任春香，穆海洋

（江蘇核電有限公司，江蘇 連云港 222042）

隨著近20年來控制和信息技術(shù)的日益成熟，加之用戶對控制功能和管理需求地提升，數(shù)字化儀控系統(tǒng)開始全面進入核電廠應用，在各新建、擬建和改造的核電項目中都采用數(shù)字化儀控平臺，其中絕大多數(shù)項目的反應堆保護系統(tǒng)（RPS）也采用了數(shù)字化技術(shù)，從而實現(xiàn)儀控系統(tǒng)的全數(shù)字化[1]。全數(shù)字化儀控系統(tǒng)可以提高機組對事件、事故的響應速度，降低人因失誤的概率，體現(xiàn)了數(shù)字化的優(yōu)勢，但也帶來了對軟件共因故障（CCF）的擔憂[2]。

田灣核電站AES-91型核電機組采用了俄羅斯VVER-1000/428型反應堆。田灣一期兩臺機組分別于2007年5月和8月投入商業(yè)運行，其反應堆保護系統(tǒng)采用了全數(shù)字化的TXS平臺，是全數(shù)字化儀控系統(tǒng)在我國核電站的首次成功應用。田灣二期兩臺機組以一期機組為參考，分別于2012年12月和2013年9月正式開工建設。在二期建設中，基于數(shù)字化保護系統(tǒng)需防御軟件共因故障的要求，電站員工對法規(guī)標準中軟件共因故障的隱患和設置多樣化驅(qū)動系統(tǒng)方案的說明進行研究，明確了設計需求，最終設置一套符合法規(guī)標準、安全評審要求且適合田灣機組的專設安全設施多樣化驅(qū)動系統(tǒng)。

1 數(shù)字化保護系統(tǒng)防御軟件共因故障的要求

1.1 國家法規(guī)導則的要求

中國核安全法規(guī)HAF102[3]中6.4.8節(jié)指出“如果確定保護系統(tǒng)中應用基于計算機的系統(tǒng)，在不能論證所需系統(tǒng)的完整性具有高可信度時，必須具備保證執(zhí)行保護功能的其他不同的手段?！逼涓郊?中1.9節(jié)也指出“隨著基于計算機的系統(tǒng)在安全領域和重大安全問題上的應用日益擴大，硬件故障或不正確的軟件程序可導致有重大影響的控制動作，應該考慮這種可能性?！?/p>

中國核安全導則HAD102/14[4]中4.11節(jié)提出“數(shù)字化系統(tǒng)往往試圖用一套計算機設備完成幾個系統(tǒng)的功能。但這時，假如其中一個部件停運，會導致許多功能同時失靈，這種情況可能比常規(guī)硬件系統(tǒng)更多。軟件的設計和鑒定必須確保具有足夠小的差錯率以確保執(zhí)行所需的安全功能。軟件系統(tǒng)本身也可能像有關硬件系統(tǒng)所述的那樣，成為一個共因故障源。幾個表面上獨立的系統(tǒng)功能由于使用十分基本的編程方法可能微妙地聯(lián)系在一起。甚至即使采用分別獨立的計算機硬件系統(tǒng)，也完全可能如此?！?/p>

可以發(fā)現(xiàn)在HAF102與HAD102/14中均提出了對軟件故障的擔憂，其中HAD102/14更是提到軟件故障可能導致許多功能同時失靈，其損害可能會比普通硬件故障更大。HAF102中提出在不能論證所需系統(tǒng)的完整性具有高可信度時，必須具備保證執(zhí)行保護功能的其他不同的手段。

1.2 國際原子能機構(gòu)導則要求

國際原子能機構(gòu)導則IAEA NS-G-1.3[5]中4.28節(jié)指出“對設備多樣性或為有關儀表控制系統(tǒng)（如實時操作系統(tǒng)）軟件多樣性所進行的論證，應該擴展到這些設備的部件，以確保存在實際的多樣性。例如，不同的制造廠可能使用同樣處理器或認可同樣操作系統(tǒng)，從而潛在地引入一些共同故障模式”。4.29節(jié)指出“在軟件的多樣性方面，經(jīng)驗表明，如果軟件的多個版本是根據(jù)同一個軟件需求規(guī)格說明開發(fā)的，故障模式的獨立性可能是達不到的。”

