余 毅，张 敬，孙兴见

（生态环境部华北核与辐射安全监督站，北京 100082）

近年来，数字化仪控系统在我国核电厂中得到广泛应用［1］。这些数字化仪控系统将核电厂各种控制功能集中于通用的计算机系统平台，并主要以软件指令的形式来实现。软件带来的潜在核安全问题越来越受到关注。

2016年，国家核安全局修订发布了新版《核动力厂设计安全规定》［2］（HAF 102—2016），该《规定》首次从法规层面明确了必须考虑由软件引起的共因故障。

1 核电厂数字化仪控系统纵深防御设计审评要求

1.1 我国核安全审评要求

核电厂仪控系统为核电厂在所有正常、异常和事故工况下的可靠运行提供了各种控制和保护手段及监控信息，同时其系统结构设计还应满足核安全审评相关要求。

HAF 102—2016要求设计必须体现纵深防御原则，相关的仪控导则IAEA SSG 39［3］要求仪控系统建立自身的纵深防御体系。结合核安全审评的内容和关注方面［4，5］，核电厂数字化仪控系统应划分为控制系统、反应堆紧急停堆系统、专设安全设施驱动系统、手动控制和显示系统。这些系统为核电厂纵深防御各层次的工艺系统提供了相应的监测和控制手段，并且被设置成多样化的，以保障在反应堆紧急停堆系统及部分专设安全设施驱动系统发生共因故障情况下，反应堆自动保护功能的执行，且不受控制系统不安全动作的影响。仪控系统结构要求如图1所示，其中ATWS，为未能紧急停堆预期瞬态系统（anticipat⁃ed transients without trip system,简称ATWS）。

图1 核电厂数字化仪控系统结构要求Fig.1 Structural requirements for digital instrumentation and control（DI&C）systems of nuclear power plant（NPP）

同时，为了确保相关纵深防御和多样性设计的有效性，核电厂还需要在初步安全分析阶段提出纵深防御和多样性的要求，并在详细设计中掌握拟采用的数字化设备的安全特性，在最终安全分析阶段对所有的数字化仪控系统设备纵深防御和多样性设计进行分析、评价（de⁃fense-in-depth and diversity assessment,简称D3评价）。

1.2 美国核管会新版NUREG 0800 BTP 7-19主要观点

美国核管会组织对核电厂仪控系统软件共因故障可能导致的潜在安全风险进行了长期研究，并形成了一套核电厂数字化仪控系统纵深防御和多样性设计审评的方法和要求，相关文件及主要内容见表1。

表1 美国核管会核电厂数字化仪控系统纵深防御和多样性相关监管文件Table 1 Regulatory documents related to defense-in-depth and diversity（D3）of DI&C systems of NPP of the U.S.Nuclear Regulatory Commission

2021年，美国核管会正式发布了NUREG 0800 BTP 7-19第8版［6］，纳入了SECY-18-0090［7］中基于数字化仪控系统安全重要性分级评价的要求，提出了相应的安全重要性分级原则，并进一步明确了需要进行D3评价的数字化仪控系统设备的范围，以及不需要进行D3评价的情况及其替代评价方法。

2 核电厂数字化仪控系统纵深防御设计关注的问题

2.1 “华龙一号”关注问题

以“华龙一号”的设计为例［8，9］，核电厂数字化仪控系统按照提供的功能，一般可以分为保护和安全监测系统、核电厂控制系统、严重事故仪控系统和主控室系统等。其中保护和安全监测系统执行安全要求相关功能，如紧急停堆和专设安全设施驱动等，属于安全级设备；核电厂控制系统执行正常运行相关功能，如反应堆功率调节、稳压器压力控制、蒸汽发生器水位控制和蒸汽排放控制等，属于非安全级设备。

根据“华龙一号”数字化仪控系统设计方案［8］，其纵深防御和多样性各层次见表2。

表2 “华龙一号”仪控系统纵深防御和多样性各层次Table 2 Echelons of defense of the DI&C systems of the Hualong One

从多样化仪控系统的设置来看，“华龙一号”数字化仪控系统设计方案主要考虑了安全级仪控系统软件共因故障的情况，例如通过设置多样化保护系统和紧急操作盘等，来应对可能的预期运行事件或假想事故与反应堆保护系统软件共因故障同时发生所带来的影响。

对于核电厂控制系统等安全影响重要性较低仪控系统的软件共因故障，由于相关法规要求较为笼统，缺少相关的设计准则和接受准则，“华龙一号”数字化仪控系统设计方案中未体现出具体针对性措施，而是将其作为后续需要关注的问题［8］。

