GBT 13629-2023 核電廠安全系統(tǒng)中可編程數字設備的適用準則

核電廠安全系統(tǒng)中可編程數字設備的適用準則2023-12-28發(fā)布I前言 l2規(guī)范性引用文件 13術語和定義、縮略語 13.1術語和定義 13.2縮略語 24安全系統(tǒng)設計基準 35安全系統(tǒng)準則 35.1單一故障準則 35.2保護動作的完成 35.3質量 35.4設備鑒定 75.5系統(tǒng)的完整性 75.6獨立性 95.7試驗和校準能力 5.8信息顯示 5.9訪問控制 5.10維修 5.11標識 5.12輔助設施 5.13多機組核電廠 5.14人因工程考慮 5.15可靠性 5.16共因失效準則 5.17商品級數字設備的使用 5.18簡單性 6監(jiān)測指令設備的功能和設計要求 7執(zhí)行裝置的功能和設計要求 8對動力源的要求 附錄A(資料性)危害的識別和控制 A.1背景 A.2危害分析的目的 A.3危害分析實施指導 Ⅱ附錄B(資料性)通信獨立性 附錄C(資料性)多樣性需求的確定 C.1多樣性和縱深防御分析 C.2充分多樣性以消除共因失效 C.3增加多樣性以應對共因失效薄弱環(huán)節(jié) C.4多樣性的手動控制和顯示 C.5多樣性的自動控制 附錄D(資料性)商品級物項適用性確認 D.1總體原則 D.2商品級物項適用性確認的準備 41D.3商品級物項適用性確認的開展 D.4商品級物項適用性確認的維護 參考文獻 Ⅲ本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件代替GB/T13629—2008《核電廠安全系統(tǒng)中數字計算機的適用準則》,與GB/T13629—2008相比，除結構調整和編輯性改動外，主要技術變化如下：——更改了文件的適用范圍，將“數字計算機”更改為“可編程數字設備”(見第1章，2008年版的第1章);構”“設計”“文件""文檔""差錯""執(zhí)行""失效""故障""功能""功能單元""硬件""實現(xiàn)""接口”2008年版的第3章);——增加了術語和定義“安全狀態(tài)”“功能狀態(tài)”"關鍵特性""基本部件""可編程數字設備""數字安全系統(tǒng)”(見第3章);——增加了縮略語(見3.2);——增加了針對單一故障的相關準則要求(見5.1);——更改了應用于數字裝置、軟硬件開發(fā)、固件和可編程邏輯設備開發(fā)所用到的軟件工具內容(見5.3.3,2008年版的5.3.2);——增加了功能優(yōu)先級的相關要求(見5.5.5);——增加了安全系統(tǒng)內部各冗余部分以及安全系統(tǒng)和其他系統(tǒng)之間獨立性方面的詳細規(guī)定(見——增加了3項試驗和校準準則(見5.7);——增加了多序列控制和顯示的相關要求(見5.8);——增加了安全系統(tǒng)在計算機安全防范方面的要求，特別給出了安全開發(fā)和運行環(huán)境的相關準則(見5.9);——增加了安全系統(tǒng)中與計算機相關的共因失效(CCF)的要求(見5.16);——增加了可編程設備和軟件的商品級適用性確認要求(見5.17);——增加了安全系統(tǒng)簡單性方面的要求(見5.18)。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國核儀器儀表標準化技術委員會(SAC/TC30)提出并歸口。本文件起草單位：核工業(yè)標準化研究所、北京廣利核系統(tǒng)工程有限公司、生態(tài)環(huán)境部核與輻射安全中心、國核自儀系統(tǒng)工程有限公司、中核控制系統(tǒng)工程有限公司。本文件主要起草人：焦麗玲、程建明、張亞棟、杜喬瑞、王曉燕、杜建、鄧瑞源、吳飛飛、裴紅偉、本文件及其所代替文件的歷次版本發(fā)布情況為：——1998年首次發(fā)布為GB/T13629—1998,2008年第一次修訂；——本次為第二次修訂。1核電廠安全系統(tǒng)中可編程數字設備的適用準則本文件規(guī)定了可編程數字設備用于核電廠安全系統(tǒng)的設計準則，包括安全系統(tǒng)準則、監(jiān)測指令設備本文件適用于核電廠安全系統(tǒng)中的可編程數字設備。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T12727—2017核電廠安全級電氣設備鑒定GB/T13284.1—2008核電廠安全系統(tǒng)第1部分：設計準則GB/T13625—2018核電廠安全級電氣設備抗震鑒定GB/T22032—2021系統(tǒng)與軟件工程系統(tǒng)生存周期過程NB/T20448—2017核電廠系統(tǒng)和軟件的驗證和確認下列術語和定義適用于本文件。在其應用場景中被認為是安全的系統(tǒng)狀態(tài)或符合核電廠安全分析的系統(tǒng)工況。由可編程數字設備(PDD)設計規(guī)定的部件或系統(tǒng)的運行狀態(tài)。硬件設備和駐留在此設備上的作為只讀軟件的計算機指令和數據的組合。關鍵特性criticalcharacterist為了保證商品級物項可執(zhí)行其預定安全功能，需驗證物項重要的設計、材料和性能(包括設計過程)2的屬性?；静考asiccomponent影響核電廠安全功能所必需的系統(tǒng)、設備及其零件。任何依賴計算機軟件指令或可編程邏輯完成其功能的設備。注：包括計算機、可編程硬件設備，或帶有固件的設備。商品級物項commercialgradeitem不是為核電廠專門設計或不以核電廠特有的技術要求為條件，用于非核電廠，按制造廠產品(例如樣本)說明中規(guī)定的技術條件從制造廠或供貨商處采購的系統(tǒng)、設備及其零件。商品級物項適用性確認commercialgradededication為了充分確信商品級物項適合于核安全應用，對商品級物項進行評價和驗收的過程。數字安全系統(tǒng)digitalsafetysystem用以執(zhí)行安全功能的可編程數字設備的集合。危害hazard系統(tǒng)中不良行為的先決條件，包括外部事件以及硬件和軟件的內在條件。檢查系統(tǒng)以識別內在危害，以及運用適當的需求、設計和其他約束條件來消除、預防或控制所識別的危害的過程。3.2縮略語下列縮略語適用于本文件。ATWS:未能緊急停堆的預期瞬態(tài)(AnticipatedTransientWithoutScram)CDR:關鍵數字評審(CriticalDigitalReview)DPRAM:雙端口隨機存儲器(Dual-portedRandomAccessMemory)D3:多樣性和縱深防御(DiversityandDefenseinDepth)FMEA:失效模式和影響分析(FailureModesandEffectsAnalysis)FTA:故障樹分析(FaultTreeAnalysis)MTE:測量和試驗設備(MeasurementandTestEquipment)PHA:初步危害分析(PreliminaryHazardsAnalysis)SDOE:安全開發(fā)和運行環(huán)境(SecureDevelopmentandOperationalEnvironment)V&.V:驗證和確認(VerificationandValidation)34安全系統(tǒng)設計基準核電廠安全系統(tǒng)的設計基準應按照GB/T13284.1—2008中第4章給出的要求執(zhí)行。5安全系統(tǒng)準則5.1單一故障準則除GB/T13284.1—2008中5.1給出的要求外，下列準則也適用于安全系統(tǒng)中的可編程數字設備。a)單個可編程數字設備(PDD)失效不應影響核電廠安全分析中假定會獨立地發(fā)生功能異常的功能。b)功能配置(如功能分布)應使得單個PDD的功能異?；蜍浖e誤不應導致電廠發(fā)生未包含在設計基準、事故分析、未能緊急停堆的預期瞬態(tài)(ATWS)的處理措施誤動作或其他異常工況的處理措施誤動作。這里所指的誤動作包括單個PDD功能異?；蜍浖e誤導致的一個以上電廠設備或系統(tǒng)的誤動作。對相同的軟件錯誤導致的多個PDD故障的可能性及其后果應滿足5.16的要求。5.2保護動作的完成保護動作的完成應按照GB/T13284.1—2008中5.2給出的要求執(zhí)行。安全系統(tǒng)質量總體要求按照GB/T13284.1—2008中5.3執(zhí)行。