NB T 20026-2014 核电厂安全重要仪表和控制系统总体要求.pdf

1、啕. ICS 27.120.20 F 83 备案号:47830-2015 F、1主中华人民共和国能源行业标准NB/T 20026-2014 代替阳/T20026-2010 核电厂安全重要仪表和控制系统总体要求General requirements for instrumentation and control systems important to safety in nuclear power plants 2014 - 10 -15发布2015 - 03 -01实施国家能源局发布NB/T 20026-2014 目次前言. . . . . . . . . . . . . . . . .

2、. . . . . . . . . . . . . . . . . . . . 111 引言.VI 1 范围. 2 规范性引用文件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 3 术语和定义.2 4 缩略语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

3、. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 5 总的I配安全生命周期. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 5.1 概述. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4、. . . . . . . . . . . . . . . . . . . 11 5.2 由电厂安全设计基准导出I配要求. . . . . . . . . . . . . . . . . . . 13 5.3 输出文档. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 5.4 1航总体结构设计和I配功能分配. . . . . . . . . . . . . . . . . . . . . . . 16 5.5 总计划的制定.20 5.6 输出文挡.24 6 系统安全生命周期.，.25 6. 1 概述.25

5、 6.2 要求.25 6.3 系统计划制定.37 6.4 输出文档.41 6.5 系统质量鉴定.46 7 总的集成和调试.49 7.1 概述.49 7.2 目标要求.49 7.3 输出文档.50 8 总的运行和维护.50 8.1 概述.50 8.2 目标要求.50 8.3 输出文档.，.四附录A(资料性附录)核电的基本安全问题. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 附录B(资料性附录)功能分类和系统分级.54 附录C(资料性附录)定性防御CCF的方法.58 附录D(资料性附录)IEC 61508与本标准和核应

6、用领域标准的关系.62 附录E(资料性附录)本标准规范性引用文件中国际文件与我国文件的对应关系.69 参考文献.70 I NB/T 20026-2014 图1本标准的整体结构. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VII 囤2基于计算机的系统中硬件与软件的典型关系. . . . . . . . . . . . . . . . . . . . . . . . . . . 10 图3系统故障、随机故障与系统性缺陷之间的关系. . . . . . . . . .

7、 . . . . . . . . . . . . . . 10 图4总的I&C安全生命周期与单个I&C系统安全生命周期之间的关系. . . . . . . . . . . . . 13 图5系统安全生命周期.26 图6系统质量鉴定计划中与产品和电厂特定应用有关的主要内容.47圈B.1 I&C功能与I&C系统之间的关系.55图C.1I&C系统安全组的功能分配示例.58表1总的I&C安全生命周期概况.四表2I&C系统级别与I&C功能类别之间的关系.四表3系统安全生命周期的概要.27 表且1I&C系统典型的分级.57 表D.1 IEC 61508. 1与本标准之间的对应关系.63表D.2IEC 61

8、508.2与本标准之间的对应关系.65表D.3IEC 61508.4某些重要术语与本标准和核应用领域定义之间的对院关系.67表E.1 本标准规范性引用文件中国际文件与在国文件的对应关系.69II NB/T 20026-2014 前本标准按照GB厅1.1-2009给出的规则起草。本标准使用重新起草法修改采用IEC61513:2011 囚-且|囚丈二队C 8 出一1.级系统特性要求和设备族的质量鉴定的要F二工赠与l圄例不同的战C设备族口口ono实现同一安全纽功能的I&C系统2D-二说明zFA 与A类相关的功能的范围FA1-FA2 将FA功能分解为两组多样性功能Fx 作为备用实现的、凡的功能的相关子

9、组FA一一.FA1-FA2 *见表4见表5图C.lI&C系统安全组的功能分配示例58 NB/T 20026-2014 设备的特性要求和质量鉴定的要求，例如，对环境的鲁棒性和软件的鲁棒性，可通过选择适当的设备族得到。对系统的要求集中关注设计措施，例如，系统结构的故障容错，以及为保证功能特性正确采取的设计过程V&V的充分性。图C.l给出安全组功能分配I&C系统的一些例子，这些例子反映满足可靠性要求的不同设计策略。这些策略的选择基于对CCF不同防御措施的有效性分析。FA1-FA2 :这个安全组的范围包括两个功能多样性的A类功能FA1lFA2。对这种情况，CCF分析需要证明，采用功能多样性可以提供对C

