【其他行业标准】 核电厂安全重要仪表和控制系统总要求

ICS 27.120.20
备案号：29124-2010
中华人民共和国能源行业标准　NB/T20026—2010
核电厂安全重要仪表和控制系统总体要求Nuclearpower plants -Instrumentation and control for systems important tosafety-General requirementsfor systems（IEC61513:2001,IDT)
2010-05-01发布
国家能源局
2010-10-01实施
范围，
概述，
1.2应用范围
1.3框架结构
规范性引用文件
术语和定义
符号和缩略语
I&C总的安全生命周期.
由电厂安全设计基准导出&C要求5.1
输出文档
整体I&C结构设计和I&C功能分配总大纲的制定
输出文档
系统安全生命周期
系统计划制定
输出文档
系统质量鉴定
不同级别和类别主要特定要求的概述总的集成和调试
目标要求
7.2输出文档.
8总的运行和维护
目标要求
8.2输出文档
附录A（资料性附录）
附录B（资料性附录）
附录C（资料性附录）
附录D（资料性附录）
附录NA（资料性附录）
参考文献
核电厂的基本安全问题
功能分类和系统分级，
定性防御CCF的方法，
GB/T20438与本标准和核应用领域标准的关系本标准规范性引用文件中国际文件与我国文件的对应关系NB/T20026—2010
NB/T20026—2010
本标准按照GB/T1.1一2009给出的规则起草。本标准使用翻译法等同采用IEC61513:2001《核电厂安全重要仪表和控制系统总体要求》。与本标准中规范性引用的国际文件有一致性对应关系的我国文件见附录NA。本标准做了如下编辑性修改：
一删去IEC标准的引言和前言；
改正IEC标准中的多处印刷错误。本标准由全国核仪器仪表标准化技术委员会（SAC/TC30）提出。本标准由核工业标准化研究所归口。本标准主要起草单位：中广核工程设计有限公司。本标准重要起草人：孙永滨、谷鹏飞、江国进、彭华清、黄伟军、江辉、张坚、董孝胜。II
1范围
1.1概述
核电厂安全重要仪表和控制系统总体要求NB/T20026—2010
安全重要的仪表和控制（I&C）系统可采用传统的硬接线设备、基于计算机（CB）的设备或这两类设备的组合实现。本标准为包含上述任一项技术的I&C系统的整体结构提出要求和建议。本标准着重说明根据核电厂安全目标导出完整和准确要求的必要性，这是产生I&C系统整体结构的总体要求、并进而产生单个安全重要I&C系统要求的前提。本标准给出整体I&C系统结构的安全生命周期以及单个系统安全生命周期的概念。但本标准描述并遵循的生命周期并不是唯一的生命周期，只要本标准中指明的目标得到满足，也可以遵循其他生命周期要求。
1.2应用范围
本标准适用于新核电厂的I&C，也适用于已有核电厂的I&C的升级或改造。对已有核电厂，仅有一部分要求是适用的，而这部分应在任何项目开始时予以确定。1.3框架结构
图1表示本标准的整体框架结构，并附以参照条款：第5章叙述安全重要I&C系统的总体结构：根据核电厂安全分析规定I&C的功能需求以及有关的系统和设备（I&CFSE）、I&C功能分类、电厂布置和运行环境：
一建立I&C的整体结构，将其划分为多个系统并将I&C功能分配给系统。确定设计准则，包括提供纵深防御和最大限度降低共因故障（CCF）可能性的准则；设计I&C系统的整体结构。
第6章叙述单个安全重要I&C系统的要求，特别是基于计算机的系统的要求：第7和8章叙述I&C系统的总的集成、调试、运行和维护；附录A着重描述IAEA与本标准中使用的基本安全概念之间的关系；附录B提供关于分类/分级原则的信息；附录C给出I&C对CCF敏感的例子；附录D为本标准与GB/T20438第1、2和4部分的比较提供指导。该附录综述了GB/T20438的主要要求以验证充分叙述了与安全有关的问题，并考虑了通用术语的使用，解释了采用不同或互补技术或术语的理由。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。1
NB/T20026—2010
根据核电厂安全设计基准产生的安全重要I&CFSE的需求规格书5.1~5. 2
5.1由电厂安全设计基准导出I&C要求5.1.1功能，性能和独立性要求
5.1.2分类要求
5.1.3电厂限制
关于输出文档的要求
安重要I&CFSE的总的需求规格书总体I&C结构和I&C功能分配给单个I&C系统的设计和计划5.3~5.5
5.3目标要求
&C结构的设计
对单个系统的功能分配
需要作的分析
系统生命周期各阶段的日标要
