曾 海

（國(guó)核自?xún)x系統(tǒng)工程有限公司，上海 200233）

NuPAC是國(guó)核自?xún)x系統(tǒng)工程有限公司和洛克希德馬丁公司合作開(kāi)發(fā)的安全儀控系統(tǒng)平臺(tái)。NuPAC平臺(tái)采用現(xiàn)場(chǎng)可編程門(mén)陣列技術(shù)（FPGA），具有和傳統(tǒng)分散式控制系統(tǒng)（DCS）或可編程邏輯控制器（PLC）的集中式結(jié)構(gòu)不同的分散式系統(tǒng)結(jié)構(gòu)。

基于NuPAC 的大型先進(jìn)壓水堆核電廠反應(yīng)堆保護(hù)系統(tǒng)為電廠在正?；虍惓Ｇ闆r下提供保護(hù)。反應(yīng)堆保護(hù)系統(tǒng)設(shè)備（包括電氣、機(jī)械、可編程邏輯和軟件部件）監(jiān)測(cè)反應(yīng)堆的狀態(tài)，并產(chǎn)生反應(yīng)堆停堆和專(zhuān)設(shè)安全設(shè)施觸發(fā)信號(hào)。此外，反應(yīng)堆保護(hù)系統(tǒng)提供事故后監(jiān)測(cè)功能來(lái)監(jiān)測(cè)設(shè)計(jì)基準(zhǔn)事故過(guò)程中和事故后反應(yīng)堆的狀態(tài)。為保證反應(yīng)堆保護(hù)系統(tǒng)的可利用率，以及保證系統(tǒng)性能滿(mǎn)足規(guī)定的要求，反應(yīng)堆保護(hù)系統(tǒng)提供定期監(jiān)督測(cè)試功能?；贜uPAC 的反應(yīng)堆保護(hù)系統(tǒng)支持在線定期測(cè)試功能，同時(shí)也支持在線診斷和維護(hù)功能?；贜uPAC 的反應(yīng)堆保護(hù)系統(tǒng)提供與其他儀控系統(tǒng)和設(shè)備的外部接口，如傳感器、執(zhí)行機(jī)構(gòu)、開(kāi)關(guān)以及非安全控制系統(tǒng)等。

本文分析基于NuPAC 的反應(yīng)堆保護(hù)系統(tǒng)的關(guān)鍵特性，歸納的反應(yīng)堆保護(hù)系統(tǒng)關(guān)鍵特性將體現(xiàn)于系統(tǒng)需求規(guī)范和系統(tǒng)詳細(xì)設(shè)計(jì)需求規(guī)范中，以確保最終的反應(yīng)堆保護(hù)系統(tǒng)設(shè)備具備本文描述的關(guān)鍵特性。

1 源數(shù)據(jù)分析

反應(yīng)堆保護(hù)系統(tǒng)關(guān)鍵特性的分析開(kāi)始于設(shè)計(jì)團(tuán)隊(duì)組織的一次頭腦風(fēng)暴會(huì)議。在頭腦風(fēng)暴會(huì)議中，每位團(tuán)隊(duì)成員均認(rèn)真思考并提出他或她認(rèn)為重要的系統(tǒng)特性。會(huì)議共發(fā)現(xiàn)了34個(gè)系統(tǒng)特性。進(jìn)一步分析發(fā)現(xiàn)，有些系統(tǒng)特性只是風(fēng)險(xiǎn)而不是系統(tǒng)特性；而根據(jù)法規(guī)標(biāo)準(zhǔn)要求有必要增加新的系統(tǒng)特性；此外，有些系統(tǒng)特性相近，可合并。通過(guò)分析確定了14個(gè)系統(tǒng)關(guān)鍵特性（表1）。

本文對(duì)每個(gè)關(guān)鍵特性根據(jù)其分級(jí)因子如可能性（如果無(wú)正確設(shè)計(jì)則不滿(mǎn)足該關(guān)鍵特性的可能性）、重要性及可檢測(cè)性分配分值，表2列出分級(jí)因子及其對(duì)應(yīng)的分值。根據(jù)3個(gè)分級(jí)因子分值的乘積，可確定關(guān)鍵特性的重要等級(jí)。

表1 關(guān)鍵特性Table 1 List of key characteristics

表2 分級(jí)因子及其分值Table 2 Grade factor and value

2 相關(guān)性分析

關(guān)鍵特性是反應(yīng)堆保護(hù)系統(tǒng)最重要的設(shè)計(jì)特征。為保證系統(tǒng)設(shè)計(jì)滿(mǎn)足關(guān)鍵特性，需進(jìn)行相關(guān)性分析。此外，通過(guò)相關(guān)性分析也會(huì)顯示關(guān)鍵特性如何體現(xiàn)于系統(tǒng)設(shè)計(jì)以及詳細(xì)設(shè)計(jì)中。

2.1 單一故障準(zhǔn)則

單一故障準(zhǔn)則是反應(yīng)堆保護(hù)系統(tǒng)需滿(mǎn)足的一條系統(tǒng)頂層需求，10CFR 50［1］附件A 第21條規(guī)定“單一故障不能導(dǎo)致保護(hù)功能喪失”，IEEE 603—1991［2］第5.1 節(jié) 中 也 規(guī) 定“安全系統(tǒng)應(yīng)在以下情況下執(zhí)行設(shè)計(jì)基準(zhǔn)事故要求的安全功能：1）安全系統(tǒng)發(fā)生單個(gè)可探測(cè)的故障，同時(shí)發(fā)生所有可識(shí)別但不可探測(cè)的故障；2）單一故障引起的所有故障；3）由于故障和誤停堆引起的設(shè)計(jì)基準(zhǔn)事故，或要求安全功能動(dòng)作的設(shè)計(jì)基準(zhǔn)事故導(dǎo)致的所有故障和誤停堆?！?/p>

