GB／T 41142-2021  核电厂安全重要数字仪表和控制系统硬件设计要求

5.2.1硬件功能和性能需求应与安全重要系统的功能和性能要求一致。 5.2.2硬件功能和性能需求，结合软件需求（必要时，涉及所有硬件需求）应进行系统需求的一致性 验证。

5.3可靠性和（或）可用性需求

5.3.1硬件可靠性和（或）可用性需求应与整个系统的可靠性需求一致。需求应包括任何故障类型的 描述，这些故障在没有功能丧失或在已规定的有限功能丧失条件下都是容许的。宜提供硬件可靠性 目标。 注：5.3所述硬件可靠性涉及随机硬件故障，不包括任何逻辑设计错误引发的故障。 5.3.2不管硬件可靠性和（或）可用性指标高低，安全重要仪表和控制系统应符合GB/T13626规定的 单一故障准则。 5.3.3硬件需求宜给出硬件可靠性参数的目标值[诸如平均故障间隔时间（MTBF，对显性和隐性故 障），平均修复时间（MTTR，对显性故障)]。由硬件设计详细分析支持的可靠性描述的需求宜予以说 明，例如，子组、板卡级或部件级分析。

故障树分析（FTA），其中考虑了引起或促使一个确定不期望事件发生的条件和因素的识别和 分析（见GB/T9225关于此技术的建议）； 失效模式和影响分析(FMEA)，其中确定了对系统性能有重大影响后果的故障，例如，可靠性 安全性、可用性（见GB/T9225关于此技术的建议）。 如果使用适合于硬件系统的任何分析技术，应确保任何潜在的硬件故障没有不可接受的核安全

市政常用表格GB/T41142—2021

GB/T41142—2021

有足够的运行经验可提供很高的置信度证明该硬件可靠性目标是可达到之外，这种方法应应用于安全 级系统硬件分析（见NB/T20026）。该技术宜同样用于其他系统，或者，尤其在对硬件可靠性需求不过 于苛刻的情况下，采用定性化论证（例如，部件质量、硬件余度、运行经验、显性硬件故障对隐性硬件故 障的比例等）来证明其有足够的可靠性。

有足够的运行经验可提供很高的置信度证明该硬件可靠性目标是可达到之外，这种方法应应用于安全 级系统硬件分析（见NB/T20026）。该技术宜同样用于其他系统，或者，尤其在对硬件可靠性需求不过 于苛刻的情况下，采用定性化论证（例如，部件质量、硬件穴余度、运行经验、显性硬件故障对隐性硬件故 章的比例等）来证明其有足够的可靠性。 5.3.6应确定保证基于计算机的系统全寿期内可靠性和可用性的策略和规定。这些措施应作为维护 需求形成文档，这些文档应包括防止维护活动引入可能导致共因故障的缺陷的需求。对多重序列系统 的维护活动，通常被认为最有可能引人这些缺陷，因而，系统设计时应使这类活动减少到适当的程度 当需求的维护活动有可能导致共因故障时，则设计需求应详细说明是如何使这类故障的风险最小化的。 5.3.7维护需求宜涉及下述内容（适用任何特殊系统）：

的面求 b）易耗品更换，例如，空气过滤器； c）子系统、模件和（或）部件常规更换的任何需求； d）要求硬件维护活动后进行硬件再确认的程度（如测试）。 5.3.8在需求规格书宜确定“做什么”而不是“怎么做”的原则下，在一个项目的需求规格书阶段详细确 定维护需求可能是不切实际的，因此，这些需求宜在开发过程的后续阶段予以完全确定。

硬件文档要求应作为基于计算机的系统文档要求的一部分处理（见NB/T20026）。形成的文档宜 包括： a） 设计文件（系统硬件部件、接口硬件设计等）； b）操作手册； ）维护手册。

6.1.1新硬件的设计和开发过程应把硬件需求规格书作为输入。设计过程可通过不同设计阶段逐渐 深人，最终生产出满足要求的硬件。 6.1.2总体层面的设计活动可称为“初步的设计”，包括不同设计可选方案的分析，以确定至子系统和 模块一级的硬件系统结构。

