GB/T 13629-1998核電廠安全系統(tǒng)中數(shù)字計算機(jī)的適用準(zhǔn)則

ICS27.120.20F83中華人民共和國國家標(biāo)準(zhǔn)GB/T13629-1998核電廠安全系統(tǒng)中數(shù)字計算機(jī)的適用準(zhǔn)則Applicablecriteriafordigitalcomputersinsafetysystemsofnuclearpowerplants1998-11-17發(fā)布1999-07-01實(shí)施國家質(zhì)量技術(shù)監(jiān)督局發(fā)布

GB/T13629—1998二前言IEEE前言范康2引用標(biāo)準(zhǔn)定義4安全系統(tǒng)設(shè)計基準(zhǔn)安全系統(tǒng)準(zhǔn)則……6監(jiān)測指令設(shè)備的功能和設(shè)計要求7執(zhí)行裝置的功能和設(shè)計要求………對動力源的要求·………附錄A(提示的附錄）本標(biāo)準(zhǔn)與GB13284一19981的相互關(guān)系附錄B(提示的附錄）多樣性需求的確定………………附錄C(提示的附錄）抗電磁干擾能力…………附錄D(提示的附錄）現(xiàn)有商品級計算機(jī)的質(zhì)量鑒定·附錄E(提示的附錄）驗(yàn)證與確認(rèn)·………附錄F(提示的附錄）異常狀態(tài)和事件的鑒別和解決附錄G（提示的附錄）通信獨(dú)立性·…附錄H(提示的附錄）計算機(jī)可靠性·附錄I(提示的附錄）核電廠用計算機(jī)軟件的質(zhì)量保證要求附錄J(提示的附錄）本標(biāo)準(zhǔn)附錄中引用的標(biāo)準(zhǔn)

GB/T13629—1998前本標(biāo)準(zhǔn)等效采用IEEEStd7-4.3.2-1993“CriteriaforDigitalComputersinSafetySystemsofNuclearpowerGeneratingStations”,技術(shù)內(nèi)容等同，編寫方法和格式符合GB/T1.1一1993的要求。與IEE7-4.3.2相比，本標(biāo)準(zhǔn)的基本結(jié)構(gòu)和內(nèi)容未變，只是將IEEE7-4.3.2中引用標(biāo)準(zhǔn)改為相應(yīng)的我國標(biāo)準(zhǔn)，將ASMENQA-2a一1990part2.7增加作為本標(biāo)準(zhǔn)附錄I,將附錄中引用的有關(guān)標(biāo)準(zhǔn)目錄增加作為本標(biāo)準(zhǔn)的附錄』。本標(biāo)準(zhǔn)與下列標(biāo)準(zhǔn)結(jié)合使用，能對核電廠數(shù)字化儀表和控制系統(tǒng)提供指導(dǎo)：·GB13284-1998(eqvIEEE603一1991）核電廠安全系統(tǒng)準(zhǔn)則·EJ/T529-1990(eavIEC987一1989）用于核電廠安全重要系統(tǒng)數(shù)字計算機(jī)·EJ/T694—1992(eqvIEEE730—1989）核工業(yè)計算機(jī)軟件質(zhì)量保證規(guī)范·EJ/T743一1993(qvIEEE828一1990）核工業(yè)計算機(jī)軟件配置管理計劃編制指南·EJ/T890—1994(eavIAEA282號技術(shù)報皆）核電廠安全有關(guān)計算機(jī)軟件質(zhì)量保證細(xì)則·EJ/T1058—1998(eqvIEC880一1986）核電廠安全系統(tǒng)計算機(jī)軟件·EJ/T1060-1998(qvIEC643一—1979)數(shù)數(shù)字計算機(jī)在核電廠儀表和控制中的應(yīng)用本標(biāo)準(zhǔn)的附錄A～附錄了都是提示的附錄。本標(biāo)準(zhǔn)由全國核儀器儀表標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口本標(biāo)準(zhǔn)起草單位：國家科委核安全中心。本標(biāo)準(zhǔn)主要起草人：耿文行、王忠秋.