10、CF的有效防御。因此，这两个功能可采用由同一设备族构成的独立的1级系统实现。FA-Fx:这个安全组的范围包括一个主要的A类功能FA1和一个附加的B或C类功能，Fx作为备用手段。在这个情况下，CCF分析应证明，采用设备多样性才能对关注的CCF提供充分的防御。FA功能分配给一个1级系统，而Fx功能则采用由不同设备族构成的2级系统实现，以提供设备的多样性。FBl一FB:这个安全组的范围包括两个功能多样性的B类功能FB1和FB0 CCF分析应证明，采用设备多样性和功能多样性才能对关注的CCF提供充分的防御。FB1功能分配给一个l级系统，而FB功能则采用由不同设备族构成的2级系统实现，以提供设备的多样性

11、。FC1和lFc的情况类似前L面的例子。C.2 安全组对CCF敏感度的例子以下是儿种典型情况z示例1: 安全组由一个具有3个相同冗余通道的系统组成，实现中白旧单一保护功能A去全驱动CCF 可能的起网可能的防御可能性:(H)=高;(M)=中;(L)=低有效性!(H) =j苟;(M)=中;(L)=低一一应用功能A的需求规格书的a个错误(H)技术规格书的独在验证(M)一一应用软件规格书或开发中的缺陷或系统软件模块中的缺陷(M)o3个通道中类似的信号传播可能引发的失效(对1级系统为(L)1级系统开发(M)一-IH厂危害造成3个通道硬件同时发生故障实体独立性、电气独立性(H)-3取2表决故障(或通道采取

12、的其他动作)1级系统开发(H);可靠的经验反馈(标准模式)(H) -59 NB/T 2002&一.2014示例2:传感器的3个通道qb $ 安全组由一个具有3个冗余通道的系统组成，实现单一囚保护功能A.这3个通道采用公共的需求规格书和不同的软件实现(单元P，Q，R)动作组合-咽=萨r属骨怕-旧-噜-吗占CCF可能的起因可能的防御可能性:(H)=高;(M)=中:(L)=低有效性:(H)=高;(M)=中I(L)=低一一应用功能A的需求规格书的一个错误(H)同例l-一一应用软件规格书或开发巾的缺陷或系统软件模块中1级系统开发(M)的缺陷(M)o3个通道中类似的信号传播可能引发缺点g多种软件实现的故障

13、(L)一一一一电厂危害造成3个通道硬件同时发生故障同例1一-3取2表决故障(或通道采取的其他动作)|司倒l示倒3:保护传感器控制室中的予严控制安全组由一个两通道系统组成，这两个通道工作方式不同，但执行同一保护动作。软件A使用模块软件B使用模块M. N M. N 假设操纵员拥有足够的反应时间和信息表决保护功能控制逻辑操作.kT一一一一安全驱动CCF潜在的起国可能的防御可能性:(H)=高:(M)=巾;(L)=低有效性:(H)=高;(M)=中;(L)=低一一两个功能的需求规格书的个错误(H)由功能多样性提供防御(自动:于动)(H) 一一应用软件规格书或开发中的缺陆，或公用系统软件1级系统开发(H)模

14、块M.N中的缺陷(对异步操作为(L)。一一电f危害造成两个通道硬件同时发生故障同例1一-3取2表决故障(或通道采取的其他动作)手动控制操作在表决器的下捞起作用(H)60 NB/T 2002&-2014 示倒4:传感器P传感器Q传感器R控制由由自通迫使用不同传感器和驱动器，但使用类似的硬件控制P控制Q控制RCCF潜在的起间可能的防御可能性:(H=商:(M)=中zL)=低有敬性z但F高;(M)=中;(L)=低一-3个功能的需求规格书的-个错误(H)功能多样性印，Q, R)提供防御(H)一一应用软件规格书或开发中的缺陷，或公用系统软件完全独立的硬件模块M，N巾的缺陷(对异步操作为(L)o11级系统开

