★北京廣利核系統工程有限公司周飛

關鍵詞：通用設計審查；最佳可行技術;合理可行盡量低；產品優越性

中國核電進入英國新建核電領域，象征著中國從“核電大國”向“核電強國”的轉變，意味著中國已從核電技術輸入國，躋身為核電技術輸出國，這也是“中國制造”向“中國創造”轉變的重大成果，為引領我國企業抱團走出去，以及“一帶一路”戰略的推進提供了關鍵支撐點。

我國自主三代核電技術華龍一號要想落地英國，需要得到英國核安全監管機構對于該技術安全性的認可。根據英國核安全監管規定，項目建造前可以直接申請建造許可，或者先開展通用設計審查再開展廠址執照申請。鑒于GDA（Generic Design Assessment，通用設計審查）有助于降低后續法律、投資、財務等風險，也有利于核電新技術路線的技術問題得以在項目開工前暴露并解決，因此有必要開展通用設計審查。

1GDA審查內容

通用設計審查，即對新建核反應堆非廠址相關部分的通用安全性和環境影響進行評估，目標旨在設計階段發現重要問題并進行解決，降低后續建造階段重大設計變更帶來的影響。

GDA審查由英國核能監管辦公室（Office for Nuclear Regulator，ONR）和英國環境署（EA）共同負責，對新建核電堆型（非廠址相關部分）的核安全、核安保以及環境影響進行審查，其評估獨立于政府。

審查的方向包括核安全、核安保和環境三個方面，其中涉及核電DCS系統的審查主要為核安全：

（1）核安全

·由ONR負責

·包含21個技術領域

·審評依據為“安全評價原則”（Safety Assessment Principle，SAP），以及考慮經濟和社會因素的情況下，核安全的風險降低到“合理可行盡量低”（As Low As Reasonably Practicable，ALARP）

（2）核安保

·由ONR負責

·審評要求為《核工業安保要求》（Nuclear Industries Security Regulations，NISP）

（3）環境

·由EA負責

·審評要求為放射性物質原則（Radioactive Substances Regulation–Environmental Principles）和最佳可行技術（Best Available Technique，BAT）

2　GDA審查特點

常規的安全審評工作主要都是以核安全法規標準為基礎的規范化方式。所需遵循的標準是比較清楚的，安審當局或是審評機構對于提交的審評報告內容要求是規范化的，有較為明確的形式與內容要求。在此方式下，通常按照監管機構的規范化要求和所遵循的標準進行設計方案的呈現說明。在滿足標準法規及電站設計規格的情況下，一般不用對所采取的設計方案進行額外的特別說明。我國的核安全審評、美國NRC、IAEA、TUV等，都可以歸為此類型的審評。

英國ONR在進行安全審評時，采取了不同于上述規范化的目標化方式。這主要源于其安全監管理念的不同。首先，在英國的法律框架下，確保核安全的法律責任是該義務承擔者，政府僅負責通過立法確定的監管框架制定核能政策，并不設定監管標準以及做出監管決定，監管活動由ONR獨立完成；其次，英國核監管的一個主要理念是核安全具有結合實踐不斷提升的性質，在進行安全審評時將會對是否將風險降低到ALARP的水平進行評判；最后，英國安審認為通過設置一個寬泛的目標和要求，有利于工業界結合良好實踐，進行持續改進與創新，并判斷和論證在具體的環境條件下達到了最佳的核安全水平。這就使得GDA審查具有了顯著區別于其他規范化審評的自身特點，主要體現在：

（1）沒有明確的定量審查標準限值。不同于其他審查，ONR在審查時并不針對具體審評內容在事前設置明確的標準限制，而是要求審評方從證明能夠做到最好、采用最佳技術、對環境影響盡可能小來論證設計的合理可行性。換言之，就是要求結合最佳實踐，遵照ALARP基本原則，利用BAT方法完成設計并進行論證。

（2）審評文件的編制要求。與我們通常較為熟悉的如PSAR/FSAR不同，英國法規要求申請方提交的是由一系列文件組成的所謂“安全案例（safety case）”文件。不同于PSAR/FSAR對于文件有規范性的約束要求，ONR在GDA審評導則中僅對“safety case”文件進行了諸如完善性、連續性、可理解等通用的、非規范性的要求，而由申請方來決定具體編制方式以展示和證明符合ALARP要求。參考英國實踐經驗，一般采用CAE（Claim-Argument-Evidence）模式進行“safety case”文件的組織編制。

