★北京广利核系统工程有限公司周飞

关键词：通用设计审查；最佳可行技术;合理可行尽量低；产品优越性

中国核电进入英国新建核电领域，象征着中国从“核电大国”向“核电强国”的转变，意味着中国已从核电技术输入国，跻身为核电技术输出国，这也是“中国制造”向“中国创造”转变的重大成果，为引领我国企业抱团走出去，以及“一带一路”战略的推进提供了关键支撑点。

我国自主三代核电技术华龙一号要想落地英国，需要得到英国核安全监管机构对于该技术安全性的认可。根据英国核安全监管规定，项目建造前可以直接申请建造许可，或者先开展通用设计审查再开展厂址执照申请。鉴于GDA（Generic Design Assessment，通用设计审查）有助于降低后续法律、投资、财务等风险，也有利于核电新技术路线的技术问题得以在项目开工前暴露并解决，因此有必要开展通用设计审查。

1GDA审查内容

通用设计审查，即对新建核反应堆非厂址相关部分的通用安全性和环境影响进行评估，目标旨在设计阶段发现重要问题并进行解决，降低后续建造阶段重大设计变更带来的影响。

GDA审查由英国核能监管办公室（Office for Nuclear Regulator，ONR）和英国环境署（EA）共同负责，对新建核电堆型（非厂址相关部分）的核安全、核安保以及环境影响进行审查，其评估独立于政府。

审查的方向包括核安全、核安保和环境三个方面，其中涉及核电DCS系统的审查主要为核安全：

（1）核安全

·由ONR负责

·包含21个技术领域

·审评依据为“安全评价原则”（Safety Assessment Principle，SAP），以及考虑经济和社会因素的情况下，核安全的风险降低到“合理可行尽量低”（As Low As Reasonably Practicable，ALARP）

（2）核安保

·由ONR负责

·审评要求为《核工业安保要求》（Nuclear Industries Security Regulations，NISP）

（3）环境

·由EA负责

·审评要求为放射性物质原则（Radioactive Substances Regulation–Environmental Principles）和最佳可行技术（Best Available Technique，BAT）

2　GDA审查特点

常规的安全审评工作主要都是以核安全法规标准为基础的规范化方式。所需遵循的标准是比较清楚的，安审当局或是审评机构对于提交的审评报告内容要求是规范化的，有较为明确的形式与内容要求。在此方式下，通常按照监管机构的规范化要求和所遵循的标准进行设计方案的呈现说明。在满足标准法规及电站设计规格的情况下，一般不用对所采取的设计方案进行额外的特别说明。我国的核安全审评、美国NRC、IAEA、TUV等，都可以归为此类型的审评。

英国ONR在进行安全审评时，采取了不同于上述规范化的目标化方式。这主要源于其安全监管理念的不同。首先，在英国的法律框架下，确保核安全的法律责任是该义务承担者，政府仅负责通过立法确定的监管框架制定核能政策，并不设定监管标准以及做出监管决定，监管活动由ONR独立完成；其次，英国核监管的一个主要理念是核安全具有结合实践不断提升的性质，在进行安全审评时将会对是否将风险降低到ALARP的水平进行评判；最后，英国安审认为通过设置一个宽泛的目标和要求，有利于工业界结合良好实践，进行持续改进与创新，并判断和论证在具体的环境条件下达到了最佳的核安全水平。这就使得GDA审查具有了显著区别于其他规范化审评的自身特点，主要体现在：

（1）没有明确的定量审查标准限值。不同于其他审查，ONR在审查时并不针对具体审评内容在事前设置明确的标准限制，而是要求审评方从证明能够做到最好、采用最佳技术、对环境影响尽可能小来论证设计的合理可行性。换言之，就是要求结合最佳实践，遵照ALARP基本原则，利用BAT方法完成设计并进行论证。

（2）审评文件的编制要求。与我们通常较为熟悉的如PSAR/FSAR不同，英国法规要求申请方提交的是由一系列文件组成的所谓“安全案例（safety case）”文件。不同于PSAR/FSAR对于文件有规范性的约束要求，ONR在GDA审评导则中仅对“safety case”文件进行了诸如完善性、连续性、可理解等通用的、非规范性的要求，而由申请方来决定具体编制方式以展示和证明符合ALARP要求。参考英国实践经验，一般采用CAE（Claim-Argument-Evidence）模式进行“safety case”文件的组织编制。