軟件質量要求應滿足ISO/IEC12207:2017及其支持性標準的要求。系統(tǒng)質量應滿足GB/T22032—2021的要求。PDD的開發(fā)活動應包括硬件和軟件的開發(fā)。在開發(fā)過程中應處理硬件與軟件的集成以及PDD在安全系統(tǒng)中的集成。典型的安全系統(tǒng)開發(fā)過程宜由下列生命周期的過程組成：a)建立系統(tǒng)的概念設計；b)將概念設計轉化為具體的系統(tǒng)需求；c)使用這些需求進行詳細的系統(tǒng)設計；d)硬件和軟件功能的設計的實現(xiàn)；e)功能試驗以確定需求的正確實現(xiàn)；f)系統(tǒng)安裝并進行現(xiàn)場調試；g)系統(tǒng)運行和維護；h)系統(tǒng)退役。為了符合質量準則，除了GB/T13284.1—2008的要求之外，還應滿足下列活動的附加要求：a)軟件開發(fā)；b)現(xiàn)有商品級PDD的適用性確認(見5.17);c)軟件工具的使用；d)驗證和確認；e)配置管理；f)風險管理。4軟件應按經批準的軟件質量保證大綱進行開發(fā)、修改或驗收，質量保證大綱的要求應符合ISO/IEC12207:2017的規(guī)定。軟件質量保證大綱應涉及運行時PDD的所有常駐軟件(包括應用軟件、網絡服務軟件、接口處理軟件、操作系統(tǒng)軟件以及診斷軟件等)。編制軟件質量保證大綱的指導見NB/T20054—2011的5.5。軟件質量保證大綱同時應包含5.3.3中用于系統(tǒng)開發(fā)和維護的軟件工具的要求。在整個軟件生命周期內，宜考慮使用軟件質量度量以評價其是否滿足軟件質量要求并改善性能，宜基于下面的生命周期階段特性考慮度量：a)正確性/完整性(需求階段);b)與需求的一致性(設計階段);c)與設計的一致性(實現(xiàn)階段);d)功能與需求的一致性(試驗和集成階段);e)現(xiàn)場功能與需求的一致性(安裝和調試階段);f)性能歷史記錄(運行和維護階段)。在軟件開發(fā)文檔中應包括為評價軟件質量特性而選擇的度量依據。GB/T25000第10部分、第22部分和第23部分提供了軟件質量度量的應用方法。在數字安全系統(tǒng)開發(fā)生命周期的不同階段中，一般要用到多種類型的軟件工具。有些工具被集成到基本軟件開發(fā)過程中，而另一些則被間接地使用。因此，以工具類型及所執(zhí)行的任務作為依據有助于對這些工具進行分類。此外，識別工具輸出，也是確定軟件工具的鑒定等級的重要因素。一旦確定了軟件工具的分類，即能確定工具的限制、用途及鑒定要求，以確定工具被恰當地使用。下面提供一種軟件分類方案，分類方案中采用識別工具用途和輸出以使其能適用后續(xù)準則。I類：軟件開發(fā)工具——開發(fā)方用以產生軟件、定義系統(tǒng)架構或生成擬載入到PDD的配置數據的工具。開發(fā)人員通過軟件開發(fā)工具與某類編程接口語言(如C、C++),或通過圖形界面(如繪制功能框圖)直接交互。開發(fā)工具隨后將該用戶的輸入轉換為可直接載入到PDD的數據(目標代碼或編程數據)。I類工具輸出是可在目標系統(tǒng)硬件中執(zhí)行的目標代碼或編程數據。Ⅱ類：監(jiān)視和維護工具——用于監(jiān)視試驗、修改配置數據，和/或為安全系統(tǒng)載入軟件的工具。Ⅱ類工具的輸出可包含安全系統(tǒng)對工具的響應和/或對安全系統(tǒng)配置的修改。Ⅲ類：開發(fā)過程支持工具——在離線狀態(tài)下使用，用于支持不同開發(fā)活動。此類工具一般不會對系統(tǒng)和軟件造成直接影響，也不會與系統(tǒng)或軟件開發(fā)過程發(fā)生直接交互。因此，Ⅲ類工具本身不會向安全PDD引入錯誤。相反，Ⅲ類工具可用于開發(fā)過程所需的文檔和配置創(chuàng)建或維護管理。Ⅲ類工具的輸出是安全系統(tǒng)的記錄或具體文件/數據集。Ⅲ類工具還可用于維護I類、Ⅱ類、IN類和V類工具的配置控制。IV類：在線V&.V工具——接收I類工具輸出。IN類工具用于開展或協(xié)助開展V&.V活動。通常，IV類工具設計用于糾正安全系統(tǒng)(通過自動操作，或工具用戶按照預設規(guī)則集發(fā)出的指令手動操作完成)。IV類工具的輸出為經過調整或修改后的軟件/系統(tǒng)，這些軟件/系統(tǒng)按照工具本身已預設的要求已得到糾正。5V類：離線V&.V工具——接收I類工具輸出。V類工具與IV類工具類似，都用于支持V&.V活動，與IV類工具差別在于：V類工具不能修改或控制被測試軟件/系統(tǒng)從而向安全系統(tǒng)引入錯誤，而是以測試結果的形式輸出，為操作員提供相關信息，用于確認系統(tǒng)正按照設計功能運行。如果需要對系統(tǒng)進行糾正，則該信息將作為反饋發(fā)送給開發(fā)人員。開發(fā)人員隨后使用I類工具做必要的糾正，隨后以迭代的形式重復V&.V流程，直至所有要求均已驗證和確認。若在安全系統(tǒng)PDD生命周期過程內使用軟件工具，應采用下列方法中的一種或兩種方法確保軟件工具的輸出與工具在安全系統(tǒng)中的使用相匹配：a)軟件工具未能檢出的缺陷應能通過V&.V活動發(fā)現(xiàn)；b)工具應使用與最終產品所執(zhí)行的安全功能的關鍵程度相稱的生命周期過程進行開發(fā)。所有軟件工具的預期功能和應用限制應識別并記錄。除非預先經過合理性證明，否則對工具及其輸出的使用不應超出已書面化的功能或應用限制。應按照軟件工具分類進行軟件工具評價，并評價工具在安全系統(tǒng)PDD中引入故障的可能性。軟件工具的評價過程宜考慮既往的使用經驗。相關經驗宜包含開發(fā)方的經驗以及工具使用過程中獲取的經驗。用以支持安全系統(tǒng)PDD軟件生命周期過程的軟件工具應納入到安全開發(fā)和運行環(huán)境(SDOE)中，并置于配置管理控制之下。只有經過批準和記錄的軟件工具才可用于支持安全系統(tǒng)PDD的開發(fā)。軟件工具應在其設計能力范圍內使用。5.3.4驗證和確認驗證和確認(V&.V)是過程管理和系統(tǒng)工程團隊活動的延伸。在整個系統(tǒng)生命周期中，V&.V用于確定有關數字系統(tǒng)質量、性能和整個生命周期開發(fā)過程的目標數據和結論(即主動反饋)。反饋包括與系統(tǒng)及其接口的預期運行條件有關的不符合項報告、性能改進及質量提高。V&.V過程應被用于確保某一活動的開發(fā)產出滿足該活動的要求，以及系統(tǒng)按照其預期的用途和用戶的需求執(zhí)行。對這些匹配性的確定應包括對產品和過程進行的評價、分析、評審、檢查和測試。本文件采用NB/T20448—2017規(guī)定的過程、活動和任務的定義，其中V&.V過程被分解為多項活動，活動又被進一步分解為多項任務。V&.V過程應關注影響軟件和系統(tǒng)的硬件、數字系統(tǒng)部件的集成以及PDD與核電廠的相互作用。V&.V活動和任務還應包括對最終集成后的硬件、軟件、接口的系統(tǒng)測試。應依據NB/T20448—2017中針對軟件V&.V規(guī)定的任務進行軟件V&.V工作。NB/T20448—2017建立了完整性等級劃分方案，但申明其他完整性方案是可接受的。對于任何已選定的完整性方案，應建立所選方案的完整性等級與NB/T20448—2017中的四個等級的對應關系，以證明最低V&.V要求得到滿足。安全系統(tǒng)V&.V計劃應定義和判定系統(tǒng)的完整性等級以及所需書面化輸出。對于完整性等級的定義可參考NB/T20448—2017。5.3.5驗證和確認獨立性要求安全系統(tǒng)執(zhí)行驗證和確認有獨立性要求。為了具備獨立驗證和確認，要求實現(xiàn)下面不同類別的獨a)驗證和確認人員應向具有足夠權限和組織自由度的獨立組織報告，包括如NB/T20448—2017附錄B定義，在費用和進度方面擁有足夠的獨立性；b)應由具有適當技術能力且并未參加原設計的人員或小組獨立完成對開發(fā)活動和測試的審核和確認；c)設計人員、參與設計的人員、參與設計和開發(fā)項目的管理人員，以及負責監(jiān)督設計方的人員不應參與安全系統(tǒng)獨立驗證和確認的監(jiān)督工作。6全生命周期過程內的測試可由V&.V組織或設計組織(或兩者兼有)完成。不論測試規(guī)程由哪一組織實際編寫、測試由哪一組織主導，測試規(guī)程和報告的檢驗應獨立進行。NB/T20448—2017的附錄B給出了V&.V獨立性的更多指導。應進行軟件配置管理。編制配置管理計劃的指導參考NB/T20335—2015。