HAD 10210-2021 核动力厂仪表和控制系统设计.pdf

  • HAD 10210-2021 核动力厂仪表和控制系统设计.pdf为pdf格式
  • 文件大小:1.4 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-12-03
  • 发 布 人: wqh6085061
  • 原始文件下载:
  • 立即下载

  • 文档部分内容预览:
  • 的。图1展示了与这些过程之间的关系与接口,包括:产生人因 工程相关需求的活动;人因工程相关的验证和确认活动的输出; 网络安全技术措施;网络安全需求。 2.2.13.2仪控系统开发应与人因工程活动和网络安全活动 相协调。 2.2.13.3在仪控系统的开发过程中,应考虑人因工程大纲的 需求,包括: (1)运行人员的角色职责以及其他人员需求; (2)人机接口相关的构筑物、系统与部件的安全分级; (3)信息需求,包括确定应对事故和事故后工况所需的显 示与控制集; (4)控制需求,包括控制需求、自动与手动控制功能,以 及将控制分配到合适的位置; (5)由任务分析确定的任务执行过程、时间限制和信息流 需求(任务分析见第8.4.22.3节); (6)基于情境的报警策略,以避免信息泛滥(例如在启堆 阶段和瞬态期间); (7)仪控系统、设备或部件故障告警需求; (8)支持仪控系统和设备可维护性的规定; (9)安全分析中人员可靠性分析所给出的结论。 2.2.13.4人因工程相关的验证和确认活动: (1)应对人因工程相关建议的解决方案,以及人机接口设

    核动力厂仪表和控制系统设计

    计分析中所发现缺陷的解决方案进行验证; (2)应验证仪控系统符合适用的人因工程设计导则: (3)应验证设计提供的仪控系统、其他设备及操纵员辅助 手段是充分的,能够支持运行人员执行分配给他们的任务; (4)应验证人因设计能够使得操纵员对报警信息做出止确 响应,包括允许充足的时间以保证可信的操纵员动作; (5)应使用基于效能的测量方法,以确认在需要仪控系统 起作用的核动力厂所有工况下,运行人员均可以通过该系统执行 功能,包括当部分仪控系统或设备由于维护和试验等目的经授权 处于旁通状态时。 2.2.13.5人因工程需求的设计实现以及人因工程活动的验 证和确认一般作为人因工程的一部分。除与仪控生命周期过程的 接口外,人因工程在本导则中不做详细描述。 2.2.13.6核动力厂的整个仪控系统应执行网络安全大纲中 对其规定的安全措施。 2.2.13.7应结合仪控系统总体结构和每个仪控系统的情况, 对网络安全大纲及时更新。 2.2.13.8仪控系统的开发应在满足网络安全大纲技术、程序 和行政管理要求的开发环境中组织实施,统筹考虑核安全和网络 安全。

    2.3生命周期各阶段的通用活动

    牛奶标准2.3.1 配置管理

    核动力厂仪表和控制系统设计

    2.3.1.1仪控系统生命周期内的配置管理目标包括: (1)识别所有需要纳入配置管理的物项,例如文档、仪控 产品及相关记录; (2)规定配置项的安全存储和检索; (3)识别配置项之间的从属或关系; (4)识别配置项的所有变更; (5)防止对配置项的误修改和未授权修改; (6)保证与设计基准持续的一致性; (7)规定配置基线,即规定每个配置层级的配置项内的相 互兼容且一致的组成配置。建立配置基线的配置项可以包括单独 部件、单个系统或整个仪控系统。配置项的基线需覆盖组成该物 项的所有系统和部件; (8)保证实体核动力)与技术文档的一致性; (9)说明配置项的最新状态(例如审查、批准或确认状态)。 2.3.1.2配置管理应包括分析变更影响、批准变更、确认版 本正确组合、发布设计文件和软件,以及建立和维护时间记录(例 如设计中某个特定点使用了哪一版本的工具)的技未和程序。 2.3.1.3所有仪控物项及其相关文档都应被指明、赋予唯 一 标识,并置于配置管理之下。 2.3.1.4仪控物项包括交付的仪控系统、所有支持该系统的 或该系统运行所需的单独安装的物项、定义所有这些物项的文档 和记录,以及可能影响这些物项质量的软件工具。

    核动力厂仪表和控制系统设计

    2.3.1.5仅控物项通常包: (1)采购物项、复用物项以及新开发物项; (2)软件部件,例如源代码和可执行代码、硬件描述语言、 现场可编程阵列的配置数据,以及核动力厂设备中安装的软件 包括应用软件、操作系统和支持软件,等; (3)硬件部件,以及硬件部件上的可更换元器件: (4)固件; (5)升发文档,例如需求规格书、设计文件、加工图纸及 说明、安装图纸及说明、软件和硬件描述语言,等; (6)设备、部件和关键元器件配置数据和配置文件(例如 安全运行限值、警告与报警限值、整定值和标定常数,等); (7)用于生产、控制、配置、验证或确认仪控部件的实体 工具和软件工具,包括使用这类工具时采用的参数设定。 2.3.1.6应使用配置管理数据验证仪控物项是否正确地组装 并安装在止确的物理和拓扑位置,是否正确安装预定版本的软件 2.3.1.7生命周期过程记录应置于配置管理之下。 2.3.1.8用于生命周期记录的配置管理程序可以与用于仪控 产品的配置管理程序不同。 2.3.1.9置于配置管理之下的生命周期记录包括系统安全分 析所依据的或者影响运行维护阶段安全的所有信息,例如: (1)生命周期活动的计划和程序; (2)安全论证计划;

