多样性diversity 为执行某一确定功能设置两个或多个独立（或余)的系统或部件，这些不同系统或部件具有不 生，从而减少共因故障（包括共模故障）的可能性。 [来源：HAF102(2016)] 注1：当"多样性”与一个附加属性一起使用时，其通常的含义是“以两种或更多种不同的方式或措施达到一个

GB/T404442021

目标的特性”。这里的属性指采用不同方法的特性，如功能多样性楼梯标准规范范本，设备多样性，信号多样性。 注2：另见“功能多样性”。 3.16 设备equipment 系统的一个或多个部分，是系统的单独可定义（通常可拆卸）的部件或部分。 注1：另见“部件”"I&.C系统”。 注2：设备可包含软件。 注3：术语“设备"“部件”和“模件”常常互换使用。这些术语的关系尚未标准化。 3.17 设备族equipmentfamily 可在一个或多个规定的架构（配置）中协同工作的一组硬件部件和软件部件。 注1：另见“功能特性”应用软件”“应用软件库”。 注2：一个设备族可以是某个制造商的一个产品，也可以是某个供应商集成的一套产品。 注3：电厂特定配置及其应用软件的开发可采用软件工具实现。一个设备族通常提供一系列标准功 库），这些功能块组合起来可生成特定的应用软件。

a）计算的、观测的或者测量的值或条件与实际的、规定的或者理论上正确的值或条件之间的 异。例如在计算结果和正确的结果之间差30m。 b 不正确的步骤、过程或数据定义。例如，在计算机程序中的不正确的指定。 不正确的结果。例如，当正确的结果是10，而计算的结果是12。 d 产生不正确结果的人为动作。例如，在编程或操作的一部分上的不正确动作。 [来源:GB/T11457—2006,2.561

a）硬件设备或部件中的缺陷。例如，短路或断线。 b） 在计算机程序中不正确的步骤、过程或数据定义。注：此定义最初由容错系统使用在通常用 中，术语“差错（error)”和“隐错（bug）”表示同样含义。 [来源:GB/T11457—2006,2.609] 注1：另见图3。

GB/T404442021

注2：故障可能源于随机失效（如由硬件老化降级引起的），也可能是由设计差错引起的系统故障（如软件故网 注3：系统中某个故障（特别是设计故障)可能直到出现某些特定情况使得产生的结果不符合预期功能（也就 一个失效）时才被发现， 3.22 功能多样性 functional diversity 多样性在功能级的应用。 注：如将压力限值和温度限值都作为紧急停堆触发的条件。 3.23 功能确认 functional validation 根据顶层的电厂功能和性能要求对应用功能规格书的正确性进行的验证。它是系统确认（驶 统与功能规格书相符合）的补充。 3.24 功能特性 functionality 规定输入信息转换为输出信息的操作的功能属性 注：应用功能的功能特性通常影响电厂运行。输入可从传感器、操纵员、其他设备或其他软件得到。输出可 动器、操纵员、其他设备或其他软件。 3.25 灾害hazard 有可能伤害电厂人员或损坏部件、设备或构筑物的事件。灾害分为内部灾害和外部灾害。 注1：内部灾害的例子是火灾和水淹。内部灾害也可以是假设始发事件的后果（如LOCA、蒸汽管道破裂）。 注2：外部灾害的例子是地震和雷电。 3.26 人因失误 humanerror 导致非预期结果的人为行动。 3.27 I&C架构I&Carchitecture 电厂安全重要I&.C系统的组织结构。 注1：另见“1&.C系统架构”1&.C系统”。 注2：组织结构主要规定每个系统的主要功能、安全级别和边界，系统之间的互连和独立性，并发动作信号间 级和表决，HMI 注3：本文件中，该术语仅指电厂整个I&.C体系架构的一个子集，即安全重要I&.C部分。电厂整个I&.C体 还包括不分级的系统和设备。 注4：出于简化原因，术语安全重要I&C系统总体架构”简称为“I&C总体架构”。 3.28

注2：故障能源于随机失效（ 是由设计差错引起的系统故障（如软件故障）。 注3：系统中某个故障（特别是设计故障)可能直到出现某些特定情况使得产生的结果不符合预期功能（也就是出

&C功能I&Cfunctio

[&C系统I&Csystem

GB/T404442021

注1：另见“系统”和“I&.C功能” 注2：特定I&C系统中包含的部件在系统边界的技术规格书中定义。 注3：根据I&.C系统典型的功能特性，按自动控制系统、HMI系统、联锁系统和保护系统来区分I&.C系统（参 见B.4）。 注4：本术语用作包括系统所有部件（如内部电源、传感器和其他输人设备、数据总线和其他通信路径、对驱动器的 接口和其他输出设备）的通用术语（见注2）。系统中的不同功能可使用专用资源或共享资源。 3.30 I&C系统架构I&Csystemarchitecture 一个I&.C系统的组织结构。 注：另见“I&.C架构”。 3.31 独立设备independentequipment 兼有下列两个特性的设备： a）执行其所需功能的能力不受其他设备运行或失效的影响； b）执行其功能的能力不受要求它起作用的假设始发事件的后果的影响。 注：设计中实现独立性的措施是电气隔离、功能独立、实体分隔和通信独立。 3.32 中断interrupt 由一个过程的外部事件引起该过程（如计算机程序的执行）的暂停。 3.33 安全重要物项itemsimportanttosafety 属于某一安全组的一部分和（或）其失效或故障可能导致对厂区人员或周围公众的辐射照射的 物项。 安全重要物项包括下述内容： 其失效或故障可能引起厂区人员或周围公众受到过量辐射照射的那些构筑物、系统或部件； 一防止预计运行事件发展为事故工况的那些构筑物、系统或部件； 一用以减轻构筑物、系统或部件失效或故障后果的设施。 [来源：HAF102(2016)] 注1：本定义意图包括核安全的所有方面。 注2：本文件考虑的物项主要是I&.C系统或I&.C功能， 注3：另见“I&.C功能”。 3.34 总的I&C安全生命周期 overall I&Csafetylifecycle 从根据电厂安全设计基准导出I&.C要求开始，直到所有I&.C系统不再有效使用的时间期间内发 生的、为实现I&.C总体架构中的安全重要系统和设备所包含的必要活动。 注1：总的I&.C安全生命周期包括单个系统安全生命周期的要求。 注2：另见“系统安全生命周期”。 3.35 假设始发事件postulatedinitiatingevent 设计期间确定的可能导致预计运行事件或事故工况的事件。 [来源：HAF102(2016)] 3.36 项目组织 project organization 在总的I&.C安全生命周期的各阶段和（或）各个I&.C系统安全生命周期的各阶段，负责规定和执

