孫 娜

（華龍國際核電技術有限公司，北京 100036）

0 引言

核電廠儀控系統(tǒng)總體架構由核安全相關的各個子系統(tǒng)組成，總體架構設計從頂層視角給出各子系統(tǒng)的互聯(lián)關系，同時明確各子系統(tǒng)的物理位置以及對支持系統(tǒng)的要求。在新建電廠的設計中，早期就應開始進行儀控總體架構的開發(fā)，以決策一些技術問題，如縱深防御層次以及層次之間的獨立性程度、安全系統(tǒng)的通道數(shù)量、占用的物理空間等。架構設計階段，儀控設計人員應與其它專業(yè)如電廠布置、反應堆設計、系統(tǒng)工藝設計、人因設計及運行等充分合作，不斷評估其它專業(yè)對儀控設計的影響。

1 儀控系統(tǒng)層次

儀控系統(tǒng)與電廠操作員以及其它系統(tǒng)進行交互，因此引出儀控層次的概念。圖1展示了核電廠儀控系統(tǒng)的基本層次[1]。0層由傳感器和執(zhí)行機構組成；1層包含將信號從傳感器轉發(fā)到過程控制層或執(zhí)行機構的設備；2層包含過程自動化和執(zhí)行安全功能的儀控系統(tǒng)；3層包含通過控制室人員進行操作和控制電廠的系統(tǒng)；4層用于電廠技術管理的系統(tǒng)。在以下每一層中可能會有專用的人機接口，但主要集中在第3層，通常位于主控室或其它輔助控制室的工作站和控制面板上。另外，計算機安全需要在以下所有層中解決，而不是一個特定的層次。

圖1 儀控系統(tǒng)層次Fig.1 The level of the instrument control system

圖2 儀控系統(tǒng)層次與縱深防御層級框圖Fig.2 Block diagram of I&C system hierarchy and defense-in-depth hierarchy

2 縱深防御層次

縱深防御層級通過一系列執(zhí)行不同功能的獨立系統(tǒng)來防止事故的發(fā)展，如一個層級的失效不會阻止其他層級功能的執(zhí)行。通常，在每個層級執(zhí)行的功能如下：

1級：正常條件下的電廠控制。

2級：監(jiān)測異常情況并提供相應的控制功能。

3級：反應堆停堆和專設安全設施驅動功能。

4級：監(jiān)測和減輕嚴重事故。

5級：放射性釋放監(jiān)測及處理。

每個縱深防御層級中的每個系統(tǒng)都具有與儀控層次相關的某些專用設備，但有些層級可能不包括所有儀控層的設備（如一個簡單的手動系統(tǒng)可能不包括過程控制系統(tǒng)，只包含通過第3層和0/1層直接相連的設備），也有可能一些層級存在多個儀控子系統(tǒng)層次的情況（如level 3級可能包含主保護系統(tǒng)和多樣化保護系統(tǒng)）。儀控系統(tǒng)層次與縱深防御層級之間的關系如圖2。在架構設計中，保持每個縱深防御層級的完全獨立是不切實際的，通常需要某些設備或人機接口的共享。

3 總體架構設計主要原則

儀控系統(tǒng)的總體架構設計是基于幾個關鍵原則開展的，以確保滿足電廠安全和性能目標。

◇ 縱深防御。

◇ 獨立性。

◇ 功能分類和系統(tǒng)分級。

◇ 網(wǎng)絡安全。

◇ 內(nèi)外部災害。

◇ 不必要的復雜性。

◇ 其它原則。

表1 縱深防御層次Table 1 Defense-in-depth layers

3.1 縱深防御

儀控系統(tǒng)總體架構應遵循電廠縱深防御的概念，原子能機構（IAEA）、美國核管會（NRC）及西歐核管理協(xié)會（WENRA）均提供了不同的觀點，在此僅以WENRA的觀點來探討兩點具體的技術問題。

