總要求。如果一個(gè)功能分布于多個(gè)系注1:這包括對(duì)規(guī)定的概率目標(biāo)的實(shí)現(xiàn)進(jìn)行評(píng)估。b)應(yīng)用功能的功能和性能需求規(guī)格書應(yīng)包括所有輔助的確認(rèn)、聯(lián)鎖和監(jiān)督功能(這些輔助功能是在I&.C架構(gòu)設(shè)計(jì)階段確定的),例如，互連系統(tǒng)的狀態(tài)和運(yùn)行模式，從其他系統(tǒng)所接受信號(hào)的確認(rèn)。c)應(yīng)用功能對(duì)系統(tǒng)的分配應(yīng)符合表2中規(guī)定的系統(tǒng)級(jí)別與功能類別的有關(guān)原則。d)A類功能應(yīng)分配給滿足單一故障準(zhǔn)則的系統(tǒng)。e)將同一安全組的A類功能分配給系統(tǒng)時(shí)，應(yīng)考慮5.4.2.6規(guī)定的對(duì)CCF的防御措施。圖C.1給出了不同類別功能分配的例子。f)將應(yīng)用功能分配給系統(tǒng)時(shí)，應(yīng)盡可能降低1級(jí)系統(tǒng)的復(fù)雜性。注3:這點(diǎn)尤其適用于新電廠。但在采用基于計(jì)算機(jī)的系統(tǒng)替代模擬系統(tǒng)的情況下，通常是將原先分配給模擬系統(tǒng)注4:采用如下設(shè)計(jì)方法可以降低系統(tǒng)的復(fù)雜性：——避免使用不能清晰定義和確認(rèn)的復(fù)雜算法和處g)系統(tǒng)中實(shí)現(xiàn)的每個(gè)應(yīng)用功能所要求的可靠性應(yīng)與預(yù)計(jì)可達(dá)到的限值(包括考慮CCF)相一致。h)系統(tǒng)功能分配過程所生成的記錄應(yīng)清晰地識(shí)別每個(gè)系統(tǒng)執(zhí)行的功能(即應(yīng)提供可追溯性)。需要進(jìn)行分析，以驗(yàn)證I&.C系統(tǒng)的架構(gòu)設(shè)計(jì)及功能對(duì)系統(tǒng)的分配。這樣的分析是與設(shè)計(jì)過程一起進(jìn)行的反復(fù)迭代過程(見第6章)。5.4.4.2可靠性評(píng)定及對(duì)CCF防御的評(píng)定20GB/T40444—2021a)宜對(duì)安全重要I&.C系統(tǒng)的可靠性進(jìn)行評(píng)價(jià)。評(píng)價(jià)宜包括對(duì)公共服務(wù)設(shè)施(例如，電源和氣源c)應(yīng)對(duì)執(zhí)行A類功能的安全組的CCF弱點(diǎn)進(jìn)行評(píng)價(jià)，以評(píng)價(jià)應(yīng)對(duì)CCF措施的有效性并確定總體架構(gòu)潛在的薄弱點(diǎn)。d)應(yīng)分析系統(tǒng)的設(shè)計(jì)文件(見6.4.4),以確定在一個(gè)包括A類功能的安全組內(nèi)支持不同功能的共用的或相同的硬件部件或軟件部件。如果在不同防線中發(fā)現(xiàn)共用的或相同的物項(xiàng)，則應(yīng)證明e)還沒有公認(rèn)的方法可定量評(píng)定對(duì)CCF的可能性，因此用于估算CCF可能性的方法基本上是定性的(參見附錄C)。宜在設(shè)計(jì)開始時(shí)規(guī)定所使用的方法。注1:上述建議和要求的目的是為了避免在后期因需求變化而要求對(duì)系統(tǒng)計(jì)劃和設(shè)計(jì)進(jìn)行修改，在這種變更中引入的差錯(cuò)是造成CCF的潛在原因。注2:CCF分析的詳細(xì)程度可取決于系統(tǒng)所支持的功能類別，并將證注3:軟件所導(dǎo)致的CCF的分析要求在NB/T20054—2011的13.3中給出。架構(gòu)設(shè)計(jì)的驗(yàn)證宜包括人因要求的分析以實(shí)現(xiàn)HMI系統(tǒng)設(shè)計(jì)的最優(yōu)化。5.5總計(jì)劃的制定本條提出總計(jì)劃的制定要求，以保證總的I&.C生命周期對(duì)所有單個(gè)I&.C系統(tǒng)的共同要求得到考慮，并保證分布于I&.C系統(tǒng)的安全重要I&.C功能要求在系統(tǒng)的整個(gè)生命周期內(nèi)得到實(shí)現(xiàn)并保持。這部分內(nèi)容應(yīng)結(jié)合6.3要求為單個(gè)I&.C系統(tǒng)制定計(jì)劃?？傆?jì)劃應(yīng)在相應(yīng)的活動(dòng)啟動(dòng)前予以制定。本文件假定已存在符合HAF003要求的核電廠項(xiàng)目總的質(zhì)量保證大綱或最好是集成管理系統(tǒng)，并作為核電廠項(xiàng)目的一個(gè)組成部分用于控制各項(xiàng)活動(dòng)。a)應(yīng)制定并執(zhí)行I&.C系統(tǒng)的質(zhì)量保證大綱，該質(zhì)量保證大綱應(yīng)針對(duì)I&.C安全生命周期有關(guān)的各項(xiàng)活動(dòng)。