多样化驱动系统的设计特点及多样性探析

彭沛星

摘要：目前数字化仪控系统在核电中得到越来越广泛的应用，在带来性能改善的同时，大量使用软件可能引起的共因故障也成为设计中必须考虑的一个因素。由于软件故障本质上是系统性的，而不是随机性的，基于计算机的安全系统的共因故障是一个关键问题，安全防范措施不容易实现。设计人员应采用独立性和多样性以及全面的质量鉴定等策略以防止共因故障。

关键词：多样化驱动系统;设计特点及多样性

1 逻辑实现

DAS 提供了4 个自动驱动功能，当选定的电厂参数超过设定值时，触发多样化的自动驱动信号来使反应堆停堆、汽机跳闸或驱动专设安全设施：a） 反应堆停堆和汽机跳闸。当出现蒸汽发生器宽量程液位低、热管段温度高或稳压器液位低时，DAS自动启动反應堆停堆和汽机跳闸;b） 堆芯补水箱驱动和主泵跳闸。当出现蒸汽发生器宽量程液位低或稳压器液位低时，打开堆芯补水箱（CMT） 隔离阀来驱动堆芯补水箱，并跳闸所有主泵;c） 非能动堆芯余热排出热交换器（PRHR） 驱动和安全壳内换料水箱（IRWST）回流槽隔离阀。当蒸汽发生器宽量程液位低或反应堆冷却系统热管段温度高时，DAS 自动启动非能动余热导出系统和关闭IRWST 回流槽的隔离阀;d） 安全壳隔离和非能动安全壳冷却系统驱动。当安全壳温度高时，DAS 自动隔离选定的安全壳贯穿件，并且启动非能动安全壳冷却系统。

2 硬件实现

DAS 由非安全级的不间断电源系统供电，保护系统由安全级的电源系统供电，两者的电源系统独立并且相互隔离。系统由2 个数据处理柜、1 个爆破阀控制柜和1个位于主控制室的DAS 专用操作盘组成。信号处理功能分别布置于2 个数据处理柜，以保证系统的可靠性。机柜使用的卡件包括逻辑卡、RTD/ 热电偶输入卡、电流回路输入卡、开关量输入卡、开关量输出卡及串行通讯卡。输入信号经过A/D 转换成数字量，与设定值比较后产生触发信号，通过触发电路串联布置，实现2 取2 逻辑，并输出逻辑指令至现场设备，触发停堆或驱动专设安全设施。

3 多样性分析

3.1 设计多样性

设计多样性采用包括软硬件的不同实现方法来解决相同或类似的问题。按照重要性从高到低，设计多样性可以采用以下方法：a） 不同技术（如模拟vs 数字）;b） 同一技术的不同实现方法（如交流仪表vs 直流仪表）;c） 不同架构（如部件的不同布置和连接）。虽然都执行触发停堆和驱动专设安全设施的功能，但是保护系统是基于可编程逻辑控制器，DAS 是基于ALS FPGA，两者采用不同的实现方法。保护系统机柜和DAS 机柜布置在辅助厂房辐射清洁区的不同防火分区。保护系统由安全级的不间断电源系统供电，DAS 由非安全级的不间断电源系统供电，两者电源系统相互独立。

3.2 设备多样性

按照重要性从高到低，设备多样性应考虑：a）具有不同原理设计的不同制造商;b） 具有不同原理性设计的相同制造商;c） 相同设计的不同制造商;d）相同设计的不同版本。由于保护系统和DAS 采用了不同的平台，除了保护系统输出接口模块外，两者采用的都是基于不用原理设计的不同制造商。对于保护系统输出接口模块，虽然也是基于FPGA 技术，但是与DAS 卡件的功能需求和实现的逻辑不同，尺寸和板卡布置也不同，满足具有不同原理性设计的相同制造商要求。

