核電廠控制系統軟件共因故障應對及評價

余 毅，張 敬，孫興見

（生態環境部華北核與輻射安全監督站，北京 100082）

近年來，數字化儀控系統在我國核電廠中得到廣泛應用［1］。這些數字化儀控系統將核電廠各種控制功能集中于通用的計算機系統平臺，并主要以軟件指令的形式來實現。軟件帶來的潛在核安全問題越來越受到關注。

2016年，國家核安全局修訂發布了新版《核動力廠設計安全規定》［2］（HAF 102—2016），該《規定》首次從法規層面明確了必須考慮由軟件引起的共因故障。

1 核電廠數字化儀控系統縱深防御設計審評要求

1.1 我國核安全審評要求

核電廠儀控系統為核電廠在所有正常、異常和事故工況下的可靠運行提供了各種控制和保護手段及監控信息，同時其系統結構設計還應滿足核安全審評相關要求。

HAF 102—2016要求設計必須體現縱深防御原則，相關的儀控導則IAEA SSG 39［3］要求儀控系統建立自身的縱深防御體系。結合核安全審評的內容和關注方面［4，5］，核電廠數字化儀控系統應劃分為控制系統、反應堆緊急停堆系統、專設安全設施驅動系統、手動控制和顯示系統。這些系統為核電廠縱深防御各層次的工藝系統提供了相應的監測和控制手段，并且被設置成多樣化的，以保障在反應堆緊急停堆系統及部分專設安全設施驅動系統發生共因故障情況下，反應堆自動保護功能的執行，且不受控制系統不安全動作的影響。儀控系統結構要求如圖1所示，其中ATWS，為未能緊急停堆預期瞬態系統（anticipat?ed transients without trip system,簡稱ATWS）。

圖1 核電廠數字化儀控系統結構要求Fig.1 Structural requirements for digital instrumentation and control（DI&C）systems of nuclear power plant（NPP）

同時，為了確保相關縱深防御和多樣性設計的有效性，核電廠還需要在初步安全分析階段提出縱深防御和多樣性的要求，并在詳細設計中掌握擬采用的數字化設備的安全特性，在最終安全分析階段對所有的數字化儀控系統設備縱深防御和多樣性設計進行分析、評價（de?fense-in-depth and diversity assessment,簡稱D3評價）。

1.2 美國核管會新版NUREG 0800 BTP 7-19主要觀點

美國核管會組織對核電廠儀控系統軟件共因故障可能導致的潛在安全風險進行了長期研究，并形成了一套核電廠數字化儀控系統縱深防御和多樣性設計審評的方法和要求，相關文件及主要內容見表1。

表1 美國核管會核電廠數字化儀控系統縱深防御和多樣性相關監管文件Table 1 Regulatory documents related to defense-in-depth and diversity（D3）of DI&C systems of NPP of the U.S.Nuclear Regulatory Commission

2021年，美國核管會正式發布了NUREG 0800 BTP 7-19第8版［6］，納入了SECY-18-0090［7］中基于數字化儀控系統安全重要性分級評價的要求，提出了相應的安全重要性分級原則，并進一步明確了需要進行D3評價的數字化儀控系統設備的范圍，以及不需要進行D3評價的情況及其替代評價方法。

2 核電廠數字化儀控系統縱深防御設計關注的問題

2.1 “華龍一號”關注問題

以“華龍一號”的設計為例［8，9］，核電廠數字化儀控系統按照提供的功能，一般可以分為保護和安全監測系統、核電廠控制系統、嚴重事故儀控系統和主控室系統等。其中保護和安全監測系統執行安全要求相關功能，如緊急停堆和專設安全設施驅動等，屬于安全級設備；核電廠控制系統執行正常運行相關功能，如反應堆功率調節、穩壓器壓力控制、蒸汽發生器水位控制和蒸汽排放控制等，屬于非安全級設備。

根據“華龍一號”數字化儀控系統設計方案［8］，其縱深防御和多樣性各層次見表2。

表2 “華龍一號”儀控系統縱深防御和多樣性各層次Table 2 Echelons of defense of the DI&C systems of the Hualong One

從多樣化儀控系統的設置來看，“華龍一號”數字化儀控系統設計方案主要考慮了安全級儀控系統軟件共因故障的情況，例如通過設置多樣化保護系統和緊急操作盤等，來應對可能的預期運行事件或假想事故與反應堆保護系統軟件共因故障同時發生所帶來的影響。

對于核電廠控制系統等安全影響重要性較低儀控系統的軟件共因故障，由于相關法規要求較為籠統，缺少相關的設計準則和接受準則，“華龍一號”數字化儀控系統設計方案中未體現出具體針對性措施，而是將其作為后續需要關注的問題［8］。

