孙 娜

（华龙国际核电技术有限公司，北京 100036）

0 引言

核电厂仪控系统总体架构由核安全相关的各个子系统组成，总体架构设计从顶层视角给出各子系统的互联关系，同时明确各子系统的物理位置以及对支持系统的要求。在新建电厂的设计中，早期就应开始进行仪控总体架构的开发，以决策一些技术问题，如纵深防御层次以及层次之间的独立性程度、安全系统的通道数量、占用的物理空间等。架构设计阶段，仪控设计人员应与其它专业如电厂布置、反应堆设计、系统工艺设计、人因设计及运行等充分合作，不断评估其它专业对仪控设计的影响。

1 仪控系统层次

仪控系统与电厂操作员以及其它系统进行交互，因此引出仪控层次的概念。图1展示了核电厂仪控系统的基本层次[1]。0层由传感器和执行机构组成；1层包含将信号从传感器转发到过程控制层或执行机构的设备；2层包含过程自动化和执行安全功能的仪控系统；3层包含通过控制室人员进行操作和控制电厂的系统；4层用于电厂技术管理的系统。在以下每一层中可能会有专用的人机接口，但主要集中在第3层，通常位于主控室或其它辅助控制室的工作站和控制面板上。另外，计算机安全需要在以下所有层中解决，而不是一个特定的层次。

图1 仪控系统层次Fig.1 The level of the instrument control system

图2 仪控系统层次与纵深防御层级框图Fig.2 Block diagram of I&C system hierarchy and defense-in-depth hierarchy

2 纵深防御层次

纵深防御层级通过一系列执行不同功能的独立系统来防止事故的发展，如一个层级的失效不会阻止其他层级功能的执行。通常，在每个层级执行的功能如下：

1级：正常条件下的电厂控制。

2级：监测异常情况并提供相应的控制功能。

3级：反应堆停堆和专设安全设施驱动功能。

4级：监测和减轻严重事故。

5级：放射性释放监测及处理。

每个纵深防御层级中的每个系统都具有与仪控层次相关的某些专用设备，但有些层级可能不包括所有仪控层的设备（如一个简单的手动系统可能不包括过程控制系统，只包含通过第3层和0/1层直接相连的设备），也有可能一些层级存在多个仪控子系统层次的情况（如level 3级可能包含主保护系统和多样化保护系统）。仪控系统层次与纵深防御层级之间的关系如图2。在架构设计中，保持每个纵深防御层级的完全独立是不切实际的，通常需要某些设备或人机接口的共享。

3 总体架构设计主要原则

仪控系统的总体架构设计是基于几个关键原则开展的，以确保满足电厂安全和性能目标。

◇ 纵深防御。

◇ 独立性。

◇ 功能分类和系统分级。

◇ 网络安全。

◇ 内外部灾害。

◇ 不必要的复杂性。

◇ 其它原则。

表1 纵深防御层次Table 1 Defense-in-depth layers

3.1 纵深防御

仪控系统总体架构应遵循电厂纵深防御的概念，原子能机构（IAEA）、美国核管会（NRC）及西欧核管理协会（WENRA）均提供了不同的观点，在此仅以WENRA的观点来探讨两点具体的技术问题。

WENRA强调不同纵深防御层级之间的独立性，特别是：

① 3级独立于1级和2级。

② 3a级与3b级之间。

③ 4级需要在合理可行的范围内独立于其它所有级别。

这里重点讨论第②点。WENRA方法将第三纵深防御层次分为了两个子级，在国内项目实施过程中分别通过反应堆保护系统和多样性保护系统来实现其功能。对于3b多样性保护系统在总体架构中的设计情况，可参考以下不同解决方案[3]。

1）在现有电厂的保护系统和多样性保护系统之间，大部分项目设计为共享传感器和执行机构，在当前不太可能添加独立的传感器和执行机构。对于该种设计，需要考虑多样性保护系统误动作的风险。另外，由于共享传感器和执行机构，需要增加优先级逻辑和信号预处理设备，因而需要考虑它们的故障以及复位的控制方法，增加了故障模式和影响分析的复杂性。