CB/T13629-1998IEEE前言本前吉不是IEEEStd7-4.3.2-1993"CriteriaforDigitalComputersinSafetySystemsofNuclearPowerGeneratingStations”的組成部分，本標(biāo)準(zhǔn)規(guī)定了計算機(jī)的附加特定要求(包括硬件、軟件、固件和接口）以補(bǔ)充IEEE603—1991的準(zhǔn)則和要求。當(dāng)計算機(jī)用作安全系統(tǒng)的設(shè)備時,本標(biāo)準(zhǔn)應(yīng)與IEEE603—1991一起使用以保證安全系統(tǒng)設(shè)計的完整性。本標(biāo)準(zhǔn)所述的計算機(jī)特定要求只適用于作為安全系統(tǒng)設(shè)備的計算機(jī)，不一定適用于整個核電廠運(yùn)行所需的所有計算機(jī)。本標(biāo)準(zhǔn)5.5和5.6要求對安全系統(tǒng)中的計算機(jī)進(jìn)行保護(hù)，以免受非安全計算機(jī)故障的影響,對非安全計算機(jī)沒有特殊的安全要求。但是.許多原則適用于核電廠的其他重要系統(tǒng)，這些原則同IEEE603—1991規(guī)定的原則是一致的。本標(biāo)準(zhǔn)對計算機(jī)在安全系統(tǒng)級的應(yīng)用規(guī)定了設(shè)計要求。本標(biāo)準(zhǔn)的附錄提供了在設(shè)計技術(shù)和方法方面的詳細(xì)信息，以滿足各種準(zhǔn)則和要求。本標(biāo)準(zhǔn)考慮了計算機(jī)系統(tǒng)持續(xù)不斷的發(fā)展過程，因此不應(yīng)把本標(biāo)準(zhǔn)提供的信息視為唯一的解決辦法。只要滿足IEEE603一1991與本標(biāo)準(zhǔn)的準(zhǔn)則和要求,就希望使用數(shù)字技術(shù)方面的新成果。例如，雖然本標(biāo)準(zhǔn)并未特別涉及到人工智能系統(tǒng)和第四代語言但并不排除它們的應(yīng)用本標(biāo)準(zhǔn)不適用于安全系統(tǒng)設(shè)計過程中使用的工程軟件,對這類軟件應(yīng)參考ASMENQA-2a—1990第2.7部分(以下簡稱為第2.7部分)。演變本標(biāo)準(zhǔn)由ANSI/IEEE-ANS-7-4.3.2-1982*ApplicationCriteriaforProgrammableDigitalComputersystemsinSafetySystemsofNuelearPowerGeneratingStations"演變而來的，它體現(xiàn)了TEEE/ANSI聯(lián)合工作組為支持核電廠安全系統(tǒng)中計算機(jī)的規(guī)格書、設(shè)計和實(shí)施所作出的持續(xù)不斷的努力。ANSI/IEEE-ANS-7.4.3.2—1982詳細(xì)討論了對硬件和軟件進(jìn)行集成的研制過程。其中主要討論了第2.7部分中詳述的活動，參考第2.7部分提出具體的軟件研制要求。為了研制出可靠的、高質(zhì)量的軟件并盡量減少設(shè)計差錯，應(yīng)對軟件研制規(guī)定質(zhì)量要求。應(yīng)明確指出，本標(biāo)準(zhǔn)并不提供關(guān)于計算機(jī)安裝后運(yùn)行和維修的要求(例如監(jiān)督試驗(yàn)頻度),發(fā)現(xiàn)任何間題應(yīng)分別按相應(yīng)的硬件和軟件標(biāo)準(zhǔn)ASMENQA-1一1989和ASMENQA-2a～1990第2.7部分中的適當(dāng)要求來處理與其他標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)編制過程中采用了IEEE標(biāo)準(zhǔn)和其他標(biāo)準(zhǔn)。