Diversity and Defense-in-depth Analysis of the PMS Based on ALS Platform

徐　智

(中廣核工程設(shè)計(jì)有限公司，上?！?00241)

?

先進(jìn)邏輯系統(tǒng)平臺的保護(hù)與監(jiān)測系統(tǒng)的D3分析

Diversity and Defense-in-depth Analysis of the PMS Based on ALS Platform

徐智

(中廣核工程設(shè)計(jì)有限公司，上海200241)

摘要：2013年美國核管會通過了對西屋公司開發(fā)的新一代基于現(xiàn)場可編程門陣列技術(shù)的1E級先進(jìn)邏輯系統(tǒng)平臺的認(rèn)證。針對基于該平臺所設(shè)計(jì)的保護(hù)與監(jiān)測系統(tǒng)，依據(jù)NUREG/CR 6303的相關(guān)要求，進(jìn)行了多樣性和縱深防御要求分析，并按NUREG/CR 7007的方法計(jì)算了保護(hù)與監(jiān)測系統(tǒng)的多樣性量化值。分析結(jié)果表明，新設(shè)計(jì)的保護(hù)與監(jiān)測系統(tǒng)方案基本滿足美國核管會對系統(tǒng)多樣性的定量要求，并得出可以不單獨(dú)設(shè)置多樣性驅(qū)動(dòng)系統(tǒng)的初步結(jié)論。

關(guān)鍵詞：核電站安全系統(tǒng)數(shù)字化多樣性與縱深防御核反應(yīng)堆保護(hù)與監(jiān)測系統(tǒng)安全評估共模故障儀控系統(tǒng)緊急停堆

Abstract：In 2013,the new generation Class 1E ALS platform based on FPGA technology developed by Westinghouse Electric Company had been approved by US NRC.Aiming at the protection and monitoring system (PMS) designed based on this platform,in accordance with the requirements of NUREG/CR 6303,the analysis of diversity and defense-in-depth is conducted; and the quantitative value of diversity for PMS is calculated by using the method of NUREG/CR 7007.The results of analysis indicate that the newly designed PMS basically meets the diversity requirements of US NRC,and the preliminary conclusion of eliminating diversity actuation system is obtained.

Keywords:Nuclear power plantSafety systemDigitizationDiversity and defense-in-depth(D3)Nuclear reactor

Protection and detection systemSecurity assessmentCommon mode failureI&C systemEmergency shut down

0引言

美國西屋公司(WEC)在并購CS Innovations(CSI)公司后，繼續(xù)進(jìn)行了CSI所開發(fā)的先進(jìn)邏輯系統(tǒng)(advanced logic system,ALS)的1E級安全平臺取證工作，并于2013年9月獲得NRC的最終安全評審報(bào)告。NRC認(rèn)可這一基于FPGA技術(shù)的1E級平臺可作為數(shù)字化安全系統(tǒng)多樣性和縱深防御問題的解決方案，通過定制、裁剪，可部分替換原安全系統(tǒng)，或開發(fā)為全新的安全系統(tǒng)[1]。

筆者根據(jù)核反應(yīng)堆保護(hù)與監(jiān)測系統(tǒng)(PMS)的典型功能需求，設(shè)計(jì)了一種全新的、基于ALS平臺的保護(hù)與監(jiān)測系統(tǒng)(PMS)[2]，并對該系統(tǒng)進(jìn)行了數(shù)據(jù)通信、完整性等方面的分析。本文依據(jù)NUREG/CR 6303[3]的多樣性與縱深防御(D3)要求，對全新設(shè)計(jì)的PMS進(jìn)行分析，并按NUREG/CR 7007[4]的方法計(jì)算了該系統(tǒng)的多樣性量化值。分析表明，該方案基本滿足NRC對系統(tǒng)多樣性的定量要求，并給出了可不單獨(dú)設(shè)置多樣性驅(qū)動(dòng)系統(tǒng)(DAS)的初步結(jié)論。

需要明確指出的是，本文進(jìn)行的D3分析所針對的保護(hù)與監(jiān)測系統(tǒng)(PMS)不是三代核電技術(shù)引進(jìn)涉及的PMS系統(tǒng)方案，而是具有與其相同典型功能的全新設(shè)計(jì)的保護(hù)與監(jiān)測系統(tǒng)。同時(shí)，為了方便敘述和理解，盡管本文中使用了許多與三代核電技術(shù)引進(jìn)相同的縮略語(如DAS、DDS、PLS、PMS、QDPS等)，但其原理同樣適用于其他核電項(xiàng)目類似功能的系統(tǒng)。

1基于ALS的PMS總體架構(gòu)

文獻(xiàn)[2]介紹了以文獻(xiàn)[5]和文獻(xiàn)[6]為基準(zhǔn)、結(jié)合ALS平臺的功能以及其在Wolf Creek、Diablo Canyon等核電廠安全系統(tǒng)部分技術(shù)改進(jìn)工程中的實(shí)踐[7-8]，設(shè)計(jì)了一種可以替代文獻(xiàn)[5]和文獻(xiàn)[6]的儀控(I&C)總體結(jié)構(gòu)的方案。該設(shè)計(jì)不考慮非安全級DCS平臺的變更，而著重考慮安全級平臺Common Q的替代方案。其中，PMS采用獨(dú)立、隔離、冗余的四序列設(shè)計(jì)。單序列的總體架構(gòu)如圖1所示[2]，單序列的安全信號路徑如圖2[2]、圖3所示[2]。