2.2 相關運行事件分析

從對核電廠相關運行事件的分析來看［1,10］，經過相對嚴格的驗證和確認后的數字化儀控系統，包括安全級儀控系統設備，在核電現場調試運行中仍暴露了設計不周和軟件程序缺陷等問題。對于非安全級數字化儀控系統，相關的絕大部分事件雖然沒有對安全功能產生直接影響，但部分事件引入了不必要的瞬態，不利于機組安全運行，個別事件中甚至出現了燃料組件被拉彎的非預期情況。

3 核電廠控制系統軟件共因故障的應對及評價

筆者根據HAF 102—2016的總體要求，借鑒美國核管會BTP 7-19中的主要觀點，對核電廠控制系統軟件共因故障應對策略進行了分析，并提出了相應的評價方法和準則。

3.1 應對策略

3.1.1 安全目標分析

根據核安全審評相關要求，我們應對安全分析報告中各類設計工況疊加反應堆保護系統軟件共因故障失效進行D3評價。安全目標為廠址環境劑量釋放不超過設計要求的10%，且反應堆冷卻劑壓力邊界和安全殼的完整性不受破壞。

BTP 7-19中對核電廠控制系統等安全影響重要性較低儀控系統軟件共因故障的安全目標為：相關故障不會對安全功能產生不利影響，且不會將電廠置于無法合理緩解的工況下。如果滿足上述要求，則無需進行D3評價。

3.1.2 安全分級的應用

HAF 102—2016要求“必須識別所有安全重要物項，并根據其功能和安全重要性對其進行分級”，這對核電廠儀控系統軟件共因故障的應對及評價也是適用的，但現有的分級可能并不能完全適用。

例如：參考“華龍一號”的設計，核電廠儀控系統設備被分為安全級（1E）、非安全級（NC）和有特殊要求的非安全級（NC+），同為安全級的緊急停堆系統和控制室空調系統，但對安全影響的重要性差別較大；定義為非安全級的核電廠控制系統，在部分核電廠運行事件中也可能會對安全運行造成影響，在個別案例中甚至導致了非預期的情況；有特殊要求的非安全級則大部分是抗震等級要求，軟件共因故障并不適用。

因此，鑒于儀控系統設備對安全影響的重要程度不同，有必要在原有的安全級和非安全級基礎上作進一步劃分。

3.1.3 評價方法和準則的選擇

根據分級分類管理的理念，我們應根據對安全影響的重要程度確定評價方法和準則。安全影響重要性較低的儀控系統設備的評價方法和準則的確定，應考慮更多選擇，包括在縱深防御概念的應用、采用定性評價或是定量評價以及失效后果的評價等方面。

3.1.4 評價流程建議

根據上述應對策略，安全重要性較低的儀控系統軟件共因故障評價主要步驟及建議流程如圖2所示。

圖2 核電廠安全重要性較低的儀控系統軟件共因故障評價流程Fig.2 Evaluation process of the common-cause failure（CCF）caused by software of the lower safety significance DI&C in NPP

3.2 安全分類

核電廠數字化儀控系統的安全分類，在安全級和非安全級基礎上，參考BTP 7-19對儀控系統縱深防御和核安全影響重要程度的要求，劃分為四類，并對應不同的軟件共因故障評價方式，見表3。

表3 軟件共因故障評價安全分類Table 3 Safety classification of the evaluation of the CCF caused by software

3.2.1 對安全有重要影響

A1類屬于安全級儀控系統，且至少滿足下面三個條件之一：

（1）從觸發到完成相關控制功能，將電廠參數保持在設計基準要求的可接受范圍內，或者使核電廠達到初始安全停堆狀態后并保持安全狀態。

（2）如果沒有其他自動系統提供安全功能，或沒有預先計劃的手動操作已被驗證提供安全功能，則其故障可能直接導致事故條件，可能產生不可接受的后果（例如超過設計基準規定的劑量）。

（3）在安全分析報告中，其他被認為對安全有重要影響的功能。

對安全有重要影響的儀控系統設備，必須對其縱深防御設計進行D3評價。

3.2.2 安全影響重要性較低

A2類屬于安全級儀控系統，在實現或保障電廠核安全方面提供輔助或間接功能。

B1類不屬于安全級儀控系統，但至少滿足下面兩個條件之一：

（1）直接影響反應堆的反應性或功率水平，或影響安全屏障（燃料包殼、反應堆壓力容器或安全殼）的完整性。

（2）由于將多個控制功能集成到一個系統中，其故障可能會對電廠安全造成不可接受的后果。

對安全影響重要性較低的A2類和B1類儀控系統設備，可采用定性評價的方式來替代D3評價中的定量分析，并且可以用失效后果評價來替代D3評價的驗收準則。

3.2.3 安全影響重要性極低

B2類不屬于安全級儀控系統，且至少滿足下面兩個條件之一：

（1）對反應性或反應堆功率水平沒有直接影響。

（2）其故障不會對電廠安全造成影響，或其故障可以被其他系統檢測和合理緩解。

對安全影響重要性極低的儀控系統設備的縱深防御設計及評價沒有要求。

3.3 定性評價

參考BTP 7-19中相關要求，安全影響重要性較低數字化儀控系統設備的定性評價需要考慮三方面因素：設計屬性和特征、設計過程的質量和運行經驗，以證明其發生共因故障可能性足夠低，即低于核電廠安全分析中其他需要考慮的假設始發事件的發生概率。

