呂永煥

摘要：三門核電采用美國(guó)西屋AP1000技術(shù)，設(shè)置多樣化驅(qū)動(dòng)系統(tǒng)（DAS）作為保護(hù)和安全監(jiān)測(cè)系統(tǒng)（PMS）的多樣化后備。因此PMS與DAS的多樣化程度直接關(guān)系著核電廠的安全。本文基于NUREG CR-7007導(dǎo)則的要求，分析PMS與DAS的多樣性，并針對(duì)CIM和DAS進(jìn)行多樣性計(jì)算。

關(guān)鍵詞：DAS;PMS;多樣性

引言

隨著數(shù)字化信息和控制技術(shù)的發(fā)展和成熟，美國(guó)核電用戶要求文件（URD）和歐洲核電用戶要求文件（EUR）提出的三代核電安全和設(shè)計(jì)要求之一就是對(duì)全數(shù)字化儀控系統(tǒng)和先進(jìn)控制室的要求，而在當(dāng)前世界上新建、在建或改造中的核電廠儀表和控制系統(tǒng)均采用數(shù)字化技術(shù)。核電廠數(shù)字化技術(shù)的發(fā)展，不僅提高了核電廠的經(jīng)濟(jì)性和穩(wěn)定性，體現(xiàn)了數(shù)字化的優(yōu)勢(shì)，也引入了各國(guó)對(duì)數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)安全性的擔(dān)憂。

由于反應(yīng)堆保護(hù)系統(tǒng)一般會(huì)采用多個(gè)冗余通道，而多個(gè)通道通常又采用相同的設(shè)備搭建，因此硬件設(shè)計(jì)錯(cuò)誤、軟件設(shè)計(jì)錯(cuò)誤或軟件編程錯(cuò)誤可能會(huì)導(dǎo)致冗余設(shè)備發(fā)生共因故障，從而使保護(hù)系統(tǒng)失效，因此各國(guó)核安全監(jiān)管部分都非常關(guān)注數(shù)字化保護(hù)系統(tǒng)的共因故障。

NRC在NUREG?0800?BTP?7-19中提到“software?design?errors?are?a?credible?source?of?common-cause?failures. Software?cannot?typically?be?proven?to?be?error-free.”因此通過各種層次各種深度的驗(yàn)證與確認(rèn)（V&V），以及使用各種軟件驗(yàn)證工具驗(yàn)證的安全系統(tǒng)的軟件，不能證明軟件是完全沒有錯(cuò)誤的，只要有錯(cuò)誤就有導(dǎo)致軟件共因故障的可能。

我國(guó)的核安全導(dǎo)則HAD?102/16的2.3.2節(jié)中描述：“軟件故障本質(zhì)上是系統(tǒng)性的，而不是隨機(jī)性的，基于計(jì)算機(jī)的安全系統(tǒng)的共因故障是一個(gè)關(guān)鍵問題，安全防范措施不容易實(shí)現(xiàn)。設(shè)計(jì)人員應(yīng)采取獨(dú)立性和多樣性以及全面的質(zhì)量鑒定等策略以防止共因故障?！?/p>

1. NUREG?CR-7007的多樣性分析

NUREG/CR-7007是NRC專門用于核電廠多樣性評(píng)估的導(dǎo)則，具備確定數(shù)字系統(tǒng)抵御共因故障的能力^[1]。

1.1?設(shè)計(jì)多樣性

設(shè)計(jì)的多樣性是NUREG/CR-7007多樣性評(píng)價(jià)表中權(quán)重最高的一項(xiàng)，設(shè)計(jì)多樣性分為三個(gè)層次，多樣性依次降低，分別為：

●不同技術(shù)，指從根本上不同的技術(shù)，如兩個(gè)系統(tǒng)分別采用數(shù)字技術(shù)和模擬技術(shù)，則認(rèn)為這兩個(gè)系統(tǒng)采用不同的設(shè)計(jì);

●相同技術(shù)的不同方法，例如基于計(jì)算機(jī)的數(shù)字化技術(shù)和基于ASIC的數(shù)字化技術(shù)，可具體為CPU技術(shù)和FPGA/CPLD技術(shù);

●不同架構(gòu)，即不同的部件/元件的連接和排列，不同廠家生產(chǎn)的不同架構(gòu)的CPU可以認(rèn)為是有不同架構(gòu)的多樣性，例如Intel?80186?與Motorola?M68010，AMD?29050與Motorola?68040及Intel?80486。