（3）審評內容不僅包含了對“safety case”文件本身所展示的設計內容的審評，還包括了對安全的領導力與管理的評審。在ONR審評準則SAP中明確提出了實現上述要求的四項原則：領導力、有能力的組織、決策制定、學習，并在GDA導則中特別針對“safety case”文件質量管理提出了稱之為MSQA（Management of Safety and Quality Assurance）的要求。MSQA不僅要求申請方對GDA文件建立相應的質保與管理程序，還會對具體的文件控制、升版內容以及設計凍結、變更等進行檢查評估，以確保所提交的文件滿足ONR對GDA審查的要求。MSQA檢查貫穿于GDA審查的全過程。

此外，GDA還要進行全程的公眾參與，不僅要通過網絡進行信息公開并征求公眾意見，在最后階段還將召開公開的聽證會。這些都造成了GDA審查周期長、投入大、費用高的特點。

3　階段劃分

GDA審查分為4個階段，如圖1所示。

圖1GDA審查階段劃分圖

第一階段（大概周期：10個月）：準備階段。主要是完成審評的準備工作，包括項目組織建立、進度與預算的確定、管理程序編制，以及啟動需要在第二階段完成的PSR報告編寫。

第二階段（大概周期：12個月）：總體審查階段。主要是ONR完成PSR報告審查，同時申請方完成第三階段所需提交的建造前安全報告（PCSR）、建造前環境報告（PCER）和通用核安保報告（GSR）及所引用的參考文件的編制。

第三階段（大概周期：13個月）：設計過程審查。主要是ONR對PCSR、PCER和GSR報告以及申請方提交的支持性參考文件進行審查。

第四階段（大概周期：25個月）：詳細評估。主要是ONR對重點領域以及設計改進項開展審查。此階段是項目執行過程中工作量與工作難度最大的階段。

上述GDA的4個階段如果從審批的總體角度來看，實際上是按照CAE模式進行的一個逐步細化的過程。第二至第四階段分別對應Claim、Argument、Evidence的審查，由于第四階段是對具體證據進行審查，也包括對之前階段不合適的、無法提供足夠證據支撐的Claim與Argument進行修正，因此會涉及大量的文件提交與問題澄清工作。

4　審查原則

執照申請方（Requesting Party，RP）需要論述安全風險是ALARP，使風險降低到ALARP需要應用BAT，所使用的技術認為是BAT需要采用良好實踐（Relevant Good Practice，RGP）。

在GDA階段需要提交一系列的“safety case”論證相應的安全風險，ONR針對Safety Case審查的依據是SAP和技術評價導則（Technical Assessment Guides，TAGs）。

4.1　ALARP

在考慮經濟和社會因素的情況下“ALARP”（在GB6249針對核廢物的管理也要采用此原則）是輻射防護的基本原則，需要應用BAT。

RP在“safety case”中提供足夠適用的、可以證明風險已經降低到ALARP的信息是非常重要的。同時RP需要證明其設計中采用的技術已經使風險降低到ALARP。

通常滿足良好實踐是“safety case”的基本要求，這是因為ONR認為相關良好實踐標準的發展過程中通常考慮了ALARP要求。因此，在很多情況下，滿足這些標準就足以證明設計可以滿足UK的法規要求。

如果相關的標準和良好實踐不足以證明或不完全適用，或者證明起來非常困難，這時，RP有責任采取風險降低的措施，直至能夠向ONR證明，任何額外措施的成本與采取這種措施所降低的風險是不成比例的，通常需要采用比選的方法。

圖2合理可行盡量低

4.2　安全評價原則

ONR審評者通過SAP來指導其進行評價，SAP中規定了相關良好實踐。為了確保與國際要求的一致性，SAP以IAEA安全標準為基準進行評價。

ONR審評者在判斷所推薦設計的“safety case”的可接受性時會使用SAP。相對于滿足每條原則或針對每條原則進行ALARP評價，應該優先考慮的是實現設計的總體平衡。

