核电厂数字化仪控系统软件共因故障相关核安全标准研究

余 毅，陈日罡，曾 斯

（1.生态环境部华北核与辐射安全监督站，北京 100082；2.中国核电工程有限公司，北京 100840；3.生态环境部核与辐射安全中心，北京 100082）

共因故障指由特定的单一事件或起因导致两个或多个构筑物、系统或部件失效的故障［1］，它是核电厂安全系统中一个重要的安全问题。由于软件故障本质上是系统性的，不是随机性的，因此基于计算机的安全系统的共因故障是一个关键问题［2］。我国核安全法规HAF 102-2016《核动力厂设计安全规定》［3］指出必须考虑由软件引起的共因故障，相关配套导则HAD 102/10-2021《核动力厂仪表和控制系统设计》［4］提出了仪控系统应明确自身的纵深防御概念和多样性策略，以应对软件共因故障的影响。法规导则给出了总体要求和方法，但相关实践表明，数字化仪控系统设备可靠性及其评价、纵深防御和多样性设计等方面的一些具体要求还需要进一步明确。

本文对国内外核电厂数字化仪控系统共因故障相关的核安全标准要求进行了梳理和总结，并结合我国核电厂在实际应用数字化仪控系统中遇到的问题，对进一步完善相关标准体系给出了建议。

1 现状

1.1 我国法规导则要求

2016年，国家核安全局参照国际原子能机构（IAEA）安全标准（安全要求）SSR-2/1［5］，修订发布了HAF 102-2016。HAF 102-2016延用了前续版本应对共因故障的总体要求，即根据安全重要系统设备的可靠性要求来确定多样性等应对措施，保留了停堆手段必须考虑共因故障的具体要求，此外还新增一条对于基于计算机的设备在安全重要系统的应用中必须考虑由软件引起的共因故障的具体要求，如表1所示。

表1 HAF 102共因故障应对要求Table 1 Regulations on common cause failures of HAF 102

2021年，国家核安全局参照IAEA SSR-2/1仪控设计领域的下层标准（安全导则） SSG-39［6］，修订发布了HAF 102-2016的配套导则HAD 102/10-2021，重点考虑了数字化仪控技术以及相关安全要求的发展，更加强调数字化仪控系统共因故障的整体应对。HAD 102/10-2021承接了HAF 102-2016共因故障的应对要求，从仪控系统的可靠性设计和分析、纵深防御和多样性设计和分析等方面较为全面地阐述了数字化仪控系统共因故障的应对方法，如表2所示。

表2 HAD 102/10软件共因故障应对相关内容Table 2 Regulatory guides on addressing common cause failure deriving from software of HAD 102/10

根据HAD 102/10-2021，对于安全重要仪控系统，其可靠性的特性应包括共因故障的容错能力；对于数字化系统，其提高可靠性的方法，包括试验和自检功能、通信的错误检测和纠正特性、使用软件工具提高仪控开发过程的完整性等；对于软件，其可靠性水平的确定，可从验证和确认结果的评估来推断，且可定性或定量确定，同时还提出根据运行经验和通过第三方评定来进一步提高软件及系统的可靠性。

IAEA在安全要求SSR-2/1和安全导则SSG-39基础上，还有配套技术文件对相关方法和观点进行了进一步阐述。

工程结构试验是一门同等重视理论和实践的课程。它还对其实践能力和综合能力进行全面审查。通过试卷评估，大型作业评估和考试报告评估等多种方法，全面评估学生的综合能力。此外，建议建立一个试题库，为试卷组织的合理性和科学性提供条件。

1.2 国际原子能机构技术要求

HAD 102/10-2021指出在仪控系统总体结构设计中，应支持核动力厂整体的纵深防御理念，并明确自身的纵深防御概念和多样性策略，以应对数字化仪控系统共因故障的影响；HAD 102/10-2021同时要求分析保护系统执行必要安全功能的每个假设始发事件叠加妨碍保护系统执行上述功能的共因故障所产生的后果，以审查仪控系统纵深防御概念和多样性设计在应对共因故障时存在的薄弱点；HAD 102/10-2021还指出了设计、信号、设备、功能、开发过程和逻辑等仪控系统的6种典型多样性类型。

