任春香，穆海洋

（江蘇核電有限公司，江蘇 連云港 222042）

隨著近20年來控制和信息技術(shù)的日益成熟，加之用戶對(duì)控制功能和管理需求地提升，數(shù)字化儀控系統(tǒng)開始全面進(jìn)入核電廠應(yīng)用，在各新建、擬建和改造的核電項(xiàng)目中都采用數(shù)字化儀控平臺(tái)，其中絕大多數(shù)項(xiàng)目的反應(yīng)堆保護(hù)系統(tǒng)（RPS）也采用了數(shù)字化技術(shù)，從而實(shí)現(xiàn)儀控系統(tǒng)的全數(shù)字化[1]。全數(shù)字化儀控系統(tǒng)可以提高機(jī)組對(duì)事件、事故的響應(yīng)速度，降低人因失誤的概率，體現(xiàn)了數(shù)字化的優(yōu)勢(shì)，但也帶來了對(duì)軟件共因故障（CCF）的擔(dān)憂[2]。

田灣核電站AES-91型核電機(jī)組采用了俄羅斯VVER-1000/428型反應(yīng)堆。田灣一期兩臺(tái)機(jī)組分別于2007年5月和8月投入商業(yè)運(yùn)行，其反應(yīng)堆保護(hù)系統(tǒng)采用了全數(shù)字化的TXS平臺(tái)，是全數(shù)字化儀控系統(tǒng)在我國(guó)核電站的首次成功應(yīng)用。田灣二期兩臺(tái)機(jī)組以一期機(jī)組為參考，分別于2012年12月和2013年9月正式開工建設(shè)。在二期建設(shè)中，基于數(shù)字化保護(hù)系統(tǒng)需防御軟件共因故障的要求，電站員工對(duì)法規(guī)標(biāo)準(zhǔn)中軟件共因故障的隱患和設(shè)置多樣化驅(qū)動(dòng)系統(tǒng)方案的說明進(jìn)行研究，明確了設(shè)計(jì)需求，最終設(shè)置一套符合法規(guī)標(biāo)準(zhǔn)、安全評(píng)審要求且適合田灣機(jī)組的專設(shè)安全設(shè)施多樣化驅(qū)動(dòng)系統(tǒng)。

1 數(shù)字化保護(hù)系統(tǒng)防御軟件共因故障的要求

1.1 國(guó)家法規(guī)導(dǎo)則的要求

中國(guó)核安全法規(guī)HAF102[3]中6.4.8節(jié)指出“如果確定保護(hù)系統(tǒng)中應(yīng)用基于計(jì)算機(jī)的系統(tǒng)，在不能論證所需系統(tǒng)的完整性具有高可信度時(shí)，必須具備保證執(zhí)行保護(hù)功能的其他不同的手段?！逼涓郊?中1.9節(jié)也指出“隨著基于計(jì)算機(jī)的系統(tǒng)在安全領(lǐng)域和重大安全問題上的應(yīng)用日益擴(kuò)大，硬件故障或不正確的軟件程序可導(dǎo)致有重大影響的控制動(dòng)作，應(yīng)該考慮這種可能性?！?/p>

中國(guó)核安全導(dǎo)則HAD102/14[4]中4.11節(jié)提出“數(shù)字化系統(tǒng)往往試圖用一套計(jì)算機(jī)設(shè)備完成幾個(gè)系統(tǒng)的功能。但這時(shí)，假如其中一個(gè)部件停運(yùn)，會(huì)導(dǎo)致許多功能同時(shí)失靈，這種情況可能比常規(guī)硬件系統(tǒng)更多。軟件的設(shè)計(jì)和鑒定必須確保具有足夠小的差錯(cuò)率以確保執(zhí)行所需的安全功能。軟件系統(tǒng)本身也可能像有關(guān)硬件系統(tǒng)所述的那樣，成為一個(gè)共因故障源。幾個(gè)表面上獨(dú)立的系統(tǒng)功能由于使用十分基本的編程方法可能微妙地聯(lián)系在一起。甚至即使采用分別獨(dú)立的計(jì)算機(jī)硬件系統(tǒng)，也完全可能如此?！?/p>

可以發(fā)現(xiàn)在HAF102與HAD102/14中均提出了對(duì)軟件故障的擔(dān)憂，其中HAD102/14更是提到軟件故障可能導(dǎo)致許多功能同時(shí)失靈，其損害可能會(huì)比普通硬件故障更大。HAF102中提出在不能論證所需系統(tǒng)的完整性具有高可信度時(shí)，必須具備保證執(zhí)行保護(hù)功能的其他不同的手段。

