余 毅，張 敬，孫興見

（生態(tài)環(huán)境部華北核與輻射安全監(jiān)督站，北京 100082）

近年來，數字化儀控系統(tǒng)在我國核電廠中得到廣泛應用［1］。這些數字化儀控系統(tǒng)將核電廠各種控制功能集中于通用的計算機系統(tǒng)平臺，并主要以軟件指令的形式來實現。軟件帶來的潛在核安全問題越來越受到關注。

2016年，國家核安全局修訂發(fā)布了新版《核動力廠設計安全規(guī)定》［2］（HAF 102—2016），該《規(guī)定》首次從法規(guī)層面明確了必須考慮由軟件引起的共因故障。

1 核電廠數字化儀控系統(tǒng)縱深防御設計審評要求

1.1 我國核安全審評要求

核電廠儀控系統(tǒng)為核電廠在所有正常、異常和事故工況下的可靠運行提供了各種控制和保護手段及監(jiān)控信息，同時其系統(tǒng)結構設計還應滿足核安全審評相關要求。

HAF 102—2016要求設計必須體現縱深防御原則，相關的儀控導則IAEA SSG 39［3］要求儀控系統(tǒng)建立自身的縱深防御體系。結合核安全審評的內容和關注方面［4，5］，核電廠數字化儀控系統(tǒng)應劃分為控制系統(tǒng)、反應堆緊急停堆系統(tǒng)、專設安全設施驅動系統(tǒng)、手動控制和顯示系統(tǒng)。這些系統(tǒng)為核電廠縱深防御各層次的工藝系統(tǒng)提供了相應的監(jiān)測和控制手段，并且被設置成多樣化的，以保障在反應堆緊急停堆系統(tǒng)及部分專設安全設施驅動系統(tǒng)發(fā)生共因故障情況下，反應堆自動保護功能的執(zhí)行，且不受控制系統(tǒng)不安全動作的影響。儀控系統(tǒng)結構要求如圖1所示，其中ATWS，為未能緊急停堆預期瞬態(tài)系統(tǒng)（anticipat?ed transients without trip system,簡稱ATWS）。

圖1 核電廠數字化儀控系統(tǒng)結構要求Fig.1 Structural requirements for digital instrumentation and control（DI&C）systems of nuclear power plant（NPP）

同時，為了確保相關縱深防御和多樣性設計的有效性，核電廠還需要在初步安全分析階段提出縱深防御和多樣性的要求，并在詳細設計中掌握擬采用的數字化設備的安全特性，在最終安全分析階段對所有的數字化儀控系統(tǒng)設備縱深防御和多樣性設計進行分析、評價（de?fense-in-depth and diversity assessment,簡稱D3評價）。

1.2 美國核管會新版NUREG 0800 BTP 7-19主要觀點

美國核管會組織對核電廠儀控系統(tǒng)軟件共因故障可能導致的潛在安全風險進行了長期研究，并形成了一套核電廠數字化儀控系統(tǒng)縱深防御和多樣性設計審評的方法和要求，相關文件及主要內容見表1。

表1 美國核管會核電廠數字化儀控系統(tǒng)縱深防御和多樣性相關監(jiān)管文件Table 1 Regulatory documents related to defense-in-depth and diversity（D3）of DI&C systems of NPP of the U.S.Nuclear Regulatory Commission

2021年，美國核管會正式發(fā)布了NUREG 0800 BTP 7-19第8版［6］，納入了SECY-18-0090［7］中基于數字化儀控系統(tǒng)安全重要性分級評價的要求，提出了相應的安全重要性分級原則，并進一步明確了需要進行D3評價的數字化儀控系統(tǒng)設備的范圍，以及不需要進行D3評價的情況及其替代評價方法。

2 核電廠數字化儀控系統(tǒng)縱深防御設計關注的問題

2.1 “華龍一號”關注問題

以“華龍一號”的設計為例［8，9］，核電廠數字化儀控系統(tǒng)按照提供的功能，一般可以分為保護和安全監(jiān)測系統(tǒng)、核電廠控制系統(tǒng)、嚴重事故儀控系統(tǒng)和主控室系統(tǒng)等。其中保護和安全監(jiān)測系統(tǒng)執(zhí)行安全要求相關功能，如緊急停堆和專設安全設施驅動等，屬于安全級設備；核電廠控制系統(tǒng)執(zhí)行正常運行相關功能，如反應堆功率調節(jié)、穩(wěn)壓器壓力控制、蒸汽發(fā)生器水位控制和蒸汽排放控制等，屬于非安全級設備。

