核電廠儀表和控制系統(tǒng)總體架構(gòu)設(shè)計(jì)研究

孫 娜

（華龍國際核電技術(shù)有限公司，北京 100036）

0 引言

核電廠儀控系統(tǒng)總體架構(gòu)由核安全相關(guān)的各個(gè)子系統(tǒng)組成，總體架構(gòu)設(shè)計(jì)從頂層視角給出各子系統(tǒng)的互聯(lián)關(guān)系，同時(shí)明確各子系統(tǒng)的物理位置以及對支持系統(tǒng)的要求。在新建電廠的設(shè)計(jì)中，早期就應(yīng)開始進(jìn)行儀控總體架構(gòu)的開發(fā)，以決策一些技術(shù)問題，如縱深防御層次以及層次之間的獨(dú)立性程度、安全系統(tǒng)的通道數(shù)量、占用的物理空間等。架構(gòu)設(shè)計(jì)階段，儀控設(shè)計(jì)人員應(yīng)與其它專業(yè)如電廠布置、反應(yīng)堆設(shè)計(jì)、系統(tǒng)工藝設(shè)計(jì)、人因設(shè)計(jì)及運(yùn)行等充分合作，不斷評估其它專業(yè)對儀控設(shè)計(jì)的影響。

1 儀控系統(tǒng)層次

儀控系統(tǒng)與電廠操作員以及其它系統(tǒng)進(jìn)行交互，因此引出儀控層次的概念。圖1展示了核電廠儀控系統(tǒng)的基本層次[1]。0層由傳感器和執(zhí)行機(jī)構(gòu)組成；1層包含將信號(hào)從傳感器轉(zhuǎn)發(fā)到過程控制層或執(zhí)行機(jī)構(gòu)的設(shè)備；2層包含過程自動(dòng)化和執(zhí)行安全功能的儀控系統(tǒng)；3層包含通過控制室人員進(jìn)行操作和控制電廠的系統(tǒng)；4層用于電廠技術(shù)管理的系統(tǒng)。在以下每一層中可能會(huì)有專用的人機(jī)接口，但主要集中在第3層，通常位于主控室或其它輔助控制室的工作站和控制面板上。另外，計(jì)算機(jī)安全需要在以下所有層中解決，而不是一個(gè)特定的層次。

圖1 儀控系統(tǒng)層次Fig.1 The level of the instrument control system

圖2 儀控系統(tǒng)層次與縱深防御層級(jí)框圖Fig.2 Block diagram of I&C system hierarchy and defense-in-depth hierarchy

2 縱深防御層次

縱深防御層級(jí)通過一系列執(zhí)行不同功能的獨(dú)立系統(tǒng)來防止事故的發(fā)展，如一個(gè)層級(jí)的失效不會(huì)阻止其他層級(jí)功能的執(zhí)行。通常，在每個(gè)層級(jí)執(zhí)行的功能如下：

1級(jí)：正常條件下的電廠控制。

2級(jí)：監(jiān)測異常情況并提供相應(yīng)的控制功能。

3級(jí)：反應(yīng)堆停堆和專設(shè)安全設(shè)施驅(qū)動(dòng)功能。

4級(jí)：監(jiān)測和減輕嚴(yán)重事故。

5級(jí)：放射性釋放監(jiān)測及處理。

每個(gè)縱深防御層級(jí)中的每個(gè)系統(tǒng)都具有與儀控層次相關(guān)的某些專用設(shè)備，但有些層級(jí)可能不包括所有儀控層的設(shè)備（如一個(gè)簡單的手動(dòng)系統(tǒng)可能不包括過程控制系統(tǒng)，只包含通過第3層和0/1層直接相連的設(shè)備），也有可能一些層級(jí)存在多個(gè)儀控子系統(tǒng)層次的情況（如level 3級(jí)可能包含主保護(hù)系統(tǒng)和多樣化保護(hù)系統(tǒng)）。儀控系統(tǒng)層次與縱深防御層級(jí)之間的關(guān)系如圖2。在架構(gòu)設(shè)計(jì)中，保持每個(gè)縱深防御層級(jí)的完全獨(dú)立是不切實(shí)際的，通常需要某些設(shè)備或人機(jī)接口的共享。