2.2 相关运行事件分析

从对核电厂相关运行事件的分析来看［1,10］，经过相对严格的验证和确认后的数字化仪控系统，包括安全级仪控系统设备，在核电现场调试运行中仍暴露了设计不周和软件程序缺陷等问题。对于非安全级数字化仪控系统，相关的绝大部分事件虽然没有对安全功能产生直接影响，但部分事件引入了不必要的瞬态，不利于机组安全运行，个别事件中甚至出现了燃料组件被拉弯的非预期情况。

3 核电厂控制系统软件共因故障的应对及评价

笔者根据HAF 102—2016的总体要求，借鉴美国核管会BTP 7-19中的主要观点，对核电厂控制系统软件共因故障应对策略进行了分析，并提出了相应的评价方法和准则。

3.1 应对策略

3.1.1 安全目标分析

根据核安全审评相关要求，我们应对安全分析报告中各类设计工况叠加反应堆保护系统软件共因故障失效进行D3评价。安全目标为厂址环境剂量释放不超过设计要求的10%，且反应堆冷却剂压力边界和安全壳的完整性不受破坏。

BTP 7-19中对核电厂控制系统等安全影响重要性较低仪控系统软件共因故障的安全目标为：相关故障不会对安全功能产生不利影响，且不会将电厂置于无法合理缓解的工况下。如果满足上述要求，则无需进行D3评价。

3.1.2 安全分级的应用

HAF 102—2016要求“必须识别所有安全重要物项，并根据其功能和安全重要性对其进行分级”，这对核电厂仪控系统软件共因故障的应对及评价也是适用的，但现有的分级可能并不能完全适用。

例如：参考“华龙一号”的设计，核电厂仪控系统设备被分为安全级（1E）、非安全级（NC）和有特殊要求的非安全级（NC+），同为安全级的紧急停堆系统和控制室空调系统，但对安全影响的重要性差别较大；定义为非安全级的核电厂控制系统，在部分核电厂运行事件中也可能会对安全运行造成影响，在个别案例中甚至导致了非预期的情况；有特殊要求的非安全级则大部分是抗震等级要求，软件共因故障并不适用。

因此，鉴于仪控系统设备对安全影响的重要程度不同，有必要在原有的安全级和非安全级基础上作进一步划分。

3.1.3 评价方法和准则的选择

根据分级分类管理的理念，我们应根据对安全影响的重要程度确定评价方法和准则。安全影响重要性较低的仪控系统设备的评价方法和准则的确定，应考虑更多选择，包括在纵深防御概念的应用、采用定性评价或是定量评价以及失效后果的评价等方面。

3.1.4 评价流程建议

根据上述应对策略，安全重要性较低的仪控系统软件共因故障评价主要步骤及建议流程如图2所示。

图2 核电厂安全重要性较低的仪控系统软件共因故障评价流程Fig.2 Evaluation process of the common-cause failure（CCF）caused by software of the lower safety significance DI&C in NPP

3.2 安全分类

核电厂数字化仪控系统的安全分类，在安全级和非安全级基础上，参考BTP 7-19对仪控系统纵深防御和核安全影响重要程度的要求，划分为四类，并对应不同的软件共因故障评价方式，见表3。

表3 软件共因故障评价安全分类Table 3 Safety classification of the evaluation of the CCF caused by software

3.2.1 对安全有重要影响

A1类属于安全级仪控系统，且至少满足下面三个条件之一：

（1）从触发到完成相关控制功能，将电厂参数保持在设计基准要求的可接受范围内，或者使核电厂达到初始安全停堆状态后并保持安全状态。

（2）如果没有其他自动系统提供安全功能，或没有预先计划的手动操作已被验证提供安全功能，则其故障可能直接导致事故条件，可能产生不可接受的后果（例如超过设计基准规定的剂量）。

（3）在安全分析报告中，其他被认为对安全有重要影响的功能。

对安全有重要影响的仪控系统设备，必须对其纵深防御设计进行D3评价。

3.2.2 安全影响重要性较低

A2类属于安全级仪控系统，在实现或保障电厂核安全方面提供辅助或间接功能。

B1类不属于安全级仪控系统，但至少满足下面两个条件之一：

（1）直接影响反应堆的反应性或功率水平，或影响安全屏障（燃料包壳、反应堆压力容器或安全壳）的完整性。

（2）由于将多个控制功能集成到一个系统中，其故障可能会对电厂安全造成不可接受的后果。

对安全影响重要性较低的A2类和B1类仪控系统设备，可采用定性评价的方式来替代D3评价中的定量分析，并且可以用失效后果评价来替代D3评价的验收准则。

3.2.3 安全影响重要性极低

B2类不属于安全级仪控系统，且至少满足下面两个条件之一：

（1）对反应性或反应堆功率水平没有直接影响。

（2）其故障不会对电厂安全造成影响，或其故障可以被其他系统检测和合理缓解。

对安全影响重要性极低的仪控系统设备的纵深防御设计及评价没有要求。

3.3 定性评价

参考BTP 7-19中相关要求，安全影响重要性较低数字化仪控系统设备的定性评价需要考虑三方面因素：设计属性和特征、设计过程的质量和运行经验，以证明其发生共因故障可能性足够低，即低于核电厂安全分析中其他需要考虑的假设始发事件的发生概率。

