基于Tricon平臺的安全級DCS多樣性分析

宿俊海，楊 萌，李 穎

（1.中核控制系統(tǒng)工程有限公司，北京 102401；2.中國核電工程有限公司，北京 100840）

0 引言

作為一種清潔能源，核能日益受到重視。但是核能又是一種非常特殊的能源，對安全有特殊的要求，一旦發(fā)生事故，會對環(huán)境和社會公眾造成巨大的危害，后果不堪設(shè)想。在福島核事故之后，如何提高核電站可靠性，確保充分利用核能優(yōu)勢，又能將潛在風(fēng)險降到最低，已成為業(yè)內(nèi)普遍關(guān)注的問題。

DCS系統(tǒng)是核電站的神經(jīng)中樞，可以確保核電站的正常運行；其中的安全級DCS系統(tǒng)則可在異常工況下為核電站提供保護功能，即：在事故工況下能夠安全停堆，并在事故發(fā)生后能夠緩解事故，將事故后果限制在可接受的范圍內(nèi)。

隨著數(shù)字化技術(shù)在核電站安全級DCS中的應(yīng)用，其在帶來便于維護、可用性強和可自診斷等優(yōu)點的同時，也因為具有高集成性和復(fù)雜性的特點，使其無法進行全面測試，尤其不能證明軟件沒有錯誤，因而增加了發(fā)生共因故障的風(fēng)險。一旦發(fā)生共因故障，可能會使運行相同軟件的冗余系統(tǒng)同時失效。所以，共因故障是非常危險的。

因此，在核電站安全級DCS系統(tǒng)設(shè)計和實施過程中，必須采取針對性措施即多樣性設(shè)計，以確保在發(fā)生共因故障時，核電站的安全功能得以正確執(zhí)行。

1 安全級DCS多樣性設(shè)計的目的和原則

系統(tǒng)的多樣性設(shè)計是克服共因故障，提高系統(tǒng)可靠性的重要手段[1]。

美國核管理委員會在NUREG/CR-6303-1994提出數(shù)字化的保護系統(tǒng)增加了軟件共因故障的風(fēng)險，需要通過多樣性來克服共因故障[2]。在該標(biāo)準(zhǔn)中，提出了多樣性設(shè)計的原則。在NUREG/CR-7007-2009中提出了在需要進行多樣性設(shè)計時，如何進行滿足要求的多樣性設(shè)計的方法[3]。

對于安全級DCS系統(tǒng)，為抵御共因故障，增強核電站的縱深防御能力，提高數(shù)字化DCS系統(tǒng)的可靠性，在安全級DCS系統(tǒng)的設(shè)計中，采用多樣性的設(shè)計方法[4]。

多樣性的設(shè)計原則有以下6個方面：

1）人員多樣性。

2）設(shè)計多樣性。

3）軟件多樣性。

4）功能多樣性。

5）信號多樣性。

6）設(shè)備多樣性。

2 基于Tricon平臺的多樣性分析

隨著數(shù)字化DCS系統(tǒng)在安全級保護系統(tǒng)上的應(yīng)用，多樣性設(shè)計越來越受到重視。從大亞灣模擬保護系統(tǒng)，用ATWT完成預(yù)期瞬態(tài)未停堆，發(fā)展到現(xiàn)在全數(shù)字化保護系統(tǒng)時，保護系統(tǒng)形成了3個部分：數(shù)字化保護系統(tǒng)、硬接線保護系統(tǒng)、DAS保護系統(tǒng)。多樣性手段的增強不僅體現(xiàn)了保護系統(tǒng)的可靠性不斷增加，也體現(xiàn)了保護系統(tǒng)對多樣性的設(shè)計越來越重視。

在基于Tricon的安全級保護系統(tǒng)設(shè)計中，主要分3部分：數(shù)字化RPS保護系統(tǒng)、ECP手動保護系統(tǒng)、DAS/ATWT保護系統(tǒng)。

2.1 數(shù)字化RPS保護系統(tǒng)

基于Tricon的數(shù)字化RPS保護系統(tǒng)設(shè)計，可以分為兩部分來考慮：硬件設(shè)計和軟件設(shè)計。

硬件設(shè)計是指根據(jù)保護系統(tǒng)的系統(tǒng)結(jié)構(gòu)，完成保護系統(tǒng)的結(jié)構(gòu)設(shè)計、網(wǎng)絡(luò)配置、硬件配置等工作。

軟件設(shè)計應(yīng)與設(shè)計人員在技術(shù)上、管理上和財務(wù)上進行獨立的V&V。

2.2 ECP手動保護系統(tǒng)

在基于Tricon的保護系統(tǒng)設(shè)計中，為了防止安全級DCS由于CCF等故障失效，增加一種多樣性的啟動保護功能的手段，即ECP硬接線手動保護功能。

主要提供的功能有：反應(yīng)堆停堆，汽機跳閘，安全注入，主給水隔離，輔助給水啟動，主蒸汽隔離，安全注入，安全殼A階段隔離，安全殼噴淋和安全殼B階段隔離。

2.3 DAS/ATWT保護系統(tǒng)

DAS的全稱是（Diversity Actuation System，多樣性系統(tǒng)），本來就是為了多樣性而設(shè)計的。ATWT為預(yù)期瞬態(tài)未停堆系統(tǒng)，該功能是反應(yīng)堆停堆的一個多樣性設(shè)計[5]。

