吕永焕

摘要：三門核电采用美国西屋AP1000技术，设置多样化驱动系统（DAS）作为保护和安全监测系统（PMS）的多样化后备。因此PMS与DAS的多样化程度直接关系着核电厂的安全。本文基于NUREG CR-7007导则的要求，分析PMS与DAS的多样性，并针对CIM和DAS进行多样性计算。

关键词：DAS;PMS;多样性

引言

随着数字化信息和控制技术的发展和成熟，美国核电用户要求文件（URD）和欧洲核电用户要求文件（EUR）提出的三代核电安全和设计要求之一就是对全数字化仪控系统和先进控制室的要求，而在当前世界上新建、在建或改造中的核电厂仪表和控制系统均采用数字化技术。核电厂数字化技术的发展，不仅提高了核电厂的经济性和稳定性，体现了数字化的优势，也引入了各国对数字化反应堆保护系统安全性的担忧。

由于反应堆保护系统一般会采用多个冗余通道，而多个通道通常又采用相同的设备搭建，因此硬件设计错误、软件设计错误或软件编程错误可能会导致冗余设备发生共因故障，从而使保护系统失效，因此各国核安全监管部分都非常关注数字化保护系统的共因故障。

NRC在NUREG 0800 BTP 7-19中提到“software design errors are a credible source of common-cause failures. Software cannot typically be proven to be error-free.”因此通过各种层次各种深度的验证与确认（V&V），以及使用各种软件验证工具验证的安全系统的软件，不能证明软件是完全没有错误的，只要有错误就有导致软件共因故障的可能。

我国的核安全导则HAD 102/16的2.3.2节中描述：“软件故障本质上是系统性的，而不是随机性的，基于计算机的安全系统的共因故障是一个关键问题，安全防范措施不容易实现。设计人员应采取独立性和多样性以及全面的质量鉴定等策略以防止共因故障。”

1. NUREG CR-7007的多样性分析

NUREG/CR-7007是NRC专门用于核电厂多样性评估的导则，具备确定数字系统抵御共因故障的能力^[1]。

1.1 设计多样性

设计的多样性是NUREG/CR-7007多样性评价表中权重最高的一项，设计多样性分为三个层次，多样性依次降低，分别为：

●不同技术，指从根本上不同的技术，如两个系统分别采用数字技术和模拟技术，则认为这两个系统采用不同的设计;

●相同技术的不同方法，例如基于计算机的数字化技术和基于ASIC的数字化技术，可具体为CPU技术和FPGA/CPLD技术;

●不同架构，即不同的部件/元件的连接和排列，不同厂家生产的不同架构的CPU可以认为是有不同架构的多样性，例如Intel 80186 与Motorola M68010，AMD 29050与Motorola 68040及Intel 80486。

1.2 设备制造多样性

设备制造多样性是使用不同的设备实现相似的安全功能，不同厂家生产的设备可能不会保证生产的设备之间具有足够的多样性，例如许多商用和工业用计算机采用相同的微处理器（CPU）芯片。使用不同的计算机设备可能会对软件多样性有一定的帮助作用，使用不同的处理器架构将有利于厂家采用多样化的编译器、链接器和其他支持软件。

影响设备制造多样性的因素如下所示（多样性递减）：

●不同厂家生产的根本上不同的设备设计;

●同一厂家生产的从根本上不同的设计;

●不同厂家生产的相同设备设计;

●同一厂家的相同设备设计的不同版本。

1.3 逻辑处理设备多样性

逻辑处理设备的多样性是指两个系统的逻辑处理核心之间的多样性，共有4个层级，多样性依次降低，分别为：

●不同的逻辑处理设备架构，如Intel 80X86和Motorola 68000;

●相同逻辑处理设备架构的不同版本，如Intel 80386和Intel 80486;

●不同的部件集成架构，如不同的印刷电路版设计;

●不同数据流架构，如不同的总线架构。

1.4 功能多样性

功能多样性主要通过两个系统执行不同的物理功能，重叠覆盖安全功能。在确定的预期事件中引入充足的缓解方法方面，功能多样性是非常有效的。不同的相互冗余系统的组合，在面临系统故障时可充分缓解事故后果。典型的功能多样性实例是使用“断电触发”和“上电触发”的继电器来实现功能。

