任春香,穆海洋
(江苏核电有限公司,江苏 连云港 222042)
随着近20年来控制和信息技术的日益成熟,加之用户对控制功能和管理需求地提升,数字化仪控系统开始全面进入核电厂应用,在各新建、拟建和改造的核电项目中都采用数字化仪控平台,其中绝大多数项目的反应堆保护系统(RPS)也采用了数字化技术,从而实现仪控系统的全数字化[1]。全数字化仪控系统可以提高机组对事件、事故的响应速度,降低人因失误的概率,体现了数字化的优势,但也带来了对软件共因故障(CCF)的担忧[2]。
田湾核电站AES-91型核电机组采用了俄罗斯VVER-1000/428型反应堆。田湾一期两台机组分别于2007年5月和8月投入商业运行,其反应堆保护系统采用了全数字化的TXS平台,是全数字化仪控系统在我国核电站的首次成功应用。田湾二期两台机组以一期机组为参考,分别于2012年12月和2013年9月正式开工建设。在二期建设中,基于数字化保护系统需防御软件共因故障的要求,电站员工对法规标准中软件共因故障的隐患和设置多样化驱动系统方案的说明进行研究,明确了设计需求,最终设置一套符合法规标准、安全评审要求且适合田湾机组的专设安全设施多样化驱动系统。
中国核安全法规HAF102[3]中6.4.8节指出“如果确定保护系统中应用基于计算机的系统,在不能论证所需系统的完整性具有高可信度时,必须具备保证执行保护功能的其他不同的手段。”其附件1中1.9节也指出“随着基于计算机的系统在安全领域和重大安全问题上的应用日益扩大,硬件故障或不正确的软件程序可导致有重大影响的控制动作,应该考虑这种可能性。”
中国核安全导则HAD102/14[4]中4.11节提出“数字化系统往往试图用一套计算机设备完成几个系统的功能。但这时,假如其中一个部件停运,会导致许多功能同时失灵,这种情况可能比常规硬件系统更多。软件的设计和鉴定必须确保具有足够小的差错率以确保执行所需的安全功能。软件系统本身也可能像有关硬件系统所述的那样,成为一个共因故障源。几个表面上独立的系统功能由于使用十分基本的编程方法可能微妙地联系在一起。甚至即使采用分别独立的计算机硬件系统,也完全可能如此。”
可以发现在HAF102与HAD102/14中均提出了对软件故障的担忧,其中HAD102/14更是提到软件故障可能导致许多功能同时失灵,其损害可能会比普通硬件故障更大。HAF102中提出在不能论证所需系统的完整性具有高可信度时,必须具备保证执行保护功能的其他不同的手段。
国际原子能机构导则IAEA NS-G-1.3[5]中4.28节指出“对设备多样性或为有关仪表控制系统(如实时操作系统)软件多样性所进行的论证,应该扩展到这些设备的部件,以确保存在实际的多样性。例如,不同的制造厂可能使用同样处理器或认可同样操作系统,从而潜在地引入一些共同故障模式”。4.29节指出“在软件的多样性方面,经验表明,如果软件的多个版本是根据同一个软件需求规格说明开发的,故障模式的独立性可能是达不到的。”
IAEA的标准提到了软件故障独立性的问题,指出如果不同的处理器认可同样的操作系统,或者软件的多个版本是根据统一软件需求规格说明开发的,均有可能引入共因故障。
美国核管会NRC也出版导则DI&C-ISG-02[6]提到“一般反应堆保护系统包含4个通道2种多样性,这种设置可以进一步降低丧失所有安全功能的概率。然而,令人担忧的是,在软件中一个错误在所有通道中可能是通用的,会导致保护系统的所有通道故障。许多安全功能整合在一个有限数量的数字组件中,同时数字组件重复在所有四个通道,更增加这方面的担忧。”
NRC针对核电厂数字化安全仪控系统的典型架构提出了软件共因故障的担忧。虽然典型数字化保护系统的四个通道是物理隔离的,但是四个通道中的软件及逻辑的设置可能存在一定的相关性,某一软件错误可能在所有通道中是通用的,这种隐患有导致所有通道共因失效的可能。
如上所诉,中国核安全法规导则、国际原子能机构导则、美国核管会导则均阐述了软件故障的可能性,并提出数字化保护系统应防御软件共因故障的要求。随着数字化保护系统在我国核电机组的广泛运用,特别是福岛事故后国家对核安全要求的大幅提升,在国家“十二五”期间新建核电厂安全要求 (征求意见稿)[7]出现“对于安全系统中基于计算机的设备必须考虑软件的共因故障”的规定。虽然目前国内各新建、预建项目的堆型不同,但普遍采用数字化的反应堆保护系统,如何防御软件共因故障成为所有项目共同的课题。