2）如果是新建电厂且处于设计的后期阶段，可以考虑在保护系统和多样性保护系统之间提供独立的传感器。

3）如果是新建电厂的早期阶段，可以考虑在保护系统和多样性保护系统之间分配不同的安全功能，设计方案相对1）和2）来说会更加灵活自由。

在人机接口设计方案中，需要考虑纵深防御设计，每个纵深防御层次均提供独立的人机接口系统（HIS），在设计中通常不可行，从操作员的角度更希望在固定的位置能够拥有所有可用的信息。因此，通常折衷的办法是普通操作员站提供所有可用的信息，但是需要在设计中确保防御层次之间的独立性且故障及恶意攻击不能在层级之间蔓延；对于电厂关键安全参数显示及控制，需要提供独立的设施来监控；对于内外部灾害的影响，如火灾等也需要考虑纵深防御设计。

3.2 独立性

SSR-2/1要求纵深防御层次之间尽可能的独立，特别是用于应对设计扩展工况的严重事故仪控系统和第3层级保护系统之间。通常来说，设计相互独立的仪控系统往往在以下方面受到限制：①仪控子系统的数量；②电缆敷设；③传感器和执行机构以及机房实际布置的分隔；④必要的支持系统独立。纵深防御层次之间的独立性主要考虑以下几个方面：

3.2.1 假设始发事件（PIE）

对每一个PIE需要具体分析相关的预防和缓解措施，确保每一个PIE提供足够的纵深防御，需要考虑PIE发生的频率以及所应对的系统，因此需要应用概率安全分析方法对独立性进行定性分析。

3.2.2 防止故障蔓延

项目实施过程一般通过物理隔离、电气隔离、功能独立和通信独立手段来防止系统之间产生干扰。这里重点强调支持系统的独立，如供电系统及暖通空调通风系统等。架构设计过程中可尽量减少对支持系统的需求，如仪控总体设计可考虑取消安全级暖通空调系统的需求，通过使用降额器件，增加厂房面积或提供先进式自然循环排热系统等。另外，支持系统通常支持属于不同纵深防御层次的仪控系统，因此在仪控架构设计中需要进行分析以确保支持系统不是仪控系统故障的主要因素。第三需要考虑暖通空调系统的分隔和独立措施，是否需要进行严格地分隔，概率安全评估应在可用性方面提供分析结果。

3.2.3 防范共因故障

可通过以下手段来防范共因故障：

1）保守的设计方案：从电厂经验反馈来说，重点关注在仪控系统设计过程中功能需求的完整性和充分性。

2）监测：主要用于随机故障监测。

3）多样性：是防范CCF的最优手段，但是需要考虑其带来的架构复杂性，增加的布置空间、维护需求、误动作以及带来的成本增加等因素。

3.3 功能分类和系统分级

仪控功能分类和设备/系统分级的目标是促进对技术和质量要求采取分级办法。属于较高安全类别的功能和属于较高安全类别的系统将比属于较低安全类别的功能和系统有更严格的要求。

满足安全目标所需的仪控功能根据其安全意义进行分类，各堆型参考的标准不同，因此功能分级可能会不同。当完成了仪控功能的安全分类，需要将这些功能分配到一个安全级别的系统或设备中执行，仪控系统的安全分级应根据其执行的最高功能分类来完成。由于安全分类和分级的不同，各项目可提出不同的分级要求。执行机构的安全级别是由其执行的功能的最高安全级别确定的。因此，各种仪控功能对执行器的命令必须经过一个优先级逻辑，这样低级别功能不会影响高级别功能的执行。

仪控设计工程师通常不是堆工物理以及工艺系统方面的专家，所以仪控最重要的输入是由安全分析、工艺工程师制定的功能要求，需要注意的是不同专业的设计师之间应在设计之初就进行交流，明确功能需求。