IAEA的標準提到了軟件故障獨立性的問題，指出如果不同的處理器認可同樣的操作系統(tǒng)，或者軟件的多個版本是根據(jù)統(tǒng)一軟件需求規(guī)格說明開發(fā)的，均有可能引入共因故障。

1.3 美國核管會導則的要求

美國核管會NRC也出版導則DI&C-ISG-02[6]提到“一般反應堆保護系統(tǒng)包含4個通道2種多樣性，這種設置可以進一步降低喪失所有安全功能的概率。然而，令人擔憂的是，在軟件中一個錯誤在所有通道中可能是通用的，會導致保護系統(tǒng)的所有通道故障。許多安全功能整合在一個有限數(shù)量的數(shù)字組件中，同時數(shù)字組件重復在所有四個通道，更增加這方面的擔憂?！?/p>

NRC針對核電廠數(shù)字化安全儀控系統(tǒng)的典型架構(gòu)提出了軟件共因故障的擔憂。雖然典型數(shù)字化保護系統(tǒng)的四個通道是物理隔離的，但是四個通道中的軟件及邏輯的設置可能存在一定的相關性，某一軟件錯誤可能在所有通道中是通用的，這種隱患有導致所有通道共因失效的可能。

1.4 小結(jié)

如上所訴，中國核安全法規(guī)導則、國際原子能機構(gòu)導則、美國核管會導則均闡述了軟件故障的可能性，并提出數(shù)字化保護系統(tǒng)應防御軟件共因故障的要求。隨著數(shù)字化保護系統(tǒng)在我國核電機組的廣泛運用，特別是福島事故后國家對核安全要求的大幅提升，在國家“十二五”期間新建核電廠安全要求 (征求意見稿)[7]出現(xiàn)“對于安全系統(tǒng)中基于計算機的設備必須考慮軟件的共因故障”的規(guī)定。雖然目前國內(nèi)各新建、預建項目的堆型不同，但普遍采用數(shù)字化的反應堆保護系統(tǒng)，如何防御軟件共因故障成為所有項目共同的課題。

2 防御軟件共因故障的多樣化驅(qū)動系統(tǒng)方案的要求

如上節(jié)所述，國內(nèi)外均提出數(shù)字化保護系統(tǒng)應防御軟件共因故障的要求，并提出設置多樣化的驅(qū)動系統(tǒng)以確保保護功能執(zhí)行的觀點，但對于多樣化驅(qū)動系統(tǒng)的方案大多沒有給出具體規(guī)定。其中，美國核管會NRC提出的一些的觀點，筆者認為非常具有借鑒意義，如：

NRC出版的導則DI&C-ISG-02[6]具體指出了3種防御軟件共因故障的方案：“1）兩個通道設置一種類型的數(shù)字化系統(tǒng)，另外兩個通道設置多樣化的數(shù)字化系統(tǒng)；2）分析某些安全功能可能受到CCF影響，設置一個多樣性的自動后備系統(tǒng)來執(zhí)行可能受CCF影響的安全功能；3）分析表明某些RPS安全功能可能受到CCF影響，依據(jù)相關的人因工程（HFE）分析，表明手動觸發(fā)在可用時間內(nèi)可以操作，手動觸發(fā)可以作為一個多樣化的方案來執(zhí)行受CCF影響的安全功能?！?/p>

NRC出版的核電站安全分析報告標準評審計劃(NUREG-0800)的分支技術(shù)要求BTP 7-19[8]提到主控室（MCR）設置一系列顯示和手動控制作為多樣化方案時，應當盡量少的涉及易受CCF影響的設備，一個方法是使用硬接線。同時，BTP 7-19還提出如果分析表明系統(tǒng)原有的手動方式可能受CCF的影響，則需要增設一套手動多樣化觸發(fā)方案，新增加的手動方案可以是安全級的也可以是非安全級的，即需要兩種手動觸發(fā)方案。如果原有的手動觸發(fā)方案不受CCF影響，則不需要增加多樣化的手動觸發(fā)方案，即只需要一種手動觸發(fā)方案即可。手動方案來防御CFF影響的實施原理見圖1。

DI&C-ISG-02提及的3種方案中第1、2種方案為自動化的多樣性方案，第3種方案為手動化的多樣性方案。BTP 7-19具體介紹了手動多樣化方案的設置條件，并推薦了硬接線的模式。

