宿俊海，楊 萌，李 穎

（1.中核控制系統(tǒng)工程有限公司，北京 102401；2.中國(guó)核電工程有限公司，北京 100840）

0 引言

作為一種清潔能源，核能日益受到重視。但是核能又是一種非常特殊的能源，對(duì)安全有特殊的要求，一旦發(fā)生事故，會(huì)對(duì)環(huán)境和社會(huì)公眾造成巨大的危害，后果不堪設(shè)想。在福島核事故之后，如何提高核電站可靠性，確保充分利用核能優(yōu)勢(shì)，又能將潛在風(fēng)險(xiǎn)降到最低，已成為業(yè)內(nèi)普遍關(guān)注的問(wèn)題。

DCS系統(tǒng)是核電站的神經(jīng)中樞，可以確保核電站的正常運(yùn)行；其中的安全級(jí)DCS系統(tǒng)則可在異常工況下為核電站提供保護(hù)功能，即：在事故工況下能夠安全停堆，并在事故發(fā)生后能夠緩解事故，將事故后果限制在可接受的范圍內(nèi)。

隨著數(shù)字化技術(shù)在核電站安全級(jí)DCS中的應(yīng)用，其在帶來(lái)便于維護(hù)、可用性強(qiáng)和可自診斷等優(yōu)點(diǎn)的同時(shí)，也因?yàn)榫哂懈呒尚院蛷?fù)雜性的特點(diǎn)，使其無(wú)法進(jìn)行全面測(cè)試，尤其不能證明軟件沒(méi)有錯(cuò)誤，因而增加了發(fā)生共因故障的風(fēng)險(xiǎn)。一旦發(fā)生共因故障，可能會(huì)使運(yùn)行相同軟件的冗余系統(tǒng)同時(shí)失效。所以，共因故障是非常危險(xiǎn)的。

因此，在核電站安全級(jí)DCS系統(tǒng)設(shè)計(jì)和實(shí)施過(guò)程中，必須采取針對(duì)性措施即多樣性設(shè)計(jì)，以確保在發(fā)生共因故障時(shí)，核電站的安全功能得以正確執(zhí)行。

1 安全級(jí)DCS多樣性設(shè)計(jì)的目的和原則

系統(tǒng)的多樣性設(shè)計(jì)是克服共因故障，提高系統(tǒng)可靠性的重要手段[1]。

美國(guó)核管理委員會(huì)在NUREG/CR-6303-1994提出數(shù)字化的保護(hù)系統(tǒng)增加了軟件共因故障的風(fēng)險(xiǎn)，需要通過(guò)多樣性來(lái)克服共因故障[2]。在該標(biāo)準(zhǔn)中，提出了多樣性設(shè)計(jì)的原則。在NUREG/CR-7007-2009中提出了在需要進(jìn)行多樣性設(shè)計(jì)時(shí)，如何進(jìn)行滿足要求的多樣性設(shè)計(jì)的方法[3]。

對(duì)于安全級(jí)DCS系統(tǒng)，為抵御共因故障，增強(qiáng)核電站的縱深防御能力，提高數(shù)字化DCS系統(tǒng)的可靠性，在安全級(jí)DCS系統(tǒng)的設(shè)計(jì)中，采用多樣性的設(shè)計(jì)方法[4]。

多樣性的設(shè)計(jì)原則有以下6個(gè)方面：

1）人員多樣性。

2）設(shè)計(jì)多樣性。

3）軟件多樣性。

4）功能多樣性。

5）信號(hào)多樣性。

6）設(shè)備多樣性。

2 基于Tricon平臺(tái)的多樣性分析

隨著數(shù)字化DCS系統(tǒng)在安全級(jí)保護(hù)系統(tǒng)上的應(yīng)用，多樣性設(shè)計(jì)越來(lái)越受到重視。從大亞灣模擬保護(hù)系統(tǒng)，用ATWT完成預(yù)期瞬態(tài)未停堆，發(fā)展到現(xiàn)在全數(shù)字化保護(hù)系統(tǒng)時(shí)，保護(hù)系統(tǒng)形成了3個(gè)部分：數(shù)字化保護(hù)系統(tǒng)、硬接線保護(hù)系統(tǒng)、DAS保護(hù)系統(tǒng)。多樣性手段的增強(qiáng)不僅體現(xiàn)了保護(hù)系統(tǒng)的可靠性不斷增加，也體現(xiàn)了保護(hù)系統(tǒng)對(duì)多樣性的設(shè)計(jì)越來(lái)越重視。