（3）审评内容不仅包含了对“safety case”文件本身所展示的设计内容的审评，还包括了对安全的领导力与管理的评审。在ONR审评准则SAP中明确提出了实现上述要求的四项原则：领导力、有能力的组织、决策制定、学习，并在GDA导则中特别针对“safety case”文件质量管理提出了称之为MSQA（Management of Safety and Quality Assurance）的要求。MSQA不仅要求申请方对GDA文件建立相应的质保与管理程序，还会对具体的文件控制、升版内容以及设计冻结、变更等进行检查评估，以确保所提交的文件满足ONR对GDA审查的要求。MSQA检查贯穿于GDA审查的全过程。

此外，GDA还要进行全程的公众参与，不仅要通过网络进行信息公开并征求公众意见，在最后阶段还将召开公开的听证会。这些都造成了GDA审查周期长、投入大、费用高的特点。

3　阶段划分

GDA审查分为4个阶段，如图1所示。

图1GDA审查阶段划分图

第一阶段（大概周期：10个月）：准备阶段。主要是完成审评的准备工作，包括项目组织建立、进度与预算的确定、管理程序编制，以及启动需要在第二阶段完成的PSR报告编写。

第二阶段（大概周期：12个月）：总体审查阶段。主要是ONR完成PSR报告审查，同时申请方完成第三阶段所需提交的建造前安全报告（PCSR）、建造前环境报告（PCER）和通用核安保报告（GSR）及所引用的参考文件的编制。

第三阶段（大概周期：13个月）：设计过程审查。主要是ONR对PCSR、PCER和GSR报告以及申请方提交的支持性参考文件进行审查。

第四阶段（大概周期：25个月）：详细评估。主要是ONR对重点领域以及设计改进项开展审查。此阶段是项目执行过程中工作量与工作难度最大的阶段。

上述GDA的4个阶段如果从审批的总体角度来看，实际上是按照CAE模式进行的一个逐步细化的过程。第二至第四阶段分别对应Claim、Argument、Evidence的审查，由于第四阶段是对具体证据进行审查，也包括对之前阶段不合适的、无法提供足够证据支撑的Claim与Argument进行修正，因此会涉及大量的文件提交与问题澄清工作。

4　审查原则

执照申请方（Requesting Party，RP）需要论述安全风险是ALARP，使风险降低到ALARP需要应用BAT，所使用的技术认为是BAT需要采用良好实践（Relevant Good Practice，RGP）。

在GDA阶段需要提交一系列的“safety case”论证相应的安全风险，ONR针对Safety Case审查的依据是SAP和技术评价导则（Technical Assessment Guides，TAGs）。

4.1　ALARP

在考虑经济和社会因素的情况下“ALARP”（在GB6249针对核废物的管理也要采用此原则）是辐射防护的基本原则，需要应用BAT。

RP在“safety case”中提供足够适用的、可以证明风险已经降低到ALARP的信息是非常重要的。同时RP需要证明其设计中采用的技术已经使风险降低到ALARP。

通常满足良好实践是“safety case”的基本要求，这是因为ONR认为相关良好实践标准的发展过程中通常考虑了ALARP要求。因此，在很多情况下，满足这些标准就足以证明设计可以满足UK的法规要求。

如果相关的标准和良好实践不足以证明或不完全适用，或者证明起来非常困难，这时，RP有责任采取风险降低的措施，直至能够向ONR证明，任何额外措施的成本与采取这种措施所降低的风险是不成比例的，通常需要采用比选的方法。

图2合理可行尽量低

4.2　安全评价原则

ONR审评者通过SAP来指导其进行评价，SAP中规定了相关良好实践。为了确保与国际要求的一致性，SAP以IAEA安全标准为基准进行评价。

ONR审评者在判断所推荐设计的“safety case”的可接受性时会使用SAP。相对于满足每条原则或针对每条原则进行ALARP评价，应该优先考虑的是实现设计的总体平衡。

