穆海洋，宋 雨，管運(yùn)全

(中國核電江蘇核電有限公司, 連云港 222042)

田灣核電站1-4號(hào)機(jī)組反應(yīng)堆保護(hù)系統(tǒng)(RPS)由反應(yīng)堆緊急停堆系統(tǒng)(RTS)和專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)組成，用安全級(jí)的數(shù)字化儀控平臺(tái)(Teleperm XS，簡(jiǎn)稱TXS)實(shí)現(xiàn)，為避免可能發(fā)生的共因故障設(shè)置了兩個(gè)多樣性子系統(tǒng)(Diversity A和Diversity B)，兩個(gè)子系統(tǒng)針對(duì)每個(gè)觸發(fā)事件采用不同的觸發(fā)參數(shù)、處理邏輯和不同型號(hào)的測(cè)量?jī)x表，每個(gè)子系統(tǒng)均為四重冗余結(jié)構(gòu)。

RPS觸發(fā)信號(hào)由TXS計(jì)算機(jī)化軟件對(duì)輸入信號(hào)進(jìn)行處理后輸出。計(jì)算機(jī)軟件包括系統(tǒng)軟件和應(yīng)用軟件，在實(shí)際應(yīng)用中，TXS執(zhí)行邏輯處理的計(jì)算機(jī)采用了相同的系統(tǒng)軟件，并且應(yīng)用軟件的“操作系統(tǒng)”和“軟件功能模塊”相同，如果出現(xiàn)軟件共因故障，可能導(dǎo)致TXS完全失效。在上述情況下，RTS系統(tǒng)可以由控制室后備盤手動(dòng)觸發(fā)，由于手動(dòng)停堆命令與TXS計(jì)算機(jī)化軟件采用不同的路徑，可以不受軟件共因故障的影響，保證反應(yīng)堆正常停堆，停堆功能手動(dòng)觸發(fā)原理如圖1所示。

圖1 停堆功能手動(dòng)觸發(fā)原理Fig.1 Principle of manual reactor trip

但是，ESFAS的控制室手動(dòng)命令也需進(jìn)入TXS計(jì)算機(jī)化軟件進(jìn)行邏輯處理，與自動(dòng)保護(hù)系統(tǒng)采用相同的路徑，不能起到防御軟件共因故障的作用，ESFAS功能手動(dòng)觸發(fā)原理如圖2所示。

圖2 ESFAS功能手動(dòng)觸發(fā)原理Fig.2 Principle of manual ESFAS actuation

由于沒有設(shè)置計(jì)算機(jī)軟件之外的觸發(fā)手段，軟件共因故障將可能導(dǎo)致ESFAS無法輸出自動(dòng)和經(jīng)軟件處理的手動(dòng)命令，反應(yīng)堆可能無法進(jìn)行余熱導(dǎo)出、防止放射性物質(zhì)外泄等操作，導(dǎo)致嚴(yán)重核安全事故。

為了防御軟件共因故障，ESFAS必須提供旁通TXS計(jì)算機(jī)化軟件的可靠觸發(fā)手段。專設(shè)安全設(shè)施驅(qū)動(dòng)多樣性系統(tǒng)(或稱為手動(dòng)安全驅(qū)動(dòng)系統(tǒng)，簡(jiǎn)稱MASS)提供了一種軟件以外的操作手段，在軟件故障時(shí)，MASS可以不通過軟件直接驅(qū)動(dòng)ESFAS成組設(shè)備，保證核安全功能的完成。

1 背景

田灣一期工程1、2號(hào)機(jī)組和二期工程3、4號(hào)機(jī)組均采用俄羅斯VVER-1000改進(jìn)型核電機(jī)組。1998年，田灣一期工程在國內(nèi)首次引進(jìn)數(shù)字化儀表控制系統(tǒng)(AREVA/SIEMENS TelepermXP + Teleperm XS)，進(jìn)行安全審評(píng)時(shí)，在田灣1、2號(hào)機(jī)組儀控項(xiàng)目上，主要關(guān)注的問題包括：手動(dòng)控制專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)問題；安全系統(tǒng)軟件的共因故障問題；以及主控室的人因驗(yàn)證、隔離、防火等問題[1]。作為福島事故后國內(nèi)第一批開工的核電項(xiàng)目，田灣3、4號(hào)機(jī)組進(jìn)行了一系列改進(jìn)，其中反應(yīng)堆保護(hù)系統(tǒng)方面的改進(jìn)更是安全審評(píng)的焦點(diǎn)。