在基于Tricon的安全級(jí)保護(hù)系統(tǒng)設(shè)計(jì)中，主要分3部分：數(shù)字化RPS保護(hù)系統(tǒng)、ECP手動(dòng)保護(hù)系統(tǒng)、DAS/ATWT保護(hù)系統(tǒng)。

2.1 數(shù)字化RPS保護(hù)系統(tǒng)

基于Tricon的數(shù)字化RPS保護(hù)系統(tǒng)設(shè)計(jì)，可以分為兩部分來(lái)考慮：硬件設(shè)計(jì)和軟件設(shè)計(jì)。

硬件設(shè)計(jì)是指根據(jù)保護(hù)系統(tǒng)的系統(tǒng)結(jié)構(gòu)，完成保護(hù)系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)配置、硬件配置等工作。

軟件設(shè)計(jì)應(yīng)與設(shè)計(jì)人員在技術(shù)上、管理上和財(cái)務(wù)上進(jìn)行獨(dú)立的V&V。

2.2 ECP手動(dòng)保護(hù)系統(tǒng)

在基于Tricon的保護(hù)系統(tǒng)設(shè)計(jì)中，為了防止安全級(jí)DCS由于CCF等故障失效，增加一種多樣性的啟動(dòng)保護(hù)功能的手段，即ECP硬接線手動(dòng)保護(hù)功能。

主要提供的功能有：反應(yīng)堆停堆，汽機(jī)跳閘，安全注入，主給水隔離，輔助給水啟動(dòng)，主蒸汽隔離，安全注入，安全殼A階段隔離，安全殼噴淋和安全殼B階段隔離。

2.3 DAS/ATWT保護(hù)系統(tǒng)

DAS的全稱是（Diversity Actuation System，多樣性系統(tǒng)），本來(lái)就是為了多樣性而設(shè)計(jì)的。ATWT為預(yù)期瞬態(tài)未停堆系統(tǒng)，該功能是反應(yīng)堆停堆的一個(gè)多樣性設(shè)計(jì)[5]。

基于Foxboro I/A系統(tǒng)的DAS/ATWT保護(hù)系統(tǒng)是實(shí)現(xiàn)保護(hù)系統(tǒng)多樣性的主要實(shí)現(xiàn)方法。這兩個(gè)系統(tǒng)在設(shè)計(jì)、制造、質(zhì)檢和測(cè)試上是不同的，且相互獨(dú)立。

基于I/A的DAS系統(tǒng)設(shè)計(jì)中，主要完成的功能有反應(yīng)堆停堆，汽機(jī)跳閘，安注功能和主給水隔離，即完成了最基本的保護(hù)功能。ATWT主要完成數(shù)字化保護(hù)系統(tǒng)在預(yù)期瞬態(tài)未停堆的情況下完成反應(yīng)堆停堆，汽機(jī)跳閘，輔助給水啟動(dòng)等功能。

2.4 多樣性分析

1）人員多樣性

根據(jù)3.1中的內(nèi)容可以得出，按照標(biāo)準(zhǔn)IEEE 1012-2004中關(guān)于V&V的要求，采用與設(shè)計(jì)人員在技術(shù)上、管理上和財(cái)務(wù)上獨(dú)立的部門進(jìn)行V&V[6]。

2）設(shè)計(jì)多樣性

根據(jù)3.2與3.1中的內(nèi)容可知，ECP硬接線邏輯保護(hù)和數(shù)字化保護(hù)系統(tǒng)，體現(xiàn)了設(shè)計(jì)的多樣性。一個(gè)由硬接線手動(dòng)邏輯實(shí)現(xiàn)保護(hù)功能，一個(gè)通過(guò)數(shù)字化Tricon平臺(tái)實(shí)現(xiàn)保護(hù)功能。兩個(gè)保護(hù)功能的實(shí)現(xiàn)互不影響，增加了保護(hù)系統(tǒng)的可用性。