GB/T411422021

系统、模块和部件一级的详细设计，使整个硬件设计描述充分完备达到可实施的程度。 6.1.4可搭建硬件模拟件，不仅用于验证硬件模块间的相互作用是否正确，还可用于检查硬件和软件 的兼容性。 6.1.5预开发（例如COTS)部件可用于所有的系统硬件或硬件部件的子组件。6.2～6.7主要是考虑要 求定制硬件开发的情况，但是，适当情况下，6.2～6.7也提供了规定如何用于预开发部件使用的指导。

6.2.1硬件设计应涉及基于硬件性能的系统性能需求，并且通过分析或测试论据以证明硬件设计满足 这些需求。这些需求可包括计算精度、时间响应、环境适应性能力和供电需求（对于现有部件，应进行部 件硬件规格书与系统硬件需求的对照验证，确保现有部件满足规定需求，或者通过测试验证硬件性能）。 6.2.2任何与硬件需求的差异应通过修改设计，或者修改需求来解决（任何修改的影响应进行全面评 估并形成文档）。 6.2.3硬件设计者应确定用于证明满足性能要求的必要测试项。这些测试可以对硬件单独执行，或者 在软硬件集成时执行，即作为系统集成测试阶段的一部分。 6.2.4硬件设计者应规定任何需要的维护活动，以提供设备全运行寿期内能达到性能和可靠性需求的 置信度，可包括运行测试、标定、维修、定期更换和维护程序。宜使此类活动的执行达到这样程度，既为 设备正确运行提供充分置信度，文使对系统的人为干扰和介入系统工作的执行最小化，进而降低这些维 护活动引入的错误的可能性（诸如潜在的共模故障缺陷）。 6.2.5一旦规定了鉴定寿命，则应论证该目标是可实现的并且是可达到的

6.3.1应在硬件需求文档中规定可靠性需求（见5.3）。 6.3.2为支持系统级的安全分析，设计期间应进行硬件潜在故障分析。一且执行一个核安全功能要用 到一个系统的多个序列或多个系统（每个系统可能有单个或多个序列设备），则分析中应包括潜在硬件 共因故障的适当考虑。硬件共因故障的可能途径如下： 一一对设备的多个序列同时或顺序进行维护活动（特别是可能引入隐性硬件故障的活动）； 一定期测试； 一影响一个（或多个）核安全功能的设备的多个序列同时发生隐性随机硬件故障； 一影响多个设备序列的，并且设计过程不能被发现的潜在设计缺陷。 6.3.3可用于分析硬件可靠性和系统硬件故障影响的方法，包括FTA和FMEA（见5.3.4）。 6.3.4硬件设计应使下列对核安全因素的潜在影响最小化： 维护活动； 一随机硬件故障导致的系统故障； 环境条件导致的硬件故障。 6.3.5如果认为针对硬件某一特殊用途而评估出的可靠性是不足的，则应采取补救措施，可通过设计 改进或运行变更的方式进行（诸如提高运行测试频度）。但是，宜谨慎选择增加运行测试的方式，因为任 何引人运行电厂的活动都可能会由于引起或引人缺陷而带来一定程度的风险（即综合衡量之后的运行 测试对安全的最终影响可能是负面的）。理想情况下，所有的测试宜在测试过程中潜在缺陷不会对核安 全造成影响时进行，例如，电站停运期间或被测试设备与运行电厂隔离时。 6.3.6当使用概率安全评价来支持核电厂的安全案例时，所评估的硬件可靠性概率值（例如，采用 FTA)可引人到核电厂的分析中，并有助于全厂可靠性计算的准确性。

6.3.5如果认为针对硬件某一特殊用途而评估出的可靠性是不足的，则应采取补救措施，可通过设计 改进或运行变更的方式进行（诸如提高运行测试频度）。但是，宜谨慎选择增加运行测试的方式，因为任 何引人运行电厂的活动都可能会由于引起或引入缺陷而带来一定程度的风险（即综合衡量之后的运行 测试对安全的最终影响可能是负面的）。理想情况下，所有的测试宜在测试过程中潜在缺陷不会对核安 全造成影响时进行，例如，电站停运期间或被测试设备与运行电厂隔离时， 6.3.6当使用概率安全评价来支持核电厂的安全案例时，所评估的硬件可靠性概率值（例如，采用 FTA)可引人到核电厂的分析中，并有助于全厂可靠性计算的准确性