    核动力厂仪表和控制系统设计

    (3)分析文件; (4)记录安全论证及其支持性证据的媒介或记录,例如用 于质保、验证(包括分析和测试)、确认(包括需求的确认)、 过程评价和监查、真实性、完整性和可追溯性的媒介或记录; (5)验证和确认活动的记录; (6)测试规格书,程序,计划和结果; (7)安全系统整定值及其设定方法: (8)系统集成相关的程序、计划和结果; (9)过程的审查与审核相关的文件; (10)需求可追溯性矩阵; (11)维护和运行程序; (12)设备与备件采购规格书的技术部分; (13)鉴定记录; (14)仪控系统和部件的文档(见第2.3.6.3节),等。 2.3.1.10置于配置管理下的物项标识应包含版本号。 2.3.1.11仪控系统的初始开发阶段,开发过程中的变更以及 运行之后的改造均应采取配置控制。 2.3.1.12配置管理过程应维护每个配置项的相关信息。 2.3.1.13记录的信息包括:物项初次完成时间;不同版本之 间的变化,包括差异报告(如适用);与其他配置项的从属关系; 物项当前的批准状态;创建、审查和批准的责任人。 2.3.1.14仅控设备所安装软件的标识以及配置数据的数值

    核动力厂仪表和控制系统设计

    应可从所在设备上获取。 2.3.1.15获取所安装物项的标识和配置数据数值的能力可 以为设备配置正确性验证提供支持。安装自动检查措施或软件工 具可以辅助该验证。 2.3.2仪控系统的危害分析 2.3.2.1应对仪控总体结构开展危害分析,以识别可能有损 该动力厂设计的纵深防御或多样性策略的情况。 2.3.2.2应对每个安全系统及其物项开展危害分析,识别可 能导致其安全功能性能劣化的情况。 2.3.2.3应考虑的危害包括:核动力厂内部危险和外部危险 该动力厂设备失效以及由硬件失效或软件错误导致的仪控失效 或误动作。由非预期的相互作用所导致的危害也应予以考虑。 2.3.2.4仪控系统的危害分析应考虑核动力厂所有状态及运 行模式,包括不同运行模式之间的转换,劣化状态也应包含在内, 2.3.2.5应在仪控总体设计基准完成之前形成仪控系统危害 分析的初始结论。 2.3.2.6危害分析应在生命周期的每个阶段不断更新,包括 (但不限于)仪控总体结构设计,安全系统需求规格书及其设计 买现、安装和改造。危害分析更新的自的在于识别出可能由特定 的安全仪控系统特性、安全仪控系统与核动力广之间的相互作用 以及安全仪控系统与其他仪控系统(无关其安全分级)之间的相 互作用所引发的危害。

    核动力厂仪表和控制系统设计

    2.3.2.7对于已经识别的可能导致系统功能劣化的危害,应 采取措施消除、避免或缓解其后果。消除、避免或缓解危害后果 的措施,可以是修改仪控系统的需求、设计或实现,或者修改核 动力厂设计等。 2.3.2.8危害分析所选取的方法应适用于被分析的系统和物 项。 2.3.3验证和确认 2.3.3.1仪控系统生命周期的每个阶段均应使用此前阶段输 出的信息,其结果作为此后阶段的输入。 2.3.3.2生命周期每个阶段的结果应依据此前阶段设定的需 求进行验证。 2.3.3.3可使用需求追溯矩阵,书面确认生命周期每个阶段 的需求均被满足,或在需求不满足时采取了适当的行动。 2.3.3.4应对仪控总体、每个仪控系统以及每个仪控部件进 行验证,以证实所有的需求(包括功能需求和非功能需求)均得 以满足,并确定是否存在非预期的行为。应对仪控总体、每个仪 控系统以及每个仪控部件的需求进行确认以证实这些需求得以 正确实现。 2.3.3.5验证和确认应由独立于设计者和开发者的个人、团 队或组织实施。 2.3.3.6验证和确认独立性的建立通常应保证执行验证和确 认的团队、个人或组织符合下列要求:

    核动力厂仪表和控制系统设计

    (1)具备足够的技术能力与知识: (2)能够确定自己的工作范围; (3)不受来自开发者的压力: (4)不受预算缩减或进度约束这些可能阻碍其完成全部审 查的因素的影响; (5)能够无障碍地向管理部门提交发现的问题。 2.3.3.7验证和确认独立性的程度和类型应与相应系统或所 含部件的安全等级相匹配。验证和确认可以在不同的独立性水平 上并行开展(如验证和确认可以由来自原开发组织的独立于开发 者的测试人员进行,同时由另一个独立的组织负责附加的独立验 证和确认)。 2.3.3.8验证和确认活动,包括已识别的异常及其处理,应 形成止式文档。如果在验证和确认阶段发现了异常,那么对由此 导致的设计修改及其实现也应执行与之前相同的验证和确认过 程。 2.3.3.9验证和确认团队、系统集成团队、调试团队,以及 系统设计者和开发者之间的技术沟通应形成文档。 2.3.4概率安全分析结果的使用 2.3.4.1设计必须适当考虑核动力厂所有运行模式和所有状 态(包括停堆工况)下的概率安全分析,特别是: (1)论证整个设计是平衡的,没有任何一个设施或假设始 发事件对于总的风险会有过大的或明显不确定的贡献,且纵深防