3）軟件多樣性

根據(jù)Tricon系統(tǒng)構(gòu)建可知，在保護(hù)系統(tǒng)每一個(gè)通道中分為兩個(gè)子組。由RPS系統(tǒng)需求規(guī)格書(shū)附件3可知，每個(gè)通道的兩個(gè)子組被分配不同的邏輯來(lái)實(shí)現(xiàn)停堆功能。然后兩個(gè)子組通過(guò)或邏輯輸出到四取二的停堆斷路器完成停堆功能。兩個(gè)子組中組態(tài)軟件的不同，一定程度上體現(xiàn)了軟件多樣性。

更為重要的軟件多樣性的體現(xiàn)在于基于Tricon的保護(hù)系統(tǒng)和基于I/A的保護(hù)系統(tǒng)。同為數(shù)字化儀控平臺(tái)，由于所用的平臺(tái)不同，導(dǎo)致了控制功能開(kāi)發(fā)工具的不同、系統(tǒng)軟件和組態(tài)軟件所用的技術(shù)的不同。再加上開(kāi)發(fā)人員的不同，導(dǎo)致了根本上的軟件多樣性。

4）功能多樣性

根據(jù)3.2和3.1可知，在ECP硬接線邏輯設(shè)計(jì)過(guò)程中，充分地避免了軟件保護(hù)系統(tǒng)和硬接線保護(hù)系統(tǒng)的依賴性，各自功能互不影響，都能獨(dú)立地完成保護(hù)功能，所以體現(xiàn)了保護(hù)功能的多樣性。

5）信號(hào)多樣性

對(duì)于停堆功能中的1.8和1.9分別在Group1和Group2中實(shí)現(xiàn)，接受的信號(hào)分別是穩(wěn)壓器的壓力高和穩(wěn)壓器的壓力低，但都是完成停堆功能，這體現(xiàn)了信號(hào)的多樣性。

RPS保護(hù)系統(tǒng)和DAS保護(hù)系統(tǒng)在反應(yīng)堆正常運(yùn)行時(shí)，檢查反應(yīng)堆用的探測(cè)器，一個(gè)是功率量程中子注量率，一個(gè)是中間量程中子注量率，都可以根據(jù)各自的測(cè)量結(jié)果，在需要的時(shí)候完成保護(hù)功能，所以體現(xiàn)了信號(hào)多樣性。

6）設(shè)備多樣性

RPS保護(hù)系統(tǒng)和ECP手動(dòng)保護(hù)系統(tǒng)，采用了不同的技術(shù)完成保護(hù)功能，體現(xiàn)了設(shè)備的多樣性。

DAS系統(tǒng)和數(shù)字化保護(hù)系統(tǒng)相比，既實(shí)現(xiàn)了基本的保護(hù)功能，又實(shí)現(xiàn)了多樣性設(shè)計(jì)。由于I/A和Tricon是基于不同技術(shù)的平臺(tái)，所以體現(xiàn)了設(shè)備的多樣性。例如I/A控制站的CPU是采用基于AMD Elan SC520芯片組，Tricon控制站的CPU采用基于Motorola MPC860A的三重冗余的CPU。不同的CPU構(gòu)架是一個(gè)非常有用的多樣性，它會(huì)迫使軟件開(kāi)發(fā)使用不同的編譯器、連接器和必要的輔助程序，這樣可以確保他們之間軟件多樣性的實(shí)現(xiàn)。

3 結(jié)論

從以上分析可以看出，基于Tricon平臺(tái)的核電站安全級(jí)DCS的設(shè)計(jì)及實(shí)施中，充分考慮了人員、設(shè)計(jì)、軟件、功能、信號(hào)及設(shè)備的多樣性，降低了DCS系統(tǒng)運(yùn)行過(guò)程中因共因故障導(dǎo)致保護(hù)功能喪失的風(fēng)險(xiǎn)，大大提高了核電站DCS系統(tǒng)的可用性、可靠性和安全性，能夠確保核電站的安全運(yùn)行，保證公眾和環(huán)境的安全。