王 嫘，石 秦，裴红伟，张亚栋

（北京广利核系统工程有限公司，北京 100094）

IAEA仪控系统审评中的审评原则分析

王 嫘，石 秦，裴红伟，张亚栋

（北京广利核系统工程有限公司，北京 100094）

仪控系统独立工程审评 （IERICS）是由国际原子能机构 （IAEA）主导的、针对核电站仪控系统的专项审评，在国际上具有较高的权威。文章结合我国首个自主化核安全级仪控平台——和睦系统的IERICS过程，从标准要求、实施方法及文档要求等方面对安全设计准则的审评原则进行分析，总结了SSG－39安全导则中规定的安全设计要求，为后续相关核安全级仪控系统的设计和安全审查提供参考。

核安全级仪控系统；安全设计准则；和睦系统；仪控系统独立工程审评

核电厂数字化仪控系统 （简称 “DCS”）是核电站的 “神经中枢”，对于保证核电厂安全、可靠、稳定运行发挥着重要作用。完成核电站反应堆安全停堆和事故缓解功能的核安全级DCS，有着严格的质量和鉴定要求，核安全级DCS是各个国家针对核电厂进行安全审评的重要部分。

国际原子能机构 （IAEA）作为世界上规模最大、最权威的政府间原子能科技和安全合作组织，承担着核安全、能源和安全保障措施的国际同行审评工作，仪控系统独立工程审评（IERICS）即为IAEA针对核电站DCS的专项审评，其审评结论对机构150多个成员国的核能管理机构有着重要的参考价值。北京广利核系统工程有限公司公司自主研发仪控平台——和睦系统 （FirmSys）是我国首个具有完全自主知识产权的核安全级仪控平台，为了促进和睦系统在国内国际市场的应用，提升我国核电装备制造能力，北京广利核公司邀请IAEA对和睦系统开展IERICS。

IERICS是由IAEA核电工程部门自2009年起设立的核电站DCS专项审评活动，由IAEA组织国际专家，通过文件审评、现场检查和技术沟通等方式，对被审DCS实施的全面审查评价活动。IERICS审评主要依据为SSG－39安全导则及指向标准，其中SSG－39是IAEA 2016年最新发布的核电站仪控系统安全导则，替 代 了 NS－G－1．1－2000 和 NS－G－1．3－2002。在审评过程中主要对DCS及产品的开发过程管理、质量保证体系、软／硬件产品设计及安全设计准则符合性等多个方面进行审评，其中安全设计准则的符合性审评涉及系统架构、设计原则以及所采用的技术手段等多个方面，是DCS审评的重点内容。本文结合和睦系统的IERICS过程，对SSG－39核安全级DCS安全设计准则方面的要求进行分析。

1 IERICS安全设计准则的审评原则

SSG－39在DCS安全设计准则方面主要从可靠性设计、设备鉴定、定期试验、可试验性和可维护性、安全重要系统的接近控制、标记与识别、整定值及老化和退役设计等多个角度对DCS进行约束［1］，其中整定值、老化和退役设计主要针对于特定电站设计，不适用于对通用仪控平台的审评，不在本文分析范围内。

1．1 可靠性设计

核安全级DCS应具备与其安全功能相称的高可靠性，确保系统在预期的异常情况下，仍能实现安全功能。SSG－39中对核安全级DCS的可靠性设计与评价做出了概述性要求，但并未形成特定的核电厂安全级系统可靠性相关标准，而是将其可靠性设计与单一故障、故障安全、多样性等系统要求结合，通过开发过程和质量过程的评价以及故障模式影响分析对可靠性进行定性的论证 （见表1）。

表1 核安全级DCS可靠性设计审评要点分析Table 1 Key point analysis for the reliability design review of nuclear safety class DCS

1．1．1 单一故障准则

SSG－39安全导则要求核电厂DCS应满足单一故障准则。即在其任何部位发生可判明的单一随机故障能够完成预期的安全动作，并认可了IEEE 379《核电厂安全系统单一故障的应用准则》在核厂控制系统中的应用指导［2］。