功能多样性共有3个层级，多样性依次降低，分别为：

●不同的底层机制实现安全功能，如重力对流冷却和泵注入冷却剂冷却，插入控制棒停堆和注入硼毒物停堆;

●相同底层机制，不同的目的、功能、控制逻辑或驱动手段，例如正常棒控和反应堆紧急停堆控制棒插入;

●不同的响应时间等级，例如事故状态持续一段时间后备用系统动作。

1.5 生命周期多样性

安全系统的设计、开发、安装、运行和维修工作中的人为因素存在着极大的变数，并且已是几个严重事故的直接原因。从积极的因素方面讲，人员多样性有利于提高系统安全。例如，采用不同的维修人员校准安全系统不同的、冗余的序列，可避免相同的、系统性的错误发生在所有序列。采用不同的设计人员设计功能多样的反应堆保护系统可以降低相同设计错误发生的可能性。

影响生命周期多樣性的因素如下所示（多样性递减）：

●不同的设计公司;

●同一公司不同的管理团队;

●不同的设计人员、工程师或程序员;

●不同的实施或验证团队。

1.6 信号多样性

信号多样性是指两个系统的信号源的多样性，分为三个层级，多样性依次降低，分别为：

●使用不同的物理原理探测不同的反应堆或过程参数，如可以通过测量中子注量率停堆，可以通过测量压力达到停堆;

●使用相同的物理原理探测不同的反应堆或过程参数，如由差压传感器测得的压力和液位或流量;

●使用冗余的相似传感器探测相同的反应堆或过程参数，如一组四通道多重液位传感器作为另一组四通道多重液位传感器的后备。

1.7 逻辑多样性

为扩大该多样性属性的适用范围，NUREG-7007中采用逻辑多样性。逻辑多样性指两个系统处理算法、处理逻辑之间的多样性，分为4个层级，多样性依次降低，分别为：

●不同的算法、逻辑和程序架构;

●不同的时序、执行顺序;

●不同的运行环境，如操作系统;

●不同的功能描述，如使用不同的计算机语言编程。

2. AP1000多样性分析

在AP1000系列非能动核电厂中，作为安全级仪控系统，PMS执行反应堆停堆功能、专设安全设施驱动功能和1E级数据处理系统功能。PMS提供必要的安全功能来监测电厂运行状态，并能使反应堆停堆，使电厂维持在安全停堆状态。DAS是非1E级仪表和控制系统，提供多样化、备用的手段来驱动反应堆停堆和驱动选定的专设安全设施，并把电厂信息提供给操纵员^[2]。

2.1 设计多样性

PMS平台采用基于CPU的仪控平台（Common Q平台），而DAS平台采用Actel公司生产的FPGA进行核心逻辑处理，这两种技术使用不同的芯片、不同的架构和不同的程序，因而具有不同的故障机理，可有效抵御共因故障，应划分为“相同技术的不同方法”、“不同的架构”。

2.2 设备制造多样性

安全级Common Q平台是由西屋公司开发的基于CPU的仪控系统，而DAS平台是由西屋下属子公司CSI开发的基于FPGA的系统，因此PMS和DAS系统在设备制造多样性方面满足“同一厂家生产的从根本上不同的设计”。

2.3 逻辑处理设备多样性

PMS和DAS平台分别采用了CPU和FPGA两种逻辑处理设备，而且PMS的Common Q平台中采用了AF100总线技术，DAS在自动驱动和手动驱动功能中没有采用总线结构，只在数显表通信中使用了串行的RS-485通讯方式，因此PMS和DAS系统在逻辑处理设备多样性方面满足“不同的逻辑处理设备架构”、“不同的部件集成架构”和“不同的数据流架构”。

2.4 功能多样性

PMS和DAS分别采用驱动停堆断路器和棒电源机组脱扣来使控制棒插入以实现停堆功能，而且PMS和DAS采用不同的整定值、不同的延迟时间。因此PMS和DAS系统在功能多样性方面满足“相同底层机制，不同的目的、功能、控制逻辑或驱动手段”、“不同的响应时间等级”。

