毛從吉 毋 琦

(環(huán)保部核與輻射安全中心，北京 100082)

0 引言

隨著數(shù)字化技術(shù)的發(fā)展，核電站數(shù)字化技術(shù)在儀控方面的應(yīng)用越來越普遍。新技術(shù)的應(yīng)用帶來了性能的改善，如較高的可靠性，易修改，便利的操作、維修和管理簡(jiǎn)單等一系列的好處，但同樣也帶來了一系列的問題:①系統(tǒng)的復(fù)雜性;②單個(gè)部件故障可能帶來大范圍的系統(tǒng)失效;③故障的不可重復(fù)性和不可見性。

從安全審評(píng)關(guān)注方面劃分，核電站的數(shù)字化儀控一般可分為以下5類。它們分別為控制系統(tǒng)、反應(yīng)堆事故停堆系統(tǒng)(reactor trip system，RTS)、專設(shè)安全設(shè)施觸發(fā)系 統(tǒng) (engineered safety features actuation system，ESFAS)、手動(dòng)控制和顯示以及多樣化的儀控系統(tǒng)。處理這些系統(tǒng)之間的安全問題是設(shè)計(jì)者必須面對(duì)的問題。須提交初步安全分析報(bào)告和最終安全分析報(bào)告［1］，并在通過核安全審評(píng)后才能進(jìn)行下階段的工作。在數(shù)字化核電站的儀控設(shè)計(jì)中，必須考慮如何滿足相關(guān)法規(guī)和標(biāo)準(zhǔn)要求。從安全審評(píng)的角度看待這些設(shè)計(jì)可以大大減少設(shè)計(jì)變更的可能性以及由于設(shè)計(jì)上的安全問題而導(dǎo)致的工程延期。

按照核安全審評(píng)的內(nèi)容，基于多樣性和縱深防御的理念，數(shù)字化儀表和控制的系統(tǒng)結(jié)構(gòu)如圖1所示。

1 總體設(shè)計(jì)思想

按照相關(guān)法規(guī)要求，在核電站建造的不同階段，必

圖1中，ATWS(anticipated transients without trip system)為未能緊急停堆的預(yù)計(jì)瞬態(tài)系統(tǒng)。

核電站儀控設(shè)計(jì)首先必須進(jìn)行多樣性和縱深防御的分析，其目的是確定縱深防御的基本要求，并分析數(shù)字化技術(shù)的引入由于共因失效可能導(dǎo)致的縱深防御失效點(diǎn)，進(jìn)而確定需要采取多樣化的儀控的范圍和技術(shù)等。其次，保護(hù)系統(tǒng)的設(shè)計(jì)必須能夠抑制控制系統(tǒng)的異常［2］，并在需要時(shí)提供保護(hù)。最后能夠在極端的情況下，利用事故后的儀表對(duì)反應(yīng)堆的狀態(tài)進(jìn)行監(jiān)視;并在最終設(shè)計(jì)中確認(rèn)多樣化的儀控能夠在共因失效的基礎(chǔ)上能提供有效的補(bǔ)充保護(hù)。

數(shù)字化儀控的總體設(shè)計(jì)思想就是，結(jié)合多樣性的手段，考慮縱深防御的要求，為正常工況和設(shè)計(jì)基準(zhǔn)工況提供安全保護(hù)，并在極端情況下提供堆芯狀態(tài)顯示和手動(dòng)控制。

2 數(shù)字化儀控設(shè)計(jì)

2.1 多樣性和縱深防御

系統(tǒng)由于軟件的復(fù)雜性、不可見性及不重復(fù)性帶來了共因失效的可能。高質(zhì)量的軟硬件降低了系統(tǒng)發(fā)生故障的可能性，但即使軟件可靠性很高，也無法提供可信證據(jù)證明軟件100%不發(fā)生錯(cuò)誤。盡管設(shè)備的設(shè)計(jì)和制造是高質(zhì)量的，但由于儀控系統(tǒng)的冗余通道上存在著相同的軟件(或系統(tǒng)軟件)拷貝，因此被認(rèn)為容易受到共因(如設(shè)計(jì)錯(cuò)誤)失效的影響。為防御潛在共因失效，安全審評(píng)把縱深防御和多樣性作為數(shù)字化儀控設(shè)計(jì)的首要關(guān)鍵因素。

