在地球溫室效應(yīng)、氣候變化的嚴(yán)峻形勢(shì)下，核能作為一種重要清潔能源，日益受到重視。根據(jù)2007年國(guó)務(wù)院的《核電中長(zhǎng)期發(fā)展規(guī)劃（2005-2020年）》，我國(guó)計(jì)劃到2020年，核電運(yùn)行裝機(jī)容量爭(zhēng)取達(dá)到7000萬(wàn)千瓦（調(diào)整后）。但是核能又是一種非常特殊的能源，對(duì)安全有著極為嚴(yán)格的要求，一旦發(fā)生核事故，會(huì)對(duì)環(huán)境和社會(huì)公眾造成巨大的危害，后果不堪設(shè)想。在2011年3月11日發(fā)生的日本福島核事故之后，如何提高核電廠的可靠性，確保充分利用核能優(yōu)勢(shì)同時(shí)又能將潛在風(fēng)險(xiǎn)降到最低，已成為核電發(fā)展面臨的關(guān)鍵問題。

反應(yīng)堆保護(hù)系統(tǒng)的功能是保護(hù)三大核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性。當(dāng)運(yùn)行參數(shù)到達(dá)危及三大屏障完整性的閾值時(shí)，緊急停閉反應(yīng)堆，必要時(shí)啟動(dòng)專設(shè)安全設(shè)施[1]。它可以在異常或事故工況下進(jìn)行安全停堆停機(jī)，并在事故發(fā)生后緩解事故，將事故后果限制在可接受的范圍內(nèi)。

隨著微處理技術(shù)的日新月異，數(shù)字化儀控系統(tǒng)開始逐步取代傳統(tǒng)模擬控制和保護(hù)系統(tǒng)并全面應(yīng)用于核電廠反應(yīng)堆保護(hù)系統(tǒng)。數(shù)字化儀控系統(tǒng)具有以下優(yōu)點(diǎn)：提高了核電廠對(duì)事件或事故的響應(yīng)速度、降低了人因失誤的效率、組態(tài)設(shè)計(jì)更加方便靈活、能輕松實(shí)現(xiàn)復(fù)雜的控制算法，同時(shí)具有強(qiáng)大的自診斷功能。數(shù)字化儀控系統(tǒng)充分體現(xiàn)了數(shù)字化的優(yōu)勢(shì)，但它是基于軟件的，存在因共因故障導(dǎo)致控制及保護(hù)系統(tǒng)失效、喪失安全功能的潛在風(fēng)險(xiǎn)。中國(guó)和國(guó)外的核安全法規(guī)導(dǎo)則標(biāo)準(zhǔn)均闡述了對(duì)共因故障的關(guān)注，并提出了保護(hù)系統(tǒng)應(yīng)防御軟件共因故障的要求。

1　保護(hù)系統(tǒng)多樣性設(shè)計(jì)要求

《核動(dòng)力廠設(shè)計(jì)安全規(guī)定》HAF102[2]中明確提出，在不能論證所需系統(tǒng)的完整性具有高可信度時(shí)，必須具備保證執(zhí)行保護(hù)功能的其他不同的手段。要求核電廠保護(hù)系統(tǒng)必須采用多樣性設(shè)計(jì)，以降低共因故障導(dǎo)致保護(hù)系統(tǒng)失效的風(fēng)險(xiǎn)，從而滿足核電廠縱深防御原則，實(shí)現(xiàn)安全核電廠的安全目標(biāo)。

共因故障是指由特定的單一事件或起因?qū)е聝蓚€(gè)或多個(gè)構(gòu)筑物、系統(tǒng)或部件失效的故障。這里的單一事件或起因既可以是由外部客觀原因造成的事件，也可以是人為原因造成的事件。具體而言，共因故障可以由設(shè)計(jì)缺陷、制造缺陷、運(yùn)行或維修差錯(cuò)、自然現(xiàn)象、人為事件，或核動(dòng)力廠內(nèi)任何其他操作或故障所引起的意外級(jí)聯(lián)效應(yīng)引起。

