核電廠控制系統(tǒng)軟件共因故障應對及評價

余 毅，張 敬，孫興見

（生態(tài)環(huán)境部華北核與輻射安全監(jiān)督站，北京 100082）

近年來，數(shù)字化儀控系統(tǒng)在我國核電廠中得到廣泛應用［1］。這些數(shù)字化儀控系統(tǒng)將核電廠各種控制功能集中于通用的計算機系統(tǒng)平臺，并主要以軟件指令的形式來實現(xiàn)。軟件帶來的潛在核安全問題越來越受到關注。

2016年，國家核安全局修訂發(fā)布了新版《核動力廠設計安全規(guī)定》［2］（HAF 102—2016），該《規(guī)定》首次從法規(guī)層面明確了必須考慮由軟件引起的共因故障。

1 核電廠數(shù)字化儀控系統(tǒng)縱深防御設計審評要求

1.1 我國核安全審評要求

核電廠儀控系統(tǒng)為核電廠在所有正常、異常和事故工況下的可靠運行提供了各種控制和保護手段及監(jiān)控信息，同時其系統(tǒng)結(jié)構設計還應滿足核安全審評相關要求。

HAF 102—2016要求設計必須體現(xiàn)縱深防御原則，相關的儀控導則IAEA SSG 39［3］要求儀控系統(tǒng)建立自身的縱深防御體系。結(jié)合核安全審評的內(nèi)容和關注方面［4，5］，核電廠數(shù)字化儀控系統(tǒng)應劃分為控制系統(tǒng)、反應堆緊急停堆系統(tǒng)、專設安全設施驅(qū)動系統(tǒng)、手動控制和顯示系統(tǒng)。這些系統(tǒng)為核電廠縱深防御各層次的工藝系統(tǒng)提供了相應的監(jiān)測和控制手段，并且被設置成多樣化的，以保障在反應堆緊急停堆系統(tǒng)及部分專設安全設施驅(qū)動系統(tǒng)發(fā)生共因故障情況下，反應堆自動保護功能的執(zhí)行，且不受控制系統(tǒng)不安全動作的影響。儀控系統(tǒng)結(jié)構要求如圖1所示，其中ATWS，為未能緊急停堆預期瞬態(tài)系統(tǒng)（anticipat?ed transients without trip system,簡稱ATWS）。

圖1 核電廠數(shù)字化儀控系統(tǒng)結(jié)構要求Fig.1 Structural requirements for digital instrumentation and control（DI&C）systems of nuclear power plant（NPP）

同時，為了確保相關縱深防御和多樣性設計的有效性，核電廠還需要在初步安全分析階段提出縱深防御和多樣性的要求，并在詳細設計中掌握擬采用的數(shù)字化設備的安全特性，在最終安全分析階段對所有的數(shù)字化儀控系統(tǒng)設備縱深防御和多樣性設計進行分析、評價（de?fense-in-depth and diversity assessment,簡稱D3評價）。

1.2 美國核管會新版NUREG 0800 BTP 7-19主要觀點

美國核管會組織對核電廠儀控系統(tǒng)軟件共因故障可能導致的潛在安全風險進行了長期研究，并形成了一套核電廠數(shù)字化儀控系統(tǒng)縱深防御和多樣性設計審評的方法和要求，相關文件及主要內(nèi)容見表1。

表1 美國核管會核電廠數(shù)字化儀控系統(tǒng)縱深防御和多樣性相關監(jiān)管文件Table 1 Regulatory documents related to defense-in-depth and diversity（D3）of DI&C systems of NPP of the U.S.Nuclear Regulatory Commission

2021年，美國核管會正式發(fā)布了NUREG 0800 BTP 7-19第8版［6］，納入了SECY-18-0090［7］中基于數(shù)字化儀控系統(tǒng)安全重要性分級評價的要求，提出了相應的安全重要性分級原則，并進一步明確了需要進行D3評價的數(shù)字化儀控系統(tǒng)設備的范圍，以及不需要進行D3評價的情況及其替代評價方法。

2 核電廠數(shù)字化儀控系統(tǒng)縱深防御設計關注的問題

2.1 “華龍一號”關注問題

以“華龍一號”的設計為例［8，9］，核電廠數(shù)字化儀控系統(tǒng)按照提供的功能，一般可以分為保護和安全監(jiān)測系統(tǒng)、核電廠控制系統(tǒng)、嚴重事故儀控系統(tǒng)和主控室系統(tǒng)等。其中保護和安全監(jiān)測系統(tǒng)執(zhí)行安全要求相關功能，如緊急停堆和專設安全設施驅(qū)動等，屬于安全級設備；核電廠控制系統(tǒng)執(zhí)行正常運行相關功能，如反應堆功率調(diào)節(jié)、穩(wěn)壓器壓力控制、蒸汽發(fā)生器水位控制和蒸汽排放控制等，屬于非安全級設備。

