2023核電廠儀器儀表和控制系統(tǒng)的設(shè)計

特定安全導(dǎo)則2023目導(dǎo) 背景(1.1- 目的(1.7- 范圍(1.9- 結(jié)構(gòu)(1.18- 概述(2.1- 生命周期模式的使用(2.10- 所有生命周期階段的共同活動(2.38- 生命周期活動(2.92- 儀器儀表和控制功能的識別(3.1- 儀器儀表和控制系統(tǒng)設(shè)計基準內(nèi)容(3.7- 儀器儀表和控制系統(tǒng)架 架構(gòu)設(shè)計(4.1- 儀器儀表和控制總體架構(gòu)的內(nèi)容(4.11- 單一儀器儀表和控制系統(tǒng)的內(nèi)容 獨立性(4.14- 共因故障的考慮(4.25- 儀器儀表和控制功能、系統(tǒng)和設(shè)備的安全分級(5.1- 概述(6.1- 可靠性設(shè)計(6.6- 設(shè)備鑒定(6.77- 應(yīng)對老化和技術(shù)老化的設(shè)計(6.135- 接近安全重要系統(tǒng)的控制(6.153- 運行期間的試驗和可試驗性(6.159- 可維護性(6.192- 用于因試驗或維護而停用的措施(6.198- 設(shè)定值(6.205- 安全重要物項的標記和識別(6.213- 傳感裝置(7.1- 控制系統(tǒng)(7.10- 保護系統(tǒng)(7.15- 電源(7.60- 數(shù)字化系統(tǒng)(7.66- 軟件工具(7.148- 安全應(yīng)用中有限功能的工業(yè)數(shù)字化設(shè)備的鑒定(7.165- 有關(guān)人-機接口的考 控制室(8.1- 事故監(jiān)控(8.19- 運行人員通訊系統(tǒng)(8.36- 儀器儀表和控制系統(tǒng)的人因工程的一般原則(8.47- 歷史數(shù)據(jù)的記錄 軟 概述(9.1- 軟件需求(9.6- 軟件設(shè)計(9.16- 軟件實現(xiàn)(9.44- 軟件核實與分析(9.64- 預(yù)先開發(fā)軟件(9.96- 軟件工具 第三方評定(9.100- 參考文 附件I國際儀器儀表與控制標準參考文獻目 II本“安全導(dǎo)則”原子能機構(gòu)《安全標準叢書》 附件III成員國不同領(lǐng)域的實 背景本“安全導(dǎo)則”就儀器儀表和控制系統(tǒng)的設(shè)計提出建議，以滿足原NS-G-1.11和第NS-G-1.32兩個安全導(dǎo)則的修訂與合并，并取代這兩個導(dǎo)則。本版導(dǎo)則20002002年分別出版的這些較早的安全導(dǎo)則以來儀器儀表GS-R-3號《設(shè)施和活動管理系統(tǒng)》[2]GS-G-3.1號《設(shè)GSRPart4（Rev.1）號《設(shè)施和活動安全評定》[5]。GS-R-3[2]確定的要求，儀器儀表和控制所需要考慮1叢書》第NS-G-1.1號，國際原子能機構(gòu)，維也納（2000年第NS-G-1.3號，國際原子能機構(gòu)，維也納（2002年的原則或以前的安全導(dǎo)則NS-G-1.13本“安全導(dǎo)則”與原子能機構(gòu)《安全標準叢書》第SSG-34號《核電設(shè)備和信號接地以及使儀器儀表和控制系統(tǒng)良好運行所必需的其他主題提目的31本“安全導(dǎo)則”識別出儀器儀表和控制系統(tǒng)設(shè)計者在規(guī)定儀器儀表和控制系統(tǒng)設(shè)計基準所需的輸入信息，這些輸入信息來自于：核電廠的機械、電氣、核和土建工程設(shè)計、電廠布置過程以及安全分析。例如，儀器儀表和控制系統(tǒng)設(shè)計基準將提供儀器儀表和控制系統(tǒng)所要完成的功能要求，設(shè)備要求運行的極端環(huán)境溫度，儀器儀表和控制設(shè)備所需承受的外部范圍卻、潤滑和能源。關(guān)于供電的建議見SSG-34[7]。4息見附件I[8]。本“安全導(dǎo)則”適用于新建核電廠儀器儀表和控制系統(tǒng)的設(shè)計、在役核電廠儀器儀表和控制系統(tǒng)的改造和現(xiàn)代化。原子能機構(gòu)《安全標準叢書》第NS-G-2.3號《核電廠改造》[9]論述核電廠的改造，本“安全導(dǎo)則”也盡量避免與NS-G-2.3[9]內(nèi)容相重疊。民受到輻射照射的那些儀器儀表和控制系統(tǒng)/5部分進一步討論了術(shù)語“安全重要”和與安全分級有關(guān)的其他術(shù)語。本“安結(jié)構(gòu)同時它還涉及使用生命周期模式來描述儀器儀表和控制技術(shù)開發(fā)的過程管理系統(tǒng)，為儀器儀表和控制設(shè)計的一般過程以及進行特定的儀器儀表和控3部分識別儀器儀表和控制必要的設(shè)計輸入，為儀器儀表和控制5部分描述了安全分級方案，該方案用來根據(jù)物項的安全重要性6部分提供了適用于所有安全重要儀器儀表和控制系統(tǒng)的一般導(dǎo)7部分提供了專用于特定系統(tǒng)（例如反應(yīng)堆保護系統(tǒng)）、特定類語言配置的集成電路）2－68－9部分的建議也適用7部分中討論的特定系統(tǒng)。9部分為基于計算機的安全重要儀器儀表和控制系統(tǒng)的軟件開發(fā)51概述SSR-2/1（Rev.1）[1]6SSR-2/1（Rev.1）[1]2對提供滿足所有這些要求的充分信心所需計劃的和系統(tǒng)的活動要求不脫節(jié)，以有助于排除這些要求可能對安全造成的不利影62和就符合GS-G-3.1[3]和GS-G-3.5[4]生命周期模式的使用針對這種情況，在核電領(lǐng)域以及航空航天等其他安全重要領(lǐng)域，開發(fā)過程通常采用生命周期模式，該模式描述了電子系統(tǒng)的開發(fā)活動以及這些活動之間的關(guān)系。這些被普遍接受的實踐已正式體現(xiàn)在核行業(yè)標準中，這些標準就儀器儀表和控制系統(tǒng)的開發(fā)過程提供了廣泛的指導(dǎo)。通常情況9部分描述的生命周期活動。本部分中針對生命周期過程的指導(dǎo)是針對GS-R-3[2]要求以及一個或多個單一部件生命周期：部件生命周期通常在平臺開發(fā)的框架數(shù)字化系統(tǒng)的部件生命周期通常分為獨立的硬件開發(fā)生命周期和軟件1給出了一個儀器儀表和控制開發(fā)生命周期的例子，以及來自于