如上节所述,国内外均提出数字化保护系统应防御软件共因故障的要求,并提出设置多样化的驱动系统以确保保护功能执行的观点,但对于多样化驱动系统的方案大多没有给出具体规定。其中,美国核管会NRC提出的一些的观点,笔者认为非常具有借鉴意义,如:
NRC出版的导则DI&C-ISG-02[6]具体指出了3种防御软件共因故障的方案:“1)两个通道设置一种类型的数字化系统,另外两个通道设置多样化的数字化系统;2)分析某些安全功能可能受到CCF影响,设置一个多样性的自动后备系统来执行可能受CCF影响的安全功能;3)分析表明某些RPS安全功能可能受到CCF影响,依据相关的人因工程(HFE)分析,表明手动触发在可用时间内可以操作,手动触发可以作为一个多样化的方案来执行受CCF影响的安全功能。”
NRC出版的核电站安全分析报告标准评审计划(NUREG-0800)的分支技术要求BTP 7-19[8]提到主控室(MCR)设置一系列显示和手动控制作为多样化方案时,应当尽量少的涉及易受CCF影响的设备,一个方法是使用硬接线。同时,BTP 7-19还提出如果分析表明系统原有的手动方式可能受CCF的影响,则需要增设一套手动多样化触发方案,新增加的手动方案可以是安全级的也可以是非安全级的,即需要两种手动触发方案。如果原有的手动触发方案不受CCF影响,则不需要增加多样化的手动触发方案,即只需要一种手动触发方案即可。手动方案来防御CFF影响的实施原理见图1。
DI&C-ISG-02提及的3种方案中第1、2种方案为自动化的多样性方案,第3种方案为手动化的多样性方案。BTP 7-19具体介绍了手动多样化方案的设置条件,并推荐了硬接线的模式。
田湾核电站数字化保护系统(RPS)采用传统的4个通道2种多样性架构,由反应堆紧急停堆系统(RTS)和专设安全设施驱动系统(ESFAS)两部分构成。目前,田湾一期两台机组运行的RPS系统的驱动原理可分为自动驱动方式和手动驱动方式两种:自动驱动方式通过信号采集模件循环采集工艺过程参数并进行逻辑运算,四个通道独立的运算结果经4取2表决后产生驱动信号传输至驱动模件;手动驱动方式中RTS的手动驱动命令既通过数字化的软件系统也通过硬接线传输至硬件驱动模件,而ESFAS的手动驱动命令只有通过数字化的软件传输至优选输出模件一种方式。田湾一期RTS、ESFAS驱动原理详见图2。
图1 需要两种手动触发方案与需要一种手动触发方案的对比[8]Fig.1 Requires two manual trigger methods contrast w ith the need to manually trigger a programme [8]
3.2.1 软件共因故障分析
田湾二期两台机组以一期机组为参考,其数字化保护系统(RPS)的架构与一期保持一致。基于本文第1节提及的数字化保护系统需防御软件共因故障的要求,田湾二期的RPS系统需分析是否存在软件共因故障的隐患。
田湾二期基于TXS平台的RPS系统采用一定数量的微处理器及配套的软硬件,经过逻辑设计将软件和硬件联系起来实现预设的保护功能,虽然传统的四通道冗余并且物理隔离的架构被普遍认为可以提高安全性和可靠性,但是还没有一种得到一致认可的数字化系统可靠性评价方法来进行评价。并且,四通道中的软件及逻辑是根据同一个软件需求规格说明开发的,采用了相同的编程软件和处理器,这就导致4个通道中的软件和逻辑存在相关性甚至是相同的,有可能会因通用的软件缺陷或收到特殊的混合型输入而导致四个通道共因失效。
3.2.2 多样化驱动系统方案选择分析
基于本文第2节提及的防御软件共因故障的多样化驱动系统方案要求,田湾二期RPS系统应参考设置防御软件共因故障的多样化驱动方案。
针对DI&C-ISG-02[6]提出的3种防御软件共因故障的方案,如果选用第1、2种方案则需要对仪控系统原有架构乃至保护系统初始设计进行变更,并且需要进行可行性论证,对于田湾二期项目的费用、进度等影响很大。此外,选用第1、2种方案可能无法保证田湾二期RPS系统的架构与一期的一致性,增加了以后运行、维护人员的误操作风险。相对而言,第3种方案更适合对现有保护系统方案的改进,并且可作为独立的系统进行研发,而不影响田湾二期项目整体进度。