至少應進行下列軟件配置管理活動：a)所有軟件設計和執(zhí)行代碼的標識和控制；b)所有軟件設計功能數據(數據模板和數據庫)的標識和控制；c)所有軟件設計接口的標識和控制；d)所有軟件設計變更的控制；e)軟件文檔(用戶文件、運行和維護文件)的控制；f)對提供安全系統(tǒng)軟件的供應商開發(fā)活動的控制；g)與軟件設計和執(zhí)行代碼有關的鑒定信息的控制和獲取；h)軟件配置審查；i)狀態(tài)統(tǒng)計。對硬件和系統(tǒng)應執(zhí)行類似的配置管理活動。其中某些功能或文件可由其他的質量保證活動來完成或進行控制。在這種情況下，軟件配置管理計劃應說明責任的劃分。應在開發(fā)生命周期過程中適當的點建立系統(tǒng)的過程基線，以使工程和文檔活動相同步。基線建立后產生并經批準的變更應添加到基線中。對實施配置管理的系統(tǒng)的標簽應包括每個配置項的唯一性的標識，以及每個配置項的修訂版本號和(或)日期時間標志。應按照系統(tǒng)配置管理計劃，對系統(tǒng)的變更正式書面化并得到批準(配置控制標準參考NB/T20335—2015,回歸分析和測試標準參考NB/T20448—2017)。該文檔修訂應包括變更的原因，受影響的配置項的標識，以及變更對系統(tǒng)的影響(包括危害分析和風險分析)。此外，變更控制文檔應包括變更在系統(tǒng)中實施的計劃(立即實施變更，或未來版本變更的時間表),同時還包括對危害分析、風險分析和諸如V&.V的其他生命周期活動的文件升版。5.3.7項目風險管理項目風險管理是一種用于問題預防的工具，識別可能出現(xiàn)的問題、評價這些問題的影響，并確定為確保達到質量目標應涉及的潛在問題。在數字系統(tǒng)項目的各個層次應進行風險管理以充分覆蓋每個可能的問題領域。項目風險應包括與技術、進度、成本和資源有關的風險，這些風險可能損害質量目標，從而影響數字系統(tǒng)或計算機執(zhí)行安全功能的能力(見附錄A),項目風險管理與危害分析的不同之處在于在危害分析中只關注系統(tǒng)失效機理及其對電廠安全影響中技術方面的因素，而不是項目執(zhí)行方面的風險。當某項要素屬于項目風險和危害風險共有時，項目風險和危害風險可能重疊。應按項目風險以及通過危害分析過程評價這些重疊部分。風險管理應包括下列步驟：a)確定PDD風險管理的范圍；b)規(guī)定和實施適當的風險管理策略；c)在項目風險管理策略中識別項目風險，以及它們在項目實施過程中的演變；d)分析風險以確定緩解風險的優(yōu)先次序；e)對可能顯著影響質量目標的風險編制風險緩解計劃，并采用適當的度量來跟蹤問題的解決過7程(這些風險可包括可能損害安全PDD執(zhí)行安全功能能力的，與技術、進度或與資源有關的風險);f)當未達到預期的質量時，采取糾正措施；g)為解決軟件項目風險，建立一個在個人之間及團隊之間能夠進行有效交流的工作環(huán)境。ISO/IEC12207:2017和GB/T22032—2021提供了有關風險管理的附加指南。5.4設備鑒定在GB/T12727—2017和GB/T13625—2018要求的基礎上，除GB/T13284.1—2008中5.4給出的設備鑒定準則外，設備鑒定還應滿足以下要求。設備鑒定試驗應在系統(tǒng)處于運行狀態(tài)，并且系統(tǒng)使用其實際操作中擬使用的代表性軟件和診斷程序的情況下進行。對于PDD執(zhí)行安全功能所必需的所有功能，以及其運行或失效可能對安全功能有損害的功能，都應在鑒定過程中進行試驗。在適當且可行的情況下，這包括對存儲器、邏輯、輸入和輸出、顯示功能、診斷、相關部件、通信路徑和接口的試驗和監(jiān)測。試驗應證明，在規(guī)定的環(huán)境應力和輸入輸出應力下，與安全功能有關的性能要求已得到滿足。與核質保大綱下制造的設備一樣，商品級物項也應進行設備鑒定。5.5系統(tǒng)的完整性5.5.1通則要求為了達到安全系統(tǒng)中數字設備應用的系統(tǒng)完整性，除了GB/T13284.1—2008中5.5的要求之外，還應滿足以下要求：a)PDD完整性設計；b)試驗和校準設計；c)故障探測和自診斷；d)功能優(yōu)先級。5.5.2可編程數字設備完整性設計PDD應設計成在所有可能造成安全功能失效的內部或外部危害下均能完成其安全功能，這些危害包括輸入和輸出處理失效、精度或舍入問題、不適當的恢復動作、供電電源電壓或頻率波動、信號同時改變的最大可信數量，以及環(huán)境應力。如果系統(tǒng)要求已規(guī)定安全系統(tǒng)的優(yōu)先失效模式，則PDD失效不應妨礙安全系統(tǒng)處于該失效模式。PDD的重啟操作不應阻止安全系統(tǒng)完成其功能，不應造成安全系統(tǒng)誤動作。應開展危害分析(見附錄A)以識別和處理系統(tǒng)的潛在危害。5.5.3試驗和校準設計試驗和校準功能不應對系統(tǒng)完成其安全功能的能力造成不利的影響。在試驗和校準情形下，有條件地旁通某一冗余通道，不認為對系統(tǒng)安全功能執(zhí)行造成不利影響。試驗和校準功能不應影響與校準變更(例如變更整定值)無關的其他系統(tǒng)功能。當試驗和校準功能由另外的PDD(例如，試驗和校準計算機)完成并由該試驗和校準功能提供試驗和校準數據的唯一驗證時，則應要求對這些功能進行V&.V、配置管理和質量保證。當試驗和校準功能由安全系統(tǒng)中的PDD來完成時，也應要求對這些由PDD完成的試驗和校準功能進行V&.V、配置管理和質量保證。校準應滿足相關國家標準的要求。當駐留在另外PDD中的試驗和校準功能不是為安全系統(tǒng)的PDD提供試驗和校準數據的唯一驗證8時，則不要求對這些功能進行V&.V、配置管理和質量保證。5.5.4故障探測和自診斷自診斷是及時探測失效的手段。在可由其他方法及時探測失效的系統(tǒng)中，不要求自診斷功能。如果自診斷功能已集成到安全系統(tǒng)中，則這些功能應經過與安全功能相同的驗證和確認過程。如果自診斷作為可靠性的必要條件，則PDD軟件應包含及時探測和報告PDD系統(tǒng)故障和失效的功能。自診斷功能不應影響PDD系統(tǒng)執(zhí)行其安全功能的能力，或引起安全功能的誤動作。典型的自診斷功能包括：a)存儲器功能性和完整性試驗，例如可編程只讀存儲器(PROM)校驗和隨機訪問存儲器(RAM)測試；b)計算機指令集測試，例如運算測試；c)PDD外部設備硬件試驗，例如監(jiān)視定時器和鍵盤試驗；d)PDD架構支持硬件試驗，例如地址線和共享存儲器接口；e)通信鏈路診斷，例如循環(huán)冗余(CRC)校驗；f)內部信號監(jiān)視，如通過聯(lián)合測試工作組(JTAG)協(xié)議監(jiān)視。應識別那些不會導致系統(tǒng)失效或系統(tǒng)功能缺失的通信鏈路失效，給核持證單位”或供應商做決定，并宜在應用角度上評價這類失效。當自診斷功能應用時，系統(tǒng)設計應包括下列自診斷特性：a)PDD系統(tǒng)啟動期間的自診斷；b)當PDD系統(tǒng)運行時定期的自診斷；c)自診斷測試失效報告。本條給出功能優(yōu)先級的應用準則。優(yōu)先級功能接收來自安全側設備和非安全側設備的動作命令，并將具有最高優(yōu)先級的命令發(fā)送給一個或多個安全級驅動設備。驅動設備屬于安全級部件，如電動閥、泵電機、電磁閥等。非安全側信號源可包括操作或維護顯示單元、控制系統(tǒng)(如給水控制系統(tǒng))、多樣性驅動系統(tǒng)等在內的任何非安全級部件。優(yōu)先級功能采用以下準則。a)優(yōu)先級功能應是安全功能。b)用于多樣性驅動信號的優(yōu)先級功能應獨立于任何數字系統(tǒng)其他部分中假定可能發(fā)生的共因失效(CCF),并且，不管數字系統(tǒng)處于何種狀態(tài)或條件，均應正確地完成其功能。c)當源自安全系統(tǒng)的信號與多樣性的驅動信號或非安全控制信號匯合時，更高的優(yōu)先級應賦予使受控設備進入預先確定的安全狀態(tài)的信號，以使得即使安全系統(tǒng)出現(xiàn)CCF而未發(fā)出正確命令時，受控設備仍然能達到安全狀態(tài)。對于存在一個以上安全狀態(tài)的設備(如輔助給水控制閥),要求選擇首選安全狀態(tài)。確定設備的安全狀態(tài)或首選安全狀態(tài)是電廠系統(tǒng)的任務，不在本文件中規(guī)定。d)優(yōu)先級功能可控制一個或多個部件。