核電站反應堆保護系統防共因故障設計研究

鄭偉智 李相建 朱毅明 張 弋

(北京廣利核系統工程有限公司，北京 100094)

0 引言

共因故障(common cause failure，CCF)是指由一個特定事件或原因引起若干裝置或部件不能執行其功能的故障。這些事件可能來自外界環境，也可能是設計本身的缺陷所造成［1－2］。

隨著數字化技術在核電站中的應用，其在帶來便于維護、可用性強和可自診斷等優點的同時，也因為具有高集成性和復雜性的特點，使其無法進行全面測試，尤其不能證明軟件沒有錯誤，因而增加了發生共因故障的風險。一旦發生CCF，可能會使運行相同軟件的冗余系統同時失效。所以，共因故障是極其危險的。

共因故障還具有不易探測且不易定量評估的特點，所以需要在設計時充分考慮共因故障的風險，從而使共因故障的發生概率和影響最小化。在核安全相關法規和標準中，為防止CCF的發生，提供了很多設計要求和指導性意見，如獨立性、多樣性和縱深防御等。因此，通過研究相關法規和標準，整理出設計準則，并依據準則進行保護系統設計，是實現防CCF設計的有效途徑。

1 共因故障原因

共因故障的產生有因外部事件(如環境因素)引起的，也有因內部事件(如設計缺陷)引起的，其中主要原因和對應的防護手段如表1所示［3－5］。

表1 共因故障原因及其防護手段Tab.1 Reasons of CCF and protection measures

其中，對于基于同一技術或方法的設計，可能會由于固有缺陷或風險而造成共因故障，所以需要進行縱深防御和多樣性設計。如保護系統DCS均是基于微處理器的，雖然采用了多重冗余通道，但各通道中的軟件(包括基礎軟件和應用軟件)并無本質區別，所以相同的軟件設計錯誤可能會同時存在于多重冗余通道中，一旦爆發便可能造成整個數字系統的失效。此外，與傳統模擬電路相比，數字化設備是依靠高頻信號驅動的，較模擬電路更容易受高頻脈沖噪聲影響，且有可能因外界因素影響而造成整個數字化控制系統癱瘓。所以，有必要設計一套模擬裝置作為數字化系統關鍵安全功能的多樣性后備。

但是，共因故障的具體原因和影響常常是不可預見的(如果能預見共因故障的原因，就有可能用設計手段來防止其發生)。因此，難以找到一種足以對抗共因故障而起到保護作用的單一防御措施。

2 防共因故障的設計準則

基于上述共因故障產生的原因，為了盡量避免共因故障的發生或最小化共因故障的影響，在進行保護系統設計時，應遵循以下設計準則［6－8］。

2.1 單一故障準則

根據IAEA NS-G1.3規定，安全系統應符合單一故障準則，且應考慮發生共因故障的可能性。為了保證安全功能不喪失，某些共因故障應當根據故障的原因進行符合單一故障準則的多樣性設計，根據IEEE 379規定，不屬于單一故障分析的共因故障包括:可能由外部環境(如電壓、頻率、輻射、溫度、濕度、壓力、振動和電磁干擾)、設計缺陷、制造錯誤、維修錯誤和運行錯誤引起的故障［9］。例如，當數字系統發生共因故障后，為了符合單一故障準則，保證安全功能不喪失，可通過后備的基于模擬技術的控制裝置執行安全功能。

2.2 獨立性

各冗余系統間應當有充分的獨立性，應進行實體分隔且盡量避免有通信連接關系，如果因為需要進行多重邏輯表決(如2oo4)而無法避免相互通信時，則須進行電氣隔離和通信隔離，以避免當一個系統故障后，使故障傳遞到其他冗余系統而造成共因故障。通常采用的電氣隔離手段有光耦隔離、光纖通信和繼電器隔離等。通信隔離可通過與CPU分離的通信模塊(內部有通信隔離芯片)或由網關實現［10］。對于互為多樣性的冗余系統，則應完全避免相互數據通信，以防止虛假數據造成多樣性功能的喪失，尤其應避免安全級系統從非安全級系統接收通信信號的情況發生。

2.3 多樣性

多樣性設計是指采用不同的技術、算法或邏輯方法以及驅動手段，來監測不同的參數，探測和響應一個預期運行事件或預期事故［11］。在多樣性防御策略方面，NUREG/CR7007根據防御深度由強到弱分為三種［12］:① 采用不同的技術，如模擬技術相對數字技術;②采用相同的技術、不同的方法，如同為數字技術的CPU和FPGA;③采用相同的技術、不同的結構，如不同廠家的CPU。具體的多樣性設計方法如下。