需求规格书
技术规格书
详细设计
6.4.1~6.4.3系统质量鉴定要求
7.1日标要求
8.1目标要求
GB/T8566—2001
GB/T 6583—1994
信息技术
总大纲要求
总的QA大纲
总的安全防范大纲
总的集成和调试大纲
总的运行大纲
总的维护大纲
单个T&C系统的实现和计划
系统计划要求
系统质量计划
系统安全防范计划
6.2-3.系统集成计划
6.2.4系统确认计划
6.2.5系统安装计划
6.2.6系统运行计划
系统维护计划
质量整定
6.5主要特定要求的概述
总的集成和调试
5.5文档要求
结构设计
：功能分配
输出文档要求
需求规格书
6..2技术规格书
6.3.3详细设计
6.3.4集成
6.3.5确认
6.3.6修改
6.4.4质量鉴定文档要求
7.2输出文档要求
总的运行和维护
8.2输出文档要求
本标准的整体结构
软件生命周期过程（ISO/IEC12207:1995，IDT）质量管理和质量保证
GB/T17626.1—2006
电磁兼容
词汇（IS08402:1994，IDTVocabulary）试验和测量技术
抗扰度试验总论（IEC61000-4-1:2000，IDT）IDT)
GB/T17626.2-1998
电磁兼容
GB/T17626.3-1998
61000-4-3:1995，IDT)
GB/T17626.4-1998
61000-4-4:1995，IDT)
GB/T17626.51999
GB/T17626.6-1998
61000-4-6:1996，IDT)
NB/T20026—2010
试验和测量技术静电放电抗扰度试验（IEC61000-4-2:1995电磁兼容
电磁兼容
电磁兼容
试验和测量技术
试验和测量技术
试验和测量技术
电磁兼容
射频电磁场辐射抗扰度试验（IEC电快速瞬变脉冲群抗扰度试验（IEC浪涌(冲击）抗扰度试验(IEC61000-4-5：1995，试验和测量技术
射频场感应的传导扰抗扰度（IEC）工业过程测量和控制系统评估中系统特性的评定第1部分：总则和方法GB/T18272.1—2000
学（IEC61069-1:1991，IDT）
GB/T19000.3一2001质量管理和质量保证标准第3部分：GB/T19001在计算机软件的开发、供应、安装和维修中的使用指南（IS09000-3:1997，1DT）GB/T19001一1994质量体系设计、开发、生产、安装和服务中质量保证的模式（IS09001:1994IDT)
GB/T20438.1-2006电气/电子/可编程电子安全相关系统的功能安全第1部分：一般要求（IEC61508-1:1998，IDT)
GB/T20438.2一2006电气/电子/可编程电子安全相关系统的功能安全第2部分：电气/电子/可编程电子安全相关系统的要求（IEC61508-2：1998，IDT）GB/T20438.4一2006电气/电子/可编程电子安全相关系统的功能安全第4部分：电气/电子/可编程电子安全相关系统的定义和缩写词（IEC61508-4:1998，IDT）IEC60709:1981
核电厂安全重要仪表和控制系统隔离（Nuclearpowerplants-
Instrumentationandcontrolsystemsimportanttosafety-Separation)IFc60780:1998核电厂安全系统电气设备质量鉴定（Nuclearpowerplants－Electricalequipmentofthesafetysystem-Qualification)IEC60880:1986核电厂安全重要仪表和控制系统执行A类功能计算机系统的软件（Nuclearpowerplants-Instrumentationandcontrol systemsimportanttosafety-Softwareaspectsforcomputer-basedsystemsperformingcategoryAfunctions)IEC60880-2:2000安全系统计算机软件第2部分：预防软件导致的共因故障、软件工具和预开发软件的使用（Softwareforcomputersimportanttosafetyfornuclearpowerplants-Part2:Software aspects of defence against common cause failures, use of software tools and ofpre-developed software)
