GBT 13629-2023 核電廠安全系統(tǒng)中可編程數(shù)字設(shè)備的適用準則

核電廠安全系統(tǒng)中可編程數(shù)字設(shè)備的適用準則2023-12-28發(fā)布I前言 l2規(guī)范性引用文件 13術(shù)語和定義、縮略語 13.1術(shù)語和定義 13.2縮略語 24安全系統(tǒng)設(shè)計基準 35安全系統(tǒng)準則 35.1單一故障準則 35.2保護動作的完成 35.3質(zhì)量 35.4設(shè)備鑒定 75.5系統(tǒng)的完整性 75.6獨立性 95.7試驗和校準能力 5.8信息顯示 5.9訪問控制 5.10維修 5.11標識 5.12輔助設(shè)施 5.13多機組核電廠 5.14人因工程考慮 5.15可靠性 5.16共因失效準則 5.17商品級數(shù)字設(shè)備的使用 5.18簡單性 6監(jiān)測指令設(shè)備的功能和設(shè)計要求 7執(zhí)行裝置的功能和設(shè)計要求 8對動力源的要求 附錄A(資料性)危害的識別和控制 A.1背景 A.2危害分析的目的 A.3危害分析實施指導(dǎo) Ⅱ附錄B(資料性)通信獨立性 附錄C(資料性)多樣性需求的確定 C.1多樣性和縱深防御分析 C.2充分多樣性以消除共因失效 C.3增加多樣性以應(yīng)對共因失效薄弱環(huán)節(jié) C.4多樣性的手動控制和顯示 C.5多樣性的自動控制 附錄D(資料性)商品級物項適用性確認 D.1總體原則 D.2商品級物項適用性確認的準備 41D.3商品級物項適用性確認的開展 D.4商品級物項適用性確認的維護 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GB/T13629—2008《核電廠安全系統(tǒng)中數(shù)字計算機的適用準則》,與GB/T13629—2008相比，除結(jié)構(gòu)調(diào)整和編輯性改動外，主要技術(shù)變化如下：——更改了文件的適用范圍，將“數(shù)字計算機”更改為“可編程數(shù)字設(shè)備”(見第1章，2008年版的第1章);構(gòu)”“設(shè)計”“文件""文檔""差錯""執(zhí)行""失效""故障""功能""功能單元""硬件""實現(xiàn)""接口”2008年版的第3章);——增加了術(shù)語和定義“安全狀態(tài)”“功能狀態(tài)”"關(guān)鍵特性""基本部件""可編程數(shù)字設(shè)備""數(shù)字安全系統(tǒng)”(見第3章);——增加了縮略語(見3.2);——增加了針對單一故障的相關(guān)準則要求(見5.1);——更改了應(yīng)用于數(shù)字裝置、軟硬件開發(fā)、固件和可編程邏輯設(shè)備開發(fā)所用到的軟件工具內(nèi)容(見5.3.3,2008年版的5.3.2);——增加了功能優(yōu)先級的相關(guān)要求(見5.5.5);——增加了安全系統(tǒng)內(nèi)部各冗余部分以及安全系統(tǒng)和其他系統(tǒng)之間獨立性方面的詳細規(guī)定(見——增加了3項試驗和校準準則(見5.7);——增加了多序列控制和顯示的相關(guān)要求(見5.8);——增加了安全系統(tǒng)在計算機安全防范方面的要求，特別給出了安全開發(fā)和運行環(huán)境的相關(guān)準則(見5.9);——增加了安全系統(tǒng)中與計算機相關(guān)的共因失效(CCF)的要求(見5.16);——增加了可編程設(shè)備和軟件的商品級適用性確認要求(見5.17);——增加了安全系統(tǒng)簡單性方面的要求(見5.18)。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責(zé)任。本文件由全國核儀器儀表標準化技術(shù)委員會(SAC/TC30)提出并歸口。本文件起草單位：核工業(yè)標準化研究所、北京廣利核系統(tǒng)工程有限公司、生態(tài)環(huán)境部核與輻射安全中心、國核自儀系統(tǒng)工程有限公司、中核控制系統(tǒng)工程有限公司。本文件主要起草人：焦麗玲、程建明、張亞棟、杜喬瑞、王曉燕、杜建、鄧瑞源、吳飛飛、裴紅偉、本文件及其所代替文件的歷次版本發(fā)布情況為：——1998年首次發(fā)布為GB/T13629—1998,2008年第一次修訂；——本次為第二次修訂。1核電廠安全系統(tǒng)中可編程數(shù)字設(shè)備的適用準則本文件規(guī)定了可編程數(shù)字設(shè)備用于核電廠安全系統(tǒng)的設(shè)計準則，包括安全系統(tǒng)準則、監(jiān)測指令設(shè)備本文件適用于核電廠安全系統(tǒng)中的可編程數(shù)字設(shè)備。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T12727—2017核電廠安全級電氣設(shè)備鑒定GB/T13284.1—2008核電廠安全系統(tǒng)第1部分：設(shè)計準則GB/T13625—2018核電廠安全級電氣設(shè)備抗震鑒定GB/T22032—2021系統(tǒng)與軟件工程系統(tǒng)生存周期過程NB/T20448—2017核電廠系統(tǒng)和軟件的驗證和確認下列術(shù)語和定義適用于本文件。在其應(yīng)用場景中被認為是安全的系統(tǒng)狀態(tài)或符合核電廠安全分析的系統(tǒng)工況。由可編程數(shù)字設(shè)備(PDD)設(shè)計規(guī)定的部件或系統(tǒng)的運行狀態(tài)。硬件設(shè)備和駐留在此設(shè)備上的作為只讀軟件的計算機指令和數(shù)據(jù)的組合。關(guān)鍵特性criticalcharacterist為了保證商品級物項可執(zhí)行其預(yù)定安全功能，需驗證物項重要的設(shè)計、材料和性能(包括設(shè)計過程)2的屬性?；静考asiccomponent影響核電廠安全功能所必需的系統(tǒng)、設(shè)備及其零件。任何依賴計算機軟件指令或可編程邏輯完成其功能的設(shè)備。注：包括計算機、可編程硬件設(shè)備，或帶有固件的設(shè)備。商品級物項commercialgradeitem不是為核電廠專門設(shè)計或不以核電廠特有的技術(shù)要求為條件，用于非核電廠，按制造廠產(chǎn)品(例如樣本)說明中規(guī)定的技術(shù)條件從制造廠或供貨商處采購的系統(tǒng)、設(shè)備及其零件。商品級物項適用性確認commercialgradededication為了充分確信商品級物項適合于核安全應(yīng)用，對商品級物項進行評價和驗收的過程。數(shù)字安全系統(tǒng)digitalsafetysystem用以執(zhí)行安全功能的可編程數(shù)字設(shè)備的集合。危害hazard系統(tǒng)中不良行為的先決條件，包括外部事件以及硬件和軟件的內(nèi)在條件。檢查系統(tǒng)以識別內(nèi)在危害，以及運用適當?shù)男枨蟆⒃O(shè)計和其他約束條件來消除、預(yù)防或控制所識別的危害的過程。3.2縮略語下列縮略語適用于本文件。ATWS:未能緊急停堆的預(yù)期瞬態(tài)(AnticipatedTransientWithoutScram)CDR:關(guān)鍵數(shù)字評審(CriticalDigitalReview)DPRAM:雙端口隨機存儲器(Dual-portedRandomAccessMemory)D3:多樣性和縱深防御(DiversityandDefenseinDepth)FMEA:失效模式和影響分析(FailureModesandEffectsAnalysis)FTA:故障樹分析(FaultTreeAnalysis)MTE:測量和試驗設(shè)備(MeasurementandTestEquipment)PHA:初步危害分析(PreliminaryHazardsAnalysis)SDOE:安全開發(fā)和運行環(huán)境(SecureDevelopmentandOperationalEnvironment)V&.V:驗證和確認(VerificationandValidation)34安全系統(tǒng)設(shè)計基準核電廠安全系統(tǒng)的設(shè)計基準應(yīng)按照GB/T13284.1—2008中第4章給出的要求執(zhí)行。5安全系統(tǒng)準則5.1單一故障準則除GB/T13284.1—2008中5.1給出的要求外，下列準則也適用于安全系統(tǒng)中的可編程數(shù)字設(shè)備。a)單個可編程數(shù)字設(shè)備(PDD)失效不應(yīng)影響核電廠安全分析中假定會獨立地發(fā)生功能異常的功能。b)功能配置(如功能分布)應(yīng)使得單個PDD的功能異?；蜍浖e誤不應(yīng)導(dǎo)致電廠發(fā)生未包含在設(shè)計基準、事故分析、未能緊急停堆的預(yù)期瞬態(tài)(ATWS)的處理措施誤動作或其他異常工況的處理措施誤動作。這里所指的誤動作包括單個PDD功能異?；蜍浖e誤導(dǎo)致的一個以上電廠設(shè)備或系統(tǒng)的誤動作。對相同的軟件錯誤導(dǎo)致的多個PDD故障的可能性及其后果應(yīng)滿足5.16的要求。5.2保護動作的完成保護動作的完成應(yīng)按照GB/T13284.1—2008中5.2給出的要求執(zhí)行。安全系統(tǒng)質(zhì)量總體要求按照GB/T13284.1—2008中5.3執(zhí)行。軟件質(zhì)量要求應(yīng)滿足ISO/IEC12207:2017及其支持性標準的要求。系統(tǒng)質(zhì)量應(yīng)滿足GB/T22032—2021的要求。PDD的開發(fā)活動應(yīng)包括硬件和軟件的開發(fā)。在開發(fā)過程中應(yīng)處理硬件與軟件的集成以及PDD在安全系統(tǒng)中的集成。