1.2?設(shè)備制造多樣性

設(shè)備制造多樣性是使用不同的設(shè)備實(shí)現(xiàn)相似的安全功能，不同廠家生產(chǎn)的設(shè)備可能不會(huì)保證生產(chǎn)的設(shè)備之間具有足夠的多樣性，例如許多商用和工業(yè)用計(jì)算機(jī)采用相同的微處理器（CPU）芯片。使用不同的計(jì)算機(jī)設(shè)備可能會(huì)對(duì)軟件多樣性有一定的幫助作用，使用不同的處理器架構(gòu)將有利于廠家采用多樣化的編譯器、鏈接器和其他支持軟件。

影響設(shè)備制造多樣性的因素如下所示（多樣性遞減）：

●不同廠家生產(chǎn)的根本上不同的設(shè)備設(shè)計(jì);

●同一廠家生產(chǎn)的從根本上不同的設(shè)計(jì);

●不同廠家生產(chǎn)的相同設(shè)備設(shè)計(jì);

●同一廠家的相同設(shè)備設(shè)計(jì)的不同版本。

1.3?邏輯處理設(shè)備多樣性

邏輯處理設(shè)備的多樣性是指兩個(gè)系統(tǒng)的邏輯處理核心之間的多樣性，共有4個(gè)層級(jí)，多樣性依次降低，分別為：

●不同的邏輯處理設(shè)備架構(gòu)，如Intel?80X86和Motorola?68000;

●相同邏輯處理設(shè)備架構(gòu)的不同版本，如Intel?80386和Intel?80486;

●不同的部件集成架構(gòu)，如不同的印刷電路版設(shè)計(jì);

●不同數(shù)據(jù)流架構(gòu)，如不同的總線架構(gòu)。

1.4?功能多樣性

功能多樣性主要通過兩個(gè)系統(tǒng)執(zhí)行不同的物理功能，重疊覆蓋安全功能。在確定的預(yù)期事件中引入充足的緩解方法方面，功能多樣性是非常有效的。不同的相互冗余系統(tǒng)的組合，在面臨系統(tǒng)故障時(shí)可充分緩解事故后果。典型的功能多樣性實(shí)例是使用“斷電觸發(fā)”和“上電觸發(fā)”的繼電器來實(shí)現(xiàn)功能。

功能多樣性共有3個(gè)層級(jí)，多樣性依次降低，分別為：

●不同的底層機(jī)制實(shí)現(xiàn)安全功能，如重力對(duì)流冷卻和泵注入冷卻劑冷卻，插入控制棒停堆和注入硼毒物停堆;

●相同底層機(jī)制，不同的目的、功能、控制邏輯或驅(qū)動(dòng)手段，例如正常棒控和反應(yīng)堆緊急停堆控制棒插入;

●不同的響應(yīng)時(shí)間等級(jí)，例如事故狀態(tài)持續(xù)一段時(shí)間后備用系統(tǒng)動(dòng)作。

1.5?生命周期多樣性

安全系統(tǒng)的設(shè)計(jì)、開發(fā)、安裝、運(yùn)行和維修工作中的人為因素存在著極大的變數(shù)，并且已是幾個(gè)嚴(yán)重事故的直接原因。從積極的因素方面講，人員多樣性有利于提高系統(tǒng)安全。例如，采用不同的維修人員校準(zhǔn)安全系統(tǒng)不同的、冗余的序列，可避免相同的、系統(tǒng)性的錯(cuò)誤發(fā)生在所有序列。采用不同的設(shè)計(jì)人員設(shè)計(jì)功能多樣的反應(yīng)堆保護(hù)系統(tǒng)可以降低相同設(shè)計(jì)錯(cuò)誤發(fā)生的可能性。

影響生命周期多樣性的因素如下所示（多樣性遞減）：

●不同的設(shè)計(jì)公司;

●同一公司不同的管理團(tuán)隊(duì);

●不同的設(shè)計(jì)人員、工程師或程序員;

●不同的實(shí)施或驗(yàn)證團(tuán)隊(duì)。

1.6?信號(hào)多樣性

信號(hào)多樣性是指兩個(gè)系統(tǒng)的信號(hào)源的多樣性，分為三個(gè)層級(jí)，多樣性依次降低，分別為：

●使用不同的物理原理探測(cè)不同的反應(yīng)堆或過程參數(shù)，如可以通過測(cè)量中子注量率停堆，可以通過測(cè)量壓力達(dá)到停堆;

●使用相同的物理原理探測(cè)不同的反應(yīng)堆或過程參數(shù)，如由差壓傳感器測(cè)得的壓力和液位或流量;

●使用冗余的相似傳感器探測(cè)相同的反應(yīng)堆或過程參數(shù)，如一組四通道多重液位傳感器作為另一組四通道多重液位傳感器的后備。

1.7?邏輯多樣性

為擴(kuò)大該多樣性屬性的適用范圍，NUREG-7007中采用邏輯多樣性。邏輯多樣性指兩個(gè)系統(tǒng)處理算法、處理邏輯之間的多樣性，分為4個(gè)層級(jí)，多樣性依次降低，分別為：