反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)通過(guò)采用IEEE 379—2000［3］中規(guī)定的方法來(lái)滿(mǎn)足單一故障準(zhǔn)則。IEEE 379—2000［3］第5.1節(jié)規(guī)定“獨(dú)立性原則是有效應(yīng)用單一故障準(zhǔn)則的基礎(chǔ)。安全系統(tǒng)的設(shè)計(jì)應(yīng)保證部件的單一故障不會(huì)影響?yīng)毩⒌娜哂嗖考蛳到y(tǒng)的正確運(yùn)行。”由此可見(jiàn)，冗余和獨(dú)立是反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)采用的兩種有效的滿(mǎn)足單一故障準(zhǔn)則的方法。

基于NuPAC 設(shè)計(jì)的反應(yīng)堆保護(hù)系統(tǒng)由4個(gè)冗余序列組成，當(dāng)某個(gè)序列被旁通進(jìn)行維護(hù)或測(cè)試時(shí)，系統(tǒng)仍滿(mǎn)足單一故障準(zhǔn)則。系統(tǒng)的每個(gè)序列均具有雙冗余的雙穩(wěn)邏輯子系統(tǒng)和符合邏輯子系統(tǒng)，可在不旁通該序列的情況下對(duì)每個(gè)子系統(tǒng)進(jìn)行維護(hù)和測(cè)試，從而不降低系統(tǒng)的可利用率。4個(gè)序列設(shè)備的供電電源也是冗余的。

IEEE 384—1992［4］規(guī)定，實(shí)體分隔和電氣隔離是獲得系統(tǒng)冗余序列之間的獨(dú)立性的方法。反應(yīng)堆保護(hù)系統(tǒng)4個(gè)序列的設(shè)備分別位于4個(gè)隔離的設(shè)備間內(nèi)。4個(gè)序列的電纜橋架之間及安全級(jí)電纜橋架和非安全電纜橋架之間通過(guò)屏障或距離進(jìn)行分隔。此外，進(jìn)出機(jī)柜的不同序列的電纜、機(jī)柜內(nèi)不同序列的電纜槽及不同電壓等級(jí)的電纜槽之間均按IEEE 384—1992的要求進(jìn)行隔離。

系統(tǒng)序列之間的接口進(jìn)行電氣隔離以保證某序列內(nèi)部部件的故障不會(huì)影響其他序列的功能。反應(yīng)堆保護(hù)系統(tǒng)和非安全系統(tǒng)之間進(jìn)行電氣隔離和通信隔離，通信隔離滿(mǎn)足IEEE 7-4.3.2—2003［5］附件E中通信獨(dú)立性的要求。

單一故障準(zhǔn)則以及與之相關(guān)的冗余和獨(dú)立性原則與反應(yīng)堆保護(hù)系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)、供電設(shè)計(jì)、電纜橋架和電纜槽設(shè)計(jì)、系統(tǒng)通信以及隔離設(shè)備等相關(guān)，在系統(tǒng)設(shè)計(jì)階段將按IEEE 379—2000以及IEEE 352—1987［6］的要求進(jìn)行單一故障分析。

2.2 完整性

IEEE 603—1991［2］中規(guī)定“安全系統(tǒng)應(yīng)在設(shè)計(jì)基準(zhǔn)所列的全部適用條件下完成所承擔(dān)的安全功能”，這里“全部適用條件”包括設(shè)計(jì)基準(zhǔn)事故引起的全部正常或異常的供電和環(huán)境條件，如電壓、頻率、溫度、濕度、壓力、沖擊、振動(dòng)、地震、電磁干擾以及輻射等。反應(yīng)堆保護(hù)系統(tǒng)應(yīng)進(jìn)行各種環(huán)境鑒定試驗(yàn)，包括電壓和頻率瞬態(tài)試驗(yàn)、溫度試驗(yàn)、濕度試驗(yàn)、壓力試驗(yàn)、沖擊試驗(yàn)、振動(dòng)試驗(yàn)、抗震試驗(yàn)、電磁干擾試驗(yàn)、輻照試驗(yàn)等以確保系統(tǒng)的完整性。

反應(yīng)堆保護(hù)系統(tǒng)設(shè)備安裝于抗震機(jī)柜內(nèi)，設(shè)備和部件的機(jī)械設(shè)計(jì)應(yīng)滿(mǎn)足相應(yīng)的抗震要求。反應(yīng)堆保護(hù)系統(tǒng)設(shè)備將根據(jù)IEEE 344—2004［7］的要求進(jìn)行抗震分析，以保證系統(tǒng)在地震條件下的完整性。

反應(yīng)堆保護(hù)系統(tǒng)機(jī)柜和機(jī)箱的散熱設(shè)計(jì)確保系統(tǒng)運(yùn)行時(shí)的溫度條件在規(guī)定限值范圍內(nèi)。機(jī)柜冷卻裝置確保系統(tǒng)設(shè)備和部件在核電廠正常和異常溫度條件下的充分冷卻。