典型的安全系統(tǒng)開發(fā)過程宜由下列生命周期的過程組成：a)建立系統(tǒng)的概念設(shè)計；b)將概念設(shè)計轉(zhuǎn)化為具體的系統(tǒng)需求；c)使用這些需求進行詳細的系統(tǒng)設(shè)計；d)硬件和軟件功能的設(shè)計的實現(xiàn)；e)功能試驗以確定需求的正確實現(xiàn)；f)系統(tǒng)安裝并進行現(xiàn)場調(diào)試；g)系統(tǒng)運行和維護；h)系統(tǒng)退役。為了符合質(zhì)量準則，除了GB/T13284.1—2008的要求之外，還應(yīng)滿足下列活動的附加要求：a)軟件開發(fā)；b)現(xiàn)有商品級PDD的適用性確認(見5.17);c)軟件工具的使用；d)驗證和確認；e)配置管理；f)風(fēng)險管理。4軟件應(yīng)按經(jīng)批準的軟件質(zhì)量保證大綱進行開發(fā)、修改或驗收，質(zhì)量保證大綱的要求應(yīng)符合ISO/IEC12207:2017的規(guī)定。軟件質(zhì)量保證大綱應(yīng)涉及運行時PDD的所有常駐軟件(包括應(yīng)用軟件、網(wǎng)絡(luò)服務(wù)軟件、接口處理軟件、操作系統(tǒng)軟件以及診斷軟件等)。編制軟件質(zhì)量保證大綱的指導(dǎo)見NB/T20054—2011的5.5。軟件質(zhì)量保證大綱同時應(yīng)包含5.3.3中用于系統(tǒng)開發(fā)和維護的軟件工具的要求。在整個軟件生命周期內(nèi)，宜考慮使用軟件質(zhì)量度量以評價其是否滿足軟件質(zhì)量要求并改善性能，宜基于下面的生命周期階段特性考慮度量：a)正確性/完整性(需求階段);b)與需求的一致性(設(shè)計階段);c)與設(shè)計的一致性(實現(xiàn)階段);d)功能與需求的一致性(試驗和集成階段);e)現(xiàn)場功能與需求的一致性(安裝和調(diào)試階段);f)性能歷史記錄(運行和維護階段)。在軟件開發(fā)文檔中應(yīng)包括為評價軟件質(zhì)量特性而選擇的度量依據(jù)。GB/T25000第10部分、第22部分和第23部分提供了軟件質(zhì)量度量的應(yīng)用方法。在數(shù)字安全系統(tǒng)開發(fā)生命周期的不同階段中，一般要用到多種類型的軟件工具。有些工具被集成到基本軟件開發(fā)過程中，而另一些則被間接地使用。因此，以工具類型及所執(zhí)行的任務(wù)作為依據(jù)有助于對這些工具進行分類。此外，識別工具輸出，也是確定軟件工具的鑒定等級的重要因素。一旦確定了軟件工具的分類，即能確定工具的限制、用途及鑒定要求，以確定工具被恰當?shù)厥褂?。下面提供一種軟件分類方案，分類方案中采用識別工具用途和輸出以使其能適用后續(xù)準則。I類：軟件開發(fā)工具——開發(fā)方用以產(chǎn)生軟件、定義系統(tǒng)架構(gòu)或生成擬載入到PDD的配置數(shù)據(jù)的工具。開發(fā)人員通過軟件開發(fā)工具與某類編程接口語言(如C、C++),或通過圖形界面(如繪制功能框圖)直接交互。開發(fā)工具隨后將該用戶的輸入轉(zhuǎn)換為可直接載入到PDD的數(shù)據(jù)(目標代碼或編程數(shù)據(jù))。I類工具輸出是可在目標系統(tǒng)硬件中執(zhí)行的目標代碼或編程數(shù)據(jù)。Ⅱ類：監(jiān)視和維護工具——用于監(jiān)視試驗、修改配置數(shù)據(jù)，和/或為安全系統(tǒng)載入軟件的工具。Ⅱ類工具的輸出可包含安全系統(tǒng)對工具的響應(yīng)和/或?qū)Π踩到y(tǒng)配置的修改。Ⅲ類：開發(fā)過程支持工具——在離線狀態(tài)下使用，用于支持不同開發(fā)活動。此類工具一般不會對系統(tǒng)和軟件造成直接影響，也不會與系統(tǒng)或軟件開發(fā)過程發(fā)生直接交互。因此，Ⅲ類工具本身不會向安全PDD引入錯誤。相反，Ⅲ類工具可用于開發(fā)過程所需的文檔和配置創(chuàng)建或維護管理。Ⅲ類工具的輸出是安全系統(tǒng)的記錄或具體文件/數(shù)據(jù)集。Ⅲ類工具還可用于維護I類、Ⅱ類、IN類和V類工具的配置控制。IV類：在線V&.V工具——接收I類工具輸出。IN類工具用于開展或協(xié)助開展V&.V活動。通常，IV類工具設(shè)計用于糾正安全系統(tǒng)(通過自動操作，或工具用戶按照預(yù)設(shè)規(guī)則集發(fā)出的指令手動操作完成)。IV類工具的輸出為經(jīng)過調(diào)整或修改后的軟件/系統(tǒng)，這些軟件/系統(tǒng)按照工具本身已預(yù)設(shè)的要求已得到糾正。5V類：離線V&.V工具——接收I類工具輸出。V類工具與IV類工具類似，都用于支持V&.V活動，與IV類工具差別在于：V類工具不能修改或控制被測試軟件/系統(tǒng)從而向安全系統(tǒng)引入錯誤，而是以測試結(jié)果的形式輸出，為操作員提供相關(guān)信息，用于確認系統(tǒng)正按照設(shè)計功能運行。如果需要對系統(tǒng)進行糾正，則該信息將作為反饋發(fā)送給開發(fā)人員。開發(fā)人員隨后使用I類工具做必要的糾正，隨后以迭代的形式重復(fù)V&.V流程，直至所有要求均已驗證和確認。若在安全系統(tǒng)PDD生命周期過程內(nèi)使用軟件工具，應(yīng)采用下列方法中的一種或兩種方法確保軟件工具的輸出與工具在安全系統(tǒng)中的使用相匹配：a)軟件工具未能檢出的缺陷應(yīng)能通過V&.V活動發(fā)現(xiàn)；b)工具應(yīng)使用與最終產(chǎn)品所執(zhí)行的安全功能的關(guān)鍵程度相稱的生命周期過程進行開發(fā)。所有軟件工具的預(yù)期功能和應(yīng)用限制應(yīng)識別并記錄。除非預(yù)先經(jīng)過合理性證明，否則對工具及其輸出的使用不應(yīng)超出已書面化的功能或應(yīng)用限制。應(yīng)按照軟件工具分類進行軟件工具評價，并評價工具在安全系統(tǒng)PDD中引入故障的可能性。軟件工具的評價過程宜考慮既往的使用經(jīng)驗。相關(guān)經(jīng)驗宜包含開發(fā)方的經(jīng)驗以及工具使用過程中獲取的經(jīng)驗。用以支持安全系統(tǒng)PDD軟件生命周期過程的軟件工具應(yīng)納入到安全開發(fā)和運行環(huán)境(SDOE)中，并置于配置管理控制之下。只有經(jīng)過批準和記錄的軟件工具才可用于支持安全系統(tǒng)PDD的開發(fā)。軟件工具應(yīng)在其設(shè)計能力范圍內(nèi)使用。5.3.4驗證和確認驗證和確認(V&.V)是過程管理和系統(tǒng)工程團隊活動的延伸。在整個系統(tǒng)生命周期中，V&.V用于確定有關(guān)數(shù)字系統(tǒng)質(zhì)量、性能和整個生命周期開發(fā)過程的目標數(shù)據(jù)和結(jié)論(即主動反饋)。反饋包括與系統(tǒng)及其接口的預(yù)期運行條件有關(guān)的不符合項報告、性能改進及質(zhì)量提高。V&.V過程應(yīng)被用于確保某一活動的開發(fā)產(chǎn)出滿足該活動的要求，以及系統(tǒng)按照其預(yù)期的用途和用戶的需求執(zhí)行。對這些匹配性的確定應(yīng)包括對產(chǎn)品和過程進行的評價、分析、評審、檢查和測試。本文件采用NB/T20448—2017規(guī)定的過程、活動和任務(wù)的定義，其中V&.V過程被分解為多項活動，活動又被進一步分解為多項任務(wù)。V&.V過程應(yīng)關(guān)注影響軟件和系統(tǒng)的硬件、數(shù)字系統(tǒng)部件的集成以及PDD與核電廠的相互作用。V&.V活動和任務(wù)還應(yīng)包括對最終集成后的硬件、軟件、接口的系統(tǒng)測試。應(yīng)依據(jù)NB/T20448—2017中針對軟件V&.V規(guī)定的任務(wù)進行軟件V&.V工作。NB/T20448—2017建立了完整性等級劃分方案，但申明其他完整性方案是可接受的。對于任何已選定的完整性方案，應(yīng)建立所選方案的完整性等級與NB/T20448—2017中的四個等級的對應(yīng)關(guān)系，以證明最低V&.V要求得到滿足。安全系統(tǒng)V&.V計劃應(yīng)定義和判定系統(tǒng)的完整性等級以及所需書面化輸出。對于完整性等級的定義可參考NB/T20448—2017。5.3.5驗證和確認獨立性要求安全系統(tǒng)執(zhí)行驗證和確認有獨立性要求。為了具備獨立驗證和確認，要求實現(xiàn)下面不同類別的獨a)驗證和確認人員應(yīng)向具有足夠權(quán)限和組織自由度的獨立組織報告，包括如NB/T20448—2017附錄B定義，在費用和進度方面擁有足夠的獨立性；b)應(yīng)由具有適當技術(shù)能力且并未參加原設(shè)計的人員或小組獨立完成對開發(fā)活動和測試的審核和確認；c)設(shè)計人員、參與設(shè)計的人員、參與設(shè)計和開發(fā)項目的管理人員，以及負責(zé)監(jiān)督設(shè)計方的人員不應(yīng)參與安全系統(tǒng)獨立驗證和確認的監(jiān)督工作。6全生命周期過程內(nèi)的測試可由V&.V組織或設(shè)計組織(或兩者兼有)完成。不論測試規(guī)程由哪一組織實際編寫、測試由哪一組織主導(dǎo)，測試規(guī)程和報告的檢驗應(yīng)獨立進行。NB/T20448—2017的附錄B給出了V&.V獨立性的更多指導(dǎo)。應(yīng)進行軟件配置管理。編制配置管理計劃的指導(dǎo)參考NB/T20335—2015。至少應(yīng)進行下列軟件配置管理活動：a)所有軟件設(shè)計和執(zhí)行代碼的標識和控制；b)所有軟件設(shè)計功能數(shù)據(jù)(數(shù)據(jù)模板和數(shù)據(jù)庫)的標識和控制；c)所有軟件設(shè)計接口的標識和控制；d)所有軟件設(shè)計變更的控制；e)軟件文檔(用戶文件、運行和維護文件)的控制；f)對提供安全系統(tǒng)軟件的供應(yīng)商開發(fā)活動的控制；g)與軟件設(shè)計和執(zhí)行代碼有關(guān)的鑒定信息的控制和獲??