郑伟智 李相建 朱毅明 张 弋

(北京广利核系统工程有限公司，北京 100094)

0 引言

共因故障(common cause failure，CCF)是指由一个特定事件或原因引起若干装置或部件不能执行其功能的故障。这些事件可能来自外界环境，也可能是设计本身的缺陷所造成［1－2］。

随着数字化技术在核电站中的应用，其在带来便于维护、可用性强和可自诊断等优点的同时，也因为具有高集成性和复杂性的特点，使其无法进行全面测试，尤其不能证明软件没有错误，因而增加了发生共因故障的风险。一旦发生CCF，可能会使运行相同软件的冗余系统同时失效。所以，共因故障是极其危险的。

共因故障还具有不易探测且不易定量评估的特点，所以需要在设计时充分考虑共因故障的风险，从而使共因故障的发生概率和影响最小化。在核安全相关法规和标准中，为防止CCF的发生，提供了很多设计要求和指导性意见，如独立性、多样性和纵深防御等。因此，通过研究相关法规和标准，整理出设计准则，并依据准则进行保护系统设计，是实现防CCF设计的有效途径。

1 共因故障原因

共因故障的产生有因外部事件(如环境因素)引起的，也有因内部事件(如设计缺陷)引起的，其中主要原因和对应的防护手段如表1所示［3－5］。

表1 共因故障原因及其防护手段Tab.1 Reasons of CCF and protection measures

其中，对于基于同一技术或方法的设计，可能会由于固有缺陷或风险而造成共因故障，所以需要进行纵深防御和多样性设计。如保护系统DCS均是基于微处理器的，虽然采用了多重冗余通道，但各通道中的软件(包括基础软件和应用软件)并无本质区别，所以相同的软件设计错误可能会同时存在于多重冗余通道中，一旦爆发便可能造成整个数字系统的失效。此外，与传统模拟电路相比，数字化设备是依靠高频信号驱动的，较模拟电路更容易受高频脉冲噪声影响，且有可能因外界因素影响而造成整个数字化控制系统瘫痪。所以，有必要设计一套模拟装置作为数字化系统关键安全功能的多样性后备。

但是，共因故障的具体原因和影响常常是不可预见的(如果能预见共因故障的原因，就有可能用设计手段来防止其发生)。因此，难以找到一种足以对抗共因故障而起到保护作用的单一防御措施。

2 防共因故障的设计准则

基于上述共因故障产生的原因，为了尽量避免共因故障的发生或最小化共因故障的影响，在进行保护系统设计时，应遵循以下设计准则［6－8］。

2.1 单一故障准则

根据IAEA NS-G1.3规定，安全系统应符合单一故障准则，且应考虑发生共因故障的可能性。为了保证安全功能不丧失，某些共因故障应当根据故障的原因进行符合单一故障准则的多样性设计，根据IEEE 379规定，不属于单一故障分析的共因故障包括:可能由外部环境(如电压、频率、辐射、温度、湿度、压力、振动和电磁干扰)、设计缺陷、制造错误、维修错误和运行错误引起的故障［9］。例如，当数字系统发生共因故障后，为了符合单一故障准则，保证安全功能不丧失，可通过后备的基于模拟技术的控制装置执行安全功能。

2.2 独立性

各冗余系统间应当有充分的独立性，应进行实体分隔且尽量避免有通信连接关系，如果因为需要进行多重逻辑表决(如2oo4)而无法避免相互通信时，则须进行电气隔离和通信隔离，以避免当一个系统故障后，使故障传递到其他冗余系统而造成共因故障。通常采用的电气隔离手段有光耦隔离、光纤通信和继电器隔离等。通信隔离可通过与CPU分离的通信模块(内部有通信隔离芯片)或由网关实现［10］。对于互为多样性的冗余系统，则应完全避免相互数据通信，以防止虚假数据造成多样性功能的丧失，尤其应避免安全级系统从非安全级系统接收通信信号的情况发生。

2.3 多样性

多样性设计是指采用不同的技术、算法或逻辑方法以及驱动手段，来监测不同的参数，探测和响应一个预期运行事件或预期事故［11］。在多样性防御策略方面，NUREG/CR7007根据防御深度由强到弱分为三种［12］:① 采用不同的技术，如模拟技术相对数字技术;②采用相同的技术、不同的方法，如同为数字技术的CPU和FPGA;③采用相同的技术、不同的结构，如不同厂家的CPU。具体的多样性设计方法如下。