b)質(zhì)量保證大綱應(yīng)包括為達(dá)到質(zhì)量要求所有必要的活動(dòng)，以及為驗(yàn)證已經(jīng)達(dá)到質(zhì)量要求所開展c)應(yīng)在驗(yàn)證計(jì)劃中規(guī)定各項(xiàng)驗(yàn)證活動(dòng)。驗(yàn)證計(jì)劃包括總的I&.C安全生命周期每個(gè)V&.V階段1)驗(yàn)證活動(dòng)的程序和工具；2)需要保存和驗(yàn)證的記錄；3)需要驗(yàn)證的安全有關(guān)方面；4)錯(cuò)誤和不符合項(xiàng)的糾正程序；5)表明每個(gè)階段完成的準(zhǔn)則；21GB/T40444—20216)需要產(chǎn)生的最終報(bào)告，最終報(bào)告應(yīng)表明每個(gè)階段的輸出與輸入要求相符合或偏差的解決。d)核電廠項(xiàng)目總的質(zhì)量保證大綱應(yīng)對(duì)I&.C系統(tǒng)質(zhì)量保證大綱做出規(guī)劃，并將其包含在核電廠項(xiàng)需要安全防范措施以防止安全重要系統(tǒng)內(nèi)所處理的信息遭受未授權(quán)的修改，包括未授權(quán)的操作(完注1:對(duì)核電廠18-C系統(tǒng)，完整性和可用性要求超過保密性要求。軟件(程序代碼以及參數(shù)和數(shù)據(jù))在設(shè)計(jì)和維護(hù)過程中可能特別容易受到攻擊。需要考慮的威脅包條件下觸發(fā)的。注2:非預(yù)期修改的威脅在系統(tǒng)需求規(guī)格書中說明(見6.2.2.5)。總的安全防范計(jì)劃規(guī)定所應(yīng)采取的程序性的和技術(shù)性的措施，以防止I&.C系統(tǒng)架構(gòu)遭受可能危及安全重要功能的、惡意的和高智力水平的攻擊?？偟陌踩婪队?jì)劃的規(guī)定可以對(duì)1級(jí)、2級(jí)和3級(jí)系統(tǒng)a)應(yīng)制定I&.C系統(tǒng)安全防范計(jì)劃，確定安全重要功能和系統(tǒng)的安全防范要求(見6.3.3)。b)對(duì)未授權(quán)的訪問和修改的風(fēng)險(xiǎn)應(yīng)在生命周期的所有階段(從開始到退役)以系統(tǒng)性的方式來管理。這包括產(chǎn)品研發(fā)和工程樣機(jī)以及將安裝于電廠的I&.C系統(tǒng)。應(yīng)考慮物理訪問和遠(yuǎn)程c)系統(tǒng)的安全防范措施自身應(yīng)對(duì)系統(tǒng)的可靠性和可用性沒有顯著的影響。d)為連續(xù)高水平地維持系統(tǒng)的安全防范特性，應(yīng)制定現(xiàn)場特定的安全防范政策。它應(yīng)包含下列e)執(zhí)行安全重要功能的系統(tǒng)應(yīng)進(jìn)行實(shí)物防護(hù)，以防止未授權(quán)的接近。對(duì)執(zhí)行A類功能的系統(tǒng)，f)不應(yīng)提供從電廠外部對(duì)執(zhí)行A類和B類功能的系統(tǒng)進(jìn)行遠(yuǎn)程訪問的功能，也不宜提供從電廠外部對(duì)執(zhí)行C類功能的系統(tǒng)進(jìn)行遠(yuǎn)程訪問的功能。如果提供通過數(shù)據(jù)鏈接從內(nèi)部或外部訪統(tǒng)失效的風(fēng)險(xiǎn)。注3:防止對(duì)系統(tǒng)的訪問并不排除系統(tǒng)對(duì)外發(fā)送數(shù)據(jù)。h)對(duì)執(zhí)行A類功能的系統(tǒng)的安全防范記錄，應(yīng)定期進(jìn)行檢查；對(duì)執(zhí)行B類和C類功能的系統(tǒng)的5.5.4總的I&C集成和調(diào)試總的I&.C集成是I&.C系統(tǒng)在現(xiàn)場安裝、互連、試驗(yàn)、校準(zhǔn)和準(zhǔn)備投入使用的所有現(xiàn)場技術(shù)活動(dòng)和行政管理活動(dòng)的集合。總的調(diào)試是在電廠投運(yùn)前為保證所安裝的系統(tǒng)和電廠滿足服務(wù)要求所必要的所有現(xiàn)場技術(shù)活動(dòng)和行政管理活動(dòng)的集合。GB/T40444—2021總的I&.C集成和總的調(diào)試過程完成單個(gè)系統(tǒng)的確認(rèn)和安裝(見6.2.6和6.2.7)。應(yīng)滿足以下要求。a)I&.C系統(tǒng)在現(xiàn)場集成后，對(duì)分布于系統(tǒng)內(nèi)的安全重要I&.C功能，其總的功能和性能需求規(guī)格書應(yīng)按所有規(guī)定的電廠運(yùn)行模式予以確認(rèn)。b)通過考慮其他階段的測試范圍(如在制造廠或現(xiàn)場完成的集成和功能測試，或?qū)Ψ鞘捉ê穗姀S的姐妹電廠完成的測試),可以確定應(yīng)執(zhí)行的總的集成和調(diào)試活動(dòng)范圍。應(yīng)證明簡化總的驗(yàn)證注2:在制造廠完成大部分的集成測試以最大限度減少集成I&.C系統(tǒng)的現(xiàn)場測試是良好實(shí)踐。宜在項(xiàng)目早期制定如何將必要的測試分配到不同環(huán)境(使用模擬或仿真信號(hào)測試、在制造廠的集成測試環(huán)境中測試，現(xiàn)場測試)的測試策略。