文獻(xiàn)[2]指出，圖2所示的基于ALS平臺的架構(gòu)設(shè)計(jì)考慮了文獻(xiàn)[5]和文獻(xiàn)[6]所有的信號接口，理論上是一個(gè)完整可行的方案，但需要根據(jù)有關(guān)的法規(guī)、導(dǎo)則、標(biāo)準(zhǔn)的要求對其符合性進(jìn)行論證。本文在文獻(xiàn)[1]對ALS平臺D3要求評估的基礎(chǔ)上，對于本設(shè)計(jì)采用ALS平臺所搭建的PMS系統(tǒng)，依照NUREG/CR 6303對數(shù)字化I&C系統(tǒng)D3評估的導(dǎo)則進(jìn)行一致性分析，并根據(jù)NUREG/CR 7007的方法計(jì)算該系統(tǒng)的多樣性量化值。

圖1　基于ALS平臺的PMS單序列架構(gòu)圖

圖2　反應(yīng)堆緊急停堆信號路徑及ESF邏輯路徑

圖3　ESF驅(qū)動(dòng)路徑

2多樣性與縱深防御(D3)概要分析

本文所關(guān)注的保護(hù)與監(jiān)測系統(tǒng)不是基于較常見的微處理器架構(gòu)的系統(tǒng)，而是基于FPGA邏輯的ALS平臺所搭建的新型安全系統(tǒng)。由于沒有專門的評估導(dǎo)則，NRC在對ALS平臺進(jìn)行安全評估時(shí)，采用了一系列針對微處理器平臺評估導(dǎo)則的適用部分，明確了對ALS平臺本身評估的有限范圍，并要求對于基于ALS的安全系統(tǒng)整體，必須在ALS平臺評估報(bào)告的基礎(chǔ)上，就通信、完整性、多樣性等方面進(jìn)行評估[1]。本文針對該P(yáng)MS的縱深防御及多樣性與NUREG/CR 6303的一致性進(jìn)行研究。由于本文不是一個(gè)D3的報(bào)告，因此并不依據(jù)NUREG/CR 6303的要求，對每個(gè)安全功能進(jìn)行詳細(xì)的描述，而是關(guān)注整個(gè)I&C系統(tǒng)架構(gòu)設(shè)計(jì)，特別是PMS的設(shè)計(jì)。

縱深防御是核電廠設(shè)計(jì)、建造和運(yùn)行安全有關(guān)全部活動(dòng)中必須貫徹的一個(gè)重要原則。核電廠一般設(shè)有五個(gè)層次的縱深防御措施，即：① 防止偏離正常運(yùn)行及系統(tǒng)失效;② 檢測和糾偏，防止預(yù)計(jì)運(yùn)行事件升級為事故工況;③ 提供固有安全、故障安全、附加設(shè)備以控制預(yù)計(jì)事件之后達(dá)到穩(wěn)定和可接受的狀態(tài);④ 應(yīng)對嚴(yán)重事故，保證放射性釋放在合理可行、盡可能低的水平;⑤ 減輕事故工況下可能的放射性物質(zhì)釋放后果。I&C系統(tǒng)作為核電廠的重要組成部分，其設(shè)計(jì)也應(yīng)遵從上述原則。針對I&C系統(tǒng)的特點(diǎn)，NUREG/CR 6303確定了I&C系統(tǒng)的四個(gè)縱深防御等級。本設(shè)計(jì)I&C系統(tǒng)的四個(gè)等級如表1所示。表1中，*為各層級具有的特點(diǎn)。

表1　儀表和控制的防御等級

2.1儀控系統(tǒng)

I&C系統(tǒng)的非1E級手動(dòng)或自動(dòng)設(shè)備，一般用于日常的發(fā)電運(yùn)行管控操縱，其中縱深防御功能用于防止反應(yīng)堆往不安全運(yùn)行狀態(tài)偏移，避免反應(yīng)堆停堆或驅(qū)動(dòng)專設(shè)安全設(shè)施(ESF)。本設(shè)計(jì)的I&C系統(tǒng)功能及實(shí)現(xiàn)方法與文獻(xiàn)[5]、[6]、[9]一致。

在PMS本身具有足夠的多樣性前提下，控制系統(tǒng)也應(yīng)該包括一些滿足10 CFR 50.62要求的專用設(shè)備(anticipated transient without scram,ATWS)。這些高質(zhì)量的非1E級專用設(shè)備應(yīng)可以減小1E級的PMS設(shè)備產(chǎn)生極為罕見的共模故障的影響。

