核電安全系統(tǒng)軟件共因故障的縱深防御

田 露

（中核運(yùn)行管理有限公司，浙江 海鹽314300）

美國(guó)核電用戶要求文件（URD）和歐洲核電用戶要求文件（EUR）提出了三代核電安全和設(shè)計(jì)要求，其中之一是對(duì)先進(jìn)控制室和全數(shù)字化儀控系統(tǒng)的要求。當(dāng)前世界各國(guó)在建和預(yù)建的核電項(xiàng)目中，不僅是三代核電機(jī)組，二代加核電機(jī)組也為數(shù)不少。所謂二代加機(jī)組，是在二代核電的基礎(chǔ)上進(jìn)行了部分改進(jìn)，全數(shù)字化儀控系統(tǒng)是其中的一項(xiàng)重要改進(jìn)。

隨著近20年來控制和信息技術(shù)的日益成熟，加之用戶對(duì)控制功能和管理需求的提升，以及核電二代加、三代甚至四代堆型的推出，數(shù)字化儀控系統(tǒng)開始全面進(jìn)入核電應(yīng)用，在各新建、預(yù)建和改造的核電項(xiàng)目中都采用數(shù)字化儀控平臺(tái)，在絕大多數(shù)項(xiàng)目中安全系統(tǒng)也采用數(shù)字化技術(shù)，從而實(shí)現(xiàn)全數(shù)字化儀控系統(tǒng)。

自20世紀(jì)90年代開始，法國(guó)、日本、韓國(guó)、中國(guó)、美國(guó)等多座核電廠開始了儀控安全系統(tǒng)數(shù)字化的改造，至2010年末世界各國(guó)核電廠中有近50套數(shù)字化安全系統(tǒng)在使用，法國(guó)約占一半以上。已采用全數(shù)字化儀控的核電廠有：日本Kariwa6、7號(hào)機(jī)組（1997年投運(yùn)）；法國(guó)的電站N4(舒茲B1和B2，分別于1996年和1997年投入商業(yè)運(yùn)行；西沃分別于1997年和1999年投運(yùn))；中國(guó)田灣核電站1、2號(hào)機(jī)組（2007年12月投運(yùn)）；日本泊3核電站（2010年1月投運(yùn)）；中國(guó)嶺澳二期1號(hào)機(jī)組（2010年10月投運(yùn)）；韓國(guó)新古里1號(hào)機(jī)組（2010年12月投運(yùn)）。第三代核電堆型EPR、AP1000已經(jīng)進(jìn)入建造和評(píng)審階段。

安全儀控系統(tǒng)數(shù)字化的引入，體現(xiàn)了數(shù)字化的優(yōu)勢(shì)，也帶來了對(duì)軟件共因故障（SWCCF）的擔(dān)憂[5]。對(duì)軟件共因故障的解決方案成為各國(guó)核安全執(zhí)照申請(qǐng)中的一個(gè)重要環(huán)節(jié)。

1 背景

1)1993年4月2日，美國(guó)NRC提出SECY93-087II-Q “數(shù)字化系統(tǒng)軟件共因失效問題”。

2) 此后，直至2010年，NRC才核準(zhǔn)首座核電廠保護(hù)系統(tǒng)數(shù)字化變更——Oconee電站的數(shù)字化保護(hù)系統(tǒng)變更改造申請(qǐng)。

3)1998年，國(guó)內(nèi)田灣核電站開始引進(jìn)數(shù)字化儀控系統(tǒng)（AREVA/SIEMENS Teleperm XP+Teleperm XS），于2007年5月商業(yè)運(yùn)行。中國(guó)核安全局在此項(xiàng)目上主要關(guān)注的問題包括：手動(dòng)控制專設(shè)安全設(shè)施系統(tǒng)設(shè)備問題；安全系統(tǒng)軟件共因問題；以及主控室人因驗(yàn)證、隔離、防火等問題。

4)2009年11月2日，英國(guó)衛(wèi)生與安全部（HSEND），法國(guó)核安全局(ASN)和芬蘭核安全局（STUK）針對(duì)E P R儀控系統(tǒng)（TXS+TXP）發(fā)表聯(lián)合聲明，認(rèn)為EPR安全儀控系統(tǒng)的設(shè)計(jì)方案與控制系統(tǒng)之間的獨(dú)立性不能完全滿足要求，要求設(shè)計(jì)者改進(jìn)設(shè)計(jì)方案，并建議提供一種能滿足縱深防御要求的后備方案。

