从安全审评角度看核电站数字化仪控设计

毛从吉 毋 琦

(环保部核与辐射安全中心，北京 100082)

0 引言

随着数字化技术的发展，核电站数字化技术在仪控方面的应用越来越普遍。新技术的应用带来了性能的改善，如较高的可靠性，易修改，便利的操作、维修和管理简单等一系列的好处，但同样也带来了一系列的问题:①系统的复杂性;②单个部件故障可能带来大范围的系统失效;③故障的不可重复性和不可见性。

从安全审评关注方面划分，核电站的数字化仪控一般可分为以下5类。它们分别为控制系统、反应堆事故停堆系统(reactor trip system，RTS)、专设安全设施触发系 统 (engineered safety features actuation system，ESFAS)、手动控制和显示以及多样化的仪控系统。处理这些系统之间的安全问题是设计者必须面对的问题。须提交初步安全分析报告和最终安全分析报告［1］，并在通过核安全审评后才能进行下阶段的工作。在数字化核电站的仪控设计中，必须考虑如何满足相关法规和标准要求。从安全审评的角度看待这些设计可以大大减少设计变更的可能性以及由于设计上的安全问题而导致的工程延期。

按照核安全审评的内容，基于多样性和纵深防御的理念，数字化仪表和控制的系统结构如图1所示。

1 总体设计思想

按照相关法规要求，在核电站建造的不同阶段，必

图1中，ATWS(anticipated transients without trip system)为未能紧急停堆的预计瞬态系统。

核电站仪控设计首先必须进行多样性和纵深防御的分析，其目的是确定纵深防御的基本要求，并分析数字化技术的引入由于共因失效可能导致的纵深防御失效点，进而确定需要采取多样化的仪控的范围和技术等。其次，保护系统的设计必须能够抑制控制系统的异常［2］，并在需要时提供保护。最后能够在极端的情况下，利用事故后的仪表对反应堆的状态进行监视;并在最终设计中确认多样化的仪控能够在共因失效的基础上能提供有效的补充保护。

数字化仪控的总体设计思想就是，结合多样性的手段，考虑纵深防御的要求，为正常工况和设计基准工况提供安全保护，并在极端情况下提供堆芯状态显示和手动控制。

2 数字化仪控设计

2.1 多样性和纵深防御

系统由于软件的复杂性、不可见性及不重复性带来了共因失效的可能。高质量的软硬件降低了系统发生故障的可能性，但即使软件可靠性很高，也无法提供可信证据证明软件100%不发生错误。尽管设备的设计和制造是高质量的，但由于仪控系统的冗余通道上存在着相同的软件(或系统软件)拷贝，因此被认为容易受到共因(如设计错误)失效的影响。为防御潜在共因失效，安全审评把纵深防御和多样性作为数字化仪控设计的首要关键因素。

2.1.1 多样性和纵深防御要求

在核电站仪控设计过程中，多样性和纵深防御首先要求考虑NUREG/CR 6303对多样性和纵深防御的4 点要求［3-4］，具体如下。

①必须评价推荐的仪控系统的纵深防御和多样性，以证明其对于共因失效的弱点已进行充分考虑。

②在进行评价的过程中，厂家或申请者必须采用最佳估计方法(使用现实假设)评定安全分析报告事故分析中的每个事件及每种假定的共因失效所进行的分析结果。厂家或申请者/执照持有人必须证明每个事件的设计都具有充分的多样性。

③如果一个假定的共因失效会导致一个安全功能的丧失，那么应当要求提供一种执行相同功能或不同功能的多样化手段，并有文件表明这种手段不会遭受相同的共因失效影响。如果一个非安全系统具有足以在相关事件工况下执行所需功能的能力，则多样的或不同的功能可以由该非安全系统执行(即多样化系统可以采用非安全级设备，但必须论证)。

④应当提供一套设置在主控制室的指示和控制装置，以进行手动的应急安全功能系统级触发，并监测反应堆状态等极其重要的物理参数。

关于纵深防御和多样性要求中的第④点手动控制和指示，应当足以监视电厂状况并按控制室操纵员的要求触发系统，使核电厂处于热停堆工况。此外，指示器和控制器应当监视和控制以下关键安全功能:反应性水平、堆芯热量排除、反应堆冷却剂数量、安全壳隔离以及安全壳完整性。这些附加的手动能力是先进反应堆所必须的，因为所有保护和控制系统都是基于数字计算机的，从而容易受到共因失效的攻击。这些手动能力应当由硬接线、系统级控制器和指示器组成。这些控制器为电厂操纵员提供了不会遭受到由电厂自动数字仪控中的软件错误引起的共因失效的信息和控制能力。手动控制到安全设备的连接点应当在电厂数字仪控输出的下游，但是不应破坏系统的完整性。

