穆海洋，宋 雨，管運全

(中國核電江蘇核電有限公司, 連云港 222042)

田灣核電站1-4號機組反應(yīng)堆保護(hù)系統(tǒng)(RPS)由反應(yīng)堆緊急停堆系統(tǒng)(RTS)和專設(shè)安全設(shè)施驅(qū)動系統(tǒng)(ESFAS)組成，用安全級的數(shù)字化儀控平臺(Teleperm XS，簡稱TXS)實現(xiàn)，為避免可能發(fā)生的共因故障設(shè)置了兩個多樣性子系統(tǒng)(Diversity A和Diversity B)，兩個子系統(tǒng)針對每個觸發(fā)事件采用不同的觸發(fā)參數(shù)、處理邏輯和不同型號的測量儀表，每個子系統(tǒng)均為四重冗余結(jié)構(gòu)。

RPS觸發(fā)信號由TXS計算機化軟件對輸入信號進(jìn)行處理后輸出。計算機軟件包括系統(tǒng)軟件和應(yīng)用軟件，在實際應(yīng)用中，TXS執(zhí)行邏輯處理的計算機采用了相同的系統(tǒng)軟件，并且應(yīng)用軟件的“操作系統(tǒng)”和“軟件功能模塊”相同，如果出現(xiàn)軟件共因故障，可能導(dǎo)致TXS完全失效。在上述情況下，RTS系統(tǒng)可以由控制室后備盤手動觸發(fā)，由于手動停堆命令與TXS計算機化軟件采用不同的路徑，可以不受軟件共因故障的影響，保證反應(yīng)堆正常停堆，停堆功能手動觸發(fā)原理如圖1所示。

圖1 停堆功能手動觸發(fā)原理Fig.1 Principle of manual reactor trip

但是，ESFAS的控制室手動命令也需進(jìn)入TXS計算機化軟件進(jìn)行邏輯處理，與自動保護(hù)系統(tǒng)采用相同的路徑，不能起到防御軟件共因故障的作用，ESFAS功能手動觸發(fā)原理如圖2所示。

圖2 ESFAS功能手動觸發(fā)原理Fig.2 Principle of manual ESFAS actuation

由于沒有設(shè)置計算機軟件之外的觸發(fā)手段，軟件共因故障將可能導(dǎo)致ESFAS無法輸出自動和經(jīng)軟件處理的手動命令，反應(yīng)堆可能無法進(jìn)行余熱導(dǎo)出、防止放射性物質(zhì)外泄等操作，導(dǎo)致嚴(yán)重核安全事故。

為了防御軟件共因故障，ESFAS必須提供旁通TXS計算機化軟件的可靠觸發(fā)手段。專設(shè)安全設(shè)施驅(qū)動多樣性系統(tǒng)(或稱為手動安全驅(qū)動系統(tǒng)，簡稱MASS)提供了一種軟件以外的操作手段，在軟件故障時，MASS可以不通過軟件直接驅(qū)動ESFAS成組設(shè)備，保證核安全功能的完成。

1 背景

田灣一期工程1、2號機組和二期工程3、4號機組均采用俄羅斯VVER-1000改進(jìn)型核電機組。1998年，田灣一期工程在國內(nèi)首次引進(jìn)數(shù)字化儀表控制系統(tǒng)(AREVA/SIEMENS TelepermXP + Teleperm XS)，進(jìn)行安全審評時，在田灣1、2號機組儀控項目上，主要關(guān)注的問題包括：手動控制專設(shè)安全設(shè)施驅(qū)動系統(tǒng)問題；安全系統(tǒng)軟件的共因故障問題；以及主控室的人因驗證、隔離、防火等問題[1]。作為福島事故后國內(nèi)第一批開工的核電項目，田灣3、4號機組進(jìn)行了一系列改進(jìn)，其中反應(yīng)堆保護(hù)系統(tǒng)方面的改進(jìn)更是安全審評的焦點。

在反應(yīng)堆緊急停堆系統(tǒng)(RTS)方面，在田灣1、2號機組的安全審評過程中，根據(jù)審評要求，在TXS中設(shè)置了針對未能停堆的預(yù)期瞬態(tài)(ATWS)下多樣化注硼功能(AA21)，同時在運行儀控TXP中設(shè)置了ATWS下的多樣化緩解功能(BE25)。在3、4號機組的審評過程中，審評單位提出，AA21依賴于保護(hù)信號觸發(fā)是不合適的(考慮到在TXS系統(tǒng)故障情況下保護(hù)信號可能無法發(fā)出)。根據(jù)審評單位意見，二期運行儀控SPPA-T2000中增加了多樣化的不依賴保護(hù)信號的應(yīng)急注硼功能(AA22)。