WENRA強調不同縱深防御層級之間的獨立性，特別是：

① 3級獨立于1級和2級。

② 3a級與3b級之間。

③ 4級需要在合理可行的范圍內(nèi)獨立于其它所有級別。

這里重點討論第②點。WENRA方法將第三縱深防御層次分為了兩個子級，在國內(nèi)項目實施過程中分別通過反應堆保護系統(tǒng)和多樣性保護系統(tǒng)來實現(xiàn)其功能。對于3b多樣性保護系統(tǒng)在總體架構中的設計情況，可參考以下不同解決方案[3]。

1）在現(xiàn)有電廠的保護系統(tǒng)和多樣性保護系統(tǒng)之間，大部分項目設計為共享傳感器和執(zhí)行機構，在當前不太可能添加獨立的傳感器和執(zhí)行機構。對于該種設計，需要考慮多樣性保護系統(tǒng)誤動作的風險。另外，由于共享傳感器和執(zhí)行機構，需要增加優(yōu)先級邏輯和信號預處理設備，因而需要考慮它們的故障以及復位的控制方法，增加了故障模式和影響分析的復雜性。

2）如果是新建電廠且處于設計的后期階段，可以考慮在保護系統(tǒng)和多樣性保護系統(tǒng)之間提供獨立的傳感器。

3）如果是新建電廠的早期階段，可以考慮在保護系統(tǒng)和多樣性保護系統(tǒng)之間分配不同的安全功能，設計方案相對1）和2）來說會更加靈活自由。

在人機接口設計方案中，需要考慮縱深防御設計，每個縱深防御層次均提供獨立的人機接口系統(tǒng)（HIS），在設計中通常不可行，從操作員的角度更希望在固定的位置能夠擁有所有可用的信息。因此，通常折衷的辦法是普通操作員站提供所有可用的信息，但是需要在設計中確保防御層次之間的獨立性且故障及惡意攻擊不能在層級之間蔓延；對于電廠關鍵安全參數(shù)顯示及控制，需要提供獨立的設施來監(jiān)控；對于內(nèi)外部災害的影響，如火災等也需要考慮縱深防御設計。

3.2 獨立性

SSR-2/1要求縱深防御層次之間盡可能的獨立，特別是用于應對設計擴展工況的嚴重事故儀控系統(tǒng)和第3層級保護系統(tǒng)之間。通常來說，設計相互獨立的儀控系統(tǒng)往往在以下方面受到限制：①儀控子系統(tǒng)的數(shù)量；②電纜敷設；③傳感器和執(zhí)行機構以及機房實際布置的分隔；④必要的支持系統(tǒng)獨立。縱深防御層次之間的獨立性主要考慮以下幾個方面：

3.2.1 假設始發(fā)事件（PIE）

對每一個PIE需要具體分析相關的預防和緩解措施，確保每一個PIE提供足夠的縱深防御，需要考慮PIE發(fā)生的頻率以及所應對的系統(tǒng)，因此需要應用概率安全分析方法對獨立性進行定性分析。

3.2.2 防止故障蔓延

項目實施過程一般通過物理隔離、電氣隔離、功能獨立和通信獨立手段來防止系統(tǒng)之間產(chǎn)生干擾。這里重點強調支持系統(tǒng)的獨立，如供電系統(tǒng)及暖通空調通風系統(tǒng)等。架構設計過程中可盡量減少對支持系統(tǒng)的需求，如儀控總體設計可考慮取消安全級暖通空調系統(tǒng)的需求，通過使用降額器件，增加廠房面積或提供先進式自然循環(huán)排熱系統(tǒng)等。另外，支持系統(tǒng)通常支持屬于不同縱深防御層次的儀控系統(tǒng)，因此在儀控架構設計中需要進行分析以確保支持系統(tǒng)不是儀控系統(tǒng)故障的主要因素。第三需要考慮暖通空調系統(tǒng)的分隔和獨立措施，是否需要進行嚴格地分隔，概率安全評估應在可用性方面提供分析結果。