反應(yīng)堆緊急停堆用于快速減少堆芯反應(yīng)性。緊急停堆系統(tǒng)采用能夠探測潛在或?qū)嶋H偏移正常狀態(tài)的儀表裝置，在必要時(shí)快速完全地向堆芯插入反應(yīng)堆控制棒。本設(shè)計(jì)的緊急停堆系統(tǒng)不包括中子慢化系統(tǒng)，如硼酸緊急注入。如圖2所示，安全級PMS的輸出信號驅(qū)動(dòng)停堆斷路器(RTCB)觸發(fā)邏輯矩陣，實(shí)現(xiàn)RTCB的欠壓(UV)線圈的斷電和加電(ST)線圈的加電，進(jìn)而導(dǎo)致RTCB打開斷電，控制棒由重力作用跌落堆芯，實(shí)現(xiàn)反應(yīng)堆緊急停堆。ATWS作為后備，也提供滿足10 CFR 50.62要求的多樣化緊急停堆功能。

專設(shè)安全設(shè)施(ESF)是用于導(dǎo)出堆芯余熱和維持放射性防護(hù)的三道實(shí)體屏障(燃料包殼、壓力容器、安全殼)完整性的安全級設(shè)備。如圖3所示，ALS輸出驅(qū)動(dòng)信號，通過設(shè)備接口模塊(CIM)最終驅(qū)動(dòng)各支持系統(tǒng)或裝置(閥門、斷路器等)，以便滿足緊急冷卻、卸壓或降壓、隔離和控制ESF設(shè)備運(yùn)行的需要。非安全級的電廠控制系統(tǒng)(PLS)也能發(fā)出ESF部件驅(qū)動(dòng)/控制命令，但須經(jīng)過設(shè)備接口模塊(CIM)進(jìn)行優(yōu)選后執(zhí)行。

如圖1所示，監(jiān)測和指示功能由非安全級的數(shù)據(jù)顯示和處理系統(tǒng)(DDS)和安全級的PMS提供。每個(gè)ALS機(jī)箱的ALS-102的TXB2端口在信號隔離后連接至非安全級網(wǎng)關(guān)，單向發(fā)送相關(guān)信息至非安全級DDS系統(tǒng)網(wǎng)絡(luò)。經(jīng)鑒定的數(shù)據(jù)處理系統(tǒng)(QDPS)主要用于處理RG1.97要求的1E級變量等。

和控制級、緊急停堆級、ESF級一樣，操縱員總是基于準(zhǔn)確的傳感器信息來完成任務(wù)。但操縱員能夠通過監(jiān)測和指示級給出的信息、時(shí)間和工具，執(zhí)行預(yù)先未定的邏輯計(jì)算以響應(yīng)意外事件。監(jiān)測和指示級包括名義上分配給其他3個(gè)等級運(yùn)行需要的1E級和非1E級的手動(dòng)控制器、監(jiān)視器和指示器。DDS的設(shè)備處理正常和應(yīng)急運(yùn)行工況可能產(chǎn)生的非安全級報(bào)警和顯示的數(shù)據(jù)，同時(shí)產(chǎn)生數(shù)據(jù)顯示和報(bào)警，并提供電廠數(shù)據(jù)分析、電廠數(shù)據(jù)日志和歷史數(shù)據(jù)存儲和恢復(fù)功能，給電廠運(yùn)行人員提供操作支持。DDS是一個(gè)冗余的實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)，連接儀表和控制系統(tǒng)的各單元[5-6,9]。

2.2縱深防御特性

共因故障(CCF)有可能破壞縱深防御的多層防線，本I&C結(jié)構(gòu)具有以下應(yīng)對CCF的設(shè)計(jì)特性，用來滿足執(zhí)照申請、提高電廠可靠性和可用性等要求。

采用分布式處理結(jié)構(gòu)將I&C系統(tǒng)的不同功能分配到多個(gè)不同的子系統(tǒng)，并采用了獨(dú)立的序列，使得一定的CCF僅局限于一個(gè)單獨(dú)的子系統(tǒng)，不會導(dǎo)致整個(gè)系統(tǒng)故障；冗余的子系統(tǒng)能探測包括存在足夠時(shí)間間隔的CCF故障，只要故障之間存在足夠時(shí)間可用于探測和修復(fù)，就能保證冗余子系統(tǒng)可響應(yīng)事件；安全級PMS的四個(gè)冗余序列是實(shí)體隔離的，也與非安全級系統(tǒng)隔離。電源也采用相應(yīng)的實(shí)體隔離。實(shí)體隔離都應(yīng)滿足IEEE-384，防止由于物理現(xiàn)象引起的CCF；模塊化設(shè)計(jì)提高了隔離和故障修復(fù)的快速性。只要CCF的故障之間存在足夠時(shí)間可用于探測和修復(fù)，模塊設(shè)計(jì)就能保證冗余子系統(tǒng)可響應(yīng)事件；故障安全設(shè)計(jì)，如失能跳閘或驅(qū)動(dòng)，提供了在單一故障和特定類型的多故障后，自動(dòng)或手動(dòng)將電廠帶入安全工況的能力。功能多樣性和冗余性的容錯(cuò)設(shè)計(jì)，能提供在單一故障和特定類型的多故障后，自動(dòng)或手動(dòng)將電廠帶入安全工況的能力；電氣隔離將I&C系統(tǒng)分段，以防止電氣故障的傳播。