英國(guó)衛(wèi)生與安全部對(duì)數(shù)字化安全系統(tǒng)的觀點(diǎn)：兩套數(shù)字化系統(tǒng)仍然難以符合完全的多樣性，因此必須在初步安全分析報(bào)告中對(duì)軟件共因失效進(jìn)行計(jì)算，而且需要一套非數(shù)字化系統(tǒng)的備用。主要關(guān)注的方面包括：限制安全系統(tǒng)到非安全系統(tǒng)的單向通訊；鑒于對(duì)軟件的可靠性分析的復(fù)雜性，需要常規(guī)非數(shù)字化系統(tǒng)作為備用；需要手動(dòng)控制與分類顯示。

法國(guó)核安全局認(rèn)為：以AREVA TXS與SPPA T2000（西門子非安全級(jí)平臺(tái)）為例，可以接受兩套不同平臺(tái)的數(shù)字化系統(tǒng)，符合多樣性，因此不需要另外一套非數(shù)字化系統(tǒng)作為備用，但需要對(duì)多樣性數(shù)字化平臺(tái)進(jìn)行驗(yàn)證和審查。

芬蘭核安全局考慮安全與非安全兩個(gè)平臺(tái)同時(shí)故障的狀況，因此提出需要非數(shù)字化系統(tǒng)作為后備。主要關(guān)注：安全系統(tǒng)與非安全系統(tǒng)之間的獨(dú)立性；限制安全系統(tǒng)到非安全系統(tǒng)的單向通訊。

5)2010年1月29日，美國(guó)核安全管理委員會(huì)（NRC）核準(zhǔn)Oconee核電站采用的AREVA TELEPERM TXS平臺(tái)對(duì)反應(yīng)堆保護(hù)系統(tǒng)數(shù)字化更新改造后的執(zhí)照申請(qǐng)。早在2000年5月NRC已經(jīng)核準(zhǔn)TXS為安全數(shù)字化平臺(tái)，但對(duì)Oconee采用TXS的更新改造方案評(píng)審過程長(zhǎng)達(dá)5年，期間由于NRC缺乏審查安全系統(tǒng)軟件驗(yàn)證相關(guān)經(jīng)驗(yàn)，審查立場(chǎng)不確定，部分提交議題不能完全澄清，導(dǎo)致Oconee于2006年撤回申請(qǐng)，其中“多樣性驅(qū)動(dòng)和防止軟件共因故障失效”是議題之一。

2 NRC臨時(shí)導(dǎo)則的發(fā)布

2006年11月，NRC組織業(yè)界召開數(shù)字化安全系統(tǒng)專題討論會(huì)，聚焦于4個(gè)方面：

1）通訊的獨(dú)立性；

2）網(wǎng)絡(luò)需求與安全的平衡點(diǎn)；

3）支援應(yīng)用的需求；

4）多樣性縱深防御D3（Diversity and Defense-in-Depth）的分析和評(píng)估方法。

此后，組織了6個(gè)優(yōu)先議題工作組，這6個(gè)工作組從2007年開始先后發(fā)布了6份臨時(shí)導(dǎo)則Interim Staff Guidance（簡(jiǎn)稱ISG）:

1) DI&C-ISG-01“Cyber Security Associated with Digital instrumentation and Controls（數(shù)字化儀控計(jì)算機(jī)網(wǎng)絡(luò)安全）”，2007年12月；

2) DI&C-ISG-02“Diversity and Defensein-Depth Issues（多樣性縱深防御）”，2007年9月；

3) DI&C-ISG-03“Review of New Reactor Digital Instrumentation and Control Probabilistic Risk Assessments(數(shù)字化儀控概率風(fēng)險(xiǎn)評(píng)價(jià))”，2008年8月；

4) DI&C-ISG-04“Highly-Integrated Control Rooms—Communications Issues(HICRc)(先進(jìn)控制室通訊)”，2007年9月；