硬件设计应涉及硬件需求规格书中所包含的任何维护需求。此外，可行时，设计宜包括降低由于维

GB/T41142—2021

户活动所引人的错误风险的措施。例如下列措施： 由于故障可能要求更换的部件应易于接近； 可更换部件应标识清晰，使维护人员易于检查使用了正确的部件； 宜有足够的端接空间； 宜提供足够的专用端子用于标定和（或）测试活动（这样不需要断开接线以便于此类活动）； 硬件设计宜提供标识清晰的结构布置图以减少可能的维护错误

设计成具有满足硬件需求规格书要求程度的可修

基于计算机的系统应设计成满足硬件需求规格书要求程度，对短期电源故障的后果和供电电源 波动[电压和（或频率]是不敏感的。应提供将此类电源波动通知给运行维护人员的系统措施 可能没有分配在硬件中，因此可能超出本文件的范围）。

6.9.5最终描述文档应提供下列信息！

a 设计总体描述； b） 支持设计文件的参考资料； 硬件子系统中分解硬件的描述； d） 每个子系统的主要模块和部件的描述（例如，结构图、电路图）； e）子系统硬件接口描述，接口应就逻辑、物理、电气和其他方面进行适当描述； 基于计算机的系统硬件接口描述，任何与核电厂内部或外部其他系统的接口应明确 的接口和相关硬件需求；

GB/T 411422021

g）物理布置一一宜提供设备物理布置的图文描述； h 鉴定数据（见第8章），包括维持规定鉴定寿命所需求的任何必要行动（诸如部件更换）的规定： 同样宜提供备品备件储存期限的相关鉴定数据； 维护需求； 如何满足硬件可靠性和故障安全性能要求的描述

1.1设计与开发过程应包括正式检查，以证明每个设计和开发阶段所移交的硬件设计满足前 提需求。 1.2硬件验证过程一般认为开始于硬件设计需求与系统设计需求的对比验证，结束于将系统软 到硬件中。对于安全重要系统硬件和（或）软件集成阶段的相关要求见NB/T20054和NB/T20

应编制正式的验证计划来确定验证硬件设计和控制验证过程所采用的方法。在启动验证活动前应 编制计划。计划文件宜包括所使用的人员和（或)组织、组织结构、采用的验证方法、执行验证的等级、进 度和其他验证有关的重要项目活动。 a）验证可与设计过程并行进行（只要充分的配置控制就位），以尽可能早地发现和纠正错误。 b） 设计人员发布设计部件用于验证前，不应开展正式验证活动。一旦用于验证，则应在正式的配 置控制下进行设计和相关文档的维护。 C 用于验证的设计部件发布后，设计变更过程应确保所有对硬件设计的后续变更得以足够的验 证(见7.7)

7.3.1对于安全级硬件设计，验证者宜与硬件设计者在管理上独立，例如，两者可来自同一机构的不同 部门或来自不同机构。对于其他系统，验证者不应是被验证项的设计者，但是，验证人员可以和负责设 计的个体来自同一机构。此外，还包括下列要求： a）技术上应胜任； b）任何验证结巢及设计团队对这些结果的响应应当正式形成文件： c）应按照文件程序进行验证。 7.3.2对于所有安全级硬件的开发，测试人员[不管是否使用自动化测试设备（ATE)]不能是该硬件部 件的设计人员，对于其他硬件开发，当使用ATE验证其硬件的正确性时，上述规定的详细的独立性要

硬件设计验证可采用关键性审查、审计、分析、手动测试或使用ATE测试，或上述方法的组合。验 证方法的选择基础应形成充分详细的文件，使非直接参与设计或验证活动的人员能够进行审计。 a）选择相应的验证方法时，宜考虑下列相关问题： 1）系统的安全分级； 2 在集成的硬件和软件上进行的形成文件的审查和测试的活动将作为系统验证和确认 (V&V)过程的一部分，即在硬件V&V过程中取消这些活动，以免由于重复工作造成资 源的使用率不高；

GB/T 411422021

3）之前对硬件或包含硬件的系统所进行的验证活动（即该设备已经过有效鉴定）； 4）系统设计特点，例如规模、采用的设计原则的成熟度和（或）创新度、故障模式和复杂性； 5）可从其他资源获取的支持数据，诸如从质量保证和环境鉴定过程获取的。 b） 应选用适当的工具和方法来支持子系统和电子部件的测试，以确保测试的充分性。适用时，宜 采用ATE以提高测试的可重复性和充分性。 当需要确认验证或测试过程中所使用的测试仪器的精度时，应对其标定，此时程序应保证只有 标定过的仪器才能使用。 d） 基于软件的测试工具在使用前应予以确认，并应置于配置控制之下。 e 应记录所有正式测试的结果（非正式测试可在设计过程中作为正式测试的一个预测试进行） 应具有正式测试的可审计记录，以充分证明所有测试已被执行且任何测试异常已被成功解决

