在地球溫室效應、氣候變化的嚴峻形勢下，核能作為一種重要清潔能源，日益受到重視。根據2007年國務(wù)院的《核電中長(cháng)期發(fā)展規劃（2005-2020年）》，我國計劃到2020年，核電運行裝機容量爭取達到7000萬(wàn)千瓦（調整后）。但是核能又是一種非常特殊的能源，對安全有著(zhù)極為嚴格的要求，一旦發(fā)生核事故，會(huì )對環(huán)境和社會(huì )公眾造成巨大的危害，后果不堪設想。在2011年3月11日發(fā)生的日本福島核事故之后，如何提高核電廠(chǎng)的可靠性，確保充分利用核能優(yōu)勢同時(shí)又能將潛在風(fēng)險降到最低，已成為核電發(fā)展面臨的關(guān)鍵問(wèn)題。

反應堆保護系統的功能是保護三大核安全屏障（即燃料包殼、一回路壓力邊界和安全殼）的完整性。當運行參數到達危及三大屏障完整性的閾值時(shí)，緊急停閉反應堆，必要時(shí)啟動(dòng)專(zhuān)設安全設施[1]。它可以在異?；蚴鹿使r下進(jìn)行安全停堆停機，并在事故發(fā)生后緩解事故，將事故后果限制在可接受的范圍內。

隨著(zhù)微處理技術(shù)的日新月異，數字化儀控系統開(kāi)始逐步取代傳統模擬控制和保護系統并全面應用于核電廠(chǎng)反應堆保護系統。數字化儀控系統具有以下優(yōu)點(diǎn)：提高了核電廠(chǎng)對事件或事故的響應速度、降低了人因失誤的效率、組態(tài)設計更加方便靈活、能輕松實(shí)現復雜的控制算法，同時(shí)具有強大的自診斷功能。數字化儀控系統充分體現了數字化的優(yōu)勢，但它是基于軟件的，存在因共因故障導致控制及保護系統失效、喪失安全功能的潛在風(fēng)險。中國和國外的核安全法規導則標準均闡述了對共因故障的關(guān)注，并提出了保護系統應防御軟件共因故障的要求。

1　保護系統多樣性設計要求

《核動(dòng)力廠(chǎng)設計安全規定》HAF102[2]中明確提出，在不能論證所需系統的完整性具有高可信度時(shí)，必須具備保證執行保護功能的其他不同的手段。要求核電廠(chǎng)保護系統必須采用多樣性設計，以降低共因故障導致保護系統失效的風(fēng)險，從而滿(mǎn)足核電廠(chǎng)縱深防御原則，實(shí)現安全核電廠(chǎng)的安全目標。

共因故障是指由特定的單一事件或起因導致兩個(gè)或多個(gè)構筑物、系統或部件失效的故障。這里的單一事件或起因既可以是由外部客觀(guān)原因造成的事件，也可以是人為原因造成的事件。具體而言，共因故障可以由設計缺陷、制造缺陷、運行或維修差錯、自然現象、人為事件，或核動(dòng)力廠(chǎng)內任何其他操作或故障所引起的意外級聯(lián)效應引起。

多樣性是針對共因故障設置的預防措施。多樣性在HAF102中的定義為：為執行某一確定功能設置兩個(gè)或多個(gè)多重部件或系統，這些不同部件或系統具有不同屬性，從而可以減少發(fā)生共因故障的可能性。通過(guò)不同儀控系統、結構和部件的多樣化設計，來(lái)降低共因故障的風(fēng)險，以滿(mǎn)足核電廠(chǎng)安全縱深防御原則。當數字化系統出現共因故障時(shí)，由多樣性系統實(shí)施控制。多樣性系統的硬件平臺必須和數字化系統是不同的。核安全級多樣性驅動(dòng)設備就是為了防止數字化DCS系統共因故障而設置的實(shí)現保護保護功能的裝置。

IEEE 603[3]和IEEE 7-4.3.2[4]均規定在核電廠(chǎng)保護系統設計及實(shí)施過(guò)程中，必須采取針對性措施，以確保在系統發(fā)生共因故障而導致控制及保護系統失效時(shí)，核電廠(chǎng)的安全功能仍然能夠得以有效執行。

2　保護系統架構

核電廠(chǎng)保護系統功能是探測核電廠(chǎng)的運行狀態(tài)，當其偏離可接受的狀態(tài)時(shí)，發(fā)出保護指令執行安全動(dòng)作。它主要包括安全停堆系統、安全專(zhuān)設系統、多樣性驅動(dòng)系統以及人機接口等幾個(gè)組成部分。其設計要求遵循安全系統設計準則，以保證保護系統的可靠性與可用性。圖1為保護系統的基本架構。