IEC60964:1989核电厂控制室的设计(Designforcontrolroomsofnuclearpowerplants）IEc60965：1989核电厂辅助控制点设计准则(Supplcmcntarycontrolpointsforreactorshutdown without access tothemain control room)IEC60987：1989用于核电厂安全重要系统可编程数字计算机(Programmeddigitalcomputersimportant tosafetyfornuclearpowerstations)IEC61226:1993核电厂安全重要的仪表和控制系统仪表和控制功能分级（Nuclearpowerplants -Instrumentation and control systems important for safety -Classification ofinstrumentationandcontrolfunctions)3
NB/T20026—2010
IEC61500:1996核电安全重要的仪表和控制系统多路数据传输的功能要求（Nuclearpowerplants-Instrumentation and control systems important to safety -Functional requirementsformultiplexeddatatransmission)IAEASafetySeriesNo.50-C-D(Rev1)：1988核电厂安全规定：设计（CodeontheSafetyofNPPs:Design）
IAEASafetySeriesNo.50-C-QA（Rev1)：1988核电厂安全规定：质量保证（CodeontheSafetyof NPPs:Quality assurance)
IAEASafetySeriesNo.50-SG-D11979用于沸水堆（BWR）、压水堆（PWR）和压力管式反应堆(PTR）的安全功能和部件分级安全导则（SafetyfunctionsandComponentClassificationforBWR，PWR,and PTR-A Safety guide)
IAEASafetySeriesNo.50-SG-D3:1980核电厂保护系统和有关设施安全导则（Protectionsystem and related features in NPPs-A Safety guide)IAEASafetySeriesNo.50-SG-D8:1984核电厂安全有关仪表和控制系统安全导则（Safetyrelatedinstrumentationand controlsystemforNPPs-ASafetyguide)IAEASafetySeriesNo.50-50-SG-D11:1986核电厂设计总的安全原则安全导则（General
design safetyprinciplesforNPPs-ASafetyguide)IAEASafetySeries75-INSAG-3:1988核电厂基本安全原则（BasicSafetyprinciplesforNPPs）3术语和定义
下列术语和定义适用于本文件。3.1
应用功能
applicationfunction
I&C系统的功能，该功能执行与受控过程有关而与系统本身功能无关的任务。注1：改写IEC60880:1986，定义2.1注2：又见“I&C功能”、“I&C系统”和“应用软件”注3：应用功能通带是I&C功能的子功能。3.2
应用软件applicationsoftware
I&C系统的软件中实现应用功能的那部分软件（见图2）、注1：又见“应用功能”、“应用软件库”和“系统软件”注2：应用软件是对系统软件而言的。3.3
应用软件库applicationsoftwarelibrary实现典型应用功能的软件模块的集合（见图2）注：当使用现有设备时，应用软件库可视为系统软件的一部分，并按系统软件来鉴定。3.4
I&c功能的类别categoryofanI&cfunction根据所执行功能的安全重要性确定的I&C功能的三种可能的安全类别（A，B，C）。如果功能不是安全重要的，则可归入为“不分类”的类别。注1：又见“I&C系统的级别”、“I&C功能”。注2：IEC61226定义了I&CFSE的类别，每个类别均对应一组要求，这些要求既适用于I&C功能（涉及其规格书、设计、实现、验证和确认），也适用于实现功能所必需的所有物项（涉及特性和有关的质量鉴定），而不管4
NB/T20026—2010
这些物项在I&C系统中是如何分布、如何互联的。为更加清楚起见，本标准分别定义了I&C功能的类别和I&C系统的级别，并规定了功能类别与有关系统和设备所要求的最低级别之间的关系。通道channel