根據(jù)“華龍一號”數(shù)字化儀控系統(tǒng)設計方案［8］，其縱深防御和多樣性各層次見表2。

表2 “華龍一號”儀控系統(tǒng)縱深防御和多樣性各層次Table 2 Echelons of defense of the DI&C systems of the Hualong One

從多樣化儀控系統(tǒng)的設置來看，“華龍一號”數(shù)字化儀控系統(tǒng)設計方案主要考慮了安全級儀控系統(tǒng)軟件共因故障的情況，例如通過設置多樣化保護系統(tǒng)和緊急操作盤等，來應對可能的預期運行事件或假想事故與反應堆保護系統(tǒng)軟件共因故障同時發(fā)生所帶來的影響。

對于核電廠控制系統(tǒng)等安全影響重要性較低儀控系統(tǒng)的軟件共因故障，由于相關法規(guī)要求較為籠統(tǒng)，缺少相關的設計準則和接受準則，“華龍一號”數(shù)字化儀控系統(tǒng)設計方案中未體現(xiàn)出具體針對性措施，而是將其作為后續(xù)需要關注的問題［8］。

2.2 相關運行事件分析

從對核電廠相關運行事件的分析來看［1,10］，經(jīng)過相對嚴格的驗證和確認后的數(shù)字化儀控系統(tǒng)，包括安全級儀控系統(tǒng)設備，在核電現(xiàn)場調(diào)試運行中仍暴露了設計不周和軟件程序缺陷等問題。對于非安全級數(shù)字化儀控系統(tǒng)，相關的絕大部分事件雖然沒有對安全功能產(chǎn)生直接影響，但部分事件引入了不必要的瞬態(tài)，不利于機組安全運行，個別事件中甚至出現(xiàn)了燃料組件被拉彎的非預期情況。

3 核電廠控制系統(tǒng)軟件共因故障的應對及評價

筆者根據(jù)HAF 102—2016的總體要求，借鑒美國核管會BTP 7-19中的主要觀點，對核電廠控制系統(tǒng)軟件共因故障應對策略進行了分析，并提出了相應的評價方法和準則。

3.1 應對策略

3.1.1 安全目標分析

根據(jù)核安全審評相關要求，我們應對安全分析報告中各類設計工況疊加反應堆保護系統(tǒng)軟件共因故障失效進行D3評價。安全目標為廠址環(huán)境劑量釋放不超過設計要求的10%，且反應堆冷卻劑壓力邊界和安全殼的完整性不受破壞。

BTP 7-19中對核電廠控制系統(tǒng)等安全影響重要性較低儀控系統(tǒng)軟件共因故障的安全目標為：相關故障不會對安全功能產(chǎn)生不利影響，且不會將電廠置于無法合理緩解的工況下。如果滿足上述要求，則無需進行D3評價。

3.1.2 安全分級的應用

HAF 102—2016要求“必須識別所有安全重要物項，并根據(jù)其功能和安全重要性對其進行分級”，這對核電廠儀控系統(tǒng)軟件共因故障的應對及評價也是適用的，但現(xiàn)有的分級可能并不能完全適用。

例如：參考“華龍一號”的設計，核電廠儀控系統(tǒng)設備被分為安全級（1E）、非安全級（NC）和有特殊要求的非安全級（NC+），同為安全級的緊急停堆系統(tǒng)和控制室空調(diào)系統(tǒng)，但對安全影響的重要性差別較大；定義為非安全級的核電廠控制系統(tǒng)，在部分核電廠運行事件中也可能會對安全運行造成影響，在個別案例中甚至導致了非預期的情況；有特殊要求的非安全級則大部分是抗震等級要求，軟件共因故障并不適用。

因此，鑒于儀控系統(tǒng)設備對安全影響的重要程度不同，有必要在原有的安全級和非安全級基礎上作進一步劃分。

3.1.3 評價方法和準則的選擇

根據(jù)分級分類管理的理念，我們應根據(jù)對安全影響的重要程度確定評價方法和準則。安全影響重要性較低的儀控系統(tǒng)設備的評價方法和準則的確定，應考慮更多選擇，包括在縱深防御概念的應用、采用定性評價或是定量評價以及失效后果的評價等方面。

