分支技术立场 (BTP) 7-19,修订版 8,提供了三种不同的方法,被许可人可以使用这些方法来消除 CCF 危害,避免进一步考虑。这三种方法是 (1) 在 DI&C 系统内使用多样性,(2) 使用测试,或 (3) 使用防御措施。NEI 20-07 与 BTP 7-19,修订版 8(第 3.1.3 节)中提出的第三种方法 ─ 使用防御措施最为一致。NEI 20- 07 以安全设计目标 (SDO) 的形式提供了客观标准,用于防御因软件设计缺陷导致的软件 CCF。SDO 用于选择平台硬件和软件以及开发应用软件。数字系统要经历软件 CCF,软件中必须存在潜在缺陷。软件缺陷只能通过软件开发过程引入。将软件开发要求应用于安全相关系统,使 NRC 能够将与核电站事故分析事件同时发生的 CCF 视为超出设计基准的事件。但是,NRC 仍然要求行业通过使用“最佳估计”假设的纵深防御 CCF 应对分析来分析 CCF。目前,唯一获得 NRC 批准的消除 CCF 考虑的方法是安装不同的设备或进行只能应用于简单设备的广泛测试。本文档提供了这两种方法的替代方法,以消除安全相关系统的 CCF 考虑。NEI 20-07 中的这种方法首先建立了一套用于保护数字仪器和控制 (DI&C) 系统中的软件 CCF 的基本原则,然后将这些基本原则分解为安全设计目标 (SDO)。本文件还建议使用保证案例方法来证明高安全重要性安全相关 (HSSSR) 安全相关应用系统中的软件应用程序和托管应用软件的平台已充分实现了这些规定的 SDO,以合理保证目标软件不包含可能导致软件 CCF 的软件设计缺陷,在软件开发过程中引入软件缺陷的可能性足够低,因此,由于软件设计缺陷而出现软件 CCF 的可能性也足够低,因此可以充分解决。当在对 HSSSR 系统进行多样性和纵深防御 (D3) 分析时不需要进一步考虑或假设,并且保证案例表明平台和相关应用软件已充分解决 CCF,则系统的这些部分可以免于被假设为 CCF 的来源。这并不排除对 HSSSR 系统 D3 分析的需要,因为可能会识别出其他 CCF 漏洞(例如,数据通信)。
公式 1 中表达的简单理论基于系统中没有显著的休眠。然而,在大多数复杂系统中,可能存在许多故障,这些故障通常直到维护期间进行系统检查时才被发现。系统设计人员需要集中精力安排系统架构以减少休眠故障的数量;其余故障需要定期进行维护检查,以便它们与其他故障一起发生的概率达到可接受的水平。然而,图 1 中所示的简单理论曲线和实际曲线之间存在差异的主要原因是通道故障并非完全独立,并且共因故障对实际实现的总系统故障概率有显著影响。在确定这些故障后,应考虑设计变更、制造技术、维护措施和系统操作程序,以消除或减轻共因故障。虽然不是详尽的清单,但前面的章节讨论了可能对大多数飞机类型构成“威胁”的一些最常见的共因故障。系统外部的风险可能是由各种事件引起的,其中许多被称为特殊风险。
危害和风险分析 (H&RA) 团队识别出可能造成灾难性后果的危险事件。其中一种事件可能是容器液位下降,导致高压气体流向未达到该压力的下游设备。可以指定安全仪表功能 (SIF) 来降低发生此事件的风险。SIF 检测低液位并通过关闭出口截止阀来防止漏气。指定三个冗余液位变送器来检测低液位情况。基本过程控制系统使用其他液位设备来监视和控制容器液位。当三个液位变送器中的任意两个检测到低液位(三选二,2oo3)时,安全仪表系统 (SIS) 会关闭出口截止阀。如果一个液位变送器发生危险故障,SIF 仍可工作;但是,如果两个变送器发生危险故障,SIF 将无法关闭阀门,导致容器中的液位下降,并可能造成灾难性后果。
危险和风险分析 (H&RA) 团队识别出可能造成灾难性后果的危险事件。其中一种事件可能是容器液位下降,导致高压气体流向未达到该压力的下游设备。可以指定安全仪表功能 (SIF) 来降低此事件的风险。SIF 检测低液位并通过关闭出口截止阀来防止漏气。指定三个冗余液位变送器来检测低液位情况。基本过程控制系统使用其他液位设备来监视和控制容器液位。当三个液位变送器中的任意两个检测到低液位(三选二,2oo3)时,安全仪表系统 (SIS) 会关闭出口截止阀。如果一个液位变送器发生危险故障,SIF 仍可工作;但是,如果两个变送器发生危险故障,SIF 将无法关闭阀门,导致容器中的液位下降,并可能造成灾难性后果。