在反應(yīng)堆緊急停堆系統(tǒng)(RTS)方面，在田灣1、2號(hào)機(jī)組的安全審評(píng)過程中，根據(jù)審評(píng)要求，在TXS中設(shè)置了針對(duì)未能停堆的預(yù)期瞬態(tài)(ATWS)下多樣化注硼功能(AA21)，同時(shí)在運(yùn)行儀控TXP中設(shè)置了ATWS下的多樣化緩解功能(BE25)。在3、4號(hào)機(jī)組的審評(píng)過程中，審評(píng)單位提出，AA21依賴于保護(hù)信號(hào)觸發(fā)是不合適的(考慮到在TXS系統(tǒng)故障情況下保護(hù)信號(hào)可能無法發(fā)出)。根據(jù)審評(píng)單位意見，二期運(yùn)行儀控SPPA-T2000中增加了多樣化的不依賴保護(hù)信號(hào)的應(yīng)急注硼功能(AA22)。

在安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)方面，在田灣1、2號(hào)機(jī)組的安全審評(píng)過程中，審評(píng)單位提出“安全設(shè)施觸發(fā)系統(tǒng)序列級(jí)的手動(dòng)觸發(fā)均通過數(shù)字化系統(tǒng)來實(shí)現(xiàn)，當(dāng)數(shù)字化系統(tǒng)發(fā)生共模失效時(shí)，該手動(dòng)觸發(fā)功能也將會(huì)喪失”。當(dāng)時(shí)，TXS設(shè)備供方從系統(tǒng)結(jié)構(gòu)(多樣性A和B)、軟件結(jié)構(gòu)和報(bào)警信號(hào)等方面解釋TXS的故障極低，TXS軟件共因失效概率的經(jīng)驗(yàn)數(shù)據(jù)值見表1[1]，并提交了德國核安全審評(píng)機(jī)構(gòu)提供的分析報(bào)告。同時(shí)，反應(yīng)堆設(shè)計(jì)方提供了報(bào)告證明采用部件級(jí)的手動(dòng)控制可以滿足超設(shè)計(jì)基準(zhǔn)事故(BDBA)接受準(zhǔn)則。

表1 TXS軟件共因失效概率估算

考慮到1、2號(hào)機(jī)組的審評(píng)要求，以及近十年來，數(shù)字化保護(hù)系統(tǒng)防御軟件共因故障越來越受到重視[1-7]，田灣3、4號(hào)機(jī)組改進(jìn)ESFAS多樣化驅(qū)動(dòng)方案成為重要設(shè)計(jì)考慮。

2 相關(guān)法規(guī)和標(biāo)準(zhǔn)研究

ESFAS的多樣化驅(qū)動(dòng)方案在VVER機(jī)組上屬首次使用，需要通過研究相關(guān)的法規(guī)標(biāo)準(zhǔn)并進(jìn)行分析，明確設(shè)計(jì)需求，才能保證此方案最終成功應(yīng)用于田灣3、4號(hào)機(jī)組。

2.1 多樣性系統(tǒng)相關(guān)法規(guī)標(biāo)準(zhǔn)分析

10CFR50.62[8]規(guī)定在ATWS下，對(duì)于TRIP系統(tǒng)，必須設(shè)置多樣化系統(tǒng)，執(zhí)行控制棒以外的停堆功能、以及執(zhí)行輔助(應(yīng)急)給水和停機(jī)功能。

HAF102[9](IAEA NS-R-1)中6.1.4.2要求“停堆手段必須至少由兩個(gè)不同的系統(tǒng)組成，以提供多樣性”。

分析：對(duì)于以上要求，田灣核電站設(shè)置了手動(dòng)停堆功能，以及多樣化的功能AA21(ATWS注硼)、AA22(ATWS注硼的多樣性功能)、BE25(多樣性的停機(jī)和啟動(dòng)輔助給水)，達(dá)到了以上要求。