3.1.4 評價流程建議

根據(jù)上述應對策略，安全重要性較低的儀控系統(tǒng)軟件共因故障評價主要步驟及建議流程如圖2所示。

圖2 核電廠安全重要性較低的儀控系統(tǒng)軟件共因故障評價流程Fig.2 Evaluation process of the common-cause failure（CCF）caused by software of the lower safety significance DI&C in NPP

3.2 安全分類

核電廠數(shù)字化儀控系統(tǒng)的安全分類，在安全級和非安全級基礎上，參考BTP 7-19對儀控系統(tǒng)縱深防御和核安全影響重要程度的要求，劃分為四類，并對應不同的軟件共因故障評價方式，見表3。

表3 軟件共因故障評價安全分類Table 3 Safety classification of the evaluation of the CCF caused by software

3.2.1 對安全有重要影響

A1類屬于安全級儀控系統(tǒng)，且至少滿足下面三個條件之一：

（1）從觸發(fā)到完成相關控制功能，將電廠參數(shù)保持在設計基準要求的可接受范圍內(nèi)，或者使核電廠達到初始安全停堆狀態(tài)后并保持安全狀態(tài)。

（2）如果沒有其他自動系統(tǒng)提供安全功能，或沒有預先計劃的手動操作已被驗證提供安全功能，則其故障可能直接導致事故條件，可能產(chǎn)生不可接受的后果（例如超過設計基準規(guī)定的劑量）。

（3）在安全分析報告中，其他被認為對安全有重要影響的功能。

對安全有重要影響的儀控系統(tǒng)設備，必須對其縱深防御設計進行D3評價。

3.2.2 安全影響重要性較低

A2類屬于安全級儀控系統(tǒng)，在實現(xiàn)或保障電廠核安全方面提供輔助或間接功能。

B1類不屬于安全級儀控系統(tǒng)，但至少滿足下面兩個條件之一：

（1）直接影響反應堆的反應性或功率水平，或影響安全屏障（燃料包殼、反應堆壓力容器或安全殼）的完整性。

（2）由于將多個控制功能集成到一個系統(tǒng)中，其故障可能會對電廠安全造成不可接受的后果。

對安全影響重要性較低的A2類和B1類儀控系統(tǒng)設備，可采用定性評價的方式來替代D3評價中的定量分析，并且可以用失效后果評價來替代D3評價的驗收準則。

3.2.3 安全影響重要性極低

B2類不屬于安全級儀控系統(tǒng)，且至少滿足下面兩個條件之一：

（1）對反應性或反應堆功率水平?jīng)]有直接影響。

（2）其故障不會對電廠安全造成影響，或其故障可以被其他系統(tǒng)檢測和合理緩解。

對安全影響重要性極低的儀控系統(tǒng)設備的縱深防御設計及評價沒有要求。

3.3 定性評價

參考BTP 7-19中相關要求，安全影響重要性較低數(shù)字化儀控系統(tǒng)設備的定性評價需要考慮三方面因素：設計屬性和特征、設計過程的質(zhì)量和運行經(jīng)驗，以證明其發(fā)生共因故障可能性足夠低，即低于核電廠安全分析中其他需要考慮的假設始發(fā)事件的發(fā)生概率。

（1）設計屬性

設計屬性可以防止或限制故障的發(fā)生。設計屬性主要指儀控系統(tǒng)內(nèi)置功能，如內(nèi)部冗余設計、故障檢測和監(jiān)視及自診斷功能等。同時，也可以考慮儀控系統(tǒng)自身之外的設計，例如：閥門或泵轉(zhuǎn)速控制中使用的機械鎖止裝置。

多樣性也是設計屬性的一個方面，核電廠可以使用該屬性來證明：數(shù)字化儀控系統(tǒng)已經(jīng)受到多樣化手段保護，不會因潛在的軟件共因失效而喪失設計功能。

（2）設計過程質(zhì)量

設計過程包括軟件開發(fā)、硬件和軟件集成過程、系統(tǒng)設計以及驗證和確認過程。設計過程質(zhì)量標準區(qū)別于質(zhì)量保證大綱或程序。質(zhì)量標準是指描述設計中規(guī)定要達到的技術標準，并且應是經(jīng)監(jiān)管部門和行業(yè)都認可的導則標準文件。例如：《核動力廠基于計算機的安全重要系統(tǒng)軟件》（HAD 102/16）［11］、美國核管會導則《核電廠安全系統(tǒng)中使用的數(shù)字計算機軟件開發(fā)軟件生命周期過程》（RG 1.173）［12］等。