3.2.3 防范共因故障

可通過以下手段來防范共因故障：

1）保守的設計方案：從電廠經(jīng)驗反饋來說，重點關注在儀控系統(tǒng)設計過程中功能需求的完整性和充分性。

2）監(jiān)測：主要用于隨機故障監(jiān)測。

3）多樣性：是防范CCF的最優(yōu)手段，但是需要考慮其帶來的架構復雜性，增加的布置空間、維護需求、誤動作以及帶來的成本增加等因素。

3.3 功能分類和系統(tǒng)分級

儀控功能分類和設備/系統(tǒng)分級的目標是促進對技術和質量要求采取分級辦法。屬于較高安全類別的功能和屬于較高安全類別的系統(tǒng)將比屬于較低安全類別的功能和系統(tǒng)有更嚴格的要求。

滿足安全目標所需的儀控功能根據(jù)其安全意義進行分類，各堆型參考的標準不同，因此功能分級可能會不同。當完成了儀控功能的安全分類，需要將這些功能分配到一個安全級別的系統(tǒng)或設備中執(zhí)行，儀控系統(tǒng)的安全分級應根據(jù)其執(zhí)行的最高功能分類來完成。由于安全分類和分級的不同，各項目可提出不同的分級要求。執(zhí)行機構的安全級別是由其執(zhí)行的功能的最高安全級別確定的。因此，各種儀控功能對執(zhí)行器的命令必須經(jīng)過一個優(yōu)先級邏輯，這樣低級別功能不會影響高級別功能的執(zhí)行。

儀控設計工程師通常不是堆工物理以及工藝系統(tǒng)方面的專家，所以儀控最重要的輸入是由安全分析、工藝工程師制定的功能要求，需要注意的是不同專業(yè)的設計師之間應在設計之初就進行交流，明確功能需求。

除了工藝定義的儀控功能外，儀控工程師還需要定義儀控學科特征的功能。如測試、診斷、參數(shù)調整和維護支持的儀控功能。

3.4 網(wǎng)絡安全

對核電廠的網(wǎng)絡攻擊可能導致儀控系統(tǒng)出現(xiàn)故障或誤操作，從而對核電廠造成重大威脅，而且在同一時間可能對縱深防御多個層次進行攻擊。因此，儀控總體架構設計需要指定策略進行預防、檢測和緩解攻擊的影響。在架構設計中，有以下幾點需要考慮：

1）可參考IAEA的NO.17《核設施的計算機安全技術》中的概念安全模型，作為各個開發(fā)階段的輸入。使用計算機安全級別和安全區(qū)域的概念，理清儀控系統(tǒng)、系統(tǒng)功能、計算機安全級別和安全區(qū)域之間的關系。

2）儀控系統(tǒng)安全計劃重點是在數(shù)據(jù)的完整性上，而不是保密性。儀控架構設計需要與網(wǎng)絡安全防御架構保持一致。任何計算機安全功能的運行或故障，都不應對儀控系統(tǒng)執(zhí)行其安全功能產(chǎn)生不利影響。對于電廠控制和保護系統(tǒng)的網(wǎng)絡安全保護，盡量采用在與其連接但又相互隔離的專用系統(tǒng)中實施。

3）網(wǎng)絡安全措施會對儀控平臺需求產(chǎn)生影響和限制，因此在項目早期應確定安全措施需求。另外，為網(wǎng)絡安全措施開發(fā)的設備，應進行與被保護儀控系統(tǒng)相同等級的鑒定。在架構設計中，應平衡考慮核安全與網(wǎng)絡安全，使它們不會相互影響，如因為網(wǎng)絡安全設計帶來的復雜性可能會導致系統(tǒng)性能下降。

