徐 智

（1.蘇州熱工研究院有限公司，蘇州 215004；2.中廣核工程設(shè)計(jì)有限公司，上海 200241）

隨著電子信息科技的高速發(fā)展，越來越多的核電廠部署了或通過升級(jí)的方式應(yīng)用了數(shù)字化儀控（DI&C）系統(tǒng)。相對(duì)于早期的模擬系統(tǒng)，DI&C系統(tǒng)的安全性、可靠性以及可維護(hù)性等有明顯優(yōu)勢(shì)，但DI&C系統(tǒng)存在軟件等共因故障（CCF）導(dǎo)致保護(hù)系統(tǒng)失效的可能性[1]，而且一般的冗余設(shè)計(jì)也無法解決該問題。因此，美國(guó)核管會(huì)（NRC）要求核電廠采取必要的保護(hù)措施來應(yīng)對(duì)CCF，防止核電廠運(yùn)行對(duì)公眾的健康和安全造成不利影響。業(yè)界公認(rèn)應(yīng)對(duì)CCF的措施為提高系統(tǒng)總體的多樣性。NRC發(fā)布諸如NUREG/CR 6303和NUREG-0800的BTP7-19等一系列指導(dǎo)文件，給出對(duì)數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)進(jìn)行多樣性及縱深防御D3（diversity and defense in depth）分析的方法[2-3]。但NUREG/CR 6303的分析結(jié)果存在較多的不確定性，難以確保所采用的措施能應(yīng)對(duì)CCF。為此，NRC基于美國(guó)橡樹嶺國(guó)家實(shí)驗(yàn)室研究成果，發(fā)布了NUREG/CR-7007，用于解決“如果保護(hù)系統(tǒng)需要采用多樣性措施來應(yīng)對(duì)CCF，什么樣的多樣性是足夠的？”的難題[4]。

NUREG/CR-7007方法源于基于軟件的計(jì)算機(jī)系統(tǒng)的評(píng)估，但越來越多非軟件的數(shù)字化系統(tǒng)已經(jīng)應(yīng)用或?qū)⒁獞?yīng)用于核電廠，但目前并沒有相應(yīng)的專門評(píng)估手段。如何利用已有方法來進(jìn)行非軟件系統(tǒng)的多樣性量化評(píng)估、在系統(tǒng)設(shè)計(jì)前期的應(yīng)用以及應(yīng)用中存在的問題是本文的研究重點(diǎn)。

1 NUREG/CR-7007評(píng)價(jià)方法

核電廠特有的核安全目標(biāo)，要求核電廠數(shù)字化控制（包括保護(hù)）系統(tǒng)必須能在預(yù)期瞬態(tài)工況、設(shè)計(jì)基準(zhǔn)事故等工況下完成所需的功能，直接導(dǎo)致了對(duì)核電廠儀表與控制技術(shù)非常高的可靠性需求。常見的冗余設(shè)計(jì)可以顯著提高系統(tǒng)的可靠性，但共因故障可輕易破壞冗余設(shè)計(jì)的有效性。由一個(gè)特定事件或原因引起若干裝置或部件不能執(zhí)行其功能的故障被稱為共因故障。這些事件可能來自外界環(huán)境，也可能是設(shè)計(jì)本身的缺陷所造成。表1[5]給出了CCF主要原因和對(duì)應(yīng)的防御措施。