通常，這些測試是電廠業(yè)主對(duì)I&C系統(tǒng)驗(yàn)收工作的一部分。NB/T25040對(duì)進(jìn)行和記錄工廠驗(yàn)收試驗(yàn)(FAT),現(xiàn)場驗(yàn)收試驗(yàn)(SAT)和現(xiàn)場集成試驗(yàn)(SIT)提供了實(shí)際可行的建議。5.5.4.2總的I&C集成計(jì)劃應(yīng)在核電廠項(xiàng)目總的質(zhì)量保證大綱的框架內(nèi)制定總的I&-C系統(tǒng)集成計(jì)劃。除5.5.2關(guān)于質(zhì)量保證1)互連系統(tǒng)的所有接口工作正確；2)故障探測、糾正措施和相關(guān)數(shù)據(jù)的顯示按I&.C功能的需求規(guī)格書正常工作。注：抗擾度試驗(yàn)通常需要將測量(如建立類似現(xiàn)場的條件)、試驗(yàn)(如對(duì)子系統(tǒng)的)和分析相結(jié)合。而且，GB/T17626系列的其他部分為測量和試驗(yàn)提供了指導(dǎo)。c)應(yīng)驗(yàn)證所有設(shè)備和電纜屏蔽到接地母線的接地和等電位連接是正確的。d)應(yīng)對(duì)系統(tǒng)在失去和恢復(fù)外電源情況下以及在電源尖峰情況下的響應(yīng)進(jìn)行試驗(yàn)，以驗(yàn)證系統(tǒng)在電源中斷和恢復(fù)情況下的性能和可用性。e)應(yīng)驗(yàn)證I8.C系統(tǒng)使用地點(diǎn)的環(huán)境條件符合規(guī)定。f)應(yīng)對(duì)系統(tǒng)之間交換的模擬信號(hào)和邏輯信號(hào)進(jìn)行測試，以表明向不同的安全重要功能提供的數(shù)安全重要的系統(tǒng)一起進(jìn)行這些試驗(yàn)，除非能設(shè)計(jì)出較簡單的方法證明發(fā)送給該系統(tǒng)的所有數(shù)員接口和控制切換(如手動(dòng)/自動(dòng))。信息是正確的。試驗(yàn)宜確認(rèn)控制模式切換和時(shí)間順序是正確的。i)應(yīng)對(duì)數(shù)據(jù)通信進(jìn)行試驗(yàn)，以驗(yàn)證數(shù)據(jù)傳輸正確、響應(yīng)時(shí)間(從發(fā)出命令到收到驅(qū)動(dòng)器狀態(tài)的正確指示)是可接受的。試驗(yàn)宜在模擬的正常運(yùn)行工況、事故工況和最壞工況以及模擬的存在硬件失效的條件下進(jìn)行。應(yīng)在電廠系統(tǒng)調(diào)試計(jì)劃框架內(nèi)制定總的I&.C調(diào)試計(jì)劃，以完成I&-C系統(tǒng)的確認(rèn)。下述要求涵蓋了總的電廠調(diào)試程序中I&.C特定的方面：GB/T40444—2021功能和性能符合總需求規(guī)格書；b)在電廠調(diào)試期間，應(yīng)驗(yàn)證和更新I&.C系統(tǒng)的運(yùn)行和試驗(yàn)規(guī)程?？偟倪\(yùn)行計(jì)劃敘述互連的I&C系統(tǒng)的運(yùn)行?？偟倪\(yùn)行計(jì)劃補(bǔ)充單個(gè)I&C系統(tǒng)的運(yùn)行計(jì)劃(見應(yīng)在質(zhì)量保證大綱的框架內(nèi)制定總的I&-C運(yùn)行計(jì)劃，除5.5.2關(guān)于質(zhì)量保證和驗(yàn)證的一般要求外，還應(yīng)包括下述要求。a)計(jì)劃應(yīng)描述：2)用于驗(yàn)證系統(tǒng)可以有效地執(zhí)行安全重要功能的手段；3)為保持安全重要功能要求的可靠性，在電廠運(yùn)行期間需要執(zhí)行的例行工作，例如，定期b)計(jì)劃應(yīng)規(guī)定能對(duì)系統(tǒng)參數(shù)和控制實(shí)施修改的條件，并規(guī)定這些修改對(duì)系統(tǒng)運(yùn)行的影響以及對(duì)電廠運(yùn)行和安全的影響。計(jì)劃還應(yīng)指出哪些修改是可進(jìn)行的：2)在行政控制下，并在設(shè)計(jì)者批準(zhǔn)后以及通過適當(dāng)?shù)脑囼?yàn)和驗(yàn)1)在系統(tǒng)失效或來自系統(tǒng)外部的危害條件下所應(yīng)采取的動(dòng)作，以及對(duì)系統(tǒng)和電廠運(yùn)行的總的維護(hù)計(jì)劃著重于互連的I&.C系統(tǒng)層面上的維護(hù)活動(dòng)，它補(bǔ)充和協(xié)調(diào)單個(gè)I&.C系統(tǒng)的維護(hù)計(jì)應(yīng)在質(zhì)量保證計(jì)劃的框架內(nèi)制定總的I&.C維護(hù)計(jì)劃。除5.5.2關(guān)于質(zhì)量保證和驗(yàn)證的一般要求a)應(yīng)對(duì)單個(gè)I&.C系統(tǒng)的維護(hù)活動(dòng)設(shè)置限制，以保證對(duì)電廠安全的任何影響都是可接受的。特別是在需要時(shí)，系統(tǒng)在維護(hù)期間應(yīng)繼續(xù)滿足單一故障準(zhǔn)則。