DAS實施關鍵技術問題分析研究

王振營，孫 鋼

(1.中廣核工程有限公司,廣東 深圳 518049；2.河南職業技術學院信息工程系,河南 鄭州 450046)

DAS實施關鍵技術問題分析研究

王振營1，孫 鋼2

(1.中廣核工程有限公司,廣東 深圳 518049；2.河南職業技術學院信息工程系,河南 鄭州 450046)

設置多樣化驅動系統(DAS)是應對數字化反應堆保護系統軟件共因故障的有效手段。通過對在役核電廠的儀控系統實施DAS改造，可顯著提升核電廠應對軟件共因故障的能力，進而提高核電廠的安全水平。從DAS的基本功能需求出發，提出了在役核電廠實施DAS改造的可行方案。該方案共用反應堆保護系統的儀表和優選模塊，因而具有較好的經濟性和可實施性。對基于該方案的一些關鍵技術問題，如DAS規模的確定、優選模塊的技術要求、人機接口管理以及DAS事故處理程序的開發等，進行了深入分析；對該方案實施過程中需滿足的技術要求，包括儀控設計的通用技術要求，如防誤動、信號解耦和隔離以及其他要求如供電要求等，進行了簡要探討，并給出建議措施。這些建議措施可為在役核電廠的DAS改造提供有益指導，對在建核電廠的DAS設計也具有參考意義。

核電廠； 多樣化驅動系統； 反應堆保護； 軟件共因故障； 未能緊急停堆的預期瞬態； 人機接口； 縱深防御

0 引言

未能緊急停堆的預期瞬態(anticipated transient without scream，ATWS)是核電廠設計必須考慮的事故之一。從導致ATWS的原因來看，ATWS有兩類：一類是因控制棒、機械卡棒導致的，這類ATWS一般靠緊急硼化功能緩解；另一類是因保護系統或停堆斷路器本身故障導致停堆斷路器未能及時打開，這類ATWS需要設計多樣化驅動系統(diversified actuation system，DAS)進行緩解。目前，國內核電廠大多采用數字化儀控系統(digital control system，DCS)、數字化反應堆保護系統(reactor protection system，RPS)作為DCS的重要組成部分，在設計時需考慮軟件共因故障的影響及應對軟件共因故障的措施。DAS被認為是應對軟件共因故障最有效的方法之一。本文主要分析了在役核電廠實施DAS改造的可行性，指出實施過程中的一些關鍵問題，并給出建議措施。

1 DAS需求分析

傳統CPR1000核電廠針對ATWS的考慮僅限于兩個典型的II類事故：失去廠外電和失去主給水。對這兩個事故設計的自動保護邏輯可以在RPS失效時觸發反應堆停堆和啟動相應的專設安全設施。同時，為了實現停堆功能的多樣性，ATWS對棒控系統的電源開關進行動作，控制棒在斷電后靠重力插入堆芯，而RPS則直接對停堆斷路器進行動作。傳統CPR1000核電廠針對ATWS的考慮是不全面的。其不足之處表現在：功能邏輯過于簡單，與RPS共用供電電源，并未提供相應的人機接口等。

為了緩解ATWS造成的后果，美國聯邦法規10CFR50明確要求核電廠應“具備相對于停堆系統多樣化的系統(從儀表采集至最終的驅動設備)，用以自動觸發應急給水系統和觸發停堆”[1]。國內安全評審也越來越強調核電廠儀表和控制系統的多樣性和縱深防御[2]問題。國內已采用DCS的核電廠，如果能夠按照多樣性和縱深防御相關的最新法規標準設計DAS，可以更好地滿足儀控系統縱深防御方面的要求，提高核電站的安全性。

同時，福島核事故使人們認識到核電廠也可能發生概率極低的超設計基準事故，這促使核電廠采取一系列針對性措施，以提升核電廠本身緩解超設計基準事故的能力。ATWS的設計基準事故包括安全分析報告中的II類、III類和IV類工況，而不僅僅局限于失去廠外電和失去主給水事故[3-4]。在福島核事故后，國內開工建設的核電機組，如陽江、方家山、福清等機組，均按照該要求實施DAS。對于在役核電廠而言，實施DAS改造可以為RPS本身提供一種全面而多樣化的保護。當RPS發生軟件共因故障時，可為機組提供另外一種觸發反應堆緊急停堆和專設安全設施動作的方式。這對降低RPS發生共因故障引起的風險，提高核電站安全水平具有重要意義。