；h)軟件配置審查；i)狀態(tài)統(tǒng)計。對硬件和系統(tǒng)應(yīng)執(zhí)行類似的配置管理活動。其中某些功能或文件可由其他的質(zhì)量保證活動來完成或進行控制。在這種情況下，軟件配置管理計劃應(yīng)說明責(zé)任的劃分。應(yīng)在開發(fā)生命周期過程中適當?shù)狞c建立系統(tǒng)的過程基線，以使工程和文檔活動相同步?；€建立后產(chǎn)生并經(jīng)批準的變更應(yīng)添加到基線中。對實施配置管理的系統(tǒng)的標簽應(yīng)包括每個配置項的唯一性的標識，以及每個配置項的修訂版本號和(或)日期時間標志。應(yīng)按照系統(tǒng)配置管理計劃，對系統(tǒng)的變更正式書面化并得到批準(配置控制標準參考NB/T20335—2015,回歸分析和測試標準參考NB/T20448—2017)。該文檔修訂應(yīng)包括變更的原因，受影響的配置項的標識，以及變更對系統(tǒng)的影響(包括危害分析和風(fēng)險分析)。此外，變更控制文檔應(yīng)包括變更在系統(tǒng)中實施的計劃(立即實施變更，或未來版本變更的時間表),同時還包括對危害分析、風(fēng)險分析和諸如V&.V的其他生命周期活動的文件升版。5.3.7項目風(fēng)險管理項目風(fēng)險管理是一種用于問題預(yù)防的工具，識別可能出現(xiàn)的問題、評價這些問題的影響，并確定為確保達到質(zhì)量目標應(yīng)涉及的潛在問題。在數(shù)字系統(tǒng)項目的各個層次應(yīng)進行風(fēng)險管理以充分覆蓋每個可能的問題領(lǐng)域。項目風(fēng)險應(yīng)包括與技術(shù)、進度、成本和資源有關(guān)的風(fēng)險，這些風(fēng)險可能損害質(zhì)量目標，從而影響數(shù)字系統(tǒng)或計算機執(zhí)行安全功能的能力(見附錄A),項目風(fēng)險管理與危害分析的不同之處在于在危害分析中只關(guān)注系統(tǒng)失效機理及其對電廠安全影響中技術(shù)方面的因素，而不是項目執(zhí)行方面的風(fēng)險。當某項要素屬于項目風(fēng)險和危害風(fēng)險共有時，項目風(fēng)險和危害風(fēng)險可能重疊。應(yīng)按項目風(fēng)險以及通過危害分析過程評價這些重疊部分。風(fēng)險管理應(yīng)包括下列步驟：a)確定PDD風(fēng)險管理的范圍；b)規(guī)定和實施適當?shù)娘L(fēng)險管理策略；c)在項目風(fēng)險管理策略中識別項目風(fēng)險，以及它們在項目實施過程中的演變；d)分析風(fēng)險以確定緩解風(fēng)險的優(yōu)先次序；e)對可能顯著影響質(zhì)量目標的風(fēng)險編制風(fēng)險緩解計劃，并采用適當?shù)亩攘縼砀檰栴}的解決過7程(這些風(fēng)險可包括可能損害安全PDD執(zhí)行安全功能能力的，與技術(shù)、進度或與資源有關(guān)的風(fēng)險);f)當未達到預(yù)期的質(zhì)量時，采取糾正措施；g)為解決軟件項目風(fēng)險，建立一個在個人之間及團隊之間能夠進行有效交流的工作環(huán)境。ISO/IEC12207:2017和GB/T22032—2021提供了有關(guān)風(fēng)險管理的附加指南。5.4設(shè)備鑒定在GB/T12727—2017和GB/T13625—2018要求的基礎(chǔ)上，除GB/T13284.1—2008中5.4給出的設(shè)備鑒定準則外，設(shè)備鑒定還應(yīng)滿足以下要求。設(shè)備鑒定試驗應(yīng)在系統(tǒng)處于運行狀態(tài)，并且系統(tǒng)使用其實際操作中擬使用的代表性軟件和診斷程序的情況下進行。對于PDD執(zhí)行安全功能所必需的所有功能，以及其運行或失效可能對安全功能有損害的功能，都應(yīng)在鑒定過程中進行試驗。在適當且可行的情況下，這包括對存儲器、邏輯、輸入和輸出、顯示功能、診斷、相關(guān)部件、通信路徑和接口的試驗和監(jiān)測。試驗應(yīng)證明，在規(guī)定的環(huán)境應(yīng)力和輸入輸出應(yīng)力下，與安全功能有關(guān)的性能要求已得到滿足。與核質(zhì)保大綱下制造的設(shè)備一樣，商品級物項也應(yīng)進行設(shè)備鑒定。5.5系統(tǒng)的完整性5.5.1通則要求為了達到安全系統(tǒng)中數(shù)字設(shè)備應(yīng)用的系統(tǒng)完整性，除了GB/T13284.1—2008中5.5的要求之外，還應(yīng)滿足以下要求：a)PDD完整性設(shè)計；b)試驗和校準設(shè)計；c)故障探測和自診斷；d)功能優(yōu)先級。5.5.2可編程數(shù)字設(shè)備完整性設(shè)計PDD應(yīng)設(shè)計成在所有可能造成安全功能失效的內(nèi)部或外部危害下均能完成其安全功能，這些危害包括輸入和輸出處理失效、精度或舍入問題、不適當?shù)幕謴?fù)動作、供電電源電壓或頻率波動、信號同時改變的最大可信數(shù)量，以及環(huán)境應(yīng)力。如果系統(tǒng)要求已規(guī)定安全系統(tǒng)的優(yōu)先失效模式，則PDD失效不應(yīng)妨礙安全系統(tǒng)處于該失效模式。PDD的重啟操作不應(yīng)阻止安全系統(tǒng)完成其功能，不應(yīng)造成安全系統(tǒng)誤動作。應(yīng)開展危害分析(見附錄A)以識別和處理系統(tǒng)的潛在危害。5.5.3試驗和校準設(shè)計試驗和校準功能不應(yīng)對系統(tǒng)完成其安全功能的能力造成不利的影響。在試驗和校準情形下，有條件地旁通某一冗余通道，不認為對系統(tǒng)安全功能執(zhí)行造成不利影響。試驗和校準功能不應(yīng)影響與校準變更(例如變更整定值)無關(guān)的其他系統(tǒng)功能。當試驗和校準功能由另外的PDD(例如，試驗和校準計算機)完成并由該試驗和校準功能提供試驗和校準數(shù)據(jù)的唯一驗證時，則應(yīng)要求對這些功能進行V&.V、配置管理和質(zhì)量保證。當試驗和校準功能由安全系統(tǒng)中的PDD來完成時，也應(yīng)要求對這些由PDD完成的試驗和校準功能進行V&.V、配置管理和質(zhì)量保證。校準應(yīng)滿足相關(guān)國家標準的要求。當駐留在另外PDD中的試驗和校準功能不是為安全系統(tǒng)的PDD提供試驗和校準數(shù)據(jù)的唯一驗證8時，則不要求對這些功能進行V&.V、配置管理和質(zhì)量保證。5.5.4故障探測和自診斷自診斷是及時探測失效的手段。在可由其他方法及時探測失效的系統(tǒng)中，不要求自診斷功能。如果自診斷功能已集成到安全系統(tǒng)中，則這些功能應(yīng)經(jīng)過與安全功能相同的驗證和確認過程。如果自診斷作為可靠性的必要條件，則PDD軟件應(yīng)包含及時探測和報告PDD系統(tǒng)故障和失效的功能。自診斷功能不應(yīng)影響PDD系統(tǒng)執(zhí)行其安全功能的能力，或引起安全功能的誤動作。典型的自診斷功能包括：a)存儲器功能性和完整性試驗，例如可編程只讀存儲器(PROM)校驗和隨機訪問存儲器(RAM)測試；b)計算機指令集測試，例如運算測試；c)PDD外部設(shè)備硬件試驗，例如監(jiān)視定時器和鍵盤試驗；d)PDD架構(gòu)支持硬件試驗，例如地址線和共享存儲器接口；e)通信鏈路診斷，例如循環(huán)冗余(CRC)校驗；f)內(nèi)部信號監(jiān)視，如通過聯(lián)合測試工作組(JTAG)協(xié)議監(jiān)視。應(yīng)識別那些不會導(dǎo)致系統(tǒng)失效或系統(tǒng)功能缺失的通信鏈路失效，給核持證單位”或供應(yīng)商做決定，并宜在應(yīng)用角度上評價這類失效。當自診斷功能應(yīng)用時，系統(tǒng)設(shè)計應(yīng)包括下列自診斷特性：a)PDD系統(tǒng)啟動期間的自診斷；b)當PDD系統(tǒng)運行時定期的自診斷；c)自診斷測試失效報告。本條給出功能優(yōu)先級的應(yīng)用準則。優(yōu)先級功能接收來自安全側(cè)設(shè)備和非安全側(cè)設(shè)備的動作命令，并將具有最高優(yōu)先級的命令發(fā)送給一個或多個安全級驅(qū)動設(shè)備。驅(qū)動設(shè)備屬于安全級部件，如電動閥、泵電機、電磁閥等。非安全側(cè)信號源可包括操作或維護顯示單元、控制系統(tǒng)(如給水控制系統(tǒng))、多樣性驅(qū)動系統(tǒng)等在內(nèi)的任何非安全級部件。優(yōu)先級功能采用以下準則。a)優(yōu)先級功能應(yīng)是安全功能。b)用于多樣性驅(qū)動信號的優(yōu)先級功能應(yīng)獨立于任何數(shù)字系統(tǒng)其他部分中假定可能發(fā)生的共因失效(CCF),并且，不管數(shù)字系統(tǒng)處于何種狀態(tài)或條件，均應(yīng)正確地完成其功能。c)當源自安全系統(tǒng)的信號與多樣性的驅(qū)動信號或非安全控制信號匯合時，更高的優(yōu)先級應(yīng)賦予使受控設(shè)備進入預(yù)先確定的安全狀態(tài)的信號，以使得即使安全系統(tǒng)出現(xiàn)CCF而未發(fā)出正確命令時，受控設(shè)備仍然能達到安全狀態(tài)。對于存在一個以上安全狀態(tài)的設(shè)備(如輔助給水控制閥),要求選擇首選安全狀態(tài)。確定設(shè)備的安全狀態(tài)或首選安全狀態(tài)是電廠系統(tǒng)的任務(wù)，不在本文件中規(guī)定。d)優(yōu)先級功能可控制一個或多個部件。若優(yōu)先級功能控制多個部件時，本條中的規(guī)定應(yīng)適用于每一個受驅(qū)動部件。