基于NuPAC的核電廠反應堆保護系統關鍵特性分析

曾 海

（國核自儀系統工程有限公司，上海 200233）

NuPAC是國核自儀系統工程有限公司和洛克希德馬丁公司合作開發的安全儀控系統平臺。NuPAC平臺采用現場可編程門陣列技術（FPGA），具有和傳統分散式控制系統（DCS）或可編程邏輯控制器（PLC）的集中式結構不同的分散式系統結構。

基于NuPAC 的大型先進壓水堆核電廠反應堆保護系統為電廠在正?；虍惓Ｇ闆r下提供保護。反應堆保護系統設備（包括電氣、機械、可編程邏輯和軟件部件）監測反應堆的狀態，并產生反應堆停堆和專設安全設施觸發信號。此外，反應堆保護系統提供事故后監測功能來監測設計基準事故過程中和事故后反應堆的狀態。為保證反應堆保護系統的可利用率，以及保證系統性能滿足規定的要求，反應堆保護系統提供定期監督測試功能?；贜uPAC 的反應堆保護系統支持在線定期測試功能，同時也支持在線診斷和維護功能?；贜uPAC 的反應堆保護系統提供與其他儀控系統和設備的外部接口，如傳感器、執行機構、開關以及非安全控制系統等。

本文分析基于NuPAC 的反應堆保護系統的關鍵特性，歸納的反應堆保護系統關鍵特性將體現于系統需求規范和系統詳細設計需求規范中，以確保最終的反應堆保護系統設備具備本文描述的關鍵特性。

1 源數據分析

反應堆保護系統關鍵特性的分析開始于設計團隊組織的一次頭腦風暴會議。在頭腦風暴會議中，每位團隊成員均認真思考并提出他或她認為重要的系統特性。會議共發現了34個系統特性。進一步分析發現，有些系統特性只是風險而不是系統特性；而根據法規標準要求有必要增加新的系統特性；此外，有些系統特性相近，可合并。通過分析確定了14個系統關鍵特性（表1）。

本文對每個關鍵特性根據其分級因子如可能性（如果無正確設計則不滿足該關鍵特性的可能性）、重要性及可檢測性分配分值，表2列出分級因子及其對應的分值。根據3個分級因子分值的乘積，可確定關鍵特性的重要等級。

表1 關鍵特性Table 1 List of key characteristics

表2 分級因子及其分值Table 2 Grade factor and value

2 相關性分析

關鍵特性是反應堆保護系統最重要的設計特征。為保證系統設計滿足關鍵特性，需進行相關性分析。此外，通過相關性分析也會顯示關鍵特性如何體現于系統設計以及詳細設計中。

2.1 單一故障準則

單一故障準則是反應堆保護系統需滿足的一條系統頂層需求，10CFR 50［1］附件A 第21條規定“單一故障不能導致保護功能喪失”，IEEE 603—1991［2］第5.1 節 中 也 規 定“安全系統應在以下情況下執行設計基準事故要求的安全功能：1）安全系統發生單個可探測的故障，同時發生所有可識別但不可探測的故障；2）單一故障引起的所有故障；3）由于故障和誤停堆引起的設計基準事故，或要求安全功能動作的設計基準事故導致的所有故障和誤停堆?！?/p>

反應堆保護系統設計通過采用IEEE 379—2000［3］中規定的方法來滿足單一故障準則。IEEE 379—2000［3］第5.1節規定“獨立性原則是有效應用單一故障準則的基礎。安全系統的設計應保證部件的單一故障不會影響獨立的冗余部件或系統的正確運行?！庇纱丝梢?，冗余和獨立是反應堆保護系統設計采用的兩種有效的滿足單一故障準則的方法。

