基于NuPAC的核電廠反應(yīng)堆保護(hù)系統(tǒng)關(guān)鍵特性分析

曾 海

（國核自儀系統(tǒng)工程有限公司，上海 200233）

NuPAC是國核自儀系統(tǒng)工程有限公司和洛克希德馬丁公司合作開發(fā)的安全儀控系統(tǒng)平臺。NuPAC平臺采用現(xiàn)場可編程門陣列技術(shù)（FPGA），具有和傳統(tǒng)分散式控制系統(tǒng)（DCS）或可編程邏輯控制器（PLC）的集中式結(jié)構(gòu)不同的分散式系統(tǒng)結(jié)構(gòu)。

基于NuPAC 的大型先進(jìn)壓水堆核電廠反應(yīng)堆保護(hù)系統(tǒng)為電廠在正常或異常情況下提供保護(hù)。反應(yīng)堆保護(hù)系統(tǒng)設(shè)備（包括電氣、機械、可編程邏輯和軟件部件）監(jiān)測反應(yīng)堆的狀態(tài)，并產(chǎn)生反應(yīng)堆停堆和專設(shè)安全設(shè)施觸發(fā)信號。此外，反應(yīng)堆保護(hù)系統(tǒng)提供事故后監(jiān)測功能來監(jiān)測設(shè)計基準(zhǔn)事故過程中和事故后反應(yīng)堆的狀態(tài)。為保證反應(yīng)堆保護(hù)系統(tǒng)的可利用率，以及保證系統(tǒng)性能滿足規(guī)定的要求，反應(yīng)堆保護(hù)系統(tǒng)提供定期監(jiān)督測試功能。基于NuPAC 的反應(yīng)堆保護(hù)系統(tǒng)支持在線定期測試功能，同時也支持在線診斷和維護(hù)功能?；贜uPAC 的反應(yīng)堆保護(hù)系統(tǒng)提供與其他儀控系統(tǒng)和設(shè)備的外部接口，如傳感器、執(zhí)行機構(gòu)、開關(guān)以及非安全控制系統(tǒng)等。

本文分析基于NuPAC 的反應(yīng)堆保護(hù)系統(tǒng)的關(guān)鍵特性，歸納的反應(yīng)堆保護(hù)系統(tǒng)關(guān)鍵特性將體現(xiàn)于系統(tǒng)需求規(guī)范和系統(tǒng)詳細(xì)設(shè)計需求規(guī)范中，以確保最終的反應(yīng)堆保護(hù)系統(tǒng)設(shè)備具備本文描述的關(guān)鍵特性。

1 源數(shù)據(jù)分析

反應(yīng)堆保護(hù)系統(tǒng)關(guān)鍵特性的分析開始于設(shè)計團(tuán)隊組織的一次頭腦風(fēng)暴會議。在頭腦風(fēng)暴會議中，每位團(tuán)隊成員均認(rèn)真思考并提出他或她認(rèn)為重要的系統(tǒng)特性。會議共發(fā)現(xiàn)了34個系統(tǒng)特性。進(jìn)一步分析發(fā)現(xiàn)，有些系統(tǒng)特性只是風(fēng)險而不是系統(tǒng)特性；而根據(jù)法規(guī)標(biāo)準(zhǔn)要求有必要增加新的系統(tǒng)特性；此外，有些系統(tǒng)特性相近，可合并。通過分析確定了14個系統(tǒng)關(guān)鍵特性（表1）。

本文對每個關(guān)鍵特性根據(jù)其分級因子如可能性（如果無正確設(shè)計則不滿足該關(guān)鍵特性的可能性）、重要性及可檢測性分配分值，表2列出分級因子及其對應(yīng)的分值。根據(jù)3個分級因子分值的乘積，可確定關(guān)鍵特性的重要等級。

表1 關(guān)鍵特性Table 1 List of key characteristics

表2 分級因子及其分值Table 2 Grade factor and value

2 相關(guān)性分析

關(guān)鍵特性是反應(yīng)堆保護(hù)系統(tǒng)最重要的設(shè)計特征。為保證系統(tǒng)設(shè)計滿足關(guān)鍵特性，需進(jìn)行相關(guān)性分析。此外，通過相關(guān)性分析也會顯示關(guān)鍵特性如何體現(xiàn)于系統(tǒng)設(shè)計以及詳細(xì)設(shè)計中。

2.1 單一故障準(zhǔn)則

單一故障準(zhǔn)則是反應(yīng)堆保護(hù)系統(tǒng)需滿足的一條系統(tǒng)頂層需求，10CFR 50［1］附件A 第21條規(guī)定“單一故障不能導(dǎo)致保護(hù)功能喪失”，IEEE 603—1991［2］第5.1 節(jié) 中 也 規(guī) 定“安全系統(tǒng)應(yīng)在以下情況下執(zhí)行設(shè)計基準(zhǔn)事故要求的安全功能：1）安全系統(tǒng)發(fā)生單個可探測的故障，同時發(fā)生所有可識別但不可探測的故障；2）單一故障引起的所有故障；3）由于故障和誤停堆引起的設(shè)計基準(zhǔn)事故，或要求安全功能動作的設(shè)計基準(zhǔn)事故導(dǎo)致的所有故障和誤停堆。”