15、发(H)信号传播不同(L)一一电厂危害造成系统通道硬件同时蚀障同倒l一-3取2表决故障(或通道采取的其他动作)手动控制操作在表决器的下游起作用(H)示例5:W系统传感器Y系统传感器1 T i 停堆检测的3安全组由分布;在两个不同系统中的多样性保护功能W停堆检测的3和Y组成(多样性的硬件和系统软件可能有某些类似性，取2表决取2表决例如，口J能有类似的算法、类似的定时特性、类似的文肉、公共设计开发人员)L一r 安全驱动W安全驱动Y反应堆停雄或安全动作CCF潜在的起阿可能的防御可能性z阴)=高;(M)=中;(L)=低有效性;(H)=高1(M)=中;(L)=低一一所有功能需求规格书一个错误咱)功能多样

16、性(W.y)提供防御(H)一一应用软件规格书或开发中的缺陷，或公用系统软件模块M.N中的缺陷(对异步操作为(L)。完全独恒的硬件信LJ轨迹(变化)不同的(L)1级系统开发(H)某些类似信号轨迹变化)的时能性一-电厂危害在系统通道的硬件巾|司时发生的故障!司J1 -一两个安全驱动动作放障(L)不同(多样)的驱动系统(H)61 NB/T 20026- -2014 附录D(资料性附录IEC 61508与本标准和核应用领域标准的关系D.1 概述本附录比较本标准与IEC61508-1:2010, IEC 61508-2:2010和IEC61508-4:2010异同。因为IEC61508的第3，第5，第6

17、和第7部分超出本标准的范围，所以未加考虑。例如，IEC 61508的第3部分关于软件的内容由NB厅20054-2011考虑。本附录包括4章z-0.2，确定本标准与IEC61508在范围和概念方面的主要差异:-0.3，本标准与IEC61508-1(总体要求)的比较:一-0.4，本标准与IEC61508-2 (系统方面的比较:一-D.5，本标准与IEC61508-4 (定义)的比较。缩略语E尼川PESElectricallectronicIProgramming electronic system EUC Equipment under control SIL Safety integrity l

18、evel 0.2 范围和概念的比较首先考虑两项标准在范围方面的某些重要差别。电气/电子/可编程电子系统被控设备安全完整性等级IEC 61508讨论的系统可以是采用电气、电子或可编程电子等任何一项技术的系统，而本标准，尽管包括的体系结构要求原则上对这3项技术都适用，但主要关注的是基于计算机的系统。IEC 61508指的是一般意义上的安全有关系统，而本标准指的是安全重要系统，按IAEA的实践安全重要即对核安全重要。注2通常采取的做法是，核电厂中执行传统安全功能(如，关注人员安全，设备保护，化学危害，工艺能量危害)的I&C系统的设计采用以基本安全标准IEC61508的要求为基础的国际或国内标准。a)

19、 总的安全生命周期的范围IEC 61508的总的安全生命周期包含被控设备的安全设计所涉及的全部系统，包括I&C系统(E厄lPE)、其他技术的系统和降低外部风险的设施。本标准不专门讨论电厂安全分析，也不规定对从安全分析产生的性能和可靠性要求进行充分性评定的方法。核领域电J.安全设计的实践是依据专门的IAEA原则、IEC准则和国家法规来执行，这超出了本标准的范围。电f设计基准规定了PIEs及其发展过程、电J的纵深防御概念、用于提供防御的功能类别。但本标准规定了电J设计基准和安全分析应给I&C开发者提供必要的输入信息，用于指导后续的I&C系统设计。62 b) 总的安全确认和(或)评定本标准要求，对每