PLS采用信號選擇器算法防止來自PMS傳感器信號的故障，如果冗余傳感器的輸出信號的差異超過限值，信號選擇器會報(bào)警。I&C的設(shè)備應(yīng)按其安全分級和應(yīng)用采用相應(yīng)的準(zhǔn)則，對環(huán)境要求，包括對溫度、濕度、震動(dòng)/地震、電磁干擾(EMI)/射頻干擾(RFI)，以及防浪涌等進(jìn)行鑒定，確保了只要不超過設(shè)計(jì)要求就不會發(fā)生CCF。I&C具有保護(hù)和濾波的AC供電線路、EMI/RFI設(shè)計(jì)、防浪涌的信號調(diào)理輸入卡件等，能防止特定的故障，因此只有超過了設(shè)計(jì)和鑒定測試極限，才會導(dǎo)致多重故障。

報(bào)警系統(tǒng)能夠?qū)&C本身的故障包括多重故障通知操縱員。主報(bào)警系統(tǒng)是DDS的一部分，使用不同于PMS的硬件和軟件。由于DDS系統(tǒng)是有人值守的，因此報(bào)警系統(tǒng)本身的故障可由操縱員及時(shí)發(fā)現(xiàn)。

I&C各子系統(tǒng)不間斷地執(zhí)行自診斷程序。回讀和看門狗等不間斷地監(jiān)測重要子系統(tǒng)的運(yùn)行。這些自診斷特性用于探測并報(bào)告硬件故障，便于操縱員及時(shí)采取措施；測試子系統(tǒng)能快速而不間斷地驗(yàn)證系統(tǒng)運(yùn)行，不但提高了及時(shí)探測故障的能力，也提高了電廠人員快速診斷并修復(fù)這些故障的能力。

設(shè)計(jì)也考慮了人因故障問題，如I&C對整定值和調(diào)節(jié)參數(shù)的調(diào)整實(shí)行多級權(quán)限的實(shí)體和行政的管控，防止維護(hù)失誤導(dǎo)致輸入錯(cuò)誤常量引發(fā)的CCF；I&C的整定值和整定常數(shù)的輸入值采用工程單位量而不是刻度值，減少由于刻度變化而產(chǎn)生的CCF。

設(shè)計(jì)全過程的驗(yàn)證和確認(rèn)。這些設(shè)計(jì)特性提高了儀控系統(tǒng)應(yīng)對各種故障的能力，符合核電廠設(shè)計(jì)的縱深防御理念。

2.3與NUREG/CR-6303一致性的評估

NUREG/CR-6303提供了14條用于進(jìn)行多樣性和縱深防御分析的導(dǎo)則。本文針對所設(shè)計(jì)的I&C系統(tǒng)，特別是基于ALS的PMS，對這些導(dǎo)則的一致性進(jìn)行了初步的評估。

① 導(dǎo)則1和5。

PMS分為4個(gè)冗余序列。非安全級PLS使用冗余的傳感器和冗余的子系統(tǒng)來提供縱深防御功能。由于ALS特有的多樣性能力和PMS的特別設(shè)計(jì)，假設(shè)CCF引起相似的或者相同的設(shè)備都發(fā)生故障，則不認(rèn)為PMS功能同時(shí)完全喪失。

② 導(dǎo)則2。

本文第3.2節(jié)給出了基于NUREG/CR-7007的多樣性詳細(xì)分析，包含了NUREG/CR-6303多樣性內(nèi)容。

③ 導(dǎo)則3。

NUREG/CR-6303描述了3種不同儀表裝置故障類型。第一類故障是某等級中的假想故障，該故障導(dǎo)致需要一個(gè)保護(hù)功能去緩解電廠瞬態(tài)；第二類故障是不可探測的故障，只有在要求驅(qū)動(dòng)一個(gè)部件或系統(tǒng)時(shí)才能發(fā)現(xiàn)該故障；第三類故障是由于電廠過程不以一個(gè)可預(yù)期的方式響應(yīng)或者測量電廠過程的傳感器以異常的方式響應(yīng)而引起。本設(shè)計(jì)存在上述故障類型。

對于PLS來說，PMS是多樣性的系統(tǒng)。因此PLS的第一類故障不會導(dǎo)致多層防御失效。

本設(shè)計(jì)的4個(gè)等級內(nèi)和等級之間存在多樣性，因此整個(gè)I&C不易受到第二類故障影響。

對于第三類故障，本設(shè)計(jì)采用多樣性的傳感器來測量電廠對一個(gè)初始事件的響應(yīng)。例如，使用汽輪機(jī)沖動(dòng)級壓力和堆外中子探測來測量反應(yīng)堆功率；采用反應(yīng)堆冷卻劑系統(tǒng)的過冷度和堆芯出口熱電偶溫度來測量堆芯冷卻等。

④ 導(dǎo)則4。

I&C結(jié)構(gòu)有4個(gè)防御的等級?？刂频燃壥怯蒔LS提供的，PLS通過隔離的數(shù)據(jù)鏈接，從保護(hù)系統(tǒng)獲得特定的輸入。PMS和ATWS提供反應(yīng)堆緊急停堆級。在PMS中的反應(yīng)堆保護(hù)子系統(tǒng)、表決邏輯、專用的數(shù)據(jù)鏈接、反應(yīng)堆停堆斷路器接口和反應(yīng)堆停堆斷路器提供反應(yīng)堆緊急停堆功能。非安全級的ATWS和控制棒驅(qū)動(dòng)電動(dòng)發(fā)電機(jī)組斷路器提供一個(gè)多樣性的反應(yīng)堆緊急停堆功能。另外，PLS通過維持電廠在可接受的限值內(nèi)，避免緊急停堆。

