GB/T 13629-1998 核电厂安全系统中数字计算机的适用准则

华人民共和国国家标准

核电厂安全系统

数字计算机的适用准则

Applicablecriteriafordigitalcomputers

insafetysystemsofnuclearpowerplants

GB/T13629-XX

1范围

本标准规定了计算机用作核电厂安全系统设备时的有关准则。

GB13284-规定了核电厂安全系统（动力源、仪表和控制部分）最低限度的功能和设计要

求，但不包括计算机用作安全系统组成部分时的附加要求。本标准用来补充这方面的要求，与

GB13284-一起规定了计算机用作安全系统设备时的最低功能要求和设计要求。

在本标准范围内，术语“计算机”是一个包括计算机硬件、软件、固件和接口的系统。

2引用标准

下列标准所包含的条文，通过在本标准中引用而构成为本标准的条文。本标准出版时，所

版均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的的可能

性。

GB7163-87核反应堆保护系统可靠性分析要求

GB9225-88核反应堆保护系统可靠性分析一般原则

GB12788-91核电厂安全级电力系统准则

GB13626-92单一故障准则用于核电厂安全级电气系统

GB13284-核电厂安全系统准则

EJ/T694-92核工业计算机软件质量保证规范

EJ/T743-93核工业计算机软件配置管理计划编制指南

EJ/T797-93人因工程原则在核电厂系统设备和设施中的应用

EJ/Txx核电厂安全系统计算机软件

HAF0400（91）核电厂质量保证安全规定

3定义

本标准采用下列定义。

3.1商品级物项commercialgradeitem

满足下述条件的物项：

a)不是为核设施专门设计或不以核设施特有的技术要求为条件；

b)用于非核设施；

c)按制造厂产品说明（例如样本）中规定的技术条件从制造厂或供货商处采购。

3.2商品级物项适用性确认commercialgradededication

为了充分确信商品级物项适合于核安全应用，对商品级物项进行评价（包括测试）和验收的

过程。

国家技术监督局19批准19实施

GB/T13629—

3.3固件firmware

具有软件功能的硬件，如驻留在只读存储器中的软件和数据的组合。

3.4安全系统safetysystem

与安全有重要关系的系统，用于在任何工况下保证反应堆安全停堆，从堆芯排出热量或限制

预计运行事件和事故工况的后果。

3.5软件工具softwaretools

一种用来开发、测试、分析或维护其他程序或其文件的计算机程序。例如：比较程序，交叉

引用生成程序，反编译程序，驱动程序，编辑程序，流程图程序，监控程序，试验案例生成程序，

定时分析程序。

在本标准中，软件工具包括编译程序。

3.6系统试验systemtesting

为了评价一个完整的已集成的系统与其规定要求之间的一致性，对该系统进行的全面试验。

3.7验证与确认（V&V）verificationandvalidation

确定对一个系统或设备制定的要求是否完整和正确、每个研制阶段的产品是否满足前一个阶

段提出的要求或条件、最终的系统或设备是否符合预定要求的过程。

3.8配置管理configurationmanagement（control）

鉴别和确定系统中的配置项、管理整个系统寿期中这些配置项的释放和变更、记录和报告配

置项的状态和变更请求的过程。

4安全系统设计基准

安全系统设计基准应与GB13284-第4章的要求相一致。此外，为了符合使用计算机的安

全系统设计基准，还应满足章的下述要求。

除了GB13284-中4.7的规定以外，瞬态和稳态条件还应包括电磁环境（含静电放电），

见附录C（提的附录）。

关于本标准与GB13284的关系详见附录A（提的附录）。

5安全系统准则

章按GB13284-第5章的顺序列出安全系统准则。对有些准则，除了GB/T13629的规

定以外没有附加要求。而对另外一些准则，章给出其附加要求。

5.1单一故障

见GB13284-中5.1，见附录B（提的附录）。

5.2保护动作的完成

见GB13284-中5.2。

5.3质量