20、个分布的安全重要功能的总的验证和确认，并记录在总的集成和调试报告中。在核领域，该报告关于安全充分性的评定在许可证审批程序的框架内加以控制。c) I&C系统和I&C结构NB/T 20026-2014 本标准中的I&C系统等同于IEC61508中的凹EIPE系统。在本标准中，系统结构(见第5章规定了许多执行安全豆耍功能的单个系统，每个系统具有规定级别和独立性要求。在第6章，对其中每一个单个系统规定了独特的安全生命周期。在IEC61508中，分解为多个系统的工作在第2部分描述。应记住这个差别以避免误解。d) 安全完整性等级和分级IEC 61508按系统需要提供的风险降低水平，来划分CB系统所要求的安

21、全完整性等级。这是通过下列工作实现的z确定危害有关风险的严重性、评定危害的颇度，以及为将危害造成的风险降低到容许水平需要系统提供的保护能力。核工业习惯上采用确定论的方法，来确定系统的安全重要性及其在可能的功能丧失情况下对风险严重性的影响(J.!.IAEA安全导则和IEC61226:2009)。对防止或缓解放射性释放后果的任何系统，一般认为有必要采用最高可行的完整性。对防止放射性释放的支持系统，但不直接防止或缓解放射性释放，可采用较低的完整性等级。冈此，在核领域普遍使用的分级与JEC61508中提出的对可靠性和(或)风险降低的安全完整性等级(SIL)不存在等效关系。在核工业领域一般认为这种确定论

22、方法是足够的，并导致实际上为所有保护功能设定了很高的目标。然而，核领域的确也认同数值计算方法，而概率安全分析(PSA)的方法可为CB系统的可靠性提供清晰的目标。IEC 61508给安全功能指定的完整性等级与核工业领域使用的核安全功能分类是非常相似的。然而，在指定的程序，方面存在显著差别:一一在IEC61508中，对安全完整性等级的指定是基于危害概率和风险分析:一一在IEC61226:2009中，对核安全功能的类别指定是基于确定论准则以及功能失效后果的工程判断。D.3 IEC 61508.1与本标准之间的对应关系IEC 61508.1与本标准之间的对应关系参见表D.l。表D.lIEC 61508

23、.1与本标准之间的对应朵系lEC 61508.1 本标准5 文档5.6 输IB文梢6 功能安全的特理5.5.2 依据IAEAGS-R-3和lAEAGS-G-3.1 ，与核电j栩犬的所有沾动均包括在QA大纲或集成节理系统巾。7 总体安全生命周期的要求5 玄全I&C生命周期框架7.1 总体要求总体安全生命周期包括E尼IPES、其他技术、外部风险降低总的1&C友余生命周期包拈安全重要的I&C功能、系统和设备和l&C系统的总体结构(参见D.2的a)项- . 7.2 概念被控设备(EUC)及其所要求的控制功能和物理环境的描述电!安全设计某准的考资(5.2) 一一响应规址:的环埃条件(5.2.4) -一安

24、全重要的l&C功能一一自动及操纵员于动危害源的确注:内部或外部危害由电J安全设计某准规定，是l&C的输入(5.2.4)(参见D.2的a)项)63 NB/T 20026-2014 表0.1IEC 61508.1与本标准之间的对应关系(续)IEC 61508.1 本标准7.3 总体范围定义确定EUC的边界确定电r和(或)I&C的边界(5.2.4) 规定危害分析和风险分析的范闹以及事故引发事件PIE事件由电厂安全设计基准定义，并是I&C的输入(5.2)参见0.2的a)项一-一-，一一-一一十二-一一7.4 危害和风险分析 确定EUC的危害超lfl本标准的范罔，是电厂设计基准的一部分参见D.2。的a)

25、项)一-确定EUC控制系统的危害对I&C确定性的限制例如，A类功能的单-.故障准则、l功能隔离)白电J设计基准导出_J一-二十一-一一一一-一一二十二一一确应事件对危害事件的事件序列PIE序列由电J安全设计基准规定，并是I&C的输入(5.2)(参见0.2的a)项)确定EUC的风险I&C功能的分类是I&C的输入(5.2.3)(参见0.2的a)项)7.5 总体安全要求5.3 总的I&C功能、系统和设备需求规格书规定必需的安全功能，总的安全重要的r&C功能需求规格书由电厂设计基准导它们包括z出，它们包括z安全功能需求规格书功能和性能需求规格书(5.3的a)1)和a)2) 一-一一一一一一一一-二一一