反應(yīng)堆保護(hù)系統(tǒng)設(shè)計通過采用IEEE 379—2000［3］中規(guī)定的方法來滿足單一故障準(zhǔn)則。IEEE 379—2000［3］第5.1節(jié)規(guī)定“獨立性原則是有效應(yīng)用單一故障準(zhǔn)則的基礎(chǔ)。安全系統(tǒng)的設(shè)計應(yīng)保證部件的單一故障不會影響?yīng)毩⒌娜哂嗖考蛳到y(tǒng)的正確運行。”由此可見，冗余和獨立是反應(yīng)堆保護(hù)系統(tǒng)設(shè)計采用的兩種有效的滿足單一故障準(zhǔn)則的方法。

基于NuPAC 設(shè)計的反應(yīng)堆保護(hù)系統(tǒng)由4個冗余序列組成，當(dāng)某個序列被旁通進(jìn)行維護(hù)或測試時，系統(tǒng)仍滿足單一故障準(zhǔn)則。系統(tǒng)的每個序列均具有雙冗余的雙穩(wěn)邏輯子系統(tǒng)和符合邏輯子系統(tǒng)，可在不旁通該序列的情況下對每個子系統(tǒng)進(jìn)行維護(hù)和測試，從而不降低系統(tǒng)的可利用率。4個序列設(shè)備的供電電源也是冗余的。

IEEE 384—1992［4］規(guī)定，實體分隔和電氣隔離是獲得系統(tǒng)冗余序列之間的獨立性的方法。反應(yīng)堆保護(hù)系統(tǒng)4個序列的設(shè)備分別位于4個隔離的設(shè)備間內(nèi)。4個序列的電纜橋架之間及安全級電纜橋架和非安全電纜橋架之間通過屏障或距離進(jìn)行分隔。此外，進(jìn)出機柜的不同序列的電纜、機柜內(nèi)不同序列的電纜槽及不同電壓等級的電纜槽之間均按IEEE 384—1992的要求進(jìn)行隔離。

系統(tǒng)序列之間的接口進(jìn)行電氣隔離以保證某序列內(nèi)部部件的故障不會影響其他序列的功能。反應(yīng)堆保護(hù)系統(tǒng)和非安全系統(tǒng)之間進(jìn)行電氣隔離和通信隔離，通信隔離滿足IEEE 7-4.3.2—2003［5］附件E中通信獨立性的要求。

單一故障準(zhǔn)則以及與之相關(guān)的冗余和獨立性原則與反應(yīng)堆保護(hù)系統(tǒng)的結(jié)構(gòu)設(shè)計、供電設(shè)計、電纜橋架和電纜槽設(shè)計、系統(tǒng)通信以及隔離設(shè)備等相關(guān)，在系統(tǒng)設(shè)計階段將按IEEE 379—2000以及IEEE 352—1987［6］的要求進(jìn)行單一故障分析。

2.2 完整性

IEEE 603—1991［2］中規(guī)定“安全系統(tǒng)應(yīng)在設(shè)計基準(zhǔn)所列的全部適用條件下完成所承擔(dān)的安全功能”，這里“全部適用條件”包括設(shè)計基準(zhǔn)事故引起的全部正?；虍惓５墓╇姾铜h(huán)境條件，如電壓、頻率、溫度、濕度、壓力、沖擊、振動、地震、電磁干擾以及輻射等。反應(yīng)堆保護(hù)系統(tǒng)應(yīng)進(jìn)行各種環(huán)境鑒定試驗，包括電壓和頻率瞬態(tài)試驗、溫度試驗、濕度試驗、壓力試驗、沖擊試驗、振動試驗、抗震試驗、電磁干擾試驗、輻照試驗等以確保系統(tǒng)的完整性。

反應(yīng)堆保護(hù)系統(tǒng)設(shè)備安裝于抗震機柜內(nèi)，設(shè)備和部件的機械設(shè)計應(yīng)滿足相應(yīng)的抗震要求。反應(yīng)堆保護(hù)系統(tǒng)設(shè)備將根據(jù)IEEE 344—2004［7］的要求進(jìn)行抗震分析，以保證系統(tǒng)在地震條件下的完整性。

反應(yīng)堆保護(hù)系統(tǒng)機柜和機箱的散熱設(shè)計確保系統(tǒng)運行時的溫度條件在規(guī)定限值范圍內(nèi)。機柜冷卻裝置確保系統(tǒng)設(shè)備和部件在核電廠正常和異常溫度條件下的充分冷卻。

