基于NUREG/CR-7007的多样性量化研究

徐 智

（1.苏州热工研究院有限公司，苏州 215004；2.中广核工程设计有限公司，上海 200241）

随着电子信息科技的高速发展，越来越多的核电厂部署了或通过升级的方式应用了数字化仪控（DI&C）系统。相对于早期的模拟系统，DI&C系统的安全性、可靠性以及可维护性等有明显优势，但DI&C系统存在软件等共因故障（CCF）导致保护系统失效的可能性[1]，而且一般的冗余设计也无法解决该问题。因此，美国核管会（NRC）要求核电厂采取必要的保护措施来应对CCF，防止核电厂运行对公众的健康和安全造成不利影响。业界公认应对CCF的措施为提高系统总体的多样性。NRC发布诸如NUREG/CR 6303和NUREG-0800的BTP7-19等一系列指导文件，给出对数字化反应堆保护系统进行多样性及纵深防御D3（diversity and defense in depth）分析的方法[2-3]。但NUREG/CR 6303的分析结果存在较多的不确定性，难以确保所采用的措施能应对CCF。为此，NRC基于美国橡树岭国家实验室研究成果，发布了NUREG/CR-7007，用于解决“如果保护系统需要采用多样性措施来应对CCF，什么样的多样性是足够的？”的难题[4]。

NUREG/CR-7007方法源于基于软件的计算机系统的评估，但越来越多非软件的数字化系统已经应用或将要应用于核电厂，但目前并没有相应的专门评估手段。如何利用已有方法来进行非软件系统的多样性量化评估、在系统设计前期的应用以及应用中存在的问题是本文的研究重点。

1 NUREG/CR-7007评价方法

核电厂特有的核安全目标，要求核电厂数字化控制（包括保护）系统必须能在预期瞬态工况、设计基准事故等工况下完成所需的功能，直接导致了对核电厂仪表与控制技术非常高的可靠性需求。常见的冗余设计可以显著提高系统的可靠性，但共因故障可轻易破坏冗余设计的有效性。由一个特定事件或原因引起若干装置或部件不能执行其功能的故障被称为共因故障。这些事件可能来自外界环境，也可能是设计本身的缺陷所造成。表1[5]给出了CCF主要原因和对应的防御措施。

表1 共因故障原因及其防御措施Tab.1 Reasons of CCF and protection measures

目前应用于核电厂的数字化仪控系统普遍是基于软件的计算机系统。共因故障（CCF）的重要可信来源是基于CPU的软件设计错误，且无法证明软件设计是完全无故障的，已成为核电领域，包括计算机界的共识。即使实施了表1中常见的、作为重要而有效的软件质量控制措施的独立验证和确认（IV&V），任何组织、任何机构和个人都不可能通过V&V过程100%的排除软件错误[6]。为了应对软件的CCF，采用多样性保护系统成为一种有效的应对措施。采用不同的方法或手段达到特定的目的是多样性措施的核心目标[7]。在仪控系统中使用不同的传感器输入、不同的触发方式、不同的逻辑和算法、不同的技术等几种方式或组合来达到所需功能是提高多样性的重要手段。文献[2]指出多样性由设计多样性、软件多样性、功能多样性、信号多样性、人员多样性、设备多样性构成。

基于监管当局的要求，众多核电厂根据NUREG/CR 6303进行了纵深防御及多样性（D3）评估。但NRC认为这些基于NUREG/CR 6303的分析，除了个别属性外，存在较大的不确定性，因而也难以确保分析的措施能够应对CCF[4]。为此，美国橡树岭国家实验室对航天、航空、轨道运输、化工等非核工业界及世界范围的核电厂进行广泛调研，采用统计分析方法，给出了定量多样性程度的方法和指标，这就是意在解决“如果安全系统需要采用多样性措施来应对CCF，什么样的多样性是足够的？”问题的NUREG/CR-7007。

NUREG/CR-7007在NUREG/CR 6303的基础上发布了多样性的7大属性25条准则/措施，如表2所示[8]。根据每一多样性属性中的各个措施对于多样性的贡献，为每一措施赋予各自的DCE（diversity criterion effectiveness）权重。再根据从全球范围的航天、航空、轨道运输等非核行业及核行业大量的多样性实际应用的情况，经过适当的处理和分析，给出每一多样性属性的DAE（diversity attribute effectiveness）权重。在此基础上可进行具体案例的多样性定量计算。NRC认为只有多样性归一化计算值大于1，多样性要求才得到认可。基于NUREG/CR-7007的多样性量化方法的计算公式[8]为

