基于NUREG/CR-7007的多樣性量化研究

徐 智

（1.蘇州熱工研究院有限公司，蘇州 215004；2.中廣核工程設計有限公司，上海 200241）

隨著電子信息科技的高速發展，越來越多的核電廠部署了或通過升級的方式應用了數字化儀控（DI&C）系統。相對于早期的模擬系統，DI&C系統的安全性、可靠性以及可維護性等有明顯優勢，但DI&C系統存在軟件等共因故障（CCF）導致保護系統失效的可能性[1]，而且一般的冗余設計也無法解決該問題。因此，美國核管會（NRC）要求核電廠采取必要的保護措施來應對CCF，防止核電廠運行對公眾的健康和安全造成不利影響。業界公認應對CCF的措施為提高系統總體的多樣性。NRC發布諸如NUREG/CR 6303和NUREG-0800的BTP7-19等一系列指導文件，給出對數字化反應堆保護系統進行多樣性及縱深防御D3（diversity and defense in depth）分析的方法[2-3]。但NUREG/CR 6303的分析結果存在較多的不確定性，難以確保所采用的措施能應對CCF。為此，NRC基于美國橡樹嶺國家實驗室研究成果，發布了NUREG/CR-7007，用于解決“如果保護系統需要采用多樣性措施來應對CCF，什么樣的多樣性是足夠的？”的難題[4]。

NUREG/CR-7007方法源于基于軟件的計算機系統的評估，但越來越多非軟件的數字化系統已經應用或將要應用于核電廠，但目前并沒有相應的專門評估手段。如何利用已有方法來進行非軟件系統的多樣性量化評估、在系統設計前期的應用以及應用中存在的問題是本文的研究重點。

1 NUREG/CR-7007評價方法

核電廠特有的核安全目標，要求核電廠數字化控制（包括保護）系統必須能在預期瞬態工況、設計基準事故等工況下完成所需的功能，直接導致了對核電廠儀表與控制技術非常高的可靠性需求。常見的冗余設計可以顯著提高系統的可靠性，但共因故障可輕易破壞冗余設計的有效性。由一個特定事件或原因引起若干裝置或部件不能執行其功能的故障被稱為共因故障。這些事件可能來自外界環境，也可能是設計本身的缺陷所造成。表1[5]給出了CCF主要原因和對應的防御措施。

表1 共因故障原因及其防御措施Tab.1 Reasons of CCF and protection measures

目前應用于核電廠的數字化儀控系統普遍是基于軟件的計算機系統。共因故障（CCF）的重要可信來源是基于CPU的軟件設計錯誤，且無法證明軟件設計是完全無故障的，已成為核電領域，包括計算機界的共識。即使實施了表1中常見的、作為重要而有效的軟件質量控制措施的獨立驗證和確認（IV&V），任何組織、任何機構和個人都不可能通過V&V過程100%的排除軟件錯誤[6]。為了應對軟件的CCF，采用多樣性保護系統成為一種有效的應對措施。采用不同的方法或手段達到特定的目的是多樣性措施的核心目標[7]。在儀控系統中使用不同的傳感器輸入、不同的觸發方式、不同的邏輯和算法、不同的技術等幾種方式或組合來達到所需功能是提高多樣性的重要手段。文獻[2]指出多樣性由設計多樣性、軟件多樣性、功能多樣性、信號多樣性、人員多樣性、設備多樣性構成。

基于監管當局的要求，眾多核電廠根據NUREG/CR 6303進行了縱深防御及多樣性（D3）評估。但NRC認為這些基于NUREG/CR 6303的分析，除了個別屬性外，存在較大的不確定性，因而也難以確保分析的措施能夠應對CCF[4]。為此，美國橡樹嶺國家實驗室對航天、航空、軌道運輸、化工等非核工業界及世界范圍的核電廠進行廣泛調研，采用統計分析方法，給出了定量多樣性程度的方法和指標，這就是意在解決“如果安全系統需要采用多樣性措施來應對CCF，什么樣的多樣性是足夠的？”問題的NUREG/CR-7007。

NUREG/CR-7007在NUREG/CR 6303的基礎上發布了多樣性的7大屬性25條準則/措施，如表2所示[8]。根據每一多樣性屬性中的各個措施對于多樣性的貢獻，為每一措施賦予各自的DCE（diversity criterion effectiveness）權重。再根據從全球范圍的航天、航空、軌道運輸等非核行業及核行業大量的多樣性實際應用的情況，經過適當的處理和分析，給出每一多樣性屬性的DAE（diversity attribute effectiveness）權重。在此基礎上可進行具體案例的多樣性定量計算。NRC認為只有多樣性歸一化計算值大于1，多樣性要求才得到認可。基于NUREG/CR-7007的多樣性量化方法的計算公式[8]為