2 DAS實施方案分析

目前，世界范圍內的三代核電廠均按照相關要求實施了DAS，如典型的AP1000和EPR。AP1000提供了從儀表到執行機構的、完全獨立于RPS的DAS系統[5-6]；而在建的EPR機組則采用第二套基于多樣性軟件的保護系統，這兩套軟件不會同時發生共因故障，不過該方案并未得到廣泛認同。對在役核電廠實施DAS改造，建議考慮采用基于成熟硬件邏輯的技術，如現場可編程門陣列等[7]。

對在役核電廠實施DAS改造，需要從經濟性和可實施性等方面進行考慮。如果完全參照AP1000的方案，則需要安裝配置大量DAS專用的儀表和專用的設備執行機構，如斷路器、閥門等，這顯然是不現實的。考慮到DAS主要應對RPS軟件共因故障，RPS軟件共因故障并不會導致RPS儀表不可用，DAS共用RPS儀表在原則上是可以接受的。對執行機構，考慮將DAS信號也送往RPS的優選模塊，由優選模塊統一進行設備命令的優先級管理，并驅動執行機構。DAS改造方案如圖1所示。

圖1 DAS改造方案示意圖

這種改造方案的好處在于其可實施性。其盡可能地利用機組已有的設備資源，節省改造費用。

3 關鍵問題分析

3.1 DAS規模的確定

DAS規模的確定主要基于對ATWS瞬態重新分析的結果，分析的范圍應包括安全分析報告中所有可能導致反應堆緊急停堆或觸發專設安全設施的II、III和IV類工況。對這些工況均疊加考慮RPS的軟件共因失效。從限制DAS規模的角度考慮，在分析時可采用基于最佳估算的分析方法，而不必采用安全分析中針對設計基準事故的保守假設和保守計算模型。這是因為如果采用保守的分析方法，可能會低估不同系統(特別是非安全級系統)響應始發事件的能力，而忽視某些有用的恢復策略。DAS自動保護邏輯的規模及相關的整定值應依據瞬態分析確定。為了避免DAS先于RPS觸發停堆和專設安全設施，DAS中使用的整定值應稍高于或低于RPS保護邏輯中設定的整定值，使DAS的自動動作延后于RPS保護動作[8]。

考慮到RPS軟件共因故障也會導致在RPS軟件平臺實現的控制調節功能失效，如大氣釋放閥開度控制、應急給水系統流量控制、主泵軸封流量調節等，需要機組在分析事故之后仍具有安全停堆狀態所需的控制和調節功能。

另外，對于RPS輸出的一些監測機組狀態的物理參數顯示，需要分析RPS軟件共因失效后這些參數顯示是否可信。如果這些參數為執行事故運行程序所需，則需要考慮在DAS中實現相應參數的顯示功能(包括其計算過程)，如典型的堆芯出口冷卻劑的過冷度參數等[9]。

3.2 優選模塊的技術要求

圖1所示的改造方案中，由于DAS和RPS共用優選模塊，這對優選模塊本身提出了新的技術要求。若要使DAS不受RPS軟件共因故障的影響，則需排除優選模塊發生軟件共因故障的可能性。在此，有兩種技術方案可以選擇。①在優選模塊中設置軟件邏輯和硬件邏輯兩部分，兩者相互分離，在硬件邏輯部分實現DAS信號、RPS信號和手動信號等的優先級管理，這需要對RPS機柜進行改造，在RPS機柜中添加必要的繼電器回路(或添加專門的繼電器柜)實現信號優先級管理的要求，可實施性相對較差。②通過“嚴格”測試，證明優選模塊中的軟件邏輯發生軟件共因故障的可能性極低，排除優選模塊發生軟件共因故障的可能性。這種方案幾乎不涉及硬件改造，可實施性相對較好，這里主要對這種方案的技術要點進行分析。

一些法規要求必須對數字化儀控設備進行“窮舉測試”，以證明其不存在軟件共因故障[4,10]。“窮舉測試”意味著要對所有可能的輸入組合以及所有可能的序列組合進行測試分析。如果有100個輸入數據，則共需要測試2 100種組合，這對實際的電廠DCS設備而言是較難實現的。對于優選模塊，建議使用“組合測試”的方法，鑒于多數程序錯誤往往都是由少數幾個輸入共同作用導致的[11-13]，使用“組合測試”可以大大減少所需測試的輸入組合數，降低測試的復雜程度，因而具有較好的實施性。該方法已在核工業界得到應用[14]。對優選模塊，可依照如下方法進行組合測試。①執行“2組合測試”，并逐步遞增，直到執行“n組合測試”且未檢出故障。②繼續執行“n+1組合測試”，如果檢出故障，就繼續遞增執行測試；如果未檢出故障，則認為該軟件具有較高的可信度，不會發生共因故障[15]。

