毛從吉 毋 琦

(環(huán)保部核與輻射安全中心，北京 100082)

0 引言

隨著數(shù)字化技術(shù)的發(fā)展，核電站數(shù)字化技術(shù)在儀控方面的應(yīng)用越來越普遍。新技術(shù)的應(yīng)用帶來了性能的改善，如較高的可靠性，易修改，便利的操作、維修和管理簡單等一系列的好處，但同樣也帶來了一系列的問題:①系統(tǒng)的復(fù)雜性;②單個部件故障可能帶來大范圍的系統(tǒng)失效;③故障的不可重復(fù)性和不可見性。

從安全審評關(guān)注方面劃分，核電站的數(shù)字化儀控一般可分為以下5類。它們分別為控制系統(tǒng)、反應(yīng)堆事故停堆系統(tǒng)(reactor trip system，RTS)、專設(shè)安全設(shè)施觸發(fā)系 統(tǒng) (engineered safety features actuation system，ESFAS)、手動控制和顯示以及多樣化的儀控系統(tǒng)。處理這些系統(tǒng)之間的安全問題是設(shè)計者必須面對的問題。須提交初步安全分析報告和最終安全分析報告［1］，并在通過核安全審評后才能進(jìn)行下階段的工作。在數(shù)字化核電站的儀控設(shè)計中，必須考慮如何滿足相關(guān)法規(guī)和標(biāo)準(zhǔn)要求。從安全審評的角度看待這些設(shè)計可以大大減少設(shè)計變更的可能性以及由于設(shè)計上的安全問題而導(dǎo)致的工程延期。

按照核安全審評的內(nèi)容，基于多樣性和縱深防御的理念，數(shù)字化儀表和控制的系統(tǒng)結(jié)構(gòu)如圖1所示。

1 總體設(shè)計思想

按照相關(guān)法規(guī)要求，在核電站建造的不同階段，必

圖1中，ATWS(anticipated transients without trip system)為未能緊急停堆的預(yù)計瞬態(tài)系統(tǒng)。

核電站儀控設(shè)計首先必須進(jìn)行多樣性和縱深防御的分析，其目的是確定縱深防御的基本要求，并分析數(shù)字化技術(shù)的引入由于共因失效可能導(dǎo)致的縱深防御失效點，進(jìn)而確定需要采取多樣化的儀控的范圍和技術(shù)等。其次，保護(hù)系統(tǒng)的設(shè)計必須能夠抑制控制系統(tǒng)的異常［2］，并在需要時提供保護(hù)。最后能夠在極端的情況下，利用事故后的儀表對反應(yīng)堆的狀態(tài)進(jìn)行監(jiān)視;并在最終設(shè)計中確認(rèn)多樣化的儀控能夠在共因失效的基礎(chǔ)上能提供有效的補(bǔ)充保護(hù)。

數(shù)字化儀控的總體設(shè)計思想就是，結(jié)合多樣性的手段，考慮縱深防御的要求，為正常工況和設(shè)計基準(zhǔn)工況提供安全保護(hù)，并在極端情況下提供堆芯狀態(tài)顯示和手動控制。

2 數(shù)字化儀控設(shè)計

2.1 多樣性和縱深防御

系統(tǒng)由于軟件的復(fù)雜性、不可見性及不重復(fù)性帶來了共因失效的可能。高質(zhì)量的軟硬件降低了系統(tǒng)發(fā)生故障的可能性，但即使軟件可靠性很高，也無法提供可信證據(jù)證明軟件100%不發(fā)生錯誤。盡管設(shè)備的設(shè)計和制造是高質(zhì)量的，但由于儀控系統(tǒng)的冗余通道上存在著相同的軟件(或系統(tǒng)軟件)拷貝，因此被認(rèn)為容易受到共因(如設(shè)計錯誤)失效的影響。為防御潛在共因失效，安全審評把縱深防御和多樣性作為數(shù)字化儀控設(shè)計的首要關(guān)鍵因素。