表2 多樣性屬性及準則Tab.2 Diversity attributes and criteria

式中：A為系統的多樣性量化目標值；xij為取決于表2中的7個多樣性屬性的第i多樣性屬性中的第j個措施的存在與否，如存在該措施則xij=1，若未采用此措施則xij=0；wi為第i多樣性屬性的 DAE權重；wij為第i多樣性屬性中的第j個措施的DCE權重；c 為歸一化基準常數；i∈I=｛1，2，3，4，5，6，7｝；j∈J=｛1，2，3，4｝；xij∈X=｛0，1｝。

2 應用實例及分析

數字化儀控系統的多樣性問題已經得到高度的關注。但文獻 [1，5-7]等均未采用NUREG/CR-7007來進行多樣性的量化研究。本文基于最新的研究成果，揭示量化多樣性工作的挑戰，并給出方法修正的預測。

2.1 常見應用

文獻[4]給出了多個一般系統多樣性量化評價的例子，本文不再贅述。

2.2 基于非軟件系統/部件的應用

由于軟件的復雜性及驗證難度，越來越多的非軟件的系統/部件已經或將要應用于核電廠儀控系統。FPGA就是一種優越的非軟件技術，已經應用于第三代非能動安全核電廠的儀控系統[8]。基于FPGA開發的1E級平臺已經通過NRC認證[9]，或正在進行NRC的安全認證[10]。

文獻[8]基于公開披露的信息，采用NUREG/CR-7007的標準方法和參數，獨立進行第三代非能動安全核電廠的儀控系統CIM及DAS兩大關鍵部分的多樣性量化研究。表3為各措施的量化值。

計算得出A=1.015，略大于NUREG/CR-7007中規定的最低限值1。基于多樣性量化值裕度較小的狀況，提出了部件設計生產等階段應給予高度關注及嚴格監管的意見。這也符合NRC的監管實際情況[11-12]。同時，靈敏度分析表明，在不改變供應商的大前提下，提高“同一公司內的不同的管理團隊”的可行措施能顯著地提高多樣性量化值至1.114。

表3 CIM/DAS的多樣性屬性Tab.3 Diversity attributes of CIM/DAS

基于FPGA技術的安全級平臺ALS已經應用于核電廠老舊安全系統的部分替換工程[13-14]。由于實際替換工程的范圍較小和簡單，并沒有完整的多樣性量化報告。文獻[15-16]基于ALS的特性，設計了保護與監測系統的完整方案，并對其進行了多樣性量化研究。基于NUREG/CR-7007的標準系數計算所得的多樣性量化值為0.972，略微小于可接受值1。但基于保守的將邏輯處理設備多樣性的4個措施均置為0的計算以及對NUREG/CR-7007中對應措施的類比測算，提出了可不設多樣性驅動系統的初步結論。

2.3 高級應用

無論是一般應用，還是上述基于非軟件系統/部件的應用，均是一種設計后驗工作，即對已有的設計方案進行多樣性量化評估。文獻[17]在NUREG/CR-7007基礎上建立了數學模型，采用0-1線性規劃算法，在給定各措施代價的前提下，解決了“代價最小的且有足夠多樣性的系統是什么？”的問題。文獻同時指出，在實際應用時，即使不能準確給出各措施代價值，該模型也能在設計前就確保最終設計的多樣性量化值不低于要求值，避免設計可能不滿足多樣性量化要求的風險，同時避免設計時采用過多的多樣性措施導致實現代價過大的問題。仿真算例表明了該方法是高效可行的。同時揭示了整個系統多樣性量化設計的一些規律，為系統的多樣性優化設計提供參考。

2.4 問題及解決辦法

NUREG/CR-7007的量化方法源自于統計數據的分析，其算法本身是工程實際的經驗總結。在實際的多樣性量化分析中，根據分析對象，依照表2的判據項，給式（1）所有的對應變量取1或0后，計算A值并與1比較即可。文獻[4]要求首先要判別方案所對應的類別，其本意在于可以自動對某些值進行賦值和/或約束，如“不同的技術”與“相同技術不同方法”不能同時存在；又如只要是“不同的技術”則“不同的架構”就會必然存在，即存在固有（inherent diversity）關系。但該方法不但人為增加類別判定的工作量，同時給保護系統本身的多樣性量化工作帶來麻煩。經驗表明如果不先進行類別判定，在進行措施的賦值后必須依據文獻[4]的相關表進行校核，避免出現有悖于文獻中給定關系的情況。文獻[17]已經為多樣性措施的“互斥”關系及“互鎖”關系建立數學模型，可自動檢測這些內在關系，從而省去這項分類工作。