若優(yōu)先級功能控制多個部件時，本條中的規(guī)定應適用于每一個受驅動部件。e)各優(yōu)先級功能之間的通信隔離應符合5.6.5.2的規(guī)定。f)用于優(yōu)先級功能設計、測試、維護等的軟件工具的要求應符合5.3.3的規(guī)定。g)在役期間，無論通過設計措施移除或替換存儲設備，或是通過符合5.6.5.2規(guī)定的物理限制(即物理斷開電纜的連接),也或是通過鍵盤鎖開關(該開關采用硬件邏輯方式打開數據傳輸電路9或中斷連接),優(yōu)先級功能涉及的非易失存儲器(如燒錄門陣列、可重復編程門陣列或者隨機存取存儲器)都應是不可修改的。h)應通過人工定期試驗或通過自動化自診斷方式測試優(yōu)先級功能。對于實現(xiàn)優(yōu)先級功能的模塊內的自動測試，無論其是由模塊內部發(fā)起的還是從外部觸發(fā)的(包括由于自動測試功能失效而觸發(fā)的),都不應妨礙安全功能。執(zhí)行優(yōu)先級功能應使得GB/T13284.1—2008中要求的安全動作不被優(yōu)先級功能所在安全序列之外的指令、工況或失效所中斷。為了滿足獨立性準則，除了GB/T13284.1—2008中5.6的要求之外，安全序列之間或安全系統(tǒng)與非安全系統(tǒng)之間的數據通信不應妨礙安全功能的執(zhí)行。GB/T13284.1—2008要求安全功能應與非安全功能相隔離，以使非安全功能不能阻止安全系統(tǒng)執(zhí)行其預期的功能。在PDD中，執(zhí)行安全功能的軟件和執(zhí)行非安全功能的軟件可能駐留在相同的PDD中并使用相同的PDD資源。非安全軟件的功能應依照本文件中與安全相關的要求進行開發(fā)。各個安全通道的安全功能應給予保護，防止其受到通道所在序列外部的不利影響。序列外部發(fā)出的信息和信號不應妨礙或延誤該序列安全功能的執(zhí)行。這種保護應在受影響的序列內完成(不是在序列以外的資源中完成),且這種保護自身不應受到受影響序列以外的條件或信息的影響。這種保護應持續(xù)有效，不受序列外存在或發(fā)出的任何操作、功能異常、設計錯誤、通信錯誤、軟件錯誤或崩潰的影響。對于舊有的、僅設置有兩個序列(每個序列內包含若干冗余通道)的反應堆保護和專設安全設施系統(tǒng)，則要求不論其他通道是否做出判定，每個通道能夠產生單獨保護動作信號。這些冗余通道之間的通信，應采用與本文件中針對序列間通信相同的方法。安全系統(tǒng)的設計應使其安全功能的實現(xiàn)不依賴于來自非安全系統(tǒng)的輸入。僅在非安全系統(tǒng)接受與安全系統(tǒng)相同的質量活動(如獨立審查和配置控制)的前提下，可接受在安全系統(tǒng)中使用來自非安全系統(tǒng)的數據輸入(如整定值和標定值)(數據獨立性的詳細準則見5.6.5.3)。5.6.2安全系統(tǒng)內部各冗余部分之間詳細準則按照5.6.5要求執(zhí)行。5.6.3安全系統(tǒng)與設計基準事件影響之間安全系統(tǒng)與設計基準事件影響之間應按照GB/T13284.1—2008中5.6.2給出的要求執(zhí)行。5.6.4安全系統(tǒng)與其他系統(tǒng)之間詳細準則按照5.6.5要求執(zhí)行。鄰近的設備應按照GB/T13284.1—2008中5.6.3.2給出的要求執(zhí)行。5.6.4.3單一隨機故障的影響單一隨機故障的影響應按照GB/T13284.1—2008中5.6.3.3給出的要求執(zhí)行。緩沖功能為通信鏈路與安全功能之間提供接口，其主要作用為：防止安全序列之外的通信上發(fā)生的故障和失效擴散到安全序列內的安全功能當中，維持安全功能的完整性。符合本準則的通信功能/緩沖區(qū)的指導，可參考附錄B。緩沖功能適用以下準則。a)緩沖功能應包含兩部分不同的電路，其中一部分執(zhí)行安全功能，另一部分執(zhí)行數據通信功能。執(zhí)行安全功能的PDD應能訪問緩沖電路。b)緩沖功能可由單獨的通信處理器或PDD內單獨的邏輯提供。緩沖功能可設置在同一印制電路板上，或設置在單獨的印制電路板上。c)安全功能處理器應與通信處理器異步運行。無處理器的PDD的安全功能和通信功能應各自具有單獨的邏輯電路。安全功能需求中應明確規(guī)定來自于通信功能的數據故障(如向緩沖發(fā)送的通信速率增大、數據不可用或過期、數據損壞)時的處理。d)安全功能和通信功能之間的通信應使用專用的緩沖功能(如雙端口存儲器)以實現(xiàn)信息交換。安全功能、通信功能以及緩沖功能，與所有支持的軟硬件均被視為安全級的，應按相應要求進e)安全功能應具有訪問緩沖功能的優(yōu)先權，以使安全功能按照確定的方式完成。緩沖功能故障不應妨礙安全功能在確定的時間范圍內執(zhí)行。f)安全功能處理器周期時間的確定，宜考慮訪問共享存儲器可能的最長時間。最長可能完成時間應包含存儲器本身及其相關電路的響應時間，還應包含假定從通信處理器到功能處理器的訪問切換的最壞條件下，功能處理器訪問存儲器時的最長可能延遲時間。系統(tǒng)運行時間超出限制的周期時間時，應被檢測到并報警。g)如果緩沖功能提供了在安全功能中使用的數據，則應對緩沖功能引入相同的用于安全功能的V&.V。否則，根據需要的完整性等級，可使用在NB/T20448—2017定義的對應等級的V&.V方法。h)GB/T13284.1—2008明確適用于安全系統(tǒng)和非安全系統(tǒng)間的通信鏈路，以及安全系統(tǒng)內各序列間的通信鏈路的電氣隔離、分隔和單一故障的要求。除非通信是用于支持安全功能的實現(xiàn)，否則安全通道不應接收來自所在安全序列之外的任何通信。接收不用于安全功能的信息可能會引入與安全功能不直接相關的其他功能。下列準則適用于冗余安全序列之間、安全系統(tǒng)與非安全系統(tǒng)之間的數字通信。a)執(zhí)行安全功能的處理器應執(zhí)行無握手通信或無中斷方式的通信。如有需要，應使用單獨的通信處理器實現(xiàn)握手和中斷功能。非基于處理器的設備應具備單獨的邏輯電路來執(zhí)行通信和安全功能。b)應只有預定義的數據集被接收端安全系統(tǒng)處理(即預先定義的消息的格式和協(xié)議，也即，每條消息中的各段含有相同定義的信息)。接收端安全系統(tǒng)應根據已定義的設計要求識別和處理不可辨認(即不符合預先定義)的數據。c)在執(zhí)行安全功能的PDD系統(tǒng)內部，接收和發(fā)送的數據均存儲在單獨的、預定義的位置。預定義的內存位置僅用于數據接收和發(fā)送。d)所有外部信號均應作為數據，并按照運行中的安全邏輯的正常順序加以處理。不準許出現(xiàn)可能會改變安全邏輯或邏輯順序的命令。e)安全序列軟件應加以保護，防止在安全序列運行期間發(fā)生改變?？刂瓢踩到y(tǒng)軟件變更的首選方法是對來自維護/監(jiān)視裝置的輸入數據采用硬接線聯(lián)鎖或物理斷開的方式。f)對于可尋址常量、整定值、參數及其他與安全功能相關的設置，應只在通道處于旁通或通道未運行時可更改。g)為防止同一時刻修改一個以上的安全序列，應在物理上對部署用于這類修改的工具進行限制h)當工具連接上其他處于旁通或非在役狀態(tài)的通道以進行參數修改時，安全系統(tǒng)的設計應對仍在運行的通道提供防護以防止被修改。此類防護應是安全的。i)可信通信故障不應妨礙所必要的安全功能的運行。應假設非安全系統(tǒng)具有多個和連續(xù)的失效。宜考慮下面最簡清單中列出的可信故障(見GB/T34040—2017):1)消息可能因通信處理器錯誤、緩沖區(qū)接口引入的錯誤及傳輸媒介引入的錯誤，或來自干擾的錯誤而損壞；2)消息可能在錯誤的時間點重復；3)消息的發(fā)送順序可能不正確；4)消息可能丟失，包括未能接收到未損壞的消息，以及未能確認接收到消息；5)消息可能因為多種原因而產生延遲超出允許的時間窗口，這些原因包括傳輸介質錯誤、傳輸線路擁塞、傳輸線路干擾或被發(fā)送緩沖區(qū)排隊的消息延誤等等；6)來自非預期或未知來源的消息可能被插入到通信介質中；7)消息可能偽裝成來自預期來源的有效消息，包括故意的事件(見5.9中針對此類情況的預防措施);8)消息可能發(fā)送到了錯誤的地址，而該目的地可將其視為有效消息；9)消息長度可能超出接收緩沖區(qū)大小，導致緩沖區(qū)溢出和內存損壞；10)消息可能包含有預期范圍以外的數據；11)消息可能表現(xiàn)為有效，但消息中的數據位置可能發(fā)生錯誤；12)消息發(fā)送頻率過高，可能導致系統(tǒng)降級或引發(fā)系統(tǒng)失效(如廣播風暴);13)消息頭或地址可能已經損壞；14)安全系統(tǒng)未處于處理被接收消息的正確模式。