1.2 國(guó)際原子能機(jī)構(gòu)導(dǎo)則要求

國(guó)際原子能機(jī)構(gòu)導(dǎo)則IAEA NS-G-1.3[5]中4.28節(jié)指出“對(duì)設(shè)備多樣性或?yàn)橛嘘P(guān)儀表控制系統(tǒng)（如實(shí)時(shí)操作系統(tǒng)）軟件多樣性所進(jìn)行的論證，應(yīng)該擴(kuò)展到這些設(shè)備的部件，以確保存在實(shí)際的多樣性。例如，不同的制造廠可能使用同樣處理器或認(rèn)可同樣操作系統(tǒng)，從而潛在地引入一些共同故障模式”。4.29節(jié)指出“在軟件的多樣性方面，經(jīng)驗(yàn)表明，如果軟件的多個(gè)版本是根據(jù)同一個(gè)軟件需求規(guī)格說明開發(fā)的，故障模式的獨(dú)立性可能是達(dá)不到的。”

IAEA的標(biāo)準(zhǔn)提到了軟件故障獨(dú)立性的問題，指出如果不同的處理器認(rèn)可同樣的操作系統(tǒng)，或者軟件的多個(gè)版本是根據(jù)統(tǒng)一軟件需求規(guī)格說明開發(fā)的，均有可能引入共因故障。

1.3 美國(guó)核管會(huì)導(dǎo)則的要求

美國(guó)核管會(huì)NRC也出版導(dǎo)則DI&C-ISG-02[6]提到“一般反應(yīng)堆保護(hù)系統(tǒng)包含4個(gè)通道2種多樣性，這種設(shè)置可以進(jìn)一步降低喪失所有安全功能的概率。然而，令人擔(dān)憂的是，在軟件中一個(gè)錯(cuò)誤在所有通道中可能是通用的，會(huì)導(dǎo)致保護(hù)系統(tǒng)的所有通道故障。許多安全功能整合在一個(gè)有限數(shù)量的數(shù)字組件中，同時(shí)數(shù)字組件重復(fù)在所有四個(gè)通道，更增加這方面的擔(dān)憂?！?/p>

NRC針對(duì)核電廠數(shù)字化安全儀控系統(tǒng)的典型架構(gòu)提出了軟件共因故障的擔(dān)憂。雖然典型數(shù)字化保護(hù)系統(tǒng)的四個(gè)通道是物理隔離的，但是四個(gè)通道中的軟件及邏輯的設(shè)置可能存在一定的相關(guān)性，某一軟件錯(cuò)誤可能在所有通道中是通用的，這種隱患有導(dǎo)致所有通道共因失效的可能。

1.4 小結(jié)

如上所訴，中國(guó)核安全法規(guī)導(dǎo)則、國(guó)際原子能機(jī)構(gòu)導(dǎo)則、美國(guó)核管會(huì)導(dǎo)則均闡述了軟件故障的可能性，并提出數(shù)字化保護(hù)系統(tǒng)應(yīng)防御軟件共因故障的要求。隨著數(shù)字化保護(hù)系統(tǒng)在我國(guó)核電機(jī)組的廣泛運(yùn)用，特別是福島事故后國(guó)家對(duì)核安全要求的大幅提升，在國(guó)家“十二五”期間新建核電廠安全要求 (征求意見稿)[7]出現(xiàn)“對(duì)于安全系統(tǒng)中基于計(jì)算機(jī)的設(shè)備必須考慮軟件的共因故障”的規(guī)定。雖然目前國(guó)內(nèi)各新建、預(yù)建項(xiàng)目的堆型不同，但普遍采用數(shù)字化的反應(yīng)堆保護(hù)系統(tǒng)，如何防御軟件共因故障成為所有項(xiàng)目共同的課題。

2 防御軟件共因故障的多樣化驅(qū)動(dòng)系統(tǒng)方案的要求

如上節(jié)所述，國(guó)內(nèi)外均提出數(shù)字化保護(hù)系統(tǒng)應(yīng)防御軟件共因故障的要求，并提出設(shè)置多樣化的驅(qū)動(dòng)系統(tǒng)以確保保護(hù)功能執(zhí)行的觀點(diǎn)，但對(duì)于多樣化驅(qū)動(dòng)系統(tǒng)的方案大多沒有給出具體規(guī)定。其中，美國(guó)核管會(huì)NRC提出的一些的觀點(diǎn)，筆者認(rèn)為非常具有借鑒意義，如：

