余 毅，陳日罡，曾 斯

（1.生態(tài)環(huán)境部華北核與輻射安全監(jiān)督站，北京 100082；2.中國核電工程有限公司，北京 100840；3.生態(tài)環(huán)境部核與輻射安全中心，北京 100082）

共因故障指由特定的單一事件或起因導致兩個或多個構筑物、系統(tǒng)或部件失效的故障［1］，它是核電廠安全系統(tǒng)中一個重要的安全問題。由于軟件故障本質上是系統(tǒng)性的，不是隨機性的，因此基于計算機的安全系統(tǒng)的共因故障是一個關鍵問題［2］。我國核安全法規(guī)HAF 102-2016《核動力廠設計安全規(guī)定》［3］指出必須考慮由軟件引起的共因故障，相關配套導則HAD 102/10-2021《核動力廠儀表和控制系統(tǒng)設計》［4］提出了儀控系統(tǒng)應明確自身的縱深防御概念和多樣性策略，以應對軟件共因故障的影響。法規(guī)導則給出了總體要求和方法，但相關實踐表明，數字化儀控系統(tǒng)設備可靠性及其評價、縱深防御和多樣性設計等方面的一些具體要求還需要進一步明確。

本文對國內外核電廠數字化儀控系統(tǒng)共因故障相關的核安全標準要求進行了梳理和總結，并結合我國核電廠在實際應用數字化儀控系統(tǒng)中遇到的問題，對進一步完善相關標準體系給出了建議。

1 現狀

1.1 我國法規(guī)導則要求

2016年，國家核安全局參照國際原子能機構（IAEA）安全標準（安全要求）SSR-2/1［5］，修訂發(fā)布了HAF 102-2016。HAF 102-2016延用了前續(xù)版本應對共因故障的總體要求，即根據安全重要系統(tǒng)設備的可靠性要求來確定多樣性等應對措施，保留了停堆手段必須考慮共因故障的具體要求，此外還新增一條對于基于計算機的設備在安全重要系統(tǒng)的應用中必須考慮由軟件引起的共因故障的具體要求，如表1所示。

表1 HAF 102共因故障應對要求Table 1 Regulations on common cause failures of HAF 102

2021年，國家核安全局參照IAEA SSR-2/1儀控設計領域的下層標準（安全導則） SSG-39［6］，修訂發(fā)布了HAF 102-2016的配套導則HAD 102/10-2021，重點考慮了數字化儀控技術以及相關安全要求的發(fā)展，更加強調數字化儀控系統(tǒng)共因故障的整體應對。HAD 102/10-2021承接了HAF 102-2016共因故障的應對要求，從儀控系統(tǒng)的可靠性設計和分析、縱深防御和多樣性設計和分析等方面較為全面地闡述了數字化儀控系統(tǒng)共因故障的應對方法，如表2所示。

表2 HAD 102/10軟件共因故障應對相關內容Table 2 Regulatory guides on addressing common cause failure deriving from software of HAD 102/10

根據HAD 102/10-2021，對于安全重要儀控系統(tǒng)，其可靠性的特性應包括共因故障的容錯能力；對于數字化系統(tǒng)，其提高可靠性的方法，包括試驗和自檢功能、通信的錯誤檢測和糾正特性、使用軟件工具提高儀控開發(fā)過程的完整性等；對于軟件，其可靠性水平的確定，可從驗證和確認結果的評估來推斷，且可定性或定量確定，同時還提出根據運行經驗和通過第三方評定來進一步提高軟件及系統(tǒng)的可靠性。

IAEA在安全要求SSR-2/1和安全導則SSG-39基礎上，還有配套技術文件對相關方法和觀點進行了進一步闡述。

工程結構試驗是一門同等重視理論和實踐的課程。它還對其實踐能力和綜合能力進行全面審查。通過試卷評估，大型作業(yè)評估和考試報告評估等多種方法，全面評估學生的綜合能力。此外，建議建立一個試題庫，為試卷組織的合理性和科學性提供條件。

1.2 國際原子能機構技術要求

HAD 102/10-2021指出在儀控系統(tǒng)總體結構設計中，應支持核動力廠整體的縱深防御理念，并明確自身的縱深防御概念和多樣性策略，以應對數字化儀控系統(tǒng)共因故障的影響；HAD 102/10-2021同時要求分析保護系統(tǒng)執(zhí)行必要安全功能的每個假設始發(fā)事件疊加妨礙保護系統(tǒng)執(zhí)行上述功能的共因故障所產生的后果，以審查儀控系統(tǒng)縱深防御概念和多樣性設計在應對共因故障時存在的薄弱點；HAD 102/10-2021還指出了設計、信號、設備、功能、開發(fā)過程和邏輯等儀控系統(tǒng)的6種典型多樣性類型。

