1、ICS 27. 120.20 F 83 华GB/T 13629-1998 安中Applicable criteria for digital computers in safety systems of nuclear power plants 1998-11-17发布1999-07-01实施自主委主扉主主主主支才圭亚主万莹莹声音发布GB/T 13629-1998 目次前言. I IEEE前言. n 1 范围. 1 2 引用标准. 1 3 定义. 1 4 安全系统设汁基准. 2 5 安全系统准则. 2 6 监测指令设备的功能和设计要求. 5 7 执行装置的功能和设计要求. 5 8 对动力源的要
2、求. 5 附录A(提示的附录本标准与GB13284-1998 的相互关系. 6 附录B(提示的附录)多样性需求的确定. 7 附录C(提示的附录)抗电磁干扰能力. 7 附录D(提示的附录)现有商品级计算机的质量鉴定.9 附录E(提示的附录)验证与确认. 11 附录F(提示的附录)异常状态和事件的鉴别和解决. 17 附录G(提示的附录通信独立性. 22 附录H(提示的附录汁算机可靠性. 24 附录!(提示的附录核电厂用计算机软件的质量保证要求. 27 附录J(提示的附录)本标准附录中引用的标准. 31 GB/T 13629-1998 前3汇二本标准等效采用IEEEStd 7-4. 3. 2一199
3、3“Criteriafor Digital Com阴阳rsin Safety Systems of Nuclear power Generating Stations气技术内容等同,编写方法和格式符合GB/T1.1一1993的要求与IEEE7-4. 3. 2相比,本标准的基本结构和内容未变,只是将IEEE7-4. 3. 2中引用标准改为相应的我国标准,将ASMENQA-Za-1990 part 2. 7增加作为本标准附录I,将附录中引用的有关标准目录增加作为本标准的附录J。本标准与下列标准结合使用,能对核电厂数字化仪表和控制系统提供指导zGB 13284一1998(eqvIEEE 603-19
4、91) 核电厂安全系统准则 EJ/T 529-1990(eqv IEC 987-1989) 用于核电厂安全重要系统数字计算机 EJ/T 694 1992(eqv IEEE 730 1989) 核工业计算机软件质量保证规范 EJ/T 743-1993(eqv IEEE 828-1990) 核工业计算机软件配置管理计划编制指南 EJ/T 890-1994(eqv IAEA 282号技术报告)核电厂安全有关计算机软件质量保证细则 EJ/T 1058 1998(eqv !EC 880 1986) 核电厂安全系统计算机软件 EJ/T 1060 1998(eqv IEC 643 1979) 数字计算机在核
5、电厂仪表和控制中的应用本标准的附录A附录J都是提示的附录。本标准由全国核仪器仪表标准化技术委员会提出并归口本标准起草单位g国家科委核安全中心。本标准主要起草人z耿文行、王忠秋。I GB/T 13629 1998 IEEE前言本前言不是IEEEStd 7-4. 3. 2 1993“Criteria for Digital Computers in Safety Systems of Nuclear Power Generating Stations”的组成部分本标准规定了计算机的附加特定要求包括硬件、软件、固件和接口),以补充IEEE603-1991的准则和要求。当计算机用作安全系统的设备时,本
6、标准应与IEEE603-1991一起使用以保证安全系统设计的完整性。本标准所述的汁算机特定要求只适用于作为安全系统设备的计算机,不一定适用于整个核电厂运行所需的所有计算机。本标准5.5和5.6要求对安全系统中的计算机进行保护,以免受非安全计算机故障的影响,对非安全计算机没有特殊的安全要求。但是,许多原则适用于核电厂的其他重要系统,这些原则同IEEE603-1991规定的原则是一致的。本标准对汁算机在安全系统级的应用规定了设计要求。本标准的附录提供了在设计技术和方法方面的详细信息,以满足各种准则和要求本标准考虑了计算机系统持续不断的发展过程,因此不应把本标准提供的信息视为唯的解决办法只要满足IE
