ICS27.120.20F83中華人民共和國國家標準GB/T13629-1998核電廠安全系統中數字計算機的適用準則Applicablecriteriafordigitalcomputersinsafetysystemsofnuclearpowerplants1998-11-17發布1999-07-01實施國家質量技術監督局發布

GB/T13629—1998二前言IEEE前言范康2引用標準定義4安全系統設計基準安全系統準則……6監測指令設備的功能和設計要求7執行裝置的功能和設計要求………對動力源的要求·………附錄A(提示的附錄）本標準與GB13284一19981的相互關系附錄B(提示的附錄）多樣性需求的確定………………附錄C(提示的附錄）抗電磁干擾能力…………附錄D(提示的附錄）現有商品級計算機的質量鑒定·附錄E(提示的附錄）驗證與確認·………附錄F(提示的附錄）異常狀態和事件的鑒別和解決附錄G（提示的附錄）通信獨立性·…附錄H(提示的附錄）計算機可靠性·附錄I(提示的附錄）核電廠用計算機軟件的質量保證要求附錄J(提示的附錄）本標準附錄中引用的標準

GB/T13629—1998前本標準等效采用IEEEStd7-4.3.2-1993“CriteriaforDigitalComputersinSafetySystemsofNuclearpowerGeneratingStations”,技術內容等同，編寫方法和格式符合GB/T1.1一1993的要求。與IEE7-4.3.2相比，本標準的基本結構和內容未變，只是將IEEE7-4.3.2中引用標準改為相應的我國標準，將ASMENQA-2a一1990part2.7增加作為本標準附錄I,將附錄中引用的有關標準目錄增加作為本標準的附錄』。本標準與下列標準結合使用，能對核電廠數字化儀表和控制系統提供指導：·GB13284-1998(eqvIEEE603一1991）核電廠安全系統準則·EJ/T529-1990(eavIEC987一1989）用于核電廠安全重要系統數字計算機·EJ/T694—1992(eqvIEEE730—1989）核工業計算機軟件質量保證規范·EJ/T743一1993(qvIEEE828一1990）核工業計算機軟件配置管理計劃編制指南·EJ/T890—1994(eavIAEA282號技術報皆）核電廠安全有關計算機軟件質量保證細則·EJ/T1058—1998(eqvIEC880一1986）核電廠安全系統計算機軟件·EJ/T1060-1998(qvIEC643一—1979)數數字計算機在核電廠儀表和控制中的應用本標準的附錄A～附錄了都是提示的附錄。本標準由全國核儀器儀表標準化技術委員會提出并歸口本標準起草單位：國家科委核安全中心。本標準主要起草人：耿文行、王忠秋.