2.3.1 信号多样性

为了应对同一预期运行事件(anticipated operational occurrence，AOO)，若采用相同物理效应的传感器来探测信号，可能会出现CCF，所以采用基于不同物理效应的传感器来实现信号的多样性。如对于压水堆一回路的超压保护，可分别通过探测稳压器压力(高)和稳压器水位(高)来进行保护控制。

2.3.2 设备多样性

设备多样性是指采用不同的设备来完成相同的功能，通过减少设备的共有特性来避免CCF的发生。特别是对运行经验有限的复杂系统宜考虑设备多样性。设备多样性主要有4种实现方式:①不同类型设备，如触摸屏与硬接线开关;②采用不同设计原理的同一类型设备，如气动阀与电磁阀;③采用相同设计原理的不同版本设备;④不同厂家的设备，但如果不同厂家采用了相同设计原理，也会增加CCF的风险，如不同厂家的DCS可能采用同样的处理器或同样的操作系统，这样也会潜在地引入一些共同故障模式。所以，方式①和方式②可更有效地防止CCF的发生。

2.3.3 设计多样性

设计多样性一般指采用不同的技术或设计方法来实现相同的功能，如采用模拟技术设计的电路与采用数字技术设计的电路互为设计多样性，采用FPGA实现逻辑与采用微处理器实现也互为设计多样性。采用设计多样性，可有效避免因设计错误或技术缺陷而造成CCF的发生。

2.3.4 功能多样性

功能多样性是指采用不同的功能手段实现相同的控制目的，如反应性控制可由对控制棒的控制或硼酸浓度控制实现。一般采用信号多样性设计的同时，也相应实现了功能多样性，如压力信号的处理与水位信号的处理须采用不同的功能算法及逻辑实现。

2.3.5 软件多样性

美国核管会(NRC)认为，由于数字系统的固有复杂性，不可能在系统开发阶段识别出所有软件错误。在系统运行期间，隐藏的软件错误会持续保持在不可探测状态，这种软件错误可能会在某一个时间点造成CCF而影响多重系统。因此，软件的多样性尤为重要。即使软件有多个版本，若都是根据同一个软件需求规格书开发的，也无法达到故障模式的独立性。所以实现软件的多样性首先是要基于不同的设计需求，并尽量采用不同的操作系统、计算机语言、运算法则、逻辑和程序构架、时序等方式实现最大程度的多样性。另外，若采用了信号多样性和功能多样性，也会导致不同的软件需求，从而形成一个更好的多样性基础。

2.3.6 手动为自动的多样性

为防止自动控制失效，一般需要备有可实现重要安全功能的手动控制。根据IEEE 603的规定，应在控制室对自动触发的序列级保护动作提供手动触发的方法，手动方法应使操纵员的离散操作次数消减到最少，且使用的设备应尽量少。根据IEEE 7-4.3.2的规定，如果可以利用必需的控制器和显示器在可接受的时间内支持操纵员完成适当的操作，则操纵员的手动操作是可以接受的。

2.3.7 人因多样性

人因多样性一般指由不同的人员来设计，以避免同一设计人员的设计错误造成CCF，尤其是对于不存在其他多样性的冗余系统的设计更重要。此外，一定要由设计者之外的人员来进行设计结果的验证和确认。

2.4 纵深防御设计

BTP7-19提出了防止共因故障的四层防御边界，即:①控制系统——使核电站系统保持在运行限值内;②停堆系统——使核电站系统保持在安全限值内;③专设安全系统——用于减轻事故后果;④监视和显示系统——必要时可参照其进行手动控制。

设计要求四个层次间应保证充分的独立性，任何一个系统故障都不能影响其他系统的功能实现。

2.5 防CCF设备的最小化

为防止共因故障(CCF)而增设的设备，会使得I＆C系统的构成复杂化，这便增加了维护和试验的工作量。因此，应该确保在能有效防止CCF范围内进行最小化设计，同时要考虑误动作和误操作对电厂安全性的阻碍。对于防止CCF的设备，不要求达到安全保护系统级别一样的动作可靠性，但应充分考虑不降低电厂可用性。

3 防止共因故障的设计实例

根据上述设计原则，设计了防共因故障保护系统，其体现了最小化结构原理，在较大程度上防止了CCF的发生。

本系统结构在纵深防御上主要体现为:①保护系统与控制系统完全分离，保护系统不接收控制系统的通信传输信号而独立实现控制;②RTS、ESFAS分布在不同的机柜RPC、ESFAC中实现;③重要安全参数显示可不经数字系统处理，而通过硬接线直接分配到控制盘进行显示。防共因故障系统结构如图1所示。多样性设计主要体现在如下几个方面。