e)各優(yōu)先級功能之間的通信隔離應(yīng)符合5.6.5.2的規(guī)定。f)用于優(yōu)先級功能設(shè)計、測試、維護等的軟件工具的要求應(yīng)符合5.3.3的規(guī)定。g)在役期間，無論通過設(shè)計措施移除或替換存儲設(shè)備，或是通過符合5.6.5.2規(guī)定的物理限制(即物理斷開電纜的連接),也或是通過鍵盤鎖開關(guān)(該開關(guān)采用硬件邏輯方式打開數(shù)據(jù)傳輸電路9或中斷連接),優(yōu)先級功能涉及的非易失存儲器(如燒錄門陣列、可重復(fù)編程門陣列或者隨機存取存儲器)都應(yīng)是不可修改的。h)應(yīng)通過人工定期試驗或通過自動化自診斷方式測試優(yōu)先級功能。對于實現(xiàn)優(yōu)先級功能的模塊內(nèi)的自動測試，無論其是由模塊內(nèi)部發(fā)起的還是從外部觸發(fā)的(包括由于自動測試功能失效而觸發(fā)的),都不應(yīng)妨礙安全功能。執(zhí)行優(yōu)先級功能應(yīng)使得GB/T13284.1—2008中要求的安全動作不被優(yōu)先級功能所在安全序列之外的指令、工況或失效所中斷。為了滿足獨立性準則，除了GB/T13284.1—2008中5.6的要求之外，安全序列之間或安全系統(tǒng)與非安全系統(tǒng)之間的數(shù)據(jù)通信不應(yīng)妨礙安全功能的執(zhí)行。GB/T13284.1—2008要求安全功能應(yīng)與非安全功能相隔離，以使非安全功能不能阻止安全系統(tǒng)執(zhí)行其預(yù)期的功能。在PDD中，執(zhí)行安全功能的軟件和執(zhí)行非安全功能的軟件可能駐留在相同的PDD中并使用相同的PDD資源。非安全軟件的功能應(yīng)依照本文件中與安全相關(guān)的要求進行開發(fā)。各個安全通道的安全功能應(yīng)給予保護，防止其受到通道所在序列外部的不利影響。序列外部發(fā)出的信息和信號不應(yīng)妨礙或延誤該序列安全功能的執(zhí)行。這種保護應(yīng)在受影響的序列內(nèi)完成(不是在序列以外的資源中完成),且這種保護自身不應(yīng)受到受影響序列以外的條件或信息的影響。這種保護應(yīng)持續(xù)有效，不受序列外存在或發(fā)出的任何操作、功能異常、設(shè)計錯誤、通信錯誤、軟件錯誤或崩潰的影響。對于舊有的、僅設(shè)置有兩個序列(每個序列內(nèi)包含若干冗余通道)的反應(yīng)堆保護和專設(shè)安全設(shè)施系統(tǒng)，則要求不論其他通道是否做出判定，每個通道能夠產(chǎn)生單獨保護動作信號。這些冗余通道之間的通信，應(yīng)采用與本文件中針對序列間通信相同的方法。安全系統(tǒng)的設(shè)計應(yīng)使其安全功能的實現(xiàn)不依賴于來自非安全系統(tǒng)的輸入。僅在非安全系統(tǒng)接受與安全系統(tǒng)相同的質(zhì)量活動(如獨立審查和配置控制)的前提下，可接受在安全系統(tǒng)中使用來自非安全系統(tǒng)的數(shù)據(jù)輸入(如整定值和標定值)(數(shù)據(jù)獨立性的詳細準則見5.6.5.3)。5.6.2安全系統(tǒng)內(nèi)部各冗余部分之間詳細準則按照5.6.5要求執(zhí)行。5.6.3安全系統(tǒng)與設(shè)計基準事件影響之間安全系統(tǒng)與設(shè)計基準事件影響之間應(yīng)按照GB/T13284.1—2008中5.6.2給出的要求執(zhí)行。5.6.4安全系統(tǒng)與其他系統(tǒng)之間詳細準則按照5.6.5要求執(zhí)行。鄰近的設(shè)備應(yīng)按照GB/T13284.1—2008中5.6.3.2給出的要求執(zhí)行。5.6.4.3單一隨機故障的影響單一隨機故障的影響應(yīng)按照GB/T13284.1—2008中5.6.3.3給出的要求執(zhí)行。緩沖功能為通信鏈路與安全功能之間提供接口，其主要作用為：防止安全序列之外的通信上發(fā)生的故障和失效擴散到安全序列內(nèi)的安全功能當中，維持安全功能的完整性。符合本準則的通信功能/緩沖區(qū)的指導(dǎo)，可參考附錄B。緩沖功能適用以下準則。a)緩沖功能應(yīng)包含兩部分不同的電路，其中一部分執(zhí)行安全功能，另一部分執(zhí)行數(shù)據(jù)通信功能。執(zhí)行安全功能的PDD應(yīng)能訪問緩沖電路。b)緩沖功能可由單獨的通信處理器或PDD內(nèi)單獨的邏輯提供。緩沖功能可設(shè)置在同一印制電路板上，或設(shè)置在單獨的印制電路板上。c)安全功能處理器應(yīng)與通信處理器異步運行。無處理器的PDD的安全功能和通信功能應(yīng)各自具有單獨的邏輯電路。安全功能需求中應(yīng)明確規(guī)定來自于通信功能的數(shù)據(jù)故障(如向緩沖發(fā)送的通信速率增大、數(shù)據(jù)不可用或過期、數(shù)據(jù)損壞)時的處理。d)安全功能和通信功能之間的通信應(yīng)使用專用的緩沖功能(如雙端口存儲器)以實現(xiàn)信息交換。安全功能、通信功能以及緩沖功能，與所有支持的軟硬件均被視為安全級的，應(yīng)按相應(yīng)要求進e)安全功能應(yīng)具有訪問緩沖功能的優(yōu)先權(quán)，以使安全功能按照確定的方式完成。緩沖功能故障不應(yīng)妨礙安全功能在確定的時間范圍內(nèi)執(zhí)行。f)安全功能處理器周期時間的確定，宜考慮訪問共享存儲器可能的最長時間。最長可能完成時間應(yīng)包含存儲器本身及其相關(guān)電路的響應(yīng)時間，還應(yīng)包含假定從通信處理器到功能處理器的訪問切換的最壞條件下，功能處理器訪問存儲器時的最長可能延遲時間。系統(tǒng)運行時間超出限制的周期時間時，應(yīng)被檢測到并報警。g)如果緩沖功能提供了在安全功能中使用的數(shù)據(jù)，則應(yīng)對緩沖功能引入相同的用于安全功能的V&.V。否則，根據(jù)需要的完整性等級，可使用在NB/T20448—2017定義的對應(yīng)等級的V&.V方法。h)GB/T13284.1—2008明確適用于安全系統(tǒng)和非安全系統(tǒng)間的通信鏈路，以及安全系統(tǒng)內(nèi)各序列間的通信鏈路的電氣隔離、分隔和單一故障的要求。除非通信是用于支持安全功能的實現(xiàn)，否則安全通道不應(yīng)接收來自所在安全序列之外的任何通信。接收不用于安全功能的信息可能會引入與安全功能不直接相關(guān)的其他功能。下列準則適用于冗余安全序列之間、安全系統(tǒng)與非安全系統(tǒng)之間的數(shù)字通信。a)執(zhí)行安全功能的處理器應(yīng)執(zhí)行無握手通信或無中斷方式的通信。如有需要，應(yīng)使用單獨的通信處理器實現(xiàn)握手和中斷功能。非基于處理器的設(shè)備應(yīng)具備單獨的邏輯電路來執(zhí)行通信和安全功能。b)應(yīng)只有預(yù)定義的數(shù)據(jù)集被接收端安全系統(tǒng)處理(即預(yù)先定義的消息的格式和協(xié)議，也即，每條消息中的各段含有相同定義的信息)。接收端安全系統(tǒng)應(yīng)根據(jù)已定義的設(shè)計要求識別和處理不可辨認(即不符合預(yù)先定義)的數(shù)據(jù)。c)在執(zhí)行安全功能的PDD系統(tǒng)內(nèi)部，接收和發(fā)送的數(shù)據(jù)均存儲在單獨的、預(yù)定義的位置。預(yù)定義的內(nèi)存位置僅用于數(shù)據(jù)接收和發(fā)送。d)所有外部信號均應(yīng)作為數(shù)據(jù)，并按照運行中的安全邏輯的正常順序加以處理。不準許出現(xiàn)可能會改變安全邏輯或邏輯順序的命令。e)安全序列軟件應(yīng)加以保護，防止在安全序列運行期間發(fā)生改變。控制安全系統(tǒng)軟件變更的首選方法是對來自維護/監(jiān)視裝置的輸入數(shù)據(jù)采用硬接線聯(lián)鎖或物理斷開的方式。f)對于可尋址常量、整定值、參數(shù)及其他與安全功能相關(guān)的設(shè)置，應(yīng)只在通道處于旁通或通道未運行時可更改。g)為防止同一時刻修改一個以上的安全序列，應(yīng)在物理上對部署用于這類修改的工具進行限制h)當工具連接上其他處于旁通或非在役狀態(tài)的通道以進行參數(shù)修改時，安全系統(tǒng)的設(shè)計應(yīng)對仍在運行的通道提供防護以防止被修改。此類防護應(yīng)是安全的。i)可信通信故障不應(yīng)妨礙所必要的安全功能的運行。應(yīng)假設(shè)非安全系統(tǒng)具有多個和連續(xù)的失效。宜考慮下面最簡清單中列出的可信故障(見GB/T34040—2017):1)消息可能因通信處理器錯誤、緩沖區(qū)接口引入的錯誤及傳輸媒介引入的錯誤，或來自干擾的錯誤而損壞；2)消息可能在錯誤的時間點重復(fù)；3)消息的發(fā)送順序可能不正確；4)消息可能丟失，包括未能接收到未損壞的消息，以及未能確認接收到消息；5)消息可能因為多種原因而產(chǎn)生延遲超出允許的時間窗口，這些原因包括傳輸介質(zhì)錯誤、傳輸線路擁塞、傳輸線路干擾或被發(fā)送緩沖區(qū)排隊的消息延誤等等；6)來自非預(yù)期或未知來源的消息可能被插入到通信介質(zhì)中；7)消息可能偽裝成來自預(yù)期來源的有效消息，包括故意的事件(見5.9中針對此類情況的預(yù)防措施);8)消息可能發(fā)送到了錯誤的地址，而該目的地可將其視為有效消息；9)消息長度可能超出接收緩沖區(qū)大小，導(dǎo)致緩沖區(qū)溢出和內(nèi)存損壞；10)消息可能包含有預(yù)期范圍以外的數(shù)據(jù)；11)消息可能表現(xiàn)為有效，但消息中的數(shù)據(jù)位置可能發(fā)生錯誤；12)消息發(fā)送頻率過高，可能導(dǎo)致系統(tǒng)降級或引發(fā)系統(tǒng)失效(如廣播風(fēng)暴);13)消息頭或地址可能已經(jīng)損壞；14)安全系統(tǒng)未處于處理被接收消息的正確模式。