GB/T404442021

行与安全重要I&C功能、系统和设备有关的管理和技术活动的组织或个人。 注：本术语与“运行组织”形成对照。 3.37 鉴定qualification 确定系统或部件是否适合运行使用的过程。鉴定需要依据I&C系统的规定级别与相应的一套鉴 定要求来实现 注1：鉴定要求根据I&C系统的具体级别和具体应用环境确定。 注2：一般来说，I&.C系统是用一组相互配合的设备实现的。这些设备可以是作为项目的一部分开发的，也可以是 现有设备（即，在先前项目的框架内开发的，或商品级物项）。通常，“I&C系统”的鉴定可分若干个阶段完成： 首先对单个现有设备鉴定（通常在系统实现过程的早期）；第二步对集成的I&C系统鉴定（即，最后设计的实 现）。 注3：I&C系统的鉴定总是一项电厂特定和应用特定的活动。但是，它很大程度上可以依赖于在特定电厂设计的 框架之外进行的鉴定活动（这些鉴定活动称为“通用鉴定”或“预鉴定”）。预鉴定可大大减少电广特定的鉴定 工作，但应证明满足特定应用的鉴定要求。 3.38 质量quality 可感知或可想象的任何事物一组固有特性满足要求的程度。 [来源:GB/T19000—2016,3.6.2] 3.39 质量保证 qualityassurance 为使物项或服务与规定的质量要求相符合并提供足够的置信度所必需的一系列有计划的系统的 活动。 [来源:HAF003(1991)] 3.40 完余redundancy 多重性 除本身外，设置另外一个或多个（相同的或不同的)构筑物、系统或部件，以便其中一个都能执行所 要求的功能，不管任何其他的是处于运行状态还是失效状态。 [来源:GB/T4960.6—2008,4.1.10] 3.41 可靠性reliability 在给定状态下和给定时间间隔内某物项的属性（或系统）完成所要求使命的概率。 [来源:GB/T 7163—2008,3.2] 注：基于计算机的系统的可靠性包括硬件可靠性和软件可靠性，硬件可靠性通常由鉴定确定，软件可靠性通常只能 定性度量，因为目前还没有定量度量软件可靠性的公认方法。 3.42 要求requirement 表达声明符合该文件需要满足的客观可证实的准则，并且不准许存在偏差的条款。 3.43 安全组safetygroup 某一假设始发事件发生时，能完成其要求的安全功能的一组最少量的部件、组件和设备组合。一个 安全组包括一个或多个序列。 [来源:GB/T13284.1—2008,3.19]

行与安全重要I&C功能、系统和设备有关的管理和技术活动的组织或个人。 注：本术语与“运行组织"形成对照。 3.37 鉴定qualification 确定系统或部件是否适合运行使用的过程。鉴定需要依据I&C系统的规定级别与相应的一套鉴 定要求来实现 注1：鉴定要求根据I&C系统的具体级别和具体应用环境确定。 注2：一般来说，I&.C系统是用一组相互配合的设备实现的。这些设备可以是作为项目的一部分开发的，也可以是 现有设备（即，在先前项目的框架内开发的，或商品级物项）。通常，“1&C系统”的鉴定可分若干个阶段完成： 首先对单个现有设备鉴定（通常在系统实现过程的早期）；第二步对集成的I&C系统鉴定（即，最后设计的实 现）。 注3：I&C系统的鉴定总是一项电厂特定和应用特定的活动。但是，它很大程度上可以依赖于在特定电厂设计的 框架之外进行的鉴定活动（这些鉴定活动称为“通用鉴定”或“预鉴定”）。预鉴定可大大减少电特定的鉴定 工作，但应证明满足特定应用的鉴定要求。 3.38 质量quality 可感知或可想象的任何事物一组固有特性满足要求的程度。 [来源:GB/T19000—2016,3.6.2] 3.39 质量保证 qualityassurance 为使物项或服务与规定的质量要求相符合并提供足够的置信度所必需的一系列有计划的系统的 活动。 [来源:HAF003(1991)] 3.40 完余redundancy 多重性 除本身外，设置另外一个或多个（相同的或不同的)构筑物、系统或部件，以便其中一个都能执行所 要求的功能，不管任何其他的是处于运行状态还是失效状态。 [来源：GB/T4960.6—2008,4.1.10] 3.41 可靠性reliability 在给定状态下和给定时间间隔内某物项的属性（或系统）完成所要求使命的概率。 [来源:GB/T 7163—2008,3.2] 注：基于计算机的系统的可靠性包括硬件可靠性和软件可靠性，硬件可靠性通常由鉴定确定，软件可靠性通常只能 定性度量，因为目前还没有定量度量软件可靠性的公认方法。 3.42 要求requirement 表达声明符合该文件需要满足的客观可证实的准则，并且不准许存在偏差的条款。 3.43 安全组safetygroup 某一假设始发事件发生时，能完成其要求的安全功能的一组最少量的部件、组件和设备组合。一个 安全组包括一个或多个序列。 [来源:GB/T 13284.1—2008,3.19]