5) DI&C-ISG-05“Highly-Integrated Control Rooms—Human Factors Issues(HICR—HF)（先進(jìn)控制室人因工程）”，2007年9月；

6) DI&C-ISG-06“Digital I&C Licensing Process（數(shù)字化儀控系統(tǒng)執(zhí)照申請(qǐng)程序）”，（草稿版本V44，目前未發(fā)布）。

2008年1月，Oconee電站再一次向NRC提出變更申請(qǐng)。NRC第一引用新發(fā)布的ISG導(dǎo)則審查Oconee變更方案，直至2011年1月，NRC正式核準(zhǔn)Oconee數(shù)字化保護(hù)系統(tǒng)的變更申請(qǐng)。該項(xiàng)目的申請(qǐng)過程，可以作為案例提供安全相關(guān)數(shù)字化儀控系統(tǒng)的評(píng)審經(jīng)驗(yàn)。NRC對(duì)安全系統(tǒng)數(shù)字化的立場(chǎng)和審評(píng)過程，及其關(guān)注的重點(diǎn)議題，都將影響各核安全當(dāng)局對(duì)后續(xù)數(shù)字化儀控項(xiàng)目的評(píng)審立場(chǎng)和方法[3]。

3 軟件共因故障的可能性是確定的

NRC對(duì)軟件設(shè)計(jì)錯(cuò)誤導(dǎo)致共因故障的觀點(diǎn)：

NUREG0800 BTP-19-3：“Software design errors are a credible source of common-mode failures. Software cannot be proven to be error-free”（計(jì)算機(jī)軟件設(shè)計(jì)錯(cuò)誤是一個(gè)可信的導(dǎo)致共因故障根源。并且，計(jì)算機(jī)軟件不能被驗(yàn)證不存在錯(cuò)誤）。換而言之，通過各種各樣的V&V，以及使用各種軟件驗(yàn)證工具驗(yàn)證的安全系統(tǒng)的軟件，不能完全證明是沒有錯(cuò)誤的，只要有錯(cuò)誤就有導(dǎo)致軟件共因故障的可能。

在SECY-93-087對(duì)計(jì)算機(jī)軟件共因故障的確定性的描述：

冗余的數(shù)字化儀控系統(tǒng)設(shè)計(jì)，會(huì)（may）共享數(shù)據(jù)庫(kù)（軟件）和處理器（硬件）。因此，硬件設(shè)計(jì)錯(cuò)誤、軟件設(shè)計(jì)錯(cuò)誤或軟件編程錯(cuò)誤可以（may）引起共?；蛉哂嘣O(shè)備的共因故障。NRC擔(dān)憂數(shù)字化技術(shù)可能（could）引起重大的安全共因故障。

RG1.152-Criteria for use of computers in safety systems of NPP 針對(duì)數(shù)字化安全系統(tǒng)共因故障的討論：

隨著數(shù)字化引入安全系統(tǒng)，一個(gè)軟件設(shè)計(jì)錯(cuò)誤可能同時(shí)出現(xiàn)在安全系統(tǒng)的冗余通道內(nèi)，可能引起安全系統(tǒng)的共因故障。

不僅在美國(guó)，各國(guó)業(yè)界對(duì)軟件共因故障問題的認(rèn)識(shí)基本一致。中國(guó)核安全導(dǎo)則HAD102/162.3.2“軟件故障本質(zhì)上是系統(tǒng)性的，而不是隨機(jī)性的，基于計(jì)算機(jī)的安全系統(tǒng)（該系統(tǒng)通過相同的軟件拷貝而使用多重分系統(tǒng)）的共因故障是一個(gè)關(guān)鍵問題，安全防范措施不容易實(shí)現(xiàn)。設(shè)計(jì)人員應(yīng)采取獨(dú)立性和多樣性以及全面的質(zhì)量鑒定等策略以防止共因故障”。

