田 露

（中核運行管理有限公司，浙江 海鹽314300）

美國核電用戶要求文件（URD）和歐洲核電用戶要求文件（EUR）提出了三代核電安全和設計要求，其中之一是對先進控制室和全數(shù)字化儀控系統(tǒng)的要求。當前世界各國在建和預建的核電項目中，不僅是三代核電機組，二代加核電機組也為數(shù)不少。所謂二代加機組，是在二代核電的基礎上進行了部分改進，全數(shù)字化儀控系統(tǒng)是其中的一項重要改進。

隨著近20年來控制和信息技術的日益成熟，加之用戶對控制功能和管理需求的提升，以及核電二代加、三代甚至四代堆型的推出，數(shù)字化儀控系統(tǒng)開始全面進入核電應用，在各新建、預建和改造的核電項目中都采用數(shù)字化儀控平臺，在絕大多數(shù)項目中安全系統(tǒng)也采用數(shù)字化技術，從而實現(xiàn)全數(shù)字化儀控系統(tǒng)。

自20世紀90年代開始，法國、日本、韓國、中國、美國等多座核電廠開始了儀控安全系統(tǒng)數(shù)字化的改造，至2010年末世界各國核電廠中有近50套數(shù)字化安全系統(tǒng)在使用，法國約占一半以上。已采用全數(shù)字化儀控的核電廠有：日本Kariwa6、7號機組（1997年投運）；法國的電站N4(舒茲B1和B2，分別于1996年和1997年投入商業(yè)運行；西沃分別于1997年和1999年投運)；中國田灣核電站1、2號機組（2007年12月投運）；日本泊3核電站（2010年1月投運）；中國嶺澳二期1號機組（2010年10月投運）；韓國新古里1號機組（2010年12月投運）。第三代核電堆型EPR、AP1000已經(jīng)進入建造和評審階段。

安全儀控系統(tǒng)數(shù)字化的引入，體現(xiàn)了數(shù)字化的優(yōu)勢，也帶來了對軟件共因故障（SWCCF）的擔憂[5]。對軟件共因故障的解決方案成為各國核安全執(zhí)照申請中的一個重要環(huán)節(jié)。

1 背景

1)1993年4月2日，美國NRC提出SECY93-087II-Q “數(shù)字化系統(tǒng)軟件共因失效問題”。

2) 此后，直至2010年，NRC才核準首座核電廠保護系統(tǒng)數(shù)字化變更——Oconee電站的數(shù)字化保護系統(tǒng)變更改造申請。

3)1998年，國內(nèi)田灣核電站開始引進數(shù)字化儀控系統(tǒng)（AREVA/SIEMENS Teleperm XP+Teleperm XS），于2007年5月商業(yè)運行。中國核安全局在此項目上主要關注的問題包括：手動控制專設安全設施系統(tǒng)設備問題；安全系統(tǒng)軟件共因問題；以及主控室人因驗證、隔離、防火等問題。

4)2009年11月2日，英國衛(wèi)生與安全部（HSEND），法國核安全局(ASN)和芬蘭核安全局（STUK）針對E P R儀控系統(tǒng)（TXS+TXP）發(fā)表聯(lián)合聲明，認為EPR安全儀控系統(tǒng)的設計方案與控制系統(tǒng)之間的獨立性不能完全滿足要求，要求設計者改進設計方案，并建議提供一種能滿足縱深防御要求的后備方案。

英國衛(wèi)生與安全部對數(shù)字化安全系統(tǒng)的觀點：兩套數(shù)字化系統(tǒng)仍然難以符合完全的多樣性，因此必須在初步安全分析報告中對軟件共因失效進行計算，而且需要一套非數(shù)字化系統(tǒng)的備用。主要關注的方面包括：限制安全系統(tǒng)到非安全系統(tǒng)的單向通訊；鑒于對軟件的可靠性分析的復雜性，需要常規(guī)非數(shù)字化系統(tǒng)作為備用；需要手動控制與分類顯示。

法國核安全局認為：以AREVA TXS與SPPA T2000（西門子非安全級平臺）為例，可以接受兩套不同平臺的數(shù)字化系統(tǒng)，符合多樣性，因此不需要另外一套非數(shù)字化系統(tǒng)作為備用，但需要對多樣性數(shù)字化平臺進行驗證和審查。