j)對安全功能提供支持的通信(如為實現(xiàn)符合邏輯而共享各通道的觸發(fā)判別結果)應包含確保所接收消息是正確且可被正確理解的相關措施。此類通信應采用檢錯碼，并配有相應的對損壞、無效、超時或其他可疑數據的處理方式。宜在相關代碼的設計和相關代碼驗證性測試中證明錯誤檢測的有效性，一旦有效性得到證明，則不需要在定期試驗中再次證明有效性。k)為安全功能提供支持的通信應采用專用的媒介，以點對點的方式傳輸。此外，如果其他通信策略具有同等可靠性且有書面化的證明，也可采用。1)用于安全功能的通信應按照一定的時間間隔發(fā)送固定的數據包，不論該數據包中數據是否發(fā)生了變化。m)設計通信協(xié)議時，應將消息數據的有效性和時效性納入到協(xié)議當中，同時設計接收端對消息數據進行校驗并做適當處理。n)宜對通信規(guī)則進行分析，以便查找因非必要功能或復雜性引入的危害和性能缺陷。o)安全功能不應因通信過載和失效受到不利影響。p)確定響應時間時，宜考慮數據錯誤率。在冗余安全序列之間，或者從非安全系統(tǒng)到安全序列的數據交換，應保證序列間的獨立性，防止接收序列的安全功能受到使用交換數據的不利影響。應對數據的故障或失效進行識別，并將適當的邏輯納入到系統(tǒng)設計當中，以便處理可信的數據故障和失效，如因輸入源降級導致格式有效的數據不正確。在非安全系統(tǒng)與安全系統(tǒng)之間開展數據交換時，采用以下準則。a)安全系統(tǒng)中安全功能的執(zhí)行不應依賴于非安全系統(tǒng)的通信鏈路，或來自非安全系統(tǒng)的數據。應假定當安全系統(tǒng)發(fā)生單一故障的同時，非安全數據也失效，這種情況下安全系統(tǒng)仍能執(zhí)行其預期的功能。b)如果安全序列使用了來自冗余序列的數據，或使用了來自非安全系統(tǒng)的數據(如用于調整整定值或校準數據),則這些數據(使用前已經過驗證)應在安全序列內手動允許，或使用安全序列內的安全邏輯自動允許。c)用于多個安全序列內的數據應視為同一失效來源，因為這種失效的共同來源可能會給多個序列帶來不利影響。建立通信獨立性的指導見附錄B。5.7試驗和校準能力除GB/T13284.1—2008中5.7給出的要求外，應遵守以下準則。a)應通過定期自動或手動監(jiān)視以確定安全系統(tǒng)配置。b)不應以支持定期自動或手動監(jiān)視試驗的目的，要求改變或修正安全系統(tǒng)配置。c)用于安全系統(tǒng)的測量和試驗設備(MTE)不應對安全系統(tǒng)功能造成不利影響。這里的安全系統(tǒng)功能包含安全系統(tǒng)所有部分的功能，且不排除處于試驗狀態(tài)的通道或序列。應確保MTE臨時連接到安全級設備之前，MTE上的無線接收器/轉發(fā)器處于禁用狀態(tài)。5.8信息顯示安全級控制和顯示可通過安全級的操作員站實現(xiàn)，或者通過硬接線設備(如開關、繼電器、指示器和模擬信號處理電路)實現(xiàn)。在這兩個情況的任何一種情況下，應確定安全控制和指示可應用于特定的安全序列。針對此類用于同一安全序列的安全控制和指示要求按照GB/T13284.1—2008中5.8給出的要求執(zhí)行。此外，5.8.2和5.8.3提供了針對另一類操作員站的額外指導，這類操作員站用于控制一個以上的安全序列中的電廠設備，顯示來自一個以上安全序列的信息。5.8.2和5.8.3還適用于對不在同一安全序列中的安全系統(tǒng)進行編程、修改、監(jiān)視或維護的工作站。本文件所涉及的多序列控制和顯示站本身可是安全級的，也可是非安全級的。如果這些站包含對多個安全序列中的設備的控制和顯示，或者這些站包含的控制和顯示是非安全級的但與某安全序列之間有接口，則這些站應符合5.8.2和5.8.3給出的條件。5.8.2多序列控制和顯示站的獨立性和隔離要求多序列控制和顯示站的獨立性和隔離符合下列要求。a)使用非安全級控制和顯示站對安全級設備的運行進行控制時，遵守下列限制。1)非安全級控制和顯示站應通過與設備相關的優(yōu)先級功能訪問安全級電廠設備。優(yōu)先級功能宜按照5.5.5中的要求進行設計和應用。2)當安全級設備執(zhí)行其安全功能時，非安全級控制和顯示站不應影響安全級設備的運行。本規(guī)定應在安全系統(tǒng)實現(xiàn)，且不應受到非安全級設備的任何操作、功能異常、設計錯誤、軟件錯誤或通信錯誤的影響。3)僅當受影響的安全序列自身判定可接受非安全級控制和顯示站旁通某安全功能時，非安全級控制和顯示站才能旁通該安全功能。4)非安全級控制和顯示站不應禁止任何安全功能的執(zhí)行，除非安全系統(tǒng)自身判定安全功能的結果已得到保證，該安全功能的終止才被允許。應證明安全系統(tǒng)具有做出對應判定所必須的所有信息和邏輯。5)非安全級控制和顯示站不應復位某安全功能，除非受影響的安全序列自身判定可接受安全功能的復位。6)非安全級控制和顯示站不應取消某安全功能的旁通狀態(tài)，除非受影響的安全序列自身判定可接受非安全級控制和顯示站取消該安全功能的旁通狀態(tài)。b)與上述a)項中非安全級控制和顯示站控制安全級設備運行情況下應遵循的限制類似，控制其他安全序列中的設備運行的安全級控制和顯示站遵循以下限制。1)安全級控制和顯示站應通過與設備相關的優(yōu)先級功能訪問其所在序列以外的安全級電廠設備。優(yōu)先級功能的設計和應用應參考關于優(yōu)先級功能的指導(見5.5.5)。2)當安全級控制和顯示站所在序列以外的設備執(zhí)行其安全功能時，安全級控制和顯示站不應影響該安全級設備的運行。執(zhí)行安全功能時，安全序列應提供防止外部影響(包括本序列以外的任何操作、功能異常、設計錯誤、軟件錯誤或通信錯誤)的措施。3)僅當受影響的序列自身判定可接受本序列外的安全級控制和顯示站旁通某安全功能時，本序列外的安全級控制和顯示站才能旁通該安全功能。4)安全功能所在序列外的安全級控制和顯示站不應禁止任何安全功能的執(zhí)行，除非安全系統(tǒng)自身判定安全功能的結果已得到保證，該安全功能的終止才被允許。應證明安全系統(tǒng)具有做出對應判定所必須的所有信息和邏輯。5)序列外的安全級控制和顯示站不應復位該安全功能，除非受影響的安全序列自身判定可接受安全功能的復位。6)序列外的安全級控制和顯示站不應取消某安全功能的旁通狀態(tài)，除非受影響的安全序列自身判定可接受序列外的安全級控制和顯示站將該安全功能取消旁通狀態(tài)。5.8.3功能異常和誤動作與安全系統(tǒng)相連的信息顯示功能異常和誤動作方面符合下列要求。a)功能異常的結果應與針對電廠設計和審查準則的安全分析中的假定一致。b)安全分析中假定會獨立地發(fā)生功能異常的功能不應受到多序列控制和顯示站失效的影響。c)單一控制動作(例如：鼠標點擊或屏幕觸控)不應向電廠設備發(fā)出命令。命令的產生宜至少需要兩個肯定的操作員動作。d)安全級控制和顯示站應按照GB/T13284.1—2008中5.4的要求鑒定。應對能夠控制安全級設備的非安全級控制和顯示站進行鑒定，以證明當發(fā)生諸如地震、電磁干擾(EMI)/射頻干擾(RFI)、電源浪涌，以及適用于同一場址內安全級設備的所有其他設計基準工況下的不利環(huán)境時，不論是在工況期間還是在工況發(fā)生之后，該非安全級控制和顯示站不會發(fā)生誤動，且不應因設計基準工況導致對任何安全級設備或裝置產生不利影響。該鑒定活動不需要證明這些非安全級控制和顯示站在適用的設計基準工況期間或之后保持自身的完整功能。如果不能滿足該要求，則電廠安全分析應包含這些非安全級控制和顯示站對安全級設備或裝置可能產生的不利影響而導致的工況。推薦該鑒定通過試驗來證明，而不是僅通過分析來證明。e)電源喪失、電源浪涌、電源中斷、重啟，以及任何其他在操作員站或控制器上發(fā)生的可信事件不應導致任何電廠裝置或系統(tǒng)的誤啟動或誤停止，除非相應的誤啟動或誤停止已經包含在電廠安全分析當中。f)設計中應包含有能夠通過物理手段禁用5.8.2中涉及的安全級和非安全級控制和顯示站的措施，使其在主控室棄用后仍然能夠防止安全級設備可能因導致主控室棄用的工況(如控制室火災或水淹)而發(fā)生誤動。禁用主控室控制和顯示站的方法宜能夠不受短路、控制室內環(huán)境條件等的影響，這些影響可能會恢復控制室操作員站功能，導致安全級設備誤動。