表1 共因故障原因及其防御措施Tab.1 Reasons of CCF and protection measures

目前應(yīng)用于核電廠的數(shù)字化儀控系統(tǒng)普遍是基于軟件的計(jì)算機(jī)系統(tǒng)。共因故障（CCF）的重要可信來源是基于CPU的軟件設(shè)計(jì)錯(cuò)誤，且無法證明軟件設(shè)計(jì)是完全無故障的，已成為核電領(lǐng)域，包括計(jì)算機(jī)界的共識(shí)。即使實(shí)施了表1中常見的、作為重要而有效的軟件質(zhì)量控制措施的獨(dú)立驗(yàn)證和確認(rèn)（IV&V），任何組織、任何機(jī)構(gòu)和個(gè)人都不可能通過V&V過程100%的排除軟件錯(cuò)誤[6]。為了應(yīng)對(duì)軟件的CCF，采用多樣性保護(hù)系統(tǒng)成為一種有效的應(yīng)對(duì)措施。采用不同的方法或手段達(dá)到特定的目的是多樣性措施的核心目標(biāo)[7]。在儀控系統(tǒng)中使用不同的傳感器輸入、不同的觸發(fā)方式、不同的邏輯和算法、不同的技術(shù)等幾種方式或組合來達(dá)到所需功能是提高多樣性的重要手段。文獻(xiàn)[2]指出多樣性由設(shè)計(jì)多樣性、軟件多樣性、功能多樣性、信號(hào)多樣性、人員多樣性、設(shè)備多樣性構(gòu)成。

基于監(jiān)管當(dāng)局的要求，眾多核電廠根據(jù)NUREG/CR 6303進(jìn)行了縱深防御及多樣性（D3）評(píng)估。但NRC認(rèn)為這些基于NUREG/CR 6303的分析，除了個(gè)別屬性外，存在較大的不確定性，因而也難以確保分析的措施能夠應(yīng)對(duì)CCF[4]。為此，美國(guó)橡樹嶺國(guó)家實(shí)驗(yàn)室對(duì)航天、航空、軌道運(yùn)輸、化工等非核工業(yè)界及世界范圍的核電廠進(jìn)行廣泛調(diào)研，采用統(tǒng)計(jì)分析方法，給出了定量多樣性程度的方法和指標(biāo)，這就是意在解決“如果安全系統(tǒng)需要采用多樣性措施來應(yīng)對(duì)CCF，什么樣的多樣性是足夠的？”問題的NUREG/CR-7007。

NUREG/CR-7007在NUREG/CR 6303的基礎(chǔ)上發(fā)布了多樣性的7大屬性25條準(zhǔn)則/措施，如表2所示[8]。根據(jù)每一多樣性屬性中的各個(gè)措施對(duì)于多樣性的貢獻(xiàn)，為每一措施賦予各自的DCE（diversity criterion effectiveness）權(quán)重。再根據(jù)從全球范圍的航天、航空、軌道運(yùn)輸?shù)确呛诵袠I(yè)及核行業(yè)大量的多樣性實(shí)際應(yīng)用的情況，經(jīng)過適當(dāng)?shù)奶幚砗头治?，給出每一多樣性屬性的DAE（diversity attribute effectiveness）權(quán)重。在此基礎(chǔ)上可進(jìn)行具體案例的多樣性定量計(jì)算。NRC認(rèn)為只有多樣性歸一化計(jì)算值大于1，多樣性要求才得到認(rèn)可。基于NUREG/CR-7007的多樣性量化方法的計(jì)算公式[8]為

表2 多樣性屬性及準(zhǔn)則Tab.2 Diversity attributes and criteria

式中：A為系統(tǒng)的多樣性量化目標(biāo)值；xij為取決于表2中的7個(gè)多樣性屬性的第i多樣性屬性中的第j個(gè)措施的存在與否，如存在該措施則xij=1，若未采用此措施則xij=0；wi為第i多樣性屬性的 DAE權(quán)重；wij為第i多樣性屬性中的第j個(gè)措施的DCE權(quán)重；c 為歸一化基準(zhǔn)常數(shù)；i∈I=｛1，2，3，4，5，6，7｝；j∈J=｛1，2，3，4｝；xij∈X=｛0，1｝。

2 應(yīng)用實(shí)例及分析

數(shù)字化儀控系統(tǒng)的多樣性問題已經(jīng)得到高度的關(guān)注。但文獻(xiàn) [1，5-7]等均未采用NUREG/CR-7007來進(jìn)行多樣性的量化研究。本文基于最新的研究成果，揭示量化多樣性工作的挑戰(zhàn)，并給出方法修正的預(yù)測(cè)。