2.1.1 多樣性和縱深防御要求

在核電站儀控設(shè)計過程中，多樣性和縱深防御首先要求考慮NUREG/CR 6303對多樣性和縱深防御的4 點要求［3-4］，具體如下。

①必須評價推薦的儀控系統(tǒng)的縱深防御和多樣性，以證明其對于共因失效的弱點已進(jìn)行充分考慮。

②在進(jìn)行評價的過程中，廠家或申請者必須采用最佳估計方法(使用現(xiàn)實假設(shè))評定安全分析報告事故分析中的每個事件及每種假定的共因失效所進(jìn)行的分析結(jié)果。廠家或申請者/執(zhí)照持有人必須證明每個事件的設(shè)計都具有充分的多樣性。

③如果一個假定的共因失效會導(dǎo)致一個安全功能的喪失，那么應(yīng)當(dāng)要求提供一種執(zhí)行相同功能或不同功能的多樣化手段，并有文件表明這種手段不會遭受相同的共因失效影響。如果一個非安全系統(tǒng)具有足以在相關(guān)事件工況下執(zhí)行所需功能的能力，則多樣的或不同的功能可以由該非安全系統(tǒng)執(zhí)行(即多樣化系統(tǒng)可以采用非安全級設(shè)備，但必須論證)。

④應(yīng)當(dāng)提供一套設(shè)置在主控制室的指示和控制裝置，以進(jìn)行手動的應(yīng)急安全功能系統(tǒng)級觸發(fā)，并監(jiān)測反應(yīng)堆狀態(tài)等極其重要的物理參數(shù)。

關(guān)于縱深防御和多樣性要求中的第④點手動控制和指示，應(yīng)當(dāng)足以監(jiān)視電廠狀況并按控制室操縱員的要求觸發(fā)系統(tǒng)，使核電廠處于熱停堆工況。此外，指示器和控制器應(yīng)當(dāng)監(jiān)視和控制以下關(guān)鍵安全功能:反應(yīng)性水平、堆芯熱量排除、反應(yīng)堆冷卻劑數(shù)量、安全殼隔離以及安全殼完整性。這些附加的手動能力是先進(jìn)反應(yīng)堆所必須的，因為所有保護(hù)和控制系統(tǒng)都是基于數(shù)字計算機(jī)的，從而容易受到共因失效的攻擊。這些手動能力應(yīng)當(dāng)由硬接線、系統(tǒng)級控制器和指示器組成。這些控制器為電廠操縱員提供了不會遭受到由電廠自動數(shù)字儀控中的軟件錯誤引起的共因失效的信息和控制能力。手動控制到安全設(shè)備的連接點應(yīng)當(dāng)在電廠數(shù)字儀控輸出的下游，但是不應(yīng)破壞系統(tǒng)的完整性。

2.1.2 多樣性和縱深防御方法

針對多樣性和縱深防御要求，對共因失效要進(jìn)行類似核電站縱深防御的方法，從以下4個層次進(jìn)行防御。

①控制系統(tǒng)

控制系統(tǒng)是在正常工況下運行所需的系統(tǒng)，并不依靠它們在預(yù)期運行事件或事故后履行安全功能，而是由它們對電廠安全具有重要影響的電廠運行過程進(jìn)行控制。

控制系統(tǒng)層次包括防止反應(yīng)堆向不安全運行偏移的非安全級手動或者自動設(shè)備，通常在反應(yīng)堆正常運行時投入。

②RTS

RTS是那些觸發(fā)控制棒快速插入以減輕設(shè)計基準(zhǔn)事件后果的系統(tǒng)。

反應(yīng)堆事故停堆層次包括在響應(yīng)失控偏移時迅速降低反應(yīng)性設(shè)計的安全設(shè)備。

③ESFAS

ESFAS層次是那些觸發(fā)和控制安全設(shè)備以導(dǎo)出熱量或幫助保持3道屏障(燃料包殼、反應(yīng)堆冷卻劑壓力邊界和安全殼)的完整性、防止放射性物質(zhì)釋放的儀控系統(tǒng)。

④手動控制和顯示

手動控制和顯示包括傳感器、指示器和操縱員響應(yīng)反應(yīng)堆事件的手動控制器。

對于4層防御，應(yīng)當(dāng)至少有2層不會由于內(nèi)在連接導(dǎo)致防御失效。通常要考慮3個內(nèi)在連接:①控制系統(tǒng)和RTS之間;②控制系統(tǒng)和ESFAS之間;③RTS和ESFAS之間。