基于NuPAC 設計的反應堆保護系統由4個冗余序列組成，當某個序列被旁通進行維護或測試時，系統仍滿足單一故障準則。系統的每個序列均具有雙冗余的雙穩邏輯子系統和符合邏輯子系統，可在不旁通該序列的情況下對每個子系統進行維護和測試，從而不降低系統的可利用率。4個序列設備的供電電源也是冗余的。

IEEE 384—1992［4］規定，實體分隔和電氣隔離是獲得系統冗余序列之間的獨立性的方法。反應堆保護系統4個序列的設備分別位于4個隔離的設備間內。4個序列的電纜橋架之間及安全級電纜橋架和非安全電纜橋架之間通過屏障或距離進行分隔。此外，進出機柜的不同序列的電纜、機柜內不同序列的電纜槽及不同電壓等級的電纜槽之間均按IEEE 384—1992的要求進行隔離。

系統序列之間的接口進行電氣隔離以保證某序列內部部件的故障不會影響其他序列的功能。反應堆保護系統和非安全系統之間進行電氣隔離和通信隔離，通信隔離滿足IEEE 7-4.3.2—2003［5］附件E中通信獨立性的要求。

單一故障準則以及與之相關的冗余和獨立性原則與反應堆保護系統的結構設計、供電設計、電纜橋架和電纜槽設計、系統通信以及隔離設備等相關，在系統設計階段將按IEEE 379—2000以及IEEE 352—1987［6］的要求進行單一故障分析。

2.2 完整性

IEEE 603—1991［2］中規定“安全系統應在設計基準所列的全部適用條件下完成所承擔的安全功能”，這里“全部適用條件”包括設計基準事故引起的全部正?；虍惓５墓╇姾铜h境條件，如電壓、頻率、溫度、濕度、壓力、沖擊、振動、地震、電磁干擾以及輻射等。反應堆保護系統應進行各種環境鑒定試驗，包括電壓和頻率瞬態試驗、溫度試驗、濕度試驗、壓力試驗、沖擊試驗、振動試驗、抗震試驗、電磁干擾試驗、輻照試驗等以確保系統的完整性。

反應堆保護系統設備安裝于抗震機柜內，設備和部件的機械設計應滿足相應的抗震要求。反應堆保護系統設備將根據IEEE 344—2004［7］的要求進行抗震分析，以保證系統在地震條件下的完整性。

反應堆保護系統機柜和機箱的散熱設計確保系統運行時的溫度條件在規定限值范圍內。機柜冷卻裝置確保系統設備和部件在核電廠正常和異常溫度條件下的充分冷卻。

反應堆保護系統的信號處理部件的設計可確保在發生異常，如輸入輸出處理故障、精度或圓整問題、系統恢復錯誤、電壓和頻率波動等情況下保持安全功能。測試和校驗功能及安全功能分別由不同的子系統承擔，以保證測試和校驗功能不影響安全功能。

反應堆保護系統設備機柜按IEEE 1050—1996［8］的要求進行正確接地，以降低外部干擾的影響。數字處理部件的自檢功能以及系統的自診斷子系統可檢測部件、子系統和序列的故障。系統完整性與整個系統、系統所有部件、系統功能設計及系統測試需求相關。

2.3 質量

反應堆保護系統的質量由系統設計、開發和生產過程的質保程序來保證。

反應堆保護系統的設計和開發過程按技術支持過程（TSP）的要求組織進行，TSP 是按10CFR 50附件B［9］以及HAF 003［10］的要求設計的反應堆保護系統設計開發流程；反應堆保護系統的生產制造也將符合HAF 003的要求；系統的獨立驗證和確認活動滿足IEEE 1012—1998［11］的要求；對于系統采用的商業級物項，也將按EPRI 106439—1996［12］的要求進行商業級物項認證。