3.5 升級和改造

電廠運行期間有可能需要對儀控系統(tǒng)進行升級改造，改造過程中系統(tǒng)總體架構可能會發(fā)生變化?；谝酝慕?jīng)驗反饋，儀控總體架構設計需要考慮以下內(nèi)容：

1）需要為儀控系統(tǒng)制定生命周期管理程序。

2）架構需要模塊化，以方便儀控系統(tǒng)或模塊的更換。

3）對整個架構進行劃分，有助于避免單個系統(tǒng)的復雜性以及系統(tǒng)之間的交互，從而簡化改造過程。

4）架構設計過程具有嚴格的配置管理。

5）架構應具有足夠的靈活性。

3.6 內(nèi)外部災害

儀控系統(tǒng)需要能夠承受環(huán)境中可能發(fā)生的潛在危險帶來的不利影響。這些危險可能來自外部因素（如海嘯、飛機失事、洪水或環(huán)境溫度過高）或內(nèi)部事件（如火災）。設計中可通過安裝在不同的物理空間及冗余子系統(tǒng)來實現(xiàn)其要求。儀控系統(tǒng)本身需要經(jīng)過環(huán)境鑒定，通過型式試驗和分析的方法來證明能夠執(zhí)行其功能。另外，儀控系統(tǒng)依賴的支持系統(tǒng)，如電源、暖通空調系統(tǒng)等在特定的環(huán)境下也能夠應對預期的內(nèi)外部災害。

3.7 其它原則

1）不必要的復雜性

儀控系統(tǒng)應完全滿足其設計基準的要求，并在安全系統(tǒng)的設計中避免不必要的復雜性[2]。架構設計需要在獨立性、多樣性、可運行性、可維護性之間取得適當?shù)钠胶狻?/p>

2）專用系統(tǒng)

對于專用儀控系統(tǒng)及設備，需要將它們納入到儀控系統(tǒng)總體架構中來，確定它們的核安全及網(wǎng)絡安全，且將其分配到特定的縱深防御層次及安全區(qū)域。

3）布置考慮

需要考慮系統(tǒng)的布置方案，如機柜、現(xiàn)場布線、電源、供暖及通風設備。使用遠程IO及現(xiàn)場總線技術可以減少大量布線，并提高運維便利性，但在系統(tǒng)設計過程中需要考慮禁止通過網(wǎng)絡傳輸?shù)膮?shù)。

4）平臺考慮

平臺特征會影響總體架構，因此在架構設計時需要和平臺結合起來考慮[4]?？煽紤]定制開發(fā)平臺，從長遠角度來看，對軟件升級要求較少，并且會有來自供應商的長期支持。備品備件，降低運行和維護成本，設備的標準化，在線維護等會節(jié)省更多的成本，提高經(jīng)濟性。

4 設計過程

儀控系統(tǒng)的架構設計與多方相關，包含設計人員、核電業(yè)主、平臺供應商以及國內(nèi)監(jiān)管單位等。以下描述從總體架構開發(fā)過程的關鍵方法和技術考慮，以便于設計固化前識別風險及矛盾。

4.1 概念設計

依據(jù)電廠儀控設計基準及安全分析文件，分析架構設計所需要求和設計限制，主要包含：

1）識別每個PIE及其組合，解決每個PIE所處的縱深防御層級對每個PIE的響應。

2）對安全功能的自動和手動分配，優(yōu)先級原則。

3）安全功能分配及分類。

4）網(wǎng)絡安全區(qū)域的功能分配。

5）響應時間、精度及可靠性目標。

6）人員可靠性分析、運行人員職責。

7）設計基準工況和設計擴展工況。

8）支持系統(tǒng)設計，如電源、暖通空調系統(tǒng)等。

9）廠房布置及對設備安裝、電纜布線的限制。

10）電廠內(nèi)外部災害的環(huán)境約束。

11）先前項目的儀控總體架構經(jīng)驗反饋。

確定架構中的儀控系統(tǒng)數(shù)量和組織架構，儀控功能分配到各系統(tǒng)中去，確定系統(tǒng)之間的關系和邊界，確定縱深防御層次、安全區(qū)域。這一階段需要盡可能地保持簡單，以避免在開發(fā)早期階段引入復雜性，還需要考慮架構的靈活性，以便后續(xù)功能的詳細分配。