图1 防共因故障系统结构图Fig.1 Structure of the system to against CCF

3.1 传感器选择

如图1中①所示，采用两个不同的过程参数或基于不同原理的传感器实现对同一AOO的探测。这两个互为多样性的传感器分别对应独立机柜的控制器，实现信号采集和处理，体现了信号多样性设计原则。

3.2 功能实现

如图1中②所示，在RTS的每个保护通道，设计有两组独立的子系统(Gr1、Gr2)来实现功能多样性，以应对同一AOO或PA，并进行不同的功能逻辑处理和启动要求的保护驱动。其一般与信号多样性对应实现。这两个子系统分布在不同的机柜，且相互间没有通信和电气连接，所以可以在很大程度上避免同时发生CCF。

3.3 手动控制

如图1中③所示，在数字系统中，除可自动驱动专设安全设施外，还设计有可通过安全操作单元(S-VDU)进行手动控制。手动控制与自动控制采用不同的控制器且分布在不同的机柜，相互间没有通信和电气连接。所以手动控制方式是自动控制的多样性设计方案。

3.4 防软件CCF的自动控制

如图1中④所示，设计有多样性驱动系统(DAS)作为数字系统的后备。DAS的设计采用与保护系统数字化平台所不同的模拟技术实现，可实现最小化的停堆和专设安全设施的自动驱动功能，可从更深的程度上防止数字系统的CCF，体现了设计多样性和设备多样性的设计原则。

3.5 防软件CCF的手动控制

如图1中⑤所示，设计有通过硬接线直接连接到优选驱动模块的手操器，可实现停堆、专设安全设施和余热排出等功能的手动驱动。即使在S-VDU与DCS控制器同时失效时，也能实现必要保护功能的手动驱动。硬接线手操器和S-VDU体现了设计多样性和设备多样性的设计原则。

3.6 停堆执行装置

如图1中⑥所示，多样性驱动系统(DAS)控制CRDM实现紧急停堆，不同于数字化保护系统控制的停堆断路器，体现了设备多样性设计原则。

4 结束语

本文通过分析核安全法规、标准的要求，整理出为应对共因故障(CCF)，保护系统设计应遵循的设计准则;并依据这些设计准则，设计了一保护系统最小典型原理结构，此结构可有效应对软件及一些重要设备的CCF。此外，在设计时，不要扩大多样性的范围去涵盖一些极不可能的或极低后果的假设始发事件，因为尽管存在发生CCF的可能性，但这类事件的风险也许是可接受的。同时，应在应对必要的CCF的前提下进行最小化设计，以避免设计过于复杂而使核电站不便于维护或影响电站的可用性。

［1］国家核安全局.HAD102-10核动力厂设计总的安全原则［S］.北京:中国法制出版社，1989.

［2］IAEA.NS-G-1.3 Instrumentation and control systems important to safety in nuclear power plants［S］.VIENNA，2002.

［3］International Electrotechnical Commission.IEC Std.61513 Nuclear power plants-instrumentation and control for systems important to safety-general requirements for systems［S］.Switzerland，2001.

［4］International Electrotechnical Commission.IEC Std.62340 Nuclear power plants-instrumentation and control systems important to safetyrequirements for coping with common cause failure(CCF)［S］.Switzerland，2007.

［5］国防科学技术工业委员会.EJ-T1058.2核电厂安全系统计算机软件.第2部分:预防软件导致的共因故障、软件工具和预开发软件的使用［S］.北京:核工业标准化所，2005.

［6］US NRC.DI＆C-ISG-02 Interim staff guidance on diversity and defense-in-depth issues［S］.2007.

［7］US NRC.BTP7-19 Guidance for evaluation of diversity and defensein-depth in digital computer-based instrumentation and control systems［S］.2007.

［8］US NRC.NUREG/CR-6303 Method for performing diversity and defense-in-depth analyses of reactor protection systems［S］.1994.

［9］Institute of Electrical and Electronics Engineers.IEEE Std.379 Standard application of the single-Failure criterion to nuclear power generating station safety systems［S］.New York，2000.

［10］Institute of Electrical and Electronics Engineers.IEEE Std.384 IEEE standard criteria for independence of class 1E equipment and circuits［S］.New York，2008.

［11］Institute of Electrical and Electronics Engineers.IEEE Std.7-4.3.2 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations［S］.New York，2003.

［12］US NRC.NUREG/CR-7007 Diversity strategies for nuclear power plant instrumentation and control systems［S］.2009.