DCS对单一故障准则符合性审评过程中，重点审评随机故障对安全功能可执行性影响的分析过程，一般需依据IEEE 352《核电厂安全系统可靠性分析一般原则》针对每个设计基准事件进行安全系统分析［3］，对所有的故障模式进行识别，并分析其可探测性和对安全功能的影响，确保采用自诊断和定期试验手段对故障的全覆盖，针对不可探测的故障，需在判定其已知故障的情况下进行专项的安全分析。

1．1．2 独立性

IAEA SSR 2／1核电厂安全设计要求需通过物理隔离、电气隔离以及通讯隔离等手段，实现安全系统、子系统及冗余系统间的独立性，保证各系统能够不受其他设备故障影响独立完成其安全功能［4］。SSG－39安全手册认可了IEC 60709《核电厂安全重要仪表和控制系统隔离准则》中对DCS及电缆的隔离要求［5］。

审评过程中针对物理隔离，主要审评DCS在独立性设计中防火区域设置、不同安全等级或冗余设备间信号的隔离屏蔽等；针对电气隔离，主要关注切断电气连接、电气隔离单元（如光耦）、光电转换及光纤通信、继电器等方法的采用形式，以及试验验证效果；针对通信隔离，主要关注通讯数据结构、通信协议以及故障诊断设计等方法的实施。

IAEA审评专家强调通道及序列之间的双向通讯以及从安全级别较低一侧向安全级别较高一侧的通讯应谨慎考虑，针对这类通信需设计确定的约束机制，并证明不会对安全功能产生不利影响。

1．1．3 多样性

针对基于计算机或复杂硬件逻辑的系统，需采用多样性的手段以防止共因故障对安全功能造成影响。SSG－39认可了IEC 62340《核电厂安全重要仪表和控制系统应对共因故障的要求》对DCS防共因故障提出的多样性设计要求［6］，同时进一步提出典型的多样性实施方法包括：设计多样性、信号多样性、设备多样性、功能多样性、逻辑多样性及开发过程多样性。其中设计多样性指基于不同的软件或硬件 （如手动与自动）解决同一个或相似问题；信号多样性是指通过核电厂不同的测量参数触发安全功能触发同一安全功能；设备多样性是指采用基于不同硬件技术 （如模拟与数字、计算机和FPGA）的设备完成同一个安全功能；功能多样性是指执行不同的物理功能达到同样的安全效果；逻辑多样性是指通过采用不同的软硬件语言、逻辑顺序或算法等实现同一个安全功能；开发过程多样性是指采用归属不同组织或管理体系下的开发、设计、实施和测试团队。

在审评过程中一方面对各多样性实施方法的应用情况进行评审，如通过自动及手动方法实现同一个安全功能等；另外针对多样性实施中的共性因素进行审评，如类似的技术、公共的信号路径等；同时为证明所采用多样性实施方法能够减弱共因故障对安全功能的影响，需提供必要的分析说明。值得注意的是，核安全级DCS的优先级管理模块，由于需要接受多个不同安全等级的指令，并发送优先级别最高的指令到设备，其多样性、独立性评价是系统评审的重点之一。

1．1．4 故障安全

IAEA SSR 2／1核电厂安全设计要求核电厂安全重要系统及部件需依据 “故障安全”原则进行设计，即系统或部件发生故障时 （包括失电）都应导向已知的工作条件且满足安全要求［4］。故障安全设计需识别所有仪控部件或设备的故障模式，设计相应的检测或监视方法，并在发现故障后自动触发系统执行故障处理措施。

在DCS故障安全设计中，故障模式的识别应不仅限于硬件部件，也应包括软件的典型故障，如输出错误、输出延迟、输出冻结等；检测或监视方法可采用硬件看门狗、独立计数器等自诊断技术，故障处理措施包括设备输出预设的缺省值、系统表决逻辑降级等。对于检测或监视方法以及故障上报路径的故障模式同样需要考虑在内，以避免其对安全功能输出的影响或造成误动。