HAD認(rèn)為軟件故障是肯定的，并要求應(yīng)從獨(dú)立性和多樣性以及質(zhì)量鑒定等方面防范軟件故障。

數(shù)字化控制系統(tǒng)都是采用的馮諾依曼計(jì)算機(jī)基本結(jié)構(gòu)，這種結(jié)構(gòu)的計(jì)算機(jī)會(huì)不會(huì)在某種特定情況下共因失效?比如曾經(jīng)的“千年蟲”。雖然眾多行業(yè)的DCS應(yīng)用業(yè)績(jī)減弱了這方面的疑慮，但目前對(duì)軟件的可靠性評(píng)估問題依然是個(gè)世界級(jí)的難題，很難對(duì)軟件的可靠性進(jìn)行量化評(píng)估。對(duì)于硬件的可靠性可以應(yīng)用概率論的方法進(jìn)行量化分析。復(fù)雜軟件的缺陷是不可避免的，如果要求將數(shù)字化儀控系統(tǒng)軟件的所有條件組合進(jìn)行全覆蓋測(cè)試，將是一個(gè)天文數(shù)字，任何人、任何機(jī)構(gòu)都不可能做到[2]。所以應(yīng)用軟件錯(cuò)誤不可能通過V&V過程100%被排除，更不能驗(yàn)證系統(tǒng)軟件和平臺(tái)的正確性。

4 針對(duì)軟件共因故障的縱深防御是不可回避的

HAD102/162.3.2把軟件共因故障定義為一個(gè)關(guān)鍵問題，無論前期田灣核電站1、2號(hào)機(jī)組，秦山一期30萬kW數(shù)字化保護(hù)系統(tǒng)改造[1]，還是近期的嶺澳二期項(xiàng)目上，中國(guó)核安全局對(duì)軟件共因故障問題也越來越關(guān)注。有理由相信經(jīng)過日本福島核電事故后，核電共因故障問題也將成為執(zhí)照申請(qǐng)過程中重點(diǎn)審查的問題之一。

需要明確的是，雖然安全系統(tǒng)軟件共因故障屬于超設(shè)計(jì)基準(zhǔn)，但數(shù)字化保護(hù)系統(tǒng)應(yīng)該采取縱深防御對(duì)策防止共因故障（DI&C-ISG-02）。

5 防止軟件共因故障的措施

HAD102/16將軟件共因故障定義為一個(gè)關(guān)鍵問題，對(duì)保護(hù)系統(tǒng)軟件共因故障的縱深防御方案，目前沒有正式發(fā)布的具有可操性的導(dǎo)則，因此對(duì)設(shè)計(jì)和評(píng)審都存在較大難度。DI&C-ISG-02：“A D3 analysis determines that the two diverse digital systems are not subject to a CCF.”（D3分析表明兩套不同的數(shù)字化系統(tǒng)不會(huì)受到同一共因故障的影響）。

Oconee電站依照ISG導(dǎo)則變更其數(shù)字化安全系統(tǒng)方案，增加了一套獨(dú)立于TXS平臺(tái)的PLC可編程數(shù)字化裝置，作為安全系統(tǒng)的多樣性，經(jīng)NRC評(píng)估后被認(rèn)為可以接受。

此時(shí)，NRC已經(jīng)建立了一套評(píng)價(jià)數(shù)字化安全系統(tǒng)縱深防御方案的方法和驗(yàn)收準(zhǔn)則，ISG-02包括BTP-7-19，NUREG/CR-6303。NRC對(duì)Oconee保護(hù)系統(tǒng)數(shù)字化改造發(fā)布的安全評(píng)估報(bào)告SER3.9.1.5中是這樣描述的：執(zhí)照申請(qǐng)者提交的TXS數(shù)字化保護(hù)系統(tǒng)方案不滿足ISG-02-5關(guān)于CCF的要求。然而，執(zhí)照申請(qǐng)者提交的自動(dòng)多樣化系統(tǒng)，采用Square D(Schneider Electric)SY/MAX Model400 PLC平臺(tái)實(shí)現(xiàn)的多樣化系統(tǒng)滿足10CFR50.62要求，不受TXS保護(hù)系統(tǒng)CCF影響，可接受。

Oconee數(shù)字化保護(hù)系統(tǒng)升級(jí)改造，是NRC首次核準(zhǔn)的數(shù)字化改造方案，其縱深防御的方案應(yīng)作為案例為后期項(xiàng)目參考。