（1）设计属性

设计属性可以防止或限制故障的发生。设计属性主要指仪控系统内置功能，如内部冗余设计、故障检测和监视及自诊断功能等。同时，也可以考虑仪控系统自身之外的设计，例如：阀门或泵转速控制中使用的机械锁止装置。

多样性也是设计属性的一个方面，核电厂可以使用该属性来证明：数字化仪控系统已经受到多样化手段保护，不会因潜在的软件共因失效而丧失设计功能。

（2）设计过程质量

设计过程包括软件开发、硬件和软件集成过程、系统设计以及验证和确认过程。设计过程质量标准区别于质量保证大纲或程序。质量标准是指描述设计中规定要达到的技术标准，并且应是经监管部门和行业都认可的导则标准文件。例如：《核动力厂基于计算机的安全重要系统软件》（HAD 102/16）［11］、美国核管会导则《核电厂安全系统中使用的数字计算机软件开发软件生命周期过程》（RG 1.173）［12］等。

（3）运行经验

相关操作经验也可以用于证明和评价拟使用的数字化仪控系统设备具有足够的可靠性。评价时应注意实际所使用的数字化仪控系统，与所评价的仪控系统设备在具体的硬件和软件之间的差异，确保所评价系统设备的软件架构与实际使用系统设备的架构基本相似。

所评价的仪控系统设备的设计条件和运行模式也需要与拟实际使用数字仪控系统设备的设计条件和运行模式基本相似，包括环境条件、连续工作时间要求等。同时，在作为其他系统设备参考时，还应了解设计中存在哪些缓解软件共因故障的设计特征，以及其运行经验是否适用。

3.4 失效影响分析

失效影响分析包括失效对仪控系统自身的影响和对核安全的潜在影响两个层面，前者需进一步证明自身发生概率低，后者则需证明对核安全功能的影响或者后果可接受。

3.4.1 对仪控系统自身的影响

失效影响分析需要从定性评价三个方面因素，来验证被评价的仪控系统设备是否满足软件共因故障发生概率足够低的要求，相关准则如下：

（1）具有降低共因故障风险的设计属性和特征，以降低共因故障的可能性。

（2）设计制造过程质量降低了共因故障的可能性。

（3）相关运行经验证明：能够在设计条件下达到较高的可靠性。

（4）不会导致非预期的情况。

3.4.2 对核安全的潜在影响

对核安全的潜在影响分析，应结合具体的仪控系统及执行的功能来进行。以核电厂控制系统为例，其软件共因故障可能后果分析主要步骤如下。

（1）选取并确定安全目标。例如：燃料包壳完整性，仪控系统设置有针对DNBR的保护信号，来保障燃料包壳完整性。

（2）失效影响路径分析。核电厂控制系统涉及反应堆功率调节、稳压器压力控制、二回路温度和流量等多系统参数的控制，对DNBR和燃料包壳完整性安全目标的影响路径1如图3所示，相关参数的变化包括二回路温度降低、二回路流量增加和反应堆功率提升。

图3 核电厂控制系统对燃料包壳完整性的影响路径1Fig.3 Influence path of NPP control system on fuel cladding integrity 1

对DNBR和燃料包壳完整性安全目标的影响路径2如图4所示，相关参数的变化包括二回路温度升高、二回路流量降低和稳压器压力降低。

图4 核电厂控制系统对燃料包壳完整性的影响路径2Fig.4 Influence path of NPP control system on fuel cladding integrity 2

（3）分析可能的最坏后果。结合辨别的核电厂控制系统软件共因故障弱点，选择相应的失效组合作为输入，根据影响路径综合考虑相关变化参数，分析评价对选定安全目标可能的最坏后果，确保不会对安全功能产生不利影响或将电厂置于无法合理缓解的条件下。

核安全潜在影响的失效影响分析相关的准则如下：

（1）失效影响分析反映出的对安全影响重要性程度与分类一致。

（2）没有连接到更高安全分类的系统设备。

（3）失效影响分析已经充分考虑了软件共因故障导致的误动作。

（4）不会对安全功能产生不利影响，且不会将电厂置于无法合理缓解的工况条件下。

4 结论

本文对如何考虑核电厂控制系统等安全影响重要性较低仪控系统软件引起的共因故障，从安全目标、安全分级和评价方法等方面进行了分析，并借鉴BTP 7-19提出了相应的方法和准则，对核电厂数字化仪控系统自身纵深防御的构建以及相关设计和审评具有一定的参考价值。