圖1 保護系統基本架構

3　保護系統多樣性分類(lèi)及實(shí)現方法

根據共因故障產(chǎn)生的原因，在保護系統設計及實(shí)施過(guò)程中可以采取以下應對措施，來(lái)降低共因故障導致的風(fēng)險，提高核電廠(chǎng)的可靠性和安全性。

3.1　設備多樣性

設備多樣性指由不同的廠(chǎng)家生產(chǎn)或者是相同的廠(chǎng)家根據不同的需求規范書(shū)并采用不同的工作原理生產(chǎn)的設備，防止由于單一的設備故障導致全部功能的喪失。

3.1.1　保護系統多樣性

核電廠(chǎng)保護系統一般可以分為兩個(gè)部分：安全級DCS保護系統和多樣性驅動(dòng)保護系統。多樣性驅動(dòng)保護系統利用與安全級DCS保護系統不同的系統平臺和設計邏輯來(lái)實(shí)現不同于安全級DCS保護系統的保護功能。例如，在遼寧紅沿河核電廠(chǎng)中，安全級DCS保護系統采用三菱電機的MELTAC數字化控制平臺，多樣性保護系統則是三菱電機的MELNAC模擬式控制平臺。雖然均是三菱電機的產(chǎn)品，但是他們基于不同的工作原理，依據不同的需求規格書(shū)各自獨立完成。因此，該設計方案滿(mǎn)足HAF102中關(guān)于多樣性的要求。

3.1.2　停堆系統多樣性

核電廠(chǎng)停堆系統包括停堆斷路器和控制棒驅動(dòng)機構CRDM。在事故工況時(shí)，安全級DCS系統動(dòng)作，觸發(fā)停堆斷路器動(dòng)作，使控制棒驅動(dòng)機構失電，控制棒靠重力作用下插，引入負的反應性，從而使反應堆安全停堆。多樣性保護系統則與CRDM對應，在安全級DCS保護系統因共因故障失效，或者是安全級系統動(dòng)作發(fā)出停堆指令后，停堆斷路器因故障不能動(dòng)作，導致無(wú)法切斷電源時(shí)，過(guò)程參數持續上升，達到多樣性保護系統設置的限值后，多樣性保護系統動(dòng)作，向棒控系統RGL發(fā)出停堆指令使反應堆安全停堆。兩種停堆方式的原理和機制均不同，保證了停堆系統的多樣性。

3.1.3　監視和操作系統多樣性

核電廠(chǎng)的操作絕大部分都是在主控制室（MCR）內完成的。主控室內設置了計算機化的操作員站以及基于硬接線(xiàn)原理的常規儀表的后備盤(pán)、緊急停堆盤(pán)等操作平臺。通常情況下，核電廠(chǎng)的信息顯示和手動(dòng)控制是通過(guò)計算機化的工作站來(lái)進(jìn)行。后備盤(pán)由常規儀表組成，是針對計算機化工作站的多樣化人機接口設備。當操作員站出現故障，不能對核電實(shí)施有效的監視、控制和保護時(shí)，操作員可以利用后備盤(pán)獲取與保護動(dòng)作相關(guān)的重要報警與指示，并能手動(dòng)觸發(fā)與安全保護動(dòng)作相關(guān)的指令。

3.1.4　操作場(chǎng)所多樣性

除上述在主控室中設置后備盤(pán)等多樣性的監視和操作系統外，在核電廠(chǎng)還設置了多樣性的操作場(chǎng)所即遠程停堆站（RSS) 。遠程停堆站中設置了簡(jiǎn)化的操作員站。當主控室因火災、水災或地震等原因不可用時(shí)，操作員轉移到RSS，完成對核電廠(chǎng)的監視和控制，將核反應堆維持在穩定工況下或將其帶入安全停堆狀態(tài)。

3.2　功能多樣性

核電廠(chǎng)安全停堆保護系統，由四個(gè)冗余的保護通道組成，每個(gè)通道都進(jìn)行獨立的運算，輸出部分停堆信號，四個(gè)通道的部分停堆信號進(jìn)行四取二符合邏輯運算，以實(shí)現停堆保護功能。為了提高保護系統的可靠性，防止因共因故障導致保護系統失效，每個(gè)通道的設計都充分考慮保護系統功能的多樣性，將執行同一保護功能的多樣性保護參數和邏輯分配在不同的子組實(shí)現控制，從而減小共因故障的影響。當任何一個(gè)子組因共因故障而失去保護功能時(shí)，另一個(gè)子組仍可以提供保護功能。