在本標(biāo)準(zhǔn)及其支持性附錄中注明了這些標(biāo)準(zhǔn)本標(biāo)準(zhǔn)引用了第2.7部分(除第7章和10.2以外）以提出質(zhì)量準(zhǔn)則的某些見解。這樣做的依據(jù)有：a）第2.7部分的第3章和第4章清楚地指出在整個軟件研制過程中應(yīng)進(jìn)行驗(yàn)證和確認(rèn)（V&V)。第7章說明了在軟件研制過程中進(jìn)行驗(yàn)證審查的要求，這可以解釋為對第3章和第4章所述要求的附加要求。因此工作組認(rèn)為，這可以解釋為第3章和第4章所述的V&V不足以符合ASMENQA-1一1989的設(shè)計驗(yàn)證要求。在第2.7部分的表決過程中,IEEENPEC(核動力工程委員會)注意到V&V在多章中作了討論，建議合并V&V的要求;b）在討論商品級物項(xiàng)適用性確認(rèn)的過程中，工作組認(rèn)為第2.7部分的10.2節(jié)規(guī)定的過程能處理

GB/T13629-1998商品級軟件的適用性確認(rèn)。但由于這節(jié)有可能被申請者不正確地使用.因此目前正在修訂之中。據(jù)此工作組認(rèn)為，贊同這一節(jié)是不合適的。非預(yù)期的功能第2.7部分第4章使用了定義"非預(yù)期功能”，該定義可解釋為：。）無用的駐留功能設(shè)計過程應(yīng)處理任何無用的駐留功能，見5.6。在某些情況下，例如對于操作系統(tǒng)和編譯程序，當(dāng)可能不知道總的數(shù)量時，V&V過程對于處理無用的駐留功能是不適宜的。b）對外部或內(nèi)部條件的不可預(yù)測響應(yīng)在設(shè)計過程中應(yīng)對外部或內(nèi)部條件的不可預(yù)測響應(yīng)進(jìn)行鑒別并形成文件，并采取適當(dāng)措施加以解決。然后，應(yīng)通過V&V過程來確認(rèn)對這些條件作出的適當(dāng)響應(yīng)。c）由于設(shè)計或?qū)嵤╁e誤產(chǎn)生的缺陷需要由V&V過程來處理由于設(shè)計或?qū)嵤╁e誤引起的缺陷。d）未從軟件中消除的研制輔助手段應(yīng)作出有文件依據(jù)的判斷，以便說明是否將研制輔助手段保留在軟件中。如果決定將研制輔助手段保留在軟件中,則可以使它們運(yùn)行或不運(yùn)行。無論何種情況，如果決定將研制輔助手段保留在軟件中，則要求進(jìn)行V&V.共因故障/多樣性IEEE603—1991的5.1規(guī)定了單一故障準(zhǔn)則,IEEE379—1988給出了對這一準(zhǔn)則應(yīng)用的指導(dǎo)IEEE379—1988的5.5提出了在單一故障分析中要考慮共因故障的要求，其中說明，不進(jìn)行單一故障分析的“共因故障”包括那些可能由“設(shè)計缺陷、制造差錯”等引起的故障，準(zhǔn)備用設(shè)計鑒定、質(zhì)量保證大綱來預(yù)防這些缺陷和差錯。這種方法對于按IEEE603—1991和本標(biāo)準(zhǔn)的要求研制的計算機(jī)硬件和軟件有關(guān)的潛在共因故障也是適合的。在本標(biāo)準(zhǔn)的制定過程中，工作組花費(fèi)了很多時間討論用多樣性來處理潛在共因故障的必要性。工作組認(rèn)為存在適合應(yīng)用多樣性的實(shí)例。