過程計劃（第2過程計劃（第2部分

功能分配到單一系統(tǒng)（第4部分儀控結(jié)構(gòu)設(shè)計（第4功能分配到單一系統(tǒng)（第4部分儀控結(jié)構(gòu)設(shè)計（第4部分儀控設(shè)計基準（第3部分總體過程計劃（第2部分需求規(guī)格書（第需求規(guī)格書（第2部分

選擇（第2部分（第2部分系統(tǒng)規(guī)格書（第系統(tǒng)規(guī)格書（第2部分

（第9的采購（第9的采購（第2、6、7分

（第2部分

退役（第2部分

1.典型的儀器儀表和控制開發(fā)生命周期活動以及與人因工程2所示的“V型”是另外一種角度開發(fā)生命周期的例子。該模式2既適用于數(shù)字系統(tǒng)，也適用于12沒有給出此迭代路徑。***驗 安核 核核 核

2.7開發(fā)、實現(xiàn)和運行有關(guān)的活動都應(yīng)在編成文件的生7儀器儀表和控制部件包括硬件、軟件（如應(yīng)用軟件和固件）過程計劃與人因工程活動和計算機安全活動的協(xié)調(diào)1說明了相關(guān)的要求（8.78段）；應(yīng)核實儀器儀表和控制系統(tǒng)是否符合適用的與人因工程相關(guān)的應(yīng)核實設(shè)計是否提供了足以支持運行人員完成其指定任務(wù)的儀應(yīng)使用基于效能的措施來驗證運行人員是否可以在期望儀器儀程序的一部分執(zhí)行。與儀器儀表和控制系統(tǒng)生命周期過程的接口除外，本核電廠總體儀器儀表和控制應(yīng)執(zhí)行計算機安保計劃指定的安保措所有生命周期階段的共同活動配置管理GS-R-3[2]5.125.135.185.19“5.12.必須對文件進行管理……確保文件用戶了解并使用適當和正“5.13.必須評審和記錄對文件所作的修改，這些修改須經(jīng)與文件本“5.18.“5.19.必須對產(chǎn)品進行標識，以確保其正確使用。在有可追溯性要在GS-R-3[2]，這些主題應(yīng)在文件管理、產(chǎn)品控制和記錄管理的標題下進行闡述。對于工程活動，文檔和產(chǎn)品的控制通常歸入到配置管理的標題下。GS-R-3[2]對記錄管理的要求也適用于配置管理下的文檔，盡管有些GS-G-3.1[3]和GS-G-3.5[4]2.38段所述四個主題提出了補充建議。8下每個配置層級內(nèi)用于物（8單一部件、系統(tǒng)或總體儀控系統(tǒng)等物項均可建立配置基線。任何物項的基線都將覆蓋所有儀器儀表和控制系統(tǒng)的危害分析儀器儀表和控制系統(tǒng)的危害分析應(yīng)考慮所有核電廠狀態(tài)和運行模儀器儀表和控制總體架構(gòu)的設(shè)計，以及安全系統(tǒng)的要求和設(shè)計、實施、安核實和驗證應(yīng)核實總體儀器儀表和控制、每個儀器儀表和控制系統(tǒng)以及每個儀并確定是否存在任何不期望的行為（2.128－2.142段儀器儀表和控制、每個儀器儀表和控制系統(tǒng)和每個儀器儀表和控制系統(tǒng)部使用概率安全分析的見解SSR-2/1（Rev.1）[1]5.76提供關(guān)于將防止出現(xiàn)電廠參數(shù)微小偏差可能造成電廠工況很大安全評定第SSG-3號《制定和實施核電廠一級概率安全評定》[12]SSG-2號《核3.15段指出了在安全系統(tǒng)的設(shè)計可靠性分析：可靠性分析使用統(tǒng)計方法來預(yù)測系統(tǒng)或部件的可靠性。常用的可靠性分析技術(shù)包括部件計數(shù)法分析、元件應(yīng)力法分準、可試驗性、故障安全設(shè)計和嚴格的鑒定9；9就儀器儀表和控制系統(tǒng)而言，通常需要結(jié)合定性分析、定量分析和試驗來核實是否遵守了基于現(xiàn)有技術(shù)發(fā)生水平，單一系統(tǒng)按照最高質(zhì)量標準進行規(guī)范和設(shè)計，當考慮與規(guī)范說明、設(shè)計、制造、安裝、運行環(huán)境和維護實踐相關(guān)聯(lián)要求時風險失效概率可能是對概率安全分析中可能聲稱的可靠性適當?shù)恼w限值。該數(shù)值可能需要包括系統(tǒng)冗余通道中的共模故障風險，并適用于整個系統(tǒng)，從傳感器、經(jīng)過處理到輸出，再到被驅(qū)動設(shè)備。不排除可靠性論證的限值內(nèi)（附件III說明了一些國家接受的限度。文件提供在設(shè)計過程中所涉及的各種不同階段間及其不同部分之間提供一個表明需求已正確地解釋并在所安裝的系統(tǒng)中正確實現(xiàn)將運行極其重要的信息和安全設(shè)計有關(guān)的信息傳遞給核電廠運為用于核電廠和儀器儀表和控制系統(tǒng)的維護和對可能的未來修定之用（9.100－9.103段。