6 DAS在國(guó)內(nèi)應(yīng)用案例

6.1 概念的提出

2005年，方家山核電工程（FJS NPP）前期工作啟動(dòng)，經(jīng)過與多家DCS供應(yīng)商技術(shù)交流，于2006年1月DCS技術(shù)規(guī)范書（草稿）中首次提出防止安全系統(tǒng)軟件共因的多樣性保護(hù)驅(qū)動(dòng)系統(tǒng)（Diverse Actuation System 簡(jiǎn)稱DAS）的概念和要求。

主要功能：

1) 在保護(hù)系統(tǒng)（反應(yīng)堆緊急停堆系統(tǒng)和專設(shè)安全設(shè)施驅(qū)動(dòng)系統(tǒng)）因共因故障不能執(zhí)行安全功能時(shí)，提供多樣化的另一種手段來自動(dòng)停堆和驅(qū)動(dòng)選定的專設(shè)安全設(shè)施；

2) 當(dāng)多樣性保護(hù)驅(qū)動(dòng)系統(tǒng)自動(dòng)功能失效時(shí)，提供多樣化的另一種手段來手動(dòng)停堆和手動(dòng)驅(qū)動(dòng)選定的專設(shè)安全設(shè)施；

3) 提供選定的核電廠參數(shù)及手動(dòng)操作指導(dǎo)的多樣化的另一種監(jiān)測(cè)手段，并確認(rèn)反應(yīng)堆停堆和選定的專設(shè)安全設(shè)施啟動(dòng)。

之后，因工程項(xiàng)目管理模式的變更，最終方案未能實(shí)施。

6.2 應(yīng)用及開發(fā)

2007年，方家山核電工程項(xiàng)目由中國(guó)核電工程有限公司（CNPE）總承包。在與美國(guó)INVENSYS公司就DCS項(xiàng)目進(jìn)行技術(shù)交流時(shí)，INVENSYS根據(jù)NRC審查要求，也提出了針對(duì)安全系統(tǒng)軟件共因故障采用的多樣性縱深防御對(duì)策DAS系統(tǒng)的概念。

2008年2月，CNPE發(fā)布經(jīng)專家討論后的方家山核電工程DCS技術(shù)規(guī)范書,其中對(duì)安全系統(tǒng)軟件共因故障的多樣性縱深防御提出明確要求。同年6月正式發(fā)標(biāo)，12月FJS NPP DCS合同簽予美國(guó)INVENSYS公司。

最終實(shí)施方案：安全儀控系統(tǒng)采用Invensys Tricon數(shù)字化平臺(tái)，包括反應(yīng)堆停堆功能RTS和工程安全設(shè)施驅(qū)動(dòng)功能ESFAS。針對(duì)Tricon系統(tǒng)軟件共因故障（SWCCF）事件,以不同的設(shè)計(jì)、不同的人員、不同的設(shè)備部件，采用Foxboro的I/A數(shù)字化平臺(tái)作為Tricon的多樣性平臺(tái)實(shí)現(xiàn)ATWT、RTS、ESFAS自動(dòng)和系統(tǒng)級(jí)手動(dòng)功能。

7 FJS NPP DAS系統(tǒng)介紹

廣義上的多樣性保護(hù)系統(tǒng)包括在Tricon軟件平臺(tái)發(fā)生共模失效后，所選取的所有在發(fā)生事故時(shí)可用的基于不同于Tricon軟件平臺(tái)的手動(dòng)、自動(dòng)保護(hù)功能及相關(guān)的指示，例如，M310原設(shè)計(jì)中的ECP手動(dòng)保護(hù)功能和ATWT系統(tǒng)，這部分內(nèi)容不在本文描述的范圍內(nèi)。本文重點(diǎn)對(duì)為本項(xiàng)目而特別設(shè)計(jì)的自動(dòng)多樣性保護(hù)系統(tǒng)（DAS）進(jìn)行介紹。

FJS NPP DAS是在D3驗(yàn)證分析工作的基礎(chǔ)上，針對(duì)數(shù)字化安全系統(tǒng)假設(shè)的軟件共因故障設(shè)計(jì)開發(fā)的。D3驗(yàn)證分析工作是在安全系統(tǒng)失效情況下，并且假設(shè)操作員沒有充分的手動(dòng)干預(yù)時(shí)間，采用最佳估算方法進(jìn)行的。D3驗(yàn)證分析同時(shí)證明依靠DAS系統(tǒng)能夠保證事故后果滿足相關(guān)規(guī)定的D3驗(yàn)收準(zhǔn)則，最終證明反應(yīng)堆保護(hù)系統(tǒng)具有多樣性和縱深防御的能力。