大學生是國家發(fā)展的中堅力量，大學生有較強的信息接收能力，在新媒體環(huán)境下，學生能夠對信息作出及時有效的反映，信息的優(yōu)先權已經掌握在學生手中。在傳統(tǒng)教學過程中需要教師所講解的知識，現在只需要手機一搜，便能夠高效獲取，這也給思想政治教育工作人員帶來了極大的素質要求。

同時，定期組織教師進行校內英語培訓，并舉行技能競賽，以賽促教，讓教師能夠流利的使用英文闡述課程教學內容。加強國際、國內交流，選派雙語教師到國外、國內培訓和進修，提高雙語教學水平。常州紡織學院支持和鼓勵教學團隊和兄弟院校之間的合作，為雙語教學相關課題研究提供支撐，通過一定的獎勵機制來激發(fā)教師們的工作熱情。

1.2.1 可靠性設計

2009年，IAEA發(fā)布了技術文件《核電廠數字化儀控系統(tǒng)共因故障防護》（IAEANP-T-1.5）［7］，指出軟件是共因故障的可信來源，其故障機理和故障模式不同于硬件，數字化儀控系統(tǒng)更容易受到軟件共因故障的影響。針對數字化儀控系統(tǒng)共因故障，NP-T-1.5提出了6條設計原則，以提高系統(tǒng)的可靠性，如表3所示，其他設計措施還包括儀控系統(tǒng)縱深防御、獨立性、維護和修改、信息安全等方面。

表3 核電廠數字化儀控系統(tǒng)共因故障設計原則Table 3 The design principles of digital I&C systems common cause failures in nuclear power plant

這個日子是適合滑翔的，天清氣朗，萬里無云。隨著族長一聲哨響，數十只碩大的滑翔翼，在經過一段距離的助跑推動后，從高高的山巔沖騰而出。一瞬間，天空都被這些絢麗繽紛的翅膀所遮蓋。

2016年，IAEA發(fā)布了安全標準SSR-2/1及其下層標準SSG-39，并于2018年發(fā)布了相關的兩個配套技術文件《核電廠儀控系統(tǒng)總體架構的實現方法》（IAEA-NP-T-2.11）［8］和《核電廠多樣化驅動系統(tǒng)準則》（IAEA-TECDOC-1848）［9］，這兩個配套技術文件對核電廠儀控系統(tǒng)的縱深防御概念及多樣化驅動系統(tǒng)的設計進一步進行了闡述。

1.2.2 縱深防御和多樣性設計

NP-T-2.11闡述了如何應用縱深防御概念，以限制數字化儀控系統(tǒng)共因故障的影響，并以西歐核監(jiān)管協會（Western European Nuclear Regulators Association，WENRA）技術報告為例，闡述了核電廠數字化儀控系統(tǒng)縱深防御的具體設計，如表4所示。核電廠儀控系統(tǒng)作為輔助系統(tǒng)，在為核電廠縱深防御各層次工藝系統(tǒng)提供監(jiān)控手段的同時，其自身也應構筑縱深防御來應對可能的共因故障。WENRA提供的做法是，在核電廠5個層次的縱深防御基礎上，增加了3b層次來應對以下工況：（1）單一始發(fā)事件與3a層次失效的疊加；（2）多個始發(fā)事件疊加，但3a層次正常運行；（3）由內部或外部危險引起的事件，超出了3a層次的設計基準。

表4 核電廠數字化儀控系統(tǒng)縱深防御各層次Table 4 The echelons of defense of digital I&C systems in nuclear power plant

相較于NP-T-2.11以WENRA報告為例闡述的反應堆保護系統(tǒng)3a、多樣化保護系統(tǒng)3b的設計，TECDOC-1848則提出了設計和實施多樣化驅動系統(tǒng)（Diverse Actuation System，DAS）作為反應堆保護系統(tǒng)的備用系統(tǒng)以實現安全功能的通用要求，如表5所示。

表5 多樣化儀控系統(tǒng)設計要求Table 5 Criteria for diverse actuation systems for nuclear power plant

1.3 美國核管會審評要求

美國核管會（NRC）通過相關安全監(jiān)管導則（RG）和標準審查大綱NUREG-0800相關章節(jié)，闡述了核電廠軟件共因故障的設計和審評要求。

小道不生蒿草，日本兵來時，讓她躲身到地縫中去嗎？她四面尋找，為了心臟不能平衡，臉面過量的流汗，她終于被日本兵尋到：

1.3.1 可靠性

2011年，NRC發(fā)布核安全監(jiān)管導則《核電廠安全系統(tǒng)中使用計算機的準則》（RG 1.152-2011）［10］，引用并總體認可了標準IEEE 7-4.3.2-2003［11］，同時還進一步補充了對核電廠數字化儀控系統(tǒng)可靠性的觀點。