1&C功能、系统和设备有关的管理和技术活动的 “运行组织”形成对照

安全组safetygrol

GB/T404442021

安全系统safetysystem 安全上重要的系统，用于保证反应堆安全停堆、从堆芯排出余热或限制预计运行事件和事故工况的 后果。 [来源:HAF102(2016)] 3.45 安全防范security 对计算机硬件、软件进行的保护，以防止其受到意外的或蓄意的存取、使用、修改、毁坏或泄密，也涉 及对人体、数据、通信以及计算机安装的物理保护。 3.46 单一故障singlefailure 导致某一系统或部件不能执行其预定安全功能的一种故障，以及由此引起的各种继发故障。 ［来源：HAF102(2016) 3.47 单一故障准则single failurecriteria 要求系统或设备组合在其任何部件发生可信的单一随机故障时仍能执行其正常功能的设计准则 [来源:GB/T 4960.6—2008,4.1.4] 注：如何符合单一故障准则以及如何将其应用于安全组可参考HAF102(2016)的5.4.5。 3.48 软件software 与基于计算机的I&C系统运行相关的程序（有序指令集）、数据、规则和所有相关文档。 3.49 软件可靠性softwarereliability 系统可靠性中与软件失效有关的成分。 3.50 规格书specification 以完整、准确、可验证的方式规定系统或部件的要求、设计、性能或其他特性的文件。通常，该文件 还规定确定这些条款是否得到满足的规程。 3.51 系统system 接按设计相互配合的一组部件，系统的一个单元可以是另一个系统（称为子系统）。 [来源:GB/T 20438.4—2017,3.3.1] 注1：另见“I&.C系统”。 注2：I&C系统不同于核电厂的机械系统和电气系统。 3.52 系统安全生命周期 system safety lifecycle 从概念阶段形成系统需求规格书开始，直到I&C系统不可用为止的期间内出现的、实现安全重要 I&.C系统所包含的必要活动。 注1：系统安全生命周期参照总的I&C安全生命周期活动， 注2：另见“总的1&.C安全生命周期”。

安全系统safetysystem 安全上重要的系统，用于保证反应堆安全停堆、从堆芯排出余热或限制预计运行事件和事故工况的 后果。 [来源:HAF102(2016)] 3.45 安全防范security 对计算机硬件、软件进行的保护，以防止其受到意外的或蓄意的存取、使用、修改、毁坏或泄密，也涉 及对人体、数据、通信以及计算机安装的物理保护。 3.46 单一故障singlefailure 导致某一系统或部件不能执行其预定安全功能的一种故障，以及由此引起的各种继发故障。 ［来源：HAF102(2016) 3.47 单一故障准则single failurecriteria 要求系统或设备组合在其任何部件发生可信的单一随机故障时仍能执行其正常功能的设计准则 [来源:GB/T 4960.6—2008,4.1.4] 注：如何符合单一故障准则以及如何将其应用于安全组可参考HAF102(2016)的5.4.5。 3.48 软件software 与基于计算机的I&C系统运行相关的程序（有序指令集）、数据、规则和所有相关文档。 3.49 软件可靠性softwarereliability 系统可靠性中与软件失效有关的成分。 3.50 规格书specification 以完整、准确、可验证的方式规定系统或部件的要求、设计、性能或其他特性的文件。通常，该文件 还规定确定这些条款是否得到满足的规程。 3.51 系统system 接按设计相互配合的一组部件，系统的一个单元可以是另一个系统（称为子系统）。 [来源:GB/T 20438.4—2017,3.3.1] 注1：另见“I&.C系统”。 注2：I&C系统不同于核电厂的机械系统和电气系统。 3.52 系统安全生命周期 system safety lifecycle 从概念阶段形成系统需求规格书开始，直到I&C系统不可用为止的期间内出现的、实现安全重要 I&C系统所包含的必要活动。 注1：系统安全生命周期参照总的I&C安全生命周期活动。 注2：另见“总的I&.C安全生命周期”。

统软件systemsoftware

为便于计算机系统及其相关程序操作和维护而针对特定计算机系统设计的软件

于计算机系统及其相关程序操作和维护而针对特定计算机系统设计的软件。

GB/T404442021

注1：系统软件通常由操作系统软件和支持软件组成， 注2：操作系统软件：系统运行期间在目标处理器上执行的软件，例如，操作系统、输入/输出驱动程序，异常处理程 序、通信软件、应用软件库、在线诊断程序、允余和性能退化的管理程序。 注3：支持软件：帮助开发、测试或维护其他软件和系统的软件，例如，编译程序、代码生成器、图形编辑器、离线诊断 工具、验证和确认工具等。 注4：另见“应用软件”。 注5：另见图2。 3.54 系统确认 systemvalidation 通过检查和提供其他证据，证实该系统完全满足预期的功能、响应时间、容错、鲁棒性等需求规格书 要求。 3.55 系统性缺陷 systematicfault 确定与某些原因有关的缺陷，仅可由设计修改或由制造过程、运行规程、文件或其他相关因素的修 改才能排除。 ［来源：GB/T20438.4—20173.6.6,有修改 3.56 型式试验typetest(s) 对代表产品的一个或多个物项进行的符合性试验。 [来源：GB/T4960.6—2008,3.4.2] 3.57 验证verification