表2 多样性属性及准则Tab.2 Diversity attributes and criteria

式中：A为系统的多样性量化目标值；xij为取决于表2中的7个多样性属性的第i多样性属性中的第j个措施的存在与否，如存在该措施则xij=1，若未采用此措施则xij=0；wi为第i多样性属性的 DAE权重；wij为第i多样性属性中的第j个措施的DCE权重；c 为归一化基准常数；i∈I=｛1，2，3，4，5，6，7｝；j∈J=｛1，2，3，4｝；xij∈X=｛0，1｝。

2 应用实例及分析

数字化仪控系统的多样性问题已经得到高度的关注。但文献 [1，5-7]等均未采用NUREG/CR-7007来进行多样性的量化研究。本文基于最新的研究成果，揭示量化多样性工作的挑战，并给出方法修正的预测。

2.1 常见应用

文献[4]给出了多个一般系统多样性量化评价的例子，本文不再赘述。

2.2 基于非软件系统/部件的应用

由于软件的复杂性及验证难度，越来越多的非软件的系统/部件已经或将要应用于核电厂仪控系统。FPGA就是一种优越的非软件技术，已经应用于第三代非能动安全核电厂的仪控系统[8]。基于FPGA开发的1E级平台已经通过NRC认证[9]，或正在进行NRC的安全认证[10]。

文献[8]基于公开披露的信息，采用NUREG/CR-7007的标准方法和参数，独立进行第三代非能动安全核电厂的仪控系统CIM及DAS两大关键部分的多样性量化研究。表3为各措施的量化值。

计算得出A=1.015，略大于NUREG/CR-7007中规定的最低限值1。基于多样性量化值裕度较小的状况，提出了部件设计生产等阶段应给予高度关注及严格监管的意见。这也符合NRC的监管实际情况[11-12]。同时，灵敏度分析表明，在不改变供应商的大前提下，提高“同一公司内的不同的管理团队”的可行措施能显著地提高多样性量化值至1.114。

表3 CIM/DAS的多样性属性Tab.3 Diversity attributes of CIM/DAS

基于FPGA技术的安全级平台ALS已经应用于核电厂老旧安全系统的部分替换工程[13-14]。由于实际替换工程的范围较小和简单，并没有完整的多样性量化报告。文献[15-16]基于ALS的特性，设计了保护与监测系统的完整方案，并对其进行了多样性量化研究。基于NUREG/CR-7007的标准系数计算所得的多样性量化值为0.972，略微小于可接受值1。但基于保守的将逻辑处理设备多样性的4个措施均置为0的计算以及对NUREG/CR-7007中对应措施的类比测算，提出了可不设多样性驱动系统的初步结论。

2.3 高级应用

无论是一般应用，还是上述基于非软件系统/部件的应用，均是一种设计后验工作，即对已有的设计方案进行多样性量化评估。文献[17]在NUREG/CR-7007基础上建立了数学模型，采用0-1线性规划算法，在给定各措施代价的前提下，解决了“代价最小的且有足够多样性的系统是什么？”的问题。文献同时指出，在实际应用时，即使不能准确给出各措施代价值，该模型也能在设计前就确保最终设计的多样性量化值不低于要求值，避免设计可能不满足多样性量化要求的风险，同时避免设计时采用过多的多样性措施导致实现代价过大的问题。仿真算例表明了该方法是高效可行的。同时揭示了整个系统多样性量化设计的一些规律，为系统的多样性优化设计提供参考。

2.4 问题及解决办法

NUREG/CR-7007的量化方法源自于统计数据的分析，其算法本身是工程实际的经验总结。在实际的多样性量化分析中，根据分析对象，依照表2的判据项，给式（1）所有的对应变量取1或0后，计算A值并与1比较即可。文献[4]要求首先要判别方案所对应的类别，其本意在于可以自动对某些值进行赋值和/或约束，如“不同的技术”与“相同技术不同方法”不能同时存在；又如只要是“不同的技术”则“不同的架构”就会必然存在，即存在固有（inherent diversity）关系。但该方法不但人为增加类别判定的工作量，同时给保护系统本身的多样性量化工作带来麻烦。经验表明如果不先进行类别判定，在进行措施的赋值后必须依据文献[4]的相关表进行校核，避免出现有悖于文献中给定关系的情况。文献[17]已经为多样性措施的“互斥”关系及“互锁”关系建立数学模型，可自动检测这些内在关系，从而省去这项分类工作。