計(jì)劃應(yīng)確定什么設(shè)備可從運(yùn)行中移b)受事故環(huán)境條件影響的I&-C系統(tǒng)部件應(yīng)采用系統(tǒng)性的方法進(jìn)行試驗(yàn)和更換，以減少其CCF的可能性。該方法宜保證，遭受輻射因而可能加速老化或改變物理特性的系統(tǒng)部件(如電纜、傳感器)、或負(fù)載會(huì)根據(jù)要求而改變(如功率放大器或繼電器的切換)的系統(tǒng)部件，在它們執(zhí)行安全功能的能力下降到不可接受之前得到更換。注1:更換時(shí)間間隔可由代表性設(shè)備的加速老化確定。注2;老化管理的指導(dǎo)見GB/T29308。c)如果維護(hù)活動(dòng)涉及配置或校準(zhǔn)數(shù)據(jù)的調(diào)整，它們應(yīng)由文件化的程序加以控制，該程序文件應(yīng)保證：1)維護(hù)校整處于規(guī)定的限制內(nèi)，(這種限制可能是由系統(tǒng)設(shè)計(jì)和電廠設(shè)計(jì)基準(zhǔn)施加的，在這24GB/T40444—2021種情況下對(duì)維護(hù)人員不需要正式的限制);2)如果這種調(diào)整要在系統(tǒng)正在使用期間進(jìn)行，則應(yīng)滿足5.5.5的3)保存所有維護(hù)調(diào)整的記錄。本條給出從事I&.C工作的電廠人員的培訓(xùn)要求。a)應(yīng)為電廠操縱員和I&.C專業(yè)人員提供運(yùn)行和維護(hù)人員培訓(xùn)大綱。2)教員和學(xué)員用的培訓(xùn)材料、合格教員的可用性；3)培訓(xùn)評(píng)價(jià)；4)加強(qiáng)反饋以改進(jìn)培訓(xùn)的效果。c)操縱員培訓(xùn)應(yīng)針對(duì)在正常和異常的電廠工況下的操作，應(yīng)使用所有相關(guān)的操縱員接口設(shè)備和I&.C功能。d)該大綱宜包括識(shí)別硬件失效和軟件異常的特定培訓(xùn)。對(duì)用戶文檔有如下要求：a)應(yīng)提供I&.C系統(tǒng)的用戶文檔供運(yùn)行和維護(hù)人員使用；b)用戶文檔宜規(guī)定每個(gè)操縱員接口設(shè)備，并按其復(fù)雜性對(duì)每個(gè)設(shè)備的每項(xiàng)功能予以解釋和說明；c)培訓(xùn)應(yīng)使操縱員和維護(hù)人員熟悉與他們?nèi)蝿?wù)相關(guān)的用戶文檔。a)操縱員和維護(hù)人員的培訓(xùn)應(yīng)在能完全代表被培訓(xùn)系統(tǒng)和設(shè)備特性的培訓(xùn)系統(tǒng)上進(jìn)行。培訓(xùn)系統(tǒng)在性能和使用方面的限制應(yīng)是已知的且形成文件。b)操縱員培訓(xùn)用的模擬機(jī)應(yīng)提供真實(shí)的控制室接口并具有實(shí)時(shí)模擬電廠行為(包括I&C系統(tǒng))I&.C架構(gòu)設(shè)計(jì)和功能分配過程的輸出文檔為I&-C架構(gòu)中單個(gè)系統(tǒng)的需求規(guī)格書提供必要的輸入對(duì)架構(gòu)設(shè)計(jì)文檔有如下要求。a)單個(gè)I&.C系統(tǒng)的輸出文檔應(yīng)規(guī)定：1)來自電廠設(shè)計(jì)框架的設(shè)計(jì)限制(見5.2.4);25GB/T40444—20212)來自I&.C架構(gòu)設(shè)計(jì)的設(shè)計(jì)限制(見5.4.2);3)系統(tǒng)之間的實(shí)體邊界和功能邊界。b)宜在文檔中列出所使用的設(shè)計(jì)工具，以說明每種工具如何用以支持系統(tǒng)生命周期的設(shè)計(jì)活動(dòng)。注：關(guān)于1級(jí)系統(tǒng)的軟件工程方法和工具要求在NB/T20054—2011的第7章、第14章和第15章中給出，關(guān)于2級(jí)和3級(jí)系統(tǒng)的軟件工程方法和工具要求在NB/T20055—2011的5.2.1和6.2.1中給出。對(duì)功能分配文檔有如下要求。a)輸出文檔應(yīng)規(guī)定分配給每個(gè)系統(tǒng)的應(yīng)用功能(見5.4.3)的功能要求、性能要求和可靠性要求。表達(dá)。c)需求規(guī)格書的主要用戶是單個(gè)I&C系統(tǒng)的系統(tǒng)需求規(guī)格書的編制人和電廠操縱員。宜為這些人員選擇適合的軟件和系統(tǒng)工程的方法及工具。6.1概述I&.C架構(gòu)設(shè)計(jì)確定執(zhí)行安全重要功能的單個(gè)I&C系統(tǒng)(見5.4.2)。本章提出這種單個(gè)I&C系統(tǒng)的目標(biāo)和要求。本章的要求是針對(duì)基于計(jì)算機(jī)的系統(tǒng)。注：這些要求的大多數(shù)也適用于常規(guī)的I&.C系統(tǒng)。的實(shí)現(xiàn)是通過把與系統(tǒng)開發(fā)、實(shí)現(xiàn)和運(yùn)行相關(guān)的活動(dòng)置于系統(tǒng)安全生命周期的框架內(nèi)進(jìn)行。