    核动力厂仪表和控制系统设计

    御的各层次应尽实际可能独立; (2)确认核动力厂不存在陡边效应; (3)将分析结果和已规定的风险准则进行比较。 2.3.4.2在仪控系统设计中应考虑来自概率安全评价的结果。 2.3.5安全评价 2.3.5.1仪控系统的安全评价应符合确定论分析和概率论分 析相关核安全导则的要求。 2.3.5.2应实施设计分析、验证和确认活动,以证实仪控总 体结构以及每个仪控系统的全部设计基准需求均得以满足。 2.3.5.3第3.2.7节列出了在仪控总体结构和各仪控系统设计 基准需求中需考虑的方面。第3.2.8节列出了在安全系统的设计 基准需求中还需考虑的方面。 2.3.5.4典型的设计分析、验证和确认技术包括: (1)可追溯性分析:可追溯性分析通常用于证实需求的实 现与确认。 (2)故障模式和影响分析:故障模式和影响分析常用于确 认与单一故障准则的符合性,以及确认所有已知故障模式是可以 自呈现或通过计划性试验发现的。 (3)纵深防御和多样性分析:纵深防御和多样性分析是审 查安全系统共因故障薄弱点的手段之一。 (4)可靠性分析:可靠性分析采用统计学方法预测系统或 部件的可靠性。通常采用的可靠性分析技术包括部件计数分析

    核动力厂仪表和控制系统设计

    核动力厂仪表和控制系统设计

    体性限值是适宜的。这个指标包括系统几余通道发生共因故障的 风险,并且适用于从传感器,经过信号处理到输出,一直到被驱 动设备的整个系统。也可以提出更高的可靠性指标,但需要结合 上述所有因素进行专门的论证。 2.3.5.8仪控系统的可靠性目标应是可证实的,并应在合理 的范围内。 2.3.5.9在设计与实现过程中,应对每个仪控系统与核动力 广之间的相互作用进行定期审查以满足相关安全要求。 2.3.5.10当发现与这些要求有冲突时,应适当修正设计和实 现。 2.3.6文档 2.3.6.1 仪控文档 (1)应提供设计过程不同阶段之间,以及设计过程不同参 与方之间的信息沟通的手段; (2)应提供记录,表明需求已正确转化到设计中,并已在 安装的系统中实现; (3)应将运行所需的必要信息和安全设计相关信息传达给 核动力厂运行人员; (4)应为核动力厂及仪控系统的维护,以及未来可能的设 计修改提供基础; (5)应保证贯穿仪控系统生命周期各阶段的可追溯性; (6)应处在配置管理系统的控制之下;

    核动力厂仪表和控制系统设计

    (7)应是清晰、完整、一致、结构完善、可读、对于使用 者(例如领域专家、安全工程师以及软件设计者,等)是可理解 的,并且是可验证和可维护的。 2.3.6.2完善的文档有利于系统的运行、监督、故障排查、 维护、未来改造或升级,以及核动力厂人员和技术支持人员的培 训。 2.3.6.3营运单位应建立或获得仪控系统及部件的相关文档, 全少包含以下内容: (1)设计要求; (2)功能及功能性设计; (3)运行原则; (4)系统在全厂的作用; (5)设计措施,包括安全重要设计措施的识别; (6)竣工状态的设计及配置文档; (7)工状态的系统及其主要部件(包括传感器和驱动器) 的位置; (8)与核动力厂其他系统之间的接口及从属关系; (9)监督、试验、诊断、维护和运行相关的设施及要求; (10)试验程序及结果; (11)设备鉴定; (12)设计和开发过程,以及设计中遵循的质量要求; (13)各个阶段(包括调试)的试验策略;

    核动力厂仪表和控制系统设计

    (14)验证和确认方法的设计、开发以及结果; (15)所有正常运行状态和模式的运行规程: (16)覆盖假设事故工况和设计扩展工况的应急运行规程和 亚重事故管埋指南; (17)对备品备件的建议及采购规格书; (18)网络安全设计特性及其应用。如果设计中假设营运单 位采取了一定的网络安全相关政策和实践,则应与营运单位就此 同题进行沟通。相关内容应通过单独的文档进行描述,该文档的 分发限制相对于其他系统信息应更加严格。 2.3.6.4采购、设计、制造、编程以及验证和确认等活动的 过程及要求文档应可供营运单位、监管机构或代理这些机构职责 的第三方用于评定(见第9.8节)

