宿俊海，孫 娜，張 杰

（華龍國(guó)際核電技術(shù)有限公司，北京 100036）

核電廠儀控系統(tǒng)總體架構(gòu)是核電廠儀控系統(tǒng)（總體層次上的組件）的組織架構(gòu)，它提供了對(duì)整個(gè)儀控系統(tǒng)的頂層視圖，以及各儀控系統(tǒng)之間的相互聯(lián)系。儀控系統(tǒng)的主要功能是根據(jù)核電廠的設(shè)計(jì)基準(zhǔn)工況和設(shè)計(jì)擴(kuò)展工況的要求而確定的。這些功能包括：保護(hù)、控制和監(jiān)視。

當(dāng)前國(guó)內(nèi)新建電廠都采用數(shù)字化儀控系統(tǒng)，根據(jù)核電廠所選用的核電技術(shù)和儀控平臺(tái)的不同，儀控系統(tǒng)的總體架構(gòu)有所不同，但對(duì)儀控總體架構(gòu)的設(shè)計(jì)要求和設(shè)計(jì)原則是一致的。本文通過對(duì)國(guó)內(nèi)外標(biāo)準(zhǔn)的研究，確定儀控系統(tǒng)總體架構(gòu)的設(shè)計(jì)要求和設(shè)計(jì)原則，并對(duì)儀控系統(tǒng)架構(gòu)的設(shè)計(jì)步驟進(jìn)行了說明。

1 儀控系統(tǒng)總體架構(gòu)設(shè)計(jì)要求

依據(jù)法規(guī)、標(biāo)準(zhǔn)的要求，核電廠儀控系統(tǒng)總體架構(gòu)設(shè)計(jì)應(yīng)滿足縱深防御、獨(dú)立性、核安全等級(jí)要求、信息安全要求、儀控系統(tǒng)復(fù)雜性和災(zāi)害防護(hù)等要求，具體為[1]：

1）各個(gè)儀控系統(tǒng)分配到不同的縱深防御層級(jí)中，以便在一個(gè)層級(jí)中的儀控系統(tǒng)發(fā)生故障時(shí)，其他層級(jí)的儀控系統(tǒng)對(duì)其功能進(jìn)行補(bǔ)償或糾正以避免產(chǎn)生有害后果。

2）保持縱深防御層級(jí)間和安全等級(jí)間的獨(dú)立性，以便對(duì)一個(gè)縱深防御層級(jí)的儀控系統(tǒng)產(chǎn)生不利影響的事件，不應(yīng)對(duì)其他層級(jí)執(zhí)行安全重要功能的儀控系統(tǒng)產(chǎn)生影響。

3）對(duì)一個(gè)儀控系統(tǒng)產(chǎn)生不利影響的事件，不應(yīng)對(duì)其他執(zhí)行安全重要功能的儀控系統(tǒng)產(chǎn)生影響。

4）根據(jù)核安全等級(jí)要求，進(jìn)行儀控功能分類和儀控系統(tǒng)分級(jí)。

5）根據(jù)信息安全要求，把儀控功能和儀控系統(tǒng)放入對(duì)應(yīng)的信息安全區(qū)中。嚴(yán)格控制儀控系統(tǒng)的復(fù)雜性，消除不必要的復(fù)雜性。

6）儀控設(shè)備應(yīng)處于適當(dāng)位置和提供合理保護(hù)以便抵御不良環(huán)境因素的影響。

2 儀控系統(tǒng)總體架構(gòu)設(shè)計(jì)原則

國(guó)際原子能機(jī)構(gòu)在研究報(bào)告NP-T-2.11-2018 中提出了儀控總體架構(gòu)的設(shè)計(jì)要求，主要包括：縱深防御、獨(dú)立性、多樣性、儀控功能分類和設(shè)備分級(jí)、網(wǎng)絡(luò)安全和災(zāi)害防護(hù)等。