●不同的算法、邏輯和程序架構(gòu);

●不同的時(shí)序、執(zhí)行順序;

●不同的運(yùn)行環(huán)境，如操作系統(tǒng);

●不同的功能描述，如使用不同的計(jì)算機(jī)語言編程。

2. AP1000多樣性分析

在AP1000系列非能動(dòng)核電廠中，作為安全級(jí)儀控系統(tǒng)，PMS執(zhí)行反應(yīng)堆停堆功能、專設(shè)安全設(shè)施驅(qū)動(dòng)功能和1E級(jí)數(shù)據(jù)處理系統(tǒng)功能。PMS提供必要的安全功能來監(jiān)測(cè)電廠運(yùn)行狀態(tài)，并能使反應(yīng)堆停堆，使電廠維持在安全停堆狀態(tài)。DAS是非1E級(jí)儀表和控制系統(tǒng)，提供多樣化、備用的手段來驅(qū)動(dòng)反應(yīng)堆停堆和驅(qū)動(dòng)選定的專設(shè)安全設(shè)施，并把電廠信息提供給操縱員^[2]。

2.1?設(shè)計(jì)多樣性

PMS平臺(tái)采用基于CPU的儀控平臺(tái)（Common?Q平臺(tái)），而DAS平臺(tái)采用Actel公司生產(chǎn)的FPGA進(jìn)行核心邏輯處理，這兩種技術(shù)使用不同的芯片、不同的架構(gòu)和不同的程序，因而具有不同的故障機(jī)理，可有效抵御共因故障，應(yīng)劃分為“相同技術(shù)的不同方法”、“不同的架構(gòu)”。

2.2?設(shè)備制造多樣性

安全級(jí)Common?Q平臺(tái)是由西屋公司開發(fā)的基于CPU的儀控系統(tǒng)，而DAS平臺(tái)是由西屋下屬子公司CSI開發(fā)的基于FPGA的系統(tǒng)，因此PMS和DAS系統(tǒng)在設(shè)備制造多樣性方面滿足“同一廠家生產(chǎn)的從根本上不同的設(shè)計(jì)”。

2.3?邏輯處理設(shè)備多樣性

PMS和DAS平臺(tái)分別采用了CPU和FPGA兩種邏輯處理設(shè)備，而且PMS的Common?Q平臺(tái)中采用了AF100總線技術(shù)，DAS在自動(dòng)驅(qū)動(dòng)和手動(dòng)驅(qū)動(dòng)功能中沒有采用總線結(jié)構(gòu)，只在數(shù)顯表通信中使用了串行的RS-485通訊方式，因此PMS和DAS系統(tǒng)在邏輯處理設(shè)備多樣性方面滿足“不同的邏輯處理設(shè)備架構(gòu)”、“不同的部件集成架構(gòu)”和“不同的數(shù)據(jù)流架構(gòu)”。

2.4?功能多樣性

PMS和DAS分別采用驅(qū)動(dòng)停堆斷路器和棒電源機(jī)組脫扣來使控制棒插入以實(shí)現(xiàn)停堆功能，而且PMS和DAS采用不同的整定值、不同的延遲時(shí)間。因此PMS和DAS系統(tǒng)在功能多樣性方面滿足“相同底層機(jī)制，不同的目的、功能、控制邏輯或驅(qū)動(dòng)手段”、“不同的響應(yīng)時(shí)間等級(jí)”。

2.5?生命周期多樣性

PMS平臺(tái)和DAS平臺(tái)是由西屋公司設(shè)計(jì)和開發(fā)的，而DAS平臺(tái)是由西屋下屬子公司CSI制造的。PMS和DAS系統(tǒng)設(shè)計(jì)和制造的人員是不同的，且系統(tǒng)實(shí)施和試驗(yàn)的人員也是不同的。因此PMS和DAS系統(tǒng)在生命周期方面應(yīng)屬于“同一公司不同的管理團(tuán)隊(duì)”，“不同的設(shè)計(jì)人員、工程師或程序員”，“不同的實(shí)施或驗(yàn)證團(tuán)隊(duì)”。

2.6?邏輯多樣性

PMS與DAS在邏輯多樣性上表現(xiàn)如下：

●PMS具有四個(gè)相互隔離的序列。反應(yīng)堆停堆功能和專設(shè)安全設(shè)施驅(qū)動(dòng)功能采用四取二表決邏輯，而DAS對(duì)反應(yīng)堆停堆和專設(shè)安全設(shè)施驅(qū)動(dòng)使用二取二表決邏輯;

●DAS整定值和延遲時(shí)間設(shè)置保證DAS的自動(dòng)驅(qū)動(dòng)發(fā)生在PMS驅(qū)動(dòng)之后;

