IEC61513与现有核动力厂仪表和控制系统标准文件关系的分析研究.docx

IEC61513与现有核动力厂仪表和控制系统标准文件关系的分析研究.docx

《IEC61513与现有核动力厂仪表和控制系统标准文件关系的分析研究.docx》由会员分享，可在线阅读，更多相关《IEC61513与现有核动力厂仪表和控制系统标准文件关系的分析研究.docx（26页珍藏版）》请在冰豆网上搜索。

IEC61513与现有核动力厂仪表和控制系统标准文件关系的分析研究

关于IEC61513《核动力厂安全重要的仪表和控制系统

系统总要求》的分析研究

摘要

本报告论述了IEC61513:

2001《核动力厂安全重要的仪表和控制系统系统总要求》与现有核电厂仪表和控制（I&C）系统标准文件之间的关系，介绍了安全重要I&C系统总的安全生存周期和单个系统的生存周期，讨论了I&C功能分类和系统分级、对共因故障的防御以及系统质量鉴定等问题。

引言

当前，由于数字化技术飞速发展，计算机的功能、性能和可靠性等质量特性已达到一个新的高度，它们在核动力厂安全重要I&C系统中得到日益广泛的应用，已开发和应用基于计算机的安全重要I&C系统。

IEC61513:

2001（以下简称本标准）就是在这样背景下制定的一项重要标准。

本标准遵循国际原子能机构（IAEA）关于核动力厂安全规定和导则等文件的指导，采用与基本安全系列标准IEC61508《电气/电子/可编程电子安全有关系统（E/E/PES）的功能安全》和软件工程标准ISO/IEC12207:

1995《信息技术软件生存周期过程》相同的“生存周期”模式，给出了核动力厂安全重要I&C系统的总要求，包括：

●按总的安全生存周期和单个系统的安全生存周期对安全重要的I&C系统进行开发、设计、建造、安装、调试、试运行、运行和维修；

●安全重要I&C功能分类和相应I&C系统分级；

●控制室系统的要求；

●系统隔离和独立性准则；

●单一故障准则；

●抗共因故障（CCF）的要求；

●基于计算机的硬件和软件的要求；

●设备质量鉴定和质量保证的要求；

●可靠性要求。

本标准在确定系统总要求方面有以下特点：

1）采用安全生存周期的模式，包括总的安全生存周期（见第2章）和单个系统安全生存周期；

2）首次区分功能分类与系统分级的概念，详细论述了它们之间的关系，并分别提出功能分类和系统分级的方法（见第3章）；

3）总要求既适用于基于计算机的系统，也适用于硬接线系统，白区分硬接线系统与基于计算机的系统。

1本标准与现有核动力厂I&C系统标准文件的关系

1.1与IAEA系列安全文件之间的关系

1.1.1IAEANo.NS-R-1《核动力厂设计安全规定》（HAF102）

IAEANo.NS-R-1:

2000《核动力厂设计安全规定》（以下简称《规定》）是IAEANo.50-C-D（Rev1）:

1988的修订版，我国已制定对应的核安全法规HAF102。

《规定》“提出了陆上固定式热中子反应堆核动力厂的核安全原则，确定了保证核安全是必需的安全要求。

这些要求适用于核动力厂安全功能及相关的构筑物、系统和部件，……。

”

本标准在《规定》的指导下给出了核动力厂安全重要I&C系统中系统的总要求，在下述等方面完全遵循和符合《规定》的要求：

●安全目标；

●安全分析和评价；

●安全功能及其分级；

●可靠性设计；

●质量保证和设备质量鉴定；

●基于计算机所的系统。

1.1.2IAEANo.NS-G-1.3《核动力厂安全重要的仪表和控制系统》

1.1.2.1概述

IAEANo.NS-G-1.3:

2002《核动力厂安全重要仪表和控制系统》是IAEANo.50-SG-D3/D8:

1984（我国已制定对应的核安全导则HAD102/10和HAD102/14）的修订版（我国正在制定相应的《导则》）。

《导则》主要涉及安全重要I&C系统的设计要求，是对《规定》中有关安全重要I&C系统章节的阐述和补充，其目的是对核动力厂中的安全重要I&C系统的设计提供指导。

这些系统包括从配置给系统的传感器到驱动装置以及操纵员界面和辅助设备的所有I&C系统部件。

1.1.2.2符合性

本标准在安全重要I&C系统的总要求方面遵循并符合《导则》的下述要求：

●设计总则，包括性能要求、可靠性设计、独立性、设备质量鉴定；

●设计过程，采用生存周期的方法设计和开发安全重要I&C系统；

●安全分级，即安全重要I&C系统的分级；

●基于计算机的系统，对安全重要I&C系统的要求适用于基于计算机的系统；

●人机接口（HMI），包括主控室和辅助控制室设计中的人因考虑和HMI。

1.1.2.3差异

1.1.2.3.1设计要求

《导则》的重点是系统的安全设计要求，它详细阐述和全面提出了安全重要I&C系统的设计总则、系统特定设计准则等，其内容深入和广泛；而本标准提出的安全重要I&C系统中的总要求限于对I&C系统的要求，基本上不涉及I&C系统的设计总则和（或）设计准则等内容。

1.2.2.3.2生存周期跨度

《导则》中系统生存周期的跨度长、活动多，从核动力厂和系统的需求分析（例如安全重要I&C系统的确定）开始直到运行后的修改，包括变更控制和配置管理、人因整合、安全系统要求的分析、概率安全评价以及开发前后各类文件的编制等一系列开发活动和支持活动。

而本标准系统总的安全生存周期从核动力厂安全设计基准导出I&C系统要求（即安全重要I&C系统总的需求规格说明）开始直到I&C系统中任一个不能有效使用时结束，其生存周期跨度短于《导则》的描述跨度，包含的活动和文件少于《导则》的规定的活动和文件。

1.2.2.3.3系统分级

《导则》将I&C系统按所执行的功能分为3级：

——安全系统（安全重要的I&C系统）；

——安全有关系统（安全有关I&C系统）；

——非安全I&C系统。

而本标准首先将I&C功能（安全重要I&C系统所执行的功能）分为A、B和C共三类（另外还有无类别的非安全重要功能），然后再按I&C系统所执行安全功能的类别划分为1、2和3共三个级别（另外还有无级别的I&C系统），详见本文第3章。

1.2.2.3.4其他内容

《导则》涉及面广，内容多，包括设计总则中的整定值、试验、安全重要物项的标识，系统特定设计准则中对保护系统的详细描述，HMI中的应急响应设施、控制设施、显示器、事故工况监测、报警系统、历史事故记录系统；而本标准不涉及这些方面的内容。

1.1.3IAEANo.NS-G-1.1《核动力厂基于计算机的安全重要系统软件》

IAEANo.NS-G-1.1《核动力厂基于计算机的安全重要系统软件》首先论述了基于计算机的系统的技术考虑和安全要求以及有关的项目计划，然后描述了从计算机系统的需求、设计到计算机软件的需求、设计和实现，计算机系统的集成、安装和调试直到运行和交付后修改的整个软件生存周期，并规定了周期各阶段的活动、过程和文件编制。

该导则适用于有关核安全法规定义的安全重要系统，主要涉及基于计算机的安全重要系统的软件，包括所有类型的软件。

我国已制定对应IAEANo.NS-G-1.1:

2000的核安全导则HAD102/16《核动力厂基于计算机的安全重要系统软件》，其目的是在核动力厂基于计算机的安全重要系统的软件的生存周期各个阶段，为安全重要系统的软件开发和设计提供指导，以及为安全论证的证据收集和文件编制提供指导。

虽然本标准未直接提及和引用HAD102/16，但其开发安全重要I&C系统的安全生存周期法与它开发安全重要系统软件的方法是一致的和相符的。

同时，HAD102/16关于核动力厂安全重要计算机软件开发和设计的要求与方法，对本标准中基于计算机系统的总要求具有保证和支撑的重要作用。

1.2与IEC关于安全重要I&C系统的标准之间的关系

本标准是安全重要I&C系统的顶层标准，系统的总要求是现行有关核动力厂I&C系统的标准具体要求的概括和结晶，也是它们实施贯彻的经验反馈和总结，而总要求中的每项要求将在这些标准中得到映射，由它们具体体现和详尽描述，并予以扩展、深化和细化。