ONR在其SAP中关于“safety system”部分的第27条（ESS.27）提出针对基于软件的安全级系统，由于其软件的复杂性，需要采用“multi-legged”的方式，包括通过产品自身设计与标准和实践的一致性说明“产品的优越性”（Production Excellent，PE）以及独立的第三方执行的“独立建立信任措施”（Independent Confidence Building Measures， ICBM）审查以使ONR对最终设计具备足够的信心。

4.3　技术评价导则

ONR在TAGs和TIGs（Technical Inspection Guides）中给其监管者提供了指导，这些则给出了SAP的详细解释以及具体应用的指导。SAPs和TAGs是ONR监管者用来执行“safety case”评价的一套导则，并且用于GDA审查。除小部分外（安保相关），大部分的TAGs和TIGs在ONR网站上发布。

TIG主要用于核厂址监管者进行“License Condition”符合性监管。然而，部分TIG导则是与GDA相关的，特别是NS-INSP-GD-017管理系统与质保相关。

5　审查过程中需重点关注问题

GDA审查过程的主要载体是文件，在各个审查阶段需要编写安全案例文件。针对案例中标准依据的选择、方案论证是审查过程中需要重点关注的问题。同时ONR会根据提交文件的质量和沟通交流的效果，来判断被审评方能否顺利完成审评以提升ONR的信心，因此在GDA审查过程中我们需要重点解决以下方面的问题。

5.1　标准依据选择

法规标准的选择是由设计方自己负责的，并要向ONR论证其合理性。在具体过程中，有几个方面是ONR关注的：不同体系中标准混用的情况需要论证合理性；对某一具体标准是全文遵循还是部分参考，需要严格界定区分；一旦声称，ONR就将对该标准的符合性进行严格的实质审查。

而在RGP方面，首先必须是要进行说明和呈现的；其次是否能作为RGP，ONR有一套核审确认的流程，不是所有的良好实践都能够作为RGP；再次，ONR会对RGP具体如何反映到具体的设计方案上进行严格审核确认；最后，在实际的审评过程中，ONR往往鼓励优先考虑良好的实践。

5.2　方案论证

由于GDA属于目标设定式的较为宽泛的审评，在审评过程中就导致了不仅需要向ONR说明具体方案，还要向其进行方案论证，以及用证据证明确实能够满足设计需求，达到设计目标。同时，如果需要对设计方案进行变更，往往需要进行多种不同方案的比选，从ALARP角度进行论证进而选出最佳方案。为了能够满足上述要求，通常采用CAE的模式进行方案的论证说明。而一旦将Claim提交ONR，ONR就将开始实质审查（很多技术性审查，ONR将交由其技术咨询承包商完成）。

在审评过程中，应尽量避免出现以下情况：（1）Claim提交的随意与不严谨；（2）不能很好进行How/Why的论证；（3）不能提交有限的证据形成闭环。这些问题会导致在具体方案的审评上出现反复，评审问题难以得到关闭。

5.3　PE的论证

在编著“PE”报告时，一般会将“PE”分为“产品PE”与“应用系统PE”，分别对应于DCS产品以及应用系统。除新开发的产品和系统外，各产品及应用系统均需编制相应的“PE”报告，各“PE”报告通常按照CAE模式进行具体说明论证。在PE审查过程中，ONR会派人到现场进行证据检查，涉及从需求到最终实现全过程的证据链审查。

PE论证展示属于GDA特殊审查要求与形式，由于ICBM的实质工作需要在厂址阶段开展，因此ONR在GDA中对“PE”尤其关注。ONR认为任何一个平台或者应用系统都不是完美的，RP在编写PE时需要主动识别偏差项（Gap）并制定相应的补偿措施和执行计划。

5.4　文件质量

安全审评的主要对象是文件，ONR非常重视文件的质量，并实施严格的文件质量控制程序。除对文件出版计划完成的及时性，文件内容的严谨程度、一致性，以及水平展开方面有很高的要求。