根據“華龍一號”數字化儀控系統(tǒng)設計方案［8］，其縱深防御和多樣性各層次見表2。

表2 “華龍一號”儀控系統(tǒng)縱深防御和多樣性各層次Table 2 Echelons of defense of the DI&C systems of the Hualong One

從多樣化儀控系統(tǒng)的設置來看，“華龍一號”數字化儀控系統(tǒng)設計方案主要考慮了安全級儀控系統(tǒng)軟件共因故障的情況，例如通過設置多樣化保護系統(tǒng)和緊急操作盤等，來應對可能的預期運行事件或假想事故與反應堆保護系統(tǒng)軟件共因故障同時發(fā)生所帶來的影響。

對于核電廠控制系統(tǒng)等安全影響重要性較低儀控系統(tǒng)的軟件共因故障，由于相關法規(guī)要求較為籠統(tǒng)，缺少相關的設計準則和接受準則，“華龍一號”數字化儀控系統(tǒng)設計方案中未體現出具體針對性措施，而是將其作為后續(xù)需要關注的問題［8］。

2.2 相關運行事件分析

從對核電廠相關運行事件的分析來看［1,10］，經過相對嚴格的驗證和確認后的數字化儀控系統(tǒng)，包括安全級儀控系統(tǒng)設備，在核電現場調試運行中仍暴露了設計不周和軟件程序缺陷等問題。對于非安全級數字化儀控系統(tǒng)，相關的絕大部分事件雖然沒有對安全功能產生直接影響，但部分事件引入了不必要的瞬態(tài)，不利于機組安全運行，個別事件中甚至出現了燃料組件被拉彎的非預期情況。

3 核電廠控制系統(tǒng)軟件共因故障的應對及評價

筆者根據HAF 102—2016的總體要求，借鑒美國核管會BTP 7-19中的主要觀點，對核電廠控制系統(tǒng)軟件共因故障應對策略進行了分析，并提出了相應的評價方法和準則。

3.1 應對策略

3.1.1 安全目標分析

根據核安全審評相關要求，我們應對安全分析報告中各類設計工況疊加反應堆保護系統(tǒng)軟件共因故障失效進行D3評價。安全目標為廠址環(huán)境劑量釋放不超過設計要求的10%，且反應堆冷卻劑壓力邊界和安全殼的完整性不受破壞。

BTP 7-19中對核電廠控制系統(tǒng)等安全影響重要性較低儀控系統(tǒng)軟件共因故障的安全目標為：相關故障不會對安全功能產生不利影響，且不會將電廠置于無法合理緩解的工況下。如果滿足上述要求，則無需進行D3評價。

3.1.2 安全分級的應用

HAF 102—2016要求“必須識別所有安全重要物項，并根據其功能和安全重要性對其進行分級”，這對核電廠儀控系統(tǒng)軟件共因故障的應對及評價也是適用的，但現有的分級可能并不能完全適用。

例如：參考“華龍一號”的設計，核電廠儀控系統(tǒng)設備被分為安全級（1E）、非安全級（NC）和有特殊要求的非安全級（NC+），同為安全級的緊急停堆系統(tǒng)和控制室空調系統(tǒng)，但對安全影響的重要性差別較大；定義為非安全級的核電廠控制系統(tǒng)，在部分核電廠運行事件中也可能會對安全運行造成影響，在個別案例中甚至導致了非預期的情況；有特殊要求的非安全級則大部分是抗震等級要求，軟件共因故障并不適用。

因此，鑒于儀控系統(tǒng)設備對安全影響的重要程度不同，有必要在原有的安全級和非安全級基礎上作進一步劃分。

3.1.3 評價方法和準則的選擇

根據分級分類管理的理念，我們應根據對安全影響的重要程度確定評價方法和準則。安全影響重要性較低的儀控系統(tǒng)設備的評價方法和準則的確定，應考慮更多選擇，包括在縱深防御概念的應用、采用定性評價或是定量評價以及失效后果的評價等方面。