多樣性是針對(duì)共因故障設(shè)置的預(yù)防措施。多樣性在HAF102中的定義為：為執(zhí)行某一確定功能設(shè)置兩個(gè)或多個(gè)多重部件或系統(tǒng)，這些不同部件或系統(tǒng)具有不同屬性，從而可以減少發(fā)生共因故障的可能性。通過不同儀控系統(tǒng)、結(jié)構(gòu)和部件的多樣化設(shè)計(jì)，來降低共因故障的風(fēng)險(xiǎn)，以滿足核電廠安全縱深防御原則。當(dāng)數(shù)字化系統(tǒng)出現(xiàn)共因故障時(shí)，由多樣性系統(tǒng)實(shí)施控制。多樣性系統(tǒng)的硬件平臺(tái)必須和數(shù)字化系統(tǒng)是不同的。核安全級(jí)多樣性驅(qū)動(dòng)設(shè)備就是為了防止數(shù)字化DCS系統(tǒng)共因故障而設(shè)置的實(shí)現(xiàn)保護(hù)保護(hù)功能的裝置。

IEEE 603[3]和IEEE 7-4.3.2[4]均規(guī)定在核電廠保護(hù)系統(tǒng)設(shè)計(jì)及實(shí)施過程中，必須采取針對(duì)性措施，以確保在系統(tǒng)發(fā)生共因故障而導(dǎo)致控制及保護(hù)系統(tǒng)失效時(shí)，核電廠的安全功能仍然能夠得以有效執(zhí)行。

2　保護(hù)系統(tǒng)架構(gòu)

核電廠保護(hù)系統(tǒng)功能是探測(cè)核電廠的運(yùn)行狀態(tài)，當(dāng)其偏離可接受的狀態(tài)時(shí)，發(fā)出保護(hù)指令執(zhí)行安全動(dòng)作。它主要包括安全停堆系統(tǒng)、安全專設(shè)系統(tǒng)、多樣性驅(qū)動(dòng)系統(tǒng)以及人機(jī)接口等幾個(gè)組成部分。其設(shè)計(jì)要求遵循安全系統(tǒng)設(shè)計(jì)準(zhǔn)則，以保證保護(hù)系統(tǒng)的可靠性與可用性。圖1為保護(hù)系統(tǒng)的基本架構(gòu)。

圖1 保護(hù)系統(tǒng)基本架構(gòu)

3　保護(hù)系統(tǒng)多樣性分類及實(shí)現(xiàn)方法

根據(jù)共因故障產(chǎn)生的原因，在保護(hù)系統(tǒng)設(shè)計(jì)及實(shí)施過程中可以采取以下應(yīng)對(duì)措施，來降低共因故障導(dǎo)致的風(fēng)險(xiǎn)，提高核電廠的可靠性和安全性。

3.1　設(shè)備多樣性

設(shè)備多樣性指由不同的廠家生產(chǎn)或者是相同的廠家根據(jù)不同的需求規(guī)范書并采用不同的工作原理生產(chǎn)的設(shè)備，防止由于單一的設(shè)備故障導(dǎo)致全部功能的喪失。

