ICS 27.120.20 F65 备案号：35993—2012 NB 中华人民共和国能源行业标准 NB/T20068—2012 核电厂安全重要仪表和控制系统 应对共因故障的要求 Requirements for coping with common cause failure (CCF) of instrumentation and control systems important to safety in nuclear power plants 2012 - 01 - 06 发布 2012-04-06实施 发布 国家能源局 NB/T20068—2012 目 次 前言 引言 1范围 规范性引用文件 3术语和定义 缩略语 4 5应对共因故障的条件和策略 克服需求规格书缺陷的要求 7防止仪表和控制系统同时故障的设计措施 8应对假定潜在软件缺陷的耐受性 11 9避免运行中维护导致系统故障的要求 11 附录A（资料性附录） 本标准与IEC62340：2007相比的结构变化情况 13 附录B（资料性附录） GB/T17626（所有部分）与IEC61000-4（所有部分）之间一致性程度.．14 参考文献 15 NB/T20068—2012 前言 本标准按照GB/T1.1-2009给出的规则起草。 本标准使用重新起草法修改采用IEC62340:2007《核电厂安全重要仪表和控制系统应对共因故障的 要求》。 本标准与IEC62340:2007相比在结构上有较多调整，附录A中列出了本标准与IEC62340:2007的章条 编号对照一览表。 本标准与IEC62340:2007存在技术性差异，主要技术性差异及原因如下： 为了满足我国标准的编制要求，简化了第1章的描述； 关于规范性引用文件，本标准做了具有技术性差异的调整，以适应我国的技术条件，调整的情 况集中反映在第2章“规范性引用文件”中，具体调整如下： 。用修改采用国际标准的NB/T20060代替IEC60709（见7.1.1、7.1.3、7.4.2、7.8）； 。用修改采用国际标准的GB/T12727代替IEC60780（见7.1.1、7.2.4、7.8）； 。用修改采用国际标准的NB/T20054代替IEC60880（见6.2.6、7.1.2、7.6.1、7.7.2、8.1）； 。用非等效采用国际标准的GB/T13625代替IEC60980（见7.1.2、7.8）； 。用GB/T17626(所有部分)代替IEC61000-4（所有部分），两项标准部分之间的一致性程度 见附录B； 。用修改采用国际标准的GB/T15474代替IEC61226； 。用等同采用国际标准的NB/T20026代替IEC61513（见3）； 。删除了对IAEASafetyGuideNS-G-1.3、IAEASafetyGuide SG-D11、IAEASafetyGlossary (2007)的引用。 本标准进行了下述编辑性修改： 删除了附录A（资料性附录）IEC60880与本标准的关系： 增加了新的附录A（资料性附录）本标准与IEC62340:2007相比的结构变化情况； -增加了附录B（资料性附录）GB/T17626（所有部分）和IEC61000-4（所有部分）之间一致性程 度。 本标准由能源行业核电标准化技术委员会提出。 本标准由核工业标准化研究所归口。 本标准起草单位：中科华核电技术研究院有限公司。 本标准的主要起草人：郎玉凯、陆秀生、熊国华、张涛游。 II NB/T20068-2012 引言 本标准强调以设计基准事故分析为基础，并考虑了核电厂主要安全目标的安全功能规范具有完整性 和准确性。这些规范是为克服共因故障（CCF）的仪表和控制系统的设计提供整套详细要求的前提。 a）为了相同的安全目标，执行不同的A类安全功能的仪表和控制系统； b) 执行不同类别安全功能的仪表和控制系统，例如一个执行B类安全功能的系统被用来作为执行 A类安全功能的后备系统： c) 同一仪表和控制系统的不同穴余通道。 实施上述要求可形成多种不同的针对导致共因故障事件的防护。 本标准提出了与下列内容相关的一些预防共因故障的方法： 对电厂内部危害和外部危害的敏感性； a) (q 硬件中物理效应（如高压）的传播； c) 避免仪表和控制系统的内部特定的缺陷和弱点，特别是： 1) 功能失效在仪表和控制系统内部或者不同仪表和控制系统之间的传播（例如通过共享资源 上的通信、故障或者错误）； 2) 存在设计阶段或者系统运行阶段引入的共因故障（维护导致的故障）： 3） 对硬件所要具备的特性验证不充分，对软件组件或者替代部件与现有系统部件兼容性的验 4) 证不充分。 III 1 - - - NB/T20068—2012 核电厂安全重要仪表和控制系统应对共因故障的要求 1范围 本标准规定了核电厂安全重要仪表和控制系统应对共因故障的要求。 本标准适用于核电厂执行A类功能的安全重要仪表和控制系统。 2规范性引用文件， 下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仪所注日期的版本适用于本标 准。凡是不注日期的引用文件，其最新版本（包括所有的修改）适用于本标准。 GB/T12727核电厂安全系统电气设备质量鉴定（GB/T12727一2002，EC60780:1998，MOD） ：GB/T13625核电厂安全系统电气设备抗微鉴定（GB/T13625—1992IEC60980:1988，eqv） GB/T17626（所有部分）电磁兼睿 试验和测品技术一抗扰度试验总论【IEC61000-4（所有部分）】 GB/T15474核电厂安全重要仪表和控制功能分类（GB/T15474一2010 IEC61226:2005，MOD) NB/T20026核电厂安全重要仪表和控制系统总体要求（NB/20026一2010，EC61513：2001， IDT),: 核电厂安全重要仪表和控制系统执行A类功能的计享机软件 NB/T20054 （NB/T20054-2011，IEC 60880:2006，MOD) NB/T20060核电厂 全重要仪表和控制系统隔商则（NB/T26060-2012.IEC60709:2004，MOD） IEC60671核电厂安全重要仪表和控制系统监督测试（NucTearpowerplantsInstrumentation and control systems important torsafetySurveillance testing) 3术语和定义 NB/T20026和GB/T15474界定的以及下列术语和定义适用于本件 3. 1 共因故障commoncausefailure（ccF） 由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障。 [HAF102（2004）］ 注1：任何环境因素、电厂运行规程、人因失误或者安全重要仪表和控制系统内部事件都会触发设计、制造、运行 及维护错误带来的潜在缺陷，从而导致两个及以上结构、系统或部件同时发生故障。 注2：同时故障也包括系统或部件引发的来不及采取维护措施的后继故障。 3. 2 纵深防御defence-in-depth 对于一个安全目标采取多层次的防护措施，即使一个层次的防护措施失效也能达到安全目标。 各种设备和程序在不同层次分级布置，以防止预计运行事件逐步升级，并在运行状态和（对一些屏 障而言)事故工况下保持置于辐射源或放射性物质与运行人员、公众或环境之间的实物屏障的有效性。 [IAEA Safety Glossary:2007] 1