系統(tǒng)安全生命周期又涉及總的I&.C安全生命周期的各項(xiàng)活動(dòng)(見第5章和圖4)。典型的系統(tǒng)安全生命周期包括下列階段：a)系統(tǒng)需求規(guī)格書；b)系統(tǒng)技術(shù)規(guī)格書；c)系統(tǒng)詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)；d)系統(tǒng)集成；g)系統(tǒng)設(shè)計(jì)的修改(如有)。因?yàn)殍b定可以部分獨(dú)立于系統(tǒng)開發(fā)生命周期進(jìn)行，所以將系統(tǒng)的鑒定單獨(dú)考慮。這符合日益依賴于現(xiàn)有設(shè)備的實(shí)際情況。圖5表示典型的系統(tǒng)安全生命周期，并指明與NB/T20054、NB/T20055和NB/T20298的軟件和硬件生命周期的關(guān)系。表3給出典型系統(tǒng)生命周期各項(xiàng)活動(dòng)的目標(biāo)、輸——對(duì)所有安全重要系統(tǒng)都適用的通用要求；系統(tǒng)生命周期是一個(gè)反復(fù)迭代的過程。每個(gè)階段可在其前一階段的各項(xiàng)活動(dòng)完成前開始，但一個(gè)GB/T40444—2021章條號(hào)輸入活動(dòng)的目標(biāo)輸出6系統(tǒng)生命周期的要求及其與總的安全生命周期的關(guān)系6.2.2系統(tǒng)需求規(guī)格書5.6;5.5的輸出6.3.2,6.3.3的輸出制定系統(tǒng)需求規(guī)格書：——功能；-——設(shè)計(jì)限制；——與其他系統(tǒng)和工具的邊界和接口；-—與人的接口；——環(huán)境條件系統(tǒng)需求規(guī)格書應(yīng)用功能需求規(guī)格書6.2.3系統(tǒng)技術(shù)規(guī)格書6.2.2的輸出候選的現(xiàn)有設(shè)備的文檔6.3.2,6.3.3的輸出評(píng)價(jià)和確定將集成于系統(tǒng)設(shè)計(jì)中的、候選現(xiàn)有設(shè)備的適用性進(jìn)行系統(tǒng)架構(gòu)設(shè)計(jì)以實(shí)現(xiàn)系統(tǒng)需求規(guī)格書將應(yīng)用功能分配給子系統(tǒng)系統(tǒng)技術(shù)規(guī)格書(見6.4.3),包括：——設(shè)備選型及適用性分析——系統(tǒng)架構(gòu)———軟件規(guī)格書6.2.4系統(tǒng)詳細(xì)設(shè)計(jì)和實(shí)現(xiàn)6.2.3的輸出5.2.2的輸出6.3,2,6.3.3的輸出擴(kuò)充和細(xì)化架構(gòu)設(shè)計(jì)開發(fā)硬件和(系統(tǒng)和應(yīng)用)軟件確認(rèn)應(yīng)用功能要求系統(tǒng)詳細(xì)設(shè)計(jì)文件(見6,4,4)功能確認(rèn)和可靠性評(píng)定(見6.2.4.2)硬件和軟件子系統(tǒng)和部件6.2.5系統(tǒng)集成6.2.4的輸出6.3.2,6.3.3,6.3.4的輸出組成系統(tǒng)的單個(gè)硬件部件和軟件部件的裝配集成報(bào)告集成的系統(tǒng)6.2.6系統(tǒng)確認(rèn)6.2,3,6.2.5的輸出6.3.2,6.3.3,6.3.5的輸出系統(tǒng)的確認(rèn)(見注)系統(tǒng)確認(rèn)報(bào)告6.2.7系統(tǒng)安裝6.2.6的輸出6.3.3,6.3.3,6.3.6的輸出系統(tǒng)的安裝和測試安裝報(bào)告現(xiàn)場安裝和測試的系統(tǒng)6.2.8系統(tǒng)設(shè)計(jì)修改修改申請(qǐng)(如果有)6.3.2,6.3.3,6.3.8的輸出系統(tǒng)的改正、提高或匹配修改報(bào)告修改的系統(tǒng)系統(tǒng)計(jì)劃制定5.5,6.2的輸出制定確認(rèn)計(jì)劃、安裝計(jì)劃、運(yùn)行和維護(hù)計(jì)劃、安全防范計(jì)劃系統(tǒng)計(jì)劃系統(tǒng)鑒定6.3.2,6.3.3的輸出制定鑒定計(jì)劃并執(zhí)行鑒定文檔注：單個(gè)I&.C系統(tǒng)的確認(rèn)在總的I&.C集成和電廠調(diào)試框架中完成(見5.4.4)。電廠調(diào)試不屬于本文件的范圍。GB/T40444—2021現(xiàn)有設(shè)備和(或)設(shè)備族的選擇(注1)(注1和注2)設(shè)備(系統(tǒng)軟件和硬件)采購系統(tǒng)集成(注1)系統(tǒng)確認(rèn)(注1和注2)系統(tǒng)安裝(注2)系統(tǒng)修改(注1和注2)應(yīng)用軟件的開發(fā)(注1)和(或)生成開發(fā)(注1和注2)注1:這項(xiàng)活動(dòng)的軟件要求(包括現(xiàn)有軟件的使用)見NB/T20054和NB/T20055。注2:對(duì)1級(jí)和2級(jí)系統(tǒng)，這項(xiàng)活動(dòng)的硬件要求見NB/T20298。