3.1.1　保護(hù)系統(tǒng)多樣性

核電廠保護(hù)系統(tǒng)一般可以分為兩個(gè)部分：安全級(jí)DCS保護(hù)系統(tǒng)和多樣性驅(qū)動(dòng)保護(hù)系統(tǒng)。多樣性驅(qū)動(dòng)保護(hù)系統(tǒng)利用與安全級(jí)DCS保護(hù)系統(tǒng)不同的系統(tǒng)平臺(tái)和設(shè)計(jì)邏輯來實(shí)現(xiàn)不同于安全級(jí)DCS保護(hù)系統(tǒng)的保護(hù)功能。例如，在遼寧紅沿河核電廠中，安全級(jí)DCS保護(hù)系統(tǒng)采用三菱電機(jī)的MELTAC數(shù)字化控制平臺(tái)，多樣性保護(hù)系統(tǒng)則是三菱電機(jī)的MELNAC模擬式控制平臺(tái)。雖然均是三菱電機(jī)的產(chǎn)品，但是他們基于不同的工作原理，依據(jù)不同的需求規(guī)格書各自獨(dú)立完成。因此，該設(shè)計(jì)方案滿足HAF102中關(guān)于多樣性的要求。

3.1.2　停堆系統(tǒng)多樣性

核電廠停堆系統(tǒng)包括停堆斷路器和控制棒驅(qū)動(dòng)機(jī)構(gòu)CRDM。在事故工況時(shí)，安全級(jí)DCS系統(tǒng)動(dòng)作，觸發(fā)停堆斷路器動(dòng)作，使控制棒驅(qū)動(dòng)機(jī)構(gòu)失電，控制棒靠重力作用下插，引入負(fù)的反應(yīng)性，從而使反應(yīng)堆安全停堆。多樣性保護(hù)系統(tǒng)則與CRDM對(duì)應(yīng)，在安全級(jí)DCS保護(hù)系統(tǒng)因共因故障失效，或者是安全級(jí)系統(tǒng)動(dòng)作發(fā)出停堆指令后，停堆斷路器因故障不能動(dòng)作，導(dǎo)致無法切斷電源時(shí)，過程參數(shù)持續(xù)上升，達(dá)到多樣性保護(hù)系統(tǒng)設(shè)置的限值后，多樣性保護(hù)系統(tǒng)動(dòng)作，向棒控系統(tǒng)RGL發(fā)出停堆指令使反應(yīng)堆安全停堆。兩種停堆方式的原理和機(jī)制均不同，保證了停堆系統(tǒng)的多樣性。

3.1.3　監(jiān)視和操作系統(tǒng)多樣性

核電廠的操作絕大部分都是在主控制室（MCR）內(nèi)完成的。主控室內(nèi)設(shè)置了計(jì)算機(jī)化的操作員站以及基于硬接線原理的常規(guī)儀表的后備盤、緊急停堆盤等操作平臺(tái)。通常情況下，核電廠的信息顯示和手動(dòng)控制是通過計(jì)算機(jī)化的工作站來進(jìn)行。后備盤由常規(guī)儀表組成，是針對(duì)計(jì)算機(jī)化工作站的多樣化人機(jī)接口設(shè)備。當(dāng)操作員站出現(xiàn)故障，不能對(duì)核電實(shí)施有效的監(jiān)視、控制和保護(hù)時(shí)，操作員可以利用后備盤獲取與保護(hù)動(dòng)作相關(guān)的重要報(bào)警與指示，并能手動(dòng)觸發(fā)與安全保護(hù)動(dòng)作相關(guān)的指令。

3.1.4　操作場(chǎng)所多樣性

除上述在主控室中設(shè)置后備盤等多樣性的監(jiān)視和操作系統(tǒng)外，在核電廠還設(shè)置了多樣性的操作場(chǎng)所即遠(yuǎn)程停堆站（RSS) 。遠(yuǎn)程停堆站中設(shè)置了簡(jiǎn)化的操作員站。當(dāng)主控室因火災(zāi)、水災(zāi)或地震等原因不可用時(shí)，操作員轉(zhuǎn)移到RSS，完成對(duì)核電廠的監(jiān)視和控制，將核反應(yīng)堆維持在穩(wěn)定工況下或?qū)⑵鋷氚踩６褷顟B(tài)。