g)任何5.8.2中涉及的安全級和非安全級控制和顯示站失效或功能異常及其恢復的過程不應導致電廠處于其設計基準、事故分析和未能緊急停堆的預期瞬態(tài)(ATWS)規(guī)定范圍以外的任何工況(包括多種同時發(fā)生的工況),或其他預料之外的電廠異常工況。5.9訪問控制5.9.1實體安全防范所有安全級數字部件和網絡電纜應安裝在電廠內設有設備實體安全防范措施的位置。將部件放置于核電廠要害區(qū)域提供了符合本要求的實體安全防范。要害區(qū)的實物保護見HAD501/02—2018。對于與安全級設備通過數字接口相連的便攜式工程師站2)、MTE,應在有實體安全防范的位置進行維護、控制和訪問。工程師站以及MTE的固定連接點，應設置在廠內帶有實體安全防范的區(qū)域。對固定式或便攜式工程師站的訪問以及對MTE的訪問應受到限制，僅允許對該設備有訪問需求且已有預授權的員工進行該訪問。5.9.2數字設備安全防范對安全系統(tǒng)和工程師站的訪問應限制在一組指定專門的權限的人員來執(zhí)行所需的操作。物理和邏輯上的訪問控制宜基于系統(tǒng)安全開發(fā)和運行環(huán)境3(SDOE)評估結果。評估結果可要求對多種復雜的訪問控制加以組合，如知識類(如密碼)、資產類(如鑰匙、智能卡)和人員特征類(如指紋)的不同組合。5.9.4.2.2和5.9.4.2.3給出了針對這種評估的更多細節(jié)。對配置參數的更改(如整定值、邏輯塊組態(tài)和梯形圖邏輯)以及對軟件的變更應滿足5.6.5.2h)項的要求。應給予足夠的訪問控制，避免不適當的訪問。供應商默認密碼應在系統(tǒng)執(zhí)行安全功能前予以更改，同時，應禁止一切遠程訪問。遠程訪問規(guī)定見中對安全系統(tǒng)的安全開發(fā)環(huán)境和安全運行環(huán)境的評估。應禁用工作站的所有無線功能。MTE上的無線功能應在連接到安全級設備之前被禁用。5.9.3安全防范措施與安全功能的相互作用安全防范措施(如入侵檢測軟件、病毒防護軟件、訪問控制軟件)的實現(xiàn)不應反過來對安全功能的性2)在核電廠安全系統(tǒng)中，工程師站指用于執(zhí)行安全系統(tǒng)工程設計和維護功能的基于計算機的工具。工程設計功能通常包括創(chuàng)建新的控制功能、添加各種輸入/輸出點、修改順序和連續(xù)控制邏輯、離線狀態(tài)下的邏輯仿真、支持數據庫工程設計、準備諸如I/O列表和設備信息等的工程設計文檔。維護功能通常提供某種手段用以監(jiān)視和故障定位系統(tǒng)運行的各個方面，包括診斷、安裝和更新程序元素、故障恢復、執(zhí)行系統(tǒng)權限管理等。3)安全開發(fā)和運行環(huán)境指為了防止在數字安全系統(tǒng)開發(fā)過程中引入未書面化的、不需要的(即非需求驅動的)以及非預期的修改所采取的措施和控制，以及為了防止可能在運行過程中對數字化安全系統(tǒng)的完整性、可靠性或功能帶來不利影響的一系列非預期動作(如操作員非有意動作或關聯(lián)系統(tǒng)非期望行為)所采取的保護性活動。這些活動可包括：在數字化安全系統(tǒng)中采用保護性設計，以阻止對系統(tǒng)無意識的訪問和/或對數字化安全系統(tǒng)的關聯(lián)系統(tǒng)的非期望行為的保護。安全開發(fā)環(huán)境和安全運行環(huán)境可以獨立存在，其中，安全開發(fā)環(huán)境用于系統(tǒng)開發(fā)各階段(即概念、要求、設計、執(zhí)行、測試),可以是實體的、邏輯的和程序上的控制措施；安全運行環(huán)境設置于核電廠內部，用于支持數字安全系統(tǒng)可靠運行，可以是實體的、邏輯的和管理上的控制措施。能、有效性、可靠性和運行造成不利影響。安全防范措施，如入侵檢測系統(tǒng)等，宜在安全系統(tǒng)外圍實現(xiàn)。宜避免直接在安全系統(tǒng)內部實現(xiàn)安全防范措施。當必須在數字化儀控安全系統(tǒng)內實現(xiàn)安全防范措施時，應采用適當的方式證明該安全防范措施不會反過來影響系統(tǒng)安全功能的執(zhí)行能力。當實現(xiàn)安全防范措施時，至少達到以下要求：a)應證明增加的安全防范措施是合理的；b)應處理安全防范措施的失效模式和失效對系統(tǒng)安全功能的影響，安全防范措施的錯誤不應反過來影響安全功能；c)可采用非侵入式安全防范措施(如報告自診斷數據供分析);d)侵入式安全防范措施(如病毒掃描)應僅在系統(tǒng)安全退出運行后執(zhí)行；e)如果安全防范措施運行在安全系統(tǒng)顯示和控制設備，其不宜反過來對操縱員維持電廠安全的能力造成不利影響；f)對于包含在安全系統(tǒng)內的安全防范措施，其開發(fā)和鑒定應保持與安全系統(tǒng)的開發(fā)和鑒定水平一致；g)除非有屏障能在安全系統(tǒng)在線運行期間阻止可移動存儲介質的安裝，或者設計屏障阻止在線運行期間數據從可移動存儲介質寫入安全系統(tǒng)，否則安全系統(tǒng)不應含有任何可移動存儲介質設備。5.9.3.2非安全級工程師站在出現(xiàn)下列任意情況時，非安全級工程師站在連接到安全系統(tǒng)前，應及時、定期地更新病毒防護軟件的運行包和安全補丁，包括：a)非安全級工程師站能夠安裝可移動的外部存儲介質；b)非安全級工程師站能夠與不屬于安全系統(tǒng)的網絡相連。用于數據存儲或傳送的任何存儲介質(磁盤、磁帶、閃存驅動器等)應在接入工程師站使用前經過病毒掃描，或應加以控制并存放在有物理防范的區(qū)域，以避免病毒侵入存儲介質。5.9.4生命周期方法數字安全系統(tǒng)/設備開發(fā)過程中應應對數字安全系統(tǒng)生命周期(見5.3.1)內各個階段的可能潛在薄弱環(huán)節(jié)，這些環(huán)節(jié)可能會導致SDOE降級，或使系統(tǒng)安全功能降級。5.9.4.2～5.9.4.9給出了針對SDOE需開展的額外活動。這些活動可根據生命周期模型調整；但當采用不同于瀑布式的生命周期模型時，應提供用以應對薄弱環(huán)節(jié)的等同水平的防護。在概念階段，持證單位和開發(fā)方應識別建立系統(tǒng)安全運行環(huán)境所需的數字安全系統(tǒng)的措施。持證單位和開發(fā)方應對連接系統(tǒng)的非有意訪問和非預期行為可能導致安全系統(tǒng)功能退化的潛在敏感源進行評估。該評估應識別對保持數字安全系統(tǒng)安全運行環(huán)境、開發(fā)生命周期各階段的安全開發(fā)環(huán)境的潛在挑戰(zhàn)。評估結果應用于建立針對軟硬件要求，建立安全運行環(huán)境和保持該環(huán)境的防護措施。為建立安全開發(fā)環(huán)境，在開發(fā)生命周期各個階段內評估開發(fā)環(huán)境時，應至少要處理并記錄下列各項：a)將未經批準的安全系統(tǒng)需求插入需求文件或數據庫的情形；b)未經批準的個人訪問主需求文檔或數據庫的情形；c)將非需求驅動的設計特性插入到設計文檔的情形；d)個人將非預期的、不需要的或未記錄在案的軟件插入PDD內的情形；e)未經批準的個人竄改試驗數據或更改試驗配置(軟件或硬件)的情形。持證單位和開發(fā)方應評審安全開發(fā)環(huán)境評估結果，增加必要的控制措施以應對薄弱環(huán)節(jié)。薄弱環(huán)節(jié)的控制和處理方法示例如下。a)對需求和設計文檔的嚴格控制。b)對需求到設計的向前和向后追溯的過程。c)對實現(xiàn)代碼的嚴格控制，包括：1)對開發(fā)設備的安全防范；2)對開發(fā)環(huán)境的訪問和網絡連接的控制；3)使用軟件管理工具跟蹤所有軟件變更和修訂；4)執(zhí)行對軟件設計到軟件實現(xiàn)進行向前和向后追溯的過程；5)用于檢測、刪除或評估軟件中非必要特性所帶來的潛在不利影響的過程。d)對測試環(huán)境的控制，包括：1)對測試硬件和軟件配置的控制，包括對物理訪問、邏輯訪問和網絡連接的控制；2)對測試產品、數據和文檔的控制。為建立安全運行環(huán)境，對安全系統(tǒng)概念設計進行評估時，應至少識別并記錄下列各項。a)相連系統(tǒng)非預期或非故意的行為可能給安全系統(tǒng)執(zhí)行其要求的安全功能帶來不利影響或使其降級(見5.6.5.2)。b)未經批準訪問安全系統(tǒng)的情形。示例可包括：1)可能包含在系統(tǒng)上開放的通信端口，使得任何個人非故意地嘗試接入系統(tǒng)的物理訪問點；2)可能包含在系統(tǒng)上的人機接口點，連接到安全系統(tǒng)內同一網絡上的邏輯訪問點。