26、-安全完整性需求规格书I&C功能分类的技术规格书(5.3的a)3) 独)i.性需求规格书(5.3的b) 总体安全要求规范，包括地C(E尼加E系统)、其他技术系其他技术措施和风险降低措施由电!设计基准按纵深防统和风险降低设施御原则规定，超出本标准范围(参见D.2的a)项)7.6 安全要求分配5.4.2 I&C的结构设计5.4.3 功能分配系统的主全功能分配和每个功能的安全完整性等级分配将整个I&C分解为足够的合适级别的单个I&C系统将写-虑CCF的可能性(7.6.2.7)，并限定单个EIPE完整性按分级、纵深防御并宅虑CCF，分配I&C系统的I&C功的日标左手争性:(7.6.2.11) 能总的计

27、划制定5.5 总的计划制定6 功能安全的管理5.5.2 总的原量保证大纲一7.8 整体安全确认计划编制5.5.4 总的集成和调试计划5.5.3 总的安全防范计划7.9 整体安装和试运行计划编制5.5.4 总的集成早日调试计划7.7 整体操作和维护计划编制5.5.5 总的运行计划一一一5.5.6 总的维护计划5.5.7 培训的计划7.10 安全需求规格书6立2系统商求规格书7.1 1 实现:E尼IPES6 系统安全生命周期见IEC61508.2 (系统方而)见第61在(系统安全生命周期见IEC61508.3 (软件需求)软件超出本标准的范围7.12其他风险降低措施一规范和实现超出本标准的范罔(参

28、见0.2的a)J9) ._一64 NB/T 22&-2014 表D.1IEC 61508.1与本标准之间的对应美系(续)IEC 61508.1 本标准7.1 3 总的安装和试运行7 总的集成和调试7.14 总体安全确认7.1 总的调试确认自凹PE撞配置满足总的需求规范验证和确认分布在一个以上系统中的安全重要功能6.4 系统质量鉴定7.1 5 总的操作、维护和修理8总的运行和维护7.16 总的修改和改型1、拖圄本标准或一部分适用于新核电r的I&C以及升级或改型核电厂的I&C7.1 7 停用或处理超出本标准的范围7.18 验证5.5.2 总的质量保证大纲-_. 8 功能安全评估调查并判定自凹PE系

29、统实现功能安全在核领域，这个评定与取证过程相联系，并取决于安全机构和国家规章D. 4 IEC 61508.2与本标准的对应关系IEC 61508.2与本标准之间的对应关系参见表0.20表0.2IEC 61508.2与本标准之间的对应关系IEC 61508.2 本标准5 文档6.4 输出文档但1些能安全管理5.5.2 总的质量保证大纲7 FJ凹PES安全生命周期要求6 系统安全生命周期E尼IPES安全生命周期的框架包括E尼IPES系统的目标和要系统安全生命周期的框架包括I&C结构的单个地C系统的求目标和要求参见D.2的c)项一7.1 一般要求对所有阶段，表l表示目标和要求、每个阶段的范围、该阶对

30、所有阶段，表3表示目标和要求、每个阶段的范围、该段要求的输入、要求的输出阶段要求的输入、要求的输出一7.2凹凹PES安全要求规范6.2.2 系统需求规格书官包括z它包括z安全功能需求规范应用功能需求规格书服务功能需求规格书环境条件(6.2.2.安全完整性要求规范I&C系统功能的分类(从当.3输入);系统设计限制要求l(6.2.2.3 ) 系统分级一一-7.3 凹凹PES安全确认计划编制6.3 系统计划-一-，-二甲65 NB/T 20026-2014 表0.2IEC 61508.2与本标准之间的对应关系(续)IEC 61508.2 本标准一-系统确认计划(6.3.5) 一-一应用功能需求规格书