7、EE603一1991与本标准的准则和要求,就希望使用数字技术方面的新成果。例如,虽然本标准并未特别涉及到人工智能系统和第四代语言,但并不排除它们的应用。本标准不适用于安全系统设计过程中使用的工程软件,对这类软件应参考ASMENQA-Za-1990 第2.7部分以下简称为第2.7部分)。演变本标准由ANSI/IEEE-ANS-74. 3. 2-1982“Application Criteria for Programmable Digital Com puter systems in Safety Systems of Nuclear Power Generating Stations”演变而来
8、的,它体现了IEEE/ANSI联合工作组为支持核电厂安全系统中汁算机的规格书、设计和实施所作出的持续不断的努力。ANSI/IEEE-ANS-7. 4. 3. 2 1982详细讨论了对硬件和软件进行集成的研制过程。其中主要讨论了第2.7部分中详述的活动参考第2.7部分提出具体的软件研制要求。为了研制出可靠的、高质量的软件并尽量减少设计差错,应对软件研制规定质量要求。应明确指出,本标准并不提供关于计算机安装后运行和维修的要求例如监督试验频度),发现任何问题应分别按相应的硬件和软件标准ASMENQA-1-1989和ASMENQA-2a一1990第2.7部分中的适当要求来处理。与其他标准的关系本标准编
9、制过程中采用了IEEE标准和其他标准。在本标准及其支持性附录中注明了这些标准。本标准引用了第2.7部分(除第7章和10.2以外),以提出质量准则的某些见解。这样做的依据有2a)第2.7部分的第3章和第4章清楚地指出在整个软件研制过程中应进行验证和确认(V&V)。第7章说明了在软件研制过程中进行验证审查的要求,这可以解释为对第3章和第4章所述要求的附加要求。因此工作组认为,这可以解释为第3章和第4章所述的v&v不足以符合ASMENQA-1-1989 的设计验证要求。在第2.7部分的表决过程中,IEEENPEC(核动力工程委员会)注意到jV&V在多章中作了讨论,建议合并V&V的要求gb)在讨论商品
10、级物项适用性确认的过程中,工作组认为第2.7部分的10.2节规定的过程能处理I GB/T 13629-1998 商品级软件的适用性确认。但由于这节有可能被申请者不正确地使用,因此目前正在修订之中。据此工作组认为,赞同这一节是不合适的非预期的功能第2.7部分第4章使用了定义“非预期功能”,该定义可解释为ga)无用的驻留功能设计过程应处理任何无用的驻留功能,见5.60在某些情况下,例如对于操作系统和编译程序,当可能不知道总的数量时,V&V过程对于处理无用的驻留功能是不适宜的b)对外部或内部条件的不可预测响应在设计过程中应对外部或内部条件的不可预测响应进行鉴别并形成文件,并采取适当措施加以解决然后,
11、应通过V&V过程来确认对这些条件作出的适当响应。由于设计或实施错误产生的缺陷需要由v&v过程来处理由于设计或实施错误引起的缺陷d)未从软件中消除的研制辅助手段应作出有文件依据的判断,以便说明是否将研制辅助手段保留在软件中如果决定将研制辅助手段保留在软件中,则可以使它们运行或不运行。无论何种情况,如果决定将研制辅助手段保留在软件中,则要求进行V&Vo共因故障多样性IEEE 603 1991的5.1规定了单一故障准则,IEEE379-1988给出了对这一准则应用的指导IEEE 379-1988的5.5提出了在单一故障分析中要考虑共因故障的要求,其中说明,不进行单一故障分析的“共因故障”包括那些可能
12、由“设计缺陷、制造差错”等引起的故障,准备用设计鉴定、质量保证大纲来预防这些缺陷和差错。这种方法对于按IEEE603-1991和本标准的要求研制的计算机硬件和软件有关的潜在共因故障也是适合的在本标准的制定过程中,工作组花费了很多时间讨论用多样性来处理潜在共因故障的必要性工作组认为存在适合应用多祥性的实例a一项安全功能的所有控制设备应用同样结构来实现的情况就是应考虑用多样性来防止共因故障的一个实例这可以从IEEE379 1988的前言推断出来,该前言中说明s“如果确认当一起考虑任务需求率和共因故障率时某些后果可能不可接受,则可使用其他的措施。在这些情况下,使用如多样性的设计技术来提出可接受的设计