大学生是国家发展的中坚力量，大学生有较强的信息接收能力，在新媒体环境下，学生能够对信息作出及时有效的反映，信息的优先权已经掌握在学生手中。在传统教学过程中需要教师所讲解的知识，现在只需要手机一搜，便能够高效获取，这也给思想政治教育工作人员带来了极大的素质要求。

同时，定期组织教师进行校内英语培训，并举行技能竞赛，以赛促教，让教师能够流利的使用英文阐述课程教学内容。加强国际、国内交流，选派双语教师到国外、国内培训和进修，提高双语教学水平。常州纺织学院支持和鼓励教学团队和兄弟院校之间的合作，为双语教学相关课题研究提供支撑，通过一定的奖励机制来激发教师们的工作热情。

1.2.1 可靠性设计

2009年，IAEA发布了技术文件《核电厂数字化仪控系统共因故障防护》（IAEANP-T-1.5）［7］，指出软件是共因故障的可信来源，其故障机理和故障模式不同于硬件，数字化仪控系统更容易受到软件共因故障的影响。针对数字化仪控系统共因故障，NP-T-1.5提出了6条设计原则，以提高系统的可靠性，如表3所示，其他设计措施还包括仪控系统纵深防御、独立性、维护和修改、信息安全等方面。

表3 核电厂数字化仪控系统共因故障设计原则Table 3 The design principles of digital I&C systems common cause failures in nuclear power plant

这个日子是适合滑翔的，天清气朗，万里无云。随着族长一声哨响，数十只硕大的滑翔翼，在经过一段距离的助跑推动后，从高高的山巅冲腾而出。一瞬间，天空都被这些绚丽缤纷的翅膀所遮盖。

2016年，IAEA发布了安全标准SSR-2/1及其下层标准SSG-39，并于2018年发布了相关的两个配套技术文件《核电厂仪控系统总体架构的实现方法》（IAEA-NP-T-2.11）［8］和《核电厂多样化驱动系统准则》（IAEA-TECDOC-1848）［9］，这两个配套技术文件对核电厂仪控系统的纵深防御概念及多样化驱动系统的设计进一步进行了阐述。

1.2.2 纵深防御和多样性设计

NP-T-2.11阐述了如何应用纵深防御概念，以限制数字化仪控系统共因故障的影响，并以西欧核监管协会（Western European Nuclear Regulators Association，WENRA）技术报告为例，阐述了核电厂数字化仪控系统纵深防御的具体设计，如表4所示。核电厂仪控系统作为辅助系统，在为核电厂纵深防御各层次工艺系统提供监控手段的同时，其自身也应构筑纵深防御来应对可能的共因故障。WENRA提供的做法是，在核电厂5个层次的纵深防御基础上，增加了3b层次来应对以下工况：（1）单一始发事件与3a层次失效的叠加；（2）多个始发事件叠加，但3a层次正常运行；（3）由内部或外部危险引起的事件，超出了3a层次的设计基准。

表4 核电厂数字化仪控系统纵深防御各层次Table 4 The echelons of defense of digital I&C systems in nuclear power plant

相较于NP-T-2.11以WENRA报告为例阐述的反应堆保护系统3a、多样化保护系统3b的设计，TECDOC-1848则提出了设计和实施多样化驱动系统（Diverse Actuation System，DAS）作为反应堆保护系统的备用系统以实现安全功能的通用要求，如表5所示。

表5 多样化仪控系统设计要求Table 5 Criteria for diverse actuation systems for nuclear power plant

1.3 美国核管会审评要求

美国核管会（NRC）通过相关安全监管导则（RG）和标准审查大纲NUREG-0800相关章节，阐述了核电厂软件共因故障的设计和审评要求。

小道不生蒿草，日本兵来时，让她躲身到地缝中去吗？她四面寻找，为了心脏不能平衡，脸面过量的流汗，她终于被日本兵寻到：

1.3.1 可靠性

2011年，NRC发布核安全监管导则《核电厂安全系统中使用计算机的准则》（RG 1.152-2011）［10］，引用并总体认可了标准IEEE 7-4.3.2-2003［11］，同时还进一步补充了对核电厂数字化仪控系统可靠性的观点。