31、的功能确认(6.2.4立1)二十一系统质量鉴定(6.5)，中一7.4 E尼IPES设计与开发6立3系统技术规格书6.2.4 系统详细设计和实现7.4.2 总体要求一一设计限制(6.2.2.3)F一系统结构(6.2.2.3)系统技术规格书(6.4.3)7.4.3 集成部件以达到所要求的系统性能力一二系统安全生命周期(6)一设计限制(6.2.2.3)7.4.4 硬件安全完整性的结构限制一一设计限制(6.2.2.3)山坐一茸化随机硬件失效后果的要求-一可靠性评应(6.2.4.2.2) -一一7.4.6 避免系统故障的要求一一I&C总体结构设计(5.4.刀，以满足纵深防御原则 -7.4.7 系统故障的

32、控制要求一一-可靠性评定和对CCF防御的评定(5.4.4.2)一一人国评比(5.4.4.3)一一子系统的位置分布(6.2.3.3.2)一-在k立性(6.2.3.3.3) 一一对故障蔓延及其不利影响的防御(6.2.3.3.3) 7.4.8 故障探测时对系统行为的要求一一系统结构(6刀.3.2)白监督和容错(6.2.2.3.4) 7.4.9 E尼IPES实现的要求一一现有部件的选择(6.2.3.2)7.4.10 对经使用验证部件的要求一-现有部件的选择(6.2.3.2)，并引用NB厅20054-2011 , NB/520055和IEC60987:2007中特定的指导7.4.11 数据通讯的附加要求

33、一一数据通讯(5.4.2.4)和EJ厅1223一一系统内在特性(6.2.2.3.3) 7.5 E尼IPES集成6立5系统集成7.6 EIPES操作和维护规和6.3.7 系统运行计划j一一一7.7 EIPES的安全确认6.2.6 系统确认J 7.8 E尼IPES的修改6.2.8 系统修改7.9 E尼IPES的验证6.3立2系统验证计划8 功能安全评估参见D.3，最后一项见IEC605081 注:IEC 61508和本标准的这J些条款涉及同一的标题，但;本标准对I&C功能的要求与实现该功能的I&C系统的要求加l以怪别。D. 5 IEC 61508.4某些重要术语与本标准和核应用领域定义之间的对应关

34、系IEC 61508.4某些重要术语与本标准和l核应用领域定义之间的对应关系参见D.366 NB/T 20026-2014 表D.3IEC 61508.4某些重要术语与本标准和核应用领域定义之间的对应关系标题风险分析一一一IEC 61508.4 本标准3.1.2危害3.25 危害伤害的潜在根源。(ISOIIEC导则51)拉t该术语包括短时内发生的对人员的威胁(如着火或爆炸)，以及对人体健康长时间有影响的威胁如有毒物质的释肢纵深防御3.4.2 外部风险降低设施纵深防御概念参见A的风险降低或缓解的手段的，其是独立井不同的系统，不外部风险降低概念隐含在考虑纵探防御概念和防线的核电使用ElPE安全有关

35、系统。厂安全分析中.去全重要系统3.4.1 安全有关系统3.33 安全重要物项所指的系统E一一必需要能实现要求的安全功能以为达到或保持EUC的安全状态1并且一一自身或与其他EIPE安全有关系统、其他技术安全有关系统或外部风险降低设施一道，能够达到要求的安全功能所需的安全完整性。I&C系统3.2.13 电子/电气/可编程电子也尼iPE)3.29 I&C系统基于电气也和或)电子(E)和(或)可编程电子(PE)的技术。可靠性-一-3.5.4 安全完整性3.43日J靠性在规定的条件下和规定时间内，安全有关系统成功实现所要求安全功能的概率。注3:在确定安全完整性的过程中，应包括导致非安全状态在本标准中，

36、可靠性的评定通常是定性的见6工2.2.2)的所有失效(随机硬件失效和系统失效)的起肉，例如(见6.2.2.2和6.2.4.2.2)硬件失效，软件导致失效以及由电气干扰引起的失鼓，其中有些类型的失效，尤其是随机硬件失效，可采用危险失效模式的失效率或安全有关保护系统扣动概率来量化。但是，系统的安全完整性也取决于许多无法精确定量仅可定性考虑的因素.67 NB/T 20026-2014 表D.3IEC 61508.4某些重要术语与本标准和核应用领域定义之间的对应关系(续)标题风险分析IEC 61508.4 本标准安全重要系统的分级3.5.8 安全完整性等级3.6 J&C系统的级别离散的等级(4个uJ能