圖5系統(tǒng)安全生命周期6.2要求本條規(guī)定系統(tǒng)安全生命周期的要求。這些要求包括與下述項(xiàng)目有關(guān)的特性：——通過功能分配過程分配給系統(tǒng)的特定功能；——按照系統(tǒng)分級(jí)使系統(tǒng)適合于實(shí)現(xiàn)特定類別的安全重要功能的一般特性。注：GB/T15474-2010的第7章給出了I&.C功能的基本要求以及對(duì)不同類別I8-C系統(tǒng)和設(shè)備的特定要求。本文件在對(duì)系統(tǒng)或功能分別制定要求時(shí)，適當(dāng)考慮了這些要求。6.2.2系統(tǒng)需求規(guī)格書本階段的目標(biāo)是提供系統(tǒng)要求的高層次描述，而不涉及采用的具體技術(shù)方案的決策。但是，在I&.C總體架構(gòu)層次規(guī)定的特殊要求(例如對(duì)CCF的考慮)可能對(duì)采用的技術(shù)產(chǎn)生限制。描述I&.C總體架構(gòu)和功能分配的輸出文檔(見5.6)是系統(tǒng)需求規(guī)格書的輸入之一。本階段的輸出文檔用作需求提出者與方案設(shè)計(jì)者之間進(jìn)行交流的參照文件。系統(tǒng)需求規(guī)格書的內(nèi)容應(yīng)包括：a)系統(tǒng)的功能；b)總體性能要求；28GB/T40444—2021c)對(duì)系統(tǒng)設(shè)計(jì)的限制；d)與其他系統(tǒng)的邊界和接口；e)與用戶的接口；f)系統(tǒng)適用的環(huán)境條件；g)所要求的鑒定。所需考慮的功能要求包括對(duì)各個(gè)應(yīng)用功能的要求和對(duì)系統(tǒng)服務(wù)功能的要求。安全重要應(yīng)用功能的需求規(guī)格書由功能分配過程確定(見5.4.3)。a)每個(gè)應(yīng)用功能的需求規(guī)格書應(yīng)規(guī)定。1)功能特性，包括輸入和(或)輸出的范圍和整定值(允許范圍另作規(guī)定)。對(duì)停堆功能，規(guī)格書還應(yīng)規(guī)定整定值與允許值之間的裕度(即包括由校準(zhǔn)誤差或儀器漂移所造成的不確定度)。2)性能特性，包括準(zhǔn)確度和響應(yīng)時(shí)間。適用時(shí)，為不同的電廠初始工況和PIEs規(guī)定不同的性能要求。3)適當(dāng)?shù)男盘?hào)過濾，信號(hào)確認(rèn)和聯(lián)鎖，以實(shí)現(xiàn)后備的運(yùn)行模式和最大限度減少可能的誤動(dòng)作。b)每個(gè)應(yīng)用功能的需求規(guī)格書應(yīng)指明其類別，并指明其是否與同一安全組中的其他功能有獨(dú)立性要求。功能分配過程對(duì)每個(gè)功能類別規(guī)定I&-C系統(tǒng)的最低級(jí)別。同時(shí)考慮同一安全組中各個(gè)功能之間的獨(dú)立性要求(單一故障準(zhǔn)則、對(duì)CCF的防御設(shè)計(jì)),通過這些因素可定性評(píng)估一個(gè)安全組的功能或功能組的可靠性。定量可靠性目標(biāo)可以與每個(gè)應(yīng)用功能相關(guān)聯(lián)，以補(bǔ)充確定性的設(shè)計(jì)過程并輔助系統(tǒng)設(shè)計(jì)和電廠設(shè)計(jì)基準(zhǔn)的驗(yàn)證?？刹捎脧V泛應(yīng)用于硬件部件的技術(shù)評(píng)價(jià)設(shè)備滿足可靠性目標(biāo)的能力，但尚無公認(rèn)的用與應(yīng)用功能不同，服務(wù)功能與工藝過程有關(guān)功能的實(shí)現(xiàn)沒有直接聯(lián)系，但與對(duì)系統(tǒng)的特定活動(dòng)有服務(wù)功能的需求規(guī)格書是由系統(tǒng)需求規(guī)格書的編制者確定的。這些功能要求的明確程度可按情況服務(wù)功能要求宜考慮各種系統(tǒng)計(jì)劃中給出的相互影響和限制(見6.3)。下述要求是對(duì)設(shè)計(jì)限制的規(guī)定，這些限制會(huì)影響系統(tǒng)設(shè)計(jì)及功能在系統(tǒng)中分配的解決方案。限制GB/T40444—2021a)滿足與應(yīng)用功能的類別相關(guān)的要求；b)保證系統(tǒng)將按規(guī)定起作用；c)能夠和方便證明系統(tǒng)正確運(yùn)行。系統(tǒng)架構(gòu)受系統(tǒng)實(shí)現(xiàn)功能的類別(見5.4.3)以及縱深防御原則(見HAF102(2016)的2.4)限制。a)一個(gè)系統(tǒng)可實(shí)現(xiàn)其級(jí)別所允許的最高類別的功能(見5.4.3),同時(shí)也可實(shí)現(xiàn)較低類別的功能。1)每個(gè)子系統(tǒng)的設(shè)計(jì)要求應(yīng)不低于由該子系統(tǒng)所實(shí)現(xiàn)的最高類別功能所需要的設(shè)計(jì)要求；2)系統(tǒng)設(shè)計(jì)應(yīng)保證，在較低級(jí)別設(shè)備失效的情況下，較高級(jí)別子系統(tǒng)和設(shè)備的要求仍得到滿足。