2.1.1 多樣性和縱深防御要求

在核電站儀控設(shè)計(jì)過程中，多樣性和縱深防御首先要求考慮NUREG/CR 6303對(duì)多樣性和縱深防御的4 點(diǎn)要求［3-4］，具體如下。

①必須評(píng)價(jià)推薦的儀控系統(tǒng)的縱深防御和多樣性，以證明其對(duì)于共因失效的弱點(diǎn)已進(jìn)行充分考慮。

②在進(jìn)行評(píng)價(jià)的過程中，廠家或申請(qǐng)者必須采用最佳估計(jì)方法(使用現(xiàn)實(shí)假設(shè))評(píng)定安全分析報(bào)告事故分析中的每個(gè)事件及每種假定的共因失效所進(jìn)行的分析結(jié)果。廠家或申請(qǐng)者/執(zhí)照持有人必須證明每個(gè)事件的設(shè)計(jì)都具有充分的多樣性。

③如果一個(gè)假定的共因失效會(huì)導(dǎo)致一個(gè)安全功能的喪失，那么應(yīng)當(dāng)要求提供一種執(zhí)行相同功能或不同功能的多樣化手段，并有文件表明這種手段不會(huì)遭受相同的共因失效影響。如果一個(gè)非安全系統(tǒng)具有足以在相關(guān)事件工況下執(zhí)行所需功能的能力，則多樣的或不同的功能可以由該非安全系統(tǒng)執(zhí)行(即多樣化系統(tǒng)可以采用非安全級(jí)設(shè)備，但必須論證)。

④應(yīng)當(dāng)提供一套設(shè)置在主控制室的指示和控制裝置，以進(jìn)行手動(dòng)的應(yīng)急安全功能系統(tǒng)級(jí)觸發(fā)，并監(jiān)測(cè)反應(yīng)堆狀態(tài)等極其重要的物理參數(shù)。

關(guān)于縱深防御和多樣性要求中的第④點(diǎn)手動(dòng)控制和指示，應(yīng)當(dāng)足以監(jiān)視電廠狀況并按控制室操縱員的要求觸發(fā)系統(tǒng)，使核電廠處于熱停堆工況。此外，指示器和控制器應(yīng)當(dāng)監(jiān)視和控制以下關(guān)鍵安全功能:反應(yīng)性水平、堆芯熱量排除、反應(yīng)堆冷卻劑數(shù)量、安全殼隔離以及安全殼完整性。這些附加的手動(dòng)能力是先進(jìn)反應(yīng)堆所必須的，因?yàn)樗斜Ｗo(hù)和控制系統(tǒng)都是基于數(shù)字計(jì)算機(jī)的，從而容易受到共因失效的攻擊。這些手動(dòng)能力應(yīng)當(dāng)由硬接線、系統(tǒng)級(jí)控制器和指示器組成。這些控制器為電廠操縱員提供了不會(huì)遭受到由電廠自動(dòng)數(shù)字儀控中的軟件錯(cuò)誤引起的共因失效的信息和控制能力。手動(dòng)控制到安全設(shè)備的連接點(diǎn)應(yīng)當(dāng)在電廠數(shù)字儀控輸出的下游，但是不應(yīng)破壞系統(tǒng)的完整性。

2.1.2 多樣性和縱深防御方法

針對(duì)多樣性和縱深防御要求，對(duì)共因失效要進(jìn)行類似核電站縱深防御的方法，從以下4個(gè)層次進(jìn)行防御。

①控制系統(tǒng)

控制系統(tǒng)是在正常工況下運(yùn)行所需的系統(tǒng)，并不依靠它們?cè)陬A(yù)期運(yùn)行事件或事故后履行安全功能，而是由它們對(duì)電廠安全具有重要影響的電廠運(yùn)行過程進(jìn)行控制。