3 總體架構(gòu)設(shè)計(jì)主要原則

儀控系統(tǒng)的總體架構(gòu)設(shè)計(jì)是基于幾個(gè)關(guān)鍵原則開展的，以確保滿足電廠安全和性能目標(biāo)。

◇ 縱深防御。

◇ 獨(dú)立性。

◇ 功能分類和系統(tǒng)分級(jí)。

◇ 網(wǎng)絡(luò)安全。

◇ 內(nèi)外部災(zāi)害。

◇ 不必要的復(fù)雜性。

◇ 其它原則。

表1 縱深防御層次Table 1 Defense-in-depth layers

3.1 縱深防御

儀控系統(tǒng)總體架構(gòu)應(yīng)遵循電廠縱深防御的概念，原子能機(jī)構(gòu)（IAEA）、美國核管會(huì)（NRC）及西歐核管理協(xié)會(huì)（WENRA）均提供了不同的觀點(diǎn)，在此僅以WENRA的觀點(diǎn)來探討兩點(diǎn)具體的技術(shù)問題。

WENRA強(qiáng)調(diào)不同縱深防御層級(jí)之間的獨(dú)立性，特別是：

① 3級(jí)獨(dú)立于1級(jí)和2級(jí)。

② 3a級(jí)與3b級(jí)之間。

③ 4級(jí)需要在合理可行的范圍內(nèi)獨(dú)立于其它所有級(jí)別。

這里重點(diǎn)討論第②點(diǎn)。WENRA方法將第三縱深防御層次分為了兩個(gè)子級(jí)，在國內(nèi)項(xiàng)目實(shí)施過程中分別通過反應(yīng)堆保護(hù)系統(tǒng)和多樣性保護(hù)系統(tǒng)來實(shí)現(xiàn)其功能。對于3b多樣性保護(hù)系統(tǒng)在總體架構(gòu)中的設(shè)計(jì)情況，可參考以下不同解決方案[3]。

1）在現(xiàn)有電廠的保護(hù)系統(tǒng)和多樣性保護(hù)系統(tǒng)之間，大部分項(xiàng)目設(shè)計(jì)為共享傳感器和執(zhí)行機(jī)構(gòu)，在當(dāng)前不太可能添加獨(dú)立的傳感器和執(zhí)行機(jī)構(gòu)。對于該種設(shè)計(jì)，需要考慮多樣性保護(hù)系統(tǒng)誤動(dòng)作的風(fēng)險(xiǎn)。另外，由于共享傳感器和執(zhí)行機(jī)構(gòu)，需要增加優(yōu)先級(jí)邏輯和信號(hào)預(yù)處理設(shè)備，因而需要考慮它們的故障以及復(fù)位的控制方法，增加了故障模式和影響分析的復(fù)雜性。

2）如果是新建電廠且處于設(shè)計(jì)的后期階段，可以考慮在保護(hù)系統(tǒng)和多樣性保護(hù)系統(tǒng)之間提供獨(dú)立的傳感器。

3）如果是新建電廠的早期階段，可以考慮在保護(hù)系統(tǒng)和多樣性保護(hù)系統(tǒng)之間分配不同的安全功能，設(shè)計(jì)方案相對1）和2）來說會(huì)更加靈活自由。

在人機(jī)接口設(shè)計(jì)方案中，需要考慮縱深防御設(shè)計(jì)，每個(gè)縱深防御層次均提供獨(dú)立的人機(jī)接口系統(tǒng)（HIS），在設(shè)計(jì)中通常不可行，從操作員的角度更希望在固定的位置能夠擁有所有可用的信息。因此，通常折衷的辦法是普通操作員站提供所有可用的信息，但是需要在設(shè)計(jì)中確保防御層次之間的獨(dú)立性且故障及惡意攻擊不能在層級(jí)之間蔓延；對于電廠關(guān)鍵安全參數(shù)顯示及控制，需要提供獨(dú)立的設(shè)施來監(jiān)控；對于內(nèi)外部災(zāi)害的影響，如火災(zāi)等也需要考慮縱深防御設(shè)計(jì)。

3.2 獨(dú)立性

SSR-2/1要求縱深防御層次之間盡可能的獨(dú)立，特別是用于應(yīng)對設(shè)計(jì)擴(kuò)展工況的嚴(yán)重事故儀控系統(tǒng)和第3層級(jí)保護(hù)系統(tǒng)之間。通常來說，設(shè)計(jì)相互獨(dú)立的儀控系統(tǒng)往往在以下方面受到限制：①儀控子系統(tǒng)的數(shù)量；②電纜敷設(shè)；③傳感器和執(zhí)行機(jī)構(gòu)以及機(jī)房實(shí)際布置的分隔；④必要的支持系統(tǒng)獨(dú)立。縱深防御層次之間的獨(dú)立性主要考慮以下幾個(gè)方面：