13、”。附录B给出了关于确定多样性需求的补充指导。电磁环境本标准要求瞬态和稳态条件的范围应包括电磁环挠含静电放电),作为IEEE603-l991第4.7节举例的补充在本标准表决过程中,已注意到这是安全系统的问题而不是只有计算机才有的问题因此建议从本标准中删去这一主题而包括到IEEE603-1991年的修订版中。SC6主席己同意将这一问题同IEEE603-1991的下次修订一起考虑。但是,工作组和SC6主席认为这是一个很重要的问题,至少在IEEE603-1991处理这一问题之前将其保留在本标准中商品级物项适用性确认在本标准表决过程中,对商品级物项适用性确认要求的必要性表示丁关切。作为审查ASMENQ
14、A-lC一1993附录7A-2的结果,工作组决定,为了确定商品级物项在安全系统中应用的可接受性,I 一GB/T 13629-1998 仅进行试验是不够的因此,已把软件研制方法的考虑作为商品级物项适用性确认过程的组成部分商品级物项适用性确认还要求制造商对现有产品进行质量鉴定这两项要求对未按本标准研制的计算机在安全系统中应用的评价提供坚实的依据。未来的工作在第2.7部分下次修订后,工作组应考虑目前对2.7部分所述例外的适宜性问题这应是有意全面赞成第2.7部分在本标准的制定过程中,工作组考虑了许多人因方面的问题由于颁布了IEEE603一1991,突出了对这一问题的关注。IEEE603-1991要求把
15、人因同安全系统准则一起考虑。同SC7成员进行了讨论,以确定工作组应采取怎样的行动,SC7目前正在进行重新确认工作和编制关于CRT的标准在本标准表决过程中,再一次提出了对人因问题的关切,已将这些意见转交给SC7作为他们工作的输入工作组建议将分级要求增加到IEEE603-1991中。这一思想已被美国核管会审评人员在SECY-91-192“先进轻水堆数字计算机系统”中所认可。在ANSI/ANS 51. 1-1983和ANSI/ANS52.1-1983 中也提出了类似的安全分级概念在修订IEEE603-1991时应将这一概念应用到该标准中在本标准表决过程中还提出了关于软件共因故障的问题。虽然附录B给出
16、了关于处理共因故障的多样住要求的某些考虑,但对多样性的考虑尚未达到应有的程度工作组和某些表决者认为,对多样性的要求是一个安全系统级的问题因此,工作组建议在修订IEEE603-1991时考虑这一问题本标准没有涉及软件工具选择的合理性以及编译程序、操作系统和程序库的验收准则工作组认为这一主题超出了他们的职责范围,因此工作组建议编制标准来讨论这些要求在本标准表决过程中,提出丁关于接地技术的标准适宜性问题工作组认为这一问题超出了本标准的范围因此,建议编制另标准来处理这一问题在本标准表决过程中,要求区分对同一计算机上运行的安全软件与非安全软件的要求在5.6和附录G中引入了软件屏障概念,作为分隔这两类软件
17、的一种措施据工作组了解,尚无工业标准能适当地处理这一问题工作组建议把处理这一主题的标准纳入到未来的编制计划中rv 范围中华人民共和国国家标准核电厂安全系统中数字计算机的适用准则Applicable criteria for digital c。mputersin safety systems of nuclear power plants 本标准规定了计算机用作核电厂安全系统设备时的有关准则。GB/T 13629 1998 GB 13284-1998规定了核电厂安全系统动力源、仪表和控制部分最低限度的功能和设计要求,但不包括计算机用作安全系统组成部分时的附加要求本标准用来补充这方面的要求,与G