图2基于计算机的系统中硬件与软件的典型关

GB/T404442021

5总的I&C安全生命周期

3系统失效、随机失效与系统性缺陷之间的关系

本章的目的是规定： 如何从核电厂的安全设计基准（参见A.2和A.3)导出对安全重要I&C系统架构的要求： 如何从这些总要求导出单个安全重要I&C系统的要求。 为保证I&C应满足的所有电厂安全要求得以确定、实现和保持，需要采用系统性的方法。为此，需 要把与I&C的设计、实现和运行相关的活动置于总的I&C安全生命周期的框架内。总的I&.C安全生 命周期又涉及单个I&C系统的安全生命周期（见第6章）。 典型总的I&.C安全生命周期包括下列阶段： a） 电厂安全设计基准的审查（见5.2），包括： 1）功能、性能和独立性要求；

GB/T404442021

2）功能分类； 3）电厂设计框架的限制； b） 安全重要1&.C功能、系统和设备总需求规格书的制定（见5.3）； I&.C总体架构设计和I&.C功能对单个系统和设备的分配（见5.4）； d） 总计划的制定（见5.5）； e） 单个系统的实现（见第6章）； 系统总的集成和调试（见第7章）； g 系统总的运行和维护（见第8章）。 括号内的数字表示本文件叙述相关阶段的章节，而每个阶段的目标、输入、输出和范围见表1。 总的I&.C安全生命周期与单个I&C系统的安全生命周期之间的联系以简化的形式表示 图4中。 总的I&C安全生命周期是一个反复送代过程，对每个阶段的输出应验证其与来自以前活动输 入的符合性。如果已采用适当的配置控制以保证开发过程全面的一致性，即使前一阶段的活 动尚未完成，下一阶段也可开始。 只有先前阶段都已完成，下一阶段才能完成

表1总的I&C安全生命周期

GB/T404442021

表1总的I&C安全生命周期（续）

GB/T404442021

5.2基于电厂安全设计基准的I&C要求

总的I&C安全生命周期与单个I&C系统安全生

本条要求的目的是根据电厂安全设计基准和电厂设计框架导出I&C系统需求规格书的输人要求 和I&C架构设计的输人限制。 HAF102规定了一系列安全原则的设计要求，考虑所有相关的假设始发事件（PIE和连续实体屏 章，以使工作人员、公众和环境受到的辐射照射保持在规定的限值内（参见A.2、A.3和A.4）。按这个方 去，电厂设计基准为所需的功能和系统规定了合适的质量水平，以保持电厂在正常运行状态、保证正确

5.2.2功能、性能和独立性要求

电厂安全设计基准规定了安全重要I&C功能的功能、性能和独立性要求以及电厂运行原则，它是 I&C设计项目的固有因素。人机接口要求将运行原则与人机工程学因素结合起来考虑，以尽可能 由人因造成的失效。 I&C设计过程需要电厂安全设计基准提供下述输人： a）电厂纵深防御概念（参见A.4)和应对PIE事故序列以实现安全目标的功能组（参见A.3）； 注1：在功能可靠性要求很高的情况下，电厂和I&C的需求规格书规定对同一个PIE必须设置不同的防线，例如 两个或多个独立的且功能多样的物理触发准则，以及（合适时)另一个功能多样的、独立的、允余的用于事故控 制的机械系统 注2：纵深防御的梯次配置可包括安全重要功能，也可包括其他功能。本文件的要求仅针对安全重要的那些功能。 b）为满足总的安全要求所必要的电厂安全重要功能的功能和性能要求（参见A.4）； 注3：当需要进行功能确认时（见6.2.4.2），设计基准将提供由安全重要I&.C系统控制的电厂变量的初始条件、允许 限值和允许变化率

GB/T404442021

自动系统和规定的操纵员动作在管理预计运行事件和事故工况中的作用； d） 按GB/T13630一2015的6.3进行任务分析，规定哪些任务宜分配给操纵员，哪些任务宜分配 给机器； e） 为操纵员执行手动操作而显示的变量； 自动与手动动作之间的优先原则，确定优先原则时宜考虑功能类别及操纵员所在房间或位置。

.2.3.1本文件有关功能分类和系统分级的假设

核电厂中的功能、系统和设备是按它们对安全的重要性进行分级的。本文件依据GB/T15474将 I&C功能分类与I&C系统分级分开考虑。 注1：本文件为清晰起见，术语“分类”专用于功能，而“分级”专用于系统。 分类过程将每个I&C功能按其对安全的重要性归为某一类别。 这些类别的特征是针对I&C功能的规格书、设计、实现、验证和确认的若干组要求，以及针对适合 于这些类别的系统的特性、鉴定、应用功能、服务功能以及系统软件功能（如果有的话）的要求。符合性 要求适用于为实现给定类别的功能所必要的整个物项系列，而无论这些物项如何分布于若干互连的 I&C系统。因此，规定I&C系统的不同级别使其适合于实现规定类别的I&C功能是切实可行的。 I&C功能的分类是电厂安全设计基准的一部分，超出本文件的范围。本文件假定电厂安全设计基 准已将安全重要的单个I&C功能指定为A、B或C三个类别之一，并假定与这些类别相关的系统和设 备的主要设计要求符合GB/T15474一2010第7章的要求。 注2：不同实践的功能分类方法可能不同。现有核电厂采用本文件时也可能出现特殊情况（新的分类要求仅对改造 部分有效）。在这种情况下，可能需要进行特定的分析以确定每个系统级别的最低要求。 I&.C系统的分级由I&C项目组织在I&.C功能分配给系统前的I&C架构设计阶段予以规定（见 5.4.2和5.4.3），

I&.C功能分类要求如下。 a）I&.C功能分类应在电厂安全设计基准中提供，并应作为整个I&.C需求规格书的基准输人（见 5.3）。 D I&.C项目组织应对该分类进行审查并验证其完整性和可行性。在不具备可行性的情况下（如 将由于电厂设计无法满足单一故障准则的功能分为最高安全类别），应根据电厂&C功能要 求对I&C功能的定义和分类进行审查。应反复审查功能要求及其分类，直到达到一个可行的 解决方法，