2.1 縱深防御

核電廠采取縱深防御策略，設(shè)置多個(gè)獨(dú)立的屏障，以便保護(hù)公眾和核電廠工作人員免受輻射危害?？傮w儀控系統(tǒng)架構(gòu)也需要滿足縱深防御的要求[2]。

2.2 獨(dú)立性

IEC 61513 將獨(dú)立性定義為“包括防止系統(tǒng)內(nèi)子系統(tǒng)之間或系統(tǒng)與其他系統(tǒng)之間不利相互影響的措施。不利相互影響可能產(chǎn)生于子系統(tǒng)或系統(tǒng)中任何部件的異常工作或故障，也可能來(lái)源于例如電磁感應(yīng)、短路、接地故障、火災(zāi)、化學(xué)爆炸、飛行物墜毀的存在以及被破壞數(shù)據(jù)的傳播。”本質(zhì)上講，獨(dú)立性旨在避免物理和邏輯上的交互（這些交互可能導(dǎo)致故障影響的傳播），并且將共因故障的發(fā)生及可能產(chǎn)生的不良影響降至最低[3]。

2.3 多樣性

縱深防御不同層次的各數(shù)字化儀控系統(tǒng)由于基于儀控平臺(tái)進(jìn)行開發(fā)，采用了相似的計(jì)算機(jī)硬件和軟件資源，所以設(shè)計(jì)錯(cuò)誤可能導(dǎo)致兩個(gè)或多個(gè)儀控系統(tǒng)的共因故障，并危及多個(gè)縱深防御層級(jí)。因此，采用多樣性原則變得非常重要。多樣性是利用技術(shù)、功能、實(shí)現(xiàn)、操作等方面的差異來(lái)降低潛在的共因故障。

2.4 儀控功能分類和設(shè)備分級(jí)

分類和分級(jí)的目的是實(shí)現(xiàn)對(duì)儀控系統(tǒng)在技術(shù)和質(zhì)量保證要求上的分級(jí)要求，儀控功能根據(jù)其對(duì)安全的重要性被劃分為相應(yīng)安全類別[4]，對(duì)安全的重要性是由當(dāng)需要系統(tǒng)動(dòng)作而未能動(dòng)作時(shí)所產(chǎn)生的后果決定的。在有些安全功能分類方法中，還考慮了假動(dòng)作的后果以及對(duì)假設(shè)始發(fā)事件的預(yù)防和緩解的影響。儀控系統(tǒng)和設(shè)備根據(jù)其需要執(zhí)行的儀控功能的最高安全類別來(lái)劃分安全級(jí)別，儀控系統(tǒng)的安全級(jí)別決定了系統(tǒng)和設(shè)備的設(shè)計(jì)和質(zhì)量要求、工程過程的嚴(yán)格程度以及可靠性和質(zhì)量標(biāo)準(zhǔn)等要求。

2.5 網(wǎng)絡(luò)安全

在定義功能結(jié)構(gòu)和數(shù)據(jù)流時(shí)，計(jì)算機(jī)信息安全區(qū)需要考慮從高信息安全區(qū)到低信息安全區(qū)的數(shù)據(jù)流，而不是相反方向的數(shù)據(jù)流。因此，不同信息安全區(qū)之間應(yīng)有數(shù)據(jù)流解耦機(jī)制，以防止未授權(quán)的訪問，也防止低信息安全區(qū)的故障傳播到高信息安全區(qū)[5]。儀控功能應(yīng)分配到與之相匹配的信息安全區(qū)。

2.6 災(zāi)害防護(hù)

儀控系統(tǒng)需要設(shè)計(jì)成能夠承受在其運(yùn)行環(huán)境中可能發(fā)生的潛在危險(xiǎn)的不利影響，這些危險(xiǎn)可能來(lái)自外部因素（如海嘯、飛機(jī)撞擊、洪水或過高的環(huán)境溫度）或內(nèi)部事件（例如火災(zāi)、甩負(fù)荷或蒸汽泄漏）。