因此，本标准与它们之间是融洽的，协调的，彼此相互配合，共同构成安全重要I&C系统关于要求的一个完善和有机的整体或体系。

例如，本标准在论述功能分配、HMI和I&C结构设计等方面提出总要求，并直接引用了有关控制室系统的标准。

又如，本标准所论述的系统隔离和独立性，通过引用有关的标准来实现，包括：

●安全重要I&C功能的功能特性、性能特性和独立性的要求以及核动力厂运行原则将在作为整个I&C系统设计项目固有因素的核动力厂安全设计基准中规定；

●通信链路的结构和技术应保证满足系统之间的独立性要求，除实体分隔和电气隔离外，设计宜采取措施以保证通信链路的问题不会损害处理模块。

1.3本标准的地位作用

综上所述，本标准可视为IAEA有关核动力厂安全重要I&C系统的安全文件与IEC相应标准之间的桥梁，具有特殊地位，即通过本标准将它们紧密联系在一起，构成一个更大的有机、协调的网状结构，而本标准是其重要节点。

节点上面是IAEA相关的法规和导则，下面直接相连的是IEC关于核动力厂安全重要I&C系统的基干标准，再下面则是I&C系统的其他一般标准。

见图1。

核动力厂安全重要I&C系统的基干标准如下：

HAF102《核动力厂设计安全规定》（IAEANo.NS-R-1:

2000）

HAD102/XXX

《核动力厂安全重要仪表和控制系统》

（IAEANo.NS-G-1.3:

2002）

HAD102/16《核动力厂基于计算机的

安全重要系统软件》

（IAEANo.NS-G-1.1:

2000）

核动力厂安全重要I&C系统的基干标准

I&C系统的其他一般标准

图1IEC61513与现有核动力厂安全重要I&C系统标准文件的关系

●安全系统准则：

——GB13284－1998《核电厂安全系统准则》；

——GB/T13629－1998《核电厂安全系统中数字计算机的适用准则》；

——GB/T12788－2000《核电厂安全级电力系统准则》；

●功能分类和系统分级：

——GB/T15474－1995《核电厂I&C系统及其供电设备的安全分级》（IEC61226:

1993,NEQ，已有IEC61226:

2005《核动力厂安全重要的I&C系统I&C功能分类》）；

——GB/T15475－1995《核电厂I&C系统及其供电设备质量保证分级》。

●系统隔离和独立性准则：

——GB/T5963－1995《反应堆保护系统内部隔离》（IEC60709:

1981,NEQ，已有IEC60709:

2004《核电厂安全重要的I&C系统隔离》）；

——GB/T13286－2001《核电厂安全级电气设备和电路独立性准则》。

●仪表准则，如GB/T12789.1－1991《反应堆仪表准则》；

●单一故障准则，如GB/T13626-2001《单一故障准则用于核电厂安全级电气系统》；

●抗共因故障（CCF），如EJ/T1058.2—2005《安全系统计算机软件第2部分：

预防软件导致的共因故障（CCF）、软件工具和预开发软件的使用》（IEC60880-2:

2000，MOD）；

●控制室系统：

——GB/T13630－1992《核电厂控制室的设计》（IEC60964:

1989，EQV）；

——GB/T13631－1992《核电厂辅助控制点设计准则》（IEC60965:

1989，EQV）；

●计算机的硬件和软件：

——EJ/T529－1990《用于核电厂安全重要系统数字计算机》（IEC60987:

1989，EQV）；

——EJ/T1058－1998《核电厂安全系统计算机软件》（IEC60880:

1986，EQV）；

——EJ/T1058.2－2005；

——IEC62318:

2004，核动力厂安全重要I&C系统对执行B类和C类功能的基于计算机系统的软件要求；

●设备质量鉴定和质量保证：

——GB/T12727－2002《核电厂安全系统电气设备质量鉴定》（IEC60780:

1998，MOD）；

——GB/T13625－1992《核电厂安全系统电气设备抗震鉴定》。

●通信系统要求：

——EJ/T637-1992《核电厂安全有关通信系统》；

——IEC61500:

1996《核动力厂安全重要的仪表和控制系统多路数据传输的功能要求》。

2总的安全生存周期

2.1概述

生存周期是从产品设计开始到产品不再使用时为止的时间周期。

生存周期通常可划分为几个阶段，例如，软件生存周期的主要阶段是需求分析、设计、实现、测试、安装和验收、运行和维护，有时也包括退役。

生存周期模型是一个框架，它包含跨越产品在整个生存周期每个阶段所需实施的过程、活动和任务。

采用生存周期的开发方法是一个可逐步控制的过程，其本质也是一个逐步逼近的过程。

在该方法中，将产品或系统的开发过程编排为若干不同阶段的有序集合。

每个阶段使用前一阶段开发的结果，并为后续阶段提供输入信息。

当设计向前进行时，前期阶段形成的故障和疏忽变得明显，因此需要在较早的阶段认真对待。

这种方法的基本特征是，每个阶段的输出（开发结果）针对前一阶段的需求进行验证。

在开发的某些阶段，将实施确认以证实所开发产品或系统与所有功能需求和非功能需求的符合性，同时不存在未预期的特性。

2.2I&C系统总的安全生存周期

2.2.1定义和目标

I&C系统总的安全生存周期定义为“从核动力厂安全设计基准导出I&C系统要求开始直到I&C系统中没有一个能有效使用时结束的时间周期，以及周期内出现的、在实现安全重要I&C系统过程中必不可少的活动。

”

I&C系统总的安全生存周期的目标是：

●从核动力厂的安全设计基准（不术语本标准的范围）导出安全重要I&C系统的总要求；

●从I&C系统的总要求导出安全重要I&C系统的结构要求；

●建立I&C结构要求与单个安全重要I&C系统要求之间的关系，并导出单个安全重要I&C系统的要求。

2.2.2主要阶段

I&C系统总的安全生存周期也是一个反复迭代过程，即每个阶段的输出应验证其与以前活动输入的符合性。

只要已采用适当的配置控制以保持开发过程全面的符合性，即使以前阶段的活动尚未完成，下一阶段也可开始。

如果先前阶段已经完成，下一阶段也将完成。

典型的I&C系统总的安全生存周期的阶段如下：

a）核动力厂安全设计基准的审查；

b）安全重要的I&C系统总需求规格说明的制定；

c）整体I&C结构设计和I&C功能对单个系统和设备的分配；

d）总计划的制定；

e）单个I&C系统的实现；

f）系统总的集成和调试；

g）系统总的运行和维修。

2.3阶段描述

2.3.1核动力厂安全设计基准的审查

核动力厂安全设计基准的审查或分析的目的是导出安全重要I&C系统的总需求，并不是再次审查核动力厂安全设计基准。

核动力厂设计的安全目标是通过对核动力厂的放射性危险建立和保持有效的防御来保护个人、社会和环境。

现有核动力厂的技术安全有一个“大概指标”，即出现严重堆芯损坏的概率低于10-4“事件每核动力厂运行年”（通常以“事件/堆·年”表示）甚至低于10-5“事件每核动力厂运行年”。

依据这个安全目标，遵循IAEA有关核动力厂设计的安全法规及其导则规定的“安全原理”，考虑所有相关的“假设始发事件”（PIE）和连续实体屏蔽以使工作人员、公众和环境受到的辐射照射保持在规定的限值内，将导出核动力厂设计基准；另外，还应考虑机械、电气、I&C系统及其供电的设计准则。

按这个方法，核动力厂设计基准为保持核动力厂在正常运行状态、保证对所有PIE的正确响应、以及为方便核动力厂在事故后的长期管理所必需的核动力厂功能和系统，规定一个合适的质量水平。