PMS提供ESF驅(qū)動(dòng)級。在電廠保護(hù)子系統(tǒng)中的ESF子系統(tǒng)、ESF符合邏輯、ESF驅(qū)動(dòng)子系統(tǒng)、專用的數(shù)據(jù)鏈接在PMS中提供ESF功能。PLS的縱深防御功能避免非能動(dòng)安全系統(tǒng)不必要的驅(qū)動(dòng)。ATWS提供少量的ESF功能，如非能動(dòng)余熱排除系統(tǒng)的啟動(dòng)等。

⑤ 導(dǎo)則6。

保守地假設(shè)CCF會導(dǎo)致一種類型的所有模塊會失效。由于ALS的并行、簡單、高確定性的“硬件”架構(gòu)以及高冗余的設(shè)計(jì)，ALS的無軟件、無操作系統(tǒng)等使得系統(tǒng)運(yùn)行時(shí)不存在一般的軟件CCF，PMS的并行運(yùn)行特性可參照模擬系統(tǒng)，因此這些受影響的模塊不會同時(shí)失效。此外ATWS因?yàn)槎鄻有缘脑O(shè)計(jì)，不會喪失其功能。

⑥ 導(dǎo)則7。

應(yīng)結(jié)合隨機(jī)故障假定儀表和控制結(jié)構(gòu)中的CCF情況進(jìn)行概率安全分析(PRA)，對于I&C的CCF導(dǎo)致堆芯損壞方面的評估尚未進(jìn)行PRA?；贏LS的特性以及不單獨(dú)設(shè)置多樣性驅(qū)動(dòng)系統(tǒng)(DAS)的考慮，在PRA中應(yīng)保守地假設(shè)一種類型的所有模塊會失效，但不是同時(shí)失效。

⑦ 導(dǎo)則8。

ATWS的輸入信號與其他系統(tǒng)不共享。

對于PMS中的CCF，假設(shè)受影響的部分沒有按時(shí)驅(qū)動(dòng)需要的保護(hù)動(dòng)作。

⑧ 導(dǎo)則9。

在子系統(tǒng)之間提供光纖的或者阻抗隔離，來阻止電氣故障的傳播。PMS的4個(gè)序列，包括1E的供電系統(tǒng)，是實(shí)體隔離的。此外，I&C硬件的設(shè)計(jì)保證了信號調(diào)制設(shè)備的故障對傳感器性能影響最小。

⑨ 導(dǎo)則10和11。

一個(gè)假想事故與PMS的CCF一起發(fā)生，同時(shí)ATWS也失效的概率應(yīng)在PRA中計(jì)算。如果計(jì)算的結(jié)果不能滿足核電廠的總體目標(biāo)，應(yīng)作相應(yīng)的調(diào)整，如增加DAS等。

⑩ 導(dǎo)則12。

對于一個(gè)反應(yīng)堆緊急停堆事件與一個(gè)PMS中假想CCF一起發(fā)生這種低概率情況，ATWS以一個(gè)多樣性的方式觸發(fā)反應(yīng)堆緊急停堆。另外，PMS提供手動(dòng)緊急停堆方式。為了支持手動(dòng)停堆，PMS提供電廠信息給操縱員，同時(shí)提供1E級QDPS指示。

對于一個(gè)或者多個(gè)ESF驅(qū)動(dòng)事件與一個(gè)PMS中CCF一起發(fā)生這種低概率情況、不同時(shí)發(fā)生故障的假設(shè)，使得冗余通道的驅(qū)動(dòng)成為可能。連接至PMS驅(qū)動(dòng)路徑下游的系統(tǒng)級手動(dòng)驅(qū)動(dòng)，提高了驅(qū)動(dòng)能力。此外具有最高權(quán)限的CIM現(xiàn)場手動(dòng)操作進(jìn)一步提高了驅(qū)動(dòng)的能力。為了支持手動(dòng)ESF驅(qū)動(dòng)，PMS給操縱員提供電廠信息，同時(shí)提供1E級QDPS指示。

反應(yīng)堆緊急停堆和ESF驅(qū)動(dòng)功能由ALS-102執(zhí)行，它們之間是隔離、獨(dú)立的。ALS-102的并行、獨(dú)立的FPGA邏輯分別處理反應(yīng)堆緊急停堆和ESF驅(qū)動(dòng)，它們之間不存在共用的資源，如存儲器、處理器等，因此反應(yīng)堆緊急停堆功能故障不會阻止ESF驅(qū)動(dòng)功能響應(yīng)其他輸入，ESF驅(qū)動(dòng)功能故障也不會阻止反應(yīng)堆停堆功能響應(yīng)其他輸入。