系统内若干互连部件发出单一输出信号的配置，在单一输出信号与来自另一通道（例如1个监测通道或安全驱动通道）的信号的结合处，通道就告终止。3.6
JclassofanI&csystem
I&C系统的级别
根据所要实现的I&C功能的不同安全重要性所确定的安全重要I&C系统的三种可能级别（1，2，3）。如果I&C系统不执行安全重要功能，则可归入为“不分级”的级别。注：见“&C功能的类别”、“安全重要物项”、“安全系统”。3.7
共因故障
commoncausefailure
在一个多通道系统或多系统中，由一个或多个事件引起两个或多个隔离通道同时失效，从而导致整个系统或多个系统失效的故障。注：根据情况，CCF可认为是系统级的或构成一个安全组的系统级的故障。3.8
复杂性
complexity
系统或部件的设计、实现和特性所具有的难以理解和验证的程度。3.9
component
组成系统的部分之一，可以是硬件或软件，也可再细分为其他部件。注1：又见“I&C系统”、“设备”。注2：术语“设备”、“部件”和“模件”常常互换使用。这些术语的关系尚未标准化。3.10
基于计算机的系统
computer-basedsystem
其功能主要依靠或光全出使用微处理器、可编程电子设备或计算机米实现的I&C系统（见图2）。注：见“I&C系统”。
commissioningofNPp
核电厂调试
将已建造的核电厂部件和系统投入运行，并验证其符合设计假设和满足性能准则的过程。它包括不带核（不装料）调试和带核（装料）调试两个阶段。3.12
配置管理configurationmanagement采用技术性和行政性的管理和监督规定，以确定配置项的功能特性和物理特性并编制文件，控制这些特性的变更，记录和报告变更过程及实现状态，以及验证与规定要求是否相符合。3.13
数据data下载标准就来标准下载网
以适合计算机通信、解译或处理的方式表达的信息或指令（见图2）。3.14
纵深防御
见A.3。
defence-in-depthconcept
NB/T20026—2010
确定论方法deterministicmethod见A.2.2。
多样性diversity
以两种或更多不同的方式或措施达到一个特定目标的特性。多样性专门用于防御共因故障。它可以通过物理上彼此不同的系统或通过功能多样性来实现。功能多样性是指采用类似的系统，但以不同的方式达到特定的目标。
注1：又见功能多样性。
注2：这个定义宽于IAEA50-C-D使用的下还定义：采用元余的部件或系统完成某一确定的功能，这些余部件或系统在总体上具有一种或多种不同的属性，如不同的运行条件、不同大小的设备、不同的制造商、不同的工作原理以及采用不同物理方法的不同类型的设备。3.17
设备equipment
系统的一个或多个部分。一项设备是系统单独可定义（通常可拆卸）的部分。注1：改写IEC61226：1993，定义。注2：又见“部件”、“I&C系统”。注3：设备可包含软件。
注4：术语“设备”、“部件”和“模件”常常互换使用。这些术语的关系尚未标准化。3.18
设备族equipmentfamily
在一个或多个规定的结构（配置）中可协同工作的一组硬件部件和软件部件。电厂特定配置及其应用软件的开发可采用软件工具实现。一个设备族通常提供一系列标准功能（应用功能库），这些功能可组合以生成特定的应用软件。
注1：又见“功能特性”、“应用软件”、“应用软件库”注2，一个设备族可以是某个制造商的一产品，也可以是某个供应商集成的一套产品。注3：术语“设备平台”有时用作“设备族”的同义词。3.19
误差error
计算的、观测的或者测量的值或状态与实际的、规定的或者理论的值或状态之间的偏差（见图3）。3.20
（系统特性的）评价evaluation（ofasystemproperty）对系统特性赋予定性或定量值的过程。[IEC61069-1：1991，定义2.2.2]3.21
故障failure
提供的服务偏离预期服务的现象（见图2）。注1：故障是硬件缺陷、软件缺陷、系统缺陷、操纵员错误或维护错误的结果以及导致故障的有关信号的轨迹。注2：又见“缺陷”、“软件故障”。3.22
缺陷fault
硬件、软件或系统部件中的缺点（见图3）。注1：缺陷可起源于随机故障（如由硬件老化降级引起的），也可是由设计错误引起的系统缺陷（如软件缺陷）。6
NB/T20026—2010
注2：系统中一个缺陷（特别是设计缺陷）可能直到出现某些特定情况（即产生的结果不符合预期功能，也就是出现一个故障）时才被发现。
注3：见“软件故障”。