验证活动的可审计记录应包括验证计划、测试程序、测试结果、设计变更记录和任何硬件验证过程 发现的不符合项文档（结合了说明每一个不符合项是如何消除的记录）。 测试程序应满足以下要求： a）测试程序应书写清晰，为硬件验证提供一步一步的指导，并宜包括测试装置的详细信息； b）测试程序应包括明确的通过和（或）失败判据； C）通过软件执行的测试程序应形成文件，

验证过程中所发现的不符合项应形成正式文件，并交给相关人员予以解决。应以正式文件做出响 应，以提供一个可追溯的途径来确保对所有不符合项都进行了评价，并且任何识别出的设计不足已被修 正或接受。一且接受了设计不足，所有对系统文档的影响应全部论及，

7.7.1所有设计变更应进行设计影响评估，以确定哪些文档要求修改和哪些设计和验证过程需重做。 7.7.2应按照相关的质量控制程序来确定修改部分

立按第10章的要求对系统的正确安装进行验证。

7.10现有设备平台的验证

当准备使用一个现有设备平台时，应评估该平台与预期应用的适合性。评估过程应考虑下列设计 方面。 用于硬件开发的设计过程，即按第6章相关的要求进行评估。 使用经验（一旦实际的硬件可靠性数据能够确认硬件可靠性目标可实现，则可获得预期应用中 该硬件性能的很大置信度）。支持要求的硬件可靠性目标的相关经验数据可用来抵消上述a) 中所发现的开发方法的偏差。 如果上述a)项不能提供足够的信息来证明硬件适合其预期应用，则可进行额外工作来支持评 估，例如，测试、分析、证明材料。

应按照GB/T12727和GB/T36044的要求对核安全应用中的硬件进行鉴定。

9.1.1制造可视为总体安全生命周期的一个阶段（见4.1和4.2）。

GB/T 411422021

当可编程电子设备部件是外部供货范围的一部分时，作为供货商鉴定一部分，宜包括对供货商支持 设备成功鉴定的能力和意愿的评估。 注：具体的产品选型和鉴定准则可参见适当的标准，如NB/T20054、NB/T20026或其相关标准，如IEC62671和 NB/T20300。 9.1.6当设计人员选择外包任何影响产品需求符合性的过程时，应确保对这些过程的控制。在产品质 量管理计划中应明确适用于这些外包过程控制的类型和范围。 9.1.7应制定对外部供货商及分包商的选择、评估，以及复评准则（例如综合信息、诸如业务领域、供货 范围、技术能力和制造能力、质量组织、系统和技术审计、财务状况、市场行为等）。 9.1.8应制定对外部产品的选择，评估及复评准则，这些准则应符合相关标准的要求（例如NB/T20054、 IEC62671和/或NB/T20300）。

2.1应建立、记录和维持从事制造和控 2.2当人员自身的经验、教育背景及培训记录不符合9.2.1中所述的要求时，应提供培训或相关 施以使其获得所需的能力。应对培训和相关措施的有效性进行评估和记录。

建立、记录和维持从事制造和控 当人员自身的经验、教育背景及培训记录不符合9.2.1中所述的要求时，应提供培训或相关其他 其获得所需的能力。应对培训和相关措施的有效性进行评估和记录。

9.2.3应对人员进行培训以使其意识到其从事活动的相关性和重要性，以及如何为实现质量和安全目 标做出贡献。此外，应建立和保存教育背景、培训、技能和经验的适当记录

9.3制造活动的计划和组织

9.3.1作为项目总体计划中的一部分（参见4.3)，在项目开始时应制定制造计划，并且在整个项目过程 中保持更新。 9.3.2应对参与设计和开发的不同小组之间的接口实施管理，以确保有效的沟通，以及对制造过程相 关设备所有方面的职责明确规定和分工。 9.3.3应建立与客户或检查员的有效沟通，以确定制造步骤和相关检查，审计或控制，并为其安排 进度。

