1 范圍

      本文件規定了核電廠基于計算機的安全重要系統硬件設計要求，包括硬件需求、設計和開發、驗證和確認、鑒定、制造、安裝和調試、運行、維護等相關內容。

      本文件適用于核電廠基于計算機的安全重要系統硬件的設計，及對預開發硬件（包括固件）的評估；也適用于可編程邏輯器件的設計過程和設計驗證。

      本文件不適用于用于軟件下載和檢查的計算機硬件設施。

2 規范性引用文件

      下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 12727 核電廠安全級電氣設備鑒定

      GB/T 13626 單一故障準則應用于核電廠安全系統

      GB/T 36044 核電廠安全重要電氣設備鑒定規程

      NB/T 20026-2014 核電廠安全重要儀表和控制系統總體要求（IEC 61513：2011，MOD）

      NB/T 20054 核電廠安全重要儀表和控制系統執行A類功能的計算機軟件（NB/T 20054-2011，IEC 60880:2006,MOD)

      NB/T 20055 核電廠安全重要儀表和控制系統執行B類和C類功能的計算機軟件（NB/T 20055-2011,IEC 62138:2004,MOD)

3 術語和定義

      下列術語和定義適用于本文件。

3.1

      基于計算機的系統 computer-based system

      其功能主要依靠或完全由使用微處理器、可編程電子設備或計算機來實現的儀表和控制（1＆C）系統。

      注：基于計算機的系統等同于數字系統、基于軟件的系統、可編程系統。

      ［來源：NB/T 20026-2014,3.11］

3.2

      基于計算機的安全重要系統 computer-based system important to safety

      系統安全功能通過內置計算機系統實現的核動力廠安全重要系統。

      ［來源：HAD 102/16-2004，名詞解釋］

3.3

      固件 firmware

      硬件裝置和以只讀軟件方式駐留在該裝置中的計算機指令和數據的組合。

      注：固件的表現形式通常對硬件部件的用戶是“透明的”，由此可認為是硬件設計的一個有效組成部分（這類軟件很好的一個例子如處理器微代碼）。總之，固件可以只通過用戶更換硬件部件（例如，處理器芯片、卡件、EPROM）來修改，這里所指的硬件部件包括了與部件一起的軟件，即更換后部件包括了修改的軟件（固件）。在這種情況下，設備用戶對硬件部件的配置控制可有效用于對固件的配置控制。本文件所指的固件實際上是嵌入硬件中的軟件。

      ［來源：GB/T 13629-2008,3.26］

3.4

      預開發 pre-developed

      現有的、作為商品或專有產品可得到的，用于基于計算機的系統的物項。

3.5

      鑒定壽命 qualified life

      一個系統或部件通過試驗、分析和（或）運行經驗已證明其能夠在特定運行工況下在驗收標準范圍內運行，同時保持在設計基準事故或地震條件下能夠實施其安全功能的時間。

3.6

      顯性硬件故障 revealed hardware failure

      可自動探測并告知的硬件故障。

3.7

      單一故障 single failure

      導致某一系統或部件不能執行其預定安全功能的一種故障，以及由此引起的各種繼發故障。

      ［來源：HAF 102-2016，名詞解釋］

3.8

      單一故障準則 single failure criterion

      要求系統或設備組合在其任何部位發生可信的單一隨機故障時仍能執行其正常功能的設計準則。

      ［來源：NB/T 20063-2012,2.41］

3.9

      安全重要系統 system important to safety

      屬于某一安全組的一部分和（或）其失效或故障可能導致對廠區人員或公眾的輻射照射的系統。

      ［來源：HAD 102/16-2004，名詞解釋］

3.10

      系統確認 system validation

      通過檢查和提供其他證據，證實該系統完全滿足預期的需求規格書（功能、響應時間、容錯、魯棒性）。

      ［來源：NB/T 20054-2011,3.37］

3.11

      隱性硬件故障 unrevealed hardware failure

      不能被系統自動探測，并且只有在試圖使用依賴該故障硬件的某一功能時才能顯現的硬件故障。這類故障可通過功能測試或對該系統有運行請求時發現。

3.12

      驗證 verification

      通過檢查和提供客觀證據，證實該過程某種活動的結果是否符合為此活動規定的目標和需求。

      ［來源：NB/T 20054-2011,3.38］

4 項目開發組織

4.1 總體要求

      基于計算機的安全重要系統的開發項目宜分為若干階段。每個階段宜在一定程度上是獨立的但要依賴其他階段提供輸入，同樣也要提供輸出作為其他階段的輸入。項目的各個階段共同構成整個安全生命周期（見NB/T 20026-2014第5章）。NB/T 20026-2014允許在不影響開發過程完整性的前提下，項目的各個階段可并行開展。

      質量保證大綱應應用于硬件生產過程。

4.2 項目分解

      下列總體要求規定了本文件范圍內基于計算機的系統的硬件開發生命周期要求：

      a）硬件開發生命周期應與整個系統生命周期一致；

      b）硬件開發生命周期的每個分階段應由明確規定和文檔記錄的活動構成；

      c）設計所包括的現有硬件產品［如COTS（商品級的）］在使用前應進行相應的核對、驗證和測試；

      d) 應提供足夠的手段（如備件、測試和維護設備等）和場所（如實驗室、車間、場地等）來執行與每個開發階段相關的任務；

      e) 每個開發階段應形成適當的文檔；

      f) 每個開發階段應進行總結性驗證（見第7章）；

      g) 每個驗證活動的結果應形成可審計的文件，記錄所達成結論和執行驗證而導致的任何設計變更；

      h) 應制定所有工作活動的進度計劃以保證下列活動的足夠時間：

      1）解決軟件和硬件開發階段之間的任何相互影響的問題，以確保系統軟硬件的兼容；

      2）形成文件與執行測試、驗證和質量保證活動。

4.3 質量保證

4.3.1 設計和開發過程必須滿足HAF 003的相關要求。硬件質量保證大綱應作為一個獨立文件（或多個文件）或整個質量保證大綱的一部分。計劃應關注現有硬件的使用和需要的硬件開發。作為硬件開發過程的一部分，由電廠操縱員、業主、承包商和分包商所執行的所有硬件質量相關活動宜包括在質量保證大綱中。

4.3.2 硬件質量保證大綱宜涉及以下階段，這些階段在任何特殊系統或開發中均適用：

      a）設計和開發；

      b）采購；

      c）制造；

      d）建造和調試；

      e）運行和維護。

4.3.3 在設計過程開始前并不要求覆蓋上述所列所有階段，但是在每個階段啟動之前，該階段要求的計劃應準備就緒。

4.3.4 質量保證大綱宜描述質量有關活動的組織、管理和執行，包括：

      a）文檔配置控制；

      b）設計過程；

      c）產品和服務的采購過程；

      d）建造指導、建造程序和圖紙的配置控制；

      e）用于建造系統硬件的物料和物項的配置控制；

      f) 質量控制活動，諸如正式檢查；

      g）測試設備的控制；

      h）硬件搬運、儲存、運輸的控制；

      i) 測試過程；

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。