2.1 常見應(yīng)用

文獻(xiàn)[4]給出了多個(gè)一般系統(tǒng)多樣性量化評(píng)價(jià)的例子，本文不再贅述。

2.2 基于非軟件系統(tǒng)/部件的應(yīng)用

由于軟件的復(fù)雜性及驗(yàn)證難度，越來越多的非軟件的系統(tǒng)/部件已經(jīng)或?qū)⒁獞?yīng)用于核電廠儀控系統(tǒng)。FPGA就是一種優(yōu)越的非軟件技術(shù)，已經(jīng)應(yīng)用于第三代非能動(dòng)安全核電廠的儀控系統(tǒng)[8]?；贔PGA開發(fā)的1E級(jí)平臺(tái)已經(jīng)通過NRC認(rèn)證[9]，或正在進(jìn)行NRC的安全認(rèn)證[10]。

文獻(xiàn)[8]基于公開披露的信息，采用NUREG/CR-7007的標(biāo)準(zhǔn)方法和參數(shù)，獨(dú)立進(jìn)行第三代非能動(dòng)安全核電廠的儀控系統(tǒng)CIM及DAS兩大關(guān)鍵部分的多樣性量化研究。表3為各措施的量化值。

計(jì)算得出A=1.015，略大于NUREG/CR-7007中規(guī)定的最低限值1?；诙鄻有粤炕翟６容^小的狀況，提出了部件設(shè)計(jì)生產(chǎn)等階段應(yīng)給予高度關(guān)注及嚴(yán)格監(jiān)管的意見。這也符合NRC的監(jiān)管實(shí)際情況[11-12]。同時(shí)，靈敏度分析表明，在不改變供應(yīng)商的大前提下，提高“同一公司內(nèi)的不同的管理團(tuán)隊(duì)”的可行措施能顯著地提高多樣性量化值至1.114。

表3 CIM/DAS的多樣性屬性Tab.3 Diversity attributes of CIM/DAS

基于FPGA技術(shù)的安全級(jí)平臺(tái)ALS已經(jīng)應(yīng)用于核電廠老舊安全系統(tǒng)的部分替換工程[13-14]。由于實(shí)際替換工程的范圍較小和簡(jiǎn)單，并沒有完整的多樣性量化報(bào)告。文獻(xiàn)[15-16]基于ALS的特性，設(shè)計(jì)了保護(hù)與監(jiān)測(cè)系統(tǒng)的完整方案，并對(duì)其進(jìn)行了多樣性量化研究?；贜UREG/CR-7007的標(biāo)準(zhǔn)系數(shù)計(jì)算所得的多樣性量化值為0.972，略微小于可接受值1。但基于保守的將邏輯處理設(shè)備多樣性的4個(gè)措施均置為0的計(jì)算以及對(duì)NUREG/CR-7007中對(duì)應(yīng)措施的類比測(cè)算，提出了可不設(shè)多樣性驅(qū)動(dòng)系統(tǒng)的初步結(jié)論。

2.3 高級(jí)應(yīng)用

無論是一般應(yīng)用，還是上述基于非軟件系統(tǒng)/部件的應(yīng)用，均是一種設(shè)計(jì)后驗(yàn)工作，即對(duì)已有的設(shè)計(jì)方案進(jìn)行多樣性量化評(píng)估。文獻(xiàn)[17]在NUREG/CR-7007基礎(chǔ)上建立了數(shù)學(xué)模型，采用0-1線性規(guī)劃算法，在給定各措施代價(jià)的前提下，解決了“代價(jià)最小的且有足夠多樣性的系統(tǒng)是什么？”的問題。文獻(xiàn)同時(shí)指出，在實(shí)際應(yīng)用時(shí)，即使不能準(zhǔn)確給出各措施代價(jià)值，該模型也能在設(shè)計(jì)前就確保最終設(shè)計(jì)的多樣性量化值不低于要求值，避免設(shè)計(jì)可能不滿足多樣性量化要求的風(fēng)險(xiǎn)，同時(shí)避免設(shè)計(jì)時(shí)采用過多的多樣性措施導(dǎo)致實(shí)現(xiàn)代價(jià)過大的問題。仿真算例表明了該方法是高效可行的。同時(shí)揭示了整個(gè)系統(tǒng)多樣性量化設(shè)計(jì)的一些規(guī)律，為系統(tǒng)的多樣性優(yōu)化設(shè)計(jì)提供參考。