2.2 控制系統(tǒng)

控制系統(tǒng)應(yīng)當(dāng)在數(shù)字化時采用和保護(hù)系統(tǒng)類似的多樣化設(shè)計，其電源宜來自不同于保護(hù)系統(tǒng)保護(hù)組的電源，并盡可能地減少采用保護(hù)系統(tǒng)的平臺設(shè)備。

2.3 保護(hù)系統(tǒng)

保護(hù)系統(tǒng)是那些觸發(fā)安全動作以減輕設(shè)計基準(zhǔn)事件后果的儀控系統(tǒng)。

保護(hù)系統(tǒng)包括RTS和ESFAS。為了滿足單一故障準(zhǔn)則和冗余度要求［5］，RTS一般從傳感器電路到停堆斷路器前分為4個保護(hù)組。對于停堆斷路器部分，又將其完全劃分為4個保護(hù)組和2列(或4列)的2種設(shè)計。但從滿足安全審評方面考慮，一般從傳感器電路直到停堆斷路器，采用完全4個保護(hù)組。在滿足保護(hù)系統(tǒng)保護(hù)組間實體隔離和防火方面容易完全滿足，只要將相關(guān)的4個保護(hù)組分別配置在4個房間中即可，這種設(shè)計很容易實現(xiàn)，成本也很低。需要注意的是，可靠性分析結(jié)果表明，當(dāng)4個保護(hù)組采用4取2邏輯時，停堆斷路器的故障率是一個極其重要的因子，所以應(yīng)當(dāng)采用高可靠性的停堆斷路器，以提高整個系統(tǒng)的可用性。

保護(hù)系統(tǒng)通常可以分為傳感器及預(yù)處理、過程處理、邏輯表決和驅(qū)動4個部分。傳感器及預(yù)處理部分如果采用數(shù)字化，目前不一定會帶來好處。其原因在于此部分電路涉及的物理參數(shù)一般可能應(yīng)用到保護(hù)系統(tǒng)、事故后監(jiān)測系統(tǒng)和控制系統(tǒng)這3個儀控子系統(tǒng)。通常做法是將這一部分按照最高設(shè)計要求——保護(hù)系統(tǒng)要求(安全級設(shè)備)進(jìn)行設(shè)計。在經(jīng)過隔離組件后，分別送給事故后監(jiān)測系統(tǒng)和控制系統(tǒng)，隔離組件屬于保護(hù)系統(tǒng)一部分。

采用數(shù)字化技術(shù)以后，一般在模擬電路中相對不作考慮的共因失效變得相當(dāng)突出，相關(guān)法規(guī)和標(biāo)準(zhǔn)對數(shù)字化的共因失效都要求特別關(guān)注，防御共因失效的方法就是采用多樣性設(shè)計。由于目前法規(guī)和標(biāo)準(zhǔn)對軟件的多樣性很難有一個準(zhǔn)確的判斷，導(dǎo)致單個數(shù)字化設(shè)備是否具有完全多樣性很難論證。對傳感器及預(yù)處理部分如果進(jìn)行數(shù)字化，就要增加其他設(shè)備來滿足縱深防御要求，使系統(tǒng)變得更復(fù)雜，但設(shè)備并沒有減少。因此對于保護(hù)系統(tǒng)的傳感器及預(yù)處理，目前最好的設(shè)計是不進(jìn)行數(shù)字化。但不可否認(rèn)的是，對傳感器及預(yù)處理部分進(jìn)行數(shù)字化是目前儀表行業(yè)的發(fā)展趨勢。

目前，核電站保護(hù)系統(tǒng)的數(shù)字化主要針對的是過程處理和邏輯表決兩部分。數(shù)字化核電儀控的優(yōu)點可以充分利用數(shù)字化的優(yōu)勢，進(jìn)而提高系統(tǒng)的可用性，如在過程處理中對信號進(jìn)行4取2，并在維修時自動變換到3取2的邏輯。但應(yīng)當(dāng)注意的是，在本保護(hù)組失去電源時，在最終的4取2邏輯中應(yīng)當(dāng)變?yōu)?取1，以滿足故障安全的原則。