反應(yīng)堆保護(hù)系統(tǒng)的信號(hào)處理部件的設(shè)計(jì)可確保在發(fā)生異常，如輸入輸出處理故障、精度或圓整問(wèn)題、系統(tǒng)恢復(fù)錯(cuò)誤、電壓和頻率波動(dòng)等情況下保持安全功能。測(cè)試和校驗(yàn)功能及安全功能分別由不同的子系統(tǒng)承擔(dān)，以保證測(cè)試和校驗(yàn)功能不影響安全功能。

反應(yīng)堆保護(hù)系統(tǒng)設(shè)備機(jī)柜按IEEE 1050—1996［8］的要求進(jìn)行正確接地，以降低外部干擾的影響。數(shù)字處理部件的自檢功能以及系統(tǒng)的自診斷子系統(tǒng)可檢測(cè)部件、子系統(tǒng)和序列的故障。系統(tǒng)完整性與整個(gè)系統(tǒng)、系統(tǒng)所有部件、系統(tǒng)功能設(shè)計(jì)及系統(tǒng)測(cè)試需求相關(guān)。

2.3 質(zhì)量

反應(yīng)堆保護(hù)系統(tǒng)的質(zhì)量由系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)和生產(chǎn)過(guò)程的質(zhì)保程序來(lái)保證。

反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計(jì)和開(kāi)發(fā)過(guò)程按技術(shù)支持過(guò)程（TSP）的要求組織進(jìn)行，TSP 是按10CFR 50附件B［9］以及HAF 003［10］的要求設(shè)計(jì)的反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)開(kāi)發(fā)流程；反應(yīng)堆保護(hù)系統(tǒng)的生產(chǎn)制造也將符合HAF 003的要求；系統(tǒng)的獨(dú)立驗(yàn)證和確認(rèn)活動(dòng)滿(mǎn)足IEEE 1012—1998［11］的要求；對(duì)于系統(tǒng)采用的商業(yè)級(jí)物項(xiàng)，也將按EPRI 106439—1996［12］的要求進(jìn)行商業(yè)級(jí)物項(xiàng)認(rèn)證。

反應(yīng)堆保護(hù)系統(tǒng)的質(zhì)量特性與設(shè)計(jì)、開(kāi)發(fā)以及生產(chǎn)活動(dòng)中的質(zhì)保程序相關(guān)，通過(guò)質(zhì)保程序中規(guī)定的質(zhì)?；顒?dòng)來(lái)保證。

2.4 確定性

反應(yīng)堆保護(hù)系統(tǒng)的確定性特性和系統(tǒng)執(zhí)行的安全功能相關(guān)。10CFR 50附件A 通用設(shè)計(jì)準(zhǔn)則［1］第20條規(guī)定“保護(hù)系統(tǒng)應(yīng)設(shè)計(jì)為（1）自動(dòng)觸發(fā)包括反應(yīng)性控制系統(tǒng)在內(nèi)的相關(guān)系統(tǒng)的動(dòng)作，以確保在預(yù)期運(yùn)行事件下不會(huì)超出規(guī)定的燃料設(shè)計(jì)限值，并且（2）探測(cè)事故狀態(tài)，并觸發(fā)安全重要的系統(tǒng)和設(shè)備運(yùn)行?！被贜uPAC的反應(yīng)堆保護(hù)系統(tǒng)將自動(dòng)觸發(fā)反應(yīng)堆停堆和專(zhuān)設(shè)安全設(shè)施動(dòng)作以緩解設(shè)計(jì)基準(zhǔn)事故的后果。反應(yīng)堆停堆和專(zhuān)設(shè)安全設(shè)施將自動(dòng)觸發(fā)直到動(dòng)作完成。按IEEE 603—1991［2］第6.6 和6.7節(jié)的方法，系統(tǒng)的運(yùn)行旁通和維護(hù)旁通不會(huì)影響安全功能的自動(dòng)觸發(fā)。

反應(yīng)堆保護(hù)系統(tǒng)的確定性也與系統(tǒng)的故障安全模式相關(guān)。10CFR 50 附件A 通用設(shè)計(jì)準(zhǔn)則［1］第23條規(guī)定“當(dāng)發(fā)生下列情況，比如系統(tǒng)斷開(kāi)、失去動(dòng)力源（如電源、儀表空氣），或出現(xiàn)假設(shè)的惡劣環(huán)境時(shí)（如極熱或極冷、火災(zāi)、壓力、蒸汽、水和輻射），反應(yīng)堆保護(hù)系統(tǒng)應(yīng)設(shè)計(jì)為故障時(shí)進(jìn)入安全狀態(tài)，或故障時(shí)進(jìn)入設(shè)計(jì)基準(zhǔn)能夠接受的狀態(tài)?！狈磻?yīng)堆停堆功能設(shè)計(jì)為失電觸發(fā)以滿(mǎn)足故障安全要求。專(zhuān)設(shè)安全設(shè)施觸發(fā)功能設(shè)計(jì)為得電觸發(fā)以防止安全系統(tǒng)的誤動(dòng)作。反應(yīng)堆保護(hù)系統(tǒng)的自診斷功能能夠檢測(cè)系統(tǒng)部件的故障，出現(xiàn)嚴(yán)重故障（如核心FPGA 或應(yīng)用FPGA 芯片故障）時(shí)，自動(dòng)產(chǎn)生停堆觸發(fā)命令。

反應(yīng)堆保護(hù)系統(tǒng)的確定性也與反應(yīng)堆停堆和專(zhuān)設(shè)安全設(shè)施觸發(fā)功能的邏輯實(shí)現(xiàn)有關(guān)。FPGA 中的有限狀態(tài)機(jī)將確保功能邏輯執(zhí)行的確定性。