除了工艺定义的仪控功能外，仪控工程师还需要定义仪控学科特征的功能。如测试、诊断、参数调整和维护支持的仪控功能。

3.4 网络安全

对核电厂的网络攻击可能导致仪控系统出现故障或误操作，从而对核电厂造成重大威胁，而且在同一时间可能对纵深防御多个层次进行攻击。因此，仪控总体架构设计需要指定策略进行预防、检测和缓解攻击的影响。在架构设计中，有以下几点需要考虑：

1）可参考IAEA的NO.17《核设施的计算机安全技术》中的概念安全模型，作为各个开发阶段的输入。使用计算机安全级别和安全区域的概念，理清仪控系统、系统功能、计算机安全级别和安全区域之间的关系。

2）仪控系统安全计划重点是在数据的完整性上，而不是保密性。仪控架构设计需要与网络安全防御架构保持一致。任何计算机安全功能的运行或故障，都不应对仪控系统执行其安全功能产生不利影响。对于电厂控制和保护系统的网络安全保护，尽量采用在与其连接但又相互隔离的专用系统中实施。

3）网络安全措施会对仪控平台需求产生影响和限制，因此在项目早期应确定安全措施需求。另外，为网络安全措施开发的设备，应进行与被保护仪控系统相同等级的鉴定。在架构设计中，应平衡考虑核安全与网络安全，使它们不会相互影响，如因为网络安全设计带来的复杂性可能会导致系统性能下降。

3.5 升级和改造

电厂运行期间有可能需要对仪控系统进行升级改造，改造过程中系统总体架构可能会发生变化。基于以往的经验反馈，仪控总体架构设计需要考虑以下内容：

1）需要为仪控系统制定生命周期管理程序。

2）架构需要模块化，以方便仪控系统或模块的更换。

3）对整个架构进行划分，有助于避免单个系统的复杂性以及系统之间的交互，从而简化改造过程。

4）架构设计过程具有严格的配置管理。

5）架构应具有足够的灵活性。

3.6 内外部灾害

仪控系统需要能够承受环境中可能发生的潜在危险带来的不利影响。这些危险可能来自外部因素（如海啸、飞机失事、洪水或环境温度过高）或内部事件（如火灾）。设计中可通过安装在不同的物理空间及冗余子系统来实现其要求。仪控系统本身需要经过环境鉴定，通过型式试验和分析的方法来证明能够执行其功能。另外，仪控系统依赖的支持系统，如电源、暖通空调系统等在特定的环境下也能够应对预期的内外部灾害。

3.7 其它原则

1）不必要的复杂性

仪控系统应完全满足其设计基准的要求，并在安全系统的设计中避免不必要的复杂性[2]。架构设计需要在独立性、多样性、可运行性、可维护性之间取得适当的平衡。

2）专用系统

对于专用仪控系统及设备，需要将它们纳入到仪控系统总体架构中来，确定它们的核安全及网络安全，且将其分配到特定的纵深防御层次及安全区域。

3）布置考虑

需要考虑系统的布置方案，如机柜、现场布线、电源、供暖及通风设备。使用远程IO及现场总线技术可以减少大量布线，并提高运维便利性，但在系统设计过程中需要考虑禁止通过网络传输的参数。

4）平台考虑

平台特征会影响总体架构，因此在架构设计时需要和平台结合起来考虑[4]。可考虑定制开发平台，从长远角度来看，对软件升级要求较少，并且会有来自供应商的长期支持。备品备件，降低运行和维护成本，设备的标准化，在线维护等会节省更多的成本，提高经济性。

4 设计过程

仪控系统的架构设计与多方相关，包含设计人员、核电业主、平台供应商以及国内监管单位等。以下描述从总体架构开发过程的关键方法和技术考虑，以便于设计固化前识别风险及矛盾。