控制系統(tǒng)層次包括防止反應(yīng)堆向不安全運(yùn)行偏移的非安全級(jí)手動(dòng)或者自動(dòng)設(shè)備，通常在反應(yīng)堆正常運(yùn)行時(shí)投入。

②RTS

RTS是那些觸發(fā)控制棒快速插入以減輕設(shè)計(jì)基準(zhǔn)事件后果的系統(tǒng)。

反應(yīng)堆事故停堆層次包括在響應(yīng)失控偏移時(shí)迅速降低反應(yīng)性設(shè)計(jì)的安全設(shè)備。

③ESFAS

ESFAS層次是那些觸發(fā)和控制安全設(shè)備以導(dǎo)出熱量或幫助保持3道屏障(燃料包殼、反應(yīng)堆冷卻劑壓力邊界和安全殼)的完整性、防止放射性物質(zhì)釋放的儀控系統(tǒng)。

④手動(dòng)控制和顯示

手動(dòng)控制和顯示包括傳感器、指示器和操縱員響應(yīng)反應(yīng)堆事件的手動(dòng)控制器。

對(duì)于4層防御，應(yīng)當(dāng)至少有2層不會(huì)由于內(nèi)在連接導(dǎo)致防御失效。通常要考慮3個(gè)內(nèi)在連接:①控制系統(tǒng)和RTS之間;②控制系統(tǒng)和ESFAS之間;③RTS和ESFAS之間。

2.2 控制系統(tǒng)

控制系統(tǒng)應(yīng)當(dāng)在數(shù)字化時(shí)采用和保護(hù)系統(tǒng)類似的多樣化設(shè)計(jì)，其電源宜來自不同于保護(hù)系統(tǒng)保護(hù)組的電源，并盡可能地減少采用保護(hù)系統(tǒng)的平臺(tái)設(shè)備。

2.3 保護(hù)系統(tǒng)

保護(hù)系統(tǒng)是那些觸發(fā)安全動(dòng)作以減輕設(shè)計(jì)基準(zhǔn)事件后果的儀控系統(tǒng)。

保護(hù)系統(tǒng)包括RTS和ESFAS。為了滿足單一故障準(zhǔn)則和冗余度要求［5］，RTS一般從傳感器電路到停堆斷路器前分為4個(gè)保護(hù)組。對(duì)于停堆斷路器部分，又將其完全劃分為4個(gè)保護(hù)組和2列(或4列)的2種設(shè)計(jì)。但從滿足安全審評(píng)方面考慮，一般從傳感器電路直到停堆斷路器，采用完全4個(gè)保護(hù)組。在滿足保護(hù)系統(tǒng)保護(hù)組間實(shí)體隔離和防火方面容易完全滿足，只要將相關(guān)的4個(gè)保護(hù)組分別配置在4個(gè)房間中即可，這種設(shè)計(jì)很容易實(shí)現(xiàn)，成本也很低。需要注意的是，可靠性分析結(jié)果表明，當(dāng)4個(gè)保護(hù)組采用4取2邏輯時(shí)，停堆斷路器的故障率是一個(gè)極其重要的因子，所以應(yīng)當(dāng)采用高可靠性的停堆斷路器，以提高整個(gè)系統(tǒng)的可用性。

保護(hù)系統(tǒng)通常可以分為傳感器及預(yù)處理、過程處理、邏輯表決和驅(qū)動(dòng)4個(gè)部分。傳感器及預(yù)處理部分如果采用數(shù)字化，目前不一定會(huì)帶來好處。其原因在于此部分電路涉及的物理參數(shù)一般可能應(yīng)用到保護(hù)系統(tǒng)、事故后監(jiān)測(cè)系統(tǒng)和控制系統(tǒng)這3個(gè)儀控子系統(tǒng)。通常做法是將這一部分按照最高設(shè)計(jì)要求——保護(hù)系統(tǒng)要求(安全級(jí)設(shè)備)進(jìn)行設(shè)計(jì)。在經(jīng)過隔離組件后，分別送給事故后監(jiān)測(cè)系統(tǒng)和控制系統(tǒng)，隔離組件屬于保護(hù)系統(tǒng)一部分。