核電廠運行時的許可證持證單位和開發(fā)方應評審安全開發(fā)和運行環(huán)境的評估結果，增加必要的控制措施以應對運行環(huán)境的薄弱環(huán)節(jié)?？捎门c相連系統(tǒng)的薄弱環(huán)節(jié)控制示例包括：a)消除與外部系統(tǒng)的連通性；b)物理上避免向安全系統(tǒng)傳輸數據的裝置；c)使用消息過濾器，僅放行嚴格遵守書面化消息格式要求的特定消息；d)對數據字段使用“超數據有效性范圍”的校驗；e)使用循環(huán)冗余校驗(CRC)過濾已損壞的消息。除5.9.1和5.9.2外，防止未經批準訪問安全系統(tǒng)的控制示例可能還包括：a)對安裝有安全系統(tǒng)的機柜上鎖并設置報警器；b)禁用不再使用的外部通信端口，如那些能用于重啟、重新配置系統(tǒng)或更改操作模式的端口。本階段將確立安全運行環(huán)境相關的需求。進入系統(tǒng)需求階段前，已經建立的安全開發(fā)環(huán)境需求的控制措施應已就位并啟用。在需求階段，使用方和開發(fā)方應定義并記錄針對系統(tǒng)全生命周期的安全防范要求。宜考慮安全防范要求的領域示例包括：a)安全運行環(huán)境的系統(tǒng)配置；b)系統(tǒng)外部的接口；c)設備鑒定；d)人因；e)數據定義；f)軟硬件的文檔；g)安裝與調試；h)運行；i)維護。預期用于維持安全運行環(huán)境的安全防范要求應作為系統(tǒng)需求的一部分。因此，對需求的驗證應證明其正確性、完整性、準確性、可測試性以及與系統(tǒng)安全運行環(huán)境措施的一致性。規(guī)定使用預開發(fā)軟件和系統(tǒng)(如重用軟件和商品級系統(tǒng))的需求應有助于處理安全系統(tǒng)的安全防范性(如使用平臺安全防范能力或避免平臺薄弱環(huán)節(jié))。如果用于安全系統(tǒng)的數字化平臺為通用設計，持證單位和安全系統(tǒng)開發(fā)方應執(zhí)行對那些未使用措施的評估，并證明保留那些未使用措施不會對系統(tǒng)安全功能造成不利影響，否則應禁用或刪除那些功能。持證單位及開發(fā)方應將商品級平臺內的措施如何不妨礙安全開發(fā)環(huán)境要求的設計措施內容書面化。任何妨礙安全運行環(huán)境執(zhí)行功能的措施均應作為注意事項和限制書面化。如果在本階段中需求引入了新的薄弱環(huán)節(jié)，需進行評價。評價還宜確保識別到的薄弱環(huán)節(jié)已得到適當處理。如有必要，應相應地更新已有評價。在系統(tǒng)需求階段識別出安全運行環(huán)境的安全系統(tǒng)設計措施，應轉化為系統(tǒng)設計中的具體設計配置項。進入系統(tǒng)設計階段前，針對設計而建立的安全開發(fā)環(huán)境的控制措施應已就位并啟用。針對安全運行環(huán)境的安全系統(tǒng)設計配置項應用于處理：a)對系統(tǒng)功能的物理和邏輯訪問；b)系統(tǒng)服務的使用(如自診斷);c)與其他系統(tǒng)的數據通信。對用于把預開發(fā)的軟件組合到安全系統(tǒng)中的設計配置項，應確保該預開發(fā)軟件不對安全系統(tǒng)的安全運行環(huán)境造成不利影響。物理和邏輯的訪問控制應基于生命周期內概念階段開展的安全開發(fā)和運行環(huán)境評估。開發(fā)方應記錄符合安全防范政策的標準和規(guī)程，用于證明系統(tǒng)設計輸出(硬件和軟件)中不包含：a)未書面化的代碼(如后門代碼);b)惡意代碼(如入侵、病毒、蠕蟲、木馬或炸彈代碼);c)其他非預期的或未書面化的功能或應用程序。開發(fā)過程應系統(tǒng)地組織，從而將上述各項從安全系統(tǒng)中排除。如果在本階段中設計配置項引入了新的薄弱環(huán)節(jié)，應進行評價。評價還宜確保識別到的薄弱環(huán)節(jié)已得到適當處理。如有必要，應相應地更新已有評價。在系統(tǒng)(集成的硬件和軟件)實現(xiàn)階段，軟件設計將轉化為代碼、數據庫結構以及相關的機器可執(zhí)行代碼。進入系統(tǒng)實現(xiàn)階段前，針對實現(xiàn)而建立的安全開發(fā)環(huán)境的控制措施應已就位并啟用。實現(xiàn)活動用于處理硬件配置和安裝、軟件編碼和測試、通信配置和設定(包括與重用軟件和商品級物項聯(lián)調)。持證單位和開發(fā)方應證明，將設計轉化為實現(xiàn)配置項是正確、準確且完整的。實現(xiàn)應與商品級物項規(guī)定的注意事項及限制保持一致。如果在本階段中實現(xiàn)配置項引入了新的薄弱環(huán)節(jié)，應進行評價。評價還宜確保識別到的薄弱環(huán)節(jié)已得到適當處理。如有必要，應相應地更新已有評價。在集成測試、系統(tǒng)測試和驗收測試執(zhí)行過程中，對由安全運行環(huán)境設計措施的測試應附加系統(tǒng)可靠性需求測試。進入系統(tǒng)測試階段前，針對測試而建立的安全開發(fā)環(huán)境的控制措施應已就位并啟用。測試包括系統(tǒng)硬件配置測試(包括所有與其他包括外部系統(tǒng)在內系統(tǒng)的連接)、軟件集成測試、系統(tǒng)集成測試、系統(tǒng)設備鑒定測試，以及系統(tǒng)出廠驗收測試。持證單位和開發(fā)方應正確配置并啟用支持安全運行環(huán)境的系統(tǒng)措施。持證單位和開發(fā)方還應對系統(tǒng)硬件架構、外部通信設備以及未授權通道和系統(tǒng)完整性配置開展測試。宜重點關注內置于原有設備中由制造商賦予的措施。應確認各個安全運行環(huán)境的系統(tǒng)設計配置項，以確保采取的措施達到其預期功能，以防止惡意訪問或相連系統(tǒng)的非預期行為產生不利影響、保障安全系統(tǒng)的可靠性不降低。應核實和確認設計與商品級物項規(guī)定的注意事項及限制的一致性。測試計劃應確認針對任何已識別的薄弱環(huán)節(jié)的緩解措施已正確實現(xiàn)。如果測試計劃識別出了其他薄弱環(huán)節(jié)，應更新對安全開發(fā)環(huán)境的評價，并在必要時對系統(tǒng)做出更改，以消除或緩解這些薄弱環(huán)節(jié)。5.9.4.7安裝和調試階段持證單位應就安全運行環(huán)境評價要求設置相應控制措施，包括相關的緩解策略。在本階段安全系統(tǒng)已在核電廠內安裝并確認完成，以確保所交付系統(tǒng)的完整性。5.9.4.8運行和維護階段在運行和維護階段，持證單位應維持安全系統(tǒng)的安全運行環(huán)境。持證單位應評價擬采用的電廠變更對安全運行環(huán)境上的影響，以及評價擬采用的運行規(guī)程對安全運行環(huán)境的影響。當持證單位修改系統(tǒng)及相關的文檔時，對安全系統(tǒng)的修改應按照上文中開發(fā)過程定義的方式加以處理。在運行和維護階段，持證單位應專門處理安全系統(tǒng)的安全運行環(huán)境措施。應依照安全系統(tǒng)配置管理計劃對安全運行環(huán)境進行維護。退出服務時，持證單位應確定并開展所需的活動，以保護已退役的安全系統(tǒng)的相關信息。5.9.5維護系統(tǒng)生命周期、軟件生命周期以及驗證和確認的相關要求見GB/T22032—2021、ISO/IEC12207:2017以及NB/T20448—2017。在安全系統(tǒng)的安全序列執(zhí)行安全功能期間，不應更改安全系統(tǒng)硬件和軟件配置。更改執(zhí)行過程嚴格程度應與原系統(tǒng)開發(fā)過程嚴格程度一致。這一要求并不妨礙基于電廠工況(如反應堆運行模式改變)而進行的對整定值和邏輯的自動修改。對用于修改安全系統(tǒng)軟件配置的終端，應具有訪問權限(如鍵鎖)及密碼保護。對安全運行環(huán)境措施的維護和定期測試應僅在不會影響電廠運行環(huán)境的期間內執(zhí)行。5.10維修維修應按照GB/T13284.1—2008中5.10給出的要求執(zhí)行。除GB/T13284.1—2008中5.11給出的要求外，還應滿足以下針對數字安全系統(tǒng)的特別要求：a)應提供并使用包含版本控制在內的軟硬件標識，以確保在正確的硬件部件上安裝了正確的軟件；b)在軟件中應包含相關的手段，以便使用軟件維護工具從軟件中重新得到標識。