硬件质量要求见GB13284-中5.3和HAF0400（91）。计算机的研制活动应包括计算机硬

件和软件的研制。在研制过程中应考虑计算机硬件与软件的集成以计算机与安全系统的集成。

典型的研制过程见附录E（提的附录）的图E1。

为了符合质量准则，除了GB/T13284的要求之外，还应满足下述要求：

a)软件研制；

b)现有商品级计算机的质量鉴定；

c)软件工具；

d)验证与确认；

2

GB/T13629—

e)配置管理。

5.3.1软件研制

计算机软件应按批准的软件质量保证大纲进行研制、修改或验收，这一质量保证大纲应与附

录I（提的附录）（除I6和I9.2外）的要求相一致。软件质量保证大纲应考虑运行时计算机的

所有常驻软件（即：应用软件、网络软件、接口程序、操作系统以及诊断程序）。编制软件质量

保证大纲的指导见EJ/Txx和EJ/T694。

5.3.2现有商品级计算机的质量鉴定

本标准介绍计算机研制的一般要求时，已经认识到在某些情况下有必要对现有的商品级计算

机进行质量鉴定，以便能应用于安全系统。可由商品级物项的第三方进行质量鉴定，也可由未按

本标准要求研制计算机的制造商来进行质量鉴定。

为确信能够完成安全功能，计算机的质量鉴定过程必须确定必需的功能要求和性能要求。质

量鉴定过程应适用于支持完成安全功能所需要的计算机硬件、软件或固件。此外，要切实可行，

软件和固件的质量鉴定过程应包括设计过程的评价。

应将硬件和软件的设计同本标准的设计准则进行比较来完成质量鉴定过程。要存在其他的

补偿因素能提供相当的结果，可以对本标准或引用标准要求的研制步骤采取某些例外。可能有必

要选择V&V活动，以便充分确信所述物项能满足功能要求和性能要求。

验收应根据工程判断来进行，使得可取得的证据能充分确认：包括硬件、软件、固件和接口

在内的现有商品级计算机能够完成其预期的功能。验收其依据应形成文件，并同质量鉴定文件

一起保存。要求的文件以运行时在计算机中的常驻软件应置于配置管理之下。

在初始质量鉴定完成以后对计算机硬件、软件或固件所作的设计变更应按本标准的要求进行

控制，或者按本条要求重新进行质量鉴定。

关于现有商品级计算机质量鉴定的信息详见附录D（提的附录）。

5.3.3软件工具

应在软件研制过程中确定软件工具。要对使用软件工具所产生的软件进行了V&V且可检

查出软件工具引入的缺陷，则对该软件工具不再要求进行见证、审查和试验等V&V活动。软件

工具应进行标识并置于配置管理之下。

5.3.4验证与确认（V&V）

在软件的研制和修改过程中，应进行V&V（包括追溯性检查和试验），应按附录I（提的

附录）的I3和I4进行。硬件验证应按HAF0400（91）进行。V&V应证实安全系统要求以每

个研制阶段中规定的要求（包括对可信异常情况的处理）已经得到实施。V&V应包括计算机软

件和硬件，非计算机硬件以及它们的集成，V&V还应包括对最后集成的硬件、软件、固件和接

口的系统试验。

应制定V&V计划，以便确认设计的正确性和完整性。V&V计划应规定一些特定的活动或试

验项目，它们将由胜任的非原设计人员或小组独立地检查、见证、执行或审查。V&V计划应由

有资格的非原编制人员或小组进行审查，见HAF0400（91）的2.2和第4章。编制V&V计划的

指导见EJ/Txxx。

关于V&V的信息详见附录E（提的附录）。

5.3.5软件配置管理

应按附录I（提的附录）的I4进行软件配置管理。编制软件配置管理计划的指导见EJ/T743。

应按HAF0400（91）第5章进行硬件配置管理。

5.4设备质量鉴定

为了满足设备质量鉴定准则，除了GB13284-中5.4的要求之外，还应满足下述要求。

设备质量鉴定试验应在计算机运行并使用其实际操作中所用的代表性软件和诊断程序时进

行。对于计算机完成安全功能所必需的所有部分，或者其运行或故障可能对安全功能有损害的部

3

GB/T13629—

分，都应在设备质量鉴定过程中进行试验。确切地说，这包括存储器、CPU、输入和输出、显

功能、诊断、相关部件、通信路径和接口。试验应证明已满足设计的基性能要求。

5.5系统完整性

为了满足系统完整性准则，除了GB13284-中5.5的要求之外，还应满足下述要求：

a)计算机完整性设计；