過程處理和邏輯表決數(shù)字化后，首先需要面對防御共因失效，可以在一個保護(hù)組采用2個多樣化的子通道。此時基于前述理由很難準(zhǔn)確判斷是否完全多樣性。實際可行的方法是在不復(fù)雜化系統(tǒng)的前提下，部分多樣化保護(hù)組，如不同設(shè)備、不同時序、不同物理參數(shù)等，以提高用戶或安全審評者的信心。

ESFAS在數(shù)字化時，可行時應(yīng)當(dāng)考慮和RTS的多樣化設(shè)計。但通常為了減少整個核電站的復(fù)雜性，RTS和 ESFAS會采用相同的系統(tǒng)平臺，即 RTS和ESFAS不具備多樣性。

保護(hù)系統(tǒng)與其他系統(tǒng)有接口時，應(yīng)當(dāng)進(jìn)行隔離。隔離方面應(yīng)當(dāng)做到電氣隔離和通信隔離。電氣隔離在數(shù)字化中采用光纖可以很容易做到。對通信隔離中除做到輸入和輸出緩沖隔離外，還應(yīng)當(dāng)保證安全功能不受通信各種故障的影響。簡單設(shè)計是使用單向傳輸(安全級系統(tǒng)只向非安全級系統(tǒng)以廣播方式進(jìn)行傳輸數(shù)據(jù))或者雙向傳輸數(shù)據(jù)中不包括執(zhí)行保護(hù)系統(tǒng)中的安全功能的命令(其保證此功能的設(shè)備屬于保護(hù)系統(tǒng)。一種簡單的設(shè)計是在保護(hù)系統(tǒng)內(nèi)只對特定的數(shù)據(jù)進(jìn)行處理，其他的數(shù)據(jù)直接拋棄掉，這樣即使接收到非法數(shù)據(jù)也不會導(dǎo)致不可預(yù)計的動作出現(xiàn)，從而減少了非安全級系統(tǒng)對安全級系統(tǒng)的影響)［6］。

保護(hù)系統(tǒng)保護(hù)組的電源應(yīng)當(dāng)有4路，至少分屬2個不同列。

2.4 手動控制和顯示

事故后監(jiān)測系統(tǒng)作為手動控制和顯示的一個重要部分，應(yīng)當(dāng)在數(shù)字化的儀控中統(tǒng)一考慮。應(yīng)當(dāng)采用和保護(hù)系統(tǒng)平臺的多樣化設(shè)計，其電源來自不同于保護(hù)系統(tǒng)保護(hù)組的電源為佳，只有在無法做到和保護(hù)系統(tǒng)的多樣化設(shè)計時才可采用保護(hù)系統(tǒng)的平臺設(shè)備。由于通常RTS和ESFAS不具備多樣性，因此理想的設(shè)計是共用控制系統(tǒng)中的安全級電源，并采用模擬技術(shù)進(jìn)行設(shè)計。手動控制和顯示應(yīng)當(dāng)首先考慮的最小范圍為RG 1.97(1983)中的 1 類變量［7］。

2.5 多樣化的儀控系統(tǒng)

多樣化的儀控系統(tǒng)是那些專為數(shù)字化設(shè)備可能出現(xiàn)共因失效而提供多樣性后備的系統(tǒng)。多樣化的儀控系統(tǒng)解決了在數(shù)字化系統(tǒng)中出現(xiàn)的可預(yù)計的共因失效的可能性。對于采用數(shù)字計算機(jī)儀控的電廠，多樣化的儀控系統(tǒng)可能也包括特殊設(shè)置的硬接線的手動控制設(shè)備、多樣化的顯示設(shè)備和多樣化的驅(qū)動系統(tǒng)。多樣化的儀控系統(tǒng)中一個重要系統(tǒng)為未能緊急停堆的預(yù)計瞬態(tài)系統(tǒng)。