ONR在其SAP中關于“safety system”部分的第27條（ESS.27）提出針對基于軟件的安全級系統，由于其軟件的復雜性，需要采用“multi-legged”的方式，包括通過產品自身設計與標準和實踐的一致性說明“產品的優越性”（Production Excellent，PE）以及獨立的第三方執行的“獨立建立信任措施”（Independent Confidence Building Measures， ICBM）審查以使ONR對最終設計具備足夠的信心。

4.3　技術評價導則

ONR在TAGs和TIGs（Technical Inspection Guides）中給其監管者提供了指導，這些則給出了SAP的詳細解釋以及具體應用的指導。SAPs和TAGs是ONR監管者用來執行“safety case”評價的一套導則，并且用于GDA審查。除小部分外（安保相關），大部分的TAGs和TIGs在ONR網站上發布。

TIG主要用于核廠址監管者進行“License Condition”符合性監管。然而，部分TIG導則是與GDA相關的，特別是NS-INSP-GD-017管理系統與質保相關。

5　審查過程中需重點關注問題

GDA審查過程的主要載體是文件，在各個審查階段需要編寫安全案例文件。針對案例中標準依據的選擇、方案論證是審查過程中需要重點關注的問題。同時ONR會根據提交文件的質量和溝通交流的效果，來判斷被審評方能否順利完成審評以提升ONR的信心，因此在GDA審查過程中我們需要重點解決以下方面的問題。

5.1　標準依據選擇

法規標準的選擇是由設計方自己負責的，并要向ONR論證其合理性。在具體過程中，有幾個方面是ONR關注的：不同體系中標準混用的情況需要論證合理性；對某一具體標準是全文遵循還是部分參考，需要嚴格界定區分；一旦聲稱，ONR就將對該標準的符合性進行嚴格的實質審查。

而在RGP方面，首先必須是要進行說明和呈現的；其次是否能作為RGP，ONR有一套核審確認的流程，不是所有的良好實踐都能夠作為RGP；再次，ONR會對RGP具體如何反映到具體的設計方案上進行嚴格審核確認；最后，在實際的審評過程中，ONR往往鼓勵優先考慮良好的實踐。

5.2　方案論證

由于GDA屬于目標設定式的較為寬泛的審評，在審評過程中就導致了不僅需要向ONR說明具體方案，還要向其進行方案論證，以及用證據證明確實能夠滿足設計需求，達到設計目標。同時，如果需要對設計方案進行變更，往往需要進行多種不同方案的比選，從ALARP角度進行論證進而選出最佳方案。為了能夠滿足上述要求，通常采用CAE的模式進行方案的論證說明。而一旦將Claim提交ONR，ONR就將開始實質審查（很多技術性審查，ONR將交由其技術咨詢承包商完成）。

在審評過程中，應盡量避免出現以下情況：（1）Claim提交的隨意與不嚴謹；（2）不能很好進行How/Why的論證；（3）不能提交有限的證據形成閉環。這些問題會導致在具體方案的審評上出現反復，評審問題難以得到關閉。

5.3　PE的論證

在編著“PE”報告時，一般會將“PE”分為“產品PE”與“應用系統PE”，分別對應于DCS產品以及應用系統。除新開發的產品和系統外，各產品及應用系統均需編制相應的“PE”報告，各“PE”報告通常按照CAE模式進行具體說明論證。在PE審查過程中，ONR會派人到現場進行證據檢查，涉及從需求到最終實現全過程的證據鏈審查。

PE論證展示屬于GDA特殊審查要求與形式，由于ICBM的實質工作需要在廠址階段開展，因此ONR在GDA中對“PE”尤其關注。ONR認為任何一個平臺或者應用系統都不是完美的，RP在編寫PE時需要主動識別偏差項（Gap）并制定相應的補償措施和執行計劃。

5.4　文件質量

安全審評的主要對象是文件，ONR非常重視文件的質量，并實施嚴格的文件質量控制程序。除對文件出版計劃完成的及時性，文件內容的嚴謹程度、一致性，以及水平展開方面有很高的要求。