b)试验和校准设计。

5.5.1计算机完整性设计

除了GB/T13629规定的设计基准工况之外，计算机还应设计成在所有可能造成安全功能失

效的内部或外部条件下完成其安全功能，这些条件如输入和输出处理故障，准确度或舍入问题，

不适当的恢复动作，电源电或频率波动，信号同时改变的最大可信次数，电磁干扰等，见附录

C和F（提的附录）。

如果设计基准已规定安全系统的优先故障模式，则计算机故障不得阻碍安全系统处于该故障

模式。计算机完成再启动操作不应阻止安全系统完成其功能。

5.5.2试验和校准设计

试验和校准功能不得对计算机完成其安全功能的能力产生有害的影响。适当地旁通一个冗余

通道并不认为是一种有害影响。应验证：试验和校准功能并不影响与校准变更（例如变更整定值）

无关的其他计算机功能。

当试验和校准功能由另外的计算机（例如，试验和校准计算机）完成并由该计算机提供试验

和校准数据的唯一验证时，则应对这些功能要求进行V&V、配置管理和质量保证。当试验和校

准功能由安全系统中的计算机来完成时，也应对这些功能要求进行V&V、配置管理和质量保证。

当驻留在另外计算机中的试验和校准功能不是为安全系统的计算机提供试验和校准数据的

唯一验证时，则对这些功能不要求进行V&V、配置管理和质量保证。

5.6独立性

为了满足独立性准则，除了GB13284-中5.6的要求之外，还应满足下述要求。

安全通道之间或安全系统与非安全系统之间的数据通信不得阻碍安全功能的执行。

计算机软件或固件的安全功能部分和非安全功能部分可能很难隔离开，处理这一问题有下面

两种可接受的方法：

a)确定屏障要求，以便充分确信软件或固件的非安全功能部分不会妨碍其安全功能部分的

执行。这些屏障应按5.3和5.5的要求进行设计，不要求非安全软件满足这些要求；

b)按5.3和5.5的要求研制软件或固件的非安全功能部分。

关于独立性准则的信息详见附录G（提的附录）。

5.7试验与校准能力

见GB13284-的5.7。

5.8信息显

见GB13284-的5.8。

5.9接近管理

见GB13284-的5.9。

5.10维修

见GB13284-的5.10。

5.11标识

见GB13284-的5.11。

5.12辅助支持设施

见GB13284-的5.12。

5.13多机组电厂

4

GB/T13629—

在多机组电厂中，要同时完成各机组中安全功能的能力不受损害，机组间共用构筑物、系

统和设备是允许的。关于机组间共用电力系统的设计指导见GB12788。关于单一故障准则在共

用系统中应用的指导见GB13626。

5.14人因考虑

在整个设计过程中特别是在初始阶段应考虑人因工程原则，以保证分配给操纵员、维修人员

的功能都能成功地完成，从而按EJ/T797的要求满足安全系统的设计目标。

5.15可靠性

对于已经规定了定量或定性的可靠性目标的系统，应对其设计进行适当的分析，以确认已达

到这样的目标。关于可靠性分析的指导见GB9225和GB7163。

当要求有定性或定量的可靠性目标时，应证明与硬件一起使用的软件也满足目标要求。确定

可靠性的方法可以包括分析、现场经验或试验的组合。软件差错记录或软件差错趋势分析可以同

分析、现场经验或试验结合起来使用。

关于可靠性准则的信息详见附录H（提的附录）。

6监测指令设备的功能和设计要求

见GB13284-第6章。

7执行装置的功能和设计要求

见GB13284-第7章。

8对动力源的要求

见GB13284-第8章。

5

GB/T13629—

附录A

（提示的附录）

本标准与GB13284-的相互关系

表A1给出了为满足本标准的要求对GB13284-的哪些条款进行了补充。

本标准的第4章至第8章与GB13284-的第4章至第8章相对应。

表A1GB13284-与本标准的关系

GB13284-准则本标准补充的要求提的附录

（按标准中出现顺序）

4.安全系统设计基准安全系统设计基准C

5.安全系统准则无

5.1单一故障准则无B

5.2保护动作的完成无

软件研制（见5.3.1）I

现有商品级计算机的质量鉴定（见5.3.2）D

5.3质量软件工具（见5.3.3）

验证与确认（见5.3.4）E和I

软件配置管理（见5.3.5）I