j)對安全功能提供支持的通信(如為實現(xiàn)符合邏輯而共享各通道的觸發(fā)判別結(jié)果)應(yīng)包含確保所接收消息是正確且可被正確理解的相關(guān)措施。此類通信應(yīng)采用檢錯碼，并配有相應(yīng)的對損壞、無效、超時或其他可疑數(shù)據(jù)的處理方式。宜在相關(guān)代碼的設(shè)計和相關(guān)代碼驗證性測試中證明錯誤檢測的有效性，一旦有效性得到證明，則不需要在定期試驗中再次證明有效性。k)為安全功能提供支持的通信應(yīng)采用專用的媒介，以點對點的方式傳輸。此外，如果其他通信策略具有同等可靠性且有書面化的證明，也可采用。1)用于安全功能的通信應(yīng)按照一定的時間間隔發(fā)送固定的數(shù)據(jù)包，不論該數(shù)據(jù)包中數(shù)據(jù)是否發(fā)生了變化。m)設(shè)計通信協(xié)議時，應(yīng)將消息數(shù)據(jù)的有效性和時效性納入到協(xié)議當中，同時設(shè)計接收端對消息數(shù)據(jù)進行校驗并做適當處理。n)宜對通信規(guī)則進行分析，以便查找因非必要功能或復(fù)雜性引入的危害和性能缺陷。o)安全功能不應(yīng)因通信過載和失效受到不利影響。p)確定響應(yīng)時間時，宜考慮數(shù)據(jù)錯誤率。在冗余安全序列之間，或者從非安全系統(tǒng)到安全序列的數(shù)據(jù)交換，應(yīng)保證序列間的獨立性，防止接收序列的安全功能受到使用交換數(shù)據(jù)的不利影響。應(yīng)對數(shù)據(jù)的故障或失效進行識別，并將適當?shù)倪壿嫾{入到系統(tǒng)設(shè)計當中，以便處理可信的數(shù)據(jù)故障和失效，如因輸入源降級導(dǎo)致格式有效的數(shù)據(jù)不正確。在非安全系統(tǒng)與安全系統(tǒng)之間開展數(shù)據(jù)交換時，采用以下準則。a)安全系統(tǒng)中安全功能的執(zhí)行不應(yīng)依賴于非安全系統(tǒng)的通信鏈路，或來自非安全系統(tǒng)的數(shù)據(jù)。應(yīng)假定當安全系統(tǒng)發(fā)生單一故障的同時，非安全數(shù)據(jù)也失效，這種情況下安全系統(tǒng)仍能執(zhí)行其預(yù)期的功能。b)如果安全序列使用了來自冗余序列的數(shù)據(jù)，或使用了來自非安全系統(tǒng)的數(shù)據(jù)(如用于調(diào)整整定值或校準數(shù)據(jù)),則這些數(shù)據(jù)(使用前已經(jīng)過驗證)應(yīng)在安全序列內(nèi)手動允許，或使用安全序列內(nèi)的安全邏輯自動允許。c)用于多個安全序列內(nèi)的數(shù)據(jù)應(yīng)視為同一失效來源，因為這種失效的共同來源可能會給多個序列帶來不利影響。建立通信獨立性的指導(dǎo)見附錄B。5.7試驗和校準能力除GB/T13284.1—2008中5.7給出的要求外，應(yīng)遵守以下準則。a)應(yīng)通過定期自動或手動監(jiān)視以確定安全系統(tǒng)配置。b)不應(yīng)以支持定期自動或手動監(jiān)視試驗的目的，要求改變或修正安全系統(tǒng)配置。c)用于安全系統(tǒng)的測量和試驗設(shè)備(MTE)不應(yīng)對安全系統(tǒng)功能造成不利影響。這里的安全系統(tǒng)功能包含安全系統(tǒng)所有部分的功能，且不排除處于試驗狀態(tài)的通道或序列。應(yīng)確保MTE臨時連接到安全級設(shè)備之前，MTE上的無線接收器/轉(zhuǎn)發(fā)器處于禁用狀態(tài)。5.8信息顯示安全級控制和顯示可通過安全級的操作員站實現(xiàn)，或者通過硬接線設(shè)備(如開關(guān)、繼電器、指示器和模擬信號處理電路)實現(xiàn)。在這兩個情況的任何一種情況下，應(yīng)確定安全控制和指示可應(yīng)用于特定的安全序列。針對此類用于同一安全序列的安全控制和指示要求按照GB/T13284.1—2008中5.8給出的要求執(zhí)行。此外，5.8.2和5.8.3提供了針對另一類操作員站的額外指導(dǎo)，這類操作員站用于控制一個以上的安全序列中的電廠設(shè)備，顯示來自一個以上安全序列的信息。5.8.2和5.8.3還適用于對不在同一安全序列中的安全系統(tǒng)進行編程、修改、監(jiān)視或維護的工作站。本文件所涉及的多序列控制和顯示站本身可是安全級的，也可是非安全級的。如果這些站包含對多個安全序列中的設(shè)備的控制和顯示，或者這些站包含的控制和顯示是非安全級的但與某安全序列之間有接口，則這些站應(yīng)符合5.8.2和5.8.3給出的條件。5.8.2多序列控制和顯示站的獨立性和隔離要求多序列控制和顯示站的獨立性和隔離符合下列要求。a)使用非安全級控制和顯示站對安全級設(shè)備的運行進行控制時，遵守下列限制。1)非安全級控制和顯示站應(yīng)通過與設(shè)備相關(guān)的優(yōu)先級功能訪問安全級電廠設(shè)備。優(yōu)先級功能宜按照5.5.5中的要求進行設(shè)計和應(yīng)用。2)當安全級設(shè)備執(zhí)行其安全功能時，非安全級控制和顯示站不應(yīng)影響安全級設(shè)備的運行。本規(guī)定應(yīng)在安全系統(tǒng)實現(xiàn)，且不應(yīng)受到非安全級設(shè)備的任何操作、功能異常、設(shè)計錯誤、軟件錯誤或通信錯誤的影響。3)僅當受影響的安全序列自身判定可接受非安全級控制和顯示站旁通某安全功能時，非安全級控制和顯示站才能旁通該安全功能。4)非安全級控制和顯示站不應(yīng)禁止任何安全功能的執(zhí)行，除非安全系統(tǒng)自身判定安全功能的結(jié)果已得到保證，該安全功能的終止才被允許。應(yīng)證明安全系統(tǒng)具有做出對應(yīng)判定所必須的所有信息和邏輯。5)非安全級控制和顯示站不應(yīng)復(fù)位某安全功能，除非受影響的安全序列自身判定可接受安全功能的復(fù)位。6)非安全級控制和顯示站不應(yīng)取消某安全功能的旁通狀態(tài)，除非受影響的安全序列自身判定可接受非安全級控制和顯示站取消該安全功能的旁通狀態(tài)。b)與上述a)項中非安全級控制和顯示站控制安全級設(shè)備運行情況下應(yīng)遵循的限制類似，控制其他安全序列中的設(shè)備運行的安全級控制和顯示站遵循以下限制。1)安全級控制和顯示站應(yīng)通過與設(shè)備相關(guān)的優(yōu)先級功能訪問其所在序列以外的安全級電廠設(shè)備。優(yōu)先級功能的設(shè)計和應(yīng)用應(yīng)參考關(guān)于優(yōu)先級功能的指導(dǎo)(見5.5.5)。2)當安全級控制和顯示站所在序列以外的設(shè)備執(zhí)行其安全功能時，安全級控制和顯示站不應(yīng)影響該安全級設(shè)備的運行。執(zhí)行安全功能時，安全序列應(yīng)提供防止外部影響(包括本序列以外的任何操作、功能異常、設(shè)計錯誤、軟件錯誤或通信錯誤)的措施。3)僅當受影響的序列自身判定可接受本序列外的安全級控制和顯示站旁通某安全功能時，本序列外的安全級控制和顯示站才能旁通該安全功能。4)安全功能所在序列外的安全級控制和顯示站不應(yīng)禁止任何安全功能的執(zhí)行，除非安全系統(tǒng)自身判定安全功能的結(jié)果已得到保證，該安全功能的終止才被允許。應(yīng)證明安全系統(tǒng)具有做出對應(yīng)判定所必須的所有信息和邏輯。5)序列外的安全級控制和顯示站不應(yīng)復(fù)位該安全功能，除非受影響的安全序列自身判定可接受安全功能的復(fù)位。6)序列外的安全級控制和顯示站不應(yīng)取消某安全功能的旁通狀態(tài)，除非受影響的安全序列自身判定可接受序列外的安全級控制和顯示站將該安全功能取消旁通狀態(tài)。5.8.3功能異常和誤動作與安全系統(tǒng)相連的信息顯示功能異常和誤動作方面符合下列要求。a)功能異常的結(jié)果應(yīng)與針對電廠設(shè)計和審查準則的安全分析中的假定一致。b)安全分析中假定會獨立地發(fā)生功能異常的功能不應(yīng)受到多序列控制和顯示站失效的影響。c)單一控制動作(例如：鼠標點擊或屏幕觸控)不應(yīng)向電廠設(shè)備發(fā)出命令。命令的產(chǎn)生宜至少需要兩個肯定的操作員動作。d)安全級控制和顯示站應(yīng)按照GB/T13284.1—2008中5.4的要求鑒定。應(yīng)對能夠控制安全級設(shè)備的非安全級控制和顯示站進行鑒定，以證明當發(fā)生諸如地震、電磁干擾(EMI)/射頻干擾(RFI)、電源浪涌，以及適用于同一場址內(nèi)安全級設(shè)備的所有其他設(shè)計基準工況下的不利環(huán)境時，不論是在工況期間還是在工況發(fā)生之后，該非安全級控制和顯示站不會發(fā)生誤動，且不應(yīng)因設(shè)計基準工況導(dǎo)致對任何安全級設(shè)備或裝置產(chǎn)生不利影響。該鑒定活動不需要證明這些非安全級控制和顯示站在適用的設(shè)計基準工況期間或之后保持自身的完整功能。如果不能滿足該要求，則電廠安全分析應(yīng)包含這些非安全級控制和顯示站對安全級設(shè)備或裝置可能產(chǎn)生的不利影響而導(dǎo)致的工況。推薦該鑒定通過試驗來證明，而不是僅通過分析來證明。e)電源喪失、電源浪涌、電源中斷、重啟，以及任何其他在操作員站或控制器上發(fā)生的可信事件不應(yīng)導(dǎo)致任何電廠裝置或系統(tǒng)的誤啟動或誤停止，除非相應(yīng)的誤啟動或誤停止已經(jīng)包含在電廠安全分析當中。f)設(shè)計中應(yīng)包含有能夠通過物理手段禁用5.8.2中涉及的安全級和非安全級控制和顯示站的措施，使其在主控室棄用后仍然能夠防止安全級設(shè)備可能因?qū)е轮骺厥覘売玫墓r(如控制室火災(zāi)或水淹)而發(fā)生誤動。