先進(jìn)邏輯系統(tǒng)平臺(tái)的保護(hù)與監(jiān)測(cè)系統(tǒng)的D3分析

Diversity and Defense-in-depth Analysis of the PMS Based on ALS Platform

徐　智

(中廣核工程設(shè)計(jì)有限公司，上?！?00241)

?

先進(jìn)邏輯系統(tǒng)平臺(tái)的保護(hù)與監(jiān)測(cè)系統(tǒng)的D3分析

Diversity and Defense-in-depth Analysis of the PMS Based on ALS Platform

徐智

(中廣核工程設(shè)計(jì)有限公司，上海200241)

摘要：2013年美國(guó)核管會(huì)通過(guò)了對(duì)西屋公司開發(fā)的新一代基于現(xiàn)場(chǎng)可編程門陣列技術(shù)的1E級(jí)先進(jìn)邏輯系統(tǒng)平臺(tái)的認(rèn)證。針對(duì)基于該平臺(tái)所設(shè)計(jì)的保護(hù)與監(jiān)測(cè)系統(tǒng)，依據(jù)NUREG/CR 6303的相關(guān)要求，進(jìn)行了多樣性和縱深防御要求分析，并按NUREG/CR 7007的方法計(jì)算了保護(hù)與監(jiān)測(cè)系統(tǒng)的多樣性量化值。分析結(jié)果表明，新設(shè)計(jì)的保護(hù)與監(jiān)測(cè)系統(tǒng)方案基本滿足美國(guó)核管會(huì)對(duì)系統(tǒng)多樣性的定量要求，并得出可以不單獨(dú)設(shè)置多樣性驅(qū)動(dòng)系統(tǒng)的初步結(jié)論。

關(guān)鍵詞：核電站安全系統(tǒng)數(shù)字化多樣性與縱深防御核反應(yīng)堆保護(hù)與監(jiān)測(cè)系統(tǒng)安全評(píng)估共模故障儀控系統(tǒng)緊急停堆

Abstract：In 2013,the new generation Class 1E ALS platform based on FPGA technology developed by Westinghouse Electric Company had been approved by US NRC.Aiming at the protection and monitoring system (PMS) designed based on this platform,in accordance with the requirements of NUREG/CR 6303,the analysis of diversity and defense-in-depth is conducted; and the quantitative value of diversity for PMS is calculated by using the method of NUREG/CR 7007.The results of analysis indicate that the newly designed PMS basically meets the diversity requirements of US NRC,and the preliminary conclusion of eliminating diversity actuation system is obtained.

Keywords:Nuclear power plantSafety systemDigitizationDiversity and defense-in-depth(D3)Nuclear reactor

Protection and detection systemSecurity assessmentCommon mode failureI&C systemEmergency shut down

0引言

美國(guó)西屋公司(WEC)在并購(gòu)CS Innovations(CSI)公司后，繼續(xù)進(jìn)行了CSI所開發(fā)的先進(jìn)邏輯系統(tǒng)(advanced logic system,ALS)的1E級(jí)安全平臺(tái)取證工作，并于2013年9月獲得NRC的最終安全評(píng)審報(bào)告。NRC認(rèn)可這一基于FPGA技術(shù)的1E級(jí)平臺(tái)可作為數(shù)字化安全系統(tǒng)多樣性和縱深防御問(wèn)題的解決方案，通過(guò)定制、裁剪，可部分替換原安全系統(tǒng)，或開發(fā)為全新的安全系統(tǒng)[1]。

筆者根據(jù)核反應(yīng)堆保護(hù)與監(jiān)測(cè)系統(tǒng)(PMS)的典型功能需求，設(shè)計(jì)了一種全新的、基于ALS平臺(tái)的保護(hù)與監(jiān)測(cè)系統(tǒng)(PMS)[2]，并對(duì)該系統(tǒng)進(jìn)行了數(shù)據(jù)通信、完整性等方面的分析。本文依據(jù)NUREG/CR 6303[3]的多樣性與縱深防御(D3)要求，對(duì)全新設(shè)計(jì)的PMS進(jìn)行分析，并按NUREG/CR 7007[4]的方法計(jì)算了該系統(tǒng)的多樣性量化值。分析表明，該方案基本滿足NRC對(duì)系統(tǒng)多樣性的定量要求，并給出了可不單獨(dú)設(shè)置多樣性驅(qū)動(dòng)系統(tǒng)(DAS)的初步結(jié)論。

需要明確指出的是，本文進(jìn)行的D3分析所針對(duì)的保護(hù)與監(jiān)測(cè)系統(tǒng)(PMS)不是三代核電技術(shù)引進(jìn)涉及的PMS系統(tǒng)方案，而是具有與其相同典型功能的全新設(shè)計(jì)的保護(hù)與監(jiān)測(cè)系統(tǒng)。同時(shí)，為了方便敘述和理解，盡管本文中使用了許多與三代核電技術(shù)引進(jìn)相同的縮略語(yǔ)(如DAS、DDS、PLS、PMS、QDPS等)，但其原理同樣適用于其他核電項(xiàng)目類似功能的系統(tǒng)。

1基于ALS的PMS總體架構(gòu)