3 田灣二期ESFAS多樣化驅(qū)動系統(tǒng)的標準適應性分析

3.1 田灣一期數(shù)字化保護系統(tǒng)的驅(qū)動方式

田灣核電站數(shù)字化保護系統(tǒng)(RPS)采用傳統(tǒng)的4個通道2種多樣性架構(gòu)，由反應堆緊急停堆系統(tǒng)(RTS)和專設安全設施驅(qū)動系統(tǒng)(ESFAS)兩部分構(gòu)成。目前，田灣一期兩臺機組運行的RPS系統(tǒng)的驅(qū)動原理可分為自動驅(qū)動方式和手動驅(qū)動方式兩種：自動驅(qū)動方式通過信號采集模件循環(huán)采集工藝過程參數(shù)并進行邏輯運算，四個通道獨立的運算結(jié)果經(jīng)4取2表決后產(chǎn)生驅(qū)動信號傳輸至驅(qū)動模件；手動驅(qū)動方式中RTS的手動驅(qū)動命令既通過數(shù)字化的軟件系統(tǒng)也通過硬接線傳輸至硬件驅(qū)動模件，而ESFAS的手動驅(qū)動命令只有通過數(shù)字化的軟件傳輸至優(yōu)選輸出模件一種方式。田灣一期RTS、ESFAS驅(qū)動原理詳見圖2。

圖1 需要兩種手動觸發(fā)方案與需要一種手動觸發(fā)方案的對比[8]Fig.1 Requires two manual trigger methods contrast w ith the need to manually trigger a programme [8]

3.2 田灣二期ESFAS多樣化驅(qū)動系統(tǒng)的標準適應性分析

3.2.1 軟件共因故障分析

田灣二期兩臺機組以一期機組為參考，其數(shù)字化保護系統(tǒng)(RPS)的架構(gòu)與一期保持一致?；诒疚牡?節(jié)提及的數(shù)字化保護系統(tǒng)需防御軟件共因故障的要求，田灣二期的RPS系統(tǒng)需分析是否存在軟件共因故障的隱患。

田灣二期基于TXS平臺的RPS系統(tǒng)采用一定數(shù)量的微處理器及配套的軟硬件，經(jīng)過邏輯設計將軟件和硬件聯(lián)系起來實現(xiàn)預設的保護功能，雖然傳統(tǒng)的四通道冗余并且物理隔離的架構(gòu)被普遍認為可以提高安全性和可靠性，但是還沒有一種得到一致認可的數(shù)字化系統(tǒng)可靠性評價方法來進行評價。并且，四通道中的軟件及邏輯是根據(jù)同一個軟件需求規(guī)格說明開發(fā)的，采用了相同的編程軟件和處理器，這就導致4個通道中的軟件和邏輯存在相關性甚至是相同的，有可能會因通用的軟件缺陷或收到特殊的混合型輸入而導致四個通道共因失效。

3.2.2 多樣化驅(qū)動系統(tǒng)方案選擇分析

基于本文第2節(jié)提及的防御軟件共因故障的多樣化驅(qū)動系統(tǒng)方案要求，田灣二期RPS系統(tǒng)應參考設置防御軟件共因故障的多樣化驅(qū)動方案。

針對DI&C-ISG-02[6]提出的3種防御軟件共因故障的方案，如果選用第1、2種方案則需要對儀控系統(tǒng)原有架構(gòu)乃至保護系統(tǒng)初始設計進行變更，并且需要進行可行性論證，對于田灣二期項目的費用、進度等影響很大。此外，選用第1、2種方案可能無法保證田灣二期RPS系統(tǒng)的架構(gòu)與一期的一致性，增加了以后運行、維護人員的誤操作風險。相對而言，第3種方案更適合對現(xiàn)有保護系統(tǒng)方案的改進，并且可作為獨立的系統(tǒng)進行研發(fā)，而不影響田灣二期項目整體進度。