3.2.1 假設(shè)始發(fā)事件（PIE）

對每一個(gè)PIE需要具體分析相關(guān)的預(yù)防和緩解措施，確保每一個(gè)PIE提供足夠的縱深防御，需要考慮PIE發(fā)生的頻率以及所應(yīng)對的系統(tǒng)，因此需要應(yīng)用概率安全分析方法對獨(dú)立性進(jìn)行定性分析。

3.2.2 防止故障蔓延

項(xiàng)目實(shí)施過程一般通過物理隔離、電氣隔離、功能獨(dú)立和通信獨(dú)立手段來防止系統(tǒng)之間產(chǎn)生干擾。這里重點(diǎn)強(qiáng)調(diào)支持系統(tǒng)的獨(dú)立，如供電系統(tǒng)及暖通空調(diào)通風(fēng)系統(tǒng)等。架構(gòu)設(shè)計(jì)過程中可盡量減少對支持系統(tǒng)的需求，如儀控總體設(shè)計(jì)可考慮取消安全級(jí)暖通空調(diào)系統(tǒng)的需求，通過使用降額器件，增加廠房面積或提供先進(jìn)式自然循環(huán)排熱系統(tǒng)等。另外，支持系統(tǒng)通常支持屬于不同縱深防御層次的儀控系統(tǒng)，因此在儀控架構(gòu)設(shè)計(jì)中需要進(jìn)行分析以確保支持系統(tǒng)不是儀控系統(tǒng)故障的主要因素。第三需要考慮暖通空調(diào)系統(tǒng)的分隔和獨(dú)立措施，是否需要進(jìn)行嚴(yán)格地分隔，概率安全評估應(yīng)在可用性方面提供分析結(jié)果。

3.2.3 防范共因故障

可通過以下手段來防范共因故障：

1）保守的設(shè)計(jì)方案：從電廠經(jīng)驗(yàn)反饋來說，重點(diǎn)關(guān)注在儀控系統(tǒng)設(shè)計(jì)過程中功能需求的完整性和充分性。

2）監(jiān)測：主要用于隨機(jī)故障監(jiān)測。

3）多樣性：是防范CCF的最優(yōu)手段，但是需要考慮其帶來的架構(gòu)復(fù)雜性，增加的布置空間、維護(hù)需求、誤動(dòng)作以及帶來的成本增加等因素。

3.3 功能分類和系統(tǒng)分級(jí)

儀控功能分類和設(shè)備/系統(tǒng)分級(jí)的目標(biāo)是促進(jìn)對技術(shù)和質(zhì)量要求采取分級(jí)辦法。屬于較高安全類別的功能和屬于較高安全類別的系統(tǒng)將比屬于較低安全類別的功能和系統(tǒng)有更嚴(yán)格的要求。

滿足安全目標(biāo)所需的儀控功能根據(jù)其安全意義進(jìn)行分類，各堆型參考的標(biāo)準(zhǔn)不同，因此功能分級(jí)可能會(huì)不同。當(dāng)完成了儀控功能的安全分類，需要將這些功能分配到一個(gè)安全級(jí)別的系統(tǒng)或設(shè)備中執(zhí)行，儀控系統(tǒng)的安全分級(jí)應(yīng)根據(jù)其執(zhí)行的最高功能分類來完成。由于安全分類和分級(jí)的不同，各項(xiàng)目可提出不同的分級(jí)要求。執(zhí)行機(jī)構(gòu)的安全級(jí)別是由其執(zhí)行的功能的最高安全級(jí)別確定的。因此，各種儀控功能對執(zhí)行器的命令必須經(jīng)過一個(gè)優(yōu)先級(jí)邏輯，這樣低級(jí)別功能不會(huì)影響高級(jí)別功能的執(zhí)行。

儀控設(shè)計(jì)工程師通常不是堆工物理以及工藝系統(tǒng)方面的專家，所以儀控最重要的輸入是由安全分析、工藝工程師制定的功能要求，需要注意的是不同專業(yè)的設(shè)計(jì)師之間應(yīng)在設(shè)計(jì)之初就進(jìn)行交流，明確功能需求。