审查的内容是核动力厂安全重要I&C系统的下列项目：

●功能要求、性能要求和独立性要求；

●功能分类和系统分级；

●来自核动力厂的限制。

2.3.2安全重要I&C系统总需求规格说明的制定

安全重要I&C系统总需求规格说明的制定在上一阶段审查、分析的基础上，按功能、性能、独立性和分类、分级的要求编制安全重要I&C系统总的需求规格说明，包括：

1）功能需求规格说明，规定安全重要I&C系统具有哪些功能，以用于运行和监督核动力厂；

2）性能需求规格说明，规定每个功能的范围、准确度和动态特性；

3）功能类别的规格说明，规定每个安全重要功能的类别。

总的需求规格说明应规定功能之间的任何相关性，所有相关性将对功能分配给I&C系统产生限制。

2.3.3I&C结构设计和I&C功能分配

I&C结构设计和I&C功能分配从I&C系统的总要求（规格说明）导出安全重要I&C系统的结构要求，并说明I&C功能如何分配给单个I&C系统。

本阶段的输入是安全重要I&C系统总的要求规格说明。

I&C结构设计提供其顶层规定，包括核动力厂I&C系统的规定、这些系统之间的接口和通信的规定以及为保证这些系统之间一致的接口所必需工具的规定，即涉及HMI、数据通信、工具以及对CCF的防御等问题。

功能分配过程将确立的安全重要I&C系统的功能按I&C结构分配给单个系统，并对单个I&C系统提出边界、级别、功能特性、可靠性和其他特性等要求。

必要时，单一功能可分解为若干子功能并分配到多个系统。

在本阶段还要进行分析和评定，即可靠性要求的评定和对CCF防御的评定以及人因因素的评定等。

本阶段输出的文档是结构设计说明书和功能分配说明书。

2.3.4总计划的制定

制定总的计划阶段将要求置于总的计划上，以保证分配到I&C系统的安全重要I&C功能的要求将在系统总的生存周期内得到实现和保持。

总的计划将配合并补充单个I&C系统生存周期阶段制定的每个系统计划。

总计划应在它叙述的活动启动前完成制定。

本阶段的输入是安全重要I&C系统总的要求规格说明、结构设计说明书和功能分配说明书。

本阶段的输出文档是5个总计划，包括：

a）总的质量保证大纲；

b）总的保安计划；

c）总的集成和调试计划；

d）总的运行计划；

e）总的维修计划。

2.3.5单个I&C系统的安全生存周期

单个系统的安全生存周期既是总的安全生存周期的一个重要阶段，又是一个单独的生存周期，它们之间的关系见图2。

当总的安全生存周期完成I&C结构设计和功能分配（确定了单个I&C系统），并制定各项总的计划后，将进入单个系统的生存周期。

I&C结构设计和功能分配规定了单个I&C系统以及安全重要功能对它的分配，本阶段规定和建立符合I&C结构技术规格书的单个I&C系统，陈述这种I&C系统的目标和要求。