芬蘭核安全局考慮安全與非安全兩個平臺同時故障的狀況，因此提出需要非數(shù)字化系統(tǒng)作為后備。主要關注：安全系統(tǒng)與非安全系統(tǒng)之間的獨立性；限制安全系統(tǒng)到非安全系統(tǒng)的單向通訊。

5)2010年1月29日，美國核安全管理委員會（NRC）核準Oconee核電站采用的AREVA TELEPERM TXS平臺對反應堆保護系統(tǒng)數(shù)字化更新改造后的執(zhí)照申請。早在2000年5月NRC已經(jīng)核準TXS為安全數(shù)字化平臺，但對Oconee采用TXS的更新改造方案評審過程長達5年，期間由于NRC缺乏審查安全系統(tǒng)軟件驗證相關經(jīng)驗，審查立場不確定，部分提交議題不能完全澄清，導致Oconee于2006年撤回申請，其中“多樣性驅(qū)動和防止軟件共因故障失效”是議題之一。

2 NRC臨時導則的發(fā)布

2006年11月，NRC組織業(yè)界召開數(shù)字化安全系統(tǒng)專題討論會，聚焦于4個方面：

1）通訊的獨立性；

2）網(wǎng)絡需求與安全的平衡點；

3）支援應用的需求；

4）多樣性縱深防御D3（Diversity and Defense-in-Depth）的分析和評估方法。

此后，組織了6個優(yōu)先議題工作組，這6個工作組從2007年開始先后發(fā)布了6份臨時導則Interim Staff Guidance（簡稱ISG）:

1) DI&C-ISG-01“Cyber Security Associated with Digital instrumentation and Controls（數(shù)字化儀控計算機網(wǎng)絡安全）”，2007年12月；

2) DI&C-ISG-02“Diversity and Defensein-Depth Issues（多樣性縱深防御）”，2007年9月；

3) DI&C-ISG-03“Review of New Reactor Digital Instrumentation and Control Probabilistic Risk Assessments(數(shù)字化儀控概率風險評價)”，2008年8月；

4) DI&C-ISG-04“Highly-Integrated Control Rooms—Communications Issues(HICRc)(先進控制室通訊)”，2007年9月；

5) DI&C-ISG-05“Highly-Integrated Control Rooms—Human Factors Issues(HICR—HF)（先進控制室人因工程）”，2007年9月；

6) DI&C-ISG-06“Digital I&C Licensing Process（數(shù)字化儀控系統(tǒng)執(zhí)照申請程序）”，（草稿版本V44，目前未發(fā)布）。

2008年1月，Oconee電站再一次向NRC提出變更申請。NRC第一引用新發(fā)布的ISG導則審查Oconee變更方案，直至2011年1月，NRC正式核準Oconee數(shù)字化保護系統(tǒng)的變更申請。該項目的申請過程，可以作為案例提供安全相關數(shù)字化儀控系統(tǒng)的評審經(jīng)驗。NRC對安全系統(tǒng)數(shù)字化的立場和審評過程，及其關注的重點議題，都將影響各核安全當局對后續(xù)數(shù)字化儀控項目的評審立場和方法[3]。

3 軟件共因故障的可能性是確定的

NRC對軟件設計錯誤導致共因故障的觀點：

NUREG0800 BTP-19-3：“Software design errors are a credible source of common-mode failures. Software cannot be proven to be error-free”（計算機軟件設計錯誤是一個可信的導致共因故障根源。并且，計算機軟件不能被驗證不存在錯誤）。換而言之，通過各種各樣的V&V，以及使用各種軟件驗證工具驗證的安全系統(tǒng)的軟件，不能完全證明是沒有錯誤的，只要有錯誤就有導致軟件共因故障的可能。

在SECY-93-087對計算機軟件共因故障的確定性的描述：

冗余的數(shù)字化儀控系統(tǒng)設計，會（may）共享數(shù)據(jù)庫（軟件）和處理器（硬件）。因此，硬件設計錯誤、軟件設計錯誤或軟件編程錯誤可以（may）引起共?；蛉哂嘣O備的共因故障。NRC擔憂數(shù)字化技術可能（could）引起重大的安全共因故障。

RG1.152-Criteria for use of computers in safety systems of NPP 針對數(shù)字化安全系統(tǒng)共因故障的討論：

隨著數(shù)字化引入安全系統(tǒng)，一個軟件設計錯誤可能同時出現(xiàn)在安全系統(tǒng)的冗余通道內(nèi)，可能引起安全系統(tǒng)的共因故障。