b)系統(tǒng)設(shè)計(jì)應(yīng)包括必要的冗余和其他特性，以提供容錯(cuò)(見6.2.3.3.4)并滿足安全重要應(yīng)用功能注1:系統(tǒng)也可包括為滿足可用性要求的冗余，這種冗余要求宜在系統(tǒng)設(shè)計(jì)層面上規(guī)定。c)系統(tǒng)設(shè)計(jì)應(yīng)滿足獨(dú)立性要求(見NB/T20060和6.2.3.3.3),以便：1)防止故障從較低安全重要的系統(tǒng)蔓延到較高安全重要的系統(tǒng)；2)防止故障在提供A類功能的冗余列之間蔓延。d)執(zhí)行A類功能的安全組中系統(tǒng)的設(shè)計(jì)應(yīng)包括足夠的冗余，以便在運(yùn)行和維護(hù)期間滿足單一故障準(zhǔn)則(見6.2.3.5的e)]。注2:軟件造成的失效是系統(tǒng)性失效而非隨機(jī)失效，因此，無法以與硬件設(shè)計(jì)相同的方式將單一故障準(zhǔn)則用于系統(tǒng)的軟件設(shè)計(jì)。在每個(gè)系統(tǒng)和I&.C架構(gòu)的層面上考慮由軟件CCF在每個(gè)防御線內(nèi)和冗余子系統(tǒng)間所造成的可能影響(見NB/T20068)。6.2.2.3.3系統(tǒng)內(nèi)在特性系統(tǒng)內(nèi)在特性設(shè)計(jì)要求如下。a)基于計(jì)算機(jī)的系統(tǒng)設(shè)計(jì)宜保證系統(tǒng)具有可預(yù)見的、滿足所實(shí)現(xiàn)功能的性能要求的特性。注1:如果在所有要求的條件下激勵(lì)源與響應(yīng)之間的時(shí)間延遲有一個(gè)可保證的最大和最小值，則可認(rèn)為基于計(jì)算機(jī)b)應(yīng)選擇通信技術(shù)并決定其規(guī)模，以便在各種預(yù)計(jì)電廠瞬態(tài)(包括全廠斷電情況下的雪崩式狀態(tài)改變)產(chǎn)生的所有數(shù)據(jù)負(fù)荷下滿足性能要求。c)為高度保證確定特性，1級(jí)系統(tǒng)宜采用如NB/T20054—2011中附錄C那樣的技術(shù)(特別是關(guān)于執(zhí)行時(shí)間的C.3.4和關(guān)于中斷的C.3.5)進(jìn)行開發(fā)。采用靜態(tài)調(diào)度方式運(yùn)行的技術(shù)(見注2)要比采用中斷方式更可取。注2:“靜態(tài)”定義為計(jì)算機(jī)程序在運(yùn)行期間保持不變的特性(如啟動(dòng)后在運(yùn)行期間既沒有生成也沒有破壞數(shù)據(jù)結(jié)d)2級(jí)系統(tǒng)可采用與c)中規(guī)定不同的技術(shù)進(jìn)行開發(fā)。在這種情況下，系統(tǒng)設(shè)計(jì)宜保證系統(tǒng)將在所有要求的電廠工況下充分執(zhí)行其功能(詳見NB/T20055—2011)。e)為增強(qiáng)1級(jí)系統(tǒng)和2級(jí)系統(tǒng)承受非預(yù)期工況的能力：GB/T40444—2021設(shè)計(jì)裕度的充分性；a)系統(tǒng)宜設(shè)計(jì)成可以盡早地探測出差錯(cuò)和故障，以保持所要求的系統(tǒng)可用性。自測試功能可以探測故障，但會(huì)給系統(tǒng)引入復(fù)雜性，兩者之間宜取得平衡。NB/T20054—2011的6.2和附錄B.2.2關(guān)于自監(jiān)督的要求宜對(duì)每個(gè)級(jí)別的系統(tǒng)都盡可能考慮。故障輸出切除)。d)對(duì)1級(jí)系統(tǒng)，自測試功能應(yīng)滿足NB/T20054和NB/T20298的要求?？稍囼?yàn)性要求如下：4)輸出驅(qū)動(dòng)的試驗(yàn)。b)應(yīng)采用IEC60671的原則。d)系統(tǒng)應(yīng)設(shè)計(jì)成能對(duì)系統(tǒng)維修和重新校準(zhǔn)的正確性進(jìn)行確認(rèn)。這應(yīng)包括下述檢查：1)正確恢復(fù)電氣連接；2)正確校準(zhǔn)模擬量測量值以及各種相關(guān)報(bào)警閾值；3)系統(tǒng)具備執(zhí)行其安全重要功能的能力。注：NB/T20298—2014中第11章的維護(hù)和試驗(yàn)要求適用于安全重要的1級(jí)和2級(jí)基于計(jì)算機(jī)的系統(tǒng)。e)當(dāng)設(shè)備布置在通常情況下不能接近的位置(如反應(yīng)堆安全殼內(nèi))時(shí)，宜對(duì)其設(shè)計(jì)給予特殊考慮。為保證系統(tǒng)在I&.C架構(gòu)中的集成，應(yīng)按第5章的有關(guān)要求規(guī)定下述信息：a)系統(tǒng)在電廠中預(yù)期的安裝位置和物理限制(見5.2.4);GB/T40444—2021b)系統(tǒng)與支持系統(tǒng)和設(shè)備之間的物理接口和功能接口(見5.2.4);注：安全重要18.C系統(tǒng)的電源要求見NB/T20071。