田 露
(中核运行管理有限公司,浙江 海盐314300)
美国核电用户要求文件(URD)和欧洲核电用户要求文件(EUR)提出了三代核电安全和设计要求,其中之一是对先进控制室和全数字化仪控系统的要求。当前世界各国在建和预建的核电项目中,不仅是三代核电机组,二代加核电机组也为数不少。所谓二代加机组,是在二代核电的基础上进行了部分改进,全数字化仪控系统是其中的一项重要改进。
随着近20年来控制和信息技术的日益成熟,加之用户对控制功能和管理需求的提升,以及核电二代加、三代甚至四代堆型的推出,数字化仪控系统开始全面进入核电应用,在各新建、预建和改造的核电项目中都采用数字化仪控平台,在绝大多数项目中安全系统也采用数字化技术,从而实现全数字化仪控系统。
自20世纪90年代开始,法国、日本、韩国、中国、美国等多座核电厂开始了仪控安全系统数字化的改造,至2010年末世界各国核电厂中有近50套数字化安全系统在使用,法国约占一半以上。已采用全数字化仪控的核电厂有:日本Kariwa6、7号机组(1997年投运);法国的电站N4(舒兹B1和B2,分别于1996年和1997年投入商业运行;西沃分别于1997年和1999年投运);中国田湾核电站1、2号机组(2007年12月投运);日本泊3核电站(2010年1月投运);中国岭澳二期1号机组(2010年10月投运);韩国新古里1号机组(2010年12月投运)。第三代核电堆型EPR、AP1000已经进入建造和评审阶段。
安全仪控系统数字化的引入,体现了数字化的优势,也带来了对软件共因故障(SWCCF)的担忧[5]。对软件共因故障的解决方案成为各国核安全执照申请中的一个重要环节。
1)1993年4月2日,美国NRC提出SECY93-087II-Q “数字化系统软件共因失效问题”。
2) 此后,直至2010年,NRC才核准首座核电厂保护系统数字化变更——Oconee电站的数字化保护系统变更改造申请。
3)1998年,国内田湾核电站开始引进数字化仪控系统(AREVA/SIEMENS Teleperm XP+Teleperm XS),于2007年5月商业运行。中国核安全局在此项目上主要关注的问题包括:手动控制专设安全设施系统设备问题;安全系统软件共因问题;以及主控室人因验证、隔离、防火等问题。
4)2009年11月2日,英国卫生与安全部(HSEND),法国核安全局(ASN)和芬兰核安全局(STUK)针对E P R仪控系统(TXS+TXP)发表联合声明,认为EPR安全仪控系统的设计方案与控制系统之间的独立性不能完全满足要求,要求设计者改进设计方案,并建议提供一种能满足纵深防御要求的后备方案。
英国卫生与安全部对数字化安全系统的观点:两套数字化系统仍然难以符合完全的多样性,因此必须在初步安全分析报告中对软件共因失效进行计算,而且需要一套非数字化系统的备用。主要关注的方面包括:限制安全系统到非安全系统的单向通讯;鉴于对软件的可靠性分析的复杂性,需要常规非数字化系统作为备用;需要手动控制与分类显示。
法国核安全局认为:以AREVA TXS与SPPA T2000(西门子非安全级平台)为例,可以接受两套不同平台的数字化系统,符合多样性,因此不需要另外一套非数字化系统作为备用,但需要对多样性数字化平台进行验证和审查。
芬兰核安全局考虑安全与非安全两个平台同时故障的状况,因此提出需要非数字化系统作为后备。主要关注:安全系统与非安全系统之间的独立性;限制安全系统到非安全系统的单向通讯。
5)2010年1月29日,美国核安全管理委员会(NRC)核准Oconee核电站采用的AREVA TELEPERM TXS平台对反应堆保护系统数字化更新改造后的执照申请。早在2000年5月NRC已经核准TXS为安全数字化平台,但对Oconee采用TXS的更新改造方案评审过程长达5年,期间由于NRC缺乏审查安全系统软件验证相关经验,审查立场不确定,部分提交议题不能完全澄清,导致Oconee于2006年撤回申请,其中“多样性驱动和防止软件共因故障失效”是议题之一。
2006年11月,NRC组织业界召开数字化安全系统专题讨论会,聚焦于4个方面:
1)通讯的独立性;
2)网络需求与安全的平衡点;
3)支援应用的需求;
4)多样性纵深防御D3(Diversity and Defense-in-Depth)的分析和评估方法。
此后,组织了6个优先议题工作组,这6个工作组从2007年开始先后发布了6份临时导则Interim Staff Guidance(简称ISG):