文獻(xiàn)[2]介紹了以文獻(xiàn)[5]和文獻(xiàn)[6]為基準(zhǔn)、結(jié)合ALS平臺(tái)的功能以及其在Wolf Creek、Diablo Canyon等核電廠安全系統(tǒng)部分技術(shù)改進(jìn)工程中的實(shí)踐[7-8]，設(shè)計(jì)了一種可以替代文獻(xiàn)[5]和文獻(xiàn)[6]的儀控(I&C)總體結(jié)構(gòu)的方案。該設(shè)計(jì)不考慮非安全級(jí)DCS平臺(tái)的變更，而著重考慮安全級(jí)平臺(tái)Common Q的替代方案。其中，PMS采用獨(dú)立、隔離、冗余的四序列設(shè)計(jì)。單序列的總體架構(gòu)如圖1所示[2]，單序列的安全信號(hào)路徑如圖2[2]、圖3所示[2]。

文獻(xiàn)[2]指出，圖2所示的基于ALS平臺(tái)的架構(gòu)設(shè)計(jì)考慮了文獻(xiàn)[5]和文獻(xiàn)[6]所有的信號(hào)接口，理論上是一個(gè)完整可行的方案，但需要根據(jù)有關(guān)的法規(guī)、導(dǎo)則、標(biāo)準(zhǔn)的要求對(duì)其符合性進(jìn)行論證。本文在文獻(xiàn)[1]對(duì)ALS平臺(tái)D3要求評(píng)估的基礎(chǔ)上，對(duì)于本設(shè)計(jì)采用ALS平臺(tái)所搭建的PMS系統(tǒng)，依照NUREG/CR 6303對(duì)數(shù)字化I&C系統(tǒng)D3評(píng)估的導(dǎo)則進(jìn)行一致性分析，并根據(jù)NUREG/CR 7007的方法計(jì)算該系統(tǒng)的多樣性量化值。

圖1　基于ALS平臺(tái)的PMS單序列架構(gòu)圖

圖2　反應(yīng)堆緊急停堆信號(hào)路徑及ESF邏輯路徑

圖3　ESF驅(qū)動(dòng)路徑

2多樣性與縱深防御(D3)概要分析

本文所關(guān)注的保護(hù)與監(jiān)測(cè)系統(tǒng)不是基于較常見的微處理器架構(gòu)的系統(tǒng)，而是基于FPGA邏輯的ALS平臺(tái)所搭建的新型安全系統(tǒng)。由于沒(méi)有專門的評(píng)估導(dǎo)則，NRC在對(duì)ALS平臺(tái)進(jìn)行安全評(píng)估時(shí)，采用了一系列針對(duì)微處理器平臺(tái)評(píng)估導(dǎo)則的適用部分，明確了對(duì)ALS平臺(tái)本身評(píng)估的有限范圍，并要求對(duì)于基于ALS的安全系統(tǒng)整體，必須在ALS平臺(tái)評(píng)估報(bào)告的基礎(chǔ)上，就通信、完整性、多樣性等方面進(jìn)行評(píng)估[1]。本文針對(duì)該P(yáng)MS的縱深防御及多樣性與NUREG/CR 6303的一致性進(jìn)行研究。由于本文不是一個(gè)D3的報(bào)告，因此并不依據(jù)NUREG/CR 6303的要求，對(duì)每個(gè)安全功能進(jìn)行詳細(xì)的描述，而是關(guān)注整個(gè)I&C系統(tǒng)架構(gòu)設(shè)計(jì)，特別是PMS的設(shè)計(jì)。

縱深防御是核電廠設(shè)計(jì)、建造和運(yùn)行安全有關(guān)全部活動(dòng)中必須貫徹的一個(gè)重要原則。核電廠一般設(shè)有五個(gè)層次的縱深防御措施，即：① 防止偏離正常運(yùn)行及系統(tǒng)失效;② 檢測(cè)和糾偏，防止預(yù)計(jì)運(yùn)行事件升級(jí)為事故工況;③ 提供固有安全、故障安全、附加設(shè)備以控制預(yù)計(jì)事件之后達(dá)到穩(wěn)定和可接受的狀態(tài);④ 應(yīng)對(duì)嚴(yán)重事故，保證放射性釋放在合理可行、盡可能低的水平;⑤ 減輕事故工況下可能的放射性物質(zhì)釋放后果。I&C系統(tǒng)作為核電廠的重要組成部分，其設(shè)計(jì)也應(yīng)遵從上述原則。針對(duì)I&C系統(tǒng)的特點(diǎn)，NUREG/CR 6303確定了I&C系統(tǒng)的四個(gè)縱深防御等級(jí)。本設(shè)計(jì)I&C系統(tǒng)的四個(gè)等級(jí)如表1所示。表1中，*為各層級(jí)具有的特點(diǎn)。

表1　儀表和控制的防御等級(jí)

2.1儀控系統(tǒng)

I&C系統(tǒng)的非1E級(jí)手動(dòng)或自動(dòng)設(shè)備，一般用于日常的發(fā)電運(yùn)行管控操縱，其中縱深防御功能用于防止反應(yīng)堆往不安全運(yùn)行狀態(tài)偏移，避免反應(yīng)堆停堆或驅(qū)動(dòng)專設(shè)安全設(shè)施(ESF)。本設(shè)計(jì)的I&C系統(tǒng)功能及實(shí)現(xiàn)方法與文獻(xiàn)[5]、[6]、[9]一致。

在PMS本身具有足夠的多樣性前提下，控制系統(tǒng)也應(yīng)該包括一些滿足10 CFR 50.62要求的專用設(shè)備(anticipated transient without scram,ATWS)。這些高質(zhì)量的非1E級(jí)專用設(shè)備應(yīng)可以減小1E級(jí)的PMS設(shè)備產(chǎn)生極為罕見的共模故障的影響。