反應(yīng)堆保護(hù)系統(tǒng)的確定性也與通信以及系統(tǒng)的安全顯示相關(guān)。根據(jù)導(dǎo)則DI＆C-ISG-04—2009［13］的要求，系統(tǒng)序列間通信、序列內(nèi)通信以及和非安全系統(tǒng)之間的通信將采用確定的點(diǎn)對(duì)點(diǎn)串行通信。此外，反應(yīng)堆保護(hù)系統(tǒng)的安全顯示是確定的，顯示信息將以固定的刷新率周期性地進(jìn)行傳輸和刷新。

2.5 多樣性和縱深防御（D3）

儀控系統(tǒng)采用的數(shù)字計(jì)算機(jī)技術(shù)引起的影響安全的共模故障是安審機(jī)構(gòu)關(guān)注的重點(diǎn)之一。SECY 93-087 ⅡQ—1993［14］指出“共模故障可導(dǎo)致硬件結(jié)構(gòu)的冗余失效，也可導(dǎo)致由數(shù)字儀控系統(tǒng)執(zhí)行的監(jiān)測(cè)、控制、反應(yīng)堆保護(hù)、專(zhuān)設(shè)安全功能提供的一道或多道縱深防御屏障的喪失。”導(dǎo)則NUREG 0493A［15］描述了對(duì)1 個(gè)基于數(shù)字計(jì)算機(jī)的反應(yīng)堆保護(hù)系統(tǒng)的多樣性和縱深防御分析，分析表明該系統(tǒng)采用縱深防御屏障之間的一定程度的隔離來(lái)實(shí)現(xiàn)對(duì)共因故障的防御（NUREG 0800BTP 7-19［16］）。

反應(yīng)堆保護(hù)系統(tǒng)采用DI＆C-ISG-02—2009［17］和RG 1.152—2011［18］中規(guī)定的方法提供多樣性和縱深防御措施。反應(yīng)堆保護(hù)系統(tǒng)由反應(yīng)堆停堆系統(tǒng)、專(zhuān)設(shè)安全設(shè)施觸發(fā)系統(tǒng)和事故后監(jiān)測(cè)系統(tǒng)組成，根據(jù)NUREG 0800BTP 7-19［16］的規(guī)定，這3個(gè)系統(tǒng)構(gòu)成了抵御共因故障的3道屏障。此外，基于FPGA 技術(shù)的反應(yīng)堆保護(hù)系統(tǒng)和基于CPU 及軟件技術(shù)的控制系統(tǒng)之間是多樣的。

反應(yīng)堆保護(hù)系統(tǒng)在主控室為停堆和專(zhuān)設(shè)安全設(shè)施的手動(dòng)觸發(fā)提供了監(jiān)測(cè)和控制手段。作為自動(dòng)停堆的后備，手動(dòng)停堆信號(hào)通過(guò)硬接線送至系統(tǒng)設(shè)備驅(qū)動(dòng)輸出的下游，即送至停堆斷路器控制回路。來(lái)自主控室安全盤(pán)操作開(kāi)關(guān)的專(zhuān)設(shè)安全設(shè)施的手動(dòng)驅(qū)動(dòng)信號(hào)通過(guò)硬接線送至符合邏輯子系統(tǒng)。

10CFR 50附件A 通用設(shè)計(jì)準(zhǔn)則［1］第22條規(guī)定“設(shè)計(jì)技術(shù)，比如功能多樣性、部件多樣性和運(yùn)行多樣性，應(yīng)盡可能采用以防止保護(hù)功能的喪失。”反應(yīng)堆保護(hù)系統(tǒng)采用功能多樣性設(shè)計(jì)技術(shù)，對(duì)核電廠的每個(gè)設(shè)計(jì)基準(zhǔn)事故均設(shè)置了2個(gè)以上不同的保護(hù)參數(shù)進(jìn)行監(jiān)測(cè)和保護(hù)。

2.6 可靠性

反應(yīng)堆保護(hù)系統(tǒng)應(yīng)具有較高的可靠性：1）系統(tǒng)拒動(dòng)概率應(yīng)小于1.2×10-5；2）引起電廠停機(jī)的系統(tǒng)故障概率應(yīng)小于0.002 次／年。反應(yīng)堆保護(hù)系統(tǒng)的定性和定量可靠性分析將提供系統(tǒng)可靠性的分析和證明。

系統(tǒng)的4冗余設(shè)計(jì)極大地提高了系統(tǒng)的可靠性，此外，系統(tǒng)部件充分的平均無(wú)故障時(shí)間（MTBF）也為系統(tǒng)可靠性提供了保障。

2.7 安保性

2001年9月11日發(fā)生在美國(guó)紐約的恐怖襲擊事件引起了核安全監(jiān)管機(jī)構(gòu)對(duì)核電廠安全系統(tǒng)安保問(wèn)題的關(guān)注。10CFR 73.54［19］的部分條款中要求，電站許可證申請(qǐng)單位應(yīng)確保數(shù)字計(jì)算機(jī)和通信系統(tǒng)及網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊。

RG 1.152—2011［18］規(guī)定反應(yīng)堆保護(hù)系統(tǒng)應(yīng)置于安全的開(kāi)發(fā)環(huán)境和運(yùn)行環(huán)境中。反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)開(kāi)發(fā)項(xiàng)目建立了數(shù)字安保計(jì)劃，建立了與互聯(lián)網(wǎng)隔離的并受控的集中式信息系統(tǒng)。對(duì)該信息系統(tǒng)的訪問(wèn)設(shè)置了物理和邏輯上的權(quán)限控制。安裝于集中式信息系統(tǒng)上的配置管理系統(tǒng)，以及驗(yàn)證和確認(rèn)活動(dòng)可以消除對(duì)安全系統(tǒng)軟件的無(wú)意的、不需要的和不期望的修改。