（1）隨著數字化系統(tǒng)引入核電廠安全系統(tǒng)的設計，安全系統(tǒng)冗余通道之間由于軟件設計錯誤可能導致的共因故障越來越受到關注，當前的設計及質量保證（包括軟件的驗證和確認）還不能提供足夠的置信度。

（2） NRC不認可將量化可靠性指標作為滿足數字計算機應用于核電廠安全系統(tǒng)監(jiān)管要求的唯一指標，NRC可接受的計算機系統(tǒng)的可靠性，應該是包括軟件和硬件的確定性要求。

妹島和氏設計的盧浮宮朗斯分館中央為68mx58m近似長方形的公共空間，對角分別連接狹長的永久展廳和臨時展廳，這一組織方式結合大量玻璃的使用，實現了公共空間對周邊環(huán)境在視覺上完全打開的效果，使得大廳空間與公園融為一體，透露出融于社區(qū)生活的強烈意愿（圖8a）。由讓·努維爾設計的盧浮宮阿布扎比博物館則通過巨大的濾光屋頂營造了被“光之雨”空間（圖8b），該空間既是展廳空間的“負空間”，同時又是一個絕佳的城市漫步場所，根植于地域環(huán)境卻又摒棄了基于宏大敘事的約定俗成的轉譯，為城市提供了一個海岸花園，一個涼爽天堂。

2016年，NRC發(fā)布了核電廠安全分析報告標準審查大綱NUREG-0800第6版，其中第7.8章［12］闡述了多樣化儀控系統(tǒng)設計和審評要求。NRC認為，雖然數字化儀控系統(tǒng)軟件共因故障屬于超設計基準，但仍需要提供措施應對預期運行瞬態(tài)和假想事故與數字化保護系統(tǒng)軟件共因故障同時發(fā)生所帶來的影響。

從以上分析可以看出，各法規(guī)、導則、標準的總體要求是一致的，均認為數字化儀控系統(tǒng)軟件共因故障是可信的，需要在考慮其可靠性基礎上采取多樣性等措施來應對，并應進行縱深防御和多樣性分析以確認軟件共因故障應對措施的充分性。但也存在一些差異，如IAEA提出了系統(tǒng)可靠性設計中對軟件共因故障的應對措施，并指出軟件的可靠性和可用性的水平可定性確定或定量確定，而NRC則不認可相關量化的可靠性指標，但提出了消除共因故障影響的可接受方法。

文稿中計量單位一律使用國家法定計量單位，所有計量單位符號均為正體，用標準符號表示，如“m”“m2”“t”等。各種專業(yè)術語按國家標準使用，同一名詞術語、計量單位、人名、地名等要求全文統(tǒng)一。變量采用斜體，但數字采用正體。

（1）如果假想共因故障會造成某個安全功能失效，則核電廠應設置多樣化方法執(zhí)行同樣或不同的功能進行應對，并證明該多樣化方法不會發(fā)生同樣的假想共因故障。多樣化或不同的功能可由非安全級系統(tǒng)執(zhí)行，但需滿足在相關事件工況下必要的質量要求。

（2）主控室應提供一系列顯示和控制，用于實現關鍵安全功能的系統(tǒng)及手動驅動以及對支持安全功能的參數進行監(jiān)視，且應與相關安全級計算機系統(tǒng)一樣具備獨立性和多樣性。

術前完成視力、眼壓、裂隙燈顯微鏡、驗光、角膜曲率、眼B超、角膜地形圖、角膜內皮細胞計數及形態(tài)、OCT、視覺電生理檢查，應用A超及IOL Master測量計算IOL度數。

從我國三代核電“華龍一號”儀控系統(tǒng)應對共因故障設計實踐反饋來看［18］，一些儀控系統(tǒng)自身縱深防御設計審評的具體要求有待進一步明確，包括：

NRC在其核電廠安全分析報告標準審查大綱NUREG 0800第7章中，通過技術文件BTP 7-19［14］闡述了應用縱深防御和多樣性來應對核電廠數字化儀控系統(tǒng)軟件共因故障的設計審評要求。BTP 7-19對核電廠數字化儀控系統(tǒng)根據核安全重要性和對軟件共因故障的敏感程度進行了分類，明確縱深防御和多樣性定量分析要求適用于安全重要性最高的儀控系統(tǒng)，并補充了其他重要性較低儀控系統(tǒng)（包括非1E級）的定性評價方法和準則，相關分析評價流程如圖1所示。