9.3.1作为项目总体计划中的一部分（参见4.3)，在项目开始时应制定制造计划，并且在整个项目过程 中保持更新。 9.3.2应对参与设计和开发的不同小组之间的接口实施管理，以确保有效的沟通，以及对制造过程相 关设备所有方面的职责明确规定和分工。 9.3.3应建立与客户或检查员的有效沟通，以确定制造步骤和相关检查，审计或控制，并为其安排 进度。

9.4.1在设计和开发阶段应确定制造的输入，以为采购、生产和质量控制（包括产品接收准则）提供适 当信息。 输人数据应包括如下信息： 制造活动与正式记录的相关过程之间的独立性要求； 一客户对制造过程中针对部件或制造耗材（如焊料）货源变更批准的需求； 客户对制造过程中针对部件或制造耗材（如焊料）替换批准的需求； 一由于核应用的设备导致的任何特定的培训。 9.4.2应在设计过程中规定的、对制造过程产生影响的任何需求，包括适用于产品的任何法律法规需 求，以及物理和技术特性。 注：基于硬件部件执行的功能的安全等级，可考虑采用常用的制造标准。 9.4.3应在启动采购活动和制造活动前对输人文件进行审查。审查应确保产品需求得到规定，且规定 的需求能满足。应记录审查结果。

应基于采购的产品对后续产品实现或最终产品的影响来确定具体的采购需求。需求应包括文件 对实现设备鉴定所需文档的访间

9.5.2商用部件采购过程

9.5.2.1应提供充足证明或其他适用证据，证明所有设备部件，包括电子部件线路板和外壳，满足规定 的需求（如功能、环境适应性、可靠性及寿期）。 9.5.2.2应提供证明，证明所选择的部件符合预期特性。可基于如下要素予以证明： 部件供货商提供的数据（制造后测试的性质和结果、反馈、定期试验结果、审计、专业认可等）； 或通过在连续批次上执行的检查、样本上执行的定期试验结果以及运行结果（如运行时间、部 件失效）获得的自确认的、正式的和记录的反馈； 分析（如电路层级的FMEA），部件层级的运行历史评估，设计质量保证过程与记录，之前的产 品和（或）部件认证或鉴定； 一或从之前型式试验中获得的结果。 9.5.2.3应确定适当的方法以证明采购的部件的质量。质量证明应与部件预期功能的安全等级相称。 对于可编程电子设备，具体的产品选择和鉴定准则见NB/T20054和NB/T20026及其相关标准

GB/T 411422021

如相应的IEC62671或NB/T20300。 注1：相关方法可包括对部件自身或包含此部件的子组件的型式试验。 注2：期望的质量包括在正常和极端环境条件下的物理行为，静态和动态电气行为，以及预期的可靠性

9.5.3仪表和控制设备中的部件采购过程

.3.1应规定和通过合同与供货商确定适用于对供货商和采购产品控制的类型和范围。当所采 包含可编程电子部件时，具体的附加需求应就绪，以确保对依据批准的鉴定和制造记录的硬件和 本进行严格的配置管理和版本控制。供货商应报告所有变更，并提供安全影响评估。 .3.2评价结果及评价所引起的任何必要措施的记录应予以保持。 .3.3采购信息应描述拟采购的产品，适当时包括：

品包含可编程电子部件时，具体的附加需求应就绪，以确保对依据批准的鉴定和制造记录的硬件和软件

技术规格书（如原理图、图纸、控制程序及测试程序）； 批准要求（如过程、程序、产品和设备）； 人员资格评定的要求； 质量管理系统要求

9.5.4采购产品的验证

9.6.1.1作为总体产品生命周期一部分，应参考过程描述规定总体制造活动。

6.1.1作为总体产品生命周期一部分，应参考过程描述规定总体制造活动。 6.1.2应对生产制定计划，并在受控条件下进行生产。适用时，受控条件应包括：

获得描述产品特性的信息； 获得作业指导书； 获得质量指导书； 使用和获得适宜的设备和工具； 部件的完整追踪； 参与每个生产操作的人员和日期的完整记录； 产品放行、交付和交付后活动的实施。

获得描述产品特性的信息； 获得作业指导书； 获得质量指导书； 使用和获得适宜的设备和工具； 部件的完整追踪； 参与每个生产操作的人员和日期的完整记录； 产品放行、交付和交付后活动的实施，