不僅在美國，各國業(yè)界對軟件共因故障問題的認識基本一致。中國核安全導則HAD102/162.3.2“軟件故障本質(zhì)上是系統(tǒng)性的，而不是隨機性的，基于計算機的安全系統(tǒng)（該系統(tǒng)通過相同的軟件拷貝而使用多重分系統(tǒng)）的共因故障是一個關鍵問題，安全防范措施不容易實現(xiàn)。設計人員應采取獨立性和多樣性以及全面的質(zhì)量鑒定等策略以防止共因故障”。

HAD認為軟件故障是肯定的，并要求應從獨立性和多樣性以及質(zhì)量鑒定等方面防范軟件故障。

數(shù)字化控制系統(tǒng)都是采用的馮諾依曼計算機基本結構，這種結構的計算機會不會在某種特定情況下共因失效?比如曾經(jīng)的“千年蟲”。雖然眾多行業(yè)的DCS應用業(yè)績減弱了這方面的疑慮，但目前對軟件的可靠性評估問題依然是個世界級的難題，很難對軟件的可靠性進行量化評估。對于硬件的可靠性可以應用概率論的方法進行量化分析。復雜軟件的缺陷是不可避免的，如果要求將數(shù)字化儀控系統(tǒng)軟件的所有條件組合進行全覆蓋測試，將是一個天文數(shù)字，任何人、任何機構都不可能做到[2]。所以應用軟件錯誤不可能通過V&V過程100%被排除，更不能驗證系統(tǒng)軟件和平臺的正確性。

4 針對軟件共因故障的縱深防御是不可回避的

HAD102/162.3.2把軟件共因故障定義為一個關鍵問題，無論前期田灣核電站1、2號機組，秦山一期30萬kW數(shù)字化保護系統(tǒng)改造[1]，還是近期的嶺澳二期項目上，中國核安全局對軟件共因故障問題也越來越關注。有理由相信經(jīng)過日本福島核電事故后，核電共因故障問題也將成為執(zhí)照申請過程中重點審查的問題之一。

需要明確的是，雖然安全系統(tǒng)軟件共因故障屬于超設計基準，但數(shù)字化保護系統(tǒng)應該采取縱深防御對策防止共因故障（DI&C-ISG-02）。

5 防止軟件共因故障的措施

HAD102/16將軟件共因故障定義為一個關鍵問題，對保護系統(tǒng)軟件共因故障的縱深防御方案，目前沒有正式發(fā)布的具有可操性的導則，因此對設計和評審都存在較大難度。DI&C-ISG-02：“A D3 analysis determines that the two diverse digital systems are not subject to a CCF.”（D3分析表明兩套不同的數(shù)字化系統(tǒng)不會受到同一共因故障的影響）。

Oconee電站依照ISG導則變更其數(shù)字化安全系統(tǒng)方案，增加了一套獨立于TXS平臺的PLC可編程數(shù)字化裝置，作為安全系統(tǒng)的多樣性，經(jīng)NRC評估后被認為可以接受。

此時，NRC已經(jīng)建立了一套評價數(shù)字化安全系統(tǒng)縱深防御方案的方法和驗收準則，ISG-02包括BTP-7-19，NUREG/CR-6303。NRC對Oconee保護系統(tǒng)數(shù)字化改造發(fā)布的安全評估報告SER3.9.1.5中是這樣描述的：執(zhí)照申請者提交的TXS數(shù)字化保護系統(tǒng)方案不滿足ISG-02-5關于CCF的要求。然而，執(zhí)照申請者提交的自動多樣化系統(tǒng)，采用Square D(Schneider Electric)SY/MAX Model400 PLC平臺實現(xiàn)的多樣化系統(tǒng)滿足10CFR50.62要求，不受TXS保護系統(tǒng)CCF影響，可接受。

Oconee數(shù)字化保護系統(tǒng)升級改造，是NRC首次核準的數(shù)字化改造方案，其縱深防御的方案應作為案例為后期項目參考。

6 DAS在國內(nèi)應用案例

6.1 概念的提出

2005年，方家山核電工程（FJS NPP）前期工作啟動，經(jīng)過與多家DCS供應商技術交流，于2006年1月DCS技術規(guī)范書（草稿）中首次提出防止安全系統(tǒng)軟件共因的多樣性保護驅(qū)動系統(tǒng)（Diverse Actuation System 簡稱DAS）的概念和要求。