CB/T13629-1998IEEE前言本前吉不是IEEEStd7-4.3.2-1993"CriteriaforDigitalComputersinSafetySystemsofNuclearPowerGeneratingStations”的組成部分，本標準規定了計算機的附加特定要求(包括硬件、軟件、固件和接口）以補充IEEE603—1991的準則和要求。當計算機用作安全系統的設備時,本標準應與IEEE603—1991一起使用以保證安全系統設計的完整性。本標準所述的計算機特定要求只適用于作為安全系統設備的計算機，不一定適用于整個核電廠運行所需的所有計算機。本標準5.5和5.6要求對安全系統中的計算機進行保護，以免受非安全計算機故障的影響,對非安全計算機沒有特殊的安全要求。但是.許多原則適用于核電廠的其他重要系統，這些原則同IEEE603—1991規定的原則是一致的。本標準對計算機在安全系統級的應用規定了設計要求。本標準的附錄提供了在設計技術和方法方面的詳細信息，以滿足各種準則和要求。本標準考慮了計算機系統持續不斷的發展過程，因此不應把本標準提供的信息視為唯一的解決辦法。只要滿足IEEE603一1991與本標準的準則和要求,就希望使用數字技術方面的新成果。例如，雖然本標準并未特別涉及到人工智能系統和第四代語言但并不排除它們的應用本標準不適用于安全系統設計過程中使用的工程軟件,對這類軟件應參考ASMENQA-2a—1990第2.7部分(以下簡稱為第2.7部分)。演變本標準由ANSI/IEEE-ANS-7-4.3.2-1982*ApplicationCriteriaforProgrammableDigitalComputersystemsinSafetySystemsofNuelearPowerGeneratingStations"演變而來的，它體現了TEEE/ANSI聯合工作組為支持核電廠安全系統中計算機的規格書、設計和實施所作出的持續不斷的努力。ANSI/IEEE-ANS-7.4.3.2—1982詳細討論了對硬件和軟件進行集成的研制過程。其中主要討論了第2.7部分中詳述的活動，參考第2.7部分提出具體的軟件研制要求。為了研制出可靠的、高質量的軟件并盡量減少設計差錯，應對軟件研制規定質量要求。應明確指出，本標準并不提供關于計算機安裝后運行和維修的要求(例如監督試驗頻度),發現任何間題應分別按相應的硬件和軟件標準ASMENQA-1一1989和ASMENQA-2a～1990第2.7部分中的適當要求來處理與其他標準的關系本標準編制過程中采用了IEEE標準和其他標準。在本標準及其支持性附錄中注明了這些標準本標準引用了第2.7部分(除第7章和10.2以外）以提出質量準則的某些見解。這樣做的依據有：a）第2.7部分的第3章和第4章清楚地指出在整個軟件研制過程中應進行驗證和確認（V&V)。第7章說明了在軟件研制過程中進行驗證審查的要求，這可以解釋為對第3章和第4章所述要求的附加要求。因此工作組認為，這可以解釋為第3章和第4章所述的V&V不足以符合ASMENQA-1一1989的設計驗證要求。在第2.7部分的表決過程中,IEEENPEC(核動力工程委員會)注意到V&V在多章中作了討論，建議合并V&V的要求;b）在討論商品級物項適用性確認的過程中，工作組認為第2.7部分的10.2節規定的過程能處理

GB/T13629-1998商品級軟件的適用性確認。但由于這節有可能被申請者不正確地使用.因此目前正在修訂之中。據此工作組認為，贊同這一節是不合適的。非預期的功能第2.7部分第4章使用了定義"非預期功能”，該定義可解釋為：。）無用的駐留功能設計過程應處理任何無用的駐留功能，見5.6。在某些情況下，例如對于操作系統和編譯程序，當可能不知道總的數量時，V&V過程對于處理無用的駐留功能是不適宜的。b）對外部或內部條件的不可預測響應在設計過程中應對外部或內部條件的不可預測響應進行鑒別并形成文件，并采取適當措施加以解決。然后，應通過V&V過程來確認對這些條件作出的適當響應。c）由于設計或實施錯誤產生的缺陷需要由V&V過程來處理由于設計或實施錯誤引起的缺陷。d）未從軟件中消除的研制輔助手段應作出有文件依據的判斷，以便說明是否將研制輔助手段保留在軟件中。如果決定將研制輔助手段保留在軟件中,則可以使它們運行或不運行。無論何種情況，如果決定將研制輔助手段保留在軟件中，則要求進行V&V.共因故障/多樣性IEEE603—1991的5.1規定了單一故障準則,IEEE379—1988給出了對這一準則應用的指導IEEE379—1988的5.5提出了在單一故障分析中要考慮共因故障的要求，其中說明，不進行單一故障分析的“共因故障”包括那些可能由“設計缺陷、制造差錯”等引起的故障，準備用設計鑒定、質量保證大綱來預防這些缺陷和差錯。這種方法對于按IEEE603—1991和本標準的要求研制的計算機硬件和軟件有關的潛在共因故障也是適合的。在本標準的制定過程中，工作組花費了很多時間討論用多樣性來處理潛在共因故障的必要性。工作組認為存在適合應用多樣性的實例。一項安全功能的所有控制設備應用同樣結構來實現的情況就是應考虐用多樣性來防止共因故障的一個實例。這可以從IEEE379—1988的前言推斷出來，該前言中說明：“如果確認當一起考電任務需求率和共因故障率時某些后果可能不可接受，則可使用其他的措施。在這些情況下，使用如多樣性的設計技術來提出可接受的設計"。附錄B給出了關于確定多樣性需求的社充指導。電磁環境本標準要求瞬態和穩態條件的范圍應包括電磁環境(含靜電放電）作為IEEE603-1991第4.7節舉例的補充。在本標準表決過程中，已注意到這是安全系統的問題而不是只有計算機才有的問題。因此建議從本標準中刪去這一主題而包括到IEEE603一1991年的修訂版中。SC6主席已同意將這一間題同IEEE603—1991的下次修訂一起考虐。但是,工作組和SC6主席認為這是一個很重要的問題,至少在IEEE603一1991處理這一問題之前將其保留在本標準中。商品級物項適用性確認在本標準表決過程中，對商品級物項適用性確認要求的必要性表示了關切。作為審查ASMENQA-1C一1993附錄7A-2的結果，工作組決定，為了確定商品級物項在安全系統中應用的可接受性