在安全設(shè)施驅(qū)動系統(tǒng)(ESFAS)方面，在田灣1、2號機組的安全審評過程中，審評單位提出“安全設(shè)施觸發(fā)系統(tǒng)序列級的手動觸發(fā)均通過數(shù)字化系統(tǒng)來實現(xiàn)，當(dāng)數(shù)字化系統(tǒng)發(fā)生共模失效時，該手動觸發(fā)功能也將會喪失”。當(dāng)時，TXS設(shè)備供方從系統(tǒng)結(jié)構(gòu)(多樣性A和B)、軟件結(jié)構(gòu)和報警信號等方面解釋TXS的故障極低，TXS軟件共因失效概率的經(jīng)驗數(shù)據(jù)值見表1[1]，并提交了德國核安全審評機構(gòu)提供的分析報告。同時，反應(yīng)堆設(shè)計方提供了報告證明采用部件級的手動控制可以滿足超設(shè)計基準(zhǔn)事故(BDBA)接受準(zhǔn)則。

表1 TXS軟件共因失效概率估算

考慮到1、2號機組的審評要求，以及近十年來，數(shù)字化保護(hù)系統(tǒng)防御軟件共因故障越來越受到重視[1-7]，田灣3、4號機組改進(jìn)ESFAS多樣化驅(qū)動方案成為重要設(shè)計考慮。

2 相關(guān)法規(guī)和標(biāo)準(zhǔn)研究

ESFAS的多樣化驅(qū)動方案在VVER機組上屬首次使用，需要通過研究相關(guān)的法規(guī)標(biāo)準(zhǔn)并進(jìn)行分析，明確設(shè)計需求，才能保證此方案最終成功應(yīng)用于田灣3、4號機組。

2.1 多樣性系統(tǒng)相關(guān)法規(guī)標(biāo)準(zhǔn)分析

10CFR50.62[8]規(guī)定在ATWS下，對于TRIP系統(tǒng)，必須設(shè)置多樣化系統(tǒng)，執(zhí)行控制棒以外的停堆功能、以及執(zhí)行輔助(應(yīng)急)給水和停機功能。

HAF102[9](IAEA NS-R-1)中6.1.4.2要求“停堆手段必須至少由兩個不同的系統(tǒng)組成，以提供多樣性”。

分析：對于以上要求，田灣核電站設(shè)置了手動停堆功能，以及多樣化的功能AA21(ATWS注硼)、AA22(ATWS注硼的多樣性功能)、BE25(多樣性的停機和啟動輔助給水)，達(dá)到了以上要求。

2.2 手動觸發(fā)相關(guān)法規(guī)標(biāo)準(zhǔn)分析

HAD102/10[10](核電廠保護(hù)系統(tǒng)及有關(guān)設(shè)施)中7.3.1指出，大多數(shù)保護(hù)動作都要求具有手動觸發(fā)手段。此外，對于快速停堆必須設(shè)有手動后備觸發(fā)，而對其它重要的安全動作可以設(shè)有手動后備觸發(fā)。在設(shè)有手動后備的地方，自動觸發(fā)和手動觸發(fā)共用的安全系統(tǒng)部件的數(shù)量應(yīng)減至最少。這樣的共用部件最好只限于安全驅(qū)動系統(tǒng)的驅(qū)動器。

IEEE603(GB 13284)[11](安全系統(tǒng)準(zhǔn)則)中指出，應(yīng)在控制室對自動觸發(fā)的系統(tǒng)級保護(hù)動作提供手動觸發(fā)方法，手動方法應(yīng)使操縱員的離散操作次數(shù)減到最少。

IEEE279[12](核電廠保護(hù)系統(tǒng)準(zhǔn)則)指出，保護(hù)系統(tǒng)應(yīng)包括對每個保護(hù)動作的系統(tǒng)級的手動觸發(fā)方式。手動觸發(fā)依賴的設(shè)備數(shù)量應(yīng)最少。

分析：田灣核電站系統(tǒng)級手操命令進(jìn)入了TXS計算機，通過軟件執(zhí)行造成手動功能和自動功能之間共用的設(shè)備較多，對標(biāo)準(zhǔn)的符合性較差。

2.3 軟件共因故障相關(guān)法規(guī)標(biāo)準(zhǔn)分析

HAF102[9]的5.3.1提出“必須考慮安全重要物項發(fā)生共因故障的可能性，以確定應(yīng)該在哪些地方應(yīng)用多樣性、多重性和獨立性原則來實現(xiàn)所需的可靠性”。

HAF102[9]的6.4.7.2指出，必須在實際可行的范圍內(nèi)采用各種設(shè)計，如可試驗性、故障安全性能、功能多樣性、部件設(shè)計或工作原理的多樣性等以防止保護(hù)功能的喪失。

