多樣化驅動系統(tǒng)的設計特點及多樣性探析

彭沛星

摘要：目前數(shù)字化儀控系統(tǒng)在核電中得到越來越廣泛的應用，在帶來性能改善的同時，大量使用軟件可能引起的共因故障也成為設計中必須考慮的一個因素。由于軟件故障本質上是系統(tǒng)性的，而不是隨機性的，基于計算機的安全系統(tǒng)的共因故障是一個關鍵問題，安全防范措施不容易實現(xiàn)。設計人員應采用獨立性和多樣性以及全面的質量鑒定等策略以防止共因故障。

關鍵詞：多樣化驅動系統(tǒng);設計特點及多樣性

1 邏輯實現(xiàn)

DAS 提供了4 個自動驅動功能，當選定的電廠參數(shù)超過設定值時，觸發(fā)多樣化的自動驅動信號來使反應堆停堆、汽機跳閘或驅動專設安全設施：a） 反應堆停堆和汽機跳閘。當出現(xiàn)蒸汽發(fā)生器寬量程液位低、熱管段溫度高或穩(wěn)壓器液位低時，DAS自動啟動反應堆停堆和汽機跳閘;b） 堆芯補水箱驅動和主泵跳閘。當出現(xiàn)蒸汽發(fā)生器寬量程液位低或穩(wěn)壓器液位低時，打開堆芯補水箱（CMT） 隔離閥來驅動堆芯補水箱，并跳閘所有主泵;c） 非能動堆芯余熱排出熱交換器（PRHR） 驅動和安全殼內換料水箱（IRWST）回流槽隔離閥。當蒸汽發(fā)生器寬量程液位低或反應堆冷卻系統(tǒng)熱管段溫度高時，DAS 自動啟動非能動余熱導出系統(tǒng)和關閉IRWST 回流槽的隔離閥;d） 安全殼隔離和非能動安全殼冷卻系統(tǒng)驅動。當安全殼溫度高時，DAS 自動隔離選定的安全殼貫穿件，并且啟動非能動安全殼冷卻系統(tǒng)。

2 硬件實現(xiàn)

DAS 由非安全級的不間斷電源系統(tǒng)供電，保護系統(tǒng)由安全級的電源系統(tǒng)供電，兩者的電源系統(tǒng)獨立并且相互隔離。系統(tǒng)由2 個數(shù)據(jù)處理柜、1 個爆破閥控制柜和1個位于主控制室的DAS 專用操作盤組成。信號處理功能分別布置于2 個數(shù)據(jù)處理柜，以保證系統(tǒng)的可靠性。機柜使用的卡件包括邏輯卡、RTD/ 熱電偶輸入卡、電流回路輸入卡、開關量輸入卡、開關量輸出卡及串行通訊卡。輸入信號經(jīng)過A/D 轉換成數(shù)字量，與設定值比較后產生觸發(fā)信號，通過觸發(fā)電路串聯(lián)布置，實現(xiàn)2 取2 邏輯，并輸出邏輯指令至現(xiàn)場設備，觸發(fā)停堆或驅動專設安全設施。

3 多樣性分析

3.1 設計多樣性

設計多樣性采用包括軟硬件的不同實現(xiàn)方法來解決相同或類似的問題。按照重要性從高到低，設計多樣性可以采用以下方法：a） 不同技術（如模擬vs 數(shù)字）;b） 同一技術的不同實現(xiàn)方法（如交流儀表vs 直流儀表）;c） 不同架構（如部件的不同布置和連接）。雖然都執(zhí)行觸發(fā)停堆和驅動專設安全設施的功能，但是保護系統(tǒng)是基于可編程邏輯控制器，DAS 是基于ALS FPGA，兩者采用不同的實現(xiàn)方法。保護系統(tǒng)機柜和DAS 機柜布置在輔助廠房輻射清潔區(qū)的不同防火分區(qū)。保護系統(tǒng)由安全級的不間斷電源系統(tǒng)供電，DAS 由非安全級的不間斷電源系統(tǒng)供電，兩者電源系統(tǒng)相互獨立。

3.2 設備多樣性

按照重要性從高到低，設備多樣性應考慮：a）具有不同原理設計的不同制造商;b） 具有不同原理性設計的相同制造商;c） 相同設計的不同制造商;d）相同設計的不同版本。由于保護系統(tǒng)和DAS 采用了不同的平臺，除了保護系統(tǒng)輸出接口模塊外，兩者采用的都是基于不用原理設計的不同制造商。對于保護系統(tǒng)輸出接口模塊，雖然也是基于FPGA 技術，但是與DAS 卡件的功能需求和實現(xiàn)的邏輯不同，尺寸和板卡布置也不同，滿足具有不同原理性設計的相同制造商要求。