反應(yīng)堆緊急停堆用于快速減少堆芯反應(yīng)性。緊急停堆系統(tǒng)采用能夠探測(cè)潛在或?qū)嶋H偏移正常狀態(tài)的儀表裝置，在必要時(shí)快速完全地向堆芯插入反應(yīng)堆控制棒。本設(shè)計(jì)的緊急停堆系統(tǒng)不包括中子慢化系統(tǒng)，如硼酸緊急注入。如圖2所示，安全級(jí)PMS的輸出信號(hào)驅(qū)動(dòng)停堆斷路器(RTCB)觸發(fā)邏輯矩陣，實(shí)現(xiàn)RTCB的欠壓(UV)線圈的斷電和加電(ST)線圈的加電，進(jìn)而導(dǎo)致RTCB打開斷電，控制棒由重力作用跌落堆芯，實(shí)現(xiàn)反應(yīng)堆緊急停堆。ATWS作為后備，也提供滿足10 CFR 50.62要求的多樣化緊急停堆功能。

專設(shè)安全設(shè)施(ESF)是用于導(dǎo)出堆芯余熱和維持放射性防護(hù)的三道實(shí)體屏障(燃料包殼、壓力容器、安全殼)完整性的安全級(jí)設(shè)備。如圖3所示，ALS輸出驅(qū)動(dòng)信號(hào)，通過(guò)設(shè)備接口模塊(CIM)最終驅(qū)動(dòng)各支持系統(tǒng)或裝置(閥門、斷路器等)，以便滿足緊急冷卻、卸壓或降壓、隔離和控制ESF設(shè)備運(yùn)行的需要。非安全級(jí)的電廠控制系統(tǒng)(PLS)也能發(fā)出ESF部件驅(qū)動(dòng)/控制命令，但須經(jīng)過(guò)設(shè)備接口模塊(CIM)進(jìn)行優(yōu)選后執(zhí)行。

如圖1所示，監(jiān)測(cè)和指示功能由非安全級(jí)的數(shù)據(jù)顯示和處理系統(tǒng)(DDS)和安全級(jí)的PMS提供。每個(gè)ALS機(jī)箱的ALS-102的TXB2端口在信號(hào)隔離后連接至非安全級(jí)網(wǎng)關(guān)，單向發(fā)送相關(guān)信息至非安全級(jí)DDS系統(tǒng)網(wǎng)絡(luò)。經(jīng)鑒定的數(shù)據(jù)處理系統(tǒng)(QDPS)主要用于處理RG1.97要求的1E級(jí)變量等。

和控制級(jí)、緊急停堆級(jí)、ESF級(jí)一樣，操縱員總是基于準(zhǔn)確的傳感器信息來(lái)完成任務(wù)。但操縱員能夠通過(guò)監(jiān)測(cè)和指示級(jí)給出的信息、時(shí)間和工具，執(zhí)行預(yù)先未定的邏輯計(jì)算以響應(yīng)意外事件。監(jiān)測(cè)和指示級(jí)包括名義上分配給其他3個(gè)等級(jí)運(yùn)行需要的1E級(jí)和非1E級(jí)的手動(dòng)控制器、監(jiān)視器和指示器。DDS的設(shè)備處理正常和應(yīng)急運(yùn)行工況可能產(chǎn)生的非安全級(jí)報(bào)警和顯示的數(shù)據(jù)，同時(shí)產(chǎn)生數(shù)據(jù)顯示和報(bào)警，并提供電廠數(shù)據(jù)分析、電廠數(shù)據(jù)日志和歷史數(shù)據(jù)存儲(chǔ)和恢復(fù)功能，給電廠運(yùn)行人員提供操作支持。DDS是一個(gè)冗余的實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)，連接儀表和控制系統(tǒng)的各單元[5-6,9]。

2.2縱深防御特性

共因故障(CCF)有可能破壞縱深防御的多層防線，本I&C結(jié)構(gòu)具有以下應(yīng)對(duì)CCF的設(shè)計(jì)特性，用來(lái)滿足執(zhí)照申請(qǐng)、提高電廠可靠性和可用性等要求。

采用分布式處理結(jié)構(gòu)將I&C系統(tǒng)的不同功能分配到多個(gè)不同的子系統(tǒng)，并采用了獨(dú)立的序列，使得一定的CCF僅局限于一個(gè)單獨(dú)的子系統(tǒng)，不會(huì)導(dǎo)致整個(gè)系統(tǒng)故障；冗余的子系統(tǒng)能探測(cè)包括存在足夠時(shí)間間隔的CCF故障，只要故障之間存在足夠時(shí)間可用于探測(cè)和修復(fù)，就能保證冗余子系統(tǒng)可響應(yīng)事件；安全級(jí)PMS的四個(gè)冗余序列是實(shí)體隔離的，也與非安全級(jí)系統(tǒng)隔離。電源也采用相應(yīng)的實(shí)體隔離。實(shí)體隔離都應(yīng)滿足IEEE-384，防止由于物理現(xiàn)象引起的CCF；模塊化設(shè)計(jì)提高了隔離和故障修復(fù)的快速性。只要CCF的故障之間存在足夠時(shí)間可用于探測(cè)和修復(fù)，模塊設(shè)計(jì)就能保證冗余子系統(tǒng)可響應(yīng)事件；故障安全設(shè)計(jì)，如失能跳閘或驅(qū)動(dòng)，提供了在單一故障和特定類型的多故障后，自動(dòng)或手動(dòng)將電廠帶入安全工況的能力。功能多樣性和冗余性的容錯(cuò)設(shè)計(jì)，能提供在單一故障和特定類型的多故障后，自動(dòng)或手動(dòng)將電廠帶入安全工況的能力；電氣隔離將I&C系統(tǒng)分段，以防止電氣故障的傳播。