2.4 問題及解決辦法

NUREG/CR-7007的量化方法源自于統(tǒng)計(jì)數(shù)據(jù)的分析，其算法本身是工程實(shí)際的經(jīng)驗(yàn)總結(jié)。在實(shí)際的多樣性量化分析中，根據(jù)分析對(duì)象，依照表2的判據(jù)項(xiàng)，給式（1）所有的對(duì)應(yīng)變量取1或0后，計(jì)算A值并與1比較即可。文獻(xiàn)[4]要求首先要判別方案所對(duì)應(yīng)的類別，其本意在于可以自動(dòng)對(duì)某些值進(jìn)行賦值和/或約束，如“不同的技術(shù)”與“相同技術(shù)不同方法”不能同時(shí)存在；又如只要是“不同的技術(shù)”則“不同的架構(gòu)”就會(huì)必然存在，即存在固有（inherent diversity）關(guān)系。但該方法不但人為增加類別判定的工作量，同時(shí)給保護(hù)系統(tǒng)本身的多樣性量化工作帶來麻煩。經(jīng)驗(yàn)表明如果不先進(jìn)行類別判定，在進(jìn)行措施的賦值后必須依據(jù)文獻(xiàn)[4]的相關(guān)表進(jìn)行校核，避免出現(xiàn)有悖于文獻(xiàn)中給定關(guān)系的情況。文獻(xiàn)[17]已經(jīng)為多樣性措施的“互斥”關(guān)系及“互鎖”關(guān)系建立數(shù)學(xué)模型，可自動(dòng)檢測(cè)這些內(nèi)在關(guān)系，從而省去這項(xiàng)分類工作。

NUREG/CR-7007明確指出C類方案邏輯處理設(shè)備多樣性的“不同的數(shù)據(jù)流架構(gòu)”措施對(duì)多樣性的貢獻(xiàn)不大，應(yīng)不采用。但在實(shí)際的量化工作中，當(dāng)評(píng)估對(duì)象的數(shù)據(jù)流架構(gòu)確實(shí)不同時(shí)，應(yīng)該考慮該多樣性。文獻(xiàn)[8]指出如果考慮CIM和DAS的總線結(jié)構(gòu)的差異，則修正后的A為1.038，確實(shí)沒有顯著地影響多樣性量化值。多樣性量化工作經(jīng)驗(yàn)表明對(duì)于某些賦值有歧義或模糊的措施，可以通過靈敏度分析，最后取較為保守的量化值。

文獻(xiàn)[9]在對(duì)ALS平臺(tái)本身進(jìn)行多樣性量化分析時(shí)指出，由于NUREG/CR-7007量化方法中的“邏輯處理設(shè)備多樣性”屬性是基于微處理器架構(gòu)系統(tǒng)多樣性屬性，對(duì)于像基于FPGA的ALS平臺(tái)來說，其相應(yīng)的措施值應(yīng)保守地取0。但這必將帶來過于保守的結(jié)論。正如文獻(xiàn)[14]的研究，即使最大程度采用其他有利于多樣性的措施，其多樣性量化值也偏低。同時(shí)如果統(tǒng)一將該屬性設(shè)定為0，則其他方案的多樣性量化值均會(huì)有顯著的降低。隨著基于非軟件系統(tǒng)的大量引進(jìn)，對(duì)文獻(xiàn)[4]的多樣性量化方法進(jìn)行修正勢(shì)在必行。可能的修正方案為對(duì)該屬性對(duì)應(yīng)的措施進(jìn)行條件限定，如補(bǔ)充相應(yīng)的賦值準(zhǔn)則，而不是將非CPU方案對(duì)應(yīng)措施項(xiàng)強(qiáng)制要求設(shè)為0。

3 結(jié)語(yǔ)