1) DI&C-ISG-01“Cyber Security Associated with Digital instrumentation and Controls(数字化仪控计算机网络安全)”,2007年12月;
2) DI&C-ISG-02“Diversity and Defensein-Depth Issues(多样性纵深防御)”,2007年9月;
3) DI&C-ISG-03“Review of New Reactor Digital Instrumentation and Control Probabilistic Risk Assessments(数字化仪控概率风险评价)”,2008年8月;
4) DI&C-ISG-04“Highly-Integrated Control Rooms—Communications Issues(HICRc)(先进控制室通讯)”,2007年9月;
5) DI&C-ISG-05“Highly-Integrated Control Rooms—Human Factors Issues(HICR—HF)(先进控制室人因工程)”,2007年9月;
6) DI&C-ISG-06“Digital I&C Licensing Process(数字化仪控系统执照申请程序)”,(草稿版本V44,目前未发布)。
2008年1月,Oconee电站再一次向NRC提出变更申请。NRC第一引用新发布的ISG导则审查Oconee变更方案,直至2011年1月,NRC正式核准Oconee数字化保护系统的变更申请。该项目的申请过程,可以作为案例提供安全相关数字化仪控系统的评审经验。NRC对安全系统数字化的立场和审评过程,及其关注的重点议题,都将影响各核安全当局对后续数字化仪控项目的评审立场和方法[3]。
NRC对软件设计错误导致共因故障的观点:
NUREG0800 BTP-19-3:“Software design errors are a credible source of common-mode failures. Software cannot be proven to be error-free”(计算机软件设计错误是一个可信的导致共因故障根源。并且,计算机软件不能被验证不存在错误)。换而言之,通过各种各样的V&V,以及使用各种软件验证工具验证的安全系统的软件,不能完全证明是没有错误的,只要有错误就有导致软件共因故障的可能。
在SECY-93-087对计算机软件共因故障的确定性的描述:
冗余的数字化仪控系统设计,会(may)共享数据库(软件)和处理器(硬件)。因此,硬件设计错误、软件设计错误或软件编程错误可以(may)引起共模或冗余设备的共因故障。NRC担忧数字化技术可能(could)引起重大的安全共因故障。
RG1.152-Criteria for use of computers in safety systems of NPP 针对数字化安全系统共因故障的讨论:
随着数字化引入安全系统,一个软件设计错误可能同时出现在安全系统的冗余通道内,可能引起安全系统的共因故障。
不仅在美国,各国业界对软件共因故障问题的认识基本一致。中国核安全导则HAD102/162.3.2“软件故障本质上是系统性的,而不是随机性的,基于计算机的安全系统(该系统通过相同的软件拷贝而使用多重分系统)的共因故障是一个关键问题,安全防范措施不容易实现。设计人员应采取独立性和多样性以及全面的质量鉴定等策略以防止共因故障”。
HAD认为软件故障是肯定的,并要求应从独立性和多样性以及质量鉴定等方面防范软件故障。
数字化控制系统都是采用的冯诺依曼计算机基本结构,这种结构的计算机会不会在某种特定情况下共因失效?比如曾经的“千年虫”。虽然众多行业的DCS应用业绩减弱了这方面的疑虑,但目前对软件的可靠性评估问题依然是个世界级的难题,很难对软件的可靠性进行量化评估。对于硬件的可靠性可以应用概率论的方法进行量化分析。复杂软件的缺陷是不可避免的,如果要求将数字化仪控系统软件的所有条件组合进行全覆盖测试,将是一个天文数字,任何人、任何机构都不可能做到[2]。所以应用软件错误不可能通过V&V过程100%被排除,更不能验证系统软件和平台的正确性。
HAD102/162.3.2把软件共因故障定义为一个关键问题,无论前期田湾核电站1、2号机组,秦山一期30万kW数字化保护系统改造[1],还是近期的岭澳二期项目上,中国核安全局对软件共因故障问题也越来越关注。有理由相信经过日本福岛核电事故后,核电共因故障问题也将成为执照申请过程中重点审查的问题之一。
需要明确的是,虽然安全系统软件共因故障属于超设计基准,但数字化保护系统应该采取纵深防御对策防止共因故障(DI&C-ISG-02)。