I&.C系统的架构设计（见5.4)受电厂设计框架的限制。 a）I&.C项目组织应确定由电厂布置、与电厂设备的接口以及I&C外部事件所产生的对I&C设 备的限制，它们包括： 1）I&C系统和设备与电厂系统之间的边界，包括与电气和（或）机械驱动系统及与辅助系统 的接口，例如电源和空调系统。 2） 在要求I&C系统运行的正常、异常和事故工况下，瞬态和稳态环境条件的范围。 3）在要求I&C系统运行的正常、异常和事故工况下，驱动和控制电源的瞬态和稳态条件的

GB/T404442021

范围。 4 对安装和电缆布线的限制 5） 诸如控制室和电缆敷设间等汇聚点对安装和电缆布线的特殊限制。 对接地和电源配电的限制 根据电厂灾害假设所应考虑的内部和外部灾害，包括火灾、水、结冰、雷电、过电压、电磁 干扰、地震、爆炸和化学影响。 I&C项目组织应确定由营运单位的运行原则施加于I&C设备的限制，包括： 1）安全防范的限制。 2）运行和维护的限制（见GB/T13630一2015的5.6）。 3）I&.C系统的在役维护的限制， 通常，这将产生用于指导I&C架构细分为不同子系统的附加要求。需要考虑的方面包括： 1 电厂通常细分为不同的系统，这些系统分成不同批次以便于组织施工、安装、启动和试验 活动。I&C系统的细分宜考虑该边界条件 2 在其他子系统保持正常运行的情况下，可以合理安排，选择电厂和I&C子系统进行维护 定期试验和变更活动。 3） 对I&C系统进行细分时，宜分析并考虑运行人员责任分配和责任共担的影响。 宜确定维护和诊断工具与维护工作站的相关要求，包括它们与工程系统接口的要求。这 也包括维护人员人机接口以及与电厂管理系统接口的相关要求。

5.2中所述活动的输出文档是安全重要I&C系统需求规格书。 注1：需求规格书包括从其输人（传感器、操纵员、其他设备）到其输出（送给驱动器、操纵员或其他设备）的整个I&C 功能。这些需求规格书的进一步分解将产生单个I&C系统的子功能的需求规格书。这将取决于I&.C架构 的选择（见5.4)以及如何通过分布的设备（仪表、处理器和驱动器）来实现功能， 每个I&.C功能应建立一个需求规格书，它包括： 1）功能需求，它规定该功能如何将输入信息转换为输出信息，以控制或监督电厂； 2）性能需求，它规定功能的范围、准确度和动态特性； 注2：这包括过去在模拟系统可忽略的对动作及时性的要求。 3）功能类别， 注3：功能分类隐含了为实现功能所需的1&C系统的最低级别要求（见表2）。 b）总需求规格书应规定功能之间的各种相关性，这些相关性将对1&C系统的功能分配产生限 制。包括： 1 触发保护动作的各种监督功能的组合； 2 保证纵深防御的各种功能的组合； 3）构成一个安全组的各种功能的组合 ） 应对所有I&C功能的需求规格书进行验证，以保证需求规格书所规定的功能和限制条件是完 整的、一致的，以便将功能分配给系统并产生这些系统的技术规格书（见6.2）。 注4：在开始准备I&C功能需求规格书时，与该功能相关的传感器或驱动器可能尚未全部确定。因此，需要继续完 善规格书使其包括所有的传感器和驱动器。对原来未考虑到的任何道加的驱动器的控制还需进行评定和适 当的分类。

5.2中所述活动的输出文档是安全重要1&.C系统需求规格书。 注1：需求规格书包括从其输入（传感器、操纵员、其他设备）到其输出（送给驱动器、操纵员或其他设备）的整个I& 功能。这些需求规格书的进一步分解将产生单个I&.C系统的子功能的需求规格书。这将取决于I&.C架构 的选择（见5.4）以及如何通过分布的设备（仪表、处理器和驱动器）来实现功能， a 每个I&.C功能应建立一个需求规格书，它包括： 1）功能需求，它规定该功能如何将输入信息转换为输出信息，以控制或监督电厂； 2）性能需求，它规定功能的范围、准确度和动态特性； 注2：这包括过去在模拟系统可忽略的对动作及时性的要求。 3）功能类别， 注3：功能分类隐含了为实现功能所需的1&.C系统的最低级别要求（见表2)。 b）总需求规格书应规定功能之间的各种相关性，这些相关性将对1&C系统的功能分配产生限 制。包括： 1）角 触发保护动作的各种监督功能的组合； 2） 保证纵深防御的各种功能的组合； 3）构成一个安全组的各种功能的组合 应对所有I&C功能的需求规格书进行验证，以保证需求规格书所规定的功能和限制条件是完 整的、一致的，以便将功能分配给系统并产生这些系统的技术规格书（见6.2）。 注4：在开始准备I&C功能需求规格书时，与该功能相关的传感器或驱动器可能尚未全部确定。因此，需要继续完 善规格书使其包括所有的传感器和驱动器。对原来未考虑到的任何追加的驱动器的控制还需进行评定和适 当的分类，