2.1.2 多样性和纵深防御方法

针对多样性和纵深防御要求，对共因失效要进行类似核电站纵深防御的方法，从以下4个层次进行防御。

①控制系统

控制系统是在正常工况下运行所需的系统，并不依靠它们在预期运行事件或事故后履行安全功能，而是由它们对电厂安全具有重要影响的电厂运行过程进行控制。

控制系统层次包括防止反应堆向不安全运行偏移的非安全级手动或者自动设备，通常在反应堆正常运行时投入。

②RTS

RTS是那些触发控制棒快速插入以减轻设计基准事件后果的系统。

反应堆事故停堆层次包括在响应失控偏移时迅速降低反应性设计的安全设备。

③ESFAS

ESFAS层次是那些触发和控制安全设备以导出热量或帮助保持3道屏障(燃料包壳、反应堆冷却剂压力边界和安全壳)的完整性、防止放射性物质释放的仪控系统。

④手动控制和显示

手动控制和显示包括传感器、指示器和操纵员响应反应堆事件的手动控制器。

对于4层防御，应当至少有2层不会由于内在连接导致防御失效。通常要考虑3个内在连接:①控制系统和RTS之间;②控制系统和ESFAS之间;③RTS和ESFAS之间。

2.2 控制系统

控制系统应当在数字化时采用和保护系统类似的多样化设计，其电源宜来自不同于保护系统保护组的电源，并尽可能地减少采用保护系统的平台设备。

2.3 保护系统

保护系统是那些触发安全动作以减轻设计基准事件后果的仪控系统。

保护系统包括RTS和ESFAS。为了满足单一故障准则和冗余度要求［5］，RTS一般从传感器电路到停堆断路器前分为4个保护组。对于停堆断路器部分，又将其完全划分为4个保护组和2列(或4列)的2种设计。但从满足安全审评方面考虑，一般从传感器电路直到停堆断路器，采用完全4个保护组。在满足保护系统保护组间实体隔离和防火方面容易完全满足，只要将相关的4个保护组分别配置在4个房间中即可，这种设计很容易实现，成本也很低。需要注意的是，可靠性分析结果表明，当4个保护组采用4取2逻辑时，停堆断路器的故障率是一个极其重要的因子，所以应当采用高可靠性的停堆断路器，以提高整个系统的可用性。

保护系统通常可以分为传感器及预处理、过程处理、逻辑表决和驱动4个部分。传感器及预处理部分如果采用数字化，目前不一定会带来好处。其原因在于此部分电路涉及的物理参数一般可能应用到保护系统、事故后监测系统和控制系统这3个仪控子系统。通常做法是将这一部分按照最高设计要求——保护系统要求(安全级设备)进行设计。在经过隔离组件后，分别送给事故后监测系统和控制系统，隔离组件属于保护系统一部分。

采用数字化技术以后，一般在模拟电路中相对不作考虑的共因失效变得相当突出，相关法规和标准对数字化的共因失效都要求特别关注，防御共因失效的方法就是采用多样性设计。由于目前法规和标准对软件的多样性很难有一个准确的判断，导致单个数字化设备是否具有完全多样性很难论证。对传感器及预处理部分如果进行数字化，就要增加其他设备来满足纵深防御要求，使系统变得更复杂，但设备并没有减少。因此对于保护系统的传感器及预处理，目前最好的设计是不进行数字化。但不可否认的是，对传感器及预处理部分进行数字化是目前仪表行业的发展趋势。

目前，核电站保护系统的数字化主要针对的是过程处理和逻辑表决两部分。数字化核电仪控的优点可以充分利用数字化的优势，进而提高系统的可用性，如在过程处理中对信号进行4取2，并在维修时自动变换到3取2的逻辑。但应当注意的是，在本保护组失去电源时，在最终的4取2逻辑中应当变为3取1，以满足故障安全的原则。