PLS采用信號(hào)選擇器算法防止來(lái)自PMS傳感器信號(hào)的故障，如果冗余傳感器的輸出信號(hào)的差異超過(guò)限值，信號(hào)選擇器會(huì)報(bào)警。I&C的設(shè)備應(yīng)按其安全分級(jí)和應(yīng)用采用相應(yīng)的準(zhǔn)則，對(duì)環(huán)境要求，包括對(duì)溫度、濕度、震動(dòng)/地震、電磁干擾(EMI)/射頻干擾(RFI)，以及防浪涌等進(jìn)行鑒定，確保了只要不超過(guò)設(shè)計(jì)要求就不會(huì)發(fā)生CCF。I&C具有保護(hù)和濾波的AC供電線路、EMI/RFI設(shè)計(jì)、防浪涌的信號(hào)調(diào)理輸入卡件等，能防止特定的故障，因此只有超過(guò)了設(shè)計(jì)和鑒定測(cè)試極限，才會(huì)導(dǎo)致多重故障。

報(bào)警系統(tǒng)能夠?qū)&C本身的故障包括多重故障通知操縱員。主報(bào)警系統(tǒng)是DDS的一部分，使用不同于PMS的硬件和軟件。由于DDS系統(tǒng)是有人值守的，因此報(bào)警系統(tǒng)本身的故障可由操縱員及時(shí)發(fā)現(xiàn)。

I&C各子系統(tǒng)不間斷地執(zhí)行自診斷程序?；刈x和看門狗等不間斷地監(jiān)測(cè)重要子系統(tǒng)的運(yùn)行。這些自診斷特性用于探測(cè)并報(bào)告硬件故障，便于操縱員及時(shí)采取措施；測(cè)試子系統(tǒng)能快速而不間斷地驗(yàn)證系統(tǒng)運(yùn)行，不但提高了及時(shí)探測(cè)故障的能力，也提高了電廠人員快速診斷并修復(fù)這些故障的能力。

設(shè)計(jì)也考慮了人因故障問(wèn)題，如I&C對(duì)整定值和調(diào)節(jié)參數(shù)的調(diào)整實(shí)行多級(jí)權(quán)限的實(shí)體和行政的管控，防止維護(hù)失誤導(dǎo)致輸入錯(cuò)誤常量引發(fā)的CCF；I&C的整定值和整定常數(shù)的輸入值采用工程單位量而不是刻度值，減少由于刻度變化而產(chǎn)生的CCF。

設(shè)計(jì)全過(guò)程的驗(yàn)證和確認(rèn)。這些設(shè)計(jì)特性提高了儀控系統(tǒng)應(yīng)對(duì)各種故障的能力，符合核電廠設(shè)計(jì)的縱深防御理念。

2.3與NUREG/CR-6303一致性的評(píng)估

NUREG/CR-6303提供了14條用于進(jìn)行多樣性和縱深防御分析的導(dǎo)則。本文針對(duì)所設(shè)計(jì)的I&C系統(tǒng)，特別是基于ALS的PMS，對(duì)這些導(dǎo)則的一致性進(jìn)行了初步的評(píng)估。

① 導(dǎo)則1和5。

PMS分為4個(gè)冗余序列。非安全級(jí)PLS使用冗余的傳感器和冗余的子系統(tǒng)來(lái)提供縱深防御功能。由于ALS特有的多樣性能力和PMS的特別設(shè)計(jì)，假設(shè)CCF引起相似的或者相同的設(shè)備都發(fā)生故障，則不認(rèn)為PMS功能同時(shí)完全喪失。

② 導(dǎo)則2。

本文第3.2節(jié)給出了基于NUREG/CR-7007的多樣性詳細(xì)分析，包含了NUREG/CR-6303多樣性內(nèi)容。

③ 導(dǎo)則3。

NUREG/CR-6303描述了3種不同儀表裝置故障類型。第一類故障是某等級(jí)中的假想故障，該故障導(dǎo)致需要一個(gè)保護(hù)功能去緩解電廠瞬態(tài)；第二類故障是不可探測(cè)的故障，只有在要求驅(qū)動(dòng)一個(gè)部件或系統(tǒng)時(shí)才能發(fā)現(xiàn)該故障；第三類故障是由于電廠過(guò)程不以一個(gè)可預(yù)期的方式響應(yīng)或者測(cè)量電廠過(guò)程的傳感器以異常的方式響應(yīng)而引起。本設(shè)計(jì)存在上述故障類型。

對(duì)于PLS來(lái)說(shuō)，PMS是多樣性的系統(tǒng)。因此PLS的第一類故障不會(huì)導(dǎo)致多層防御失效。

本設(shè)計(jì)的4個(gè)等級(jí)內(nèi)和等級(jí)之間存在多樣性，因此整個(gè)I&C不易受到第二類故障影響。

對(duì)于第三類故障，本設(shè)計(jì)采用多樣性的傳感器來(lái)測(cè)量電廠對(duì)一個(gè)初始事件的響應(yīng)。例如，使用汽輪機(jī)沖動(dòng)級(jí)壓力和堆外中子探測(cè)來(lái)測(cè)量反應(yīng)堆功率；采用反應(yīng)堆冷卻劑系統(tǒng)的過(guò)冷度和堆芯出口熱電偶溫度來(lái)測(cè)量堆芯冷卻等。