反應堆保護系統的質量特性與設計、開發以及生產活動中的質保程序相關，通過質保程序中規定的質?；顒觼肀ＷC。

2.4 確定性

反應堆保護系統的確定性特性和系統執行的安全功能相關。10CFR 50附件A 通用設計準則［1］第20條規定“保護系統應設計為（1）自動觸發包括反應性控制系統在內的相關系統的動作，以確保在預期運行事件下不會超出規定的燃料設計限值，并且（2）探測事故狀態，并觸發安全重要的系統和設備運行?！被贜uPAC的反應堆保護系統將自動觸發反應堆停堆和專設安全設施動作以緩解設計基準事故的后果。反應堆停堆和專設安全設施將自動觸發直到動作完成。按IEEE 603—1991［2］第6.6 和6.7節的方法，系統的運行旁通和維護旁通不會影響安全功能的自動觸發。

反應堆保護系統的確定性也與系統的故障安全模式相關。10CFR 50 附件A 通用設計準則［1］第23條規定“當發生下列情況，比如系統斷開、失去動力源（如電源、儀表空氣），或出現假設的惡劣環境時（如極熱或極冷、火災、壓力、蒸汽、水和輻射），反應堆保護系統應設計為故障時進入安全狀態，或故障時進入設計基準能夠接受的狀態?！狈磻淹６压δ茉O計為失電觸發以滿足故障安全要求。專設安全設施觸發功能設計為得電觸發以防止安全系統的誤動作。反應堆保護系統的自診斷功能能夠檢測系統部件的故障，出現嚴重故障（如核心FPGA 或應用FPGA 芯片故障）時，自動產生停堆觸發命令。

反應堆保護系統的確定性也與反應堆停堆和專設安全設施觸發功能的邏輯實現有關。FPGA 中的有限狀態機將確保功能邏輯執行的確定性。

反應堆保護系統的確定性也與通信以及系統的安全顯示相關。根據導則DI＆C-ISG-04—2009［13］的要求，系統序列間通信、序列內通信以及和非安全系統之間的通信將采用確定的點對點串行通信。此外，反應堆保護系統的安全顯示是確定的，顯示信息將以固定的刷新率周期性地進行傳輸和刷新。

2.5 多樣性和縱深防御（D3）

儀控系統采用的數字計算機技術引起的影響安全的共模故障是安審機構關注的重點之一。SECY 93-087 ⅡQ—1993［14］指出“共模故障可導致硬件結構的冗余失效，也可導致由數字儀控系統執行的監測、控制、反應堆保護、專設安全功能提供的一道或多道縱深防御屏障的喪失?！睂tNUREG 0493A［15］描述了對1 個基于數字計算機的反應堆保護系統的多樣性和縱深防御分析，分析表明該系統采用縱深防御屏障之間的一定程度的隔離來實現對共因故障的防御（NUREG 0800BTP 7-19［16］）。

反應堆保護系統采用DI＆C-ISG-02—2009［17］和RG 1.152—2011［18］中規定的方法提供多樣性和縱深防御措施。反應堆保護系統由反應堆停堆系統、專設安全設施觸發系統和事故后監測系統組成，根據NUREG 0800BTP 7-19［16］的規定，這3個系統構成了抵御共因故障的3道屏障。此外，基于FPGA 技術的反應堆保護系統和基于CPU 及軟件技術的控制系統之間是多樣的。

反應堆保護系統在主控室為停堆和專設安全設施的手動觸發提供了監測和控制手段。作為自動停堆的后備，手動停堆信號通過硬接線送至系統設備驅動輸出的下游，即送至停堆斷路器控制回路。來自主控室安全盤操作開關的專設安全設施的手動驅動信號通過硬接線送至符合邏輯子系統。

10CFR 50附件A 通用設計準則［1］第22條規定“設計技術，比如功能多樣性、部件多樣性和運行多樣性，應盡可能采用以防止保護功能的喪失?！狈磻驯Ｗo系統采用功能多樣性設計技術，對核電廠的每個設計基準事故均設置了2個以上不同的保護參數進行監測和保護。