I&C結(jié)構(gòu)的3個(gè)層次提供了支持手動(dòng)操作的指示。這些手動(dòng)操作具有將核電廠維持在運(yùn)行限值范圍內(nèi)、停閉反應(yīng)堆以及驅(qū)動(dòng)ESF的功能。DDS通過實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)向操縱員提供非安全級的電廠顯示和報(bào)警數(shù)據(jù)，而PMS的QDPS提供安全級的顯示，ATWS可提供極少量的相關(guān)顯示。

如圖1所示，PMS通過隔離裝置單向發(fā)送數(shù)據(jù)到DDS。用于和PLS或DDS連接的隔離裝置防止PLS或者DDS中的故障影響到PMS的運(yùn)行。與這些信號有關(guān)的信號調(diào)制和數(shù)據(jù)處理功能是由PMS中的獨(dú)立的子系統(tǒng)執(zhí)行的，不與反應(yīng)堆緊急停堆或者ESF驅(qū)動(dòng)功能相關(guān)聯(lián)。一旦信號通過隔離裝置離開PMS，就不再是安全相關(guān)的，也不用于任何安全功能。連接DDS與PMS的單向網(wǎng)關(guān)，用于電廠狀態(tài)的監(jiān)視，包括PMS系統(tǒng)的狀態(tài)。

PMS中提供監(jiān)測和指示級的手動(dòng)停堆和手動(dòng)ESF驅(qū)動(dòng)功能。非安全級ATWS也提供手動(dòng)反應(yīng)堆緊急停堆能力和有限的ESF驅(qū)動(dòng)。如圖2所示，PMS通過一個(gè)硬接線直接控制反應(yīng)堆停堆斷路器的線圈通路。ATWS提供一個(gè)多樣性的硬接線停堆到控制棒驅(qū)動(dòng)電動(dòng)發(fā)電機(jī)組斷路器。PMS提供系統(tǒng)級和部件級驅(qū)動(dòng)ESF功能的手動(dòng)措施。

除了PRA相關(guān)的工作沒有完成外，本設(shè)計(jì)滿足NUREG/CR 6303的14條導(dǎo)則要求。

3系統(tǒng)多樣性量化值計(jì)算

3.1基于NUREG/CR-7007的計(jì)算方法

NUREG/CR-7007在NUREG/CR 6303的基礎(chǔ)上給出了多樣性的7大屬性25條準(zhǔn)則/措施，典型的應(yīng)對方案[10]詳見表2。在對系統(tǒng)的多樣性進(jìn)行量化計(jì)算時(shí)，先確定所評估的系統(tǒng)是否滿足某項(xiàng)準(zhǔn)則/措施，再根據(jù)公式進(jìn)行計(jì)算，得出系統(tǒng)的多樣性量化目標(biāo)值。當(dāng)量化目標(biāo)值大于1時(shí)，NRC則認(rèn)可其滿足多樣性要求。文獻(xiàn)[4]基于全球范圍內(nèi)的航天、航空、軌道運(yùn)輸?shù)确呛诵袠I(yè)及核行業(yè)大量的多樣性實(shí)際應(yīng)用情況的處理和分析，給出了措施的多樣性準(zhǔn)則的有效性(diversity criterion effectiveness,DCE)權(quán)重和每一項(xiàng)多樣性屬性的有效性(diversity attribute effectiveness,DAE)權(quán)重值。

表2　多樣性屬性及準(zhǔn)則

續(xù)表2

根據(jù)NUREG/CR-7007,有如下多樣性量化目標(biāo)值計(jì)算公式：

(1)

式中：A為系統(tǒng)的多樣性量化目標(biāo)值；xij為取決于表2中的7個(gè)多樣性屬性的第i多樣性屬性中的第j個(gè)措施的存在與否，存在該措施，xij=1，未采用此措施，xij=0；wi為第i多樣性屬性的DAE權(quán)重；wij為第i多樣性屬性中的第j個(gè)措施的DCE權(quán)重；C為歸一化基準(zhǔn)常數(shù)；i∈I={1,2,3,4,5,6,7}；j∈J={1,2,3,4}；xij∈X={0,1}。

3.2PMS多樣性措施值的確定

3.2.1設(shè)計(jì)多樣性

除了PCNodeBox及ASU等用于人機(jī)界面部分功能采用了基于微處理器的計(jì)算機(jī)系統(tǒng)以外，PMS的其他功能均采用ALS平臺實(shí)現(xiàn)。所有安全級的自動(dòng)控制均通過基于FPGA的ALS平臺實(shí)現(xiàn)。雖然PMS所有的ALS卡件均采用了多樣雙核(corediversity)，以及圖2、圖3的ALS機(jī)柜額外采用了內(nèi)置式多樣性設(shè)計(jì)(embeddeddesigndiversity)，但它們均基于WEC的FPGA技術(shù)。因此，根據(jù)NRC的評估準(zhǔn)則，認(rèn)為基于ALS的PMS不具備設(shè)計(jì)屬性多樣性[1]，本計(jì)算將其相關(guān)的措施值x1j取0。