ATWS和RTS相互之間應(yīng)當(dāng)具有設(shè)備獨立性［8］，ATWS設(shè)備應(yīng)當(dāng)和RTS一樣，從傳感器輸出到最后啟動設(shè)備是獨立的且多樣化的。目前ATWS傳感器一般采用模擬設(shè)備，因此可以使用已有的RTS傳感器線路。ATWS的邏輯和驅(qū)動設(shè)備電源必須來自和已有的RTS供電獨立的儀表電源，ATWS的電源應(yīng)當(dāng)來自不同于保護(hù)系統(tǒng)的電源。同時，國內(nèi)目前的實踐是多樣化的儀控系統(tǒng)一般要求滿足抗震的要求［9］。

2.6 多樣性方法

多樣性原理就是在儀控中采用不同物理參數(shù)、技術(shù)、邏輯或者計算方法以及觸發(fā)手段來對重要事件的探測和響應(yīng)提供多個途徑。多樣性是對縱深防御原理的補(bǔ)充，并提高了在某個層次和深度必要時觸發(fā)防御的機(jī)會。不同層次和深度防御之間也可能需要考慮多樣性。NUREG/CR 6303［3］有6種重要的不同類型的多樣性需要考慮:人員、設(shè)計、軟件、功能、信號、設(shè)備多樣性，應(yīng)在實際設(shè)計中綜合考慮。

2.6.1 人員多樣性

電廠事件運行經(jīng)驗反饋已經(jīng)表明，在安全系統(tǒng)設(shè)計、開發(fā)、安裝、運行和維護(hù)中，人為因素的影響很大。例如大亞灣核電站和秦山核電站的人因失誤在運行事件中的占比達(dá)到75%［10］。因此，正確使用人員多樣性對安全系統(tǒng)有正面的影響。如使用不同的維護(hù)人員對冗余安全儀表進(jìn)行獨立的標(biāo)定，能對系統(tǒng)所有的不同部分不出現(xiàn)同樣的系統(tǒng)性錯誤有所保證;采用不同設(shè)計者進(jìn)行功能性多樣安全系統(tǒng)設(shè)計，能減少同樣設(shè)計錯誤的可能性。

對于人員多樣性，可以采用以下方法:①不同設(shè)計組織(如公司);②同一公司內(nèi)不同工程管理人員;③不同設(shè)計人員、工程師或者程序員;④不同測試者、安裝員或者資質(zhì)人員。

其多樣化的程度隨以上方法的次序遞減。

2.6.2 設(shè)計多樣性

設(shè)計多樣性采用包括軟硬件的不同方法來解決同樣或者類似的問題。軟件多樣性是設(shè)計多樣性中特殊的一類，單獨提出是由于其潛在的重要性和潛在的缺陷。設(shè)計多樣性的原理是不同設(shè)計會有不同的失效模式，并且不會受同樣效應(yīng)的影響。但其弱點之一就是不同設(shè)計可能采用同樣的元素或方法。

對于設(shè)計多樣性可以采用以下方法:①不同技術(shù)(如模擬對數(shù)字);②同一技術(shù)內(nèi)采用不同方法(如交流對直流);③不同結(jié)構(gòu)(如分置對連接)。

其多樣化的程度隨以上方法的次序遞減。

2.6.3 軟件多樣性

軟件多樣性是由具有不同關(guān)鍵人員的不同開發(fā)組，采用不同程序設(shè)計和實施來完成相同安全目標(biāo)。有建議提出，通過有目的地多樣化設(shè)計，可以對同樣需求的實施得到足夠多樣性。然而，大量報告的重要經(jīng)驗關(guān)注于軟件隊伍的獨立性。軟件多樣性所希望的是不同程序員會產(chǎn)生不同的錯誤。

