核電廠反應堆保護系統數字化升級關鍵要素探究

何玉鵬，張 誼，姜 靜，周 岱，彭 浩

（中國核動力研究設計院核反應堆系統設計技術重點實驗室，成都 610213）

0 引言

反應堆保護系統檢測電廠異常工況，并且觸發必要的安全相關功能來達到并保持電廠處于安全停堆狀態[1]。國內早期商運的秦山、大亞灣、嶺澳等核電機組，儀控系統主要采用SPEC200 或Baily9020 等模擬技術，采用模擬儀表和繼電器控制回路實現反應堆保護與安全監視功能。至今已運行20 余年，面臨備件停產、模塊老化、故障率上升等問題，已對機組運行的經濟效益和核安全產生影響，亟需開展數字化升級。此外，數字化的控制系統是主流發展趨勢，具有高系統集成度，高可靠性和維護便利性等優勢，可以顯著降低運維成本。

但在設計反應堆保護系統的數字化改造方案時，往往容易忽略伴隨數字化控制系統而引入的問題，如軟件共模故障、質量位處理、網絡安全等，將會影響改造后系統的可靠穩定運行。本文以國內某核電廠反應堆保護系統數字化升級過程中面臨的技術難點為例，從缺省值設計、網絡安全防范、多樣性設計等多個維度進行探討，并提出了相應的解決思路。

1 數字化升級的必要性

國內首批M310 機組大多建成于20 世紀90 年代或本世紀初，由于技術引進與技術交流方面受到國外的限制，核安全級儀控系統均要自主摸索、試驗與研發。國家的核安全體系尚未建立，相應的國家標準不完整。在系統設計方面，國內設計人員對國際標準不了解或理解不深，設計中缺乏經驗。在設備制造方面，受當時國內元器件制造工藝和質量的限制，設備可靠性不高。由于上述因素，反應堆保護系統、堆外核測系統在設計與制造中存在缺陷是無法避免的。隨著對安全標準認識的不斷加深，原有設計與現行安全法規、標準的要求相比有較大的差距[2]。

通常控制系統設計壽命為20 年，早期核電機組的控制系統已普遍超出此限值。隨著設備老化，故障率出現逐漸上升的態勢，加快了備件消耗。長期運行消耗疊加廠家老舊生產線停產而無法購買備件，導致庫存數量緊張，對電站運營的經濟性和安全性形成挑戰，數字化升級的迫切性日益增強，系統級別的改造勢在必行。

2 改造方案設計難點

相比于模擬技術，數字化控制系統具備便捷在線診斷、快速故障定位、信息顯示網絡化、定期試驗自動化等諸多技術優勢。此外，國內近年開發的數字化控制系統，往往經過嚴苛的設備鑒定，具有充分的可靠性試驗數據支撐。但在開展數字化改造工作時，往往容易忽略軟件化帶來的問題，如不能妥善處理，將可能引入控制風險。

2.1 缺省值問題

由于模擬技術不存在質量位的概念，控制參數僅對數值本身進行采集和處理，不會判斷數值的有效性。當信號出現超量程、鏈路斷線等情況時，無法區分是否因真實工藝系統變化導致。而數字化改造后，引入了豐富的自診斷機制，必然需要控制系統響應質量位狀態。當出現質量位為壞時，需要將故障信號標識為無效，采用替代值實現故障信號的功能，此替代值即為缺省值。

根據多個核電現場的經驗反饋，由于缺省值設置不合理使得DCS 發出非預期的控制指令，導致設備無法操作或誤動作的事件時有發生[3]。因此，缺省值設計直接影響核電廠的安全性和經濟效益，有必要重點考慮。

2.2 網絡安全問題

對于模擬技術而言，由于設備本身并不基于處理器運行，系統內沒有嵌入操作系統和應用軟件，因而受網絡攻擊的風險和后果極小。但改造為數字化的控制系統后，系統組件的調整將會增加網絡安全風險。網絡安全風險主要體現在以下幾方面：