GB/T404442021

表2I&C系统级别与I&C功能类别之间的关系

5.4I&C总体架构设计和I&C功能分配

本条描述： 5.2.4的限制和5.3的要求如何应用于安全重要1&.C系统总体架构（简称“I&.C架构”）的 设计； I&C功能如何分配给单个I&C系统

5.4.2I&C架构设计

5.4.2.2总的要求

I&.C架构设计总的要求如下。 a）I&C架构设计应包含为实现5.3规定的安全重要I&C功能所需的所有I&C。 b）I&.C架构设计应将整个I&.C分解为不同的系统和设备，以满足下述要求： 1）不同防线中功能的独立性； 2）不同级别系统的充分隔离； 3）满足实体分隔和电气隔离要求，这些要求是由环境和布置限制、灾害分析以及启动活动 试验、维护和运行的限制提出的（见5.2.4）。 I&C架构设计应提供足够的系统和子系统，以便使A类功能在所有允许的电厂和系统配置下 都能满足单一故障准则。 每个I&C系统应按其所实现的I&C功能的最高类别进行分级。 与电厂的接口以及I&C系统之间的互连应规定为架构设计的一部分，以便确定： ? 1）不同安全重要功能所共用的（测量）信号； 2）来自不同系统的驱动信号的表决方式以及它们之间的优先权； 3）不同防线中自动和手动驱动功能所共有的信号路径和设备。 f 在I&C架构设计中对系统、设备及其互连的描述应足够详细，以便能分析I&C的安全问题。

a）I&C架构设计应规划电厂不同控制和监督区域的HMI系统，这些区域包括主控制室、辅助

GB/T404442021

制室、就地控制盘和应急指挥中心，并应满足电厂运行和维护限制（见5.2.4）所要求的允余度 和用户友好性： b）I&.C架构设计应遵循电厂设计基准（见5.2.2）中规定的电厂运行原则，包括： 1）自动信号与手动控制信号之间的优先原则； 2）正常、事故和事故后运行期间不同HMI系统之间的优先原则： 3）正常和后备HMI系统之间的优先原则； 4）正常和后备HMI系统之间切换条件的原则。 c）架构设计应规定，由单个系统的诊断设备所探测的缺陷或故障如何向电厂操纵员通告。通告 的形式应使操纵员能： 1）立即发现故障指示并将其与其他运行指示区分开； 2）决定是否需要采取手动操作将电厂带入安全状态； 3）将有问题的系统通告适当的维护人员。 注1：手动控制操作是指使用控制器和反馈信息显示。不考虑对I&.C设备的直接干预，例如插人模拟针脚或断开 导线。 d） 应证明I&C架构设计符合HMI系统的基本技术选择（如计算机化的或常规的）。如更复杂 的系统提供更好的信息可减少执行命令中由人因导致的失误，则宜用更复杂的系统向电厂操 纵员表达信息。除了考虑人因失误的可能性外，对于基于计算机的信息系统宜同时考虑CCF 的可能性； e）I&C架构设计应： 1）按电厂设计基准的任务分析将功能分配给手动控制或自动控制（见5.2.2)； 2） 确定1&C系统处理信息所需的处理能力，以及完成规定的操纵员人机交互任务的能力 (见GB/T13630—2015的6.3.3)； 3 保证操纵员为执行手动控制操作可用的信息、HMI特性和时间符合电厂设计基准的要求 （见5.2.2）。 f 在电厂主控制室和其他控制区域设计中，应采用基于GB/T13630和GB/T13631的人因技 术以保证HMI的有效性。 注2：相关的操纵员任务（尤其对经常执行的任务，时间要求紧迫的任务或人因失误会增加风险的任务）及其性能要 求是人因分析的起点，这可以使显示与控制适当地集成。 在设计分析中应考虑操纵员的任务及HMI要求的最优化，在此过程中，应同时考虑安全重要 任务和非安全重要的任务

5.4.2.4数据通信

组成I&C架构的系统之间的数据通信包括采用串行数据通信在一个或多个路径上传送一个或多 个信号或信息的所有链路。 通信链路应能满足所有电厂要求工况下的总体性能需求（见5.3）。 b） 通信链路的架构和技术应保证满足系统之间的独立性要求。除满足实体分隔和电气隔离要求 外，设计宜采取措施以保证通信链路的问题不会使处理模块发送不安全的结果。 通信链路应包括检查通信设备运行状态和所传送数据完整性的措施。 d 宜提供余的通信链路以应对失效。 e） 通信链路的设计应满足NB/T20342和NB/T20060的要求使得与低级别系统的数据通信不 能危害高安全类别功能的数据通信和运行，

GB/T404442021

工具的要求如下。 a）I&.C架构设计应包括工具的规定（见NB/T20054一2011第14章和NB/T20055—2011的 5.2.4和6.2.4），这些工具通常以计算机为基础，用于保证在协同工作的1&C系统之间所交换 数据的一致性，并保证数据与电厂数据库的符合性。 注：单个系统特定的工具在系统技术规格书阶段予以规定（见6.2.3.2）。 b）工具宜用于总的安全生命周期的所有阶段，有利于保证安全重要功能的质量和可靠性，例如 支持： 1）与I&C系统之间接口设计有关的所有方面； 2）分布式功能的总的集成和调试。 应分别按照NB/T20054（对1级系统）和NB/T20055（对2级/3级系统）的要求选择工具，并 规定能获得高质量输出的方法

5.4.2.6对CCF的防御

GB/T404442021

从确定论安全角度，如果采用1级和较低级别的I&C系统作为有效应对设计基准事故的不同 的防线，这些I&.C系统应是独立的。如果任一I&.C系统的单一假设故障不会妨碍其他系统 执行预期功能，则这些I&C系统可认为是独立执行安全功能。独立的I&C系统应运行在不 同的信号轨迹。这可以通过多样性（如设备多样性或功能多样性）来保证。 关于执行A类功能系统内的CCF应对措施应满足NB/T20068的要求， 生2：宜进行电厂安全分析层面的活动，以验证应对I&.C失效的设计措施将处于规定的A类、B类或C类功能管理 之下。这不仅是1&C层面，而且是安全分析层面的活动，因此不属于本文件的范围