文件质量的要求有一整套质保程序进行规范，并有质保人员监督落实。同时，如果ONR审评官在审评过程中发现文件质量方面存在问题，也有相应的反馈与上报机制。质量水平不能达到要求、没有改进趋势，除了通过管理手段进行警示外，受文件影响的审评问题将无法关闭甚至可能上升级别，最严重可能会造成ONR所谓的信心缺失而无法顺利通过审评。

在GDA审查过程中，RP提交给ONR的文件需要避免低级错误、描述不清以及承诺项未及时落实到对应文件中等问题。

5.5　沟通交流

在审评过程中，ONR也非常关注与相关方的交流。ONR提倡一种互动式的评审过程，除日常邮件沟通外，在具体技术层面还设置有Workshop、Level3、Level4等不同的对话会议。基本上每一个ONR关注的问题都要通过会议方式进行讨论澄清，包括进行监管期望说明、问题澄清、具体方案对话、最终结论等。因此，GDA的审评对话相对较为频繁，高峰时期可能每周一次甚至多次会议。每次会议结束后，都要对会议效果进行评价打分，评价内容包括会议设施，如视频会时网络情况、声音效果、各方参与程度、是否解决了问题达到目标、会议时间控制（迟到、超时）等多个方面，评价结果将作为重要的一个方面纳入项目质保与审评状态评价。

通常而言，会议沟通效果较好的情况下，具体问题的解决与文件出版都将较为顺利；否则，ONR很可能反馈对此问题解决信息不足，技术问题可能将继续扩大甚至引出新的问题。

在上述情况下，要想取得好的会议效果，还是有较大难度的，不仅需要对技术问题有透彻的理解与应对准备，还需要精心进行会前准备与会后总结，因此也会占用很大一部分的工作量。

5.6　信心问题

由于GDA采用的是广泛目标式的审评，面对核电站复杂的设计，就决定了在具体审评时主要审查的是设计原则、方法，而对具体的证据的评判、验证往往是抽样式的。因此，ONR对于GDA的定位，明确表述为是ONR有信心认为该设计具备了在英国进行厂址工作的条件，设计认可证书（Design Acceptance Confirmation，DAC）的颁发不等同于厂址执照的取得。在具体审评过程中，ONR审评官提到最多的一个词就是信心（confidence）。如果对话交流有效、文件质量高，则会表示满意，对被审评方有信心，审评问题也将很快关闭。反之，则会提出没有信心关闭某项问题或是结束某领域的审查，具体审评中则会不断进行问题追问以及要求进行充分的证据展示，甚至可能发散式地扩大问题范围。

6　结论

本文对GDA审查内容、审查特点、审查原则进行了系统性梳理和总结，同时对审查过程中的标准依据选择、“safety cases”论证、应用系统PE和产品PE论证、文件质量、沟通交流和信心问题等ONR非常关注的事项进行了总结，为后续国内核电DCS企业出口提供了经验反馈。

作者简介：

周　飞（1980-），男，安徽泗县人，高级工程师，硕士，现就职于北京广利核系统工程有限公司，主要从事核电站安全级数字化控制保护系统的研究。

参考文献：

[1] 谌登华, 姜宏, 张翔宇, 等. 英国通用设计审查(GDA)初探[J]. 核安全, 2017, 16 (02) : 42 - 49.

[2] 毛 庆, 方亮. 英国核电通用设计审查特色与实践[J]. 核安全, 2023, 22 (1) : 16 - 22.

[3] Office for Nuclear Regulation. Nuclear Safety Technical Assessment Guide: The Purpose, Scope, and Content of SCs [EB/OL]. NSTAST-GD-051, Revision 6. (2019-12-01)

[4] Office for Nuclear Regulation. Nuclear Safety Technical Assessment Guide: COMPUTER BASED SAFETY SYSTEMS[]. NS-TASTGD-046, Revision 3

[5] BAT. Reference Documents(BREFs) [EB/OL]. European Committee, 2021.

[6] General Nuclear System Limited. Pre-Construction Environmental Report Chapter 3 Demonstration of BAT, Rev001 [EB/OL].

[7] General Nuclear System Limited. Pre-Construction Safety Report Chapter 33 ALARP Evaluation, Rev001[EB/OL].

摘自《自动化博览》2025年5月刊