NRC出版的導(dǎo)則DI&C-ISG-02[6]具體指出了3種防御軟件共因故障的方案：“1）兩個(gè)通道設(shè)置一種類型的數(shù)字化系統(tǒng)，另外兩個(gè)通道設(shè)置多樣化的數(shù)字化系統(tǒng)；2）分析某些安全功能可能受到CCF影響，設(shè)置一個(gè)多樣性的自動(dòng)后備系統(tǒng)來執(zhí)行可能受CCF影響的安全功能；3）分析表明某些RPS安全功能可能受到CCF影響，依據(jù)相關(guān)的人因工程（HFE）分析，表明手動(dòng)觸發(fā)在可用時(shí)間內(nèi)可以操作，手動(dòng)觸發(fā)可以作為一個(gè)多樣化的方案來執(zhí)行受CCF影響的安全功能。”

NRC出版的核電站安全分析報(bào)告標(biāo)準(zhǔn)評(píng)審計(jì)劃(NUREG-0800)的分支技術(shù)要求BTP 7-19[8]提到主控室（MCR）設(shè)置一系列顯示和手動(dòng)控制作為多樣化方案時(shí)，應(yīng)當(dāng)盡量少的涉及易受CCF影響的設(shè)備，一個(gè)方法是使用硬接線。同時(shí)，BTP 7-19還提出如果分析表明系統(tǒng)原有的手動(dòng)方式可能受CCF的影響，則需要增設(shè)一套手動(dòng)多樣化觸發(fā)方案，新增加的手動(dòng)方案可以是安全級(jí)的也可以是非安全級(jí)的，即需要兩種手動(dòng)觸發(fā)方案。如果原有的手動(dòng)觸發(fā)方案不受CCF影響，則不需要增加多樣化的手動(dòng)觸發(fā)方案，即只需要一種手動(dòng)觸發(fā)方案即可。手動(dòng)方案來防御CFF影響的實(shí)施原理見圖1。

DI&C-ISG-02提及的3種方案中第1、2種方案為自動(dòng)化的多樣性方案，第3種方案為手動(dòng)化的多樣性方案。BTP 7-19具體介紹了手動(dòng)多樣化方案的設(shè)置條件，并推薦了硬接線的模式。

3 田灣二期ESFAS多樣化驅(qū)動(dòng)系統(tǒng)的標(biāo)準(zhǔn)適應(yīng)性分析

3.1 田灣一期數(shù)字化保護(hù)系統(tǒng)的驅(qū)動(dòng)方式

田灣核電站數(shù)字化保護(hù)系統(tǒng)(RPS)采用傳統(tǒng)的4個(gè)通道2種多樣性架構(gòu)，由反應(yīng)堆緊急停堆系統(tǒng)(RTS)和專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)(ESFAS)兩部分構(gòu)成。目前，田灣一期兩臺(tái)機(jī)組運(yùn)行的RPS系統(tǒng)的驅(qū)動(dòng)原理可分為自動(dòng)驅(qū)動(dòng)方式和手動(dòng)驅(qū)動(dòng)方式兩種：自動(dòng)驅(qū)動(dòng)方式通過信號(hào)采集模件循環(huán)采集工藝過程參數(shù)并進(jìn)行邏輯運(yùn)算，四個(gè)通道獨(dú)立的運(yùn)算結(jié)果經(jīng)4取2表決后產(chǎn)生驅(qū)動(dòng)信號(hào)傳輸至驅(qū)動(dòng)模件；手動(dòng)驅(qū)動(dòng)方式中RTS的手動(dòng)驅(qū)動(dòng)命令既通過數(shù)字化的軟件系統(tǒng)也通過硬接線傳輸至硬件驅(qū)動(dòng)模件，而ESFAS的手動(dòng)驅(qū)動(dòng)命令只有通過數(shù)字化的軟件傳輸至優(yōu)選輸出模件一種方式。田灣一期RTS、ESFAS驅(qū)動(dòng)原理詳見圖2。

圖1 需要兩種手動(dòng)觸發(fā)方案與需要一種手動(dòng)觸發(fā)方案的對(duì)比[8]Fig.1 Requires two manual trigger methods contrast w ith the need to manually trigger a programme [8]