2.6 可靠性

反應堆保護系統應具有較高的可靠性：1）系統拒動概率應小于1.2×10-5；2）引起電廠停機的系統故障概率應小于0.002 次／年。反應堆保護系統的定性和定量可靠性分析將提供系統可靠性的分析和證明。

系統的4冗余設計極大地提高了系統的可靠性，此外，系統部件充分的平均無故障時間（MTBF）也為系統可靠性提供了保障。

2.7 安保性

2001年9月11日發生在美國紐約的恐怖襲擊事件引起了核安全監管機構對核電廠安全系統安保問題的關注。10CFR 73.54［19］的部分條款中要求，電站許可證申請單位應確保數字計算機和通信系統及網絡免受網絡攻擊。

RG 1.152—2011［18］規定反應堆保護系統應置于安全的開發環境和運行環境中。反應堆保護系統設計開發項目建立了數字安保計劃，建立了與互聯網隔離的并受控的集中式信息系統。對該信息系統的訪問設置了物理和邏輯上的權限控制。安裝于集中式信息系統上的配置管理系統，以及驗證和確認活動可以消除對安全系統軟件的無意的、不需要的和不期望的修改。

根據IEEE 603—1991［2］第5.9節的要求，反應堆保護系統將提供行政權限控制措施，這些措施將包括門鎖、鑰匙開關以及登陸密碼。

反應堆保護系統和非安全控制系統之間的單向通信保證安全功能不會受到與之連接的非安全控制系統的影響，用戶也無法通過控制系統訪問反應堆保護系統。

當可編程邏輯下載燒寫到FPGA 芯片形成FPGA 芯片內的硬件電路后，這些硬件電路不會受到數字攻擊的影響。對FPGA 芯片的修改和訪問需要特殊的工具和接口，當系統運行時這些工具和接口會被移除。

2.8 可操作性

雖然反應堆保護系統的設計可保證設計基準事故發生后72h內無需操縱員干預，但系統也提供了手動操作所需的人機界面資源。反應堆保護系統的人機界面資源包括主控室的安全盤、輔助控制室的非安全盤、主控室的安全顯示界面以及設備控制機柜內的設備就地操作面板。所有人機界面的設計均滿足IEEE 1023—2004［20］的要求。

主控室安全盤上的手操開關提供安全功能的手動觸發手段，來自手操開關的手動觸發信號送入反應堆保護系統的符合邏輯子系統中。主控室安全盤手操開關的設計應滿足IEEE 603—1991［2］第5節和第6.2節的要求。

位于主控室的反應堆保護系統安全顯示也提供軟操界面。系統軟操功能包括對某些可能導致嚴重后果的安全設備的部件級手動操作、保護功能的阻止和復位操作以及核測信號的校驗功能。主控室安全顯示界面設計滿足IEEE 603—1991［2］第5.8節要求，提供的信息顯示滿足RG 1.97—2003［21］和IEEE 497—2002［22］的要求。安全顯示的畫面設計符合NUREG 700［23］和NUREG 711［24］的要求。

當發生火災等事故導致主控室不可居留時，輔助控制室的非安全盤上的手操開關為操縱員提供了后備的手操手段。來自輔助控制點非安全盤手操開關的手動觸發信號經光電隔離后送至反應堆保護系統符合邏輯子系統。操縱員在輔助控制點手動操作所需的信息來自非安全顯示界面。主控室的手操開關和輔助控制點的手操開關間通過轉換開關進行聯鎖，保證僅有來自一個地方（主控室安全盤或輔助控制點非安全盤）的反應堆保護系統手動操作有效。

反應堆保護系統安全顯示界面也為引起嚴重后果的安全設備提供部件級的手動軟操功能，此外所有反應堆保護系統控制的安全級和非安全級設備均可通過設備控制模塊的就地操作面板進行手動操作。