采用數(shù)字化技術(shù)以后，一般在模擬電路中相對(duì)不作考慮的共因失效變得相當(dāng)突出，相關(guān)法規(guī)和標(biāo)準(zhǔn)對(duì)數(shù)字化的共因失效都要求特別關(guān)注，防御共因失效的方法就是采用多樣性設(shè)計(jì)。由于目前法規(guī)和標(biāo)準(zhǔn)對(duì)軟件的多樣性很難有一個(gè)準(zhǔn)確的判斷，導(dǎo)致單個(gè)數(shù)字化設(shè)備是否具有完全多樣性很難論證。對(duì)傳感器及預(yù)處理部分如果進(jìn)行數(shù)字化，就要增加其他設(shè)備來滿足縱深防御要求，使系統(tǒng)變得更復(fù)雜，但設(shè)備并沒有減少。因此對(duì)于保護(hù)系統(tǒng)的傳感器及預(yù)處理，目前最好的設(shè)計(jì)是不進(jìn)行數(shù)字化。但不可否認(rèn)的是，對(duì)傳感器及預(yù)處理部分進(jìn)行數(shù)字化是目前儀表行業(yè)的發(fā)展趨勢(shì)。

目前，核電站保護(hù)系統(tǒng)的數(shù)字化主要針對(duì)的是過程處理和邏輯表決兩部分。數(shù)字化核電儀控的優(yōu)點(diǎn)可以充分利用數(shù)字化的優(yōu)勢(shì)，進(jìn)而提高系統(tǒng)的可用性，如在過程處理中對(duì)信號(hào)進(jìn)行4取2，并在維修時(shí)自動(dòng)變換到3取2的邏輯。但應(yīng)當(dāng)注意的是，在本保護(hù)組失去電源時(shí)，在最終的4取2邏輯中應(yīng)當(dāng)變?yōu)?取1，以滿足故障安全的原則。

過程處理和邏輯表決數(shù)字化后，首先需要面對(duì)防御共因失效，可以在一個(gè)保護(hù)組采用2個(gè)多樣化的子通道。此時(shí)基于前述理由很難準(zhǔn)確判斷是否完全多樣性。實(shí)際可行的方法是在不復(fù)雜化系統(tǒng)的前提下，部分多樣化保護(hù)組，如不同設(shè)備、不同時(shí)序、不同物理參數(shù)等，以提高用戶或安全審評(píng)者的信心。

ESFAS在數(shù)字化時(shí)，可行時(shí)應(yīng)當(dāng)考慮和RTS的多樣化設(shè)計(jì)。但通常為了減少整個(gè)核電站的復(fù)雜性，RTS和 ESFAS會(huì)采用相同的系統(tǒng)平臺(tái)，即 RTS和ESFAS不具備多樣性。

保護(hù)系統(tǒng)與其他系統(tǒng)有接口時(shí)，應(yīng)當(dāng)進(jìn)行隔離。隔離方面應(yīng)當(dāng)做到電氣隔離和通信隔離。電氣隔離在數(shù)字化中采用光纖可以很容易做到。對(duì)通信隔離中除做到輸入和輸出緩沖隔離外，還應(yīng)當(dāng)保證安全功能不受通信各種故障的影響。簡(jiǎn)單設(shè)計(jì)是使用單向傳輸(安全級(jí)系統(tǒng)只向非安全級(jí)系統(tǒng)以廣播方式進(jìn)行傳輸數(shù)據(jù))或者雙向傳輸數(shù)據(jù)中不包括執(zhí)行保護(hù)系統(tǒng)中的安全功能的命令(其保證此功能的設(shè)備屬于保護(hù)系統(tǒng)。一種簡(jiǎn)單的設(shè)計(jì)是在保護(hù)系統(tǒng)內(nèi)只對(duì)特定的數(shù)據(jù)進(jìn)行處理，其他的數(shù)據(jù)直接拋棄掉，這樣即使接收到非法數(shù)據(jù)也不會(huì)導(dǎo)致不可預(yù)計(jì)的動(dòng)作出現(xiàn)，從而減少了非安全級(jí)系統(tǒng)對(duì)安全級(jí)系統(tǒng)的影響)［6］。