3.2　功能多樣性

核電廠安全停堆保護(hù)系統(tǒng)，由四個(gè)冗余的保護(hù)通道組成，每個(gè)通道都進(jìn)行獨(dú)立的運(yùn)算，輸出部分停堆信號(hào)，四個(gè)通道的部分停堆信號(hào)進(jìn)行四取二符合邏輯運(yùn)算，以實(shí)現(xiàn)停堆保護(hù)功能。為了提高保護(hù)系統(tǒng)的可靠性，防止因共因故障導(dǎo)致保護(hù)系統(tǒng)失效，每個(gè)通道的設(shè)計(jì)都充分考慮保護(hù)系統(tǒng)功能的多樣性，將執(zhí)行同一保護(hù)功能的多樣性保護(hù)參數(shù)和邏輯分配在不同的子組實(shí)現(xiàn)控制，從而減小共因故障的影響。當(dāng)任何一個(gè)子組因共因故障而失去保護(hù)功能時(shí)，另一個(gè)子組仍可以提供保護(hù)功能。

以三個(gè)環(huán)路反應(yīng)堆的冷卻劑泵為例。冷卻劑泵負(fù)責(zé)向反應(yīng)堆傳送冷卻劑，一旦冷卻劑泵出現(xiàn)故障或者停止運(yùn)行，反應(yīng)堆就無法獲得足夠的冷卻劑，不能及時(shí)將反應(yīng)熱導(dǎo)出，輕則會(huì)導(dǎo)致反應(yīng)堆停堆，重則會(huì)使堆芯溫度急劇升高導(dǎo)致融化，釀成放射性物質(zhì)外泄的嚴(yán)重事故。因此，從現(xiàn)場(chǎng)傳感器到停堆保護(hù)系統(tǒng)，都應(yīng)采用多樣性設(shè)計(jì)。安全級(jí)DCS保護(hù)系統(tǒng)采集了兩種不同類型的參數(shù)：泵轉(zhuǎn)速以及泵斷路器的開、合狀態(tài)來確定冷卻劑的運(yùn)行狀態(tài)，在兩個(gè)子組中分別進(jìn)行處理。如果因電源、傳感器故障等原因?qū)е乱粋€(gè)子組喪失保護(hù)功能，另外一個(gè)子組則可以繼續(xù)完成邏輯運(yùn)算，觸發(fā)停堆信號(hào)，完成安全保護(hù)功能。

在安全專設(shè)系統(tǒng)的設(shè)計(jì)中，也需要考慮相關(guān)的專設(shè)功能分配，其主要是從工藝系統(tǒng)故障安全角度考慮，將部分系統(tǒng)功能分散，盡量將功能相同的設(shè)備分開到不同的專設(shè)驅(qū)動(dòng)功能子系統(tǒng)中，如主給水系統(tǒng)ARE和輔助給水系統(tǒng)ASG，需分配在兩個(gè)不同的專設(shè)子系統(tǒng)中實(shí)現(xiàn)，以保證當(dāng)一個(gè)子系統(tǒng)出現(xiàn)故障時(shí)，另一個(gè)子系統(tǒng)仍可以正常地執(zhí)行該項(xiàng)專設(shè)功能。

3.3　人員多樣性

在人為故障中，最容易被忽視的就是設(shè)計(jì)人員的共因故障所導(dǎo)致的設(shè)計(jì)缺陷。人員導(dǎo)致的共因故障主要是由于相同的工作背景、相同的培訓(xùn)或者設(shè)計(jì)人員之間的相互技術(shù)交流等因素，導(dǎo)致某種錯(cuò)誤的觀點(diǎn)或者錯(cuò)誤的方法在設(shè)計(jì)人員之間繼承或傳遞。這種缺陷很難通過設(shè)計(jì)人員之間的相互檢查來發(fā)現(xiàn)。為了防止“人員的共因故障”對(duì)保護(hù)系統(tǒng)的影響，在設(shè)計(jì)及實(shí)施中，有必要采取以下措施來降低共因故障的潛在影響。