2.5 生命周期多样性

PMS平台和DAS平台是由西屋公司设计和开发的，而DAS平台是由西屋下属子公司CSI制造的。PMS和DAS系统设计和制造的人员是不同的，且系统实施和试验的人员也是不同的。因此PMS和DAS系统在生命周期方面应属于“同一公司不同的管理团队”，“不同的设计人员、工程师或程序员”，“不同的实施或验证团队”。

2.6 逻辑多样性

PMS与DAS在逻辑多样性上表现如下：

●PMS具有四个相互隔离的序列。反应堆停堆功能和专设安全设施驱动功能采用四取二表决逻辑，而DAS对反应堆停堆和专设安全设施驱动使用二取二表决逻辑;

●DAS整定值和延迟时间设置保证DAS的自动驱动发生在PMS驱动之后;

●PMS平台运行时具有操作系统，而DAS运行不需要操作系统;

●PMS平台在开发时使用AMPL语言，而DAS平台在开发时使用VHDL硬件描述语言。

因此PMS和DAS系统在逻辑多样性方面满足“不同的算法、逻辑和程序架构”、“不同的时序、执行顺序”、“不同的运行环境”、“不同的功能描述”的要求。

2.7 信号多样性

PMS停堆和专用安全设施驱动功能采用了多种信号，包括中子注量率、液位、压力和温度等，而DAS系统主要采用了温度和液位信号进行自动驱动，因此满足信号多样性的“使用不同的物理原理探测不同的反应堆或过程参数”、“使用相同的物理原理探测不同的反应堆或过程参数”、“使用冗余的相似传感器探测相同的反应堆或过程参数”这3条要求。

2.8 多样性弱项

美国核管会NRC在2010年一份审查报告中提及PMS中的设备接口模块（CIM）和DAS机柜都是由西屋的子公司CSI基于FPGA技术开发和制造。2011年NRC对CSI进行了检查，检查组使用NUREG/CR-6303对CIM/DAS的多样性属性进行了比较，认为CSI已充分执行多样性要求，并确认PMS和DAS系统之间存在充分的多样性。西屋提供的CIM和DAS的多样性报告承认部分满足人员多样性，同时指出：

●PMS和DAS执行核心逻辑处理的单元是不同的（CPU VS FPGA），满足多样性的要求;

●CIM和DAS执行不同的功能逻辑，CIM执行优选和设备驱动逻辑，DAS执行反应堆停堆和ESF驱动相关的功能逻辑;

●CIM和DAS使用的FPGA芯片虽然是同一家公司（Actel公司）生产的，但由于是不同年代的产物，因此在架构、工艺和流水线上都存在不同。

根据NUREG/CR-7007提供的多样性计算方法，CIM与DAS的多样性计算结果如下表2所示^[3]。

从上表计算中可见，CIM和DAS多样性计算值为1.18，大于1.00的标准要求。即便考虑到两者是西屋同一家子公司生产、人员多样性问题，涉及到的多样性得分分别为0.03和0.08，多样化最终得分为1.07，仍然满足要求。

3. 结论

从前文分析中可见，PMS和DAS从设计多样性、设备制造多樣性、逻辑处理设备多样性、功能多样性、生命周期多样性、逻辑多样性以及信号多样性均满足NUREG/CR-7007导则的要求。针对CIM与DAS的多样性程度问题，通过分析和计算可见也满足导则的多样化程度要求。因此，三门核电所采用的PMS与DAS系统的多样化程度满足法规导则要求。

参考文献

[1]NUREG/CR-7007，ORNL/TM-2009/302，Diversity Strategies for Nuclear Power Plant Instrumentation and Control Systems.

[2]顾军主编.AP1000 核电厂系统与设备[M].北京：原子能出版社，2010.

[3]张丰平. 基于NUREG/CR-7007导则的AP1000设备接口模块（CIM）和多样化驱动系统（DAS）多样性分析[J].仪器仪表用户，2016，23（3）：36-38.

[4]NUREG/CR-6303，UCRL-ID-119239，Method for Performing Diversity and Defense-in-Depth Analyses of Reactor Protection Systems.