2.2 手動(dòng)觸發(fā)相關(guān)法規(guī)標(biāo)準(zhǔn)分析

HAD102/10[10](核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施)中7.3.1指出，大多數(shù)保護(hù)動(dòng)作都要求具有手動(dòng)觸發(fā)手段。此外，對(duì)于快速停堆必須設(shè)有手動(dòng)后備觸發(fā)，而對(duì)其它重要的安全動(dòng)作可以設(shè)有手動(dòng)后備觸發(fā)。在設(shè)有手動(dòng)后備的地方，自動(dòng)觸發(fā)和手動(dòng)觸發(fā)共用的安全系統(tǒng)部件的數(shù)量應(yīng)減至最少。這樣的共用部件最好只限于安全驅(qū)動(dòng)系統(tǒng)的驅(qū)動(dòng)器。

IEEE603(GB 13284)[11](安全系統(tǒng)準(zhǔn)則)中指出，應(yīng)在控制室對(duì)自動(dòng)觸發(fā)的系統(tǒng)級(jí)保護(hù)動(dòng)作提供手動(dòng)觸發(fā)方法，手動(dòng)方法應(yīng)使操縱員的離散操作次數(shù)減到最少。

IEEE279[12](核電廠保護(hù)系統(tǒng)準(zhǔn)則)指出，保護(hù)系統(tǒng)應(yīng)包括對(duì)每個(gè)保護(hù)動(dòng)作的系統(tǒng)級(jí)的手動(dòng)觸發(fā)方式。手動(dòng)觸發(fā)依賴的設(shè)備數(shù)量應(yīng)最少。

分析：田灣核電站系統(tǒng)級(jí)手操命令進(jìn)入了TXS計(jì)算機(jī)，通過軟件執(zhí)行造成手動(dòng)功能和自動(dòng)功能之間共用的設(shè)備較多，對(duì)標(biāo)準(zhǔn)的符合性較差。

2.3 軟件共因故障相關(guān)法規(guī)標(biāo)準(zhǔn)分析

HAF102[9]的5.3.1提出“必須考慮安全重要物項(xiàng)發(fā)生共因故障的可能性，以確定應(yīng)該在哪些地方應(yīng)用多樣性、多重性和獨(dú)立性原則來實(shí)現(xiàn)所需的可靠性”。

HAF102[9]的6.4.7.2指出，必須在實(shí)際可行的范圍內(nèi)采用各種設(shè)計(jì)，如可試驗(yàn)性、故障安全性能、功能多樣性、部件設(shè)計(jì)或工作原理的多樣性等以防止保護(hù)功能的喪失。

IAEA NS-G-1.3[13](核動(dòng)力廠安全重要儀表和控制系統(tǒng))的4.23-4.31節(jié)提出如下觀點(diǎn)：應(yīng)該考慮多樣性的范圍和級(jí)別，達(dá)到所希望的保守水平。同時(shí)，IAEA NS-G-1.3[13](核動(dòng)力廠安全重要儀表和控制系統(tǒng))中指出如果軟件的多個(gè)版本是根據(jù)同一個(gè)軟件需求規(guī)格說明開發(fā)的，故障模式的獨(dú)立性可能是達(dá)不到的，一些獨(dú)立開發(fā)的程序版本可能發(fā)生共因故障。

IEC 60880—2006[14]中也提出了預(yù)防軟件CCF的要求，同時(shí)也指出，由于防止CCF的能力無法量化，可以基于軟件能夠達(dá)到的可量化的可靠性的評(píng)估進(jìn)行判斷。

美國核管會(huì)NRC也出版導(dǎo)則DI&C-ISG-02提到“軟件中一個(gè)錯(cuò)誤可能在所有冗余通道設(shè)置中是通用的”[15]。

分析：各個(gè)標(biāo)準(zhǔn)都對(duì)預(yù)防軟件故障提出了要求，但是都沒有要求完全排除CCF，而是要求把軟件CCF限制在一個(gè)小的概率內(nèi)即可。通過設(shè)置多樣化的手動(dòng)硬觸發(fā)系統(tǒng)可旁通軟件CCF，達(dá)到滿足上述標(biāo)準(zhǔn)的要求。

