彭沛星

摘要：目前數(shù)字化儀控系統(tǒng)在核電中得到越來越廣泛的應(yīng)用，在帶來性能改善的同時(shí)，大量使用軟件可能引起的共因故障也成為設(shè)計(jì)中必須考慮的一個(gè)因素。由于軟件故障本質(zhì)上是系統(tǒng)性的，而不是隨機(jī)性的，基于計(jì)算機(jī)的安全系統(tǒng)的共因故障是一個(gè)關(guān)鍵問題，安全防范措施不容易實(shí)現(xiàn)。設(shè)計(jì)人員應(yīng)采用獨(dú)立性和多樣性以及全面的質(zhì)量鑒定等策略以防止共因故障。

關(guān)鍵詞：多樣化驅(qū)動(dòng)系統(tǒng);設(shè)計(jì)特點(diǎn)及多樣性

1 邏輯實(shí)現(xiàn)

DAS 提供了4 個(gè)自動(dòng)驅(qū)動(dòng)功能，當(dāng)選定的電廠參數(shù)超過設(shè)定值時(shí)，觸發(fā)多樣化的自動(dòng)驅(qū)動(dòng)信號(hào)來使反應(yīng)堆停堆、汽機(jī)跳閘或驅(qū)動(dòng)專設(shè)安全設(shè)施：a） 反應(yīng)堆停堆和汽機(jī)跳閘。當(dāng)出現(xiàn)蒸汽發(fā)生器寬量程液位低、熱管段溫度高或穩(wěn)壓器液位低時(shí)，DAS自動(dòng)啟動(dòng)反應(yīng)堆停堆和汽機(jī)跳閘;b） 堆芯補(bǔ)水箱驅(qū)動(dòng)和主泵跳閘。當(dāng)出現(xiàn)蒸汽發(fā)生器寬量程液位低或穩(wěn)壓器液位低時(shí)，打開堆芯補(bǔ)水箱（CMT） 隔離閥來驅(qū)動(dòng)堆芯補(bǔ)水箱，并跳閘所有主泵;c） 非能動(dòng)堆芯余熱排出熱交換器（PRHR） 驅(qū)動(dòng)和安全殼內(nèi)換料水箱（IRWST）回流槽隔離閥。當(dāng)蒸汽發(fā)生器寬量程液位低或反應(yīng)堆冷卻系統(tǒng)熱管段溫度高時(shí)，DAS 自動(dòng)啟動(dòng)非能動(dòng)余熱導(dǎo)出系統(tǒng)和關(guān)閉IRWST 回流槽的隔離閥;d） 安全殼隔離和非能動(dòng)安全殼冷卻系統(tǒng)驅(qū)動(dòng)。當(dāng)安全殼溫度高時(shí)，DAS 自動(dòng)隔離選定的安全殼貫穿件，并且啟動(dòng)非能動(dòng)安全殼冷卻系統(tǒng)。

2 硬件實(shí)現(xiàn)

DAS 由非安全級(jí)的不間斷電源系統(tǒng)供電，保護(hù)系統(tǒng)由安全級(jí)的電源系統(tǒng)供電，兩者的電源系統(tǒng)獨(dú)立并且相互隔離。系統(tǒng)由2 個(gè)數(shù)據(jù)處理柜、1 個(gè)爆破閥控制柜和1個(gè)位于主控制室的DAS 專用操作盤組成。信號(hào)處理功能分別布置于2 個(gè)數(shù)據(jù)處理柜，以保證系統(tǒng)的可靠性。機(jī)柜使用的卡件包括邏輯卡、RTD/ 熱電偶輸入卡、電流回路輸入卡、開關(guān)量輸入卡、開關(guān)量輸出卡及串行通訊卡。輸入信號(hào)經(jīng)過A/D 轉(zhuǎn)換成數(shù)字量，與設(shè)定值比較后產(chǎn)生觸發(fā)信號(hào)，通過觸發(fā)電路串聯(lián)布置，實(shí)現(xiàn)2 取2 邏輯，并輸出邏輯指令至現(xiàn)場設(shè)備，觸發(fā)停堆或驅(qū)動(dòng)專設(shè)安全設(shè)施。