本文給出基于NUREG/CR-7007的非計(jì)算機(jī)架構(gòu)的儀控系統(tǒng)多樣性量化的幾個(gè)實(shí)例，并給出基于該方法而開發(fā)的可用于設(shè)計(jì)前期進(jìn)行多樣性量化評(píng)估方法，指出了多樣性量化評(píng)估的潛在問題和解決方法，提出了應(yīng)對(duì)非軟件技術(shù)數(shù)字化系統(tǒng)的可行修正辦法。這些工作對(duì)于自主進(jìn)行核電廠數(shù)字化儀控系統(tǒng)，特別是基于非軟件技術(shù)數(shù)字化系統(tǒng)的多樣性量化評(píng)估工作有積極的參考價(jià)值。

[1]闞睿，姜群興，陳文浩.核電廠數(shù)字化儀控系統(tǒng)縱深防御和多樣性研究[J].工業(yè)控制計(jì)算機(jī)，2014，27（1）：19-20.

[2]US NRC.NUREG/CR-6303 method for performing diversity and defense-in-depth analyses of reactor protection systems[S]，1994.

[3]US NRC.BTP7-19 guidance for evaluation of diversity and defense-in-depth in digitalcomputer-based instrumentation and control system[S]，2007．

[4]US NRC.NUREG/CR-7007 diversity strategies for nuclear power plant instrumentation and control systems[S]，2009.

[5]鄭偉智，李相建，朱毅明，等.核電站反應(yīng)堆保護(hù)系統(tǒng)防共因故障設(shè)計(jì)研究[J].自動(dòng)化儀表，2012，33（2）：47-50.

[6]陳銀杰，張春雷，齊敏，等.FPGA技術(shù)在核電站多樣性系統(tǒng)中的應(yīng)用技術(shù)研究[J].自動(dòng)化儀表，2014，35（2）：46-57.

[7]毛從吉，母琦.從安全審評(píng)角度看核電站數(shù)字化儀控設(shè)計(jì)[J].自動(dòng)化儀表，2012，33（7）：39-48.

[8]徐智，雷晴，陳冬雷.CIM和DAS多樣性的定量分析[J].自動(dòng)化儀表，2014，35（S1）：73-76.

[9]NRC U S.Nuclear regulatory commission safety evaluation for topicalreport6002-00301 “Advanced LogicSystem Topical Report”[R].Rock ville：NRC，2013.

[10]曾海.基于NuPAC的核電廠反應(yīng)堆保護(hù)系統(tǒng)關(guān)鍵特性分析[J].原子能科學(xué)技術(shù)，2014，48（3）：492-499.

[11]Bill R，Royce B，Deanna Z，et.al.Audit report for lifecycle phases one and two documentation validation related to protection and safety monitoring system and diverse actuation system for the ap1000 design certification amendment application[R].Rock Ville：NRC，2010.

[12]Bill R，Jack Y，Ken D，et al.Audit report for review of proprietary technical，procedural，and process information related to the component interface module and diverse actuation systems for the westinghouse ap1000 design certification amendment application[R].Rock Ville：NRC，2010.

[13]NRC.Wolf creek nuclear operating corporation-amendment to renewed facility operating license[R].NRC，Washington DC，2009.

[14]Diablo Canyon Power Plant.Supplement to license amendment request11-07.Processprotection system replacement[R].Avila Beach，CA，2013.

[15]徐智，雷晴.新型邏輯系統(tǒng)平臺(tái)的保護(hù)與監(jiān)測(cè)系統(tǒng)數(shù)據(jù)通信設(shè)計(jì)[J].核電子學(xué)與探測(cè)技術(shù)，2015，35（5）：462-467.

[16]徐智.基于先進(jìn)邏輯系統(tǒng)平臺(tái)的保護(hù)與監(jiān)測(cè)系統(tǒng)的D3分析[J].自動(dòng)化儀表，2016，37（2）：22-29.

[17]徐智，丁丁，張瑜.基于NUREG/CR-7007的DAS系統(tǒng)優(yōu)化設(shè)計(jì)[J].原子能科學(xué)技術(shù)，2016，50（1）：156-163.