37、等级之一)，用于规定分配给所布安全有关的部件、构筑物和系统根据其功能和安E尼IPE安全有关系统的安全功能的安全完整性要求。其中全重要性分级，同时，系统的设计、制造和安装后的质量安全完整性等级4是最高的，安全完整性等级1是最低的。与分级相符。(IAEA 75-INSAG-3:第78章)IEC 61226:2009设定了可靠性的限值，包含软件的系统要求0-4.对某些系统，可靠性目标可超过能被证明的值。如果需要保证更高的时靠性，可使用能完成指定的安全功能的额外独立系统。系统的多样性和实体分隔将降低共模故障的可能性(可靠性H标)(IAEA 75-INSAG-3:的第174至176章。一一一一一共肉故障

38、3.6.10共同hit肉失效3.8 :Jt肉故障一种失效，它是一个或多个事件导致的结果，在多通道系统中号|起两个或多个分离通道同时失效，从丽致系统失效。见5.4.2.6注:IEC 61508.1的7.6.2.7和7.6.2.8给出两个系统独立性的配置要求。7.6.2.8指明，如果不能满足7.6.2.7的全部要求，可通过分析米证明充分的独立性，否则不能视为独立的。68 NB/T 2002&-2014 附录E(资料性附录)本标准规范性引用文件中国际文件与我国文件的对应关系本标准规范性引用文件中国际文件与我国文件的对应关系见表E.1o表E.l本标准规范性引用文件申国际文件与我国文件的对应美系现行文件

39、本标准规范性寻|用文件中巳我国文件编号我国文件名称对应阀国际文件和致性程度阂际文件的编号、NB汀2006命-2012核电厂安全重要仪表和控制系统隔离IEC刨食贱切桐，MODEC7佣:2O04岱厅12727-2002核电厂安全系统电气设备质量鉴定IEC607即:1998.MODEC60780:阴8| 核电广安全重要仪表和控制系统执行A类功NB厅20054-2011I HEC 60880:2创汤.MOD I IEC 60880:2006 能计算机系统的软件GB厅13630-1992核电J.控制室的设计IEC60964:1989，毒qVIIEC60964:29 GB厅13631一1992核电厂辅助控

40、制点设计准则EC60965:1989盹VIIEC6阴65:1989 GB厅13625-1992核电J安舍系统电气设备抗震鉴定IEC60980:1988, EQVI IEC60980:1988 四厅529一1990用于核电厂安全重要系统数字计算机EC60987:1989，阐VEC60987:2007 GB厅17626.1-X刷电磁兼容试验和翻量技术抗扰度试验总论IEC610004t:2捕。，EDTIIEC610胁牛1:却00电磁兼容试验和测量技术静电放电抗扰度GBrr 17626.2-2创汤IEC 6100伽4-2:2佣1，IDT I IEC 61000-4-2:2001 试验电磁兼容试验和测量

41、技术射额电磁场辐射GB厅17626.3一却06I I IEC 61000-4-3:2倒也IDT阻C61000-4在20但抗扰度试验电磁兼容试验和测量技术也快速瞬变脉甜群GB厅17626.4-2008I _ _ _ I IEC 61000-4-4;到现4，IDT I IEC 61000-44:2004 抗扰应试验电磁兼容试验和测量技术浪漏冲击)抗扰l GB厅17626.子-2008I I IEC 619回-4-5:2)05，IDT I IEC 61000-4-5:25 度试验卜-一一电磁兼容试验和翻量技术射频场感应的传| GBrr 17626.6-20081 HEC61佣0-4-6:26，IDT I IEC 6100伽4-6:2006导骚扰抗扰度GB厅15474-2010核电r安全革要仪表和控制功能分类EC61226:2005, MOD IIEC61226:2009 核电安全重要仪表和控制系统多路数据传输EJ/TI223-20