    2.4生命周期具体活动

    2.4.1 需求规格书 2.4.1.1对于仪控总体、每个仪控系统以及仪控部件的需求 应以适当的形式形成文档。 2.4.1.2各仪控系统的需求的完整组合应满足仪控总体的设 计基准。 2.4.1.3对仪控总体以及每个仪控系统的需求应从仪控设计 基准导出(仪控总体设计基准的导出及内容在第3章讨论)。 2.4.1.4对于仪控系统及部件的需求应规定(如适用): (1)每个仪控系统或部件的作用:

    核动力厂仪表和控制系统设计

    (2)在每种核动力)状态和运行模式下,每个功能的输入 和输出关系; (3)测量、控制功能和显示的最小精度和准确度,最大响 应时间; (4)系统接口(例如系统与操纵员,以及与其他系统之间 的接口); (5)自监督特性,包括其时限特性需求(包括故障检测时 间及修复时间); (6)通过自诊断方式发现故障后仪控系统需采取的动作; (7)网络安全特性(例如有效性检查,专门的网络安全控 制,以及系统在其所处环境下保持网络安全控制和访问权限的特 性); (8)需要达到的可靠性与可用性水平,以及确保该自标能 够达到所必需的支持性需求。可靠性与可用性水平可通过定量或 定性的方式进行定义,例如从上述的支持性要求的角度,可以有 具体可靠性策略的实现要求、开发过程特征的要求或者符合规定 标准的要求等; (9)维护所需设施和措施; (10)设计限制,例如支持独立性或多样性要求的限制; (11)对特定故障模式的安全响应; (12)核动力厂正常工况、事故工况以及可预见的内外部危 险相关的全部运行环境下的鲁棒性。

    核动力厂仪表和控制系统设计

    2.4.1.5在考虑设计限制时,设计限制应是明确规定的、可 论证的、可追溯的。 2.4.1.6数字化系统的网络安全设计需求应考虑网络安全风 险评估的结果并且应与营运单位的网络安全政策特性相一致。 2.4.1.7应建立专门的过程来管理全生命周期的需求,确保 所有的需求被完全满足、验证、确认并实现。 2.4.1.8需求工程是一个专门的过程,用于确保仪控系统的 安全目标通过设计来实现。 2.4.1.9需求的建立和文档化应使用一套与系统的安全重要 生相匹配的预先确定的技术方法。该技术包括使用具有明确定义 的语法及语义的规范语言、建模、分析和审核。 2.4.1.10需求应尽可能地反映需要达成的目标,而非该需求 将如何被设计和实现。 2.4.1.11需求的描述应便于各相关方(例如营运单位、供应 商及设计者)明确理解。 2.4.1.12需求文档应涉及、包括或补充额外信息,例如特定 需求的背景信息、风险考虑、功能或安全措施的设计建议,以确 呆需求被其使用者充分理解。 2.4.1.13尤其是那些对安全有潜在影响的需求,应在需求文 档中明确。 2.4.1.14应规定每个需求的来源和根据,以便于完成验证、 确认及根据更高层次文档的追溯,并证明已考虑所有相关的设计

    核动力厂仪表和控制系统设计

    核动力厂仪表和控制系统设计

    2.4.3.4应证明非安全重要需求的实现不会妨碍安全重要功 能。 2.4.3.5应建立设计规则以确保每个仪控系统的内部逻辑均 适合验证和确认。 2.4.3.6设计中应考虑需要在运行期间可配置、验证和确认 的仪控参数,并应提供实现手段(例如反应堆保护系统的停堆整 定值、标定常数和软件配置设定)。 2.4.4 系统集成 2.4.4.1系统集成的目标: (1)应解决部件之间的所有接口问题,例如硬件与软件之 间或软件模块之间; (2)应确认系统不同部件之间的接口需求得以满足; (3)应确认部件、子组件和子系统在集成后的系统中按设 计运行,以使得系统满足规定的需求,包括超量程值、异常处理 以及时限需求。 2.4.4.2在开始系统集成之前,应保证已验证模块(硬件及 软件)配置的一致性。 2.4.4.3通常使用软件工具对下装到系统部件的软件模块的 发布进行控制,以及对用于系统确认的软件的构建进行控制。软 件工具还可在现场运行阶段使用,便于实施配置控制以及保证已 安装部件与已确认部件之间的可追溯性。 2.4.4.4应采用文档化的可追溯性分析,证明系统集成相对

    核动力厂仪表和控制系统设计

    于系统设计规格书而言是完整,并满足第2.4.4.1节的目标。 2.4.5 系统确认 2.4.5.1对每个仪控系统以及集成的仪控系统都应进行系统 确认。 2.4.5.2通常,系统确认应在系统现场安装完成时结束。如 果在现场安装结束后仍有一些系统确认的活动需要执行,那么这 些工作可以包含在调试试验中,前提是测试结果将包含在确认试 验记录中,而且保证了第2.3.3.6节和第2.3.3.7节中所规定的确 认团队与设计团队之间的独立性。 2.4.5.3用于确认试验的系统对于实际安装到现场的仪控系 统的最终配置应具有代表性。用于系统确认的软件应与用于现场 运行的软件完全相同。 2.4.5.4系统确认应证明该系统在所有可能的接口条件以及 所有可能的负荷条件下均满足各项需求。 2.4.5.5不便在系统确认阶段进行测试的运行模式以及仪控 系统与核动力厂之间的相互作用,应在调试阶段进行测试,或者 通过补充性分析进行确认。 2.4.5.6系统确认应覆盖: (1)系统的所有部分; (2)接口信号的全量程,包括超量程的值。接口信号包括 与其他系统、传感器、驱动器和操纵员接口的输入和输出; (3)异常处理;