3.3 功能多樣性

按照重要性從高到低，功能多樣性應當考慮：a） 不同的工作原理（如落棒vs 注硼）;b） 不同的目的、功能、控制邏輯或驅動手段（例如正常棒控vs 停堆落棒）;c） 不同的響應時間。根據(jù)安全分析確定保護系統(tǒng)和DAS 的整定值。整定值和延時的設置使得DAS 不會先于保護系統(tǒng)觸發(fā)自動停堆和專設安全功能。DAS 的現(xiàn)場驅動部件與保護系統(tǒng)的驅動部件相隔離，每個系統(tǒng)的驅動部件都能獨立動作而不受另一系統(tǒng)的影響。

a） 反應堆停堆。DAS 停堆信號驅動發(fā)電機組（MGSet）跳閘，控制棒驅動機構失電，控制棒落棒。保護系統(tǒng)停堆信號通過觸發(fā)核級的反應堆停堆斷路器實現(xiàn)

落棒停堆;b） 汽輪機停機。觸發(fā)汽機停機時，保護系統(tǒng)通過數(shù)字輸出卡件和安全級/ 非安全隔離裝置將4個序列的停機信號分別送到對應的控制系統(tǒng)機柜。DAS 則通過延時繼電器輸出將1 個停機信號分別送到4 個控制系統(tǒng)機柜;c） 爆破閥的觸發(fā)。保護系統(tǒng)和DAS 分別連接至不同的點火器。2 個系統(tǒng)的信號電纜

物理隔離，并連接至不同的安全殼電氣貫穿件。對于其它安全專設設備，保護系統(tǒng)和DAS 的驅動方式也是不同的。保護系統(tǒng)一般采用失電觸發(fā)方式滿足故障安全的要求，而DAS 一般采用電觸發(fā)的方式用以降低誤觸發(fā)概率。

3.4 人員多樣性

不同的設計人員設計多樣化的安全系統(tǒng)功能可以降低出現(xiàn)相似設計錯誤的概率。人員多樣性可以采用以下方法：a） 不同的設計組織或公司;b） 同一設計組織內不同的設計管理團隊;c） 不同的設計和開發(fā)團隊（例如設計人員、工程師或程序員）;d） 不同的實現(xiàn)和測試團隊（例如測試人員、安裝人員或者驗證人員）。此項目中，由不同于保護系統(tǒng)的人員來負責DAS的設計、制造、測試和驗證和確認（V&V）。對于保護系統(tǒng)輸出接口模塊，雖然在制造階段不滿足人員多樣性要求，但是采用了不同的設計和測試團隊，包括測試程序編制、測試用例開發(fā)、測試的執(zhí)行和測試報告的編寫等都由不同的人員負責。

3.5 信號多樣性

信號多樣性指的是采用不同的測量參數(shù)來觸發(fā)保護動作。按照重要性從高到低，信號多樣性應當考慮以下幾個要素：a） 基于不同物理效應的不同反應堆或過程參數(shù)（例如壓力vs 中子注量率）;b） 基于相同物理效應的不同反應堆或過程參數(shù)（例如差壓儀表測量的壓力vs液位vs 流量）;c） 對于相同的反應堆或處理參數(shù)，采用不同冗余組的相似傳感器。

3.6 軟件多樣性

軟件多樣性是指采用由具有不同關鍵人員的不同開發(fā)組來設計和實現(xiàn)的完成相同安全目標的不同程序。按照重要性從高到低，軟件多樣性可以考慮的方

法包括：a） 不同的算法、邏輯和程序架構（例如計算結構或執(zhí)行順序）;b） 不同的執(zhí)行時間和執(zhí)行順序;c） 不同的運行環(huán)境;d） 不同的計算機語言。保護系統(tǒng)和DAS 是基于不同的平臺，并且DAS只執(zhí)行信號比較的功能，2 取2 邏輯通過串聯(lián)觸發(fā)電路實現(xiàn)，因此具備不同的算法、邏輯和程序架構。綜上分析，該核電項目保護系統(tǒng)和DAS 具備充足的多樣性以保證共因故障不會同時影響2 個系統(tǒng)的功能。

4 結語

隨著數(shù)字化技術的廣泛應用，共因故障逐漸成為數(shù)字化儀控系統(tǒng)安全評審中關注的問題之一。新一代核電項目中采用了多樣化驅動系統(tǒng)DAS，不僅執(zhí)行傳統(tǒng)的ATWS緩解系統(tǒng)功能，還觸發(fā)某些專設安全設施以滿足電站總體的概率分析要求。DAS 采用了與反應堆保護系統(tǒng)不同的信號輸入直至執(zhí)行機構，經(jīng)分析具備足夠的多樣性以保證共因故障不會同時影響保護系統(tǒng)和DAS 系統(tǒng)的功能。在DAS 設計國產化過程中，應綜合考慮保護系統(tǒng)和控制系統(tǒng)的設計特點，確定需采用多樣化的功能需求范圍和軟硬件的實現(xiàn)方法以滿足審評的要求。

參考文獻：

[1]石桂連，王紀坤，韓賓，謝逸欽，李剛. ACPR1000堆型核電廠多樣化驅動系統(tǒng)產品方案設計[J]. 核安全，2016，15（01）：61-65.

[2]黎國民，朱雯，張云波. ACPR1000多樣化驅動系統(tǒng)的研究與實現(xiàn)[J]. 電子測試，2015（03）：101-104.

[3]張朝暉. 多樣化驅動系統(tǒng)（DAS）測試應用分析[J]. 自動化儀表，2015，36（07）：40-45.