生命周期活動需求規(guī)范說明10若在相關(guān)設(shè)計中假設(shè)了營運組織的運行安保政策和實踐（包括與計算機安保防范有關(guān)的政儀器儀表和控制系統(tǒng)對基于自監(jiān)督手段探測的故障所采取的行應(yīng)對核電廠正常工況和事故工況相關(guān)的所有運行環(huán)境范圍以及應(yīng)使用與系統(tǒng)安全的重要性相稱的預(yù)定技術(shù)組合來建立和記錄需11可靠性和可用性水平可以從數(shù)量上或質(zhì)量上定義，例如，根據(jù)上面提到的支持要求，如實12預(yù)先開發(fā)物項的選擇應(yīng)根據(jù)第6.78－6.134段中的指導(dǎo)意見對預(yù)先開發(fā)物項進行適當?shù)蔫b所選的預(yù)先開發(fā)物項通常是現(xiàn)成的商用設(shè)備。使用現(xiàn)成的商用設(shè)備可能會降低成本和設(shè)計工作量。此外，可能沒有專門用于核電廠的裝置，使用一種經(jīng)過良好證實的商用產(chǎn)品可能比開發(fā)一個新物項更有效或更安商用現(xiàn)成設(shè)備往往更加復(fù)雜，可能具有不期望的功能，而且往往在更短的時間內(nèi)就會過時。它們通常具有核電廠應(yīng)用中不需要的功能。商用中所述的過程那么透明和受控制。沒有供應(yīng)商的合作，鑒定一般是不可能版本、新的制造流程或新的軟件版本。這可能給供應(yīng)商和核電廠的配置管理在正確識別此類修改方面（特別是儀器儀表和控制系統(tǒng)維護和備件管理方面相關(guān)的）帶來挑戰(zhàn)。在某些情況下，營運組織購買了特定版本備件的儀器儀表和控制系統(tǒng)的設(shè)計與實現(xiàn)系統(tǒng)整合應(yīng)確定部件、配件和子系統(tǒng)按整合系統(tǒng)設(shè)計的那樣運行，以使系系統(tǒng)驗證2.712.72段中定義的獨立性。接口信號132.1322.13413接口信號包括，例如，到達或來自其他系統(tǒng)、傳感器、驅(qū)動設(shè)備和運行人員接口的輸入和安裝、總體儀器儀表和控制整合以及調(diào)試運行和維護監(jiān)視和在役檢查》[16]指導(dǎo)意見進行儀器儀表和控制系統(tǒng)的維護和監(jiān)視，該指導(dǎo)意見就儀器儀表和控制系統(tǒng)的維護和監(jiān)視（包括校準）的計劃、組織2.154－2.156NS-G-2.6[16]關(guān)于儀器儀表和改造設(shè)備更換的設(shè)計和現(xiàn)有的儀器儀表和控制設(shè)備之間可能需要保需要更新現(xiàn)有的設(shè)計文件1414舊系統(tǒng)的設(shè)計文檔可能不完整或不準確。因此，對這類系統(tǒng)進行重大修改或更換可能需要2所示的單一儀器儀表和控制功能的識別SSR-2/1（Rev.1）[1]4“在所有電廠狀態(tài)下均須確保實現(xiàn)核電廠的以下基本安全功能：(i反應(yīng)性控制；(ii)(iii)封閉放射SSR-2/1（Rev.1）[1]4.1所需的安全功能來自核電廠的設(shè)計過程（SSR-2/1（Rev.1）[1]4部分部儀器儀表和控制系統(tǒng)設(shè)計基準內(nèi)容SSR-2/1（Rev.1）[1]14SSR-2/1（Rev.1）[1]5.3儀器儀表和控制總體架構(gòu)是核電廠儀器儀表和控制系統(tǒng)的組織結(jié)對核電廠安全和安保功能至關(guān)重要的數(shù)字化儀器儀表和控制系每個單一儀器儀表和控制系統(tǒng)在儀器儀表和控制總體架構(gòu)縱深定性或定量的可靠性和可用性目標1516系統(tǒng)和部件的可靠性和可用性限制可以使用概率標準、確定性標準（例如，符合單一故障要求系統(tǒng)執(zhí)行安全重要功能的核電廠環(huán)境條件17驅(qū)動安全系統(tǒng)所需參數(shù)的限值（6.2093允許僅通過手動觸發(fā)，或觸發(fā)后僅通過手動方式進行控制的論運行人員在運行狀態(tài)和事故工況下預(yù)計采取手動動作的環(huán)境條驗證運行人員在執(zhí)行手動操作時要考慮的信息將顯示在適當?shù)?7關(guān)注的核電廠環(huán)境條件包括設(shè)計基準事故、內(nèi)部事件或外部事件期間儀器儀表和控制系統(tǒng)架構(gòu)設(shè)計相比前幾代儀器儀表和控制系統(tǒng)安全更加難以保障儀表和控制系統(tǒng)架構(gòu)將確?？