5.4设备质量鉴定对软件和诊断程序进行试验

5.5系统完整性计算机完整性设计（见5.5.1)C和F

试验和校准设计（见5.5.2）

5.6独立性独立性G

5.7试验和校准能力无

5.8信息显无

5.9接近管理无

5.10维修无

5.11标识无

5.12辅助支持设施无

5.13多机组电厂无

5.14人因考虑无

5.15可靠性要求有定量可靠性目标时，考虑硬件和软件H

6.监测指令设备的无

功能和设计要求

7.执行装置的无

功能和设计要求

8.对动力源的要求无

6

GB/T13629—

附录B

（提示的附录）

多样性需求的确定

B1背景

将计算机用作安全系统的组成部分时，对于计算机软件会导致共模故障的可能性已经引起了

人们的关注。多样性是处理这一问题的一种方法。本附录为确定多样性的需求提供指导。

B2讨论

可能存在某些情况，在这些情况下除了由设计和质量保证（QA）大纲（包括软件QA和V&V）

所提供的保证以外，还可能需要某种形式的多样性来提供附加保证。在计算机设计复杂（例如，

一项安全功能的所有控制或多项安全功能的某些方面在一台计算机上实现）和运行经验有限的情

况下，下面提供了一种方法，用来确定电厂的其他设施是否适用于功能多样性和纵深防御。

如果已有适当的多样性或者可将适当的多样性增加到核电厂设计中，则不需要计算机的多样

性。对于在设计中应用了有限经验且无多样性的复杂系统，应使用计算机的多样性。

B3确定多样性需求的方法

B3.1根据核电厂设计基准事件的分析，确定由拟用计算机完成的安全功能，并鉴别出其他安全

和非安全的设计措施，这些设计措施能对已确定的“不可接受结果”提供等效保护的相同或不同

的安全功能（例如，对于未能紧急停堆预期瞬态的缓解系统可为反应堆保护系统完成紧急停堆功

能提供功能多样性）。如果可以利用必需的控制器和显器在可接受的时间内支持操纵员完成适

当的操作，则操纵员的手动操作是可以接受的。

B3.2如果使用的设备不易受拟用计算机假想软件差错的影响从而具有功能多样性，则在拟用系

统的冗余通道中使用相同的软件是可以接受的。

B3.3如果不存在功能多样性，则应进行纵深防御分析，以便确定在防御的各层次中（即反应堆

保护、专设安全设施以控制与监测系统）是否存在多样性。这一分析鉴别出每一层次中能阻止

被分析工况的出现或减轻其后果的设计措施，并确定在每一层次中的假想故障（例如软件差错）

是否可能对其他层次产生有害影响。如果能在要求的时间内完成其功能，则可以相信手动操作以

非安全级控制和监测设备。

B3.4如果分析表明对不可接受结果存在纵深防御，而且防御的各个层次不受假想软件故障的影

响，则在拟用系统的冗余通道中使用相同的软件是可以接受的。

B3.5如果分析不能肯定存在功能多样性或纵深防御，则应要求多样性设计。这可以用计算机与

非计算机通道的结合或者用多样化的计算机来实现。计算机的多样性可通过使用独立的计算机功

能规格书、计算机硬件、计算机语言等来实现，以便尽量降低共因故障的概率。

7

GB/T13629—

附录C

（提示的附录）

抗电磁干扰能力

C1背景

考虑电磁环境的必要性是由于计算机对电磁干扰敏感，电磁干扰可能导致计算机工作不正常

或对计算机造成损害。

第4章要求在确定安全系统设计基准条件时考虑电磁环境。5.5.1要求计算机设计成能在各

种对计算机造成危害的内部或外部条件下（包括电磁干扰）完成其安全功能。本附录对这种考虑

提供指导，并为定义和性能提供参考文件。

C2讨论

电磁干扰可由数种耦合机理引起，这些耦合机理应在电磁环境的定义、设备的电磁干扰试验

以计算机设计中加以考虑。

C2.1电磁环境的确定

电磁环境可通过测量和分析来确定，它可以是应用场合所特有的，或者是核电厂中普遍存在

的。测量电磁环境的指导见附录J（提的附录）的J1和J2。

C2.2电磁环境的评定

如GB13284-中5.5所述，安全系统设备应设计成能在核电厂的电磁环境条件下完成其安

全功能。这要求考虑四种耦合机理（传导性的、辐射性的、感应性的、电容性的）以静电放电

（ESD）。

C2.2.1传导耦合

大约80%的噪声是由传导耦合的，这种耦合有三种属性：

a）需要金属接触；

b）噪声不受人或电缆移动的影响；