3.3.1　設(shè)計(jì)人員多樣性

保護(hù)系統(tǒng)設(shè)計(jì)包括安全DCS保護(hù)系統(tǒng)設(shè)計(jì)和多樣性保護(hù)系統(tǒng)設(shè)計(jì)。為了防止“人員共因故障”的影響，多樣性保護(hù)系統(tǒng)的設(shè)計(jì)人員需要多樣性于安全級(jí)DCS系統(tǒng)設(shè)計(jì)人員，即由相互獨(dú)立的設(shè)計(jì)人員完成安全級(jí)DCS保護(hù)系統(tǒng)和多樣性保護(hù)系統(tǒng)的設(shè)計(jì)、實(shí)施工作。另外，設(shè)計(jì)初步完成后由其它團(tuán)隊(duì)擔(dān)任審核工作也是設(shè)計(jì)人員多樣性的一種體現(xiàn)。

3.3.2　驗(yàn)證和確認(rèn)人員多樣性

為了保證保護(hù)系統(tǒng)設(shè)計(jì)的質(zhì)量，除了進(jìn)行設(shè)計(jì)組織內(nèi)部之間的相互檢查之外，還必須進(jìn)行驗(yàn)證與確認(rèn)Verification & Validation（V&V）工作。在HAF102中規(guī)定，V&V人員必須具有和設(shè)計(jì)人員相同或更高的設(shè)計(jì)能力，并且在組織、管理、財(cái)務(wù)上獨(dú)立于設(shè)計(jì)人員，防止由于領(lǐng)導(dǎo)的行政指令，或者是組織的利益導(dǎo)致V&V工作人員不能獨(dú)立地去執(zhí)行檢查工作而導(dǎo)致共因故障的發(fā)生。V&V人員可以獨(dú)立地對(duì)設(shè)計(jì)結(jié)果進(jìn)行審查，針對(duì)設(shè)計(jì)中存在的問題給出相應(yīng)的評(píng)價(jià)，但V&V人員不能對(duì)設(shè)計(jì)中存在的問題提出具體的解決方案，以避免共因故障的影響。

4　結(jié)語(yǔ)

數(shù)字化在核電廠保護(hù)系統(tǒng)的全面應(yīng)用是科技發(fā)展的必然結(jié)果，軟件共因故障亦不可避免。本文通過針對(duì)數(shù)字化保護(hù)系統(tǒng)應(yīng)對(duì)軟件共因故障設(shè)置多樣化方案的分析和研究，基于多臺(tái)現(xiàn)役CPR1000項(xiàng)目機(jī)組的實(shí)際應(yīng)用，舉例論述了設(shè)備、功能及人員多樣性的具體實(shí)現(xiàn)方案，對(duì)后續(xù)新建或現(xiàn)役改造的核電機(jī)組保護(hù)系統(tǒng)設(shè)計(jì)具有一定的參考意義。

參考文獻(xiàn)：

[1] 廣東核電培訓(xùn)中心. 900MW壓水堆核電廠系統(tǒng)與設(shè)備[M]. 北京: 原子能出版社. 2007.

[2] HAF 102, 核動(dòng)力廠設(shè)計(jì)安全規(guī)定[S]. 2004.

[3] IEEE 603. IEEE Standard Criteria for Safety Systems for Nuclear PowerGenerating Stations[S], 2009.

[4] IEEE 7 - 4. 3. 2. IEEE Standard Criteria for Digital Computers in SafetySystems of Nuclear Power Generating Stations[S], 2010.

作者簡(jiǎn)介

梁中起（1968-），男，河北人，高級(jí)工程師，1992年畢業(yè)于沈陽(yáng)化工學(xué)院生產(chǎn)過程自動(dòng)化專業(yè)，獲工程學(xué)士學(xué)位，現(xiàn)就職于北京廣利核系統(tǒng)工程有限公司，主要從事核電廠DCS系統(tǒng)工程實(shí)施方面的工作。

摘自《自動(dòng)化博覽》2015年12月刊