7.1 DAS系統(tǒng)功能

根據(jù)多樣性縱深防御分析和事故分析，DAS系統(tǒng)設(shè)置的主要功能：

1）從工藝層和RPN采集、處理相關(guān)變量，并進(jìn)行定值比較；

2）接收來自后備盤BUP和KIC的手動(dòng)控制命令信號(hào)；

3）設(shè)定值比較，產(chǎn)生“1”驅(qū)動(dòng)或停堆輸出信號(hào)；

DAS作為RTS和ESFAS功能的后備，經(jīng)過安全分析，通過調(diào)整定值，使DAS略微滯后于Tricon安全系統(tǒng)動(dòng)作。DAS被設(shè)計(jì)為冗余邏輯表決，最終由優(yōu)選模塊PLM執(zhí)行驅(qū)動(dòng)設(shè)備。允許信號(hào)P4，P7，P11對(duì)DAS系統(tǒng)有效，如圖1所示。

DAS系統(tǒng)設(shè)計(jì)要求：

1）采用適當(dāng)冗余結(jié)構(gòu)；

2）失去廠外電源后系統(tǒng)仍然有效；

3）可維修性；

4）可試驗(yàn)性；

5）系統(tǒng)響應(yīng)時(shí)間：500 ms，通過定值設(shè)定使DAS系統(tǒng)比主保護(hù)系統(tǒng)動(dòng)作滯后300 ms，保證主保護(hù)系統(tǒng)先動(dòng)；

6）滿足單一故障準(zhǔn)則。

上述例子中“綠色2”不加引號(hào)使用仍靈活自由，不會(huì)引起語(yǔ)病和歧義，使用的語(yǔ)境大到治國(guó)理念、方針政策，小到生活用語(yǔ)口語(yǔ)表達(dá)，這說明“綠色2”已深入人心，語(yǔ)言使用者已對(duì)此達(dá)成共識(shí)。

7.2 保護(hù)信號(hào)

經(jīng)過安全分析，DAS系統(tǒng)選取的信號(hào)如下（相關(guān)的定值正在分析驗(yàn)證中）：

1）緊急停堆信號(hào)

—穩(wěn)壓器壓力低與P7符合；

— 穩(wěn)壓器壓力高；

—至少兩條冷卻劑環(huán)路流量低與P7符合；

—功率量程中子注量率高（高定值）；

—由安注引發(fā)的停堆。

2）安注信號(hào)

—穩(wěn)壓器壓力低低安注（P11閉鎖）；

—主蒸汽管道隔離；

—蒸汽管道壓力低與蒸汽管道流量高符合。

3）汽輪機(jī)跳閘

—由停堆所引發(fā)的汽機(jī)跳閘。

4）相關(guān)允許信號(hào)

— P4、P7、P11。

7.3 DAS接口關(guān)系（見圖2）

1）DAS—RPN

通過硬接線連接，接收核測(cè)信號(hào)（RPN采用RRCN的SPINLINE3 IE級(jí)數(shù)字化平臺(tái)）。

2）DAS—RPS

圖1 DAS自動(dòng)功能圖Fig.1 DAS function diagram

圖2 DAS接口關(guān)系圖Fig.2 DAS interface diagram

硬接線連接，通過保護(hù)隔離模塊（不包含軟件）從ARE、PTR、RCP、VVP接收模擬量信號(hào)。

3）DAS—PLM Cabinets

硬接線連接，DAS輸出控制信號(hào)通過隔離后送至優(yōu)選模塊，再送至ASG、DVH、DVW、RCV、RIS、RRI、SEC等系統(tǒng)設(shè)備。

4）DAS—RGL

硬接線連接，送停堆信號(hào)至RGL。DAS產(chǎn)生的停堆信號(hào)并未送至停堆斷路器，而是直接至控制棒電源柜，通過切斷控制棒動(dòng)力電源實(shí)現(xiàn)緊急停堆。使控制棒電源失電，并反饋停堆信號(hào)（RGL采用Schneider PLC數(shù)字化平臺(tái)）。