④ 導(dǎo)則4。

I&C結(jié)構(gòu)有4個(gè)防御的等級(jí)?？刂频燃?jí)是由PLS提供的，PLS通過(guò)隔離的數(shù)據(jù)鏈接，從保護(hù)系統(tǒng)獲得特定的輸入。PMS和ATWS提供反應(yīng)堆緊急停堆級(jí)。在PMS中的反應(yīng)堆保護(hù)子系統(tǒng)、表決邏輯、專用的數(shù)據(jù)鏈接、反應(yīng)堆停堆斷路器接口和反應(yīng)堆停堆斷路器提供反應(yīng)堆緊急停堆功能。非安全級(jí)的ATWS和控制棒驅(qū)動(dòng)電動(dòng)發(fā)電機(jī)組斷路器提供一個(gè)多樣性的反應(yīng)堆緊急停堆功能。另外，PLS通過(guò)維持電廠在可接受的限值內(nèi)，避免緊急停堆。

PMS提供ESF驅(qū)動(dòng)級(jí)。在電廠保護(hù)子系統(tǒng)中的ESF子系統(tǒng)、ESF符合邏輯、ESF驅(qū)動(dòng)子系統(tǒng)、專用的數(shù)據(jù)鏈接在PMS中提供ESF功能。PLS的縱深防御功能避免非能動(dòng)安全系統(tǒng)不必要的驅(qū)動(dòng)。ATWS提供少量的ESF功能，如非能動(dòng)余熱排除系統(tǒng)的啟動(dòng)等。

⑤ 導(dǎo)則6。

保守地假設(shè)CCF會(huì)導(dǎo)致一種類型的所有模塊會(huì)失效。由于ALS的并行、簡(jiǎn)單、高確定性的“硬件”架構(gòu)以及高冗余的設(shè)計(jì)，ALS的無(wú)軟件、無(wú)操作系統(tǒng)等使得系統(tǒng)運(yùn)行時(shí)不存在一般的軟件CCF，PMS的并行運(yùn)行特性可參照模擬系統(tǒng)，因此這些受影響的模塊不會(huì)同時(shí)失效。此外ATWS因?yàn)槎鄻有缘脑O(shè)計(jì)，不會(huì)喪失其功能。

⑥ 導(dǎo)則7。

應(yīng)結(jié)合隨機(jī)故障假定儀表和控制結(jié)構(gòu)中的CCF情況進(jìn)行概率安全分析(PRA)，對(duì)于I&C的CCF導(dǎo)致堆芯損壞方面的評(píng)估尚未進(jìn)行PRA。基于ALS的特性以及不單獨(dú)設(shè)置多樣性驅(qū)動(dòng)系統(tǒng)(DAS)的考慮，在PRA中應(yīng)保守地假設(shè)一種類型的所有模塊會(huì)失效，但不是同時(shí)失效。

⑦ 導(dǎo)則8。

ATWS的輸入信號(hào)與其他系統(tǒng)不共享。

對(duì)于PMS中的CCF，假設(shè)受影響的部分沒(méi)有按時(shí)驅(qū)動(dòng)需要的保護(hù)動(dòng)作。

⑧ 導(dǎo)則9。

在子系統(tǒng)之間提供光纖的或者阻抗隔離，來(lái)阻止電氣故障的傳播。PMS的4個(gè)序列，包括1E的供電系統(tǒng)，是實(shí)體隔離的。此外，I&C硬件的設(shè)計(jì)保證了信號(hào)調(diào)制設(shè)備的故障對(duì)傳感器性能影響最小。

⑨ 導(dǎo)則10和11。

一個(gè)假想事故與PMS的CCF一起發(fā)生，同時(shí)ATWS也失效的概率應(yīng)在PRA中計(jì)算。如果計(jì)算的結(jié)果不能滿足核電廠的總體目標(biāo)，應(yīng)作相應(yīng)的調(diào)整，如增加DAS等。

⑩ 導(dǎo)則12。

對(duì)于一個(gè)反應(yīng)堆緊急停堆事件與一個(gè)PMS中假想CCF一起發(fā)生這種低概率情況，ATWS以一個(gè)多樣性的方式觸發(fā)反應(yīng)堆緊急停堆。另外，PMS提供手動(dòng)緊急停堆方式。為了支持手動(dòng)停堆，PMS提供電廠信息給操縱員，同時(shí)提供1E級(jí)QDPS指示。

對(duì)于一個(gè)或者多個(gè)ESF驅(qū)動(dòng)事件與一個(gè)PMS中CCF一起發(fā)生這種低概率情況、不同時(shí)發(fā)生故障的假設(shè)，使得冗余通道的驅(qū)動(dòng)成為可能。連接至PMS驅(qū)動(dòng)路徑下游的系統(tǒng)級(jí)手動(dòng)驅(qū)動(dòng)，提高了驅(qū)動(dòng)能力。此外具有最高權(quán)限的CIM現(xiàn)場(chǎng)手動(dòng)操作進(jìn)一步提高了驅(qū)動(dòng)的能力。為了支持手動(dòng)ESF驅(qū)動(dòng)，PMS給操縱員提供電廠信息，同時(shí)提供1E級(jí)QDPS指示。

反應(yīng)堆緊急停堆和ESF驅(qū)動(dòng)功能由ALS-102執(zhí)行，它們之間是隔離、獨(dú)立的。ALS-102的并行、獨(dú)立的FPGA邏輯分別處理反應(yīng)堆緊急停堆和ESF驅(qū)動(dòng)，它們之間不存在共用的資源，如存儲(chǔ)器、處理器等，因此反應(yīng)堆緊急停堆功能故障不會(huì)阻止ESF驅(qū)動(dòng)功能響應(yīng)其他輸入，ESF驅(qū)動(dòng)功能故障也不會(huì)阻止反應(yīng)堆停堆功能響應(yīng)其他輸入。

