核電廠反應(yīng)堆保護(hù)系統(tǒng)數(shù)字化升級關(guān)鍵要素探究

何玉鵬，張 誼，姜 靜，周 岱，彭 浩

（中國核動(dòng)力研究設(shè)計(jì)院核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

0 引言

反應(yīng)堆保護(hù)系統(tǒng)檢測電廠異常工況，并且觸發(fā)必要的安全相關(guān)功能來達(dá)到并保持電廠處于安全停堆狀態(tài)[1]。國內(nèi)早期商運(yùn)的秦山、大亞灣、嶺澳等核電機(jī)組，儀控系統(tǒng)主要采用SPEC200 或Baily9020 等模擬技術(shù)，采用模擬儀表和繼電器控制回路實(shí)現(xiàn)反應(yīng)堆保護(hù)與安全監(jiān)視功能。至今已運(yùn)行20 余年，面臨備件停產(chǎn)、模塊老化、故障率上升等問題，已對機(jī)組運(yùn)行的經(jīng)濟(jì)效益和核安全產(chǎn)生影響，亟需開展數(shù)字化升級。此外，數(shù)字化的控制系統(tǒng)是主流發(fā)展趨勢，具有高系統(tǒng)集成度，高可靠性和維護(hù)便利性等優(yōu)勢，可以顯著降低運(yùn)維成本。

但在設(shè)計(jì)反應(yīng)堆保護(hù)系統(tǒng)的數(shù)字化改造方案時(shí)，往往容易忽略伴隨數(shù)字化控制系統(tǒng)而引入的問題，如軟件共模故障、質(zhì)量位處理、網(wǎng)絡(luò)安全等，將會(huì)影響改造后系統(tǒng)的可靠穩(wěn)定運(yùn)行。本文以國內(nèi)某核電廠反應(yīng)堆保護(hù)系統(tǒng)數(shù)字化升級過程中面臨的技術(shù)難點(diǎn)為例，從缺省值設(shè)計(jì)、網(wǎng)絡(luò)安全防范、多樣性設(shè)計(jì)等多個(gè)維度進(jìn)行探討，并提出了相應(yīng)的解決思路。

1 數(shù)字化升級的必要性

國內(nèi)首批M310 機(jī)組大多建成于20 世紀(jì)90 年代或本世紀(jì)初，由于技術(shù)引進(jìn)與技術(shù)交流方面受到國外的限制，核安全級儀控系統(tǒng)均要自主摸索、試驗(yàn)與研發(fā)。國家的核安全體系尚未建立，相應(yīng)的國家標(biāo)準(zhǔn)不完整。在系統(tǒng)設(shè)計(jì)方面，國內(nèi)設(shè)計(jì)人員對國際標(biāo)準(zhǔn)不了解或理解不深，設(shè)計(jì)中缺乏經(jīng)驗(yàn)。在設(shè)備制造方面，受當(dāng)時(shí)國內(nèi)元器件制造工藝和質(zhì)量的限制，設(shè)備可靠性不高。由于上述因素，反應(yīng)堆保護(hù)系統(tǒng)、堆外核測系統(tǒng)在設(shè)計(jì)與制造中存在缺陷是無法避免的。隨著對安全標(biāo)準(zhǔn)認(rèn)識的不斷加深，原有設(shè)計(jì)與現(xiàn)行安全法規(guī)、標(biāo)準(zhǔn)的要求相比有較大的差距[2]。

通?？刂葡到y(tǒng)設(shè)計(jì)壽命為20 年，早期核電機(jī)組的控制系統(tǒng)已普遍超出此限值。隨著設(shè)備老化，故障率出現(xiàn)逐漸上升的態(tài)勢，加快了備件消耗。長期運(yùn)行消耗疊加廠家老舊生產(chǎn)線停產(chǎn)而無法購買備件，導(dǎo)致庫存數(shù)量緊張，對電站運(yùn)營的經(jīng)濟(jì)性和安全性形成挑戰(zhàn)，數(shù)字化升級的迫切性日益增強(qiáng)，系統(tǒng)級別的改造勢在必行。

2 改造方案設(shè)計(jì)難點(diǎn)

相比于模擬技術(shù)，數(shù)字化控制系統(tǒng)具備便捷在線診斷、快速故障定位、信息顯示網(wǎng)絡(luò)化、定期試驗(yàn)自動(dòng)化等諸多技術(shù)優(yōu)勢。此外，國內(nèi)近年開發(fā)的數(shù)字化控制系統(tǒng)，往往經(jīng)過嚴(yán)苛的設(shè)備鑒定，具有充分的可靠性試驗(yàn)數(shù)據(jù)支撐。但在開展數(shù)字化改造工作時(shí)，往往容易忽略軟件化帶來的問題，如不能妥善處理，將可能引入控制風(fēng)險(xiǎn)。