功能多样性functionaldiversity多样性在功能级的应用（例如，将压力限值和温度限值都作为紧急停堆触发的条件）。[IEC60880-2：2000，定义3.10]注：见“多样性”。
功能确认functionalvalidation根据顶层的电厂功能和性能要求对应用功能规格书的正确性进行的验证。它是系统确认（验证系统与功能规格书相符合）的补充。3.25
功能特性functionality
规定输入信息转换为输出信息的操作的功能属性注：应用功能的功能特性通常影响电厂运行。输入可从传感器、操纵员、其他设备或其他软件得到。输出可送到驱动器、择纵员、其他设各或其他软件（见参考文献[6]），3.26
functionimportanttosafety
安全重要功能
为安全必须实现的特定目标。
注1：改写IAEA50-SG-D3：1980和IEC61226：1993第3章。注2：见“I&C功能”、“I&C子功能”、“应用功能”，3.27
hazard
有可能对电厂人员、部件、设备或构筑物造成伤害的事件。危害分为内部危害和外部危害。注1：内部危害的例子是火灾和水淹。内部危害可以是PIEs的后果（例如，LOCA、蒸汽管道破裂）。注2；外部危害的例子是地震和雷电。3.28
人因失误humanerror（ormistake）导致非预期结果的人为行动或过程。[IEC60880-2：2000，定义3.12]3.29
独立设备independentequipment独立的设备兼有下列两个特性：执行其所需功能的能力不受其他设备运行或故障的影响；a)
执行其功能的能力不受要求它起作用的假设始发事件的后果的影响。b)
[IAEA50-SG-D8:1984，GB/T4960.6:2008的4.1.8]注：设计中实现独立性的措施是电气隔离（IAEA文件中也称为功能隔离）、实体分隔和通信独立。3.30
interrupt
由一个过程的外部事件引起该过程（例如计算机程序的执行）的暂停。3.31
I&carchitecture
I&C结构
NB/T20026—2010
电厂安全重要I&C系统的组织结构。注1：又见“I&C系统结构”、“I&C系统”注2：组织结构主要规定每个系统的主要功能、级别和边界，系统之间的互联和独立性，并发动作信号间的优先级和表决，HMI。
注3：本标准中，该术语仅指电厂整体I&C体系结构的一部分。该I&C体系结构也包括不分级的系统和设备。3.32
I&c功能I&Cfunction
对工艺过程的指定部分实施控制、操作和（或）监督的功能。注1：又见“I&C子功能”、“I&CFSE”、“应用功能”。注2：术语“I&C功能”由工艺工程师用于构建I&C的功能要求。一个I&C功能按下述方法规定：给出功能目标的完整表述；
能按其对安全的重要程度分类；包括从传感器到驱动器的最小实体，以实现其功能目标。一个I&C功能可细分为若干于功能（例如，测量功能、控制功能、驱动功能），注3：为了将功能分配给1&C系统，3.33
I&C子功能I&Csubfunction
I&C功能分配给I&C系统或子系统的部分。注1：又见“I&C功能”、“应用功能”。注2：如果上下文含意明确，术语“功能”经常用于“子功能”3.34
I&c功能以及相关系统和设备I&cFSE（functi.on，andassociatedsystemandequipment）执行I&C功能是为了实现某个目的或达到某个目标。相关系统和设备是为实现功能而使用的部件集合和部件自身。
注1：改写IEC61226：1993第3章。注2：见“I&C功能”、“I&C系统”。3.35
I&C系统I&Csystem
基于电气和（或）电子和（或）可编程电子技术的系统，它执行I&C功能以及与系统自身运行有关的服务和监督功能。
本术语用作包括系统所有部件（例如，内部电源、传感器和其他输入设备、数据总线和其他通信路径、对驱动器和其他输出设备的接口）的通用术语（见注2）。系统内的不同功能可使用专用资源或共享资源。
注1：又见“系统、I&C功能”。注2：特定I&C系统中包含的部件在系统边界的技术规格书中定义。注3：按照I&C系统典型的功能特性，IAEA区分自动系统和控制系统、HMI系统、联锁系统和保护系统（见B.4）。3.36
I&c系统结构I&CsystemarchitectureI&C系统的组织结构。
注：见“I&C结构”。
安全重要物项itemsimportanttosafety包括下述内容的物项：
a）其失效或故障可能引起厂区人员或周围公众受到过量辐射照射的那些构筑物、系统或部件；8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。