保護(hù)系統(tǒng)保護(hù)組的電源應(yīng)當(dāng)有4路，至少分屬2個(gè)不同列。

2.4 手動(dòng)控制和顯示

事故后監(jiān)測(cè)系統(tǒng)作為手動(dòng)控制和顯示的一個(gè)重要部分，應(yīng)當(dāng)在數(shù)字化的儀控中統(tǒng)一考慮。應(yīng)當(dāng)采用和保護(hù)系統(tǒng)平臺(tái)的多樣化設(shè)計(jì)，其電源來自不同于保護(hù)系統(tǒng)保護(hù)組的電源為佳，只有在無法做到和保護(hù)系統(tǒng)的多樣化設(shè)計(jì)時(shí)才可采用保護(hù)系統(tǒng)的平臺(tái)設(shè)備。由于通常RTS和ESFAS不具備多樣性，因此理想的設(shè)計(jì)是共用控制系統(tǒng)中的安全級(jí)電源，并采用模擬技術(shù)進(jìn)行設(shè)計(jì)。手動(dòng)控制和顯示應(yīng)當(dāng)首先考慮的最小范圍為RG 1.97(1983)中的 1 類變量［7］。

2.5 多樣化的儀控系統(tǒng)

多樣化的儀控系統(tǒng)是那些專為數(shù)字化設(shè)備可能出現(xiàn)共因失效而提供多樣性后備的系統(tǒng)。多樣化的儀控系統(tǒng)解決了在數(shù)字化系統(tǒng)中出現(xiàn)的可預(yù)計(jì)的共因失效的可能性。對(duì)于采用數(shù)字計(jì)算機(jī)儀控的電廠，多樣化的儀控系統(tǒng)可能也包括特殊設(shè)置的硬接線的手動(dòng)控制設(shè)備、多樣化的顯示設(shè)備和多樣化的驅(qū)動(dòng)系統(tǒng)。多樣化的儀控系統(tǒng)中一個(gè)重要系統(tǒng)為未能緊急停堆的預(yù)計(jì)瞬態(tài)系統(tǒng)。

ATWS和RTS相互之間應(yīng)當(dāng)具有設(shè)備獨(dú)立性［8］，ATWS設(shè)備應(yīng)當(dāng)和RTS一樣，從傳感器輸出到最后啟動(dòng)設(shè)備是獨(dú)立的且多樣化的。目前ATWS傳感器一般采用模擬設(shè)備，因此可以使用已有的RTS傳感器線路。ATWS的邏輯和驅(qū)動(dòng)設(shè)備電源必須來自和已有的RTS供電獨(dú)立的儀表電源，ATWS的電源應(yīng)當(dāng)來自不同于保護(hù)系統(tǒng)的電源。同時(shí)，國(guó)內(nèi)目前的實(shí)踐是多樣化的儀控系統(tǒng)一般要求滿足抗震的要求［9］。

2.6 多樣性方法

多樣性原理就是在儀控中采用不同物理參數(shù)、技術(shù)、邏輯或者計(jì)算方法以及觸發(fā)手段來對(duì)重要事件的探測(cè)和響應(yīng)提供多個(gè)途徑。多樣性是對(duì)縱深防御原理的補(bǔ)充，并提高了在某個(gè)層次和深度必要時(shí)觸發(fā)防御的機(jī)會(huì)。不同層次和深度防御之間也可能需要考慮多樣性。NUREG/CR 6303［3］有6種重要的不同類型的多樣性需要考慮:人員、設(shè)計(jì)、軟件、功能、信號(hào)、設(shè)備多樣性，應(yīng)在實(shí)際設(shè)計(jì)中綜合考慮。