    核动力厂仪表和控制系统设计

    (4)整定值的准确度与回差; (5)核动力厂及系统的所有模式,以及不同模式之间的转 换; (6)失电之后的恢复; (7)时限; (8)鲁棒性和故障容错。 2.4.5.7系统的确认测试应包括所有输入的变化,即应采用 动态测试。 2.4.5.8动态测试应使用可以代表核动力厂参数变化的现实 情境,该情境是通过对各种可能的核动力广情境的分析提出的, 会要求仪控系统作出响应。 2.4.5.9功能测试应能够覆盖功能需求所允许的所有行为。 功能测试的覆盖率应根据功能需求论证其合理性。 2.4.5.10确认测试可考虑采用统计技术。也可考虑使用模拟 机进行系统确认。 2.4.5.11在系统确认阶段应尽可能最大程度地对系统运行 维护手册的适当部分进行确认。 2.4.5.12文档化的可追溯性分析应证明系统确认相对于系 统需求规格书是完整的,且满足第2.4.5.4节和第2.4.5.6节的要 求。 2.4.5.13完整的测试文档应足够充分,以确保测试过程是可 重复的,并且确保任一重复的和先前的合规测试都会得到一致和

    核动力厂仪表和控制系统设计

    符合要求的结果。 2.4.6安装、整体仪控系统集成和调试 2.4.6.1仪控系统应按照经批准的设计方案在现场安装。 2.4.6.2设备应进行到货检查,或通过调试试验,验证系统 和部件没有在运输过程中损坏。 2.4.6.3调试应逐步将仪控系统与其他部件及其他核动力厂 物项进行整合,并验证其符合设计假设,满足功能准则和性能准 则。 2.4.6.4核动力厂环境中的测试是调试的一个重要组成部分 2.4.6.5调试应特别注意验证与外部系统之间的接口,证实 接口设备止确执行功能。 2.4.6.6在调试阶段,所有仪控系统均应在尽可能代表在役 实际情况的运行、测试及维护工况下长时间运行。 2.4.6.7应在调试结束之前完成对系统运行手册和维护手册 相应部分的确认。 2.4.6.8在宣布仪控系统可运行之前,应完成了生命周期中 规划的相关活动,建立了从需求到已安装系统的可追溯性,系统 构建和设计文档应是完整的且反映竣工配置。 2.4.7运行与维护 2.4.7.1仪控系统参数的修改应采用适当的手段进行。 2.4.7.2应对仪控系统运行和维护的人员效能进行监测并形 成运行经验记录,从中得到减少人因错误的改进需求。

    核动力厂仪表和控制系统设计

    2.4.7.3在预计在役寿期的各个阶段,应有足够数量(例如基 于仪控系统设计,部件的可靠性,替换部件未来的可获得性以及 供应商的支持)的备品备件支持运行和维护。 2.4.8修改 2.4.8.1仪控系统的升级与修改设计应考虑: (1)在役核动力厂的物理特性所造成的限制; (2)维持替换设备与现有仪控设备设计一致性的潜在需要 列如降低操纵员接口以及核动力厂维护任务的复杂性; (3)可用的商用设备或技术,以及制造厂商或第三方在设 备安装寿期内为此类设备或技术提供稳定支持的前景; (4)对原有设计文档更新的需要。旧日系统的设计文档可能 不完整或不准确,因此对系统的重大改动和替换可能需要一定程 度的“逆同工程”以重新得到原始的设计基准和规格书。 2.4.8.2如果仪控系统需要修改或者部分升级,应提前确定 论证和执行该变更所适用的严格程度。 2.4.8.3修改活动的严格程度取决于受影响系统在确保核动 力安全方面的作用和功能,同时考虑修改之后还需继续运行的 已有系统。这也适用于软件工具的修改。 2.4.8.4仪控系统修改或升级的过程应遵循规定的生命周期, 修改需要的生命周期过程的复杂程度与修改活动本身的复杂程 度和安全重要性有关。 2.4.8.5即使是对于最简单的变更,它的生命周期也至少应

    核动力厂仪表和控制系统设计

    包图2中所示的单个系统生命周期的各个阶段,包括每个仅控 系统修改后的验证和确认。 2.4.8.6新老仪控设备过渡期人机接口的临时配置可能需要 从人因工程的角度进行更加深入的分析,以便适应临时设备或规 程的使用。对于人机接口的改进可能会导致改造后一段时间内运 行人员和维护人员错误的增加。必要时应对培训进行修改。 2.4.8.7如果考虑新老仪控系统的并行运行,应在带来的运 行问题和复杂性上与获得置信度之间进行权衡,并评估风险。 2.4.9从最初开发到修改之间的这段时间中,软件工具的升 级或修改的后果可能是重大的,应对其影响进行评估(例如编译 器的升级可能会使之前对于编译器适宜性的分析或验证结果失 效。