v深防御和多樣性，并將這些難以分析的特性局部化并包絡(luò)在各系統(tǒng)中，以便這些特征不會使電廠安全的保證變得過于儀器儀表和控制總體架構(gòu)的內(nèi)容應(yīng)包括滿足核電廠設(shè)計基準所需的所有儀器儀表和控制系統(tǒng)功應(yīng)識別將納入儀器儀表和控制總體架構(gòu)的各個儀器儀表和控制18要在所有儀器儀表和控制系統(tǒng)中一致考慮的主題包括，例如，核電廠運行原則的應(yīng)用、人單一儀器儀表和控制系統(tǒng)的內(nèi)容1920典型的安全系統(tǒng)將由成冗余的序列組織而成，以符合單一故障標準。較低安全級別的系統(tǒng)應(yīng)描述儀器儀表和控制功能的分配和對每個儀器儀表和控制系獨立性6.25－6.56段的建議，安全系統(tǒng)提供的信息可用于較低共因故障的考慮SSR-2/1（Rev.1）[1]24“設(shè)備的設(shè)計必須適當考慮安全重要物項發(fā)生共因故障的可能性，以2.81概率分析21不應(yīng)將安全重要儀器儀表和控制物項視為完全獨立2122SSR-2/1（Rev.1）[1]18SSR-2/1（Rev.1）[1]5.34原子能機構(gòu)《安全標準叢書》第SSG-30號《核電廠結(jié)構(gòu)、系統(tǒng)和部件的安全分級》[17]SSR-2/1（Rev.1）[1]和GSRPart4（Rev.1）SSG-30[17]SSR-2/1（Rev.1）[1]提出的縱深結(jié)構(gòu)、系統(tǒng)和部件分為三個安全級別。但也可使用更多或更少的類別和級別，只要它們與SSG-30[17]2.122.15段提供的指導(dǎo)相一致。概述避免復(fù)雜性的目的是使儀器儀表和控制系統(tǒng)盡可能簡單，但仍然完全符合其安全要求。需要避免復(fù)雜性的例子包括：對儀器儀表和控制系統(tǒng)安全功能或?qū)ζ淇煽啃詻]有貢獻的功能；采用不易于進行充分分析或核實因此，所采用的架構(gòu)應(yīng)該具有簡單的相互作用和簡單的通信鏈路。仔細記可靠性設(shè)計SSR-2/1（Rev.1）[1]62SSR-2/1（Rev.1）[1]6.34單一故障標準或可能由影響安全組的假想始發(fā)事件導(dǎo)致的所有故障和系統(tǒng)誤設(shè)計、維護、運行或制造錯誤導(dǎo)致的故障不包括在單一故障標準符合性分析中。應(yīng)通過管理系統(tǒng)適當處理已知錯誤。未知錯誤的影響是無法冗余性包括符合單一故障標準。除非冗余的元件也是獨立的，否則冗余性不完全有效。一般而言，冗余性增加了可靠性，但也增加了誤操作的概率。冗余信號的符合（“表決邏輯或拒絕假信號的方案通常用于獲得可靠性和排獨立性SSR-2/1（Rev.1）[1]21SSR-2/1（Rev.1）[1]5.35 23實例包括衰減電磁干擾影響的空間，以及經(jīng)過不同核實水平的系統(tǒng)和部件之間的隔離。環(huán)實體分隔可減少冗余設(shè)備在運行或維護過程中發(fā)生意外錯誤的提供光隔離的裝置（包括光纖然而安全系統(tǒng)可以依賴于來自非安全級的維護系統(tǒng)的輸入，例如，用于執(zhí)行維護、軟件更新、試驗或用于設(shè)置配置數(shù)據(jù)的系統(tǒng)。此類輸入通24安全系統(tǒng)與較低安全級別系統(tǒng)之間的數(shù)據(jù)傳輸應(yīng)設(shè)計成，較低安全級別系統(tǒng)中的可信故障不會妨礙任何與之相連的安全系統(tǒng)完成其安全功6.51對較低安全級別系統(tǒng)中可能導(dǎo)致安全級部件誤驅(qū)動的潛在故障7.52－7.59段就保護和控制系統(tǒng)使用公共信號輸入的情況提出補多樣性多樣性的措施還包括避免在多樣性應(yīng)用中存在潛在共性特征，例如類似的材料、類似的部件、類似的制造過程、類似的邏輯、運行原則的細微相似性或共同的輔助設(shè)施。例如，不同的制造商可能使用同樣處理器或故障模式了解部件的故障模式對于將故障安全概念應(yīng)用于系統(tǒng)是非常重要在硬件或軟件設(shè)計中，最可能由系統(tǒng)性原因?qū)е碌墓收夏Ｊ交旧鲜遣豢深A(yù)測的。