三門核電PMS與DAS的多樣性分析

呂永煥

摘要：三門核電采用美國西屋AP1000技術，設置多樣化驅動系統（DAS）作為保護和安全監測系統（PMS）的多樣化后備。因此PMS與DAS的多樣化程度直接關系著核電廠的安全。本文基于NUREG CR-7007導則的要求，分析PMS與DAS的多樣性，并針對CIM和DAS進行多樣性計算。

關鍵詞：DAS;PMS;多樣性

引言

隨著數字化信息和控制技術的發展和成熟，美國核電用戶要求文件（URD）和歐洲核電用戶要求文件（EUR）提出的三代核電安全和設計要求之一就是對全數字化儀控系統和先進控制室的要求，而在當前世界上新建、在建或改造中的核電廠儀表和控制系統均采用數字化技術。核電廠數字化技術的發展，不僅提高了核電廠的經濟性和穩定性，體現了數字化的優勢，也引入了各國對數字化反應堆保護系統安全性的擔憂。

由于反應堆保護系統一般會采用多個冗余通道，而多個通道通常又采用相同的設備搭建，因此硬件設計錯誤、軟件設計錯誤或軟件編程錯誤可能會導致冗余設備發生共因故障，從而使保護系統失效，因此各國核安全監管部分都非常關注數字化保護系統的共因故障。

NRC在NUREG?0800?BTP?7-19中提到“software?design?errors?are?a?credible?source?of?common-cause?failures. Software?cannot?typically?be?proven?to?be?error-free.”因此通過各種層次各種深度的驗證與確認（V&V），以及使用各種軟件驗證工具驗證的安全系統的軟件，不能證明軟件是完全沒有錯誤的，只要有錯誤就有導致軟件共因故障的可能。

我國的核安全導則HAD?102/16的2.3.2節中描述：“軟件故障本質上是系統性的，而不是隨機性的，基于計算機的安全系統的共因故障是一個關鍵問題，安全防范措施不容易實現。設計人員應采取獨立性和多樣性以及全面的質量鑒定等策略以防止共因故障。”

1. NUREG?CR-7007的多樣性分析

NUREG/CR-7007是NRC專門用于核電廠多樣性評估的導則，具備確定數字系統抵御共因故障的能力^[1]。

1.1?設計多樣性

設計的多樣性是NUREG/CR-7007多樣性評價表中權重最高的一項，設計多樣性分為三個層次，多樣性依次降低，分別為：

●不同技術，指從根本上不同的技術，如兩個系統分別采用數字技術和模擬技術，則認為這兩個系統采用不同的設計;

●相同技術的不同方法，例如基于計算機的數字化技術和基于ASIC的數字化技術，可具體為CPU技術和FPGA/CPLD技術;

●不同架構，即不同的部件/元件的連接和排列，不同廠家生產的不同架構的CPU可以認為是有不同架構的多樣性，例如Intel?80186?與Motorola?M68010，AMD?29050與Motorola?68040及Intel?80486。

1.2?設備制造多樣性

設備制造多樣性是使用不同的設備實現相似的安全功能，不同廠家生產的設備可能不會保證生產的設備之間具有足夠的多樣性，例如許多商用和工業用計算機采用相同的微處理器（CPU）芯片。使用不同的計算機設備可能會對軟件多樣性有一定的幫助作用，使用不同的處理器架構將有利于廠家采用多樣化的編譯器、鏈接器和其他支持軟件。

影響設備制造多樣性的因素如下所示（多樣性遞減）：

●不同廠家生產的根本上不同的設備設計;

●同一廠家生產的從根本上不同的設計;

●不同廠家生產的相同設備設計;

●同一廠家的相同設備設計的不同版本。

1.3?邏輯處理設備多樣性

邏輯處理設備的多樣性是指兩個系統的邏輯處理核心之間的多樣性，共有4個層級，多樣性依次降低，分別為：

●不同的邏輯處理設備架構，如Intel?80X86和Motorola?68000;

●相同邏輯處理設備架構的不同版本，如Intel?80386和Intel?80486;

●不同的部件集成架構，如不同的印刷電路版設計;

●不同數據流架構，如不同的總線架構。

1.4?功能多樣性

功能多樣性主要通過兩個系統執行不同的物理功能，重疊覆蓋安全功能。在確定的預期事件中引入充足的緩解方法方面，功能多樣性是非常有效的。不同的相互冗余系統的組合，在面臨系統故障時可充分緩解事故后果。典型的功能多樣性實例是使用“斷電觸發”和“上電觸發”的繼電器來實現功能。

