何玉鵬，張 誼，姜 靜，周 岱，彭 浩

（中國核動力研究設計院核反應堆系統(tǒng)設計技術重點實驗室，成都 610213）

0 引言

反應堆保護系統(tǒng)檢測電廠異常工況，并且觸發(fā)必要的安全相關功能來達到并保持電廠處于安全停堆狀態(tài)[1]。國內(nèi)早期商運的秦山、大亞灣、嶺澳等核電機組，儀控系統(tǒng)主要采用SPEC200 或Baily9020 等模擬技術，采用模擬儀表和繼電器控制回路實現(xiàn)反應堆保護與安全監(jiān)視功能。至今已運行20 余年，面臨備件停產(chǎn)、模塊老化、故障率上升等問題，已對機組運行的經(jīng)濟效益和核安全產(chǎn)生影響，亟需開展數(shù)字化升級。此外，數(shù)字化的控制系統(tǒng)是主流發(fā)展趨勢，具有高系統(tǒng)集成度，高可靠性和維護便利性等優(yōu)勢，可以顯著降低運維成本。

但在設計反應堆保護系統(tǒng)的數(shù)字化改造方案時，往往容易忽略伴隨數(shù)字化控制系統(tǒng)而引入的問題，如軟件共模故障、質(zhì)量位處理、網(wǎng)絡安全等，將會影響改造后系統(tǒng)的可靠穩(wěn)定運行。本文以國內(nèi)某核電廠反應堆保護系統(tǒng)數(shù)字化升級過程中面臨的技術難點為例，從缺省值設計、網(wǎng)絡安全防范、多樣性設計等多個維度進行探討，并提出了相應的解決思路。

1 數(shù)字化升級的必要性

國內(nèi)首批M310 機組大多建成于20 世紀90 年代或本世紀初，由于技術引進與技術交流方面受到國外的限制，核安全級儀控系統(tǒng)均要自主摸索、試驗與研發(fā)。國家的核安全體系尚未建立，相應的國家標準不完整。在系統(tǒng)設計方面，國內(nèi)設計人員對國際標準不了解或理解不深，設計中缺乏經(jīng)驗。在設備制造方面，受當時國內(nèi)元器件制造工藝和質(zhì)量的限制，設備可靠性不高。由于上述因素，反應堆保護系統(tǒng)、堆外核測系統(tǒng)在設計與制造中存在缺陷是無法避免的。隨著對安全標準認識的不斷加深，原有設計與現(xiàn)行安全法規(guī)、標準的要求相比有較大的差距[2]。

通?？刂葡到y(tǒng)設計壽命為20 年，早期核電機組的控制系統(tǒng)已普遍超出此限值。隨著設備老化，故障率出現(xiàn)逐漸上升的態(tài)勢，加快了備件消耗。長期運行消耗疊加廠家老舊生產(chǎn)線停產(chǎn)而無法購買備件，導致庫存數(shù)量緊張，對電站運營的經(jīng)濟性和安全性形成挑戰(zhàn)，數(shù)字化升級的迫切性日益增強，系統(tǒng)級別的改造勢在必行。

2 改造方案設計難點

相比于模擬技術，數(shù)字化控制系統(tǒng)具備便捷在線診斷、快速故障定位、信息顯示網(wǎng)絡化、定期試驗自動化等諸多技術優(yōu)勢。此外，國內(nèi)近年開發(fā)的數(shù)字化控制系統(tǒng)，往往經(jīng)過嚴苛的設備鑒定，具有充分的可靠性試驗數(shù)據(jù)支撐。但在開展數(shù)字化改造工作時，往往容易忽略軟件化帶來的問題，如不能妥善處理，將可能引入控制風險。

2.1 缺省值問題

由于模擬技術不存在質(zhì)量位的概念，控制參數(shù)僅對數(shù)值本身進行采集和處理，不會判斷數(shù)值的有效性。當信號出現(xiàn)超量程、鏈路斷線等情況時，無法區(qū)分是否因真實工藝系統(tǒng)變化導致。而數(shù)字化改造后，引入了豐富的自診斷機制，必然需要控制系統(tǒng)響應質(zhì)量位狀態(tài)。當出現(xiàn)質(zhì)量位為壞時，需要將故障信號標識為無效，采用替代值實現(xiàn)故障信號的功能，此替代值即為缺省值。

根據(jù)多個核電現(xiàn)場的經(jīng)驗反饋，由于缺省值設置不合理使得DCS 發(fā)出非預期的控制指令，導致設備無法操作或誤動作的事件時有發(fā)生[3]。因此，缺省值設計直接影響核電廠的安全性和經(jīng)濟效益，有必要重點考慮。