3.2.2設(shè)備制造商多樣性

PMS所采用的ALS平臺為WEC的產(chǎn)品，因此PMS不具有表2中設(shè)備制造商的多樣性屬性的前三項(xiàng)的多樣性。由于PMS采用了多樣雙核和內(nèi)置式多樣性設(shè)計(jì)，相應(yīng)的邏輯實(shí)現(xiàn)途徑不同，因此本文認(rèn)為PMS具有“相同的制造商、不同的版本”的多樣性措施，措施值x24取1。

3.2.3邏輯處理設(shè)備多樣性

由于ALS平臺不采用軟件實(shí)現(xiàn)PMS功能，因此采用不同的邏輯處理架構(gòu)、不同的部件集成架構(gòu)、不同的數(shù)據(jù)流架構(gòu)等可以提高基于微處理器架構(gòu)系統(tǒng)多樣性的措施均不適用。本計(jì)算將相關(guān)的措施值x3j取0。

3.2.4功能多樣性

功能的多樣性是一種重要的多樣性措施，故本設(shè)計(jì)中充分利用了功能多樣性的措施。如D3分析所示，PMS采用的傳感器、整定值、執(zhí)行機(jī)構(gòu)等均與非安全I(xiàn)&C系統(tǒng)不同，表2的“不同的機(jī)理”、“不同的目的、功能、控制邏輯或驅(qū)動(dòng)方式”、“不同的響應(yīng)時(shí)間域”等諸多措施得到充分的應(yīng)用?？刂葡到y(tǒng)采用了控制棒位置調(diào)節(jié)、硼酸濃度調(diào)節(jié)，而PMS采用控制棒驅(qū)動(dòng)機(jī)構(gòu)失電快速插入的方式，這既是對GDC25、26、27要求的響應(yīng)，也提供了所需的多樣性。就PMS本身來說，它是一個(gè)4序列隔離的1E級系統(tǒng)，能對每個(gè)預(yù)期運(yùn)行事件和事故進(jìn)行多級防御。反應(yīng)堆緊急停堆功能和大多數(shù)ESF驅(qū)動(dòng)功能采用了不同的傳感器并采用四取二表決，為每一個(gè)預(yù)期運(yùn)行事件和事故提供多樣性的反應(yīng)堆緊急停堆功能和/或ESF驅(qū)動(dòng)。此外，多種保護(hù)功能的后備保護(hù)也是一種功能多樣性的措施，如超功率ΔT為功率量程高中子注量率提供后備保護(hù)，穩(wěn)壓器的高液位停堆作為穩(wěn)壓器高壓力停堆的后備保護(hù)等?；谶@樣的設(shè)計(jì)，本計(jì)算將相關(guān)的措施值x4j取1。

3.2.5全壽命周期多樣性

由于PMS的ALS平臺均由同一公司供貨，因此x51取0。為了能夠提高多樣性，規(guī)定PMS的平臺應(yīng)由“不同的管理團(tuán)隊(duì)”、“不同的設(shè)計(jì)/開發(fā)團(tuán)隊(duì)”以及“不同的實(shí)施/驗(yàn)證團(tuán)隊(duì)”來實(shí)現(xiàn)。因此，本計(jì)算將相關(guān)的措施值x52、x53、x54取1。

3.2.6邏輯多樣性

PMS采用了多樣雙核以及內(nèi)置式多樣性設(shè)計(jì)，ALS-102邏輯的開發(fā)，遵從和標(biāo)準(zhǔn)卡件開發(fā)一致的標(biāo)準(zhǔn)。安全功能是由不同的算法、邏輯，不同的時(shí)序和執(zhí)行順序來實(shí)現(xiàn)，因此，本計(jì)算將相關(guān)的措施值x6j取1。

3.2.7信號多樣性

信號多樣性屬性和邏輯實(shí)現(xiàn)平臺并無直接關(guān)系。該屬性為提高多樣性的常見辦法，本設(shè)計(jì)充分利用多樣性的信號來提高系統(tǒng)多樣性。使用不同的參數(shù)去觸發(fā)保護(hù)動(dòng)作，這些參數(shù)中的任何一個(gè)都是獨(dú)立的，它們中的任何一個(gè)出現(xiàn)故障都不會影響其他參數(shù)的保護(hù)功能。對于特定事件，為反應(yīng)堆緊急停堆和ESF驅(qū)動(dòng)提供多樣性信號，PMS中用于產(chǎn)生反應(yīng)堆緊急停堆和ESF驅(qū)動(dòng)的信號來自于不同類型的傳感器，如多種不同的信號用于停堆，采用堆芯補(bǔ)水箱液位低、穩(wěn)壓器壓力低、蓄電池電壓低、手動(dòng)開關(guān)等不同類型的信號來驅(qū)動(dòng)自動(dòng)降壓系統(tǒng)?；谶@樣的設(shè)計(jì)，本計(jì)算將相關(guān)的措施值x7j取1。