除了工藝定義的儀控功能外，儀控工程師還需要定義儀控學(xué)科特征的功能。如測試、診斷、參數(shù)調(diào)整和維護(hù)支持的儀控功能。

3.4 網(wǎng)絡(luò)安全

對核電廠的網(wǎng)絡(luò)攻擊可能導(dǎo)致儀控系統(tǒng)出現(xiàn)故障或誤操作，從而對核電廠造成重大威脅，而且在同一時(shí)間可能對縱深防御多個(gè)層次進(jìn)行攻擊。因此，儀控總體架構(gòu)設(shè)計(jì)需要指定策略進(jìn)行預(yù)防、檢測和緩解攻擊的影響。在架構(gòu)設(shè)計(jì)中，有以下幾點(diǎn)需要考慮：

1）可參考IAEA的NO.17《核設(shè)施的計(jì)算機(jī)安全技術(shù)》中的概念安全模型，作為各個(gè)開發(fā)階段的輸入。使用計(jì)算機(jī)安全級(jí)別和安全區(qū)域的概念，理清儀控系統(tǒng)、系統(tǒng)功能、計(jì)算機(jī)安全級(jí)別和安全區(qū)域之間的關(guān)系。

2）儀控系統(tǒng)安全計(jì)劃重點(diǎn)是在數(shù)據(jù)的完整性上，而不是保密性。儀控架構(gòu)設(shè)計(jì)需要與網(wǎng)絡(luò)安全防御架構(gòu)保持一致。任何計(jì)算機(jī)安全功能的運(yùn)行或故障，都不應(yīng)對儀控系統(tǒng)執(zhí)行其安全功能產(chǎn)生不利影響。對于電廠控制和保護(hù)系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)，盡量采用在與其連接但又相互隔離的專用系統(tǒng)中實(shí)施。

3）網(wǎng)絡(luò)安全措施會(huì)對儀控平臺(tái)需求產(chǎn)生影響和限制，因此在項(xiàng)目早期應(yīng)確定安全措施需求。另外，為網(wǎng)絡(luò)安全措施開發(fā)的設(shè)備，應(yīng)進(jìn)行與被保護(hù)儀控系統(tǒng)相同等級(jí)的鑒定。在架構(gòu)設(shè)計(jì)中，應(yīng)平衡考慮核安全與網(wǎng)絡(luò)安全，使它們不會(huì)相互影響，如因?yàn)榫W(wǎng)絡(luò)安全設(shè)計(jì)帶來的復(fù)雜性可能會(huì)導(dǎo)致系統(tǒng)性能下降。

3.5 升級(jí)和改造

電廠運(yùn)行期間有可能需要對儀控系統(tǒng)進(jìn)行升級(jí)改造，改造過程中系統(tǒng)總體架構(gòu)可能會(huì)發(fā)生變化。基于以往的經(jīng)驗(yàn)反饋，儀控總體架構(gòu)設(shè)計(jì)需要考慮以下內(nèi)容：

1）需要為儀控系統(tǒng)制定生命周期管理程序。

2）架構(gòu)需要模塊化，以方便儀控系統(tǒng)或模塊的更換。

3）對整個(gè)架構(gòu)進(jìn)行劃分，有助于避免單個(gè)系統(tǒng)的復(fù)雜性以及系統(tǒng)之間的交互，從而簡化改造過程。

4）架構(gòu)設(shè)計(jì)過程具有嚴(yán)格的配置管理。

5）架構(gòu)應(yīng)具有足夠的靈活性。

3.6 內(nèi)外部災(zāi)害

儀控系統(tǒng)需要能夠承受環(huán)境中可能發(fā)生的潛在危險(xiǎn)帶來的不利影響。這些危險(xiǎn)可能來自外部因素（如海嘯、飛機(jī)失事、洪水或環(huán)境溫度過高）或內(nèi)部事件（如火災(zāi)）。設(shè)計(jì)中可通過安裝在不同的物理空間及冗余子系統(tǒng)來實(shí)現(xiàn)其要求。儀控系統(tǒng)本身需要經(jīng)過環(huán)境鑒定，通過型式試驗(yàn)和分析的方法來證明能夠執(zhí)行其功能。另外，儀控系統(tǒng)依賴的支持系統(tǒng)，如電源、暖通空調(diào)系統(tǒng)等在特定的環(huán)境下也能夠應(yīng)對預(yù)期的內(nèi)外部災(zāi)害。