反應(yīng)堆保護(hù)系統(tǒng)的信號處理部件的設(shè)計可確保在發(fā)生異常，如輸入輸出處理故障、精度或圓整問題、系統(tǒng)恢復(fù)錯誤、電壓和頻率波動等情況下保持安全功能。測試和校驗功能及安全功能分別由不同的子系統(tǒng)承擔(dān)，以保證測試和校驗功能不影響安全功能。

反應(yīng)堆保護(hù)系統(tǒng)設(shè)備機柜按IEEE 1050—1996［8］的要求進(jìn)行正確接地，以降低外部干擾的影響。數(shù)字處理部件的自檢功能以及系統(tǒng)的自診斷子系統(tǒng)可檢測部件、子系統(tǒng)和序列的故障。系統(tǒng)完整性與整個系統(tǒng)、系統(tǒng)所有部件、系統(tǒng)功能設(shè)計及系統(tǒng)測試需求相關(guān)。

2.3 質(zhì)量

反應(yīng)堆保護(hù)系統(tǒng)的質(zhì)量由系統(tǒng)設(shè)計、開發(fā)和生產(chǎn)過程的質(zhì)保程序來保證。

反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計和開發(fā)過程按技術(shù)支持過程（TSP）的要求組織進(jìn)行，TSP 是按10CFR 50附件B［9］以及HAF 003［10］的要求設(shè)計的反應(yīng)堆保護(hù)系統(tǒng)設(shè)計開發(fā)流程；反應(yīng)堆保護(hù)系統(tǒng)的生產(chǎn)制造也將符合HAF 003的要求；系統(tǒng)的獨立驗證和確認(rèn)活動滿足IEEE 1012—1998［11］的要求；對于系統(tǒng)采用的商業(yè)級物項，也將按EPRI 106439—1996［12］的要求進(jìn)行商業(yè)級物項認(rèn)證。

反應(yīng)堆保護(hù)系統(tǒng)的質(zhì)量特性與設(shè)計、開發(fā)以及生產(chǎn)活動中的質(zhì)保程序相關(guān)，通過質(zhì)保程序中規(guī)定的質(zhì)保活動來保證。

2.4 確定性

反應(yīng)堆保護(hù)系統(tǒng)的確定性特性和系統(tǒng)執(zhí)行的安全功能相關(guān)。10CFR 50附件A 通用設(shè)計準(zhǔn)則［1］第20條規(guī)定“保護(hù)系統(tǒng)應(yīng)設(shè)計為（1）自動觸發(fā)包括反應(yīng)性控制系統(tǒng)在內(nèi)的相關(guān)系統(tǒng)的動作，以確保在預(yù)期運行事件下不會超出規(guī)定的燃料設(shè)計限值，并且（2）探測事故狀態(tài)，并觸發(fā)安全重要的系統(tǒng)和設(shè)備運行?！被贜uPAC的反應(yīng)堆保護(hù)系統(tǒng)將自動觸發(fā)反應(yīng)堆停堆和專設(shè)安全設(shè)施動作以緩解設(shè)計基準(zhǔn)事故的后果。反應(yīng)堆停堆和專設(shè)安全設(shè)施將自動觸發(fā)直到動作完成。按IEEE 603—1991［2］第6.6 和6.7節(jié)的方法，系統(tǒng)的運行旁通和維護(hù)旁通不會影響安全功能的自動觸發(fā)。

反應(yīng)堆保護(hù)系統(tǒng)的確定性也與系統(tǒng)的故障安全模式相關(guān)。10CFR 50 附件A 通用設(shè)計準(zhǔn)則［1］第23條規(guī)定“當(dāng)發(fā)生下列情況，比如系統(tǒng)斷開、失去動力源（如電源、儀表空氣），或出現(xiàn)假設(shè)的惡劣環(huán)境時（如極熱或極冷、火災(zāi)、壓力、蒸汽、水和輻射），反應(yīng)堆保護(hù)系統(tǒng)應(yīng)設(shè)計為故障時進(jìn)入安全狀態(tài)，或故障時進(jìn)入設(shè)計基準(zhǔn)能夠接受的狀態(tài)。”反應(yīng)堆停堆功能設(shè)計為失電觸發(fā)以滿足故障安全要求。專設(shè)安全設(shè)施觸發(fā)功能設(shè)計為得電觸發(fā)以防止安全系統(tǒng)的誤動作。反應(yīng)堆保護(hù)系統(tǒng)的自診斷功能能夠檢測系統(tǒng)部件的故障，出現(xiàn)嚴(yán)重故障（如核心FPGA 或應(yīng)用FPGA 芯片故障）時，自動產(chǎn)生停堆觸發(fā)命令。

反應(yīng)堆保護(hù)系統(tǒng)的確定性也與反應(yīng)堆停堆和專設(shè)安全設(shè)施觸發(fā)功能的邏輯實現(xiàn)有關(guān)。FPGA 中的有限狀態(tài)機將確保功能邏輯執(zhí)行的確定性。