一項(xiàng)安全功能的所有控制設(shè)備應(yīng)用同樣結(jié)構(gòu)來實(shí)現(xiàn)的情況就是應(yīng)考虐用多樣性來防止共因故障的一個實(shí)例。這可以從IEEE379—1988的前言推斷出來，該前言中說明：“如果確認(rèn)當(dāng)一起考電任務(wù)需求率和共因故障率時某些后果可能不可接受，則可使用其他的措施。在這些情況下，使用如多樣性的設(shè)計技術(shù)來提出可接受的設(shè)計"。附錄B給出了關(guān)于確定多樣性需求的社充指導(dǎo)。電磁環(huán)境本標(biāo)準(zhǔn)要求瞬態(tài)和穩(wěn)態(tài)條件的范圍應(yīng)包括電磁環(huán)境(含靜電放電）作為IEEE603-1991第4.7節(jié)舉例的補(bǔ)充。在本標(biāo)準(zhǔn)表決過程中，已注意到這是安全系統(tǒng)的問題而不是只有計算機(jī)才有的問題。因此建議從本標(biāo)準(zhǔn)中刪去這一主題而包括到IEEE603一1991年的修訂版中。SC6主席已同意將這一間題同IEEE603—1991的下次修訂一起考虐。但是,工作組和SC6主席認(rèn)為這是一個很重要的問題,至少在IEEE603一1991處理這一問題之前將其保留在本標(biāo)準(zhǔn)中。商品級物項(xiàng)適用性確認(rèn)在本標(biāo)準(zhǔn)表決過程中，對商品級物項(xiàng)適用性確認(rèn)要求的必要性表示了關(guān)切。作為審查ASMENQA-1C一1993附錄7A-2的結(jié)果，工作組決定，為了確定商品級物項(xiàng)在安全系統(tǒng)中應(yīng)用的可接受性

GB/T13629-1998僅進(jìn)行試驗(yàn)是不夠的。因此,已把軟件研制方法的考惠作為商品級物項(xiàng)適用性確認(rèn)過程的組成部分。商品級物項(xiàng)適用性確認(rèn)還要求制造商對現(xiàn)有產(chǎn)品進(jìn)行質(zhì)量鑒定。這兩項(xiàng)要求對未按本標(biāo)準(zhǔn)研制的計算機(jī)在安全系統(tǒng)中應(yīng)用的評價提供堅實(shí)的依據(jù)。未來的工作在第2.7部分下次修訂后，工作組應(yīng)考慮目前對2.7部分所述例外的適宜性問題。這應(yīng)是有意全面贊成第2.7部分。在本標(biāo)準(zhǔn)的制定過程中，工作組考慮了許多人因方面的問題。由于頒布了IEEE603一1991,突出了對這一問題的關(guān)注。IEEE603一1991要求把人因同安全系統(tǒng)準(zhǔn)則一起考感。同SC7成員進(jìn)行了討論、以確定工作組應(yīng)采取怎樣的行動。SC7目前正在進(jìn)行重新確認(rèn)工作和編制關(guān)于CRT的標(biāo)準(zhǔn)。在本標(biāo)準(zhǔn)表決過程中，再一次提出了對人因問題的關(guān)切，已將這些意見轉(zhuǎn)交給SC7作為他們工作的輸入。工作組建議將分級要求增加到IEEE603—1991中。這一思想已被美國核管會審評人員在SECY91-192“先進(jìn)輕水堆數(shù)字計算機(jī)系統(tǒng)”中所認(rèn)可。在ANSI/ANS51.1-1983和ANSI/ANS52.1-1983中也提出了類似的安全分級概念。在修訂IEEE603—1991時應(yīng)將這一概念應(yīng)用到該標(biāo)準(zhǔn)中。在本標(biāo)準(zhǔn)表決過程中還提出了關(guān)于軟件共因故障的問題。雖然附錄B給出了關(guān)于處理共因故障的多樣性要求的某些考慮，但對多樣性的考慮尚未達(dá)到應(yīng)有的程度。