3 多樣性分析

3.1 設(shè)計(jì)多樣性

設(shè)計(jì)多樣性采用包括軟硬件的不同實(shí)現(xiàn)方法來解決相同或類似的問題。按照重要性從高到低，設(shè)計(jì)多樣性可以采用以下方法：a） 不同技術(shù)（如模擬vs 數(shù)字）;b） 同一技術(shù)的不同實(shí)現(xiàn)方法（如交流儀表vs 直流儀表）;c） 不同架構(gòu)（如部件的不同布置和連接）。雖然都執(zhí)行觸發(fā)停堆和驅(qū)動(dòng)專設(shè)安全設(shè)施的功能，但是保護(hù)系統(tǒng)是基于可編程邏輯控制器，DAS 是基于ALS FPGA，兩者采用不同的實(shí)現(xiàn)方法。保護(hù)系統(tǒng)機(jī)柜和DAS 機(jī)柜布置在輔助廠房輻射清潔區(qū)的不同防火分區(qū)。保護(hù)系統(tǒng)由安全級(jí)的不間斷電源系統(tǒng)供電，DAS 由非安全級(jí)的不間斷電源系統(tǒng)供電，兩者電源系統(tǒng)相互獨(dú)立。

3.2 設(shè)備多樣性

按照重要性從高到低，設(shè)備多樣性應(yīng)考慮：a）具有不同原理設(shè)計(jì)的不同制造商;b） 具有不同原理性設(shè)計(jì)的相同制造商;c） 相同設(shè)計(jì)的不同制造商;d）相同設(shè)計(jì)的不同版本。由于保護(hù)系統(tǒng)和DAS 采用了不同的平臺(tái)，除了保護(hù)系統(tǒng)輸出接口模塊外，兩者采用的都是基于不用原理設(shè)計(jì)的不同制造商。對(duì)于保護(hù)系統(tǒng)輸出接口模塊，雖然也是基于FPGA 技術(shù)，但是與DAS 卡件的功能需求和實(shí)現(xiàn)的邏輯不同，尺寸和板卡布置也不同，滿足具有不同原理性設(shè)計(jì)的相同制造商要求。

3.3 功能多樣性

按照重要性從高到低，功能多樣性應(yīng)當(dāng)考慮：a） 不同的工作原理（如落棒vs 注硼）;b） 不同的目的、功能、控制邏輯或驅(qū)動(dòng)手段（例如正常棒控vs 停堆落棒）;c） 不同的響應(yīng)時(shí)間。根據(jù)安全分析確定保護(hù)系統(tǒng)和DAS 的整定值。整定值和延時(shí)的設(shè)置使得DAS 不會(huì)先于保護(hù)系統(tǒng)觸發(fā)自動(dòng)停堆和專設(shè)安全功能。DAS 的現(xiàn)場驅(qū)動(dòng)部件與保護(hù)系統(tǒng)的驅(qū)動(dòng)部件相隔離，每個(gè)系統(tǒng)的驅(qū)動(dòng)部件都能獨(dú)立動(dòng)作而不受另一系統(tǒng)的影響。

a） 反應(yīng)堆停堆。DAS 停堆信號(hào)驅(qū)動(dòng)發(fā)電機(jī)組（MGSet）跳閘，控制棒驅(qū)動(dòng)機(jī)構(gòu)失電，控制棒落棒。保護(hù)系統(tǒng)停堆信號(hào)通過觸發(fā)核級(jí)的反應(yīng)堆停堆斷路器實(shí)現(xiàn)

落棒停堆;b） 汽輪機(jī)停機(jī)。觸發(fā)汽機(jī)停機(jī)時(shí)，保護(hù)系統(tǒng)通過數(shù)字輸出卡件和安全級(jí)/ 非安全隔離裝置將4個(gè)序列的停機(jī)信號(hào)分別送到對(duì)應(yīng)的控制系統(tǒng)機(jī)柜。DAS 則通過延時(shí)繼電器輸出將1 個(gè)停機(jī)信號(hào)分別送到4 個(gè)控制系統(tǒng)機(jī)柜;c） 爆破閥的觸發(fā)。保護(hù)系統(tǒng)和DAS 分別連接至不同的點(diǎn)火器。2 個(gè)系統(tǒng)的信號(hào)電纜

物理隔離，并連接至不同的安全殼電氣貫穿件。對(duì)于其它安全專設(shè)設(shè)備，保護(hù)系統(tǒng)和DAS 的驅(qū)動(dòng)方式也是不同的。保護(hù)系統(tǒng)一般采用失電觸發(fā)方式滿足故障安全的要求，而DAS 一般采用電觸發(fā)的方式用以降低誤觸發(fā)概率。