3.3計(jì)算與分析

將第3.2節(jié)確定的這些xij值代入式(1)，DAE、DCE、C均取NUREG/CR-7007的標(biāo)準(zhǔn)值，計(jì)算結(jié)果為0.972，略微小于可接受值1。值得注意的是，在本計(jì)算中保守的將邏輯處理設(shè)備多樣性的4個(gè)措施均置為0。如果將NUREG/CR-7007中表6.4的對應(yīng)項(xiàng)也置為0，則A策略基準(zhǔn)方案的多樣性值將降低0.451；而B策略基準(zhǔn)方案的多樣性值至少降低0.258，B策略基準(zhǔn)方案的多樣性值最多可降低0.386；C策略基準(zhǔn)方案的多樣性值最多可降低0.258。根據(jù)文獻(xiàn)[11]，A、B、C、D策略方案最大可能歸一化多樣性的值分別為1.400、1.315、1.235、1.192。將邏輯處理設(shè)備多樣性的措施置為0可極大地影響評價(jià)值。因此，在對基于FPGA的保護(hù)系統(tǒng)進(jìn)行評估時(shí)，NRC很有可能修正NUREG/CR-7007中DAE和DCE系數(shù)，從而提高基于ALS平臺系統(tǒng)的多樣性量化值。

鑒于PMS的多樣性值已經(jīng)接近可接受的范圍，因此作為初步的方案，可認(rèn)為PMS已經(jīng)具有足夠的多樣性，不必再單獨(dú)設(shè)置多樣性驅(qū)動(dòng)系統(tǒng)。

對于10CFR50.62所要求的停堆、停機(jī)及啟動(dòng)余熱排出等功能可由非安全級平臺實(shí)現(xiàn)。這樣的工程應(yīng)用在嶺澳核電廠已有先例，且可以簡化I&C系統(tǒng)及主控制室等設(shè)計(jì)。

4結(jié)束語

本文依據(jù)NUREG/CR-6303的相關(guān)要求，對基于ALS平臺的優(yōu)良特性而設(shè)計(jì)的PMS進(jìn)行了多樣性和縱深防御要求分析，并按NUREG/CR 7007的方法和標(biāo)準(zhǔn)參數(shù)計(jì)算了該系統(tǒng)的多樣性量化值。盡管由于ALS平臺不采用軟件實(shí)現(xiàn)邏輯，而將NUREG/CR 7007中7大評估屬性之一的“邏輯處理設(shè)備多樣性”的4條措施不計(jì)入多樣性貢獻(xiàn)的計(jì)算，但該P(yáng)MS的多樣性量化仍接近于NRC的接受準(zhǔn)則，表明該方案整體上有較高的多樣性屬性，基本滿足NRC對系統(tǒng)多樣性的定量要求。因此，原則上得出可以不單獨(dú)設(shè)置多樣性系統(tǒng)的初步結(jié)論。

由于目前世界上沒有將ALS平臺開發(fā)作為PMS的工程實(shí)踐，因此本設(shè)計(jì)是一個(gè)全新方案。論證方案的可行性需進(jìn)行大量的研究工作[12]，這些工作對于PMS的自主開發(fā)，甚至是平臺本身的國產(chǎn)化都具有重要的參考意義。

參考文獻(xiàn)

[1] NRC U S.Nuclear Regulatory Commission Safety Evaluation for Topical Report 6002-00301 “Advanced Logic System Topical Report”[R].Rock ville:NRC.2013.

[2] 徐智,雷晴.新型邏輯系統(tǒng)平臺的保護(hù)與監(jiān)測系統(tǒng)數(shù)據(jù)通信設(shè)計(jì)[J].核電子學(xué)與探測技術(shù),2015，35(5)：462-467.

[3] NRC US.NUREG/CR-6303 Method for performing diversity and defense-in-depth analyses of reactor protection systems[S]. 1994.

[4] NRC US.NUREG/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems[S]．2009.

[5] 林誠格,郁祖盛.非能動(dòng)安全先進(jìn)壓水堆核電技術(shù)[M].北京:原子能出版社,2008:756-879.

[6] 孫漢虹,程平東,繆鴻興,等.第三代核電技術(shù)AP1000[M].北京:中國電力出版社,2010:322-412.

[7] NRC.Wolf creek nuclear operating corporation-amendment to renewed facility operating license[R].NRC,Washington DC.2009.

[8] Diablo Canyon Power Plant.Supplement to license amendment request 11-07.process protection system replacement[R].Avila Beach,CA,2013.

[9] Westinghouse L L C.Westinghouse AP1000 design control document[R].Pittsburgh:Westinghouse Electric Company LLC,2012．

[10]徐智,雷晴,陳冬雷.CIM和DAS多樣性的定量分析[J].自動(dòng)化儀表,2014,35(S1):73-76.

[11]徐智,丁丁,張瑜.基于NUREG/CR-7007的DAS系統(tǒng)優(yōu)化設(shè)計(jì)[J].原子能科學(xué)技術(shù),2016,50(1):156-163.

[12]徐智,雷晴.基于先進(jìn)邏輯系統(tǒng)平臺的保護(hù)與監(jiān)測系統(tǒng)數(shù)據(jù)通信設(shè)計(jì)分析[J].自動(dòng)化與儀表，2015，30(8):9-16，26.

中圖分類號：TH86;TP273

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201602006

修改稿收到日期：2015-05-08。

作者徐智(1973-)，男，2001年畢業(yè)于上海交通大學(xué)控制理論與控制工程專業(yè)，獲博士學(xué)位，高級工程師；主要從事核電儀控設(shè)計(jì)的研究。