主要功能：

1) 在保護系統(tǒng)（反應堆緊急停堆系統(tǒng)和專設安全設施驅(qū)動系統(tǒng)）因共因故障不能執(zhí)行安全功能時，提供多樣化的另一種手段來自動停堆和驅(qū)動選定的專設安全設施；

2) 當多樣性保護驅(qū)動系統(tǒng)自動功能失效時，提供多樣化的另一種手段來手動停堆和手動驅(qū)動選定的專設安全設施；

3) 提供選定的核電廠參數(shù)及手動操作指導的多樣化的另一種監(jiān)測手段，并確認反應堆停堆和選定的專設安全設施啟動。

之后，因工程項目管理模式的變更，最終方案未能實施。

6.2 應用及開發(fā)

2007年，方家山核電工程項目由中國核電工程有限公司（CNPE）總承包。在與美國INVENSYS公司就DCS項目進行技術交流時，INVENSYS根據(jù)NRC審查要求，也提出了針對安全系統(tǒng)軟件共因故障采用的多樣性縱深防御對策DAS系統(tǒng)的概念。

2008年2月，CNPE發(fā)布經(jīng)專家討論后的方家山核電工程DCS技術規(guī)范書,其中對安全系統(tǒng)軟件共因故障的多樣性縱深防御提出明確要求。同年6月正式發(fā)標，12月FJS NPP DCS合同簽予美國INVENSYS公司。

最終實施方案：安全儀控系統(tǒng)采用Invensys Tricon數(shù)字化平臺，包括反應堆停堆功能RTS和工程安全設施驅(qū)動功能ESFAS。針對Tricon系統(tǒng)軟件共因故障（SWCCF）事件,以不同的設計、不同的人員、不同的設備部件，采用Foxboro的I/A數(shù)字化平臺作為Tricon的多樣性平臺實現(xiàn)ATWT、RTS、ESFAS自動和系統(tǒng)級手動功能。

7 FJS NPP DAS系統(tǒng)介紹

廣義上的多樣性保護系統(tǒng)包括在Tricon軟件平臺發(fā)生共模失效后，所選取的所有在發(fā)生事故時可用的基于不同于Tricon軟件平臺的手動、自動保護功能及相關的指示，例如，M310原設計中的ECP手動保護功能和ATWT系統(tǒng)，這部分內(nèi)容不在本文描述的范圍內(nèi)。本文重點對為本項目而特別設計的自動多樣性保護系統(tǒng)（DAS）進行介紹。

FJS NPP DAS是在D3驗證分析工作的基礎上，針對數(shù)字化安全系統(tǒng)假設的軟件共因故障設計開發(fā)的。D3驗證分析工作是在安全系統(tǒng)失效情況下，并且假設操作員沒有充分的手動干預時間，采用最佳估算方法進行的。D3驗證分析同時證明依靠DAS系統(tǒng)能夠保證事故后果滿足相關規(guī)定的D3驗收準則，最終證明反應堆保護系統(tǒng)具有多樣性和縱深防御的能力。

7.1 DAS系統(tǒng)功能

根據(jù)多樣性縱深防御分析和事故分析，DAS系統(tǒng)設置的主要功能：

1）從工藝層和RPN采集、處理相關變量，并進行定值比較；

2）接收來自后備盤BUP和KIC的手動控制命令信號；

3）設定值比較，產(chǎn)生“1”驅(qū)動或停堆輸出信號；

DAS作為RTS和ESFAS功能的后備，經(jīng)過安全分析，通過調(diào)整定值，使DAS略微滯后于Tricon安全系統(tǒng)動作。DAS被設計為冗余邏輯表決，最終由優(yōu)選模塊PLM執(zhí)行驅(qū)動設備。允許信號P4，P7，P11對DAS系統(tǒng)有效，如圖1所示。

DAS系統(tǒng)設計要求：

1）采用適當冗余結構；

2）失去廠外電源后系統(tǒng)仍然有效；

3）可維修性；

4）可試驗性；

5）系統(tǒng)響應時間：500 ms，通過定值設定使DAS系統(tǒng)比主保護系統(tǒng)動作滯后300 ms，保證主保護系統(tǒng)先動；

6）滿足單一故障準則。

上述例子中“綠色2”不加引號使用仍靈活自由，不會引起語病和歧義，使用的語境大到治國理念、方針政策，小到生活用語口語表達，這說明“綠色2”已深入人心，語言使用者已對此達成共識。