以三個(gè)環(huán)路反應堆的冷卻劑泵為例。冷卻劑泵負責向反應堆傳送冷卻劑，一旦冷卻劑泵出現故障或者停止運行，反應堆就無(wú)法獲得足夠的冷卻劑，不能及時(shí)將反應熱導出，輕則會(huì )導致反應堆停堆，重則會(huì )使堆芯溫度急劇升高導致融化，釀成放射性物質(zhì)外泄的嚴重事故。因此，從現場(chǎng)傳感器到停堆保護系統，都應采用多樣性設計。安全級DCS保護系統采集了兩種不同類(lèi)型的參數：泵轉速以及泵斷路器的開(kāi)、合狀態(tài)來(lái)確定冷卻劑的運行狀態(tài)，在兩個(gè)子組中分別進(jìn)行處理。如果因電源、傳感器故障等原因導致一個(gè)子組喪失保護功能，另外一個(gè)子組則可以繼續完成邏輯運算，觸發(fā)停堆信號，完成安全保護功能。

在安全專(zhuān)設系統的設計中，也需要考慮相關(guān)的專(zhuān)設功能分配，其主要是從工藝系統故障安全角度考慮，將部分系統功能分散，盡量將功能相同的設備分開(kāi)到不同的專(zhuān)設驅動(dòng)功能子系統中，如主給水系統ARE和輔助給水系統ASG，需分配在兩個(gè)不同的專(zhuān)設子系統中實(shí)現，以保證當一個(gè)子系統出現故障時(shí)，另一個(gè)子系統仍可以正常地執行該項專(zhuān)設功能。

3.3　人員多樣性

在人為故障中，最容易被忽視的就是設計人員的共因故障所導致的設計缺陷。人員導致的共因故障主要是由于相同的工作背景、相同的培訓或者設計人員之間的相互技術(shù)交流等因素，導致某種錯誤的觀(guān)點(diǎn)或者錯誤的方法在設計人員之間繼承或傳遞。這種缺陷很難通過(guò)設計人員之間的相互檢查來(lái)發(fā)現。為了防止“人員的共因故障”對保護系統的影響，在設計及實(shí)施中，有必要采取以下措施來(lái)降低共因故障的潛在影響。

3.3.1　設計人員多樣性

保護系統設計包括安全DCS保護系統設計和多樣性保護系統設計。為了防止“人員共因故障”的影響，多樣性保護系統的設計人員需要多樣性于安全級DCS系統設計人員，即由相互獨立的設計人員完成安全級DCS保護系統和多樣性保護系統的設計、實(shí)施工作。另外，設計初步完成后由其它團隊擔任審核工作也是設計人員多樣性的一種體現。

3.3.2　驗證和確認人員多樣性

為了保證保護系統設計的質(zhì)量，除了進(jìn)行設計組織內部之間的相互檢查之外，還必須進(jìn)行驗證與確認Verification & Validation（V&V）工作。在HAF102中規定，V&V人員必須具有和設計人員相同或更高的設計能力，并且在組織、管理、財務(wù)上獨立于設計人員，防止由于領(lǐng)導的行政指令，或者是組織的利益導致V&V工作人員不能獨立地去執行檢查工作而導致共因故障的發(fā)生。V&V人員可以獨立地對設計結果進(jìn)行審查，針對設計中存在的問(wèn)題給出相應的評價(jià)，但V&V人員不能對設計中存在的問(wèn)題提出具體的解決方案，以避免共因故障的影響。

4　結語(yǔ)

數字化在核電廠(chǎng)保護系統的全面應用是科技發(fā)展的必然結果，軟件共因故障亦不可避免。本文通過(guò)針對數字化保護系統應對軟件共因故障設置多樣化方案的分析和研究，基于多臺現役CPR1000項目機組的實(shí)際應用，舉例論述了設備、功能及人員多樣性的具體實(shí)現方案，對后續新建或現役改造的核電機組保護系統設計具有一定的參考意義。

參考文獻：

[1] 廣東核電培訓中心. 900MW壓水堆核電廠(chǎng)系統與設備[M]. 北京: 原子能出版社. 2007.

[2] HAF 102, 核動(dòng)力廠(chǎng)設計安全規定[S]. 2004.

[3] IEEE 603. IEEE Standard Criteria for Safety Systems for Nuclear PowerGenerating Stations[S], 2009.

[4] IEEE 7 - 4. 3. 2. IEEE Standard Criteria for Digital Computers in SafetySystems of Nuclear Power Generating Stations[S], 2010.

作者簡(jiǎn)介

梁中起（1968-），男，河北人，高級工程師，1992年畢業(yè)于沈陽(yáng)化工學(xué)院生產(chǎn)過(guò)程自動(dòng)化專(zhuān)業(yè)，獲工程學(xué)士學(xué)位，現就職于北京廣利核系統工程有限公司，主要從事核電廠(chǎng)DCS系統工程實(shí)施方面的工作。

摘自《自動(dòng)化博覽》2015年12月刊