5.12輔助設施輔助設施應按照GB/T13284.1—2008中5.12給出的要求執(zhí)行。5.13多機組核電廠多機組核電廠應按照GB/T13284.1—2008中5.13給出的要求執(zhí)行。5.14人因工程考慮人因工程應按照GB/T13284.1—2008中5.14的給出要求執(zhí)行。5.15可靠性除GB/T13284.1—2008中5.15的要求以外，當規(guī)定了可靠性目標時，滿足該目標的證明應包含軟件。確定可靠性的方法可包括分析與現(xiàn)場經驗或試驗的組合。軟件錯誤記錄及其趨勢分析可同分析、現(xiàn)場經驗或試驗結合使用。5.16共因失效準則在安全系統(tǒng)中應用PDD的經驗表明，PDD的使用已經引發(fā)軟件設計錯誤可能導致CCF的顧慮，這類CCF可繼而造成安全系統(tǒng)中一個或多個冗余序列的安全功能喪失。良好的軟件設計實踐對減少軟件設計錯誤大有幫助，但不能完全消除CCF。然而，在某些極簡系統(tǒng)中，或者在使用了穩(wěn)定成熟并在特定環(huán)境和應用中具有廣泛運行經驗的代碼的系統(tǒng)中，仍然可將CCF降低到合理且滿足要求的水平。潛在軟件故障屬于設計錯誤，該錯誤在受到觸發(fā)機制激發(fā)前，可保持在未被檢測的狀態(tài)。除非被觸發(fā)，潛在故障本身沒有危害，也不會自發(fā)地造成危害。如果該故障是系統(tǒng)化故障(即存在于多個序列中)且導致不安全狀態(tài)，這才變成問題。對于致使安全系統(tǒng)進入分析時已確定的安全狀態(tài)的CCF,本質上仍然是安全的。發(fā)生多個失效時，若檢測到多個失效的時刻之間的間隔過短，而無法采取維修或恢復措施，則認定為同時發(fā)生失效(因此是共因失效)。應將重點放在CCF的預防和限制上，而不是放在CCF的緩解策略上面。對CCF的防御是多方面a)預防軟件缺陷和共同觸發(fā)(如系統(tǒng)分割);b)故障檢測(如看門狗定時器);c)限制CCF的影響(如通過系統(tǒng)設計強制進入到已經過分析的安全狀態(tài));d)通過多樣性和縱深防御緩解可信CCF。如果潛在CCF后果無法接受，應對電廠儀控系統(tǒng)(包括支持電廠安全功能的PDD)進行多樣性和縱深防御(D3)分析(對于證明達到要求的D3的可接受方法見附錄C)。如果PDD在性能上被證明是確定性的，所有功能狀態(tài)及功能狀態(tài)之間的轉換均有文檔記錄并且基于以下準則是可測試的，則認為PDD不易受CCF影響：a)測試每一個可能的輸入組合；b)對于包含模擬量輸入的PDD,所有輸入組合的測試應包含模擬輸入的全部運行范圍；c)測試所有可能的可執(zhí)行邏輯路徑(包含非時序邏輯路徑);d)測試每個功能狀態(tài)的轉換；e)測試監(jiān)控每種情況下所有輸出的正確性。此項測試應在集成了可代表目標硬件的PDD上執(zhí)行。PDD可能包含不使用的輸入。如果通過模塊電路強制那些不使用的輸入到特定的已知狀態(tài)，那些5.17商品級數字設備的使用由于商品級物項未按照核質保大綱設計和制造，應使用一種替代方法證實擬使用部件是否適用于安全級應用。這一替代方法即商品級適用性確認，其目的是證實通過適用性確認的物項在執(zhí)行預期安全功能方面等效于按照核質保大綱開發(fā)的基本部件，并進而能為商品級物項將執(zhí)行預期的安全功能提供合理的保證。關于商品級物項適用性確認的指導見附錄D。5.17.2商品級物項適用性確認的準備宜評估風險和危害，確定商品級物項執(zhí)行的安全功能，還宜關注商品級物項的故障和失效對電廠系統(tǒng)的其他安全功能或與對電廠其他系統(tǒng)的潛在影響，商品級物項適用性確認納入配置管理。5.17.3商品級物項適用性確認的執(zhí)行宜采用技術評價識別商品級物項的關鍵特性，關鍵特性分為三類關鍵特性：物理特性、性能特性和開發(fā)過程特性。每個關鍵特性都應是可檢驗的，可采用試驗、源地檢查和監(jiān)查、測試等一種或多種組合進行驗收。商品級物項能否通過適用性確認取決于該商品級物項的生命周期過程等是否滿足核質保相關要求，或取決于適用性確認組織按照核質保大綱采取的補償活動。5.17.4商品級物項適用性確認的維護如果商品級物項已經通過適用性確認并已采購，則應通過書面化文件對商品級物項進行跟蹤。如果商品級物項發(fā)生變更，對商品級物項的變更應進行評價，評價過程中宜考慮變更對軟件或固件的潛在影響。當已經通過適用性確認的商品級物項在特定安全系統(tǒng)中應用超出適用性確認的范圍時，應針對新的應用進行附加評價。5.18簡單性普遍認為，安全系統(tǒng)的簡單性不是一個可度量的特性。因此，無法給這些系統(tǒng)確立簡單性的可接受程度，但是仍然能采取措施避免不必要的復雜性。為了非直接與安全功能相關聯(lián)的功能執(zhí)行而增加復雜性，可能引入設計錯誤或產生系統(tǒng)危害。例如，能提高安全和可靠性的自測試和自診斷會導致復雜度增加。需對增加的功能帶來的危害和益處采取平衡措施。對所有分配到安全系統(tǒng)的功能應給予合理性判斷、書面化并加以分析，以確定是否在安全系統(tǒng)中引入了危害。任何已識別的危害應書面化，應依據5.5.2和5.3.6予以處理。6監(jiān)測指令設備的功能和設計要求監(jiān)測指令設備的功能和設計應按照GB/T13284.1—2008中第6章給出的要求執(zhí)行。7執(zhí)行裝置的功能和設計要求執(zhí)行裝置的功能和設計應按照GB/T13284.1—2008中第7章給出的要求執(zhí)行。8對動力源的要求動力源應按照GB/T13284.1—2008中第8章給出的要求執(zhí)行。(資料性)危害的識別和控制A.1背景本附錄為GB/T13284.1—2008的4.8以及本文件5.5.2提供支持。不同等級的系統(tǒng)之間，以及跨越冗余序列的相互聯(lián)系和依賴性的增加可能擴大危害分析的范圍。因此，本附錄側重于可編程數字設備的引入及相互聯(lián)系和依賴性增加相關的新問題。本附錄為危害的識別和控制提供指導。有一些技術在行業(yè)內公認用于識別和控制危害的，危害和可操作性分析4(HAZOPS)便是其中之一。經驗表明，使用單一技術是不夠充分的(見A.3.3.3)。為達到示例說明的目的，本附錄著重介紹了故障樹分析(FTA)和失效模式和影響分析(FMEA)技術。本附錄并不擔保任何用于危害分析的方法、技術或工具。FTA和FMEA等類似技術可用來支持電廠系統(tǒng)危害分析。已識別出的危害宜作為適當的V&.V活動的輸入信息(見5.3.4)。A.2危害分析的目的危害分析的目的是識別并控制造成或促成危害的條件。在開展硬件和軟件設計活動時，可能會將危害引入系統(tǒng)。危害可不是設計本身的一部分，但可能由系統(tǒng)設計的外部因素所造成，如有限的資源。由于對硬件危害分析已有廣泛認識(如FMEA和FTA),本附錄側重于開展工程設計活動期間引入的危害，特別是軟件危害。已有的設備鑒定大綱用于解決諸如地震、溫度、相對濕度、輻射和電磁兼容性(EMC)等設計要求相關的危害。因此，設備鑒定證明只要這些環(huán)境應力源維持在已鑒定的限值范圍內，這些環(huán)境應力源便不會引起系統(tǒng)內部的危害。在數字安全系統(tǒng)設計和集成的每個階段均需開展危害分析。危害分析范圍包括安全系統(tǒng)外部邊界，邊界與電廠其他部分(包括非儀控單元)相互接觸和相互作用。本附錄宜用來滿足5.3、5.5、5.6、5.9、5.16中所述危害、故障和失效的分析要求。A.3危害分析實施指導A.3.1原則進行危害分析時考慮下列指導原則。a)宜盡可能避免或消除危害。b)未能避免危害時，宜對危害進行識別和控制。c)宜在整個系統(tǒng)開發(fā)生命周期內進行危害識別。d)在系統(tǒng)運行前，已識別出的所有危害宜得到消除或至少得到控制。e)還宜考慮對先前已開發(fā)系統(tǒng)中的危害進行評價和控制。f)對系統(tǒng)的危害分析計劃、責任和結果宜書面化。所有危害分析文檔均宜在配置控制下進行維護。危害分析過程包含三個基本步驟，各步驟均需要編制用于支持分析目標的文檔。三個基本步驟a)危害識別(見A.3.3);b)危害評價(見A.3.4);c)危害控制(見A.3.5)。危害分析過程(不含過程迭代)見圖A.1。危害分析計劃/危害分析計劃/初步危害分析危害列表危害評價危害評價系統(tǒng)運行和維護過程生命周期階段方法危害控制危害識別圖A.1危害分析過程圖實現(xiàn)圖A.1所示過程需要開展