IAEA NS-G-1.3[13](核動力廠安全重要儀表和控制系統(tǒng))的4.23-4.31節(jié)提出如下觀點：應(yīng)該考慮多樣性的范圍和級別，達(dá)到所希望的保守水平。同時，IAEA NS-G-1.3[13](核動力廠安全重要儀表和控制系統(tǒng))中指出如果軟件的多個版本是根據(jù)同一個軟件需求規(guī)格說明開發(fā)的，故障模式的獨立性可能是達(dá)不到的，一些獨立開發(fā)的程序版本可能發(fā)生共因故障。

IEC 60880—2006[14]中也提出了預(yù)防軟件CCF的要求，同時也指出，由于防止CCF的能力無法量化，可以基于軟件能夠達(dá)到的可量化的可靠性的評估進(jìn)行判斷。

美國核管會NRC也出版導(dǎo)則DI&C-ISG-02提到“軟件中一個錯誤可能在所有冗余通道設(shè)置中是通用的”[15]。

分析：各個標(biāo)準(zhǔn)都對預(yù)防軟件故障提出了要求，但是都沒有要求完全排除CCF，而是要求把軟件CCF限制在一個小的概率內(nèi)即可。通過設(shè)置多樣化的手動硬觸發(fā)系統(tǒng)可旁通軟件CCF，達(dá)到滿足上述標(biāo)準(zhǔn)的要求。

3 方案實施總體思路

田灣3、4號機組以1、2號機組為參考，其RPS系統(tǒng)在測量和邏輯運算部分已經(jīng)實現(xiàn)了多樣性，沒有必要再設(shè)置一套基于不同軟件的冗余系統(tǒng)。但是，由于RPS采用了相同的軟件，“操作系統(tǒng)”和“軟件功能模塊”仍然存在軟件共因故障的可能，不能完全消除軟件CCF，并且ESFAS功能手動驅(qū)動原理對手動觸發(fā)標(biāo)準(zhǔn)的符合性較差。所以，綜合考慮可設(shè)置一套基于硬件的手動旁通計算機軟件的方案，即增加一套手動安全驅(qū)動系統(tǒng)(MASS)[16]。其總體思路為在主控室后備盤增加ESFAS功能的觸發(fā)開關(guān)和復(fù)位開關(guān)等，每個功能的手動操作按鈕由4個觸點組成，分別傳送到TXS系統(tǒng)4個通道，每個通道布置一個MASS機柜，MASS機柜可以接收操作信號、允許信號、復(fù)位信號、主輔控切換信號等，由全硬件的系統(tǒng)實現(xiàn)一定功能的邏輯處理。MASS的生成信號和計算機系統(tǒng)的信號經(jīng)過“或”邏輯后傳送到驅(qū)動控制裝置。此方案既可防御軟件共因故障，滿足法規(guī)標(biāo)準(zhǔn)的要求，又可以獨立地與原安全儀控系統(tǒng)集成。增加MASS后的ESFAS功能驅(qū)動原理如圖3所示。

MASS應(yīng)對的事故工況是RPS出現(xiàn)軟件共因故障的情況下，一些危及核安全的事故衍生或疊加發(fā)生。MASS設(shè)計的始發(fā)事件見表2。

圖3 ESFAS功能驅(qū)動原理圖(含MASS)Fig.3 Principle of ESFAS actuation (including MASS)

表2 MASS始發(fā)事件Table 2 Initial events for MASS

此時，依靠軟件邏輯運算的RPS系統(tǒng)已不再可靠，反應(yīng)堆操縱員需要考慮進(jìn)行手動干預(yù)。操縱員可以通過后備盤(SICS)上的報警和監(jiān)視畫面(OM)提供的信息，判斷人工干預(yù)的必要性，確定是否操作MASS驅(qū)動必要的安全系統(tǒng)設(shè)備，MASS投入的程序如圖4所示。

MASS對安全系統(tǒng)設(shè)備的驅(qū)動方式是系統(tǒng)級的，不需要操作多個部件即可完成必要的安全系統(tǒng)的驅(qū)動。MASS驅(qū)動的安全系統(tǒng)見表3。

表3 MASS驅(qū)動的ESFASTable 3 ESFAS actuated by MASS

續(xù)表

圖4 MASS系統(tǒng)投運過程Fig.4 Process of MASS operation

4 結(jié)論

相比傳統(tǒng)的模擬技術(shù)，數(shù)字化儀控系統(tǒng)具有結(jié)構(gòu)模塊化、系統(tǒng)精度高、自診斷能力強、人機接口界面友好、易于實現(xiàn)復(fù)雜的計算等優(yōu)點，但是功能的高度集中以及軟件的使用，也帶來了一些新的問題，比如軟件共因故障等[7]。針對這一現(xiàn)狀，軟件的安全性評價還需要大量的工作，另一方面，多樣化的觸發(fā)方案也是對運行機組改進(jìn)方面較好的應(yīng)對途徑之一。