3.2 田灣二期ESFAS多樣化驅(qū)動(dòng)系統(tǒng)的標(biāo)準(zhǔn)適應(yīng)性分析

3.2.1 軟件共因故障分析

田灣二期兩臺(tái)機(jī)組以一期機(jī)組為參考，其數(shù)字化保護(hù)系統(tǒng)(RPS)的架構(gòu)與一期保持一致?；诒疚牡?節(jié)提及的數(shù)字化保護(hù)系統(tǒng)需防御軟件共因故障的要求，田灣二期的RPS系統(tǒng)需分析是否存在軟件共因故障的隱患。

田灣二期基于TXS平臺(tái)的RPS系統(tǒng)采用一定數(shù)量的微處理器及配套的軟硬件，經(jīng)過邏輯設(shè)計(jì)將軟件和硬件聯(lián)系起來實(shí)現(xiàn)預(yù)設(shè)的保護(hù)功能，雖然傳統(tǒng)的四通道冗余并且物理隔離的架構(gòu)被普遍認(rèn)為可以提高安全性和可靠性，但是還沒有一種得到一致認(rèn)可的數(shù)字化系統(tǒng)可靠性評(píng)價(jià)方法來進(jìn)行評(píng)價(jià)。并且，四通道中的軟件及邏輯是根據(jù)同一個(gè)軟件需求規(guī)格說明開發(fā)的，采用了相同的編程軟件和處理器，這就導(dǎo)致4個(gè)通道中的軟件和邏輯存在相關(guān)性甚至是相同的，有可能會(huì)因通用的軟件缺陷或收到特殊的混合型輸入而導(dǎo)致四個(gè)通道共因失效。

3.2.2 多樣化驅(qū)動(dòng)系統(tǒng)方案選擇分析

基于本文第2節(jié)提及的防御軟件共因故障的多樣化驅(qū)動(dòng)系統(tǒng)方案要求，田灣二期RPS系統(tǒng)應(yīng)參考設(shè)置防御軟件共因故障的多樣化驅(qū)動(dòng)方案。

針對(duì)DI&C-ISG-02[6]提出的3種防御軟件共因故障的方案，如果選用第1、2種方案則需要對(duì)儀控系統(tǒng)原有架構(gòu)乃至保護(hù)系統(tǒng)初始設(shè)計(jì)進(jìn)行變更，并且需要進(jìn)行可行性論證，對(duì)于田灣二期項(xiàng)目的費(fèi)用、進(jìn)度等影響很大。此外，選用第1、2種方案可能無法保證田灣二期RPS系統(tǒng)的架構(gòu)與一期的一致性，增加了以后運(yùn)行、維護(hù)人員的誤操作風(fēng)險(xiǎn)。相對(duì)而言，第3種方案更適合對(duì)現(xiàn)有保護(hù)系統(tǒng)方案的改進(jìn)，并且可作為獨(dú)立的系統(tǒng)進(jìn)行研發(fā)，而不影響田灣二期項(xiàng)目整體進(jìn)度。

圖2 田灣一期RTS、ESFAS驅(qū)動(dòng)原理圖Fig.2 Tin Wan a RTS, ESFAS drive schematic diagram

根據(jù)本文3.1節(jié)，當(dāng)田灣RPS系統(tǒng)出現(xiàn)軟件CCF時(shí)，RTS系統(tǒng)命令可以由手動(dòng)硬觸發(fā)，保證反應(yīng)堆正常停堆。但是ESFAS系統(tǒng)沒有設(shè)置獨(dú)立于計(jì)算機(jī)軟件的系統(tǒng)級(jí)觸發(fā)手段，其手動(dòng)觸發(fā)方式也可能受同一CCF影響，而導(dǎo)致ESFAS系統(tǒng)無法輸出驅(qū)動(dòng)命令。ESFAS系統(tǒng)的手動(dòng)觸發(fā)方式符合BTP 7-19[8]中關(guān)于增加手動(dòng)多樣性觸發(fā)方案的要求，參考圖1中關(guān)于手動(dòng)多樣性觸發(fā)方案的設(shè)置，田灣二期增加的ESFAS手動(dòng)多樣化驅(qū)動(dòng)系統(tǒng)（MASS）原理如圖3所示。

圖3 田灣二期ESFAS手動(dòng)多樣化驅(qū)動(dòng)系統(tǒng)原理圖Fig.3 Diversification of tianwan phase II ESFAS manual driver schematic diagram