根據(jù)IEEE 603—1991［2］第5.9節(jié)的要求，反應(yīng)堆保護(hù)系統(tǒng)將提供行政權(quán)限控制措施，這些措施將包括門(mén)鎖、鑰匙開(kāi)關(guān)以及登陸密碼。

反應(yīng)堆保護(hù)系統(tǒng)和非安全控制系統(tǒng)之間的單向通信保證安全功能不會(huì)受到與之連接的非安全控制系統(tǒng)的影響，用戶(hù)也無(wú)法通過(guò)控制系統(tǒng)訪問(wèn)反應(yīng)堆保護(hù)系統(tǒng)。

當(dāng)可編程邏輯下載燒寫(xiě)到FPGA 芯片形成FPGA 芯片內(nèi)的硬件電路后，這些硬件電路不會(huì)受到數(shù)字攻擊的影響。對(duì)FPGA 芯片的修改和訪問(wèn)需要特殊的工具和接口，當(dāng)系統(tǒng)運(yùn)行時(shí)這些工具和接口會(huì)被移除。

2.8 可操作性

雖然反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計(jì)可保證設(shè)計(jì)基準(zhǔn)事故發(fā)生后72h內(nèi)無(wú)需操縱員干預(yù)，但系統(tǒng)也提供了手動(dòng)操作所需的人機(jī)界面資源。反應(yīng)堆保護(hù)系統(tǒng)的人機(jī)界面資源包括主控室的安全盤(pán)、輔助控制室的非安全盤(pán)、主控室的安全顯示界面以及設(shè)備控制機(jī)柜內(nèi)的設(shè)備就地操作面板。所有人機(jī)界面的設(shè)計(jì)均滿(mǎn)足IEEE 1023—2004［20］的要求。

主控室安全盤(pán)上的手操開(kāi)關(guān)提供安全功能的手動(dòng)觸發(fā)手段，來(lái)自手操開(kāi)關(guān)的手動(dòng)觸發(fā)信號(hào)送入反應(yīng)堆保護(hù)系統(tǒng)的符合邏輯子系統(tǒng)中。主控室安全盤(pán)手操開(kāi)關(guān)的設(shè)計(jì)應(yīng)滿(mǎn)足IEEE 603—1991［2］第5節(jié)和第6.2節(jié)的要求。

位于主控室的反應(yīng)堆保護(hù)系統(tǒng)安全顯示也提供軟操界面。系統(tǒng)軟操功能包括對(duì)某些可能導(dǎo)致嚴(yán)重后果的安全設(shè)備的部件級(jí)手動(dòng)操作、保護(hù)功能的阻止和復(fù)位操作以及核測(cè)信號(hào)的校驗(yàn)功能。主控室安全顯示界面設(shè)計(jì)滿(mǎn)足IEEE 603—1991［2］第5.8節(jié)要求，提供的信息顯示滿(mǎn)足RG 1.97—2003［21］和IEEE 497—2002［22］的要求。安全顯示的畫(huà)面設(shè)計(jì)符合NUREG 700［23］和NUREG 711［24］的要求。

當(dāng)發(fā)生火災(zāi)等事故導(dǎo)致主控室不可居留時(shí)，輔助控制室的非安全盤(pán)上的手操開(kāi)關(guān)為操縱員提供了后備的手操手段。來(lái)自輔助控制點(diǎn)非安全盤(pán)手操開(kāi)關(guān)的手動(dòng)觸發(fā)信號(hào)經(jīng)光電隔離后送至反應(yīng)堆保護(hù)系統(tǒng)符合邏輯子系統(tǒng)。操縱員在輔助控制點(diǎn)手動(dòng)操作所需的信息來(lái)自非安全顯示界面。主控室的手操開(kāi)關(guān)和輔助控制點(diǎn)的手操開(kāi)關(guān)間通過(guò)轉(zhuǎn)換開(kāi)關(guān)進(jìn)行聯(lián)鎖，保證僅有來(lái)自一個(gè)地方（主控室安全盤(pán)或輔助控制點(diǎn)非安全盤(pán)）的反應(yīng)堆保護(hù)系統(tǒng)手動(dòng)操作有效。

反應(yīng)堆保護(hù)系統(tǒng)安全顯示界面也為引起嚴(yán)重后果的安全設(shè)備提供部件級(jí)的手動(dòng)軟操功能，此外所有反應(yīng)堆保護(hù)系統(tǒng)控制的安全級(jí)和非安全級(jí)設(shè)備均可通過(guò)設(shè)備控制模塊的就地操作面板進(jìn)行手動(dòng)操作。

2.9 兼容性

基于NuPAC平臺(tái)的反應(yīng)堆保護(hù)系統(tǒng)的目標(biāo)用戶(hù)是CAP系列大型先進(jìn)壓水堆核電廠，因此，反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計(jì)應(yīng)和目前及未來(lái)的CAP系列核電廠設(shè)計(jì)相匹配，反應(yīng)堆保護(hù)系統(tǒng)的性能，如通道精度和通道響應(yīng)時(shí)間應(yīng)滿(mǎn)足目前CAP核電廠的要求。