c）噪声波形具有非零平均值（直流信号分量）。

传导耦合可以通过切断或分开金属接触，或者通过对噪声滤波消除。

C2.2.2辐射耦合

辐射耦合即通常所谓的电磁辐射或射频耦合，它在1/6波长以上的距离发生。这种耦合通常

和高频有关，这时的波长足够小，可在短距离上进行耦合，例如电缆或任何天线类设备。电磁

场强度与离辐射源的距离成反比，与发射功率的平方根成正比。阻止辐射耦合噪声的唯一办法是

采用屏蔽技术，屏蔽应完全地包围导体，用以吸收或反射扩散的波。

C2.2.3感应耦合

当噪声和信号电路或导体经受电流变化并具有互感时，便发生感应耦合或电磁耦合。由这种

电磁场产生的能量（感应电）正比于电流对时间的变化率（di/dt)以及导体的长度和轴向位移。

a）感应噪声的某些可识别特性是：

1）噪声的频率高或电流强（动力电缆）；

2）具有很大的布线电感；

3）不受非导电材料的影响；

4）形成一个可探测的磁场。

8

GB/T13629—

b）消除感应耦合噪声的方法有：

1）减小噪声频率或电流源；

2）降低互感（环形线面积和导体的距离）；

3）对噪声的滤波或屏蔽。

C2.2.4电容耦合

电容耦合是由信号与噪声电路中金属表面之间的电场（电改变）引起的。因此，电容耦合

取决于金属的表面积、间距、阻抗和介质。

a）电容耦合噪声的某些可识别特性有：

1）相对于信号电有较高的噪声电；

2）金属表面形成电容；

3）高阻抗信号电路；

4）噪声受电缆或人员移动影响。

b）消除电容耦合噪声的方法有：

1）降低电或减小噪声源频率；

2）降低耦合电容（表面积）；

3）降低线路阻抗；

4）使用屏蔽。

可通过试验、分析或类似环境中有文件证明的运行经验等的组合来证明系统的抗电磁干扰能

力，这些活动要求考虑总的系统设计，其中包括某些降低设备敏感性的设计措施，例如采用绞合

电缆、屏蔽电缆、光纤通信电缆等。

关于试验的指导见附录J（提的附录）的J3~J10。

C2.3抗电磁干扰的系统设计

为防止电磁干扰，系统设计应采用下列技术：

a)屏蔽；

b)地线选择；

c)布线路径；

d)抑制；

e)滤波；

f)数据品质检查；

g)软件处理（例如，软件带通滤波）。

设计指导见附录J（提的附录）的J11和J12

9

GB/T13629—

附录D

（提示的附录）

现有商品级计算机的质量鉴定

D1背景

在有些情况下，安全系统设计全部或部分采用了未按本标准的准则研制的计算机（硬件、软

件、固件和接口）。本附录的目的是帮助处理这些情况，以便允许在安全系统中使用商品级计算

机。

本附录概述了应予遵守的主要步骤，以便证实现有的商品级计算机具有高的质量和可靠性，

从而允许它们在安全系统中使用，见5.3.2。当制造商未按HAF0400（91）完成设备采购活动时，

进行商品级物项适用性确认过程的各项活动可能是适当的。本附录还说明对已鉴定的现有商品级

计算机继续鉴定的问题。

D2讨论

第三方或制造商的质量鉴定所产生的文件可能达不到按本标准设计和研制所产生的设计文

件的深度。然而，现有的商品级计算机可能具有运行经验证据的文件资料。应相信与核电厂中

计算机应用方式相类似的情况下所取得的运行经验。运行经验是对设计过程文件以验证与确认

活动的补充。

制造商对现有商品级计算机进行质量鉴定可能容易取得许多有用的资料，这些资料对第三方

质量鉴定者来说是不可能接触到的。例如：关于计算机软件程序信息的可利用性，设计和审查过

程的详细情况（即V&V），运行经验文件，以计算机硬件设计和软件设计的维护（即配置管

理）。

虽然附录J（提的附录）的J13不是专门为计算机应用编写的，但对第三方进行的商品级

物项适用性确认提供了一般指导。本附录对此加以补充，提供关于计算机的特定指导，而不是重

新规定适用性确认过程的所有要求。

对商品级计算机进行质量鉴定的目的是用合理的保证来确定：被鉴定的物项满足为完成安全

功能所必需的要求，这包括：

a)确定计算机应完成的安全功能；

b)确定计算机为完成这些安全功能所应具备的性能；

c)证明这些性能满意地得到实现。

D2.1确定计算机应完成的安全功能

应进行分析，以便确定为实现安全功能对计算机的功能和性能要求。这一分析还应确定可能