2.9 兼容性

基于NuPAC平臺的反應堆保護系統的目標用戶是CAP系列大型先進壓水堆核電廠，因此，反應堆保護系統的設計應和目前及未來的CAP系列核電廠設計相匹配，反應堆保護系統的性能，如通道精度和通道響應時間應滿足目前CAP核電廠的要求。

NuPAC 平臺提供足夠的能力，可實現CAP系列核電廠要求的反應堆停堆、專設安全設施觸發、事故后監測以及維護和測試等功能。NuPAC平臺也可實現所要求的設備控制和優選控制邏輯功能。NuPAC 平臺能實現復雜的算法，如超功率ΔT 計算、超溫ΔT 計算，甚至偏離泡核沸騰比計算。NuPAC 平臺為反應堆保護系統提供與其他系統和設備接口必需的輸入輸出信號接口和通信接口。

基于NuPAC的反應堆保護系統設備將滿足CAP系列核電廠的土建設計要求，機柜尺寸、安裝方式以及電纜布線都將和目前以及未來CAP系列核電廠設計相匹配。

反應堆保護系統設備供電將和目前及未來CAP系列核電廠供電系統設計相匹配，系統供電滿足中國電源規范，系統耗電不超出目前CAP電站供電系統的容量范圍。

基于NuPAC平臺的反應堆保護系統也可用于已建核電廠的現代化升級改造。輸入輸出信號接口可覆蓋已建核電廠的儀控系統接口類型。系統耗電小于模擬式系統，因而可滿足已建核電廠供電系統的容量要求。

基于NuPAC平臺的反應堆保護系統滿足相關環保要求。反應堆保護系統設備將通過中國CCC 認證以防止設備對人員的人身傷害。反應堆保護系統設備滿足除鉛之外的其他RoHS要求，鉛的使用僅限于印刷電路板的插針以及焊錫中，并嚴格限制使用量。廢棄電路板將根據政府環保要求進行統一收集和處理。

2.10 性能

10CFR 50.36［25］規定必須確定安全儀表的保護定值，以確保自動保護功能能有效保護核電廠在安全限值范圍內運行。根據RG 1.105—1999［26］和 其 背 書 的ISA 67.04—1994［27］規定，保護定值的計算應考慮安全儀表通道的所有誤差，其中包括計算機系統信號輸入卡件的測量誤差。

根據RG 1.105—1999［26］和ISA 67.04—1994［27］，儀表通道的誤差來自測量儀表以及電子測量電路的線性度、磁滯回環、死區和可重復度。儀表誤差不在本文范圍之內，但反應堆保護系統的電子測量電路應具有良好的精度以盡可能減小儀表通道的測量誤差，并滿足CAP系列核電廠的精度要求?；贜uPAC的反應堆保護系統提供穩定的測量精度，電壓和頻率波動不會影響精度。此外，在4～60 ℃范圍內及考慮6、12、18和30個月時間漂移的影響情況下，系統輸入卡件仍能滿足基本的精度要求。

IEEE 603—1991［2］第4.10 節規定“設 計基準事故開始后的關鍵時間點和電廠條件”應作為反應堆保護系統需滿足的設計基準，因此，反應堆保護系統的響應時間，即從保護參數超出定值，到執行機構的觸發所經歷的時間，應滿足上述規定的設計基準的要求。反應堆保護系統的結構應保證系統響應時間滿足CAP 系列核電廠響應時間要求。此外，由于FPGA 硬件電路的并行執行的特點，基于NuPAC 的反應堆保護系統的響應時間將優于基于CPU 和軟件技術的系統。

2.11 可維護性

10CFR 50［1］附 件A 通 用 設 計 準 則 第21條規定“反應堆保護系統應能在反應堆運行時進行功能的定期測試，包括對通道的獨立測試以確定故障，以及可能發生的系統冗余的喪失?！盜EEE 603—1991［2］第5.7節也規定“應提供安全系統設備的定期測試和校驗功能，同時保持執行相關安全功能的能力?！?/p>

