核電廠儀控系統總體架構設計要求研究

宿俊海，孫 娜，張 杰

（華龍國際核電技術有限公司，北京 100036）

核電廠儀控系統總體架構是核電廠儀控系統（總體層次上的組件）的組織架構，它提供了對整個儀控系統的頂層視圖，以及各儀控系統之間的相互聯系。儀控系統的主要功能是根據核電廠的設計基準工況和設計擴展工況的要求而確定的。這些功能包括：保護、控制和監視。

當前國內新建電廠都采用數字化儀控系統，根據核電廠所選用的核電技術和儀控平臺的不同，儀控系統的總體架構有所不同，但對儀控總體架構的設計要求和設計原則是一致的。本文通過對國內外標準的研究，確定儀控系統總體架構的設計要求和設計原則，并對儀控系統架構的設計步驟進行了說明。

1 儀控系統總體架構設計要求

依據法規、標準的要求，核電廠儀控系統總體架構設計應滿足縱深防御、獨立性、核安全等級要求、信息安全要求、儀控系統復雜性和災害防護等要求，具體為[1]：

1）各個儀控系統分配到不同的縱深防御層級中，以便在一個層級中的儀控系統發生故障時，其他層級的儀控系統對其功能進行補償或糾正以避免產生有害后果。

2）保持縱深防御層級間和安全等級間的獨立性，以便對一個縱深防御層級的儀控系統產生不利影響的事件，不應對其他層級執行安全重要功能的儀控系統產生影響。

3）對一個儀控系統產生不利影響的事件，不應對其他執行安全重要功能的儀控系統產生影響。

4）根據核安全等級要求，進行儀控功能分類和儀控系統分級。

5）根據信息安全要求，把儀控功能和儀控系統放入對應的信息安全區中。嚴格控制儀控系統的復雜性，消除不必要的復雜性。

6）儀控設備應處于適當位置和提供合理保護以便抵御不良環境因素的影響。

2 儀控系統總體架構設計原則

國際原子能機構在研究報告NP-T-2.11-2018 中提出了儀控總體架構的設計要求，主要包括：縱深防御、獨立性、多樣性、儀控功能分類和設備分級、網絡安全和災害防護等。

2.1 縱深防御

核電廠采取縱深防御策略，設置多個獨立的屏障，以便保護公眾和核電廠工作人員免受輻射危害。總體儀控系統架構也需要滿足縱深防御的要求[2]。

2.2 獨立性

IEC 61513 將獨立性定義為“包括防止系統內子系統之間或系統與其他系統之間不利相互影響的措施。不利相互影響可能產生于子系統或系統中任何部件的異常工作或故障，也可能來源于例如電磁感應、短路、接地故障、火災、化學爆炸、飛行物墜毀的存在以及被破壞數據的傳播。”本質上講，獨立性旨在避免物理和邏輯上的交互（這些交互可能導致故障影響的傳播），并且將共因故障的發生及可能產生的不良影響降至最低[3]。

2.3 多樣性

縱深防御不同層次的各數字化儀控系統由于基于儀控平臺進行開發，采用了相似的計算機硬件和軟件資源，所以設計錯誤可能導致兩個或多個儀控系統的共因故障，并危及多個縱深防御層級。因此，采用多樣性原則變得非常重要。多樣性是利用技術、功能、實現、操作等方面的差異來降低潛在的共因故障。

2.4 儀控功能分類和設備分級

分類和分級的目的是實現對儀控系統在技術和質量保證要求上的分級要求，儀控功能根據其對安全的重要性被劃分為相應安全類別[4]，對安全的重要性是由當需要系統動作而未能動作時所產生的后果決定的。在有些安全功能分類方法中，還考慮了假動作的后果以及對假設始發事件的預防和緩解的影響。儀控系統和設備根據其需要執行的儀控功能的最高安全類別來劃分安全級別，儀控系統的安全級別決定了系統和設備的設計和質量要求、工程過程的嚴格程度以及可靠性和質量標準等要求。

2.5 網絡安全

在定義功能結構和數據流時，計算機信息安全區需要考慮從高信息安全區到低信息安全區的數據流，而不是相反方向的數據流。因此，不同信息安全區之間應有數據流解耦機制，以防止未授權的訪問，也防止低信息安全區的故障傳播到高信息安全區[5]。儀控功能應分配到與之相匹配的信息安全區。

2.6 災害防護

儀控系統需要設計成能夠承受在其運行環境中可能發生的潛在危險的不利影響，這些危險可能來自外部因素（如海嘯、飛機撞擊、洪水或過高的環境溫度）或內部事件（例如火災、甩負荷或蒸汽泄漏）。