HAD102/16将软件共因故障定义为一个关键问题,对保护系统软件共因故障的纵深防御方案,目前没有正式发布的具有可操性的导则,因此对设计和评审都存在较大难度。DI&C-ISG-02:“A D3 analysis determines that the two diverse digital systems are not subject to a CCF.”(D3分析表明两套不同的数字化系统不会受到同一共因故障的影响)。
Oconee电站依照ISG导则变更其数字化安全系统方案,增加了一套独立于TXS平台的PLC可编程数字化装置,作为安全系统的多样性,经NRC评估后被认为可以接受。
此时,NRC已经建立了一套评价数字化安全系统纵深防御方案的方法和验收准则,ISG-02包括BTP-7-19,NUREG/CR-6303。NRC对Oconee保护系统数字化改造发布的安全评估报告SER3.9.1.5中是这样描述的:执照申请者提交的TXS数字化保护系统方案不满足ISG-02-5关于CCF的要求。然而,执照申请者提交的自动多样化系统,采用Square D(Schneider Electric)SY/MAX Model400 PLC平台实现的多样化系统满足10CFR50.62要求,不受TXS保护系统CCF影响,可接受。
Oconee数字化保护系统升级改造,是NRC首次核准的数字化改造方案,其纵深防御的方案应作为案例为后期项目参考。
2005年,方家山核电工程(FJS NPP)前期工作启动,经过与多家DCS供应商技术交流,于2006年1月DCS技术规范书(草稿)中首次提出防止安全系统软件共因的多样性保护驱动系统(Diverse Actuation System 简称DAS)的概念和要求。
主要功能:
1) 在保护系统(反应堆紧急停堆系统和专设安全设施驱动系统)因共因故障不能执行安全功能时,提供多样化的另一种手段来自动停堆和驱动选定的专设安全设施;
2) 当多样性保护驱动系统自动功能失效时,提供多样化的另一种手段来手动停堆和手动驱动选定的专设安全设施;
3) 提供选定的核电厂参数及手动操作指导的多样化的另一种监测手段,并确认反应堆停堆和选定的专设安全设施启动。
之后,因工程项目管理模式的变更,最终方案未能实施。
2007年,方家山核电工程项目由中国核电工程有限公司(CNPE)总承包。在与美国INVENSYS公司就DCS项目进行技术交流时,INVENSYS根据NRC审查要求,也提出了针对安全系统软件共因故障采用的多样性纵深防御对策DAS系统的概念。
2008年2月,CNPE发布经专家讨论后的方家山核电工程DCS技术规范书,其中对安全系统软件共因故障的多样性纵深防御提出明确要求。同年6月正式发标,12月FJS NPP DCS合同签予美国INVENSYS公司。
最终实施方案:安全仪控系统采用Invensys Tricon数字化平台,包括反应堆停堆功能RTS和工程安全设施驱动功能ESFAS。针对Tricon系统软件共因故障(SWCCF)事件,以不同的设计、不同的人员、不同的设备部件,采用Foxboro的I/A数字化平台作为Tricon的多样性平台实现ATWT、RTS、ESFAS自动和系统级手动功能。
广义上的多样性保护系统包括在Tricon软件平台发生共模失效后,所选取的所有在发生事故时可用的基于不同于Tricon软件平台的手动、自动保护功能及相关的指示,例如,M310原设计中的ECP手动保护功能和ATWT系统,这部分内容不在本文描述的范围内。本文重点对为本项目而特别设计的自动多样性保护系统(DAS)进行介绍。
FJS NPP DAS是在D3验证分析工作的基础上,针对数字化安全系统假设的软件共因故障设计开发的。D3验证分析工作是在安全系统失效情况下,并且假设操作员没有充分的手动干预时间,采用最佳估算方法进行的。D3验证分析同时证明依靠DAS系统能够保证事故后果满足相关规定的D3验收准则,最终证明反应堆保护系统具有多样性和纵深防御的能力。
根据多样性纵深防御分析和事故分析,DAS系统设置的主要功能:
1)从工艺层和RPN采集、处理相关变量,并进行定值比较;
2)接收来自后备盘BUP和KIC的手动控制命令信号;
3)设定值比较,产生“1”驱动或停堆输出信号;
DAS作为RTS和ESFAS功能的后备,经过安全分析,通过调整定值,使DAS略微滞后于Tricon安全系统动作。DAS被设计为冗余逻辑表决,最终由优选模块PLM执行驱动设备。允许信号P4,P7,P11对DAS系统有效,如图1所示。
DAS系统设计要求:
1)采用适当冗余结构;
2)失去厂外电源后系统仍然有效;