反應堆保護系統的自診斷功能能探測大部分系統部件的可檢測故障，通過4序列之間的比較也可檢測序列故障。系統和部件自診斷功能不能覆蓋的故障將通過定期測試來檢測，定期測試由序列內的維護測試子系統實現。維護測試子系統可對相應序列進行維護和測試，其中包括IEEE 338—1987［28］規定的功能測試、精度測試和響應時間測試。系統的4冗余設計使得在對單個序列進行維護測試時，其他3個序列仍能有效地執行所需的安全功能。

根 據IEEE 603—1991［2］第5.10 節 的 要求，反應堆保護系統設備和部件應便于維護和替換。系統卡件可進行熱插拔，卡件替換也無需特殊工具。此外卡件的維護、測試和替換無需斷開或改變電纜接線。

根 據IEEE 603—1991［2］第5.11 節 的 要求，反應堆保護系統設備應進行清晰的標識以便于電廠運行人員識別系統設備。此外LED指示也為運行人員識別故障部件提供了方便。

2.12 設計裕量和可持續性

反應堆保護系統為今后系統擴展和升級提供足夠的設計裕量，系統具有至少15%的輸入輸出裕量；FPGA 資源占用率不超過95%；設備機柜占用的設備廠房空間也為今后增加機柜留出了裕量。由于NuPAC 分散式的結構特性，如果不是安裝空間和供電容量的限制，基于NuPAC的反應堆保護系統可無限擴展。

相比CPU 技術而言，FPGA 技術具有更好的可移植性，芯片的升級換代不會引起系統硬件和軟件的重大變更。此外，FPGA 芯片具有更長的使用壽命。盡管如此，在系統設計開發過程中，也會建立反應堆保護系統主要部件的升級管理計劃以及技術更新計劃，以為用戶提供長期的支持和備品備件服務保證。

2.13 靈活性

與集中式的分散控制系統或可編程邏輯控制器相比，NuPAC 平臺具有分散式系統結構（圖1）。每塊通用邏輯模塊均具備輸入輸出和處理功能。每塊卡件均可任意配置不同的I／O子卡，從而執行不同的功能；由最多18塊通用邏輯模塊構成的機箱可執行更復雜的功能；機箱間可通過數據通信連接，形成更大的系統?；贜uPAC平臺的反應堆保護系統可獲得更大的靈活性和可擴展性。

2.14 經濟性

NuPAC平臺采用標準化模塊設計，最大程度地減少卡件種類，從而降低核電廠的維護成本。此外，由于FPGA 技術良好的移植性，原有的開發好的可編程邏輯可移植到升級后的FPGA 芯片中，從而最大程度節約了核電廠在升級改造中需重新投入的軟件開發成本。

此外，在設計開發過程中將建立供應鏈管理計劃，以最大程度降低生產成本，因而降低核電廠備品備件的成本。

圖1 NuPAC平臺結構Fig.1 Architecture of NuPAC platform

3 結論

關鍵特性是反應堆保護系統為了滿足法規標準要求和用戶需求所需具備的最重要的設計特征。關鍵特性的分析和識別經過了頭腦風暴、源數據分析及相關性分析過程。

在相關性分析中，每個關鍵特性均與有關的法規和標準相關聯。關鍵特性分析是反應堆保護系統需求分析的第1步，關鍵特性及其相關性分析為下一步的需求分析提供了基礎性的指導。系統需求將在關鍵特性分析基礎上進行擴展和細化，保證系統設計滿足關鍵特性要求，也滿足有關法規和標準的要求。

［1］ NRC.10CFR 50 Domestic licensing of production and utilization facilities，Appendix A：General design criteria for nuclear power plants［S］.USA：NRC，2007.

［2］ IEEE.IEEE 603—1991 IEEE standard criteria for safety systems for nuclear power generating stations［S］.USA：IEEE，1991.