反應(yīng)堆保護(hù)系統(tǒng)的確定性也與通信以及系統(tǒng)的安全顯示相關(guān)。根據(jù)導(dǎo)則DI＆C-ISG-04—2009［13］的要求，系統(tǒng)序列間通信、序列內(nèi)通信以及和非安全系統(tǒng)之間的通信將采用確定的點對點串行通信。此外，反應(yīng)堆保護(hù)系統(tǒng)的安全顯示是確定的，顯示信息將以固定的刷新率周期性地進(jìn)行傳輸和刷新。

2.5 多樣性和縱深防御（D3）

儀控系統(tǒng)采用的數(shù)字計算機技術(shù)引起的影響安全的共模故障是安審機構(gòu)關(guān)注的重點之一。SECY 93-087 ⅡQ—1993［14］指出“共模故障可導(dǎo)致硬件結(jié)構(gòu)的冗余失效，也可導(dǎo)致由數(shù)字儀控系統(tǒng)執(zhí)行的監(jiān)測、控制、反應(yīng)堆保護(hù)、專設(shè)安全功能提供的一道或多道縱深防御屏障的喪失。”導(dǎo)則NUREG 0493A［15］描述了對1 個基于數(shù)字計算機的反應(yīng)堆保護(hù)系統(tǒng)的多樣性和縱深防御分析，分析表明該系統(tǒng)采用縱深防御屏障之間的一定程度的隔離來實現(xiàn)對共因故障的防御（NUREG 0800BTP 7-19［16］）。

反應(yīng)堆保護(hù)系統(tǒng)采用DI＆C-ISG-02—2009［17］和RG 1.152—2011［18］中規(guī)定的方法提供多樣性和縱深防御措施。反應(yīng)堆保護(hù)系統(tǒng)由反應(yīng)堆停堆系統(tǒng)、專設(shè)安全設(shè)施觸發(fā)系統(tǒng)和事故后監(jiān)測系統(tǒng)組成，根據(jù)NUREG 0800BTP 7-19［16］的規(guī)定，這3個系統(tǒng)構(gòu)成了抵御共因故障的3道屏障。此外，基于FPGA 技術(shù)的反應(yīng)堆保護(hù)系統(tǒng)和基于CPU 及軟件技術(shù)的控制系統(tǒng)之間是多樣的。

反應(yīng)堆保護(hù)系統(tǒng)在主控室為停堆和專設(shè)安全設(shè)施的手動觸發(fā)提供了監(jiān)測和控制手段。作為自動停堆的后備，手動停堆信號通過硬接線送至系統(tǒng)設(shè)備驅(qū)動輸出的下游，即送至停堆斷路器控制回路。來自主控室安全盤操作開關(guān)的專設(shè)安全設(shè)施的手動驅(qū)動信號通過硬接線送至符合邏輯子系統(tǒng)。

10CFR 50附件A 通用設(shè)計準(zhǔn)則［1］第22條規(guī)定“設(shè)計技術(shù)，比如功能多樣性、部件多樣性和運行多樣性，應(yīng)盡可能采用以防止保護(hù)功能的喪失?！狈磻?yīng)堆保護(hù)系統(tǒng)采用功能多樣性設(shè)計技術(shù)，對核電廠的每個設(shè)計基準(zhǔn)事故均設(shè)置了2個以上不同的保護(hù)參數(shù)進(jìn)行監(jiān)測和保護(hù)。

2.6 可靠性

反應(yīng)堆保護(hù)系統(tǒng)應(yīng)具有較高的可靠性：1）系統(tǒng)拒動概率應(yīng)小于1.2×10-5；2）引起電廠停機的系統(tǒng)故障概率應(yīng)小于0.002 次／年。反應(yīng)堆保護(hù)系統(tǒng)的定性和定量可靠性分析將提供系統(tǒng)可靠性的分析和證明。

系統(tǒng)的4冗余設(shè)計極大地提高了系統(tǒng)的可靠性，此外，系統(tǒng)部件充分的平均無故障時間（MTBF）也為系統(tǒng)可靠性提供了保障。

2.7 安保性

2001年9月11日發(fā)生在美國紐約的恐怖襲擊事件引起了核安全監(jiān)管機構(gòu)對核電廠安全系統(tǒng)安保問題的關(guān)注。10CFR 73.54［19］的部分條款中要求，電站許可證申請單位應(yīng)確保數(shù)字計算機和通信系統(tǒng)及網(wǎng)絡(luò)免受網(wǎng)絡(luò)攻擊。

RG 1.152—2011［18］規(guī)定反應(yīng)堆保護(hù)系統(tǒng)應(yīng)置于安全的開發(fā)環(huán)境和運行環(huán)境中。反應(yīng)堆保護(hù)系統(tǒng)設(shè)計開發(fā)項目建立了數(shù)字安保計劃，建立了與互聯(lián)網(wǎng)隔離的并受控的集中式信息系統(tǒng)。對該信息系統(tǒng)的訪問設(shè)置了物理和邏輯上的權(quán)限控制。安裝于集中式信息系統(tǒng)上的配置管理系統(tǒng)，以及驗證和確認(rèn)活動可以消除對安全系統(tǒng)軟件的無意的、不需要的和不期望的修改。