18、B13284-1998一起规定了计算机用作安全系统设备时的最低功能要求和设计要求在本标准范围内,术语“计算机”是一个包括计算机硬件、软件、固件和接口的系统2 引用标准下列标准所包含的条文,通过在本标准中引用而构成为本标准的条文。本标准出版时,所示版本均为有效所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性GB/T 7163-1987 核反应堆保护系统的可靠性分析要求3 GB/T 9225一1988核反应堆保护系统可靠性分析一般原则GB/T 12788-1991 核电厂安全级电力系统准则GB 13284-1998 核电厂安全系统准则GB/T 13626-1992单一故障准则
19、用于核电厂安全级电气系统EJ/T 694-1992 核工业计算机软件质量保证规范EJ/T 743一1993核工业计算机软件配置管理计划编制指南EJ/T 797-1993 人因工程原则在核电厂系统、设备和设施中的应用EJ/T 1058-1998 核电厂安全系统计算机软件HAF 0400(91) 核电厂质量保证安全规定定义本标准采用下列定义。3. 1 商品级物项commercialgrade item 满足下述条件的物项ga)不是为核设施专门设计或不以核设施特有的技术要求为条件,b)用于非核设施sc)按制造厂产品说明例如样本)中规定的技术条件从制造厂或供货商处采购。3. 2 商品级物项适用性确认c
20、ommercialgrade dedication 为了充分确信商品级物项适合于核安全应用,对商品级物项进行评价包括测试和验收的过程国家质量技术监督局199811-17批准1999-07-01实施1 , L一GB/T 13629 1998 3,3 固件firmware 具有软件功能的硬件,如驻留在只读存储器中的软件和数据的组合。3,4 安全系统safetysystem 与安全有重要关系的系统,用于在任何工况下保证反应堆安全停堆,从堆芯排出热量或限制预计运行事件和事故工况的后果。3, 5 软件工具software tools 一种用来开发、测试、分析或维护其他程序或其文件的计算机程序。例如:比较
21、程序,交叉引用生成程序,反编译程序,驱动程序,编辑程序,流程图程序,监控程序,试验案例生成程序,定时分析程序。在本标准中,软件工具包括编译程序。3.6系统试验systemtesting 为了评价一个完整的已集成的系统与其规定要求之间的一致性,对该系统进行的全面试验。3. 7验证与确认(V&.V) verification and validation 确定对一个系统或设备制定的要求是否完整和正确、每个研制阶段的产品是否满足前一个阶段提出的要求或条件、最终的系统或设备是否符合预定要求的过程3, 8配置管理configurationmanagement (control) 鉴别和确定系统中的配置项
22、、管理整个系统寿期中这些配置项的释放和变更、记录和报告配置项的状态和变更请求的过程4 安全系统设计基准安全系统设计基准应与GB13284 1998第4章的要求相一致。此外,为了符合使用计算机的安全系统设计基准,还应满足本章的下述要求除了GB13284-1998中4.7的规定以外,瞬态和稳态条件还应包括电磁环境(含静电放电),见附录C(提示的附录。关于本标准与GB13284-1998的关系详见附录A(提示的附录)。5 安全系统准则本章按GB13284-1998第5章的顺序列出安全系统准则。对有些准则,除了GB13284的规定以外没有附加要求而对另外一些准则,本章给出其附加要求。s. 1 单一故障
23、见GB13284-1998中5.1,见附录B(提示的附录)。s. 2 保护动作的完成见GB13284-1998中5.2。5.3质量硬件质量要求见GB13284一1998中5.3和HAF0400(91) o计算机的研制活动应包括计算机硬件和软件的研制在研制过程中应考虑计算机硬件与软件的集成以及计算机与安全系统的集成。典型的研制过程见附录E(提示的附录)的图El,为了符合质量准则,除了GB13284的要求之外,还应满足下述要求ga)软件研制,b)现有商品级计算机的质量鉴定,c)软件工具,d)验证与确认,e)配置管理。5. 3, 1 软件研制2 GB/T 13629-1998 计算机软件应按批准的软