NuPAC 平臺(tái)提供足夠的能力，可實(shí)現(xiàn)CAP系列核電廠要求的反應(yīng)堆停堆、專(zhuān)設(shè)安全設(shè)施觸發(fā)、事故后監(jiān)測(cè)以及維護(hù)和測(cè)試等功能。NuPAC平臺(tái)也可實(shí)現(xiàn)所要求的設(shè)備控制和優(yōu)選控制邏輯功能。NuPAC 平臺(tái)能實(shí)現(xiàn)復(fù)雜的算法，如超功率ΔT 計(jì)算、超溫ΔT 計(jì)算，甚至偏離泡核沸騰比計(jì)算。NuPAC 平臺(tái)為反應(yīng)堆保護(hù)系統(tǒng)提供與其他系統(tǒng)和設(shè)備接口必需的輸入輸出信號(hào)接口和通信接口。

基于NuPAC的反應(yīng)堆保護(hù)系統(tǒng)設(shè)備將滿(mǎn)足CAP系列核電廠的土建設(shè)計(jì)要求，機(jī)柜尺寸、安裝方式以及電纜布線都將和目前以及未來(lái)CAP系列核電廠設(shè)計(jì)相匹配。

反應(yīng)堆保護(hù)系統(tǒng)設(shè)備供電將和目前及未來(lái)CAP系列核電廠供電系統(tǒng)設(shè)計(jì)相匹配，系統(tǒng)供電滿(mǎn)足中國(guó)電源規(guī)范，系統(tǒng)耗電不超出目前CAP電站供電系統(tǒng)的容量范圍。

基于NuPAC平臺(tái)的反應(yīng)堆保護(hù)系統(tǒng)也可用于已建核電廠的現(xiàn)代化升級(jí)改造。輸入輸出信號(hào)接口可覆蓋已建核電廠的儀控系統(tǒng)接口類(lèi)型。系統(tǒng)耗電小于模擬式系統(tǒng)，因而可滿(mǎn)足已建核電廠供電系統(tǒng)的容量要求。

基于NuPAC平臺(tái)的反應(yīng)堆保護(hù)系統(tǒng)滿(mǎn)足相關(guān)環(huán)保要求。反應(yīng)堆保護(hù)系統(tǒng)設(shè)備將通過(guò)中國(guó)CCC 認(rèn)證以防止設(shè)備對(duì)人員的人身傷害。反應(yīng)堆保護(hù)系統(tǒng)設(shè)備滿(mǎn)足除鉛之外的其他RoHS要求，鉛的使用僅限于印刷電路板的插針以及焊錫中，并嚴(yán)格限制使用量。廢棄電路板將根據(jù)政府環(huán)保要求進(jìn)行統(tǒng)一收集和處理。

2.10 性能

10CFR 50.36［25］規(guī)定必須確定安全儀表的保護(hù)定值，以確保自動(dòng)保護(hù)功能能有效保護(hù)核電廠在安全限值范圍內(nèi)運(yùn)行。根據(jù)RG 1.105—1999［26］和 其 背 書(shū) 的ISA 67.04—1994［27］規(guī)定，保護(hù)定值的計(jì)算應(yīng)考慮安全儀表通道的所有誤差，其中包括計(jì)算機(jī)系統(tǒng)信號(hào)輸入卡件的測(cè)量誤差。

根據(jù)RG 1.105—1999［26］和ISA 67.04—1994［27］，儀表通道的誤差來(lái)自測(cè)量?jī)x表以及電子測(cè)量電路的線性度、磁滯回環(huán)、死區(qū)和可重復(fù)度。儀表誤差不在本文范圍之內(nèi)，但反應(yīng)堆保護(hù)系統(tǒng)的電子測(cè)量電路應(yīng)具有良好的精度以盡可能減小儀表通道的測(cè)量誤差，并滿(mǎn)足CAP系列核電廠的精度要求?；贜uPAC的反應(yīng)堆保護(hù)系統(tǒng)提供穩(wěn)定的測(cè)量精度，電壓和頻率波動(dòng)不會(huì)影響精度。此外，在4～60 ℃范圍內(nèi)及考慮6、12、18和30個(gè)月時(shí)間漂移的影響情況下，系統(tǒng)輸入卡件仍能滿(mǎn)足基本的精度要求。

IEEE 603—1991［2］第4.10 節(jié)規(guī)定“設(shè) 計(jì)基準(zhǔn)事故開(kāi)始后的關(guān)鍵時(shí)間點(diǎn)和電廠條件”應(yīng)作為反應(yīng)堆保護(hù)系統(tǒng)需滿(mǎn)足的設(shè)計(jì)基準(zhǔn)，因此，反應(yīng)堆保護(hù)系統(tǒng)的響應(yīng)時(shí)間，即從保護(hù)參數(shù)超出定值，到執(zhí)行機(jī)構(gòu)的觸發(fā)所經(jīng)歷的時(shí)間，應(yīng)滿(mǎn)足上述規(guī)定的設(shè)計(jì)基準(zhǔn)的要求。反應(yīng)堆保護(hù)系統(tǒng)的結(jié)構(gòu)應(yīng)保證系統(tǒng)響應(yīng)時(shí)間滿(mǎn)足CAP 系列核電廠響應(yīng)時(shí)間要求。此外，由于FPGA 硬件電路的并行執(zhí)行的特點(diǎn)，基于NuPAC 的反應(yīng)堆保護(hù)系統(tǒng)的響應(yīng)時(shí)間將優(yōu)于基于CPU 和軟件技術(shù)的系統(tǒng)。