3.1.4 評價流程建議

根據上述應對策略，安全重要性較低的儀控系統(tǒng)軟件共因故障評價主要步驟及建議流程如圖2所示。

圖2 核電廠安全重要性較低的儀控系統(tǒng)軟件共因故障評價流程Fig.2 Evaluation process of the common-cause failure（CCF）caused by software of the lower safety significance DI&C in NPP

3.2 安全分類

核電廠數字化儀控系統(tǒng)的安全分類，在安全級和非安全級基礎上，參考BTP 7-19對儀控系統(tǒng)縱深防御和核安全影響重要程度的要求，劃分為四類，并對應不同的軟件共因故障評價方式，見表3。

表3 軟件共因故障評價安全分類Table 3 Safety classification of the evaluation of the CCF caused by software

3.2.1 對安全有重要影響

A1類屬于安全級儀控系統(tǒng)，且至少滿足下面三個條件之一：

（1）從觸發(fā)到完成相關控制功能，將電廠參數保持在設計基準要求的可接受范圍內，或者使核電廠達到初始安全停堆狀態(tài)后并保持安全狀態(tài)。

（2）如果沒有其他自動系統(tǒng)提供安全功能，或沒有預先計劃的手動操作已被驗證提供安全功能，則其故障可能直接導致事故條件，可能產生不可接受的后果（例如超過設計基準規(guī)定的劑量）。

（3）在安全分析報告中，其他被認為對安全有重要影響的功能。

對安全有重要影響的儀控系統(tǒng)設備，必須對其縱深防御設計進行D3評價。

3.2.2 安全影響重要性較低

A2類屬于安全級儀控系統(tǒng)，在實現或保障電廠核安全方面提供輔助或間接功能。

B1類不屬于安全級儀控系統(tǒng)，但至少滿足下面兩個條件之一：

（1）直接影響反應堆的反應性或功率水平，或影響安全屏障（燃料包殼、反應堆壓力容器或安全殼）的完整性。

（2）由于將多個控制功能集成到一個系統(tǒng)中，其故障可能會對電廠安全造成不可接受的后果。

對安全影響重要性較低的A2類和B1類儀控系統(tǒng)設備，可采用定性評價的方式來替代D3評價中的定量分析，并且可以用失效后果評價來替代D3評價的驗收準則。

3.2.3 安全影響重要性極低

B2類不屬于安全級儀控系統(tǒng)，且至少滿足下面兩個條件之一：

（1）對反應性或反應堆功率水平沒有直接影響。

（2）其故障不會對電廠安全造成影響，或其故障可以被其他系統(tǒng)檢測和合理緩解。

對安全影響重要性極低的儀控系統(tǒng)設備的縱深防御設計及評價沒有要求。

3.3 定性評價

參考BTP 7-19中相關要求，安全影響重要性較低數字化儀控系統(tǒng)設備的定性評價需要考慮三方面因素：設計屬性和特征、設計過程的質量和運行經驗，以證明其發(fā)生共因故障可能性足夠低，即低于核電廠安全分析中其他需要考慮的假設始發(fā)事件的發(fā)生概率。

（1）設計屬性

設計屬性可以防止或限制故障的發(fā)生。設計屬性主要指儀控系統(tǒng)內置功能，如內部冗余設計、故障檢測和監(jiān)視及自診斷功能等。同時，也可以考慮儀控系統(tǒng)自身之外的設計，例如：閥門或泵轉速控制中使用的機械鎖止裝置。

多樣性也是設計屬性的一個方面，核電廠可以使用該屬性來證明：數字化儀控系統(tǒng)已經受到多樣化手段保護，不會因潛在的軟件共因失效而喪失設計功能。

（2）設計過程質量

設計過程包括軟件開發(fā)、硬件和軟件集成過程、系統(tǒng)設計以及驗證和確認過程。設計過程質量標準區(qū)別于質量保證大綱或程序。質量標準是指描述設計中規(guī)定要達到的技術標準，并且應是經監(jiān)管部門和行業(yè)都認可的導則標準文件。例如：《核動力廠基于計算機的安全重要系統(tǒng)軟件》（HAD 102/16）［11］、美國核管會導則《核電廠安全系統(tǒng)中使用的數字計算機軟件開發(fā)軟件生命周期過程》（RG 1.173）［12］等。