●PMS平臺(tái)運(yùn)行時(shí)具有操作系統(tǒng)，而DAS運(yùn)行不需要操作系統(tǒng);

●PMS平臺(tái)在開發(fā)時(shí)使用AMPL語言，而DAS平臺(tái)在開發(fā)時(shí)使用VHDL硬件描述語言。

因此PMS和DAS系統(tǒng)在邏輯多樣性方面滿足“不同的算法、邏輯和程序架構(gòu)”、“不同的時(shí)序、執(zhí)行順序”、“不同的運(yùn)行環(huán)境”、“不同的功能描述”的要求。

2.7?信號(hào)多樣性

PMS停堆和專用安全設(shè)施驅(qū)動(dòng)功能采用了多種信號(hào)，包括中子注量率、液位、壓力和溫度等，而DAS系統(tǒng)主要采用了溫度和液位信號(hào)進(jìn)行自動(dòng)驅(qū)動(dòng)，因此滿足信號(hào)多樣性的“使用不同的物理原理探測(cè)不同的反應(yīng)堆或過程參數(shù)”、“使用相同的物理原理探測(cè)不同的反應(yīng)堆或過程參數(shù)”、“使用冗余的相似傳感器探測(cè)相同的反應(yīng)堆或過程參數(shù)”這3條要求。

2.8?多樣性弱項(xiàng)

美國(guó)核管會(huì)NRC在2010年一份審查報(bào)告中提及PMS中的設(shè)備接口模塊（CIM）和DAS機(jī)柜都是由西屋的子公司CSI基于FPGA技術(shù)開發(fā)和制造。2011年NRC對(duì)CSI進(jìn)行了檢查，檢查組使用NUREG/CR-6303對(duì)CIM/DAS的多樣性屬性進(jìn)行了比較，認(rèn)為CSI已充分執(zhí)行多樣性要求，并確認(rèn)PMS和DAS系統(tǒng)之間存在充分的多樣性。西屋提供的CIM和DAS的多樣性報(bào)告承認(rèn)部分滿足人員多樣性，同時(shí)指出：

●PMS和DAS執(zhí)行核心邏輯處理的單元是不同的（CPU?VS?FPGA），滿足多樣性的要求;

●CIM和DAS執(zhí)行不同的功能邏輯，CIM執(zhí)行優(yōu)選和設(shè)備驅(qū)動(dòng)邏輯，DAS執(zhí)行反應(yīng)堆停堆和ESF驅(qū)動(dòng)相關(guān)的功能邏輯;

●CIM和DAS使用的FPGA芯片雖然是同一家公司（Actel公司）生產(chǎn)的，但由于是不同年代的產(chǎn)物，因此在架構(gòu)、工藝和流水線上都存在不同。

根據(jù)NUREG/CR-7007提供的多樣性計(jì)算方法，CIM與DAS的多樣性計(jì)算結(jié)果如下表2所示^[3]。

從上表計(jì)算中可見，CIM和DAS多樣性計(jì)算值為1.18，大于1.00的標(biāo)準(zhǔn)要求。即便考慮到兩者是西屋同一家子公司生產(chǎn)、人員多樣性問題，涉及到的多樣性得分分別為0.03和0.08，多樣化最終得分為1.07，仍然滿足要求。

3. 結(jié)論

從前文分析中可見，PMS和DAS從設(shè)計(jì)多樣性、設(shè)備制造多樣性、邏輯處理設(shè)備多樣性、功能多樣性、生命周期多樣性、邏輯多樣性以及信號(hào)多樣性均滿足NUREG/CR-7007導(dǎo)則的要求。針對(duì)CIM與DAS的多樣性程度問題，通過分析和計(jì)算可見也滿足導(dǎo)則的多樣化程度要求。因此，三門核電所采用的PMS與DAS系統(tǒng)的多樣化程度滿足法規(guī)導(dǎo)則要求。

參考文獻(xiàn)

[1]NUREG/CR-7007，ORNL/TM-2009/302，Diversity?Strategies?for?Nuclear?Power?Plant?Instrumentation?and?Control?Systems.

[2]顧軍主編.AP1000?核電廠系統(tǒng)與設(shè)備[M].北京：原子能出版社，2010.

[3]張豐平. 基于NUREG/CR-7007導(dǎo)則的AP1000設(shè)備接口模塊（CIM）和多樣化驅(qū)動(dòng)系統(tǒng)（DAS）多樣性分析[J].儀器儀表用戶，2016，23（3）：36-38.

[4]NUREG/CR-6303，UCRL-ID-119239，Method?for?Performing?Diversity?and?Defense-in-Depth?Analyses?of?Reactor?Protection?Systems.