    3.1仪表和控制功能识别

    3.1.1识别和确定仪控系统功能(以及相应的非功能需求, 列如安全特性、网络安全特性和时间限制等)应是核动力厂设计 过程的一部分。 3.1.2分配给仪控系统的功能包括为核动力厂在不同运行工 况以及事故工况下提供相关信息和控制。这些功能的目标是: (1)防止偏离正常运行; (2)检测故障并控制异常运行;

    (3)控制核动力厂设计基准以内的事故; (4)控制设计扩展工况的后果; (5)缓解事故的放射性后果。

    3.2 设计基准的内容

    核动力厂仪表和控制系统设计

    3.2.1仪控系统总体结构以及每个仪控系统均应有文档化的 设计基准。 3.2.2仪控系统总体结构即核动力厂仪控系统的配置架构。 核动力厂仪控系统总体结构下包括多个仪控系统,每个仪控系统 具有特定作用。 3.2.3设计基准确定仪控总体以及每个仪控系统的功能、工 况和具体需求。这些信息用于将功能分类并分配到具有适当安全 分级的系统。 3.2.4在某些情况下,仪控系统的需求需要在核动力厂的设 计和设计基准的开发过程中确定。因此,在项目初期可能无法获 得仪控设计基准的完整内容。 3.2.5仪控设计基准的开发应源自核动力厂安全设计基准。 3.2.6仪控设计基准的开发应考虑但不限于以下信息: (1)核动力厂的纵深防御概念; (2)要提供的安全功能(见第3.2.3节); (3)核动力厂安全重要功能的安全分类、功能以及性能需 求; (4)自动与手动控制之间的优先原则,以及一个以上系统

    核动力厂仪表和控制系统设计

    核动力厂仪表和控制系统设计

    (7)被监测的变量或变量的组合; (8)所需的控制和保护功能,包括对采用自动或手动控制 (或两者兼而有之)动作以及控制位置的规定; (9)每个仪控安全功能所需的量程、变化率、准确度、数 值量化、计算精确度,以及响应时间,等。 3.2.7.2为达到必要的可靠性与可用性水平而提出的所有要 求,例如: (1)安全功能的独立性要求; (2)定期试验、自诊断和维护的要求; (3)定性的或定量的可靠性与可用性自标,可通过概率论 方法、确定论方法或同时使用两种方法来确定; (4)对故障行为的要求。 3.2.7.3为达到必要的网络安全水平而提出的所有要求,例如 (1)设计中需要遵守的网络安全及运行限制; (2)将要实施的网络安全手段。 3.2.7.4保证设备鉴定适当性的要求,例如: (1)设计准则,包括对仪控系统应遵守的标准的规定; (2)可能会使系统在执行其功能时出现性能劣化的核动力 一工况,以及为维持系统必要能力所需采取的措施: (3)系统执行安全重要功能的内外部危险(包括自然现象) 的范围:

    核动力厂仪表和控制系统设计

    核动力厂仪表和控制系统设计

    适当的位置显示并且必须具备支持操纵员操作的性能特点。 3.2.8.4允许执行仪控安全功能旁通的条件。 3.2.8.5保护系统动作后复位所必须满足的条件。 3.2.8.6用于缓解共因故障后果的多样化功能需求。 3.2.9上述各项需求可在仪控总体设计基准或各仪控系统设 计基准中规定。对于某些项目,可在仪控总体设计基准中规定总 的需求,然后在各仪控系统设计基准中规定更加具体的需求。无 论何种情况,仪控总体设计基准与各仪控系统的设计基准应相互 一致,不同的设计基准之间的关系和接口也应便于理解

    核动力厂仪表和控制系统设计

    (2)各集成层级的每个物项的仅控功能分配、行为、限制 条件及其对应的质量要求; (3)可组合性和组合的规则,以保证当前层级的行为组合 可满足其上一层级的行为要求,同时不会弓入其他的行为; (4)各层级内部和层级间设备和部件的互联,以及各种互 联所允许和禁止的交互; (5)对各系统的设计限制条件(包括禁止的交互和行为)。 4.1.3数字化仪控系统之间具有更多互联且更加难以分析(因 比相较于模拟仪控系统更难保证其安全性)。合理设计的仪控系 统结构可以保证纵深防御和多样性的建立,并将这些难以分析的 特性局部化并包络在各系统中,避免由于这些特性使得对于核动 力广安全的保证过于困难。 4.1.4仪控系统的总体结构和各仪控系统的结构应满足核动 力厂要求,包括系统接口要求,以及对例如安全、网络安全、可 验证性、可分析性、时间限制等特性的要求。 4.1.5设计必须体现纵深防御。纵深防御的各层次之间应尽 实际可能地相互独立,避免一个层次防御的失效降低其他层次的 有效性。 4.1.6仪控系统的总体结构不应违背核动力厂设计的纵深防 御概念和多样性策略。 4.1.7仪控系统的总体结构应明确自身的纵深防御概念和多 样性策略。