2.6.1 人員多樣性

電廠事件運(yùn)行經(jīng)驗(yàn)反饋已經(jīng)表明，在安全系統(tǒng)設(shè)計(jì)、開發(fā)、安裝、運(yùn)行和維護(hù)中，人為因素的影響很大。例如大亞灣核電站和秦山核電站的人因失誤在運(yùn)行事件中的占比達(dá)到75%［10］。因此，正確使用人員多樣性對(duì)安全系統(tǒng)有正面的影響。如使用不同的維護(hù)人員對(duì)冗余安全儀表進(jìn)行獨(dú)立的標(biāo)定，能對(duì)系統(tǒng)所有的不同部分不出現(xiàn)同樣的系統(tǒng)性錯(cuò)誤有所保證;采用不同設(shè)計(jì)者進(jìn)行功能性多樣安全系統(tǒng)設(shè)計(jì)，能減少同樣設(shè)計(jì)錯(cuò)誤的可能性。

對(duì)于人員多樣性，可以采用以下方法:①不同設(shè)計(jì)組織(如公司);②同一公司內(nèi)不同工程管理人員;③不同設(shè)計(jì)人員、工程師或者程序員;④不同測(cè)試者、安裝員或者資質(zhì)人員。

其多樣化的程度隨以上方法的次序遞減。

2.6.2 設(shè)計(jì)多樣性

設(shè)計(jì)多樣性采用包括軟硬件的不同方法來解決同樣或者類似的問題。軟件多樣性是設(shè)計(jì)多樣性中特殊的一類，單獨(dú)提出是由于其潛在的重要性和潛在的缺陷。設(shè)計(jì)多樣性的原理是不同設(shè)計(jì)會(huì)有不同的失效模式，并且不會(huì)受同樣效應(yīng)的影響。但其弱點(diǎn)之一就是不同設(shè)計(jì)可能采用同樣的元素或方法。

對(duì)于設(shè)計(jì)多樣性可以采用以下方法:①不同技術(shù)(如模擬對(duì)數(shù)字);②同一技術(shù)內(nèi)采用不同方法(如交流對(duì)直流);③不同結(jié)構(gòu)(如分置對(duì)連接)。

其多樣化的程度隨以上方法的次序遞減。

2.6.3 軟件多樣性

軟件多樣性是由具有不同關(guān)鍵人員的不同開發(fā)組，采用不同程序設(shè)計(jì)和實(shí)施來完成相同安全目標(biāo)。有建議提出，通過有目的地多樣化設(shè)計(jì)，可以對(duì)同樣需求的實(shí)施得到足夠多樣性。然而，大量報(bào)告的重要經(jīng)驗(yàn)關(guān)注于軟件隊(duì)伍的獨(dú)立性。軟件多樣性所希望的是不同程序員會(huì)產(chǎn)生不同的錯(cuò)誤。

對(duì)于軟件多樣性，可以采用以下方法:①不同的計(jì)算、邏輯和編程體系;②不同的執(zhí)行時(shí)間、次序;③不同的操作系統(tǒng);④不同的計(jì)算機(jī)語言。

其多樣化的程度隨以上方法的次序遞減。

2.6.4 功能多樣性

功能多樣性指的是2個(gè)系統(tǒng)執(zhí)行不同的物理功能。

功能多樣性應(yīng)當(dāng)考慮:①不同工作機(jī)理(如棒下插對(duì)注硼);②不同目的、功能、控制邏輯或驅(qū)動(dòng)手段;③不同響應(yīng)時(shí)刻。

其多樣化的程度隨以上方法的次序遞減。

2.6.5 信號(hào)多樣性

信號(hào)多樣性指的是采用不同的傳感參數(shù)來觸發(fā)保護(hù)動(dòng)作。

信號(hào)多樣性應(yīng)當(dāng)考慮以下幾個(gè)要素:①不同的反應(yīng)堆或處理參數(shù)(來自不同物理機(jī)理)，如中子通量對(duì)壓力;②不同的反應(yīng)堆或處理參數(shù)(來自相同物理機(jī)理);③相同的反應(yīng)堆或處理參數(shù)，來自類似傳感器的不同冗余組。