2.2 網(wǎng)絡安全問題

對于模擬技術而言，由于設備本身并不基于處理器運行，系統(tǒng)內(nèi)沒有嵌入操作系統(tǒng)和應用軟件，因而受網(wǎng)絡攻擊的風險和后果極小。但改造為數(shù)字化的控制系統(tǒng)后，系統(tǒng)組件的調(diào)整將會增加網(wǎng)絡安全風險。網(wǎng)絡安全風險主要體現(xiàn)在以下幾方面：

1）設備增加，加大了系統(tǒng)網(wǎng)絡安全攻擊面。數(shù)字化的反應堆保護系統(tǒng)使用的維護工程師站（MTS）、交換機等設備均為商用產(chǎn)品，本身存在可被利用的漏洞。

2）網(wǎng)絡環(huán)境變化，增加了系統(tǒng)網(wǎng)絡安全攻擊面。數(shù)字化的反應堆保護系統(tǒng)存在使用通用協(xié)議或與非安全級系統(tǒng)使用通用協(xié)議進行數(shù)據(jù)交換的情況，通用協(xié)議的數(shù)據(jù)格式等基本為公開信息，數(shù)據(jù)保密性較低。

3）社會環(huán)境變化。近年來，針對工業(yè)控制系統(tǒng)的網(wǎng)絡安全攻擊愈演愈烈。各類重大的網(wǎng)絡安全攻擊事件表明，網(wǎng)絡安全攻擊有從個人行為向組織行為甚至是國家行為轉變的趨勢，核電廠在進行改造時應提高網(wǎng)絡安全防護能力。

2.3 共因故障風險

在模擬技術中，每一個冗余通道的安全功能一般通過一系列分立的電子部件實現(xiàn)，故障的影響范圍有限。系統(tǒng)性缺陷同時集中爆發(fā)的概率極低，因此軟件共因故障（SWCCF）風險極低。

相比于模擬技術，數(shù)字化控制系統(tǒng)在具備維護便捷、可用性強和自診斷豐富等優(yōu)點的同時，還具備高集成性和復雜度的特點。特別是相同的潛在軟件缺陷，系統(tǒng)性地存在于不同的控制站，使共因故障風險集中，增強了發(fā)生共因故障的風險和后果。美國核管理委員會在NUREG/CR-6303-1994 提出數(shù)字化的保護系統(tǒng)增加了軟件共因故障的風險，需要通過多樣性來克服共因故障。HAD102/16《核動力廠基于計算機的安全重要系統(tǒng)軟件》指出，“由于軟件故障本質(zhì)上是系統(tǒng)性的，而不是隨機性的，基于計算機的安全系統(tǒng)（該系統(tǒng)通過相同的軟件拷貝而使用多重分系統(tǒng)）的共因故障是一個關鍵問題，安全防范措施不容易實現(xiàn)。設計人員應采用獨立性和多樣性以及全面的質(zhì)量鑒定等策略以防止共因故障”[4]。

3 克服改造難點的設計策略

針對識別出的升級改造存在的問題，以某核電數(shù)字化改造為例，解決策略如下：

3.1 缺省值設計

對缺省值取值分析時，需要綜合考慮缺省值設置對不同工況下電站運行的可能影響，信號參與控制功能的作用及安全等級。基于龍鱗平臺在多個核電項目的設計實踐，總結缺省值的設置原則如下：

1）對于參與保護儀表表決邏輯的不再單獨設置缺省值，按保護功能表決邏輯的退化要求統(tǒng)一處理。

2）對于未參與保護的0 層模擬量或開關量傳感器采集過程中檢測信號質(zhì)量位壞時，如無特殊要求，信號缺省值設置上一有效值。

3）DCS 系統(tǒng)內(nèi)部的網(wǎng)絡和硬接線通信故障導致信號質(zhì)量位壞時，如無特殊要求，信號缺省值設置上一有效值。

4）對于參與調(diào)節(jié)控制的模擬量輸出故障導致信號質(zhì)量位壞時，如無特殊要求，信號缺省值設置上一有效值。

5）用于報警和顯示的信號原則上不設置缺省值。

對于特殊信號，需要基于信號執(zhí)行的功能，以及控制平臺故障后的響應需求，針對性分析缺省值的設計。

3.2 信息安全設計策略

在改造過程中，可參考工業(yè)控制系統(tǒng)或核能行業(yè)網(wǎng)絡安全相關標準從以下方面加強系統(tǒng)網(wǎng)絡安全：

1）邊界防護：通過端口封堵、配置設備鎖等方式實現(xiàn)端口防護；通過禁用端口服務等降低系統(tǒng)邊界。

2）訪問控制：通過多因素鑒別實現(xiàn)訪問控制，如使用密碼+硬件鎖的方式。

3）權限管理：在設置系統(tǒng)賬戶時，應盡可能減少賬戶的數(shù)量，同時基于最小化原則分配賬戶權限。

4）主機防護：在確保功能可用性的前提下，部署主機防護軟件，對MTS 進行防護；通過操作系統(tǒng)配置（如提高密碼復雜度，調(diào)整密碼更換頻率，關閉不適用的系統(tǒng)服務或功能等），提升MTS 防護能力。