文件質量的要求有一整套質保程序進行規范，并有質保人員監督落實。同時，如果ONR審評官在審評過程中發現文件質量方面存在問題，也有相應的反饋與上報機制。質量水平不能達到要求、沒有改進趨勢，除了通過管理手段進行警示外，受文件影響的審評問題將無法關閉甚至可能上升級別，最嚴重可能會造成ONR所謂的信心缺失而無法順利通過審評。

在GDA審查過程中，RP提交給ONR的文件需要避免低級錯誤、描述不清以及承諾項未及時落實到對應文件中等問題。

5.5　溝通交流

在審評過程中，ONR也非常關注與相關方的交流。ONR提倡一種互動式的評審過程，除日常郵件溝通外，在具體技術層面還設置有Workshop、Level3、Level4等不同的對話會議。基本上每一個ONR關注的問題都要通過會議方式進行討論澄清，包括進行監管期望說明、問題澄清、具體方案對話、最終結論等。因此，GDA的審評對話相對較為頻繁，高峰時期可能每周一次甚至多次會議。每次會議結束后，都要對會議效果進行評價打分，評價內容包括會議設施，如視頻會時網絡情況、聲音效果、各方參與程度、是否解決了問題達到目標、會議時間控制（遲到、超時）等多個方面，評價結果將作為重要的一個方面納入項目質保與審評狀態評價。

通常而言，會議溝通效果較好的情況下，具體問題的解決與文件出版都將較為順利；否則，ONR很可能反饋對此問題解決信息不足，技術問題可能將繼續擴大甚至引出新的問題。

在上述情況下，要想取得好的會議效果，還是有較大難度的，不僅需要對技術問題有透徹的理解與應對準備，還需要精心進行會前準備與會后總結，因此也會占用很大一部分的工作量。

5.6　信心問題

由于GDA采用的是廣泛目標式的審評，面對核電站復雜的設計，就決定了在具體審評時主要審查的是設計原則、方法，而對具體的證據的評判、驗證往往是抽樣式的。因此，ONR對于GDA的定位，明確表述為是ONR有信心認為該設計具備了在英國進行廠址工作的條件，設計認可證書（Design Acceptance Confirmation，DAC）的頒發不等同于廠址執照的取得。在具體審評過程中，ONR審評官提到最多的一個詞就是信心（confidence）。如果對話交流有效、文件質量高，則會表示滿意，對被審評方有信心，審評問題也將很快關閉。反之，則會提出沒有信心關閉某項問題或是結束某領域的審查，具體審評中則會不斷進行問題追問以及要求進行充分的證據展示，甚至可能發散式地擴大問題范圍。

6　結論

本文對GDA審查內容、審查特點、審查原則進行了系統性梳理和總結，同時對審查過程中的標準依據選擇、“safety cases”論證、應用系統PE和產品PE論證、文件質量、溝通交流和信心問題等ONR非常關注的事項進行了總結，為后續國內核電DCS企業出口提供了經驗反饋。

作者簡介：

周　飛（1980-），男，安徽泗縣人，高級工程師，碩士，現就職于北京廣利核系統工程有限公司，主要從事核電站安全級數字化控制保護系統的研究。

參考文獻：

[1] 諶登華, 姜宏, 張翔宇, 等. 英國通用設計審查(GDA)初探[J]. 核安全, 2017, 16 (02) : 42 - 49.

[2] 毛 慶, 方亮. 英國核電通用設計審查特色與實踐[J]. 核安全, 2023, 22 (1) : 16 - 22.

[3] Office for Nuclear Regulation. Nuclear Safety Technical Assessment Guide: The Purpose, Scope, and Content of SCs [EB/OL]. NSTAST-GD-051, Revision 6. (2019-12-01)

[4] Office for Nuclear Regulation. Nuclear Safety Technical Assessment Guide: COMPUTER BASED SAFETY SYSTEMS[]. NS-TASTGD-046, Revision 3

[5] BAT. Reference Documents(BREFs) [EB/OL]. European Committee, 2021.

[6] General Nuclear System Limited. Pre-Construction Environmental Report Chapter 3 Demonstration of BAT, Rev001 [EB/OL].

[7] General Nuclear System Limited. Pre-Construction Safety Report Chapter 33 ALARP Evaluation, Rev001[EB/OL].

摘自《自動化博覽》2025年5月刊