基于Foxboro I/A系統(tǒng)的DAS/ATWT保護系統(tǒng)是實現(xiàn)保護系統(tǒng)多樣性的主要實現(xiàn)方法。這兩個系統(tǒng)在設(shè)計、制造、質(zhì)檢和測試上是不同的，且相互獨立。

基于I/A的DAS系統(tǒng)設(shè)計中，主要完成的功能有反應(yīng)堆停堆，汽機跳閘，安注功能和主給水隔離，即完成了最基本的保護功能。ATWT主要完成數(shù)字化保護系統(tǒng)在預(yù)期瞬態(tài)未停堆的情況下完成反應(yīng)堆停堆，汽機跳閘，輔助給水啟動等功能。

2.4 多樣性分析

1）人員多樣性

根據(jù)3.1中的內(nèi)容可以得出，按照標(biāo)準(zhǔn)IEEE 1012-2004中關(guān)于V&V的要求，采用與設(shè)計人員在技術(shù)上、管理上和財務(wù)上獨立的部門進行V&V[6]。

2）設(shè)計多樣性

根據(jù)3.2與3.1中的內(nèi)容可知，ECP硬接線邏輯保護和數(shù)字化保護系統(tǒng)，體現(xiàn)了設(shè)計的多樣性。一個由硬接線手動邏輯實現(xiàn)保護功能，一個通過數(shù)字化Tricon平臺實現(xiàn)保護功能。兩個保護功能的實現(xiàn)互不影響，增加了保護系統(tǒng)的可用性。

3）軟件多樣性

根據(jù)Tricon系統(tǒng)構(gòu)建可知，在保護系統(tǒng)每一個通道中分為兩個子組。由RPS系統(tǒng)需求規(guī)格書附件3可知，每個通道的兩個子組被分配不同的邏輯來實現(xiàn)停堆功能。然后兩個子組通過或邏輯輸出到四取二的停堆斷路器完成停堆功能。兩個子組中組態(tài)軟件的不同，一定程度上體現(xiàn)了軟件多樣性。

更為重要的軟件多樣性的體現(xiàn)在于基于Tricon的保護系統(tǒng)和基于I/A的保護系統(tǒng)。同為數(shù)字化儀控平臺，由于所用的平臺不同，導(dǎo)致了控制功能開發(fā)工具的不同、系統(tǒng)軟件和組態(tài)軟件所用的技術(shù)的不同。再加上開發(fā)人員的不同，導(dǎo)致了根本上的軟件多樣性。

4）功能多樣性

根據(jù)3.2和3.1可知，在ECP硬接線邏輯設(shè)計過程中，充分地避免了軟件保護系統(tǒng)和硬接線保護系統(tǒng)的依賴性，各自功能互不影響，都能獨立地完成保護功能，所以體現(xiàn)了保護功能的多樣性。

5）信號多樣性

對于停堆功能中的1.8和1.9分別在Group1和Group2中實現(xiàn)，接受的信號分別是穩(wěn)壓器的壓力高和穩(wěn)壓器的壓力低，但都是完成停堆功能，這體現(xiàn)了信號的多樣性。

RPS保護系統(tǒng)和DAS保護系統(tǒng)在反應(yīng)堆正常運行時，檢查反應(yīng)堆用的探測器，一個是功率量程中子注量率，一個是中間量程中子注量率，都可以根據(jù)各自的測量結(jié)果，在需要的時候完成保護功能，所以體現(xiàn)了信號多樣性。

6）設(shè)備多樣性

RPS保護系統(tǒng)和ECP手動保護系統(tǒng)，采用了不同的技術(shù)完成保護功能，體現(xiàn)了設(shè)備的多樣性。

DAS系統(tǒng)和數(shù)字化保護系統(tǒng)相比，既實現(xiàn)了基本的保護功能，又實現(xiàn)了多樣性設(shè)計。由于I/A和Tricon是基于不同技術(shù)的平臺，所以體現(xiàn)了設(shè)備的多樣性。例如I/A控制站的CPU是采用基于AMD Elan SC520芯片組，Tricon控制站的CPU采用基于Motorola MPC860A的三重冗余的CPU。不同的CPU構(gòu)架是一個非常有用的多樣性，它會迫使軟件開發(fā)使用不同的編譯器、連接器和必要的輔助程序，這樣可以確保他們之間軟件多樣性的實現(xiàn)。

3 結(jié)論

從以上分析可以看出，基于Tricon平臺的核電站安全級DCS的設(shè)計及實施中，充分考慮了人員、設(shè)計、軟件、功能、信號及設(shè)備的多樣性，降低了DCS系統(tǒng)運行過程中因共因故障導(dǎo)致保護功能喪失的風(fēng)險，大大提高了核電站DCS系統(tǒng)的可用性、可靠性和安全性，能夠確保核電站的安全運行，保證公眾和環(huán)境的安全。