建議開發專用的測試工具對優選模塊進行“組合測試”。測試工具簡圖如圖2所示。

圖2 測試工具簡圖

測試工具采用成熟的算法自動生成“測試向量組合”[16]。首先，由獨立的開發人員使用不同于優選模塊的編程語言開發邏輯軟件模型；然后，采用測試工具，自動將優選模塊的實際輸出與預期輸出進行對比，生成測試日志并自動標志偏差；最后，由測試人員對這些結果進行分析和確認。使用測試工具可有效節省“組合測試”所花費的時間，并能達到預期效果。

3.3 人機接口管理

采用DCS的核電機組一般需提供多層次的人機接口，包括主控室內的數字化人機接口KIC、后備盤BUP(包括應急控制盤ECP)，以及位于主控室之外的遠程停堆站(remote shutdown station,RSS)等。原則上，一般不允許同時通過兩個人機接口對機組進行控制，不同的人機接口之間設置有切換開關，用以允許或閉鎖這些人機接口的控制信號[17]。從限制規模的角度考慮，DAS專用的人機接口僅實現了少量設備的控制，而RPS軟件共因故障時仍可以通過KIC或BUP實現一些非安全級功能或設備的控制。這些非安全級功能或設備可能有益于事故后機組狀態的控制(如RPS軟件共因失效并不會導致正常噴淋功能喪失，在一些事故情形下可以使用正常噴淋對一回路進行快速降壓)。因此，在特定情形下，應允許同時使用KIC(或BUP)與DAS專用人機接口。在事故處理程序開發和DAS人機接口設計過程中，尤其要考慮這種情況，并對操縱員實施必要的專項培訓，以明確事故后機組的控制原則。

3.4 DAS事故處理程序開發

事故處理程序用于在事故后指導操縱員控制機組，引導機組后撤至安全停堆狀態。在實施DAS改造后，需要對原事故處理程序在DAS上的可執行性進行分析和驗證，如果執行困難，則需要修改原DAS設計，或開發一套DAS專用的事故處理程序。對采用狀態導向法事故處理程序(state oriented procedure，SOP)的機組，在DAS上較難實現堆芯冷卻監測系統壓力容器水位參數的計算過程。該參數作為狀態功能參數之一，是SOP監測堆芯冷卻狀態的重要依據，其缺失會增加在DAS上執行SOP的難度。因此，有必要開發DAS專用的事故處理程序。

4 實施要求

4.1 技術要求

DAS的實施需要遵循儀控設計的通用技術要求[8]，主要包括以下四個方面。

①防誤動要求。在DAS的表決邏輯部分，建議采用“2取2”或“3取2”等邏輯，以降低DAS誤動的風險。

②缺省值。缺省值是信號故障時參與邏輯計算的替代值，對DAS，可通過合理設置“低電平觸發”或“高電平觸發”邏輯，以降低信號故障時DAS誤動的風險[18]。

③信號的解耦和隔離。需要對DAS與RPS之間的信號進行隔離，對DAS中AB列間的信號進行解耦，以限制儀控故障的影響范圍。

④定期試驗和可維修性。應提供定期試驗的工具和接口，采用冗余設計以確保在維修期間不喪失DAS功能等。

4.2 其他要求

在實施DAS時，還需滿足其他一些要求，以盡量降低某些外界因素導致DAS和RPS同時失去的風險。如DAS的供電應盡量獨立于RPS，并設置獨立的不間斷電源；DAS機柜房間的通風系統應盡量獨立于RPS機柜房間的通風系統；DAS機柜與RPS機柜應布置在不同的防火分區等。

5 結束語

本文從DAS需求出發，提出在役核電廠實施DAS改造的技術方案，并對DAS實施的關鍵技術問題進行分析。通過本文分析，可得到如下結論：①在役核電廠

實施DAS改造可有效降低RPS共因故障的風險；②采用共用RPS儀表和優選模塊的DAS改造方案，具有較好的可實施性；③DAS規模應盡量精簡，對優選模塊建議進行“組合測試”，以證明其存在軟件共因故障的概率極低；④DAS的實施應遵照儀控設計的通用技術要求，如防誤動、信號解耦和隔離等。

[1] US NRC.10 CFR 50.62 Requirements for reduction of risk from anticipated transients without scream (ATWS) events for light-water cooled nuclear power plant[S].2007.