3)可维修性;
4)可试验性;
5)系统响应时间:500 ms,通过定值设定使DAS系统比主保护系统动作滞后300 ms,保证主保护系统先动;
6)满足单一故障准则。
上述例子中“绿色2”不加引号使用仍灵活自由,不会引起语病和歧义,使用的语境大到治国理念、方针政策,小到生活用语口语表达,这说明“绿色2”已深入人心,语言使用者已对此达成共识。
经过安全分析,DAS系统选取的信号如下(相关的定值正在分析验证中):
1)紧急停堆信号
—稳压器压力低与P7符合;
— 稳压器压力高;
—至少两条冷却剂环路流量低与P7符合;
—功率量程中子注量率高(高定值);
—由安注引发的停堆。
2)安注信号
—稳压器压力低低安注(P11闭锁);
—主蒸汽管道隔离;
—蒸汽管道压力低与蒸汽管道流量高符合。
3)汽轮机跳闸
—由停堆所引发的汽机跳闸。
4)相关允许信号
— P4、P7、P11。
1)DAS—RPN
通过硬接线连接,接收核测信号(RPN采用RRCN的SPINLINE3 IE级数字化平台)。
2)DAS—RPS
图1 DAS自动功能图Fig.1 DAS function diagram
图2 DAS接口关系图Fig.2 DAS interface diagram
硬接线连接,通过保护隔离模块(不包含软件)从ARE、PTR、RCP、VVP接收模拟量信号。
3)DAS—PLM Cabinets
硬接线连接,DAS输出控制信号通过隔离后送至优选模块,再送至ASG、DVH、DVW、RCV、RIS、RRI、SEC等系统设备。
4)DAS—RGL
硬接线连接,送停堆信号至RGL。DAS产生的停堆信号并未送至停堆断路器,而是直接至控制棒电源柜,通过切断控制棒动力电源实现紧急停堆。使控制棒电源失电,并反馈停堆信号(RGL采用Schneider PLC数字化平台)。
5)DAS—GSE
硬接线连接,送停机信号至GSE,并接收GSE停机反馈信号(GSE采用ALSTOM ALSPA P320数字化平台)。
6)DAS—NC+ (I/A)
硬接线或网络连接,控制信号通过硬接线至NC+ (I/A)APG、RRI、SEC系统。
7)DAS—KIC
网络连接,送指示、报警信号至KIC系统。
8)DAS—BUP
硬接线连接,用于BUP的控制信号、指示、报警。
1)采用I/A非安全级平台,抗震I类;
2)模块精度+/-0.1%,采样时间小于100 ms;
3)质保:
—硬件(H/W): ISO9001 with Seismic CAT1 applied;
—系统软件(S/W): ISO9003;
—应用软件: IEC62138。
FJS NPP安全仪控系统与ISG-02的符合性如表1所示。
FJS NPP DAS是国内首次采用的,针对保护系统SWCCF的D3应用,其中还有很多需要深入研究的问题,如:
1)虽然DAS是一个超设计基准的D3措施,但必须评估DAS系统对相关规程的影响,并编写或修改相关规程;
2)论证RPN、RGL、GSE与Tricon,I/A平台在设计、人员、设备部件方面的多样性的必要性;
3)DAS人机界面的开发;
4)设备级手动开关的布置;
5)对运行技术规范书的影响等。
数字化安全系统软件共因的纵深防御,使系统设计、安全分析和安全评审变得复杂化,为避免这一复杂过程,有些项目甚至不惜放弃数字化的优势,而采用传统模拟技术的逻辑控制方式。因此,一些厂商准备开发能够降低软件共因故障概率的安全级数字化产品和方案,如广利核公司2010年10月发布的Firm Sys平台(目前已应用于清华大学高温气冷堆的保护系统)。还有一些防御软件共因故障的概念设计,如两个系列采用不同数字化平台的概念,但应用难度较大。而目前最新发展的现场可编程门阵列FPGA(Field-Programmable Gate Array)技术是比较可行的一种选择方向。
FPGA是在可编程阵列逻辑PAL(Programmable Array Logic)、通用阵列逻辑GAL(Generic Array Logic)、复杂可编程逻辑器件CPLD(Complex Programmable Logic Device)等可编程器件的基础上进一步发展的产物。它是作为专用集成电路(ASIC)领域中的一种半定制电路而出现的,既解决了定制电路的不足,又克服了原有可编程器件门电路数有限的缺点。
采用FPGA技术使得软件的量化评估成为可
能,可测试性增强,逻辑设计错误大大降低,使软件错误发生率降至最小。另外FPGA不依赖于更为复杂的系统软件的运行,以固化可编程逻辑的方式独立运行,更适合于应用到核电安全系统。