因此，故障安全設(shè)計的概念對于處理由這些原因引起的故設(shè)備鑒定SSR-2/1（Rev.1）[1]30其設(shè)計壽命期間始終能夠在必要時以及在當時發(fā)生的主要環(huán)境條件根據(jù)有關(guān)工況下的試驗數(shù)據(jù)或運行經(jīng)驗用合理工程外推法進行適宜性與正確性環(huán)境鑒定輻照、水淹、電磁現(xiàn)象和老化機制的鑒定，這些因素影響部件在這些條件內(nèi)外部危害應(yīng)根據(jù)NS-G-1.7[20]應(yīng)根據(jù)NS-G-1.11[21]指導(dǎo)，保護儀器儀表和控制系統(tǒng)和部件免受其應(yīng)根據(jù)原子能機構(gòu)《安全標準叢書》第NS-G-1.6號《核電廠的抗震應(yīng)根據(jù)原子能機構(gòu)《安全標準叢書》第NS-G-1.5號《核電廠設(shè)計中工業(yè)環(huán)境電磁兼容性國際標準可作為鑒定要求的基準，但必須在必電磁兼容性要求的確定需要考慮儀器儀表和控制部件暴露于重復(fù)性瞬變25核電廠內(nèi)的任何電氣或電子設(shè)備都會對電磁環(huán)境產(chǎn)生影響。因此，設(shè)備鑒定程序應(yīng)證明所有核電廠設(shè)備的電磁發(fā)射都在規(guī)定的限值應(yīng)對老化和技術(shù)老化的設(shè)計SSR-2/1（Rev.1）[1]31SSR-2/1（Rev.1）[1]5.51SSR-2/1（Rev.1）[1]5.52預(yù)測的老化機理和幫助確定電廠的意外行為或使用過程中可能發(fā)生電氣和電子系統(tǒng)及部件的合格使用壽命可能大大低于核電廠的壽提供了關(guān)于老化管理和技術(shù)老化管理的補充指導(dǎo)。它包括設(shè)備鑒定方案和接近安全重要系統(tǒng)的控制特別值得關(guān)注的方面是對設(shè)定值調(diào)整和校準調(diào)整以及配置數(shù)據(jù)的訪第7.103－7.130運行期間的試驗和可試驗性SSR-2/1（Rev.1）[1]29SSR-2/1（Rev.1）[1]6.35試驗裝置6.25－6.56段中有關(guān)獨立性的建議。應(yīng)明確受影響功能的可靠性在兩次試驗之間的時間間隔內(nèi)是可應(yīng)證明未經(jīng)試驗的部件的準確度和穩(wěn)定性在試驗間隔期間滿足6.166SSR-2/1（Rev.1）[1]5.46儀器儀表和控制系統(tǒng)的試驗裝置（手動裝置和自動裝置）應(yīng)確保試驗不會對儀器儀表和控制系統(tǒng)完成其安全功能的能力產(chǎn)生不利影響，并將誤觸發(fā)安全動作的可能性和試驗對核電廠可用性的其他不利影響降至最SSR-2/1（Rev.1）[1]5.45和監(jiān)控活動，而且這些活動能夠根據(jù)相關(guān)國家和國際程序和標準進它們的位置應(yīng)使試驗或接近試驗地點都不會使運行人員暴露在危害環(huán)境27。2627試驗程序信的，以建立系統(tǒng)或部件的可運行性。28盡量減少誤觸發(fā)任何安全動作的可能性以及試驗對核電廠可用28在使用重復(fù)試驗的結(jié)果來證明所涉及的系統(tǒng)或部件的可操作性之前，通常需要對試驗失敗29試驗的核電廠設(shè)備配備有為與試驗設(shè)備連接而專門設(shè)計的裝置，可以使用與試驗設(shè)備的臨應(yīng)為單一在線試驗應(yīng)能探測冗余設(shè)備的故障31可維護性避免將設(shè)備放置于在核電廠正常運行期間預(yù)計溫度或濕度過高30這種在線試驗將能夠在觸發(fā)時直接識別特定缺陷，而不需要進行試驗連接或干擾在線設(shè)備31避免將設(shè)備放置于存在高輻射水平風險的區(qū)域（見原子能機構(gòu)設(shè)備發(fā)生故障并且不可能被迅速和易于修理或更換的情況下降用于因試驗或維護而停用的措施SSR-2/1（Rev.1）[1]6.36必須對在整個試驗或維護活動期間所需的任何保護系統(tǒng)旁通作出適設(shè)定值安全運行的運行限值和條件包括安全系統(tǒng)的儀器儀表和控制設(shè)定運行是安全的32；值，以確保不超過安全限值33；34的狀態(tài)，在發(fā)3233分析限值和安全限值之間的裕度考慮了儀器儀表通道的響應(yīng)時間和被考慮事故引起的瞬34“安全系統(tǒng)的設(shè)定值”在某些國家屬于法律術(shù)語，可用觸發(fā)設(shè)定值或允許值來表達（亦可同時用兩者來表達NS-G-2.2號《核電廠運行限值、條件及運行3說明了這些術(shù)語與測量不確定度和偏差類型之間的關(guān)系，這些安全重要物項的標記和識別在核電廠的整個生命周期的設(shè)計、安裝和運行階段都應(yīng)遵循和遵守 3.