同時，在反應堆保護系統(tǒng)設計制造過程中，應加強項目網(wǎng)絡安全管理，避免采購、裝配、調(diào)試等環(huán)節(jié)引入網(wǎng)絡安全風險。

3.3 多樣性設計

任何單個設備和控制系統(tǒng)不能排除發(fā)生共因故障的可能，因此克服共因故障的措施假定一個設備或系統(tǒng)由于共因故障而失效，由其他設備或系統(tǒng)實現(xiàn)預期的功能。

根據(jù)NB/T 20068-2012《核電廠安全重要儀表和控制系統(tǒng)應對共因故障的要求》，多樣性設計有兩種方式：設計設備多樣性或功能多樣性，保證信號鏈路的獨立性，以確保核安全相關功能發(fā)生共因故障的可能性，減低到可以接受的范圍。

1）功能多樣性

為緩解反應堆保護系統(tǒng)應用軟件共因故障的后果，系統(tǒng)劃分為兩個功能多樣性子組，分別由不同的處理單元實現(xiàn)，停堆和專設功能按照保護參數(shù)多樣性分配到兩個多樣性子組中進行處理。以某核電的數(shù)字化改造為例，采用龍鱗平臺，選用多樣性參數(shù)設計多樣性子組后，系統(tǒng)架構如圖1 所示。

圖1 采用多樣化子組的系統(tǒng)架構Fig.1 System architecture using diverse subgroups

根據(jù)以上架構設計，結合龍鱗平臺典型失效參數(shù)，當定期試驗周期TI=18 個月，緊急停堆系統(tǒng)平均拒動率為

系統(tǒng)可用率為

基于以上架構，模擬量輸入信號處理數(shù)據(jù)流如圖2 所示。

圖2 模擬量信號數(shù)據(jù)流Fig.2 Analog signal data flow

信號鏈路響應時間為

采用多樣性子組提高數(shù)字化升級后系統(tǒng)多樣性的應用已有先例，在秦山核電一期項目的反應堆保護系統(tǒng)數(shù)字化升級時，采用TXS 平臺進行數(shù)字化改造，在原來4 個完全冗余通道的架構基礎上，增加多樣性子組的方式來提高設備可靠性[5]。

2）設備多樣性

按照多樣性設計原則，多樣化驅(qū)動系統(tǒng)也可以采用獨立的第三方平臺搭建多樣化驅(qū)動系統(tǒng)（DAS），以防止安全級DCS 系統(tǒng)平臺發(fā)生軟件共因故障導致ATWT 相關安全功能不可用。

以龍鱗平臺設計反應堆保護系統(tǒng)，搭配某NC 級控制平臺作為多樣性驅(qū)動系統(tǒng)后，架構設計如圖3 所示。

圖3 搭配多樣化驅(qū)動平臺的系統(tǒng)架構Fig.3 System architecture with diverse driver platforms

依據(jù)龍鱗平臺及國內(nèi)某NC 級控制平臺的失效參數(shù)，當定期試驗周期TI=18 個月，緊急停堆系統(tǒng)平均拒動率為

系統(tǒng)的可用率為

基于以上架構，模擬量輸入信號處理數(shù)據(jù)流計算如圖4 所示。

圖4 模擬量輸入信號數(shù)據(jù)流Fig.4 Analog input signal data flow

信號鏈路響應時間為

3）多樣性對比

從性能計算數(shù)據(jù)結果看，采用DAS 設計拒動率更低，系統(tǒng)可用率更高，而且可以顯著縮短反應堆保護系統(tǒng)的響應時間。

根據(jù)NUREG/CR 6303，反應堆保護系統(tǒng)的縱深防御和多樣性可基于6 個維度評價：人因多樣性、設計多樣性、軟件多樣性、功能多樣性、信號多樣性以及設備多樣性（6個維度并不要求同時滿足）。相比于功能多樣性，采用不同平臺構建DAS 系統(tǒng)，在人因、設計、軟件、設備等4 個維度實現(xiàn)了更為充分的多樣性設計。

基于以上結果，在反應堆保護系統(tǒng)數(shù)字化改造方案設計時，優(yōu)先采用獨立DAS 系統(tǒng)的設計，華龍一號采用二者兼具的方案，多樣性設計更為充分。

4 結束語

隨著安全級DCS 平臺技術逐步成熟和應用推廣，采用龍鱗平臺等完全自主知識產(chǎn)權的國產(chǎn)DCS 平臺進行數(shù)字化升級解決了備件停產(chǎn)、性能下降、故障率上升等難題。在制定改造方案時，充分利用數(shù)字化平臺諸多優(yōu)點的同時，需要重視數(shù)字化伴隨的其他問題。本文針對反應堆保護系統(tǒng)的數(shù)字化升級，分析了缺省值設計、網(wǎng)絡安全、軟件共因故障等問題，并提供了設計方案。