3.4 人員多樣性

不同的設(shè)計(jì)人員設(shè)計(jì)多樣化的安全系統(tǒng)功能可以降低出現(xiàn)相似設(shè)計(jì)錯(cuò)誤的概率。人員多樣性可以采用以下方法：a） 不同的設(shè)計(jì)組織或公司;b） 同一設(shè)計(jì)組織內(nèi)不同的設(shè)計(jì)管理團(tuán)隊(duì);c） 不同的設(shè)計(jì)和開發(fā)團(tuán)隊(duì)（例如設(shè)計(jì)人員、工程師或程序員）;d） 不同的實(shí)現(xiàn)和測(cè)試團(tuán)隊(duì)（例如測(cè)試人員、安裝人員或者驗(yàn)證人員）。此項(xiàng)目中，由不同于保護(hù)系統(tǒng)的人員來負(fù)責(zé)DAS的設(shè)計(jì)、制造、測(cè)試和驗(yàn)證和確認(rèn)（V&V）。對(duì)于保護(hù)系統(tǒng)輸出接口模塊，雖然在制造階段不滿足人員多樣性要求，但是采用了不同的設(shè)計(jì)和測(cè)試團(tuán)隊(duì)，包括測(cè)試程序編制、測(cè)試用例開發(fā)、測(cè)試的執(zhí)行和測(cè)試報(bào)告的編寫等都由不同的人員負(fù)責(zé)。

3.5 信號(hào)多樣性

信號(hào)多樣性指的是采用不同的測(cè)量參數(shù)來觸發(fā)保護(hù)動(dòng)作。按照重要性從高到低，信號(hào)多樣性應(yīng)當(dāng)考慮以下幾個(gè)要素：a） 基于不同物理效應(yīng)的不同反應(yīng)堆或過程參數(shù)（例如壓力vs 中子注量率）;b） 基于相同物理效應(yīng)的不同反應(yīng)堆或過程參數(shù)（例如差壓儀表測(cè)量的壓力vs液位vs 流量）;c） 對(duì)于相同的反應(yīng)堆或處理參數(shù)，采用不同冗余組的相似傳感器。

3.6 軟件多樣性

軟件多樣性是指采用由具有不同關(guān)鍵人員的不同開發(fā)組來設(shè)計(jì)和實(shí)現(xiàn)的完成相同安全目標(biāo)的不同程序。按照重要性從高到低，軟件多樣性可以考慮的方

法包括：a） 不同的算法、邏輯和程序架構(gòu)（例如計(jì)算結(jié)構(gòu)或執(zhí)行順序）;b） 不同的執(zhí)行時(shí)間和執(zhí)行順序;c） 不同的運(yùn)行環(huán)境;d） 不同的計(jì)算機(jī)語言。保護(hù)系統(tǒng)和DAS 是基于不同的平臺(tái)，并且DAS只執(zhí)行信號(hào)比較的功能，2 取2 邏輯通過串聯(lián)觸發(fā)電路實(shí)現(xiàn)，因此具備不同的算法、邏輯和程序架構(gòu)。綜上分析，該核電項(xiàng)目保護(hù)系統(tǒng)和DAS 具備充足的多樣性以保證共因故障不會(huì)同時(shí)影響2 個(gè)系統(tǒng)的功能。

4 結(jié)語

隨著數(shù)字化技術(shù)的廣泛應(yīng)用，共因故障逐漸成為數(shù)字化儀控系統(tǒng)安全評(píng)審中關(guān)注的問題之一。新一代核電項(xiàng)目中采用了多樣化驅(qū)動(dòng)系統(tǒng)DAS，不僅執(zhí)行傳統(tǒng)的ATWS緩解系統(tǒng)功能，還觸發(fā)某些專設(shè)安全設(shè)施以滿足電站總體的概率分析要求。DAS 采用了與反應(yīng)堆保護(hù)系統(tǒng)不同的信號(hào)輸入直至執(zhí)行機(jī)構(gòu)，經(jīng)分析具備足夠的多樣性以保證共因故障不會(huì)同時(shí)影響保護(hù)系統(tǒng)和DAS 系統(tǒng)的功能。在DAS 設(shè)計(jì)國產(chǎn)化過程中，應(yīng)綜合考慮保護(hù)系統(tǒng)和控制系統(tǒng)的設(shè)計(jì)特點(diǎn)，確定需采用多樣化的功能需求范圍和軟硬件的實(shí)現(xiàn)方法以滿足審評(píng)的要求。

參考文獻(xiàn)：

[1]石桂連，王紀(jì)坤，韓賓，謝逸欽，李剛. ACPR1000堆型核電廠多樣化驅(qū)動(dòng)系統(tǒng)產(chǎn)品方案設(shè)計(jì)[J]. 核安全，2016，15（01）：61-65.

[2]黎國民，朱雯，張?jiān)撇? ACPR1000多樣化驅(qū)動(dòng)系統(tǒng)的研究與實(shí)現(xiàn)[J]. 電子測(cè)試，2015（03）：101-104.

[3]張朝暉. 多樣化驅(qū)動(dòng)系統(tǒng)（DAS）測(cè)試應(yīng)用分析[J]. 自動(dòng)化儀表，2015，36（07）：40-45.