禁用主控室控制和顯示站的方法宜能夠不受短路、控制室內(nèi)環(huán)境條件等的影響，這些影響可能會恢復(fù)控制室操作員站功能，導(dǎo)致安全級設(shè)備誤動。g)任何5.8.2中涉及的安全級和非安全級控制和顯示站失效或功能異常及其恢復(fù)的過程不應(yīng)導(dǎo)致電廠處于其設(shè)計基準、事故分析和未能緊急停堆的預(yù)期瞬態(tài)(ATWS)規(guī)定范圍以外的任何工況(包括多種同時發(fā)生的工況),或其他預(yù)料之外的電廠異常工況。5.9訪問控制5.9.1實體安全防范所有安全級數(shù)字部件和網(wǎng)絡(luò)電纜應(yīng)安裝在電廠內(nèi)設(shè)有設(shè)備實體安全防范措施的位置。將部件放置于核電廠要害區(qū)域提供了符合本要求的實體安全防范。要害區(qū)的實物保護見HAD501/02—2018。對于與安全級設(shè)備通過數(shù)字接口相連的便攜式工程師站2)、MTE,應(yīng)在有實體安全防范的位置進行維護、控制和訪問。工程師站以及MTE的固定連接點，應(yīng)設(shè)置在廠內(nèi)帶有實體安全防范的區(qū)域。對固定式或便攜式工程師站的訪問以及對MTE的訪問應(yīng)受到限制，僅允許對該設(shè)備有訪問需求且已有預(yù)授權(quán)的員工進行該訪問。5.9.2數(shù)字設(shè)備安全防范對安全系統(tǒng)和工程師站的訪問應(yīng)限制在一組指定專門的權(quán)限的人員來執(zhí)行所需的操作。物理和邏輯上的訪問控制宜基于系統(tǒng)安全開發(fā)和運行環(huán)境3(SDOE)評估結(jié)果。評估結(jié)果可要求對多種復(fù)雜的訪問控制加以組合，如知識類(如密碼)、資產(chǎn)類(如鑰匙、智能卡)和人員特征類(如指紋)的不同組合。5.9.4.2.2和5.9.4.2.3給出了針對這種評估的更多細節(jié)。對配置參數(shù)的更改(如整定值、邏輯塊組態(tài)和梯形圖邏輯)以及對軟件的變更應(yīng)滿足5.6.5.2h)項的要求。應(yīng)給予足夠的訪問控制，避免不適當?shù)脑L問。供應(yīng)商默認密碼應(yīng)在系統(tǒng)執(zhí)行安全功能前予以更改，同時，應(yīng)禁止一切遠程訪問。遠程訪問規(guī)定見中對安全系統(tǒng)的安全開發(fā)環(huán)境和安全運行環(huán)境的評估。應(yīng)禁用工作站的所有無線功能。MTE上的無線功能應(yīng)在連接到安全級設(shè)備之前被禁用。5.9.3安全防范措施與安全功能的相互作用安全防范措施(如入侵檢測軟件、病毒防護軟件、訪問控制軟件)的實現(xiàn)不應(yīng)反過來對安全功能的性2)在核電廠安全系統(tǒng)中，工程師站指用于執(zhí)行安全系統(tǒng)工程設(shè)計和維護功能的基于計算機的工具。工程設(shè)計功能通常包括創(chuàng)建新的控制功能、添加各種輸入/輸出點、修改順序和連續(xù)控制邏輯、離線狀態(tài)下的邏輯仿真、支持數(shù)據(jù)庫工程設(shè)計、準備諸如I/O列表和設(shè)備信息等的工程設(shè)計文檔。維護功能通常提供某種手段用以監(jiān)視和故障定位系統(tǒng)運行的各個方面，包括診斷、安裝和更新程序元素、故障恢復(fù)、執(zhí)行系統(tǒng)權(quán)限管理等。3)安全開發(fā)和運行環(huán)境指為了防止在數(shù)字安全系統(tǒng)開發(fā)過程中引入未書面化的、不需要的(即非需求驅(qū)動的)以及非預(yù)期的修改所采取的措施和控制，以及為了防止可能在運行過程中對數(shù)字化安全系統(tǒng)的完整性、可靠性或功能帶來不利影響的一系列非預(yù)期動作(如操作員非有意動作或關(guān)聯(lián)系統(tǒng)非期望行為)所采取的保護性活動。這些活動可包括：在數(shù)字化安全系統(tǒng)中采用保護性設(shè)計，以阻止對系統(tǒng)無意識的訪問和/或?qū)?shù)字化安全系統(tǒng)的關(guān)聯(lián)系統(tǒng)的非期望行為的保護。安全開發(fā)環(huán)境和安全運行環(huán)境可以獨立存在，其中，安全開發(fā)環(huán)境用于系統(tǒng)開發(fā)各階段(即概念、要求、設(shè)計、執(zhí)行、測試),可以是實體的、邏輯的和程序上的控制措施；安全運行環(huán)境設(shè)置于核電廠內(nèi)部，用于支持數(shù)字安全系統(tǒng)可靠運行，可以是實體的、邏輯的和管理上的控制措施。能、有效性、可靠性和運行造成不利影響。安全防范措施，如入侵檢測系統(tǒng)等，宜在安全系統(tǒng)外圍實現(xiàn)。宜避免直接在安全系統(tǒng)內(nèi)部實現(xiàn)安全防范措施。當必須在數(shù)字化儀控安全系統(tǒng)內(nèi)實現(xiàn)安全防范措施時，應(yīng)采用適當?shù)姆绞阶C明該安全防范措施不會反過來影響系統(tǒng)安全功能的執(zhí)行能力。當實現(xiàn)安全防范措施時，至少達到以下要求：a)應(yīng)證明增加的安全防范措施是合理的；b)應(yīng)處理安全防范措施的失效模式和失效對系統(tǒng)安全功能的影響，安全防范措施的錯誤不應(yīng)反過來影響安全功能；c)可采用非侵入式安全防范措施(如報告自診斷數(shù)據(jù)供分析);d)侵入式安全防范措施(如病毒掃描)應(yīng)僅在系統(tǒng)安全退出運行后執(zhí)行；e)如果安全防范措施運行在安全系統(tǒng)顯示和控制設(shè)備，其不宜反過來對操縱員維持電廠安全的能力造成不利影響；f)對于包含在安全系統(tǒng)內(nèi)的安全防范措施，其開發(fā)和鑒定應(yīng)保持與安全系統(tǒng)的開發(fā)和鑒定水平一致；g)除非有屏障能在安全系統(tǒng)在線運行期間阻止可移動存儲介質(zhì)的安裝，或者設(shè)計屏障阻止在線運行期間數(shù)據(jù)從可移動存儲介質(zhì)寫入安全系統(tǒng)，否則安全系統(tǒng)不應(yīng)含有任何可移動存儲介質(zhì)設(shè)備。5.9.3.2非安全級工程師站在出現(xiàn)下列任意情況時，非安全級工程師站在連接到安全系統(tǒng)前，應(yīng)及時、定期地更新病毒防護軟件的運行包和安全補丁，包括：a)非安全級工程師站能夠安裝可移動的外部存儲介質(zhì)；b)非安全級工程師站能夠與不屬于安全系統(tǒng)的網(wǎng)絡(luò)相連。用于數(shù)據(jù)存儲或傳送的任何存儲介質(zhì)(磁盤、磁帶、閃存驅(qū)動器等)應(yīng)在接入工程師站使用前經(jīng)過病毒掃描，或應(yīng)加以控制并存放在有物理防范的區(qū)域，以避免病毒侵入存儲介質(zhì)。5.9.4生命周期方法數(shù)字安全系統(tǒng)/設(shè)備開發(fā)過程中應(yīng)應(yīng)對數(shù)字安全系統(tǒng)生命周期(見5.3.1)內(nèi)各個階段的可能潛在薄弱環(huán)節(jié)，這些環(huán)節(jié)可能會導(dǎo)致SDOE降級，或使系統(tǒng)安全功能降級。5.9.4.2～5.9.4.9給出了針對SDOE需開展的額外活動。這些活動可根據(jù)生命周期模型調(diào)整；但當采用不同于瀑布式的生命周期模型時，應(yīng)提供用以應(yīng)對薄弱環(huán)節(jié)的等同水平的防護。在概念階段，持證單位和開發(fā)方應(yīng)識別建立系統(tǒng)安全運行環(huán)境所需的數(shù)字安全系統(tǒng)的措施。持證單位和開發(fā)方應(yīng)對連接系統(tǒng)的非有意訪問和非預(yù)期行為可能導(dǎo)致安全系統(tǒng)功能退化的潛在敏感源進行評估。該評估應(yīng)識別對保持數(shù)字安全系統(tǒng)安全運行環(huán)境、開發(fā)生命周期各階段的安全開發(fā)環(huán)境的潛在挑戰(zhàn)。評估結(jié)果應(yīng)用于建立針對軟硬件要求，建立安全運行環(huán)境和保持該環(huán)境的防護措施。為建立安全開發(fā)環(huán)境，在開發(fā)生命周期各個階段內(nèi)評估開發(fā)環(huán)境時，應(yīng)至少要處理并記錄下列各項：a)將未經(jīng)批準的安全系統(tǒng)需求插入需求文件或數(shù)據(jù)庫的情形；b)未經(jīng)批準的個人訪問主需求文檔或數(shù)據(jù)庫的情形；c)將非需求驅(qū)動的設(shè)計特性插入到設(shè)計文檔的情形；d)個人將非預(yù)期的、不需要的或未記錄在案的軟件插入PDD內(nèi)的情形；e)未經(jīng)批準的個人竄改試驗數(shù)據(jù)或更改試驗配置(軟件或硬件)的情形。持證單位和開發(fā)方應(yīng)評審安全開發(fā)環(huán)境評估結(jié)果，增加必要的控制措施以應(yīng)對薄弱環(huán)節(jié)。薄弱環(huán)節(jié)的控制和處理方法示例如下。a)對需求和設(shè)計文檔的嚴格控制。b)對需求到設(shè)計的向前和向后追溯的過程。c)對實現(xiàn)代碼的嚴格控制，包括：1)對開發(fā)設(shè)備的安全防范；2)對開發(fā)環(huán)境的訪問和網(wǎng)絡(luò)連接的控制；3)使用軟件管理工具跟蹤所有軟件變更和修訂；4)執(zhí)行對軟件設(shè)計到軟件實現(xiàn)進行向前和向后追溯的過程；5)用于檢測、刪除或評估軟件中非必要特性所帶來的潛在不利影響的過程。d)對測試環(huán)境的控制，包括：1)對測試硬件和軟件配置的控制，包括對物理訪問、邏輯訪問和網(wǎng)絡(luò)連接的控制；2)對測試產(chǎn)品、數(shù)據(jù)和文檔的控制。為建立安全運行環(huán)境，對安全系統(tǒng)概念設(shè)計進行評估時，應(yīng)至少識別并記錄下列各項。