宿俊海，孙 娜，张 杰

（华龙国际核电技术有限公司，北京 100036）

核电厂仪控系统总体架构是核电厂仪控系统（总体层次上的组件）的组织架构，它提供了对整个仪控系统的顶层视图，以及各仪控系统之间的相互联系。仪控系统的主要功能是根据核电厂的设计基准工况和设计扩展工况的要求而确定的。这些功能包括：保护、控制和监视。

当前国内新建电厂都采用数字化仪控系统，根据核电厂所选用的核电技术和仪控平台的不同，仪控系统的总体架构有所不同，但对仪控总体架构的设计要求和设计原则是一致的。本文通过对国内外标准的研究，确定仪控系统总体架构的设计要求和设计原则，并对仪控系统架构的设计步骤进行了说明。

1 仪控系统总体架构设计要求

依据法规、标准的要求，核电厂仪控系统总体架构设计应满足纵深防御、独立性、核安全等级要求、信息安全要求、仪控系统复杂性和灾害防护等要求，具体为[1]：

1）各个仪控系统分配到不同的纵深防御层级中，以便在一个层级中的仪控系统发生故障时，其他层级的仪控系统对其功能进行补偿或纠正以避免产生有害后果。

2）保持纵深防御层级间和安全等级间的独立性，以便对一个纵深防御层级的仪控系统产生不利影响的事件，不应对其他层级执行安全重要功能的仪控系统产生影响。

3）对一个仪控系统产生不利影响的事件，不应对其他执行安全重要功能的仪控系统产生影响。

4）根据核安全等级要求，进行仪控功能分类和仪控系统分级。

5）根据信息安全要求，把仪控功能和仪控系统放入对应的信息安全区中。严格控制仪控系统的复杂性，消除不必要的复杂性。

6）仪控设备应处于适当位置和提供合理保护以便抵御不良环境因素的影响。

2 仪控系统总体架构设计原则

国际原子能机构在研究报告NP-T-2.11-2018 中提出了仪控总体架构的设计要求，主要包括：纵深防御、独立性、多样性、仪控功能分类和设备分级、网络安全和灾害防护等。

2.1 纵深防御

核电厂采取纵深防御策略，设置多个独立的屏障，以便保护公众和核电厂工作人员免受辐射危害。总体仪控系统架构也需要满足纵深防御的要求[2]。

2.2 独立性

IEC 61513 将独立性定义为“包括防止系统内子系统之间或系统与其他系统之间不利相互影响的措施。不利相互影响可能产生于子系统或系统中任何部件的异常工作或故障，也可能来源于例如电磁感应、短路、接地故障、火灾、化学爆炸、飞行物坠毁的存在以及被破坏数据的传播。”本质上讲，独立性旨在避免物理和逻辑上的交互（这些交互可能导致故障影响的传播），并且将共因故障的发生及可能产生的不良影响降至最低[3]。

2.3 多样性

纵深防御不同层次的各数字化仪控系统由于基于仪控平台进行开发，采用了相似的计算机硬件和软件资源，所以设计错误可能导致两个或多个仪控系统的共因故障，并危及多个纵深防御层级。因此，采用多样性原则变得非常重要。多样性是利用技术、功能、实现、操作等方面的差异来降低潜在的共因故障。

2.4 仪控功能分类和设备分级

分类和分级的目的是实现对仪控系统在技术和质量保证要求上的分级要求，仪控功能根据其对安全的重要性被划分为相应安全类别[4]，对安全的重要性是由当需要系统动作而未能动作时所产生的后果决定的。在有些安全功能分类方法中，还考虑了假动作的后果以及对假设始发事件的预防和缓解的影响。仪控系统和设备根据其需要执行的仪控功能的最高安全类别来划分安全级别，仪控系统的安全级别决定了系统和设备的设计和质量要求、工程过程的严格程度以及可靠性和质量标准等要求。

2.5 网络安全

在定义功能结构和数据流时，计算机信息安全区需要考虑从高信息安全区到低信息安全区的数据流，而不是相反方向的数据流。因此，不同信息安全区之间应有数据流解耦机制，以防止未授权的访问，也防止低信息安全区的故障传播到高信息安全区[5]。仪控功能应分配到与之相匹配的信息安全区。

2.6 灾害防护

仪控系统需要设计成能够承受在其运行环境中可能发生的潜在危险的不利影响，这些危险可能来自外部因素（如海啸、飞机撞击、洪水或过高的环境温度）或内部事件（例如火灾、甩负荷或蒸汽泄漏）。