根據(jù)IEEE 603—1991［2］第5.9節(jié)的要求，反應(yīng)堆保護(hù)系統(tǒng)將提供行政權(quán)限控制措施，這些措施將包括門鎖、鑰匙開關(guān)以及登陸密碼。

反應(yīng)堆保護(hù)系統(tǒng)和非安全控制系統(tǒng)之間的單向通信保證安全功能不會受到與之連接的非安全控制系統(tǒng)的影響，用戶也無法通過控制系統(tǒng)訪問反應(yīng)堆保護(hù)系統(tǒng)。

當(dāng)可編程邏輯下載燒寫到FPGA 芯片形成FPGA 芯片內(nèi)的硬件電路后，這些硬件電路不會受到數(shù)字攻擊的影響。對FPGA 芯片的修改和訪問需要特殊的工具和接口，當(dāng)系統(tǒng)運行時這些工具和接口會被移除。

2.8 可操作性

雖然反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計可保證設(shè)計基準(zhǔn)事故發(fā)生后72h內(nèi)無需操縱員干預(yù)，但系統(tǒng)也提供了手動操作所需的人機界面資源。反應(yīng)堆保護(hù)系統(tǒng)的人機界面資源包括主控室的安全盤、輔助控制室的非安全盤、主控室的安全顯示界面以及設(shè)備控制機柜內(nèi)的設(shè)備就地操作面板。所有人機界面的設(shè)計均滿足IEEE 1023—2004［20］的要求。

主控室安全盤上的手操開關(guān)提供安全功能的手動觸發(fā)手段，來自手操開關(guān)的手動觸發(fā)信號送入反應(yīng)堆保護(hù)系統(tǒng)的符合邏輯子系統(tǒng)中。主控室安全盤手操開關(guān)的設(shè)計應(yīng)滿足IEEE 603—1991［2］第5節(jié)和第6.2節(jié)的要求。

位于主控室的反應(yīng)堆保護(hù)系統(tǒng)安全顯示也提供軟操界面。系統(tǒng)軟操功能包括對某些可能導(dǎo)致嚴(yán)重后果的安全設(shè)備的部件級手動操作、保護(hù)功能的阻止和復(fù)位操作以及核測信號的校驗功能。主控室安全顯示界面設(shè)計滿足IEEE 603—1991［2］第5.8節(jié)要求，提供的信息顯示滿足RG 1.97—2003［21］和IEEE 497—2002［22］的要求。安全顯示的畫面設(shè)計符合NUREG 700［23］和NUREG 711［24］的要求。

當(dāng)發(fā)生火災(zāi)等事故導(dǎo)致主控室不可居留時，輔助控制室的非安全盤上的手操開關(guān)為操縱員提供了后備的手操手段。來自輔助控制點非安全盤手操開關(guān)的手動觸發(fā)信號經(jīng)光電隔離后送至反應(yīng)堆保護(hù)系統(tǒng)符合邏輯子系統(tǒng)。操縱員在輔助控制點手動操作所需的信息來自非安全顯示界面。主控室的手操開關(guān)和輔助控制點的手操開關(guān)間通過轉(zhuǎn)換開關(guān)進(jìn)行聯(lián)鎖，保證僅有來自一個地方（主控室安全盤或輔助控制點非安全盤）的反應(yīng)堆保護(hù)系統(tǒng)手動操作有效。

反應(yīng)堆保護(hù)系統(tǒng)安全顯示界面也為引起嚴(yán)重后果的安全設(shè)備提供部件級的手動軟操功能，此外所有反應(yīng)堆保護(hù)系統(tǒng)控制的安全級和非安全級設(shè)備均可通過設(shè)備控制模塊的就地操作面板進(jìn)行手動操作。

2.9 兼容性

基于NuPAC平臺的反應(yīng)堆保護(hù)系統(tǒng)的目標(biāo)用戶是CAP系列大型先進(jìn)壓水堆核電廠，因此，反應(yīng)堆保護(hù)系統(tǒng)的設(shè)計應(yīng)和目前及未來的CAP系列核電廠設(shè)計相匹配，反應(yīng)堆保護(hù)系統(tǒng)的性能，如通道精度和通道響應(yīng)時間應(yīng)滿足目前CAP核電廠的要求。