（3）運行經驗

相關操作經驗也可以用于證明和評價擬使用的數字化儀控系統(tǒng)設備具有足夠的可靠性。評價時應注意實際所使用的數字化儀控系統(tǒng)，與所評價的儀控系統(tǒng)設備在具體的硬件和軟件之間的差異，確保所評價系統(tǒng)設備的軟件架構與實際使用系統(tǒng)設備的架構基本相似。

所評價的儀控系統(tǒng)設備的設計條件和運行模式也需要與擬實際使用數字儀控系統(tǒng)設備的設計條件和運行模式基本相似，包括環(huán)境條件、連續(xù)工作時間要求等。同時，在作為其他系統(tǒng)設備參考時，還應了解設計中存在哪些緩解軟件共因故障的設計特征，以及其運行經驗是否適用。

3.4 失效影響分析

失效影響分析包括失效對儀控系統(tǒng)自身的影響和對核安全的潛在影響兩個層面，前者需進一步證明自身發(fā)生概率低，后者則需證明對核安全功能的影響或者后果可接受。

3.4.1 對儀控系統(tǒng)自身的影響

失效影響分析需要從定性評價三個方面因素，來驗證被評價的儀控系統(tǒng)設備是否滿足軟件共因故障發(fā)生概率足夠低的要求，相關準則如下：

（1）具有降低共因故障風險的設計屬性和特征，以降低共因故障的可能性。

（2）設計制造過程質量降低了共因故障的可能性。

（3）相關運行經驗證明：能夠在設計條件下達到較高的可靠性。

（4）不會導致非預期的情況。

3.4.2 對核安全的潛在影響

對核安全的潛在影響分析，應結合具體的儀控系統(tǒng)及執(zhí)行的功能來進行。以核電廠控制系統(tǒng)為例，其軟件共因故障可能后果分析主要步驟如下。

（1）選取并確定安全目標。例如：燃料包殼完整性，儀控系統(tǒng)設置有針對DNBR的保護信號，來保障燃料包殼完整性。

（2）失效影響路徑分析。核電廠控制系統(tǒng)涉及反應堆功率調節(jié)、穩(wěn)壓器壓力控制、二回路溫度和流量等多系統(tǒng)參數的控制，對DNBR和燃料包殼完整性安全目標的影響路徑1如圖3所示，相關參數的變化包括二回路溫度降低、二回路流量增加和反應堆功率提升。

圖3 核電廠控制系統(tǒng)對燃料包殼完整性的影響路徑1Fig.3 Influence path of NPP control system on fuel cladding integrity 1

對DNBR和燃料包殼完整性安全目標的影響路徑2如圖4所示，相關參數的變化包括二回路溫度升高、二回路流量降低和穩(wěn)壓器壓力降低。

圖4 核電廠控制系統(tǒng)對燃料包殼完整性的影響路徑2Fig.4 Influence path of NPP control system on fuel cladding integrity 2

（3）分析可能的最壞后果。結合辨別的核電廠控制系統(tǒng)軟件共因故障弱點，選擇相應的失效組合作為輸入，根據影響路徑綜合考慮相關變化參數，分析評價對選定安全目標可能的最壞后果，確保不會對安全功能產生不利影響或將電廠置于無法合理緩解的條件下。

核安全潛在影響的失效影響分析相關的準則如下：

（1）失效影響分析反映出的對安全影響重要性程度與分類一致。

（2）沒有連接到更高安全分類的系統(tǒng)設備。

（3）失效影響分析已經充分考慮了軟件共因故障導致的誤動作。

（4）不會對安全功能產生不利影響，且不會將電廠置于無法合理緩解的工況條件下。

4 結論

本文對如何考慮核電廠控制系統(tǒng)等安全影響重要性較低儀控系統(tǒng)軟件引起的共因故障，從安全目標、安全分級和評價方法等方面進行了分析，并借鑒BTP 7-19提出了相應的方法和準則，對核電廠數字化儀控系統(tǒng)自身縱深防御的構建以及相關設計和審評具有一定的參考價值。