7.2 保護信號

經(jīng)過安全分析，DAS系統(tǒng)選取的信號如下（相關的定值正在分析驗證中）：

1）緊急停堆信號

—穩(wěn)壓器壓力低與P7符合；

— 穩(wěn)壓器壓力高；

—至少兩條冷卻劑環(huán)路流量低與P7符合；

—功率量程中子注量率高（高定值）；

—由安注引發(fā)的停堆。

2）安注信號

—穩(wěn)壓器壓力低低安注（P11閉鎖）；

—主蒸汽管道隔離；

—蒸汽管道壓力低與蒸汽管道流量高符合。

3）汽輪機跳閘

—由停堆所引發(fā)的汽機跳閘。

4）相關允許信號

— P4、P7、P11。

7.3 DAS接口關系（見圖2）

1）DAS—RPN

通過硬接線連接，接收核測信號（RPN采用RRCN的SPINLINE3 IE級數(shù)字化平臺）。

2）DAS—RPS

圖1 DAS自動功能圖Fig.1 DAS function diagram

圖2 DAS接口關系圖Fig.2 DAS interface diagram

硬接線連接，通過保護隔離模塊（不包含軟件）從ARE、PTR、RCP、VVP接收模擬量信號。

3）DAS—PLM Cabinets

硬接線連接，DAS輸出控制信號通過隔離后送至優(yōu)選模塊，再送至ASG、DVH、DVW、RCV、RIS、RRI、SEC等系統(tǒng)設備。

4）DAS—RGL

硬接線連接，送停堆信號至RGL。DAS產(chǎn)生的停堆信號并未送至停堆斷路器，而是直接至控制棒電源柜，通過切斷控制棒動力電源實現(xiàn)緊急停堆。使控制棒電源失電，并反饋停堆信號（RGL采用Schneider PLC數(shù)字化平臺）。

5）DAS—GSE

硬接線連接，送停機信號至GSE，并接收GSE停機反饋信號（GSE采用ALSTOM ALSPA P320數(shù)字化平臺）。

6）DAS—NC+ (I/A)

硬接線或網(wǎng)絡連接，控制信號通過硬接線至NC+ (I/A)APG、RRI、SEC系統(tǒng)。

7）DAS—KIC

網(wǎng)絡連接，送指示、報警信號至KIC系統(tǒng)。

8）DAS—BUP

硬接線連接，用于BUP的控制信號、指示、報警。

7.4 DAS設備可靠性、可用性要求及性能指標

1）采用I/A非安全級平臺，抗震I類；

2）模塊精度+/-0.1%，采樣時間小于100 ms；

3）質(zhì)保：

—硬件(H/W): ISO9001 with Seismic CAT1 applied；

—系統(tǒng)軟件(S/W): ISO9003；

—應用軟件: IEC62138。

7.5 FJS NPP安全儀控系統(tǒng)與ISG-02的符合性

FJS NPP安全儀控系統(tǒng)與ISG-02的符合性如表1所示。

8 DAS還有待研究和討論的問題

FJS NPP DAS是國內(nèi)首次采用的，針對保護系統(tǒng)SWCCF的D3應用，其中還有很多需要深入研究的問題，如：

1）雖然DAS是一個超設計基準的D3措施，但必須評估DAS系統(tǒng)對相關規(guī)程的影響，并編寫或修改相關規(guī)程；

2）論證RPN、RGL、GSE與Tricon，I/A平臺在設計、人員、設備部件方面的多樣性的必要性；

3）DAS人機界面的開發(fā)；

4）設備級手動開關的布置；

5）對運行技術規(guī)范書的影響等。

9 安全系統(tǒng)數(shù)字化的發(fā)展方向

數(shù)字化安全系統(tǒng)軟件共因的縱深防御，使系統(tǒng)設計、安全分析和安全評審變得復雜化，為避免這一復雜過程，有些項目甚至不惜放棄數(shù)字化的優(yōu)勢，而采用傳統(tǒng)模擬技術的邏輯控制方式。因此，一些廠商準備開發(fā)能夠降低軟件共因故障概率的安全級數(shù)字化產(chǎn)品和方案，如廣利核公司2010年10月發(fā)布的Firm Sys平臺（目前已應用于清華大學高溫氣冷堆的保護系統(tǒng)）。還有一些防御軟件共因故障的概念設計，如兩個系列采用不同數(shù)字化平臺的概念，但應用難度較大。而目前最新發(fā)展的現(xiàn)場可編程門陣列FPGA（Field－Programmable Gate Array）技術是比較可行的一種選擇方向。