2.11 可維護(hù)性

10CFR 50［1］附 件A 通 用 設(shè) 計(jì) 準(zhǔn) 則 第21條規(guī)定“反應(yīng)堆保護(hù)系統(tǒng)應(yīng)能在反應(yīng)堆運(yùn)行時(shí)進(jìn)行功能的定期測(cè)試，包括對(duì)通道的獨(dú)立測(cè)試以確定故障，以及可能發(fā)生的系統(tǒng)冗余的喪失。”IEEE 603—1991［2］第5.7節(jié)也規(guī)定“應(yīng)提供安全系統(tǒng)設(shè)備的定期測(cè)試和校驗(yàn)功能，同時(shí)保持執(zhí)行相關(guān)安全功能的能力。”

反應(yīng)堆保護(hù)系統(tǒng)的自診斷功能能探測(cè)大部分系統(tǒng)部件的可檢測(cè)故障，通過(guò)4序列之間的比較也可檢測(cè)序列故障。系統(tǒng)和部件自診斷功能不能覆蓋的故障將通過(guò)定期測(cè)試來(lái)檢測(cè)，定期測(cè)試由序列內(nèi)的維護(hù)測(cè)試子系統(tǒng)實(shí)現(xiàn)。維護(hù)測(cè)試子系統(tǒng)可對(duì)相應(yīng)序列進(jìn)行維護(hù)和測(cè)試，其中包括IEEE 338—1987［28］規(guī)定的功能測(cè)試、精度測(cè)試和響應(yīng)時(shí)間測(cè)試。系統(tǒng)的4冗余設(shè)計(jì)使得在對(duì)單個(gè)序列進(jìn)行維護(hù)測(cè)試時(shí)，其他3個(gè)序列仍能有效地執(zhí)行所需的安全功能。

根 據(jù)IEEE 603—1991［2］第5.10 節(jié) 的 要求，反應(yīng)堆保護(hù)系統(tǒng)設(shè)備和部件應(yīng)便于維護(hù)和替換。系統(tǒng)卡件可進(jìn)行熱插拔，卡件替換也無(wú)需特殊工具。此外卡件的維護(hù)、測(cè)試和替換無(wú)需斷開(kāi)或改變電纜接線。

根 據(jù)IEEE 603—1991［2］第5.11 節(jié) 的 要求，反應(yīng)堆保護(hù)系統(tǒng)設(shè)備應(yīng)進(jìn)行清晰的標(biāo)識(shí)以便于電廠運(yùn)行人員識(shí)別系統(tǒng)設(shè)備。此外LED指示也為運(yùn)行人員識(shí)別故障部件提供了方便。

2.12 設(shè)計(jì)裕量和可持續(xù)性

反應(yīng)堆保護(hù)系統(tǒng)為今后系統(tǒng)擴(kuò)展和升級(jí)提供足夠的設(shè)計(jì)裕量，系統(tǒng)具有至少15%的輸入輸出裕量；FPGA 資源占用率不超過(guò)95%；設(shè)備機(jī)柜占用的設(shè)備廠房空間也為今后增加機(jī)柜留出了裕量。由于NuPAC 分散式的結(jié)構(gòu)特性，如果不是安裝空間和供電容量的限制，基于NuPAC的反應(yīng)堆保護(hù)系統(tǒng)可無(wú)限擴(kuò)展。

相比CPU 技術(shù)而言，F(xiàn)PGA 技術(shù)具有更好的可移植性，芯片的升級(jí)換代不會(huì)引起系統(tǒng)硬件和軟件的重大變更。此外，F(xiàn)PGA 芯片具有更長(zhǎng)的使用壽命。盡管如此，在系統(tǒng)設(shè)計(jì)開(kāi)發(fā)過(guò)程中，也會(huì)建立反應(yīng)堆保護(hù)系統(tǒng)主要部件的升級(jí)管理計(jì)劃以及技術(shù)更新計(jì)劃，以為用戶(hù)提供長(zhǎng)期的支持和備品備件服務(wù)保證。

2.13 靈活性

與集中式的分散控制系統(tǒng)或可編程邏輯控制器相比，NuPAC 平臺(tái)具有分散式系統(tǒng)結(jié)構(gòu)（圖1）。每塊通用邏輯模塊均具備輸入輸出和處理功能。每塊卡件均可任意配置不同的I／O子卡，從而執(zhí)行不同的功能；由最多18塊通用邏輯模塊構(gòu)成的機(jī)箱可執(zhí)行更復(fù)雜的功能；機(jī)箱間可通過(guò)數(shù)據(jù)通信連接，形成更大的系統(tǒng)?；贜uPAC平臺(tái)的反應(yīng)堆保護(hù)系統(tǒng)可獲得更大的靈活性和可擴(kuò)展性。

2.14 經(jīng)濟(jì)性

NuPAC平臺(tái)采用標(biāo)準(zhǔn)化模塊設(shè)計(jì)，最大程度地減少卡件種類(lèi)，從而降低核電廠的維護(hù)成本。此外，由于FPGA 技術(shù)良好的移植性，原有的開(kāi)發(fā)好的可編程邏輯可移植到升級(jí)后的FPGA 芯片中，從而最大程度節(jié)約了核電廠在升級(jí)改造中需重新投入的軟件開(kāi)發(fā)成本。

此外，在設(shè)計(jì)開(kāi)發(fā)過(guò)程中將建立供應(yīng)鏈管理計(jì)劃，以最大程度降低生產(chǎn)成本，因而降低核電廠備品備件的成本。