NUREG/CR-7007明確指出C類方案邏輯處理設備多樣性的“不同的數據流架構”措施對多樣性的貢獻不大，應不采用。但在實際的量化工作中，當評估對象的數據流架構確實不同時，應該考慮該多樣性。文獻[8]指出如果考慮CIM和DAS的總線結構的差異，則修正后的A為1.038，確實沒有顯著地影響多樣性量化值。多樣性量化工作經驗表明對于某些賦值有歧義或模糊的措施，可以通過靈敏度分析，最后取較為保守的量化值。

文獻[9]在對ALS平臺本身進行多樣性量化分析時指出，由于NUREG/CR-7007量化方法中的“邏輯處理設備多樣性”屬性是基于微處理器架構系統多樣性屬性，對于像基于FPGA的ALS平臺來說，其相應的措施值應保守地取0。但這必將帶來過于保守的結論。正如文獻[14]的研究，即使最大程度采用其他有利于多樣性的措施，其多樣性量化值也偏低。同時如果統一將該屬性設定為0，則其他方案的多樣性量化值均會有顯著的降低。隨著基于非軟件系統的大量引進，對文獻[4]的多樣性量化方法進行修正勢在必行。可能的修正方案為對該屬性對應的措施進行條件限定，如補充相應的賦值準則，而不是將非CPU方案對應措施項強制要求設為0。

3 結語

本文給出基于NUREG/CR-7007的非計算機架構的儀控系統多樣性量化的幾個實例，并給出基于該方法而開發的可用于設計前期進行多樣性量化評估方法，指出了多樣性量化評估的潛在問題和解決方法，提出了應對非軟件技術數字化系統的可行修正辦法。這些工作對于自主進行核電廠數字化儀控系統，特別是基于非軟件技術數字化系統的多樣性量化評估工作有積極的參考價值。

[1]闞睿，姜群興，陳文浩.核電廠數字化儀控系統縱深防御和多樣性研究[J].工業控制計算機，2014，27（1）：19-20.

[2]US NRC.NUREG/CR-6303 method for performing diversity and defense-in-depth analyses of reactor protection systems[S]，1994.

[3]US NRC.BTP7-19 guidance for evaluation of diversity and defense-in-depth in digitalcomputer-based instrumentation and control system[S]，2007．

[4]US NRC.NUREG/CR-7007 diversity strategies for nuclear power plant instrumentation and control systems[S]，2009.

[5]鄭偉智，李相建，朱毅明，等.核電站反應堆保護系統防共因故障設計研究[J].自動化儀表，2012，33（2）：47-50.

[6]陳銀杰，張春雷，齊敏，等.FPGA技術在核電站多樣性系統中的應用技術研究[J].自動化儀表，2014，35（2）：46-57.

[7]毛從吉，母琦.從安全審評角度看核電站數字化儀控設計[J].自動化儀表，2012，33（7）：39-48.

[8]徐智，雷晴，陳冬雷.CIM和DAS多樣性的定量分析[J].自動化儀表，2014，35（S1）：73-76.

[9]NRC U S.Nuclear regulatory commission safety evaluation for topicalreport6002-00301 “Advanced LogicSystem Topical Report”[R].Rock ville：NRC，2013.

[10]曾海.基于NuPAC的核電廠反應堆保護系統關鍵特性分析[J].原子能科學技術，2014，48（3）：492-499.

[11]Bill R，Royce B，Deanna Z，et.al.Audit report for lifecycle phases one and two documentation validation related to protection and safety monitoring system and diverse actuation system for the ap1000 design certification amendment application[R].Rock Ville：NRC，2010.

[12]Bill R，Jack Y，Ken D，et al.Audit report for review of proprietary technical，procedural，and process information related to the component interface module and diverse actuation systems for the westinghouse ap1000 design certification amendment application[R].Rock Ville：NRC，2010.

[13]NRC.Wolf creek nuclear operating corporation-amendment to renewed facility operating license[R].NRC，Washington DC，2009.

[14]Diablo Canyon Power Plant.Supplement to license amendment request11-07.Processprotection system replacement[R].Avila Beach，CA，2013.

[15]徐智，雷晴.新型邏輯系統平臺的保護與監測系統數據通信設計[J].核電子學與探測技術，2015，35（5）：462-467.

[16]徐智.基于先進邏輯系統平臺的保護與監測系統的D3分析[J].自動化儀表，2016，37（2）：22-29.

[17]徐智，丁丁，張瑜.基于NUREG/CR-7007的DAS系統優化設計[J].原子能科學技術，2016，50（1）：156-163.