1）設備增加，加大了系統網絡安全攻擊面。數字化的反應堆保護系統使用的維護工程師站（MTS）、交換機等設備均為商用產品，本身存在可被利用的漏洞。

2）網絡環境變化，增加了系統網絡安全攻擊面。數字化的反應堆保護系統存在使用通用協議或與非安全級系統使用通用協議進行數據交換的情況，通用協議的數據格式等基本為公開信息，數據保密性較低。

3）社會環境變化。近年來，針對工業控制系統的網絡安全攻擊愈演愈烈。各類重大的網絡安全攻擊事件表明，網絡安全攻擊有從個人行為向組織行為甚至是國家行為轉變的趨勢，核電廠在進行改造時應提高網絡安全防護能力。

2.3 共因故障風險

在模擬技術中，每一個冗余通道的安全功能一般通過一系列分立的電子部件實現，故障的影響范圍有限。系統性缺陷同時集中爆發的概率極低，因此軟件共因故障（SWCCF）風險極低。

相比于模擬技術，數字化控制系統在具備維護便捷、可用性強和自診斷豐富等優點的同時，還具備高集成性和復雜度的特點。特別是相同的潛在軟件缺陷，系統性地存在于不同的控制站，使共因故障風險集中，增強了發生共因故障的風險和后果。美國核管理委員會在NUREG/CR-6303-1994 提出數字化的保護系統增加了軟件共因故障的風險，需要通過多樣性來克服共因故障。HAD102/16《核動力廠基于計算機的安全重要系統軟件》指出，“由于軟件故障本質上是系統性的，而不是隨機性的，基于計算機的安全系統（該系統通過相同的軟件拷貝而使用多重分系統）的共因故障是一個關鍵問題，安全防范措施不容易實現。設計人員應采用獨立性和多樣性以及全面的質量鑒定等策略以防止共因故障”[4]。

3 克服改造難點的設計策略

針對識別出的升級改造存在的問題，以某核電數字化改造為例，解決策略如下：

3.1 缺省值設計

對缺省值取值分析時，需要綜合考慮缺省值設置對不同工況下電站運行的可能影響，信號參與控制功能的作用及安全等級。基于龍鱗平臺在多個核電項目的設計實踐，總結缺省值的設置原則如下：

1）對于參與保護儀表表決邏輯的不再單獨設置缺省值，按保護功能表決邏輯的退化要求統一處理。

2）對于未參與保護的0 層模擬量或開關量傳感器采集過程中檢測信號質量位壞時，如無特殊要求，信號缺省值設置上一有效值。

3）DCS 系統內部的網絡和硬接線通信故障導致信號質量位壞時，如無特殊要求，信號缺省值設置上一有效值。

4）對于參與調節控制的模擬量輸出故障導致信號質量位壞時，如無特殊要求，信號缺省值設置上一有效值。

5）用于報警和顯示的信號原則上不設置缺省值。

對于特殊信號，需要基于信號執行的功能，以及控制平臺故障后的響應需求，針對性分析缺省值的設計。

3.2 信息安全設計策略

在改造過程中，可參考工業控制系統或核能行業網絡安全相關標準從以下方面加強系統網絡安全：

1）邊界防護：通過端口封堵、配置設備鎖等方式實現端口防護；通過禁用端口服務等降低系統邊界。

2）訪問控制：通過多因素鑒別實現訪問控制，如使用密碼+硬件鎖的方式。

3）權限管理：在設置系統賬戶時，應盡可能減少賬戶的數量，同時基于最小化原則分配賬戶權限。

4）主機防護：在確保功能可用性的前提下，部署主機防護軟件，對MTS 進行防護；通過操作系統配置（如提高密碼復雜度，調整密碼更換頻率，關閉不適用的系統服務或功能等），提升MTS 防護能力。