表1 FJS NPP 安全仪控系统与ISG-02对照表Table1 Comparison between FJS NPP DAS and ISG-02
在NRC官方网站数字化仪控专题的常见问题中,针对FPGA有这样的回答:
为什么说FPGA技术比微处理器技术受软件共因故障的影响更小?
答:因为现场可编程门阵列技术比微处理器技术相对简单,FPGA仅与应用功能直接相关,其应用系统的复杂性远远低于基于微处理器的系统应用。FPGA不依靠连续运行的软件,而是通过固化的可编程逻辑直接对输入信号进行处理。
2009年N R C已经发布了《Review Guidelines for FPGA in Nuclear Power Plant Safety Systems》FPGA应用于核电安全系统的审查导则。
可以预见,未来新型核电安全数字化系统,FPGA技术将全面取代目前的基于微处理器技术,使错综复杂的安全系统软件共因故障问题得以避免。
[1]蒋祖跃.秦山核电厂反应堆保护系统及其相关设备数字化改造规划和实施策略[J].原子能科学技术,2010,44(1).(JIANG Zu-yue. The digitization renovation plan and implementation strategy for Qinshan reactor protection system and other relevant equipment [J]. Atomic Energy Science and Technology,2010,44(1).)
[2]朱毅明.核电站数字化控制系统的应用和发展[R].中国仪器仪表,2010.(ZHU Yi-ming. Application and development of digitized control system of nuclear power plant [R]. Instrumentation in China,2010.)
[3]周海祥.核电厂数字化反应堆保护系统结构可靠性研究[D].哈尔滨:哈尔滨工业大学,2006.(ZHOU Haixiang. Structural reliability study for digitized reactor protection system of nuclear power plant [D]. Harbin: Harbin Industry University,2006.)
[4]李明宗.美国OCONEE 核能电厂安全仪控系统数位化更新经验[R].台湾:台湾电力公司,1999.(L I Ming-zong. Digitization updating experience for the safety I&C system of US Oconee NPP [R].Taiwan: Taiwan Power Company,1999.)
[5]NRC. Digital Instrumentation and Control System in Nuclear Power Plants.[R].Washington,D.C.NATIONNAL ACADEMY,1997.
[6]George E. Apostolakis.Digital Instrumentation and Control Issues in Nuclear Reactor Safety[R].US:Harvard University,2004.
[7]NRC. SAFETY EVALUATION BY THE OFFICE OF NUCLEAR REACTOR REGULATION RELATED TO AMENDMENT NO.366 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-38 AND DUKE ENERGY CAROLINAS, LLC AMENDMENT NO.368 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-47 AMENDMENT NO.367 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-55 OCONEE NUCLEAR STATION,UNITS1,2, AND3.2010.
[8]Takaki Mishima.Construction and operation experience of digitalized Safety Systems of Japanese ABWR[R],2009.