1．2 设备鉴定

设备鉴定主要用于证明安全级设备在其整个运行寿命内能满足实际的环境条件 （例如振动、温度、压力、射流撞击、辐射、湿度）下执行安全功能所必需的各种要求。SSG－39安全手册认可了IEC 60780和IEEE 323中对核安全级DCS的设备鉴定要求，可采用型式试验、运行经验、分析法或几种方法的组合完成［7－8］。在这几种方法中，运行经验法由于运行条件与设备鉴定数据的有限性，不建议单独使用；如采用分析法，需要对所采用方法、理论和假设的正确性进行论证。因此针对核电厂安全级仪控设备，一般采用最直接的型式试验法，这也是最易被各评审单位所接受和认可的，同时在鉴定样机搭建过程中需证明其与核电站DCS设计与安装的一致性。

IERICS在设备鉴定的审评过程中主要对的功能性能测试、环境应力鉴定、内外部危害鉴定以及电磁环境鉴定四个要素进行审评。功能性能测试应包括与所执行安全功能相关的所有应用、操作、接口、输入输出功能、精度、响应时间以及故障安全和隔离特性等；环境应力鉴定应满足IAEA核安保系列导则3《运行核电厂的设备鉴定》，包括严酷环境和和缓环境中的温度、湿度、压力、辐照及老化等［9］，以及地震条件下设备执行安全功能的能力；电磁环境鉴定应包括EMC防护要求、辐射和发射要求。

1．3 定期试验、可试验与可维护性

IAEA SSR 2／1核电厂安全设计要求核电厂安全重要物项的设计必须使得能够对它们进行所需的校准、测试、维护、维修或更换、检查和监测，以确保其执行安全功能的能力和在所有工况中的完整性。SSG－39在定期试验和可试验性设计方面认可了标准IEC 60671《核电厂安全重要仪控系统的监视与试验》和IEEE 338《核电厂安全系统定期试验与监测》的要求，核电厂安全系统应支持在线运行期间进行定期试验，且需通过冗余、旁通控制等措施确保定期试验过程中其安全功能不受影响［10－11］，试验的范围应涵盖从传感器、输入信号至最终显示和执行单元的所有环节，定期试验可依据系统功能分段进行，但各段应具有一定的重叠。定期试验的试验间隔应具有可靠性定量分析数据的支撑。

SSG－39安全手册明确指出长期与安全级系统连接的测试设备也应该是安全级设备，如采用非安全测试设备，则需证明测试设备能够满足独立性要求，并进行专项分析确保其误操作或功能故障不会影响系统安全级功能。

在可维护性方面，系统设计过程中应考虑所有系统及部件维护计划，系统级部件的安装设计中应尽量便于维护和操作，并出提供必要的预防性维修、故障排除和快速修复手段，如制定产品定期更换计划等。针对系统所提供的维护手段，应同样考虑其对安全功能的影响，可以通过冗余设备切换，或执行备用手操来实现，同时系统应提供硬件闭锁功能，以保证系统运行时不能开展试验或维护，除非人员介入。

1．4 接近控制

IAEA SSR 2／1核电厂安全设计要求，明确应阻止对安全重要的物项，包括计算机硬件、软件的非授权访问或连接，并且指出应当按照IAEA核安保系列导则4、8及13的指导来考虑核电厂安全保护设计。SSG－39还具体从物理区域防护，重要运行参数的整定值调整、校准及配置防护，以及电子信号接入防护等方面，做出了非授权接近的防护要求。有效的方法包括设计机柜门锁、电气设备间锁以及安全区域门禁报警，并在DCS操作软件上设置多层级的权限密码并强制密码强度等。

1．5 标记与识别

对于仪控部件和人机接口，SSG－39要求采取具有一致性、连贯性，易懂的命名和识别方法，以适应这些部件在核电厂从设计、安装、运行、维护到除役的全生命周期识别要求。一个恰当的命名／识别方案不应该频繁地参考和引用图纸、手册或其他材料。而对于安装在设备或组件内部的部件或模块，不需要进行标识，使用配置管理通常就已足够。安全级与非安全级之间，不同安全列／通道之间的部件，通过这套标识应当很容易区分，这样可以防止在错误的列／通道上进行维护、试验、维修或校准活动。可以考虑对不同安全级别，不同通道、列设备的标牌各自规定不同颜色的标签／标牌，并按照统一，具有规律性的编码方式，来清晰的区分设备，以降低操作、维护人员出错的概率。

