何玉鹏，张 谊，姜 静，周 岱，彭 浩

（中国核动力研究设计院核反应堆系统设计技术重点实验室，成都 610213）

0 引言

反应堆保护系统检测电厂异常工况，并且触发必要的安全相关功能来达到并保持电厂处于安全停堆状态[1]。国内早期商运的秦山、大亚湾、岭澳等核电机组，仪控系统主要采用SPEC200 或Baily9020 等模拟技术，采用模拟仪表和继电器控制回路实现反应堆保护与安全监视功能。至今已运行20 余年，面临备件停产、模块老化、故障率上升等问题，已对机组运行的经济效益和核安全产生影响，亟需开展数字化升级。此外，数字化的控制系统是主流发展趋势，具有高系统集成度，高可靠性和维护便利性等优势，可以显著降低运维成本。

但在设计反应堆保护系统的数字化改造方案时，往往容易忽略伴随数字化控制系统而引入的问题，如软件共模故障、质量位处理、网络安全等，将会影响改造后系统的可靠稳定运行。本文以国内某核电厂反应堆保护系统数字化升级过程中面临的技术难点为例，从缺省值设计、网络安全防范、多样性设计等多个维度进行探讨，并提出了相应的解决思路。

1 数字化升级的必要性

国内首批M310 机组大多建成于20 世纪90 年代或本世纪初，由于技术引进与技术交流方面受到国外的限制，核安全级仪控系统均要自主摸索、试验与研发。国家的核安全体系尚未建立，相应的国家标准不完整。在系统设计方面，国内设计人员对国际标准不了解或理解不深，设计中缺乏经验。在设备制造方面，受当时国内元器件制造工艺和质量的限制，设备可靠性不高。由于上述因素，反应堆保护系统、堆外核测系统在设计与制造中存在缺陷是无法避免的。随着对安全标准认识的不断加深，原有设计与现行安全法规、标准的要求相比有较大的差距[2]。

通常控制系统设计寿命为20 年，早期核电机组的控制系统已普遍超出此限值。随着设备老化，故障率出现逐渐上升的态势，加快了备件消耗。长期运行消耗叠加厂家老旧生产线停产而无法购买备件，导致库存数量紧张，对电站运营的经济性和安全性形成挑战，数字化升级的迫切性日益增强，系统级别的改造势在必行。

2 改造方案设计难点

相比于模拟技术，数字化控制系统具备便捷在线诊断、快速故障定位、信息显示网络化、定期试验自动化等诸多技术优势。此外，国内近年开发的数字化控制系统，往往经过严苛的设备鉴定，具有充分的可靠性试验数据支撑。但在开展数字化改造工作时，往往容易忽略软件化带来的问题，如不能妥善处理，将可能引入控制风险。

2.1 缺省值问题

由于模拟技术不存在质量位的概念，控制参数仅对数值本身进行采集和处理，不会判断数值的有效性。当信号出现超量程、链路断线等情况时，无法区分是否因真实工艺系统变化导致。而数字化改造后，引入了丰富的自诊断机制，必然需要控制系统响应质量位状态。当出现质量位为坏时，需要将故障信号标识为无效，采用替代值实现故障信号的功能，此替代值即为缺省值。

根据多个核电现场的经验反馈，由于缺省值设置不合理使得DCS 发出非预期的控制指令，导致设备无法操作或误动作的事件时有发生[3]。因此，缺省值设计直接影响核电厂的安全性和经济效益，有必要重点考虑。

2.2 网络安全问题

对于模拟技术而言，由于设备本身并不基于处理器运行，系统内没有嵌入操作系统和应用软件，因而受网络攻击的风险和后果极小。但改造为数字化的控制系统后，系统组件的调整将会增加网络安全风险。网络安全风险主要体现在以下几方面：

1）设备增加，加大了系统网络安全攻击面。数字化的反应堆保护系统使用的维护工程师站（MTS）、交换机等设备均为商用产品，本身存在可被利用的漏洞。

2）网络环境变化，增加了系统网络安全攻击面。数字化的反应堆保护系统存在使用通用协议或与非安全级系统使用通用协议进行数据交换的情况，通用协议的数据格式等基本为公开信息，数据保密性较低。

3）社会环境变化。近年来，针对工业控制系统的网络安全攻击愈演愈烈。各类重大的网络安全攻击事件表明，网络安全攻击有从个人行为向组织行为甚至是国家行为转变的趋势，核电厂在进行改造时应提高网络安全防护能力。

2.3 共因故障风险

在模拟技术中，每一个冗余通道的安全功能一般通过一系列分立的电子部件实现，故障的影响范围有限。系统性缺陷同时集中爆发的概率极低，因此软件共因故障（SWCCF）风险极低。

相比于模拟技术，数字化控制系统在具备维护便捷、可用性强和自诊断丰富等优点的同时，还具备高集成性和复杂度的特点。特别是相同的潜在软件缺陷，系统性地存在于不同的控制站，使共因故障风险集中，增强了发生共因故障的风险和后果。美国核管理委员会在NUREG/CR-6303-1994 提出数字化的保护系统增加了软件共因故障的风险，需要通过多样性来克服共因故障。HAD102/16《核动力厂基于计算机的安全重要系统软件》指出，“由于软件故障本质上是系统性的，而不是随机性的，基于计算机的安全系统（该系统通过相同的软件拷贝而使用多重分系统）的共因故障是一个关键问题，安全防范措施不容易实现。设计人员应采用独立性和多样性以及全面的质量鉴定等策略以防止共因故障”[4]。