5）DAS—GSE

硬接線連接，送停機(jī)信號(hào)至GSE，并接收GSE停機(jī)反饋信號(hào)（GSE采用ALSTOM ALSPA P320數(shù)字化平臺(tái)）。

6）DAS—NC+ (I/A)

硬接線或網(wǎng)絡(luò)連接，控制信號(hào)通過硬接線至NC+ (I/A)APG、RRI、SEC系統(tǒng)。

7）DAS—KIC

網(wǎng)絡(luò)連接，送指示、報(bào)警信號(hào)至KIC系統(tǒng)。

8）DAS—BUP

硬接線連接，用于BUP的控制信號(hào)、指示、報(bào)警。

7.4 DAS設(shè)備可靠性、可用性要求及性能指標(biāo)

1）采用I/A非安全級(jí)平臺(tái)，抗震I類；

2）模塊精度+/-0.1%，采樣時(shí)間小于100 ms；

3）質(zhì)保：

—硬件(H/W): ISO9001 with Seismic CAT1 applied；

—系統(tǒng)軟件(S/W): ISO9003；

—應(yīng)用軟件: IEC62138。

7.5 FJS NPP安全儀控系統(tǒng)與ISG-02的符合性

FJS NPP安全儀控系統(tǒng)與ISG-02的符合性如表1所示。

8 DAS還有待研究和討論的問題

FJS NPP DAS是國(guó)內(nèi)首次采用的，針對(duì)保護(hù)系統(tǒng)SWCCF的D3應(yīng)用，其中還有很多需要深入研究的問題，如：

1）雖然DAS是一個(gè)超設(shè)計(jì)基準(zhǔn)的D3措施，但必須評(píng)估DAS系統(tǒng)對(duì)相關(guān)規(guī)程的影響，并編寫或修改相關(guān)規(guī)程；

2）論證RPN、RGL、GSE與Tricon，I/A平臺(tái)在設(shè)計(jì)、人員、設(shè)備部件方面的多樣性的必要性；

3）DAS人機(jī)界面的開發(fā)；

4）設(shè)備級(jí)手動(dòng)開關(guān)的布置；

5）對(duì)運(yùn)行技術(shù)規(guī)范書的影響等。

9 安全系統(tǒng)數(shù)字化的發(fā)展方向

數(shù)字化安全系統(tǒng)軟件共因的縱深防御，使系統(tǒng)設(shè)計(jì)、安全分析和安全評(píng)審變得復(fù)雜化，為避免這一復(fù)雜過程，有些項(xiàng)目甚至不惜放棄數(shù)字化的優(yōu)勢(shì)，而采用傳統(tǒng)模擬技術(shù)的邏輯控制方式。因此，一些廠商準(zhǔn)備開發(fā)能夠降低軟件共因故障概率的安全級(jí)數(shù)字化產(chǎn)品和方案，如廣利核公司2010年10月發(fā)布的Firm Sys平臺(tái)（目前已應(yīng)用于清華大學(xué)高溫氣冷堆的保護(hù)系統(tǒng)）。還有一些防御軟件共因故障的概念設(shè)計(jì)，如兩個(gè)系列采用不同數(shù)字化平臺(tái)的概念，但應(yīng)用難度較大。而目前最新發(fā)展的現(xiàn)場(chǎng)可編程門陣列FPGA（Field－Programmable Gate Array）技術(shù)是比較可行的一種選擇方向。

FPGA是在可編程陣列邏輯PAL（Programmable Array Logic）、通用陣列邏輯GAL（Generic Array Logic）、復(fù)雜可編程邏輯器件CPLD（Complex Programmable Logic Device）等可編程器件的基礎(chǔ)上進(jìn)一步發(fā)展的產(chǎn)物。它是作為專用集成電路（ASIC）領(lǐng)域中的一種半定制電路而出現(xiàn)的，既解決了定制電路的不足，又克服了原有可編程器件門電路數(shù)有限的缺點(diǎn)。