NuPAC 平臺提供足夠的能力，可實現(xiàn)CAP系列核電廠要求的反應(yīng)堆停堆、專設(shè)安全設(shè)施觸發(fā)、事故后監(jiān)測以及維護(hù)和測試等功能。NuPAC平臺也可實現(xiàn)所要求的設(shè)備控制和優(yōu)選控制邏輯功能。NuPAC 平臺能實現(xiàn)復(fù)雜的算法，如超功率ΔT 計算、超溫ΔT 計算，甚至偏離泡核沸騰比計算。NuPAC 平臺為反應(yīng)堆保護(hù)系統(tǒng)提供與其他系統(tǒng)和設(shè)備接口必需的輸入輸出信號接口和通信接口。

基于NuPAC的反應(yīng)堆保護(hù)系統(tǒng)設(shè)備將滿足CAP系列核電廠的土建設(shè)計要求，機柜尺寸、安裝方式以及電纜布線都將和目前以及未來CAP系列核電廠設(shè)計相匹配。

反應(yīng)堆保護(hù)系統(tǒng)設(shè)備供電將和目前及未來CAP系列核電廠供電系統(tǒng)設(shè)計相匹配，系統(tǒng)供電滿足中國電源規(guī)范，系統(tǒng)耗電不超出目前CAP電站供電系統(tǒng)的容量范圍。

基于NuPAC平臺的反應(yīng)堆保護(hù)系統(tǒng)也可用于已建核電廠的現(xiàn)代化升級改造。輸入輸出信號接口可覆蓋已建核電廠的儀控系統(tǒng)接口類型。系統(tǒng)耗電小于模擬式系統(tǒng)，因而可滿足已建核電廠供電系統(tǒng)的容量要求。

基于NuPAC平臺的反應(yīng)堆保護(hù)系統(tǒng)滿足相關(guān)環(huán)保要求。反應(yīng)堆保護(hù)系統(tǒng)設(shè)備將通過中國CCC 認(rèn)證以防止設(shè)備對人員的人身傷害。反應(yīng)堆保護(hù)系統(tǒng)設(shè)備滿足除鉛之外的其他RoHS要求，鉛的使用僅限于印刷電路板的插針以及焊錫中，并嚴(yán)格限制使用量。廢棄電路板將根據(jù)政府環(huán)保要求進(jìn)行統(tǒng)一收集和處理。

2.10 性能

10CFR 50.36［25］規(guī)定必須確定安全儀表的保護(hù)定值，以確保自動保護(hù)功能能有效保護(hù)核電廠在安全限值范圍內(nèi)運行。根據(jù)RG 1.105—1999［26］和 其 背 書 的ISA 67.04—1994［27］規(guī)定，保護(hù)定值的計算應(yīng)考慮安全儀表通道的所有誤差，其中包括計算機系統(tǒng)信號輸入卡件的測量誤差。

根據(jù)RG 1.105—1999［26］和ISA 67.04—1994［27］，儀表通道的誤差來自測量儀表以及電子測量電路的線性度、磁滯回環(huán)、死區(qū)和可重復(fù)度。儀表誤差不在本文范圍之內(nèi)，但反應(yīng)堆保護(hù)系統(tǒng)的電子測量電路應(yīng)具有良好的精度以盡可能減小儀表通道的測量誤差，并滿足CAP系列核電廠的精度要求?；贜uPAC的反應(yīng)堆保護(hù)系統(tǒng)提供穩(wěn)定的測量精度，電壓和頻率波動不會影響精度。此外，在4～60 ℃范圍內(nèi)及考慮6、12、18和30個月時間漂移的影響情況下，系統(tǒng)輸入卡件仍能滿足基本的精度要求。

IEEE 603—1991［2］第4.10 節(jié)規(guī)定“設(shè) 計基準(zhǔn)事故開始后的關(guān)鍵時間點和電廠條件”應(yīng)作為反應(yīng)堆保護(hù)系統(tǒng)需滿足的設(shè)計基準(zhǔn)，因此，反應(yīng)堆保護(hù)系統(tǒng)的響應(yīng)時間，即從保護(hù)參數(shù)超出定值，到執(zhí)行機構(gòu)的觸發(fā)所經(jīng)歷的時間，應(yīng)滿足上述規(guī)定的設(shè)計基準(zhǔn)的要求。反應(yīng)堆保護(hù)系統(tǒng)的結(jié)構(gòu)應(yīng)保證系統(tǒng)響應(yīng)時間滿足CAP 系列核電廠響應(yīng)時間要求。此外，由于FPGA 硬件電路的并行執(zhí)行的特點，基于NuPAC 的反應(yīng)堆保護(hù)系統(tǒng)的響應(yīng)時間將優(yōu)于基于CPU 和軟件技術(shù)的系統(tǒng)。

2.11 可維護(hù)性

10CFR 50［1］附 件A 通 用 設(shè) 計 準(zhǔn) 則 第21條規(guī)定“反應(yīng)堆保護(hù)系統(tǒng)應(yīng)能在反應(yīng)堆運行時進(jìn)行功能的定期測試，包括對通道的獨立測試以確定故障，以及可能發(fā)生的系統(tǒng)冗余的喪失?！盜EEE 603—1991［2］第5.7節(jié)也規(guī)定“應(yīng)提供安全系統(tǒng)設(shè)備的定期測試和校驗功能，同時保持執(zhí)行相關(guān)安全功能的能力。”