（1）随着数字化系统引入核电厂安全系统的设计，安全系统冗余通道之间由于软件设计错误可能导致的共因故障越来越受到关注，当前的设计及质量保证（包括软件的验证和确认）还不能提供足够的置信度。

（2） NRC不认可将量化可靠性指标作为满足数字计算机应用于核电厂安全系统监管要求的唯一指标，NRC可接受的计算机系统的可靠性，应该是包括软件和硬件的确定性要求。

妹岛和氏设计的卢浮宫朗斯分馆中央为68mx58m近似长方形的公共空间，对角分别连接狭长的永久展厅和临时展厅，这一组织方式结合大量玻璃的使用，实现了公共空间对周边环境在视觉上完全打开的效果，使得大厅空间与公园融为一体，透露出融于社区生活的强烈意愿（图8a）。由让·努维尔设计的卢浮宫阿布扎比博物馆则通过巨大的滤光屋顶营造了被“光之雨”空间（图8b），该空间既是展厅空间的“负空间”，同时又是一个绝佳的城市漫步场所，根植于地域环境却又摒弃了基于宏大叙事的约定俗成的转译，为城市提供了一个海岸花园，一个凉爽天堂。

2016年，NRC发布了核电厂安全分析报告标准审查大纲NUREG-0800第6版，其中第7.8章［12］阐述了多样化仪控系统设计和审评要求。NRC认为，虽然数字化仪控系统软件共因故障属于超设计基准，但仍需要提供措施应对预期运行瞬态和假想事故与数字化保护系统软件共因故障同时发生所带来的影响。

从以上分析可以看出，各法规、导则、标准的总体要求是一致的，均认为数字化仪控系统软件共因故障是可信的，需要在考虑其可靠性基础上采取多样性等措施来应对，并应进行纵深防御和多样性分析以确认软件共因故障应对措施的充分性。但也存在一些差异，如IAEA提出了系统可靠性设计中对软件共因故障的应对措施，并指出软件的可靠性和可用性的水平可定性确定或定量确定，而NRC则不认可相关量化的可靠性指标，但提出了消除共因故障影响的可接受方法。

文稿中计量单位一律使用国家法定计量单位，所有计量单位符号均为正体，用标准符号表示，如“m”“m2”“t”等。各种专业术语按国家标准使用，同一名词术语、计量单位、人名、地名等要求全文统一。变量采用斜体，但数字采用正体。

（1）如果假想共因故障会造成某个安全功能失效，则核电厂应设置多样化方法执行同样或不同的功能进行应对，并证明该多样化方法不会发生同样的假想共因故障。多样化或不同的功能可由非安全级系统执行，但需满足在相关事件工况下必要的质量要求。

（2）主控室应提供一系列显示和控制，用于实现关键安全功能的系统及手动驱动以及对支持安全功能的参数进行监视，且应与相关安全级计算机系统一样具备独立性和多样性。

术前完成视力、眼压、裂隙灯显微镜、验光、角膜曲率、眼B超、角膜地形图、角膜内皮细胞计数及形态、OCT、视觉电生理检查，应用A超及IOL Master测量计算IOL度数。

从我国三代核电“华龙一号”仪控系统应对共因故障设计实践反馈来看［18］，一些仪控系统自身纵深防御设计审评的具体要求有待进一步明确，包括：

NRC在其核电厂安全分析报告标准审查大纲NUREG 0800第7章中，通过技术文件BTP 7-19［14］阐述了应用纵深防御和多样性来应对核电厂数字化仪控系统软件共因故障的设计审评要求。BTP 7-19对核电厂数字化仪控系统根据核安全重要性和对软件共因故障的敏感程度进行了分类，明确纵深防御和多样性定量分析要求适用于安全重要性最高的仪控系统，并补充了其他重要性较低仪控系统（包括非1E级）的定性评价方法和准则，相关分析评价流程如图1所示。