［3］ IEEE.IEEE 379—2003 IEEE standard application of the single-failure criterion to nuclear power generating station safety systems［S］.USA：IEEE，2000.

［4］ IEEE.IEEE 384—1992 IEEE standard criteria for independence of class 1eequipment and circuits［S］.USA：IEEE，1992.

［5］ IEEE.IEEE 7-4.3.2—2003 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations［S］.USA：IEEE，2003.

［6］ IEEE.IEEE 352—1987 IEEE guide for general principles of reliability analysis of nuclear power generating station safety systems［S］.USA：IEEE，1987.

［7］ IEEE.IEEE 344—2004 IEEE recommended practice for seismic qualification of class 1eequipment for nuclear power generating stations［S］.USA：IEEE，2004.

［8］ IEEE.IEEE 1050—1996 IEEE guide for instrumentation and control equipment grounding in generating stations［S］.USA：IEEE，1996.

［9］ NRC.10CFR 50 Domestic licensing of production and utilization facilities，Appendix B：Quality assurance criteria for nuclear power plants and fuel reprocessing plants［S］.USA：NRC，2007.

［10］中國核安全局.HAF 003 核電廠質量保證安全規定［S］.北京：中國核安全局，1991.

［11］IEEE.IEEE 1012—1998 Standard for software verification and validation［S］. USA：IEEE，1998.

［12］TOROK R C.EPRI TR 106439—1996 Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications［S］.USA：Electric Power Research Institute，1996.

［13］NRC.DI＆C-ISG-04—2009 Highly-integrated control rooms：Communications issues（HICRc）［S］.USA：NRC，2009.

［14］NRC.SECY 93-087ⅡQ—1993 Policy，technical，and licensing issues pertaining to evolutionary and advanced light-water reactor（ALWR）designs（Item ⅡQ）［S］.USA：NRC，1993.

［15］NRC.NUREG 0493A Defense-in-depth and diversity assessment of the RESAR-414integrated protection system［S］.USA：NRC，1979.

［16］NRC.NUREG 0800 BTP 7-19 Guidance for evaluation of diversity and defense-in-depth in digital computer-based instrumentation and control systems［S］.USA：NRC，2007.

［17］NRC.DI＆C-ISG-02—2009 Diversity and de-fense-in-depth interim staff guidance［S］.USA：NRC，2009.

［18］NRC.RG 1.152—2011 Criteria for digital computers in safety systems of nuclear power plants［S］.USA：NRC，2011.

［19］NRC.10CFR 73.54 Protection of digital computer and communication systems and networks［S］.USA：NRC，2009.

［20］IEEE.IEEE 1023—2004 IEEE recommended practice for the application of human factors engineering to systems，equipment，and facilities of nuclear power generating stations and other nuclear facilities［S］.USA：IEEE，2004.

［21］NRC.RG 1.97—2003 Demonstrating control room envelope integrity at nuclear power reactors［S］.USA：NRC，2003.

［22］IEEE.IEEE 497—2002 IEEE standard criteria for accident monitoring instrumentation for nuclear power generating stations［S］. USA：IEEE，2002.

［23］NRC.NUREG 700 Human-system interface design review guidelines［S］.USA：NRC，2002.

［24］NRC.NUREG 711 Human factors engineering program review model［S］.USA：NRC，2004.

［25］NRC.10CFR 50.36 Domestic licensing of production and utilization facilities-technical specifications［S］.USA：NRC，2008.

［26］NRC.RG 1.105—1999 Setpoints for safety-related instrumentation［S］.USA：NRC，1999.

［27］Instrument Society of America.ISA 67.04—1994 Setpoints for nuclear safety-related instrumentation［S］. USA：Instrument Society of America，1994.

［28］IEEE.IEEE 338—1987 IEEE standard criteria for the periodic surveillance testing of nuclear power generating station safety［S］. USA：IEEE，1987.