3 總體儀控系統架構的設計步驟

總體儀控系統架構受到多方因素的影響，例如設計方、業主、平臺供應商和法規標準要求等，這些相關方可能有不同的特點和需求。總體儀控系統架構設計通常分為初步設計和詳細設計。

3.1 總體儀控架構的初步設計

總體儀控架構設計需要與核電廠安全設計基準一致，在初步設計時，主要的設計輸入有：

1）核電廠的運行理念。

2）核電廠的縱深防御概念。

3）總體儀控架構提供的安全功能。

4）功能分類和核電廠安全重要功能的功能和性能要求。

5）結構、系統和組件的安全分級。

6）非功能性需求，例如信息安全、安保要求和時間約束。

7）信息安全區定義、相互關系以及允許的區域間通信路徑。

總體儀控架構初步設計的輸出，包括如下方面的內容：

◇ 根據縱深防御的層級和功能特性、信息安全區等定義總體儀控系統架構。

◇ 對分配給縱深防御層級的儀控系統和設備進行安全分級。

需要對縱深防御各層之間共享設備進行確認，以確保這種共享在安全上是可接受的。特別注意的方面有：

a）不同縱深防御層級間共享的數據和信號通信設備。

b）從較低的安全等級到較高的安全等級的數據和信號通信。

c）從較低的信息安全區到較高的信息安全區的數據和信號通信。

d）支持系統也需要進行考慮（如儀控系統的電源和通風空調系統）。

儀控架構設計需要編制相關文件，在文件的編制過程中需考慮如下內容：

①功能分類和系統分級。

圖1 儀控系統總體架構Fig.1 Overall structure of the instrument control system

②根據儀控系統在核電廠的位置，可能需要考慮抗震分級。

③物理隔離、電氣隔離、功能獨立和其在總體儀控架構或支持系統中的應用。

④總體儀控架構應與核電廠安全需求、可用性、縱深防御策略等相一致。

⑤計算機安全的風險評估和影響分析。

⑥假設的儀控系統故障。

⑦支持系統（例如測試、定期測試、監視和維護）的要求，以及減少可能導致危險狀態的惡意操作（包括虛假驅動）的可能性的安排；軟件故障和共因故障的目標。

⑧嚴重事故儀表系統的設計需求。

3.2 總體儀控架構的詳細設計

詳細設計階段的輸入有：根據儀控系統的功能、安全性、性能要求和其他約束條件確定輸入，并與其他專業建立聯系，以確保滿足其設計基準。這通常包括如下內容：儀控功能需求。每個儀控功能提供的詳細內容有：功能描述（即目的）、縱深防御、功能分類和系統分級、輸入和輸出、在相同縱深防御層級和安全類別的情況下儀控功能的隔離/分組、每個假設始發事件的功能多樣性、優先級準則、操作模式（包括在不同電廠狀態下手動干預和監視的要求）、響應時間、準確度、故障模式和效果分析、儀控系統對故障的響應。

詳細設計階段的輸出將完成總體儀控架構的搭建，通常包括以下內容：儀控平臺和相關子系統、系統開發方法和工具的選擇和論證，并需要證明，儀控系統設計和選擇符合初步設計中建立的相應要求。儀控系統的總體架構應采取措施確保在初步設計階段根據電廠安全性、可用性和安全分級確認的獨立性和隔離方面的要求的實現。當數據或信號在不同的縱深防御層級間傳輸時，應盡量避免從較低安全等級到較高安全等級的通信需求。全面的縱深防御和多樣性分析，將儀控功能分配給系統和子系統，同時考慮適用的分離或分組和平臺功能的約束條件。一種可行的儀控系統總體架構如圖1 所示。

4 結論

核電站的總體儀控系統架構是一整套的儀控系統的組織結構。該架構建立了組成整個系統架構的儀控系統，包括了儀控功能的分配、系統間的相互關聯及作用；并滿足總體儀控架構的設計約束，定義各種儀控系統之間的邊界。總體儀控架構的設計是一項困難而復雜的任務，并且受到各種設計條件的約束。從初步設計階段開始，總體儀控架構將在與來自其他專業的設計團隊進行討論的基礎上不斷完善。當核電站設計從初步設計轉向詳細設計時，必須不斷地評估來自其他專業的設計團隊所做的決定對儀控系統的影響。必須與其他專業協作，以避免對儀控設計強加不必要的要求，并進行溝通，以確保其他專業能夠提供足夠的輸入信息，以支持整個儀控架構的不斷完善。