图2 田湾一期RTS、ESFAS驱动原理图Fig.2 Tin Wan a RTS, ESFAS drive schematic diagram
根据本文3.1节,当田湾RPS系统出现软件CCF时,RTS系统命令可以由手动硬触发,保证反应堆正常停堆。但是ESFAS系统没有设置独立于计算机软件的系统级触发手段,其手动触发方式也可能受同一CCF影响,而导致ESFAS系统无法输出驱动命令。ESFAS系统的手动触发方式符合BTP 7-19[8]中关于增加手动多样性触发方案的要求,参考图1中关于手动多样性触发方案的设置,田湾二期增加的ESFAS手动多样化驱动系统(MASS)原理如图3所示。
图3 田湾二期ESFAS手动多样化驱动系统原理图Fig.3 Diversification of tianwan phase II ESFAS manual driver schematic diagram
3.2.3 田湾二期ESFAS手动多样化方案标准适应性分析
基于DI&C-ISG-02[6]的规定,需分析手动多样性方案在TXS软件故障时的可用性。因此,MASS除了应包含旁通TXS软件的操作部分外,还应包含初始事件监控部分。操作部分的主体是由纯硬件完成逻辑设计的机柜,监视部分由仪表输入和执行器反馈获得需要的控制盘事件报警和显示画面。出现RPS系统软件CCF时,操纵员可以通过监控部分提供的信息,判断人工干预的必要性,确定是否操作数字化专设安全设施驱动多样性系统设备,驱动必要的安全系统设备,应对或缓解事故的后果,维持电站各项参数处于安全范围以内,这种设置可满足了DI&C-ISG-02[6]的要求。MASS系统结构如图4。
图4 MASS系统总体结构Fig.4 MASS system structure
基于BTP 7-19[8]中关于硬接线和手动多样化方案安全分级的描述,田湾二期MASS系统采用安全级的TXS硬件设备进行操作部分配置,采用非安全级的正常运行仪控系统进行监控部分配置,既满足了BTP 7-19[8]的要求又可最大化的降低变更成本。
针对数字化保护系统需考虑软件共因故障设置多样化方案的要求,田湾核电站二期对国内外法规标准进行研究,并结合田湾核电站的控制和工艺要求,最终设置了满足现有法规标准要求的手动多样化驱动方案。该方案既可满足数字化保护系统防御软件共因故障的要求,又可独立、简洁地与原安全仪控系统集成,研究其在田湾运用的规范性和可行性是非常有必要的。同时,作为当前核安全领域中的热点话题,田湾防御软件共因故障的经验和措施,对各新建、预建和改造的核电机组也有一定的借鉴意义。
[1]田露.核电安全系统软件共因故障的纵深防御[J].核电安全,2012,5(3):268-276.
[2]NRC, Digital Instrum entation and Contro l System in Nuclear Power Plants[R].Washington,D.C.NATIONNAL ACADEMY,1997.
[3]HAF102,核动力厂设计安全规定,2004年4月18日国家核安全局批准发布,2004年修改[Z].
[4]HAD102/14,核电厂安全有关仪表和控制系统,1988年10月6日国家核安全局批准发布[Z].
[5]IAEA_NS-G-1.3,核动力厂安全重要仪表控制系统,国际原子能机构,维也纳,2005年[Z].
[6]NRC, DI&C-ISG-02 Interim Staff Guidance on Diversity and Defense-in-Depth Issues[S].September 26, 2007.
[7]“十二五”期间新建核电厂安全要求(征求意见稿),国家核安全局 [Z].2013, 5.
[8]NRC Standard Review Plan, Branch Technical Position 7-19.Guidance for evaluation of Diversity and Defense-in-depth in Digital Com puter-based Instrumentation and Control System.Revision 6.July 2012.