反應(yīng)堆保護(hù)系統(tǒng)的自診斷功能能探測大部分系統(tǒng)部件的可檢測故障，通過4序列之間的比較也可檢測序列故障。系統(tǒng)和部件自診斷功能不能覆蓋的故障將通過定期測試來檢測，定期測試由序列內(nèi)的維護(hù)測試子系統(tǒng)實現(xiàn)。維護(hù)測試子系統(tǒng)可對相應(yīng)序列進(jìn)行維護(hù)和測試，其中包括IEEE 338—1987［28］規(guī)定的功能測試、精度測試和響應(yīng)時間測試。系統(tǒng)的4冗余設(shè)計使得在對單個序列進(jìn)行維護(hù)測試時，其他3個序列仍能有效地執(zhí)行所需的安全功能。

根 據(jù)IEEE 603—1991［2］第5.10 節(jié) 的 要求，反應(yīng)堆保護(hù)系統(tǒng)設(shè)備和部件應(yīng)便于維護(hù)和替換。系統(tǒng)卡件可進(jìn)行熱插拔，卡件替換也無需特殊工具。此外卡件的維護(hù)、測試和替換無需斷開或改變電纜接線。

根 據(jù)IEEE 603—1991［2］第5.11 節(jié) 的 要求，反應(yīng)堆保護(hù)系統(tǒng)設(shè)備應(yīng)進(jìn)行清晰的標(biāo)識以便于電廠運行人員識別系統(tǒng)設(shè)備。此外LED指示也為運行人員識別故障部件提供了方便。

2.12 設(shè)計裕量和可持續(xù)性

反應(yīng)堆保護(hù)系統(tǒng)為今后系統(tǒng)擴(kuò)展和升級提供足夠的設(shè)計裕量，系統(tǒng)具有至少15%的輸入輸出裕量；FPGA 資源占用率不超過95%；設(shè)備機柜占用的設(shè)備廠房空間也為今后增加機柜留出了裕量。由于NuPAC 分散式的結(jié)構(gòu)特性，如果不是安裝空間和供電容量的限制，基于NuPAC的反應(yīng)堆保護(hù)系統(tǒng)可無限擴(kuò)展。

相比CPU 技術(shù)而言，F(xiàn)PGA 技術(shù)具有更好的可移植性，芯片的升級換代不會引起系統(tǒng)硬件和軟件的重大變更。此外，F(xiàn)PGA 芯片具有更長的使用壽命。盡管如此，在系統(tǒng)設(shè)計開發(fā)過程中，也會建立反應(yīng)堆保護(hù)系統(tǒng)主要部件的升級管理計劃以及技術(shù)更新計劃，以為用戶提供長期的支持和備品備件服務(wù)保證。

2.13 靈活性

與集中式的分散控制系統(tǒng)或可編程邏輯控制器相比，NuPAC 平臺具有分散式系統(tǒng)結(jié)構(gòu)（圖1）。每塊通用邏輯模塊均具備輸入輸出和處理功能。每塊卡件均可任意配置不同的I／O子卡，從而執(zhí)行不同的功能；由最多18塊通用邏輯模塊構(gòu)成的機箱可執(zhí)行更復(fù)雜的功能；機箱間可通過數(shù)據(jù)通信連接，形成更大的系統(tǒng)?；贜uPAC平臺的反應(yīng)堆保護(hù)系統(tǒng)可獲得更大的靈活性和可擴(kuò)展性。

2.14 經(jīng)濟(jì)性

NuPAC平臺采用標(biāo)準(zhǔn)化模塊設(shè)計，最大程度地減少卡件種類，從而降低核電廠的維護(hù)成本。此外，由于FPGA 技術(shù)良好的移植性，原有的開發(fā)好的可編程邏輯可移植到升級后的FPGA 芯片中，從而最大程度節(jié)約了核電廠在升級改造中需重新投入的軟件開發(fā)成本。

此外，在設(shè)計開發(fā)過程中將建立供應(yīng)鏈管理計劃，以最大程度降低生產(chǎn)成本，因而降低核電廠備品備件的成本。

圖1 NuPAC平臺結(jié)構(gòu)Fig.1 Architecture of NuPAC platform

3 結(jié)論

關(guān)鍵特性是反應(yīng)堆保護(hù)系統(tǒng)為了滿足法規(guī)標(biāo)準(zhǔn)要求和用戶需求所需具備的最重要的設(shè)計特征。關(guān)鍵特性的分析和識別經(jīng)過了頭腦風(fēng)暴、源數(shù)據(jù)分析及相關(guān)性分析過程。