5.4.3系统功能分配

5.4.4.1 概速述

需要进行分析，以验证I&C系统的架构设计及功能对系统的分配。这样的分析是与设计过程一起 进行的反复迭代过程（见第6章）

5.4.4.2可靠性评定及对CCF防御的评定

有关可靠性评定及对CCF防御的评定，有如下要求

GB/T404442021

a） 宜对安全重要I&.C系统的可靠性进行评价。评价宜包括对公共服务设施（例如，电源和气源 以及采暖、通风设施）的依赖性。 b）在起始阶段，可靠性评价工作可根据不同系统的功能估计所能达到的可靠性来进行，并宜在完 成设计过程后根据单个系统的可靠性评定予以验证（见6.2.4.2.2）。 应对执行A类功能的安全组的CCF弱点进行评价，以评价应对CCF措施的有效性并确定总 体架构潜在的薄弱点。 d 应分析系统的设计文件（见6.4.4），以确定在一个包括A类功能的安全组内支持不同功能的共 用的或相同的硬件部件或软件部件。如果在不同防线中发现共用的或相同的物项，则应证明 CCF可能性足够低，符合该安全组的安全作用， e） 还没有公认的方法可定量评定对CCF的可能性，因此用于估算CCF可能性的方法基本上是 定性的（参见附录C）。宜在设计开始时规定所使用的方法。 注1：上述建议和要求的目的是为了避免在后期因需求变化而要求对系统计划和设计进行修改，在这种变更中引人 的差错是造成CCF的潜在原因。 注2：CCF分析的详细程度可取决于系统所支持的功能类别，并将证明其合理性。 注3：软件所导致的CCF的分析要求在NB/T20054一2011的13.3中给出

5.4.4.3人因评定

架构设计的验证宜包括人因要求的分析以实

本条提出总计划的制定要求，以保证总的I&.C生命周期对所有单个I&C系统的共同要求得到考 患，并保证分布于I&.C系统的安全重要I&C功能要求在系统的整个生命周期内得到实现并保持。 这部分内容应结合6.3要求为单个I&C系统制定计划。 注：对计划的下述要求不排除计划可编制成不同数量的文档。 总计划应在相应的活动启动前予以制定

5.5.2总的质量保证大纲

本文件假定已存在符合HAF003要求的核电厂项目总的质量保证大纲或最好是集成管理系统，并 为核电厂项目的一个组成部分用于控制各项活动。 a）应制定并执行I&C系统的质量保证大纲，该质量保证大纲应针对I&.C安全生命周期有关的 各项活动。 b） 质量保证大纲应包括为达到质量要求所有必要的活动，以及为验证已经达到质量要求所开展 的那些活动。 应在验证计划中规定各项验证活动。验证计划包括总的I&C安全生命周期每个V&V阶段 的资源、过程和输出，并规定： 1）验证活动的程序和工具； 2） 需要保存和验证的记录； 3） 需要验证的安全有关方面； 4） 错误和不符合项的纠正程序； 5）表明每个阶段完成的准则；

GB/T404442021

6）需要产生的最终报告，最终报告应表明每个阶段的输出与输人要求相符合或偏差的解决。 d）核电厂项目总的质量保证大纲应对I&C系统质量保证大纲做出规划，并将其包含在核电厂项 目总的质量保证大纲内，其活动应包括在核电厂项目总的活动计划内

5.5.3总的安全防范计划

5.5.4总的I&C集成和调试

总的I&C集成是I&C系统在现场安装、互连、试验、校准和准备投人使用的所有现场技术活动和 行政管理活动的集合。 总的调试是在电厂投运前为保证所安装的系统和电厂满足服务要求所必要的所有现场技术活动利 行政管理活动的集合。 注 1:总的调试指整个核电厂的调试,它包括所有的电厂系统,不仅仅是 1&C 系统(见 3.7)

GB/T404442021

总的1&C集成和总的调试过程完成单个系统的确认和安装（见6.2.6和6.2.7）。应满足以下要求。 I&.C系统在现场集成后，对分布于系统内的安全重要I&C功能，其总的功能和性能需求规格 书应按所有规定的电厂运行模式予以确认。 b）通过考虑其他阶段的测试范围（如在制造厂或现场完成的集成和功能测试，或对非首建核电厂 的姐妹电厂完成的测试），可以确定应执行的总的集成和调试活动范围。应证明简化总的验证 和确认的合理性并形成文件。 注2：在制造厂完成大部分的集成测试以最大限度减少集成I&.C系统的现场测试是良好实践。宜在项目早期制定 如何将必要的测试分配到不同环境（使用模拟或仿真信号测试、在制造厂的集成测试环境中测试，现场测试） 的测试策略。 通常，这些测试是电厂业主对I&C系统验收工作的一部分。NB/T25040对进行和记录工厂验收 验（FAT），现场验收试验（SAT）和现场集成试验（SIT）提供了实际可行的建议