2.1 缺省值問題

由于模擬技術(shù)不存在質(zhì)量位的概念，控制參數(shù)僅對數(shù)值本身進(jìn)行采集和處理，不會(huì)判斷數(shù)值的有效性。當(dāng)信號出現(xiàn)超量程、鏈路斷線等情況時(shí)，無法區(qū)分是否因真實(shí)工藝系統(tǒng)變化導(dǎo)致。而數(shù)字化改造后，引入了豐富的自診斷機(jī)制，必然需要控制系統(tǒng)響應(yīng)質(zhì)量位狀態(tài)。當(dāng)出現(xiàn)質(zhì)量位為壞時(shí)，需要將故障信號標(biāo)識為無效，采用替代值實(shí)現(xiàn)故障信號的功能，此替代值即為缺省值。

根據(jù)多個(gè)核電現(xiàn)場的經(jīng)驗(yàn)反饋，由于缺省值設(shè)置不合理使得DCS 發(fā)出非預(yù)期的控制指令，導(dǎo)致設(shè)備無法操作或誤動(dòng)作的事件時(shí)有發(fā)生[3]。因此，缺省值設(shè)計(jì)直接影響核電廠的安全性和經(jīng)濟(jì)效益，有必要重點(diǎn)考慮。

2.2 網(wǎng)絡(luò)安全問題

對于模擬技術(shù)而言，由于設(shè)備本身并不基于處理器運(yùn)行，系統(tǒng)內(nèi)沒有嵌入操作系統(tǒng)和應(yīng)用軟件，因而受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)和后果極小。但改造為數(shù)字化的控制系統(tǒng)后，系統(tǒng)組件的調(diào)整將會(huì)增加網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要體現(xiàn)在以下幾方面：

1）設(shè)備增加，加大了系統(tǒng)網(wǎng)絡(luò)安全攻擊面。數(shù)字化的反應(yīng)堆保護(hù)系統(tǒng)使用的維護(hù)工程師站（MTS）、交換機(jī)等設(shè)備均為商用產(chǎn)品，本身存在可被利用的漏洞。

2）網(wǎng)絡(luò)環(huán)境變化，增加了系統(tǒng)網(wǎng)絡(luò)安全攻擊面。數(shù)字化的反應(yīng)堆保護(hù)系統(tǒng)存在使用通用協(xié)議或與非安全級系統(tǒng)使用通用協(xié)議進(jìn)行數(shù)據(jù)交換的情況，通用協(xié)議的數(shù)據(jù)格式等基本為公開信息，數(shù)據(jù)保密性較低。

3）社會(huì)環(huán)境變化。近年來，針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全攻擊愈演愈烈。各類重大的網(wǎng)絡(luò)安全攻擊事件表明，網(wǎng)絡(luò)安全攻擊有從個(gè)人行為向組織行為甚至是國家行為轉(zhuǎn)變的趨勢，核電廠在進(jìn)行改造時(shí)應(yīng)提高網(wǎng)絡(luò)安全防護(hù)能力。

2.3 共因故障風(fēng)險(xiǎn)

在模擬技術(shù)中，每一個(gè)冗余通道的安全功能一般通過一系列分立的電子部件實(shí)現(xiàn)，故障的影響范圍有限。系統(tǒng)性缺陷同時(shí)集中爆發(fā)的概率極低，因此軟件共因故障（SWCCF）風(fēng)險(xiǎn)極低。

相比于模擬技術(shù)，數(shù)字化控制系統(tǒng)在具備維護(hù)便捷、可用性強(qiáng)和自診斷豐富等優(yōu)點(diǎn)的同時(shí)，還具備高集成性和復(fù)雜度的特點(diǎn)。特別是相同的潛在軟件缺陷，系統(tǒng)性地存在于不同的控制站，使共因故障風(fēng)險(xiǎn)集中，增強(qiáng)了發(fā)生共因故障的風(fēng)險(xiǎn)和后果。美國核管理委員會(huì)在NUREG/CR-6303-1994 提出數(shù)字化的保護(hù)系統(tǒng)增加了軟件共因故障的風(fēng)險(xiǎn)，需要通過多樣性來克服共因故障。HAD102/16《核動(dòng)力廠基于計(jì)算機(jī)的安全重要系統(tǒng)軟件》指出，“由于軟件故障本質(zhì)上是系統(tǒng)性的，而不是隨機(jī)性的，基于計(jì)算機(jī)的安全系統(tǒng)（該系統(tǒng)通過相同的軟件拷貝而使用多重分系統(tǒng)）的共因故障是一個(gè)關(guān)鍵問題，安全防范措施不容易實(shí)現(xiàn)。設(shè)計(jì)人員應(yīng)采用獨(dú)立性和多樣性以及全面的質(zhì)量鑒定等策略以防止共因故障”[4]。