圖1 NuPAC平臺(tái)結(jié)構(gòu)Fig.1 Architecture of NuPAC platform

3 結(jié)論

關(guān)鍵特性是反應(yīng)堆保護(hù)系統(tǒng)為了滿(mǎn)足法規(guī)標(biāo)準(zhǔn)要求和用戶(hù)需求所需具備的最重要的設(shè)計(jì)特征。關(guān)鍵特性的分析和識(shí)別經(jīng)過(guò)了頭腦風(fēng)暴、源數(shù)據(jù)分析及相關(guān)性分析過(guò)程。

在相關(guān)性分析中，每個(gè)關(guān)鍵特性均與有關(guān)的法規(guī)和標(biāo)準(zhǔn)相關(guān)聯(lián)。關(guān)鍵特性分析是反應(yīng)堆保護(hù)系統(tǒng)需求分析的第1步，關(guān)鍵特性及其相關(guān)性分析為下一步的需求分析提供了基礎(chǔ)性的指導(dǎo)。系統(tǒng)需求將在關(guān)鍵特性分析基礎(chǔ)上進(jìn)行擴(kuò)展和細(xì)化，保證系統(tǒng)設(shè)計(jì)滿(mǎn)足關(guān)鍵特性要求，也滿(mǎn)足有關(guān)法規(guī)和標(biāo)準(zhǔn)的要求。

［1］ NRC.10CFR 50 Domestic licensing of production and utilization facilities，Appendix A：General design criteria for nuclear power plants［S］.USA：NRC，2007.

［2］ IEEE.IEEE 603—1991 IEEE standard criteria for safety systems for nuclear power generating stations［S］.USA：IEEE，1991.

［3］ IEEE.IEEE 379—2003 IEEE standard application of the single-failure criterion to nuclear power generating station safety systems［S］.USA：IEEE，2000.

［4］ IEEE.IEEE 384—1992 IEEE standard criteria for independence of class 1eequipment and circuits［S］.USA：IEEE，1992.

［5］ IEEE.IEEE 7-4.3.2—2003 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations［S］.USA：IEEE，2003.

［6］ IEEE.IEEE 352—1987 IEEE guide for general principles of reliability analysis of nuclear power generating station safety systems［S］.USA：IEEE，1987.

［7］ IEEE.IEEE 344—2004 IEEE recommended practice for seismic qualification of class 1eequipment for nuclear power generating stations［S］.USA：IEEE，2004.

［8］ IEEE.IEEE 1050—1996 IEEE guide for instrumentation and control equipment grounding in generating stations［S］.USA：IEEE，1996.

［9］ NRC.10CFR 50 Domestic licensing of production and utilization facilities，Appendix B：Quality assurance criteria for nuclear power plants and fuel reprocessing plants［S］.USA：NRC，2007.

［10］中國(guó)核安全局.HAF 003 核電廠質(zhì)量保證安全規(guī)定［S］.北京：中國(guó)核安全局，1991.

［11］IEEE.IEEE 1012—1998 Standard for software verification and validation［S］. USA：IEEE，1998.

［12］TOROK R C.EPRI TR 106439—1996 Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications［S］.USA：Electric Power Research Institute，1996.

［13］NRC.DI＆C-ISG-04—2009 Highly-integrated control rooms：Communications issues（HICRc）［S］.USA：NRC，2009.

［14］NRC.SECY 93-087ⅡQ—1993 Policy，technical，and licensing issues pertaining to evolutionary and advanced light-water reactor（ALWR）designs（Item ⅡQ）［S］.USA：NRC，1993.

［15］NRC.NUREG 0493A Defense-in-depth and diversity assessment of the RESAR-414integrated protection system［S］.USA：NRC，1979.

［16］NRC.NUREG 0800 BTP 7-19 Guidance for evaluation of diversity and defense-in-depth in digital computer-based instrumentation and control systems［S］.USA：NRC，2007.

［17］NRC.DI＆C-ISG-02—2009 Diversity and de-fense-in-depth interim staff guidance［S］.USA：NRC，2009.

［18］NRC.RG 1.152—2011 Criteria for digital computers in safety systems of nuclear power plants［S］.USA：NRC，2011.

［19］NRC.10CFR 73.54 Protection of digital computer and communication systems and networks［S］.USA：NRC，2009.

［20］IEEE.IEEE 1023—2004 IEEE recommended practice for the application of human factors engineering to systems，equipment，and facilities of nuclear power generating stations and other nuclear facilities［S］.USA：IEEE，2004.

［21］NRC.RG 1.97—2003 Demonstrating control room envelope integrity at nuclear power reactors［S］.USA：NRC，2003.

［22］IEEE.IEEE 497—2002 IEEE standard criteria for accident monitoring instrumentation for nuclear power generating stations［S］. USA：IEEE，2002.

［23］NRC.NUREG 700 Human-system interface design review guidelines［S］.USA：NRC，2002.

［24］NRC.NUREG 711 Human factors engineering program review model［S］.USA：NRC，2004.

［25］NRC.10CFR 50.36 Domestic licensing of production and utilization facilities-technical specifications［S］.USA：NRC，2008.

［26］NRC.RG 1.105—1999 Setpoints for safety-related instrumentation［S］.USA：NRC，1999.

［27］Instrument Society of America.ISA 67.04—1994 Setpoints for nuclear safety-related instrumentation［S］. USA：Instrument Society of America，1994.

［28］IEEE.IEEE 338—1987 IEEE standard criteria for the periodic surveillance testing of nuclear power generating station safety［S］. USA：IEEE，1987.