功能多樣性共有3個層級，多樣性依次降低，分別為：

●不同的底層機制實現安全功能，如重力對流冷卻和泵注入冷卻劑冷卻，插入控制棒停堆和注入硼毒物停堆;

●相同底層機制，不同的目的、功能、控制邏輯或驅動手段，例如正常棒控和反應堆緊急停堆控制棒插入;

●不同的響應時間等級，例如事故狀態持續一段時間后備用系統動作。

1.5?生命周期多樣性

安全系統的設計、開發、安裝、運行和維修工作中的人為因素存在著極大的變數，并且已是幾個嚴重事故的直接原因。從積極的因素方面講，人員多樣性有利于提高系統安全。例如，采用不同的維修人員校準安全系統不同的、冗余的序列，可避免相同的、系統性的錯誤發生在所有序列。采用不同的設計人員設計功能多樣的反應堆保護系統可以降低相同設計錯誤發生的可能性。

影響生命周期多樣性的因素如下所示（多樣性遞減）：

●不同的設計公司;

●同一公司不同的管理團隊;

●不同的設計人員、工程師或程序員;

●不同的實施或驗證團隊。

1.6?信號多樣性

信號多樣性是指兩個系統的信號源的多樣性，分為三個層級，多樣性依次降低，分別為：

●使用不同的物理原理探測不同的反應堆或過程參數，如可以通過測量中子注量率停堆，可以通過測量壓力達到停堆;

●使用相同的物理原理探測不同的反應堆或過程參數，如由差壓傳感器測得的壓力和液位或流量;

●使用冗余的相似傳感器探測相同的反應堆或過程參數，如一組四通道多重液位傳感器作為另一組四通道多重液位傳感器的后備。

1.7?邏輯多樣性

為擴大該多樣性屬性的適用范圍，NUREG-7007中采用邏輯多樣性。邏輯多樣性指兩個系統處理算法、處理邏輯之間的多樣性，分為4個層級，多樣性依次降低，分別為：

●不同的算法、邏輯和程序架構;

●不同的時序、執行順序;

●不同的運行環境，如操作系統;

●不同的功能描述，如使用不同的計算機語言編程。

2. AP1000多樣性分析

在AP1000系列非能動核電廠中，作為安全級儀控系統，PMS執行反應堆停堆功能、專設安全設施驅動功能和1E級數據處理系統功能。PMS提供必要的安全功能來監測電廠運行狀態，并能使反應堆停堆，使電廠維持在安全停堆狀態。DAS是非1E級儀表和控制系統，提供多樣化、備用的手段來驅動反應堆停堆和驅動選定的專設安全設施，并把電廠信息提供給操縱員^[2]。

2.1?設計多樣性

PMS平臺采用基于CPU的儀控平臺（Common?Q平臺），而DAS平臺采用Actel公司生產的FPGA進行核心邏輯處理，這兩種技術使用不同的芯片、不同的架構和不同的程序，因而具有不同的故障機理，可有效抵御共因故障，應劃分為“相同技術的不同方法”、“不同的架構”。

2.2?設備制造多樣性

安全級Common?Q平臺是由西屋公司開發的基于CPU的儀控系統，而DAS平臺是由西屋下屬子公司CSI開發的基于FPGA的系統，因此PMS和DAS系統在設備制造多樣性方面滿足“同一廠家生產的從根本上不同的設計”。

2.3?邏輯處理設備多樣性

PMS和DAS平臺分別采用了CPU和FPGA兩種邏輯處理設備，而且PMS的Common?Q平臺中采用了AF100總線技術，DAS在自動驅動和手動驅動功能中沒有采用總線結構，只在數顯表通信中使用了串行的RS-485通訊方式，因此PMS和DAS系統在邏輯處理設備多樣性方面滿足“不同的邏輯處理設備架構”、“不同的部件集成架構”和“不同的數據流架構”。

2.4?功能多樣性

PMS和DAS分別采用驅動停堆斷路器和棒電源機組脫扣來使控制棒插入以實現停堆功能，而且PMS和DAS采用不同的整定值、不同的延遲時間。因此PMS和DAS系統在功能多樣性方面滿足“相同底層機制，不同的目的、功能、控制邏輯或驅動手段”、“不同的響應時間等級”。