傳感裝置控制系統(tǒng)保護系統(tǒng)SSR-2/1（Rev.1）[1]61自動安全動作和手動安全動作SSR-2/1（Rev.1）[1]6.33(b)“[保護系統(tǒng)]……的設(shè)計必須使用于啟動安全系統(tǒng)的各種安全動作自安全系統(tǒng)應(yīng)向運行人員提供清楚和充分的信息以便它們做出合執(zhí)行動作的運行人員之間的通訊線路足以保證這些行動的正確允許運行人員有足夠的時間估計核電廠的狀況和并完成所要求的動作。35相關(guān)的時限分析應(yīng)考慮到可用的時間和每個運行人員3530分鐘內(nèi)，不需要信息顯示[保護系統(tǒng)的傳感器和設(shè)置當保護系統(tǒng)功能需要多個設(shè)定值時（例如，用于允許功率增加或減少設(shè)計應(yīng)確保當核電廠工況不再適合使用較低限制性的設(shè)定值時，自動運行旁通保護系統(tǒng)功能自保持SSR-2/1（Rev.1）[1]6.33(a)“[保護系統(tǒng)]……的設(shè)計必須防止運行人員在運行狀態(tài)和事故工況中誤觸發(fā)保護系統(tǒng)與其他系統(tǒng)之間的相互作用實施適當?shù)墓δ塥毩⑿詠矸乐购穗姀S保護系統(tǒng)和控制系統(tǒng)之間的相互干SSR-2/1（Rev.1）[1]6.38適當?shù)娜ヱ詈想娫慈绾?，都?yīng)具有符合其所服務(wù)的儀器儀表和控制系統(tǒng)可靠性要求的安全級表和控制系統(tǒng)（6.132段。NS-G-1.8號《核電廠應(yīng)急電源系統(tǒng)的設(shè)計》[3336對其他形式數(shù)字化系統(tǒng)SSR-2/1（Rev.1）[1]63開發(fā)和試驗計算機硬件和軟件的適當標準和實踐并在該系統(tǒng)的整個36數(shù)字化系統(tǒng)功能使用數(shù)字化系統(tǒng)實現(xiàn)儀器儀表和控制系統(tǒng)功能的優(yōu)勢包括提供復(fù)雜功能的靈活性、改進的核電廠監(jiān)控和運行人員的接口、自試驗和自診斷能力、更好的便于基于強大數(shù)據(jù)記錄能力的運行經(jīng)驗反饋環(huán)境、更低的物理數(shù)字化系統(tǒng)斷電或重新啟動不應(yīng)導(dǎo)致不希望的配置數(shù)據(jù)或軟件修數(shù)字化數(shù)據(jù)通信消息的大小，使得通信負載始終與數(shù)據(jù)通信系統(tǒng)的傳輸容量一6.25－6.56此建議通常是通過使用兩個處理器來實現(xiàn)的，這兩個處理器通過對共享內(nèi)存的仔細控制訪問來共享數(shù)據(jù)。一個處理器專用于執(zhí)行安全功能，另一個專用于數(shù)據(jù)通信任務(wù)。將計算和邏輯功能與通信和中斷功能隔離，可防止后兩種功能中的錯誤干擾安全計算或邏輯功能的確定性行為和時限。這種隔離（有時稱為緩沖）旨在防止本序列外的通信故障和失效擴展數(shù)據(jù)通信的獨立性6.25－6.56段的指導(dǎo)意避免共因故障安全序列之間的通信數(shù)據(jù)核實（7.82－7.94段）和設(shè)置緩沖區(qū)相結(jié)合的方法。計算機安保SSR-2/1（Rev.1）[1]82部分中的建議開發(fā)包含在儀器儀表和控7.118－7.120段不適用于控制室運行人員根據(jù)設(shè)計可對配置數(shù)據(jù)使用硬件描述語言配置的設(shè)備29部分提供的軟件導(dǎo)則一起使2部分建議的預(yù)定義硬件可編程設(shè)備和相關(guān)物項（（半導(dǎo)體IP核）和硬件定義語言）的選擇應(yīng)遵照已規(guī)定的和文檔化的流程，應(yīng)僅使用具有良好定義的實現(xiàn)和行為屬性的硬件可編程設(shè)備結(jié)應(yīng)明確處理硬件可編程設(shè)備的所有可能的邏輯用例和所有運行軟件工具具有引入故障能力的軟件工具應(yīng)比不具有該能力的軟件工具進不能使用戶發(fā)現(xiàn)現(xiàn)有故障的軟件工具應(yīng)比不具備該功能的軟件安全應(yīng)用中有限功能的工業(yè)數(shù)字化設(shè)備的鑒定本部分提供核電廠安全系統(tǒng)中使用的有限功能但尚未專門針對此類6.78－6.13437以外的其他功能的運行或故障都不能導(dǎo)致主要功設(shè)備不應(yīng)存在可以可信地導(dǎo)致安裝在冗余或多樣化的儀器儀表制造的質(zhì)量保證足以為以后制造的相同設(shè)備或相似型號的接受37控制室主控室SSR-2/11]65廠保持安全狀態(tài)或在發(fā)生預(yù)計運行事件和事故工況后使之返回到安SSR-2/1（Rev.1）[1]59主要變量；獲得安全和可靠運行電廠所需的電廠重要信息；以及為事 SSR-2/1（Rev.1）[1]5.57段指出：8.6段的指導(dǎo)并不排除使用其他適當手段來滿足應(yīng)急運行程序和輔助控制室SSR-2/1（Rev.1）[1]66的設(shè)備配備必須能夠在主控室喪失執(zhí)行這些關(guān)鍵安全功能的能力時事故監(jiān)控SSR-2/1（Rev.1）[1]6.31并應(yīng)由能夠在設(shè)計基準、事故工況和設(shè)計擴展工況下運行的儀器儀表和控6部分的導(dǎo)則，包括符合用6.82段所述的方法。