3 总体仪控系统架构的设计步骤

总体仪控系统架构受到多方因素的影响，例如设计方、业主、平台供应商和法规标准要求等，这些相关方可能有不同的特点和需求。总体仪控系统架构设计通常分为初步设计和详细设计。

3.1 总体仪控架构的初步设计

总体仪控架构设计需要与核电厂安全设计基准一致，在初步设计时，主要的设计输入有：

1）核电厂的运行理念。

2）核电厂的纵深防御概念。

3）总体仪控架构提供的安全功能。

4）功能分类和核电厂安全重要功能的功能和性能要求。

5）结构、系统和组件的安全分级。

6）非功能性需求，例如信息安全、安保要求和时间约束。

7）信息安全区定义、相互关系以及允许的区域间通信路径。

总体仪控架构初步设计的输出，包括如下方面的内容：

◇ 根据纵深防御的层级和功能特性、信息安全区等定义总体仪控系统架构。

◇ 对分配给纵深防御层级的仪控系统和设备进行安全分级。

需要对纵深防御各层之间共享设备进行确认，以确保这种共享在安全上是可接受的。特别注意的方面有：

a）不同纵深防御层级间共享的数据和信号通信设备。

b）从较低的安全等级到较高的安全等级的数据和信号通信。

c）从较低的信息安全区到较高的信息安全区的数据和信号通信。

d）支持系统也需要进行考虑（如仪控系统的电源和通风空调系统）。

仪控架构设计需要编制相关文件，在文件的编制过程中需考虑如下内容：

①功能分类和系统分级。

图1 仪控系统总体架构Fig.1 Overall structure of the instrument control system

②根据仪控系统在核电厂的位置，可能需要考虑抗震分级。

③物理隔离、电气隔离、功能独立和其在总体仪控架构或支持系统中的应用。

④总体仪控架构应与核电厂安全需求、可用性、纵深防御策略等相一致。

⑤计算机安全的风险评估和影响分析。

⑥假设的仪控系统故障。

⑦支持系统（例如测试、定期测试、监视和维护）的要求，以及减少可能导致危险状态的恶意操作（包括虚假驱动）的可能性的安排；软件故障和共因故障的目标。

⑧严重事故仪表系统的设计需求。

3.2 总体仪控架构的详细设计

详细设计阶段的输入有：根据仪控系统的功能、安全性、性能要求和其他约束条件确定输入，并与其他专业建立联系，以确保满足其设计基准。这通常包括如下内容：仪控功能需求。每个仪控功能提供的详细内容有：功能描述（即目的）、纵深防御、功能分类和系统分级、输入和输出、在相同纵深防御层级和安全类别的情况下仪控功能的隔离/分组、每个假设始发事件的功能多样性、优先级准则、操作模式（包括在不同电厂状态下手动干预和监视的要求）、响应时间、准确度、故障模式和效果分析、仪控系统对故障的响应。

详细设计阶段的输出将完成总体仪控架构的搭建，通常包括以下内容：仪控平台和相关子系统、系统开发方法和工具的选择和论证，并需要证明，仪控系统设计和选择符合初步设计中建立的相应要求。仪控系统的总体架构应采取措施确保在初步设计阶段根据电厂安全性、可用性和安全分级确认的独立性和隔离方面的要求的实现。当数据或信号在不同的纵深防御层级间传输时，应尽量避免从较低安全等级到较高安全等级的通信需求。全面的纵深防御和多样性分析，将仪控功能分配给系统和子系统，同时考虑适用的分离或分组和平台功能的约束条件。一种可行的仪控系统总体架构如图1 所示。

4 结论

核电站的总体仪控系统架构是一整套的仪控系统的组织结构。该架构建立了组成整个系统架构的仪控系统，包括了仪控功能的分配、系统间的相互关联及作用；并满足总体仪控架构的设计约束，定义各种仪控系统之间的边界。总体仪控架构的设计是一项困难而复杂的任务，并且受到各种设计条件的约束。从初步设计阶段开始，总体仪控架构将在与来自其他专业的设计团队进行讨论的基础上不断完善。当核电站设计从初步设计转向详细设计时，必须不断地评估来自其他专业的设计团队所做的决定对仪控系统的影响。必须与其他专业协作，以避免对仪控设计强加不必要的要求，并进行沟通，以确保其他专业能够提供足够的输入信息，以支持整个仪控架构的不断完善。