图1 核电厂数字化仪控系统共因故障评价流程Fig.1 Evaluation process of digital I&C systems common cause failures in nuclear power plant

BTP 7-19还指出如果数字化仪控系统具备以下两种设计属性之一，则不需要考虑软件共因故障的影响：（1）内部多样性，如反应堆保护系统内部保护通道之间具有满足NUREG/CR-6303［15］要求的多样性；（2）完全测试，即系统设备足够简单，能够对所有可能的输入及其组合进行完全测试和验证。

1.4 小结

NUREG-0800第7.8章指出，对于应用数字化紧急停堆系统（RTS）和专设安全设施驱动系统（ESFAS）的核电厂，应重点关注文件“SRM to SECY-93-087 II.Q”［13］中相关要求：

2 存在问题

2.1 设计关注问题

1.3.3 纵深防御和多样化性分析

（1）设计时是否需要考虑控制系统与保护系统均共因失效的情况，以及相应的设计准则和接受准则。

1.3.2 多样化仪控系统

（2）关于纵深防御3b层次，其工艺系统的监测和控制系统的设计准则及独立性要求。

（3）关于现场仪表和传感器、优选模件等多个纵深防御层次共用设备，其设计准则及如何考虑共因故障。

2.2 相关运行事件

从我国核电厂数字化仪控系统相关运行事件的分析来看［16，17］，采取一定措施加强数字化仪控系统软件共因故障的应对是必要的。

多对一指多个民用要素对应一个军用要素，例如民用标准中的“地面干渠”“地面支渠”，对应军用标准中的“沟渠”，多对一要素分布统计图见图3。多对一的映射关系可以理解为民用标准表达比军用标准更细致。

一方面，对于数字化仪控系统，即使是经过相对严格的验证和确认后的安全级仪控系统设备，在核电现场的调试运行中仍暴露出一些设计不周、软件程序缺陷等问题；另一方面，对于非安全级数字化仪控系统，虽然相关事件中绝大部分没有对安全功能造成直接影响，但也有部分事件引发了不必要的瞬态，不利于机组安全稳定运行，在个别事件中甚至还出现了燃料组件被拉弯的非预期情况。

民间融资监管法律以正当利益为平衡点促进双方行为选择的动机理性。融资权利作为私权利，法律设置主体行为界限是不损害他人的自由权利，凡不危及他人利益的行为皆可认为是动机理性。监管者是社会公共利益代表，法律设定其保护融资权利实现的职责以对权力行使进行目的性限制。当融资主体行为不伤害他人正当利益时，监管者不必也不得行动。因为权力行使是防止双方互相侵害而非直接实现，只要融资主体不伤害他人正当利益就必须尊重其行为选择的自由。此时，即使可能更有利于对方利益实现，权力也不可行使。只有当融资主体行为伤害他人利益时，监管者才能对之进行限制和处罚。

3 建议

综上所述，我国核安全法规导则主要从仪控系统可靠性、纵深防御和多样性等方面，提出了软件共因故障应对的总体要求和方法，但还缺少相应的设计准则和接受准则。因此我们有必要在现有法规导则框架下，借鉴国际同行的经验和做法，并考虑国内的一般工业基础，进一步补充完善软件共因故障应对相关的核安全标准，具体建议如下：

（1）根据安全重要性确定软件共因故障的应对措施，并选择定量的或者定性的可靠性、事故后果分析的验收准则。对于安全系统，应开展纵深防御和多样性分析，并确定定量的验收准则；对于其他数字化仪控系统，应开展定性分析和评价，确保其潜在的共因故障不会带来非预期的安全影响。

（2）进一步明确数字化仪控系统可靠性的设计和评价要求。例如参考IAEA-NP-T-1.5，明确一些必要的应对软件共因故障的确定性措施，作为可靠性设计的具体要求；结合我国实践认可一些第三方评定具体做法。

（3）进一步完善数字化仪控系统自身的纵深防御。例如参考BTP 7-19，认可一些确定性措施或做法，以提供消除软件共因故障风险的手段；进一步明确主控室非数字化控制手段的设置要求。