9.6.2生产环境条件的规范和控制

必要时，应规定生产和控制区域的环境条件要求。 必要时，应规定区域接近条件，例如进入权限、遵守的程序和着装。 应制定制造设施的环境条件和接近控制的控制计划（如空气中的粉尘、生成情性气体、湿度或 、水中化学成分的控制、静电放电控制）

6.2.1必要时，应规定生产和控制区域的环境条件要求。 6.2.2必要时，应规定区域接近条件，例如进入权限、遵守的程序和着装。 6.2.3应制定制造设施的环境条件和接近控制的控制计划（如空气中的粉尘、生成惰性气体、湿 度调节、水中化学成分的控制、静电放电控制）

GB/T41142—2021

9.6.3生产过程的确认

显现，应对这样的具体过程进行确认。 9.6.3.2确认应证明这些过程的能力是可靠的，以便实现所计划的和可重复的结果。适用时，应对这些 过程做出如下安排： 一为过程的审查和批准所规定的准则； 设备认可和人员资格评定； 一一特定方法和程序的使用； 一记录和确认的需求； 一对缺陷部件的处理，包括对生产过程造成的可能的后果。 9.6.4制造的仪表和控制设备可接受性与可重复性的评估 9.6.4.1应对生产的设备进行评估和声明以得到客户认可。 9.6.4.2可接受性应基于质量保证管理，总体硬件鉴定过程以及部件、模块或设备成功鉴定的结果（通 常是一类产品的首件）。 9.6.4.3应认为仪表和控制系统设计人员能够通过内部制造和组装，或通过分包制造和组装，复制出与 鉴定过的硬件一致的系列设备。 9.6.4.4对制造的评估宜基于聚焦在对仪表和控制系统制造商的组织机构和制造产品的技术手段的 调查。 9.6.4.5当初始物项鉴定后发生变更，仪表和控制设备设计人员应进行影响分析，并应对结论进行评估 以决定是否应进行新的鉴定或维持之前的鉴定结果不变。

9.6.4制造的仪表和控制设备可接受性与可重复性的评估

9.6.5生产工具、监视和测量设备的控制

9.6.5.1应确定制造产品所需的工具。 9.6.5.2 应确定产品上实施的监视和测量过程，以提供证据证明产品符合其需求。 9.6.5.3 应建立过程，以确保生产、监视和测量能与生产、监视和测量需求相一致的方式实施。 9.6.5.4 必要时，为确保结果有效，工具和测量设备应满足下列要求： 对照测量标准，或用于形成记录的校准或验证所建立的依据，在规定的时间间隔或在使用前进 行校准或验证； 必要时进行调整或再调整； 一具有标识，以确定校准状态； 防止可能使测量结果失效的调整； 在搬运、维护和存储期间防止损坏或失效。 9.6.5.5质量保证过程应确保如果制造的设备因制造过程中的错误造成不符合要求时，采取适当的改 正措施。 9.6.5.6# 校准和验证结果的记录应予以保存。 9.6.5.7当基于软件的设备用于监视和测量活动时，应确认设备满足预期应用的能力。确认应在初次 使用前进行，并在必要时予以重新确认。 注，确认计算机款件品预期应用能力的典型方

9.6.6标识和可追溯性

.6.1在产品实现过程中，采用适合的手段，应对制造的系统和用于制造系统的部件和物料进行 14

GB/T411422021

9.6.6.2在整个生产过程中，应对制造的系统的状态进行监视。 9.6.6.3为了可追溯性目的，应确保系统及其包含部件的唯一性标识，变更的记录应予以保存。 9.6.6.4应针对每个设备和（或）子组件建立标识文档以规定参考模型，包括设备、内部组件、部件和版 本的描述。这些文档通常可包含子组件清单、计划、图纸、图表、数据表、下一层级详细文档的引用文件， 以给出系统和（或）子组件的版本详尽的描述。

为保持符合要求，在内部处理过程中，对系统及其包含的部件进行防护。防护应包括标识，适用时， 应包括搬运、包装、储存和设备验收测试前提供的保护条件

9.6.8.1在对制造活动计划过程中，应确定用于制造、测试和验证活动的工具和其他手段的维护需求。 这些需求应与部件执行的功能的安全等级相称， 9.6.8.2应规定保持制造、验证和测试活动相关的技能的要求。