在相關(guān)性分析中，每個關(guān)鍵特性均與有關(guān)的法規(guī)和標(biāo)準(zhǔn)相關(guān)聯(lián)。關(guān)鍵特性分析是反應(yīng)堆保護(hù)系統(tǒng)需求分析的第1步，關(guān)鍵特性及其相關(guān)性分析為下一步的需求分析提供了基礎(chǔ)性的指導(dǎo)。系統(tǒng)需求將在關(guān)鍵特性分析基礎(chǔ)上進(jìn)行擴(kuò)展和細(xì)化，保證系統(tǒng)設(shè)計滿足關(guān)鍵特性要求，也滿足有關(guān)法規(guī)和標(biāo)準(zhǔn)的要求。

［1］ NRC.10CFR 50 Domestic licensing of production and utilization facilities，Appendix A：General design criteria for nuclear power plants［S］.USA：NRC，2007.

［2］ IEEE.IEEE 603—1991 IEEE standard criteria for safety systems for nuclear power generating stations［S］.USA：IEEE，1991.

［3］ IEEE.IEEE 379—2003 IEEE standard application of the single-failure criterion to nuclear power generating station safety systems［S］.USA：IEEE，2000.

［4］ IEEE.IEEE 384—1992 IEEE standard criteria for independence of class 1eequipment and circuits［S］.USA：IEEE，1992.

［5］ IEEE.IEEE 7-4.3.2—2003 IEEE standard criteria for digital computers in safety systems of nuclear power generating stations［S］.USA：IEEE，2003.

［6］ IEEE.IEEE 352—1987 IEEE guide for general principles of reliability analysis of nuclear power generating station safety systems［S］.USA：IEEE，1987.

［7］ IEEE.IEEE 344—2004 IEEE recommended practice for seismic qualification of class 1eequipment for nuclear power generating stations［S］.USA：IEEE，2004.

［8］ IEEE.IEEE 1050—1996 IEEE guide for instrumentation and control equipment grounding in generating stations［S］.USA：IEEE，1996.

［9］ NRC.10CFR 50 Domestic licensing of production and utilization facilities，Appendix B：Quality assurance criteria for nuclear power plants and fuel reprocessing plants［S］.USA：NRC，2007.

［10］中國核安全局.HAF 003 核電廠質(zhì)量保證安全規(guī)定［S］.北京：中國核安全局，1991.

［11］IEEE.IEEE 1012—1998 Standard for software verification and validation［S］. USA：IEEE，1998.

［12］TOROK R C.EPRI TR 106439—1996 Guideline on evaluation and acceptance of commercial grade digital equipment for nuclear safety applications［S］.USA：Electric Power Research Institute，1996.

［13］NRC.DI＆C-ISG-04—2009 Highly-integrated control rooms：Communications issues（HICRc）［S］.USA：NRC，2009.

［14］NRC.SECY 93-087ⅡQ—1993 Policy，technical，and licensing issues pertaining to evolutionary and advanced light-water reactor（ALWR）designs（Item ⅡQ）［S］.USA：NRC，1993.

［15］NRC.NUREG 0493A Defense-in-depth and diversity assessment of the RESAR-414integrated protection system［S］.USA：NRC，1979.

［16］NRC.NUREG 0800 BTP 7-19 Guidance for evaluation of diversity and defense-in-depth in digital computer-based instrumentation and control systems［S］.USA：NRC，2007.

［17］NRC.DI＆C-ISG-02—2009 Diversity and de-fense-in-depth interim staff guidance［S］.USA：NRC，2009.

［18］NRC.RG 1.152—2011 Criteria for digital computers in safety systems of nuclear power plants［S］.USA：NRC，2011.

［19］NRC.10CFR 73.54 Protection of digital computer and communication systems and networks［S］.USA：NRC，2009.

［20］IEEE.IEEE 1023—2004 IEEE recommended practice for the application of human factors engineering to systems，equipment，and facilities of nuclear power generating stations and other nuclear facilities［S］.USA：IEEE，2004.

［21］NRC.RG 1.97—2003 Demonstrating control room envelope integrity at nuclear power reactors［S］.USA：NRC，2003.

［22］IEEE.IEEE 497—2002 IEEE standard criteria for accident monitoring instrumentation for nuclear power generating stations［S］. USA：IEEE，2002.

［23］NRC.NUREG 700 Human-system interface design review guidelines［S］.USA：NRC，2002.

［24］NRC.NUREG 711 Human factors engineering program review model［S］.USA：NRC，2004.

［25］NRC.10CFR 50.36 Domestic licensing of production and utilization facilities-technical specifications［S］.USA：NRC，2008.

［26］NRC.RG 1.105—1999 Setpoints for safety-related instrumentation［S］.USA：NRC，1999.

［27］Instrument Society of America.ISA 67.04—1994 Setpoints for nuclear safety-related instrumentation［S］. USA：Instrument Society of America，1994.

［28］IEEE.IEEE 338—1987 IEEE standard criteria for the periodic surveillance testing of nuclear power generating station safety［S］. USA：IEEE，1987.