3 克服改造難點(diǎn)的設(shè)計(jì)策略

針對識別出的升級改造存在的問題，以某核電數(shù)字化改造為例，解決策略如下：

3.1 缺省值設(shè)計(jì)

對缺省值取值分析時(shí)，需要綜合考慮缺省值設(shè)置對不同工況下電站運(yùn)行的可能影響，信號參與控制功能的作用及安全等級?；邶堶[平臺在多個(gè)核電項(xiàng)目的設(shè)計(jì)實(shí)踐，總結(jié)缺省值的設(shè)置原則如下：

1）對于參與保護(hù)儀表表決邏輯的不再單獨(dú)設(shè)置缺省值，按保護(hù)功能表決邏輯的退化要求統(tǒng)一處理。

2）對于未參與保護(hù)的0 層模擬量或開關(guān)量傳感器采集過程中檢測信號質(zhì)量位壞時(shí)，如無特殊要求，信號缺省值設(shè)置上一有效值。

3）DCS 系統(tǒng)內(nèi)部的網(wǎng)絡(luò)和硬接線通信故障導(dǎo)致信號質(zhì)量位壞時(shí)，如無特殊要求，信號缺省值設(shè)置上一有效值。

4）對于參與調(diào)節(jié)控制的模擬量輸出故障導(dǎo)致信號質(zhì)量位壞時(shí)，如無特殊要求，信號缺省值設(shè)置上一有效值。

5）用于報(bào)警和顯示的信號原則上不設(shè)置缺省值。

對于特殊信號，需要基于信號執(zhí)行的功能，以及控制平臺故障后的響應(yīng)需求，針對性分析缺省值的設(shè)計(jì)。

3.2 信息安全設(shè)計(jì)策略

在改造過程中，可參考工業(yè)控制系統(tǒng)或核能行業(yè)網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)從以下方面加強(qiáng)系統(tǒng)網(wǎng)絡(luò)安全：

1）邊界防護(hù)：通過端口封堵、配置設(shè)備鎖等方式實(shí)現(xiàn)端口防護(hù)；通過禁用端口服務(wù)等降低系統(tǒng)邊界。

2）訪問控制：通過多因素鑒別實(shí)現(xiàn)訪問控制，如使用密碼+硬件鎖的方式。

3）權(quán)限管理：在設(shè)置系統(tǒng)賬戶時(shí)，應(yīng)盡可能減少賬戶的數(shù)量，同時(shí)基于最小化原則分配賬戶權(quán)限。

4）主機(jī)防護(hù)：在確保功能可用性的前提下，部署主機(jī)防護(hù)軟件，對MTS 進(jìn)行防護(hù)；通過操作系統(tǒng)配置（如提高密碼復(fù)雜度，調(diào)整密碼更換頻率，關(guān)閉不適用的系統(tǒng)服務(wù)或功能等），提升MTS 防護(hù)能力。

同時(shí)，在反應(yīng)堆保護(hù)系統(tǒng)設(shè)計(jì)制造過程中，應(yīng)加強(qiáng)項(xiàng)目網(wǎng)絡(luò)安全管理，避免采購、裝配、調(diào)試等環(huán)節(jié)引入網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

3.3 多樣性設(shè)計(jì)

任何單個(gè)設(shè)備和控制系統(tǒng)不能排除發(fā)生共因故障的可能，因此克服共因故障的措施假定一個(gè)設(shè)備或系統(tǒng)由于共因故障而失效，由其他設(shè)備或系統(tǒng)實(shí)現(xiàn)預(yù)期的功能。

根據(jù)NB/T 20068-2012《核電廠安全重要儀表和控制系統(tǒng)應(yīng)對共因故障的要求》，多樣性設(shè)計(jì)有兩種方式：設(shè)計(jì)設(shè)備多樣性或功能多樣性，保證信號鏈路的獨(dú)立性，以確保核安全相關(guān)功能發(fā)生共因故障的可能性，減低到可以接受的范圍。

1）功能多樣性

為緩解反應(yīng)堆保護(hù)系統(tǒng)應(yīng)用軟件共因故障的后果，系統(tǒng)劃分為兩個(gè)功能多樣性子組，分別由不同的處理單元實(shí)現(xiàn)，停堆和專設(shè)功能按照保護(hù)參數(shù)多樣性分配到兩個(gè)多樣性子組中進(jìn)行處理。以某核電的數(shù)字化改造為例，采用龍鱗平臺，選用多樣性參數(shù)設(shè)計(jì)多樣性子組后，系統(tǒng)架構(gòu)如圖1 所示。