采用FPGA技術(shù)使得軟件的量化評(píng)估成為可

能，可測(cè)試性增強(qiáng)，邏輯設(shè)計(jì)錯(cuò)誤大大降低，使軟件錯(cuò)誤發(fā)生率降至最小。另外FPGA不依賴于更為復(fù)雜的系統(tǒng)軟件的運(yùn)行，以固化可編程邏輯的方式獨(dú)立運(yùn)行，更適合于應(yīng)用到核電安全系統(tǒng)。

表1 FJS NPP 安全儀控系統(tǒng)與ISG-02對(duì)照表Table1 Comparison between FJS NPP DAS and ISG-02

在NRC官方網(wǎng)站數(shù)字化儀控專題的常見問題中，針對(duì)FPGA有這樣的回答：

為什么說FPGA技術(shù)比微處理器技術(shù)受軟件共因故障的影響更??？

答：因?yàn)楝F(xiàn)場(chǎng)可編程門陣列技術(shù)比微處理器技術(shù)相對(duì)簡(jiǎn)單，F(xiàn)PGA僅與應(yīng)用功能直接相關(guān)，其應(yīng)用系統(tǒng)的復(fù)雜性遠(yuǎn)遠(yuǎn)低于基于微處理器的系統(tǒng)應(yīng)用。FPGA不依靠連續(xù)運(yùn)行的軟件，而是通過固化的可編程邏輯直接對(duì)輸入信號(hào)進(jìn)行處理。

2009年N R C已經(jīng)發(fā)布了《Review Guidelines for FPGA in Nuclear Power Plant Safety Systems》FPGA應(yīng)用于核電安全系統(tǒng)的審查導(dǎo)則。

可以預(yù)見，未來新型核電安全數(shù)字化系統(tǒng)，F(xiàn)PGA技術(shù)將全面取代目前的基于微處理器技術(shù)，使錯(cuò)綜復(fù)雜的安全系統(tǒng)軟件共因故障問題得以避免。

[1]蔣祖躍.秦山核電廠反應(yīng)堆保護(hù)系統(tǒng)及其相關(guān)設(shè)備數(shù)字化改造規(guī)劃和實(shí)施策略[J].原子能科學(xué)技術(shù)，2010,44（1）.（JIANG Zu-yue. The digitization renovation plan and implementation strategy for Qinshan reactor protection system and other relevant equipment [J]. Atomic Energy Science and Technology,2010,44(1).）

[2]朱毅明.核電站數(shù)字化控制系統(tǒng)的應(yīng)用和發(fā)展[R].中國(guó)儀器儀表，2010.（ZHU Yi-ming. Application and development of digitized control system of nuclear power plant [R]. Instrumentation in China,2010.）

[3]周海祥.核電廠數(shù)字化反應(yīng)堆保護(hù)系統(tǒng)結(jié)構(gòu)可靠性研究[D].哈爾濱：哈爾濱工業(yè)大學(xué)，2006.（ZHOU Haixiang. Structural reliability study for digitized reactor protection system of nuclear power plant [D]. Harbin: Harbin Industry University,2006.）

[4]李明宗.美國(guó)OCONEE 核能電廠安全儀控系統(tǒng)數(shù)位化更新經(jīng)驗(yàn)[R].臺(tái)灣:臺(tái)灣電力公司，1999.（L I Ming-zong. Digitization updating experience for the safety I&C system of US Oconee NPP [R].Taiwan: Taiwan Power Company,1999.）

[5]NRC. Digital Instrumentation and Control System in Nuclear Power Plants.[R].Washington,D.C.NATIONNAL ACADEMY，1997.

[6]George E. Apostolakis.Digital Instrumentation and Control Issues in Nuclear Reactor Safety[R].US:Harvard University，2004.

[7]NRC. SAFETY EVALUATION BY THE OFFICE OF NUCLEAR REACTOR REGULATION RELATED TO AMENDMENT NO.366 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-38 AND DUKE ENERGY CAROLINAS, LLC AMENDMENT NO.368 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-47 AMENDMENT NO.367 TO RENEWED FACILITY OPERATING LICENSE NO. DPR-55 OCONEE NUCLEAR STATION,UNITS1,2, AND3.2010.

[8]Takaki Mishima.Construction and operation experience of digitalized Safety Systems of Japanese ABWR[R]，2009.