5.5.4.2总的I&C集成计划

应在核电厂项目总的质量保证大纲的框架内制定总的1&.C系统集成计划。除5.5.2关于质量保证 证的一般要求外，还应包括下述要求。 a）应对互连系统进行试验，以证实： 1）互连系统的所有接口工作正确； 2）故障探测、纠正措施和相关数据的显示按I&C功能的需求规格书正常工作。 b)应按 GB/T17626.1,GB/T17626.2,GB/T 17626.3、GB/T17626.4GB/T 17626.5、GB/T17626.6 的要求进行互连系统的抗扰度试验。 注：抗扰度试验通常需要将测量（如建立类似现场的条件）、试验（如对子系统的）和分析相结合。而且，GB/T17626 系列的其他部分为测量和试验提供了指导。 c）应验证所有设备和电缆屏蔽到接地母线的接地和等电位连接是正确的。 d 应对系统在失去和恢复外电源情况下以及在电源尖峰情况下的响应进行试验，以验证系统在 电源中断和恢复情况下的性能和可用性。 e 应验证I&C系统使用地点的环境条件符合规定。 f 应对系统之间交换的模拟信号和逻辑信号进行测试，以表明向不同的安全重要功能提供的数 值和状态是正确的。在显示、报警、记录和计算功能是在非安全重要的系统中执行时，宜与非 安全重要的系统一起进行这些试验，除非能设计出较简单的方法证明发送给该系统的所有数 据的正确性， g）应对闭环控制功能和逻辑控制功能进行试验，试验范围是从输人直到输出，包括驱动器、操纵 员接口和控制切换（如手动/自动）。 h 试验应证实，在余设备、通信链路、传感器和控制驱动器等失效的情况下，给每个系统提供的 信息是正确的。试验宜确认控制模式切换和时间顺序是正确的。 1 应对数据通信进行试验，以验证数据传输正确、响应时间（从发出命令到收到驱动器状态的正 确指示)是可接受的。试验宜在模拟的正常运行工况、事故工况和最坏工况以及模拟的存在硬 件失效的条件下进行

5.5.4.3总的调试计划

应在电厂系统调试计划框架内制定总的I&C调试计划，以完成I&C系统的确认。下述要求涵 总的电厂调试程序中I&C特定的方面： a）在电厂系统调试期间，应验证和调整所设定的整定值、阈值、参数和仪表校准值，以证实系统

GB/T404442021

功能和性能符合总需求规格书； ）在电厂调试期间，应验证和更新I&C系统的运行和试验规程

功能和性能符合总需求规格书： 在电厂调试期间，应验证和更新

5.5.5总的运行计划

息的运行计划叙还互连的1&C系统的运行。息的运行计划补充单个1&C系统的运行计划（见 7）。 应在质量保证大纲的框架内制定总的1&.C运行计划，除5.5.2关于质量保证和验证的一般要求外， 应包括下述要求。 a）计划应描述： 1）用于互连系统的启动、初始化以及将其保持在完整运行状态的手段： 2）用于验证系统可以有效地执行安全重要功能的手段； 3）为保持安全重要功能要求的可靠性，在电厂运行期间需要执行的例行工作，例如，定期 试验。 b）计划应规定能对系统参数和控制实施修改的条件，并规定这些修改对系统运行的影响以及对 电厂运行和安全的影响。计划还应指出哪些修改是可进行的： 1）在行政控制下的修改； 2）在行政控制下，并在设计者批准后以及通过适当的试验和验证之后的修改 注：修改过程和批准这些修改的授权取决于营运单位和国家的管理规定， c）计划应确定互连系统的运行模式，并规定系统在每种运行模式下是如何运行的，包括： 1）在系统失效或来自系统外部的危害条件下所应采取的动作，以及对系统和电厂运行的 限制； 2）在定期的试验、维护和（或）修改期间对系统和电厂运行的限制； 3）当上述限制可排除时，返回正常运行并证实其返回了正常运行的规程

5.5.6总的维护计划

总的维护计划着重于互连的1&.C系统层面上的维护活动，它补充和协调单个1&.C系统的维护计 划（见6.3.8）。 应在质量保证计划的框架内制定总的I&C维护计划。除5.5.2关于质量保证和验证的一般要求 外，还应包括下述要求。 a 应对单个I&C系统的维护活动设置限制，以保证对电厂安全的任何影响都是可接受的。特别 是在需要时，系统在维护期间应继续满足单一故障准则。计划应确定什么设备可从运行中移 去、移去的后果，以及确定其返回和验证其正确返回到使用状态的手段。 b）受事故环境条件影响的I&.C系统部件应采用系统性的方法进行试验和更换，以减少其CCI 的可能性。该方法宜保证，遭受辐射因而可能加速老化或改变物理特性的系统部件（如电缆、 传感器）、或负载会根据要求而改变（如功率放大器或继电器的切换）的系统部件，在它们执行 安全功能的能力下降到不可接受之前得到更换， 注1：更换时间间隔可由代表性设备的加速老化确定。 注2：老化管理的指导见GB/T29308。 c）如果维护活动涉及配置或校准数据的调整，它们应由文件化的程序加以控制，该程序文件应

如果维护活动涉及配置或校准数据的调整，它们应由文件化的程序加以控制，该程序文件 保证： 1）维护校整处于规定的限制内，（这种限制可能是由系统设计和电厂设计基准施加的，在

水质标准GB/T404442021

种情况下对维护人员不需要正式的限制）； 如果这种调整要在系统正在使用期间进行，则应满足5.5.5的要求； 3）保存所有维护调整的记录。

5. 5.7.1 培训大纲

5.5.7.2用户文档

对用户文档有如下要求： a）应提供I&C系统的用户文档供运行和维护人员使用； b）用户文档宜规定每个操纵员接口设备，并按其复杂性对每个设备的每项功能予以解释和说明； c）培训应使操纵员和维护人员熟悉与他们任务相关的用户文档

5.5.7.3培训系统

除教学活动外，宜使用培训系统进行培训 训模拟机。 操纵员和维护人员的培训应在能完全代表被培训系统和设备特性的培训系统上进行。培训系 统在性能和使用方面的限制应是已知的且形成文件 操纵员培训用的模拟机应提供真实的控制室接口并具有实时模拟电厂行为（包括I&.C系统 的能力。模拟机应能模拟正常和异常的反应堆工况，包括与设备失效和异常的结合。

验货标准I&.C架构设计和功能分配过程的输出文档为I&.C架构中单个系统的需求规格书提供必 （见6.2.2）