a)相連系統(tǒng)非預(yù)期或非故意的行為可能給安全系統(tǒng)執(zhí)行其要求的安全功能帶來不利影響或使其降級(見5.6.5.2)。b)未經(jīng)批準訪問安全系統(tǒng)的情形。示例可包括：1)可能包含在系統(tǒng)上開放的通信端口，使得任何個人非故意地嘗試接入系統(tǒng)的物理訪問點；2)可能包含在系統(tǒng)上的人機接口點，連接到安全系統(tǒng)內(nèi)同一網(wǎng)絡(luò)上的邏輯訪問點。核電廠運行時的許可證持證單位和開發(fā)方應(yīng)評審安全開發(fā)和運行環(huán)境的評估結(jié)果，增加必要的控制措施以應(yīng)對運行環(huán)境的薄弱環(huán)節(jié)?？捎门c相連系統(tǒng)的薄弱環(huán)節(jié)控制示例包括：a)消除與外部系統(tǒng)的連通性；b)物理上避免向安全系統(tǒng)傳輸數(shù)據(jù)的裝置；c)使用消息過濾器，僅放行嚴格遵守書面化消息格式要求的特定消息；d)對數(shù)據(jù)字段使用“超數(shù)據(jù)有效性范圍”的校驗；e)使用循環(huán)冗余校驗(CRC)過濾已損壞的消息。除5.9.1和5.9.2外，防止未經(jīng)批準訪問安全系統(tǒng)的控制示例可能還包括：a)對安裝有安全系統(tǒng)的機柜上鎖并設(shè)置報警器；b)禁用不再使用的外部通信端口，如那些能用于重啟、重新配置系統(tǒng)或更改操作模式的端口。本階段將確立安全運行環(huán)境相關(guān)的需求。進入系統(tǒng)需求階段前，已經(jīng)建立的安全開發(fā)環(huán)境需求的控制措施應(yīng)已就位并啟用。在需求階段，使用方和開發(fā)方應(yīng)定義并記錄針對系統(tǒng)全生命周期的安全防范要求。宜考慮安全防范要求的領(lǐng)域示例包括：a)安全運行環(huán)境的系統(tǒng)配置；b)系統(tǒng)外部的接口；c)設(shè)備鑒定；d)人因；e)數(shù)據(jù)定義；f)軟硬件的文檔；g)安裝與調(diào)試；h)運行；i)維護。預(yù)期用于維持安全運行環(huán)境的安全防范要求應(yīng)作為系統(tǒng)需求的一部分。因此，對需求的驗證應(yīng)證明其正確性、完整性、準確性、可測試性以及與系統(tǒng)安全運行環(huán)境措施的一致性。規(guī)定使用預(yù)開發(fā)軟件和系統(tǒng)(如重用軟件和商品級系統(tǒng))的需求應(yīng)有助于處理安全系統(tǒng)的安全防范性(如使用平臺安全防范能力或避免平臺薄弱環(huán)節(jié))。如果用于安全系統(tǒng)的數(shù)字化平臺為通用設(shè)計，持證單位和安全系統(tǒng)開發(fā)方應(yīng)執(zhí)行對那些未使用措施的評估，并證明保留那些未使用措施不會對系統(tǒng)安全功能造成不利影響，否則應(yīng)禁用或刪除那些功能。持證單位及開發(fā)方應(yīng)將商品級平臺內(nèi)的措施如何不妨礙安全開發(fā)環(huán)境要求的設(shè)計措施內(nèi)容書面化。任何妨礙安全運行環(huán)境執(zhí)行功能的措施均應(yīng)作為注意事項和限制書面化。如果在本階段中需求引入了新的薄弱環(huán)節(jié)，需進行評價。評價還宜確保識別到的薄弱環(huán)節(jié)已得到適當處理。如有必要，應(yīng)相應(yīng)地更新已有評價。在系統(tǒng)需求階段識別出安全運行環(huán)境的安全系統(tǒng)設(shè)計措施，應(yīng)轉(zhuǎn)化為系統(tǒng)設(shè)計中的具體設(shè)計配置項。進入系統(tǒng)設(shè)計階段前，針對設(shè)計而建立的安全開發(fā)環(huán)境的控制措施應(yīng)已就位并啟用。針對安全運行環(huán)境的安全系統(tǒng)設(shè)計配置項應(yīng)用于處理：a)對系統(tǒng)功能的物理和邏輯訪問；b)系統(tǒng)服務(wù)的使用(如自診斷);c)與其他系統(tǒng)的數(shù)據(jù)通信。對用于把預(yù)開發(fā)的軟件組合到安全系統(tǒng)中的設(shè)計配置項，應(yīng)確保該預(yù)開發(fā)軟件不對安全系統(tǒng)的安全運行環(huán)境造成不利影響。物理和邏輯的訪問控制應(yīng)基于生命周期內(nèi)概念階段開展的安全開發(fā)和運行環(huán)境評估。開發(fā)方應(yīng)記錄符合安全防范政策的標準和規(guī)程，用于證明系統(tǒng)設(shè)計輸出(硬件和軟件)中不包含：a)未書面化的代碼(如后門代碼);b)惡意代碼(如入侵、病毒、蠕蟲、木馬或炸彈代碼);c)其他非預(yù)期的或未書面化的功能或應(yīng)用程序。開發(fā)過程應(yīng)系統(tǒng)地組織，從而將上述各項從安全系統(tǒng)中排除。如果在本階段中設(shè)計配置項引入了新的薄弱環(huán)節(jié)，應(yīng)進行評價。評價還宜確保識別到的薄弱環(huán)節(jié)已得到適當處理。如有必要，應(yīng)相應(yīng)地更新已有評價。在系統(tǒng)(集成的硬件和軟件)實現(xiàn)階段，軟件設(shè)計將轉(zhuǎn)化為代碼、數(shù)據(jù)庫結(jié)構(gòu)以及相關(guān)的機器可執(zhí)行代碼。進入系統(tǒng)實現(xiàn)階段前，針對實現(xiàn)而建立的安全開發(fā)環(huán)境的控制措施應(yīng)已就位并啟用。實現(xiàn)活動用于處理硬件配置和安裝、軟件編碼和測試、通信配置和設(shè)定(包括與重用軟件和商品級物項聯(lián)調(diào))。持證單位和開發(fā)方應(yīng)證明，將設(shè)計轉(zhuǎn)化為實現(xiàn)配置項是正確、準確且完整的。實現(xiàn)應(yīng)與商品級物項規(guī)定的注意事項及限制保持一致。如果在本階段中實現(xiàn)配置項引入了新的薄弱環(huán)節(jié)，應(yīng)進行評價。評價還宜確保識別到的薄弱環(huán)節(jié)已得到適當處理。如有必要，應(yīng)相應(yīng)地更新已有評價。在集成測試、系統(tǒng)測試和驗收測試執(zhí)行過程中，對由安全運行環(huán)境設(shè)計措施的測試應(yīng)附加系統(tǒng)可靠性需求測試。進入系統(tǒng)測試階段前，針對測試而建立的安全開發(fā)環(huán)境的控制措施應(yīng)已就位并啟用。測試包括系統(tǒng)硬件配置測試(包括所有與其他包括外部系統(tǒng)在內(nèi)系統(tǒng)的連接)、軟件集成測試、系統(tǒng)集成測試、系統(tǒng)設(shè)備鑒定測試，以及系統(tǒng)出廠驗收測試。持證單位和開發(fā)方應(yīng)正確配置并啟用支持安全運行環(huán)境的系統(tǒng)措施。持證單位和開發(fā)方還應(yīng)對系統(tǒng)硬件架構(gòu)、外部通信設(shè)備以及未授權(quán)通道和系統(tǒng)完整性配置開展測試。宜重點關(guān)注內(nèi)置于原有設(shè)備中由制造商賦予的措施。應(yīng)確認各個安全運行環(huán)境的系統(tǒng)設(shè)計配置項，以確保采取的措施達到其預(yù)期功能，以防止惡意訪問或相連系統(tǒng)的非預(yù)期行為產(chǎn)生不利影響、保障安全系統(tǒng)的可靠性不降低。應(yīng)核實和確認設(shè)計與商品級物項規(guī)定的注意事項及限制的一致性。測試計劃應(yīng)確認針對任何已識別的薄弱環(huán)節(jié)的緩解措施已正確實現(xiàn)。如果測試計劃識別出了其他薄弱環(huán)節(jié)，應(yīng)更新對安全開發(fā)環(huán)境的評價，并在必要時對系統(tǒng)做出更改，以消除或緩解這些薄弱環(huán)節(jié)。5.9.4.7安裝和調(diào)試階段持證單位應(yīng)就安全運行環(huán)境評價要求設(shè)置相應(yīng)控制措施，包括相關(guān)的緩解策略。在本階段安全系統(tǒng)已在核電廠內(nèi)安裝并確認完成，以確保所交付系統(tǒng)的完整性。5.9.4.8運行和維護階段在運行和維護階段，持證單位應(yīng)維持安全系統(tǒng)的安全運行環(huán)境。持證單位應(yīng)評價擬采用的電廠變更對安全運行環(huán)境上的影響，以及評價擬采用的運行規(guī)程對安全運行環(huán)境的影響。當持證單位修改系統(tǒng)及相關(guān)的文檔時，對安全系統(tǒng)的修改應(yīng)按照上文中開發(fā)過程定義的方式加以處理。在運行和維護階段，持證單位應(yīng)專門處理安全系統(tǒng)的安全運行環(huán)境措施。應(yīng)依照安全系統(tǒng)配置管理計劃對安全運行環(huán)境進行維護。退出服務(wù)時，持證單位應(yīng)確定并開展所需的活動，以保護已退役的安全系統(tǒng)的相關(guān)信息。5.9.5維護系統(tǒng)生命周期、軟件生命周期以及驗證和確認的相關(guān)要求見GB/T22032—2021、ISO/IEC12207:2017以及NB/T20448—2017。在安全系統(tǒng)的安全序列執(zhí)行安全功能期間，不應(yīng)更改安全系統(tǒng)硬件和軟件配置。更改執(zhí)行過程嚴格程度應(yīng)與原系統(tǒng)開發(fā)過程嚴格程度一致。這一要求并不妨礙基于電廠工況(如反應(yīng)堆運行模式改變)而進行的對整定值和邏輯的自動修改。對用于修改安全系統(tǒng)軟件配置的終端，應(yīng)具有訪問權(quán)限(如鍵鎖)及密碼保護。對安全運行環(huán)境措施的維護和定期測試應(yīng)僅在不會影響電廠運行環(huán)境的期間內(nèi)執(zhí)行。5.10維修維修應(yīng)按照GB/T13284.1—2008中5.10給出的要求執(zhí)行。