NUREG/CR-7007明确指出C类方案逻辑处理设备多样性的“不同的数据流架构”措施对多样性的贡献不大，应不采用。但在实际的量化工作中，当评估对象的数据流架构确实不同时，应该考虑该多样性。文献[8]指出如果考虑CIM和DAS的总线结构的差异，则修正后的A为1.038，确实没有显著地影响多样性量化值。多样性量化工作经验表明对于某些赋值有歧义或模糊的措施，可以通过灵敏度分析，最后取较为保守的量化值。

文献[9]在对ALS平台本身进行多样性量化分析时指出，由于NUREG/CR-7007量化方法中的“逻辑处理设备多样性”属性是基于微处理器架构系统多样性属性，对于像基于FPGA的ALS平台来说，其相应的措施值应保守地取0。但这必将带来过于保守的结论。正如文献[14]的研究，即使最大程度采用其他有利于多样性的措施，其多样性量化值也偏低。同时如果统一将该属性设定为0，则其他方案的多样性量化值均会有显著的降低。随着基于非软件系统的大量引进，对文献[4]的多样性量化方法进行修正势在必行。可能的修正方案为对该属性对应的措施进行条件限定，如补充相应的赋值准则，而不是将非CPU方案对应措施项强制要求设为0。

3 结语

本文给出基于NUREG/CR-7007的非计算机架构的仪控系统多样性量化的几个实例，并给出基于该方法而开发的可用于设计前期进行多样性量化评估方法，指出了多样性量化评估的潜在问题和解决方法，提出了应对非软件技术数字化系统的可行修正办法。这些工作对于自主进行核电厂数字化仪控系统，特别是基于非软件技术数字化系统的多样性量化评估工作有积极的参考价值。

[1]阚睿，姜群兴，陈文浩.核电厂数字化仪控系统纵深防御和多样性研究[J].工业控制计算机，2014，27（1）：19-20.

[2]US NRC.NUREG/CR-6303 method for performing diversity and defense-in-depth analyses of reactor protection systems[S]，1994.

[3]US NRC.BTP7-19 guidance for evaluation of diversity and defense-in-depth in digitalcomputer-based instrumentation and control system[S]，2007．

[4]US NRC.NUREG/CR-7007 diversity strategies for nuclear power plant instrumentation and control systems[S]，2009.

[5]郑伟智，李相建，朱毅明，等.核电站反应堆保护系统防共因故障设计研究[J].自动化仪表，2012，33（2）：47-50.

[6]陈银杰，张春雷，齐敏，等.FPGA技术在核电站多样性系统中的应用技术研究[J].自动化仪表，2014，35（2）：46-57.

[7]毛从吉，母琦.从安全审评角度看核电站数字化仪控设计[J].自动化仪表，2012，33（7）：39-48.

[8]徐智，雷晴，陈冬雷.CIM和DAS多样性的定量分析[J].自动化仪表，2014，35（S1）：73-76.

[9]NRC U S.Nuclear regulatory commission safety evaluation for topicalreport6002-00301 “Advanced LogicSystem Topical Report”[R].Rock ville：NRC，2013.

[10]曾海.基于NuPAC的核电厂反应堆保护系统关键特性分析[J].原子能科学技术，2014，48（3）：492-499.

[11]Bill R，Royce B，Deanna Z，et.al.Audit report for lifecycle phases one and two documentation validation related to protection and safety monitoring system and diverse actuation system for the ap1000 design certification amendment application[R].Rock Ville：NRC，2010.

[12]Bill R，Jack Y，Ken D，et al.Audit report for review of proprietary technical，procedural，and process information related to the component interface module and diverse actuation systems for the westinghouse ap1000 design certification amendment application[R].Rock Ville：NRC，2010.

[13]NRC.Wolf creek nuclear operating corporation-amendment to renewed facility operating license[R].NRC，Washington DC，2009.

[14]Diablo Canyon Power Plant.Supplement to license amendment request11-07.Processprotection system replacement[R].Avila Beach，CA，2013.

[15]徐智，雷晴.新型逻辑系统平台的保护与监测系统数据通信设计[J].核电子学与探测技术，2015，35（5）：462-467.

[16]徐智.基于先进逻辑系统平台的保护与监测系统的D3分析[J].自动化仪表，2016，37（2）：22-29.

[17]徐智，丁丁，张瑜.基于NUREG/CR-7007的DAS系统优化设计[J].原子能科学技术，2016，50（1）：156-163.