24、件质量保证大纲进行研制、修改或验收,这一质量保证大纲应与附录I(提示的附录)(除16和19.2夕阳的要求相一致。软件质量保证大纲应考虑运行时计算机的所有常驻软件(即z应用软件、网络软件、接口程序、操作系统以及诊断程序。编制软件质量保证大纲的指导见EJ/T 1058和EJ/T694。5. 3. 2 现有商品级计算机的质量鉴定本标准介绍计算机研制的一般要求时,已经认识到在某些情况下有必要对现有的商品级计算机进行质量鉴定,以便能应用于安全系统。可由商品级物项的第三方进行质量鉴定,也可由未按本标准要求研制计算机的制造商来进行质量鉴定。为确信能够完成安全功能,计算机的质量鉴定过程必须确定必需的功能要求和
25、性能要求。质量鉴定过程应适用于支持完成安全功能所需要的计算机硬件、软件或固件。此外,只要切实可行,软件和固件的质量鉴定过程应包括设计过程的评价。应将硬件和软件的设计向本标准的设计准则进行比较来完成质量鉴定过程。只要存在其他的补偿因素能提供相当的结果,可以对本标准或引用标准要求的研制步骤采取某些例外。可能有必要选择V&V活动,以便充分确信所述物项能满足功能要求和性能要求验收应根据工程判断来进行,使得可取得的证据能充分确认:包括硬件、软件、固件和接口在内的现有商品级计算机能够完成其预期的功能。验收及其依据应形成文件,并同质量鉴定文件一起保存。要求的文件以及运行时在计算机中的常驻软件应置于配置管理之
26、下。在初始质量鉴定完成以后对计算机硬件、软件或固件所作的设计变更应按本标准的要求进行控制,或者按本条要求重新进行质量鉴定。关于现有商品级计算机质量鉴定的信息详见附录0(提示的附录5.3.3软件工具应在软件研制过程中确定软件工具。只要对使用软件工具所产生的软件进行了v&v且可检查出软件工具引入的缺陷,则对该软件工具不再要求进行见证、审查和试验等V&V活动。软件工具应进行标识并置于配置管理之下。5.3.4 验证与确认(V&Vl在软件的研制和修改过程中,应进行V&VC包括追溯性检查和试验),应按附录I(提示的附录的13和14进行。硬件验证应按HAF0400(91)进行。V&V应证实安全系统要求以及每
27、个研制阶段中规定的要求包括对可信异常情况的处理)已经得到实施。V&V应包括计算机软件和硬件,非计算机硬件以及它们的集成,V&V还应包括对最后集成的硬件、软件、固件和接口的系统试验。应制定V&V计划,以便确认设计的正确性和完整性0v&v计划应规定一些特定的活动或试验项目,它们将由胜任的非原设计人员或小组独立地检查、见证、执行或审查。V&V计划应由有资格的非原编制人员或小组进行审查,见HAF0400(91)的2.2和第4章编制V&V计划的指导见EJ/T10580 关于v&v的信息详见附录E(提示的附录)5. 3. 5软件配置管理应按附录I(提示的附录的14进行软件配置管理。编制软件配置管理计划的指
28、导见EJ/T7430 应按HAF0400(91)第5章进行硬件配置管理。5. 4 设备质量鉴定为了满足设备质量鉴定准则,除了GB13284 1998中5.4.的要求之外,还应满足下述要求。设备质量鉴定试验应在计算机运行并使用其实际操作中所用的代表性软件和诊断程序时进行对于计算机完成安全功能所必需的所有部分,或者其运行或故障可能对安全功能有损害的部分,都应在设备质量鉴定过程中进行试验。确切地说,这包括存储器、CPU、输入和输出、显示功能、诊断、相关部件、通信路径和接口。试验应证明己满足设计的基本性能要求。5. 5 系统完整性3 ! L GB/T 13629-1998 为了满足系统完整性准则,除了
29、GB13284-1998中5.5的要求之外,还应满足下述要求2a)计算机完整性设计gb)试验和校准设计5. 5. 1 计算机完整性设计除了GB13284规定的设计基准工况之外,计算机还应设计成在所有可能造成安全功能失效的内部或外部条件下完成其安全功能,这些条件如输入和输出处理故障,准确度或舍入问题,不适当的恢复动作,电源电压或频率波动,信号同时改变的最大可信次数,电磁干扰等,见附录C和F(提示的附录)如果设计基准己规定安全系统的优先故障模式,则计算机故障不得阻碍安全系统处于该故障模式计算机完成再启动操作不应阻止安全系统完成其功能,5.5.2试验和校准设计试验和校准功能不得对计算机完成其安全功能