圖2 田灣一期RTS、ESFAS驅(qū)動原理圖Fig.2 Tin Wan a RTS, ESFAS drive schematic diagram

根據(jù)本文3.1節(jié)，當田灣RPS系統(tǒng)出現(xiàn)軟件CCF時，RTS系統(tǒng)命令可以由手動硬觸發(fā)，保證反應堆正常停堆。但是ESFAS系統(tǒng)沒有設置獨立于計算機軟件的系統(tǒng)級觸發(fā)手段，其手動觸發(fā)方式也可能受同一CCF影響，而導致ESFAS系統(tǒng)無法輸出驅(qū)動命令。ESFAS系統(tǒng)的手動觸發(fā)方式符合BTP 7-19[8]中關于增加手動多樣性觸發(fā)方案的要求，參考圖1中關于手動多樣性觸發(fā)方案的設置，田灣二期增加的ESFAS手動多樣化驅(qū)動系統(tǒng)（MASS）原理如圖3所示。

圖3 田灣二期ESFAS手動多樣化驅(qū)動系統(tǒng)原理圖Fig.3 Diversification of tianwan phase II ESFAS manual driver schematic diagram

3.2.3 田灣二期ESFAS手動多樣化方案標準適應性分析

基于DI&C-ISG-02[6]的規(guī)定，需分析手動多樣性方案在TXS軟件故障時的可用性。因此，MASS除了應包含旁通TXS軟件的操作部分外，還應包含初始事件監(jiān)控部分。操作部分的主體是由純硬件完成邏輯設計的機柜，監(jiān)視部分由儀表輸入和執(zhí)行器反饋獲得需要的控制盤事件報警和顯示畫面。出現(xiàn)RPS系統(tǒng)軟件CCF時，操縱員可以通過監(jiān)控部分提供的信息，判斷人工干預的必要性，確定是否操作數(shù)字化專設安全設施驅(qū)動多樣性系統(tǒng)設備，驅(qū)動必要的安全系統(tǒng)設備，應對或緩解事故的后果，維持電站各項參數(shù)處于安全范圍以內(nèi)，這種設置可滿足了DI&C-ISG-02[6]的要求。MASS系統(tǒng)結(jié)構(gòu)如圖4。

圖4 MASS系統(tǒng)總體結(jié)構(gòu)Fig.4 MASS system structure

基于BTP 7-19[8]中關于硬接線和手動多樣化方案安全分級的描述，田灣二期MASS系統(tǒng)采用安全級的TXS硬件設備進行操作部分配置，采用非安全級的正常運行儀控系統(tǒng)進行監(jiān)控部分配置，既滿足了BTP 7-19[8]的要求又可最大化的降低變更成本。

4 結(jié)論

針對數(shù)字化保護系統(tǒng)需考慮軟件共因故障設置多樣化方案的要求，田灣核電站二期對國內(nèi)外法規(guī)標準進行研究，并結(jié)合田灣核電站的控制和工藝要求，最終設置了滿足現(xiàn)有法規(guī)標準要求的手動多樣化驅(qū)動方案。該方案既可滿足數(shù)字化保護系統(tǒng)防御軟件共因故障的要求，又可獨立、簡潔地與原安全儀控系統(tǒng)集成，研究其在田灣運用的規(guī)范性和可行性是非常有必要的。同時，作為當前核安全領域中的熱點話題，田灣防御軟件共因故障的經(jīng)驗和措施，對各新建、預建和改造的核電機組也有一定的借鑒意義。

[1]田露.核電安全系統(tǒng)軟件共因故障的縱深防御[J].核電安全,2012,5(3)：268-276.

[2]NRC, Digital Instrum entation and Contro l System in Nuclear Power Plants[R].Washington,D.C.NATIONNAL ACADEMY,1997.

[3]HAF102,核動力廠設計安全規(guī)定,2004年4月18日國家核安全局批準發(fā)布,2004年修改[Z].

[4]HAD102/14,核電廠安全有關儀表和控制系統(tǒng),1988年10月6日國家核安全局批準發(fā)布[Z].

[5]IAEA_NS-G-1.3,核動力廠安全重要儀表控制系統(tǒng),國際原子能機構(gòu),維也納,2005年[Z].

[6]NRC, DI&C-ISG-02 Interim Staff Guidance on Diversity and Defense-in-Depth Issues[S].September 26, 2007.

[7]“十二五”期間新建核電廠安全要求(征求意見稿),國家核安全局 [Z].2013, 5.

[8]NRC Standard Review Plan, Branch Technical Position 7-19.Guidance for evaluation of Diversity and Defense-in-depth in Digital Com puter-based Instrumentation and Control System.Revision 6.July 2012.