對于軟件多樣性，可以采用以下方法:①不同的計算、邏輯和編程體系;②不同的執(zhí)行時間、次序;③不同的操作系統(tǒng);④不同的計算機(jī)語言。

其多樣化的程度隨以上方法的次序遞減。

2.6.4 功能多樣性

功能多樣性指的是2個系統(tǒng)執(zhí)行不同的物理功能。

功能多樣性應(yīng)當(dāng)考慮:①不同工作機(jī)理(如棒下插對注硼);②不同目的、功能、控制邏輯或驅(qū)動手段;③不同響應(yīng)時刻。

其多樣化的程度隨以上方法的次序遞減。

2.6.5 信號多樣性

信號多樣性指的是采用不同的傳感參數(shù)來觸發(fā)保護(hù)動作。

信號多樣性應(yīng)當(dāng)考慮以下幾個要素:①不同的反應(yīng)堆或處理參數(shù)(來自不同物理機(jī)理)，如中子通量對壓力;②不同的反應(yīng)堆或處理參數(shù)(來自相同物理機(jī)理);③相同的反應(yīng)堆或處理參數(shù)，來自類似傳感器的不同冗余組。

其多樣化的程度隨以上方法的次序遞減。

2.6.6 設(shè)備多樣性

設(shè)備多樣性是指不同設(shè)備執(zhí)行類似的安全功能。需要注意的是，不同制造商不能保證多樣性。采用不同計算機(jī)設(shè)備對軟件多樣性有影響，不同的計算機(jī)體系決定了編譯器、連接器及其他支持軟件的多樣性。

設(shè)備多樣性應(yīng)考慮:①具有不同原理性設(shè)計的不同制造商;②具有不同原理性設(shè)計的相同制造商;③相同設(shè)計的不同制造商;④相同設(shè)計的不同版本。

其多樣化的程度隨以上方法的次序遞減。

對于計算機(jī)設(shè)備，附加考慮如下:①不同的計算機(jī)體系(如Intel 80x86體系對Motorola 68000體系);②不同的CPU版本(如Intel 80386對Intel 80486)③不同的電路板設(shè)計;④不同的總線結(jié)構(gòu)(VME對Multibus II)。

3 結(jié)束語

隨著國內(nèi)核電站越來越多地采用數(shù)字化設(shè)備，由于軟件導(dǎo)致的共因失效將變得越來越突出，作為設(shè)計者，應(yīng)當(dāng)在初步安全分析階段就給出多樣化和縱深防御的要求，在詳細(xì)設(shè)計中掌握擬采用的設(shè)備中是否有數(shù)字化設(shè)備，并在最終安全分析中對所有的數(shù)字化設(shè)備進(jìn)行分析，以表明采用的數(shù)字化技術(shù)沒有在可預(yù)見的情況下出現(xiàn)共因失效。只有這樣，才能避免出現(xiàn)在核電站在即將運行時出現(xiàn)設(shè)備變換的情況［11］。

［1］國家核安全局.HAF 001/01核電廠安全許可證件的申請和頒發(fā)［S］.北京:中國法制出版社，1993.

［2］國家核安全局.HAD 102/10核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施［S］.北京:中國法制出版社，2000.

［3］US NRC.NUREG/CR-6303 method for performing diversity and defense-in-depth analyses of reactor protection systems［S］.1994.

［4］US NRC.BTP7-19 guidance for evaluation of diversity and defensein-depth in digital computer-based instrumentation and control system［S］.2007.

［5］國家質(zhì)量監(jiān)督檢驗檢疫總局.GB/T 4083-2005核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則［S］.北京:中國標(biāo)準(zhǔn)出版社，2006.

［6］The Institute of Electrical and Electronics Engineers，Inc.IEEE Std.7-4.3.2TM-2003 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations［S］.New York，2003.

［7］US NRC.Regulatory guide 1.97 instrumentation for light-watercooled nuclear power plants to assess plant and environs conditions during and following an accident［S］.1983.

［8］US NRC.NUREG-0800standard review plan chapter 7 instrumentation and controls［S］.2007.

［9］國家技術(shù)監(jiān)督局.GB/T 15474-1995核電廠儀表和控制系統(tǒng)及其供電設(shè)備安全分級［S］.北京:中國標(biāo)準(zhǔn)出版社，1996.

［10］黃玉剛，張力.大亞灣核電站人因可靠性分析與預(yù)防對策［J］.核動力工程，1998，19(1):64-68.

［11］章旋，涂豐盛，曹建亭.核電站儀控系統(tǒng)數(shù)字化改造方案分析［J］.自動化儀表，2007，28(6):45-46.