这些要求直接适用于基于计算机的系统；当然，大多数也适用于常规硬接线系统。

在单个系统生存周期，从每个系统的需求规格说明开始，直到完成每个系统安装时结束。

然后回到总的安全生存周期总的集成和调试阶段。

单个I&C系统安全生存周期的典型阶段如下：

●系统需求规格说明；

●系统技术规格书；

●系统详细设计和实现；

●系统集成；

●系统确认；

●系统安装；

●系统设计的修改（如果有）。

由核动力厂安全设计基准导出安全重要I&C系统的总要求

由总要求制定安全重要的I&C系统总需求规格说明

I&C结构设计

I&C功能分配

总计划的制定

I&C系统1的安全生存周期

I&C系统n的安全生存周期

——系统需求规格说明

——系统技术规格书

——…………

——…………

——…………

——系统详细设计和实现

——系统确认

——系统集成

——…………

——…………

——…………

——系统安装

——系统设计的修改（如果有）

总的集成和调试

总的运行和维修

总的安全生存周期的各个阶段

图2I&C系统总的安全生存周期与单个I&C系统系统安全生存周期之间的关系

2.3.6总的集成和调试

总的集成和调试的目标是在现场集成I&C系统，并试验和调试I&C结构上互连的系统，以保证在核动力厂调试试验期间按预期目标执行所有安全重要的I&C功能。

本阶段的输入是单个I&C系统的安全生存周期的输出（包括系统详细设计说明书、系统集成报告、系统确认报告和系统安装报告）以及总的集成和调试计划、系统安装计划。

本阶段的输出除集成和调试的系统外，还有I&C系统集成的文档，有关总的调试活动的报告，对偏离设计意图的评定和纠正的报告等。

2.3.7总的运行和维修

总的运行和维修是I&C系统总的安全生存周期的第七阶段。

当I&C系统满足运行的条件和要求后，系统可提交营运单位组织运行。

运行和维修的目标和要求是保持安全重要I&C系统的功能，以便核动力厂安全、高效地发电。

本阶段的输入是总的运行计划和总的维修计划。

本阶段输出的文档是按时间顺序保持运行、修理和维修的记录和报告，并按规定的周期评价这些运行记录和报告，以便确定和启动可能必需的任何维修和修改活动。

2.3.8总的设计修改和退役

总的设计修改和退役是I&C系统总的安全生存周期的最后两个阶段。

但本标准未涉及安全重要I&C系统总的设计修改和退役问题。

3功能分类和系统分级

3.1功能分类和系统分级的背景

3.1.1概述

在本标准发布前，无论是IAEA文件还是IEC标准，主要讨论的是安全重要I&C系统的分级，没有明确提出安全重要I&C功能分类（或类别）这个主题。

而本标准第一次区分安全重要I&C功能分类和安全重要I&C系统分级这两个概念，并详细叙述了它们之间的关系以及分类和分级的方法等有关问题。

最近修订发布的IEC61226:

2005已在核动力厂安全重要I&C系统的分级中增加安全重要I&C功能的分类/分级。

对I&C功能和系统的分类/分级，IAEA和各国家组织有不同的方法，见表1。

表1各国家和国际组织对I&C功能和系统安全分级的比较

国家和国际组织

安全分级/分类

IAEA

安全重要系统

非安全重要系统

安全系统

安全相关系统

中国

1E（安全）级

SR（安全有关）级

NS（非安全重要）级

IEC61226

A类

B类

C类

无类别

法国N4

1E

2E

IFC/NC

欧洲用户需求文件

F1A（自动）

F1B（自动和手动）

F2

无级别

英国

1级

2级

无级别

3.1.2IAEA的分级

IAEANS-R-1，即《规定》（HAF102）指出，“必须首先确定属于安全重要物项的所有构筑物、系统和设备，包括I&C系统软件，然后根据其安全功能和安全重要性分级。

它们的设计、建造和维修必须使其质量和可靠性与这种分级相适应。

”

IAEANS-G-1.3，即《导则》，根据《规定》和I&C系统所执行功能的安全重要性，根据确定论方法并辅以概率论方法，给出了分级的具体指导：

1）“安全级I&C系统”（简称安全系统），它们执行《规定》中确定的那些主要安全功能，即它们保证反应堆的安全停堆，或从堆芯排除余热，或限制预计运行事件和设计基准事故的后果；

2）“安全有关I&C系统”（简称安全有关系统），它们执行不由安全级I&C系统执行的其他安全重要功能。

注：

安全级系统和安全有关级系统通称为安全重要系统。

3）非安全重要系统，执行非安全重要功能的系统，包括其他系统。

3.1.3IEC61226的分级/分类

IEC61226:

1993已非等效转化为我国标准GB/T15474-1995《核电厂厂I&C系统及其供电设备安全分级》，并于2005年修订为《核动力厂安全重要仪表和控制系统I&C功能的分类》，该标准遵循《规定》建立的核动力厂系统按其安全重要性分级的思想，采用并扩展《导则》的分级策略，建立了自身分类的准则和方法，即将I&C功能（系统和设备）根据其对安全的重要性分为A类、B