運行人員通訊系統(tǒng)SSR-2/1（Rev.1）[1]37SSR-2/1（Rev.1）[1]5.66SSR-2/1（Rev.1）[1]5.67相關(guān)設(shè)施。38相關(guān)設(shè)施包括可能受到核電廠機組運行影響的其他設(shè)施（例如同一場址的其他機組8.438.44儀器儀表和控制系統(tǒng)的人因工程的一般原則SSR-2/1（Rev.1）[1]32“必須在核電廠設(shè)計過程初期就對人為因素包括人-機接口進行系統(tǒng)SSR-2/1（Rev.1）[1]5.55SSR-2/1（Rev.1）[1]5.56“人-機接口的設(shè)計必須做到能夠根據(jù)需要作出決定和采取行動的時儀器儀表和控制系統(tǒng)應(yīng)向運行人員提供必要信息以便探測系統(tǒng)狀態(tài)當在不適當?shù)募傧敕桨赶禄蚝穗姀S配置不適當?shù)那闆r下采取行動時，儀器儀表和控制系統(tǒng)應(yīng)盡量設(shè)計成能預(yù)防和探測運行人員的錯誤。這應(yīng)反映對人體生理特征4039以易于理解的形式顯示信息可減少運行人員的認知工作量。例如，符合本導(dǎo)則的人機界面40人類的生理特征包括，例如，視覺/聽覺感知和生物力學（伸展和運動人與自動動作相互作用的考慮SSR-2/1（Rev.1）[1]5.59儀器儀表和控制系統(tǒng)中任務(wù)設(shè)計的考慮運行人員的職能應(yīng)由有目的和有意義的任務(wù)組成，使工作人員能夠任務(wù)分析應(yīng)考慮所有核電廠狀態(tài)、所有電廠運行模式和所有運行小組，如反應(yīng)堆運行人員、汽輪機運行人員、值長、現(xiàn)場運行人員、安全工如顯示信息的準確度和精確度、系統(tǒng)響應(yīng)時間、實體布置、控制器、顯示可達性和工作環(huán)境方面的考慮SSR-2/1（Rev.1）[1]5.60內(nèi)以及通往輔助控制室的通道上的沿途場所的環(huán)境狀況不損害運行當人-41分散時，運行人員應(yīng)具有安全地和及時地接近這41分散式人-歷史數(shù)據(jù)的記錄概述2部分中提供的管理系統(tǒng)和生命周期過程導(dǎo)則與軟件特別相關(guān)，SSR-2/1（Rev.1）[1]63開發(fā)和試驗計算機硬件和軟件的適當標準和實踐并在該系統(tǒng)的整個軟件需求3因工程和計算機安保活動（112；42、執(zhí)行線程的獨立性、自監(jiān)督、時限性能43和安保性44；應(yīng)包括達到的可靠性45軟件設(shè)計42接口示例包括軟件和運行人員之間、傳感器和致動器之間、計算機硬件和其他軟件之間以43447.79－7.94將其納入軟件設(shè)計（6.166－6.172段。軟件實現(xiàn)應(yīng)正確和完整地體現(xiàn)軟件需求且完整地體現(xiàn)軟件設(shè)計、結(jié)構(gòu)合7.148－7.164段。功能順序或算法）可被考慮為降低軟件中共因故障的可能性和影響的一種手段。但軟件的多樣性可能會引入設(shè)計限值，而這些限值本身可能會導(dǎo)致軟件核實與分析7.148－7.164每個輸入變量的整個范圍（使用等價類劃分和邊界值分析等技GS-G-3.1[3]為確保用于試驗的測量和試驗設(shè)備的適用性提供了指（GS-G-3.1[3]6.50－6.77段和GS-G-3.5[4]6.42－6.69預(yù)先開發(fā)軟件2.108－2.117軟件工具7.148－7.164第三方評定 除了原子能機構(gòu)提供的指導(dǎo)外，還有大量的國家和國際標準，就支持遵守SSR-2/1（Rev.1）[I-1]設(shè)計方法和系統(tǒng)特征提出更詳細的建議。預(yù)期設(shè)計人I-3.兩個標準開發(fā)組織負責大多數(shù)國際上使用的核電廠儀器儀表和控制標準：(a國際電工委員會（IEC）45小組分委員會；(b)電氣和電子工I-4.本附錄旨在幫助讀者理解本“安全導(dǎo)則”與國際電工委員會和電氣I-5.表I-2表I- 與本“安全導(dǎo)則”有密切關(guān)系的國際標準IEC60515 IEC