圖1 采用多樣化子組的系統(tǒng)架構(gòu)Fig.1 System architecture using diverse subgroups

根據(jù)以上架構(gòu)設(shè)計(jì)，結(jié)合龍鱗平臺典型失效參數(shù)，當(dāng)定期試驗(yàn)周期TI=18 個(gè)月，緊急停堆系統(tǒng)平均拒動(dòng)率為

系統(tǒng)可用率為

基于以上架構(gòu)，模擬量輸入信號處理數(shù)據(jù)流如圖2 所示。

圖2 模擬量信號數(shù)據(jù)流Fig.2 Analog signal data flow

信號鏈路響應(yīng)時(shí)間為

采用多樣性子組提高數(shù)字化升級后系統(tǒng)多樣性的應(yīng)用已有先例，在秦山核電一期項(xiàng)目的反應(yīng)堆保護(hù)系統(tǒng)數(shù)字化升級時(shí)，采用TXS 平臺進(jìn)行數(shù)字化改造，在原來4 個(gè)完全冗余通道的架構(gòu)基礎(chǔ)上，增加多樣性子組的方式來提高設(shè)備可靠性[5]。

2）設(shè)備多樣性

按照多樣性設(shè)計(jì)原則，多樣化驅(qū)動(dòng)系統(tǒng)也可以采用獨(dú)立的第三方平臺搭建多樣化驅(qū)動(dòng)系統(tǒng)（DAS），以防止安全級DCS 系統(tǒng)平臺發(fā)生軟件共因故障導(dǎo)致ATWT 相關(guān)安全功能不可用。

以龍鱗平臺設(shè)計(jì)反應(yīng)堆保護(hù)系統(tǒng)，搭配某NC 級控制平臺作為多樣性驅(qū)動(dòng)系統(tǒng)后，架構(gòu)設(shè)計(jì)如圖3 所示。

圖3 搭配多樣化驅(qū)動(dòng)平臺的系統(tǒng)架構(gòu)Fig.3 System architecture with diverse driver platforms

依據(jù)龍鱗平臺及國內(nèi)某NC 級控制平臺的失效參數(shù)，當(dāng)定期試驗(yàn)周期TI=18 個(gè)月，緊急停堆系統(tǒng)平均拒動(dòng)率為

系統(tǒng)的可用率為

基于以上架構(gòu)，模擬量輸入信號處理數(shù)據(jù)流計(jì)算如圖4 所示。

圖4 模擬量輸入信號數(shù)據(jù)流Fig.4 Analog input signal data flow

信號鏈路響應(yīng)時(shí)間為

3）多樣性對比

從性能計(jì)算數(shù)據(jù)結(jié)果看，采用DAS 設(shè)計(jì)拒動(dòng)率更低，系統(tǒng)可用率更高，而且可以顯著縮短反應(yīng)堆保護(hù)系統(tǒng)的響應(yīng)時(shí)間。

根據(jù)NUREG/CR 6303，反應(yīng)堆保護(hù)系統(tǒng)的縱深防御和多樣性可基于6 個(gè)維度評價(jià)：人因多樣性、設(shè)計(jì)多樣性、軟件多樣性、功能多樣性、信號多樣性以及設(shè)備多樣性（6個(gè)維度并不要求同時(shí)滿足）。相比于功能多樣性，采用不同平臺構(gòu)建DAS 系統(tǒng)，在人因、設(shè)計(jì)、軟件、設(shè)備等4 個(gè)維度實(shí)現(xiàn)了更為充分的多樣性設(shè)計(jì)。

基于以上結(jié)果，在反應(yīng)堆保護(hù)系統(tǒng)數(shù)字化改造方案設(shè)計(jì)時(shí)，優(yōu)先采用獨(dú)立DAS 系統(tǒng)的設(shè)計(jì)，華龍一號采用二者兼具的方案，多樣性設(shè)計(jì)更為充分。

4 結(jié)束語

隨著安全級DCS 平臺技術(shù)逐步成熟和應(yīng)用推廣，采用龍鱗平臺等完全自主知識產(chǎn)權(quán)的國產(chǎn)DCS 平臺進(jìn)行數(shù)字化升級解決了備件停產(chǎn)、性能下降、故障率上升等難題。在制定改造方案時(shí)，充分利用數(shù)字化平臺諸多優(yōu)點(diǎn)的同時(shí)，需要重視數(shù)字化伴隨的其他問題。本文針對反應(yīng)堆保護(hù)系統(tǒng)的數(shù)字化升級，分析了缺省值設(shè)計(jì)、網(wǎng)絡(luò)安全、軟件共因故障等問題，并提供了設(shè)計(jì)方案。