（3）運行經(jīng)驗

相關操作經(jīng)驗也可以用于證明和評價擬使用的數(shù)字化儀控系統(tǒng)設備具有足夠的可靠性。評價時應注意實際所使用的數(shù)字化儀控系統(tǒng)，與所評價的儀控系統(tǒng)設備在具體的硬件和軟件之間的差異，確保所評價系統(tǒng)設備的軟件架構與實際使用系統(tǒng)設備的架構基本相似。

所評價的儀控系統(tǒng)設備的設計條件和運行模式也需要與擬實際使用數(shù)字儀控系統(tǒng)設備的設計條件和運行模式基本相似，包括環(huán)境條件、連續(xù)工作時間要求等。同時，在作為其他系統(tǒng)設備參考時，還應了解設計中存在哪些緩解軟件共因故障的設計特征，以及其運行經(jīng)驗是否適用。

3.4 失效影響分析

失效影響分析包括失效對儀控系統(tǒng)自身的影響和對核安全的潛在影響兩個層面，前者需進一步證明自身發(fā)生概率低，后者則需證明對核安全功能的影響或者后果可接受。

3.4.1 對儀控系統(tǒng)自身的影響

失效影響分析需要從定性評價三個方面因素，來驗證被評價的儀控系統(tǒng)設備是否滿足軟件共因故障發(fā)生概率足夠低的要求，相關準則如下：

（1）具有降低共因故障風險的設計屬性和特征，以降低共因故障的可能性。

（2）設計制造過程質(zhì)量降低了共因故障的可能性。

（3）相關運行經(jīng)驗證明：能夠在設計條件下達到較高的可靠性。

（4）不會導致非預期的情況。

3.4.2 對核安全的潛在影響

對核安全的潛在影響分析，應結(jié)合具體的儀控系統(tǒng)及執(zhí)行的功能來進行。以核電廠控制系統(tǒng)為例，其軟件共因故障可能后果分析主要步驟如下。

（1）選取并確定安全目標。例如：燃料包殼完整性，儀控系統(tǒng)設置有針對DNBR的保護信號，來保障燃料包殼完整性。

（2）失效影響路徑分析。核電廠控制系統(tǒng)涉及反應堆功率調(diào)節(jié)、穩(wěn)壓器壓力控制、二回路溫度和流量等多系統(tǒng)參數(shù)的控制，對DNBR和燃料包殼完整性安全目標的影響路徑1如圖3所示，相關參數(shù)的變化包括二回路溫度降低、二回路流量增加和反應堆功率提升。

圖3 核電廠控制系統(tǒng)對燃料包殼完整性的影響路徑1Fig.3 Influence path of NPP control system on fuel cladding integrity 1

對DNBR和燃料包殼完整性安全目標的影響路徑2如圖4所示，相關參數(shù)的變化包括二回路溫度升高、二回路流量降低和穩(wěn)壓器壓力降低。

圖4 核電廠控制系統(tǒng)對燃料包殼完整性的影響路徑2Fig.4 Influence path of NPP control system on fuel cladding integrity 2

（3）分析可能的最壞后果。結(jié)合辨別的核電廠控制系統(tǒng)軟件共因故障弱點，選擇相應的失效組合作為輸入，根據(jù)影響路徑綜合考慮相關變化參數(shù)，分析評價對選定安全目標可能的最壞后果，確保不會對安全功能產(chǎn)生不利影響或?qū)㈦姀S置于無法合理緩解的條件下。

核安全潛在影響的失效影響分析相關的準則如下：

（1）失效影響分析反映出的對安全影響重要性程度與分類一致。

（2）沒有連接到更高安全分類的系統(tǒng)設備。

（3）失效影響分析已經(jīng)充分考慮了軟件共因故障導致的誤動作。

（4）不會對安全功能產(chǎn)生不利影響，且不會將電廠置于無法合理緩解的工況條件下。

4 結(jié)論

本文對如何考慮核電廠控制系統(tǒng)等安全影響重要性較低儀控系統(tǒng)軟件引起的共因故障，從安全目標、安全分級和評價方法等方面進行了分析，并借鑒BTP 7-19提出了相應的方法和準則，對核電廠數(shù)字化儀控系統(tǒng)自身縱深防御的構建以及相關設計和審評具有一定的參考價值。