表2给出了核安全级DCS设备鉴定等审评要点分析。

表2 核安全级DCS设备鉴定等审评要点分析Table 2 Key point analysis for the equipment identification and other reviews of nuclear safety class DCS

2 结束语

核电厂仪控设备必须要满足核安全相关法规和标准要求，且通过安全审查才能应用到核安全级DCS中。本文结合和睦系统的IERICS审评过程，对SSG－39针对核安全级DCS在安全准则方面的符合性要求进行分析，梳理出包括单一故障原则、独立性、多样性、设备鉴定等在内的审评要点，并对各要点参考标准、实施方法进行解读，为后续相关核安全级DCS的设计和安全审查提供参考。

［1］IAEA．Design of Instrumentation and Control Systems for Nuclear Power Plants：IAEA Safety Standards Series No．SSG－39—2016 ［S］．

［2］IEEE．IEEE Standard Application of the Single－Failure Criterion to Nuclear Power Generating Station Safety Systems：IEEE 379—2014 ［S］．

［3］IEEE．IEEE Guide for General Principles of Reliability Analysis of Nuclear Power Generating Station Safety Systems：IEEE 352－1987 ［S］．

［4］IAEA．Safety of Nuclear Power Plants：Design：IAEA Series No．SSR－2／1—2016 ［S］．［5］IEC．Nuclear Power Plants－Instru－mentation and Control Systems Important to Safety－Separation：IEC 60709—2004 ［S］．

［6］IEC．Nuclear Power Plants－Instru－mentation and control systems important to safety－Requirements for coping with common cause failure （CCF）：IEC 62340—2007［S］．

［7］IEC．Nuclear power plants－Elec－trical equipment of the safety system－Qualification：IEC 60780－1998 ［S］．

［8］IEEE．IEEE Standard for Qualifying Class 1EEquipment for Nuclear Power Generating Stations：IEEE 323—2003 ［S］．

［9］IAEA．IAEA Safety Reports Series No．3：Equipment Qualification in Operational Nulcear Power Plants：Upgrading，Preserving and Reviewing ［S］．

［10］IEC．Nuclear Power Plants－Instrumentation and Control Systems Important to Safety－Surveillance Testing：IEC 60671—2007 ［S］．

［11］IEEE．：IEEE Standard for Qualifying Class 1E Equipment for Nuclear Power Generating Stations IEEE 338—2012 ［S］．

Analysis on the Review Principle of IAEA Independent Engineering Review for the Instrumentation and Control System

WANG Lei，SHI Qin，PEI Hong－wei，ZHANG Ya－dong
（China Techenergy Co．，Ltd．，Beijing 100094，China）

The mission for independent engineering review of instrumentation and control systems （IERICS）is established by the International Atomic Energy Agency with the aim f conducting peer reviews for I＆C systems in nuclear power plants．The IERICS mission is based on appropriate IAEA documents，Safety Guides and Nuclear Energy Series．Based on the IERICS process of FirmSys，which is the first nuclear safety class I＆C system platform with complete independent intellectual property rights in China，this paper analyzes the review principle of safety system criteria in IERICS from the standards requirements，implementation methods and documentation requirements，and summarized the safety design requirements specified in SSG－39，which provides reference for the design and safety review for related nuclear safety class I＆C systems．

nuclear safety class instrumentation and control system；safety system design criteria；FirmSys；independent engineering review of instrumentation and control systems （IERICS）

TM623 Article character：A Article ID：1674－1617 （2017）03－0315－05

TM623

A

1674－1617 （2017）03－0315－05

10．12058／zghd．2017．03．315

2017－07－03

王 嫘 （1986—），女，河南人，博士，高级工程师，现主要从事核电厂安全级仪控系统质量评测工作 （E－mail：wanglei＠ctecdcs．com）。

（责任编辑：白佳）