4.1 概念设计

依据电厂仪控设计基准及安全分析文件，分析架构设计所需要求和设计限制，主要包含：

1）识别每个PIE及其组合，解决每个PIE所处的纵深防御层级对每个PIE的响应。

2）对安全功能的自动和手动分配，优先级原则。

3）安全功能分配及分类。

4）网络安全区域的功能分配。

5）响应时间、精度及可靠性目标。

6）人员可靠性分析、运行人员职责。

7）设计基准工况和设计扩展工况。

8）支持系统设计，如电源、暖通空调系统等。

9）厂房布置及对设备安装、电缆布线的限制。

10）电厂内外部灾害的环境约束。

11）先前项目的仪控总体架构经验反馈。

确定架构中的仪控系统数量和组织架构，仪控功能分配到各系统中去，确定系统之间的关系和边界，确定纵深防御层次、安全区域。这一阶段需要尽可能地保持简单，以避免在开发早期阶段引入复杂性，还需要考虑架构的灵活性，以便后续功能的详细分配。

4.2 架构开发

上一阶段形成的仪控功能需求、概念安全模型作为本阶段的输入，在本阶段需要对功能要求进行细化，包含功能描述、纵深防御层次、安全分类和分级、优先级准则、运行模式、逻辑表决准则、故障模式和影响分析，证明一个或多个仪控功能失效并不会对电厂达到或保持安全状态造成影响。

完成总体架构定义和安全论证，需要包含：

1）仪控总体架构，包含子系统和人机交互。

2）子系统间的数据或信号通信设计。

3）纵深防御和多样性分析。

4）独立性分析。

5）系统工具选择和论证。

4.3 架构优化与论证

纵深防御每个层次都有独立的传感器、系统及人机接口通常不太实际，因此需要在理想架构的基础上对某些方面进行不断迭代，优化论证，最终确保实现电厂基本安全的要求。其通常包含人机界面设计、仪表和执行机构的共享、数据通信。

1）人机界面设计除满足设计要求外，需要为控制室操作员提供方便和易于理解的用户界面。纵深防御层次间如使用了多个人机接口，需要进行人因评估，以确保电厂在任何工况下不影响安全功能。另外，报警信息要考虑信息整合。

2）仪表和执行机构的共享架构设计中可能存在多个纵深防御层次间共享仪表或执行机构的情况。此时需要有证据表明已经应用了足够的冗余及多样性，并确保不存在可以同时使多个层次失效的设计。共享信号间要确保非安全系统的故障不能传播到安全系统，同时考虑误动作以及动作优先级问题。

3）数据通信纵深防御层次之间或不同安全级别的系统之间进行的数据通信，需要确保这样的系统配置实现对独立性的基本需求。手段可能包括使用点对点通信，从较高安全级别到较低安全级别仪控系统的单向通信，安全功能执行过程与通信过程的分离，在通信协议中嵌入安全特性，以确保覆盖所有假定的通信故障，接收端数据验证等。

5 结束语

仪控总体架构设计是一项困难而复杂的任务，它受到电厂许多专业的影响，同时也对其它专业施加约束，在电厂概念设计阶段就需要开展，以便于早期确定架构的某些特征，如纵深防御层次、独立性方式、安全系统的序列等。在这一阶段，仪控设计工程师需要确保电厂为仪控设备、电缆及支持系统和设备分配足够的空间。后续的架构开发中，与其它专业如布置、堆工物理、安全分析、工艺设计、人因设计、运行和计算机安全充分沟通交流，不断评估相互的影响，避免对仪控系统架构提出不必要的需求，以支持仪控架构的持续开发。

在总体架构设计过程中，对其成果进行论证也是其中关键的活动。但目前来看，这方面工作仍存在薄弱环节，对其进行确定性安全分析和概率安全评估工作需要进一步完善。总之，需要避免在架构设计阶段产生安全和安保方面的缺陷，否则将会产生昂贵的代价。