30、的能力产生有害的影响适当地旁通一个冗余通道并不认为是一种有害影响应验证2试验和校准功能并不影响与校准变更(例如变更整定值无关的其他计算机功能。当试验和校准功能由另外的计算机(例如,试验和校准计算机)完成并由该计算机提供试验和校准数据的唯一验证时,则应对这些功能要求进行V&V、配置管理和质量保证。当试验和校准功能由安全系统中的计算机来完成时,也应对这些功能要求进行v&v、配置管理和质量保证当驻留在另外计算机中的试验和校准功能不是为安全系统的计算机提供试验和校准数据的唯一验证时,则对这些功能不要求进行v&v、配置管理和质量保证5.6 独立性为了满足独立性准则,除了GB13284-1998中5.6的
31、要求之外,还应满足下述要求。安全通道之间或安全系统与非安全系统之间的数据通信不得阻碍安全功能的执行计算机软件或固件的安全功能部分和非安全功能部分可能很难隔离开,处理这一问题有下面两种可接受的方法za)确定屏障要求,以便充分确信软件或固件的非安全功能部分不会妨碍其安全功能部分的执行这些屏障应按5.3和5.5的要求进行设计,不要求非安全软件满足这些要求,b)按5.3和5.5的要求研制软件或回件的非安全功能部分关于独立性准则的信息详见附录G(提示的附录)。5. 7试验与校准能力见GB13284一1998的5.7 0 5.8信息显示见GB13284-1998的5.80 5.9接近控制见GB13284-
32、1998的5.9 0 5. 10 维护见GB13284-1998的5.lOo5. 11 标识见GB13284-1998的5.110 5. 12辅助支持设施见GB13284-1998的5.12 0 5. 13 多机组核电厂在多机组核电厂中,只要同时完成各机组中安全功能的能力不受损害,机组问共用构筑物、系统和设备是允许的。关于机组间共用电力系统的设计指导见GB/T12788。关于单一故障准则在共用系统中应用的指导见GB/T13626。4 GB/T 13629-1998 5. 14 人因考虑在整个设计过程中特别是在初始阶段应考虑人因工程原则,以保证分配给操纵员、维修人员的功能都能成功地完成,从而按E
33、J/T797的要求满足安全系统的设计目标。5. 15可靠性对于已经规定了定量或定性的可靠性目标的系统,应对其设计进行适当的分析,以确认已达到这样的目标,关于可靠性分析的指导见GB/T9225和GB/T71630 当要求有定性或定量的可靠性目标时,应证明与硬件一起使用的软件也满足目标要求确定可靠性的方法可以包括分析、现场经验或试验的组合。软件差错记录或软件差错趋势分析可以同分析、现场经验或试验结合起来使用。关于可靠性准则的信息详见附录H(提示的附录)6 监测指令设备的功能和设计要求见GB13284-1998第6章7 执行装置的功能和设计要求见GB13284-1998第7章。8 对动力源的要求,
34、见GB13284一1998第8章。5 GB/T 13629-1998 附录A 提示的附录)本标准与GB13284-1998的相互关系表Al给出了为满足本标准的要求对GB13284-1998的哪些条款进行了补充。本标准的第4章至第8章与GB13284-1998的第4章至第8章相对应。表AlGB 13284一1998与本标准的关系GB 13284-1998准则本标准补充的要求(按标准中出现顺序4 安全系统设计基准安全系统设计基准5 安全系统准则无5. 1单一故障准则无5. 2保护动作的完成无软件研制(见5.3. 1) 现有商品级计算机的质量鉴定见5.3. 2- 5. 3质量软件工具(见5.3.3)
35、验证与确认(见5.3. 4) 软件配置管理见5.3. 5) 5. 4设备质量鉴定对软件和诊断程序进行试验计算机完整性设计见5.5.1)5. 5系统完整性试验和校准设计(见5.5. 2) 5. 6独立性独立性5.7试验和校准能力无5. 8信息显示无5.9接近控制无5.10维护元5. 11标识无5.12辅助支持设施无5. 13多机组核电厂无5.14人因考虑无5. 15可靠性要求有定量可靠性目标时,考虑硬件和软件6监测指令设备的无功能和设计要求7执行装置的无功能和设计要求8对动力源的要求无6 提示的附录c 日I D E和II C和FG H . Bl 背景GB/T 13629-1998 附录B(提示的
