基于Tricon平台的安全级DCS多样性分析

宿俊海，杨 萌，李 颖

（1.中核控制系统工程有限公司，北京 102401；2.中国核电工程有限公司，北京 100840）

0 引言

作为一种清洁能源，核能日益受到重视。但是核能又是一种非常特殊的能源，对安全有特殊的要求，一旦发生事故，会对环境和社会公众造成巨大的危害，后果不堪设想。在福岛核事故之后，如何提高核电站可靠性，确保充分利用核能优势，又能将潜在风险降到最低，已成为业内普遍关注的问题。

DCS系统是核电站的神经中枢，可以确保核电站的正常运行；其中的安全级DCS系统则可在异常工况下为核电站提供保护功能，即：在事故工况下能够安全停堆，并在事故发生后能够缓解事故，将事故后果限制在可接受的范围内。

随着数字化技术在核电站安全级DCS中的应用，其在带来便于维护、可用性强和可自诊断等优点的同时，也因为具有高集成性和复杂性的特点，使其无法进行全面测试，尤其不能证明软件没有错误，因而增加了发生共因故障的风险。一旦发生共因故障，可能会使运行相同软件的冗余系统同时失效。所以，共因故障是非常危险的。

因此，在核电站安全级DCS系统设计和实施过程中，必须采取针对性措施即多样性设计，以确保在发生共因故障时，核电站的安全功能得以正确执行。

1 安全级DCS多样性设计的目的和原则

系统的多样性设计是克服共因故障，提高系统可靠性的重要手段[1]。

美国核管理委员会在NUREG/CR-6303-1994提出数字化的保护系统增加了软件共因故障的风险，需要通过多样性来克服共因故障[2]。在该标准中，提出了多样性设计的原则。在NUREG/CR-7007-2009中提出了在需要进行多样性设计时，如何进行满足要求的多样性设计的方法[3]。

对于安全级DCS系统，为抵御共因故障，增强核电站的纵深防御能力，提高数字化DCS系统的可靠性，在安全级DCS系统的设计中，采用多样性的设计方法[4]。

多样性的设计原则有以下6个方面：

1）人员多样性。

2）设计多样性。

3）软件多样性。

4）功能多样性。

5）信号多样性。

6）设备多样性。

2 基于Tricon平台的多样性分析

随着数字化DCS系统在安全级保护系统上的应用，多样性设计越来越受到重视。从大亚湾模拟保护系统，用ATWT完成预期瞬态未停堆，发展到现在全数字化保护系统时，保护系统形成了3个部分：数字化保护系统、硬接线保护系统、DAS保护系统。多样性手段的增强不仅体现了保护系统的可靠性不断增加，也体现了保护系统对多样性的设计越来越重视。

在基于Tricon的安全级保护系统设计中，主要分3部分：数字化RPS保护系统、ECP手动保护系统、DAS/ATWT保护系统。

2.1 数字化RPS保护系统

基于Tricon的数字化RPS保护系统设计，可以分为两部分来考虑：硬件设计和软件设计。

硬件设计是指根据保护系统的系统结构，完成保护系统的结构设计、网络配置、硬件配置等工作。

软件设计应与设计人员在技术上、管理上和财务上进行独立的V&V。

2.2 ECP手动保护系统

在基于Tricon的保护系统设计中，为了防止安全级DCS由于CCF等故障失效，增加一种多样性的启动保护功能的手段，即ECP硬接线手动保护功能。

主要提供的功能有：反应堆停堆，汽机跳闸，安全注入，主给水隔离，辅助给水启动，主蒸汽隔离，安全注入，安全壳A阶段隔离，安全壳喷淋和安全壳B阶段隔离。

2.3 DAS/ATWT保护系统

DAS的全称是（Diversity Actuation System，多样性系统），本来就是为了多样性而设计的。ATWT为预期瞬态未停堆系统，该功能是反应堆停堆的一个多样性设计[5]。

基于Foxboro I/A系统的DAS/ATWT保护系统是实现保护系统多样性的主要实现方法。这两个系统在设计、制造、质检和测试上是不同的，且相互独立。

基于I/A的DAS系统设计中，主要完成的功能有反应堆停堆，汽机跳闸，安注功能和主给水隔离，即完成了最基本的保护功能。ATWT主要完成数字化保护系统在预期瞬态未停堆的情况下完成反应堆停堆，汽机跳闸，辅助给水启动等功能。

2.4 多样性分析

1）人员多样性

根据3.1中的内容可以得出，按照标准IEEE 1012-2004中关于V&V的要求，采用与设计人员在技术上、管理上和财务上独立的部门进行V&V[6]。

2）设计多样性

根据3.2与3.1中的内容可知，ECP硬接线逻辑保护和数字化保护系统，体现了设计的多样性。一个由硬接线手动逻辑实现保护功能，一个通过数字化Tricon平台实现保护功能。两个保护功能的实现互不影响，增加了保护系统的可用性。

3）软件多样性

根据Tricon系统构建可知，在保护系统每一个通道中分为两个子组。由RPS系统需求规格书附件3可知，每个通道的两个子组被分配不同的逻辑来实现停堆功能。然后两个子组通过或逻辑输出到四取二的停堆断路器完成停堆功能。两个子组中组态软件的不同，一定程度上体现了软件多样性。

更为重要的软件多样性的体现在于基于Tricon的保护系统和基于I/A的保护系统。同为数字化仪控平台，由于所用的平台不同，导致了控制功能开发工具的不同、系统软件和组态软件所用的技术的不同。再加上开发人员的不同，导致了根本上的软件多样性。

4）功能多样性

根据3.2和3.1可知，在ECP硬接线逻辑设计过程中，充分地避免了软件保护系统和硬接线保护系统的依赖性，各自功能互不影响，都能独立地完成保护功能，所以体现了保护功能的多样性。

5）信号多样性

对于停堆功能中的1.8和1.9分别在Group1和Group2中实现，接受的信号分别是稳压器的压力高和稳压器的压力低，但都是完成停堆功能，这体现了信号的多样性。

RPS保护系统和DAS保护系统在反应堆正常运行时，检查反应堆用的探测器，一个是功率量程中子注量率，一个是中间量程中子注量率，都可以根据各自的测量结果，在需要的时候完成保护功能，所以体现了信号多样性。

6）设备多样性

RPS保护系统和ECP手动保护系统，采用了不同的技术完成保护功能，体现了设备的多样性。

DAS系统和数字化保护系统相比，既实现了基本的保护功能，又实现了多样性设计。由于I/A和Tricon是基于不同技术的平台，所以体现了设备的多样性。例如I/A控制站的CPU是采用基于AMD Elan SC520芯片组，Tricon控制站的CPU采用基于Motorola MPC860A的三重冗余的CPU。不同的CPU构架是一个非常有用的多样性，它会迫使软件开发使用不同的编译器、连接器和必要的辅助程序，这样可以确保他们之间软件多样性的实现。

3 结论

从以上分析可以看出，基于Tricon平台的核电站安全级DCS的设计及实施中，充分考虑了人员、设计、软件、功能、信号及设备的多样性，降低了DCS系统运行过程中因共因故障导致保护功能丧失的风险，大大提高了核电站DCS系统的可用性、可靠性和安全性，能够确保核电站的安全运行，保证公众和环境的安全。