c)系統(tǒng)和與其交換信息的其他系統(tǒng)和設(shè)備之間的物理接口和功能接口(見5.4.2.4);d)與軟件工具的接口，這些軟件工具用于規(guī)定系統(tǒng)之間的數(shù)據(jù)交換并驗(yàn)證交換數(shù)據(jù)的一致性(見注：對(duì)惡意修改的防范在安全防范計(jì)劃中做出規(guī)定(見6.3.3)。應(yīng)根據(jù)電廠實(shí)際情況的限制，對(duì)系統(tǒng)需要經(jīng)受的正常和極端環(huán)境條件的范圍做出規(guī)定(見5.2.4)。需要規(guī)定的環(huán)境條件包括：注1:以下標(biāo)準(zhǔn)提供了與電磁干擾有關(guān)的詳細(xì)指導(dǎo)：GB/T17799.2和GB17799.4規(guī)定了最低的抗擾度等級(jí)和發(fā)射限值。GB/T17626系列標(biāo)準(zhǔn)提供了可接受的鑒定試驗(yàn)方法。NB/T20218提供了鑒定參數(shù)的補(bǔ)充澄清以及GB/T17626系列標(biāo)準(zhǔn)的準(zhǔn)則以保證滿足核安全的要求(如對(duì)1級(jí)或2級(jí)系統(tǒng))。c)電源和散熱條件。安全重要系統(tǒng)應(yīng)進(jìn)行鑒定?；谟?jì)算機(jī)的系統(tǒng)鑒定包括硬件(包括符合適用的環(huán)境條件)、系統(tǒng)軟注1:還需要考慮工具的鑒定。所選擇的鑒定方法取決于對(duì)工具的可靠性要求、工具引入差錯(cuò)和缺陷的風(fēng)險(xiǎn)、以及對(duì)工具輸出的驗(yàn)證范圍。NB/T20054和NB/T20055對(duì)此提供了指導(dǎo)。鑒定確認(rèn)設(shè)計(jì)和設(shè)備與要求的符合性。它涵蓋了系統(tǒng)技術(shù)規(guī)格書中的所有方面，即系統(tǒng)特性與將要求細(xì)分到系統(tǒng)層面以及細(xì)分到系統(tǒng)將使用的現(xiàn)有硬件和軟件層面是很好的實(shí)踐。這種方法便于采用分步的方法進(jìn)行鑒定，即采用現(xiàn)有設(shè)備的已有鑒定證明(預(yù)鑒定，通用鑒定),或?qū)τ布考蛙浛尚行浴Ｔ斠?.5。本階段的目標(biāo)是提供系統(tǒng)硬件和軟件架構(gòu)的頂層描述，規(guī)定為實(shí)現(xiàn)系統(tǒng)功能要使用的或待開發(fā)的系統(tǒng)需求規(guī)格書和候選的現(xiàn)有設(shè)備的文檔屬于系統(tǒng)技術(shù)規(guī)格書輸入資料的一部分。本階段的輸出文檔(見6.4.3)將作為系統(tǒng)生命周期后續(xù)階段為實(shí)現(xiàn)該軟硬件結(jié)合的系統(tǒng)所開展的GB/T40444—2021各項(xiàng)活動(dòng)的輸入。系統(tǒng)技術(shù)規(guī)格書應(yīng)規(guī)定：a)所使用的設(shè)備；b)單個(gè)1&.C系統(tǒng)的架構(gòu)；c)軟件需求；d)應(yīng)用功能在子系統(tǒng)中的分配。注1:現(xiàn)有部件可以是商品級(jí)物項(xiàng)(也稱為“COTS”)或某個(gè)制造商內(nèi)部使用的專有產(chǎn)品。注2:NB/T20054—2011第15章為A類功能規(guī)定了可復(fù)用現(xiàn)有軟件的接收準(zhǔn)則。NB/T20055—2011的5.3和a)應(yīng)評(píng)價(jià)和確定候選部件的適用性，以證明它們的特性符合系統(tǒng)需求規(guī)格書的要求。b)候選部件的適用性評(píng)價(jià)和確定宜以兩套文檔的比較為基礎(chǔ)：系統(tǒng)需求規(guī)格書和現(xiàn)有部件的文檔。后者包括產(chǎn)品技術(shù)說明書以及(如可得到)預(yù)鑒定報(bào)告。c)應(yīng)滿足下述要求：1)應(yīng)分析所提供的文檔是否對(duì)所有部件的功能和特性做了明確規(guī)定；工具。2)未明確規(guī)定的特性應(yīng)由分析和試驗(yàn)來確定并使其明確；3)根據(jù)文檔應(yīng)可以確定在預(yù)期的部件配置下電廠應(yīng)用功能的可靠性和性能；4)文檔應(yīng)規(guī)定現(xiàn)有部件相關(guān)的軟件工程方法和工具的功能和特性；5)應(yīng)確定不使用的功能(即包含在設(shè)備內(nèi)但不會(huì)用到的功能),并證明這些功能不會(huì)危及所要求的功能。注4:如果現(xiàn)有部件的有些屬性和特征在設(shè)備文檔中沒有明確規(guī)定，或者為滿足系統(tǒng)需求征或功能的使用作了限制，則可能需要為該部件生成一份專門的、定制的文檔作為特定應(yīng)用鑒定的基礎(chǔ)(見d)如果發(fā)現(xiàn)系統(tǒng)需求規(guī)格書與設(shè)備族的技術(shù)說明書之間存在差異，表明該設(shè)備不適合預(yù)期系統(tǒng)的級(jí)別，則應(yīng)拒絕該設(shè)備。適用性評(píng)定