2.3.1 信號多樣性

為了應對同一預期運行事件(anticipated operational occurrence，AOO)，若采用相同物理效應的傳感器來探測信號，可能會出現CCF，所以采用基于不同物理效應的傳感器來實現信號的多樣性。如對于壓水堆一回路的超壓保護，可分別通過探測穩壓器壓力(高)和穩壓器水位(高)來進行保護控制。

2.3.2 設備多樣性

設備多樣性是指采用不同的設備來完成相同的功能，通過減少設備的共有特性來避免CCF的發生。特別是對運行經驗有限的復雜系統宜考慮設備多樣性。設備多樣性主要有4種實現方式:①不同類型設備，如觸摸屏與硬接線開關;②采用不同設計原理的同一類型設備，如氣動閥與電磁閥;③采用相同設計原理的不同版本設備;④不同廠家的設備，但如果不同廠家采用了相同設計原理，也會增加CCF的風險，如不同廠家的DCS可能采用同樣的處理器或同樣的操作系統，這樣也會潛在地引入一些共同故障模式。所以，方式①和方式②可更有效地防止CCF的發生。

2.3.3 設計多樣性

設計多樣性一般指采用不同的技術或設計方法來實現相同的功能，如采用模擬技術設計的電路與采用數字技術設計的電路互為設計多樣性，采用FPGA實現邏輯與采用微處理器實現也互為設計多樣性。采用設計多樣性，可有效避免因設計錯誤或技術缺陷而造成CCF的發生。

2.3.4 功能多樣性

功能多樣性是指采用不同的功能手段實現相同的控制目的，如反應性控制可由對控制棒的控制或硼酸濃度控制實現。一般采用信號多樣性設計的同時，也相應實現了功能多樣性，如壓力信號的處理與水位信號的處理須采用不同的功能算法及邏輯實現。

2.3.5 軟件多樣性

美國核管會(NRC)認為，由于數字系統的固有復雜性，不可能在系統開發階段識別出所有軟件錯誤。在系統運行期間，隱藏的軟件錯誤會持續保持在不可探測狀態，這種軟件錯誤可能會在某一個時間點造成CCF而影響多重系統。因此，軟件的多樣性尤為重要。即使軟件有多個版本，若都是根據同一個軟件需求規格書開發的，也無法達到故障模式的獨立性。所以實現軟件的多樣性首先是要基于不同的設計需求，并盡量采用不同的操作系統、計算機語言、運算法則、邏輯和程序構架、時序等方式實現最大程度的多樣性。另外，若采用了信號多樣性和功能多樣性，也會導致不同的軟件需求，從而形成一個更好的多樣性基礎。

2.3.6 手動為自動的多樣性

為防止自動控制失效，一般需要備有可實現重要安全功能的手動控制。根據IEEE 603的規定，應在控制室對自動觸發的序列級保護動作提供手動觸發的方法，手動方法應使操縱員的離散操作次數消減到最少，且使用的設備應盡量少。根據IEEE 7-4.3.2的規定，如果可以利用必需的控制器和顯示器在可接受的時間內支持操縱員完成適當的操作，則操縱員的手動操作是可以接受的。

2.3.7 人因多樣性

人因多樣性一般指由不同的人員來設計，以避免同一設計人員的設計錯誤造成CCF，尤其是對于不存在其他多樣性的冗余系統的設計更重要。此外，一定要由設計者之外的人員來進行設計結果的驗證和確認。

2.4 縱深防御設計

BTP7-19提出了防止共因故障的四層防御邊界，即:①控制系統——使核電站系統保持在運行限值內;②停堆系統——使核電站系統保持在安全限值內;③專設安全系統——用于減輕事故后果;④監視和顯示系統——必要時可參照其進行手動控制。

設計要求四個層次間應保證充分的獨立性，任何一個系統故障都不能影響其他系統的功能實現。

2.5 防CCF設備的最小化

為防止共因故障(CCF)而增設的設備，會使得I＆C系統的構成復雜化，這便增加了維護和試驗的工作量。因此，應該確保在能有效防止CCF范圍內進行最小化設計，同時要考慮誤動作和誤操作對電廠安全性的阻礙。對于防止CCF的設備，不要求達到安全保護系統級別一樣的動作可靠性，但應充分考慮不降低電廠可用性。

3 防止共因故障的設計實例

根據上述設計原則，設計了防共因故障保護系統，其體現了最小化結構原理，在較大程度上防止了CCF的發生。

本系統結構在縱深防御上主要體現為:①保護系統與控制系統完全分離，保護系統不接收控制系統的通信傳輸信號而獨立實現控制;②RTS、ESFAS分布在不同的機柜RPC、ESFAC中實現;③重要安全參數顯示可不經數字系統處理，而通過硬接線直接分配到控制盤進行顯示。防共因故障系統結構如圖1所示。多樣性設計主要體現在如下幾個方面。