会妨碍计算机完成安全功能的异常状态和事件（ACE），见附录F（提的附录）。

D2.2确定计算机为完成安全功能所应具备的性能

应将D2.1确定的计算机功能和性能要求以ACE分配给硬件和软件。对软件应确定5.3.1

要求的研制步骤。

D2.2.1硬件

应确定分配给5.3.2要求的硬件部分的功能和性能要求以ACE。在功能和性能要求以

ACE方面所确定的计算机硬件特性的一些实例是：历史数据存贮，系统响应时间，抗震鉴定，

包括温度、湿度、辐射、电磁干扰在内的环境鉴定，人机接口以维修工具。

10

GB/T13629—

D2.2.2软件

应确定分配给5.3.2要求的软件部分的功能和性能要求以ACE。在功能和性能要求以

ACE方面所确定的计算机软件特性的一些实例是：系统响应时间，在异常情况期间实现已确定

的安全功能，要求的嵌入功能，正确实现逻辑和算法，操作系统功能，通信（内部和外部），存

贮器保护，整定值变更的控制，差错处理，同步，要求的中断，调整常数的控制，保证使中断不

妨碍安全功能的完成。

D2.2.3研制步骤

应确定5.3.1要求的软件研制步骤，研制过程的一些实例是：系统要求和验收准则的确定和

文件编制，软件要求的确定，软件设计的文件编制，硬件和软件的V&V，硬件和软件的集成试

验，硬件和软件的配置管理，程序员手册和用户手册，以差错鉴别、文件编制、通知和改正的

过程。

应鉴别出任何要求的但此前没有完成的V&V活动。

D2.3证明特性满意地得以实现

提供证明文件，表明设备和系统的验收符合功能和性能要求以本标准的要求。商品级计算

机设备的适用性确认包括：专门的试验和检查，供货商的商品级检测，源检验，合格供货商或产

品的验收性能记录，或者是以上各项的结合。

验收基于工程判断，确定是否具有充分的证据可确信现有商品级计算机的可用性。全部验收

活动应按计划进行并形成文件。此外，对于例外情况应根据工程判断编制证明文件。

D2.3.1硬件

应进行评价，表明D2.2.1确定的功能和性能要求已得到满足，ACE已得到解决。这可能需

要进行某些特殊试验（例如抗震试验、电磁敏感性试验）和V&V活动，对供货商的规格书进行

评价，或者信赖与核电厂中计算机应用方式相类似的情况下取得的已形成文件的运行经验。

D2.3.2软件

应进行评价，表明D2.2.2中确定的功能和性能要求已得到满足，ACE已得到解决。这可能

需要进行某些特殊试验和V&V活动，对供货商的规格书进行评价，或者信赖与核电厂中计算机

应用方式相类似的情况下取得的有文件证明的运行经验。

D2.3.3研制步骤

研制过程的验收应根据证据，证明对计算机的研制、文件编制和V&V已经按文件化的程序

进行。应完成D2.2.3确定的全部V&V活动。没有编制文件或者没有完成某些研制步骤可以用下

述措施之一来进行补偿：

a)在与核电厂中计算机应用方式相类似的情况下取得的已形成文件的运行经验；

b)对研制的应用程序进行V&V的结果，以支持操作系统或嵌入功能的验收。

D2.3.4继续保持商品级物项的适用性确认

一旦计算机硬件、软件或固件已经按商品级物项进行了采购，并且通过商品级物项的适用性

确认过程进行了验收，则推荐采用下述指导继续保持该物项的适用性确认：

a)对于已经过商品级物项适用性确认的计算机硬件、软件或固件进行的变更应能通过正式

文件进行跟踪；

b)对于已经过商品级物项适用性确认的计算机硬件、软件或固件进行的变更应按初次验收

时形成依据的过程进行评价；

c)应由具有商品级物项适用性确认经验的专家进行书面评价，以便充分确信对已经过商品

级物项适用性确认的计算机硬件、软件或固件的所有变更都已按批准的设计和V&V过程来完成，

如果在计算机硬件、软件或固件的修改过程中省略了批准过程的任一环节，则应要求作进一步的

批准。在这一书面评价中应考虑到计算机硬件的修改可能对软件或固件产生的潜在影响；

d)产品的原设计者对已批准的设计或V&V过程所作的任何变更应进行评价，如果这些变更

11

GB/T13629—

涉及到增加本标准要求的设计或V&V步骤，则不必再由商品级物项适用性确认的专家作进一步

的认可，如果这些变更涉及到删除本标准所要求的设计或V&V步骤，则应要求作进一步认可；

e)不能把对于特定的安全系统应用所进行的计算机硬件、软件或固件的商品