3 總體儀控系統(tǒng)架構(gòu)的設(shè)計(jì)步驟

總體儀控系統(tǒng)架構(gòu)受到多方因素的影響，例如設(shè)計(jì)方、業(yè)主、平臺(tái)供應(yīng)商和法規(guī)標(biāo)準(zhǔn)要求等，這些相關(guān)方可能有不同的特點(diǎn)和需求?？傮w儀控系統(tǒng)架構(gòu)設(shè)計(jì)通常分為初步設(shè)計(jì)和詳細(xì)設(shè)計(jì)。

3.1 總體儀控架構(gòu)的初步設(shè)計(jì)

總體儀控架構(gòu)設(shè)計(jì)需要與核電廠安全設(shè)計(jì)基準(zhǔn)一致，在初步設(shè)計(jì)時(shí)，主要的設(shè)計(jì)輸入有：

1）核電廠的運(yùn)行理念。

2）核電廠的縱深防御概念。

3）總體儀控架構(gòu)提供的安全功能。

4）功能分類和核電廠安全重要功能的功能和性能要求。

5）結(jié)構(gòu)、系統(tǒng)和組件的安全分級(jí)。

6）非功能性需求，例如信息安全、安保要求和時(shí)間約束。

7）信息安全區(qū)定義、相互關(guān)系以及允許的區(qū)域間通信路徑。

總體儀控架構(gòu)初步設(shè)計(jì)的輸出，包括如下方面的內(nèi)容：

◇ 根據(jù)縱深防御的層級(jí)和功能特性、信息安全區(qū)等定義總體儀控系統(tǒng)架構(gòu)。

◇ 對(duì)分配給縱深防御層級(jí)的儀控系統(tǒng)和設(shè)備進(jìn)行安全分級(jí)。

需要對(duì)縱深防御各層之間共享設(shè)備進(jìn)行確認(rèn)，以確保這種共享在安全上是可接受的。特別注意的方面有：

a）不同縱深防御層級(jí)間共享的數(shù)據(jù)和信號(hào)通信設(shè)備。

b）從較低的安全等級(jí)到較高的安全等級(jí)的數(shù)據(jù)和信號(hào)通信。

c）從較低的信息安全區(qū)到較高的信息安全區(qū)的數(shù)據(jù)和信號(hào)通信。

d）支持系統(tǒng)也需要進(jìn)行考慮（如儀控系統(tǒng)的電源和通風(fēng)空調(diào)系統(tǒng)）。

儀控架構(gòu)設(shè)計(jì)需要編制相關(guān)文件，在文件的編制過程中需考慮如下內(nèi)容：

①功能分類和系統(tǒng)分級(jí)。

圖1 儀控系統(tǒng)總體架構(gòu)Fig.1 Overall structure of the instrument control system

②根據(jù)儀控系統(tǒng)在核電廠的位置，可能需要考慮抗震分級(jí)。

③物理隔離、電氣隔離、功能獨(dú)立和其在總體儀控架構(gòu)或支持系統(tǒng)中的應(yīng)用。

④總體儀控架構(gòu)應(yīng)與核電廠安全需求、可用性、縱深防御策略等相一致。

⑤計(jì)算機(jī)安全的風(fēng)險(xiǎn)評(píng)估和影響分析。

⑥假設(shè)的儀控系統(tǒng)故障。

⑦支持系統(tǒng)（例如測(cè)試、定期測(cè)試、監(jiān)視和維護(hù)）的要求，以及減少可能導(dǎo)致危險(xiǎn)狀態(tài)的惡意操作（包括虛假驅(qū)動(dòng)）的可能性的安排；軟件故障和共因故障的目標(biāo)。

⑧嚴(yán)重事故儀表系統(tǒng)的設(shè)計(jì)需求。

3.2 總體儀控架構(gòu)的詳細(xì)設(shè)計(jì)