FPGA是在可編程陣列邏輯PAL（Programmable Array Logic）、通用陣列邏輯GAL（Generic Array Logic）、復雜可編程邏輯器件CPLD（Complex Programmable Logic Device）等可編程器件的基礎上進一步發(fā)展的產(chǎn)物。它是作為專用集成電路（ASIC）領域中的一種半定制電路而出現(xiàn)的，既解決了定制電路的不足，又克服了原有可編程器件門電路數(shù)有限的缺點。

采用FPGA技術使得軟件的量化評估成為可

能，可測試性增強，邏輯設計錯誤大大降低，使軟件錯誤發(fā)生率降至最小。另外FPGA不依賴于更為復雜的系統(tǒng)軟件的運行，以固化可編程邏輯的方式獨立運行，更適合于應用到核電安全系統(tǒng)。

表1 FJS NPP 安全儀控系統(tǒng)與ISG-02對照表Table1 Comparison between FJS NPP DAS and ISG-02

在NRC官方網(wǎng)站數(shù)字化儀控專題的常見問題中，針對FPGA有這樣的回答：

為什么說FPGA技術比微處理器技術受軟件共因故障的影響更??？

答：因為現(xiàn)場可編程門陣列技術比微處理器技術相對簡單，F(xiàn)PGA僅與應用功能直接相關，其應用系統(tǒng)的復雜性遠遠低于基于微處理器的系統(tǒng)應用。FPGA不依靠連續(xù)運行的軟件，而是通過固化的可編程邏輯直接對輸入信號進行處理。

2009年N R C已經(jīng)發(fā)布了《Review Guidelines for FPGA in Nuclear Power Plant Safety Systems》FPGA應用于核電安全系統(tǒng)的審查導則。

可以預見，未來新型核電安全數(shù)字化系統(tǒng)，F(xiàn)PGA技術將全面取代目前的基于微處理器技術，使錯綜復雜的安全系統(tǒng)軟件共因故障問題得以避免。

[1]蔣祖躍.秦山核電廠反應堆保護系統(tǒng)及其相關設備數(shù)字化改造規(guī)劃和實施策略[J].原子能科學技術，2010,44（1）.（JIANG Zu-yue. The digitization renovation plan and implementation strategy for Qinshan reactor protection system and other relevant equipment [J]. Atomic Energy Science and Technology,2010,44(1).）

[2]朱毅明.核電站數(shù)字化控制系統(tǒng)的應用和發(fā)展[R].中國儀器儀表，2010.（ZHU Yi-ming. Application and development of digitized control system of nuclear power plant [R]. Instrumentation in China,2010.）

[3]周海祥.核電廠數(shù)字化反應堆保護系統(tǒng)結構可靠性研究[D].哈爾濱：哈爾濱工業(yè)大學，2006.（ZHOU Haixiang. Structural reliability study for digitized reactor protection system of nuclear power plant [D]. Harbin: Harbin Industry University,2006.）

[4]李明宗.美國OCONEE 核能電廠安全儀控系統(tǒng)數(shù)位化更新經(jīng)驗[R].臺灣:臺灣電力公司，1999.（L I Ming-zong. Digitization updating experience for the safety I&C system of US Oconee NPP [R].Taiwan: Taiwan Power Company,1999.）

[5]NRC. Digital Instrumentation and Control System in Nuclear Power Plants.[R].Washington,D.C.NATIONNAL ACADEMY，1997.

[6]George E. Apostolakis.Digital Instrumentation and Control Issues in Nuclear Reactor Safety[R].US:Harvard University，2004.

[7]NRC. SAFETY EVALUATION BY THE OFFICE OF NUCLEAR REACTOR REGULATION RELATED TO AMENDMENT NO.366 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-38 AND DUKE ENERGY CAROLINAS, LLC AMENDMENT NO.368 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-47 AMENDMENT NO.367 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-55 OCONEE NUCLEAR STATION,UNITS1,2, AND3.2010.

[8]Takaki Mishima.Construction and operation experience of digitalized Safety Systems of Japanese ABWR[R]，2009.