过程处理和逻辑表决数字化后，首先需要面对防御共因失效，可以在一个保护组采用2个多样化的子通道。此时基于前述理由很难准确判断是否完全多样性。实际可行的方法是在不复杂化系统的前提下，部分多样化保护组，如不同设备、不同时序、不同物理参数等，以提高用户或安全审评者的信心。

ESFAS在数字化时，可行时应当考虑和RTS的多样化设计。但通常为了减少整个核电站的复杂性，RTS和 ESFAS会采用相同的系统平台，即 RTS和ESFAS不具备多样性。

保护系统与其他系统有接口时，应当进行隔离。隔离方面应当做到电气隔离和通信隔离。电气隔离在数字化中采用光纤可以很容易做到。对通信隔离中除做到输入和输出缓冲隔离外，还应当保证安全功能不受通信各种故障的影响。简单设计是使用单向传输(安全级系统只向非安全级系统以广播方式进行传输数据)或者双向传输数据中不包括执行保护系统中的安全功能的命令(其保证此功能的设备属于保护系统。一种简单的设计是在保护系统内只对特定的数据进行处理，其他的数据直接抛弃掉，这样即使接收到非法数据也不会导致不可预计的动作出现，从而减少了非安全级系统对安全级系统的影响)［6］。

保护系统保护组的电源应当有4路，至少分属2个不同列。

2.4 手动控制和显示

事故后监测系统作为手动控制和显示的一个重要部分，应当在数字化的仪控中统一考虑。应当采用和保护系统平台的多样化设计，其电源来自不同于保护系统保护组的电源为佳，只有在无法做到和保护系统的多样化设计时才可采用保护系统的平台设备。由于通常RTS和ESFAS不具备多样性，因此理想的设计是共用控制系统中的安全级电源，并采用模拟技术进行设计。手动控制和显示应当首先考虑的最小范围为RG 1.97(1983)中的 1 类变量［7］。

2.5 多样化的仪控系统

多样化的仪控系统是那些专为数字化设备可能出现共因失效而提供多样性后备的系统。多样化的仪控系统解决了在数字化系统中出现的可预计的共因失效的可能性。对于采用数字计算机仪控的电厂，多样化的仪控系统可能也包括特殊设置的硬接线的手动控制设备、多样化的显示设备和多样化的驱动系统。多样化的仪控系统中一个重要系统为未能紧急停堆的预计瞬态系统。

ATWS和RTS相互之间应当具有设备独立性［8］，ATWS设备应当和RTS一样，从传感器输出到最后启动设备是独立的且多样化的。目前ATWS传感器一般采用模拟设备，因此可以使用已有的RTS传感器线路。ATWS的逻辑和驱动设备电源必须来自和已有的RTS供电独立的仪表电源，ATWS的电源应当来自不同于保护系统的电源。同时，国内目前的实践是多样化的仪控系统一般要求满足抗震的要求［9］。

2.6 多样性方法

多样性原理就是在仪控中采用不同物理参数、技术、逻辑或者计算方法以及触发手段来对重要事件的探测和响应提供多个途径。多样性是对纵深防御原理的补充，并提高了在某个层次和深度必要时触发防御的机会。不同层次和深度防御之间也可能需要考虑多样性。NUREG/CR 6303［3］有6种重要的不同类型的多样性需要考虑:人员、设计、软件、功能、信号、设备多样性，应在实际设计中综合考虑。

2.6.1 人员多样性

电厂事件运行经验反馈已经表明，在安全系统设计、开发、安装、运行和维护中，人为因素的影响很大。例如大亚湾核电站和秦山核电站的人因失误在运行事件中的占比达到75%［10］。因此，正确使用人员多样性对安全系统有正面的影响。如使用不同的维护人员对冗余安全仪表进行独立的标定，能对系统所有的不同部分不出现同样的系统性错误有所保证;采用不同设计者进行功能性多样安全系统设计，能减少同样设计错误的可能性。

对于人员多样性，可以采用以下方法:①不同设计组织(如公司);②同一公司内不同工程管理人员;③不同设计人员、工程师或者程序员;④不同测试者、安装员或者资质人员。

其多样化的程度随以上方法的次序递减。

2.6.2 设计多样性

设计多样性采用包括软硬件的不同方法来解决同样或者类似的问题。软件多样性是设计多样性中特殊的一类，单独提出是由于其潜在的重要性和潜在的缺陷。设计多样性的原理是不同设计会有不同的失效模式，并且不会受同样效应的影响。但其弱点之一就是不同设计可能采用同样的元素或方法。