    核动力厂仪表和控制系统设计

    4.1.8在仪控总体结构设计中,还应确定支持核动力厂纵深 防御和多样性不同层级的仪控系统间的独立性水平。 4.1.9仪控总体结构内的纵深防御通过各条独立的防御线来 实现,二条防御线的失效可以由下一条防御线弥补。

    4.2总体结构设计内容

    4.2.1仪控总体结构 4.2.1.1仪控总体结构应包含满足核动力厂设计基准所需的 所有仪控功能。 4.2.1.2应明确需在所有仪控系统设计中保持一致性的技术 内容,例如,核动力厂运行概念,人机接口设计标准,电缆路径 限制,接地方法以及报警管理原则。 4.2.1.3应明确纳入仪控总体结构的系统,用于: (1)支持核动力厂的纵深防御概念和多样性策略; (2)支持仪控总体的独立性设计基准; (3)在不同安全分级系统和安全分类功能之间进行适当的 隔离。 4.2.1.4应确定仪控系统间的接口和通信万式。 4.2.1.5对于仪控总体结构中的每项安全功能,应建立实现其 可靠性要求的设计策略,包括符合单一故障准则、几余、独立性、 故障安全设计、多样性和可验证性(含可分析性和可测试性)等。 如何实施这些策略以实现可靠性要求见第6章。 4.2.1.6应支持安全组合满足单一故障准则,

    核动力厂仪表和控制系统设计

    4.2.1.7应向主控制室、辅助控制室和其他运行或事故处理需 要获取信息的场所提供必要的信息。 4.2.1.8应为主控制室、辅助控制室和其他运行或事故处理需 要执行控制的场所提供必要的操纵员控制手段。 4.2.1.9应提供必要的自动控制手段,将工艺参数维持和限制 在规定的运行范围内,并限制故障和偏离正常运行的后果,使其 不超过安全系统的能力。 4.2.2仪控平台的特性会影响仪控总体结构设计,同时仪控 总体结构会对仪控平台提出功能和鉴定要求。因此建议将仪控平 台的选择与仪控系统总体结构的设计结合起来考虑。安全系统的 能和鉴定要求通常不同于控制系统的功能和鉴定要求,考虑至 这一点以及多样性的因素,仪控系统总体结构通常包含两个或两 个以上仪控平台。

    4.3 系统结构设计内容

    每个仪控系统的结构设计: (1)应提供所有必要的仪控功能,以满足其在仪控总体结 构设计中承担的任务; (2)适用时,应将系统划分成亢余序列并规定序列间的独 立性程度。通常情况下,安全系统设置有亢余的序列以满足单 故障准则。较低安全等级的系统可能不需要因安全考虑而采用亢 余配置,但也可以采用亢余设计以提高其在正常运行时的可靠性 可靠性实现策略上应有的考虑见第6章;

    核动力厂仪表和控制系统设计

    (3)应规定每个几余序列中所包含的仪控物项; (4)应描述分配给每个仪控物项的功能和其他系统需求; (5)应规定系统内仪控物项间的接口和通信方式: (6)应规定主要物项和数据链的主要设计特性

    4.4.1仪控系统总体结构申的独立性用来防止系统间故障的 专播,在可行的范围内避免同一共因故障源对多个系统产生影响 共因故障源包括内部事件、外部事件、共用支持系统故障等。 4.4.2仪控系统的总体结构既不能损害安全系统序列间的独 立性,也应尽实际可能地不损害核动力不同纵深防御层级间的 独立性。 4.4.3需要完全独立的仪控系统功能应分配给独立的硬件系 统或物项。 4.4.4安全系统应独立于低安全等级的系统。 4.4.5安全系统内的几余序列间应保持充分的独立,以保证 所有安全功能在需要时能够完成。在几余序列间必须进行通信时 (例如用于表决或局部触发),应采取适当措施保证电气隔离、 实体隔离和通信的独立性。用于表决目的的通信能够限制由随机 故障引起的误动作,避免其影响安全。 4.4.6操纵员接口不应同时闭锁一个以上的亢余序列的安全 功能。 4.4.7安全系统的控制站可通过优选功能操作其所属序列之

    核动力厂仪表和控制系统设计

    4.5.1设备的设计必须适当考虑安全重要物项发生共因故障 的可能性,以确定如何应用多样性、多重性、独立性原则来实现 所需的可靠性。 4.5.2产生共因故障的原因包括人因失误、开发和制造过程 中的错误、维护中的错误、软件开发工具的错误、系统或部件间 故障的传播、对于内外部危险不充分的规范说明、鉴定或防护等。 4.5.3仪控系统的总体结构应明确所采用的结构化理念,使 得核动力厂纵深防御层次间尽实际可能地相互独立。 4.5.4为保持核动力厂不同纵深防御层次间的独立性,仪控 系统的设计应防范系统内部或系统间出现共因故障。为实现这