36、附录)多样性需求的确定将计算机用作安全系统的组成部分时,对于计算机软件会导致共模故降的可能性已经引起了人们的关注。多样性是处理这一问题的一种方法。本附录为确定多样性的需求提供指导。B2 讨论可能存在某些情况,在这些情况下除了由设计和质量保证(QA)大纲(包括软件QA和V&Vl所提供的保证以外,还可能需要某种形式的多样性来提供附加保证。在计算机设计复杂(例如,一项安全功能的所有控制或多项安全功能的某些方面在一台计算机上实现)和运行经验有限的情况下,下面提供了一种方法,用来确定电厂的其他设施是否适用于功能多样性和纵深防御如果己有适当的多样性或者可将适当的多样性增加到核电厂设计中,则不需要计算机的多
37、样性。对于在设计中应用了有限经验且无多样性的复杂系统,应使用计算机的多样性。B3 确定多样性需求的方法B3. 1 根据核电厂设计基准事件的分析,确定由拟用计算机完成的安全功能,并鉴别出其他安全和非安全的设计措施,这些设计措施能对已确定的“不可接受结果”提供等效保护的相同或不同的安全功能(例如,对于未能紧急停堆预期瞬态的缓解系统可为反应堆保护系统完成紧急停堆功能提供功能多样性)。如果可以利用必需的控制器和显示器在可接受的时间内支持操纵员完成适当的操作,则操纵员的手动操作是可以接受的。B3. 2 如果使用的设备不易受拟用计算机假想软件差错的影响从而具有功能多样性,则在拟用系统的冗余通道中使用相同的
38、软件是可以接受的。B3. 3 如果不存在功能多样性,则应进行纵深防御分析,以便确定在防御的各层次中(即反应堆保护、专设安全设施以及控制与监测系统)是否存在多样性。这一分析鉴别出每一层次中能阻止被分析工况的出现或减轻其后果的设汁措施,并确定在每一层次中的假想故障(例如软件差错)是否可能对其他层次产生有害影响如果能在要求的时间内完成其功能,则可以相信手动操作以及非安全级控制和监测设备B3. 4 如果分析表明对不可接受结果存在纵深防御,而且防御的各个层次不受假想软件故障的影响,则在拟用系统的冗余通道中使用相同的软件是可以接受的。B3.5 如果分析不能肯定存在功能多样性或纵深防御,则应要求多样性设计。
39、这可以用计算机与非计算机通道的结合或者用多样化的计算机来实现。计算机的多样性可通过使用独立的计算机功能规格书、汁算机硬件、计算机语言等来实现,以便尽量降低共因故障的概率。Cl 背景附录Ctt示的附录)抗电磁干扰能力考虑电磁环境的必要性是由于计算机对电磁干扰敏感,电磁干扰可能导致汁算机工作不正常或对7 GB/T 13629-1998 计算机造成损害第4章要求在确定安全系统设计基准条件时考虑电磁环境05. 5. 1要求计算机设计成能在各种对计算机造成危害的内部或外部条件下(包括电磁干扰)完成其安全功能。本附录对这种考虑提供指导,并为定义和性能提供参考文件。C2 讨论电磁干扰可由数种搞合机理引起,这
40、些祸合机理应在电磁环绕的定义、设备的电磁干扰试验以及计算机设计中加以考虑。c2. 1 电磁环绕的确定电磁环境可通过测量和分析来确定,它可以是应用场合所特有的,或者是核电厂中普遍存在的。测量电磁环境的指导见附录J(提示的附录)的Jl和J2oc2. 2 电磁环境的评定如GB13284-1998中5.5所述,安全系统设备应设计成能在核电广的电磁环挠条件下完成其安全功能这要求考虑四种稿合机理(传导性的、辐射性的、感应性的、电容性的)以及静电放电(ESD)。c2. 2. 1 传导祸合大约80%的噪声是由传导祸合的,这种精合有三种属性za)需要金属接触,b)噪声不受人或电缆移动的影响3c)噪声波形具有非零