IEC IEC IEC

表I- 與本“安全導(dǎo)則”有密切關(guān)系的國際標準（續(xù)IEC IEC

IEC IEC IEC IEC61468 IEC

IEC IEC IEC IEC IEC IEC IEC

IEC IEC

IEC A級功能的系統(tǒng)用IECIECIEEEStd.

IEEEStd3081E級電力系統(tǒng)的電氣和電子工程師協(xié)會標準IEEEStd3231E級設(shè)備鑒定的電氣和電子工程師協(xié)會標準IEEEStd.338核電廠安全系統(tǒng)定期監(jiān)督試驗標準IEEEStd344表I- 與本“安全導(dǎo)則”有密切關(guān)系的國際標準（續(xù)IEEEStd.

IEEEStd IEEE1EIEEEStd IEEEStd IEEEStd.7-IEEEStd IEEEStd ISO/IEC ISO/IEC 注：ISO表I- 本“安全導(dǎo)則”主題領(lǐng)域與國際標準的關(guān)系

IEC61513、IEEE7-IEC61513、IEEE7-ISO/IECIEC61513、IEEEIECIEC IEC61513、IEC6儀控功能、系統(tǒng)和設(shè)備的安全分類IEC

344、IEEE323、IEC2003IECIEC60671、IEEEIECIEC表I- 本“安全導(dǎo)則”主題領(lǐng)域與國際標準的關(guān)系（續(xù)

IECIEC61468、IEC60737IEEEIEC61225、IEEEIEC61513、IEEE7-IEC61500、IECIECIEC60880、IECIEEE576IECIEEEIEC61839、IEC61772、IEEE1023IEEE1082IEC60880、IEC62138，IEEE7-4.3.2、IEEE1012， IEEEStd.1074、ISO/IEC I-6.齊心協(xié)力以避免本“安全導(dǎo)則”的建議與國際電工委員會和電氣和I-7.然而，用戶需要認識并考慮到國際電工委員會與電氣和電子工程師I-8.國際電工委員會標準將原子能機構(gòu)的安全要求和安全導(dǎo)則作為制定I-9.電氣和電子工程師協(xié)會標準主要側(cè)重于安全物項，因此，與本“安 電氣和電子工程師協(xié)會標準未將本“安全導(dǎo)則”作為參考。在電氣和電子工程師協(xié)會標準框架中IEEE603（I-1）等同于本“安全導(dǎo)則”。然而，本“安全導(dǎo)則”和電氣和電子工程師協(xié)會標準響應(yīng)相同的一套儀器儀表和控制系統(tǒng)設(shè)計原則。應(yīng)當指出，電氣和電子工程師協(xié)會標準經(jīng)常使用詞。電氣和電子工程師協(xié)會沒有一個術(shù)語等同于原子能機構(gòu)所使用的“安I-11.參考文獻[I-2]包含了更廣泛的儀器儀表和控制系統(tǒng)設(shè)計標準參考書附件 書》第SSR-2/1（Rev.1）號，國際原子能機構(gòu)，維也納（2016年[I-2NP-T-3.12號，國際原子能機構(gòu)，維也納（2011號和第NS-G-1.3II- NS-G-1.11NS-G-1.32表II-1. 原子能機構(gòu)《安全標準叢書》第NS-G-1.1號與本“安全導(dǎo)則”的對應(yīng)關(guān)系第NS-G-1.1號

特定儀控系統(tǒng)和設(shè)備的設(shè)計導(dǎo)則 1書》第NS-G-1.1號，國際原子能機構(gòu)，維也納（2000年第NS-G-1.3號，國際原子能機構(gòu)，維也納（2002年表II-1. 原子能機構(gòu)《安全標準叢書》第NS-G-1.1