GB/T13629-1998僅進行試驗是不夠的。因此,已把軟件研制方法的考惠作為商品級物項適用性確認過程的組成部分。商品級物項適用性確認還要求制造商對現有產品進行質量鑒定。這兩項要求對未按本標準研制的計算機在安全系統中應用的評價提供堅實的依據。未來的工作在第2.7部分下次修訂后，工作組應考慮目前對2.7部分所述例外的適宜性問題。這應是有意全面贊成第2.7部分。在本標準的制定過程中，工作組考慮了許多人因方面的問題。由于頒布了IEEE603一1991,突出了對這一問題的關注。IEEE603一1991要求把人因同安全系統準則一起考感。同SC7成員進行了討論、以確定工作組應采取怎樣的行動。SC7目前正在進行重新確認工作和編制關于CRT的標準。在本標準表決過程中，再一次提出了對人因問題的關切，已將這些意見轉交給SC7作為他們工作的輸入。工作組建議將分級要求增加到IEEE603—1991中。這一思想已被美國核管會審評人員在SECY91-192“先進輕水堆數字計算機系統”中所認可。在ANSI/ANS51.1-1983和ANSI/ANS52.1-1983中也提出了類似的安全分級概念。在修訂IEEE603—1991時應將這一概念應用到該標準中。在本標準表決過程中還提出了關于軟件共因故障的問題。雖然附錄B給出了關于處理共因故障的多樣性要求的某些考慮，但對多樣性的考慮尚未達到應有的程度。工作組和某些表決者認為,對多樣性的要求是一個安全系統級的問題。因此，工作組建議在修訂IEEE603—1991時考點這一問題。本標準沒有涉及軟件工具選擇的合理性以及編譯程序、操作系統和程序庫的驗收準則。工作組認為這一主題超出了他們的職責范圍，因此工作組建議編制標準來討論這些要求。在本標準表決過程中，提出了關于接地技術的標準適宜性問題。工作組認為這一問題超出了本標準的范圍。因此，建議編制另一標準來處理這一問題。在在本標準表決過程中，要求區分對同一計算機上運行的安全軟件與非安全軟件的要求。在5.6和附錄G中引入了軟件屏障概念，作為分隔這兩類軟件的一種措施。據工作組了解，尚無工業標準能適當地處理這一問題。工作組建議把處理這一主題的標準納入到未來的編制計劃中。

中華人民共和國國家標準核電廠安全系統中GB/T13629-1998數字計算機的適用準則Applicablecriteriafordigitalcomputersinsafetysystemsofnuclearpowerplants1范圍本標準規定了計算機用作核電廠安全系統設備時的有關準則。GB13284一1998規定了核電廠安全系統(動力源、儀表和控制部分)最低限度的功能和設計要求，但不包括計算機用作安全系統組成部分時的附加要求。本標準用來補充這方面的要求,與GB13284一1998一起規定了計算機用作安全系統設備時的最低功能要求和設計要求。在在本標準范圍內，術語“計算機"是一個包括計算機硬件、軟件、固件和接口的系統。2引用標準下列標準所包含的條文，通過在本標準中引用而構成為本標準的條文。本標準出版時,所示版本均為有效。所有標準都會被修訂，使用本標準的各方應探討使用下列標準最新版本的可能性。GB/T7163—1987核反應堆保護系統的可靠性分析要求GB/T9225—1988核反應堆保護系統可常性分析一般原則GB/T12788—1991核電廠安全級電力系統準則GB13284一1998核電廠安全系統準則GB/T13626一1992單一故障準則用于核電廠安全級電氣系統EJ/T694-1992核工業計算機軟件質量保證規范EJ/T743-1993核工業計算機軟件配置管理計劃編制指南EJ/T797—1993人因工程原則在核電廠系統、設備和設施中的應用EJ/