除GB/T13284.1—2008中5.11給出的要求外，還應(yīng)滿足以下針對數(shù)字安全系統(tǒng)的特別要求：a)應(yīng)提供并使用包含版本控制在內(nèi)的軟硬件標識，以確保在正確的硬件部件上安裝了正確的軟件；b)在軟件中應(yīng)包含相關(guān)的手段，以便使用軟件維護工具從軟件中重新得到標識。5.12輔助設(shè)施輔助設(shè)施應(yīng)按照GB/T13284.1—2008中5.12給出的要求執(zhí)行。5.13多機組核電廠多機組核電廠應(yīng)按照GB/T13284.1—2008中5.13給出的要求執(zhí)行。5.14人因工程考慮人因工程應(yīng)按照GB/T13284.1—2008中5.14的給出要求執(zhí)行。5.15可靠性除GB/T13284.1—2008中5.15的要求以外，當規(guī)定了可靠性目標時，滿足該目標的證明應(yīng)包含軟件。確定可靠性的方法可包括分析與現(xiàn)場經(jīng)驗或試驗的組合。軟件錯誤記錄及其趨勢分析可同分析、現(xiàn)場經(jīng)驗或試驗結(jié)合使用。5.16共因失效準則在安全系統(tǒng)中應(yīng)用PDD的經(jīng)驗表明，PDD的使用已經(jīng)引發(fā)軟件設(shè)計錯誤可能導(dǎo)致CCF的顧慮，這類CCF可繼而造成安全系統(tǒng)中一個或多個冗余序列的安全功能喪失。良好的軟件設(shè)計實踐對減少軟件設(shè)計錯誤大有幫助，但不能完全消除CCF。然而，在某些極簡系統(tǒng)中，或者在使用了穩(wěn)定成熟并在特定環(huán)境和應(yīng)用中具有廣泛運行經(jīng)驗的代碼的系統(tǒng)中，仍然可將CCF降低到合理且滿足要求的水平。潛在軟件故障屬于設(shè)計錯誤，該錯誤在受到觸發(fā)機制激發(fā)前，可保持在未被檢測的狀態(tài)。除非被觸發(fā)，潛在故障本身沒有危害，也不會自發(fā)地造成危害。如果該故障是系統(tǒng)化故障(即存在于多個序列中)且導(dǎo)致不安全狀態(tài)，這才變成問題。對于致使安全系統(tǒng)進入分析時已確定的安全狀態(tài)的CCF,本質(zhì)上仍然是安全的。發(fā)生多個失效時，若檢測到多個失效的時刻之間的間隔過短，而無法采取維修或恢復(fù)措施，則認定為同時發(fā)生失效(因此是共因失效)。應(yīng)將重點放在CCF的預(yù)防和限制上，而不是放在CCF的緩解策略上面。對CCF的防御是多方面a)預(yù)防軟件缺陷和共同觸發(fā)(如系統(tǒng)分割);b)故障檢測(如看門狗定時器);c)限制CCF的影響(如通過系統(tǒng)設(shè)計強制進入到已經(jīng)過分析的安全狀態(tài));d)通過多樣性和縱深防御緩解可信CCF。如果潛在CCF后果無法接受，應(yīng)對電廠儀控系統(tǒng)(包括支持電廠安全功能的PDD)進行多樣性和縱深防御(D3)分析(對于證明達到要求的D3的可接受方法見附錄C)。如果PDD在性能上被證明是確定性的，所有功能狀態(tài)及功能狀態(tài)之間的轉(zhuǎn)換均有文檔記錄并且基于以下準則是可測試的，則認為PDD不易受CCF影響：a)測試每一個可能的輸入組合；b)對于包含模擬量輸入的PDD,所有輸入組合的測試應(yīng)包含模擬輸入的全部運行范圍；c)測試所有可能的可執(zhí)行邏輯路徑(包含非時序邏輯路徑);d)測試每個功能狀態(tài)的轉(zhuǎn)換；e)測試監(jiān)控每種情況下所有輸出的正確性。此項測試應(yīng)在集成了可代表目標硬件的PDD上執(zhí)行。PDD可能包含不使用的輸入。如果通過模塊電路強制那些不使用的輸入到特定的已知狀態(tài)，那些5.17商品級數(shù)字設(shè)備的使用由于商品級物項未按照核質(zhì)保大綱設(shè)計和制造，應(yīng)使用一種替代方法證實擬使用部件是否適用于安全級應(yīng)用。這一替代方法即商品級適用性確認，其目的是證實通過適用性確認的物項在執(zhí)行預(yù)期安全功能方面等效于按照核質(zhì)保大綱開發(fā)的基本部件，并進而能為商品級物項將執(zhí)行預(yù)期的安全功能提供合理的保證。關(guān)于商品級物項適用性確認的指導(dǎo)見附錄D。5.17.2商品級物項適用性確認的準備宜評估風(fēng)險和危害，確定商品級物項執(zhí)行的安全功能，還宜關(guān)注商品級物項的故障和失效對電廠系統(tǒng)的其他安全功能或與對電廠其他系統(tǒng)的潛在影響，商品級物項適用性確認納入配置管理。5.17.3商品級物項適用性確認的執(zhí)行宜采用技術(shù)評價識別商品級物項的關(guān)鍵特性，關(guān)鍵特性分為三類關(guān)鍵特性：物理特性、性能特性和開發(fā)過程特性。每個關(guān)鍵特性都應(yīng)是可檢驗的，可采用試驗、源地檢查和監(jiān)查、測試等一種或多種組合進行驗收。商品級物項能否通過適用性確認取決于該商品級物項的生命周期過程等是否滿足核質(zhì)保相關(guān)要求，或取決于適用性確認組織按照核質(zhì)保大綱采取的補償活動。5.17.4商品級物項適用性確認的維護如果商品級物項已經(jīng)通過適用性確認并已采購，則應(yīng)通過書面化文件對商品級物項進行跟蹤。如果商品級物項發(fā)生變更，對商品級物項的變更應(yīng)進行評價，評價過程中宜考慮變更對軟件或固件的潛在影響。當已經(jīng)通過適用性確認的商品級物項在特定安全系統(tǒng)中應(yīng)用超出適用性確認的范圍時，應(yīng)針對新的應(yīng)用進行附加評價。5.18簡單性普遍認為，安全系統(tǒng)的簡單性不是一個可度量的特性。因此，無法給這些系統(tǒng)確立簡單性的可接受程度，但是仍然能采取措施避免不必要的復(fù)雜性。為了非直接與安全功能相關(guān)聯(lián)的功能執(zhí)行而增加復(fù)雜性，可能引入設(shè)計錯誤或產(chǎn)生系統(tǒng)危害。例如，能提高安全和可靠性的自測試和自診斷會導(dǎo)致復(fù)雜度增加。需對增加的功能帶來的危害和益處采取平衡措施。對所有分配到安全系統(tǒng)的功能應(yīng)給予合理性判斷、書面化并加以分析，以確定是否在安全系統(tǒng)中引入了危害。任何已識別的危害應(yīng)書面化，應(yīng)依據(jù)5.5.2和5.3.6予以處理。6監(jiān)測指令設(shè)備的功能和設(shè)計要求監(jiān)測指令設(shè)備的功能和設(shè)計應(yīng)按照GB/T13284.1—2008中第6章給出的要求執(zhí)行。7執(zhí)行裝置的功能和設(shè)計要求執(zhí)行裝置的功能和設(shè)計應(yīng)按照GB/T13284.1—2008中第7章給出的要求執(zhí)行。8對動力源的要求動力源應(yīng)按照GB/T13284.1—2008中第8章給出的要求執(zhí)行。(資料性)危害的識別和控制A.1背景本附錄為GB/T13284.1—2008的4.8以及本文件5.5.2提供支持。不同等級的系統(tǒng)之間，以及跨越冗余序列的相互聯(lián)系和依賴性的增加可能擴大危害分析的范圍。因此，本附錄側(cè)重于可編程數(shù)字設(shè)備的引入及相互聯(lián)系和依賴性增加相關(guān)的新問題。本附錄為危害的識別和控制提供指導(dǎo)。有一些技術(shù)在行業(yè)內(nèi)公認用于識別和控制危害的，危害和可操作性分析4(HAZOPS)便是其中之一。經(jīng)驗表明，使用單一技術(shù)是不夠充分的(見A.3.3.3)。為達到示例說明的目的，本附錄著重介紹了故障樹分析(FTA)和失效模式和影響分析(FMEA)技術(shù)。本附錄并不擔保任何用于危害分析的方法、技術(shù)或工具。FTA和FMEA等類似技術(shù)可用來支持電廠系統(tǒng)危害分析。已識別出的危害宜作為適當?shù)腣&.V活動的輸入信息(見5.3.4)。A.2危害分析的目的危害分析的目的是識別并控制造成或促成危害的條件。在開展硬件和軟件設(shè)計活動時，可能會將危害引入系統(tǒng)。危害可不是設(shè)計本身的一部分，但可能由系統(tǒng)設(shè)計的外部因素所造成，如有限的資源。由于對硬件危害分析已有廣泛認識(如FMEA和FTA),本附錄側(cè)重于開展工程設(shè)計活動期間引入的危害，特別是軟件危害。已有的設(shè)備鑒定大綱用于解決諸如地震、溫度、相對濕度、輻射和電磁兼容性(EMC)等設(shè)計要求相關(guān)的危害。因此，設(shè)備鑒定證明只要這些環(huán)境應(yīng)力源維持在已鑒定的限值范圍內(nèi)，這些環(huán)境應(yīng)力源便不會引起系統(tǒng)內(nèi)部的危害。在數(shù)字安全系統(tǒng)設(shè)計和集成的每個階段均需開展危害分析。危害分析范圍包括安全系統(tǒng)外部邊界，邊界與電廠其他部分(包括非儀控單元)相互接觸和相互作用。本附錄宜用來滿足5.3、5.5、5.6、5.9、5.16中所述危害、故障和失效的分析要求。A.3危害分析實施指導(dǎo)A.3.1原則進行危害分析時考慮下列指導(dǎo)原則。a)宜盡可能避免或消除危害。b)未能避免危害時，宜對危害進行識別和控制。c)宜在整個系統(tǒng)開發(fā)生命周期內(nèi)進行危害識別。d)在系統(tǒng)運行前，已識別出的所有危害宜得到消除或至少得到控制。e)還宜考慮對先前已開發(fā)系統(tǒng)中的危害進行評價和控制。f)對系統(tǒng)的危害分析計劃、責(zé)任和結(jié)果宜書面化。所有危害分析文檔均宜在配置控制下進行維護。危害分析過程包含三個基本步驟，各步驟均需要編制用于支持分析目標的文檔。三個基本步驟a)危害識別(見A.3.3);b)危害評價(見A.3.4);c)危害控制(見A.3.5)。危害分析過程(不含過程迭代)見圖A.1。危害分析計劃/危害分析計劃/初步危害分析危害列表危害評價危害評價系統(tǒng)運行和維護過程生命周期階段方法危害控制危害識別圖A.1危害分析過程圖實現(xiàn)圖A.1所示過程需要開展