其多樣化的程度隨以上方法的次序遞減。

2.6.6 設(shè)備多樣性

設(shè)備多樣性是指不同設(shè)備執(zhí)行類似的安全功能。需要注意的是，不同制造商不能保證多樣性。采用不同計(jì)算機(jī)設(shè)備對(duì)軟件多樣性有影響，不同的計(jì)算機(jī)體系決定了編譯器、連接器及其他支持軟件的多樣性。

設(shè)備多樣性應(yīng)考慮:①具有不同原理性設(shè)計(jì)的不同制造商;②具有不同原理性設(shè)計(jì)的相同制造商;③相同設(shè)計(jì)的不同制造商;④相同設(shè)計(jì)的不同版本。

其多樣化的程度隨以上方法的次序遞減。

對(duì)于計(jì)算機(jī)設(shè)備，附加考慮如下:①不同的計(jì)算機(jī)體系(如Intel 80x86體系對(duì)Motorola 68000體系);②不同的CPU版本(如Intel 80386對(duì)Intel 80486)③不同的電路板設(shè)計(jì);④不同的總線結(jié)構(gòu)(VME對(duì)Multibus II)。

3 結(jié)束語

隨著國(guó)內(nèi)核電站越來越多地采用數(shù)字化設(shè)備，由于軟件導(dǎo)致的共因失效將變得越來越突出，作為設(shè)計(jì)者，應(yīng)當(dāng)在初步安全分析階段就給出多樣化和縱深防御的要求，在詳細(xì)設(shè)計(jì)中掌握擬采用的設(shè)備中是否有數(shù)字化設(shè)備，并在最終安全分析中對(duì)所有的數(shù)字化設(shè)備進(jìn)行分析，以表明采用的數(shù)字化技術(shù)沒有在可預(yù)見的情況下出現(xiàn)共因失效。只有這樣，才能避免出現(xiàn)在核電站在即將運(yùn)行時(shí)出現(xiàn)設(shè)備變換的情況［11］。

［1］國(guó)家核安全局.HAF 001/01核電廠安全許可證件的申請(qǐng)和頒發(fā)［S］.北京:中國(guó)法制出版社，1993.

［2］國(guó)家核安全局.HAD 102/10核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施［S］.北京:中國(guó)法制出版社，2000.

［3］US NRC.NUREG/CR-6303 method for performing diversity and defense-in-depth analyses of reactor protection systems［S］.1994.

［4］US NRC.BTP7-19 guidance for evaluation of diversity and defensein-depth in digital computer-based instrumentation and control system［S］.2007.

［5］國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局.GB/T 4083-2005核反應(yīng)堆保護(hù)系統(tǒng)安全準(zhǔn)則［S］.北京:中國(guó)標(biāo)準(zhǔn)出版社，2006.

［6］The Institute of Electrical and Electronics Engineers，Inc.IEEE Std.7-4.3.2TM-2003 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations［S］.New York，2003.

［7］US NRC.Regulatory guide 1.97 instrumentation for light-watercooled nuclear power plants to assess plant and environs conditions during and following an accident［S］.1983.

［8］US NRC.NUREG-0800standard review plan chapter 7 instrumentation and controls［S］.2007.

［9］國(guó)家技術(shù)監(jiān)督局.GB/T 15474-1995核電廠儀表和控制系統(tǒng)及其供電設(shè)備安全分級(jí)［S］.北京:中國(guó)標(biāo)準(zhǔn)出版社，1996.

［10］黃玉剛，張力.大亞灣核電站人因可靠性分析與預(yù)防對(duì)策［J］.核動(dòng)力工程，1998，19(1):64-68.

［11］章旋，涂豐盛，曹建亭.核電站儀控系統(tǒng)數(shù)字化改造方案分析［J］.自動(dòng)化儀表，2007，28(6):45-46.