基于Tricon平臺的安全級DCS多樣性分析

宿俊海，楊 萌，李 穎

（1.中核控制系統工程有限公司，北京 102401；2.中國核電工程有限公司，北京 100840）

0 引言

作為一種清潔能源，核能日益受到重視。但是核能又是一種非常特殊的能源，對安全有特殊的要求，一旦發生事故，會對環境和社會公眾造成巨大的危害，后果不堪設想。在福島核事故之后，如何提高核電站可靠性，確保充分利用核能優勢，又能將潛在風險降到最低，已成為業內普遍關注的問題。

DCS系統是核電站的神經中樞，可以確保核電站的正常運行；其中的安全級DCS系統則可在異常工況下為核電站提供保護功能，即：在事故工況下能夠安全停堆，并在事故發生后能夠緩解事故，將事故后果限制在可接受的范圍內。

隨著數字化技術在核電站安全級DCS中的應用，其在帶來便于維護、可用性強和可自診斷等優點的同時，也因為具有高集成性和復雜性的特點，使其無法進行全面測試，尤其不能證明軟件沒有錯誤，因而增加了發生共因故障的風險。一旦發生共因故障，可能會使運行相同軟件的冗余系統同時失效。所以，共因故障是非常危險的。

因此，在核電站安全級DCS系統設計和實施過程中，必須采取針對性措施即多樣性設計，以確保在發生共因故障時，核電站的安全功能得以正確執行。

1 安全級DCS多樣性設計的目的和原則

系統的多樣性設計是克服共因故障，提高系統可靠性的重要手段[1]。

美國核管理委員會在NUREG/CR-6303-1994提出數字化的保護系統增加了軟件共因故障的風險，需要通過多樣性來克服共因故障[2]。在該標準中，提出了多樣性設計的原則。在NUREG/CR-7007-2009中提出了在需要進行多樣性設計時，如何進行滿足要求的多樣性設計的方法[3]。

對于安全級DCS系統，為抵御共因故障，增強核電站的縱深防御能力，提高數字化DCS系統的可靠性，在安全級DCS系統的設計中，采用多樣性的設計方法[4]。

多樣性的設計原則有以下6個方面：

1）人員多樣性。

2）設計多樣性。

3）軟件多樣性。

4）功能多樣性。

5）信號多樣性。

6）設備多樣性。

2 基于Tricon平臺的多樣性分析

隨著數字化DCS系統在安全級保護系統上的應用，多樣性設計越來越受到重視。從大亞灣模擬保護系統，用ATWT完成預期瞬態未停堆，發展到現在全數字化保護系統時，保護系統形成了3個部分：數字化保護系統、硬接線保護系統、DAS保護系統。多樣性手段的增強不僅體現了保護系統的可靠性不斷增加，也體現了保護系統對多樣性的設計越來越重視。

在基于Tricon的安全級保護系統設計中，主要分3部分：數字化RPS保護系統、ECP手動保護系統、DAS/ATWT保護系統。

2.1 數字化RPS保護系統

基于Tricon的數字化RPS保護系統設計，可以分為兩部分來考慮：硬件設計和軟件設計。

硬件設計是指根據保護系統的系統結構，完成保護系統的結構設計、網絡配置、硬件配置等工作。

軟件設計應與設計人員在技術上、管理上和財務上進行獨立的V&V。

2.2 ECP手動保護系統

在基于Tricon的保護系統設計中，為了防止安全級DCS由于CCF等故障失效，增加一種多樣性的啟動保護功能的手段，即ECP硬接線手動保護功能。

主要提供的功能有：反應堆停堆，汽機跳閘，安全注入，主給水隔離，輔助給水啟動，主蒸汽隔離，安全注入，安全殼A階段隔離，安全殼噴淋和安全殼B階段隔離。

2.3 DAS/ATWT保護系統

DAS的全稱是（Diversity Actuation System，多樣性系統），本來就是為了多樣性而設計的。ATWT為預期瞬態未停堆系統，該功能是反應堆停堆的一個多樣性設計[5]。

基于Foxboro I/A系統的DAS/ATWT保護系統是實現保護系統多樣性的主要實現方法。這兩個系統在設計、制造、質檢和測試上是不同的，且相互獨立。

基于I/A的DAS系統設計中，主要完成的功能有反應堆停堆，汽機跳閘，安注功能和主給水隔離，即完成了最基本的保護功能。ATWT主要完成數字化保護系統在預期瞬態未停堆的情況下完成反應堆停堆，汽機跳閘，輔助給水啟動等功能。

2.4 多樣性分析

1）人員多樣性

根據3.1中的內容可以得出，按照標準IEEE 1012-2004中關于V&V的要求，采用與設計人員在技術上、管理上和財務上獨立的部門進行V&V[6]。

2）設計多樣性

根據3.2與3.1中的內容可知，ECP硬接線邏輯保護和數字化保護系統，體現了設計的多樣性。一個由硬接線手動邏輯實現保護功能，一個通過數字化Tricon平臺實現保護功能。兩個保護功能的實現互不影響，增加了保護系統的可用性。

3）軟件多樣性

根據Tricon系統構建可知，在保護系統每一個通道中分為兩個子組。由RPS系統需求規格書附件3可知，每個通道的兩個子組被分配不同的邏輯來實現停堆功能。然后兩個子組通過或邏輯輸出到四取二的停堆斷路器完成停堆功能。兩個子組中組態軟件的不同，一定程度上體現了軟件多樣性。

更為重要的軟件多樣性的體現在于基于Tricon的保護系統和基于I/A的保護系統。同為數字化儀控平臺，由于所用的平臺不同，導致了控制功能開發工具的不同、系統軟件和組態軟件所用的技術的不同。再加上開發人員的不同，導致了根本上的軟件多樣性。

4）功能多樣性

根據3.2和3.1可知，在ECP硬接線邏輯設計過程中，充分地避免了軟件保護系統和硬接線保護系統的依賴性，各自功能互不影響，都能獨立地完成保護功能，所以體現了保護功能的多樣性。

5）信號多樣性

對于停堆功能中的1.8和1.9分別在Group1和Group2中實現，接受的信號分別是穩壓器的壓力高和穩壓器的壓力低，但都是完成停堆功能，這體現了信號的多樣性。

RPS保護系統和DAS保護系統在反應堆正常運行時，檢查反應堆用的探測器，一個是功率量程中子注量率，一個是中間量程中子注量率，都可以根據各自的測量結果，在需要的時候完成保護功能，所以體現了信號多樣性。

6）設備多樣性

RPS保護系統和ECP手動保護系統，采用了不同的技術完成保護功能，體現了設備的多樣性。

DAS系統和數字化保護系統相比，既實現了基本的保護功能，又實現了多樣性設計。由于I/A和Tricon是基于不同技術的平臺，所以體現了設備的多樣性。例如I/A控制站的CPU是采用基于AMD Elan SC520芯片組，Tricon控制站的CPU采用基于Motorola MPC860A的三重冗余的CPU。不同的CPU構架是一個非常有用的多樣性，它會迫使軟件開發使用不同的編譯器、連接器和必要的輔助程序，這樣可以確保他們之間軟件多樣性的實現。

3 結論

從以上分析可以看出，基于Tricon平臺的核電站安全級DCS的設計及實施中，充分考慮了人員、設計、軟件、功能、信號及設備的多樣性，降低了DCS系統運行過程中因共因故障導致保護功能喪失的風險，大大提高了核電站DCS系統的可用性、可靠性和安全性，能夠確保核電站的安全運行，保證公眾和環境的安全。