3.3 功能多样性

按照重要性从高到低，功能多样性应当考虑：a） 不同的工作原理（如落棒vs 注硼）;b） 不同的目的、功能、控制逻辑或驱动手段（例如正常棒控vs 停堆落棒）;c） 不同的响应时间。根据安全分析确定保护系统和DAS 的整定值。整定值和延时的设置使得DAS 不会先于保护系统触发自动停堆和专设安全功能。DAS 的现场驱动部件与保护系统的驱动部件相隔离，每个系统的驱动部件都能独立动作而不受另一系统的影响。

a） 反应堆停堆。DAS 停堆信号驱动发电机组（MGSet）跳闸，控制棒驱动机构失电，控制棒落棒。保护系统停堆信号通过触发核级的反应堆停堆断路器实现

落棒停堆;b） 汽轮机停机。触发汽机停机时，保护系统通过数字输出卡件和安全级/ 非安全隔离装置将4个序列的停机信号分别送到对应的控制系统机柜。DAS 则通过延时继电器输出将1 个停机信号分别送到4 个控制系统机柜;c） 爆破阀的触发。保护系统和DAS 分别连接至不同的点火器。2 个系统的信号电缆

物理隔离，并连接至不同的安全壳电气贯穿件。对于其它安全专设设备，保护系统和DAS 的驱动方式也是不同的。保护系统一般采用失电触发方式满足故障安全的要求，而DAS 一般采用电触发的方式用以降低误触发概率。

3.4 人员多样性

不同的设计人员设计多样化的安全系统功能可以降低出现相似设计错误的概率。人员多样性可以采用以下方法：a） 不同的设计组织或公司;b） 同一设计组织内不同的设计管理团队;c） 不同的设计和开发团队（例如设计人员、工程师或程序员）;d） 不同的实现和测试团队（例如测试人员、安装人员或者验证人员）。此项目中，由不同于保护系统的人员来负责DAS的设计、制造、测试和验证和确认（V&V）。对于保护系统输出接口模块，虽然在制造阶段不满足人员多样性要求，但是采用了不同的设计和测试团队，包括测试程序编制、测试用例开发、测试的执行和测试报告的编写等都由不同的人员负责。

3.5 信号多样性

信号多样性指的是采用不同的测量参数来触发保护动作。按照重要性从高到低，信号多样性应当考虑以下几个要素：a） 基于不同物理效应的不同反应堆或过程参数（例如压力vs 中子注量率）;b） 基于相同物理效应的不同反应堆或过程参数（例如差压仪表测量的压力vs液位vs 流量）;c） 对于相同的反应堆或处理参数，采用不同冗余组的相似传感器。

3.6 软件多样性

软件多样性是指采用由具有不同关键人员的不同开发组来设计和实现的完成相同安全目标的不同程序。按照重要性从高到低，软件多样性可以考虑的方

法包括：a） 不同的算法、逻辑和程序架构（例如计算结构或执行顺序）;b） 不同的执行时间和执行顺序;c） 不同的运行环境;d） 不同的计算机语言。保护系统和DAS 是基于不同的平台，并且DAS只执行信号比较的功能，2 取2 逻辑通过串联触发电路实现，因此具备不同的算法、逻辑和程序架构。综上分析，该核电项目保护系统和DAS 具备充足的多样性以保证共因故障不会同时影响2 个系统的功能。

4 结语

随着数字化技术的广泛应用，共因故障逐渐成为数字化仪控系统安全评审中关注的问题之一。新一代核电项目中采用了多样化驱动系统DAS，不仅执行传统的ATWS缓解系统功能，还触发某些专设安全设施以满足电站总体的概率分析要求。DAS 采用了与反应堆保护系统不同的信号输入直至执行机构，经分析具备足够的多样性以保证共因故障不会同时影响保护系统和DAS 系统的功能。在DAS 设计国产化过程中，应综合考虑保护系统和控制系统的设计特点，确定需采用多样化的功能需求范围和软硬件的实现方法以满足审评的要求。

参考文献：

[1]石桂连，王纪坤，韩宾，谢逸钦，李刚. ACPR1000堆型核电厂多样化驱动系统产品方案设计[J]. 核安全，2016，15（01）：61-65.

[2]黎国民，朱雯，张云波. ACPR1000多样化驱动系统的研究与实现[J]. 电子测试，2015（03）：101-104.

[3]张朝晖. 多样化驱动系统（DAS）测试应用分析[J]. 自动化仪表，2015，36（07）：40-45.