[2] 毛從吉，毋琦.從安全評審角度看核電站數字化儀控設計[J].自動化儀表，2012，33(7)：39-42.

[3] EUR organization.European utility requirements for LWR nuclear power plants[S].2012.

[4] US NRC.BTP 7-19 guidance for evaluation of diversity and defense-in-depth in digital computer-based instrumentation and control system[S].2007.

[5] 張淑慧，任永忠.AP1000核電廠儀控系統介紹[J].自動化儀表，2010，31(10)：48-51.

[6] 李宗.AP1000多樣化驅動系統在ATWS緩解中的作用[J].核電工程與技術，2011，16(4)：26-31.

[7] 尹寶娟，毛從吉，張宓,等.FPGA技術在核安全級儀控系統中的應用探討[J].自動化儀表，2013，34(11)：53-55.

[8] 周衛華，江輝，彭華清,等.壓水堆DAS儀控設計思路探討[J].原子能科學技術，2014，48(11)：930-934.

[9] 國家技術監督局.GB13627核電廠事故監測儀表準則[S].1993.

[10]US NRC.DI&C ISG-04 Highly Integrated Control Rooms & Digital Communication Systems[S].2009.

[11]NIST.SP800-142 Practical Combinatorial Testing[R].2010.

[12]BACH J, SCHROEDER P J.Pairwise testing[C]//Proceedings of the 22nd Pacific Northwest Software Quality Conference, 2004:180-196.

[13]RICK K, YU L, RAGHU K.Practical combinatorial testing:beyond pairwise[J].IT Professional, 2008, 10(3):19-23.

[14]WEC.WCAP 15413 Westinghouse 7300A ASIC-Based Replacement Module Licensing Summary Report[R].2001.

[15]KUHN D R, REILLY M J.An investigation of the applicability of design of experiments to software testing[C]//Proceedings of the Annual NASA/IEEE Software Engineering Workshop (SEW).Los Alamitos: IEEE Press, 2002:91-95.

[16]嚴俊，張健.組合測試：原理與方法[J].軟件學報，2009，20(6)：1393-1405.

[17]孫永濱，蔣曉華.壓水堆核電站先進主控室布置設計[J].核動力工程，2008，29(3)：73-77.

[18]王振營，李紅林，鄭文波.核電站數字化儀控系統缺省值分析研究[J].自動化儀表，2011，32(5)：24-27.

Analysis Research on the Critical Technical Issues in Implementation of DAS

WANG Zhenying1,SUN Gang2

(1.China Nuclear Power Engineering Co., Ltd.,Shenzhen 518049,China;2.Department of Information Engineering, Henan Polytechnic, Zhengzhou 450046,China)

Setting up diversified actuation system (DAS) is an effective means to dealing with the common cause failure (CCF) of software for digital reactor protection system (RPS).The retrofit of implementing DAS in the instrument and control (I&C) system for in-service nuclear power plants (NPP) can significantly improve the capability of mitigating the consequence of software CCF, and the safety level of the NPPs.Based on the basic functional requirements of DAS, the feasible scheme for implementing DAS for in-service NPPs is proposed.This scheme shares the instruments and priority management modules of RPS, thus it possesses better economic benefit and feasibility.The critical technical issues related to this scheme resolution, such as the determination of the scale of DAS;the technical requirements of the modules;the management of the human-machine interfaces and the development of accident handling program of DAS, etc., are thoroughly analyzed.The technical requirements related to DAS implementation, including the general requirement of I&C design such as the anti-spurious actuation, signal de-coupling and isolation, and power supply, etc., are briefly discussed;and the suggestions and solutions are also provided.These suggestions and solutions are beneficial to guiding the DAS implementation on in-service NPPs, and can be referenced by the DAS design for NPPs in-built.

Nuclear power plant; Diversified actuation system; Reactor protection; Software common cause failure; Anticipated transient without scream(ATWS); Human-machine interface; Defense-in-depth

王振營(1980—)，男，碩士，高級工程師，主要從事核電站事故分析及事故處理程序開發方向的研究。 E-mail:wangzhenying@cgnpc.com.cn。 孫鋼(通信作者)，男，碩士，講師，主要從事計算機應用相關專業方向的教學及研究工作。E-mail:sungang0@163.com。

TH86;TP273

A

10.16086/j.cnki.issn1000-0380.201703003

修改稿收到日期：2016-10-12