3.2.3 田灣二期ESFAS手動(dòng)多樣化方案標(biāo)準(zhǔn)適應(yīng)性分析

基于DI&C-ISG-02[6]的規(guī)定，需分析手動(dòng)多樣性方案在TXS軟件故障時(shí)的可用性。因此，MASS除了應(yīng)包含旁通TXS軟件的操作部分外，還應(yīng)包含初始事件監(jiān)控部分。操作部分的主體是由純硬件完成邏輯設(shè)計(jì)的機(jī)柜，監(jiān)視部分由儀表輸入和執(zhí)行器反饋獲得需要的控制盤事件報(bào)警和顯示畫面。出現(xiàn)RPS系統(tǒng)軟件CCF時(shí)，操縱員可以通過監(jiān)控部分提供的信息，判斷人工干預(yù)的必要性，確定是否操作數(shù)字化專設(shè)安全設(shè)施驅(qū)動(dòng)多樣性系統(tǒng)設(shè)備，驅(qū)動(dòng)必要的安全系統(tǒng)設(shè)備，應(yīng)對(duì)或緩解事故的后果，維持電站各項(xiàng)參數(shù)處于安全范圍以內(nèi)，這種設(shè)置可滿足了DI&C-ISG-02[6]的要求。MASS系統(tǒng)結(jié)構(gòu)如圖4。

圖4 MASS系統(tǒng)總體結(jié)構(gòu)Fig.4 MASS system structure

基于BTP 7-19[8]中關(guān)于硬接線和手動(dòng)多樣化方案安全分級(jí)的描述，田灣二期MASS系統(tǒng)采用安全級(jí)的TXS硬件設(shè)備進(jìn)行操作部分配置，采用非安全級(jí)的正常運(yùn)行儀控系統(tǒng)進(jìn)行監(jiān)控部分配置，既滿足了BTP 7-19[8]的要求又可最大化的降低變更成本。

4 結(jié)論

針對(duì)數(shù)字化保護(hù)系統(tǒng)需考慮軟件共因故障設(shè)置多樣化方案的要求，田灣核電站二期對(duì)國(guó)內(nèi)外法規(guī)標(biāo)準(zhǔn)進(jìn)行研究，并結(jié)合田灣核電站的控制和工藝要求，最終設(shè)置了滿足現(xiàn)有法規(guī)標(biāo)準(zhǔn)要求的手動(dòng)多樣化驅(qū)動(dòng)方案。該方案既可滿足數(shù)字化保護(hù)系統(tǒng)防御軟件共因故障的要求，又可獨(dú)立、簡(jiǎn)潔地與原安全儀控系統(tǒng)集成，研究其在田灣運(yùn)用的規(guī)范性和可行性是非常有必要的。同時(shí)，作為當(dāng)前核安全領(lǐng)域中的熱點(diǎn)話題，田灣防御軟件共因故障的經(jīng)驗(yàn)和措施，對(duì)各新建、預(yù)建和改造的核電機(jī)組也有一定的借鑒意義。

[1]田露.核電安全系統(tǒng)軟件共因故障的縱深防御[J].核電安全,2012,5(3)：268-276.

[2]NRC, Digital Instrum entation and Contro l System in Nuclear Power Plants[R].Washington,D.C.NATIONNAL ACADEMY,1997.

[3]HAF102,核動(dòng)力廠設(shè)計(jì)安全規(guī)定,2004年4月18日國(guó)家核安全局批準(zhǔn)發(fā)布,2004年修改[Z].

[4]HAD102/14,核電廠安全有關(guān)儀表和控制系統(tǒng),1988年10月6日國(guó)家核安全局批準(zhǔn)發(fā)布[Z].

[5]IAEA_NS-G-1.3,核動(dòng)力廠安全重要儀表控制系統(tǒng),國(guó)際原子能機(jī)構(gòu),維也納,2005年[Z].

[6]NRC, DI&C-ISG-02 Interim Staff Guidance on Diversity and Defense-in-Depth Issues[S].September 26, 2007.

[7]“十二五”期間新建核電廠安全要求(征求意見稿),國(guó)家核安全局 [Z].2013, 5.

[8]NRC Standard Review Plan, Branch Technical Position 7-19.Guidance for evaluation of Diversity and Defense-in-depth in Digital Com puter-based Instrumentation and Control System.Revision 6.July 2012.