詳細(xì)設(shè)計(jì)階段的輸入有：根據(jù)儀控系統(tǒng)的功能、安全性、性能要求和其他約束條件確定輸入，并與其他專業(yè)建立聯(lián)系，以確保滿足其設(shè)計(jì)基準(zhǔn)。這通常包括如下內(nèi)容：儀控功能需求。每個(gè)儀控功能提供的詳細(xì)內(nèi)容有：功能描述（即目的）、縱深防御、功能分類和系統(tǒng)分級(jí)、輸入和輸出、在相同縱深防御層級(jí)和安全類別的情況下儀控功能的隔離/分組、每個(gè)假設(shè)始發(fā)事件的功能多樣性、優(yōu)先級(jí)準(zhǔn)則、操作模式（包括在不同電廠狀態(tài)下手動(dòng)干預(yù)和監(jiān)視的要求）、響應(yīng)時(shí)間、準(zhǔn)確度、故障模式和效果分析、儀控系統(tǒng)對(duì)故障的響應(yīng)。

詳細(xì)設(shè)計(jì)階段的輸出將完成總體儀控架構(gòu)的搭建，通常包括以下內(nèi)容：儀控平臺(tái)和相關(guān)子系統(tǒng)、系統(tǒng)開發(fā)方法和工具的選擇和論證，并需要證明，儀控系統(tǒng)設(shè)計(jì)和選擇符合初步設(shè)計(jì)中建立的相應(yīng)要求。儀控系統(tǒng)的總體架構(gòu)應(yīng)采取措施確保在初步設(shè)計(jì)階段根據(jù)電廠安全性、可用性和安全分級(jí)確認(rèn)的獨(dú)立性和隔離方面的要求的實(shí)現(xiàn)。當(dāng)數(shù)據(jù)或信號(hào)在不同的縱深防御層級(jí)間傳輸時(shí)，應(yīng)盡量避免從較低安全等級(jí)到較高安全等級(jí)的通信需求。全面的縱深防御和多樣性分析，將儀控功能分配給系統(tǒng)和子系統(tǒng)，同時(shí)考慮適用的分離或分組和平臺(tái)功能的約束條件。一種可行的儀控系統(tǒng)總體架構(gòu)如圖1 所示。

4 結(jié)論

核電站的總體儀控系統(tǒng)架構(gòu)是一整套的儀控系統(tǒng)的組織結(jié)構(gòu)。該架構(gòu)建立了組成整個(gè)系統(tǒng)架構(gòu)的儀控系統(tǒng)，包括了儀控功能的分配、系統(tǒng)間的相互關(guān)聯(lián)及作用；并滿足總體儀控架構(gòu)的設(shè)計(jì)約束，定義各種儀控系統(tǒng)之間的邊界?？傮w儀控架構(gòu)的設(shè)計(jì)是一項(xiàng)困難而復(fù)雜的任務(wù)，并且受到各種設(shè)計(jì)條件的約束。從初步設(shè)計(jì)階段開始，總體儀控架構(gòu)將在與來(lái)自其他專業(yè)的設(shè)計(jì)團(tuán)隊(duì)進(jìn)行討論的基礎(chǔ)上不斷完善。當(dāng)核電站設(shè)計(jì)從初步設(shè)計(jì)轉(zhuǎn)向詳細(xì)設(shè)計(jì)時(shí)，必須不斷地評(píng)估來(lái)自其他專業(yè)的設(shè)計(jì)團(tuán)隊(duì)所做的決定對(duì)儀控系統(tǒng)的影響。必須與其他專業(yè)協(xié)作，以避免對(duì)儀控設(shè)計(jì)強(qiáng)加不必要的要求，并進(jìn)行溝通，以確保其他專業(yè)能夠提供足夠的輸入信息，以支持整個(gè)儀控架構(gòu)的不斷完善。