    核动力厂仪表和控制系统设计

    自标,应充分考虑功能在不同系统及系统各部分的分配,系统间 应保持适当水平的独立性,同时应详细说明防范安全系统共因故 障的策略。 4.5.5应评估仪控系统总体结构中共因故障影响一个或多个 基本安全功能的可能性。 4.5.6在评估中对某项已经识别的共因故障不予考虑时,需 要论证其合理性。 4.5.7应分析安全分析范围内要求保护系统执行必要安全功 能的每个假设始发事件叠加妨碍保护系统执行上述功能的共因 故障所产生的后果。 4.5.8纵深防御和多样性分析是实现第4.5.7节所述分析的 种方法。详见第2.3.5.4节。 4.5.9如果第4.5.7节所述分析表明某假设始发事件叠加保 护系统共因故障会导致不可接受的后果,则应修改相关设计。 4.5.10彻底排除仪控系统和结构的所有共因故障薄弱点是 不可能的,但应对所有已经识别的薄弱点是否可接受进行论证。 4.5.11多样性 4.5.11.1多样性是减少共因故障(来源于需求、设计、制造、 维护中的错误)薄弱点的一种手段,同时也是在难以证明仪控总 体或系统能否达到要求的可靠性水平时的一种保守的补偿方法。 4.5.11.2当利用多样性缓解保护系统共因故障的影响时,应 对该多样性措施达到了预期的缓解效果进行论证。

    核动力厂仪表和控制系统设计

    4.5.11.3如果采用多样化的仪控系统,多样化系统和保护系 统不应在规格书、设计、制造或维护方面出现相同的错误。 4.5.11.4概率分析,包括可靠性分析和概率安全评价(PSA) 等,不应将安全重要的仪控物项视为完全独立的(在概率分析中, 完全独立的系统,其失效概率可以直接相乘),除非这些物项具 备多样性并满足本导则中功能独立性、电气隔离、通信独立性、 环境鉴定、抗震鉴定、电磁兼容鉴定、实体隔离和内外部事件防 护方面的要求。

    5仪控功能、系统和部件的安全分级

    5.1应对在不同的核动力厂状态(包括正常运行的不同模式 下实现基本安全功能所需的所有仪控系统功能与设计措施加以 识别。 5.2安全重要仪控系统和部件的识别,以及根据其功能和安 全重要性进行安全分级的相关要求应参考物项安全分级相关导 则。 5.3对于所有仪控系统功能,应根据它们的安全重要性进行 分类。考虑以下三个因素: (1) 未能执行该功能的后果; (2) 需要该功能执行的假设始发事件发生的频率; (3)假设始发事件发生后,需要该功能执行的时刻或持续 时间。

    装饰标准规范范本核动力厂仪表和控制系统设计

    5.4应确定执行安全分类中每个功能的仪控系统和部件并 对其进行分级。分级主要依据其所执行功能的安全分类。 5.5在确定安全分级时,应考虑可采取的替代动作的时效性 和可靠性,以及检测和纠正仪控系统故障的时效性和可靠性。 5.6对执行多个功能的物项,必须按照其执行的最重要功能 划分其安全等级。

    6安全重要仪控系统的通用要

    5.1.1仪控系统应完全满足其设计基准。 6.1.2安全仪控系统的所有特性都应有利于其安全功能。 5.1.3安全仪控系统设计应避免不必要的复杂性,不应由于 复杂性导致其违反其他设计原则(例如独立性、亢余性或多样性) 避免复杂性的目的是使仪控系统在完全满足其安全要求的基础 上,尽可能简单。需要避免的复杂性列举如下:对仪控系统安全 动能或其可靠性没有贡献的功能;采用未经过充分分析或验证的 设计和实现措施;采用过于复杂而难以充分证明其安全性的实现 平台。因此,仪控总体结构应采用简单的交互方式和通信连接。 仔细记录和审查每条需求的合理性是一种避免不必要的复杂性 的有效手段。

    6.2.1安全重要仪控系统必须具有与所执行的安全功能相适

    核动力厂仪表和控制系统设计

    应的高可靠性和定期可试验性。必须在实际可行的范围内采用各 种设计技术,以防止安全功能的丧失。在仪控系统中能够提高功 能可靠性的特性列举如下:随机故障容错能力、设备和系统的独 立性、亢余性、多样性、共因故障容错能力、可试验性(必要时 包括自检能力)、可维护性、故障安全设计和选择高质量设备。 6.2.2 单一故障准则 5.2.2.1必须对核动力厂设计中所包括的每个安全组合都应 用单一故障准则。当把单一故障准则应用于一个安全组合或安全 系统时,必须将误动作视为故障的一种模式。可采用几余、独立 性、可试验性、连续监测、环境鉴定和可维护性等方面的措施来 满足单一故障准则。 6.2.2.2安全系统在下列情况下应完成(导致预计运行事件 或设计基准事故的)某一假设始发事件需要的全部安全功能: (1)在安全系统内存在单一可探测故障,并同时存在可判 别但不可探测的故障(不可探测的故障即不能通过定期试验、报 警、异常指示来揭示的故障); (2)由上述单一故障弓|起的所有故障; (3)导致需要安全系统执行安全功能的假设始发事件的所 有故障和系统误动作,或由上述假设始发事件弓引起的所有故障和 系统误动作。 6.2.2.3在对单一故障准则的符合性分析中,由设计、维护 运行或制造等方面的错误导致的故障不包括在内。此类错误中

    山东标准规范范本核动力厂仪表和控制系统设计

    ....
  • 相关专题: 核动力  

相关下载

常用软件