同時，在反應堆保護系統設計制造過程中，應加強項目網絡安全管理，避免采購、裝配、調試等環節引入網絡安全風險。

3.3 多樣性設計

任何單個設備和控制系統不能排除發生共因故障的可能，因此克服共因故障的措施假定一個設備或系統由于共因故障而失效，由其他設備或系統實現預期的功能。

根據NB/T 20068-2012《核電廠安全重要儀表和控制系統應對共因故障的要求》，多樣性設計有兩種方式：設計設備多樣性或功能多樣性，保證信號鏈路的獨立性，以確保核安全相關功能發生共因故障的可能性，減低到可以接受的范圍。

1）功能多樣性

為緩解反應堆保護系統應用軟件共因故障的后果，系統劃分為兩個功能多樣性子組，分別由不同的處理單元實現，停堆和專設功能按照保護參數多樣性分配到兩個多樣性子組中進行處理。以某核電的數字化改造為例，采用龍鱗平臺，選用多樣性參數設計多樣性子組后，系統架構如圖1 所示。

圖1 采用多樣化子組的系統架構Fig.1 System architecture using diverse subgroups

根據以上架構設計，結合龍鱗平臺典型失效參數，當定期試驗周期TI=18 個月，緊急停堆系統平均拒動率為

系統可用率為

基于以上架構，模擬量輸入信號處理數據流如圖2 所示。

圖2 模擬量信號數據流Fig.2 Analog signal data flow

信號鏈路響應時間為

采用多樣性子組提高數字化升級后系統多樣性的應用已有先例，在秦山核電一期項目的反應堆保護系統數字化升級時，采用TXS 平臺進行數字化改造，在原來4 個完全冗余通道的架構基礎上，增加多樣性子組的方式來提高設備可靠性[5]。

2）設備多樣性

按照多樣性設計原則，多樣化驅動系統也可以采用獨立的第三方平臺搭建多樣化驅動系統（DAS），以防止安全級DCS 系統平臺發生軟件共因故障導致ATWT 相關安全功能不可用。

以龍鱗平臺設計反應堆保護系統，搭配某NC 級控制平臺作為多樣性驅動系統后，架構設計如圖3 所示。

圖3 搭配多樣化驅動平臺的系統架構Fig.3 System architecture with diverse driver platforms

依據龍鱗平臺及國內某NC 級控制平臺的失效參數，當定期試驗周期TI=18 個月，緊急停堆系統平均拒動率為

系統的可用率為

基于以上架構，模擬量輸入信號處理數據流計算如圖4 所示。

圖4 模擬量輸入信號數據流Fig.4 Analog input signal data flow

信號鏈路響應時間為

3）多樣性對比

從性能計算數據結果看，采用DAS 設計拒動率更低，系統可用率更高，而且可以顯著縮短反應堆保護系統的響應時間。

根據NUREG/CR 6303，反應堆保護系統的縱深防御和多樣性可基于6 個維度評價：人因多樣性、設計多樣性、軟件多樣性、功能多樣性、信號多樣性以及設備多樣性（6個維度并不要求同時滿足）。相比于功能多樣性，采用不同平臺構建DAS 系統，在人因、設計、軟件、設備等4 個維度實現了更為充分的多樣性設計。

基于以上結果，在反應堆保護系統數字化改造方案設計時，優先采用獨立DAS 系統的設計，華龍一號采用二者兼具的方案，多樣性設計更為充分。

4 結束語

隨著安全級DCS 平臺技術逐步成熟和應用推廣，采用龍鱗平臺等完全自主知識產權的國產DCS 平臺進行數字化升級解決了備件停產、性能下降、故障率上升等難題。在制定改造方案時，充分利用數字化平臺諸多優點的同時，需要重視數字化伴隨的其他問題。本文針對反應堆保護系統的數字化升級，分析了缺省值設計、網絡安全、軟件共因故障等問題，并提供了設計方案。