圖1 核電廠數字化儀控系統(tǒng)共因故障評價流程Fig.1 Evaluation process of digital I&C systems common cause failures in nuclear power plant

BTP 7-19還指出如果數字化儀控系統(tǒng)具備以下兩種設計屬性之一，則不需要考慮軟件共因故障的影響：（1）內部多樣性，如反應堆保護系統(tǒng)內部保護通道之間具有滿足NUREG/CR-6303［15］要求的多樣性；（2）完全測試，即系統(tǒng)設備足夠簡單，能夠對所有可能的輸入及其組合進行完全測試和驗證。

1.4 小結

NUREG-0800第7.8章指出，對于應用數字化緊急停堆系統(tǒng)（RTS）和專設安全設施驅動系統(tǒng)（ESFAS）的核電廠，應重點關注文件“SRM to SECY-93-087 II.Q”［13］中相關要求：

2 存在問題

2.1 設計關注問題

1.3.3 縱深防御和多樣化性分析

（1）設計時是否需要考慮控制系統(tǒng)與保護系統(tǒng)均共因失效的情況，以及相應的設計準則和接受準則。

1.3.2 多樣化儀控系統(tǒng)

（2）關于縱深防御3b層次，其工藝系統(tǒng)的監(jiān)測和控制系統(tǒng)的設計準則及獨立性要求。

（3）關于現場儀表和傳感器、優(yōu)選模件等多個縱深防御層次共用設備，其設計準則及如何考慮共因故障。

2.2 相關運行事件

從我國核電廠數字化儀控系統(tǒng)相關運行事件的分析來看［16，17］，采取一定措施加強數字化儀控系統(tǒng)軟件共因故障的應對是必要的。

多對一指多個民用要素對應一個軍用要素，例如民用標準中的“地面干渠”“地面支渠”，對應軍用標準中的“溝渠”，多對一要素分布統(tǒng)計圖見圖3。多對一的映射關系可以理解為民用標準表達比軍用標準更細致。

一方面，對于數字化儀控系統(tǒng)，即使是經過相對嚴格的驗證和確認后的安全級儀控系統(tǒng)設備，在核電現場的調試運行中仍暴露出一些設計不周、軟件程序缺陷等問題；另一方面，對于非安全級數字化儀控系統(tǒng)，雖然相關事件中絕大部分沒有對安全功能造成直接影響，但也有部分事件引發(fā)了不必要的瞬態(tài)，不利于機組安全穩(wěn)定運行，在個別事件中甚至還出現了燃料組件被拉彎的非預期情況。

民間融資監(jiān)管法律以正當利益為平衡點促進雙方行為選擇的動機理性。融資權利作為私權利，法律設置主體行為界限是不損害他人的自由權利，凡不危及他人利益的行為皆可認為是動機理性。監(jiān)管者是社會公共利益代表，法律設定其保護融資權利實現的職責以對權力行使進行目的性限制。當融資主體行為不傷害他人正當利益時，監(jiān)管者不必也不得行動。因為權力行使是防止雙方互相侵害而非直接實現，只要融資主體不傷害他人正當利益就必須尊重其行為選擇的自由。此時，即使可能更有利于對方利益實現，權力也不可行使。只有當融資主體行為傷害他人利益時，監(jiān)管者才能對之進行限制和處罰。

3 建議

綜上所述，我國核安全法規(guī)導則主要從儀控系統(tǒng)可靠性、縱深防御和多樣性等方面，提出了軟件共因故障應對的總體要求和方法，但還缺少相應的設計準則和接受準則。因此我們有必要在現有法規(guī)導則框架下，借鑒國際同行的經驗和做法，并考慮國內的一般工業(yè)基礎，進一步補充完善軟件共因故障應對相關的核安全標準，具體建議如下：

（1）根據安全重要性確定軟件共因故障的應對措施，并選擇定量的或者定性的可靠性、事故后果分析的驗收準則。對于安全系統(tǒng)，應開展縱深防御和多樣性分析，并確定定量的驗收準則；對于其他數字化儀控系統(tǒng)，應開展定性分析和評價，確保其潛在的共因故障不會帶來非預期的安全影響。

（2）進一步明確數字化儀控系統(tǒng)可靠性的設計和評價要求。例如參考IAEA-NP-T-1.5，明確一些必要的應對軟件共因故障的確定性措施，作為可靠性設計的具體要求；結合我國實踐認可一些第三方評定具體做法。

（3）進一步完善數字化儀控系統(tǒng)自身的縱深防御。例如參考BTP 7-19，認可一些確定性措施或做法，以提供消除軟件共因故障風險的手段；進一步明確主控室非數字化控制手段的設置要求。