3.7 其它原則

1）不必要的復(fù)雜性

儀控系統(tǒng)應(yīng)完全滿足其設(shè)計(jì)基準(zhǔn)的要求，并在安全系統(tǒng)的設(shè)計(jì)中避免不必要的復(fù)雜性[2]。架構(gòu)設(shè)計(jì)需要在獨(dú)立性、多樣性、可運(yùn)行性、可維護(hù)性之間取得適當(dāng)?shù)钠胶狻?/p>

2）專用系統(tǒng)

對于專用儀控系統(tǒng)及設(shè)備，需要將它們納入到儀控系統(tǒng)總體架構(gòu)中來，確定它們的核安全及網(wǎng)絡(luò)安全，且將其分配到特定的縱深防御層次及安全區(qū)域。

3）布置考慮

需要考慮系統(tǒng)的布置方案，如機(jī)柜、現(xiàn)場布線、電源、供暖及通風(fēng)設(shè)備。使用遠(yuǎn)程IO及現(xiàn)場總線技術(shù)可以減少大量布線，并提高運(yùn)維便利性，但在系統(tǒng)設(shè)計(jì)過程中需要考慮禁止通過網(wǎng)絡(luò)傳輸?shù)膮?shù)。

4）平臺(tái)考慮

平臺(tái)特征會(huì)影響總體架構(gòu)，因此在架構(gòu)設(shè)計(jì)時(shí)需要和平臺(tái)結(jié)合起來考慮[4]。可考慮定制開發(fā)平臺(tái)，從長遠(yuǎn)角度來看，對軟件升級(jí)要求較少，并且會(huì)有來自供應(yīng)商的長期支持。備品備件，降低運(yùn)行和維護(hù)成本，設(shè)備的標(biāo)準(zhǔn)化，在線維護(hù)等會(huì)節(jié)省更多的成本，提高經(jīng)濟(jì)性。

4 設(shè)計(jì)過程

儀控系統(tǒng)的架構(gòu)設(shè)計(jì)與多方相關(guān)，包含設(shè)計(jì)人員、核電業(yè)主、平臺(tái)供應(yīng)商以及國內(nèi)監(jiān)管單位等。以下描述從總體架構(gòu)開發(fā)過程的關(guān)鍵方法和技術(shù)考慮，以便于設(shè)計(jì)固化前識(shí)別風(fēng)險(xiǎn)及矛盾。

4.1 概念設(shè)計(jì)

依據(jù)電廠儀控設(shè)計(jì)基準(zhǔn)及安全分析文件，分析架構(gòu)設(shè)計(jì)所需要求和設(shè)計(jì)限制，主要包含：

1）識(shí)別每個(gè)PIE及其組合，解決每個(gè)PIE所處的縱深防御層級(jí)對每個(gè)PIE的響應(yīng)。

2）對安全功能的自動(dòng)和手動(dòng)分配，優(yōu)先級(jí)原則。

3）安全功能分配及分類。

4）網(wǎng)絡(luò)安全區(qū)域的功能分配。

5）響應(yīng)時(shí)間、精度及可靠性目標(biāo)。

6）人員可靠性分析、運(yùn)行人員職責(zé)。

7）設(shè)計(jì)基準(zhǔn)工況和設(shè)計(jì)擴(kuò)展工況。

8）支持系統(tǒng)設(shè)計(jì)，如電源、暖通空調(diào)系統(tǒng)等。

9）廠房布置及對設(shè)備安裝、電纜布線的限制。

10）電廠內(nèi)外部災(zāi)害的環(huán)境約束。

11）先前項(xiàng)目的儀控總體架構(gòu)經(jīng)驗(yàn)反饋。

確定架構(gòu)中的儀控系統(tǒng)數(shù)量和組織架構(gòu)，儀控功能分配到各系統(tǒng)中去，確定系統(tǒng)之間的關(guān)系和邊界，確定縱深防御層次、安全區(qū)域。這一階段需要盡可能地保持簡單，以避免在開發(fā)早期階段引入復(fù)雜性，還需要考慮架構(gòu)的靈活性，以便后續(xù)功能的詳細(xì)分配。

4.2 架構(gòu)開發(fā)

上一階段形成的儀控功能需求、概念安全模型作為本階段的輸入，在本階段需要對功能要求進(jìn)行細(xì)化，包含功能描述、縱深防御層次、安全分類和分級(jí)、優(yōu)先級(jí)準(zhǔn)則、運(yùn)行模式、邏輯表決準(zhǔn)則、故障模式和影響分析，證明一個(gè)或多個(gè)儀控功能失效并不會(huì)對電廠達(dá)到或保持安全狀態(tài)造成影響。