I&C結(jié)構(gòu)的3個(gè)層次提供了支持手動(dòng)操作的指示。這些手動(dòng)操作具有將核電廠維持在運(yùn)行限值范圍內(nèi)、停閉反應(yīng)堆以及驅(qū)動(dòng)ESF的功能。DDS通過(guò)實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)向操縱員提供非安全級(jí)的電廠顯示和報(bào)警數(shù)據(jù)，而PMS的QDPS提供安全級(jí)的顯示，ATWS可提供極少量的相關(guān)顯示。

如圖1所示，PMS通過(guò)隔離裝置單向發(fā)送數(shù)據(jù)到DDS。用于和PLS或DDS連接的隔離裝置防止PLS或者DDS中的故障影響到PMS的運(yùn)行。與這些信號(hào)有關(guān)的信號(hào)調(diào)制和數(shù)據(jù)處理功能是由PMS中的獨(dú)立的子系統(tǒng)執(zhí)行的，不與反應(yīng)堆緊急停堆或者ESF驅(qū)動(dòng)功能相關(guān)聯(lián)。一旦信號(hào)通過(guò)隔離裝置離開PMS，就不再是安全相關(guān)的，也不用于任何安全功能。連接DDS與PMS的單向網(wǎng)關(guān)，用于電廠狀態(tài)的監(jiān)視，包括PMS系統(tǒng)的狀態(tài)。

PMS中提供監(jiān)測(cè)和指示級(jí)的手動(dòng)停堆和手動(dòng)ESF驅(qū)動(dòng)功能。非安全級(jí)ATWS也提供手動(dòng)反應(yīng)堆緊急停堆能力和有限的ESF驅(qū)動(dòng)。如圖2所示，PMS通過(guò)一個(gè)硬接線直接控制反應(yīng)堆停堆斷路器的線圈通路。ATWS提供一個(gè)多樣性的硬接線停堆到控制棒驅(qū)動(dòng)電動(dòng)發(fā)電機(jī)組斷路器。PMS提供系統(tǒng)級(jí)和部件級(jí)驅(qū)動(dòng)ESF功能的手動(dòng)措施。

除了PRA相關(guān)的工作沒(méi)有完成外，本設(shè)計(jì)滿足NUREG/CR 6303的14條導(dǎo)則要求。

3系統(tǒng)多樣性量化值計(jì)算

3.1基于NUREG/CR-7007的計(jì)算方法

NUREG/CR-7007在NUREG/CR 6303的基礎(chǔ)上給出了多樣性的7大屬性25條準(zhǔn)則/措施，典型的應(yīng)對(duì)方案[10]詳見表2。在對(duì)系統(tǒng)的多樣性進(jìn)行量化計(jì)算時(shí)，先確定所評(píng)估的系統(tǒng)是否滿足某項(xiàng)準(zhǔn)則/措施，再根據(jù)公式進(jìn)行計(jì)算，得出系統(tǒng)的多樣性量化目標(biāo)值。當(dāng)量化目標(biāo)值大于1時(shí)，NRC則認(rèn)可其滿足多樣性要求。文獻(xiàn)[4]基于全球范圍內(nèi)的航天、航空、軌道運(yùn)輸?shù)确呛诵袠I(yè)及核行業(yè)大量的多樣性實(shí)際應(yīng)用情況的處理和分析，給出了措施的多樣性準(zhǔn)則的有效性(diversity criterion effectiveness,DCE)權(quán)重和每一項(xiàng)多樣性屬性的有效性(diversity attribute effectiveness,DAE)權(quán)重值。

表2　多樣性屬性及準(zhǔn)則

續(xù)表2

根據(jù)NUREG/CR-7007,有如下多樣性量化目標(biāo)值計(jì)算公式：

(1)

式中：A為系統(tǒng)的多樣性量化目標(biāo)值；xij為取決于表2中的7個(gè)多樣性屬性的第i多樣性屬性中的第j個(gè)措施的存在與否，存在該措施，xij=1，未采用此措施，xij=0；wi為第i多樣性屬性的DAE權(quán)重；wij為第i多樣性屬性中的第j個(gè)措施的DCE權(quán)重；C為歸一化基準(zhǔn)常數(shù)；i∈I={1,2,3,4,5,6,7}；j∈J={1,2,3,4}；xij∈X={0,1}。

3.2PMS多樣性措施值的確定

3.2.1設(shè)計(jì)多樣性

除了PCNodeBox及ASU等用于人機(jī)界面部分功能采用了基于微處理器的計(jì)算機(jī)系統(tǒng)以外，PMS的其他功能均采用ALS平臺(tái)實(shí)現(xiàn)。所有安全級(jí)的自動(dòng)控制均通過(guò)基于FPGA的ALS平臺(tái)實(shí)現(xiàn)。雖然PMS所有的ALS卡件均采用了多樣雙核(corediversity)，以及圖2、圖3的ALS機(jī)柜額外采用了內(nèi)置式多樣性設(shè)計(jì)(embeddeddesigndiversity)，但它們均基于WEC的FPGA技術(shù)。因此，根據(jù)NRC的評(píng)估準(zhǔn)則，認(rèn)為基于ALS的PMS不具備設(shè)計(jì)屬性多樣性[1]，本計(jì)算將其相關(guān)的措施值x1j取0。