41、平均值(直流信号分量)。传导搁合可以通过切断或分开金属接触,或者通过对噪声滤波消除。c2. 2. 2辐射桐合辐射娟合即通常所谓的电磁辐射或射频祸合,它在1/6波长以上的距离发生。这种钢合通常只和高频有关,这时的波长足够小,可在短距离上进行祸合,例如电缆或任何天线类设备。电磁场强度与离辐射源的距离成反比,与反射功率的平方根成正比。阻止辐射祸合噪声的唯一办法是采用屏蔽技术,屏蔽应完全地包围导体,用以吸收或反射扩散的波。c2. 2. 3感应祸合当噪声和信号电路或导体经受电流变化并具有互感时,便发生感应糯合或电磁祸合。由这种电磁场产生的能量(感应电压)正比于电流对时间的变化率(di/dt)以及导体的长
42、度和轴向位移。a) !感应噪声的某些可识别特性是:1)噪声的频率高或电流强动力电缆)$2)具有很大的布线电感,3)不受非导电材料的影响;4)形成一个可探测的磁场U消除感应藕合噪声的方法有21)减小噪声频率或电流源;2)降低互感(环形线面积和导体的距离g3)对噪声的滤波或屏蔽。c2. 2. 4 电容精合电容精合是由信号与噪声电路中金属表面之间的电场(电压改变引起的。因此,也容精合取决于金属的表面积、间距、阻抗和介质。8 a)电容精合噪声的某些可识别特性有s1相对于信号电压有较高的噪声电压32)金属表西形成电容;GB/T 13629-1998 3)高阻抗信号电路p4)噪声受电缆或人员移动影响。b)
43、消除电容销合噪声的方法有21)降低电压或减小噪声源频率$2)降低搞合电容表面积h3)降低线路阻抗g4)使用屏蔽。可通过试验、分析或类似环境中有文件证明的运行经验等的组合来证明系统的抗电磁干扰能力,这些活动要求考虑总的系统设计,其中包括某些降低设备敏感性的设计措施,例如采用绞合电缆、屏蔽电缆、光纤通信电缆等关于试验的指导见附录J(提示的附录)的13JlO。c2. 3抗电磁干扰的系统设计为防止电磁干扰,系统设计应采用下列技术2a)屏蔽;b)地线选择pd布线路径;d)抑自JI e)滤波gf)数据品质检查sg)软件处理(例如,软件带通滤波)。设计指导见附录J(提示的附录)的Jll和J12 附录D(提示
44、的附录)现有商品级计算机的质量鉴定背景- D 在有些情况下,安全系统设计全部或部分采用了未按本标准的准则研制的计算机硬件、软件、回件和接口)。本附录的目的是帮助处理这些情况,以便允许在安全系统中使用商品级计算机。本附录概述了应予遵守的主要步骤,以便证实现有的商品级计算机具有高的质量和可靠性,从而允许它们在安全系统中使用,见5.3. 2 0当制造商未按HAF0400(91)完成设备采购活动时,进行商品级物项适用性确认过程的各项活动可能是适当的本附录还说明对己鉴定的现有商品级计算机继续鉴定的问题。讨论D2 J 第三方或制造商的质量鉴定所产生的文件可能达不到按本标准设计和研制所产生的设计文件的深度然
45、而,现有的商品级计算机可能具有运行经验证据的文件资料。只应相信与核电厂中计算机应用方式相类似的情况下所取得的运行经验运行经验是对设计过程文件以及验证与确认活动的补充。制造商对现有商品级计算机进行质量鉴定可能容易取得许多有用的资料,这些资料对第三方质量鉴定者来说是不可能接触到的。例如z关于计算机软件程序信息的可利用性,设计和审查过程的详细情况(即V&V),运行经验文件,以及计算机硬件设汁和软件设计的维护即配置管理入虽然附录J(提示的附录)的J13不是专门为计算机应用编写的,但对第三方进行的商品级物项适用9 GB/T 13629-1998 性确认提供了一般指导。本附录对此加以补充,提供关于计算机的
46、特定指导,而不是重新规定适用性确认过程的所有要求。对商品级计算机进行质量鉴定的日的是用合理的保证来确定:被鉴定的物项满足为完成安全功能所必需的要求,这包括:a)确定汁算机应完成的安全功能gb)确定计算机为完成这些安全功能所应具备的性能sc)证明这些性能满意地得到实现。D2. 1 确定计算机应完成的安全功能应进行分析,以便确定为实现安全功能对计算机的功能和性能要求。这一分析还应确定可能会妨碍计算机完成安全功能的异常状态和事件(ACE),见附录F(提示的附录)。DZ. 2确定计算机为完成安全功能所应具备的性能应将D2.1确定的计算机功能和性能要求以及ACE分配给硬件和软件。对软件应确定5.3. 1要求的研制步骤。DZ. 2. 1 硬件应确定分配给5.3.2要求的硬件部分的功能和性能要求以及ACEo在功能和性能要求以及ACE方面所确定的计算