（1）設計屬性

設計屬性可以防止或限制故障的發生。設計屬性主要指儀控系統內置功能，如內部冗余設計、故障檢測和監視及自診斷功能等。同時，也可以考慮儀控系統自身之外的設計，例如：閥門或泵轉速控制中使用的機械鎖止裝置。

多樣性也是設計屬性的一個方面，核電廠可以使用該屬性來證明：數字化儀控系統已經受到多樣化手段保護，不會因潛在的軟件共因失效而喪失設計功能。

（2）設計過程質量

設計過程包括軟件開發、硬件和軟件集成過程、系統設計以及驗證和確認過程。設計過程質量標準區別于質量保證大綱或程序。質量標準是指描述設計中規定要達到的技術標準，并且應是經監管部門和行業都認可的導則標準文件。例如：《核動力廠基于計算機的安全重要系統軟件》（HAD 102/16）［11］、美國核管會導則《核電廠安全系統中使用的數字計算機軟件開發軟件生命周期過程》（RG 1.173）［12］等。

（3）運行經驗

相關操作經驗也可以用于證明和評價擬使用的數字化儀控系統設備具有足夠的可靠性。評價時應注意實際所使用的數字化儀控系統，與所評價的儀控系統設備在具體的硬件和軟件之間的差異，確保所評價系統設備的軟件架構與實際使用系統設備的架構基本相似。

所評價的儀控系統設備的設計條件和運行模式也需要與擬實際使用數字儀控系統設備的設計條件和運行模式基本相似，包括環境條件、連續工作時間要求等。同時，在作為其他系統設備參考時，還應了解設計中存在哪些緩解軟件共因故障的設計特征，以及其運行經驗是否適用。

3.4 失效影響分析

失效影響分析包括失效對儀控系統自身的影響和對核安全的潛在影響兩個層面，前者需進一步證明自身發生概率低，后者則需證明對核安全功能的影響或者后果可接受。

3.4.1 對儀控系統自身的影響

失效影響分析需要從定性評價三個方面因素，來驗證被評價的儀控系統設備是否滿足軟件共因故障發生概率足夠低的要求，相關準則如下：

（1）具有降低共因故障風險的設計屬性和特征，以降低共因故障的可能性。

（2）設計制造過程質量降低了共因故障的可能性。

（3）相關運行經驗證明：能夠在設計條件下達到較高的可靠性。

（4）不會導致非預期的情況。

3.4.2 對核安全的潛在影響

對核安全的潛在影響分析，應結合具體的儀控系統及執行的功能來進行。以核電廠控制系統為例，其軟件共因故障可能后果分析主要步驟如下。

（1）選取并確定安全目標。例如：燃料包殼完整性，儀控系統設置有針對DNBR的保護信號，來保障燃料包殼完整性。

（2）失效影響路徑分析。核電廠控制系統涉及反應堆功率調節、穩壓器壓力控制、二回路溫度和流量等多系統參數的控制，對DNBR和燃料包殼完整性安全目標的影響路徑1如圖3所示，相關參數的變化包括二回路溫度降低、二回路流量增加和反應堆功率提升。

圖3 核電廠控制系統對燃料包殼完整性的影響路徑1Fig.3 Influence path of NPP control system on fuel cladding integrity 1

對DNBR和燃料包殼完整性安全目標的影響路徑2如圖4所示，相關參數的變化包括二回路溫度升高、二回路流量降低和穩壓器壓力降低。

圖4 核電廠控制系統對燃料包殼完整性的影響路徑2Fig.4 Influence path of NPP control system on fuel cladding integrity 2

（3）分析可能的最壞后果。結合辨別的核電廠控制系統軟件共因故障弱點，選擇相應的失效組合作為輸入，根據影響路徑綜合考慮相關變化參數，分析評價對選定安全目標可能的最壞后果，確保不會對安全功能產生不利影響或將電廠置于無法合理緩解的條件下。

核安全潛在影響的失效影響分析相關的準則如下：

（1）失效影響分析反映出的對安全影響重要性程度與分類一致。

（2）沒有連接到更高安全分類的系統設備。

（3）失效影響分析已經充分考慮了軟件共因故障導致的誤動作。

（4）不會對安全功能產生不利影響，且不會將電廠置于無法合理緩解的工況條件下。

4 結論

本文對如何考慮核電廠控制系統等安全影響重要性較低儀控系統軟件引起的共因故障，從安全目標、安全分級和評價方法等方面進行了分析，并借鑒BTP 7-19提出了相應的方法和準則，對核電廠數字化儀控系統自身縱深防御的構建以及相關設計和審評具有一定的參考價值。