3.2.2設(shè)備制造商多樣性

PMS所采用的ALS平臺(tái)為WEC的產(chǎn)品，因此PMS不具有表2中設(shè)備制造商的多樣性屬性的前三項(xiàng)的多樣性。由于PMS采用了多樣雙核和內(nèi)置式多樣性設(shè)計(jì)，相應(yīng)的邏輯實(shí)現(xiàn)途徑不同，因此本文認(rèn)為PMS具有“相同的制造商、不同的版本”的多樣性措施，措施值x24取1。

3.2.3邏輯處理設(shè)備多樣性

由于ALS平臺(tái)不采用軟件實(shí)現(xiàn)PMS功能，因此采用不同的邏輯處理架構(gòu)、不同的部件集成架構(gòu)、不同的數(shù)據(jù)流架構(gòu)等可以提高基于微處理器架構(gòu)系統(tǒng)多樣性的措施均不適用。本計(jì)算將相關(guān)的措施值x3j取0。

3.2.4功能多樣性

功能的多樣性是一種重要的多樣性措施，故本設(shè)計(jì)中充分利用了功能多樣性的措施。如D3分析所示，PMS采用的傳感器、整定值、執(zhí)行機(jī)構(gòu)等均與非安全I(xiàn)&C系統(tǒng)不同，表2的“不同的機(jī)理”、“不同的目的、功能、控制邏輯或驅(qū)動(dòng)方式”、“不同的響應(yīng)時(shí)間域”等諸多措施得到充分的應(yīng)用。控制系統(tǒng)采用了控制棒位置調(diào)節(jié)、硼酸濃度調(diào)節(jié)，而PMS采用控制棒驅(qū)動(dòng)機(jī)構(gòu)失電快速插入的方式，這既是對(duì)GDC25、26、27要求的響應(yīng)，也提供了所需的多樣性。就PMS本身來(lái)說(shuō)，它是一個(gè)4序列隔離的1E級(jí)系統(tǒng)，能對(duì)每個(gè)預(yù)期運(yùn)行事件和事故進(jìn)行多級(jí)防御。反應(yīng)堆緊急停堆功能和大多數(shù)ESF驅(qū)動(dòng)功能采用了不同的傳感器并采用四取二表決，為每一個(gè)預(yù)期運(yùn)行事件和事故提供多樣性的反應(yīng)堆緊急停堆功能和/或ESF驅(qū)動(dòng)。此外，多種保護(hù)功能的后備保護(hù)也是一種功能多樣性的措施，如超功率ΔT為功率量程高中子注量率提供后備保護(hù)，穩(wěn)壓器的高液位停堆作為穩(wěn)壓器高壓力停堆的后備保護(hù)等?；谶@樣的設(shè)計(jì)，本計(jì)算將相關(guān)的措施值x4j取1。

3.2.5全壽命周期多樣性

由于PMS的ALS平臺(tái)均由同一公司供貨，因此x51取0。為了能夠提高多樣性，規(guī)定PMS的平臺(tái)應(yīng)由“不同的管理團(tuán)隊(duì)”、“不同的設(shè)計(jì)/開發(fā)團(tuán)隊(duì)”以及“不同的實(shí)施/驗(yàn)證團(tuán)隊(duì)”來(lái)實(shí)現(xiàn)。因此，本計(jì)算將相關(guān)的措施值x52、x53、x54取1。

3.2.6邏輯多樣性

PMS采用了多樣雙核以及內(nèi)置式多樣性設(shè)計(jì)，ALS-102邏輯的開發(fā)，遵從和標(biāo)準(zhǔn)卡件開發(fā)一致的標(biāo)準(zhǔn)。安全功能是由不同的算法、邏輯，不同的時(shí)序和執(zhí)行順序來(lái)實(shí)現(xiàn)，因此，本計(jì)算將相關(guān)的措施值x6j取1。

3.2.7信號(hào)多樣性

信號(hào)多樣性屬性和邏輯實(shí)現(xiàn)平臺(tái)并無(wú)直接關(guān)系。該屬性為提高多樣性的常見辦法，本設(shè)計(jì)充分利用多樣性的信號(hào)來(lái)提高系統(tǒng)多樣性。使用不同的參數(shù)去觸發(fā)保護(hù)動(dòng)作，這些參數(shù)中的任何一個(gè)都是獨(dú)立的，它們中的任何一個(gè)出現(xiàn)故障都不會(huì)影響其他參數(shù)的保護(hù)功能。對(duì)于特定事件，為反應(yīng)堆緊急停堆和ESF驅(qū)動(dòng)提供多樣性信號(hào)，PMS中用于產(chǎn)生反應(yīng)堆緊急停堆和ESF驅(qū)動(dòng)的信號(hào)來(lái)自于不同類型的傳感器，如多種不同的信號(hào)用于停堆，采用堆芯補(bǔ)水箱液位低、穩(wěn)壓器壓力低、蓄電池電壓低、手動(dòng)開關(guān)等不同類型的信號(hào)來(lái)驅(qū)動(dòng)自動(dòng)降壓系統(tǒng)?；谶@樣的設(shè)計(jì)，本計(jì)算將相關(guān)的措施值x7j取1。