完成總體架構(gòu)定義和安全論證，需要包含：

1）儀控總體架構(gòu)，包含子系統(tǒng)和人機(jī)交互。

2）子系統(tǒng)間的數(shù)據(jù)或信號(hào)通信設(shè)計(jì)。

3）縱深防御和多樣性分析。

4）獨(dú)立性分析。

5）系統(tǒng)工具選擇和論證。

4.3 架構(gòu)優(yōu)化與論證

縱深防御每個(gè)層次都有獨(dú)立的傳感器、系統(tǒng)及人機(jī)接口通常不太實(shí)際，因此需要在理想架構(gòu)的基礎(chǔ)上對某些方面進(jìn)行不斷迭代，優(yōu)化論證，最終確保實(shí)現(xiàn)電廠基本安全的要求。其通常包含人機(jī)界面設(shè)計(jì)、儀表和執(zhí)行機(jī)構(gòu)的共享、數(shù)據(jù)通信。

1）人機(jī)界面設(shè)計(jì)除滿足設(shè)計(jì)要求外，需要為控制室操作員提供方便和易于理解的用戶界面。縱深防御層次間如使用了多個(gè)人機(jī)接口，需要進(jìn)行人因評估，以確保電廠在任何工況下不影響安全功能。另外，報(bào)警信息要考慮信息整合。

2）儀表和執(zhí)行機(jī)構(gòu)的共享架構(gòu)設(shè)計(jì)中可能存在多個(gè)縱深防御層次間共享儀表或執(zhí)行機(jī)構(gòu)的情況。此時(shí)需要有證據(jù)表明已經(jīng)應(yīng)用了足夠的冗余及多樣性，并確保不存在可以同時(shí)使多個(gè)層次失效的設(shè)計(jì)。共享信號(hào)間要確保非安全系統(tǒng)的故障不能傳播到安全系統(tǒng)，同時(shí)考慮誤動(dòng)作以及動(dòng)作優(yōu)先級(jí)問題。

3）數(shù)據(jù)通信縱深防御層次之間或不同安全級(jí)別的系統(tǒng)之間進(jìn)行的數(shù)據(jù)通信，需要確保這樣的系統(tǒng)配置實(shí)現(xiàn)對獨(dú)立性的基本需求。手段可能包括使用點(diǎn)對點(diǎn)通信，從較高安全級(jí)別到較低安全級(jí)別儀控系統(tǒng)的單向通信，安全功能執(zhí)行過程與通信過程的分離，在通信協(xié)議中嵌入安全特性，以確保覆蓋所有假定的通信故障，接收端數(shù)據(jù)驗(yàn)證等。

5 結(jié)束語

儀控總體架構(gòu)設(shè)計(jì)是一項(xiàng)困難而復(fù)雜的任務(wù)，它受到電廠許多專業(yè)的影響，同時(shí)也對其它專業(yè)施加約束，在電廠概念設(shè)計(jì)階段就需要開展，以便于早期確定架構(gòu)的某些特征，如縱深防御層次、獨(dú)立性方式、安全系統(tǒng)的序列等。在這一階段，儀控設(shè)計(jì)工程師需要確保電廠為儀控設(shè)備、電纜及支持系統(tǒng)和設(shè)備分配足夠的空間。后續(xù)的架構(gòu)開發(fā)中，與其它專業(yè)如布置、堆工物理、安全分析、工藝設(shè)計(jì)、人因設(shè)計(jì)、運(yùn)行和計(jì)算機(jī)安全充分溝通交流，不斷評估相互的影響，避免對儀控系統(tǒng)架構(gòu)提出不必要的需求，以支持儀控架構(gòu)的持續(xù)開發(fā)。

在總體架構(gòu)設(shè)計(jì)過程中，對其成果進(jìn)行論證也是其中關(guān)鍵的活動(dòng)。但目前來看，這方面工作仍存在薄弱環(huán)節(jié)，對其進(jìn)行確定性安全分析和概率安全評估工作需要進(jìn)一步完善。總之，需要避免在架構(gòu)設(shè)計(jì)階段產(chǎn)生安全和安保方面的缺陷，否則將會(huì)產(chǎn)生昂貴的代價(jià)。