对于设计多样性可以采用以下方法:①不同技术(如模拟对数字);②同一技术内采用不同方法(如交流对直流);③不同结构(如分置对连接)。

其多样化的程度随以上方法的次序递减。

2.6.3 软件多样性

软件多样性是由具有不同关键人员的不同开发组，采用不同程序设计和实施来完成相同安全目标。有建议提出，通过有目的地多样化设计，可以对同样需求的实施得到足够多样性。然而，大量报告的重要经验关注于软件队伍的独立性。软件多样性所希望的是不同程序员会产生不同的错误。

对于软件多样性，可以采用以下方法:①不同的计算、逻辑和编程体系;②不同的执行时间、次序;③不同的操作系统;④不同的计算机语言。

其多样化的程度随以上方法的次序递减。

2.6.4 功能多样性

功能多样性指的是2个系统执行不同的物理功能。

功能多样性应当考虑:①不同工作机理(如棒下插对注硼);②不同目的、功能、控制逻辑或驱动手段;③不同响应时刻。

其多样化的程度随以上方法的次序递减。

2.6.5 信号多样性

信号多样性指的是采用不同的传感参数来触发保护动作。

信号多样性应当考虑以下几个要素:①不同的反应堆或处理参数(来自不同物理机理)，如中子通量对压力;②不同的反应堆或处理参数(来自相同物理机理);③相同的反应堆或处理参数，来自类似传感器的不同冗余组。

其多样化的程度随以上方法的次序递减。

2.6.6 设备多样性

设备多样性是指不同设备执行类似的安全功能。需要注意的是，不同制造商不能保证多样性。采用不同计算机设备对软件多样性有影响，不同的计算机体系决定了编译器、连接器及其他支持软件的多样性。

设备多样性应考虑:①具有不同原理性设计的不同制造商;②具有不同原理性设计的相同制造商;③相同设计的不同制造商;④相同设计的不同版本。

其多样化的程度随以上方法的次序递减。

对于计算机设备，附加考虑如下:①不同的计算机体系(如Intel 80x86体系对Motorola 68000体系);②不同的CPU版本(如Intel 80386对Intel 80486)③不同的电路板设计;④不同的总线结构(VME对Multibus II)。

3 结束语

随着国内核电站越来越多地采用数字化设备，由于软件导致的共因失效将变得越来越突出，作为设计者，应当在初步安全分析阶段就给出多样化和纵深防御的要求，在详细设计中掌握拟采用的设备中是否有数字化设备，并在最终安全分析中对所有的数字化设备进行分析，以表明采用的数字化技术没有在可预见的情况下出现共因失效。只有这样，才能避免出现在核电站在即将运行时出现设备变换的情况［11］。

［1］国家核安全局.HAF 001/01核电厂安全许可证件的申请和颁发［S］.北京:中国法制出版社，1993.

［2］国家核安全局.HAD 102/10核电厂保护系统及有关设施［S］.北京:中国法制出版社，2000.

［3］US NRC.NUREG/CR-6303 method for performing diversity and defense-in-depth analyses of reactor protection systems［S］.1994.

［4］US NRC.BTP7-19 guidance for evaluation of diversity and defensein-depth in digital computer-based instrumentation and control system［S］.2007.

［5］国家质量监督检验检疫总局.GB/T 4083-2005核反应堆保护系统安全准则［S］.北京:中国标准出版社，2006.

［6］The Institute of Electrical and Electronics Engineers，Inc.IEEE Std.7-4.3.2TM-2003 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations［S］.New York，2003.

［7］US NRC.Regulatory guide 1.97 instrumentation for light-watercooled nuclear power plants to assess plant and environs conditions during and following an accident［S］.1983.

［8］US NRC.NUREG-0800standard review plan chapter 7 instrumentation and controls［S］.2007.

［9］国家技术监督局.GB/T 15474-1995核电厂仪表和控制系统及其供电设备安全分级［S］.北京:中国标准出版社，1996.

［10］黄玉刚，张力.大亚湾核电站人因可靠性分析与预防对策［J］.核动力工程，1998，19(1):64-68.

［11］章旋，涂丰盛，曹建亭.核电站仪控系统数字化改造方案分析［J］.自动化仪表，2007，28(6):45-46.