3.3計(jì)算與分析

將第3.2節(jié)確定的這些xij值代入式(1)，DAE、DCE、C均取NUREG/CR-7007的標(biāo)準(zhǔn)值，計(jì)算結(jié)果為0.972，略微小于可接受值1。值得注意的是，在本計(jì)算中保守的將邏輯處理設(shè)備多樣性的4個(gè)措施均置為0。如果將NUREG/CR-7007中表6.4的對(duì)應(yīng)項(xiàng)也置為0，則A策略基準(zhǔn)方案的多樣性值將降低0.451；而B策略基準(zhǔn)方案的多樣性值至少降低0.258，B策略基準(zhǔn)方案的多樣性值最多可降低0.386；C策略基準(zhǔn)方案的多樣性值最多可降低0.258。根據(jù)文獻(xiàn)[11]，A、B、C、D策略方案最大可能歸一化多樣性的值分別為1.400、1.315、1.235、1.192。將邏輯處理設(shè)備多樣性的措施置為0可極大地影響評(píng)價(jià)值。因此，在對(duì)基于FPGA的保護(hù)系統(tǒng)進(jìn)行評(píng)估時(shí)，NRC很有可能修正NUREG/CR-7007中DAE和DCE系數(shù)，從而提高基于ALS平臺(tái)系統(tǒng)的多樣性量化值。

鑒于PMS的多樣性值已經(jīng)接近可接受的范圍，因此作為初步的方案，可認(rèn)為PMS已經(jīng)具有足夠的多樣性，不必再單獨(dú)設(shè)置多樣性驅(qū)動(dòng)系統(tǒng)。

對(duì)于10CFR50.62所要求的停堆、停機(jī)及啟動(dòng)余熱排出等功能可由非安全級(jí)平臺(tái)實(shí)現(xiàn)。這樣的工程應(yīng)用在嶺澳核電廠已有先例，且可以簡(jiǎn)化I&C系統(tǒng)及主控制室等設(shè)計(jì)。

4結(jié)束語(yǔ)

本文依據(jù)NUREG/CR-6303的相關(guān)要求，對(duì)基于ALS平臺(tái)的優(yōu)良特性而設(shè)計(jì)的PMS進(jìn)行了多樣性和縱深防御要求分析，并按NUREG/CR 7007的方法和標(biāo)準(zhǔn)參數(shù)計(jì)算了該系統(tǒng)的多樣性量化值。盡管由于ALS平臺(tái)不采用軟件實(shí)現(xiàn)邏輯，而將NUREG/CR 7007中7大評(píng)估屬性之一的“邏輯處理設(shè)備多樣性”的4條措施不計(jì)入多樣性貢獻(xiàn)的計(jì)算，但該P(yáng)MS的多樣性量化仍接近于NRC的接受準(zhǔn)則，表明該方案整體上有較高的多樣性屬性，基本滿足NRC對(duì)系統(tǒng)多樣性的定量要求。因此，原則上得出可以不單獨(dú)設(shè)置多樣性系統(tǒng)的初步結(jié)論。

由于目前世界上沒(méi)有將ALS平臺(tái)開發(fā)作為PMS的工程實(shí)踐，因此本設(shè)計(jì)是一個(gè)全新方案。論證方案的可行性需進(jìn)行大量的研究工作[12]，這些工作對(duì)于PMS的自主開發(fā)，甚至是平臺(tái)本身的國(guó)產(chǎn)化都具有重要的參考意義。

參考文獻(xiàn)

[1] NRC U S.Nuclear Regulatory Commission Safety Evaluation for Topical Report 6002-00301 “Advanced Logic System Topical Report”[R].Rock ville:NRC.2013.

[2] 徐智,雷晴.新型邏輯系統(tǒng)平臺(tái)的保護(hù)與監(jiān)測(cè)系統(tǒng)數(shù)據(jù)通信設(shè)計(jì)[J].核電子學(xué)與探測(cè)技術(shù),2015，35(5)：462-467.

[3] NRC US.NUREG/CR-6303 Method for performing diversity and defense-in-depth analyses of reactor protection systems[S]. 1994.

[4] NRC US.NUREG/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems[S]．2009.

[5] 林誠(chéng)格,郁祖盛.非能動(dòng)安全先進(jìn)壓水堆核電技術(shù)[M].北京:原子能出版社,2008:756-879.

[6] 孫漢虹,程平東,繆鴻興,等.第三代核電技術(shù)AP1000[M].北京:中國(guó)電力出版社,2010:322-412.

[7] NRC.Wolf creek nuclear operating corporation-amendment to renewed facility operating license[R].NRC,Washington DC.2009.

[8] Diablo Canyon Power Plant.Supplement to license amendment request 11-07.process protection system replacement[R].Avila Beach,CA,2013.

[9] Westinghouse L L C.Westinghouse AP1000 design control document[R].Pittsburgh:Westinghouse Electric Company LLC,2012．

[10]徐智,雷晴,陳冬雷.CIM和DAS多樣性的定量分析[J].自動(dòng)化儀表,2014,35(S1):73-76.

[11]徐智,丁丁,張瑜.基于NUREG/CR-7007的DAS系統(tǒng)優(yōu)化設(shè)計(jì)[J].原子能科學(xué)技術(shù),2016,50(1):156-163.

[12]徐智,雷晴.基于先進(jìn)邏輯系統(tǒng)平臺(tái)的保護(hù)與監(jiān)測(cè)系統(tǒng)數(shù)據(jù)通信設(shè)計(jì)分析[J].自動(dòng)化與儀表，2015，30(8):9-16，26.

中圖分類號(hào)：TH86;TP273

文獻(xiàn)標(biāo)志碼：A

DOI:10.16086/j.cnki.issn1000-0380.201602006

修改稿收到日期：2015-05-08。

作者徐智(1973-)，男，2001年畢業(yè)于上海交通大學(xué)控制理論與控制工程專業(yè)，獲博士學(xué)位，高級(jí)工程師；主要從事核電儀控設(shè)計(jì)的研究。