3 方案實(shí)施總體思路

田灣3、4號(hào)機(jī)組以1、2號(hào)機(jī)組為參考，其RPS系統(tǒng)在測(cè)量和邏輯運(yùn)算部分已經(jīng)實(shí)現(xiàn)了多樣性，沒有必要再設(shè)置一套基于不同軟件的冗余系統(tǒng)。但是，由于RPS采用了相同的軟件，“操作系統(tǒng)”和“軟件功能模塊”仍然存在軟件共因故障的可能，不能完全消除軟件CCF，并且ESFAS功能手動(dòng)驅(qū)動(dòng)原理對(duì)手動(dòng)觸發(fā)標(biāo)準(zhǔn)的符合性較差。所以，綜合考慮可設(shè)置一套基于硬件的手動(dòng)旁通計(jì)算機(jī)軟件的方案，即增加一套手動(dòng)安全驅(qū)動(dòng)系統(tǒng)(MASS)[16]。其總體思路為在主控室后備盤增加ESFAS功能的觸發(fā)開關(guān)和復(fù)位開關(guān)等，每個(gè)功能的手動(dòng)操作按鈕由4個(gè)觸點(diǎn)組成，分別傳送到TXS系統(tǒng)4個(gè)通道，每個(gè)通道布置一個(gè)MASS機(jī)柜，MASS機(jī)柜可以接收操作信號(hào)、允許信號(hào)、復(fù)位信號(hào)、主輔控切換信號(hào)等，由全硬件的系統(tǒng)實(shí)現(xiàn)一定功能的邏輯處理。MASS的生成信號(hào)和計(jì)算機(jī)系統(tǒng)的信號(hào)經(jīng)過“或”邏輯后傳送到驅(qū)動(dòng)控制裝置。此方案既可防御軟件共因故障，滿足法規(guī)標(biāo)準(zhǔn)的要求，又可以獨(dú)立地與原安全儀控系統(tǒng)集成。增加MASS后的ESFAS功能驅(qū)動(dòng)原理如圖3所示。

MASS應(yīng)對(duì)的事故工況是RPS出現(xiàn)軟件共因故障的情況下，一些危及核安全的事故衍生或疊加發(fā)生。MASS設(shè)計(jì)的始發(fā)事件見表2。

圖3 ESFAS功能驅(qū)動(dòng)原理圖(含MASS)Fig.3 Principle of ESFAS actuation (including MASS)

表2 MASS始發(fā)事件Table 2 Initial events for MASS

此時(shí)，依靠軟件邏輯運(yùn)算的RPS系統(tǒng)已不再可靠，反應(yīng)堆操縱員需要考慮進(jìn)行手動(dòng)干預(yù)。操縱員可以通過后備盤(SICS)上的報(bào)警和監(jiān)視畫面(OM)提供的信息，判斷人工干預(yù)的必要性，確定是否操作MASS驅(qū)動(dòng)必要的安全系統(tǒng)設(shè)備，MASS投入的程序如圖4所示。

MASS對(duì)安全系統(tǒng)設(shè)備的驅(qū)動(dòng)方式是系統(tǒng)級(jí)的，不需要操作多個(gè)部件即可完成必要的安全系統(tǒng)的驅(qū)動(dòng)。MASS驅(qū)動(dòng)的安全系統(tǒng)見表3。

表3 MASS驅(qū)動(dòng)的ESFASTable 3 ESFAS actuated by MASS

續(xù)表

圖4 MASS系統(tǒng)投運(yùn)過程Fig.4 Process of MASS operation

4 結(jié)論

相比傳統(tǒng)的模擬技術(shù)，數(shù)字化儀控系統(tǒng)具有結(jié)構(gòu)模塊化、系統(tǒng)精度高、自診斷能力強(qiáng)、人機(jī)接口界面友好、易于實(shí)現(xiàn)復(fù)雜的計(jì)算等優(yōu)點(diǎn)，但是功能的高度集中以及軟件的使用，也帶來了一些新的問題，比如軟件共因故障等[7]。針對(duì)這一現(xiàn)狀，軟件的安全性評(píng)價(jià)還需要大量的工作，另一方面，多樣化的觸發(fā)方案也是對(duì)運(yùn)行機(jī)組改進(jìn)方面較好的應(yīng)對(duì)途徑之一。