圖1 防共因故障系統結構圖Fig.1 Structure of the system to against CCF

3.1 傳感器選擇

如圖1中①所示，采用兩個不同的過程參數或基于不同原理的傳感器實現對同一AOO的探測。這兩個互為多樣性的傳感器分別對應獨立機柜的控制器，實現信號采集和處理，體現了信號多樣性設計原則。

3.2 功能實現

如圖1中②所示，在RTS的每個保護通道，設計有兩組獨立的子系統(Gr1、Gr2)來實現功能多樣性，以應對同一AOO或PA，并進行不同的功能邏輯處理和啟動要求的保護驅動。其一般與信號多樣性對應實現。這兩個子系統分布在不同的機柜，且相互間沒有通信和電氣連接，所以可以在很大程度上避免同時發生CCF。

3.3 手動控制

如圖1中③所示，在數字系統中，除可自動驅動專設安全設施外，還設計有可通過安全操作單元(S-VDU)進行手動控制。手動控制與自動控制采用不同的控制器且分布在不同的機柜，相互間沒有通信和電氣連接。所以手動控制方式是自動控制的多樣性設計方案。

3.4 防軟件CCF的自動控制

如圖1中④所示，設計有多樣性驅動系統(DAS)作為數字系統的后備。DAS的設計采用與保護系統數字化平臺所不同的模擬技術實現，可實現最小化的停堆和專設安全設施的自動驅動功能，可從更深的程度上防止數字系統的CCF，體現了設計多樣性和設備多樣性的設計原則。

3.5 防軟件CCF的手動控制

如圖1中⑤所示，設計有通過硬接線直接連接到優選驅動模塊的手操器，可實現停堆、專設安全設施和余熱排出等功能的手動驅動。即使在S-VDU與DCS控制器同時失效時，也能實現必要保護功能的手動驅動。硬接線手操器和S-VDU體現了設計多樣性和設備多樣性的設計原則。

3.6 停堆執行裝置

如圖1中⑥所示，多樣性驅動系統(DAS)控制CRDM實現緊急停堆，不同于數字化保護系統控制的停堆斷路器，體現了設備多樣性設計原則。

4 結束語

本文通過分析核安全法規、標準的要求，整理出為應對共因故障(CCF)，保護系統設計應遵循的設計準則;并依據這些設計準則，設計了一保護系統最小典型原理結構，此結構可有效應對軟件及一些重要設備的CCF。此外，在設計時，不要擴大多樣性的范圍去涵蓋一些極不可能的或極低后果的假設始發事件，因為盡管存在發生CCF的可能性，但這類事件的風險也許是可接受的。同時，應在應對必要的CCF的前提下進行最小化設計，以避免設計過于復雜而使核電站不便于維護或影響電站的可用性。

［1］國家核安全局.HAD102-10核動力廠設計總的安全原則［S］.北京:中國法制出版社，1989.

［2］IAEA.NS-G-1.3 Instrumentation and control systems important to safety in nuclear power plants［S］.VIENNA，2002.

［3］International Electrotechnical Commission.IEC Std.61513 Nuclear power plants-instrumentation and control for systems important to safety-general requirements for systems［S］.Switzerland，2001.

［4］International Electrotechnical Commission.IEC Std.62340 Nuclear power plants-instrumentation and control systems important to safetyrequirements for coping with common cause failure(CCF)［S］.Switzerland，2007.

［5］國防科學技術工業委員會.EJ-T1058.2核電廠安全系統計算機軟件.第2部分:預防軟件導致的共因故障、軟件工具和預開發軟件的使用［S］.北京:核工業標準化所，2005.

［6］US NRC.DI＆C-ISG-02 Interim staff guidance on diversity and defense-in-depth issues［S］.2007.

［7］US NRC.BTP7-19 Guidance for evaluation of diversity and defensein-depth in digital computer-based instrumentation and control systems［S］.2007.

［8］US NRC.NUREG/CR-6303 Method for performing diversity and defense-in-depth analyses of reactor protection systems［S］.1994.

［9］Institute of Electrical and Electronics Engineers.IEEE Std.379 Standard application of the single-Failure criterion to nuclear power generating station safety systems［S］.New York，2000.

［10］Institute of Electrical and Electronics Engineers.IEEE Std.384 IEEE standard criteria for independence of class 1E equipment and circuits［S］.New York，2008.

［11］Institute of Electrical and Electronics Engineers.IEEE Std.7-4.3.2 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations［S］.New York，2003.

［12］US NRC.NUREG/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems［S］.2009.