4.2 架構開發(fā)

上一階段形成的儀控功能需求、概念安全模型作為本階段的輸入，在本階段需要對功能要求進行細化，包含功能描述、縱深防御層次、安全分類和分級、優(yōu)先級準則、運行模式、邏輯表決準則、故障模式和影響分析，證明一個或多個儀控功能失效并不會對電廠達到或保持安全狀態(tài)造成影響。

完成總體架構定義和安全論證，需要包含：

1）儀控總體架構，包含子系統(tǒng)和人機交互。

2）子系統(tǒng)間的數(shù)據(jù)或信號通信設計。

3）縱深防御和多樣性分析。

4）獨立性分析。

5）系統(tǒng)工具選擇和論證。

4.3 架構優(yōu)化與論證

縱深防御每個層次都有獨立的傳感器、系統(tǒng)及人機接口通常不太實際，因此需要在理想架構的基礎上對某些方面進行不斷迭代，優(yōu)化論證，最終確保實現(xiàn)電廠基本安全的要求。其通常包含人機界面設計、儀表和執(zhí)行機構的共享、數(shù)據(jù)通信。

1）人機界面設計除滿足設計要求外，需要為控制室操作員提供方便和易于理解的用戶界面?？v深防御層次間如使用了多個人機接口，需要進行人因評估，以確保電廠在任何工況下不影響安全功能。另外，報警信息要考慮信息整合。

2）儀表和執(zhí)行機構的共享架構設計中可能存在多個縱深防御層次間共享儀表或執(zhí)行機構的情況。此時需要有證據(jù)表明已經(jīng)應用了足夠的冗余及多樣性，并確保不存在可以同時使多個層次失效的設計。共享信號間要確保非安全系統(tǒng)的故障不能傳播到安全系統(tǒng)，同時考慮誤動作以及動作優(yōu)先級問題。

3）數(shù)據(jù)通信縱深防御層次之間或不同安全級別的系統(tǒng)之間進行的數(shù)據(jù)通信，需要確保這樣的系統(tǒng)配置實現(xiàn)對獨立性的基本需求。手段可能包括使用點對點通信，從較高安全級別到較低安全級別儀控系統(tǒng)的單向通信，安全功能執(zhí)行過程與通信過程的分離，在通信協(xié)議中嵌入安全特性，以確保覆蓋所有假定的通信故障，接收端數(shù)據(jù)驗證等。

5 結束語

儀控總體架構設計是一項困難而復雜的任務，它受到電廠許多專業(yè)的影響，同時也對其它專業(yè)施加約束，在電廠概念設計階段就需要開展，以便于早期確定架構的某些特征，如縱深防御層次、獨立性方式、安全系統(tǒng)的序列等。在這一階段，儀控設計工程師需要確保電廠為儀控設備、電纜及支持系統(tǒng)和設備分配足夠的空間。后續(xù)的架構開發(fā)中，與其它專業(yè)如布置、堆工物理、安全分析、工藝設計、人因設計、運行和計算機安全充分溝通交流，不斷評估相互的影響，避免對儀控系統(tǒng)架構提出不必要的需求，以支持儀控架構的持續(xù)開發(fā)。

在總體架構設計過程中，對其成果進行論證也是其中關鍵的活動。但目前來看，這方面工作仍存在薄弱環(huán)節(jié)，對其進行確定性安全分析和概率安全評估工作需要進一步完善?？傊?，需要避免在架構設計階段產(chǎn)生安全和安保方面的缺陷，否則將會產(chǎn)生昂貴的代價。