2.5?生命周期多樣性

PMS平臺和DAS平臺是由西屋公司設計和開發的，而DAS平臺是由西屋下屬子公司CSI制造的。PMS和DAS系統設計和制造的人員是不同的，且系統實施和試驗的人員也是不同的。因此PMS和DAS系統在生命周期方面應屬于“同一公司不同的管理團隊”，“不同的設計人員、工程師或程序員”，“不同的實施或驗證團隊”。

2.6?邏輯多樣性

PMS與DAS在邏輯多樣性上表現如下：

●PMS具有四個相互隔離的序列。反應堆停堆功能和專設安全設施驅動功能采用四取二表決邏輯，而DAS對反應堆停堆和專設安全設施驅動使用二取二表決邏輯;

●DAS整定值和延遲時間設置保證DAS的自動驅動發生在PMS驅動之后;

●PMS平臺運行時具有操作系統，而DAS運行不需要操作系統;

●PMS平臺在開發時使用AMPL語言，而DAS平臺在開發時使用VHDL硬件描述語言。

因此PMS和DAS系統在邏輯多樣性方面滿足“不同的算法、邏輯和程序架構”、“不同的時序、執行順序”、“不同的運行環境”、“不同的功能描述”的要求。

2.7?信號多樣性

PMS停堆和專用安全設施驅動功能采用了多種信號，包括中子注量率、液位、壓力和溫度等，而DAS系統主要采用了溫度和液位信號進行自動驅動，因此滿足信號多樣性的“使用不同的物理原理探測不同的反應堆或過程參數”、“使用相同的物理原理探測不同的反應堆或過程參數”、“使用冗余的相似傳感器探測相同的反應堆或過程參數”這3條要求。

2.8?多樣性弱項

美國核管會NRC在2010年一份審查報告中提及PMS中的設備接口模塊（CIM）和DAS機柜都是由西屋的子公司CSI基于FPGA技術開發和制造。2011年NRC對CSI進行了檢查，檢查組使用NUREG/CR-6303對CIM/DAS的多樣性屬性進行了比較，認為CSI已充分執行多樣性要求，并確認PMS和DAS系統之間存在充分的多樣性。西屋提供的CIM和DAS的多樣性報告承認部分滿足人員多樣性，同時指出：

●PMS和DAS執行核心邏輯處理的單元是不同的（CPU?VS?FPGA），滿足多樣性的要求;

●CIM和DAS執行不同的功能邏輯，CIM執行優選和設備驅動邏輯，DAS執行反應堆停堆和ESF驅動相關的功能邏輯;

●CIM和DAS使用的FPGA芯片雖然是同一家公司（Actel公司）生產的，但由于是不同年代的產物，因此在架構、工藝和流水線上都存在不同。

根據NUREG/CR-7007提供的多樣性計算方法，CIM與DAS的多樣性計算結果如下表2所示^[3]。

從上表計算中可見，CIM和DAS多樣性計算值為1.18，大于1.00的標準要求。即便考慮到兩者是西屋同一家子公司生產、人員多樣性問題，涉及到的多樣性得分分別為0.03和0.08，多樣化最終得分為1.07，仍然滿足要求。

3. 結論

從前文分析中可見，PMS和DAS從設計多樣性、設備制造多樣性、邏輯處理設備多樣性、功能多樣性、生命周期多樣性、邏輯多樣性以及信號多樣性均滿足NUREG/CR-7007導則的要求。針對CIM與DAS的多樣性程度問題，通過分析和計算可見也滿足導則的多樣化程度要求。因此，三門核電所采用的PMS與DAS系統的多樣化程度滿足法規導則要求。

參考文獻

[1]NUREG/CR-7007，ORNL/TM-2009/302，Diversity?Strategies?for?Nuclear?Power?Plant?Instrumentation?and?Control?Systems.

[2]顧軍主編.AP1000?核電廠系統與設備[M].北京：原子能出版社，2010.

[3]張豐平. 基于NUREG/CR-7007導則的AP1000設備接口模塊（CIM）和多樣化驅動系統（DAS）多樣性分析[J].儀器儀表用戶，2016，23（3）：36-38.

[4]NUREG/CR-6303，UCRL-ID-119239，Method?for?Performing?Diversity?and?Defense-in-Depth?Analyses?of?Reactor?Protection?Systems.