3 克服改造难点的设计策略

针对识别出的升级改造存在的问题，以某核电数字化改造为例，解决策略如下：

3.1 缺省值设计

对缺省值取值分析时，需要综合考虑缺省值设置对不同工况下电站运行的可能影响，信号参与控制功能的作用及安全等级。基于龙鳞平台在多个核电项目的设计实践，总结缺省值的设置原则如下：

1）对于参与保护仪表表决逻辑的不再单独设置缺省值，按保护功能表决逻辑的退化要求统一处理。

2）对于未参与保护的0 层模拟量或开关量传感器采集过程中检测信号质量位坏时，如无特殊要求，信号缺省值设置上一有效值。

3）DCS 系统内部的网络和硬接线通信故障导致信号质量位坏时，如无特殊要求，信号缺省值设置上一有效值。

4）对于参与调节控制的模拟量输出故障导致信号质量位坏时，如无特殊要求，信号缺省值设置上一有效值。

5）用于报警和显示的信号原则上不设置缺省值。

对于特殊信号，需要基于信号执行的功能，以及控制平台故障后的响应需求，针对性分析缺省值的设计。

3.2 信息安全设计策略

在改造过程中，可参考工业控制系统或核能行业网络安全相关标准从以下方面加强系统网络安全：

1）边界防护：通过端口封堵、配置设备锁等方式实现端口防护；通过禁用端口服务等降低系统边界。

2）访问控制：通过多因素鉴别实现访问控制，如使用密码+硬件锁的方式。

3）权限管理：在设置系统账户时，应尽可能减少账户的数量，同时基于最小化原则分配账户权限。

4）主机防护：在确保功能可用性的前提下，部署主机防护软件，对MTS 进行防护；通过操作系统配置（如提高密码复杂度，调整密码更换频率，关闭不适用的系统服务或功能等），提升MTS 防护能力。

同时，在反应堆保护系统设计制造过程中，应加强项目网络安全管理，避免采购、装配、调试等环节引入网络安全风险。

3.3 多样性设计

任何单个设备和控制系统不能排除发生共因故障的可能，因此克服共因故障的措施假定一个设备或系统由于共因故障而失效，由其他设备或系统实现预期的功能。

根据NB/T 20068-2012《核电厂安全重要仪表和控制系统应对共因故障的要求》，多样性设计有两种方式：设计设备多样性或功能多样性，保证信号链路的独立性，以确保核安全相关功能发生共因故障的可能性，减低到可以接受的范围。

1）功能多样性

为缓解反应堆保护系统应用软件共因故障的后果，系统划分为两个功能多样性子组，分别由不同的处理单元实现，停堆和专设功能按照保护参数多样性分配到两个多样性子组中进行处理。以某核电的数字化改造为例，采用龙鳞平台，选用多样性参数设计多样性子组后，系统架构如图1 所示。

图1 采用多样化子组的系统架构Fig.1 System architecture using diverse subgroups

根据以上架构设计，结合龙鳞平台典型失效参数，当定期试验周期TI=18 个月，紧急停堆系统平均拒动率为

系统可用率为

基于以上架构，模拟量输入信号处理数据流如图2 所示。

图2 模拟量信号数据流Fig.2 Analog signal data flow

信号链路响应时间为

采用多样性子组提高数字化升级后系统多样性的应用已有先例，在秦山核电一期项目的反应堆保护系统数字化升级时，采用TXS 平台进行数字化改造，在原来4 个完全冗余通道的架构基础上，增加多样性子组的方式来提高设备可靠性[5]。

2）设备多样性

按照多样性设计原则，多样化驱动系统也可以采用独立的第三方平台搭建多样化驱动系统（DAS），以防止安全级DCS 系统平台发生软件共因故障导致ATWT 相关安全功能不可用。

以龙鳞平台设计反应堆保护系统，搭配某NC 级控制平台作为多样性驱动系统后，架构设计如图3 所示。

图3 搭配多样化驱动平台的系统架构Fig.3 System architecture with diverse driver platforms

依据龙鳞平台及国内某NC 级控制平台的失效参数，当定期试验周期TI=18 个月，紧急停堆系统平均拒动率为

系统的可用率为

基于以上架构，模拟量输入信号处理数据流计算如图4 所示。

图4 模拟量输入信号数据流Fig.4 Analog input signal data flow

信号链路响应时间为

3）多样性对比

从性能计算数据结果看，采用DAS 设计拒动率更低，系统可用率更高，而且可以显著缩短反应堆保护系统的响应时间。

根据NUREG/CR 6303，反应堆保护系统的纵深防御和多样性可基于6 个维度评价：人因多样性、设计多样性、软件多样性、功能多样性、信号多样性以及设备多样性（6个维度并不要求同时满足）。相比于功能多样性，采用不同平台构建DAS 系统，在人因、设计、软件、设备等4 个维度实现了更为充分的多样性设计。

基于以上结果，在反应堆保护系统数字化改造方案设计时，优先采用独立DAS 系统的设计，华龙一号采用二者兼具的方案，多样性设计更为充分。

4 结束语

随着安全级DCS 平台技术逐步成熟和应用推广，采用龙鳞平台等完全自主知识产权的国产DCS 平台进行数字化升级解决了备件停产、性能下降、故障率上升等难题。在制定改造方案时，充分利用数字化平台诸多优点的同时，需要重视数字化伴随的其他问题。本文针对反应堆保护系统的数字化升级，分析了缺省值设计、网络安全、软件共因故障等问题，并提供了设计方案。