工作組和某些表決者認(rèn)為,對多樣性的要求是一個安全系統(tǒng)級的問題。因此，工作組建議在修訂IEEE603—1991時考點(diǎn)這一問題。本標(biāo)準(zhǔn)沒有涉及軟件工具選擇的合理性以及編譯程序、操作系統(tǒng)和程序庫的驗(yàn)收準(zhǔn)則。工作組認(rèn)為這一主題超出了他們的職責(zé)范圍，因此工作組建議編制標(biāo)準(zhǔn)來討論這些要求。在本標(biāo)準(zhǔn)表決過程中，提出了關(guān)于接地技術(shù)的標(biāo)準(zhǔn)適宜性問題。工作組認(rèn)為這一問題超出了本標(biāo)準(zhǔn)的范圍。因此，建議編制另一標(biāo)準(zhǔn)來處理這一問題。在在本標(biāo)準(zhǔn)表決過程中，要求區(qū)分對同一計算機(jī)上運(yùn)行的安全軟件與非安全軟件的要求。在5.6和附錄G中引入了軟件屏障概念，作為分隔這兩類軟件的一種措施。據(jù)工作組了解，尚無工業(yè)標(biāo)準(zhǔn)能適當(dāng)?shù)靥幚磉@一問題。工作組建議把處理這一主題的標(biāo)準(zhǔn)納入到未來的編制計劃中。

中華人民共和國國家標(biāo)準(zhǔn)核電廠安全系統(tǒng)中GB/T13629-1998數(shù)字計算機(jī)的適用準(zhǔn)則Applicablecriteriafordigitalcomputersinsafetysystemsofnuclearpowerplants1范圍本標(biāo)準(zhǔn)規(guī)定了計算機(jī)用作核電廠安全系統(tǒng)設(shè)備時的有關(guān)準(zhǔn)則。GB13284一1998規(guī)定了核電廠安全系統(tǒng)(動力源、儀表和控制部分)最低限度的功能和設(shè)計要求，但不包括計算機(jī)用作安全系統(tǒng)組成部分時的附加要求。本標(biāo)準(zhǔn)用來補(bǔ)充這方面的要求,與GB13284一1998一起規(guī)定了計算機(jī)用作安全系統(tǒng)設(shè)備時的最低功能要求和設(shè)計要求。在在本標(biāo)準(zhǔn)范圍內(nèi)，術(shù)語“計算機(jī)"是一個包括計算機(jī)硬件、軟件、固件和接口的系統(tǒng)。2引用標(biāo)準(zhǔn)下列標(biāo)準(zhǔn)所包含的條文，通過在本標(biāo)準(zhǔn)中引用而構(gòu)成為本標(biāo)準(zhǔn)的條文。本標(biāo)準(zhǔn)出版時,所示版本均為有效。所有標(biāo)準(zhǔn)都會被修訂，使用本標(biāo)準(zhǔn)的各方應(yīng)探討使用下列標(biāo)準(zhǔn)最新版本的可能性。GB/T7163—1987核反應(yīng)堆保護(hù)系統(tǒng)的可靠性分析要求GB/T9225—1988核反應(yīng)堆保護(hù)系統(tǒng)可常性分析一般原則GB/T12788—1991核電廠安全級電力系統(tǒng)準(zhǔn)則GB13284一1998核電廠安全系統(tǒng)準(zhǔn)則GB/T13626一1992單一故障準(zhǔn)則用于核電廠安全級電氣系統(tǒng)EJ/T694-1992核工業(yè)計算機(jī)軟件質(zhì)量保證規(guī)范EJ/T743-1993核工業(yè)計算機(jī)軟件配置管理計劃編制指南EJ/T797—1993人因工程原則在核電廠系統(tǒng)、設(shè)備和設(shè)施中的應(yīng)用EJ/