9.6.9不符合项处理和控制

9.6.9.1应根据质量保证天纳（见4,3.4)，识别和记录在环境质量鉴定试验、验证活动或制造过程中发 现的不符合项。 9.6.9.2纠正和处理应以外部机构易审计的方式进行识别和记录。相关记录应指明变更的实质，包括 影响分析、相关论证和批准。 9.6.9.3应确保对生产线的控制，以检查修改是否被正确地考虑，以及控制和测试程序已予以正确地修 改（制造、标识和验收测试）

10.1包装、搬运、运输、储存和开箱应避免系统的损坏。 10.2在系统开箱和安装前，应验证系统所安装的环境满足5.4所给出的硬件环境需求。 10.3应具备足够的程序和信息，能按照设计要求（例如，接地要求）对系统进行安装、敷设电缆和接线， 设备物项标识应是信息的一部分。为此应有专用质量计划。系统应按照确定的程序进行安装、敷设电 缆、测试和投运。 10.4适当的现场系统工作应按NB/T20026规定的已计划的和已规定的调试测试的要求进行检查。 10.5试验应按照相关标准进行[如GB/T17626（所有部分）和GB/T17799（所有部分）]。 10.6电磁干扰试验的严醋等级应按相当或高于系统投运时所处的最差的预期情况的方法进行选择。 10.7对于安全重要系统宜进行场外的抗电磁干扰型式试验。对于安全级系统，如果可行和有效，也宜 进行现场试验。对于其他系统此类型式试验一般仅考虑能提供充分的正确运行保证。 10.8当完成安装和调试，并且确认已满足了所有验收准则时（或特许），系统的所有权可移交给用户， 见NB/T20026的内容。

GB/T 411422021

进行（即再确认）； 使硬件保持良好运行状态所需要的维护，例如，耗材更换，或设备、子单元、部件或元件的预防 性更换或大修； 维修，即恢复故障设备、子单元和元件的可操性

11.2.1应制定一个（或多个）正

11.3.1.设备运行期间获取的故障数据是用来提高下列水平的主要信息来源： 部件可靠性数据知识（通过考虑实际的运行环境条件）； 设备可靠性评价（通过确定实际的现场错误故障和探查在运行条件下的可用性）； 一维护策略（通过更好的备品备件优化、更好的预防维护计划和更好的维护人员培训要求）。 11.3.2相应的现场故障数据（来自维护报告中的可用信息）宜在故障数据库中记录。 11.3.3维护报告应包括（相关的和已知的）：

故障部件所处系统的标识； 故障场景和故障影响； 故障部件标识； 部件在系统中的位置； 引起故障的原因描述； 故障引人日期； 故障部件的寿命； 起草报告的人员身份； 诊断该故障的人员身份。 11.3.4应对安全重要系统的故障数据进行周期性检查，以确保部件故障的频度维持在可接受的限

内。宜对任何数据统计表明的有显著的恶化趋势进行实际程度推断，以确保该设备继续满意地运行，直 到对该设备故障数据的下一次评估时，或是该设备可能被更换时（这单所指为最短周期）。

11.4.1应以程序、手册、指南等的书面或电子形式提供维护指导。 11.4.2维护文件应描述在役设备硬件维护策略，包括要求定期检查、再标定或更换的硬件部件标识。 11.4.3维护文件应描述任何宜用于探测特定模块故障的相关诊断过程。 11.4.4文档应描述维修策路，即：

11.4.1应以程序、手册、指南等的书面或电子形式提供维护指导。

2.2应按NB/T20026一2014中6.4.7的规定控制硬件设计过程中的变更。 2.3当硬件设计变更的影响超出某一独立设计阶段时（即不包括在设计过程设计者所做出的任何变 更）应由一个形成文件的程序对变更加以控制。这类设计变更程序宜考虑对系统设计其他方面的任何 替在影响污水标准规范范本，诸如其他硬件部件和软件。 2.4设计变更程序应确保所有硬件变更对硬件和系统的验证、确认和鉴定过程的影响是确定的，并确 保执行任何要求的返工。

GB/T411422021

附录A （资料性） 本文件与IEC60987:2007相比的结构变化

附录A （资料性） 本文件与IEC60987:2007相比的结构变化

本文件与IEC60987:2007相比在结构上有较多调整，具体章条编号对照情况见表A.1

轨道交通标准规范范本本文件与IEC60987:2007的章条编号对照情

GB/T411422021